Monday, April 12, 2010

Guidance WinAcq

Já comentei sobre a ferramenta WinAcq em outro post neste blog. Agora vou escrever e demonstrar um pouco a ferramenta.
O WinAcq é uma ferramenta integrante do Guidance EnCase 6.16, serve basicamente para realizar coletas físicas e lógicas de discos para formato E01:
WinAcq é um utilitário de linha de comando multi-threaded que realiza captura física e lógica de dispositivos. Projetado para funcionar em um sistema operacional Windows 2000 ou superior, o utilitário WinAcq permite que você especifique o dispositivo pela letra (C:\, D:\, para realizar uma captura lógica) ou por número (Disk0; Disk1, para realizar uma captura física). O WinAcq cria um arquivo de dados padrão EnCase (*. E01).
Maiores detalhes sobre o WinAcq estão neste post.

Para utilizar a ferramenta, podemos fazer de três formas:

  • Utilizar as opções de linha de comando
  • Usando um arquivo de configuração
  • Respondendo as questões da console do utilitário
A forma mais simples é respondendo as questões da console. Simplesmente chame o utilitário e informe qual volume (ou device) será realizado a captura. Os demais parâmetros necessários para a aquisição das evidências serão solicitados pelo utilitário.


Outra forma é passando os parâmetros direto na linha de comando, evitando assim que o utilitário faça alguma pergunta. Pode ser utilizado desta forma inclusive em um arquivo em lotes (BAT), automatizando o processo:
winacq -dev 0 -cdrom -p c:\evidences\ev001.e01 -m Evidence -c Case01 -e BRForensics -r Ev001 -d 0 -s 2048 -t -1 -v
Os parâmetros possíveis de se utilizar com este utilitário são:


-p   *Path and filename for resulting evidence file (maximum 32768 characters).
-m   *Name of the evidence within the evidence file (maximum 50 characters).
-c   *Case number related to the evidence (maximum 64 characters).
-e   *Examiner's name (maximum 64 characters).
-r   *Evidence number (maximum 64 characters).
-d   *Compression level (0=none, 1=fast, 2=best; default: 0).
-a   Semicolon delimited list of alternate paths (maximum 32768 characters).
-n   Notes (maximum 32768 characters).
-s   Maximum file size of each evidence file segment in MB (default: 640, minimum 1, maximum 10485760).
-b   Sectors per block for the evidence file (default: 64, minimum 1, maximum 1024).
-g   Error granularity in sectors (default: 1, minimum 1, maximum 1024).
-f   Path to a configuration file holding variables for the program (maximum 32768 characters).
-t  Compute MD5 hash while acquiring the evidence (default: true; values: true or false).
-1  Compute SHA1 hash while acquiring the evidence (default: false; values: true or false).
-v  Turns on verbose reporting; provides count of sectors imaged (CurrentSector/TotalSector) (default: false).
-wrk   Number of worker threads (default: 10, minimum 1, maximum 20).
-rdr   Number of reader threads (default: 5, minimum 1, maximum 5).
-hsh  Hash in a separate thread (default:false).
-dev   Number of the physical device to acquire (can be used with -cdrom).
-vol   Letter of the logical volume to acquire (cannot be used with -cdrom).
-cdrom  Used with the -dev option to specify that the source is a CD-ROM.
-h  Help message.

Valores marcados com * são necessários e não podem ser omitidos.


Para ilustrar melhor os exemplos de uso, produzi dois vídeos com exemplo de uso da ferramenta:


Utilizando o utilitário sem passagem de parâmetros


Utilizando o utilitário com passagem de parâmetros

Uma outra forma de automatizar o processo é utilizando um arquivo de configuração, como um arquivo de resposta.

Os seguintes valores podem ser incluídos no arquivo de resposta:


EvidencePath*  Path and filename for resulting evidence file (maximum 32768 characters).
EvidenceName*  Name of the evidence within the evidence file (maximum 50 characters).
CaseNumber*  Case number related to the evidence (maximum 64 characters).
Examiner*  Examiner's name (maximum 64 characters).
EvidenceNumber*  Evidence number (maximum 64 characters).
Compress*  Compression level (0=none, 1=fast, 2=best; default: 0).
AlternatePath  Semicolon delimited list of alternate paths (maximum 32768 characters).
Notes  Notes (maximum 32768 characters).
MaxFileSize  Maximum file size of each evidence file segment in MB (default: 640, minimum 1, maximum 10485760).
Granularity  Error granularity in sectors (default: 1, minimum 1, maximum 1024).
BlockSize  Sectors per block for the evidence file (default: 64, minimum 1, maximum 1024).
Hash (true or false)  Compute MD5 hash while acquiring the evidence (default: true).
SHA1 (true or false)  Compute SHA1 hash while acquiring the evidence (default: false).
Verbose (true or false)  Turns on verbose reporting; provides a count of sectors imaged versus total sectors (default: false).
Workers  Number of worker threads (default: 10, minimum 1, maximum 20).
Readers  Number of reader threads (default: 5, minimum 1, maximum 5).
Hasher (true or false)  Hash in a separate thread (default:false).
DeviceNumber  Number of the physical device to acquire (can be used with -cdrom).
VolumeName  Letter of the logical volume to acquire (cannot be used with -cdrom).
CdRom (true or false)  Used with the DeviceNumber option to specify that the source is a CD-ROM.

O arquivo de resposta deverá ser salvo num arquivo do tipo TXT (plain text).
Para informar o caminho do arquivo de resposta, utilizar o parâmetro -f.

Bom pessoal, é isso. É uma ferramenta muito interessante e pode poupar muito tempo. Em breve vou escrever um artigo aqui comparando esta ferramenta com o EnCase Portable. Até lá!

No comments:

Post a Comment