(por Eduardo Gomes de Barros)
Em uma investigação forense, o dado bruto muitas vezes não nos fornece nenhuma informação sobre um fato ocorrido. Porém, a ordenação dos dados, de acordo uma linha de tempo pode fazer com que o conjunto possua alguma informação.
Em uma investigação forense, o dado bruto muitas vezes não nos fornece nenhuma informação sobre um fato ocorrido. Porém, a ordenação dos dados, de acordo uma linha de tempo pode fazer com que o conjunto possua alguma informação.
MACtimes é uma maneira abreviada de nos referirmos aos três atributos que compõem um arquivo em ambientes Unix-like: tempo de modificação (mtime), tempo de acesso (atime) e tempo de criação (ctime). Note que os atributos registram apenas o último momento que algo ocorreu. A recuperação de informações anteriores só é possível, na maioria dos casos, em sistemas de arquivos com jounal. Abaixo uma descrição de cada um dos atributos.
- atime - último momento em que ocorreu acesso ao arquivo. Exemplo: cat arquivo
- ctime - último momento em que ocorreram modificações no conteúdo e meta-informações de um arquivo. Exemplo: chown usuario arquivo
- mtime - último momento em que ocorreu alguma modificação no conteúdo do arquivo. Exemplo: echo ” ” >> arquivo
A ferramenta mactime, parte do conjunto de aplicações forenses sleuthkit, possui a capacidade de construir uma linha do tempo de acordo com uma base de dados criada previamente. A criação da base de dados pode ser feita através da ferramenta mac-robber ou ils -m ou fls -m.
A linha do tempo pode ser extremamente útil para perceber que eventos isolados podem ter correspondência, e assim poder reconstruir o fato ocorrido.
O uso de mac-robber requer que a imagem, ou o dispositivo, esteja montado em algum diretório. Supondo que se tenha uma imagem img.dd e que a mesma será montada em /mnt:
#mount -oloop,ro,noatime,nodiratime,noexec -tauto img.dd /mnt
#mac-robber /mnt > saida.txt
O uso de ils é interessante mas o default da ferramenta é o resgate de arquivos apagados. O nome dos arquivos é complementada pelo número do inode. Seu uso não é o mais adequado quando comparado com o resultado de foremost uma vez que os números de inode não batem.
A alternativa é usar o comando fls que permite recuperar o que foi apagado e o que existe no disco.
#fls -dr -m / img.dd > fls.mactime
Este comando iria recuperar somente os arquivos apagados e
#fls -r -m / img.dd > fls.mactime
recuperaria todos os arquivos, apagados e existentes no disco.
A geração da linha do tempo é dada por
#mactime -b fls.mactime> timeline.txt
O problema com este comando é que ele irá pegar todos os arquivos apagados inclusive aqueles em que há somente fragmentos gerando um grande número de entradas. Para minimizar a saída pode-se atribuir um período para a geração da linha do tempo
#mactime -b fls.mactime1 2008-11-01..2008-11-17 > timeline.txt
O arquivo timeline.txt possui a linha do tempo contendo os arquivos apagados e os existentes na partição. Os apagados não se está garantindo sua recuperação mas tão somente sua existência em algum momento naquele sistema de arquivos.
A linha do tempo pode ser extremamente útil para perceber que eventos isolados podem ter correspondência, e assim poder reconstruir o fato ocorrido.
O uso de mac-robber requer que a imagem, ou o dispositivo, esteja montado em algum diretório. Supondo que se tenha uma imagem img.dd e que a mesma será montada em /mnt:
#mount -oloop,ro,noatime,nodiratime,noexec -tauto img.dd /mnt
#mac-robber /mnt > saida.txt
O uso de ils é interessante mas o default da ferramenta é o resgate de arquivos apagados. O nome dos arquivos é complementada pelo número do inode. Seu uso não é o mais adequado quando comparado com o resultado de foremost uma vez que os números de inode não batem.
A alternativa é usar o comando fls que permite recuperar o que foi apagado e o que existe no disco.
#fls -dr -m / img.dd > fls.mactime
Este comando iria recuperar somente os arquivos apagados e
#fls -r -m / img.dd > fls.mactime
recuperaria todos os arquivos, apagados e existentes no disco.
A geração da linha do tempo é dada por
#mactime -b fls.mactime> timeline.txt
O problema com este comando é que ele irá pegar todos os arquivos apagados inclusive aqueles em que há somente fragmentos gerando um grande número de entradas. Para minimizar a saída pode-se atribuir um período para a geração da linha do tempo
#mactime -b fls.mactime1 2008-11-01..2008-11-17 > timeline.txt
O arquivo timeline.txt possui a linha do tempo contendo os arquivos apagados e os existentes na partição. Os apagados não se está garantindo sua recuperação mas tão somente sua existência em algum momento naquele sistema de arquivos.
Nenhum comentário:
Postar um comentário