Vous êtes sur la page 1sur 196

2013

jorge.rf@unp.br
Prof. Jorge Ramos de Figueiredo/ 2013

Curso de especializao em
computao forense. Turma D.
Forense em ambiente Windows 2
Material destinado ao desenvolvimento da disciplina de forense em ambiente
Windows 2, onde teremos uma nfase nas tcnicas de preservao, coleta e
anlise de dados ao nvel forense com o uso de ferramentas forenses em
formato encapsulado no modo post mortem.
O sistema operacional bero dos
vestgios, conhec-lo em profundidade e
aprender a interpretar suas informaes,
o caminho mais seguro para a produo da
prova pericial de qualidade. (Figueiredo,
Jorge 2010).

Natal, setembro de 2013.

Captulo 01
Utilizando ferramentas no modo post mortem

01 Duplicao Forense.
Em nossos estudos voltados a criminalstica aplicada computao forense teve a
oportunidade de estudar os diversos aspectos histricos que cercam a computao
forense, que em seus primrdios da Dcada de 1980, ainda se admitia como sendo uma
cpia forense vlida uma imagem de back up de um disco ou dispositivo a ser
investigado. Quando tal fato ocorre, temos vrios problemas graves em relao
integridade dos dados que esto sendo periciados, dentre os quais podemos ressaltar:

1. Como saber se todo o contedo foi realmente copiado?


2. Como saber se o contedo que foi copiado igual (100%) ao contedo fonte?
3. Como saber se os dados e meta dados do contedo fonte foram realmente
preservados?
4. Como garantir a integridade da linha do tempo do contedo fonte e da cpia que
foi feita. (princpio da mxima preservao).
Dando continuidade ao nosso relato histrico as empresas, engenheiros de computao
e analistas de sistema da poca deram o incio aos primeiros estudos dos algoritmos
que iriam mais tarde transformaram-se nos que utilizamos nos dias de hoje para as
cpias forenses de forma segura e profissional.
Portanto, para que possamos receber uma cpia como sendo FORENSE, ela deve ter
algumas caractersticas que nos possibilitem ter confiana na integridade de seus
dados, onde:
1. Deve possuir um formato de dados (adequado) devidamente aceito pela
comunidade profissional e ou cientfica como sendo um formato forense.
2. Deve ser capaz de garantir a integridade dos dados no momento da leitura na
fonte e escrita somente na origem.
3. Deve ser capaz de emitir um relatrio devidamente circunstanciado sobre o
tempo do seu trabalho de cpia, os blocos ou imagem que foram criados, o
formato que foi criado e a assinatura de segurana final que comprova a
consistncia dos dados como sendo um par perfeito.
4. Somente pode ser executada por meio de um interpretador especfico em seu
modo somente leitura.

1.1 Formatos de imagens forenses.


Abaixo, temos as contribuies do analista e perito particular Tony Rodrigues, sobre as
caractersticas de cada tipo de formato de imagem forense, informo que as ferramentas
que em breve estaremos utilizando, dispem de solues para cada tipo de formato que
foi aqui narrado.
O formato de imagem forense de forma simples, uma espcie de file system especfico
para realizao de percias que somente permite a leitura e interpretao dos dados
com o respectivo interpretador de anlises.
a)RAW
Como eu disse acima, esse ainda o formato mais comum. uma imagem literal do
HD, cpia exata, bit a bit. o formato de sada de vrios utilitrios, como o dd, o dcfldd e
o sdd. H tambm alguns utilitrios GUI para Linux, que nada mais fazem do que usar a
interface grfica para que o usurio indique os parmetros com os quais o utilitrio de
imagem vai ser executado. Como arquivos gerados podem ser muito grandes, alguns
utilitrios permitem que a imagem seja quebrada ( 3 split) em vrios arquivos de
tamanhos fixos.
b)Expert-Witness (E01)
o formato proprietrio do EnCase, um dos melhores programas de Forense
Computacional que existe. Infelizmente, o EnCase no free. Apesar disso, existem
utilitrios free que fazem a aquisio forense de um HD j no formato E01. O Linen, por
exemplo, oferecido no Helix.
c)SGZIP
O sgzip um formato compactado usado pelo pyFlag. baseado no gzip, mas com
capacidade para ser montado e pesquisado. O utilitrio sgzip, no pacote do pyFlag, o
responsvel por converter entre imagens raw (dd) e o formato sgzip.

d)Advanced-Forensic-Format-(AFF)
O formato AFF , por assim dizer, o primeiro formato pensado em termos de padronizar
o mercado, oferecendo uma soluo de estrutura de arquivo de imagem que enderece
vrios problemas antigos. Ele um formato novo, mas vem sendo amplamente aceito e
eu apostaria dizer que o formato que vai predominar daqui a alguns anos.
1.2 Tipos de abordagens para duplicao.
Como j fora dito, tivemos a oportunidade de estudar e praticar todas as possibilidades
e versatilidades do modo de investigao in vivo fazendo uso das ferramentas em seu
modo live, por meio do prompt do DOS. De forma bsica, podemos adotas duas
abordagens na duplicao:
1.1.2 DUPLICAO IN VIVO.
1. A mquina alvo da investigao deve obrigatoriamente estar em pleno
funcionamento (ligada).

2. O investigador forense no pode ser o responsvel pela sua inicializao


proposital ou acidental, ela (mquina) j deve estar em anterior funcionamento
de forma natural acionada pelo usurio responsvel ou pelo seu proprietrio.
3. A ferramenta utilizada pelo investigador, no pode sob qualquer forma
necessitar de instalao e registro em sistema operacional, ela deve apenas ser
executada de forma simples ficando alocada em memria voltil no computador
alvo, como um processo simples, onde observamos que ao se escolher a
ferramenta deve-se sempre atentar para aquelas que so capazes de se
executar a tarefa com o mnimo de espao ocupado em memria RAM.
4. Ao final o produto da duplicao deve obrigatoriamente ser disponibilizado em
um formato especfico de aquisio forense, devidamente assinado por um
algoritmo que garanta a integridade dos dados na leitura, transporte e gravao
no destino.
5. O investigador forense no pode sob qualquer hiptese gravar os dados da
imagem forense no mesmo disco fonte (alvo) de investigao, ele deve sempre
fazer uso de recursos de armazenamento independentes, sejam em forma de
discos externos, pen drives ou locais de rede que possam armazenar tais dados.

6. Para fins de transporte da imagem forense, ela pode ser seccionada em vrios
pedaos que estejam devidamente assinados e seguros, onde cada pedao
deve corresponder ao limite do disco ou discos de transporte do material.

7. As ferramentas de imagem permitem que o analista faa uso do recurso de


compactao do material investigado, onde devemos garantir que somente os
espaos vazios do disco sero compactados para melhorar a performance de
tempo da imagem, evitando a todo custo a compactao de clusters e blocos
que estejam ocupados com dados.
1.1.3 Executando uma duplicao in vivo.
Passaremos a relatar o passo a passo de como poderemos executar uma ao de
duplicao em mdia quente.
1 Passo.
Para o incio da tarefa faa uso de um dispositivo PEN DRIVE ou CD/DVD que conste a
ferramenta a ser executada.

2 Passo.
Insira o dispositivo externo do tipo USB, FIRE WIRE ou ACIONE a pasta de rede que
servir como destino de nossa ao de cpia forense. (veja o exemplo assinalado
abaixo).

3 Passo.
Execute a ferramenta para o incio da cpia dos dados.

4 Passo.
Depois que a ferramenta foi devidamente aberta, vamos tratar dos aspectos tcnicos da
mesma, para que possamos entender o seu sistema de funcionamento.

1.1.5 Os aspectos da ferramenta FTK IMAGER LITE 2.9.0.1385


Trata-se de uma ferramenta forense leve e extremamente verstil, criada pela empresa
Norte Americana ACESS DATA a qual foi desenvolvida de forma intencional para ser
executada como um processo de sistema simples sem a necessidade de instalao,
portanto dentro dos padres e exigncias para uma ferramenta em modo live. Vamos
agora estudar mais a fundo todas as suas rotinas de funcionamento e explorar o
potencia de uso que a mesma pode nos dar.
a) Barra de ferramentas principal.

Situa-se na parte superior, onde iremos trabalhar os menus de opo e suas


caractersticas.
FILE.
Ao lado temos a barra de menu que aberta
quando do uso da opo file, podemos de
cima para baixo : Adiciionar um novo item
de evidncia, Adicionar de uma s vez
todos od discos e dispositivos que esto
conectados no computador alvo, criar a
imagem forense de um disco, captutar a
memria voltil da mquina alvo ou obter
arquivos protegidos.

COMO EXECUTAR O DESPEJO DA MEMRIA RAM.


de grande relevncia que todos os alunos saibam a importncia de como se despejar
o contedo da memria RAM do computador, para tanto basta
acesso BOTO acima descrito e despejar o contedo para um
LOCAL SEGURO (externo) onde iremos fazer mais anlises
futuramente. Tal ao somente se aplica no modo LIVE.
VIEW
Ao

lado

temos

as

opes

do

menu

VIEW

(visualizao),onde poderemos ver a barra de


ferramentas, barra de status, rvore de evidncias,
lista

de

arquivos,

propriedades

de

arquivos,

interpretador de valores hexadecimal, contedos de


busca customizados, miniaturas de fotos, cones,
listas, detalhes e por fim ressetar o mesmo para o
padro anterior.

MODE
Ao lado, temos as opes do modo de visualizao
dos dados onde poderemos ver no padro explorer do
Windows, ou em formato de texto ou por

fim em

formato hexadeciamal.

HELP
Ao lado, temos o menu final help que nos remete
aos tpicos de ajuda (manual da ferramenta) e
todos os dados de verso e fabricao da mesma.

Modo de visualizao prvia.


Devemos alertar a todos os alunos, que o que se denomina como DISCOVERY, ou seja,
uma explorao do local a ser investigado, somente pode ocorrer se forem tomadas
todas as providncias necessrias visando a proteo dos dados que sero
investigados, a ferramenta possui a opo de aquisio prvia de um dispositivo, onde
atravs da leitura da MBR do mesmo, de forma rpida ela consegue adicionar no seu
browse de trabalho o dispositivo escolhido.
O

boto

de

aquisio prvia
nos leva a tela
lateral que abre as opes
de

trabalho

com

as

seguintes formas: DISCO


FSICO,
LGICA

PARTIO
DE

CONTEDO
PASTA

DADOS,
DE

UMA

(DIRETRIO),

perceba que a ferramenta


no faz imagem especfica
de arquivos. Neste caso
vamos solicitar a primeira opo que seria examinar de forma prvia o disco da mquina
investigada. Depois clique na seta AVANAR.
Perceba

que

so

evidenciados o total de 03
DISCOS FSICOS sendo
eles: DISCO ZERO de 16
GB

da

investigada,

mquina
DISCO

UM

8GB representando o PEN


DRIVE com as ferramentas
e o DISCO DOIS de 320
GB representando o disco
de DESTINO dos dados
que sero tratados. Aps
esta etapa, basta selecionar o disco e clicar em finalizar.
9

Agora

em

nossa

rvore

de

evidncias o disco escolhido j foi


devidamente

reconhecido

montado, veja que temos a opo lateral de expanso do mesmo, cabe neste momento
o AVISO DE GRANDE RELEVNCIA onde devemos mostrar que este estado de
PERMISSO DE ESCRITA onde todas as aes de ACESSO, MODIFICAO e
CRIAO de dados no disco selecionado iro de forma DIRETA repercutir na qualidade
e na INTEGRIDADE dos dados que esto sendo investigados. Vamos a ttulo de
experincia acessar os dados e verificar como eles so apresentados.
Abaixo temos a demonstrao dos
dados do disco onde mostra o total
de 15.358MB de dados, e mais
abaixo o espao no particionado
tambm conhecido como rea
bsica do disco.
Ao lado, fizemos a expanso de
mais

um

nvel

onde

fica

caracterizada a estrutura do Disco


C que neste caso no possui um
nome (NO NAME) e mais abaixo
as pastas que compe o mesmo,
DIRETRIO

ROOT

que

representa o diretrio principal


com todos os dados do disco,
ESPAO NO ALOCADO que
representa

espaos

que

no

receberam um formato (file system) e, portanto no so acessados pelo sistema de


arquivos atual, relevante informar que este espao deve e merece ser investigado
tendo em vista a grande possibilidade de ser encontrar dados relativos a instalaes ou
formatos anteriores do disco tendo em vista a possibilidade do criminoso ter modificado
o formato do disco ou mesmo desalocado pedaos destes de forma proposital para
evitar o acesso a tais partes. Por ltimo, temos o ESPAO RFO onde podemos
atestar que os dados ali contidos estavam no passado, devidamente registrados na
MBR (Tabela Mestre de Arquivos), mas que atualmente so considerados perdidos ou
rfos tendo em vista terem perdido a referncia para com a MBR.

10

Acima, temos a viso da janela de lista de arquivos da ferramenta que corresponde de


forma fiel ao contedo que visto pelo investigador na rvore de evidncias, veja que
podemos verificar o tipo de evidncia do que se trata e a sua respectiva data de
modificao.

Acima podemos verificar que ao se escolher um arquivo especial, este logo abaixo no
quadro posterior mostrado em seu formato natural seja ele binrio, texto, filme ou
mesmo foto Neste caso acessamos de forma proposital o arquivo MFT (Master Table
File) TABELA MESTRE DE ARQUIVOS sendo ela de grande relevncia no processo de
recuperao de dados de um disco ou dispositivo, como podem perceber, ao lado de
cada arquivo, temos a opo de tamanho, tipo de arquivo e data da ltima modificao.

11

Ainda podemos fazer uso das informaes do arquivo escolhido que constam no rodap
da ferramenta que podem nos auxiliar a recuperao de dados e ou localizao de
dados perdidos em um disco, veja:

As informaes acima, dizem respeito ao arquivo da MFT onde nos informado que ela
est armazenada no CLUSTER 775141 do disco, e no SETOR FSICO 6201191.
Mais um fato curioso que podemos mostrar neste momento, seria a identificao de um
arquivo protegido por criptografia, onde o mesmo, no pode ser exibido em seu formato
natural, tendo em vista a chave criptogrfica, mas mesmo assim podemos identificar o
tipo de arquivo que se trata e seus dados em formato binrio (hexadecimal). (Os
arquvos esto assinalados com o smbolo de uma chave).

12

Bem, agora que j percebemos os pontos iniciais que so relativos a captura e exame
de um dispositivo, vamos agora tratar da forma como o mesmo deve ser desconectado
da ferramenta, acima temos o cone vermelho que ficam ao lado dos cones verdes de
acesso aos dispositivos, eles so os responsveis por desconectar UM DIPOSITIVO
POR VEZ ou TODOS DE UMA S VEZ, para tanto basta clicar no mesmo.

Como

podem ver ao lado a janela agora est LIMPA sem qualquer dispositovo montado.

DICA:
Fique atento ao que foi explicado, o modo
prvio no um modo seguro para anlise
forense, pois ao navegar nos dados com ele,
voc ter acesso ao disco investigado de
forma a modificar a sua lista de MAC TIME ,
portanto ir perder informaes de grande
relevncia ao caso.

13

Modo de imagem forense.


Agora que j sabemos da metodologia de aquisio prvia de dados, vamos tratar do
modo de imagem forense em seu formado LIVE.

Ao iniciar a ferramenta, e sem chamar qualquer tipo de dispositivo ou mesmo montar


qualquer dispositivo, acione um boto de cor branca que est na barra principal.
Este boto nos levar ao processo adequado de cpia forense dos
dados necessrios investigao.

