Captulo

6
Live forensics em ambiente Microsoft Windows
Bruno Werneck Pinto Hoelz, Frederico Imbroisi Mesquita e Pedro Auler

Abstract Conventional digital analysis is being challenged by the presence of encrypted content and the large volume of data to be processed. Live forensics can be applied to secure access to hard disk data and to perform the triage of evidence. However, this kind of analysis is considered complex due to the variety of information to be processed in a short period of time. This work presents the main concepts of live forensics, including its advantages and disadvantages when compared to the conventional methodology. Additionally, it provides a set of procedures grounded on system commands and open source tools for the Windows operating system, installed in more than 90% of desktop computers in Brazil. Resumo A presena de contedo criptografado ou de grande volume de informaes a serem periciados so os novos desaos para a percia digital convencional. A anlise live, ou live forensics, pode ser utilizada para garantir o acesso ao contedo do disco rgido e realizar a triagem de evidncias. Porm, trata-se de uma percia complexa devido grande variedade de informaes a serem analisadas em um curto perodo de tempo. Este trabalho apresenta os principais conceitos da anlise live, incluindo suas vantagens e desvantagens quando comparada com a percia digital convencional. Alm disso, fornece um conjunto de procedimentos apoiado em comandos e ferramentas de cdigo aberto para o sistema operacional Windows, presente em mais de 90% dos computadores de mesa do Brasil.

6.1. Introduo
A anlise live, tambm chamada de live forensics, consiste em uma anlise digital realizada por meio de procedimentos periciais e conduzida no equipamento computacional ainda em execuo. O procedimento pode ser relativamente simples e rpido, tal como listar as portas de conexes abertas. Porm, pode tambm ser complexo e demorado,

como, por exemplo, realizar buscas por palavras-chave no disco rgido utilizando expresses regulares e copiar integralmente o contedo deste disco por meio da porta USB. O procedimento apresenta vantagens e desvantagens em relao percia digital convencional, tambm chamada de anlise post-mortem, realizada aps o desligamento do sistema. Coletar dados digitais em um sistema j desligado traz a vantagem de tornar a sobrescrita acidental ou modicao de dados praticamente impossvel. Por outro lado, no permite a aquisio de dados volteis, que so perdidos durante o processo de desligamento do sistema. Alm disso, h outras situaes em que a recuperao de dados permanentes tambm inviabilizada. o caso, por exemplo, do uso de criptograa, quando s possvel recuperar as informaes com o uso da senha de acesso correta. Mais uma vez, esse problema seria contornado caso a aquisio lgica dos dados criptografados tivesse se dado com o sistema ainda ligado. Outro exemplo a aquisio de informaes referentes ao estado da rede e suas portas relacionadas, que tambm so perdidas ao se desligar o sistema. Por isso, a coleta de dados com o computador ainda ligado parece ser uma alternativa salvadora. Essa tcnica permite a recuperao de valiosas informaes que de outra maneira poderiam ser perdidas. Infelizmente, essa abordagem tambm tem suas limitaes. A mais importante que cada computador analisado possui um sistema operacional diferente instalado. Assim, o analista precisa ter conhecimento de uma grande variedade de hardware, software e sistemas operacionais. O examinador precisa vericar o sistema em anlise e aplicar os princpios forenses corretamente, de maneira a no inviabilizar a futura aceitao das evidncias coletadas, quando utilizadas no devido processo legal. Parte do processo de aquisio de dados volteis consiste em executar aplicativos na CPU do sistema suspeito, podendo levar a potenciais alteraes de dados de registros, memria RAM ou do prprio disco rgido. Tais alteraes devem ser controladas e documentadas. Dependendo de como se d a abordagem no local de aquisio dos dados volteis, a alterao do sistema pode ser to expressiva que pode inviabilizar o uso futuro das informaes coletadas. A popularizao do uso de programas de criptograa, cada vez mais fceis de utilizar, e, muitas vezes incorporados aos sistemas operacionais, est tornando mais comum o fato de se encontrar sistemas ligados utilizando esta tecnologia. Em geral, no muito fcil detectar a criptograa em uso no sistema, j que o software utilizado pode ser muito discreto, deixando poucos rastros da sua presena. Assim, a abordagem na coleta de dados volteis em sistemas ligados tem que se ser bastante criteriosa, a m de detectar a presena de criptograa e, se for o caso, fazer uma cpia lgica do sistema antes de deslig-lo. A grande capacidade de armazenamento da memria RAM, muitas vezes igual ou superior a quatro gigabytes nos computadores atuais, capaz de guardar grande quantidade de dados, podendo incluir, entre outras informaes, senhas usadas para criptograa. A anlise com o volume ainda montado possibilita ainda a aquisio lgica deste volume, que, de outra forma, apareceria como um arquivo criptografado, difcil de ser detectado e praticamente impossvel de ser acessado. Podem ser encontradas vrias evidncias extremamente teis na memria RAM como, por exemplo, o contedo inteiro ou parcial de arquivos apagados, senhas em texto

claro, buffers com contedo da rea de transferncia, informaes sobre processos em execuo ou j encerrados. Portanto, no mais possvel ignorar a memria voltil dos computadores durante a fase de coleta de dados e a anlise subsequente. Apesar dos recentes progressos da anlise de memria, as diculdades ainda so grandes, devido falta de exibilidade das ferramentas existentes, que geralmente s podem ser utilizadas nos sistemas operacionais especcos e nas respectivas verses para as quais foram codicadas. A razo para isso que as estruturas de dados utilizados pelos sistemas operacionais mudam a cada nova verso, exigindo que as ferramentas forenses tambm precisem ser atualizadas. Neste trabalho, sero abordados aspectos fundamentais de percia digital, incluindo questes de terminologia, um breve histrico da evoluo da rea e seus principais desaos. Posteriormente, os conceitos da anlise live incluindo suas vantagens e desvantagens, quando comparada com a percia digital convencional so apresentados. Os procedimentos de coleta e anlise de evidncias so detalhados, juntamente com um conjunto de ferramentas gratuitas para o ambiente Microsoft Windows, presente em mais de 90% dos computadores de mesa do Brasil, conforme dados da NetMarketShare, apresentados na Figura 6.1.

Figura 6.1. Base instalada de sistemas operacionais em computadores de mesa

6.2. Terminologia
Antes de aprofundar a discusso sobre anlise live, necessrio esclarecer alguns pontos com relao traduo dos termos em ingls e de outras denominaes utilizadas. O termo em ingls associado percia em computadores Computer Forensics. Em ingls, o termo forensics denido como: a aplicao de conhecimento cientco em problemas legais e especialmente

