Wednesday, November 24, 2010

Advanced Forensics Format - AFF

Uma das novidades do FTK Imager 3.0 que eu comentei no post passado é o suporte ao formato de imagem AFF. Algumas pessoas me perguntaram sobre este formato e resolvi escrever este post de hoje.

O AFF (Advanced Forensics Format, ou Formato Forense Avançado) é um formato extensível aberto para o armazenamento de imagens de disco e de metadados relacionados à computação forense. Foi desenvolvido por Simson Garfinkel e a empresa Basis Technology.


Usando o AFF, o investigador não estará preso a um formato proprietário (E01, DD, A01), o que pode limitar a forma como este pode analisar os dados, como ferramentas incompatíveis com um formato ou outro.


AFF suporta dois algoritmos de compressão: zlib, que é rápido e razoavelmente eficiente, e LZMA, que é mais lento, mas muito mais eficiente. O zlib é o mesmo algoritmo de compactação usado pelo EnCase. Como resultado, arquivos AFF compactados com zlib são aproximadamente do mesmo tamanho que o arquivo  equivalente no formato EnCase. A grande vantagem é que arquivos AFF  podem ser "re-compactados" (!) utilizando o algoritmo LZMA. Esses arquivos tem um tamanho aproximado de 1/2 a 1/10 do tamanho do original AFF / arquivo EnCase.

Outra vantagem é que o formato AFF 2.0 suporta criptografia de imagens de disco. Ao contrário da senha implementadas pelo EnCase, imagens criptografadas não podem ser acessados sem a chave de criptografia.



Maiores informações estão disponíveis em http://afflib.org/ e http://www.basistech.com/digital-forensics/aff.html

Enquanto pesquisava sobre o tema para escrever este post, encontrei ótimas referencias em:




Recomendo a leitura!

No comments:

Post a Comment