Aps acionar o boto, iremos verificar que


temos as seguintes opes de trabalho,
copiar um disco fsico, copiar uma
partio lgica, copiar um arquivo ISO, ou
seja, uma imagem, copiar o contedo de
uma pasta e por fim, copiar um CD/DVD
de dados ou outro tipo. Como j sabemos
se tratar de um DISCO FSICO, vamos
em AVANAR.

14

Selecionamos

devidamente

dispositivo que desejamos copiar,


depois desta etapa, basta optar por
FINALIZAR o processo.
Abaixo temos a tela de CRIAO
DE IMAGEM sendo ela de grande
relevncia para o nosso estudo,
tendo em vista que ela nos mostra
QUAL

FONTE

DS

QUAL

IREMOS LER para se formar uma


imagem, no caso o nosso DISCO ZERO.
Temos ao lado o nosso LOCAL
DE

DESTINO

que

ser

preenchido com os dados do


destino da IMAGEM, temos mais
abaixo

ADICIONAR

opo
os

de

se

dados

da

IMAGEM e no final temos a


opo de VERIFICAR TODAS
AS

IMAGEMS

DEPOIS

DE

CRIADAS (tal opo tem alta


relevncia, pois se no estiver
marcada no poderemos ter o
relatrio de confirmao de assinatura) PRECALCULAR O PROCESSO, desta forma o
investigador tem uma noo do tempo gasto na sua tarefa, e CRIAR UMA LISTAGEM
COMPLETA COM TODOS OS ARQUIVOS do disco, neste caso, o investigador ir
receber tais dados no formado CSV devidamente aptos a serem analisados, as
informaes sobre os arquivos so valiosas como poderemos ver mais a frente.

15

Aps clicar em ADICIONAR,


iremos agora nos preparar para
a escolha do FORMATO da
imagem a ser realizado, sendo
CRUA (RAW) (DD), SMART
(Antigo formato comercial para
imagem forense sendo ele um
dos primeiros a serem criados)
e

E01 (o primeiro formato

profissional

criado

para

ferramenta EM CASE). Nota-se que este mdulo ainda no d a opo do formato AFF
que iremos ver no modo 3.0 na metodologia post mortem. Depois de escolhido o
formato clique em AVANAR.
Bem, agora estamos em uma
etapa

de

organizao

dos

dados a serem criados onde


devemos inserir um NUMERO
DO CASO, ou NMERO DO
PROCESSO, depois devemos
informar

NMERO

DA

EVIDNCIA no caso de termos


mais

de

uma,

como

por

exemplo, 01/03 informando que


se trata da primeira de 03
evidncias,

depois devemos

efetuar a DESCRIO NICA


da evidncia, depois devemos
identificar o nome completo do
INVESTIGADOR DO CASO e
por

fim,

devemos

informar

notas ou resumos que so


relevantes ao caso. Depois
vamos

clicar

em

AVANAR.Caixa de identificao devidamente preenchida.

16

Ao lado temos a caixa de


destino da imagem onde
devemos apontar o local
onde

mesma

ser

armazenada, depois de
tal fato, devemos dar um
NOME ao arquivo de
imagem sem incluir a
extenso

do

mesmo.

Depois,

devemos

determinar o valor de
cada FRAGMENTO ou
SPLIT da imagem, tal
artifcio

como

explicado

tem

valor

quando

j
grande

se

faz

necessrio o transporte
dos dados de um local
para

outro,

no

caso,

podemos por exemplo


colocar o valor de 4600
que

representa

um SPLIT de 4,6 GB de
dados que caberia de
forma muito fcil em um
DVD se o investigador
preferir

uma

imagem

inteira ele deve optar


pelo

VALOR

ZERO.

Somente os formatos
SMART e E01 fornecem
opo de compresso
de dados onde alm de partir em vrios pedaos possvel comprimir os dados
para reduzir o tamanho. Ao lado temos a base de seleo da imagem devidamente
preenchida, ainda podemos fazer uso de mais um recurso que nos permite ENCRIPTAR
os dados da imagem criada para que outras pessoas NO POSSAM ter acesso aos
mesmos. Para utilizar tal servio, basta marcar a caixa de SELEO. Depois de clicar
17

em FINALIZAR o investigador
ter

acesso

tela

ENCRIPTAO
DADOS

de
DOS

que

pode

ser

realizada de duas formas por


meio

de

uma

SENHA

(123456) que pode utilizar


LTRAS,

NMEROS

CARACTERES ESPECIAIS,
ou

pode

usar

um

CERTIFICADO DIGITAL para


comprovar

que

somente

AQUELE CERTIFICADO tem


poderes para abrir o arquivo
de imagem. Depois de clicar
em OK iremos ver a tela final
onde todos os dados esto
devidamente montados e em
ORDEM como fonte, destino e
verificao. Para o incio da
cpia pode clicar em START.
Ao lado temo a comprovao
do incio dos trabalhos de
cpia
verificar

onde
uma

poderemos
escala

PERCENTUAL e uma escala


de VELOCIADADE em MB
por SEGUNDO em nosso
caso estamos com um disco
externo COM DUAS PORTAS
USB 2.0 e uma velocidade de
6,6 MB por segundo, havendo
uma estimativa de 37 minutos para a cpia de 16 GB. Devemos ressaltar que o tipo de
imagem no formato LIVE tende a ser mais lenta pois devemos levar em considerao a
capacidade e memria do computador residente dos dados. Bem como, a forma de
conexo de dados por meio USB 2.0 bem mais lenta do que UBS 3.0 ou mesmo via
barramento IDE ou SATA.
18

Depois

que

imagem

foi

devidamente criada, ela passa


pelo processo de extrao da
listagem de diretrios e arquivos
que so gravados de forma
automtica, podemos perceber
na figura ao lado que a listagem
de nossa imagem foi criada com
sucesso no tempo de 9 minutos
e 11 segundos.
Nesta etapa a ferramenta passa
a executar a verificao de cada
bloco que foi gravado para ter a
devida certeza de que todas as
informaes

esto

geradas por

meio

sendo
de

uma

assinatura ntegra dos dados.


Neste caso o processo tambm
demorado e lento a nossa
verificao durou um pouco
mais de 40 minutos.

19

Acima temos a verificao final de que o processo de imagem transcorreu com


perfeio, onde o arquivo que encabea o conjunto de dados que ir montar a imagem
est listado em GENERAL, depois temos a informao de todos os setores do disco que
foram lidos. Logo abaixo temos a informao da assinatura da funo MD5 de 128 Bits
que comprova no momento de leitura resultado igual ao do momento da gravao do
relatrio e o processo de verificao resultou em um PAR PERFEITO. Da mesma forma
o protocolo SHA1 de 512 Bits de dados aferindo novamente o mesmo PAR PERFEITO,
e ao final foi detectado que no houve setores RUINS no disco.

20

Ao lado temos o sumrio da imagem do


disco, tal documento na verdade um
resumo de todos os dados que foram
tratados na confeco da imagem que
foi realizada por ns, veja que so
registrados os dados do caso, todos os
dados fsico do discos e seus setores, e
nmero

de

srie,

depois

so

informados as assinaturas do tipo MD5


e SHA1 que formam a integridade dos
dados,

ao final o relatrio mostra a

data e hora de incio do trabalho e a


data e hora de fim do trabalho
mostrando em quantas partes SPLITS
a imagem

foi cortada para que

pudesse ser transportada, em nosso


caso ela foi cortada em 11 pedaos.

21

A estrutura do resultado da imagem criada.


Abaixo temos a pasta que armazena todos os dados resultados do processo de cpia.

Abaixo temos a estrutura de arquivos que montada ao final do processo de cpia.

Abaixo temos o destaque do arquivo onde esto armazenadas todas as informaes


dos dados que estavam registrados no disco que foi copiado, mais adiante o resultado
de tais informaes ser objeto de um estudo mais profundo.

22

Montando a imagem criada.


Nesta etapa de nossos estudos j temos a frmula para criar uma imagem forense em
modo LIVE, agora passaremos a trabalhar o processo de montagem da mesma no local
adequando, lembro a todos que o computador investigado deve ser manuseado
com todos os cuidados necessrios e sempre preservado ao mximo possvel
contra as alteraes, portanto logo aps o processo de imagem devidamente
concludo a mesma deve ser utilizada no seu ambiente de investigao por meio das
tcnicas adequadas.

DICA: QUANDO REALIZAR DILIGNCIAS EXTERNAS


LEVE

COM

VOC

UM

NOTEBOOK

ou

OUTRO

COMPUTADOR CAPAZ DE SUBIR AS IMAGENS QUE


CRIOU, desta forma voc sempre ter a certeza de que
todas esto funcionando de forma correta.

Por

precauo, sempre faa uma CPIA da imagem criada e


guarde em local seguro, pois em caso de danos no seu
HD ou dispositivo de armazenamento voc ainda tem
outra cpia assinada.

23

REA DE TRABALHO DA SUA ESTAO DE ANLISE.


1 Passo.
Monte o disco externo ou dispositivo de voc utilizou para armazenar os dados da
imagem.

2 Passo.
Verifique se a pasta e os dados em seu interior esto OK para montar sua imagem de
trabalho.

24

3 Passo.
Execute a ferramenta de interpretao adequada para montar a sua imagem. Neste
momento devemos esclarecer a voc que o formato RAW (DD) compatvel com o
LINUX onde pode ser montado e analisado em diversas ferramentas do tipo FOSS
(Forensics Open Source) dentre elas o mais a mais conhecida o AUTOPSY , j o
formato SMART,

E01, AFF so caractersticas de formatos consagrados da rea

privada como FTK da empresa ACESS DATA e ENCASE da empresa GUIDANCE.


Lembro que para montar a imagem o arquivo mais relevante o de nmero 01 ele
possui todos os dados de concatenao das partes que foram criadas, bem como,
possui as informaes da MBR (MFT) do disco que foi copiado.

4 Passo.
Acesse a rea de trabalho de sua estao forense e clique duas vezes no cone da
ferramenta FTK 3.0.1.1467 onde voc poder dar incio ao processo de investigao de
dados.

25

5 Passo.
D um clique sobre o cone de adicionar evidncia.

6 Passo.
Faa a opo por arquivo de imagem como na figura ao lado e clique em AVANAR.
Depois clique em BROWSE para ter acesso ao local dos dados, depois acesse e
selecione o arquivo 001. Depois clique em FINALIZAR, pronto a sua imagem est
montada em modo de investigao segura.

Sem a senha no d, lembram...


(123456)

26

7 Passo.
Imagem pronta para uso e investigao.

1.2 DUPLICAO POST MORTEM.


1-A mquina utilizada como estao forense deve possuir capacidade de
processamento de dados, clculo computacional (Desejvel Core I3, I5 ou I7) e
memria de trabalho (RAM) (Desejvel 8GB ou acima) compatvel para a sua tarefa,
caso contrrio o rendimento e a demora na sua execuo podem passar de horas por
disco a ser copiado. Outro ponto relevante que deve ser disponibilizado a fonte de
energia e potncia (energia) para a estao, pois em casos de investigao externa se
far necessrio subir dois discos de 1 TB de dados, fora o disco do sistema e os demais
recursos da placa me, tal fato denota a necessidade de uma fonte de energia real entre
450 Watts a 750 Watts.
2-O(s) Disco(s) que sero copiados devem de forma obrigatria ser protegidos contra
ordens de carga BOOT STRAP (inicializao) dos sistemas operacionais, devendo
apenas receber a carga de inicializao de montagem dos drives e dos volumes, bem
como serem devidamente reconhecidos na estao forense. (Desejvel possurem
trava fsica contra escrita.)
3-O investigador forense deve instalar uma licena vlida de um sistema operacional, de
um sistema de antivrus, dos drives de udio e vdeo, bem como, os diversos codecs
para udio e vdeo, e um sistema de interpretador de dados do pacote Office, seja ele
em formato livre como em formato proprietrio, deve tambm possuir uma plataforma
para o formato PDF, e o conjunto de ferramentas forenses necessrias para o trabalho
de investigao. Pode se desejar fazer uso de sistemas em modo teste (trial) ou livres,
mas nunca deve burlar as licenas de software proprietrio.

27

4-Ao final o produto da duplicao deve obrigatoriamente ser disponibilizado em um


formato especfico de aquisio forense, devidamente assinado por um algoritmo que
garanta a integridade dos dados na leitura, transporte e gravao no destino.
5- O investigador forense no pode sob qualquer hiptese gravar os dados da imagem
forense no mesmo disco fonte (alvo) de investigao, ele deve sempre fazer uso de
recursos de armazenamento independentes, sejam em forma de discos externos,
discos internos, pen drives ou locais de rede que possam armazenar tais dados.
6-Para fins de transporte da imagem forense, ela pode ser seccionada em vrios
pedaos que estejam devidamente assinados e seguros, onde cada pedao deve
corresponder ao limite do disco ou discos de transporte do material.
7-As ferramentas de imagem permitem que o analista faa uso do recurso de
compactao do material investigado, onde devemos garantir que somente os espaos
vazios do disco sero compactados para melhorar a desempenho de tempo da imagem,
evitando a todo custo compactao de clusters e blocos que estejam ocupados com
dados.
1.2.1Executando uma duplicao in vivo.
Passaremos a relatar o passo a passo de como poderemos executar uma ao de
duplicao em mdia fria.
1 Passo.
Acesse a mquina alvo da investigao (com a mquina desligada e sem a conexo
com o cabo de fora), desconecte com o cuidado necessrio o(s) disco(s) que sero
investigados.

28

2 Passo.
Com a estao forense em seu modo DESLIGADO e sem a conexo do cabo de fora
na fonte de energia eltrica (evite eletricidade esttica) CONECTE os cabos do(s)
disco(s) que sero investigados e passe posteriormente a verificar a ordem de
inicializao para garantir que somente o seu disco de BOOT (Estao Forense) ir
receber ordem de inicializao.

3 Passo.

Verifique se a ordem de inicializao segura, onde sempre deve ser: CD/DVD depois
DISCO RGIDO DE SISTEMA. (Na BIOS de um computador fsico identifique com
segurana quem o disco de sistema que ser inicializado, para evitar acidentes).
4 Passo.

Verifique se data e hora do sistema e da BIOS esto devidamente sincronizadas.

29

Verifique os discos que foram reconhecidos pela sua estao forense, neste caso
DISCO 0:0 PRIMRIO MASTER- DISCO DE SISTEMA FORENSE; DISCO 0:1
PRIMRIO SLAVE DISCO INVESTIGADO 01; DISCO 1:1 SECUNDRIO MASTER
(DISCO DE DESTINO DOS DADOS).

Primrio Master o nosso sistema forense de 10GB.

Primrio Slave o nosso disco investigado de 16GB


5 Passo.

Utilizando o gerenciamento de dispositivos verifique se os trs discos foram


devidamente reconhecidos pelo sistema.

30

Utilizando o gerenciamento de discos verifique se todos foram montados e esto


ntegros. (O disco investigado recebeu o nome de ATIVO).
1.3 Os aspectos da ferramenta FTK IMAGER 3.0.1.1467
Conforme j explicamos em item anterior esta ferramenta foi criada
pela empresa ACESS DATA onde seu objetivo produzir e analisar
imagens seguras (modo forense) de dispositivos que fazem parte de
processos de investigao, diferente da anterior, ela necessita de
instalao e possui mais recursos e mais robustez, a forma de se produzir a imagem
forense a mesma da anterior, desta forma vamos resumir os passos necessrios para
ganhar mais tempo e fazer uma experincia com o rendimento de 3 tipos diferentes de
formado de imagem.
Formato SMART.
Vamos realizar a cpia
dos

dados

usando

FRAGMENTOS

de

(1500MB) e com COMPRESSO TOTAL


para

verificar

quanto

temos

de

rendimento em reduo e o tempo gasto.

