Já falei de várias ferramentas, mas ainda não tinha apresentado o Forensinc Toolkit (FTK), desenvolvido pela AccessData. Poderia
iniciar falando das outras gerações do FTK, mas vou comentar sobre o
FTK 3.0 pois, neste momento, é a ferramenta que movimenta a
curiosidade do mercado forense digital. Essa nova ferramenta que auxilia na investigação em discos teve de ser redesenhada para melhorar seu desempenho.

Forensic
Toolkit® (FTK ®) é reconhecido em todo o mundo como um conjunto de
ferramentas de tecnologia de computador de investigação forense. Conhecido
por sua interface intuitiva, análise de e-mail, exibições de dados
personalizáveis e estabilidade, FTK ampliou seu quadro de expansão, com
uma gama de funcionalidades que, normalmente, apenas as organizações com
dezenas de milhares de dólares podem pagar.

O Forensic
Toolkit 3.0 se tornou uma pulga na orelha de muitos, pois está aparecendo no
mercado agora e nem todos ainda a viram. Eu sou um dos privilegiados
que já puderam ver como a ferramenta funciona e trabalhar com suas
integrações com BD e demais aplicações. Apesar de ser uma novidade e ainda alcançar apenas alguns, a empresa está empenhada em fazer dessa “nova”
tecnologia a ferramenta utilizada por todos os investigadores e
analistas, sejam eles na aplicação da lei, na educação, em uma agência
governamental ou somente para praticar investigação digital como prestador de serviços.

Com
a ferramenta é fácil criar imagens, analisar o registro, conduzir
uma investigação, decodificar os arquivos, recuperar senhas de arquivos
criptografados, identificar esteganografia e construir um relatório. Também é possível recuperar
senhas a partir de 100 assinaturas, aproveitar CPUs ociosas em toda a
rede para decriptar arquivos e executar robustos ataques de dicionário. O FTK 3.0 ainda possui biblioteca KFF hash com 45 milhões hashes.

Cada cópia do FTK 3 inclui um total de quatro “workers” para permitir processamento distribuído – um na máquina do examinador e três distribuídas. Em breve a solução se expandirá para incorporar recursos de laboratório, tais como o processamento distribuído ilimitado, a análise colaborativa, caso central/tarefa de gestão e análise da web.

Isto é de especial importância para a aplicação da lei e laboratórios do governo de informática forense.

Além de outras funcionalidades, a ferramenta enumera todos os processos em execução, incluindo os escondidos por rootkits, e exibe as DLLs associadas, soquetes de rede, a partir de máquinas Windows 32-bit. Ela concede a busca sequencial de memória, permitindo que você identifique hits na memória e automaticamente os mapeie de volta para um determinado processo. O FTK 3 ainda não apresenta um processo de captura de RAM para artefatos forense, como senhas, páginas html, Lnk e documentos do MS Office, mas seus desenvolvedores garantem esta criação em breve.

Atualmente os tipo de emails suportados são: Notes
NSF, Outlook PST / OST, Exchange EDB, DBX do Outlook Express, Eudora,
EML (Microsoft Internet Mail, Earthlink, Thunderbird, Quickmail, etc),
Netscape, AOL e RFC 833. Suporta tecnologias de criptografia populares, tais como Credant, SafeBoot, Utimaco, EFS, o PGP e Edge Guardian. 

A ferramenta apresenta outras funcionalidades como a utilização web para conexão com BD, compartilhamento de casos, além das demonstradas, mas este artigo visa apresentar uma nova ferramenta que em breve estarei utilizando.

Fiquem com Deus e até o próximo artigo.