a anlise cientca de evidncias fsicas como as encontradas em uma cena de crime1 . Uma traduo muito utilizado comercialmente no Brasil forense computacional, embora seja uma substantivao forada do adjetivo forense, que no explicita a mesma semntica da denio do termo forensics. O termo mais prximo de forensics com base na denio apresentada seria, de fato, percia e, por conseguinte, Computer Forensics poderia ser traduzido, adequadamente, como percia em computadores. Em relao anlise live, do ingls live analysis, este trabalho optou por manter o termo em ingls, tendo em vista que no h consenso sobre a traduo mais adequada. Opes como "ao vivo"ou simplesmente "viva"carregam uma conotao distinta. Anlise "ao vivo"pode parecer mais adequado, no entanto indicaria que todo o processo de anlise realizado com o sistema ainda em execuo, quando, na verdade, apenas a coleta necessariamente feita nessa condio. Anlise "viva", por outro lado, faz um contraponto anlise post mortem, termo comumente utilizado para se referir a anlise de um sistema que foi desligado. A denio utilizada neste trabalho para a Informtica Forense emprestada da denio de Digital Forensic Science discutida e apresentada em Palmer (2001). Assim, a Informtica Forense denida como: o uso de mtodos cienticamente estabelecidos e comprovados para a preservao, coleta, validao, identicao, anlise, interpretao, documentao e apresentao da evidncia derivada de fontes digitais para o propsito de facilitar ou promover a reconstruo de eventos que causem a perturbao de operaes planejadas. O Australian Institute of Criminology apresenta uma denio mais adequada a esse ponto de vista, no qual a percia em Informtica denida como: o processo de identicar, preservar, analisar e apresentar evidncias digitais de uma maneira legalmente aceitvel. Ainda complementando a denio de Informtica Forense, preciso esclarecer a denio de evidncia digital, que segundo Huebner et al. (2003) : qualquer informao de valor probatrio que armazenada ou transmitida de forma digital. Analogamente, o termo percias em rede (network forensics) tem sido cada vez mais utilizado. Em Palmer (2001), apresentada a seguinte denio de percias em rede: o uso de tcnicas cienticamente comprovadas para coletar, unir, identicar, examinar, correlacionar, analisar e documentar evidncias digitais de mltiplas fontes digitais processando e transmitindo ativamente, com o propsito
1 Denio

do dicionrio Merriam-Webster disponvel em http://www.merriam-webster.com

Tabela 6.1. Objetivos da Informtica Forense em reas diversas, adaptada de Palmer (2001)

rea Objetivo primrio Objetivo secundrio Quando atua Policial Persecuo penal Depois do fato Militar Continuidade Persecuo penal Tempo real Comercial Disponibilidade Persecuo penal Tempo real
Tabela 6.2. Diferenas entre a segurana de computadores e a percia em Informtica, adaptada de Ruibin and Gaertner (2005)

Segurana Percia Busca proteger o sistema No protege o sistema de ataques de ataques Ao em tempo real Aps os incidentes ou logo aps um incidente (post mortem) Ambientes restritos para A evidncia quase sempre apresentao dos acontecimentos apresentada para pessoal no tcnico Pode ser contornada por A integridade da indivduos conveis evidncia o mais importante

de descobrir fatos relacionados ao intento planejado ou sucesso apurado de atividades no autorizadas destinadas a perturbar, corromper ou comprometer componentes de sistema, bem como prover informao para auxiliar na resposta ou recuperao aps atividades. A denio das percias em rede apresenta grande semelhana com as reas de segurana de redes e resposta a incidentes, cujo objetivo principal a proteo e a manuteno da disponibilidade de seus sistemas e redes. A Tabela 6.1, adaptada de Palmer (2001), apresenta os principais objetivos de cada rea com relao pesquisa e aplicao da percia em Informtica. Em um cenrio que no envolva o desejo de processar os atacantes, mas de proteger algum patrimnio ou informao, a ao invasora pode ser interrompida enquanto ocorre e, consequentemente, correes no sistema ou rede que implicam perda de evidncias do ocorrido podem ser feitas. Ou seja, aes que podem ser boas prticas em respostas a falhas de segurana podem ser devastadoras do ponto de vista pericial. Essa situao encontrada pelos prossionais de segurana de redes e deteco de intruso, cujos procedimentos nem sempre esto em sintonia com os procedimentos periciais, j que a persecuo penal, nesse caso, uma preocupao secundria. Portanto, apesar das semelhanas entre a percia em Informtica e a segurana de computadores, tanto em termos de conhecimento quanto de ferramentas, existem algumas diferenas signicativas, como as apresentadas por Ruibin and Gaertner (2005), aqui adaptadas e exibidas na Tabela 6.2. A anlise live busca aproximar os procedimentos das duas reas. A realizao do exame pericial tende a se aproximar do momento do incidente e a realizar procedimentos que, embora no mantenham o mximo de integridade da evidncia, ainda so seguros do

ponto de vista jurdico.

6.3. Histrico
Segundo Huebner et al. (2003), o primeiro caso criminal relacionado ao uso de computadores conhecido foi registrado nos EUA, em 1966, e resultou em uma pena de cinco anos de priso2 . Nas dcadas de 1970 e 1980, os computadores tornaram-se mais comuns e baratos, permitindo a utilizao pessoal e comercial em maior escala. Com isso, a polcia identicou o surgimento de uma nova classe de crimes: os crimes relacionados a computadores. Nas dcadas seguintes, a tecnologia passou por diversas evolues signicativas, que exigiram a adaptao contnua dos procedimentos periciais. Na dcada passada, a percia em Informtica caracterizou-se, predominantemente, pelo tratamento de dispositivos com capacidades de armazenamento relativamente pequenas e poucas quantidades de informao. Isso permitia que cpias completas dos discos rgidos originais fossem feitas para outro disco, sendo o exame realizado sobre a cpia, preservando, assim, a evidncia original. Com o surgimento da Internet comercial no Brasil no incio de 19953 , surge uma nova demanda relacionada prtica de crimes com o auxlio da Internet, hoje conhecidos comumente como crimes cibernticos. Com o crescimento explosivo da Internet, tambm cresceram as ocorrncias de incidentes relacionados, como a invaso de servidores e a prtica de defacement de pginas web. Alm do crescimento da Internet, importante destacar, tambm, a evoluo da telefonia mvel e dos meios de armazenamento de dados. Ambos tornaram-se extremamente acessveis e hoje fazem parte da vida cotidiana. Da mesma forma, pode-se armar que fazem parte do cotidiano de criminosos, que muitas vezes fazem uso dessas tecnologias, mesmo que os crimes que cometam no tenham relao direta com a Informtica. Hoje, discos rgidos com capacidade da ordem de terabytes podem ser adquiridos. Esse grande volume de dados e diversidade de mdias um dos grandes desaos enfrentados pela Informtica Forense, que precisa buscar novas solues para cenrios onde no mais possvel realizar uma cpia integral de todos os dados originais, como em ambientes de rede complexos. No Brasil, cabe ainda considerar a carncia de uma legislao especca para punir diversas condutas no meio ciberntico, que em muitos pases j so consideradas crimes, como a disseminao de programas maliciosos (malware). Diversos projetos de lei foram propostos ao longo dos anos, mas at a concluso deste trabalho nenhum havia sido aprovado em carter conclusivo.

6.4. Desaos da percia digital

Muitos dos desaos enfrentados hoje na Informtica Forense so produto dos grandes avanos tecnolgicos observados nos ltimos 15 anos. Esta seo apresenta alguns do desaos mais discutidos e que so os principais alvos de pesquisas. Nas discusses do First Digital Forensic Research Workshop, ocorrido em 2001, e
2 Tratava-se 3 Considerando

de um caso de furto de programa de computador. a data de criao do Comit Gestor de Internet em maio de 1995.