31

Formato E01
A primeira imagem
montada em nossa
experincia relevou
uma velocidade que teve a mdia de
35MB

por

segundo

com

compactao mxima de dados. Ao


final de 13 minutos todo o trabalho foi
realizado e a imagem ficou com o
tamanho

de

4,5

GB

de

dados.

(Originalmente eram 16 GB).Vamos realizar a cpia dos dados usando FRAGMENTOS


de (4500MB) e com COMPRESSO TOTAL para verificar o quanto temos de
rendimento em reduo e o tempo gasto.
A Tarefa foi cumprida em um tempo de 14 minutos, gerando uma imagem de 4,5 GB de
dados.
Formato AFF

Vamos realizar a cpia dos dados usando FRAGMENTOS de (4500MB) e com


COMPRESSO TOTAL para verificar o quanto temos de rendimento em reduo e o
tempo gasto.
A Tarefa foi cumprida em um tempo de 24 minutos, gerando uma imagem de 4,4 GB de
dados.

32

1.3.1Como montar uma imagem forense.


Da mesma forma que efetuamos a montagem da imagem in vivo serve para o
processo post mortem.

Como verificar o DRIVE da imagem criada.


Sempre que se
fizer necessria
uma

nova

verificao de integridade da
imagem que foi criada pelo
sistema,

ferramenta

possibilita ao investigador uma


nova gerao de chaves de
autenticao que iro comprovar que a imagem que foi verificada neste momento a
mesma que foi criada no ato da diligncia anterior.

33

Como exportar uma listagem do diretrio.


A

qualquer

momento,

basta

selecionar a imagem desejada


que o investigador ter em
poucos momentos um arquivo
em formato CSV que contm
todos os dados dos arquivos da
imagem criada por ele.

Como remover os itens de evidncia.


Aps a utilizao, basta apertar um dos botes ao lado que de forma
rpida as evidncias que foram levantadas pela ferramenta so
imediatamente liberadas.
1.3.2 Aes de investigao com a ferramenta FTK IMAGER 3.0.1.1467
Nada mais h que se falar em preservar uma evidncia por meio de uma imagem
forense, tal assunto j foi mostrado e tratado de forma exaustiva por duas metodologias
diferentes. Agora vamos nos ater a como tirar o proveito e coletar dados para
investigao fazendo uso da ferramenta e suas versatilidades.
1.3.2.1Como analisar o arquivo de listagem de diretrio.
O referido arquivo criado de forma automtica ou por
solicitao

do

investigador

ele

quando

criado

automaticamente fica armazenado na raiz do mesmo local


aonde se guardou a imagem criada.

34

No exemplo acima temos uma listagem completa e organizada (da esquerda para
direita) nome de arquivo, caminho absoluto de armazenamento, tamanho, data de
criao horrio mundial, data de modificao horrio mundial, data de ltimo acesso
horrio mundial e por fim se foi deletado ou no do disco.

Aps a insero de filtros em cada coluna, foi muito fcil verificar quais os arquivos que
foram deletados relacionados a pasta My History do Internet Explorer , conforme
exemplo acima.
1.3.2.2Como fazer uma busca customizada por contedo.
Da mesma forma que criamos diversos arquivos customizados para busca no modo
LIVE utilizando o prompt do DOS podemos agora faz-lo de forma automtica com a
ferramenta bastando para tal o conhecimento mais aprofundado em EXPRESSES
REGULARES, vide o material que foi entregue no primeiro mdulo da ACESS DATA
sobre expresses regulares, mas mesmo sem tal conhecimento ainda podemos realizar
uma srie de buscas importantes.

35

1.3.2.3Monte a evidncia.
Utilizando a caixa para buscas customizadas, clique em NOVA BUSCA.

Depois que a caixa estiver configurada, informe os dados da busca em EDITAR.

Como podem ver a ferramenta vai procurar por todos os arquivos cujo formado seja
(.jpg) sejam letra maiscula ou minscula, incluindo os subdiretrios e iro registrar
todas as ocorrncias de resposta.

36

O mesmo acima para documentos em formato PDF.

Estrutura pronta para busca.

Monte uma imagem como j sabem fazer.

37

Selecione

destino

de

armazenamento, as senha de
criptografia e a quantidade de
fragmentos que a imagem pode
ter. O analista forense pode ainda
escolher

pelo

SID

de

cada

usurio quais os documentos de


PDF e fotografias de um o mais
usurios especficos, podendo
ainda adicionar o nmero de SID
de outros usurios
que

possam

armazenado
no

ter

dados

computador

investigado.

Ao lado podemos perceber que a ferramenta calculou um total de 53,43 MB de dados


em fotos e documentos PDF onde ir processar uma imagem que contenha somente
tais dados ao investigador.

38

Ao final a imagem foi perfeita e foi expedido o respectivo relatrio.

Acesse o local de armazenamento da imagem customizada e monte a mesma como na


figura acima.

Depois de montada o investigador ter acesso a todas as pastas e arquivos que dizem
respeito ao que foi solicitado na busca, em nosso caso, fotos em formato .jpg e
arquivos em formato .pdf, em particular vamos nos ater neste momento aos fatos que
podem ser apurados nesta foto.

39

1.3.2.4Como investigar os metadados de um arquivo.


A ferramenta disponibiliza ao investigador uma srie de informaes de cada arquivo
que foi mapeado e copiado, tais informaes so relevantes a qualquer caso que possa
ser investigado, vamos tomar como base a fotografia analisada no item anterior onde
comprovamos que se trata de uma criana nua em situao clara de uso para fins
sexuais, portanto sendo crime devidamente tipificado pela legislao brasileira.
Ao lado da foto analisada podemos fazer acesso ao menu PROPRIEDADES do arquivo
onde teremos todas as informaes relevantes do mesmo.

Acima temos os dados regulares do arquivo, devemos nos ater a informao do


CLUSTER do disco onde inicia a gravao da foto, neste caso 832.860 quando
estudarmos situaes em que haja a necessidade de se recuperar dados, tais
informaes tem natureza relevante. Depois temos as data de ltimo acesso no caso
20/02/2012, data de criao 4/01/2012, at o presente momento, tudo ok, tendo em
vista que foi criada primeiro, e acessada depois, por fim temos a data de ltima
modificao no arquivo, 30/12/2011, ai temos uma complicao, pois ela foi modificada
antes de ser criada, tal fato se d por conta desta modificao ter sido realizada fora
deste sistema informtico, ou seja, foi modificada em outro computador e trazida para
este sistema, alm disto, podemos verificar que a mesma no apresenta compresso ou
mesmo criptografia de dados.

40

Acima temos as assinaturas de ambos os algoritmos onde podemos exportar o arquivo


e verificar a qualquer momento se o resultado que foi exportado confere com os dados
que estamos verificando neste momento.

Acima temos os dados relativos a MFT (tabela mestre de arquivos) eles so de grande
relevncia ao nosso caso tendo em vista que o se chama de RECORD DATE a data
em que esse arquivo nasceu para este sistema operacional, conforme percebe foi dia
4/01/2012 portanto bate com a informao anterior da data de criao, mas verificamos
que o arquivo est armazenado na pasta do usurio CATATAU, contudo o SID do
proprietrio no ele e sim o usurio LULA, temos tambm o setor da tabela mestre em
que os dados deste arquivo foram gravados em nosso caso no setor 50.937

Acima temos os dados da ACL (Lista de Controle de Acesso) ela tem como base as
permisses do sistema NTFS, em nosso caso o usurio CATATAU com o SID final 1015
possui acesso e poderes totais sobre a foto, mas no podemos afirmar que seja o
41

proprietrio, pois como vimos o proprietrio real foi LULA, sendo ele a pessoa
responsvel por gravar tais dados na pasta de CATATAU, em casos desta natureza,
de grande relevncia poder associar estas informaes com as informaes de logon e
log off de cada usurio investigado para que possamos provar quem estava logado e
ativo no computador no dia a hora em que a foto foi gravada no disco.
1.3.2.5Como exportar um arquivo em segurana.
Sempre que se fizer necessrio o uso externo ou acesso a um arquivo em sua forma
individual o investigador pode exportar o mesmo da seguinte forma:
Clique com o lado direito do mouse sobre o arquivo e faa uma das duas opes,
exportar de forma direta ou exportar com o calculo do hash do arquivo.

1.3.2.6 Como detectar a presena de criptografia do tipo EFS em arquivos e


pastas.
Quando um usurio mais
experiente usa do recurso
de criptografia de pastas ou
arquivos

do

sistema

operacional,

referido arquivo no pode ser visualizado


pelo investigador sem a chave do
respectivo usurio, em nosso caso temos a ocorrncia de
arquivos de foto que foram encriptados pelo seu
proprietrio, conforme o aviso da ferramenta que confirma
a existncia da barreira e mais abaixo as prprias fotos
com o smbolo da chave que representam a proteo.

42

Em casos desta natureza somente exportar a foto de nada adianta, devemos trabalhar
na mesma da seguinte forma, ela deve ser aberta em um ambiente cujo o file system
no seja NTFS, ou mesmo em um ambiente NTFS de 64 Bits como o Windows 7 desta
forma, o perito ter sucesso a abertura da foto.

1.3.2.7 Como investigar o histrico de internet de um usurio.


Da mesma forma como aprendemos a
trabalhar no modo de investigao live,
devemos saber que o histrico de internet
est

armaenzadono

configuraes

locais

diretrio
>

Histrio>

Hystory.IE5, para cada usurio, como


podem perceber ao lafo da figura, onde
temos todas as pastas de histrico
criadas a cada 2 dias.

43

Ao abrirmos o diretrio vamos ver o


arquivo

INDEX.DAT

que

foi

devidamente investigado por ns, ele


pode

ser

exibido

em

formato

HEXADECIMAL como ao lado e revelar de forma clara


cada parte de se contedo como no exemplo.
1.3.2.8 Como investigar os cookies de um usurio.
Da mesma forma, podemos investigar os arquivos de
COOKIE de uma determinado usurio e podemos
tambm visulalisar o contedo destes arquivos seja
em formato de texto, seja em formato hexadecimal

44

1.3.2.9 Como investigar os arquivos recentes de um usurio.


Aprendemos no captulo 01 que os arquivos recentes servem para comprovar o o uso
de um programa interpretador e o acesso ou modificao de um determinado arquivo,
pois sempre que acessamos uma foto, msica ou documento, criado de forma
automtica uma verso do tipo LINK do arquivo, coprovando que o mesmo fora
acessado de forma recente, caso este link seja apagado, ainda permanece no histrico
de internet do sistema operacional e no registro do sistema operacional.

1.3.2.10 Como investigar os arquivos de evento do sistema.


Em nosso captulo 02 estudamos as ferramentas em modo ive que nos do acesso ao
contedo armazenado pelas auditorias do sistema operacional, caso voc no tenha
condies de verificar tais resultados da forma live, h a alternativa de acessar os
arquivos

por

meio

fsico

dentro

da

imagem

no

diretrio

WINDOWS>SYSTEM32>CONFIG, como pode perceber todos os arquivos de


auditopria esto armazenados l, devendo serem exportados e interpretados pelo
programa EVENTVEIW do sistema operacional.

45

1.3.2.11 Como investigar a lixeira de um usurio.


Tambm estudamos no captulo 02 que a ferramenta
RIFIUTI capaz de interpretar dados da lixeira de cada
usurio para que possamos saber o que estava armazenado em seu contedo e o que
j foi devidamente eliminado da lixeira, na foto ao lado voc identifica todas as lixeiras
de todos os usurios do sistema, tendo em vista que j conhece bem o significado de
SID. Abaixo escolhemos a lixeira de um
dos usurios onde podemos perceber
que

uma

armazenadas,

srie
que

de

fotos

podem

ser

visualizadas pelo interpretador de fotos


da ferramenta, e o arquivo INFO 2,
abaixo pode ser analisado pelo mesmo
interpretador

em

seu

formato

HEXADECIMAL que nos mostra o nome, caminho e extenso de um arquivo que foi
deletado da lixeira.

46

1.3.2.12 Como investigar o arquivo SAM.


O sistema operacional guarda em um arquivo
especfico denominado de SAM as senhas de cada
usurio e as configuraoes de segurana de grupos
do sistema operacional, ele por natureza possui seu
contedo criptgrafado para manter a segurana de
senhas, em geral quando se deseja quebrar a
barreira de criptografia para o acesso a um
determinado computador, o invasor sobrescreve os
dados do referido arquivo para que se possa ter
acesso ao computador, mas seria muito mais
valioso se pudssemos revelar as senhas de cada
usurio onde o uso destas em forma de engenharia
reversa iria em muito nos auxiliar no processo de
invesitgao dos dados. O arquivo SAM est
localizado

no

diretrio

WINDOWS>SYSTEM32>CONFIG e analisando o
seu conteudo por meio de um interpretador
haxadecimal, podemos verificar que os usurios
tem o o seu nome e dados da senha armazenados SEM CRIPTGRAFIA em partes do
arquivo, como podemos ver, garimpamos em uma breve pesquisa os usurios
LAMPIO e senha, CINDERELA e senha e LULA e respectiva senha. Desta forma,
relevante guardar uma imagem do disco em formato GHOST, TIB e outros para que
possamos utilizar estas senhas e inclusive exportar os certificados digitais de um
usurio coma senha dele, visando ter acesso a dados e informaes relevantes que
foram protegidas por meio de criptografia forte.

47

1.3.2.13 Como montar uma imagem forense em seu modo DRIVE (Fsico e
Lgico).
A nova verso da ferramenta FTK nos possibilita analisar sob a tica do usurio (viso
do usurio)
Da estrutura ao qual ele fazia uso antes de ser realizada a imagem, desta forma
podemos emular um DRIVE FSICO e um DRIVE LGICO contendo todos os arquivos
e estruturas conforme esto armazenados na imagem, inclusive podendo optar pela
proteo contra escrita, o que para o investigador de extrema validade. (TENHA O
CUIDADO DE MONTAR A IMAGEM SEMPRE COM PROTEO CONTRA ESCRITA).
Abaixo temos o boto da barra de tarefas que aciona o servio de montagem.

Acima temos o local onde estava armazenada a imagem que ser montada.

Acima temos o quadro de opes que nos mostra as formas com as quais podemos
estruturar a nossa imagem.

Depois de devidamente configurado basta clicar no boto Montar.

48

Depois que a imagem foi configurada e recebeu uma letra de DRIVE dentro de nosso
disco da Estao Forense podemos acessar o referido local e utilizar as informaes do
mesmo. Para desmontar a imagem basta clicar sobre os drives que esto listados e
depois utilizar o boto DESMONTAR a direita.

Acima temos o drive de nossa imagem que foi montado com sucesso.

49

1.4 Utilizando a ferramenta de investigao FKT 1.81


Como j tivemos a oportunidade de utilizar a ferramenta de duplicao e anlise FTK
IMAGER 2.9 Lite e FTK IMAGER 3.0 podemos por assimilao, aprender e verificar com
mais eficincia os recursos e vantagens que o FTK 1.81 tem a nos oferecer, o primeiro
deles que posso destacar seria a grande vantagem de ser uma sute de solues
forenses, desde o momento de duplicao dos dados at a execuo e o registro da
investigao.

Acesse o cone da ferramenta na rea de trabalho da ESTAO FORENSE.

