- Gerar link
- Outros aplicativos
* Por Luiz Sales Rabelo
Durante os treinamentos de FTK, muitas pessoas questionam o procedimento correto para instalação do FTK e seus componentes, o que é obrigatório e o que é opcional, e também a ordem de instalação dos componentes. O objetivo deste post é esclarecer todas estas dúvidas.
A instalação do FTK 3 é dividida em dois DVDs (disponíveis para download na versão mais recente através do site da AccessData).
O DVD 01 (FTK App Install.iso) traz todos os aplicativos necessários para a utilização do FTK:
* FTK Imager: Gera arquivos de imagem a partir de HDs, pendrives, CDs...
* Registry Viewer: Permite visualizar a estrutura dos arquivos que compõe o registro do Windows.
* PRTK/DNA: Sistema para recuperação / quebra de senhas de arquivos protegidos por senhas.
* CodeMeter: Componente que permite o licenciamento da solução via dongle (hard lock).
* FTK 1.8: Versão legada da ferramenta de perícia da AccessData.
* FTK 3: Forensic Tool Kit, ferramenta de perícia da AccessData.
- Processing Engine: Componente responsável pelo processamento dos arquivos de evidência.
- KFF: Know File Filter, é um banco de hash sets que classifica arquivos das imagens do caso em duas categorias (AD_alert e AD_ignore) para auxiliar o processo investigativo.
* Language Selector: Utilitário que altera o idioma das ferramentas após a instalação.
* License Manager: Utilitário que gerencia as licenças disponíveis no dongle.
O DVD 02 (Oracle DB Install.iso) traz uma versão customizada do Oracle 10g para ser utilizado pela solução, um script para otimização da instalação do Oracle (tunning do banco) e um pacote de patches e hot fixes do Oracle.
Primeiros passos
Uma das características do FTK é a modularidade da solução: PRTK para quebra de senhas, Imager, para o processo de cópia e criação de arquivos de imagens de evidências, e o Oracle. Para este post, vou assumir que todos os componentes da solução serão instalados na mesma máquina.
Dependências
* Registry Viewer: requer CodeMeter (licenciamento)
* PRTK / DNA: requer CodeMeter (licenciamento)
* FTK: requer Oracle e CodeMeter (licenciamento)
* Imager: não há dependências
Instalação
Para este cookbook de instalação, vou seguir a sequência que eu acredito ser a melhor, baseada na minha experiência.
Vamos começar com o DVD 02, a instalação do Oracle: após a inserção do DVD na unidade, o autorun do instalador será acionado e surge uma janela com três opções:
* Install the Database: Realiza a instalação do Oracle 10 na estação de trabalho
* Optimize the Database: Realiza um ajuste fino (tunning) do Oracle baseado no perfil de hardware da máquina que está rodando o banco de dados (memória, processador, disco...)
* Install Database update patches (recommended): Realiza a instalação de patches e hot fixes na instalação do Oracle.
Instale todos, nesta sequência. O script para otimização do banco de dados Oracle será executado bem rápido, mas a instalação dos patches de correções demora mais do que a própria instalação do banco.
Com o Oracle instalado e atualizado, agora é hora de trocar o DVD da unidade, inserindo desta vez o DVD 02, com as aplicações da solução. Feito isso, o autorun irá carregar a janela de instalação do FTK e outros componentes do sistema.
Dentre as opções, estão a instalação do FTK, instalação do Serviço de Processamento Distribuído, acesso à documentação e instalação de outros produtos. Vamos iniciar pela instalação destes produtos adicionais. Selecionando esta opção, abre-se uma outra janela, onde é possível selecionar quais componentes serão instalados.
Nesta janela iremos instalar, nesta ordem: CodeMeter, Registry Viewer, PRTK e FTK Imager. Provavelmente o PRTK irá informar que requer o CodeMeter instalado para ser utilizado, ele não consegue detectar a instalação já executada deste componente =)
Após a instalação de todos estes componentes, voltamos à tela inicial e então selecionamos a opção para instalação do FTK. Surge então uma tela com uma mensagem em destaque informando que a instalação do Oracle é necessária para darmos sequência a nossa instalação. Como este foi o primeiro item instalado, vamos ignorar esta mensagem e selecionar qual a versão do sistema operacional utilizado, se 32bit ou 64bit.