apresentado em Palmer (2001), alguns dos desaos de alta prioridade citados ento eram a conabilidade da evidncia digital e as percias em ambientes de rede. Essas questes ainda esto presentes, atualmente, e em escala cada vez maior. As evidncias digitais tornaram-se cada vez mais comuns e as redes de computadores, maiores e mais presentes. Comentou-se, ento, que a ubiquidade dos sistemas de informtica e equipamentos eletrnicos, cada vez mais, indicava que um dia todos os crimes teriam uma "ciberdimenso". Uma tendncia observada nos ltimos anos a expanso da percia alm do simples exame dos discos rgidos. A anlise de memria voltil e de sistemas em operao tem recebido bastante ateno em termos de pesquisa e de ferramentas especcas. interessante notar que a percia em sistemas em operao "desrespeita"um dos princpios bsicos da percia em mdias de armazenamento, que a preservao total dos dados originais. Isso porque qualquer atividade em um sistema em operao causa mudanas nos dados armazenados na memria. Como tal situao inevitvel, Huebner et al. (2003) argumentam que evidncias coletadas dessa forma tm que ser aceitveis em juzo. Alm das diculdades discutidas acima, que afetam de maneira geral o trabalho pericial em Informtica, Huebner et al. (2003) apresenta ainda diversos desaos tcnicos como: 1. sistemas de arquivos que permitem ocultar dados do usurio comum, sendo visveis apenas se utilizadas ferramentas especiais; 2. propriedades e mecanismos de sistemas operacionais e aplicativos sem documentao ou utilizados para ocultar dados; 3. armazenamento de dados online, que permite o armazenamento de dados em servios da Internet, cujo acesso pode ser difcil ou pode encontrar-se fora da jurisdio legal daquela polcia e pode at requerer aes demoradas de cooperao internacional; 4. uso extensivo de criptograa forte, que sugere a necessidade de um trabalho maior de investigao para evitar que as evidncias digitais do suspeito estejam protegidas dessa forma; 5. dispositivos mveis de alta capacidade e dimenses muito reduzidas, que podem ser facilmente destrudos ou ocultados, ou que podem ser utilizados para evitar que dados importantes quem armazenados nos discos rgidos dos computadores utilizados; 6. servios online diversos como webmail, redes sociais ou programas de mensagens instantneas, cujos vestgios encontram-se nas mos dos provedores dos servios, o que diculta sua coleta. O uso de tcnicas cada vez mais sosticadas de proteo e ocultao de dados, como criptograa integral de disco e esteganograa, tambm reforam a necessidade de uma ao mais proativa para identicar e preservar vestgios. A anlise live surge como uma possvel resposta para alguns desses desaos.

6.5. Princpios de percia digital

Segundo Palmer (2001), por denio, a percia em Informtica tem uma natureza investigativa e seus praticantes devem seguir um processo investigativo na realizao de seu trabalho. Ao investigar crimes relacionados a computadores, deve car claro que os princpios bsicos aplicados a cenas de crime "comuns"tambm se aplicam. Nesta seo, so apresentados alguns princpios de percia digital que sero utilizados ao longo do trabalho. Tambm so detalhadas as fases do trabalho pericial, que se aplicam tanto anlise convencional quanto anlise live. De acordo com Huebner et al. (2003), a primeira coisa de que um investigador deve estar ciente o Princpio da Troca de Locard, segundo o qual qualquer pessoa ou coisa entrando em uma cena de crime leva algo da cena consigo ou deixa algo de si para trs quando sai da cena, ou, como apresentado por Reith et al. (2002), toda atividade em um computador provavelmente produzir uma modicao no sistema em que foi realizado como, por exemplo, modicaes no sistema de arquivos ou, no mnimo, modicaes na sua memria principal. Nesse sentido, um princpio bsico o da preservao dos vestgios originais. Sempre que possvel, procura-se trabalhar sobre uma cpia integral e exata dos dados originais. Um alto nvel de integridade dos vestgios necessrio em todos os exames periciais de Informtica, j que materiais digitais so mais facilmente adulterados e forjados do que materiais fsicos. Com o desenrolar dos exames e a descoberta de evidncias no material examinado, importante manter a rastreabilidade dessas descobertas e de suas correlaes. Da mesma forma, os dados so transformados e interpretados por ferramentas diversas. desejvel que todos os procedimentos realizados sejam claros e totalmente compreendidos pelos especialistas, embora nem sempre as ferramentas utilizadas permitam uma anlise e avaliao mais profunda do seu funcionamento. 6.5.1. Cadeia de custdia A cadeia de custdia um processo usado para manter e documentar a histria cronolgica da evidncia, para garantir a idoneidade e o rastreamento das evidncias utilizadas em processos judiciais. A cadeia de custdia trata dos procedimentos que buscam garantir a idoneidade das evidncias por meio da descrio e documentao detalhada de como a evidncia foi encontrada e de como foi tratada dali por diante. Todo o procedimento deve ser documentado para que que registrado onde, quando e por quem a evidncia foi descoberta, manipulada, coletada e armazenada. Quando a evidncia passa para a responsabilidade de outra pessoa, esse fato, com todos os detalhes envolvidos, incluindo nmero de lacres e outros procedimentos de segurana, deve ser, tambm, cuidadosamente documentado. Turner (2005) discute extensivamente a importncia de comprovar a procedncia das evidncias obtidas em meios digitais. A incapacidade de demonstrar a continuidade dessa cadeia de custdia em um processo tem um srio impacto na aceitao da prova.

6.5.2. Fases Beebe and Clark (2005) sugerem uma diviso em seis fases, nas quais um nmero arbitrrio de subfases pode ser denido, considerando a necessidade de sua execuo conforme a natureza do caso. As seis fases so: 1. preparao (pr-incidente); 2. resposta ao incidente; 3. coleta de dados; 4. anlise; 5. apresentao das descobertas; 6. encerramento do incidente. A Figura 6.2 apresenta a relao das seis fases com a possibilidade de iterao entre elas ou de todo o processo.

Figura 6.2. Fases do trabalho pericial, adaptada de Beebe and Clark (2005)

A diferena da anlise live para a convencional est principalmente na fase de coleta de dados e anlise, que so realizadas com o sistema ainda em execuo. Na anlise convencional, o sistema seria desligado antes de qualquer outro procedimento ser realizado. 6.5.3. Funes de hash As funes de hash tm uma importncia fundamental nos procedimentos da percia digital. Elas so funes que relacionam uma entrada de tamanho varivel a uma sada de tamanho xo. Essas funes de hash so comumente utilizadas em criptograa, autenticao e assinatura digital. Alguns exemplos de algoritmos utilizados so MD5, SHA-1, SHA-256 e SHA-512. Uma caracterstica fundamental das funes de hash que muito difcil encontrar dois contedos de entrada que produzam o mesmo resultado na sada, e, a partir da sada, computacionalmente invivel encontrar a entrada. Dessa forma, essas funes so utilizadas para garantir a integridade de arquivos digitais. No caso de

modicao no contedo de um arquivo, mesmo que mnima, o valor da funo de hash muda drasticamente, evidenciando a existncia de alterao. O quadro a seguir apresenta um exemplo de modicao no contedo e seu reexo no resultado da funo de hash utilizando o algoritmo MD5. > Contedo : < t e s t > >> MD5: a 5 5 a b 7 5 1 2 f 0 d 0 f f 4 5 2 7 d 8 9 8 d 0 6 a f d 5 c 5 > Contedo : < t e s t e > >> MD5: c 0 d 8 1 0 f 6 1 f 3 7 0 2 5 e 6 0 0 c f 4 1 e 7 1 6 c 8 5 7 6 A utilizao das funes de hash para garantir a integridade das evidncias encontradas ser abordada posteriormente neste trabalho, como parte dos procedimentos a serem executados durante a percia, assim como uma indicao de ferramentas para realizar o processo.

6.6. Anlise live

Conforme descrito inicialmente, a anlise live, tambm chamada de live forensics, consiste em uma anlise digital realizada por meio de procedimentos periciais e conduzida no equipamento computacional ainda em execuo. Portanto, a anlise live ocorre quando o sistema mantido em execuo e os investigadores usam o prprio sistema operacional da mquina para acessar os seus dados. Segundo Anson and Bunting (2007), os ingredientes principais para realizar uma anlise live bem-sucedida so: interagir o mnimo possvel com o sistema em anlise; utilizar ferramentas conveis; pensar e repensar, pois uma vez feito o procedimento em um sistema em execuo, o sistema modicar o estado atual, sendo impossvel retornar ao estado inicial; documentar todo o procedimento. Para melhor compreender o potencial da anlise live com relao a anlise convencional, pode-se fazer uma reexo sobre as fontes de dados existentes em um computador, conforme apresentado na seo a seguir. 6.6.1. Fontes de dados em um computador Os componentes de um computador so agrupados em trs componentes bsicos: unidade central de processamento (CPU), a memria principal (RAM) e os dispositivos de entrada e sada. A Figura 6.3 ilustra a interao desses componentes. Processadores O processador, ou Unidade Central de Processamento (CPU), tem como funo principal unicar todo o sistema, controlando as funes realizadas pelos outros

Figura 6.3. Interao entre os componentes bsicos do computador

componentes. A CPU composta por dois componentes bsicos, a unidade de controle (UC), e a unidade lgica e aritmtica (ULA). A funo da CPU buscar instrues na memria e execut-las, em seguida. Seu ciclo bsico de execuo buscar a instruo da memria, decodica-la para determinar seus operandos e funes a executar, execut-la, e em seguida, tratar a instruo seguinte, at que o programa pare. Registradores So dispositivos de alta velocidade, localizados sicamente na CPU, para armazenamento temporrio de dados. Um registrador o elemento superior da pirmide da memria, por possuir a maior velocidade de transferncia dentro do sistema, menor capacidade de armazenamento e maior custo. O sistema operacional deve estar sempre atento ao estado e ao contedo dos registradores. Quando o sistema operacional compartilha a CPU com mais de um programa, necessita, s vezes, interromper um programa e iniciar outro. Nesse caso, necessrio que os dados contidos nos registradores sejam salvos, para que possam ser recuperados posteriormente, quando seu programa de origem voltar a ser executado. Memria cache Esta memria, hierarquicamente, est abaixo da camada de registradores, sendo controlada, principalmente, por hardware. uma memria de alta velocidade, mais lenta que os registradores, mas mais rpida que a memria principal. Os modernos computadores costumam ter dois ou at trs nveis de cache, sendo o seu tamanho limitado pelo alto custo. A cada nvel subsequente, diminui a velocidade e aumenta a capacidade de armazenamento. Todas as requisies da CPU que no podem ser atendidas pela memria cache so direcionadas para a memria principal. Memria principal (RAM) Tambm conhecida como memria primria, real ou RAM (random access memory). Posies de memria frequentemente ou recentemente utilizadas so mantidas na memria cache. Quando o programa precisa ler um dado na memria, o hardware verica se o dado est na memria cache. Se estiver (cache hit), nenhuma

requisio adicional necessria. Caso contrrio (cache miss), h necessidade de uma requisio adicional, enviada memria principal, com perda substancial de tempo.

Memria secundria um meio permanente de armazenamento. Enquanto os dados contidos em registradores, memria cache e memria principal so volteis sendo perdidos no momento de desligamento do computador a memria secundria permanece armazenada mesmo depois do desligamento da mquina. Trata-se de uma memria de acesso bem mais lento, quando comparado s memrias volteis. Sua vantagem, porm, est no menor custo e na alta capacidade de armazenamento. Exemplos desse tipo de memria so os discos rgidos e os ash drives.

Dispositivos de entrada e sada So os dispositivos que permitem a comunicao entre o computador e o mundo externo. Podem ser divididos em duas categorias: na primeira, esto os dispositivos utilizados como memria secundria e na segunda, os dispositivos que permitem a interao do ser humano com o computador, como teclado, monitor, mouse, impressora e scanners. O objetivo de discutir os componentes da arquitetura bsica do computador chamar a ateno para as possveis fontes de evidncias digitais. Observa-se que a volatilitade diminui a medida que a capacidade de armazenamento aumenta. Elementos com maior volatilidade como registradores e caches no apresentam vantagem do ponto de vista pericial em relao ao contedo da memria RAM, que por ser menos voltil mais fcil de ser analisada. Assim como os discos rgidos apresentam um volume bem maior de material potencialmente interessante para o exame pericial. Deve-se ter em mente que apesar dos dispositivos de entrada e sada no terem funo primordial de armazenamento de dados, alguns deles fazem uso de algum tipo de memria para viabilizar sua operao. Como exemplo, algumas impressoras utilizam um disco rgido que armazena cpias de arquivos a serem impressos.

6.7. Diferenas com relao percia convencional

A percia convencional ocorre com o sistema investigado desligado. Para evitar novas escritas no disco, remoo de arquivos temporrios ou qualquer modicao no sistema, aconselha-se desligar o computador utilizando o procedimento pull the plug. Esse procedimento consiste na interrupo do fornecimento de energia ao equipamento pela retirada do cabo de energia da tomada. Aps a coleta do equipamento computacional, uma cpia integral do disco rgido do sistema realizada e, a partir da, essa imagem analisada em laboratrio, utilizando-se um sistema operacional e aplicaes forenses conveis (Carrier, 2006). Diferentemente da percia convencional, que fornece apenas uma viso limitada das informaes do sistema, ferramentas para anlise live podem informar ao investigador um cenrio mais completo do estado do computador (Hay et al., 2009). Segundo Adelstein (2006), enquanto a percia convencional tenta preservar os discos rgidos em um estado inalterado, as tcnicas de anlises em equipamentos computacionais ligados tm como objetivo tirar snapshots do estado da mquina, similar s fotograas de uma

cena de crime. Ferramentas periciais, na maioria das vezes, so bem-sucedidas na extrao de dados dessas mdias, inclusive na recuperao de arquivos apagados no sobrescritos e buscas por palavras-chave. A percia convencional, apesar de amplamente usada atualmente na persecuo penal, apresenta limitaes nos seguintes casos: 1. impossibilidade de coletar o equipamento computacional; 2. necessidade de estabelecer o agrante do suspeito; 3. uso de criptograa forte. No item 1, existem casos em que no h permisso legal ou viabilidade tcnica para coletar o equipamento computacional devido importncia deste para a organizao. Equipamentos de grande porte, como mainframes, tambm inviabilizam sua apreenso pela diculdade de transporte e armazenamento do hardware. No item 2, o desligamento sumrio do equipamento computacional inviabilizar o agrante, j que no haver a constatao dos requisitos necessrios para a sua congurao. Sendo assim, a prova deve ser extrada e documentada antes do procedimento de desligamento e coleta do equipamento. O item 3 refere-se ao mais recente desao da percia digital: o uso, cada vez mais difundido, de esquemas criptogrcos robustos nos computadores pessoais, dicultando, consideravelmente, a extrao de dados pela percia convencional, podendo at mesmo inviabiliz-la por completo. A anlise live possui vantagens e desvantagens se comparada com a percia convencional. Segundo Anson and Bunting (2007), o investigador deve determinar qual opo representa uma ameaa maior percia: a perda dos dados da memria RAM ou a modicao dos dados no disco rgido.

6.8. Vantagens da anlise live

Devido anlise em um computador ligado fornecer uma viso mais completa do sistema investigado, com acesso a informaes na memria RAM, ela pode ser usada para resolver algumas das limitaes encontradas pela percia convencional. Entre as vantagens obtidas no uso desse tipo anlise, possvel elencar como as principais: extrao de dados volteis; triagem de equipamentos; triagem de dados; preservao de dados criptografados; possiblidade de estabelecer o agrante. Cada uma dessas vantagens detalhada nas sees que se seguem.

