quarta-feira, 17 de julho de 2013

[FERRAMENTAS FORENSE] FILEINFO


18/07/2013




Um dos passos mais importante em uma pericia forense computacional, é aquisição de informações vitais dos arquivos contidos em um computador, os chamados meta dados, essas informações contém data de criação do arquivo, data de modificação, codificação do arquivo, dentre outras informações.
Quando você clica com o lado direito do mouse em um arquivo e em seguida clica em “Propriedades“, você consegue obter algumas informações do arquivo, que também são consideradas meta dados, porém você fica limitado as informações que o sistema operacional lhe mostra. Como quando estamos falando de pericia forense, nós estamos falando de conseguir até o ultimo átomo da informação, apenas as informações do SO não são suficientes, por isso existem programas que conseguem ir mais fundo e adquirir ainda mais informações, esse é o caso do FileInfo.
O File Info é uma ferramenta com interface gráfica para o usuário (GUI) projetada e desenvolvida para a distribuição Linux Ubuntu. Apesar dessa ferramenta ainda estar na versão 0.2 beta, ela já consegue obter informações de alta importância como:
  • Informações de MetaDados
  • Strings ASCII e Unicode
  • Hash MD5 e SHA1
  • Detectar e mostrar informações PE32
  • Detectar e extrair thumbnail de arquivos JPEG
O FileInfo é uma ferramenta gratuita e pode ser baixada através do Google Code.
Para instalar a ferramenta é bem simples, basta extrair o arquivo fileinfo para o lugar que desejar e dar o comando “bash fileinfo –install” no terminal do Ubuntu.
Após a instalação, basta clicar com o lado direito em cima de um arquivo, clicar em “Script” e em seguida clicar em “FileInfo“.

Em breve eu farei um tutorial mais detalhado.