Apresentao do smbolo da ACESS DATA

50

Aviso legal informando que a licena no foi validada e por este motivo vamos ter direito
a analisar somente 5.000 itens de cada sistema (modo de teste).

Acima devemos informar se trata de um novo caso, um caso j existente uma viso
prvia do ambiente ou ir direto para a execuo da ferramenta.

Preenchimento de todos os dados do investigador, do caso e do local de


armazenamento dos dados.

51

Mais detalhes sobre o investigador e a agncia de investigao.

Acima temos o processamento da performance do sistema onde podermos escolher


MD5 de 16 bits para que possamos assinar todos os arquivos e imagens que sejam
montados ou exportados, SHA1-hash para que tambm possamos identificar assinar,
importar e exportar arquivos e imagens, KFF LOOKUP utilizado para assinar com HASH
e identificar arquivos suspeitos ou perigosos, FULL TEXT INDEX representa a
capacidade da ferramenta de identificar e indexar todos os dados do local investigado
para em seguida fornecer ao perito um acesso seguro e rpido a todo o contedo que
pode ser do interesse da investigao.

52

STORE THUMBNAILS representa o armazenamento dos dados de pequenas fotos que


so guardadas nos perfis dos usurios quando estes acessam a internet. DECRYPT
EFS FILES representa a capacidade do uso de um mdulo externo auxiliar, denominado
de PRT responsvel pelos ataques do tipo fora bruta ou mesmo ataques do tipo
dicionrio. FILE LISTING DATABASE gera uma lista completa com o nome e os dados
de todos os arquivos que foram encontrados no ambiente investigado. HTML FILE
LISTING cria uma lista de arquivos em HTML. DATA CARVE executa minerao de
dados especficos mesmo que estejam em reas de folga do disco ou em camadas de
criptografia. REGISTRY REPORTS registra com eficincia todos os relatrios que so
criados pela ferramenta.

Acima temos uma relao de todos os tipos de arquivos em diversos formatos que
podem ser estruturados para o sistema de DATA CARVING.

53

Acima temos as opes dos tipos de logs tais como: EVENTOS DO CASO E DE
EVIDNCIAS que relata e analisa todas as evidncias e eventos que so adicionados
ao caso, MENSSAGENS DE ERRO gera um relatrio sobre todas as mensagens de
erro que so geradas pelo sistema, LIVRO DE MARCAS OU REGISTROS, serve para
anotar todas as observaes relevantes de um ou mais casos, EVENTOS DE BUSCA
registra todos os resultados provenientes de buscas efetuadas pelo investigador, DATA
CARVING / BUSCAS DA INTERNET so chaves de buscas especiais que podem ser
utilizadas durante a investigao ou mesmo buscas realizadas nos vestgios de internet.

54

Acima temos as opes de como aplicar uma metodologia especfica para cada tipo de
investigao onde poderemos dar NFASE a OTIMIZAAO DA VELOCIDADE,
NFASE A EMAIL, NFASE a TEXTO, NFASE a GRFICOS. Onde a configurao
especfica para cada tipo de investigao previamente determinada pela escolha do
investigador, caso o investigador queira uma forma de configurao geral, ele pode
optar pela escolha INCLUDE ALL ITENS.

55

Neste momento o investigador deve refinar o arquivo de INDEX da investigao onde


ele pode determinar como vai tratar e se vai investigar arquivos em espaos de FOLGA
do disco, ARQUIVOS APAGADOS, ARQUIVOS CORROMPIDOS, ARQUIVOS
ENCRIPTADOS.

Acima temos a opo de ADICIONAR A EVIDNCIA, EDITAR A EVIDNCIA,


REMOVER A EVIDNCIA ou REFINAR A EVIDNCIA.

56

Para este primeiro momento, tomamos o cuidado de adicionar uma evidncia


(IMAGEM) que j havia sido montada por ns, para que pudssemos acompanhar o
tratamento da mesma pela ferramenta.

Quando a ferramenta atinge a conta de 5.000 arquivos da evidncia ela para, tendo em
vista a licena trial no permitir a continuidade do uso.

Desta forma vamos fazer uso do processo de investigao por meio de PASTAS de
usurio onde tais pastas sero acessadas do modo MOUNT IMAGE do FTK (de forma
segura, somente leitura).

57

Acima estamos executando o refino da evidncia como j fora estudado.

Agora estamos na etapa do refino do caso, onde podemos escolher arquivos por
tamanho mnimo e mximo, bem como, podemos escolher as datas especficas de
ACESSO, MODIFICAO e CRIAO.

58

Ainda no refino do caso, podemos ter acesso a pastas do local investigado para
escolher dentre elas quais a que desejamos utilizar e quais as que no desejamos
utilizar.

Por fim, o seu novo caso agora est completo com todas as configuraes elaboradas.

59

Aps a finalizao a ferramenta vai dar incio ao processo de contagem, indexao e


assinatura dos dados para verific-los de um por um.

Depois do processo finalizado ser disponibilizado ao investigador esta tela com as


informaes de cada tipo de arquivo e a nfase especfica para cada ao que ele
desejar tomar.

60

Quando clicado no item THUMBNAILS so indexadas e mostradas todas as fotos em


miniatura do investigado que neste caso so 1536 fotos. Como podem ver, temos a
capacidade de visualizar a foto de forma imediata. Ainda possvel aplicar mais filtros
nestas imagens.

Para o caso de clicar em EMAIL como podem ver so disponibilizados todas as


mensagens de correio da pessoa com a interpretao completa do texto e do
cabealho, com o detalhe de mostrar todas as mensagens, mesmo as que foram
apagadas. Ainda possvel aplicar mais filtros nestes e-mails.
61

Acima temos o exemplo que quando optamos por GRFICOS, que para ele
representam todas as fotos em qualquer tipo de formato que tenha sido indexada pelo
sistema, mesmo as fotos que tenham sido apagadas. Ainda h mais possibilidades de
filtros nesta opo.

Acima temos a opo multimdia, a ferramenta nos exibe todos os tipos de filmes e sons
que estejam armazenados no local investigado, onde da mesma forma dos demais,
mesmo que tais dados estejam apagados ou mesmo que estejam em extenses de
arquivos diferentes, tendo em vista o fato de serem investigados pela assinatura do
cabealho do arquivo.

62

Acima temos o contedo de mensagens de e-mail que foram enviadas, tais mensagens
operam da mesma forma que as mensagens que foram recebidas.

Acima temos o corpo do sistema de buscas por palavras indexadas da ferramenta onde
ao simples gesto da escrita da palavra LANCE a ferramenta j mostrou quais so todas
as situaes em que tal palavra est relacionada para que possamos fazer uso dela.

63

O prximo passo confirmar o resultado e optar por exibir o resultado.

O resultado gerado pela ferramenta.

Ao final ela pergunta se deseja buscar em todos os arquivos ou em arquivos


especficos.

Acima esto exibidos a palavra pesquisada em 5 momentos diversos.

64

Abaixo est evidenciado o texto de um correio onde so mostrados em amarelo


todos os exemplos que envolvem a palavra pesquisada.

Acima temos a utilizao da ferramenta que indexou e pode explorar todas as


fotografias que foram encontradas no local investigado, quer as que estejam
apagadas, latentes ou mesmo as que esto anexas em correio eletrnico local
(banco de dados do Outlook). Ao clicar com o mouse sobre o tema GRAPHICS
logo abaixo aparece para o analista o total de fotos que so neste caso mais de
trezentas imagens. (Ao se marcar uma imagem, de forma automtica ela pode
ser visualizada na janela superior direita).

65

Acima temos a continuidade da anlise que comprova que a foto estava anexa a
uma mensagem de e-mail onde alm de revelarmos a foto, temos ainda o texto
do correio desta, com a possibilidade de anlise do seu cabealho.

Por fim, estamos exibindo a relao de arquivos deletados que a ferramenta


encontrou, de forma mais especfica tais arquivos dizem respeito ao banco de
dados do correio eletrnico, sendo no total 842 arquivos (mensagens) que foram
deletadas pelo usurio, vejam acima pelo cabealho da mensagem de exemplo
que apaguei uma mensagem de minha caixa no ano de 2008, onde 4 anos
depois de apagada a mesma ainda est preservada no mesmo banco de dados
de forma completa, o seu contedo e o cabealho .

66

1.4 Aspectos da ferramenta Pro Discover Basic Verso 7.0.0.8


A ferramenta Pro Discover, j possui utilizao consagrada entre os oficiais de
segurana da informao e as polcias internacionais, ela um misto de ferramentas
livres e verses gratuitas de ferramentas proprietrias sendo capaz de duplicar e
analisar com eficincia diversos tipos de casos tanto para as reas de resposta a
incidentes como para computao forense.
1.4.1 Abrindo e iniciando a ferramenta.
uma ferramenta que atua tanto em modo live como em modo post mortem, no seu
modo live, portanto menos agressiva, consome apenas 1.36 MB de dados da RAM.

cone do executvel da ferramenta.

Janela de dilogo na qual podemos chamar projetos de investigao pelo NOME ou


pelo NMERO, podemos tambm abrir um projeto existente ou verificar projetos
recentes.

67

1.4.2

Utilizando os cones do menu principal da ferramenta.

Acima temos o aspecto em detalhes do menu da nossa ferramenta, da esquerda para


direita vamos criar um novo projeto no primeiro cone.

Aps o clique sobre o cone, seremos levados para a seguinte janela.

Na janela acima, devemos cadastrar o nmero, o nome, e os dados de nosso novo


projeto de investigao.

Aspecto da ferramenta com os dados devidamente cadastrados.


68

Logo aps a criao dos dados do projeto, na rvore de diretrio de evidncias criada
uma pasta do mesmo, onde logo abaixo vemos o formato do relatrio parcial de aes.

Viso inicial do relatrio de aes da ferramenta.

Aps a montagem dos dados e dos objetivos a serem atingidos com a investigao, o
usurio deve com toda cautela, passar para a etapa de REGISTRO ou salvamento do
projeto utilizando o cone acima, desta forma, vamos nos resguardar de todos os dados
coletados e anotaes realizadas.

Vejam que o arquivo de projeto foi criado no disco de destino para salvaguarda dos
dados.

69

1.4.3 Como realizar uma cpia forense com a ferramenta.


Neste momento, podemos utilizar duas aes, sendo a primeira a partir do Menu
principal e a segunda a partir da rvore de diretrios.

A partir do cone da mquina fotogrfica podemos ter acesso ferramenta de cpia, e a


partir da rvore de diretrios podemos adicionar um DISCO ou partio de forma
IMEDIATA lendo a MBR do mesmo, sendo essa uma ao em modo LIVE DISCOVER
(tenha cuidado com os poderes de escrita sobre o ambiente), podemos capturar e
adicionar uma imagem forense ou podemos chamar (adicionar) uma imagem de um
disco ou imagem forense.

Opo de captura somente da partio do sistema operacional.

Opo de captura do drive fsico IDE 0:0 sem os clusters vazios ou no alocados

Opo de captura total do IDE 0:0 inclusive de todos os clusters vazios ou no


alocados.

Opo de captura da memria RAM do computador investigado.

70

Depois de escolhida a fonte de leitura dos dados, vamos agora nos preparar para lanar
os dados coletados em um destino seguro e correto, para tanto vamos fazer uso de
duas opes, podendo ser um disco local, um disco USB ou REDE ou mesmo o formado
de SPLIT para auxiliar no transporte de tais dados.

Vamos clicar em escolha um caminho local.

D um nome ao arquivo de acordo como nmero do seu caso e salve.

Ao lado, temos a tela de opo para SPLIT da


imagem,

onde

podemos

inserir

no

local

especfico o tamanho em MB de dados que cada


pedao da imagem ter, bem como podemos
atualizar o clculo dos setores que sero
copiados e o local de destino dos mesmos.

71

Acima temos a escolha do formato da imagem onde podemos optar entre o formato da
ferramenta EVE ou em LINUX DD, mais abaixo temos o total de setores que sero lidos.

Informe corretamente o nome tcnico (numero do caso) e o nmero da imagem, para o


caso de mais de uma imagem pode ao final acrescentar /01, /02,/03..../N

Descreva de forma detalhada os objetivos e o que ser investigado no caso.

Fique atento a utilizar a COMPRESSO de dados como acima, pois o tempo de


concluso do trabalho pode ser severamente elevado. Como j se sabe, podemos fazer
uso de senha para se manter a privacidade e prevenir o acesso indevido aos dados da
investigao.

Utilizao de senha de at 25 posies (caracteres). Depois confirme.


72

Ao final, use a tecla OK.

Durante o processo de captura, todo o Menu bloqueado permanecendo ativa somente


a opo de parar o processo de cpia.

Ao visualizar a barra de informaes na parte inferior da ferramenta ir perceber que no


lado esquerdo temos o total de setores capturados em tempo real e no lado direito o
tempo estimado (sendo atualizado) para a execuo final do trabalho.

Ao final a ferramenta mostra a respectiva tela de realizao do trabalho, porm, ela no


exibe um log formal do contedo, apenas d a oportunidade de se verificar no log de
erros se houve alguma falha no processo.

Acima temos o arquivo final da cpia e o respectivo log de erros (vazio).

73

1.4.5 Como montar uma imagem forense para anlise.

Acima temos as duas opes de se montar a imagem forense, sendo a primeira a partir
do painel (figura do lado esquerdo) e a segunda a partir da rvore de diretrios (figura do
lado direito).

Ao localizarmos o ponto de armazenamento da imagem, basta selecionar e abrir.

Utilize a senha correta.

Depois de devidamente inserida a senha podemos agora fazer uso dos recursos de
investigao da imagem sem causar-lhe danos, pois estamos em um formato forense,
acima temos os dados caractersticos da imagem investigada, tais como MD5 da
imagem, descrio dos objetivos, data e hora e o local de armazenamento do caso.

74

Acima temos maiores informaes relevantes sobre o caso na rvore de diretrios,


especificamente na aba relatrios. (imagem parcial).

75

Ao clicar em cada arquivo que seja relevante para a investigao, o mesmo ir mostrar
uma caixa especfica de comentrios que podem ou no ser preenchidos pelo
investigador, onde de forma automtica tais arquivos ou diretrios so listados na rea
de arquivos de interesse da ferramenta. Ao clicar com lado direito do mouse sobre o
arquivo possvel analisar se o mesmo foi ou no comentado na aba VIEW
INVESTIGATORS COMMENTS.

1.5.6 Como visualizar e navegar atravs da imagem forense investigada.


Depois de mostrarmos como se faz para montar uma imagem, vamos agora verificar
como fcil trabalhar com ela em seu modo de navegao em rvores (diretrios) e
como se faz para visualizar nos demais formatos.

76

Na pgina anterior a figura nos mostra como podemos ter acesso aos arquivos que
desejamos investigar, de forma simples, basta escolher qual o diretrio em que o
arquivo esteja e selecion-lo. Abaixo temos as diversas formas de apresentao de um
mesmo arquivo.

1.5.7 Como visualizar todos os arquivos que foram deletados do disco.


A ferramenta exibe de forma especfica todos os arquivos que foram deletados do disco
e que ainda podem vir a ser recuperados, inclusive informando o CLUSTER do disco
ocupado por tais arquivos.

Acima temos a visualizao dos arquivos deletados no modo de GALERIA.

77

Acima temos a visualizao no formato hexa decimal por blocos e endereos.

Ao clicar com o lado direito do mouse sobre o arquivo, podemos ter acesso dentre
outras coisas aos CLUSTERS especficos onde estavam armazenados o arquivo
investigado.