6.8.1. Extrao de dados volteis De acordo com Adelstein (2006), a anlise live pode resguardar tanto as informaes volteis quanto as informaes estticas sobre o sistema de arquivos. De acordo com Carrier and Spafford (2005), o pr-processamento de dados na cena de crime apenas uma das fases na investigao digital. A percia em um computador ainda ligado permite ao investigador analisar um elemento indisponvel durante a percia convencional: a memria RAM. Sendo assim, o investigador ter acesso a informaes no tipicamente escritas em disco, tais como: portas abertas, conexes de rede ativas, programas em execuo, dados temporrios, interao com usurio, chaves criptogrcas e contedos no criptografados. Com o uso apenas da percia convencional, essas informaes eram, simplesmente, ignoradas, o que pode ser prejudicial investigao. Quanto maior a probabilidade de alterao nas informaes do dispositivo computacional, maior a prioridade de extrao e preservao desses dados. Como a memria RAM mais suscetvel a mudanas, alerta que a extrao deve seguir a ordem de volatilidade. Portanto, na maioria das vezes, necessrio que as informaes sejam extradas da memria antes da extrao dos dados do disco rgido. 6.8.2. Triagem de equipamento A presena crescente de computadores e mdias de armazenamento computacional na vida cotidiana reetiu-se tambm nas cenas de crime, onde comumente so encontrados computadores que apresentam relao com o fato sob investigao (Hoelz, 2009). Segundo Adelstein (2006), discos rgidos com mais capacidade de armazenamento aumentam o tempo necessrio para anlise, dicultando e encarecendo-a quando h a coleta de todos os discos rgidos. A anlise live permite ao investigador ltrar os equipamentos computacionais que so realmente de interesse investigao. A busca por palavras-chave no disco rgido ou por aplicativos instalados na mquina, por exemplo, podem evitar a apreenso desnecessria de computadores. Em casos nos quais os resultados da percia devem ser disponibilizados em um curto espao de tempo, um modelo para triagem de equipamentos pode ser utilizado durante a anlise live (Rogers et al., 2006). Esse modelo envolve consultas no computador investigado em busca de informaes contidas nos arquivos de registro, histrico de Internet, mensagens eletrnicas entre outros. A triagem de equipamentos ajuda o perito a dedicar-se percia dos equipamentos computacionais relevantes, pois reduz a quantidade total de equipamentos apreendidos. Sendo assim, as anlises resultam em um relatrio com mais qualidade e tempestividade. 6.8.3. Triagem de dados Devido ao atual aumento da quantidade de evidncias digitais disponveis, em breve ser impossvel obter todos os dados referentes ao caso. Com isso, o paradigma da anlise live poder se tornar o procedimento padro. Tcnicas como minerao de dados e uso de ltros de arquivos conhecidos esto sendo utilizadas para processar casos contendo grande volume de dados, porm no resolvem o problema por completo. A extrao seletiva de dados no computador investigado em execuo pode facilitar a percia posterior, principalmente em casos onde os dados esto em servidores

corporativos (banco de dados, servidores de e-mail), mainframes ou mquinas que contenham hardware que diculte a percia convencional, como RAID (Redundant Array of Independent Disks), por exemplo. Segundo Aquilina et al. (2008), nem sempre possvel extrair todos os dados de todas as mquinas envolvidas no incidente, sendo mais eciente a extrao de alguns dados de cada mquina para determinar quais sistemas realmente foram afetados. 6.8.4. Preservao de dados criptografados A criptograa um dos melhores mtodos para ocultar informao e tem sido amplamente utilizada por criminosos para esconder o contedo de seus arquivos. O uso de volumes criptografados complica, signicativamente, a percia convencional. Supondo o uso de algoritmos fortes, mtodos convencionais de investigao, em geral, possuem um baixo retorno em funo do investimento. Uma vez que o sistema desligado, a chave criptogrca necessria para acessar a mdia de armazenagem normalmente no est mais disponvel (Hay et al., 2009). Houve avanos no processamento de dados criptografados, como o uso de rainbow tables e ataques por dicionrio. No entanto, tcnicas anti-forenses tambm evoluram para dicultar a decifrao desses contedos criptografados. Caso o sistema no seja desligado, a anlise live permite ao investigador acessar os dados de forma transparente, como um usurio do sistema, e realizar uma cpia para analis-los posteriormente. 6.8.5. Possibilidade de estabelecer agrante Outra grande vantagem do uso de tcnicas de anlise em computadores ligados a possibilidade de constatao de uma situao de agrante. A percia convencional simplesmente ignorava tal possibilidade e desligava a mquina investigada, perdendo a oportunidade de registrar o estado da mquina, processos em execuo e arquivos que serviriam para estabelecer a situao de agrante.

6.9. Desvantagens da anlise live

Apesar de resolver alguns problemas encontrados na percia convencional, a percia em equipamentos computacionais em execuo tambm introduz novos desaos e possui suas prprias limitaes. Alm de aumentar a quantidade de informaes que o perito deve analisar, possvel citar as seguintes desvantagens no uso desse tipo de anlise: 1. aspectos legais e impossibilidade de reproduo do exame; 2. tempo gasto; 3. complexidade e variedade de cenrios; 4. mudana de paradigma na investigao; 5. rootkits e malware. Analogamente, cada uma dessas devantagens detalhada nas sees que se seguem.

6.9.1. Aspectos legais e impossibilidade de reproduo do exame necessrio considerar as indagaes sobre aspectos legais como uma parte do esforo de pesquisa nas anlises de sistemas em execuo (Hay et al., 2009). Caso a prova digital no seja vlida legalmente, pouco adianta os resultados da anlise live. Durante a realizao da percia em um computador ligado, muito fcil contaminar a prova no sistema, exigindo que os procedimentos sejam feitos por um prossional qualicado. Durante a realizao dos exames, o sistema se modica continuamente, impossibilitando obter exatamente os mesmos resultados ao se repetir a percia. A boa prtica exige que o investigador, quando realizando um procedimento em uma mquina investigada, minimize o impacto e compreenda o efeito desse procedimento no sistema analisado. Uma vez que a anlise live extrai dados da memria voltil, esse exame no poder ser repetido posteriormente produzindo exatamente os mesmos resultados. Essa impossibilidade de reproduo exige uma documentao precisa dos procedimentos realizados e uma ateno ainda maior na preservao da integridade dos dados extrados durante a anlise dos equipamentos computacionais ligados. Os dados extrados durante os exames devem seguir o mesmo tratamento dispensado percia convencional. Deve-se utilizar uma funo de hash para garantir integridade desses dados. Alm disso, a anlise live deve se manter em harmonia com os preceitos da cadeia de custdia. O objetivo de manter, cuidadosamente, a cadeia de custdia no consiste apenas em proteger a integridade da evidncia, mas, tambm, de tornar difcil ao advogado de defesa arguir que a evidncia foi mal manipulada enquanto esteve na posse do investigador. 6.9.2. Tempo gasto A utilizao racional do tempo sempre importante e, para tanto, a escolha entre as atividades de anlise que devem ser feitas no ambiente em execuo e quais podem ser realizadas posteriormente sem prejuzo s investigaes essencial. Alguns procedimentos utilizados quando os computadores esto ligados, tais como a cpia integral do disco rgido, podem ser demorados. O local da anlise live, ao menos no caso policial, no o local mais adequado para realizao de exames periciais. Sendo assim, espera-se que esses procedimentos sejam os mais breves possveis. Para Adelstein (2006), o investigador pode realizar uma triagem e coletar dados essenciais, examin-los e usar o resultado dessa anlise para decidir o que mais necessrio. 6.9.3. Complexidade e variedade de cenrios A grande quantidade de aplicativos, sistemas operacionais e dispositivos computacionais encontrados durante a percia em um equipamento ligado frustram a preparao do perito na realizao desse tipo de anlise. A preparao requisito fundamental para o sucesso da anlise, sendo inadmissvel testar ferramentas e procedimentos durante a realizao da anlise live (Mandia et al., 2003). O sucesso nesse tipo de anlise depende de um treinamento constante do perito na rea de computao, assim como do estudo e da evoluo contnua dos procedimentos

