segunda-feira, 10 de janeiro de 2011

Enfim, AFF no Windows

Eu já escrevi aqui no blog por diversas vezes sobre o quanto admiro o formato AFF. É open source, criado desde o começo para ser um formato aberto e abrangente para forense, e tem vantagens sobre os outros formatos mais comuns, incluindo o dd (raw) e o Expert Witness (E01), usado no EnCase. O grande problema que via nesse formato para adotá-lo como padrão eram as limitações dele no ambiente Windows.

O TSK no Windows consegue ler esse formato normalmente, mas não havia como montá-lo no ambiente de janelas. Bem, pelo menos usando ferramentas open/free. Isso até bem pouco tempo.

A novíssima versão do FTK Imager, provida pela AccessData, gigante da nossa área, traz dentre várias modificações e melhorias, a capacidade de montar imagens forenses. Os formatos vão desde o simples .iso (de CDs, DVDs, etc) até o formato AFF, oferecendo também o E01 e os formatos de discos virtuais mais conhecidos (vhd e vmdk). Basta acessar a imagem forense que a interface faz o resto, permitindo inclusive que se monte como read-only com cache de write (todas as escritas vão para um arquivo à parte).

Além dessa excelente novidade, o FTK Imager novo está preparado para exFAT (novo formato de FAT muito usado em pendrives e cartões de memória de grande capacidade) e Ext4. Isso faz do FTK Imager uma ferramenta obrigatória na caixa de ferramentas de qualquer perito ou investigador em Computação Forense. Ele coleta imagens forenses em vários formatos (incluindo agora o AFF), faz dump de RAM, captura arquivos bloqueados pelo sistema (registry) e ainda permite analisar arquivos de imagens forenses e suas estruturas. Um mil-e-uma-utilidades, com certeza.

Alguém já está usando essa ferramenta ou o formato AFF e gostaria de compartilhar suas impressões ?

Até o próximo post !

Nenhum comentário: