CURSO DE EXTENSO EM COMPUTAO FORENSE

O sistema operacional bero dos vestgios, conhec-lo em profundidade e aprender a interpretar suas informaes, o caminho mais seguro para a produo da prova pericial de qualidade. (Figueiredo, Jorge 2010)

SUMRIO CAPTULO 01 Duplicao Forense. 1.1 Criando uma imagem forense para os procedimentos de investigao. 1.2 Realizando uma cpia forense. 1.3 Como montar uma imagem forense de forma segura. 1.4 Como realizar buscas customizadas em dispositivos investigados. 1.5 A importncia de se analisar as propriedades de um arquivo. 1.6 Como exportar a imagem/dados/diretrio com ou sem HASH matemtico do disco. 1.7 Como verificar o DRIVE/IMAGEM. 1.8 Como realizar o despejo da memria RAM. 1.9 Como detectar encriptao do tipo EFS. CAPTULO 02 Trabalhando com a evidncia (sistema operacional Windows) 2.1 Como utilizar a ferramenta WINHEX para anlise do despejo da memria RAM. 2.2 Arquivo SAM. 2.3 Auditorias do sistema operacional. 2.4 Histrico de Internet/Explorer 2.5 Anlise do contedo da lixeira por usurio.

CAPTULO 03 Utilizando o prompt do MS-DOS como uma ferramenta de carving 3.1 Anlise em linha de comando (MS-DOS) 3.1.2 Registrando a data e hora do incio da investigao. 3.1.3 Identificando a evidncia pela assinatura do volume do disco rgido. 3.1.4 Descobrindo todos os usurios existentes no sistema investigado. 3.1.5 Descobrindo a existncia de tarefas agendadas no sistema. 3.1.6 Descobrindo quais so todos os grupos locais 3.1.7 Descobrindo a ltima vez que o usurio se conectou ao sistema. 3.2 Listando todos os arquivos, diretrios e subdiretrios em relao ao ltimo acesso. 3.3 Listando todos os arquivos, diretrios e subdiretrios em relao data de criao. 3.4 Listando todos os arquivos, diretrios e subdiretrios em relao data de ltima escrita ou ltima alterao. 3.5 Aprendendo a gravar o contedo em local seguro. 3.6 Aprendendo a gravar o contedo em local seguro no mesmo arquivo de forma ordenada. 3.7 Descobrindo informaes com a sintaxe FIND 3.8 Descobrindo quem tem acesso ao arquivo e suas permisses. 3.8.1 Descobrindo quais arquivos esto criptografados. 3.8.2 Descobrindo o nome do computador e a verso do Windows. 3.8.3 Descobrindo o endereo fsico da placa de rede.

4
3.8.4 Descobrindo as configuraes de IP. 3.8.5 Descobrindo as conexes ativas. 3.8.6 Descobrindo conexes por comando de discagem automtica. 3.8.7 Descobrindo servios que foram iniciados. 3.8.8 Descobrindo servios de controle e de acesso remoto. CAPTULO 04 Ferramentas em linha de comando MS-DOS 4.1 Investigando eventos com a ferramenta DUMPEL ( Microsoft) 4.2 Investigando eventos com a ferramenta PSLOGLIST (Sysinternals) 4.3 Obtendo informaes com a ferramenta PSINFO (Sysinternals) 4.4 Descobrindo quais portas esto abertas no sistema com a ferramenta FPORT (Foundstone) 4.5 Descobrindo arquivos com inicializao automtica com a ferramenta AUTORUNSC (Sysinternals) 4.6 Descobrindo quais os usurios locais ou remotos que esto conectados com a ferra-menta PSLOGGEDON (Sysinternals) 4.7 Verificando o status das auditorias do sistema operacional com a ferramenta AUDITPOL (Microsoft) 4.8 Usando a ferramenta NTLAST (Foundstone) para verificar logins de sucesso e falha no sistema operacional 4.9.1 Investigando o acesso a um arquivo com a ferramenta AFIND (Foundstone). 4.9.2 Investigando o histrico de internet com a ferramenta PASCO (Foundstone) 4.9.3 Descobrindo informaes sobre COOKIES com a ferramenta GALLETA.

5
CAPTULO 05 Ferramentas grficas para anlise de dados. 5.1 Ferramentas para anlise do registro do sistema operacional. 5.2 Anlise de vestgios do sistema LIVE MESSENGER (verso instalada no sistema operacional). 5.3 Anlise do LOG do sistema de acesso a web via modem 3G.

CAPTULO 01 DUPLICAO FORENSE

7
1. Duplicao forense, criando uma imagem forense para os procedimentos de investigao. Ao darmos incio os estudos de investigao em ambiente Windows, vamos aprender que de suma importncia o processo de duplicao forense. Como estudado em nossa disciplina de Criminalstica aplicada, verificamos que a integridade da prova analisada depende de forma direta da segurana de operarmos um ambiente sem possibilidades de modificaes na imagem para anlise do tipo POST MORTEM. (forma de anlise em mdia computacional como sistema desligado). Faremos uso de dois sistemas oriundos da empresa ACESSDATA sendo eles FKT 2.9 IMAGER sendo uma verso livre para pend drive para que o analista possa realizar trabalhos de duplicaes e investigaes sem a necessidade de instalao e o segundo, FTK IMAGER 3.0 uma verso de instalao do mesmo sistema liberada para uso em novembro de 2010 de grande relevncia para o analista, pois poder instalar a ferramenta em sua estao forense. Vamos agora passar a estudar suas aplicaes:

Figura 01 Viso da barra de utilidades da ferramenta.

1.1

Realizando uma cpia forense

Tendo como base a barra de ferramentas da figura anterior, vamos dar incio ao processo de coleta de uma imagem forense, de incio, poderemos utilizar a ferramenta para duplicar o objeto investigado quer ele esteja DESLIGADO (mdia fria) ou com o mesmo LIGADO (mdia viva), como falamos no incio deste captulo, a famlia FTK possui verso para PEN DRIVE a qual no necessita de instalao e pode ser utilizado para uma cpia em disco que esteja em funcionamento, bem como, dispe da verso de instalao FTK 3.0 a qual necessita de instalao, portanto pode ser utilizada pelo perito em seu DESKTOP forense para que possa coletar dados de dispositivos que esto DESLIGADOS.

Figura 02 Boto de acesso para realizar a imagem de uma evidncia.

Para dar incio ao processo, escolha o boto indicado na figura, para depois seguir as instrues do processo.

Figura 03 Seleo da fonte do tipo de evidncia e a fonte de evidncia.

Como visto na figura 04 o perito poder optar entre duplicar um DRIVE FSICO que entendemos como um PEN DRIVE, UM DISCO RGIDO, UM DISCO EXTERNO, UM DISPOSITIVO DE ARMAZENAMENTO (celular, mquina fotogrfica digital), tambm pode optar por um DRIVE LGICO, que pode ser uma FRAO DE UM DISCO (partio lgica) ou uma frao de uma RAID (conjunto de discos ligados de forma sincronizada), pode ainda optar por uma IMAGEM DE ARQUIVO, que neste caso, claro no se trata de uma foto, mas sim de uma IMAGEM (cpia de um disco ou arquivo) em diversos formatos, sejam ele formatos de BACK UP, imagens forenses, imagens ISO e muitos outros formatos suportados pelo FTK, bem, agora dando continuidade ao nosso estudo, vamos etapa final que seria a escolha da duplicao forense do CONTEDO DE UMA PASTA, desta forma, o perito pode optar pela cpia do contedo de uma pasta especfica de um sistema operacional, visando analisar a estrutura dos dados ali contidos.

Figura 04 Seleo do drive de fonte para cpia (um Pen Drive de 8GB).

Conforme visto acima, o perito teve selecionar o drive fsico com o qual deseja trabalhar, para que depois da escolha ele possa dar prosseguimento ao processo de cpia.

Figura 05 Mostra a estrutura para se montar a imagem do objeto a ser investigado.

Na figura acima, o perito deve utilizar o boto ADD para adicionar a imagem do dispositivo a ser investigado, perceba a importncia de serem marcadas as caixas relativas verificao da imagem, pr clculo do tempo de cpia da imagem e a criao da lista contendo todos os arquivos contidos no interior do dispositivo investigado, quer eles estejam apagados ou no.

10
Dando continuidade ao raciocnio anterior, quando determinamos que a ferramenta calculasse a verificao da imagem, estamos tornando ela uma imagem confivel e fidedigna do ponto de vista legal e cientfico, visto que ao ser assinada de forma matemtica ele vai dar a garantia a todos que mesmo sendo levada a outros locais (laboratrios) ir permanecer segura e inaltervel do ponto de vista da preservao (criminalstica). O pr calculo do processo tem haver com o planejamento do perito em relao ao tempo gasto para a realizao da imagem, bem como do desempenho do seu dispositivo de cpia. Com relao listagem de arquivos, ela tem grande relevncia, visto que poderemos de forma organizada e simples efetuar buscas sensveis por arquivos (extenso), pelo nome do arquivo, pela data e hora de acesso, modificao e criao, ou mesmo verificar se o arquivo est presente no local investigado ou se o mesmo j foi deletado.

Figura 06- Apresenta os formatos de imagens forenses que podem ser criados.

Neste momento, vale ressaltar que o formato de uma imagem forense tem haver com o tipo de ferramenta que ir interpret-la, para que possamos explicar melhor, um sistema operacional tem o formato de seu FYLE SYSTEM (sistema de arquivos) seja NTFS, FAT ou outro, da mesma forma a imagem forense tem um formato, que como j explicamos, depende da empresa que criou a estrutura do interpretador, por exemplo, se utilizarmos o formato RAW (cru) estaremos montando uma imagem que poder ser interpretada por um sistema LINUX, mas se optarmos pelo formato E01 iremos trabalhar com a tecnologia da empresa GUIDANCE que criou a

11
ferramenta ENCASE que uma das mais conhecidas a nvel mundial, cada formato tem caractersticas especficas que sero tratados em cada caso. Em nosso caso, optamos pelo formato de imagem E01, vamos ver como dar continuidade ao processo.

Figura 06 Representa a estrutura do relatrio que ser montado ao final da imagem.

Ao preencher este formulrio, o perito estar dando continuidade ao processo de identificao da imagem que est sendo montada, como nmero do caso ou nmero de processo (inqurito), nmero da evidncia que representa a quantidade de evidncias que sero montadas, visto que o perito poder duplicar desde um ou vrios pen drives, depois a descrio nica do objeto e suas caractersticas, o nome do perito responsvel pelo procedimento e por fim, notas ou observaes que sejam importantes para o caso.

Figura 07 Demonstra a seleo de destino da imagem, fragmentao, compresso e encriptao.

12
Ao dar um destino imagem, o perito garante que a mesma ir ser armazenada em um local seguro, este com certeza diferente do local investigado, para que no sejam contaminadas as evidncias sob investigao. Observamos que este local pode ser fsico (atachado) ou mesmo um local distante conectado via rede. Logo aps, o perito deve escolher o nome a ser dado a imagem criada, neste ponto, aconselhamos que o nome dela seja compatvel (igual ou similar) ao que foi dado ao CASO de investigao para que seja mais fcil organizar as percias a serem realizadas, o prximo passo agora determinar o tamanho de fragmentos (SPLIT) ou seja, caso o perito deseje gravar o resultado da imagem em diversos DVDs ele poder gravar em fragmentos de 4.7 GBs de dados, desta forma poder transport-los com maior conforto, mais adiante temos a possibilidade de compresso dos dados, esta opo tambm est ligada a necessidade e comodidade de transporte dos dados, contudo h cientistas forenses que disseminam uma corrente de pensamento que no devemos comprimir uma imagem, visando to somente a sua preservao e qualidade, visto que se ao aplicar um algoritmo de compresso e novamente para descompresso, poderamos perder ou reduzir a qualidade de dados dos blocos que foram ali copiados. Neste caso os nveis de compresso so medidos em uma escala de 0 que significa normal, sem compresso, at o 9 que representa uma compresso mxima. Por fim, temos a opo de adicionar uma chave criptogrfica com ou sem certificado digital, tal ao serve para que somente o perito que determinou o valor da chave a ser utilizada seja o nico a poder ter acesso aos dados.

Figura 08 Figura que mostra a janela de gravao da senha de acesso para a imagem ou de um certificado digital.

13

Figura 09 Representa a janela final do processo de criao de uma imagem, onde temos todos os dados montados e prontos para o incio do processo.

Ao optar pela tecla START o processo ter incio sem haver mais necessidade da interveno do perito.

Figura 10 Representa o clculo do processo de criao da imagem.

14

Figura 11 Demonstra a informao da ferramenta quando do final do processo de imagem.

Figura 12 Demonstra o relatrio de assinatura da imagem realizado por dois tipos de algoritmos diferentes garantido que a mesma integra e absolutamente igual fonte.

1.3. Como montar uma imagem forense de forma segura. No captulo anterior, descrevemos todos os passos necessrios para que voc possa criar uma imagem fidedigna de um sistema (dispositivo) a ser investigado, agora vamos tratar de como montar (levantar) a imagem forense criada.

15

Figura 13 Representa a tela de opo por acrescentar um dispositivo que neste caso ser uma imagem de arquivo que foi construda na fase anterior que estudamos.

Figura 14 Representa a escolha do local de armazenamento da imagem produzida.

16

Figura 15 Representa o formato do diretrio criado pela imagem, ao ser montada o perito deve escolher o arquivo com a denominao (E01) pois ele contm todas as informaes necessrias do disco (objeto) que foi copiado para ser montado, tais como, parties, tamanho do disco, sistema de arquivos, tabela mestre de arquivos etc..

Figura 16 Representa a escolha do arquivo principal para formao da imagem.

17

Figura 17- Representa a estrutura de uma imagem j montada e pronta para anlise, tendo em vista o fato de que neste formato ela no mais poder ser alterada, sendo segura.

Figura 18 Representa a forma de como o perito pode desmontar ou descartar a imagem que fora montada no item anterior, desta forma, ao desmontar ele est apto a trabalhar com o prximo dispositivo que desejar, observamos que na figura acima temos 2 botes de cor vermelha, sendo o primeiro para desmontar 1 imagem e o segundo para desmontar todas as imagens ligadas ao aparelho.

18

Figura 19 Representa a capacidade de montar uma imagem forense de forma SEGURA (sem poderes de escrita) ou mesmo de forma NO SEGURA (com poderes de escrita) para que o perito possa ter uma VISO mais realstica do objeto que est investigando em seu formato natural, tal e qual ele foi apreendido.

Figura 20 Representa a tela para montar imagens em formato forense, observamos que na primeira janela de cima para baixo tem como objetivo selecionar a imagem a ser montada, logo abaixo, temos as opes de montar o drive FSICO (disco inteiro) LGICO (somente a partio), depois temos a opo de escolher a LETRA do drive que queremos montar, e por fim, mas muito importante, temos a opo de MONTAR como SOMENTE LEITURA ou com PODERES DE ESCRITA. Depois de configuradas as opes, basta que o perito use o boto MOUNT para o processo ser executado.

19

Figura 20 Representa o dispositivo de montagem da imagem j completo e pronto para uso.

Figura 21 Representa a estrutura da imagem forense do OBJETO montada em seu formato original, sem poderes de escrita, para exame do perito.

20
1.4 Como realizar buscas customizadas em dispositivos investigados. Para uma melhor compreenso desta etapa, vamos recordar a importncia de se filtrar dados no processo de investigao, pois aprendemos em criminalstica que temos diversos vestgios, mas que nem todos os vestgios so prova, portanto a busca por objetos especficos na verdade funciona como um funil daquilo que o perito deseja. Vamos por exemplo citar um caso em que um disco rgido de um computador de 1 TB de dados est sendo analisado e que no mesmo devem ser procuradas fotografias para fundamentar uma investigao em curso. Desta forma percebemos que ser bem difcil selecionar as fotos desejadas, mais ainda que as mesmas possam estar no mais diversos formatos. Vamos ento mostrar uma tcnica de busca customizada dentro de imagens para que o profissional possa ganhar um tempo valioso na busca do que precisa investigar.

Figura 22 Representa a janela da ferramenta FTK onde o perito pode iniciar o processo de buscas especficas. Antes disso, o perito deve INCLUIR e MONTAR UMA IMAGEM FORENSE.

21

Figura 23 Representa a opo pela tecla NEW que no caso nos leva aos passos para uma nova busca, onde iremos determinar as condies em que ela ser realizada.

Figura 24 Representa a opo de EDIT que no caso nos permite configurar as seguintes caixas IGNORE CASE, onde iremos procurar as palavras ou nomes sejam em letras maisculas ou minsculas, INCLUDE SUBDIRECOTRIES, onde nos permite fazer busca por pastas internas e subdiretrios inclusive pastas ocultas e de sistema, MATCH ALL OCOURRENCES, representa a ordem que vai ser dada ao sistema para que tudo o que determinamos ser procurado, ser marcado e mostrado ao perito no relatrio final.

22

Figura 25 Representa a estrutura j preparada para a criao da imagem com as buscas desejadas, para dar continuidade ao processo o perito deve utilizar o boto CREATE IMAGE.

Figura 26 Representa a janela do sistema a qual j estudamos em uma etapa anterior, tendo como objetivo criar a imagem, nesta etapa, vamos verificar que algumas aes sero repetidas como se estivssemos criando uma imagem pela primeira vez.

23

Figura 27 Representa a janela do sistema para configurar o destino da imagem criada, perceba que podemos alm de usar uma encriptao dos dados, poderemos tambm filtrar os arquivos pelos seus proprietrios (Observo que esta opo somente vlida para arquivos em formato NTFS).

Figura 28 Representa o resultado da busca customizada onde foram filtrados somente os arquivos que continham a extenso MP3 tendo a ferramenta listado inclusive os arquivos em MP3 que j foram apagados mais que ainda possuam um registro na tabela mestre de arquivos.

24
1.5 A importncia de se analisar as propriedades de um arquivo. Ao se desenvolver anlises de arquivos (dados) que foram preservados em local de investigao (apurao) muito comum informar que tais arquivos pertencem a tal usurio, pelo simples fato de ali estarem armazenados, contudo devemos sempre seguir a rotina no sentido de tratar como vestgio, evidncia (indcio) e futuramente prova, para que justamente no haja algum problema, em relao a se atribuir de forma equivocada a propriedade de um arquivo a algum os exemplos mais corriqueiros so: fotografias digitais, filmes ou documentos em geral. A ferramenta FTK disponibiliza a anlise das propriedades de arquivos em sistema NTFS (com certeza o mais rico em informaes), que sero abordados por ns nas prximas imagens de telas do sistema.

Figura 29 Representa as informaes relativas ao arquivo sobre tamanho, classe e cluster de gravao inicial, chamo a ateno dos alunos para importncia de tal dado, tendo em vista que se necessrio for encontrar ou recuperar este arquivo, saberemos que o mesmo est no cluster inicial acima descrito. Com relao a data de acesso, criao e modificao, devemos ter o maior cuidado, pois a linha do tempo dos eventos de suma importncia na computao forense, no caso acima, possvel aceitar que o arquivo tenha sido criado e acessado no mesmo momento, tal fato ocorre, porque ele foi COPIADO e ao chegar em seu destino recebe a data de criao naquele local, bem como acessado na mesma data e hora. Tambm mostra que ele foi MODIFICADO em data bem anterior, no caso 03 anos antes, isto se d pelo fato do referido arquivo NO SER ORIGINRIO do local aonde foi armazenado e sim de outro local, a data da suposta modificao, na verdade representa a data de sua CRIAO no seu local de origem. Para que

25
possamos manter a confiana em relao data e hora de arquivos, se faz necessrio investigar e comprovar as auditorias do sistema operacional (no caso de computadores) para que possamos estabelecer a execuo do protocolo de atualizao automtica da hora do sistema WIN32 TIME. Outras informaes relevantes no caso so a de que o arquivo est atualizado, no possui compresso e no possui criptografia.

Figura 30 Representa a forma como o nome do arquivo escrito em DOS.

Figura 31 Representa o conjunto de informaes relevantes em relao ao arquivo, como a informao do setor e conta onde o mesmo est gravado na TABELA MESTRE DE ARQUIVOS, a data precisa em que foi gravado l, percebam que esta referncia diz respeito a data e hora precisa em que o arquivo foi gravado no local de seu armazenamento. Ainda temos no final a comprovao do grupo e proprietrio do arquivo pelo SECURITY ID ou SID, onde para cada usurio de um sistema operacional NTFS possui um nmero especfico que gerado quando da criao do usurio no sistema operacional, acima temos a identidade do usurio e do grupo ao qual o mesmo faz parte. Desta forma poderemos analisar casos em que um determinado usurio do mesmo computador ou de outro, venha a criar ou copiar fotos ou dados na pasta de outro usurio a fim de incrimin-lo, gerando um vestgio forjado.

26

Figura 32 Representa o conjunto de informaes ACL ou lista de controle de acesso gerados por um arquivo em NTFS, visto que cada usurio tem poderes especficos sobre arquivos e pastas, onde podemos perceber acima que o referido usurio tem poderes totais sobre o arquivo onde pode : executar, ler, escrever (modificar), aplicar dados, deletar, ler as permisses, modificar as permisses dentre outras. 1.6 Como exportar a imagem/dados/diretrio com ou sem HASH matemtico do disco. de grande importncia que o perito tenha o conhecimento de como manusear corretamente os dados por ele produzidos durante a captura (imagem). Desta forma, nas prximas telas do sistema vamos ver como se faz isso na prtica.

Figura 32 Representa uma imagem que foi montada com o uso do sistema FTK, para que possamos dar incio ao processo de exportao faremos uso dos botes especficos da ferramenta.

27

Figura 33 Representa o conjunto de botes que so utilizados para exportar o conjunto das informaes. Sendo o primeiro da esquerda para direita EXPORT FILES, onde o perito pode exportar o contedo do arquivo ou do dispositivo copiado de forma integral, o segundo cone diz respeito a exportar a lista de diretrios de arquivos com nome, caminho e HASH, o terceiro e ltimo executa a exportao dos arquivos do diretrio com uma lista de HASH.

Figura 34 Representa a segunda forma de como realizar a exportao dos dados, sendo com o ponteiro do mouse sob o objeto ou local o qual se deseja se exportar, para clicar como boto direito e logo se percebe as opes listadas, as mesmas com as mesmas funes na figura anterior. Para se finalizar o processo, basta clicar em uma das opes e definir o local de despejo das informaes.

1.7 Como verificar o DRIVE/IMAGEM. Esta opo tem sua utilidade ligada ao processo de verificao de uma imagem, sempre que fora questionada a integridade de suas assinaturas. Abaixo vamos analisar as telas para o processo desta funcionalidade.

Figura 35 Representa o fragmento da tela do sistema onde podemos verificar o boto de execuo da tarefa.

28

Figura 36 Representa o boto especfico para a execuo da funo.

Figura 37 Representa a execuo do processo de verificao.

Figura 38 Representa o relatrio final do processo de verificao dos dados de assinatura onde so comparados o HASH que est armazenado na imagem com um novo que foi calculado gerando uma comparao para determinar se a imagem continua ntegra.

29
1.8 Como realizar o despejo da memria RAM. No incio dos estudos da computao forense, no tnhamos ainda uma viso da importncia do despejo da memria RAM, que por muito (ainda hoje) denominada de memria voltil. Contudo estudos cada vez mais aprofundados demonstram que a memria RAM no voltil sendo seu grau de armazenamento de dados bem elevando, principalmente em relao ao tamanho e a temperatura, onde quanto maior o tamanho e menor a temperatura maior a probabilidade de armazenamento. Ela deve ser executada com uso de metodologia de computao forense ao VIVO ou seja, com o sistema operacional em funcionamento, no sendo proibido a sua aplicao em modo POST MORTEM, mas por vezes, neste caso h um menor aproveitamento decorrente do tempo em que a mesma pode ter ficado sem fornecimento de corrente eltrica. Para uso desta aplicao, vamos utilizar a verso da ferramenta FTK executvel.

Figura 39 Representa o boto de ao para o despejo de contedo da memria voltil.

Figura 40 - Representa a execuo da ferramenta onde devemos dar um NOME e um DESTINO para o contedo da memria analisada.

30

Figura 41 Representa a execuo do despejo de memria, onde o seu resultado ser analisado por outra ferramenta denominada de WINHEX.

1.9 Como detectar encriptao do tipo EFS. No decorrer das investigaes periciais de grande importncia que o profissional possa saber quais arquivos estejam encriptados, isso pelo fato de que se o proprietrio no permite que o mesmo seja executado em outro sistema operacional sem a sua chave, com certeza se deve ao fato do mesmo conter fatos (dados) relevantes. Para tanto, a ferramenta agiliza esta busca na forma como iremos demonstrar abaixo.

Figura 42 Representa o boto de acesso para a execuo da ferramenta.

31

Figura 43 Representa o resultado da busca pela ferramenta que aponta o local e nome do arquivo que est utilizando criptografia EFS.

32

CAPTULO 02 Trabalhando com a evidncia (sistema operacional Windows)

33
2.1 Como utilizar a ferramenta WINHEX para anlise do despejo da memria RAM Vimos no captulo anterior o quanto fcil, fazer uso do dispositivo de captura dos dados ma memria RAM, vimos tambm que o resultado gerado por um arquivo que tem formato genrico ou CRU (RAW) onde esto armazenados de forma binria todos os dados que estavam armazenados nos pentes de memria naquele exato momento do despejo. Agora, poderemos analisar o contedo despejado de forma segura com uma ferramenta de alta confiabilidade denominada de WINHEX, para que possa ter uma melhor referncia, tal ferramenta foi criada para diversos fins, dentre eles a duplicao de discos e anlise de contedo, mesmo que o contedo esteja em formato hexadecimal, que o nosso caso. Nas telas abaixo, vamos discorrer como fazer o uso eficiente desta ferramenta.

Figura 44 Representa a tela de abertura da ferramenta WINHEX na qual iremos optar pela abertura de um arquivo de captura de memria.

Figura 45 Representa o cone para abertura de um arquivo pr-existente pelo WINHEX. Depois localize aonde foi armazenado o arquivo resultante do despejo de memria e clique em OK para aceitar o formato de abertura.

34

Figura 46 Representa a janela de abertura principal da ferramenta tendo ao lado esquerdo a cadeia de dados em representao hexa decimal e do lado direito, os dados em formato bruto tal qual foram despejados da memria.

Figura 47 Temos o boto que aciona as buscas em diversos formatos de dados no interior de arquivos.

35

Figura 48 Representa a tela de opes de busca onde poderemos (de cima para baixo) indicar o que ser procurado, depois temos caixas de opo como MARCAR TODAS AS OCORRNCIAS sendo relevante, pois poderemos saber aonde foi encontrado o que desejamos, depois temos a opo de trabalhar com texto ASCII ou UNICODE, podemos abaixo usar caracteres coringas ou tambm usar a busca somente pela palavra ou expresso fornecida. Na segunda janela abaixo, poderemos realizar buscas em todos os pontos ALL ou somente acima deste ponto ou abaixo dele, podemos escolher o tamanho dos blocos de memria para busca e at mesmo varrer blocos especficos, por fim poderemos listar o nmero de ocorrncias que foram detectadas dizendo qual o valor limite para as mesmas.

Figura 49 Representa a quantidade de ocorrncias registradas pela ferramenta dentro da pesquisa que foi realizada.

36

Figura 50 Representa o formato final do resultado de buscas aonde acima temos uma listagem contendo cada ocorrncia que foi encontrada, logo abaixo a sinalizao do endereo em hexadecimal da ocorrncia e ao lado o nome legvel que foi procurado.

2.2 Arquivo SAM. Nesta etapa, estaremos lidando com procedimentos aps a captura da imagem, no que chamamos de procedimentos investigativos, um deles, justamente o processo de anlise do arquivo SAM ou tambm chamado de SAM FILES, so eles que armazenam as senhas em modo no encriptado de cada usurio do sistema operacional, tal falha que sempre foi explorada por invasores de sistemas, tambm podem ser utilizadas pelos peritos tendo em vista a necessidade de descobrir a senha de usurios para analisar padres ou mesmo ter acesso a documentos e ambientes que sejam necessrios a senha dos mesmos. Nas janelas abaixo iremos mostrar com se tem acesso s informaes.

37

Figura

51

Representa

acesso

ao

arquivo

SAM

atravs

do

caminho

DRI-

VER>WINDOWS>SISTEM32>CONFIG>SAM, veremos que em destaque na cor azul temos o nome do usurio e ao lado a sua senha do sistema.

38
2.3 Auditorias do sistema operacional. Estudaremos mais afundo a importncia de se configurar o ambiente do sistema operacional visando uma anlise forense, pois no momento adequado as informaes advindas dos logs de auditoria so de grande relevncia ao processo de investigao. De forma bsica o sistema operacional oferece as seguintes auditorias APLICATIVOS, SESSES DO OFFICE, SEGURANA e EVENTOS DO SISTEMA. Todos podem ser identificados pela extenso .EVT que representa o padro de eventos do sistema de auditoria, os mesmos devem ser localizados no mesmo diretrio do arquivo SAM e depois exportados, pois podem ser abertos e analisados pelo aplicativo de eventos EVENTVIEW.EXE nativo dos sistemas operacionais onde o analista poder ver com maior exatido todos os pontos de anlise do LOG de eventos.

Figura 51 Representa o arquivo de auditoria de eventos da rea de segurana do sistema, que pode ser exportado para um local seguro, com o HASH do mesmo, e depois ser analisado por meio de outra ferramenta especfica.

39

Figura 52 Representa a anlise de um evento de LOG do sistema de auditorias que comprova o xito de LOGIN de um usurio com data e hora especfica. 2.4 Histrico de Internet/Explorer A ferramenta FTK pode e deve ser utilizada como interface de investigao, para tanto, vamos comentar o seu uso para fins de investigao dos vestgios de uso da internet por um ou mais usurios. Os navegadores, por configurao padro, deixam vestgios do contedo que foi acessado pelo usurio em suas configuraes, uma delas nos arquivos de COOKIES que so gravados a cada navegao com xito em um site especfico a outra em bancos de dados que so representados pelos arquivos de histrico de navegao pelo sistema operacional, logo abaixo vamos mostrar o caminho de como encontrar os dados para cada usurio. PARA O XP: DOCUMENTS_AND_SETTINGS> USURIO> CONFIGURAES_LOCAIS> HISTRICO > HISTORYIE5> MY HISTORY > INDEX.DAT As informaes so armazenadas em pastas a cada 48 horas de uso do sistema, onde so guardados todos os dados relativos navegao e da explorao de contedo dentro do sistema operacional.

40

Figura 53 Representa a execuo dos passos necessrios para se ter acesso ao sistema de histrico da internet de um usurio, onde temos no lado superior direito o arquivo indexador dos dados INDEX.DAT e abaixo o contedo em formato hexadecimal comprovando que o mesmo fez acesso ao sistema WINDOWS LIVE MENSSENGER.

2.5 Anlise do contedo da lixeira por usurio. Da mesma forma que o sistema de SID por usurio que fora tratado no captulo 01 tem a sua relevncia para associar arquivos a um usurio, o mesmo ocorre com a LIXEIRA, tendo em vista que cada USURIO credenciado no sistema operacional ao lanar um arquivo para lixeira pela primeira vez ele criar uma pasta denominada de RECYLCER com o SID de seu usurio, para que se possa estabelecer quem, como, quando e o que foi eliminado do sistema operacional. Devo informar que h formas de se eliminar um dado (arquivo) sem que o mesmo seja remetido lixeira, neste caso, o contedo no ser registrado para investigao. Vamos observar a forma de acesso aos dados conforme as figuras abaixo.

41
Figura 54 Represente a estrutura grfica das pastas de lixeira de cada usurio de um sistema operacional. Observamos que acima h duas pastas que possuem o final 1003 sendo de usurios que possuem o mesmo nome, mas que so diferentes, pois como vemos, os nmeros so muito semelhantes, apenas os 4 dgitos finais so iguais, tal fato demonstra a segurana da segregao dos usurios e para melhor explicar, informamos que um deles nativo do prprio sistema e o outro foi copiado de outro sistema operacional por meio de BACK-UP e despejado neste para testes. Como temos 04 pastas de lixeiras criadas e temos no total 10 usurios, podemos asseverar que ainda restam 06 que no lanaram dados a lixeira at o presente momento.

Figura 55 Representa o estudo do contedo da lixeira de um dos usurios onde temos arquivos que esto na lixeira e podem ser recuperados com maior facilidade, neste caso, sero todos que no possuem um smbolo de um X vermelho, j nos demais casos que esto marcados com um X vermelho, representam dados que foram lanados na lixeira e dela j foram apagados, havendo ainda possibilidade de recuperao mas com menor (dependendo do caso) qualidade. Devemos ter ateno aos dados relativos ao tamanho do arquivo que foi deletado, o tipo de arquivo e a data de modificao, esta no caso, representa a data em que o mesmo foi apagado (lanado na lixeira/apagado da lixeira).

42

Captulo 03 Utilizando o prompt do MS-DOS como uma ferramenta de carving.

43

3.1 Anlise em linha de comando (MS-DOS) A utilizao em larga escala dos softwares prontos ou tambm denominados de encapsulados, relega a um segundo plano a execuo de aplicativos em linha de comando que podem ser de grande utilidade para os casos em que o perito no disponha do acesso a softwares de maior abrangncia, seja pelo seu elevado valor ou por motivos tcnicos de natureza diversa. de suma importncia a utilizao de um PROMPT de comandos seguro, com o devido clculo de HASH no incio e no fim dos procedimentos para que se possa ter a certeza da integridade das ferramentas. As buscas com o PPOMPT do DOS so classificadas como mtodo de CARVING (escavar- escultura) procurar a fundo, em nosso caso, iremos at a profundidade de segunda camada ao nvel de META DADOS e EXTENSES DE ARQUIVOS, NOMES, NOMES DO ARQUIVO EM DOS, ETC. H formais mais profundas de buscas indo at camadas mais baixas, como a do estudo do CABEALHO DO ARQUIVO. Para que o analista tenha a certeza da integridade do PROMPT utilizado, copie o executvel CMD.EXE do sistema operacional (legtimo-registrado) e assine o seu contedo para verificao de estabilidade.

44

3.1.1 Registrando a data e hora de incio da investigao

3.1.2 Identificando a evidncia pela assinatura do volume de seu drive de disco rgido.

Para cada disco, e cada formatao, ou cada modificao gerada uma assinatura aleatria e no repetitiva que denominada de nmero de srie do volume, ela pode e deve ser utilizada com um recurso a mais para se identificar de maneira unvoca (sem chances de erro) o disco que foi analisado se este no sofrer nova formatao.

45

3.1.3Descobrindo todos os usurios existentes no sistema investigado.

3.1.4 Descobrindo a existncia de tarefas agendadas no sistema Observamos que comum a falha na resposta em agendamento de tarefas.

3.1.5

Descobrindo quais so todos os grupos locais no sistema

46

3.1.6 Descobrindo a ltima vez que o usurio se conectou ao sistema

47
Ao observamos o contedo retornado pelo comando, iremos perceber a importncia das informaes para que possamos montar o perfil do usurio investigado dentro das possibilidades de hipteses dentro da investigao, tais como seus poderes na mquina (grupo), data da definio da senha, ltimo logon, nome do usurio, observaes, nome completo, etc.. 3.2. Listando todos os arquivos, diretrios e subdiretrios em relao ao ltimo acesso.

Diretrios ordenados pelo tempo, onde A representa o tempo de LTIMO ACESSO, o segundo A representa a exibio de seus ATRIBUTOS o S representa a exibio de todos os SUBDIRETRIOS e a letra O de forma ORDENADA por ordem alfabtica. A letra D representa o local que ser investigado, ou seja, de onde sero retiradas as informaes, no caso do DRIVE D: ou D:/ para se indicar que foram inclusos todos os dados a partir da raiz.

3.3 Listando todos os arquivos, diretrios e subdiretrios em relao data de criao.

Diretrios ordenados pelo tempo, onde C representa o tempo de CRIAO, o segundo A representa a exibio de seus ATRIBUTOS o S representa a exibio de todos os SUBDIRETRIOS e a letra O de forma ORDENADA por ordem alfabtica. A letra D representa o local que ser investigado, ou seja, de onde sero retiradas as informaes, no caso do DRIVE D: ou D:/ para se indicar que foram inclusos todos os dados a partir da raiz.

48
3.4 Listando todos os arquivos, diretrios e subdiretrios em relao data de ltima escrita ou ltima alterao.

Diretrios ordenados pelo tempo, onde AW representa o tempo de LTIMA ESCRITA ou LTIMA ALTERAO, o segundo A representa a exibio de seus ATRIBUTOS o S representa a exibio de todos os SUBDIRETRIOS e a letra O de forma ORDENADA por ordem alfabtica. A letra D representa o local que ser investigado, ou seja, de onde sero retiradas as informaes, no caso do DRIVE D: ou D:/ para se indicar que foram inclusos todos os dados a partir da raiz.

3.5 Aprendendo a gravar o contedo em local seguro.

Desta forma todo o contedo da listagem gerada armazenado em formato TEXTO para um drive SEGURO no caso E: em sua raiz, pois de l fica mais fcil o acesso para buscas.

49
3.6 Aprendendo a gravar o contedo em local seguro no mesmo arquivo de forma ordenada.

Desta forma o contedo de uma nova busca gravado no mesmo arquivo de investigao sem a necessidade de criao de um novo arquivo, de forma organizada.

3.7 Descobrindo informaes com a sintaxe FIND As ferramentas de busca por strings so um excelente auxlio ao perito, e utilizada em larga escala nos softwares forenses pagos, para localizar: correio eletrnico, fotos, msicas, vdeos, nmeros de cartes de crdito, enfim, uma srie de dados. Hoje, qualquer pessoa pode armazenar de 320 GB de informao em um ou mais discos rgidos, ou seja, os peritos precisam de solues de buscas manuais ou automatizadas que encurtem a distncia entre seu objetivo e a grande quantidade de dados.

Acima verificamos que sero concatenadas busca pelo fragmento DOC esteja ele no incio, meio ou fim do arquivo, desta forma tanto iremos abordar documentos com o nome DOCUMENTO.XLS como DOCUMENTRIO.DOC ou DOCUMENTO.JPG, perceba que o nome do argumento de busca est em letras maisculas, desta forma o seu resultado ser fiel a somente letras maisculas.

50

Acima verificamos a mesma busca onde fora incrementado o argumento IGNORE CASE (CASE SENSITIVE) que nos remeter ao resultado de buscas onde o argumento DOC ser revelado esteja ele em formato de letras maisculas ou minsculas.

No caso acima ilustrado o resultado de buscas ser exclusivamente por arquivos que sejam de extenso .DOC ou seja, documentos de texto, da mesma forma para fotos, msicas, imagens, tabelas e demais arquivos, com o argumento IGNORE utilizado j aprendemos que o resultado da busca ser retornado em formato de arquivos com letras maisculas ou minsculas.

Acima temos um exemplo de busca por DATA especfica, devemos sempre atentar para o formado de data no padro PORTUGUS BRASIL sendo DIA MS e ANO e no formado NORTE AMERICANO sendo MS, DIA e ANO.

Busca por todos os resultados onde o ANO de 2010 seja presente em formato maisculo ou minsculo.

