Fundamentos da Forense Digital: Procedimento de esterilização

3. Procedimentos de aquisição de evidências digitais

3.1. Procedimento de esterilização

O procedimento de esterilização destina-se a garantir que o nosso dispositivo de destino está preparado para receber a informação original. A esterilização tem como objetivo escrever todos os bits do nosso disco de recolha com o valor 0 (zero), garantido assim que nenhuma informação anterior está presente no mesmo.

Após a esterilização é sempre necessário validar, verificando que a esterilização ocorreu do modo correto. Após essa validação podemos proceder com a formatação do disco para um sistema de ficheiros apropriado.

Existe diverso software que permite efetuar este procedimento de esterilização de um disco, e respetiva formatação para o sistema de ficheiros desejado. Vamos aqui demonstrar o processo utilizando as ferramentas presentes na grande maioria de distribuições Linux, o lsblk, fdisk e o dc3dd.

O primeiro passo será o de identificar o disco a esterilizar. É muito importante que essa identificação seja unívoca e confirmada as vezes que foram necessárias. Um disco esterilizado não é recuperável.

3.1.1. Identificação do dispositivo

A identificação do dispositivo realiza-se através de uma séria de comandos. Em primeiro lugar é necessário determinar quais os volumes instalados no computador a ser utilizados. Uma boa prática, é utilizar um computador que tenha ligado apenas o disco a esterilizar, iniciando o sistema operativo a partir de um liveCD ou de uma pen USB. Esta prática reduz a possibilidade de erro na identificação do disco:

$ lsblk | grep sd*

Este comando irá listar todos os dispositivos de armazenamento reconhecidos pelo sistema operativo. Serão apresentados todos os discos bem como o seu tamanho e partições. Este comando apenas nos ajuda a saber qual o nome do nosso disco no computador.

Em caso de dúvida ainda podemos utilizar o comando (Figura 14)

fdisk -l /dev/sd*

Figura 14 - Identificação do dispositivo

Este comando fornece-nos mais informações sobre o disco pretendido.

3.1.2. Esterilização do disco de destino

O processo de esterilização não é mais do que escrever todo o disco com o valor 0 (zero), ou seja, forçar todos os bits do disco rígido a adquirirem o valor zero.

Para esta tarefa poderão ser utilizadas ferramentas como o Live-CD DBAN (www.dban.org) ou em Windows o Eraser (eraser.heidi.ie).

Em Linux podemos utilizar os comandos (Figura 15)

dc3dd wipe=/dev/sdd verb=on corruptoutput=on

dcfldd if=/dev/zero of=/dev/sdb bs=8k conv=noerror,sync

Figura 15 - Esterilização do disco de destino

Este comando efetua uma escrita de todos os bits de um disco rígido, pelo que será tão mais demorado quanto maior for o disco rígido. No nosso exemplo um dispositivo de apenas 123 Mb demorou 18 segundos a ser escrito, no entanto um disco rígido de 1 Tb, poderá demorar mais de 8 horas. É ainda importante referir que dependendo da tecnologia do disco rígido, este tempo poderá ser superior ou inferior, dependendo da sua velocidade de escrita.

Em Microsoft Windows, a esterilização do disco de destino, poderá ser realizada através do comando diskpart.

Realizando a identificação do disco de destino através de:

LIST DISK (identificação do dispositivo)

LIST VOLUME (identificação do volume)

SELECT DISK 1 (selecionar o disco a esterilizar)

Realização da esterilização (Figura 16)

CLEAN ALL

Figura 16 - Esterilização do disco de destino em Windows

3.1.3. Verificação da esterilização

Finalmente, é importante verificar que a escrita do disco rígido foi eficaz, para tal executamos o comando:

cat /dev/sdb |od

Se a escrita foi bem-sucedida, o output do comando será 0000000, que indicam que o disco rígido está escrito apenas com zeros (Figura 17).

Figura 17 - Verificação da esterilização

O comando “cat” irá apresentar o conteúdo do dispositivo, enquanto que o argumento “|od”, irá converter este conteúdo para base octal, daí que seja apresentado apenas zeros quando a esterilização foi bem sucedida.

Para além dos procedimentos apresentados, existem outros métodos e diferentes comandos que se podem utilizar, como o recurso à visualização em formato hexadecimal, ou outros.

3.1.4. Formatação

Após a esterilização, é necessário formatar o disco, capacitando-o para receber dados.

Esta formatação poderá continuar a ser realizada através do Diskpart, do seguinte modo:

Criação da partição primária (Figura 18)

Figura 18 - Criação da partição primária

Formatação em NTFS (Figura 19)

Figura 19 - Formatação

Já através do ambiente gráfico, pode ser utilizada a aplicação Disk Management através do comando DISKMGMT.MSC (Figura 20).

Figura 20 - Disk Management

Clicando com o botão direito do rato sobre o disco pretendido e selecionando “Formatar”, indicando de seguida o nome e o sistema de ficheiros pretendido. Poderá ser selecionada a formatação rápida, já que o disco foi esterilizado anteriormente (Figura 21).

Figura 21 - Formatação através do Disk Management