Documente Academic
Documente Profesional
Documente Cultură
jorge.rf@unp.br
Prof. Jorge Ramos de Figueiredo/ 2013
Curso de especializao em
computao forense. Turma D.
Forense em ambiente Windows 2
Material destinado ao desenvolvimento da disciplina de forense em ambiente
Windows 2, onde teremos uma nfase nas tcnicas de preservao, coleta e
anlise de dados ao nvel forense com o uso de ferramentas forenses em
formato encapsulado no modo post mortem.
O sistema operacional bero dos
vestgios, conhec-lo em profundidade e
aprender a interpretar suas informaes,
o caminho mais seguro para a produo da
prova pericial de qualidade. (Figueiredo,
Jorge 2010).
Captulo 01
Utilizando ferramentas no modo post mortem
01 Duplicao Forense.
Em nossos estudos voltados a criminalstica aplicada computao forense teve a
oportunidade de estudar os diversos aspectos histricos que cercam a computao
forense, que em seus primrdios da Dcada de 1980, ainda se admitia como sendo uma
cpia forense vlida uma imagem de back up de um disco ou dispositivo a ser
investigado. Quando tal fato ocorre, temos vrios problemas graves em relao
integridade dos dados que esto sendo periciados, dentre os quais podemos ressaltar:
d)Advanced-Forensic-Format-(AFF)
O formato AFF , por assim dizer, o primeiro formato pensado em termos de padronizar
o mercado, oferecendo uma soluo de estrutura de arquivo de imagem que enderece
vrios problemas antigos. Ele um formato novo, mas vem sendo amplamente aceito e
eu apostaria dizer que o formato que vai predominar daqui a alguns anos.
1.2 Tipos de abordagens para duplicao.
Como j fora dito, tivemos a oportunidade de estudar e praticar todas as possibilidades
e versatilidades do modo de investigao in vivo fazendo uso das ferramentas em seu
modo live, por meio do prompt do DOS. De forma bsica, podemos adotas duas
abordagens na duplicao:
1.1.2 DUPLICAO IN VIVO.
1. A mquina alvo da investigao deve obrigatoriamente estar em pleno
funcionamento (ligada).
6. Para fins de transporte da imagem forense, ela pode ser seccionada em vrios
pedaos que estejam devidamente assinados e seguros, onde cada pedao
deve corresponder ao limite do disco ou discos de transporte do material.
2 Passo.
Insira o dispositivo externo do tipo USB, FIRE WIRE ou ACIONE a pasta de rede que
servir como destino de nossa ao de cpia forense. (veja o exemplo assinalado
abaixo).
3 Passo.
Execute a ferramenta para o incio da cpia dos dados.
4 Passo.
Depois que a ferramenta foi devidamente aberta, vamos tratar dos aspectos tcnicos da
mesma, para que possamos entender o seu sistema de funcionamento.
lado
temos
as
opes
do
menu
VIEW
de
arquivos,
propriedades
de
arquivos,
MODE
Ao lado, temos as opes do modo de visualizao
dos dados onde poderemos ver no padro explorer do
Windows, ou em formato de texto ou por
fim em
formato hexadeciamal.
HELP
Ao lado, temos o menu final help que nos remete
aos tpicos de ajuda (manual da ferramenta) e
todos os dados de verso e fabricao da mesma.
boto
de
aquisio prvia
nos leva a tela
lateral que abre as opes
de
trabalho
com
as
PARTIO
DE
CONTEDO
PASTA
DADOS,
DE
UMA
(DIRETRIO),
que
so
evidenciados o total de 03
DISCOS FSICOS sendo
eles: DISCO ZERO de 16
GB
da
investigada,
mquina
DISCO
UM
Agora
em
nossa
rvore
de
reconhecido
montado, veja que temos a opo lateral de expanso do mesmo, cabe neste momento
o AVISO DE GRANDE RELEVNCIA onde devemos mostrar que este estado de
PERMISSO DE ESCRITA onde todas as aes de ACESSO, MODIFICAO e
CRIAO de dados no disco selecionado iro de forma DIRETA repercutir na qualidade
e na INTEGRIDADE dos dados que esto sendo investigados. Vamos a ttulo de
experincia acessar os dados e verificar como eles so apresentados.
Abaixo temos a demonstrao dos
dados do disco onde mostra o total
de 15.358MB de dados, e mais
abaixo o espao no particionado
tambm conhecido como rea
bsica do disco.
Ao lado, fizemos a expanso de
mais
um
nvel
onde
fica
ROOT
que
espaos
que
no
10
Acima podemos verificar que ao se escolher um arquivo especial, este logo abaixo no
quadro posterior mostrado em seu formato natural seja ele binrio, texto, filme ou
mesmo foto Neste caso acessamos de forma proposital o arquivo MFT (Master Table
File) TABELA MESTRE DE ARQUIVOS sendo ela de grande relevncia no processo de
recuperao de dados de um disco ou dispositivo, como podem perceber, ao lado de
cada arquivo, temos a opo de tamanho, tipo de arquivo e data da ltima modificao.
11
Ainda podemos fazer uso das informaes do arquivo escolhido que constam no rodap
da ferramenta que podem nos auxiliar a recuperao de dados e ou localizao de
dados perdidos em um disco, veja:
As informaes acima, dizem respeito ao arquivo da MFT onde nos informado que ela
est armazenada no CLUSTER 775141 do disco, e no SETOR FSICO 6201191.
Mais um fato curioso que podemos mostrar neste momento, seria a identificao de um
arquivo protegido por criptografia, onde o mesmo, no pode ser exibido em seu formato
natural, tendo em vista a chave criptogrfica, mas mesmo assim podemos identificar o
tipo de arquivo que se trata e seus dados em formato binrio (hexadecimal). (Os
arquvos esto assinalados com o smbolo de uma chave).
