Análise forense digital e os melhores aspectos das técnicas de recuperação de dados

Introdução às técnicas de recuperação de dados -

As técnicas de recuperação de dados são uma parte essencial do Digital Forensics. Não é apenas essencial para hackers éticos e testadores de penetração, mas também para pessoas normais em nossa vida cotidiana. Muitos de vocês podem até pensar que, depois de formatar seu disco rígido ou telefone celular, todos os seus dados se foram. Mas esse não é o fato verdadeiro. Os dados podem ser recuperados de qualquer maneira. Além disso, se for apenas formatação, as técnicas de recuperação de dados são uma tarefa fácil e podem ser feitas com ferramentas simples e gratuitas disponíveis online. Mas, para pessoas novatas por aí, que não têm idéia disso, as técnicas de recuperação de dados podem ser uma situação de ruptura de negócio.

Alguns de vocês podem nem saber o que são técnicas de recuperação de dados e quais são os aspectos do Digital Forensics. Então, vamos dar uma olhada mais profunda nisso.

Forense digital

Portanto, a maioria de vocês pode pensar que, depois de ter uma unidade de disco rígido protegida por senha, seus dados estarão protegidos. E se você excluir tudo e depois formatá-lo novamente, você pensaria que se foi, não é? Mas esse não é o caso. E é aí que o Digital Forensics entra em cena.

A investigação forense digital faz parte do hacking ético. Ele não apenas lida com técnicas de recuperação de dados, mas também na manipulação de dados, rastreando a fonte de imagens, vídeos e mp3s carregados na web. Forense digital é uma categoria diversificada para lidar. Também inclui digitalizar, reparar e reunir a Intel das unidades de disco rígido mais corrompidas e outros dispositivos, como telefones celulares, PDAs, computadores portáteis, biometria e muito mais. Assim, as técnicas de recuperação de dados são uma das partes mais essenciais do cibercrime, já que dados suficientes sobre um hacker / participante específico ajudariam a solucionar o crime facilmente. Caso contrário, pelo menos os dados recuperados podem ajudar a identificar o método de trabalho do hacker.

Cenário da vida diária

Agora você pensa: Ok, isso é bom para um testador de chapéu branco e penetração, mas como isso é útil em nossa vida diária? Deixe-me dar um cenário da vida real.

O cenário I: Revelação do Nexus 5

Durante meus dias em que comecei a aprender sobre hackers e outras coisas, eu era louco por gadgets. Eu sempre tive o hábito de comprar muitos dispositivos e experimentar com ele. Mas como o dinheiro é um problema, eu costumava comprar telefones celulares em segunda mão vendidos no eBay, olx ou em vendedores na estrada por um quarto do preço original. Não muito tempo atrás, quando eu estava experimentando um Nexus 5 que comprei no eBay por 8K, perdi muitos dados que tinha nele. As coisas aconteceram algo como isto:

Carregador de inicialização do Nexus 5

Depois que comprei o Nexus 5, ele foi totalmente formatado pelo proprietário anterior. Eu fiz o root e instalei o Cyanogen Mod 11.00 (CM11-KitKat) e instalei um kernel totalmente AK. Na verdade, estava funcionando tão bem que comecei a usá-lo como meu driver diário. Mas quando tentei fazer um overclock, o telefone realmente morreu. A bateria foi queimada devido a sobrecarga. Comprei outra bateria e a soldei. Mas quando iniciei o Cell, ele estava preso no loop de inicialização (Bootloop significa carregamento interminável na tela de carregamento na inicialização). Então, eu tive que reinstalar todo o sistema operacional. Mas como eu queria recuperar todos os dados que havia nele, precisei fazer alguns truques para recuperar todos os dados. Não era uma situação direta. E quando digo técnicas de recuperação de dados, não quero dizer dados internos. Refiro-me aos dados reais do telefone em que configurações e outras coisas são armazenadas. Então, comecei a procurar on-line por ferramentas de treinamento de recuperação de dados gratuitamente e encontrei a ferramenta Safecopy para Linux. Eu tinha uma vantagem no Linux, mas nunca sabia nada sobre isso. Eu o instalei digitando:

Cursos recomendados

Curso on-line em HTML e HTML5
Curso Profissional de Teste de Software
Curso de Certificação Online no Drupal 7
Treinamento de certificação online em JQuery

$ apt-get instala uma cópia segura

Depois de instalado, tentei criar uma imagem de disco inteira da partição de dados e cache usando o Safecopy usando o comando abaixo:

$ safecopy / dev / Nexus5 nexus5.iso

. Meus dados inteiros eram de algo entre 5 e 6 GB, mas os dados recuperados pareciam ter cerca de 14 GB. Fiquei chocado ao ver isso. Agora, já que estava desesperada e curiosa para recuperar meus dados sem corrupção; Eu também usei ferramentas ADB (Android Debug Bridge) para fazer o backup.

Instalei as ferramentas ADB no Linux digitando:

$ apt-get install android-tools-ADB

Usei o seguinte comando para fazer o backup completo do meu telefone celular:

$ adb backup -apk -shared -all -f /root/temp.ab

Se você deseja apenas fazer backup sem o apk, use um dos seguintes procedimentos:

$ adb backup -all -f /root/temp.ab

Você pode, no entanto, verificar o comando help para verificar se há mais sinalizadores e opções.

Agora, vem a parte mais chocante. Demorou aproximadamente 3-4 horas para obter o backup completo do telefone celular. Uma vez feito, o arquivo total que recebi foi de 33 shows. Fiquei chocado quando vi isso. Todo o meu Nexus 5 teve 16 shows, dos quais eu tinha apenas 12 shows disponíveis para armazenar coisas, e novamente eu usei de 5 a 6 shows. Então, de onde diabos vieram os 26 shows restantes? A pior pergunta era onde tudo estava armazenado? Confuso com isso, usei o SQLite Viewer para visualizar o arquivo de backup antes de poder restaurá-lo novamente, e o que vi foi inacreditável. Não foi apenas um backup meu, mas quando tentei recuperar os dados, todos os dados armazenados pelo proprietário anterior também foram restaurados. Eu podia ver os chats do Facebook e os dados do We-chat, além de usar o navegador SQLite e o Visualizador do SQLite. Foi apenas uma questão de tempo até que eu pudesse separar os dados antigos de recuperação dos meus próprios dados. Eu também poderia ter recuperado o SMS e as informações de contatos usando o famoso Kit Sleuth, mas pensei em dar um tempo para que eu pudesse dominar a recuperação básica do banco de dados. Também recuperei o banco de dados do Whatsapp e, com um pouco de engenharia social, também invadi a chave criptografada da pessoa de quem havia comprado o celular. Porém, mais tarde, liguei para a pessoa específica por ser um homem humilde e informei-o sobre os problemas que poderiam ter acontecido se isso caísse nas mãos erradas.

Cenário II: O Método Kevin Mitnick

Duvido que a maioria de vocês já tenha ouvido falar do infame hacker Kevin Mitnick. Ele escreveu muitos livros relacionados a Engenharia Social e Hacking. Ele estava na lista de mais procurados do FBI e também cumpriu 5 anos de prisão pelo mesmo, mas foi libertado mais tarde, pois muitas evidências não foram encontradas contra ele. Você pode estar se perguntando por que estou dizendo isso. A razão para isso é porque; Kevin era um excelente engenheiro social. E eu usei vários de seus truques para penetrar em sites e organizações (legalmente, obviamente). O que ele costumava fazer era muito impressionante, já que ele costumava se passar por alguém como ele e obter acesso físico a uma organização e depois invadir o site. Ele também costumava dirigir caminhões de lixo através dos quais podia obter acesso a arquivos sensíveis jogados fora como lixo no lixo.

