[ Update 25/03/2012 ]
Mais de 100 inscrições foram feitas no link http://tinyurl.com/ApuraFTK4 e os eventos ocorrerão nesta semana em Brasília (3a) e São Paulo (5a).
[ Update 07/03/2012 ]
Nos últimos dias alguns profissionais de renome na área comentaram e expandiram o assunto que tratamos neste post:
Em primeiro lugar, agradeço ao meu amigo Andrés Velázquez e expert em pericia forense da Mattica - empresa mexicana precursora da área na América Latina - que publicou em seu blog sobre Computação Forense em espanhol o seguinte post:
http://www.andresvelazquez.com/2012/03/la-nueva-version-de-accessdata-ftk-4-la-historia-por-sandro-suffert/ (1)
Aproveito também para agradecer ao SegInfo (2) e ao Luiz Rabelo (3) por publicarem em seus respectivos blogs material sobre o assunto em pauta. Muito obrigado, senhores!
[ Post Original 03/03/2012 ]
O world tour de lançamento da ferramenta FTK4 passará pelo Brasil em março (Brasília - 27 e São Paulo - 29). Caso você tenha interesse em participar do evento, faça seu cadastro neste link.
Mais de 100 inscrições foram feitas no link http://tinyurl.com/ApuraFTK4 e os eventos ocorrerão nesta semana em Brasília (3a) e São Paulo (5a).
[ Update 07/03/2012 ]
Nos últimos dias alguns profissionais de renome na área comentaram e expandiram o assunto que tratamos neste post:
Em primeiro lugar, agradeço ao meu amigo Andrés Velázquez e expert em pericia forense da Mattica - empresa mexicana precursora da área na América Latina - que publicou em seu blog sobre Computação Forense em espanhol o seguinte post:
http://www.andresvelazquez.com/2012/03/la-nueva-version-de-accessdata-ftk-4-la-historia-por-sandro-suffert/ (1)
Aproveito também para agradecer ao SegInfo (2) e ao Luiz Rabelo (3) por publicarem em seus respectivos blogs material sobre o assunto em pauta. Muito obrigado, senhores!
[ Post Original 03/03/2012 ]
O world tour de lançamento da ferramenta FTK4 passará pelo Brasil em março (Brasília - 27 e São Paulo - 29). Caso você tenha interesse em participar do evento, faça seu cadastro neste link.
Tive a oportunidade de iniciar os testes da versão 4.0 do Forensic Toolkit da AccessData em 16 de fevereiro (obrigado Corey Johnson e Marcos Ferrari) e desde então estou esperando ter tempo para apresentar um resumo e capturas de tela das inovações que a ferramenta vem apresentando em suas últimas versões.
Antes de tratarmos algumas das novidades e pontos fortes da solução, gostaria de fazer um breve histórico da evolução da ferramenta nos últimos anos:
FTK 1.x) A versão mais antiga da solução já possuía alguns diferenciais interessantes, como a categorização/overview baseada em assinatura de arquivos; um processo de indexação (baseado no dtSearch) eficiente; e uma capacidade de análise de emails superior.
FTK 2.x e 3.x) Nesta versão foram incluídas funcionalidades como o Banco do Dados Oracle (2.x) para processamento de casos (em oposição ao processamento em memória); foi adicionada a capacidade de processamento distribuído em várias máquinas (1+3); A possibilidade de cálculo de Fuzzy Hashing, reconhecimento e indexação de texto em imagens (OCR); Detecção automatizada de imagens pornográficas (EID); Agente para aquisição de imagem de disco, dados voláteis e memória remotamente - para windows somente, Banco de dados PostGres (3.x), metacarving).
FTK 4.x) Análise de memória incluindo varredura de VAD TREE de processos, e possibilidade de utilização de agentes de "forense enterprise" para aquisição de dados em uma máquina ligada (Mac, Linux, ou Windows); Iremos tratar abaixo várias novidades desta versão e funcionalidades consagradas que se mantiveram, incluindo os novos módulos exclusivos da nova versão;
Alguns screenshots exclusivos do FTK4 em execução:
1) Gerenciamento de Casos é feito de forma transparente em um BD postgres:
2) Barra de navegação e visualização do FTK4 alia facilidade e poder de uso:
3) O Case Overview proporciona múltiplas maneiras de visualizar os dados presentes nas imagem forenses inseridas no caso:
4) Categorias de arquivos agrupadas por assinatura (headers):
5) Análise de dados voláteis e de memória incluindo processos, bibliotecas, sockets, arquivos abertos, parâmetros, etc..
