Queira o Sr.

Perito detalhar como detectar a cpia de arquivos para dispositivos externos

Determinar se algum arquivo foi copiado para dispositivos externos no uma tarefa fcil, ainda mais se o arquivo estava em sistemas operacionais Microsoft Windows utilizados como estaes de trabalho ou servidores que geralmente no possuem polticas que restrinjam esta atividade. Para conseguir isso necessrio utilizar uma tcnica que se inicia a partir do exame dos logs de documentos abertos recentemente (atalhos) em conjunto com os registros do sistema operacional. Com o exame dos logs de documentos abertos recentemente (atalhos) possvel identificar se um arquivo foi copiado ou esteve armazenado em alguma unidade ou volume e qual a letra (C: D: E:) atribuda a esta unidade quando ela foi conectada ao computador. J com os registros de sistema possvel determinar que tipo de dispositivo de armazenamento essa unidade representa. No post de hoje vamos ver na prtica como tudo isso funciona. Para reproduzir esse procedimento ser necessrio baixar trs ferramentas livres, o Encase Imager, FTK Imager e o Registry Ripper, os quais podem ser encontrados nos sites a seguir: http://www.guidancesoftware.com/Order-Forensic-Imager.aspx http://www.accessdata.com/support/product-downloads http://www.regripper.wordpress.com Parte 01 dos exames: Abra uma imagem forense com a ferramenta Encase Imager para ter acesso estrutura de arquivos: O primeiro passo localizar eventuais registros que indiquem a cpia de arquivos. Nesse procedimento ns utilizaremos como recurso os arquivos de atalho que so gerados pelo sistema operacional toda vez que um documento aberto. Os atalhos podem ser localizados em dois locais: \users\<USERNAME>\AppData\Roaming\Microsoft\Windows\Recent\ \users\<USERNAME>\AppData\Roaming\Microsoft\Office\Recent\ Na guia Evidence, utilize a Viewing Entry para navegar at os diretrios indicados acima. Neles voc encontrar diversos arquivos com extenso lnk. Essa a extenso de arquivo do tipo atalho. Em que eles podem nos ajudar? BemUm arquivo de atalho criado sempre que um documento aberto. O nome do atalho igual ao nome do documento, dessa forma fica fcil saber quais documentos foram abertos. Alm disso, as propriedades tcnicas dos atalhos nos indicam quando o documento foi aberto e onde ele estava. Logo, se um arquivo foi copiado para um

pendrive, por exemplo, e aberto dentro desse pendrive, haver nas referidas pastas registros que indicam esse evento. Na figura abaixo podemos ver o contedo da pasta Recent. Observe que existem trs arquivos do tipo atalho. Utilizaremos no nosso exemplo o arquivo MyDocument 01.docx.lnk.

Para obter um relatrio sobre arquivo lnk clique sobre ele para selecion-lo e em seguida clique na aba Report do Encase Imager como indicado na imagem acima. Ser exibido um relatrio sobre o arquivo lnk com os seguintes metadados e informaes relevantes.

As informaes relevantes apresentadas pelo Encase Imager para o arquivo de atalho MyDocument 01.docx.lnk so mostradas na figura a seguir:

Com base nessas informaes, podemos concluir que:

1. O arquivo MyDocument 01.docx foi acessado em 15/08/2013 s 11:29:08; 2. O volume ou unidade onde ele estava armazenado chama-se PORTABLE; 3. O endereo onde o documento estava era G:\UTIL\Documents\. O prximo passo dos exames saber o era a unidade G:\ denominada PORTABLE. Para isso, vamos montar os registros do sistema operacional exportando-os com a ferramenta FTK Imager. Utilizaremos o FTK Imager, pois o Encase Imager no permite a exportao de arquivos. Parte 02 dos exames Aps abrir a imagem forense no FTK Imager acesse o diretrio C:\Windows\System32\Config e exporte os arquivos SYSTEM e SOFTWARE:

Abra a ferramenta Registry Ripper e, em Hive File, clique no boto Browser para selecionar o arquivo de registro SOFTWARE recm-exportado. Em seguira, em Report File, clique no boto Browser e indique o local onde voc quer que seja criado o relatrio sobre esse registro. No campo Plugin File escolha a opo software e, por fim, clique em Rip It para criar o relatrio do registro SOFTWARE:

Repita esse o mesmo procedimento com o arquivo SYSTEM, mas certifique-se de selecionar o Plugin correspondente. Agora que os arquivos de registro esto montados, vamos examin-los em busca das respostas necessrias. No arquivo SOFTWARE existe a chave de registro Microsoft \Windows Portable Devices\Devices. Localize esta chave e examine as informaes sobre os dispositivos externos que foram conectados ao computador. Observe que o dispositivo SANDISK&PROD_CRUZER_BLADE possui o nome PORTABLE e foi conectado ao computador no mesmo dia e em horrio muito prximo ao ltimo acesso registrado para o documento MyDocument 01.docx.

Este dispositivo possui um nmero de srie indicado na mesma chave de registro. Com ele possvel identificar qual letra esta unidade foi mapeada no sistema. Para fazer isso, abra o relatrio recm-gerado referente ao registro SYSTEM. Com o comando Ctrl+F, faa uma busca pelo nmero de srie do dispositivo. O resultado do nosso exemplo mostrado na figura a seguir.

Note na imagem acima que o dispositivo de nome SanDisk Cruzer Blade, identificado como PORTABLE, foi mapeado no sistema operacional na letra G:\. Ao pesquisar pelo dispositivo SanDisk Cruzer Blade no Google verificamos que trata-se de fato de um pendrive:

Concluso: Com base nos arquivos de atalho e nos registros de sistema conseguimos verificar que arquivos estavam armazenados em dispositivos externos. Isso pode ajudar na identificao de eventuais desvios de informao ou mau uso de documentos corporativos.