periciais realizados em um computador ligado. Como visto, o investigador deve ter um conhecimento amplo em diversas reas computacionais, porm humanamente impossvel exigir o domnio em todas as particularidades encontradas durante a anlise live, sendo necessria a utilizao de uma ferramenta para auxili-lo nesse processo. 6.9.4. Mudana de paradigma na investigao Para a realizao de uma anlise live, indispensvel que a mquina esteja ligada. Caso a mquina esteja desligada, no existe nada mais a fazer, alm de coletar o equipamento para realizao de percia convencional e esperar que a mquina no esteja utilizando algum algoritmo de criptograa forte. Caso seja necessrio realizar a anlise de uma mquina ligada, a investigao deve se adaptar necessidade imposta por esse tipo de anlise, ou seja, realizar a coleta apenas se tiver certeza de que o equipamento computacional estar ligado. 6.9.5. Rootkits e malware Um rootkit um software que permite acesso privilegiado e contnuo a um computador, ao mesmo tempo em que ca invisvel aos administradores do sistema, subvertendo as respostas normais e esperadas de comandos do sistema operacional ou de outros aplicativos. O termo rootkit uma concatenao dos termos root e kit. Root nome tradicional da conta com privilgios de administrador do sistema, nos sistemas operacionais UNIX, enquanto o termo kit refere-se aos componentes de software com integram a ferramenta. Tipicamente, o rootkit instalado na mquina pelo atacante, aps ter obtido poderes de administrador do sistema, explorando alguma vulnerabilidade conhecida ou tendo acesso senha de administrador. Os rootkits so de difcil deteco, j que podem subverter o prprio software que supostamente deveria detect-lo. Rootkits podem ser classicados em dois nveis: de aplicativo e de kernel. O primeiro tipo encontrado em aplicativos nativos do prprio sistema operacional, sendo capaz de omitir resultados de uma consulta desse aplicativo modicado por meio de um ltro pr-determinado. J o segundo incorporado ao sistema operacional e, por isso, utiliza um ltro para omitir resultados independentemente do aplicativo que est sendo executado. Segundo Carrier (2006), os rootkits de nvel de aplicativo podem ser contornados utilizando executveis conhecidos e trazidos pelo prprio investigador, mas os rootkits de nvel de kernel necessitam da utilizao de uma abordagem mais complexa, sendo necessrio buscar inconsistncias ao correlacionar diversas estruturas em memria. Alm dos rootkits, importante estar atento para a presena de malware. Este termo vem do ingls (malicious software), signicando software malicioso. Refere-se a programas desenvolvidos para alterar ou danicar o sistema, roubar informaes ou provocar outras aes no realizadas pelo usurio atual. Exemplos comuns de malware incluem vrus, worms, trojans e spyware. Embora no afetem diretamente os resultados do exame, como no caso dos rootkits, podem ser utilizados como estratgia de defesa, com a alegao de que "a culpa foi do malware". A anlise e engenharia reversa de malware um assunto amplo e de grande valia para o exame pericial, mas que est alm do escopo deste trabalho.

6.10. Anlise da memria RAM

A grande vantagem do uso da anlise live em relao anlise convencional o acesso aos dados residentes na memria do computador investigado. Apesar de ser substancialmente menor que a capacidade de armazenamento dos discos rgidos, a memria RAM uma rica fonte de informaes para investigao. possvel extrair da memria informaes como: processos em execuo, arquivos abertos, conexes estabelecidas, portas abertas e possveis senhas. Em sistemas Windows pode-se extrair a lista de DLLs e os arquivos de registro (hive les), que permanecem residentes na memria. Essas informaes, com exceo dos arquivos de registro que tambm so acessveis pelo disco rgido , eram simplesmente ignoradas pela percia convencional. Com o uso da percia em equipamentos em execuo, essas informaes ganham papel de destaque, tornando esse tipo de anlise uma importante fase da percia digital. A RAM uma memria voltil e bastante dinmica que exige cuidado durante sua anlise. Devido volatilidade da memria, a anlise em equipamentos computacionais ligados oferece ao perito uma breve janela de oportunidade para extrao de dados desta, antes que seja efetuado o desligamento e apreenso do equipamento computacional. A memria RAM de um computador ligado permanece continuamente alterando seu contedo. Sendo assim, torna-se necessria uma documentao criteriosa das aes realizadas pelo perito. 6.10.1. Anlise com ferramentas especcas Alm de aplicativos prprios do sistema operacional, existem outras ferramentas digitais forenses, aplicativos de administrao de rede e utilitrios de diagnsticos, que podem ser usados durante a anlise live. No se pode subestimar a importncia do processo montono de criao de um kit de ferramentas para realizar esse tipo de anlise. O tempo gasto nesse processo ser compensado pelos resultados mais rpidos, prossionais e bemsucedidos (Mandia et al., 2003). Mesmo utilizando ferramentas especcas, possvel a ocorrncia de falsos negativos caso um rootkit de nvel de kernel esteja instalado no sistema operacional. Sendo assim, o sistema operacional pode omitir informaes de interesse investigao independentemente da ferramenta que esteja sendo utilizada. 6.10.2. Anlise do dump da memria Neste tipo de anlise, o contedo integral da memria RAM copiado para um arquivo denominado dump. Este arquivo ento processado em um ambiente preparado e controlado por meio do uso de analisadores, responsveis por percorrer o contedo do arquivo em busca de padres. Na anlise do arquivo de dump da memria feita a busca por assinaturas das estruturas de dados em memria. Por no utilizar as APIs do prprio sistema operacional, essa abordagem de anlise apresenta uma desvantagem: incompatibilidade com os diversos sistemas operacionais e verses. As estruturas de dados usadas e a organizao dos elementos carregados em memria dependem do sistema operacional do computador. Suas assinaturas variam com cada verso do sistema operacional, incluindo atualizaes signicativas como services packs. necessrio conhecer profundamente essa organizao para realizar a extrao

desses elementos do arquivo da memria dump. Apesar de no ser possvel extrair novamente o contedo da memria aps o desligamento da mquina investigada, possvel reanalisar o arquivo de dump. Essa propriedade desejvel para a losoa da percia digital, j que permite uma reproduo parcial do procedimento, alm de permitir a extrao de outros dados no extrados durante a primeira anlise. 6.10.3. Mecanismos para cpia da memria RAM Diferentemente da duplicao de discos rgidos pela percia convencional, a memria RAM no pode ser desconectada do sistema para realizao de cpia devido volatilidade de seus dados. Conforme a arquitetura fsica, uma vez que a memria no mais alimentada de energia, o estado dos dados na RAM desconhecido. Existem duas formas para realizar a cpia total dos dados da memria RAM para um arquivo de dump: com suporte de software ou de hardware.

