Sunday, March 25, 2012

FTK 4 - Evolução, Funcionalidades e evento de lançamento

[ Update 25/03/2012 ]


Mais de 100 inscrições foram feitas no link http://tinyurl.com/ApuraFTK4 e os eventos ocorrerão nesta semana em Brasília (3a) e São Paulo (5a). 


[ Update 07/03/2012 ]


Nos últimos dias alguns profissionais de renome na área comentaram e expandiram o assunto que tratamos neste post:


Em primeiro lugar, agradeço ao meu amigo Andrés Velázquez e expert em pericia forense da Mattica -  empresa mexicana precursora da área na América Latina - que publicou em seu blog sobre Computação Forense em espanhol o seguinte post: 

http://www.andresvelazquez.com/2012/03/la-nueva-version-de-accessdata-ftk-4-la-historia-por-sandro-suffert/ (1)


Aproveito também para agradecer ao SegInfo (2) e ao Luiz Rabelo (3) por publicarem em seus respectivos blogs material sobre o assunto em pauta. Muito obrigado, senhores!


[ Post Original 03/03/2012 ]


O world tour de lançamento da ferramenta FTK4 passará pelo Brasil em março (Brasília - 27 e São Paulo - 29). Caso você tenha interesse em participar do evento, faça seu cadastro neste link.



Tive a oportunidade de iniciar os testes da versão 4.0 do Forensic Toolkit da AccessData em 16 de fevereiro (obrigado Corey Johnson e Marcos Ferrari) e desde então estou esperando ter tempo para apresentar um resumo e capturas de tela das inovações que a ferramenta vem apresentando em suas últimas versões.



Antes de tratarmos algumas das novidades e pontos fortes da solução, gostaria de fazer um breve histórico da evolução da ferramenta nos últimos anos:


FTK 1.x) A versão mais antiga da solução já possuía alguns diferenciais interessantes, como a categorização/overview baseada em assinatura de arquivos; um processo de indexação (baseado no dtSearch) eficiente; e uma capacidade de análise de emails superior.

FTK 2.x e 3.x) Nesta versão foram incluídas funcionalidades como o Banco do Dados Oracle (2.x) para processamento de casos (em oposição ao processamento em memória); foi adicionada a capacidade de processamento distribuído em várias máquinas (1+3); A possibilidade de cálculo de Fuzzy Hashing, reconhecimento e indexação de texto em imagens (OCR); Detecção automatizada de imagens pornográficas (EID); Agente para aquisição de imagem de disco, dados voláteis e memória remotamente - para windows somente, Banco de dados PostGres (3.x), metacarving).


FTK 4.x) Análise de memória incluindo varredura de VAD TREE de processos, e possibilidade de utilização de agentes de "forense enterprise" para aquisição de dados em uma máquina ligada (Mac, Linux, ou Windows); Iremos tratar abaixo várias novidades desta versão e funcionalidades consagradas que se mantiveram, incluindo os novos módulos exclusivos da nova versão;


Alguns screenshots exclusivos do FTK4 em execução:


1) Gerenciamento de Casos é feito de forma transparente em um BD postgres:


2) Barra de navegação e visualização do FTK4 alia facilidade e poder de uso:


3) O Case Overview proporciona múltiplas maneiras de visualizar os dados presentes nas imagem forenses inseridas no caso:


4) Categorias de arquivos agrupadas por assinatura (headers):


5) Análise de dados voláteis e de memória incluindo processos, bibliotecas, sockets, arquivos abertos, parâmetros, etc..


6) Opção "Exportar informações de arquivos .LNK" (hat tip to David Cohen) que possibilita a geração de uma planilha com informações valiososas sobre a atividade de usuários no sistema operacional Windows, incluindo abertura de arquivos de pendrives, discos externos:


7) A Opção acima também facilita a extração de informações relacionadas ao acesso de diretórios de rede:

8) O novo módulo Cerberus de análise estática de binários, calcula uma classificação de risco baseada em uso de comunicações de rede, persistência, criptografia, obfuscação, APIs e funções utilizadas pelo binário - muito útil para casos envolvendo malwares:


9) O novo módulo de Visualização é extremamente flexível, permitindo a geração de gráficos baseados em diferentes informações presentes no caso, como estatísticas de arquivos selecionados:

10) O módulo permite também outros tipos de visualização, como o envio e recebimento de emails:

11) processamento distribuído - para casos maiores e análises mais rápidas, é possível habilitar o processamento distribuido em até quatro máquinas (O FTK4 estará rodando em uma delas e o "Distributed Processing Engine" em outras três) - isto pode significar um aumento significativo de performance.

