Em um país de tantas desigualdades, com a Computação Forense não ia ser diferente. A situação dos estados, apesar de submetidos à mesma legislação, é bastante diversa. Existem estados bem equipados e outros sequer têm um laboratório de CF, faltando o básico para a realizar perícia. Faltam bloqueadores de escrita, softwares de análise de mídias, equipamentos para análise de telefones celulares e até sistemas operacionais devidamente licenciados, retirando o valor legal da prova produzida. Os dispositivos e sistemas comerciais são caros, mas as vantagens são muitas. São suítes com recursos integrados, ferramentas de produtividade, hardwares para ações especializadas, etc.
Existem soluções alternativas baseadas em software livre, com diversos recursos para as mais variadas necessidades. As distribuições linux forenses são customizações de distribuições conhecidas geralmente voltadas para a produção de imagens periciais de dispositivos de armazenamento de dados e memória assim como análise completa destes dispositivos. Mas fique atento pois qualquer distribuição linux que proponha sua utilização para fins forenses deve obedecer a alguns requisitos e condições.
- Não deve permitir em nenhuma hipótese, a escrita nas mídias anexadas ao sistema;
- Deve ter flexibilidade para inicializar com qualquer hardware disponível;
Outro ponto importante é manter a ferramenta sempre atualizada, em sua última versão, de forma a evitar bugs e falhas de segurança. Por fim, lembremos que ao inicializar qualquer distribuição, inclusive as forenses, devemos nos certificar que o BIOS do equipamento esteja ajustado para evitar a carga acidental da mídia suspeita.
Helix 3 Pro
Helix 3 Pro é uma distribuição linux live, instalável, baseada no Ubuntu, com interface Gnome, desenvolvida pela E-Fense. O Helix agrega um lote de ferramentas forenses que auxiliam desde a realização da imagem e a análise de mídias/imagens. A interface de produção de imagem forense do Helix é o Adepto 2.1, baseada na interface do Air, arrecada informações sobre o dispositivo suspeito e configura a saída do arquivo de imagem, gerando um log da operação, que ainda permite acréscimo de informações pelo usuário, além de possuir recursos para restauração da imagem ou clonagem do dispositivo em outra mídia. O ambiente de análise é o Autopsy Forensic Browser, uma interface gráfica baseada em html para o The Sleuth Kit, ferramenta de análise para discos com sistemas Windows e UNIX, baseados em sistemas de arquivos NTFS, FAT, HFS+, UFS1, UFS2, Ext2 e Ext3. O Helix também possui o Linen, que é a versão linux do software de aquisição de imagens da Guidance Software.
Raptor 2.5
Raptor 2.5 é uma distribuição linux live também baseada no Ubuntu, com interface Unity, desenvolvido pela Forward Discovery com foco voltado para a realização de imagens forenses, principalmente para aqueles que não se sentem muito seguros em realizá-las em linha de comando. No lançador você encontrará o ícone do Raptor Toolbox que oferece nove abas com opções diversas iniciando com a duplicação de mídias de armazenamento até o controle das tarefas em andamento.
Santoku 0.4
Santoku 0.4 é também uma distribuição linux live baseada no Ubuntu, gratuita e open source, desenvolvido pela Via Forensic com foco voltado para análise de telefones celulares. Possui também ferramentas para testes de penetração e análise de redes wireless.
FDTK 3.0
FDTK 3 ou Forense Digital ToolKit é a distribuição linux live forense brasileira, instalável, baseada no Ubuntu, com desenvolvido por Paulo Alberto Neukamp e Aderbal Botelho. A FDTK começou como um trabalho de Graduação em Segurança da Informação da Universidade do Vale do Rio dos Sinos – Unisinos, no Rio Grande do Sul. O seu desenvolvimento esteve sempre focado nas quatro etapas da perícia, a coleta, o exame, a análise e a apresentação dos resultados e assim encontra-se no menu Aplicativos/Forense Digital, exceto pela apresentação que é a fase onde se desenvolve o relatório que será o Laudo Pericial. Rica em ferramentas, vale a pena conhecer.
Caine 4.0
Caine 4.0 é uma distribuição linux live italiana, baseada no Ubuntu, com interface própria, que agrega um lote de ferramentas forenses para auxiliar a realização de análise forense de computadores. Além das ferramentas usuais das distros forenses, possui recursos para exame de telefones celulares e rede. Utiliza como uma das ferramentas de imagem o Guyimager, uma das mais práticas opções gráficas linux para a confecção de imagens periciais. Possui também uma prática ferramenta gráfica de montagem de dispositivos de armazenamento, o Mounter, que por padrão monta as unidades em modo somente leitura, a não ser que se clique sobre o ícone da aplicação com o botão direito, o que torna a montagem passível de escrita. Após a montagem ainda faz um alerta sobre o status de escrita atribuído ao dispositivo.
DEFT 8
Deft 8 é outra distribuição linux live italiana, também baseada no Ubuntu, instalável, que contém ferramentas forenses diversas. Esta versão da distribuição agregou o Mount Imager e o Guymager para montagem e realização de imagem forense, respectivamente. Agrega também o DART (Digital Advanced Response Toolkit) conjunto de ferramentas para ambiente Windows carregadas através do Wine.
