O documento descreve o Coroner's Toolkit (TCT), um conjunto de ferramentas forenses escritas por Wietse Venema e Dan Farmer. O TCT inclui ferramentas como grave-robber para coleta de dados, mactime para análise de tempo e lazarus para reconstrução de arquivos excluídos. Ele explica como cada ferramenta funciona e os princípios da ordem de volatilidade de coleta de dados.
2. Um Pouco da História
O Coroner’s Toolkit (TCT) é uma coleção de utilitários forenses escritos por
Wietse Venema e Dan Farmer, o software foi apresentado pela primeira vez
em uma aula da IBM em 1999. Sua distribuição geral aconteceu apenas no
não 2000, nos websites dos autores. Ele foi distribuído de várias maneiras
até se tornar o Sleuth Kit.
3. Coleta De Dados Com grave-robber
O comando grave-robber coleta as informações, essa ferramenta pode ser utilizada em uma
máquina “ao vivo” ou em um arquivo de imagem do disco. Ele tem por objetivo respeitar a
ordem de volatilidade.
4. Coleta de dados com grave-robber
1
•Os atributos de
todos os
comandos e
arquivos que o
TCT acessa são
coletados
primeiro.
2
•Informações de
status do
processo e
opcionalmente,
a memória de
todos os
processos em
execução.
3
•Arquivos
excluídos que
ainda estão
ativos
4
•Arquivos
executáveis de
todos os
processos
5
•Todos os
atributos dos
arquivos
excluídos
6
•Informações
sobre status da
rede.
5. Análise do tempo com mactime
Esse comando recebe todas informações sobre atributos dos arquivos de maneira cronológica,
esta ferramenta foi desenvolvida bem antes do TCT e depois foi adaptada para funcionar neste
ambiente.
7. Todos os sistemas populares dividem o arquivo em
blocos de 1.024bytes e 4.096 bytes
Nos sistemas operacionais baseados no UNIX
(Distribuições Linux) não se fragmenta os arquivos,
já no Windows isso é bem comum.
Se um bloco do disco for semelhante com o anterior
o lazarus interpreta como parte do mesmo arquivo.
O lazarus tem o objetivo de
fornecer dados não estruturados de
maneira que o usuário possa
visualizar.
9. O armazenamento de disco e RAM são os dois repositórios mais óbvios, porém outros dados podem ficar
oculto em outras partes. Todos os dados são voláteis e com o passar do tempo a veracidade das
informações diminui, assim como a capacidade de recuperar e validar os dados.
10. Afirmar com extrema certeza a
capacidade de reprodução é
complicado, principalmente
atualmente onde se possui sistemas
que se alteram quase que todos os
dias. Inicialmente se deseja tanto os
dados brutos quanto os processados,
além do dados enquanto eles são
processados e capturar dados
enquanto ele esta sendo processado
pode retornar em dois momentos
resultados diferentes.
E tais resultados começam a se tornar
algo mais cômodo a partir do
momento que começamos a falar de
dados na casa dos peta bytes e exa
bytes.