12
Bem, agora que j percebemos os pontos iniciais que so relativos a captura e exame
de um dispositivo, vamos agora tratar da forma como o mesmo deve ser desconectado
da ferramenta, acima temos o cone vermelho que ficam ao lado dos cones verdes de
acesso aos dispositivos, eles so os responsveis por desconectar UM DIPOSITIVO
POR VEZ ou TODOS DE UMA S VEZ, para tanto basta clicar no mesmo.
Como
podem ver ao lado a janela agora est LIMPA sem qualquer dispositovo montado.
DICA:
Fique atento ao que foi explicado, o modo
prvio no um modo seguro para anlise
forense, pois ao navegar nos dados com ele,
voc ter acesso ao disco investigado de
forma a modificar a sua lista de MAC TIME ,
portanto ir perder informaes de grande
relevncia ao caso.
13
14
Selecionamos
devidamente
FONTE
DS
QUAL
DESTINO
que
ser
ADICIONAR
opo
os
de
se
dados
da
IMAGEMS
DEPOIS
DE
15
profissional
criado
para
ferramenta EM CASE). Nota-se que este mdulo ainda no d a opo do formato AFF
que iremos ver no modo 3.0 na metodologia post mortem. Depois de escolhido o
formato clique em AVANAR.
Bem, agora estamos em uma
etapa
de
organizao
dos
NMERO
DA
de
uma,
como
por
depois devemos
fim,
devemos
informar
clicar
em
16
mesma
ser
armazenada, depois de
tal fato, devemos dar um
NOME ao arquivo de
imagem sem incluir a
extenso
do
mesmo.
Depois,
devemos
determinar o valor de
cada FRAGMENTO ou
SPLIT da imagem, tal
artifcio
como
explicado
tem
valor
quando
j
grande
se
faz
necessrio o transporte
dos dados de um local
para
outro,
no
caso,
representa
um SPLIT de 4,6 GB de
dados que caberia de
forma muito fcil em um
DVD se o investigador
preferir
uma
imagem
VALOR
ZERO.
Somente os formatos
SMART e E01 fornecem
opo de compresso
de dados onde alm de partir em vrios pedaos possvel comprimir os dados
para reduzir o tamanho. Ao lado temos a base de seleo da imagem devidamente
preenchida, ainda podemos fazer uso de mais um recurso que nos permite ENCRIPTAR
os dados da imagem criada para que outras pessoas NO POSSAM ter acesso aos
mesmos. Para utilizar tal servio, basta marcar a caixa de SELEO. Depois de clicar
17
em FINALIZAR o investigador
ter
acesso
tela
ENCRIPTAO
DADOS
de
DOS
que
pode
ser
de
uma
SENHA
NMEROS
CARACTERES ESPECIAIS,
ou
pode
usar
um
que
somente
onde
uma
poderemos
escala
Depois
que
imagem
foi
esto
geradas por
meio
sendo
de
uma
19
20
de
srie,
depois
so
21
22
COM
VOC
UM
NOTEBOOK
ou
OUTRO
Por
23
2 Passo.
Verifique se a pasta e os dados em seu interior esto OK para montar sua imagem de
trabalho.
24
3 Passo.
Execute a ferramenta de interpretao adequada para montar a sua imagem. Neste
momento devemos esclarecer a voc que o formato RAW (DD) compatvel com o
LINUX onde pode ser montado e analisado em diversas ferramentas do tipo FOSS
(Forensics Open Source) dentre elas o mais a mais conhecida o AUTOPSY , j o
formato SMART,
4 Passo.
Acesse a rea de trabalho de sua estao forense e clique duas vezes no cone da
ferramenta FTK 3.0.1.1467 onde voc poder dar incio ao processo de investigao de
dados.
25
5 Passo.
D um clique sobre o cone de adicionar evidncia.
6 Passo.
Faa a opo por arquivo de imagem como na figura ao lado e clique em AVANAR.
Depois clique em BROWSE para ter acesso ao local dos dados, depois acesse e
selecione o arquivo 001. Depois clique em FINALIZAR, pronto a sua imagem est
montada em modo de investigao segura.
26
7 Passo.
Imagem pronta para uso e investigao.
27
28
2 Passo.
Com a estao forense em seu modo DESLIGADO e sem a conexo do cabo de fora
na fonte de energia eltrica (evite eletricidade esttica) CONECTE os cabos do(s)
disco(s) que sero investigados e passe posteriormente a verificar a ordem de
inicializao para garantir que somente o seu disco de BOOT (Estao Forense) ir
receber ordem de inicializao.
3 Passo.
Verifique se a ordem de inicializao segura, onde sempre deve ser: CD/DVD depois
DISCO RGIDO DE SISTEMA. (Na BIOS de um computador fsico identifique com
segurana quem o disco de sistema que ser inicializado, para evitar acidentes).
4 Passo.
29
Verifique os discos que foram reconhecidos pela sua estao forense, neste caso
DISCO 0:0 PRIMRIO MASTER- DISCO DE SISTEMA FORENSE; DISCO 0:1
PRIMRIO SLAVE DISCO INVESTIGADO 01; DISCO 1:1 SECUNDRIO MASTER
(DISCO DE DESTINO DOS DADOS).
30
dados
usando
FRAGMENTOS
de
verificar
quanto
temos
de
31
Formato E01
A primeira imagem
montada em nossa
experincia relevou
uma velocidade que teve a mdia de
35MB
por
segundo
com
de
4,5
GB
de
dados.
32
nova
verificao de integridade da
imagem que foi criada pelo
sistema,
ferramenta
33
qualquer
momento,
basta
do
investigador
ele
quando
criado
34
No exemplo acima temos uma listagem completa e organizada (da esquerda para
direita) nome de arquivo, caminho absoluto de armazenamento, tamanho, data de
criao horrio mundial, data de modificao horrio mundial, data de ltimo acesso
horrio mundial e por fim se foi deletado ou no do disco.