12) agentes enterprise para Windows, MacOS e Linux - o FTK4 possibilita a aquisição remota de imagens (físicas ou lógicas) e também uma obtenção de dados voláteis e/ou o dump de memória RAM de máquinas dos sistemas operacionais Windows, Linux e MacOS.

13) Para finalizar, podemos verificar o poder da ferramenta observando o menu de Análises Adicionais:


São dignas de nota especial as seguintes funcionalidades adicionais:


a. Detecção de Imagens Pornográficas (EID) - com váras opções de algorítimos com diferentes níveis de precisão (e velocidade);


b. O reconhecimento óptico de caracteres (OCR) em arquivos de imagem, pdf, - com dois algorítimos disponíveis;


c. Fuzzy Hashing - muito útil para identificar mesmo pequenas alterações feitas em documentos e outros arquivos;


d. o poder de customização no carving (recuperação a partir de clusters não alocados) de arquivos e a funcionalidade de meta carving (busca por entradas órfãs na tabela FAT e no índice $MFT do NTFS);

e. a capacidade de geração de relatórios de informações do registro windows baseados em templates pré-configurados;

14) Caso eu tenha esquecido algo de relevante - e para encerrar o post - segue a lista de novidades listadas pela AccessData e ao final um link para os "Release Notes":

Forensic Toolkit 4 is now available! 

This major release is designed to deliver enterprise-class capabilities at a stand-alone price. Now, you can leverage the full functionality of AD Enterprise against a single live remote node. This means FTK users can conduct remote investigations to eliminate travel, reduce response times, and speed acquisitions…. And organizations gain incident response capabilities that are so critical in securing networks. In addition to AD Enterprise functionality, FTK 4 users are able to integrate malware triage and visual analytics with two new FTK add-on modules, the industry-first Cerberus malware triage and analysis module and our new state-of the art Visualization solution. 

FTK continues to be the most innovative solution on the market, as well as the best value, giving you integrated functionality that would normally cost tens of thousands of dollars. It’s time to learn the meaning of next-generation digital investigations…


What’s New in FTK 4?


Single-Node Enterprise
Install a persistent agent on a single computer to enable the remote analysis and incident response capabilities of AD Enterprise. Preview, acquire and analyze hard drive data, peripheral device data, (RAM Windows Only) and volatile data on Windows®, Apple® OS, UNIX® and Linux® machines. Uninstall the agent at any time, and push it out to a different computer.
WATCH DEMONSTRATION >

Expanded RAM Analysis
FTK 4 now provides VAD tree analysis. To see a full list of static RAM analysis capabilities, view the FTK data sheet.

New File System /File Type Support

  • YAFFS and YAFFS2
  • Exchange 2010 EDB
  • 7zip
Enhanced decryption support (with proper credentials)
  • Checkpoint Pointsec disk encryption
  • Sophos Safeguard Enterprise (latest version)
  • Multi-password capability
Increased processing performance, especially on systems with more than 8 cores.

New Regular Expression Support for Index Searching
FTK users can now search for advanced combinations of characters against the index.

Licensing
Added support for soft dongle licensing in virtual machines.

Add Integrated Malware Analysis with CERBERUS
Cerberus is a malware triage technology that is available as an add-on for FTK 4. The first step towards automated reverse engineering, Cerberus provides threat scores and disassembly analysis to determine both the behavior and intent of suspect binaries.

Add state-of-the-art data analytics with VISUALIZATION*
With our new visualization module you can view data in seconds in multiple display formats, including timelines, cluster graphs, pie charts and more.


SEE RELEASE NOTE FOR ADDITIONAL PRODUCT ENHANCEMENTS>




4 comments:

  1. uau! muita informacao para quem ainda nao conhecia a ferramenta. uso muito as ferramentas open-source Helix, Sleuthkit, etc. tinha curiosidade de saber como seriam as solucoes de forense comerciais. Eu tenho um Encase 4 aqui mas acho que isto nao conta ne? KKKkkkkk Legal Sandro - parabens pela iniciativa e infelizmente como nao sou d
    e Sao Paulo nao vou poder participar do evento. agora uma pergunta ficou no ar, quanto custa
    /??

    ReplyDelete
  2. Fala Sandrão! Excelente seu artigo!! Curti muito a "timeline" das versões do FTK até a 4.0. No meu blog, eu já falei um pouquinho sobre o EID (http://forensics.luizrabelo.com.br/2011/02/analisando-material-pornografico-com-o.html) e sobre o OCR (http://forensics.luizrabelo.com.br/2011/08/demo-accessdata-ocr-optical-character.html). São realmente funcionalidades sensacionais do FTK!

