Um dos software para perícia forense mais utilizados pela Polícia Federal é o IPED – Indexador e Processador de Evidências Digitais, foi idealizado por um perito federal e é largamente utilizado na DPF.
Ele é utilizado por exemplo para algumas perícias da Lava Jato. Eu tive a oportunidade de utilizar o software em sala de aula e comparado a outros softwares forenses ele é excelente. Dois pontos que me chamaram a atenção foram a velocidade do processamento do conteúdo de uma mídia e outro a rapidez da função de OCR.
No Github do projeto, podemos encontrar:
Um Software forense computacional para exame completo de mídias de armazenamento de dados. Licenciado sob GNU GPL v3
Desenvolvido em java, com foco na velocidade de processamento e num exame detalhado e em profundidade sem perder a simplicidade de análise. Resumo das principais funcionalidades:
- Decodificação de imagens dd, 001, e01 e iso via Sleuthkit 4.2 e Libewf
- Acesso a arquivos apagados e espaço não alocado (via Sleuthkit)
- Categorização por análise de assinatura e propriedades e filtro por categoria (ver seção Categorização)
- Expansão de containers (ver seção Expansão de Containers)
- Indexação (ver seção Indexação) e pesquisa por palavras-chave no conteúdo e propriedades dos arquivos.
- Data Carving eficiente sobre itens não alocados e alocados (ver seção Data Carving)
- Visualização em árvore dos dados (não implementada para relatórios, atualmente)
- Cálculo de hash e filtro de duplicados
- OCR de imagens e PDFs e detecção de imagens contento textos como digitalizações (metadado OcrCharCount)
- Detecção de documentos cifrados
- Consulta a base de hashes (KFF) para alertar ou ignorar arquivos
- Visualização integrada de dezenas de formatos.
- Visualizador de texto filtrado para qualquer formato.
- Galeria multithread para visualizar miniaturas de dezenas de formatos de imagens (via Image/GraphicsMagick)
- Geração de miniaturas de vídeos (contribuição PCF Wladimir)
- Ordenação por propriedades, como nome, tipo, datas e caminho.
- Marcação, exportação e cópia de propriedades dos arquivos
- Geração de arquivo CSV com as propriedades de todos os itens
- Extração automática de categorias para casos de extração automática de dados
- Extração e reindexação de itens selecionados pela interface de pesquisa após análise do perito
- Geração de relatório HTML (contribuição PCF Wladimir)
O download do IPED pode ser realizado em:
https://github.com/lfcnassif/IPED
https://servicos.dpf.gov.br/ferramentas/IPED/
Recentemente eu fiz um video demonstrando a instalação e uso do IPED. Acesse o link a seguir para visualizar:
https://www.tiforense.com.br/iped-forense-primeiros-passos-para-uma-analise-forense/
12 comentários
Olá Daniel,
Gostaria de saber se você possui outros materiais sobre o IPED que possa me disponibilizar?
Desde já agradeço.
Olá Carla, até o momento só temos o material que está disponível nos dois links já publicados. Qualquer novidade vamos postar aqui no TI Forense.
Saberia executar a ferramente ja tentei trocar os JDKs instalados em minha máquina e mesmo assim não consigo executar a mesma…?
Prezado, realmente é comum dificuldades na instalação do IPED. Sugiro que veja o video feito pelo Perito Forense Marcos Monteiro:
.
Vou produzir também um passo-a-passo e publicar aqui no TI Forense em breve.
Muito bom o artigo, gostei.
_____________________________
http://www.tuliorosa.com.br
excelente explicações..parabéns….
Seria possível após fazer todo procedimento para criação do aplicativo de análise de evidências é possível que este aplicativo reconheça arquivos adicionados manualmente dentro da pasta indexada antes ou teria que fazer o todo procedimento novamente no MS DOS:?
Não. É preciso fazer o processamento para o IPED fazer o ingest dos arquivos.
O IPED está funcionando excelente no CAINE 9, contudo no CAINE 10 esta dando erro de schema de banco do sleuthkit informando que o mesmo não é compatível com a versão 8.1 somente com a versão 7.x, a ferramenta é compatível com o CAINE 10 e se sim alguém tem alguma dica sobre essa questão?
Rodar o IPED com o Linux é uma tarefa árdua. Não tem Linux que nativamente seja compatível com o IPED você vai ter que ir resolvendo cada um dos problemas de dependências e erros de processamento. O IPED é uma ferramenta excelente, em parte isso acontece por que o IPED também depende de outros softwares como o JAVA, o TSK e o LUCENE.
Instale uma versão mais antiga do sleuth e faça o teste. Na pior das hipóteses use as bibliotecas alternativas para buscar os patches das ferramentas. Eu consegui dessa forma.
Passei por isso instalando e configurando o IPED no Caine e não foi fácil, principalmente porque ele não reconhecia a instalação do java mesmo tendo duas versões distintas instaladas e rodando tudo certinho. Depois de 5 dias de luta eu consegui fazer o IPED rodar mas nem de longe ele roda como no Windows.