Tuesday, December 28, 2010

Missão EnCE: Estrutura do arquivo E01


O arquivo E01 é o formato proprietário para arquivos de imagens forense, criado pela Guidance Software. Também chamado de EnCase Evidence File Format, é uma forma de se trabalhar com uma cópia bit-a-bit da evidência, preservando assim o original.

Basicamente, este arquivo é composto por um header contendo as informações do caso, blocos de dados de 32KB (padrão 64 setores), registros CRC para garantia de integridade dos blocos de dados e um hash no final do arquivo, para garantia de integridade do arquivo como um todo. Este hash no final do arquivo deve coincidir com o hash da evidência original, a fim de garantir que não houveram manipulações no arquivo de evidência durante o processo.



O header armazena informações sobre o caso, não manipuláveis após criação do arquivo de imagem. Estas informações armazenadas no header são "autenticadas" pelo CRC do header.

O header contem as seguintes informações:
  • Case number
  • Examiner name
  • Evidence number
  • Unique description
  • Date/time of computer system clock
  • Acquisition notes
  • Serial number of physical hard drive
Cada bloco de dados contém, por padrão, 64 setores (32KB de dados). A partir da versão 5 do EnCase, os tamanhos destes blocos podem ser alterados para até 32.768 setores (16MB de dados). Por razões didáticas, assumiremos que esta customização não é possível e os blocos de dados tem 64 setores. Para cada um destes blocos de dados, é calculado um CRC no momento da geração do arquivo, que é checado quando se adiciona o arquivo de imagem a um caso e a cada acesso a este bloco de dados durante o processo de investigação.


A partir da versão 6 do EnCase, o hash gerado para integridade do arquivo de imagem pode ser armazenado em MD5 e/ou SHA1.

O arquivo de imagem pode ser dividido em múltiplos segmentos, com o tamanho máximo dependendo do suporte do sistema de arquivos utilizado. Até a versão 5 do EnCase, o tamanho máximo do arquivo de imagem era de 2GB, devido a uma limitação interna de offset de 31bit. A partir da versão 6 do EnCase, um "work arround" resolveu esta limitação.

O arquivo de imagem pode ser protegido por senha. Esta senha não pode ser alterada após criação do arquivo de imagem.

Pode ser aplicado compresão ao arquivo de imagem durante o processo de criação. Esta compresão poderá reduzir bastante o tamanho do arquivo de imagem, mas não irão alterar o hash de controle, que deverá sempre coincidir com o hash do disco original.

1 comment:

Sandro Süffert said...

Ótima a abordagem sobre o E01, Luizão!

Um detalhe interessante, apesar de possuir senha, um arquivo E01 com senha gerado no Encase pode ser aberto (pelo FTK ou libewf por exemplo) sem a necessidade de usá-la.

Descobri isto há uns 3 anos quando trabalhava em um caso que continha vários arquivos de evidência E01 com senha e tive que os abrir para processar no FTK.. Para minha surpresa, o FTK simplesmente não pediu a senha =)

O motivo é porque a senha apenas é lida pelo Encase (a nível de aplicação) mas não criptografa os dados do E01.

Post a Comment