Aps a insero de filtros em cada coluna, foi muito fcil verificar quais os arquivos que
foram deletados relacionados a pasta My History do Internet Explorer , conforme
exemplo acima.
1.3.2.2Como fazer uma busca customizada por contedo.
Da mesma forma que criamos diversos arquivos customizados para busca no modo
LIVE utilizando o prompt do DOS podemos agora faz-lo de forma automtica com a
ferramenta bastando para tal o conhecimento mais aprofundado em EXPRESSES
REGULARES, vide o material que foi entregue no primeiro mdulo da ACESS DATA
sobre expresses regulares, mas mesmo sem tal conhecimento ainda podemos realizar
uma srie de buscas importantes.
35
1.3.2.3Monte a evidncia.
Utilizando a caixa para buscas customizadas, clique em NOVA BUSCA.
Como podem ver a ferramenta vai procurar por todos os arquivos cujo formado seja
(.jpg) sejam letra maiscula ou minscula, incluindo os subdiretrios e iro registrar
todas as ocorrncias de resposta.
36
37
Selecione
destino
de
armazenamento, as senha de
criptografia e a quantidade de
fragmentos que a imagem pode
ter. O analista forense pode ainda
escolher
pelo
SID
de
cada
possam
armazenado
no
ter
dados
computador
investigado.
38
Depois de montada o investigador ter acesso a todas as pastas e arquivos que dizem
respeito ao que foi solicitado na busca, em nosso caso, fotos em formato .jpg e
arquivos em formato .pdf, em particular vamos nos ater neste momento aos fatos que
podem ser apurados nesta foto.
39
40
Acima temos os dados relativos a MFT (tabela mestre de arquivos) eles so de grande
relevncia ao nosso caso tendo em vista que o se chama de RECORD DATE a data
em que esse arquivo nasceu para este sistema operacional, conforme percebe foi dia
4/01/2012 portanto bate com a informao anterior da data de criao, mas verificamos
que o arquivo est armazenado na pasta do usurio CATATAU, contudo o SID do
proprietrio no ele e sim o usurio LULA, temos tambm o setor da tabela mestre em
que os dados deste arquivo foram gravados em nosso caso no setor 50.937
Acima temos os dados da ACL (Lista de Controle de Acesso) ela tem como base as
permisses do sistema NTFS, em nosso caso o usurio CATATAU com o SID final 1015
possui acesso e poderes totais sobre a foto, mas no podemos afirmar que seja o
41
proprietrio, pois como vimos o proprietrio real foi LULA, sendo ele a pessoa
responsvel por gravar tais dados na pasta de CATATAU, em casos desta natureza,
de grande relevncia poder associar estas informaes com as informaes de logon e
log off de cada usurio investigado para que possamos provar quem estava logado e
ativo no computador no dia a hora em que a foto foi gravada no disco.
1.3.2.5Como exportar um arquivo em segurana.
Sempre que se fizer necessrio o uso externo ou acesso a um arquivo em sua forma
individual o investigador pode exportar o mesmo da seguinte forma:
Clique com o lado direito do mouse sobre o arquivo e faa uma das duas opes,
exportar de forma direta ou exportar com o calculo do hash do arquivo.
do
sistema
operacional,
42
Em casos desta natureza somente exportar a foto de nada adianta, devemos trabalhar
na mesma da seguinte forma, ela deve ser aberta em um ambiente cujo o file system
no seja NTFS, ou mesmo em um ambiente NTFS de 64 Bits como o Windows 7 desta
forma, o perito ter sucesso a abertura da foto.
armaenzadono
configuraes
locais
diretrio
>
Histrio>
43
INDEX.DAT
que
foi
ser
exibido
em
formato
44
por
meio
fsico
dentro
da
imagem
no
diretrio
45
uma
armazenadas,
srie
que
de
fotos
podem
ser
em
seu
formato
HEXADECIMAL que nos mostra o nome, caminho e extenso de um arquivo que foi
deletado da lixeira.
46
no
diretrio
WINDOWS>SYSTEM32>CONFIG e analisando o
seu conteudo por meio de um interpretador
haxadecimal, podemos verificar que os usurios
tem o o seu nome e dados da senha armazenados SEM CRIPTGRAFIA em partes do
arquivo, como podemos ver, garimpamos em uma breve pesquisa os usurios
LAMPIO e senha, CINDERELA e senha e LULA e respectiva senha. Desta forma,
relevante guardar uma imagem do disco em formato GHOST, TIB e outros para que
possamos utilizar estas senhas e inclusive exportar os certificados digitais de um
usurio coma senha dele, visando ter acesso a dados e informaes relevantes que
foram protegidas por meio de criptografia forte.
47
1.3.2.13 Como montar uma imagem forense em seu modo DRIVE (Fsico e
Lgico).
A nova verso da ferramenta FTK nos possibilita analisar sob a tica do usurio (viso
do usurio)
Da estrutura ao qual ele fazia uso antes de ser realizada a imagem, desta forma
podemos emular um DRIVE FSICO e um DRIVE LGICO contendo todos os arquivos
e estruturas conforme esto armazenados na imagem, inclusive podendo optar pela
proteo contra escrita, o que para o investigador de extrema validade. (TENHA O
CUIDADO DE MONTAR A IMAGEM SEMPRE COM PROTEO CONTRA ESCRITA).
Abaixo temos o boto da barra de tarefas que aciona o servio de montagem.
Acima temos o local onde estava armazenada a imagem que ser montada.
Acima temos o quadro de opes que nos mostra as formas com as quais podemos
estruturar a nossa imagem.
48
Depois que a imagem foi configurada e recebeu uma letra de DRIVE dentro de nosso
disco da Estao Forense podemos acessar o referido local e utilizar as informaes do
mesmo. Para desmontar a imagem basta clicar sobre os drives que esto listados e
depois utilizar o boto DESMONTAR a direita.