6) Opção "Exportar informações de arquivos .LNK" (hat tip to David Cohen) que possibilita a geração de uma planilha com informações valiososas sobre a atividade de usuários no sistema operacional Windows, incluindo abertura de arquivos de pendrives, discos externos:
8) O novo módulo Cerberus de análise estática de binários, calcula uma classificação de risco baseada em uso de comunicações de rede, persistência, criptografia, obfuscação, APIs e funções utilizadas pelo binário - muito útil para casos envolvendo malwares:
9) O novo módulo de Visualização é extremamente flexível, permitindo a geração de gráficos baseados em diferentes informações presentes no caso, como estatísticas de arquivos selecionados:
10) O módulo permite também outros tipos de visualização, como o envio e recebimento de emails:
11) processamento distribuído - para casos maiores e análises mais rápidas, é possível habilitar o processamento distribuido em até quatro máquinas (O FTK4 estará rodando em uma delas e o "Distributed Processing Engine" em outras três) - isto pode significar um aumento significativo de performance.
12) agentes enterprise para Windows, MacOS e Linux - o FTK4 possibilita a aquisição remota de imagens (físicas ou lógicas) e também uma obtenção de dados voláteis e/ou o dump de memória RAM de máquinas dos sistemas operacionais Windows, Linux e MacOS.
13) Para finalizar, podemos verificar o poder da ferramenta observando o menu de Análises Adicionais:
São dignas de nota especial as seguintes funcionalidades adicionais:
a. Detecção de Imagens Pornográficas (EID) - com váras opções de algorítimos com diferentes níveis de precisão (e velocidade);
b. O reconhecimento óptico de caracteres (OCR) em arquivos de imagem, pdf, - com dois algorítimos disponíveis;
c. Fuzzy Hashing - muito útil para identificar mesmo pequenas alterações feitas em documentos e outros arquivos;
d. o poder de customização no carving (recuperação a partir de clusters não alocados) de arquivos e a funcionalidade de meta carving (busca por entradas órfãs na tabela FAT e no índice $MFT do NTFS);
e. a capacidade de geração de relatórios de informações do registro windows baseados em templates pré-configurados;
14) Caso eu tenha esquecido algo de relevante - e para encerrar o post - segue a lista de novidades listadas pela AccessData e ao final um link para os "Release Notes":
Forensic Toolkit 4 is now available!
This major release is designed to deliver enterprise-class capabilities at a stand-alone price. Now, you can leverage the full functionality of AD Enterprise against a single live remote node. This means FTK users can conduct remote investigations to eliminate travel, reduce response times, and speed acquisitions…. And organizations gain incident response capabilities that are so critical in securing networks. In addition to AD Enterprise functionality, FTK 4 users are able to integrate malware triage and visual analytics with two new FTK add-on modules, the industry-first Cerberus malware triage and analysis module and our new state-of the art Visualization solution.
FTK continues to be the most innovative solution on the market, as well as the best value, giving you integrated functionality that would normally cost tens of thousands of dollars. It’s time to learn the meaning of next-generation digital investigations…
FTK continues to be the most innovative solution on the market, as well as the best value, giving you integrated functionality that would normally cost tens of thousands of dollars. It’s time to learn the meaning of next-generation digital investigations…
What’s New in FTK 4?
Install a persistent agent on a single computer to enable the remote analysis and incident response capabilities of AD Enterprise. Preview, acquire and analyze hard drive data, peripheral device data, (RAM Windows Only) and volatile data on Windows®, Apple® OS, UNIX® and Linux® machines. Uninstall the agent at any time, and push it out to a different computer.
WATCH DEMONSTRATION >
Expanded RAM Analysis
FTK 4 now provides VAD tree analysis. To see a full list of static RAM analysis capabilities, view the FTK data sheet.
New File System /File Type Support
- YAFFS and YAFFS2
- Exchange 2010 EDB
- 7zip
- Checkpoint Pointsec disk encryption
- Sophos Safeguard Enterprise (latest version)
- Multi-password capability
New Regular Expression Support for Index Searching
FTK users can now search for advanced combinations of characters against the index.
Licensing
Added support for soft dongle licensing in virtual machines.
Add Integrated Malware Analysis with CERBERUS
Cerberus is a malware triage technology that is available as an add-on for FTK 4. The first step towards automated reverse engineering, Cerberus provides threat scores and disassembly analysis to determine both the behavior and intent of suspect binaries.
Add state-of-the-art data analytics with VISUALIZATION*
With our new visualization module you can view data in seconds in multiple display formats, including timelines, cluster graphs, pie charts and more.
SEE RELEASE NOTE FOR ADDITIONAL PRODUCT ENHANCEMENTS>