Cpia com suporte de software Consiste na tcnica mais utilizada para cpia do contedo da memria fsica. Existem diversos aplicativos que realizam essa cpia, porm como esses aplicativos so executados no prprio sistema operacional investigado, h uma alterao do contedo na memria. Sendo assim, o examinador deve dar preferncia s ferramentas menos invasivas, ou seja, que alterem o mnimo possvel do contedo da memria. Um conjunto contendo um bloqueador de escrita para extrao de memria voltil de um computador investigado integrado pode ser utilizado para diminuir ainda mais a interao com o sistema.

Cpia com suporte de hardware Devido volatilidade dos dados, no existe um hardware especco para realizar uma cpia do contedo da memria RAM, porm possvel utilizar a propriedade DMA (Direct Memory Access) de alguns dispositivos de hardware para realizar essa cpia. O DMA fornece transferncia de dados entre o barramento PCI e a memria sem que seja necessrio usar recursos do processador. A cpia fsica do contedo da memria RAM possvel pelo acesso direto memria na porta Firewire (IEEE 1394). Apesar de menos invasiva em relao cpia fsica por software, essa abordagem no sempre possvel. Porm, recomendada quando o computador encontra-se bloqueado com senha pelo usurio. Essa tcnica permite o acesso memria do computador bloqueado e, por meio da alterao de processos em execuo, seu desbloqueio.

6.11. Metodologia
A Figura 6.4 apresenta a metodologia para a realizao da anlise live. Um dos aspectos mais importantes do campo da computao forense a documentao. Alm de documentar seus prprios atos durante a coleta dos dados, o analista deve tambm documentar o ambiente antes de comear efetivamente a intervir nos sistemas. Para que a documentao seja feita da melhor forma possvel, recomendado que haja uma pessoa responsvel exclusivamente por essa tarefa. Alguns itens que devem ser documentados com ateno incluem:

1. telas do computador, com resoluo suciente para leitura de textos ali presentes, se necessrio; 2. conexes de rede, mostrando quaisquer cabos de rede conectados ao computador. As duas pontas do cabo devem ser fotografadas, para o caso em que o analista tenha que provar que o computador estava conectado a algum equipamento especco; 3. conexes de perifricos, para provar que estavam conectados ao computador.

Figura 6.4. Metodologia para a realizao da anlise live

Deve-se impedir que um equipamento ligado seja desligado por interveno humana ou que que indisponvel, por exemplo, em modo de hibernao automtica ou de proteo de tela com senha, j que ser alvo de captura de dados volteis. necessrio, tambm, impedir que outras evidncias sejam ocultadas, adulteradas ou destrudas. Um reconhecimento do local, a m de localizar equipamentos, vericando as conexes citadas anteriormente deve ser realizado. recomendado que sejam tiradas fotograas para ilustrar o estado em que se encontra o ambiente. As fotograas, de preferncia digitais, e com bastante resoluo, devem fazer parte da documentao. A presena de testemunhas sempre recomendada e em muitos casos uma exigncia processual. De preferncia, devem ser utilizadas

mquinas fotogrcas com capacidade para salvar as fotos no formato TIFF, evitando a perda de qualidade causada pela compresso para o formato JPEG. Se o computador estiver desligado, deve assim permanecer e deve ser levado para exames posteriores, em laboratrio. A integridade das fotograas deve ser garantida por meio de uma funo de hash, cujo resultado deve fazer parte da documentao, permitindo vericao posterior da autenticidade das fotograas. Todas as informaes relevantes para futuros exames, tais como senhas, nomes de usurios ou peculiaridades da congurao dos sistemas, devem ser documentadas. Muitas vezes elas podem ser solicitadas ao responsvel tcnico pelo local. Se o computador estiver ligado, deve-se tirar uma fotograa da sua tela e providenciar algum mecanismo que o impea de hibernar ou ativar a proteo de tela, pois pode estar protegido por senha e no ser possvel voltar a ter acesso ao sistema. Em seguida, inserido algum dispositivo externo como pen drive ou disco rgido contendo os aplicativos automatizados de coleta de dados volteis. O simples ato de conectar esse dispositivo gerar alterao no registro do Windows. Portanto, deve-se registrar os dados do dispositivo usado a m de identic-lo posteriormente em meio aos resultados. As ferramentas so, ento, executadas para realizar a coleta de dados. Os procedimentos de coleta so apresentados na seo seguinte. Os resultados devem ser armazenados no prprio dispositivo externo. Eles devem ser analisados em sequncia para identicar a possvel presena de criptograa de volumes, criptograa de sistema ou virtualizao do sistema operacional, o que exige procedimentos especcos. Aps a coleta, o dispositivo deve ser inserido em um computador do examinador para os procedimentos nais. Caso tenham sido tiradas fotograas durante o procedimento, elas devem ser juntadas aos resultados da coleta. Deve-se aplicar, ento, uma funo de hash em cada arquivo e gravar todos os valores em um arquivo que acompanhar os demais. Para ns de logstica, sugere-se que todos os arquivos sejam transferidos para mdias ticas, como CD ou DVD. Considerando os tamanhos comuns de memria fsica, basta um DVD, na maioria dos casos, ou dois, em casos excepcionais. Dessa forma, o analista forense continua com o dispositivo de coleta e a mdia tica pode acompanhar o trmite do processo judicial sem qualquer prejuzo. No entanto, um processo adicional necessrio para garantir que no haja substituio dessa mdia ou adulterao do seu contedo. Para isso, deve-se calcular o hash do arquivo de hashes citado anteriormente. O resultado deve ser registrado no relatrio da percia, que conter tambm a assinatura do analista. Com isso, possvel garantir a integridade e a autenticidade dos resultados encaminhados. Nos casos em que houver necessidade de cpia lgica de arquivos para discos rgidos externos, devido ao maior volume de dados, o prprio disco rgido utilizado deve acompanhar o restante do material de informtica relacionado apreendido. Novamente, o mesmo procedimento de clculo de hashes dos arquivos coletados deve ser realizado.

6.12. Coleta de dados

A coleta de dados volteis deve ser feita em uma sequncia que parta dos dados mais volteis para os menos volteis. Os dados mais volteis tendem a desaparecer mais rapidamente, tendo a preferncia na ordem de coleta. Um exemplo de ordem de coleta, partindo dos dados mais volteis para os menos volteis, apresentado a seguir: memria RAM; registro do Windows; estado da rede; processos em execuo; volumes criptografados montados. As ferramentas preferencialmente utilizadas para a coleta so as de linha de comando, que comprometem menos recursos da mquina alvo, j que a ferramenta utilizada vai ocupar parte da memria RAM do sistema alvo. Existem diversas ferramentas voltadas para resposta a incidentes e segurana de Tecnologia da Informao (TI). Um dos problemas de se utilizar essas ferramentas est no fato de que o usurio tem que lembrar todos os comandos e parmetros para executar as ferramentas corretamente em linha de comando. Em seguida, o investigador ter que consolidar os resultados de forma a realizar seu relatrio. Assim, para utilizar essas ferramentas em todo o seu potencial, necessrio agreg-las em um aplicativo que as execute de forma automtica e na ordem correta, atendendo aos princpios forenses relacionados, e salvando os resultados de forma integrada e lgica em um arquivo, para anlise posterior. Existem algumas solues integradas para o problema da coleta de dados volteis no mercado. Entretanto, a maioria delas tem ns comerciais e no permite fcil atualizao e adequao. As solues encontradas, em geral, tm foco na segurana da informao e visam uma resposta imediata, enquanto o foco pericial na preservao e/ou recuperao de dados, senhas e informaes relevantes para a anlise. Devido rpida evoluo da computao forense, dos sistemas de informtica e dos crimes relacionados, as ferramentas de anlise forense no conseguem acompanhar no mesmo passo. Para cada novo sistema operacional, nova verso ou novo programa de roubo de dados desenvolvido, h necessidade de adequao, atualizao e adaptao das ferramentas. Percia em sistemas ligados exige uma abordagem muito mais complexa e criteriosa do que o exame tradicional, com o sistema desligado. Deve haver extremo cuidado para minimizar o impacto das ferramentas utilizadas. Na avaliao de ferramentas para coleta de dados volteis, devem ser considerados, entre outros aspectos: o total de memria alocada pela ferramenta; o impacto da ferramenta nos Registros do Windows;

