Bloqueadores de escrita

Case IDE/SATA

Há uns dias atrás, comecei a fuçar em algumas ferramentas de imaging de discos. Como não possuo uma ferramenta baseada em hardware nem mesmo um dispositivo de bloqueio de escrita, métodos indicados e confiáveis, procurei na rede algumas soluções alternativas, apenas para avaliar opções.

A ideia é simples: copiar a imagem de um HD IDE/SATA para o computador via USB de maneira mais adequada possível, do ponto de vista forense (forensically sound?).

Para realizar os testes utilizei um case de HD da marca Maxxtro com suporte a discos IDE/SATA e conexão USB 2.0, conforme visto ao lado. Após parafusar o HD no case, basta ligar e plugar no computador, o qual reconhece o HD como um dispositivo de armazenamento comum, tal qual um pendrive. Ele ainda possui uma ventoinha embutida (baixo ruído) e um botão de backup rápido (cópia lógica). Nada mal por pouco mais de R$100,00.

No Windows, o controle de escrita nas portas USB é controlado por meio de uma chave de registro chamada ‘WriteProtect’. Para habilitar a escrita, esta chave deve conter o valor zero; para desabilitar a escrita (read-only), o valor deve ser 1. Segue abaixo o código para habilitar/desabilitar, ambos devem ser salvos como um arquivo ‘.reg’:

; habilita escrita
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies]
"WriteProtect"=dword:00000000

; desabilita escrita (ro)
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies]
“WriteProtect”=dword:00000001

Existem ainda alguns programas desenvolvidos apenas para realizar esta – simples – mudança no registro, além de disponibilizar ícones na barra de tarefas e mostrar status corrente da porta USB, o que pode ser útil algumas vezes. Avaliei os seguintes:

http://blog.zoller.lu/2009/03/new-tool-usb-write-blocker.html

http://dsionline.biz/usb_writeblock.htm

O primeiro mostra uma imagem com status e botão para habilitar/desabilitar a escrita:

Vale lembrar que, no Unix, há opções de montagem do disco em read-only, mesmo ainda não sendo confiável e adequado visto que alguns sistemas de arquivos forçam a verificação antes da montagem (veja aqui).

Caso esteja interessado em um dispositivo (hardware) de bloqueio de escrita ou duplicadores de disco (como o Solo-3) com tal característica, sugiro a leitura dos seguintes textos:

‘Write-Blockers’, SANS Forensics Blog

‘Write-bloquers Review’, Forensicfocus

No curso do SANS (508?) é fornecido um dispositivo de bloqueio da marca TABLEAU para cada aluno, aparentemente, são os equipamentos deste tipo com valores mais acessíveis no mercado. O site do fabricante é este: www.tableau.com.

Artigos correlacionados:

Duplicação Forense de discos rígidos, por Rafael Vargas

Imagens Forenses, por Tony Rodrigues

3 thoughts on “Bloqueadores de escrita

  1. Alexandre, meus parabéns pelo POST. Extremamente relevante.

    Aproveito para contribuir com uma referência:

    http://bit.ly/3VS2KK – testes detalhados da eficácia de bloqueadores de escrita para forense computacional (softwares e hardwares) [fonte – Departamento de Justiça Americano]

    [ ]s,

    Sandro Süffert

Comments are closed.