51

Busca por todos os resultados onde o MS DE AGOSTO seja presente no formado de data em PORTUGUS BRASILEIRO.

Busca por todos os resultados onde o dia 21 seja presente no formado de data em PORTUGUS BRASILEIRO, podendo ser em qualquer ANO e em QUALQUER MS.

Temos acima a busca no caso de HORA e MINUTO onde poderemos buscar por ambos ou somente por hora ou somente por segundos.

Acima temos uma busca que nos retorna os resultados sobre as HORAS que vo do intervalo de 09:00 S 09:59 HORAS.

Neste caso, temos uma busca onde iremos retornar onde haja 09 MINUTOS ou 09 SEGUNDOS.

52

3.8 Descobrindo quem tem acesso ao arquivo e suas permisses. Tais informaes esto relacionadas s ACLS (Listas de Controles de Acesso) so nelas que saberemos quem tem acesso a tal arquivo, e quais seriam estes direitos, ou seja: R LER, W GRAVAR , C ALTERAR, F CONTROLE TOTAL.

3.8.1 Descobrindo quais arquivos esto criptografados Observaes importantes: A criptografia nativa do sistema NTFS para famlia Windows. Somente o usurio e SO que encriptaram o arquivo que podem visualiz-lo. Por opo de fbrica, os arquivos do sistema operacional no podem ser encriptados.

A letra U na frente de cada diretrio ou arquivo representa que no esto encriptados, se no caso, l fosse registrado o caractere E (Encrypted), representaria que estariam encriptados. A sintaxe cipher /h informa ao analista forense todos os arquivos com criptografia mesmo que estejam ocultos.

53

3.8.2 Descobrindo o nome do computador e a verso do Windows

3.8.3 Descobrindo o endereo fsico da placa de rede

54
3.8.4 Descobrindo as configuraes de IP.

3.8.5 Descobrindo as conexes ativas

55
3.8.6 Descobrindo conexes por comando de discagem automtica

3.8.7 Descobrindo servios que foram iniciados

3.8.8 Descobrindo servios de controle e de acesso remoto

56

CAPTULO 04 Ferramentas em linha de comando MS-DOS

57
4. Ferramentas em linha de comando (MS-DOS) Apesar de estamos estudando um sistema operacional em ambiente grfico, temos de nos adequar a realidade das opes de ferramentas em linha de comando, desta forma, iremos mostrar as versatilidades e utilidades de algumas ferramentas importantes em linha de comando que podem dar todo um suporte ao trabalho de investigao do perito. Ao final, ressaltamos que as ferramentas que sero tratadas so desenvolvidas por meio de projetos em cdigo livre, o que com certeza importante para o acesso dos profissionais que no tem recursos financeiros para o pagamento de ferramentas em cdigo proprietrio.

4.1

Investigando eventos com a ferramenta DUMPEL ( Microsoft)

H:\>dumpel -l security -t > h:logseg.txt Dump successfully completed. DUMPEL Usage: dumpel -f file [-s \\server] [-l log [-m source]] [-e n1 n2 n3..] [-r] [-t] [-x] -d <days> -e nn -f <filename> -l <name> -b -m <name> -r Filters for event last days (number larger than zero) Filters for event id nn (up to 10 may be specified) Output filename (default stdout) Dumps the specified log (system, application, security) Dumps a backup file (use -l to specify file name) Filters for events logged by name Filters out events logged by name (must use -m too)

58
-s <servername> Remote to servername -t -c -ns -format <fmt> where source t - time Use tab to separate strings (default is space) Use comma to separate fields Do not output strings Specify output format. Default format is dtTCISucs d - date u - user T - event type C - event category I - event ID S - event

c - computer s strings

4.2

Investigando eventos com a ferramenta PSLOGLIST (Sysinternals)

H:\>psloglist security > h:logseg.txt PsLoglist v2.64 - local and remote event log viewer Copyright (C) 2000-2006 Mark Russinovich Sysinternals - www.sysinternals.com Formato do relatrio: [133609838] Security Type: AUDIT SUCCESS

Computer: CFFD7D21417646C Time: User: 7/7/2008 17:20:42 ID: CFFD7D21417646C\Forense 560

59
Objeto aberto: Servidor de objetos: Tipo de objeto: Nome do objeto: CB92566D6A9E} Identificao do identificador: 2444 Security File \Device\NetBT_Tcpip_{9E82F90F-EF31-4D60-8550-

Identificao da operao: {0,12634913} Identificao do processo: 1788 Nome do arquivo de imagem: C:\WINDOWS\explorer.exe

Nome de usurio primrio: Forense Domnio primrio: CFFD7D21417646C (0x0,0x10EDE)

Identificao do logon primrio: Nome de usurio cliente: Domnio do cliente: -

Identificao do logon do cliente: Acessos: SYNCHRONIZE ReadData (ou ListDirectory) WriteData (ou AddFile)

60
4.3 Obtendo informaes com a ferramenta PSINFO (Sysinternals) H:\>psinfo
PsInfo v1.75 - Local and remote system information viewer Copyright (C) 2001-2007 Mark Russinovich Sysinternals - www.sysinternals.com System information for \\CFFD7D21417646C: Uptime: Kernel version: Product type: Product version: Service pack: Kernel build number: Error reading uptime Microsoft Windows XP, Uniprocess Professional 5.1 2 2600

Registered organization: .. Registered owner: Install date: Activation status: IE version: System root: Processors: Processor speed: Processor type: Physical memory: Video driver: . 5/2/2008, 23:57:27 Error reading status 6.0000 C:\WINDOWS 1 1.4 GHz AMD Sempron(tm) Processor 2500+ 960 MB VIA/S3G UniChrome Pro IGP

61
4.4 Descobrindo quais portas esto abertas no sistema com a ferramenta FPORT (Foundstone) H:\>fport FPort v2.0 - TCP/IP Process to Port Mapper Copyright 2000 by Foundstone, Inc. http://www.foundstone.com Pid Process 1888 inetinfo 1888 inetinfo 956 1888 inetinfo 4 System Port Proto Path -> 25 -> 80 TCP C:\WINDOWS\system32\inetsrv\inetinfo.exe TCP C:\WINDOWS\system32\inetsrv\inetinfo.exe

-> 135 TCP -> 443 TCP C:\WINDOWS\system32\inetsrv\inetinfo.exe -> 445 TCP -> 1025 TCP C:\WINDOWS\system32\inetsrv\inetinfo.exe -> 1027 TCP C:\WINDOWS\system32\mqsvc.exe -> 1031 TCP -> 1801 TCP C:\WINDOWS\system32\mqsvc.exe -> 2103 TCP C:\WINDOWS\system32\mqsvc.exe -> 2105 TCP C:\WINDOWS\system32\mqsvc.exe -> 2107 TCP C:\WINDOWS\system32\mqsvc.exe -> 12025 TCP C:\Arquivos de programas\Alwil Software\Ava

1888 inetinfo 448 mqsvc 2516 448 mqsvc 448 mqsvc 448 mqsvc 448 mqsvc 2072hMaiSv

62
4.5 Descobrindo arquivos com inicializao automtica com a ferramenta AUTORUNSC (Sysinternals) H:\>autorunsc Sysinternals Autoruns v9.20 - Autostart program viewer Copyright (C) 2002-2008 Mark Russinovich and Bryce Cogswell Sysinternals - www.sysinternals.com HKLM\System\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Startu rdpclip rdpclip RDP Clip Monitor Microsoft Corporation 5.01.2600.2180 c:\windows\system32\rdpclip.exe ec508858690996ffcda8915ffb6efaa2 (MD5) 030650dd2d51ff2fe33cb7ba475209ba1bccce0c (SHA-1)

63
4.6 Descobrindo quais os usurios locais ou remotos que esto conectados com a ferramenta PSLOGGEDON (Sysinternals) H:\>psloggedon loggedon v1.33 - See who's logged on Copyright 2000-2006 Mark Russinovich Sysinternals - www.sysinternals.com Users logged on locally: Error: could not retrieve logon time AUTORIDADE NT\LOCAL SERVICE Error: could not retrieve logon time AUTORIDADE NT\NETWORK SERVICE 7/7/2008 14:28:30 CFFD7D21417646C\Forense

Error: could not retrieve logon time AUTORIDADE NT\SYSTEM No one is logged on via resource shares.