    ReplyDelete
  3. Ola Sandro, tentei fazer o registro no site disponibilizado mas não vi como enviar os meus dados. Tenho interesse na apresentação que será realizada em Brasília.

    ReplyDelete
  4. Olá, sou apenas um curioso forense. Mais tenho muita vontade de Seguir na área e gostaria de Saber se há algum curso especializado, em que possa fazer para iniciar na área e depois deslanchar com isso. Sou de São Paulo , e isso me fascina.
    Faço tecnologia em Redes , e fiz 2 anos de Ciência da computação, lembrando que pretendo voltar para ciência da Computação.

    ReplyDelete

Labels

forense (50) resposta a incidentes (40) segurança em profundidade (27) vulnerabilidade (26) treinamento (22) cyberwar (18) conferência (16) forense de memória (15) hackers (15) malware (15) blogs (14) vazamento de informações (13) windows (13) china (11) criptografia (11) ddos (11) dns (11) google (11) microsoft (11) ferramenta (10) memoria (10) botnet (9) csirt (9) exploit (9) forense de disco (9) forense de rede (9) ftk (9) legislação (9) phishing (9) 0-day (8) NIST (8) accessdata (8) encase (8) evento (8) linux (8) negação de serviço (8) netwitness (8) sans (8) volatility (8) cert.br (7) correlacionamento (7) desafios (7) ferramentas (7) forense corporativa (7) kaspersky (7) livros (7) pageviews (7) pci (7) twitter (7) usa (7) APURA (6) Guidance Software (6) espionagem industrial (6) governo (6) iccyber (6) internet explorer (6) metasploit (6) monitoração (6) privacidade (6) techbiz (6) 0day (5) CDCiber (5) blackhat (5) brasil (5) dlp (5) falha (5) fbi (5) ids (5) inteligencia (5) memoryze (5) modelagem de ameaças (5) métricas (5) patch (5) pdf (5) policia federal (5) python (5) registry (5) richard bejtlich (5) rsa (5) segurança de rede (5) siem (5) skype (5) CyberCrime (4) Enscript (4) algoritmo (4) android (4) anti-forense (4) anti-virus (4) arcsight (4) auditoria (4) backtrack (4) campus party (4) ccc (4) certificação digital (4) ciberespionagem (4) defacement (4) estatísticas (4) firefox (4) fud (4) mandiant (4) md5 (4) nsa (4) online (4) pentest (4) programação (4) safe browsing (4) sandbox (4) slowloris (4) ssl (4) storm worm (4) stuxnet (4) trojan (4) wikileaks (4) windows7 (4) .gov (3) adobe reader (3) ameaça (3) backdoor (3) blackberry (3) ceic (3) chrome (3) ciberguerra (3) cloud (3) conscientização (3) crackers (3) cymru (3) dan geer (3) defesa (3) drive-by (3) engenharia social (3) enisa (3) evidence (3) exploit kit (3) fast flux (3) forense digital (3) gsi (3) hardware (3) htcia (3) https (3) imperva (3) intel (3) ips (3) java (3) live cd (3) logs (3) man in the middle (3) networkminer (3) perícia digital (3) processo (3) ransomware (3) registro (3) reportagem (3) revista (3) risco (3) secunia (3) segurança (3) shodan (3) sox (3) sql injection (3) truecrypt (3) verizon (3) virus (3) vista (3) voip (3) .mil (2) BSIMM (2) Encase Enterprise (2) JDFSL (2) TPM (2) Virustotal (2) XSS (2) aduc (2) amazon (2) apache (2) apple (2) autenticação (2) bloqueador de escrita (2) breno silva (2) bruce schneier (2) bundestrojaner (2) cache poisoning (2) caine (2) carders (2) carnegie mellon (2) carolina dieckmann (2) carving (2) censura (2) cipav (2) cofee (2) coldboot (2) comodogate (2) conficker (2) consciência situacional (2) cooperação (2) core (2) cucko´s egg (2) cuda (2) cyberwarfare (2) database security (2) digital intelligence (2) direito digital (2) dnschanger (2) dpf (2) dsic (2) engenharia elétrica (2) engenharia reversa (2) etir (2) expressões regulares (2) f-response (2) finfisher (2) fingerprinting (2) flash (2) ftkimager (2) full disclosure (2) fuzzy (2) gsm (2) hacktivismo (2) hbgary (2) heap spray (2) iOS (2) immunity (2) impacto (2) insecure magazine (2) insiders (2) interceptação (2) iphone (2) irc (2) irã (2) jaquith (2) loic (2) mac (2) mastercard (2) mestrado (2) mobile (2) ms08-067 (2) openioc (2) openssl (2) otan (2) palantir (2) paypal (2) pcap (2) pdgmail (2) portugal (2) presidência (2) prisão (2) proxies (2) ptfinder (2) rbn (2) recompensa (2) recuperação (2) regripper (2) relatório (2) resumo (2) rio de janeiro (2) ross anderson (2) russia (2) securid (2) segurança por obscuridade (2) shell (2) sift (2) snort (2) snowden (2) sorteio (2) spam (2) spyeye (2) sql (2) ssd (2) stealth (2) suricata (2) sysinternals (2) tecnologia (2) tools (2) trend micro (2) unb (2) usb (2) virtualização (2) visa (2) waf (2) winen (2) wireless (2) worm (2) wpa (2) wpa2 (2) xry (2) zeus (2) .edu (1) .pac (1) 3g (1) ABNT (1) AR-Drone (1) AppleGate (1) Asterisk (1) Audit Viewer (1) BIOS (1) CCDCOE (1) CEF (1) CERT (1) CSI Cyber (1) CarbonBlack (1) Craig Wright (1) DC3 (1) Diginotar (1) Dilma (1) DoD (1) FACE (1) FRED (1) Facebook (1) Fred Cohen (1) GPU (1) Gene Spafford (1) HP (1) ICOFCS (1) ICS (1) IDMEF (1) IJDCF (1) IJDE (1) IJOFCS (1) INFOSEG (1) IODEF (1) IPv6 (1) ISO (1) MAEC (1) MCT (1) MMEF (1) Michael Cloppert (1) Ministério da Defesa (1) Netwtiness (1) OVAL (1) PL84/99 (1) RH2.5 (1) RNP (1) SDDFJ (1) SbSeg (1) Seccubus (1) Stratfor (1) TED (1) TJX (1) Tallinn (1) USCyberPatriot (1) USSTRATCOM (1) VERIS (1) VRT (1) WPS (1) WiPhire (1) Wifi Protected Setup (1) XMLHttpRequest (1) YARA (1) a5/1 (1) a5/3 (1) active defense (1) adeona (1) adhd (1) adobe flash (1) aes (1) afflib (1) akamai (1) alemanha (1) ambev (1) anti-theft (1) antisec (1) anubisnetworks (1) apt (1) apwg (1) aquisição (1) arbor (1) armoring (1) artefatos (1) artillery (1) asprox (1) assinaturas (1) atenção seletiva (1) attack (1) aurora (1) australia (1) autonomous systems (1) avg (1) avi rubin (1) avware (1) awards (1) baixaki (1) bbc (1) bear trap (1) belkasoft (1) bgp (1) birthday attack (1) bitlocker (1) black tulip (1) blackhat seo (1) blacklist (1) blind sql injection (1) bluepex (1) bluepill (1) breaking point (1) bulk_extractor (1) byod (1) c2c (1) capacidade (1) carbon black (1) careto (1) carnivore (1) cbs (1) cellebrite (1) celular (1) centera (1) cerberus (1) certificações (1) cheat sheet (1) chris paget (1) chromium (1) citrix (1) clean pipe (1) cliff stoll (1) cloudfare (1) cloudflare (1) cloudshield (1) cnasi (1) cnet (1) cnn (1) codenomicon (1) coleta (1) comodo (1) comodobr (1) compliance (1) comsic (1) convenção de budapeste (1) convergence (1) copa do mundo (1) corey johnson (1) cpbr (1) crime na rede (1) crise (1) cristine hoepers (1) cuckoo (1) cyberattack (1) cyberbunker (1) daemonlogger (1) dam (1) dancho danchev (1) darkmarket (1) dcom (1) decaf (1) decaf v2 (1) decloack (1) deepweb (1) defcon (1) deutche telekom (1) dfrws (1) digitask (1) dimmit (1) diário oficial (1) dnsbl (1) dnssec (1) dou (1) downadup (1) drdos (1) drwxr (1) dsd (1) dumpcap (1) dumpit (1) duqu (1) e-evidence (1) ediscovery (1) eff (1) elcomsoft (1) emc (1) emprego (1) energia (1) enigma (1) entrevista (1) escola nacional de defesa cibernetica (1) eset (1) esteganografia (1) estonia (1) etld (1) eventos (1) evil maid (1) evilgrade (1) exercito (1) exploit-db (1) extorsão (1) f-secure (1) falso positivo (1) fantastico (1) fatal error (1) fecomercio (1) fernando carbone (1) ff4 (1) finlândia (1) firmware (1) flame (1) flexispy (1) foremost (1) forense de vídeo (1) forensic focus (1) forensic magazine (1) forensics.wiki.br (1) forensicswiki (1) força bruta (1) fraude (1) full disk encryption (1) g1 (1) gauss (1) gcih (1) ghostnet (1) globo (1) gmail (1) gpcode (1) gpl (1) gps (1) grampo (1) guardium (1) guerra (1) guilherme venere (1) hackerazzi (1) hackingteam (1) hakin9 (1) hardening (1) harlan carvey (1) hash (1) helix (1) hitler (1) holanda (1) honeynet (1) honeypot (1) hope (1) hosts (1) hotmail (1) httpry (1) iPhoneTracker (1) idefense (1) ig (1) impressoras (1) india (1) info exame (1) insecure maganize (1) intenção (1) interpol (1) into the boxes (1) investimento (1) ioerror (1) iphone forensics (1) ironport (1) isc2 (1) israel (1) j2ee (1) jacomo dimmit (1) jailbreak (1) javascript (1) jesse kornblum (1) jotti (1) junho 2008 (1) kaminsky (1) kasumi (1) kgb (1) kits (1) klaus steding-jessen (1) kntools (1) kraken (1) langner (1) lime (1) limites (1) lista (1) lm (1) locaweb (1) lockheed martin (1) lynis (1) lógica (1) mac memory reader (1) mac memoryze (1) macosx (1) magic lantern (1) map (1) marcapasso (1) marcelo caiado (1) marcos ferrari (1) mawlare (1) mbr (1) mcafee (1) mcgraw (1) memscript (1) metasploitable (1) mindmap (1) mit (1) mitigação (1) mitm (1) moonsols (1) moxie (1) mrtg (1) ms08-033 (1) nac (1) nessus (1) netcontinuum (1) netflow (1) networking (1) ngrep (1) nit (1) nmap (1) norma (1) norse (1) notebook (1) ntlm (1) ntop (1) ntp (1) nuclear (1) obama (1) oi (1) oisf (1) oiss (1) olimpiadas (1) openbts (1) openvas (1) oportunidade (1) oracle (1) orkut (1) otp (1) owasp (1) packers (1) panda (1) pattern matching (1) payback (1) pcre (1) pedofilia (1) pentesting (1) perforce (1) pericia (1) perl (1) perícia (1) pfsense (1) pgp disk (1) phonecrypt (1) pki (1) ploks (1) poisoning attack (1) policia civil (1) polypack (1) port knocking (1) português (1) post-mortem (1) postgres (1) prefeitura (1) premiação (1) preparação (1) princeton (1) provedores (1) ps3 (1) psn (1) psyb0t (1) pushpin (1) pwn2own (1) pymail (1) quebra de sigilo (1) r2d2 (1) rainbow tables (1) rar (1) realengo (1) reação (1) record (1) referência (1) regex (1) registry viewer (1) remnux (1) renato maia (1) renault (1) reversing labs (1) roi (1) rootkit (1) router (1) rpc (1) ruby (1) sanitização (1) santoku (1) sc magazine (1) scada (1) scanner (1) scm (1) secerno (1) second life (1) security (1) securityonion (1) senasic (1) sentrigo (1) sep (1) sequestro de dados (1) sha1 (1) shadowserver (1) shmoocon (1) siemens (1) sites (1) skorobogatov (1) slideshare (1) smartcard (1) snapcell (1) software (1) sony (1) sotirov (1) sp (1) spamhaus (1) spidertrap (1) spoofing (1) squid (1) sri (1) ssdeep (1) sseguranca (1) sslstrip (1) sting (1) stj (1) street view (1) sucuri (1) superinteressante (1) são paulo (1) t-mobile (1) takedown (1) teamcymru (1) technosecurity (1) telefônica (1) terra (1) terrorismo (1) timeline (1) tizor (1) tls (1) token (1) topcell gsm (1) tresor (1) trustwave (1) tse (1) turquia (1) txtBBSpy (1) umass (1) unix (1) urna eletrônica (1) us-cert (1) usenix (1) userassist (1) vazamentos (1) venda de senhas (1) venere (1) verdasys (1) verisign (1) videntifier (1) visualização (1) visualize (1) vivo (1) vm (1) votação (1) vulnerability (1) wargaming (1) wasc (1) web 2.0 (1) weblabyrinth (1) websense (1) whitelisting (1) whois (1) wigle (1) win32dd (1) winacq (1) windbg (1) windd (1) winifixer (1) wipe (1) wired (1) wireshark (1) wlan (1) wordpress (1) wrf (1) xerxes (1) xp (1) zdi (1) zlob (1)