78

1.5.8 Como investigar a lixeira de cada usurio do disco.


Da mesma forma como na ferramenta FTK se faz necessrio ter o acesso a lixeira
especfica a ser investigada, onde depois de acessada devemos abrir o contedo para o
acesso interno.

Depois de verificado o contedo interno conforme acima, devemos analisar o que nele
foi depositado, pois como j fora estudado em etapa anterior, tais dados so latentes e
ainda podem ser recuperados com facilidade, j o contedo do arquivo INFO2 se refere
ao conjunto de dados que j fora retirado da lixeira.

Conforme anlise do contedo acima, podemos perceber que haviam antes 06 (seis)
arquivos de udio que foram apagados a lixeira onde constam os dados completos
como os nomes dos arquivos e os respectivos caminhos originais dos mesmos.

79

Como analisar e investigar todos os arquivos do disco em formato de lista.


O formato de visualizao dos dados em lista favorvel a uma investigao mais
rpida quando se trata de busca e localizao de arquivos especficos, ele um
processo mais demorado e que requer da mquina investigada um maior esforo para o
clculo computacional e montagem de todos os dados.

Acima temos em formato de listagem todos os arquivos contidos na mquina no total de


46.939.

Acima temos a visualizao em formato texto ou hexadecimal dos metadados do


arquivo selecionado, onde dentre outros, podemos visualizar o cabealho JFIF o site de
origem da foto e o algoritmo de assinatura da foto.

80

Como realizar buscas customizadas na imagem montada.


Conforme j tratamos em captulos anteriores, as buscas customizadas so
ferramentas de excelente qualidade para otimizar o tempo do analista forense, desta
forma, poderemos fazer uso de expresses regulares, termos especficos ou ate mesmo
buscar informaes dentro de arquivos que possam ser utilizados para o processo de
investigao.

Acima temos a opo de customizar a busca onde podemos analisar os dados internos
dos arquivos (META DADOS), podemos fazer as buscas em arquivos selecionados
somente ou marcar e selecionar todos os arquivos existentes na imagem para busca,
logo aps, podemos marcar a opo de interpretao dos dados em ASCII ou formato
HEXADECIMAL, bem como, podemos marcar para sensibilidade entre letras
maisculas e minsculas, determinando que todos os registros localizados sejam
marcados em uma cor de destaque, mais abaixo, podemos solicitar as buscas por nome
de arquivos ou por contedo interno de arquivos, inclusive com o uso de EXPRESSES
REGULARES.

81

Para uma busca mais rpida, no selecione opes de arquivos e meta dados, depois
apenas informe CASE SENSITIVE, MARCAR TODAS AS OCORRNCIAS e opte pela
busca por nome de arquivo ou por contedo de arquivo.

Aps a busca realizada, a ferramenta nos mostra em quais arquivos foram encontrados
o conjunto de palavras solicitado.

Acima temos o contedo especfico que foi solicitado para busca, neste caso, um
nmero de carto de crdito.
Como transformar os formatos de imagem forense para outros formatos.
Um dos aspectos relevantes no processo de investigao poder contar com formatos
de imagens que sejam interpretados por diversas ferramentas ou at mesmo possam
ser transformados em Mquinas Virtuais, onde aplicaes, processos e programas iro
se comportar de forma real, podendo serem analisados e investigados de forma mais
profunda.

82

Para o acesso as ferramentas de converso, acesse o menu TOOLS, conforme acima,


depois acesse a aba IMAGE CONVERSION, depois escolha entre converter o formato
DD ou EVE para DD, ISO ou VMDK

Escolha o diretrio de leitura dos dados onde se encontra o formato atual, depois
marque e indique o diretrio de destino e o novo formato.

Caso tenha o desejo de j deixar pronta uma estrutura para ser utilizada por uma
Mquina Virtual, voc pode utilizar a opo VMWARE support conforme est marcado
na caixa acima.

83

Como sobrescrever dados em discos com a ferramenta.


J estudamos em outras oportunidades, que de fundamental importncia manter o
disco de destino das cpias ou imagens forenses devidamente esterilizado, ou seja,
limpo de forma tal que nada neles poderia ser recuperado ou mesmo confundido com
um caso anterior investigado pelo perito, desta forma, estaramos eliminando as
hipteses de falso positivo e falso negativo. Vamos abaixo mostrar com a ferramenta
nos oportuniza tais possibilidades de limpeza dos dados por meio de sobrescrio.
O primeiro passo criar um projeto para associar as aes de limpeza.

Segundo passo, salve o projeto.

Terceiro passo ligue o disco que ser limpo no sistema.

Escolha o disco e execute a conexo.

84

Voc vai receber o aviso da ferramenta que no se deve trabalhar de forma direta no
disco e sim com a imagem forense. Clique em OK.

Veja se o disco que voc desejava o que foi realmente selecionado, para que no
corra o risco de sobrescrever dados de um disco contendo dados relevantes de um caso
que ainda esteja investigando.

85

Acima temos as formas de visualizao de contedo do disco G que ser limpo.

No menu superior acesse a opo TOOLS e depois SECURE WIPE.

Determine os caracteres que devem ser escritos no disco e por quantas vezes.

86

Confirme a execuo da ferramenta.

Barra de execuo da ferramenta (progresso).

Informao de finalizao.

87

Captulo 02
Utilizando ferramentas no modo live

88

Aspectos da ferramenta Registry Veiwer Verso 1.6.3.34


O registro do sistema operacional sempre foi algo desprezado pela maioria dos
analistas forenses, at mesmo pelo fato da sua complexidade de entendimento e
operao, tendo em vista ser um grande banco de dados que armazena tudo o que
ocorre com o sistema operacional, vamos nesta ferramenta mostrar as etapas bsicas
de com operar investigaes com o sistema operacional de forma satisfatria e a gama
de informaes de dele podem ser retiradas.
Como primeiro passo o analista deve retirar em modo somente leitura, seja como cpia
forense em modo protegido ou mesmo como cpia exportada de uma ferramenta
forense, a pasta que contm o diretrio de registro e eventos do sistema operacional.

A figura acima representa o caminho para encontrar a pasta onde esto armazenados
todos os dados referentes ao registro do sistema operacional, este caminho vlido
tanto para o sistema XP e seus derivados, como VISTA, e Windows 7 e seus derivados.

A figura acima retrata a estrutura dos arquivos e chaves do registro do sistema


operacional do padro Windows 7.

89

A figura acima retrata a estrutura dos arquivos e chaves do registro do sistema


operacional do padro Windows XP.

cone da ferramenta.

Barra de menus principal da ferramenta.

O analista deve abrir um novo console para analisar os registros do sistema operacional
a ser investigado.

Vamos iniciar pelo arquivo SAM.

90

Junto ao arquivo SAM, podemos determinar todos os grupos que esto listados na
mquina investigada, logo no diretrio MEMBERS e mais abaixo a pasta NAMES.

Vamos examinar o arquivo SECURITY

91

A figura acima nos mostra todos os dados relativos aos usurios do computador com os
seus respectivos SID e configuraes de segurana, inclusive so mostrados os
usurios cujas pastas e perfis foram alterados ou apagados do sistema operacional.

Vamos examinar o arquivo SOFTWARE.

92

Acima temos todos os registros relativos aos softwares que esto devidamente
instalados no computador investigado, e tambm aqueles que j o foram e foram por
algum motivo, apagados.
Vamos fazer uso da capacidade de busca para demonstrar o resultado.

No caso acima, estamos solicitando da ferramenta que faa uma busca em todos os
dados em que haja meno a compactao de udio no formato MP3.

93

A ferramenta est procedendo nas buscas necessrias.

Ao final da busca o contedo destacado pela ferramenta.

Vamos examinar o arquivo SYSTEM.

94

Ao final temos os registros de todos os dispositivos fsicos conectados no computador


do padro IDE ou UBS com os respectivos registros de nmero de srie.
Aspectos da ferramenta F-RAT Verso 1.0
Da mesma forma que a ferramenta anterior, o executvel F-RAT tambm opera com os
arquivos de registro do sistema operacional.

Vamos optar pela anlise dos arquivos de registro em seu modo RAW.

95

Vamos apontar onde esto armazenados os arquivos de registro, da mesma forma que
operamos no caso anterior.

Vamos acessar o primeiro registro, sempre marcando o modo como sendo somente
leitura.

96

Depois de escolhido o modo, pode aplicar.

De forma automtica gerado um relatrio contendo todos os dados dos usurios do


sistema, com os respectivos Ids, data de ltimo LOGIN, data da ltima alterao de
senha, data do ltimo login com falha e quantidade de logins de cada usurio.

97

Temos ainda todas as informaes sobre os grupos de usurios do sistema.

Vamos investigar o arquivo SOFTWARE.

98

Dados de identificao do sistema operacional.

Usurio de sistema que esse encontra logado atualmente.

99

Programas que esto configurados para atuarem de forma automtica.

Placas de rede.

Todos os softwares instalados no computador.

100

Nome do computador.

Data que ele foi desligado pela ltima vez

Regio de fuso horrio.

101

Servios iniciados.

Dispositivos USB montados.

102

ANLISE DE METADADOS COM EDITORES EM HEXADECIMAL.


Analisar um arquivo em seu contedo interno de grande relevncia para mostrar o que
nele esteja registrado e possa ser utilizado como prova em uma investigao, mas nos
dias de hoje quando uma srie de ferramentas que so utilizadas para esconder ou
encriptar dados, assim sendo de grande relevncia a investigao nos meta dados
internos dos arquivos, visando descobrir fatos de natureza relevante sobre os mesmos.
Para melhor pesquisar as assinaturas dos arquivos existentes em atividade pode baixar
a biblioteca de referncia mundial do governo norte americano, publicada em
http://www.nsrl.nist.gov

Acima, temos o exemplo que nos mostra a assinatura PDF-1.5 referente a um


documento em formato PDF, tais dados so extrados da cadeia de 8 bits iniciais do
arquivo que so utilizados para a identificao do mesmo.

Acima, tambm podemos mostrar que os meta dados de arquivos nos revelam o NOME
DO AUTOR CASDASTADO do documento (CHAPEUZINHO VERMELHO), e a
metodologia de como o mesmo foi criado (MICROSOFT OFFICE WORD 2010),
havendo ainda o registro das datas e horas de criao e modificao com o horrio e o
respectivo FUSO, lembramos apenas que tal informao retirada do relgio do
computador do investigado no momento da criao do arquivo, onde devemos tomar as
devidas precaues para saber se o mesmo est atualizado por uma fonte segura.

103

Usando a string de busca DL que seria uma biblioteca de dados, podemos mostrar fatos
que ocorreram com o arquivo e contedos que nele foram associados ou modificados.

Acima, associamos o primeiro registro de DL ao contedo de um arquivo de texto de 29


BYTES que foi associado ao arquivo PDF em data e hora acima registradas

Acima, temos um arquivo de udio que foi associado ao mesmo poucos minutos aps,
tornando o arquivo principal com 4346026 Bytes, sendo este AUDIO formato FMPEG
(STREAM)

Acima temos o algortimo MD5 do arquivo que foi anexado ao documento iniciando com
FAA e finalizando com D81, mais abaixo veja a assinatura do arquivo de msica.

104

Verifica-se que o mesmo tipo de assinatura, por se tratar do mesmo arquivo.

Acima podemos verificar a existncia de um arquivo em formato MP3 que


representando pelo cdigo ID3, onde mais a frente, temos o nome do arquivo
EDUARDO e MNICA, e a referncia do mesmo a uma trilha de CD sendo TRCK, mais
a frente temos o ano de gravao 1986.

Mais adiante a ferramenta nos mostra o nome do autor, RENATO RUSSO, o conjunto
musical, LEGIO URBANA.

Ao final do arquivo, temos o nome da msica EDUARDO e MNICA, o conjunto musical


e o ano de sua gravao.

105

Aspectos da ferramenta Nudetective V.2.7.0


A ferramenta NUDETECTIVE ou tambm conhecida como ferramenta de deteco de
pornografia ou pedofilia, faz uso de algoritmos de calibrao, os quais so utilizados
para determinar se h um corpo humano em uma mdia seja ela foto ou vdeo, e se este
corpo humano se apresenta sem roupas e ou posies ou gestos que possam estar
relacionados a nudez (pedofilia/pornografia), ela verifica a textura e contornos da
estrutura humana masculina, feminina e infantil para estabelecer um padro do que
seria um corpo vestido e outro sem roupa. Alm de tais pesquisas, ela determina se um
arquivo realmente foto ou vdeo pela assinatura do cabealho, onde mesmo que o
investigado possa ter substitudo a extenso do arquivo ele permanece com o mesmo
cabealho de informaes, ao final a ferramenta analisa todos os dados do local
determinado pelo investigador e gera um relatrio do total de mdias encontradas que
so suspeitas.
A ferramenta funciona mediante instalao simples rodando um executvel (BAT) de
dentro de uma pasta que fica armazenada na estao forense, tal ferramenta somente
vai agir no ambiente 32 Bits do Windows XP ainda no sendo lanada pelos seus
autores, uma verso para Windows 7. Esclarecemos que ela no deve ser utilizada com
uma ferramenta em modo LIVE tendo em vista o fato de que necessita da instalao de
uma verso especfica de uma Mquina Virtual Java, o que iria descaracterizar o
sistema investigado.
Desta forma, ela deve ser instalada na estao forense e utilizada atravs do drive fsico
(lgico) montado com a ferramenta da imagem.

Acima temos o boto de atalho para a ferramenta e acima a janela de acesso a


JRUNTIME utilizada para montar a estrutura da ferramenta.

Acima temos a configurao do local (ais) aos quais desejamos o acesso para busca de
informaes sobre suspeita de pedofilia ou nudez.
106

Acima temos a estrutura dos dados a serem configurados como tipo de arquivo, busca
no interior de arquivos e pastas e metodologia de buscas, se por extenso ou por
assinatura.

Configurao da metodologia de anlise onde podemos analisar imagens, vdeos e


analisar tambm os nomes dos arquivos e o hash do contedo.

Acima temos as opes de configurao das metodologias onde podemos otimizar as


buscas, e determinar o maior e menor valor de cada arquivo.

Acima temos as informaes que so geradas aps o trabalho de anlise onde


constatamos o total de 7775 fotografias e destes 808 so suspeitas, onde das 808, 50
possuem o nome suspeito.

107

Acima temos o resultado final em forma de TUMBS onde as fotos devem ser marcadas
ou desmarcadas para posterior remessa a um local de destino e coleta pelo perito.

A tela de resultados mostra o nome da foto, o caminho absoluto e os dados relativos


mesma. O perito pode navegar por cada quadro e ter a visualizao em pequena
escala de cada foto encontrada.

108

Anlise da memria voltil.


No decorrer de nossos estudos, pudemos perceber que aquilo que denominamos de
memria voltil pelo simples fato de na ausncia de corrente eltrica no mais haver o
armazenamento de dados no se faz verdade por completo pois diversos estudos,
artigos e pesquisa tem cada vez mais demonstrado que ao coletar e varrer os dados
pertinentes a memria voltil de um computador que esteja em ambiente de anlise in
vivo, poderemos com toda certeza dali retirar contedos de grande relevncia aos
casos investigados.
Abaixo vamos mostrar os procedimentos de varredura de dados na RAM com nfase na
ferramenta WINHEX

Primeiro devemos abrir o arquivo criado no despejo dos dados, para em seguida fazer
uso do cone do sistema de buscas visando procurar pelo contedo desejado na
investigao, acima estamos procurado por dados que remetem ao protocolo HTTPS
seja na parte inicial ou final dos blocos de memria (em toda a memria), podemos
tambm assinalar que desejamos ignorar todos os erros de leitura para retornar com
maior rapidez todos os setores do arquivo que foram lidos.