64
4.7 Verificando o status das auditorias do sistema operacional com a ferramenta AUDITPOL (Microsoft) H:\>auditpol Running ... (X) Audit Enabled AuditCategorySystem AuditCategoryLogon = Success and Failure = Success and Failure = Success and Failure = Success and Failure

AuditCategoryObjectAccess AuditCategoryPrivilegeUse

AuditCategoryDetailedTracking = Success and Failure AuditCategoryPolicyChange = Success and Failure

AuditCategoryAccountManagement = Success and Failure Unknown Unknown = Success and Failure = Success and Failure

65
4.8 Usando a ferramenta NTLAST (Foundstone) para verificar logins de sucesso e falha no sistema operacional.

H:\>ntlast s (SUCESSO) - No Records - Check to see if auditing is on H:\>ntlast f (FALHA) - No Records - Check to see if auditing is on H:\>ntlast r (REMOTO) - No Records - Check to see if auditing is on

4.9 Investigando a lixeira. A lixeira pode ser investigada a partir de ferramentas e linha de comando, so elas eficazes para que possamos traar um comparativo entre o que foi recuperado com sistemas encapsulados e o estava registrado em seu arquivo de informaes. Outro fator importante identificar o ID (Identidade) de cada usurio que o relaciona a sua respectiva lixeira (recycler). Pois em sistemas operacionais de mltiplos usurios necessrio identificar a lixeira relacionada a cada um deles. C:\RECYCLER>dir/a O volume na unidade C no tem nome. O nmero de srie do volume D4B5-5F43 Pasta de C:\RECYCLER 14/02/2008 18:52 14/02/2008 18:52 <DIR> <DIR> . ..

66
09/06/2008 18:10 08/06/2008 14:30 0 arquivo(s) <DIR> <DIR> 0 bytes S-1-5-21-1454471165-746137067-854245398-1003 S-1-5-21-1454471165-746137067-854245398-1004

4 pasta(s) 7.330.734.080 bytes disponveis C:\RECYCLER>cd S-1-5-21-1454471165-746137067-854245398-1003 C:\RECYCLER\S-1-5-21-1454471165-746137067-854245398-1003>dir/a O volume na unidade C no tem nome. O nmero de srie do volume D4B5-5F43 Pasta de C:\RECYCLER\S-1-5-21-1454471165-746137067-854245398-1003 09/06/2008 18:10 09/06/2008 18:10 11/02/2008 18:45 07/07/2008 10:18 2 arquivo(s) <DIR> <DIR> . .. 65 desktop.ini 12.020 INFO2

12.085 bytes

2 pasta(s) 7.331.102.720 bytes disponveis Utilizaremos a ferramenta RIFIUTI (Foundstone) para visualizar o contedo dos arquivos deletados da lixeira investigada, observe a SINTAXE da ferramenta. C:\RECYCLER\S-1-5-21-1454471165-746137067-854245398-1003>h: h:info2.txt (H- representa a letra do drive do dispositivo forense, rifiuti INFO2- representa a aplicao da ferramenta no arquivo investigado, > direcionando para H- drive forense em forma de INFO2.TXT(texto) rifiuti INFO2 >

67
Resultado do arquivo listado. H:\>type info.txt INFO2 File: INFO2
INDEX DELETED TIME 1 DRIVE NUMBER 2 PATH SIZE

Tue Mar 4 13:26:26 2008

C:\Documents and Settings\Adrian

a\Meus documentos\flora cerrado 0 2 Fri Mar 7 07:57:28 2008 2 C:\Documents and Settings\Adrian 4096 C:\Documents and Settings\Adrian

a\Cookies\adriana@zap-letras[1].txt 3 Fri Mar 7 07:57:28 2008 2 4096 2

a\Cookies\adriana@2o7[2].txt 4 Fri Mar 7 07:57:28 2008

C:\Documents and Settings\Adrian 4096 C:\Documents and Settings\Adrian

a\Cookies\adriana@1064068431[1].txt 5 Fri Mar 7 07:57:28 2008 2

a\Cookies\adriana@acesso.uol.com[2].txt 4096 6 Fri Mar 7 07:57:28 2008 2 C:\Documents and Settings\Adrian

68
4.9.1 Investigando o acesso a um arquivo com a ferramenta AFIND (Foundstone). Podemos saber com preciso a hora, minuto e segundo dos acessos a um arquivo especfico, bem como retroagir a meses e anos passados com a utilizao das sintaxes da ferramenta. H:\>afind -f c:\boot.ini boot.ini 07/07/2008 20:50:42

Opes da ferramenta: AFind v2.0 - Copyright(c) 2000, Foundstone, Inc. NTFS Last Access Time Finder Command Line Switches [dirname] Directory to search

-f [filename] List last access time of file -s [seconds] -m [minutes] -h [hours] -d [days] Files accessed less than x seconds ago Files accessed less than x minutes ago Files accessed less than x hours ago Files accessed less than x days ago Files accessed after this date/time

-a [d/m/y-h:m:s] -ns

Exclude sub-directories

- or / Either switch statement can be used -? Help

69
Additional time frame usage: afind /s 2-4 Files accessed between 2 and 4 seconds ago afind /m 2-4 Files between 2 and 4 minutes ago afind /s 2-4 Files between 2 and 4 seconds ago afind /a 14/7/1998-3:12:06-15/7/1998-2:05:30 Files between these dates COMMAND PROMPT MUST HAVE A MINIMUM WIDTH OF 80 CHARACTERS See http://www.foundstone.com for updates/fixes

4.9.2

Investigando o histrico de internet com a ferramenta PASCO (Foundstone)

O registro de acesso a rede mundial nos ambientes Windows, pode ser apagado havendo as permisses do usurio para acessar as pastas do seu histrico, contudo, o arquivo DAT do ndice (INDEX.DAT) no pode ser apagado ou modificado. A ferramenta PASCO, informa por meio de relatrio ao perito, quais os registros acumulados no DAT de cada usurio 1-C:\Documents and Settings\Forense>dir/a 06/02/2008 00:00 <DIR> Configuraes locais

2-C:\Documents and Settings\Forense\Configuraes locais> 3-C:\Documents and Settings\Forense\Configuraes locais>dir/a 06/07/2008 13:43 <DIR> Temporary Internet Files

4-C:\Documents and Settings\Forense\Configuraes locais\Temporary Internet Files>dir/a 03/06/2008 19:16 <DIR> Content.IE5

5-C:\Documents and Settings\Forense\Configuraes locais\Temporary Internet Files>cd content.IE5

70
6-C:\Documents and Settings\Forense\Configuraes locais\Temporary Internet Fi-

les\Content.IE5>h:pasco index.dat>h:index.txt Onde: H drive forense, PASCO ferramenta, ndex.dat ALVO, > Redireciona para o DRIVE forense em formato (TEXTO) Resultado:

4.9.3 Descobrindo informaes sobre COOKIES com a ferramenta GALLETA. Os famosos arquivos de texto que so gravados nas mquinas dos usurios, quando de sua navegao por determinado stio da rede mundial de computadores, so chamados de COOKIES, tais arquivos armazenam dados relevantes ao investigador forense, podemos citar: a) b) c) d) e) Nome do stio da internet que foi visitado. Data em que houve o registro. Nome do usurio que estava logado (efetuou o registro). Variveis e valores que foram armazenados. Outros dados importantes como endereo de e-mail do usurio.

71

Veja a simplicidade da sintaxe da ferramenta. C:\Documents and Settings\Forense\Cookies>F:GALLETA.EXE foren-

se@opovo.com[1].txt>D:COOKIEOPOVO.XLS (O formato de gravao pode ser de qualquer tipo, inclusive TXT). Veja o resultado em formato de TABELA DO EXCEL:

72

CAPTULO 05 Ferramentas grficas para anlise de dados.