BackTrack 5 R3 – Kali 1.0
O BackTrack 5 R3 e o Kali 1.0 são distribuições linux live, também instaláveis, desenvolvidas com foco em segurança, mais especificamente nos testes de penetração, mas que também oferecem ferramentas para uso forense. O Kali é dos mesmos desenvolvedores do BackTrack e é considerado como um sistema operacional completo.
A melhor ferramenta é aquela que você domina. Portanto o conhecimento sobre seu uso é fundamental e você pode até se surpreender com as possibilidades oferecidas.
Olá,
Estou precisando recuperar alguns arquivos de um cliente, o hd foi formatado e todos os dados dele se perderam. Já tentei com alguns softwares o que chegou mais perto de recuperar foi o getDataBack, mas no final, antes de copiar os arquivos ele pede para digitar a licença que eu não comprei rsrsrsrs.
Não gosto de usar software crackeado, penso que pra ta ali de bandeja o cracker já colocou algum artificio.
Quero saber de você qual distro forense é boa pra a tarefa que to realizando.
desde já obrigado e seu site ta top demais !!!
Olá Samuel
Para esse tipo de recuperação eu recomendo fortemente que vc utilize o Photorec. É linha de comando e poderoso na recuperação. Ele vem em conjunto com o Testdisk, outra ferramenta muito boa para recuperar partições apagadas e problemas afins.
Abraços,
Meu amigo, vc tem FDTK, pois tentei baixar pelo site, Os links estão quebrado e não achei onde baixar, pode me informar algum link pra abaixar o ISO?
Olá Alex
Não sei lhe informar se houve continuidade no projeto. O site está desatualizado. Sinto não poder ajudar.
Abraços,
Post super top, uma pergunta estou desenvolvendo me TCC faço segurança da informação, meu trabalho e focado em pericia em browser, qual ferramenta seria a mais adequada para realizar pericia em browser, grato
Parabéns pelo post
att
Olá Natan
Eu utilizo o Autopsy Forensic Browser/The Sleuth Kit, entretanto existem outras soluções tanto para ambiente Linux quanto para ambiente Windows que podem te atender.
Abraços,
Olá. Muito legal seu site.
Gostaria de uma dica.
Estou fazendo meu projeto de TCC e ele é baseado em distribuições linux forense.
Quais você recomendaria a utilização para começar a fazer um estudo mais detalhado e comparações entre elas.
Olá Bruno
Utilizo várias dependendo da necessidade. Utilizamos Kali, Santoku, Caine, e outros recursos isolados para necessidades específicas.
Abraços,
Olá, estou fazendo um pré projeto (TCC) e comparar duas ferramentas, no caso irei analisar os dados que poderão ser apagados nos discos rígidos, qual dessas você me recomenda?
Olá Felipe
No Linux você acabará sempre topando com o “The Sleuth Kit” e o “Autopsy Forensic Browser”, presente em várias distros forenses. Tente FDTK, uma distro nacional baseada em Ubuntu e o “OS Forensics” software com versão gratuita para o ambiente Windows.
Abraços,
Excelente, muito obrigado! Vi que o post é um pouco antigo, se fosse sugerir uma distro dessas hoje, qual sería?
Olá Wallison
Existem boas opções disponíveis. Eu utilizo Kali Linux como base, instalando alguns extras para apoio. Estou pensando em fazer um novo post sobre o tema, mas vai ficar para depois.
Abraços,
ola Marcelo tenho acompanhado seus post,s vc esta de parabéns o material e bastante rico em informações a pergunta e a seguida pode ser usado software de bloqueadores de escrito na coleta de um imagem ou somente hardware e se poder usar software isso e regulamentar e aceito pelo comunidade dorense grato..
Olá Eudo
É possível a utilização de softwares de bloqueio de escrita, mas os cuidados devem ser redobrados para evitar acidentes ao carregar/montar as mídias de provas.
Abraços,
Boa noite meu amigo !
Achei super interessante !
Estou com o cursando Sistemas de Informações e meu TCC será baseado em ferramentas forenses, estou em busca de uma ou mais, não tenho conheço sobre ferramentas livres, porem já li muito sobre o assunto informatica forense e suas termologias, você teria o link para que eu possa baixar essa ferramenta Kali 1.0 me parece bem intuitiva e se possível de mais alguma outra para que eu possa fazer um estudo de caso ou comparação entre duas analisando as mesmas situações.
Obs: Ferramentas gratuitas ou com custo mais acessível.
Desde já agradeço, muito obrigado!!
Olá Gustavo
Utilizo várias ferramentas comerciais para realização de perícias. Encase, FTK, IEF, P2 Commander, UFED Physical Analyser, etc. Cada uma tem suas características relevantes e são empregadas de acordo com o objetivo da perícia. Utilizo também o Linux para a realização de trabalhos periciais, visto que em várias situações específicas, recursos do Linux são mais objetivos e mais dinâmicos. Uma ferramenta interessante é o TSK – The Sleuth kit associado ao Autopsy Browser (http://www.sleuthkit.org). Existem diversas distros com foco na perícia conforme o post, entretanto realizando imagens periciais sempre com bloqueadores de escrita ou duplicadores de hardware.
Abraços,