Forensic Toolkit (FTK) – un scurt review

 

Păsărica asta cu investigaţiile informatice o am de mult. Am cochetat ceva timp cu EnCase iar acum am avut ocazia să intru în posesia Forensic Toolkit de la AccesData.

Etimologic, englezescul „crime” are înţelesul de crimă, delict, nelegiuire, asasinat, ucidere. „Computer crime” se referă la un set limitat de delicte definite de legislaţia americană în Computer Fraud and Abuse Act iar de către legislaţia Marii Britanii în UK Computer Misuse Act.

Legislaţia din România reglementează infracţiunile informatice prin Titlul III (Prevenirea şi combaterea criminalitătii informatice) din Legea 161 din 19/04/2003 privind unele masuri pentru asigurarea transparentei in exercitarea demnitatilor publice, a functiilor publice si in mediul de afaceri, prevenirea si sanctionarea coruptiei – publicată in Monitorul Oficial, Partea I nr. 279 din 21/04/2003.

Consider că exprimarea din limba română este o traducere mai puţin reuşită a englezescului „computer crime”. Întăresc cele afirmate prin aducerea în atenţie a altor sintagme de natură juridică din limba engleză: „criminal procedure”, „Title 18 of the United States Code is the criminal and penal code of the federal government of the United States. It deals with federal crimes and criminal procedure”, „criminal law and civil law” cu înţelesul „legea penală şi legea civilă”.

Dar să revin la Forensic Toolkit versiunea 3.0.4. cu cîteva vorbe scurte. Aplicaţia, sau mai exact suita de aplicaţii este măricică.

Deşi CD-ul oferă instrucţiuni pas cu pas, instalarea dă ceva bătăi de cap din cauza HASP-ului cu licenţe (CodeMeter) – subiectul este explicat pe larg în manualul de utilizare abia într-o anexă. În plus, durează ceva timp. Foloseşte o bază de date Oracle (CD separat la instalare). Din acest motiv cerinţele hardware sînt cam mari: minim 500 MB spaţiu pe disk, 5 GB recomandabil. La rîndul său, baza de date are nevoie de minim 6 GB. Eu am instalat pe acelaşi laptop, şi din cînd în cînd gîfîie (baza de date se poate instala pe o maşină distinctă)…..

După instalare, prima interfaţă este simplistă (cea în care creezi cazul), dar imediat ce te apuci de muncă (după ce deschizi cazul şi imporţi o imagine) lucrurile devin complicate pe ecran, dar suficient de intuitive.

Pe lîngă capturile de imagini de discuri (ştie şi MAC OS!) ceea ce m-a surprins au fost capabilităţile de achiziţie de informaţii remote. Fie se instalează un agent pe calculatorul investigat fie va fi nevoie de credenţiale pentru a “trimite” agentul pe calculatorul respectiv. Imaginea de mai jos cred că este sugestivă:

 Remote Acquisition Options

 

Ce intră în suita FTK? Multe module care vin ca add on-uri (telefoane mobile, trafic de reţea etc). Am licenţă doar pentru:

1. FTK Imager

  • aplicaţia pentru achiziţia de probe: fişiere, directoare, share de reţea, CD-uri, DVD-uri, carduri SD, memory stick
  • realizează  imaginea local pentru investigaţii
  • previzualizare conţinut
  • exportă conţinut
  • generează rapoarte

2. Registry Viewer – poate examina regiştrii de pe orice maşină Windows, inclusiv zona “protected”

3 DNA – Distributed Network Attack – pentru parole şi fişiere protejate

4. PRTK – Password Recovery Toolkit – pentru fişierele protejate şi parole (PRTK şi DNA funcţionează identic. Se analizează semnătura fişierului pentru a identifica tipul de criptare şi se determină care din cele două module va fi utilizat)

Nu am am avut timp să testez toate facilităţile. Deocmandată învăţ. Pentru moment m-am jucat cu un un miniSD card folosit pe un telefon mobil. Analizînd o imagine ştearsă, dar recuperată, am aflat într-o primă fază că a fost vorba de un HTC TyTN II….

SD Card

Mai revin cu detalii după examen….Deocamdată stau cu burta pe…laptop…..

Mulţumesc.

Completează mai jos detaliile despre tine sau dă clic pe un icon pentru autentificare:

Logo WordPress.com

Comentezi folosind contul tău WordPress.com. Dezautentificare / Schimbă )

Poză Twitter

Comentezi folosind contul tău Twitter. Dezautentificare / Schimbă )

Fotografie Facebook

Comentezi folosind contul tău Facebook. Dezautentificare / Schimbă )

Fotografie Google+

Comentezi folosind contul tău Google+. Dezautentificare / Schimbă )

Conectare la %s