Acima temos o drive de nossa imagem que foi montado com sucesso.
49
50
Aviso legal informando que a licena no foi validada e por este motivo vamos ter direito
a analisar somente 5.000 itens de cada sistema (modo de teste).
Acima devemos informar se trata de um novo caso, um caso j existente uma viso
prvia do ambiente ou ir direto para a execuo da ferramenta.
51
52
Acima temos uma relao de todos os tipos de arquivos em diversos formatos que
podem ser estruturados para o sistema de DATA CARVING.
53
Acima temos as opes dos tipos de logs tais como: EVENTOS DO CASO E DE
EVIDNCIAS que relata e analisa todas as evidncias e eventos que so adicionados
ao caso, MENSSAGENS DE ERRO gera um relatrio sobre todas as mensagens de
erro que so geradas pelo sistema, LIVRO DE MARCAS OU REGISTROS, serve para
anotar todas as observaes relevantes de um ou mais casos, EVENTOS DE BUSCA
registra todos os resultados provenientes de buscas efetuadas pelo investigador, DATA
CARVING / BUSCAS DA INTERNET so chaves de buscas especiais que podem ser
utilizadas durante a investigao ou mesmo buscas realizadas nos vestgios de internet.
54
Acima temos as opes de como aplicar uma metodologia especfica para cada tipo de
investigao onde poderemos dar NFASE a OTIMIZAAO DA VELOCIDADE,
NFASE A EMAIL, NFASE a TEXTO, NFASE a GRFICOS. Onde a configurao
especfica para cada tipo de investigao previamente determinada pela escolha do
investigador, caso o investigador queira uma forma de configurao geral, ele pode
optar pela escolha INCLUDE ALL ITENS.
55
56
Quando a ferramenta atinge a conta de 5.000 arquivos da evidncia ela para, tendo em
vista a licena trial no permitir a continuidade do uso.
Desta forma vamos fazer uso do processo de investigao por meio de PASTAS de
usurio onde tais pastas sero acessadas do modo MOUNT IMAGE do FTK (de forma
segura, somente leitura).
57
Agora estamos na etapa do refino do caso, onde podemos escolher arquivos por
tamanho mnimo e mximo, bem como, podemos escolher as datas especficas de
ACESSO, MODIFICAO e CRIAO.
58
Ainda no refino do caso, podemos ter acesso a pastas do local investigado para
escolher dentre elas quais a que desejamos utilizar e quais as que no desejamos
utilizar.
Por fim, o seu novo caso agora est completo com todas as configuraes elaboradas.
59
60
Acima temos o exemplo que quando optamos por GRFICOS, que para ele
representam todas as fotos em qualquer tipo de formato que tenha sido indexada pelo
sistema, mesmo as fotos que tenham sido apagadas. Ainda h mais possibilidades de
filtros nesta opo.
Acima temos a opo multimdia, a ferramenta nos exibe todos os tipos de filmes e sons
que estejam armazenados no local investigado, onde da mesma forma dos demais,
mesmo que tais dados estejam apagados ou mesmo que estejam em extenses de
arquivos diferentes, tendo em vista o fato de serem investigados pela assinatura do
cabealho do arquivo.
62
Acima temos o contedo de mensagens de e-mail que foram enviadas, tais mensagens
operam da mesma forma que as mensagens que foram recebidas.
Acima temos o corpo do sistema de buscas por palavras indexadas da ferramenta onde
ao simples gesto da escrita da palavra LANCE a ferramenta j mostrou quais so todas
as situaes em que tal palavra est relacionada para que possamos fazer uso dela.
63
64
65
Acima temos a continuidade da anlise que comprova que a foto estava anexa a
uma mensagem de e-mail onde alm de revelarmos a foto, temos ainda o texto
do correio desta, com a possibilidade de anlise do seu cabealho.
66
67
1.4.2
Logo aps a criao dos dados do projeto, na rvore de diretrio de evidncias criada
uma pasta do mesmo, onde logo abaixo vemos o formato do relatrio parcial de aes.
Aps a montagem dos dados e dos objetivos a serem atingidos com a investigao, o
usurio deve com toda cautela, passar para a etapa de REGISTRO ou salvamento do
projeto utilizando o cone acima, desta forma, vamos nos resguardar de todos os dados
coletados e anotaes realizadas.
Vejam que o arquivo de projeto foi criado no disco de destino para salvaguarda dos
dados.
69
Opo de captura do drive fsico IDE 0:0 sem os clusters vazios ou no alocados
70
Depois de escolhida a fonte de leitura dos dados, vamos agora nos preparar para lanar
os dados coletados em um destino seguro e correto, para tanto vamos fazer uso de
duas opes, podendo ser um disco local, um disco USB ou REDE ou mesmo o formado
de SPLIT para auxiliar no transporte de tais dados.
onde
podemos
inserir
no
local
71
Acima temos a escolha do formato da imagem onde podemos optar entre o formato da
ferramenta EVE ou em LINUX DD, mais abaixo temos o total de setores que sero lidos.
73
Acima temos as duas opes de se montar a imagem forense, sendo a primeira a partir
do painel (figura do lado esquerdo) e a segunda a partir da rvore de diretrios (figura do
lado direito).
Depois de devidamente inserida a senha podemos agora fazer uso dos recursos de
investigao da imagem sem causar-lhe danos, pois estamos em um formato forense,
acima temos os dados caractersticos da imagem investigada, tais como MD5 da
imagem, descrio dos objetivos, data e hora e o local de armazenamento do caso.
74
75
Ao clicar em cada arquivo que seja relevante para a investigao, o mesmo ir mostrar
uma caixa especfica de comentrios que podem ou no ser preenchidos pelo
investigador, onde de forma automtica tais arquivos ou diretrios so listados na rea
de arquivos de interesse da ferramenta. Ao clicar com lado direito do mouse sobre o
arquivo possvel analisar se o mesmo foi ou no comentado na aba VIEW
INVESTIGATORS COMMENTS.
