Sleuthkit: icat

Neste post vou falar da ferramenta chamada icat, que faz parte do conjunto The Coroner’s Toolkit (TCT), capaz de recuperar arquivos removidos de uma imagem através do inode.

O projeto The Coroner’s Toolkit  desenvolvido pelo Dan Farmer e Wietse Venema, está sendo atualmente tocado pelo Brian Carrier, conhecido atualmente por Sleuthkit.

Descobrindo o pacote por conter o stat:

# dpkg -S /usr/local/bin/icat
sleuthkit: /usr/local/bin/icat

Realizando a instalação da ferramenta, baseado no sistema Debian:

# aptitude install sleuthkit

Para demonstrar o exemplo irei utilizar uma imagem do tipo ext2, extraída através do dd.

# file system.dd
system.dd: Linux rev 1.0 ext2 filesystem data (mounted or unclean), UUID=5614f10a-b2b6-11d4-9f61-90da7df030ca
# mount -o loop system.dd tmp/
# df -h
Filesystem Size Used Avail Use% Mounted on
/dev/loop0 252M 32M 208M 14% /root/tmp

A imagem system.dd (ext2) foi montada no diretório /root/tmp, para prosseguir com nosso teste irei criar um arquivo dentro desta imagem.

# echo “security hacker” > /root/tmp/root/info.txt
# cat /root/tmp/root/info.txt
security hacker
# ls -i /root/tmp/root/info.txt
46638 /root/tmp/root/info.txt

Foi executado um ls exibindo apenas o inode do arquivo, a seguir este arquivo será removido e recuperado através do icat.

# rm /root/tmp/root/info.txt
# icat /dev/loop0 46638
security hacker

Reparem no comando assim que mesmo após a remoção do arquivo o comando icat conseguiu ler seu conteúdo através do inode. Isso ocorreu pois este bloco ainda não havia sido sobrescrito por outra informação.

Tags: ,