Acima a ferramenta informa que j temos 4 ocorrncia sobre o tema HTTPS

109

Ao final ela revela do total de 3029 ocorrncias conforme os exemplos abaixo.

A tabela acima nos revela o endereo fsico da RAM e ao lado a data e a hora em que o
contedo foi ali registrado, ao clicar sobre cada linha, teremos acesso ao resultado
conforme abaixo.

Acima estamos destacando o resultado de uma pesquisa onde perguntamos a


ferramenta se havia algum resultado para o usurio forenseunp2011 ele nos revelou as
respostas e ainda deu a sinalizao para mostrar que o referido usurio est
relacionado a um grupo do sistema Google.
Podemos ainda, determinar o contedo de documentos, palavras, nmeros de contas
bancrias, cartes de crdito, correios e mensagens, contedo do histrico da internet e
tudo mais que esteve registrado na memria ram e nela teve seus registros gravados.

110

Anlise e investigao dos dados de histrico da internet com a ferramenta WEB


HISTORIAN (MANDIANT).
Investigando o histrico do sistema Internet Explorer.
J efetuamos diversas pesquisas e estudos mostrando a voc a relevncia do estudo do
histrico da internet de cada usurio, seja os que esto relacionados navegao da
web ou aqueles relacionados navegao interna do contedo do sistema operacional.
sabido que cada navegador de internet possui caractersticas especficas de
armazenamento de dados e registro de histrico, bem como, do armazenamento dos
cookies do computador.
A ferramenta hora apresentada possui caractersticas fantsticas de estudo destas
perspectivas e pode em muito facilitar o trabalho do analista forense, gerando grficos,
fazendo filtros, exportando dados e tudo mais que seja necessrio a evoluo da
investigao neste nvel.

Ao lado temos o exemplo das estruturas de todos os usurios


do sistema operao em estado de proteo, onde como j
sabemos no h possibilidade de alterao de dados,
portanto, sendo em modo seguro. Vamos agora fazer uso do
sistema de EXPORTAO DE DADOS de cada usurio para
que possamos investigar com facilidade o uso da internet de
cada um, para tanto vamos fazer da seguinte forma:

Acima temos a estrutura do histrico de internet de um usurio onde mais abaixo


estamos detalhando o local do arquivo que ser extrado.

111

Conforme consta acima, vamos extrair o arquivo INDEX.DAT de cada usurio.

Utilize o padro de exportao de arquivo.

Crie no seu drive seguro uma pasta para o armazenamento dos dados de histrico.

Faa uso do cone da ferramenta na rea de trabalho de sua estao forense.

Depois da abertura da ferramenta, em sua janela principal, vamos optar por FILE e
depois vamos conforme a figura abaixo, trabalhar as formas de SCANNER de dados.

112

Como foi ensinado utilize a opo SCAN

Acima temos a tela que nos levar ao sistema de quebra, anlise e tratamento de dados
do registro da WEB de cada usurio.

Acima, temos o acesso e a escolha de investigar o arquivo de histrico deste usurio


especificamente.

113

Acione o boto START


Acima esto registradas em log especfico todas as aes no arquivo e a forma de como
os dados foram extrados para anlise.

Podemos perceber que foram criados 2 pginas estruturadas com histrico da internet.

Acima constatamos que os dados esto devidamente organizados, da seguinte forma


PROFILE representa o arquivo do investigado que foi quebrado para dar origem ao
histrico, BROWSER representa o tipo de navegador que o investigado usava,
VERSO representa a verso do navegador, USERNAME representa o usurio que
estava logado na mquina fazendo uso do navegador, URL representa o site da internet
que foi visitado pelo usurio, ou o local da rede ou do disco que foi acessado por ele,
LAST VISIT DATE, representa o dia e hora em que houve o ltimo acesso do
investigado, a aquele site ou local de rede ou local interno do disco, importante
aprender que esta data e hora esto com a letra Z do time line ZULU que represente o
114

horrio MUNDIAL UTC, portanto a cada horrio acima voc deve reduzir 3 horas,
VISIT TYPE representa o tipo de arquivo (estrutura que foi acessada por ele), UID
representa uma identificao nica do site que foi credenciada no momento da visita
dele, CREATED representa o dia em que o INVESTIGADOR forense criou estas
informaes.
Investigando o histrico do sistema Google Chrome.

A estrutura do histrico do sistema chrome diferente do IE, nele temos de acessar a


pasta DADOS DE APLICATIVOS do usurio a ser investigado.

Depois temos de acessar a pasta GOOGLE, depois a pasta CHROME, depois a pasta
USER

DATA, depois a pasta DEFAULT.

115

Dentro da pasta DEFAULT iremos verificar a existncia de diversos arquivos que fazem
parte do histrico sendo HISTORY (GERAL) HISTORY INDEX ANO (AAAA) MS
(MM).

Explorando mais recursos da ferramenta WEB HISTORIAN.

Acima temos a opes de busca por palavras ou expresses em geral.

Acima temos o resultado que indica ter encontrado 1 expresso com o nome login.

Acima temos o resultado da pgina com a palavra LOGIN destacada em amarelo de


forma automtica.

Ao acessar o menu FILE podemos ter acesso a opo SAVE RESULT AS

116

Acima a opo nos leva a escolher quais os tipos de resultado que desejamos extrair e
para onde desejamos enviar.

Neste caso enviamos para uma pasta com o nome do usurio investigado.

Acima informamos a ferramenta que desejamos que o formato seja CSV

O arquivo foi exportado com sucesso.

117

Acima temos o formato do arquivo pronto.

Ao abrir temos os dados interpretados pelo EXCEL observo que o layout no fica bem
organizado, desta forma recomento importar como texto e tratar com o Excel tendo em
vista possuir vrgulas como delimitadores de espao.

Acima temos o mesmo arquivo em formato HTML que nos revela um nvel de
organizao mais elaborado.

Ainda no menu FILE vamos utilizar a opo EXTRAC HISTORY DATA, onde
poderemos de forma automatizada extrair todo o contedo do histrico de internet e
arquivos relativos navegao de internet em geral de um usurio ou mais de um
usurio ao mesmo tempo. Desde j lembro que na qualidade de investigador forense,
no podemos utilizar os dados dessa forma como prova mas sim como anlise prvia,
para que possamos verificar ou constatar algo mais rpido.

118

Ao iniciar com a opo de extrao, basta escolher em qual local ser feita a varredura
de dados e a ferramenta ir operar o restante.

No caso acima foi escolhido o ambiente do usurio ZE COLMEIA

A ferramenta deu incio s buscas de forma automtica.

119

Ao final criamos uma pasta com o nome do usurio para guardar os dados.

Acima temos um relatrio de erros dos arquivos que no puderam ser extrados pelo
fato de terem o nome muito grande para os padres de cpia.

Acima temos o resultado final com todos os dados relativos ao histrico de internet do
usurio.

Agora no menu TOOLS, vamos fazer uso da ferramenta ANALYZER onde podemos
gerar grficos que representam as propores percentuais de acesso de um usurio a
cada domnio.

120

Acima temos a opo de escolha do domnio e da quantidade de visitas.

Escolha frequncia de Websites por domnio.

Acima a ferramenta nos mostra um grfico em forma de pizza onde esto armazenados
todos os dados de cada domnio com a quantidade de visitas, observo que tal grfico
pode ser exportado e salvo.

121

Acima temos a opo de reduzir o grfico a um conjunto especfico de visitas onde no


caso fora filtrado sites onde ocorreram de 8 a 11 visitas.

Index Data Analizer 2.0


A ferramenta abaixo demonstrada de grande versatilidade quando se deseja
de forma rpida atingir o objetivo de anlise dos dados da pessoa investigada no
que diz respeito ao histrico de internet, como possui caractersticas do formato
LIVE, no h necessidade de instalao sendo sua execuo por duplo clique no
cone que est no seu pen drive.

122

Ao ser iniciada ela vai procurar de forma automtica todos os arquivos no


formato INDEX DAT que estejam no computador do investigado, e se ainda
quisermos apontar para outro arquivo com o mesmo formato, poderemos indicar
o caminho fsico para que ela o execute.

Acima temos um exemplo de anlise do histrico de um arquivo onde o acesso


ao mesmo se deu dia 23 de janeiro de 2012, e se ainda desejarmos maiores
caractersticas do arquivo, basta clicar com o lado direito do mouse sobre este
para ter acesso a suas propriedades conforme abaixo.

Na figura abaixo estamos demonstrado que podem ser aplicados filtros de vrios
modelos e formas para se revelar algo especfico, sendo este somente ativo
quando se investiga o CACHE do sistema operacional.

123

Hash my files.
Uma ferramenta leve e de grande utilidade para que possamos extrair
assinaturas especficas de arquivos que desejamos investigar no computador do
suspeito.

Para o incio da operao, bastam dois cliques no cone da ferramenta, e


poderemos ter seu perfil de ao de forma rpida e eficiente.

O investigador tem o espao para duas abordagens, sendo para extrair os


clculos de assinaturas de um arquivo ou de um ou mais diretrios contendo
vrios arquivos, ele opera com os algoritmos MD5, SHA-1 e CRC 32, alm de
gerar um relatrio completo de todo os arquivos do disco, sua localizao e
datas de ltimo acesso, criao e modificao.

124

O contedo do arquivo acima j foi devidamente calculado e pode ser de


imediato lanado para fins de pesquisa junto a sites especficos de vrus e
ameaas, tais como o (www.virustotal.com.br) aps o clculo podemos determinar
que o relatrio em modo texto seja gravado no local seguro de nossa
investigao e que possamos realizar as pesquisas necessrias com tais dados.

Acima temos o perfil de como o formato do relatrio da ferramenta.

125

Ao ter acesso a pagina do sistema vrus total, basta que possamos inserir os
dados do MD5 ou SHA1 do arquivo para que ela faa uma comparao
atualizada na base de dados de mais de 50 Antivrus existentes no mundo com a
respectiva data de atualizao de forma precisa.

Acima temos o resultado que nos revela um executvel que no malicioso,


sendo encontradas 43 verses do mesmo em diversos antivrus, sem qualquer
relato de risco.

Vamos agora simular em quanto tempo ele pode assinar e indexar todos os
arquivos do disco relativos a um usurio especfico que possa estar sendo
investigado.

126

Agora vamos demonstrar o perfil do relatrio que pode ser montado.

Depois de pronto h total possibilidade de pesquisa, por data, nome, tamanho,


extenso, HASH, e demais fontes de pesquisas que sejam vlidas ao
investigador forense.

127

Dump Reg (Despejo do Registro)

Da mesma forma que os demais softwares que estamos tratando hoje, o despejo
do registro no foge as caractersticas de uso racional de memria, versatilidade
e praticidade, como o seu nome diz ele se prope a despejar o contedo do
banco de dados do registro do sistema operacional de forma grfica e mais
amigvel ao investigador com menos experincia, o que muito facilita o
rendimento e o ganho de tempo da investigao.

Acima temos a opo padro onde o sistema busca todos os dados do registro
tendo como ndice principal, o tempo. Ao se utilizar a opo REPORT vamos
para a tela abaixo onde podemos ver com clareza que h mais dados a serem
configurados.

Como dito, podemos de forma simples fazer o DESPEJO dos dados,


SELCIONAR outro computador caso esteja em uma REDE, ou modificar o
sistema de buscas por CHAVE ao invs de trabalhar com o tempo.

128

O prximo passo agora escolher qual o motivo de sua investigao, ou seja em


qual chave voc vai procurar informaes, de forma breve, lhe colocamos que
para informaes relativas ao computador temos a chave MACHINE, para
informaes sobre todos os usurios temos a chave USERS e para informaes
sobre o usurio que est logado neste momento temos CORRENT USER.

Como optamos pela consulta em todos os usurios, nos foi mostrado o total de
mais de seis mil linhas de cdigo do registro do sistema operacional.

129

Visando reduzir o campo de investigao, vamos agora utilizar a ferramenta de


filtro que nos ajudar a mostrar somente o fator investigado.

Acima temos a tela do filtro que nos mostra com muita facilidade aquilo que
podemos informar que seja o nosso objeto de pesquisa.

Acima foi solicitado o filtro onde so mostradas apenas as opes de navegao


dos usurios, que constam com URLS dentro do banco de dados do registro,
mesmo que tenham sido apagadas do histrico e ou de demais locais.

A pesquisa retornou o total de 6 stios da internet que fazem parte da chave do


usurio cujo ID final 1005, sendo este registro modificado pela ltima vez no
dia 03 de maro DE 2012 S 13:10 horas, vale ressaltar que tal data no a data
de navegao nestes sites mas a data de atualizao desta chave, o que
comprovado na verdade e que a navegao ocorreu estando ela ligada ao
usurio 1005.
130

Ao final, o contedo pode ser salvo em texto e trabalhado pelo sistema EXCEL.

Ainda possvel limitar data e hora do que desejamos em um relatrio de


pesquisa.
Dump Sec (Despejo das configuraes de segurana).

Para se extrair os dados, basta como nos demais executar dois cliques sobre o
arquivo.

131

Agora vamos passar a fazer uso dos dados das polticas de segurana e
registros de segurana do sistema operacional. Logo abaixo, temos as opes
de poder gerenciar o despejo de dados sobre vrias vertentes quais sejam: file
system, registro, impressoras, compatilhamentos, diretrios compartilhados,
todos os diretrios compartilhados, podemos ainda despejar os dados de
usurios por colunas, usurios por tabelas, grupos por colunas, grupos por
tabelas, usuarios por tabelas de forma rpida, somente os nomes.

Ainda podemos despejar as POLTICAS de segurana, os DIREITOS e os


SERVIOS.

132

Vamos demonstrar o passo a passo de como utilizar tais informaes.


Se voc deseja saber se o usurio LOBORMAU pode ou tem direitos de leitura e
escrita em um determinado local do computador investigado, basta para tanto
fazer uso da opo FILE SYSTEM.

.
Logo aps, basta clicar no boto OK.

Agora voc pode perceber com clareza que o usurio, tem poderes de leitura e
escrita em todos os seus diretrios. Refaa este exerccio em uma pasta de
usurio que o mesmo no tenha acesso para ver a diferena. Se voc deseja
saber quais as permisses do usurio LOBOMAU a partir do registro do sistema
use a opo abaixo e depois clique em OK.

133

Percebemos nas reas que foram destacadas que o usurio LOBOMAURN


possui acesso total na maioria dos locais, mas mesmo assim, em alguns casos
este somente possui poderes de LEITURA e em outros teve o acesso NEGADO.
Se voc deseja saber quais as impressoras do sistema o qual o usurio
LOBOMAURN tem acesso vamos ver abaixo.

134

Acima esto destacadas todas as impressoras do sistema, onde podemos


demonstrar o que o usurio LOBOMAURN pode ou no em cada ambiente de
impresso.

Vamos fazer uso do sistema de despejo das aes dos usurios por
configurao de colunas onde do lado esquerdo iremos solicitar informaes que
sero mostradas nos relatrios.

135

Acima optamos por receber um relatrio de todos os usurios onde temos o


NOME DO USURIO, ULTIMO LOGON, O NOME DA MAQUINA DO LOGON, A
HORA DO LTIMO LOGON, O SID, O TIPO DE CONTA e o GRUPO.

Mostramos a voc o resultado de somente um usurio, mas a ferramenta retorna


com preciso o relatrio dos 13 usurios da mquina.

