Home 01 - Conceitos 07 - Forense e Antiforense 09 - Ferramentas Forenses

No contexto das Ferramentas Forenses voltadas para a fase de Coleta (ou Aquisição), as fontes destacam o papel essencial de utilitários como LiME, dd e dcfldd para garantir a preservação da integridade e a validade jurídica da prova digital.

Abaixo, detalho como essas ferramentas são apresentadas:

1. dd (Data Doubler)

O dd é descrito como um utilitário padrão em sistemas Linux para a movimentação de bits, precedendo o próprio sistema por vários anos.

  • Função Principal: Realiza a cópia bit a bit de uma mídia, capturando todos os dados, inclusive arquivos apagados e espaços em branco (áreas não alocadas).
  • Vantagem Forense: O Linux permite o uso do dd para copiar discos sem a necessidade de “montá-los”, o que evita a alteração acidental de carimbos de tempo (timestamps) dos arquivos na mídia original.
  • Tratamento de Erros: Recomenda-se o uso da opção conv=sync,noerror para que, caso ocorra um erro de leitura físico, a ferramenta substitua os bytes inválidos por zeros, mantendo a integridade da posição dos demais dados.

2. dcfldd

Desenvolvido pelo Laboratório de Computação Forense do Departamento de Defesa dos EUA (DCFL), o dcfldd é uma versão aprimorada do dd com funcionalidades específicas para a perícia.

  • Hashing em Tempo Real: Diferente do dd comum, o dcfldd pode calcular funções Hash (MD5, SHA1, SHA256, etc.) simultaneamente ao processo de cópia.
  • Janelas de Hash: Ele permite calcular hashes para agrupamentos de dados específicos (janelas), como a cada 1 GB de cópia, o que facilita a identificação de áreas corrompidas sem descartar a imagem inteira.
  • Segurança e Agilidade: Por já realizar o cálculo de integridade durante a aquisição, agiliza o trabalho do perito e fortalece o lastro de autenticidade da cópia forense.

3. LiME (Linux Memory Extractor)

Enquanto o dd e o dcfldd focam em mídias não voláteis (discos), o LiME é a ferramenta de escolha para a coleta de dados voláteis (RAM).

  • Importância na Coleta: É vital para capturar senhas, chaves de criptografia e processos em execução que seriam perdidos se o computador fosse desligado.
  • Compatibilidade: Armazena a captura em um formato altamente compatível com o framework de análise Volatility.
  • Cuidados na Instalação: Deve ser compilado especificamente para a versão do kernel do sistema objeto, mas as fontes alertam que essa compilação nunca deve ser feita na máquina alvo para não contaminar a cena do crime.
  • Formatos de Saída: Suporta os formatos raw, padded e o formato próprio LiME (altamente recomendado por conter estruturas completas com metadados).
  • Transferência via Rede: Pode configurar um listener no sistema objeto para enviar o dump de memória via rede (usando o netcat) para a estação de trabalho forense, minimizando a escrita de arquivos no disco investigado.

Em resumo, enquanto o dd e o dcfldd são pilares para a criação de imagens de armazenamento permanente, o LiME atende à necessidade crítica de preservar a memória volátil, respeitando a ordem de volatilidade e o princípio “Primum non nocere” (primeiramente, não faça bobagem).