Wednesday, August 4, 2010

Como o Live View salvou meu dia

Algumas vezes, quando se está na frente do cliente resolvendo um problema, o conhecimento técnico não é suficiente para solucionar a questão... A criatividade necessária para se ir além do problema é o que diferencia os profissionais medíocres dos bons profissionais (antes de criar polêmica neste blog, vamos definir criatividade como capacidade de ousar e inovar diante de desafios e dificuldades, e não ).


Hoje foi um destes dias onde se é preciso utilizar mais a criatividade e menos o conhecimento técnico. Resumindo a história toda: eu tinha uma imagem do tipo RAW (DD) que nem o EnCase nem o FTK conseguiam acessar algumas áreas. O HASH da imagem DD confere com o HASH do HD original, ou seja, imagem íntegra. Precisava acessar a máquina original mas não havia como. Solução: vamos bootar uma VM utilizando a imagem gerada. Como? Utilizando o Live View. O Live View é um utilitário em Java utilizado para criar arquivos VMDK (discos virtuais de VMWare) a partir de imagens RAW (DD). Convertendo a imagem capturada em campo em uma máquina virtual bootável garante ao investigador uma perspectiva de usuário do ambiente. O processo gera uma máquina virtual e cria um snapshot da VM a fim de preservar a evidência original. A vantagem deste processo é que não é necessário criar cópias da imagem RAW DD original.

Para funcionar, o Live View precisa do Java, VMWare Workstation versão 5.5 ou VMWare Server 1.x (esta última versão é free) e o VMware Disk Mount Utility. Durante o processo de instalação, o LiveView se encarrega de baixar ou apontar o que é pré-requisito e está ausente no sistema.


Os parâmetros do Live View são simples e intuitivos. Dividido em "partes", a primeira parte define a configuração da VM a ser criada, em seguida pergunta qual a origem dos dados (pode-se utilizar uma imagem RAW DD ou um disco físico (não se esqueça do Write Blocker se for utilizar esta opção, para não adulterar a evidência) e o destino da máquina virtual.

Um "Quick Guide" está disponível em http://liveview.sourceforge.net/guide.html. Uma vez gerada a máquina virtual, pode-se fazer o boot na máquina e então acessar a máquina exatamente como o usuário faria.

Abraços amigos!

No comments:

Post a Comment