76
Na pgina anterior a figura nos mostra como podemos ter acesso aos arquivos que
desejamos investigar, de forma simples, basta escolher qual o diretrio em que o
arquivo esteja e selecion-lo. Abaixo temos as diversas formas de apresentao de um
mesmo arquivo.
77
Ao clicar com o lado direito do mouse sobre o arquivo, podemos ter acesso dentre
outras coisas aos CLUSTERS especficos onde estavam armazenados o arquivo
investigado.
78
Depois de verificado o contedo interno conforme acima, devemos analisar o que nele
foi depositado, pois como j fora estudado em etapa anterior, tais dados so latentes e
ainda podem ser recuperados com facilidade, j o contedo do arquivo INFO2 se refere
ao conjunto de dados que j fora retirado da lixeira.
Conforme anlise do contedo acima, podemos perceber que haviam antes 06 (seis)
arquivos de udio que foram apagados a lixeira onde constam os dados completos
como os nomes dos arquivos e os respectivos caminhos originais dos mesmos.
79
80
Acima temos a opo de customizar a busca onde podemos analisar os dados internos
dos arquivos (META DADOS), podemos fazer as buscas em arquivos selecionados
somente ou marcar e selecionar todos os arquivos existentes na imagem para busca,
logo aps, podemos marcar a opo de interpretao dos dados em ASCII ou formato
HEXADECIMAL, bem como, podemos marcar para sensibilidade entre letras
maisculas e minsculas, determinando que todos os registros localizados sejam
marcados em uma cor de destaque, mais abaixo, podemos solicitar as buscas por nome
de arquivos ou por contedo interno de arquivos, inclusive com o uso de EXPRESSES
REGULARES.
81
Para uma busca mais rpida, no selecione opes de arquivos e meta dados, depois
apenas informe CASE SENSITIVE, MARCAR TODAS AS OCORRNCIAS e opte pela
busca por nome de arquivo ou por contedo de arquivo.
Aps a busca realizada, a ferramenta nos mostra em quais arquivos foram encontrados
o conjunto de palavras solicitado.
Acima temos o contedo especfico que foi solicitado para busca, neste caso, um
nmero de carto de crdito.
Como transformar os formatos de imagem forense para outros formatos.
Um dos aspectos relevantes no processo de investigao poder contar com formatos
de imagens que sejam interpretados por diversas ferramentas ou at mesmo possam
ser transformados em Mquinas Virtuais, onde aplicaes, processos e programas iro
se comportar de forma real, podendo serem analisados e investigados de forma mais
profunda.
82
Escolha o diretrio de leitura dos dados onde se encontra o formato atual, depois
marque e indique o diretrio de destino e o novo formato.
Caso tenha o desejo de j deixar pronta uma estrutura para ser utilizada por uma
Mquina Virtual, voc pode utilizar a opo VMWARE support conforme est marcado
na caixa acima.
83
84
Voc vai receber o aviso da ferramenta que no se deve trabalhar de forma direta no
disco e sim com a imagem forense. Clique em OK.
Veja se o disco que voc desejava o que foi realmente selecionado, para que no
corra o risco de sobrescrever dados de um disco contendo dados relevantes de um caso
que ainda esteja investigando.
85
Determine os caracteres que devem ser escritos no disco e por quantas vezes.
86
Informao de finalizao.
87
Captulo 02
Utilizando ferramentas no modo live
88
A figura acima representa o caminho para encontrar a pasta onde esto armazenados
todos os dados referentes ao registro do sistema operacional, este caminho vlido
tanto para o sistema XP e seus derivados, como VISTA, e Windows 7 e seus derivados.
89
cone da ferramenta.
O analista deve abrir um novo console para analisar os registros do sistema operacional
a ser investigado.
90
Junto ao arquivo SAM, podemos determinar todos os grupos que esto listados na
mquina investigada, logo no diretrio MEMBERS e mais abaixo a pasta NAMES.
91
A figura acima nos mostra todos os dados relativos aos usurios do computador com os
seus respectivos SID e configuraes de segurana, inclusive so mostrados os
usurios cujas pastas e perfis foram alterados ou apagados do sistema operacional.
92
Acima temos todos os registros relativos aos softwares que esto devidamente
instalados no computador investigado, e tambm aqueles que j o foram e foram por
algum motivo, apagados.
Vamos fazer uso da capacidade de busca para demonstrar o resultado.
No caso acima, estamos solicitando da ferramenta que faa uma busca em todos os
dados em que haja meno a compactao de udio no formato MP3.
93
94
Vamos optar pela anlise dos arquivos de registro em seu modo RAW.
95
Vamos apontar onde esto armazenados os arquivos de registro, da mesma forma que
operamos no caso anterior.
Vamos acessar o primeiro registro, sempre marcando o modo como sendo somente
leitura.
96
97
98
99
Placas de rede.
100
Nome do computador.
101
Servios iniciados.
102
Acima, tambm podemos mostrar que os meta dados de arquivos nos revelam o NOME
DO AUTOR CASDASTADO do documento (CHAPEUZINHO VERMELHO), e a
metodologia de como o mesmo foi criado (MICROSOFT OFFICE WORD 2010),
havendo ainda o registro das datas e horas de criao e modificao com o horrio e o
respectivo FUSO, lembramos apenas que tal informao retirada do relgio do
computador do investigado no momento da criao do arquivo, onde devemos tomar as
devidas precaues para saber se o mesmo est atualizado por uma fonte segura.
103
Usando a string de busca DL que seria uma biblioteca de dados, podemos mostrar fatos
que ocorreram com o arquivo e contedos que nele foram associados ou modificados.