Selecionada a versão do sistema operacional, o assistente de instalação nos brinda com mais cinco passos para finalizarmos a instalação do FTK.
Novamente uma mensagem nos alerta dizendo que a instalação deverá ser feita na ordem indicada, caso contrário a instalação não será bem sucedida. Os passos são (na sequência):
1. Instalação do CodeMeter: desnecessário, pois já está instalado
2. Instalação do Processing Engine: responsável pelo processamento das evidências do caso.
3. Instalação da interface de usuário do FTK: dispensa comentários =)
4. Executar o FTK: importante para inicializar o banco de dados Oracle
5. Instalar o KFF.
Após a instalação desses componentes, o FTK estará ansioso para devorar arquivos de evidência e devolver os relatórios dos casos.
Conclusão
Da forma como foi feito aqui, evitamos trocar de DVD (se começar pelo DVD 01, instalará os Other Products e antes de instalar o FTK deverá instalar o Oracle do DVD 02) e eliminamos o risco de esquecer algum componente fundamental para a execução do FTK.
Basicamente, a instalação do FTK se resume em:
1. DVD 02 - Database:
1. Instalação do Oracle
2. Otimização do Oracle
3. Atualização do Oracle
2. DVD 01 - App Install:
1. Instalação do CodeMeter
2. Instalação do Registry Viewer
3. Instalação do PRTK
4. Instalação do FTK Imager
5. Instalação do FTK
1. Instalação do FTK Processing Engine
2. Instalação da interface do FTK
3. Instalação do KFF (após a primeira inicialização do FTK)
Recomendo muito a leitura do post sobre otimização do FTK para os interessados nesta solução.
* Luiz Sales Rabelo é analista de Segurança e consultor em computação forense da Techbiz Forense Digital. Desde outubro de 2010, é instrutor autorizado pela AccessData a transmitir os conhecimentos sobre a ferramenta FTK 3. É MCP (Microsoft Certified Professional) e ACE (AccessData Certified Examiner).Autor do blog: http://forensics.luizrabelo.com.br/
Durante os treinamentos de FTK, muitas pessoas questionam o procedimento correto para instalação do FTK e seus componentes, o que é obrigatório e o que é opcional, e também a ordem de instalação dos componentes. O objetivo deste post é esclarecer todas estas dúvidas.
A instalação do FTK 3 é dividida em dois DVDs (disponíveis para download na versão mais recente através do site da AccessData).
O DVD 01 (FTK App Install.iso) traz todos os aplicativos necessários para a utilização do FTK:
* FTK Imager: Gera arquivos de imagem a partir de HDs, pendrives, CDs...
* Registry Viewer: Permite visualizar a estrutura dos arquivos que compõe o registro do Windows.
* PRTK/DNA: Sistema para recuperação / quebra de senhas de arquivos protegidos por senhas.
* CodeMeter: Componente que permite o licenciamento da solução via dongle (hard lock).
* FTK 1.8: Versão legada da ferramenta de perícia da AccessData.
* FTK 3: Forensic Tool Kit, ferramenta de perícia da AccessData.
- Processing Engine: Componente responsável pelo processamento dos arquivos de evidência.
- KFF: Know File Filter, é um banco de hash sets que classifica arquivos das imagens do caso em duas categorias (AD_alert e AD_ignore) para auxiliar o processo investigativo.
* Language Selector: Utilitário que altera o idioma das ferramentas após a instalação.
* License Manager: Utilitário que gerencia as licenças disponíveis no dongle.
O DVD 02 (Oracle DB Install.iso) traz uma versão customizada do Oracle 10g para ser utilizado pela solução, um script para otimização da instalação do Oracle (tunning do banco) e um pacote de patches e hot fixes do Oracle.
Primeiros passos
Uma das características do FTK é a modularidade da solução: PRTK para quebra de senhas, Imager, para o processo de cópia e criação de arquivos de imagens de evidências, e o Oracle. Para este post, vou assumir que todos os componentes da solução serão instalados na mesma máquina.
Dependências
* Registry Viewer: requer CodeMeter (licenciamento)
* PRTK / DNA: requer CodeMeter (licenciamento)
* FTK: requer Oracle e CodeMeter (licenciamento)
* Imager: não há dependências
Instalação
Para este cookbook de instalação, vou seguir a sequência que eu acredito ser a melhor, baseada na minha experiência.