Agora, quando li o livro “Art of Deception”, pensei em tentar. E isso foi há dois anos quando eu estava trabalhando em uma organização de TI diferente. Eu sabia que a cada três anos a empresa se mantinha atualizada, alterando parte do hardware e costumava vender esses componentes para o maior lance no eBay em lotes. Aparentemente, comprei alguns discos rígidos de lá. Tudo estava limpo, formatado e lento. Então, eu usei essa ferramenta conhecida como técnicas de recuperação de dados EASEUS para recuperar dados excluídos. Naquele momento, eu não sabia sobre cópia segura. Então, eu usei este software de treinamento de recuperação de dados. Eu usei a versão de teste primeiro e encontrei muitos arquivos, mas estava gravemente danificado e não consegui recuperá-los. Além disso, os arquivos que foram mostrados como 'arquivos podem ser recuperados' tinham mais de 2 a 3 anos. Então, eu tinha um disco ativo na época, o Knoppix, o famoso disco ativo para solucionar qualquer coisa. Mas o que fiz e depois percebi foi que isso poderia ser feito através de qualquer distribuição Linux e não apenas do Knoppix. Eu usei o comando dd para clonar todo o disco rígido e verificá-lo setor por setor. O dd é uma ferramenta de cópia de utilitários de disco para Linux. Aqui você pode até especificar quase tudo, desde o tamanho do bloco até a clonagem de uma unidade inteira.

Eu usei o seguinte comando para clonar o disco rígido:

$ dd if = / dev / sdb1 de = / root / tempclone.iso bs = 2048

Aqui, você pode especificar qualquer tamanho de bloco conforme seu desejo, variando de 512k a 4096 até que você não saiba o que está fazendo. Aqui, o dd solicita ao computador que verifique uma unidade com a etiqueta sdb1 e, se houver, faça uma cópia do disco inteiro em um arquivo iso ou de imagem, dependendo do uso com o tamanho do bloco em 2048k e salve-o para o diretório raiz com o nome tempclone.iso. Você também pode reverter o processo de conversão de um clone iso em um HD físico, digitando o seguinte:

$ dd if = / root / tempclone.iso de = / dev / sdb1 bs = 1024

Aqui, eu sempre prefiro usar o tamanho baixo do bloco lateral devido à preferência pessoal. Você pode aumentá-lo se quiser, mas eu tive más experiências com ele no passado. Assim, o tamanho baixo do bloco.

Portanto, ao clonar o disco rígido, você agora tem um clone completo de todo o disco rígido no seu computador. Mas observe que isso não funcionará em um HDD formatado simples, pois não há nada para clonar. Primeiro você teria que recuperar os dados corrompidos, usando um bom software de recuperação de disco como o EASEUS, mesmo que seja ilegível, não é um problema. Uma vez recuperado, você pode cloná-lo usando o comando dd. A razão para isso é porque, se o seu disco rígido tiver setores defeituosos irrecuperáveis, o disco rígido nem permitirá que você leia a parte restante dos dados próximos a esse setor. Mas podemos fazer isso, clonando a unidade. Depois de clonado, você pode usar as seguintes ferramentas para identificar e remover os setores defeituosos, salvar apenas os setores bons e recuperáveis e lê-los:

HDDscan

(http://hddscan.com/)

HDDLLF

(http://hddguru.com/)

Verificar Flash

(http://mikelab.kiev.ua/index_en.php?page=PROGRAMS/chkflsh_en)

Chip Genius

(www.usbdev.ru/files/chipgenius/)

Então, fazendo isso, extraí aproximadamente 390 GB de dados do disco rígido de 500 GB e dos quais pude recuperar dados não corrompidos de cerca de 236 gigabytes. Agora, esse era um problema sério, pois as informações que recebi eram extremamente confidenciais. Ao analisar os dados, vi que esse era o disco rígido usado pela equipe de Recursos Humanos para economizar salários, fundos de previdência e outras informações contábeis. Rapidamente, devolvi essas informações ao chefe do departamento de TI e o informei sobre isso, mas como essa é a Índia, nenhuma ação adequada foi tomada. Eu recomendei que a empresa destruísse os discos rígidos em vez de vendê-los, pois isso poderia ser um pesadelo se os detalhes das informações da conta bancária chegassem às mãos erradas. No entanto, fui convidado a desistir, mas, no entanto, recebi uma promoção devido a isso, que é uma história completamente diferente.