136

Acima estamos exibindo os resultados para as POLICES ou polticas de


segurana que foram configuradas para o usurio LOBOMAURN.
Lembramos que ainda podem se extradas as informaes dos DIREITOS do
usurio e dos SERVIOS que esto sendo executados por ele.

Todas as informaes que so extradas da ferramenta devem ser registradas


por meio de relatrio, vide modelo abaixo.

137

X Agent Ransack (Buscas por stringns em camadas).


J tivemos a oportunidade de utilizar e demonstrar a relevncia do poder de
indexao, e ou de buscas especficas, por assuntos, palavras, fotos, dados e
demais relaes que possuem grande relevncia ao processo de investigao.
Com tais experincias podemos comprovar que as buscas e ou agentes de
buscas (meta carving) so verdadeiros heris quando o objetivo a ser alcanado
diz respeito produtividade X tempo, onde o analista forense se v pressionado
em produzir resultados em investigaes complexas em pouco espao de
tempo. A ferramenta leve, e de simples utilizao, como as demais no requer
uma instalao e pode com facilidade ser usada a partir do pen drive.

138

Acima temos a parte superior da tela da ferramenta que nos revela as funes
especficas, da esquerda para direta temos;
Um novo caso ou pesquisa, abrir critrios pr existentes,
fechar a ferramenta, salvar critrios, salvar critrios
como, salvar os resultados de busca, imprimir, visualizar
pr impresso, configuraes de impresso e sair do
sistema.

Modificar a fonte, modificar a cor de destaque do


texto, limpar o histrico, selecionar tudo, deletar,
copiar.

139

Visualizar a barra de ferramentas, o status da barra


de ferramentas, selecionar a visualizao por nome
de arquivo, localizao de arquivo, tipo de arquivo e
por data.

Iniciar uma busca, parar uma busca, busca em uma nica


fase, configuraes para otimizar em sistemas Linux ou
sistemas Mac conforme figura abaixo.

Teste por uso de expresses regulares, caso voc no


tenha a certeza de que a mesma est correta para o seu
caso.

140

Caso

voc

no

tenha a certeza de
que

sua

expresso

esteja

correta para que


possa buscar por
cartes de credito,
por exemplo, basta
inserir a mesma na
caixa

inicial

de

testes, colocar um
texto abaixo com as referncias e como o boto TEST voc fica sabendo se a
expresso deu certo em sua busca.
Vamos agora realizar buscas de testes com a ferramenta;

Ainda na parte superior, vamos de forma mais simples primeiro procurar por
documentos que sejam do formato PDF.

141

Podemos perceber que como resultado nos foi revelado o total de 6 arquivos no
formado PDF no interior do disco do suspeito, contudo, j estudamos que a
simples revelao no nos mostra toda a realidade do que desejamos ou
necessitamos para uma investigao.
Vamos agora investigar um documento PDF que foi modificado no ms de
fevereiro de 2012;

Podemos determinar que o documento foi modificado entre o perodo de 01 d 31


de janeiro de 2012, como pode-se verificar o relatrio acima.

142

Podemos optar por pesquisas mais complexas onde seria da necessidade da


investigao conhecer todos os documentos que no seu INTERIOR tivessem
alguma referncia ao usurio LOBOMAURN tal fato listou o total de mais de 145
arquivos em diversos formatos que foram analisados pela ferramenta que
retornou as situaes acima descritas, (ressaltadas em azul).

143

Acima, solicitamos ferramenta que fosse efetivada uma pesquisa sobre uma
escritura que seria objeto de investigao, o retorno mostra desde documentos
no interior do dispositivo investigado, como mostra histrico de internet em que
havia sido pesquisado com relao a escrituras.

Buscas por arquivos relativos a pedofilia.

144

PRE-SEARCH (Buscas avanadas em registros fotogrficos).


Todas as buscas que so realizadas em ambiente informatizado tem alguma
funo especfica, seja para localizar telefones, senhas, apelidos, nomes, contas
de e-mail, cdigos e demais informaes, e muito comum s investigaes
versarem sobre temas que esto ligados a fotos ou registros fotogrficos em
geral, em particular as fotos que possam comprovar o uso indevido de material
pornogrfico no ambiente de empresas ou material que envolva pedofilia no
ambiente profissional ou mesmo pessoal.

Abaixo temos o aspecto visual da ferramenta que nos revela de forma simples
como se d a configurao para buscas por imagens, neste caso a ferramenta
executada de forma automtica do pen drive no necessitando de instalaes,
podemos tambm determinar se a busca pode se dar desde a raiz do sistema ou
de uma pasta ou local especfico.

ferramenta

suporta

tipos

de

imagens

para

buscas,

sendo

JPG,BMP,GIF,PCX.

145

A ferramenta disponibiliza um relgio que determina a hora de incio e abaixo o


caminho absoluto de contedo do que foi analisado por ela, o investigador pode
PAUSAR a busca, CANCELAR a busca ou VER a LISTA nominal de fotos que
foram tiradas do local.

MATERIAL ILUSTRATIVO, REAPROVEITADO EM CASOS DE INVESTIGAO


PARA DEMONTRAR A OCORRNCIA DE CRIMES INFORMTICOS.

Acima temos uma amostra de fotos que esto ligadas tanto a pedofilia como a
pornografia logo abaixo da foto temos o caminho absoluto da onde a mesma foi
localizada, acima de cada foto temos um nmero que identifica o arquivo para a
ferramenta, neste caso a nossa foto suspeita, recebeu o nmero 7638 sendo ela
denominada de SEX01.DOC.jpg

Quando a busca finalizada a ferramenta exibe um aviso.


146

Depois que a busca finalizada, o analista pode visualizar por completo a


listagem do que foi efetivamente encontrado no computador suspeito, conforme
o exemplo acima, estamos comprovando que um arquivo denominado
123.PART que na verdade um arquivo de compartilhamento da rede emule
que foi detectado no diretrio especfico, e mesmo sendo somente uma parte,
pode ser visualizado pela ferramenta, a parte inferior no pode ser vista por
ainda no ter sido baixada da WEB pelo compartilhamento emule.

147

Photo Rec Win


A ferramenta de recuperao de dados funciona de modo a procurar nos
arquivos ou fragmentos que ela localiza nos dispositivos pela assinatura do
cabealho de cada um destes, onde ao encontrar ela os identifica como sendo
uma foto, uma msica, um texto, um executvel ou outros tipos de arquivos que
podem ser recuperados.
Este padro de recuperao pode ser executado tanto no formato LIVE como no
formato POST MORTEM, abaixo, estamos comprovando que criamos um disco
de 2GB de dados NOVO na mquina virtual que no possua registros anteriores
ou arquivos guardados nestes, desta forma podemos identificar o grau de
eficincia da ferramenta para recuperao de dados, aps a criao, vamos
fazer testes especficos para recuperao de fotografias em sistemas de
arquivos NTFS e FAT32.

Disco foi montado na Maquina Virtual.

Disco foi reconhecido e formatado como NTFS

148

Foi inserido no disco as 4 fotos acima.


MATERIAL ILUSTRATIVO, REAPROVEITADO EM CASOS DE INVESTIGAO
PARA DEMONTRAR A OCORRNCIA DE CRIMES INFORMTICOS.

No prximo passo, vamos formatar o disco 1 vez e executar a recuperao dos


dados nele contidos.

Disco formatado novamente (1 vez).

Vamos executar a ferramenta.

A ferramenta no requer instalao e fica armazenada na pasta CGSecurity

149

Clique duas vezes sobre o executvel PHOTOREC_WIN

A ferramenta indaga ao usurio se este deseja manter uma previa no seu disco,
neste caso, deve ser informado que NO.

Logo aps ela mostra todos os dispositivos conectados que foram reconhecidos
por ela, em nosso caso o disco BANDIDO 16GB, o PEN DRIVE de ferramentas
de 8GB e o novo disco que criamos de 2GB. (DEVEMOS SELECIONAR O
DISCO DE 2GB).

150

Depois de tal fato vamos determinar o tipo de sistema de arquivos que o nosso
disco possui, por eliminao podemos informar que se trata de uma partio
INTEL SIMPLES de computador.

Depois de confirmado a ferramenta vai verificar o tipo de estrutura de arquivos


que estamos trabalhando, em nosso caso NTFS.

151

Depois que confirmamos como NTFS ela vai estruturar a pesquisa para este tipo
de sistema de arquivos.

Acima a ferramenta pergunta se vamos percorrer todos os blocos que esto


LIVRES para verificar se encontramos algo ou se devemos percorrer o ESPAO
POR INTEIRO.

Depois, devemos apontar a criao de um diretrio de RECUPERAO para


onde ele devera direcionar todos os dados recuperados, me nosso caso, por
padro ele mesmo cria o diretrio dentro da pasta da ferramenta, bastando
indicar YES.

152

A ferramenta inicia o processo de verificao e encontra 3 arquivos de fotos no


interior do disco.

Ao examinar o diretrio criado...

MATERIAL ILUSTRATIVO, REAPROVEITADO EM CASOS DE INVESTIGAO


PARA DEMONTRAR A OCORRNCIA DE CRIMES INFORMTICOS.

Do total de 4 fotos que serviram de amostra, 3 foram recuperadas de forma


eficiente com perfeita visualizao do contedo.
Nesta segunda fase vamos formatar o disco 2 vezes para termos a certeza de
que os dados no sero mais recuperados.

153

Depois de todos os procedimentos, novamente recuperamos 3 fotos, conforme


abaixo.

MATERIAL ILUSTRATIVO, REAPROVEITADO EM CASOS DE INVESTIGAO


PARA DEMONTRAR A OCORRNCIA DE CRIMES INFORMTICOS.

154

Ferramentas da empresa Nirsoft.


Ferramenta de visualizao do cache no navegador Chrome.

Ao clicar sobre a ferramenta irei visualizar o contedo do navegador Chrome de


cada usurio.

Internet Explorer Cache View.

Da mesma forma que o anterior, a ferramenta possibilita que o investigador


possa em tempo real, IN VIVO efetuar uma investigao nos dados de CACHE
do navegador do usurio que est LOGADO naquele momento, podendo
inclusive aplicar filtros, fazer busca por palavras, visualizar fotos, e uma srie de
outras aes relevantes para o trabalho pericial. Se desejar, o investigador ainda
pode solicitar que a ferramenta gere um relatrio em formato de texto, XML,
tabulaes e arquivos separados por vrgula para fins de pesquisas no sistema
EXCEL.
155

Acima temos o aspecto do contedo do cache do sistema IE da Microsoft.


Visualizador de Cookies do IE

A ferramenta automatiza o processo de pesquisa, captura e relatrios do sistema


de Cookies da Internet.

156

Visualizador do histrico do IE

Como as demais uma ferramenta leve que no requer instalao e fornece de


forma automatizada todo o processo do histrico de internet do usurio que est
logado no sistema naquele momento, o investigador pode extrair filtros, pode
gerar relatrios e visitar os links de acesso internet que foram gerados pelo
usurio investigado.

157

INSIDE CLIPBOARD (investigando a rea de transferncia).

Acima temos a ferramenta de visualizao do que est na rea de transferncia,


podendo ser textos, binrios, pginas da internet, senhas ou qualquer outro tipo
de informao relevante a uma investigao forense.
LIVE CONTACTS VIEW

A ferramenta Live View nos releva de forma automtica todos os contatos do


sistema Messenger que estejam cadastrados para o usurio LOGADO naquele
momento, onde podemos obter nome, apelido, telefone e o e-mail de cada
usurio, podemos tambm deduzir pela data de ltima modificao quando este
contato e o investigado mantiveram conversas pela ltima vez.

158

MOZILA CACHE VIEW


Ferramenta para visualizao do cache do navegador Mozila, idem a mesma
ferramenta para o IE

MY LAST SEARCH
A ferramenta mostra de forma simples e direta todas as buscas que foram
realizadas no Google pelo usurio logado no momento da investigao, podendo
identificar a data da busca, o navegador utilizado e o tipo de Browser utilizado.

159

RECENT FILES VIEW


A ferramenta mostra de forma organizada todos os arquivos recentes de do
usurio que est logado naquele momento no sistema operacional, onde na
coluna EXECUTE TIME representa o momento exato em que o arquivo foi
EXECUTADO pela ltima vez, os arquivos recentes so caracterizados pela
extenso .LNK e ficam armazenados na pasta RECENT de cada usurio da
mquina.

160

USB Deview.
A ferramenta busca no registro do sistema operacional todos os dados relativos
a drives do tipo USB que foram montados e registrados no computador, isso
quer dizer que para ser mostrado no presente relatrio o dispositivo foi
efetivamente montado e reconhecido pelo sistema operacional, alm da marca
h a descrio do dispositivo que pode ser desde uma impressora a laser, uma
impressora fiscal, um telefone voip, um disco externo, um disco de backup, ou
qualquer outro dispositivo do padro USB, mesmo emuladores de porta USB so
reconhecidos ou dispositivos BLUETOOTH, e por padro a ferramenta indica o
nmero de SRIE do firmware do aparelho onde a partir deste nmero podemos
associar a data da utilizao com o dispositivo e determinar quem estava logado
no sistema quando um dispositivo especfico foi utilizado.

161

USER PROFILE VIEW

Acima temos o relatrio da ferramenta que disponibiliza todos os dados de perfil


de cada usurio do sistema operacional, a partir de uma consulta ao registro,
como se percebe da esquerda para direita temos as colunas referentes ao
NOME DO USURIO, depois a data que ele (usurio) se logou pela ltima vez,
depois temos a data de criao de sua pasta, depois temos a data de
modificao de sua pasta e data de modificao do seu registro no SO que
coincide com a SUA DATA DE LTIMO LOG ON e por fim temos o SID completo
de cada usurio.
REG SCANNER.
O Registro do sistema operacional atua como um banco de dados de todas as
aes do sistema que nele esto armazenadas, podemos perceber no registro
arquivos, usurios, configuraes, softwares e uma gama de dados que podem
ou no terem sido apagadas do sistema mas mesmo assim ainda iro encontrar
dados armazenados no registro do computador, abaixo a ferramenta REG
SCANNER foi criada para no propiciar um ambiente de investigao forense de
modo LIVE tendo em vista a dificuldade de se acessar o registro do sistema
operacional do modo POST MORTEM, principalmente quando se pretende
investigar vrus e outros tipos de infeces virtuais.

162

Interface inicial da ferramenta onde devemos solicitar uma nova busca.

Interface de pesquisa da ferramenta onde podemos escolher um computador


remoto na rede ou pesquisar por uma chave especfica dentro do registro.

Acima temos uma valiosa colaborao para que possamos pesquisar por
palavras expresses ou frases, tendo inclusive como selecionar a opo case
sensitive.

Podemos escolher valores de busca onde iremos pesquisar por itens que
contenham especificamente o que foi solicitado, que contenham o par perfeito do
que foi pesquisado, que contenham qualquer valor, que contenham expresses
regulares do que foi pesquisado, etc.
Podemos ainda determinar que sejam referenciados na pesquisa os valores, as
datas, as chaves e valores binrios em formato UNICODE. A ferramenta nos
permite selecionar que sejam mostrados 10.000 mil itens por vez ou valores
superiores a este, em cada pesquisa.
163

Acima podemos determinar que o registro mostre tudo o que ocorreu dentro de
um intervalo de data e hora especfico, onde ainda poderemos escolher em
quais chaves de registro sero realizadas as buscas, podendo ser na MAQUINA
LOCAL, USUARIO CORRENTE, CLASSES, USURIOS ou CONFIGURAES
CORRENTES.

Vamos procurar por arquivos recentes do usurio corrente.