Acima, temos um arquivo de udio que foi associado ao mesmo poucos minutos aps,
tornando o arquivo principal com 4346026 Bytes, sendo este AUDIO formato FMPEG
(STREAM)
Acima temos o algortimo MD5 do arquivo que foi anexado ao documento iniciando com
FAA e finalizando com D81, mais abaixo veja a assinatura do arquivo de msica.
104
Mais adiante a ferramenta nos mostra o nome do autor, RENATO RUSSO, o conjunto
musical, LEGIO URBANA.
105
Acima temos a configurao do local (ais) aos quais desejamos o acesso para busca de
informaes sobre suspeita de pedofilia ou nudez.
106
Acima temos a estrutura dos dados a serem configurados como tipo de arquivo, busca
no interior de arquivos e pastas e metodologia de buscas, se por extenso ou por
assinatura.
107
Acima temos o resultado final em forma de TUMBS onde as fotos devem ser marcadas
ou desmarcadas para posterior remessa a um local de destino e coleta pelo perito.
108
Primeiro devemos abrir o arquivo criado no despejo dos dados, para em seguida fazer
uso do cone do sistema de buscas visando procurar pelo contedo desejado na
investigao, acima estamos procurado por dados que remetem ao protocolo HTTPS
seja na parte inicial ou final dos blocos de memria (em toda a memria), podemos
tambm assinalar que desejamos ignorar todos os erros de leitura para retornar com
maior rapidez todos os setores do arquivo que foram lidos.
109
A tabela acima nos revela o endereo fsico da RAM e ao lado a data e a hora em que o
contedo foi ali registrado, ao clicar sobre cada linha, teremos acesso ao resultado
conforme abaixo.
110
111
Crie no seu drive seguro uma pasta para o armazenamento dos dados de histrico.
Depois da abertura da ferramenta, em sua janela principal, vamos optar por FILE e
depois vamos conforme a figura abaixo, trabalhar as formas de SCANNER de dados.
112
Acima temos a tela que nos levar ao sistema de quebra, anlise e tratamento de dados
do registro da WEB de cada usurio.
113
Podemos perceber que foram criados 2 pginas estruturadas com histrico da internet.
horrio MUNDIAL UTC, portanto a cada horrio acima voc deve reduzir 3 horas,
VISIT TYPE representa o tipo de arquivo (estrutura que foi acessada por ele), UID
representa uma identificao nica do site que foi credenciada no momento da visita
dele, CREATED representa o dia em que o INVESTIGADOR forense criou estas
informaes.
Investigando o histrico do sistema Google Chrome.
Depois temos de acessar a pasta GOOGLE, depois a pasta CHROME, depois a pasta
USER
115
Dentro da pasta DEFAULT iremos verificar a existncia de diversos arquivos que fazem
parte do histrico sendo HISTORY (GERAL) HISTORY INDEX ANO (AAAA) MS
(MM).
Acima temos o resultado que indica ter encontrado 1 expresso com o nome login.
116
Acima a opo nos leva a escolher quais os tipos de resultado que desejamos extrair e
para onde desejamos enviar.
Neste caso enviamos para uma pasta com o nome do usurio investigado.
117
Ao abrir temos os dados interpretados pelo EXCEL observo que o layout no fica bem
organizado, desta forma recomento importar como texto e tratar com o Excel tendo em
vista possuir vrgulas como delimitadores de espao.
Acima temos o mesmo arquivo em formato HTML que nos revela um nvel de
organizao mais elaborado.
Ainda no menu FILE vamos utilizar a opo EXTRAC HISTORY DATA, onde
poderemos de forma automatizada extrair todo o contedo do histrico de internet e
arquivos relativos navegao de internet em geral de um usurio ou mais de um
usurio ao mesmo tempo. Desde j lembro que na qualidade de investigador forense,
no podemos utilizar os dados dessa forma como prova mas sim como anlise prvia,
para que possamos verificar ou constatar algo mais rpido.
118
Ao iniciar com a opo de extrao, basta escolher em qual local ser feita a varredura
de dados e a ferramenta ir operar o restante.
119
Ao final criamos uma pasta com o nome do usurio para guardar os dados.
Acima temos um relatrio de erros dos arquivos que no puderam ser extrados pelo
fato de terem o nome muito grande para os padres de cpia.
Acima temos o resultado final com todos os dados relativos ao histrico de internet do
usurio.
Agora no menu TOOLS, vamos fazer uso da ferramenta ANALYZER onde podemos
gerar grficos que representam as propores percentuais de acesso de um usurio a
cada domnio.
120
Acima a ferramenta nos mostra um grfico em forma de pizza onde esto armazenados
todos os dados de cada domnio com a quantidade de visitas, observo que tal grfico
pode ser exportado e salvo.
121
122
Na figura abaixo estamos demonstrado que podem ser aplicados filtros de vrios
modelos e formas para se revelar algo especfico, sendo este somente ativo
quando se investiga o CACHE do sistema operacional.
123
Hash my files.
Uma ferramenta leve e de grande utilidade para que possamos extrair
assinaturas especficas de arquivos que desejamos investigar no computador do
suspeito.
124
125
Ao ter acesso a pagina do sistema vrus total, basta que possamos inserir os
dados do MD5 ou SHA1 do arquivo para que ela faa uma comparao
atualizada na base de dados de mais de 50 Antivrus existentes no mundo com a
respectiva data de atualizao de forma precisa.
Vamos agora simular em quanto tempo ele pode assinar e indexar todos os
arquivos do disco relativos a um usurio especfico que possa estar sendo
investigado.
126
127
Da mesma forma que os demais softwares que estamos tratando hoje, o despejo
do registro no foge as caractersticas de uso racional de memria, versatilidade
e praticidade, como o seu nome diz ele se prope a despejar o contedo do
banco de dados do registro do sistema operacional de forma grfica e mais
amigvel ao investigador com menos experincia, o que muito facilita o
rendimento e o ganho de tempo da investigao.
