Como adquirir imagem de disco no computador Linux?

2

Com relação à computação forense, se o computador do suspeito (que não pode ser removido da cena) for Linux, você pode usar diretamente ferramentas como dd ou dcfldd em seu computador para adquirir a imagem de disco? Ou você precisa usar CDs ao vivo forenses como Helix, Penguin sleuth ou FFCU no topo do sistema operacional existente?

    
por Shrumms Dorke 09.09.2014 / 13:41

2 respostas

2

Enquanto executa um comando como

# dd if=/dev/sda of=/path/to/external/medium/file.img

em um sistema live funcionará, isso resultará em vários problemas que você não terá se inicializar em um sistema operacional separado e criar a (s) imagem (s) a partir de lá:

  1. Se você imagina um disco inteiro, ele provavelmente contém um carregador de boot e um tabela de partição . Aqueles vão entrar em seu caminho quando você for tentar fazer perícia / recuperação na imagem.

    O que você realmente quer é imaginar cada sistema de arquivos de forma independente:

    # dd if=/dev/sda1 of=/path/to/external/medium/filesystem1.img
    # dd if=/dev/sda2 of=/path/to/external/medium/filesystem2.img
    ...etc...
    

    Fazer isso desta forma torna trivial a montagem dos sistemas de arquivos:

    # mount -oloop,ro filesystem1.img /mnt/fs1
    

    (Eu mostro o mount feito como root porque em alguns Linuxes, dispositivos de loop estão bloqueados, então regular os usuários não podem usá-los.)

  2. Você está capturando instantaneamente sistemas de arquivos montados ao vivo, então quando você os monta mais tarde, não é diferente do que se você tivesse desligado a máquina. As partições serão " sujas " o que pode dificultar sua montagem sem danificá-los forensicamente.

  3. Você está usando a cópia da máquina suspeita de dd(1) . Se alguém estivesse tentando ocultar algo de você, poderia fornecer uma cópia maliciosa ou maliciosa de dd(1) .

Agora, tudo o que foi dito, existem algumas boas razões para fazer um clone on-line. A melhor razão é que o sistema está usando alguma forma de sistema de arquivos ou criptografia de todo o disco , e reiniciar o sistema irá apagar a descriptografia chaves para os volumes montados.

No entanto,

dd não é a ferramenta certa para esse trabalho, pois você obterá apenas uma cópia dos dados criptografados em repouso. Um backup regular é uma ideia melhor. Por exemplo,

# tar -cvJf --exclude={'/proc/*','/sys/*','/tmp/*'} \
  /path/to/external/medium/everything.tar.xz /

Isso não descobrirá partições ocultas, mas pelo menos forçará o sistema a descriptografar todos os arquivos acessíveis diretamente da raiz do sistema de arquivos.

    
por 09.09.2014 / 13:58
2

Em uma investigação forense, você precisa recuperar dados de um sistema possivelmente hostil e precisa fornecer strongs evidências de que os dados recuperados são genuínos. Adquirir uma imagem de disco do computador ao vivo é extremamente ruim em ambos os aspectos.

O software do sistema pode ser um software não padrão que é programado para você e fornece os dados “interessantes” apenas mediante a apresentação de credenciais que você não possui. Por exemplo, você pode estar interagindo com uma máquina virtual que se disfarça como o hardware real. Os executáveis do sistema ou o kernel podem ter sido modificados para não relatar dados genuínos. Isto é tanto um problema para você, porque você quer dados genuínos, e um problema para qualquer processo legal, porque o advogado do suspeito terá um dia de campo mostrando que você não pode provar que o que você agarrou era genuíno.

O procedimento normal para qualquer análise forense é desconectar o meio de armazenamento e conectá-lo ao seu próprio laptop que está executando o software que você pode explicar com precisão.

Além disso, dd é a ferramenta errada para o trabalho porque não copia de forma confiável sua entrada completa . (Se você está lendo de um dispositivo de bloco e não de um pipe, pode funcionar, mas boa sorte provando isso com alguma medida de confiança.) Pelo menos use uma ferramenta adequada como dcfldd ou pelo menos cat . / p>

Você não só não pode confiar no software em execução no computador, como também não pode confiar no hardware. Portanto, não é seguro tentar inicializar sua própria mídia no computador do suspeito. Por exemplo, seu sistema operacional pode acabar sendo executado em um hipervisor que você não consegue detectar, mas que retorna dados corrompidos. Você precisa trazer seu próprio computador e conectar o disco rígido a ele.

Também é importante que você não escreva para o computador do suspeito (porque você precisa dos dados do suspeito, não de seus próprios dados derivados do suspeito). Portanto, o procedimento padrão é conectar o disco rígido por meio de um bloqueador de gravação - um componente de hardware dedicado que é aplicado no nível do protocolo (por exemplo, protocolo de armazenamento USB) ao qual o disco não será gravado. Então você mantém essa captura como uma cópia de referência - em uma mídia fisicamente de gravação única, se possível, em um disco rígido que você nunca escreve de outra forma - e nunca trabalha diretamente com ela, apenas de cópias secundárias.

De preferência, pegue uma imagem de todo o disco e reconstrua os sistemas de arquivos, etc., de lá. Tenha em atenção que o simples acto de montar volumes ou montar um sistema de ficheiros (mesmo só de leitura!) Pode modificá-lo: definindo um bit sujo, actualizando uma data de utilização, reproduzindo um diário… Ao montar um sistema de ficheiros ext3 / ext4 que não estava desmontada corretamente, a opção noload mount (além de ro ) ignora a atualização do diário e não faz com que nada seja gravado no disco; isso tem a desvantagem de os dados que você ler poderem ser inconsistentes (o que pode ter um efeito praticante em fazer com que arquivos recém-excluídos ainda estejam presentes).

Se você precisar obter algo do sistema ao vivo, por exemplo, porque os dados são criptografados, escolha o que puder da maneira que puder. Documente o que você fez da maneira mais precisa possível (tirar vídeos pode ajudar). Mas pegue os dados subjacentes reais além disso. Use o que você obteve do sistema ativo (normalmente chaves) para reconstruir, de uma maneira facilmente rastreável, os dados interessantes do dump direto.

Você encontrará mais informações sobre esse tópico em Security Stack Exchange , em particular:

por 10.09.2014 / 14:31