A chave pesquisada nos leva diretamente aos documentos recentes do usurio


corrente.

164

Depois que a chave foi devidamente reconhecida na busca, verificamos que


temos mais de 76 documentos em uma lista referentes ao usurio LBOMAURN
SIN final 1005 onde cada chave numerada pode ser aberta em formato
HEXADECIMAL e com isso, poderemos verificar o nome de cada arquivo que foi
gravado para o usurio.

165

Quando clicamos em uma das chaves, podemos ter acesso aos dados atravs
do editor binrio do registro.

Acima temos a pesquisa pelo valor TYPED onde podemos extrair do sistema de
registro todas as informaes relativas aos 10 ltimos sites ou acessos interno
do sistema explorer que foram efetivados nesta mquina.

166

Vdeo Cache View

Todos os vdeos que so acessados pelo usurio investigado, so armazenados


em um local de cache do navegador, com a ferramenta, podemos ter acesso a
todos os vdeos que o usurio assistiu, seja de forma parcial ou total onde temos
as referncias do site da Web que disponibilizou o vdeo, qual o navegador, onde
est armazenado e outros dados relevantes, podemos tambm ter acesso a uma
cpia do vdeo. Tendo em vista o fato de que se o acessarmos novamente na
prpria mquina do usurio, ns iremos modificar o time line do arquivo e
comprometer a investigao em curso.
Utilizando a ferramenta MyEventViewer para analisar os registros de auditoria do
sistema operacional.

J estudamos a importncia de se trabalhar de forma segura os registros de auditoria,


onde, cada passo possui grande relevncia para se determinar o que houve com o
computador investigado.

167

De forma muito simples podemos em uma s tela verificar, filtrar e analisar em tempo
real todas as auditorias que estejam instaladas em um sistema operacional.

Acima temos as opes de LIMPAR eventos especficos e ou LIMPAR todos os eventos


do sistema de auditoria, tambm podemos salvar os eventos selecionados, e verificar os
dados de propriedades especficas de cada evento.

Na aba EDIT podemos aplicar opes de busca refinadas sobre todos os eventos,
copiar os dados desejados, selecionar ou desfazer a seleo para futura cpia e
gravao dos dados.

168

Na pgina anterior podemos marcar linhas de grade entre as colunas, podemos retirar
tais linhas, podemos armar relatrios no formato HTML de todos os itens e ou somente
de itens selecionados, podemos determinar o que mostrado ou no em cada coluna,
podemos ver as colunas de forma e tamanho automticos e por fim, podemos atualizar
as informaes gravadas no arquivo de dados de auditoria.

Na aba opes, podemos determinar que os eventos possam ser mostrados em filtros
pr estabelecidos pelos tipos tais como: Erro, Alerta, Informao, Sucesso de Auditoria
e Falha de Auditoria, tambm podemos procurar eventos pela descrio, mostrar o
horrio no formato GMT, mostrar a data do evento, mostrar a descrio de cada evento
na tabela e ainda podemos utilizar um filtro avanado.

Como analisar senhas de usurios atravs da ferramenta NETPASS.


Conforme j estudado, o registro do SO e o arquivo SAM reservam dados de alta
relevncia sobre os usurios e suas respectivas senhas, contudo, caso o perito
forense esteja utilizando uma tcnica de anlise IN VIVO e possa de forma
eficiente verificar a senha de rede, ela ser de grande valia tendo em vista que a
senha de REDE por diversas vezes pode ser empregada em sistemas de
armazenamento em nuvem, sistemas de comunicao do tipo MSN, GTALK
outros e tambm sistemas de correio eletrnico em nuvem ou correio local.

169

Acima verificamos que a senha de logon do usurio EXECUTIVO a palavra


executivo, e que no h registros de ltima escrita da mesma, ou seja a sua data
de ltima modificao.

Como analisar senhas de usurios atravs da ferramenta LSA Secrets


View.
A ferramenta abaixo descrita, opera de forma real com os registros do sistema
operacional e os dados do arquivo SAM e CONFIG.SYS procurando registros
que possam ser descritos como dados ou chaves (senhas) de aceso a servios
ou logon.

170

Na pgina anterior verificamos que vrios usurios podem ser identificados por
padro como CONTA DE ASSISTNCIA REMOTA, CONTA DE ACESSO
REMOTO, mais abaixo vemos a senha padro com 18 bits de comprimento
(EXECUTIVO), e, alm disso, podemos ver ao final a senha para discagem em
servios de internet (modens 3G OU 4G) onde ao lado podemos verificar o SID
do respectivo usurio responsvel pelo modem, se o mesmo realmente existe e
qual a operadora.

Desta forma, verificamos que a operadora do modem em questo CLARO


onde tal informao possui relevncia para qualquer investigao que deseje
comprovar o acesso rede mundial e de forma mais especfica forma de
acesso.

Como analisar dados sobre o tempo de uso do computador.


Quando nos referimos computao forense uma das tcnicas de maior
relevncia dentro desta cincia o que chamamos de LINHA DO TEMPO, ou
seja, todo o conjunto de provas coletadas e organizadas em uma linha do tempo
onde poderemos atribuir uma data e hora para cada evento, onde da
poderemos incluir ou eliminar suspeitos de crimes ou aes que esto sendo
investigadas. Uma das aes mais importantes determinar por quanto tempo
um computador permaneceu em funcionamento ou estava desligado.

171

A ferramenta possibilita a anlise do tempo de uso de computadores que


estejam ou no conectados em rede, se por acaso estiverem os mesmos
conectados em rede, basta fazer uso do dispositivo BROWSE para apontar em
qual rede o computador alvo da anlise esteja.

172

Na lateral esquerda temos uma tabela de dados onde so informados os dias do


ms e na linha correspondente ao dia, temos as hora de 00:00 horas at 24:00
horas para informar a quantidade de horas e o intervalo de tempo de uso do
computador, na ltima coluna do lado direito so mostradas a quantidade de
tempo de uso do computador, ao final da coluna so relevados o total de horas
em funcionamento do computador no perodo de 3 ltimas semanas, para a
verso gratuita e para a verso paga, so mostrados o total de horas em
funcionamento desde a instalao do sistema operacional. Mais abaixo temos o
total de horas em funcionamento no dia de hoje.

Para melhor compreender o uso da ferramenta, vamos destacar um dia de


domingo onde temos alguns espaos em branco na linha analisada que
representam os momentos em que estava desligado, e os que esto marcados
em azul os momentos em que estava ligado, imagina por um s momento que
este um SERVIDOR DE REDE ou um SERVIDOR WEB de comrcio eletrnico
que funciona 24 horas por 7 dias, os espaos em branco iro de forma muito
CLARA e SIMPLES dizer a voc os momentos em que houve DANOS ou
ATAQUES ao sistema.

Acima temos um recorte da mesma ferramenta em sistema Windows 7 onde ela


mostra dois desenhos (sinais) diferentes sendo um em VERMELHO que denota
de forma especfica o fato do computador analisado ter sido REINICIALIZADO
de forma inesperada e repentina e o segundo smbolo de cor CINZA mostra que
o computador entrou em MODO DE ESPERA OU HIBERNAO.

173

Como utilizar ferramentas de levantamento de dados e informaes do


computador analisado.

de grande relevncia para o investigador forense , levantar o maior nmero de


informaes sobre o computador analisado, inclusive hardware, dados de rede,
usurios e demais informaes, no mercado de ferramentas pagas, a lder de
popularidade dentre os profissionais de TI a ferramenta EVEREST, como a
mesma possui direitos sobre o seu uso, optamos por usar em nossos estudos
uma ferramenta de ALTA CONFIABILIDADE e de performance to boa quanto,
que informa todos os dados relativos mquina investigada e nos d a
possibilidade de uso das informaes e dos relatrios em diversos formatos.

174

A interface grfica da ferramenta facilita o seu uso, onde podemos perceber que
a mesma j identifica o computador com o seu nome de rede (nome lado
esquerdo abaixo na tela), para dar continuidade ao uso podemos de forma direta
utilizar o boto AUDITAR, mas antes devemos verificar o boto de configuraes
da ferramenta.

Alertamos aos alunos que esta ferramenta possui caractersticas de uso


preventivo para que possamos fazer uso de suas informaes em uma rede de
computadores, visto que a mesma pode ser executada de um servidor.

Ao observamos as informaes acima, podemos perceber que a mesma nada


tem a perder em relao a sua concorrente paga, tendo em vista a grande
possibilidade de informaes que podem ser geradas, em diversos formatos,
atentem para o fato de que ainda posso determinar qual o tipo ou mais de um
tipo de arquivo que desejo localizar no computador.

175

A ferramenta passou a processar as informaes necessrias ao relatrio.

A ferramenta permite que os dados sejam salvos em diversos formatos para que
a produo da anlise tenha maior eficcia.

176

Acima temos um padro de tela com as informaes dentre muitas outras que
so geradas pela ferramenta.

177

Como monitorar as alteraes nos arquivos executveis e links.

Os arquivos executveis so fonte de grande valia para investigaes, onde de


relevante importncia saber quantas vezes cada arquivo foi executado e qual a
data de sua ltima modificao.

Da esquerda para direita temos o nome da aplicao que foi executada o seu
nmero de ordem em uma fila de processos a quantidade de vezes que foi
executada e a data da sua ltima modificao que poder coincidir com a data
de sua ltima execuo.

O investigador pode selecionar qualquer dos arquivos e usando o boto direito


do mouse, pode dentre muitas outras funes, buscar as propriedades do objeto
selecionado.

178

A vantagem dada pela ferramenta que a mesma informa qual a pasta e


diretrio de onde a execuo ocorre, bem como o nome completo e correto do
aplicativo, sendo este de grande relevncia para anlise de vrus e demais
aplicaes suspeitas.

A ferramenta permite que sejam gerados relatrios em formato HTML de forma


imediata ou ento podem ser salvos relatrios em diversos formatos bastando
que o usurio faa a opo de em qual formato deseja o relatrio.

Como analisar os aplicativos que foram inicializados de forma automtica.


Tanto para o analista forense como para o profissional de segurana em geral,
de grande importncia verificao das aplicaes que so iniciadas de forma
automtica em um sistema informatizado, tendo em vista que cada sistema
possui um tipo de acesso especfico, uma funo especfica e verso, bem
como, podemos ainda analisar local de instalao, local de acesso ao registro do
sistema operacional e data de fabricao do software.

179

A ferramenta mostra o nome de cada aplicao que teve sua inicializao


automtica com o sistema operacional, informando ainda se uma aplicao
instalada na mquina MACHINE RUN ou se uma aplicao do sistema
operacional USER RUM, informa o caminho de instalao, informa se est ou
no habilitada, informe o fabricante do produto, verso do arquivo, chave do
processo de registro, nome do processo e data de criao do processo.

Ao clicar com o lado direito do mouse sobre o aplicativo, o analista tem acesso
s informaes de propriedade do mesmo conforme abaixo.

Ao lado temos a opo de abrir a chave do


registro
responsvel
pela
aplicao
analisada. Depois de selecionar a mesma podemos clicar na opo especfica
que ela ir abrir o registro de forma automatizada conforme a figura abaixo.

180

As demais funes relativas a relatrios de formas de exibio so em formato


padro j devidamente mostrado em ferramentas do mesmo nvel.

Como analisar o registro do sistema operacional com a ferramenta


DUMPREG

Na primeira etapa o analista deve verificar qual chave do registro deseja realizar
o despejo, pode ele tambm acessar outros computadores que estejam em rede
para realizar o despejo ou evidenciar as informaes constantes no relatrio
pelas chaves do registro ou pelo tempo de ao.

Acima, temos o exemplo da escolha da chave de registro ligada aos dados da


mquina local investigada.

181

O analista pode ainda customizar a busca determinando os valores de intervalo


das chaves, ou mesmo determinando o intervalo de datas em que deseja a
pesquisa.

Acima temos o exemplo do relatrio gerado pela ferramenta mostrando as


informaes de todos os usurios da mquina e ao lado direito da tela a data de
hora de ltima modificao da respectiva chave de registro.

Para realizar uma simulao, na tela superior foi digitado o nome de um usurio
do sistema na opo de filtro, que no caso retornou com as respostas que
constam tal dado em todas as chaves possveis conforme se percebe no quadro
abaixo.

182

Acima temos uma nova pesquisa relacionada s palavras PEDO e a extenso


.jpg (fotos) em ambos os casos todos os retornos de filtro foram fatores positivos
verdadeiros ligados pornografia infantil.
Como analisar as auditorias de segurana com a ferramenta DUMPSEC

Acima temos a viso da tela principal da ferramenta.

183

Acima temos a listagem completa de quais tipos de despejo de informaes


podemos realizar com a mesma, dentre elas podemos destacar, permisses
pelo registro,

por impressoras,

por

compartilhamentos,

por

diretrios

compartilhados, permisses por usurio, por grupo, pelas polticas, pelos direitos
e finalmente pelos servios em execuo naquele momento.

No caso acima, estamos investigando as permisses de acesso a todos os


arquivos do sistema investigado onde podemos ver os direitos dos usurios e
grupos sobre fotos de todas as lixeiras do computador.

Quando se trata de direitos de usurio, podemos associar as informaes


desejadas por grupo, tipo de conta, requisio de senha, ltimo logon, tempo
para expirar a senha do usurio.

184

No exemplo acima, temos o usurio BATMAN com o seu respectivo SID a data
de ltimo logon, o nome do computador em que se logou, e as suas permisses
de log on.

Acima temos as opes relativas s polticas de segurana, auditorias e demais


direitos de usurio.

Acima temos as informaes relativas a todos os servios que estavam sendo


executados no momento em que o despejo foi realizado.

ANEXO I
185

Tabelas de cdigo (ID) de eventos do


sistema Windows XP

186

187

188

189

ANEXO III
Etapas de como se extrair uma cpia do
certificado auto assinado de um sistema
operacional Windows XP.

190

Para abrir Certificados, clique em Iniciar, Executar, digite mmc e, em seguida, clique
em OK. No menu Arquivo, clique em Abrir, clique no console que deseja abrir e, em
seguida, clique em Abrir. Na rvore de console, clique em Certificados. Tais aes tem
o valor de uso para a assinatura de imagens forenses com o uso de um certificado PFX,
bem como, para o uso em investigaes onde seja necessrio exportar a chave do
investigado e abrir os arquivos que foram encriptados por ele.

Digite MMC no console de auto execuo.

Acesse na parte superior ARQUIVO.

Acesse ADICIONAR/REMOVER SNAP IN.

191

Clique em ADICIONAR.

Escolha ADICIONAR CERTIFICADOS.

Acesse a opo GERENCIAR MINHA CONTA DE USURIO.

Clique em CERTIFICADOS USURIO ATUAL.

Expanda o menu CERTIFICADOS USURIO ATUAL.

192

Encontre o CERITIFICADO PERITO_FORENSE

Clique com lado direito do mouse sobre o CERTIFICADO em TODAS AS TAREFAS


utilize a opo EXPORTAR.

Ir dar incio ao processo de exportao do certificado.

Opte por EXPOTAR A CHAVE PRIVADA e o CERTIFICADO do usurio.

193

Defina o tipo de formato de arquivo a ser exportado em nosso caso ser com a extenso
PFX

Defina uma senha tendo em vista a possibilidade de usar a chave privada para realizar
assinaturas.

Senha definida.

194

Indique um nome para o CERTIFICADO e o LOCAL de gravao.

Gravao com xito.

Relatrio de exportao dos dados.

Arquivo de certificado devidamente exportado e armazenado em local seguro.

195