Acima temos a opo padro onde o sistema busca todos os dados do registro
tendo como ndice principal, o tempo. Ao se utilizar a opo REPORT vamos
para a tela abaixo onde podemos ver com clareza que h mais dados a serem
configurados.
128
Como optamos pela consulta em todos os usurios, nos foi mostrado o total de
mais de seis mil linhas de cdigo do registro do sistema operacional.
129
Acima temos a tela do filtro que nos mostra com muita facilidade aquilo que
podemos informar que seja o nosso objeto de pesquisa.
Ao final, o contedo pode ser salvo em texto e trabalhado pelo sistema EXCEL.
Para se extrair os dados, basta como nos demais executar dois cliques sobre o
arquivo.
131
Agora vamos passar a fazer uso dos dados das polticas de segurana e
registros de segurana do sistema operacional. Logo abaixo, temos as opes
de poder gerenciar o despejo de dados sobre vrias vertentes quais sejam: file
system, registro, impressoras, compatilhamentos, diretrios compartilhados,
todos os diretrios compartilhados, podemos ainda despejar os dados de
usurios por colunas, usurios por tabelas, grupos por colunas, grupos por
tabelas, usuarios por tabelas de forma rpida, somente os nomes.
132
.
Logo aps, basta clicar no boto OK.
Agora voc pode perceber com clareza que o usurio, tem poderes de leitura e
escrita em todos os seus diretrios. Refaa este exerccio em uma pasta de
usurio que o mesmo no tenha acesso para ver a diferena. Se voc deseja
saber quais as permisses do usurio LOBOMAU a partir do registro do sistema
use a opo abaixo e depois clique em OK.
133
134
Vamos fazer uso do sistema de despejo das aes dos usurios por
configurao de colunas onde do lado esquerdo iremos solicitar informaes que
sero mostradas nos relatrios.
135
136
137
138
Acima temos a parte superior da tela da ferramenta que nos revela as funes
especficas, da esquerda para direta temos;
Um novo caso ou pesquisa, abrir critrios pr existentes,
fechar a ferramenta, salvar critrios, salvar critrios
como, salvar os resultados de busca, imprimir, visualizar
pr impresso, configuraes de impresso e sair do
sistema.
139
140
Caso
voc
no
tenha a certeza de
que
sua
expresso
esteja
inicial
de
testes, colocar um
texto abaixo com as referncias e como o boto TEST voc fica sabendo se a
expresso deu certo em sua busca.
Vamos agora realizar buscas de testes com a ferramenta;
Ainda na parte superior, vamos de forma mais simples primeiro procurar por
documentos que sejam do formato PDF.
141
Podemos perceber que como resultado nos foi revelado o total de 6 arquivos no
formado PDF no interior do disco do suspeito, contudo, j estudamos que a
simples revelao no nos mostra toda a realidade do que desejamos ou
necessitamos para uma investigao.
Vamos agora investigar um documento PDF que foi modificado no ms de
fevereiro de 2012;
142
143
Acima, solicitamos ferramenta que fosse efetivada uma pesquisa sobre uma
escritura que seria objeto de investigao, o retorno mostra desde documentos
no interior do dispositivo investigado, como mostra histrico de internet em que
havia sido pesquisado com relao a escrituras.
144
Abaixo temos o aspecto visual da ferramenta que nos revela de forma simples
como se d a configurao para buscas por imagens, neste caso a ferramenta
executada de forma automtica do pen drive no necessitando de instalaes,
podemos tambm determinar se a busca pode se dar desde a raiz do sistema ou
de uma pasta ou local especfico.
ferramenta
suporta
tipos
de
imagens
para
buscas,
sendo
JPG,BMP,GIF,PCX.
145
Acima temos uma amostra de fotos que esto ligadas tanto a pedofilia como a
pornografia logo abaixo da foto temos o caminho absoluto da onde a mesma foi
localizada, acima de cada foto temos um nmero que identifica o arquivo para a
ferramenta, neste caso a nossa foto suspeita, recebeu o nmero 7638 sendo ela
denominada de SEX01.DOC.jpg
147
148
149
A ferramenta indaga ao usurio se este deseja manter uma previa no seu disco,
neste caso, deve ser informado que NO.
Logo aps ela mostra todos os dispositivos conectados que foram reconhecidos
por ela, em nosso caso o disco BANDIDO 16GB, o PEN DRIVE de ferramentas
de 8GB e o novo disco que criamos de 2GB. (DEVEMOS SELECIONAR O
DISCO DE 2GB).
150
Depois de tal fato vamos determinar o tipo de sistema de arquivos que o nosso
disco possui, por eliminao podemos informar que se trata de uma partio
INTEL SIMPLES de computador.
151
Depois que confirmamos como NTFS ela vai estruturar a pesquisa para este tipo
de sistema de arquivos.
152
153
154
156
Visualizador do histrico do IE
157
158
MY LAST SEARCH
A ferramenta mostra de forma simples e direta todas as buscas que foram
realizadas no Google pelo usurio logado no momento da investigao, podendo
identificar a data da busca, o navegador utilizado e o tipo de Browser utilizado.
159
160
USB Deview.
A ferramenta busca no registro do sistema operacional todos os dados relativos
a drives do tipo USB que foram montados e registrados no computador, isso
quer dizer que para ser mostrado no presente relatrio o dispositivo foi
efetivamente montado e reconhecido pelo sistema operacional, alm da marca
h a descrio do dispositivo que pode ser desde uma impressora a laser, uma
impressora fiscal, um telefone voip, um disco externo, um disco de backup, ou
qualquer outro dispositivo do padro USB, mesmo emuladores de porta USB so
reconhecidos ou dispositivos BLUETOOTH, e por padro a ferramenta indica o
nmero de SRIE do firmware do aparelho onde a partir deste nmero podemos
associar a data da utilizao com o dispositivo e determinar quem estava logado
no sistema quando um dispositivo especfico foi utilizado.