Forense digital e técnicas de recuperação de dados: consequências

Mas o ponto aqui é que as técnicas de recuperação de dados não são aplicáveis apenas a todas as outras organizações, mas também a pessoas normais que usam dispositivos eletrônicos para armazenar dados confidenciais. Eu poderia continuar falando sobre isso, mas isso não importa. O importante é saber como destruir as evidências forenses digitais. Atualmente, os hackers usam a criptografia LUKS para destruir os dados, se alguém mexer com eles, que substitui cada byte por zeros, em vez de qualquer outro número hexadecimal. Isso, no entanto, torna as técnicas de recuperação de dados inúteis. Mas, novamente, não é brincadeira de criança que todos usem a criptografia LUKS. Além disso, o uso da criptografia LUKS tem uma grande desvantagem: se você esquecer a senha dos dados armazenados, ela não poderá ser recuperada, seja qual for. Você ficará preso para sempre. Mas, obviamente, é melhor que ninguém tenha acesso aos dados, em vez de algum ladrão usá-los para fins maliciosos.

As técnicas de recuperação de dados e o Digital Forensics são outra razão importante pela qual os hackers normalmente destroem todos os dados com exclusão segura da vítima ou do computador escravo quando o trabalho é feito, para que nada possa ser rastreado até eles. Sempre há mais do que parece. As técnicas de recuperação de dados, como qualquer outra coisa no planeta, são um benefício e uma maldição. São os dois lados da mesma moeda. Você não pode salvar um enquanto destrói o outro.

Fonte da primeira imagem: Pixabay.com

Artigos recomendados: -

Aqui estão alguns artigos que ajudarão você a obter mais detalhes sobre as técnicas forenses digitais e os aspectos importantes da recuperação de dados, basta acessar o link.

Poderoso plano de campanha de marketing digital
5 estratégias simples de marketing digital para o sucesso nos negócios
11 habilidades importantes que um gerente de marketing digital deve ter
Como o aprendizado digital está mudando a educação?
Guia adequado sobre Drupal vs Joomla
Drupal 7 vs Drupal 8: Recursos
ACCA vs CIMA: Funções

Análise forense digital e os melhores aspectos das técnicas de recuperação de dados

Índice:

Introdução às técnicas de recuperação de dados -

Forense digital

Cenário da vida diária

O cenário I: Revelação do Nexus 5

Carregador de inicialização do Nexus 5

$ apt-get instala uma cópia segura

$ safecopy / dev / Nexus5 nexus5.iso

$ apt-get install android-tools-ADB

$ adb backup -apk -shared -all -f /root/temp.ab

$ adb backup -all -f /root/temp.ab

Cenário II: O Método Kevin Mitnick

$ dd if = / dev / sdb1 de = / root / tempclone.iso bs = 2048

$ dd if = / root / tempclone.iso de = / dev / sdb1 bs = 1024

Forense digital e técnicas de recuperação de dados: consequências

Artigos recomendados: -

Teste Dinâmico - O que é teste dinâmico? - Tipos e técnicas

EBITDA Tipos e componentes - Exemplos e vantagens do EBITDA

Sistema de Gerenciamento de Valor Agregado - Três métricas cruciais do EVM

Roteamento dinâmico - O que são os protocolos de roteamento dinâmico?

Fórmula EBITDA - Calculadora (exemplos com modelo do Excel)

Estratégias de Marketing de Conteúdo Digital para Melhores Resultados

Negócio de Marketing Digital - Importância e táticas de marketing digital

Processamento Digital de Imagem - Aplicação de Processamento Digital de Imagem

Exemplos de Marketing Digital - Diferentes estratégias de marketing com exemplos

Idéias de Marketing Digital - Formas populares de idéias de marketing digital

QuarkXPress Vs InDesign - 16 diferenças valiosas que você deve saber

Fórmula de desvio de quartil - Calculadora (exemplos com modelo do Excel)

Pergunta da entrevista financeira - Melhor pergunta sobre entrevista de emprego e carreira

Exemplo de pesquisa quantitativa - Os 7 principais exemplos da vida real

Fórmula de proporção rápida - Calculadora (com modelo do Excel)