73
5.1 Ferramentas para anlise do registro do sistema operacional O registro do sistema operacional pouco explorado em face da compreenso de sua importncia e das informaes que o mesmo acumula, devemos conhecer a fundo o funcionamento do mesmo e aprender quais indcios so deixados por l para os investigadores forenses, podemos citar como exemplo inicial a capacidade de armazenar dados sobre softwares instalados e outras informaes de grande relevncia para o investigador forense, dentre tantas ferramentas vamos trabalhar com duas em particular, sendo ambas em modo grfico para facilitar a compreenso do aluno. Vamos trabalhar com a situao de um ambiente que foi devidamente registrado por meio de imagem forense adequada e a sua cadeia de custdia garantida, desta forma nos cabe realizar a exportao dos dados de maior relevncia para que possamos trabalhar as informaes. 1 Passo, exporte os arquivos SAM, NETUSER, SECURITY,SOFTWARE e SYSTEM da mquina investigada para um local adequado e seguro, para que possa garantir a integridade, pode exportar com assinatura para verificar se as mesmas foram modificadas. 2 Passo, vamos utilizar a ferramenta REGRRIPER conforme as figuras abaixo.

Figura 56 Representa a tela de abertura da ferramenta Registry Ripper.

74

Figura 57 Escolha o arquivo SAM que foi exportado para que possa ser examinado pela ferramenta.

Figura 58 Escolha o local para que se possa gravar o relatrio e confirme que o PLUGUIN usado ser para o arquivo SAM, depois clique na opo RIP IT.

75

Figura 59 Representa uma das muitas informaes constantes no relatrio, no caso o nome do usurio como se v acima, depois a ltima data em que o mesmo fez LOGIN com sucesso, observe que o horrio est no sistema de fuso ZULO ou seja hora UTC na qual voc deve reduzir o total de 3 horas, logo abaixo voc tem o registro da ltima vez que a senha foi modificada, depois a ltima data em que o usurio tentou o login no sistema e houve falha e no final a quantidade de logins que o usurio tem naquela mquina.

Figura 60 Representa a estrutura da investigao do registro atravs da ferramenta Registry Viewer da empresa Acess Data

76
5.2 Anlise de vestgios do sistema LIVE MESSENGER (verso instalada no sistema operacional). Alm de podermos efetuar a anlise do contedo de conversas do sistema Messenger (desde que devidamente registradas pelo usurio) podemos tambm verificar se realmente houve o acesso ao servio pelo usurio pelo sistema de LOGs criados pela prpria ferramenta conforme veremos.

CAMINHO: 1.DRIVER> 2.DOCUMENTSANDSETTINGS 3.USURIO> 4.CONFIGURAESLOCAIS> 5.DADOSDEAPLICATIVOS> 6.MICROSOFT> 7.MESSENGER> 8.CONTACT_LOGS.TXT

77

Figura 61 Registro das atividades de incio e fim de cada sesso do sistema LIVE MESSENGER onde mostra o usurio LOGADO a atualizao de contatos, o bloqueio de contatos, o chamado de contatos e outras atividades.

5.3 Anlise do LOG do sistema de acesso a web via modem 3G. de relevante importncia verificar que os modems de internet enquanto dispositivos instalados deixam vestgios no sistema operacional. Cada um, de uma forma diferente, grava um registro em texto no sistema operacional de suas atividades de abertura, login e posterior fechamento de uma sesso da internet. Desta forma, temos como lanar mo deste conhecimento para que possamos no desenvolvimento das aes de investigao constatar de determinado computador teve ou no acesso a rede mundial da internet, tendo em vista o fato de que para se ter acesso a mesma, se faz necessrio a existncia de uma conexo vlida. Abaixo temos a contedo do referido log para anlise.

78
1-09-2011 19:00:00.595 - Arquivo: C:\Windows\system32\tapisrv.dll, Verso 6.1.7600 01-09-2011 19:00:00.647 - Arquivo: C:\Windows\system32\unimdm.tsp, Verso 6.1.7600 01-09-2011 19:00:00.647 - Arquivo: C:\Windows\system32\unimdmat.dll, Verso 6.1.7600 01-09-2011 19:00:00.647 - Arquivo: C:\Windows\system32\uniplat.dll, Verso 6.1.7600 01-09-2011 6.1.7600 01-09-2011 19:00:00.707 - Arquivo: C:\Windows\system32\modemui.dll, Verso 6.1.7600 01-09-2011 19:00:01.128 - Arquivo: C:\Windows\system32\mdminst.dll, Verso 6.1.7600 01-09-2011 19:00:01.128 - Tipo de modem: HUAWEI Mobile Connect - 3G Modem 01-09-2011 19:00:01.128 - Caminho do inf do modem: oem18.inf 01-09-2011 19:00:01.128 - Seo do inf do modem: Modem0 01-09-2011 19:00:01.128 - ID de hardware correspondente: usb\vid_12d1&pid_1003&mi_00 01-09-2011 19:00:01.188 - 460800,8,N,1, ctsfl=0, rtsctl=1 01-09-2011 19:00:01.218 - Inicializando o modem. 01-09-2011 19:00:01.218 - CD alto durante a inicializao do modem. 01-09-2011 19:00:01.270 - Envio: AT<cr> 01-09-2011 19:00:01.272 - Recebimento: <cr><lf>OK<cr><lf> 01-09-2011 19:00:01.272 - Resposta interpretada: OK 01-09-2011 19:00:01.282 - Envio: AT&FE0V1X1&D2&C1S0=0<cr> 01-09-2011 19:00:01.289 - Recebimento: <cr><lf>OK<cr><lf> 01-09-2011 19:00:01.289 - Resposta interpretada: OK 19:00:00.647 Arquivo: C:\Windows\system32\drivers\modem.sys, Verso

79
01-09-2011 19:00:01.300 - Envio: AT<cr> 01-09-2011 19:00:01.320 - Recebimento: <cr><lf>OK<cr><lf> 01-09-2011 19:00:01.320 - Resposta interpretada: OK 01-09-2011 19:00:01.380 - Aguardando a chamada. 01-09-2011 19:00:01.403 - Envio: ATS0=0<cr> 01-09-2011 19:00:01.427 - Recebimento: <cr><lf>OK<cr><lf> 01-09-2011 19:00:01.428 - Resposta interpretada: OK 01-09-2011 19:00:01.621 - 460800,8,N,1, ctsfl=0, rtsctl=1 01-09-2011 19:00:01.671 - Inicializando o modem. 01-09-2011 19:00:01.681 - Envio: AT<cr> 01-09-2011 19:00:01.681 - Recebimento: <cr><lf>OK<cr><lf> 01-09-2011 19:00:01.681 - Resposta interpretada: OK 01-09-2011 19:00:01.691 - Envio: AT&FE0V1X1&D2&C1S0=0<cr> 01-09-2011 19:00:01.701 - Recebimento: <cr><lf>OK<cr><lf> 01-09-2011 19:00:01.701 - Resposta interpretada: OK 01-09-2011 19:00:01.721 - Envio: AT<cr> 01-09-2011 19:00:01.731 - Recebimento: <cr><lf>OK<cr><lf> 01-09-2011 19:00:01.731 - Resposta interpretada: OK 01-09-2011 19:00:01.731 - Discando. 01-09-2011 19:00:01.741 - Envio: ATDT*##***##<cr> 01-09-2011 19:00:01.741 - Recebimento: <cr><lf>CONNECT 7200000<cr><lf>

80
01-09-2011 19:00:01.741 - Resposta interpretada: Conectar-se 01-09-2011 19:00:01.741 - A conexo foi recebida, mas o CD estava baixo. Aguardando o sinal para ser elevado 01-09-2011 19:00:01.761 - Aps aguardar 20ms, CD ainda est baixo. 01-09-2011 19:00:01.783 - Aps aguardar 20ms, CD ainda est baixo. 01-09-2011 19:00:01.803 - CD foi aumentado 01-09-2011 19:00:01.803 - Conexo estabelecida a 7200000 bps.