161
162
Acima temos uma valiosa colaborao para que possamos pesquisar por
palavras expresses ou frases, tendo inclusive como selecionar a opo case
sensitive.
Podemos escolher valores de busca onde iremos pesquisar por itens que
contenham especificamente o que foi solicitado, que contenham o par perfeito do
que foi pesquisado, que contenham qualquer valor, que contenham expresses
regulares do que foi pesquisado, etc.
Podemos ainda determinar que sejam referenciados na pesquisa os valores, as
datas, as chaves e valores binrios em formato UNICODE. A ferramenta nos
permite selecionar que sejam mostrados 10.000 mil itens por vez ou valores
superiores a este, em cada pesquisa.
163
Acima podemos determinar que o registro mostre tudo o que ocorreu dentro de
um intervalo de data e hora especfico, onde ainda poderemos escolher em
quais chaves de registro sero realizadas as buscas, podendo ser na MAQUINA
LOCAL, USUARIO CORRENTE, CLASSES, USURIOS ou CONFIGURAES
CORRENTES.
164
165
Quando clicamos em uma das chaves, podemos ter acesso aos dados atravs
do editor binrio do registro.
Acima temos a pesquisa pelo valor TYPED onde podemos extrair do sistema de
registro todas as informaes relativas aos 10 ltimos sites ou acessos interno
do sistema explorer que foram efetivados nesta mquina.
166
167
De forma muito simples podemos em uma s tela verificar, filtrar e analisar em tempo
real todas as auditorias que estejam instaladas em um sistema operacional.
Na aba EDIT podemos aplicar opes de busca refinadas sobre todos os eventos,
copiar os dados desejados, selecionar ou desfazer a seleo para futura cpia e
gravao dos dados.
168
Na pgina anterior podemos marcar linhas de grade entre as colunas, podemos retirar
tais linhas, podemos armar relatrios no formato HTML de todos os itens e ou somente
de itens selecionados, podemos determinar o que mostrado ou no em cada coluna,
podemos ver as colunas de forma e tamanho automticos e por fim, podemos atualizar
as informaes gravadas no arquivo de dados de auditoria.
Na aba opes, podemos determinar que os eventos possam ser mostrados em filtros
pr estabelecidos pelos tipos tais como: Erro, Alerta, Informao, Sucesso de Auditoria
e Falha de Auditoria, tambm podemos procurar eventos pela descrio, mostrar o
horrio no formato GMT, mostrar a data do evento, mostrar a descrio de cada evento
na tabela e ainda podemos utilizar um filtro avanado.
169
170
Na pgina anterior verificamos que vrios usurios podem ser identificados por
padro como CONTA DE ASSISTNCIA REMOTA, CONTA DE ACESSO
REMOTO, mais abaixo vemos a senha padro com 18 bits de comprimento
(EXECUTIVO), e, alm disso, podemos ver ao final a senha para discagem em
servios de internet (modens 3G OU 4G) onde ao lado podemos verificar o SID
do respectivo usurio responsvel pelo modem, se o mesmo realmente existe e
qual a operadora.
171
172
173
174
A interface grfica da ferramenta facilita o seu uso, onde podemos perceber que
a mesma j identifica o computador com o seu nome de rede (nome lado
esquerdo abaixo na tela), para dar continuidade ao uso podemos de forma direta
utilizar o boto AUDITAR, mas antes devemos verificar o boto de configuraes
da ferramenta.
175
A ferramenta permite que os dados sejam salvos em diversos formatos para que
a produo da anlise tenha maior eficcia.
176
Acima temos um padro de tela com as informaes dentre muitas outras que
so geradas pela ferramenta.
177
Da esquerda para direita temos o nome da aplicao que foi executada o seu
nmero de ordem em uma fila de processos a quantidade de vezes que foi
executada e a data da sua ltima modificao que poder coincidir com a data
de sua ltima execuo.
178
179
Ao clicar com o lado direito do mouse sobre o aplicativo, o analista tem acesso
s informaes de propriedade do mesmo conforme abaixo.
180
Na primeira etapa o analista deve verificar qual chave do registro deseja realizar
o despejo, pode ele tambm acessar outros computadores que estejam em rede
para realizar o despejo ou evidenciar as informaes constantes no relatrio
pelas chaves do registro ou pelo tempo de ao.
181
Para realizar uma simulao, na tela superior foi digitado o nome de um usurio
do sistema na opo de filtro, que no caso retornou com as respostas que
constam tal dado em todas as chaves possveis conforme se percebe no quadro
abaixo.
182
183
por impressoras,
por
compartilhamentos,
por
diretrios
compartilhados, permisses por usurio, por grupo, pelas polticas, pelos direitos
e finalmente pelos servios em execuo naquele momento.
184
No exemplo acima, temos o usurio BATMAN com o seu respectivo SID a data
de ltimo logon, o nome do computador em que se logou, e as suas permisses
de log on.
ANEXO I
185
186
187
188
189
ANEXO III
Etapas de como se extrair uma cpia do
certificado auto assinado de um sistema
operacional Windows XP.
190
Para abrir Certificados, clique em Iniciar, Executar, digite mmc e, em seguida, clique
em OK. No menu Arquivo, clique em Abrir, clique no console que deseja abrir e, em
seguida, clique em Abrir. Na rvore de console, clique em Certificados. Tais aes tem
o valor de uso para a assinatura de imagens forenses com o uso de um certificado PFX,
bem como, para o uso em investigaes onde seja necessrio exportar a chave do
investigado e abrir os arquivos que foram encriptados por ele.
191
Clique em ADICIONAR.
192
193
Defina o tipo de formato de arquivo a ser exportado em nosso caso ser com a extenso
PFX
Defina uma senha tendo em vista a possibilidade de usar a chave privada para realizar
assinaturas.
Senha definida.
194
195