Vamos começar com o DVD 02, a instalação do Oracle: após a inserção do DVD na unidade, o autorun do instalador será acionado e surge uma janela com três opções:
* Install the Database: Realiza a instalação do Oracle 10 na estação de trabalho
* Optimize the Database: Realiza um ajuste fino (tunning) do Oracle baseado no perfil de hardware da máquina que está rodando o banco de dados (memória, processador, disco...)
* Install Database update patches (recommended): Realiza a instalação de patches e hot fixes na instalação do Oracle.
Instale todos, nesta sequência. O script para otimização do banco de dados Oracle será executado bem rápido, mas a instalação dos patches de correções demora mais do que a própria instalação do banco.
Com o Oracle instalado e atualizado, agora é hora de trocar o DVD da unidade, inserindo desta vez o DVD 02, com as aplicações da solução. Feito isso, o autorun irá carregar a janela de instalação do FTK e outros componentes do sistema.
Dentre as opções, estão a instalação do FTK, instalação do Serviço de Processamento Distribuído, acesso à documentação e instalação de outros produtos. Vamos iniciar pela instalação destes produtos adicionais. Selecionando esta opção, abre-se uma outra janela, onde é possível selecionar quais componentes serão instalados.
Nesta janela iremos instalar, nesta ordem: CodeMeter, Registry Viewer, PRTK e FTK Imager. Provavelmente o PRTK irá informar que requer o CodeMeter instalado para ser utilizado, ele não consegue detectar a instalação já executada deste componente =)
Após a instalação de todos estes componentes, voltamos à tela inicial e então selecionamos a opção para instalação do FTK. Surge então uma tela com uma mensagem em destaque informando que a instalação do Oracle é necessária para darmos sequência a nossa instalação. Como este foi o primeiro item instalado, vamos ignorar esta mensagem e selecionar qual a versão do sistema operacional utilizado, se 32bit ou 64bit.
Selecionada a versão do sistema operacional, o assistente de instalação nos brinda com mais cinco passos para finalizarmos a instalação do FTK.
Novamente uma mensagem nos alerta dizendo que a instalação deverá ser feita na ordem indicada, caso contrário a instalação não será bem sucedida. Os passos são (na sequência):
1. Instalação do CodeMeter: desnecessário, pois já está instalado
2. Instalação do Processing Engine: responsável pelo processamento das evidências do caso.
3. Instalação da interface de usuário do FTK: dispensa comentários =)
4. Executar o FTK: importante para inicializar o banco de dados Oracle
5. Instalar o KFF.
Após a instalação desses componentes, o FTK estará ansioso para devorar arquivos de evidência e devolver os relatórios dos casos.
Conclusão
Da forma como foi feito aqui, evitamos trocar de DVD (se começar pelo DVD 01, instalará os Other Products e antes de instalar o FTK deverá instalar o Oracle do DVD 02) e eliminamos o risco de esquecer algum componente fundamental para a execução do FTK.
Basicamente, a instalação do FTK se resume em:
1. DVD 02 - Database:
1. Instalação do Oracle
2. Otimização do Oracle
3. Atualização do Oracle
2. DVD 01 - App Install:
1. Instalação do CodeMeter
2. Instalação do Registry Viewer
3. Instalação do PRTK
4. Instalação do FTK Imager
5. Instalação do FTK
1. Instalação do FTK Processing Engine
2. Instalação da interface do FTK
3. Instalação do KFF (após a primeira inicialização do FTK)
Recomendo muito a leitura do post sobre otimização do FTK para os interessados nesta solução.
* Luiz Sales Rabelo é analista de Segurança e consultor em computação forense da Techbiz Forense Digital. Desde outubro de 2010, é instrutor autorizado pela AccessData a transmitir os conhecimentos sobre a ferramenta FTK 3. É MCP (Microsoft Certified Professional) e ACE (AccessData Certified Examiner).Autor do blog: http://forensics.luizrabelo.com.br/
Olá Luiz, muito bom o post sobre a instalação do FTK, parabéns!
ResponderExcluirUma dúvida, a instalação do CodeMeter requer uma licença comprada com a AccessData? Ou ele tem um trial, demo, etc, para que possamos testar o software? Estou pretendendo estudar para a certificação ACE e cmo sou novo na área, tenho essa dúvida, se puder me responder, agradeço!!
Obrigado!