 o impacto da ferramenta no sistema de arquivos; o uso de DLLs presentes no sistema. aconselhvel que se capture todos os dados volteis possveis. A ordem de coleta pode ser crucial para a investigao. O examinador deve avaliar o caso cuidadosamente, para decidir a ordem de coleta, partindo dos dados mais volteis para os menos volteis. Os princpios fundamentais que norteiam a extrao de dados so os seguintes: deve-se coletar todos os dados que sero perdidos ao desligar o sistema; deve-se coletar, primeiramente, os dados mais volteis, deixando os menos volteis para o nal; os dados devem ser coletados no menor tempo possvel e levando em conta a sua importncia; os dados coletados devem permanecer disponveis para futuras anlises, se necessrias, e os exames realizados devem ser to repetveis quanto possvel; deve-se manter a integridade dos dados coletados; as ferramentas de coleta devem capturar os dados de forma dedigna; as aes realizadas devem ser pertinentes ao caso. Cabe lembrar que a insero de qualquer dispositivo em um computador ligado vai produzir pequenas alteraes no sistema. O uso apropriado das ferramentas de captura de dados volteis e a insero destes dispositivos no adicionar nenhuma evidncia ao sistema. Executar uma ferramenta capaz de realizar a coleta de memria RAM, por exemplo, vai necessitar de uma pequena poro da prpria memria a ser capturada. Assim, a insero de um dispositivo USB tambm vai adicionar uma entrada no registro do Windows. Todas essas pequenas alteraes no produzem grandes consequncias no sistema como um todo e podem ser explicadas posteriormente, com o exame minucioso e detalhado do material coletado. Essas pequenas alteraes so produzidas pela interao das ferramentas com o sistema operacional do Windows, interferindo, apenas, nos arquivos do sistema operacional, no acarretando nenhuma mudana importante no contedo dos dados salvos no sistema. Ainda assim, preciso enfatizar a necessidade de documentar ao mximo todo o processo. Os dados volteis incluem qualquer dado armazenado, na memria ou em trnsito, que ser perdido com a interrupo da energia ou quando o sistema for desligado. Dados volteis so encontrados em registradores, memria cache e memria RAM. Dados volteis passveis de coleta incluem: data e hora do sistema; usurios ativos e suas credenciais de autenticao;

 informao sobre processos em execuo; informaes dos registros do Windows; dispositivos conectados ao sistema; informaes do sistema; conexes de rede; estado da rede; contedo da rea de transferncia; histrico de comandos; arquivos abertos. Durante a coleta, se constatada a presena de criptograa de volumes, criptograa de sistema ou virtualizao do sistema operacional, deve-se realizar a cpia lgica dos arquivos encontrados no volume criptografado ou a cpia de todo o sistema, dependendo do tipo de criptograa utilizada. Se o sistema estiver sendo executado em mquina virtual, tambm deve ser realizada cpia lgica de todo o sistema. A cpia lgica pode ser realizada com o programa FTK Imager, apresentado na seo seguinte, e o resultado deve ser direcionado a um disco rgido externo conectado a outra porta USB. Ao nal, deve ser vericado se h mais algum dado a copiar, como arquivos lgicos ou memria fsica. Caso contrrio, o dispositivo externo de coleta deve ser retirado e o computador, desligado retirando-se o cabo da fonte de alimentao. No caso de computadores portteis, alm de retirar o cabo da fonte de alimentao, deve-se retirar a bateria. importante ressaltar que o estado de um computador ligado no esttico, pois este encontra-se em funcionamento e em constante alterao de dados tanto de memria quanto de disco e processos. Assim, uma coleta de memria levar a resultados diferentes, a cada vez que for executada. Consequentemente, no h como executar uma funo de hash de memria, pois os resultados sero sempre diferentes, quando se baseia no tempo. O que se recomenda, e deve ser feito, um hash do arquivo resultante da coleta de memria. O resultado do hash desse arquivo deve ser documentado, buscando garantir a cadeia de custdia e evitar que haja questionamentos futuros. Agindo dessa forma, teremos um arquivo contendo a cpia da memria fsica, com garantia de integridade, possibilitando a repetio dos exames, caso necessrio. 6.12.1. Ferramentas para coleta do dump de memria MDD Utilitrio desenvolvido pela Mantech International Corporation, para coleta da memria fsica (RAM) dos computadores ligados. Esse programa disponibilizado para rgos governamentais e uso privado, sob licena GPL e capaz de coletar imagens de memria dos sistemas Windows 2000, Windows Server 2003, Windows XP, Windows Vista e Windows Server 2008 (MDD, 2011). A memria coletada em formato binrio

e a integridade do arquivo resultante vericada pelo algoritmo MD5. Posteriormente, o arquivo coletado pode ser vericado em laboratrio, com programas especcos para este m como, por exemplo, o Volatility. O programa foi projetado especicamente para coletar uma imagem da memria fsica de sistema com at 4 GB de memria. O comando para realizar o dump da memria e grav-lo em um arquivo apresentado a seguir e ilustrado pela Figura 6.5. mdd_1 . 3 o a r q u i v o _ d e _ s a d a . img

Figura 6.5. Tela de captura de memria do MDD

FTK Imager Utilitrio fornecido gratuitamente pela AccessData. capaz de criar dumps de memria em computadores de 32 e 64 bits. A Figura 6.6 apresenta a tela da ferramenta. Embora exista uma verso do FTK Imager para linha de comando, ainda no h suporte para captura de memria.

6.13. Ferramentas para anlise indireta

Aps realizar a captura da memria, necessrio analizar o contedo do dump, ou seja, realizar a anlise indireta da memria. Duas ferramentas gratuitas para realizar esse procedimento so apresentadas a seguir. Como citado anteriormente, a abordagem de anlise indireta da memria via arquivo de dump evita a alterao demasiada do estado da mquina, uma vez que substitui vrios aplicativos de coleta de dados utilizados na anlise direta da memria RAM. Alm disso, a anlise indireta permite a execuo de novas consultas ou conrmaes de resultados, o que no possvel utilizando a abordagem direta. Todavia, a anlise do dump de memria depende fortemente da capacidade dos scripts em reconhecer a organizao dos dados na memria RAM, sendo que cada sistema operacional, at mesmo em verses (services packs) diferentes, possuem formas distintas de armazenar dados em memria. MANDIANT Memoryze A ferramenta pode realizar a captura da memria completa do sistema, da memria de um processo, DLL ou driver carregado na memria. Com base em um arquivo de dump ou a partir do contedo da memria em execuo, ela pode:

Figura 6.6. Tela de captura de memria do FTK Imager

listar todos os processos em execuo, incluindo rootkits; listar arquivos abertos e chaves de registro em uso; especicar funes importadas ou exportadas por executveis e DLLs; listar strings em memria para cada processo; identicar hooks, comumente usados por rootkits. A ferramenta recebe como entrada um arquivo XML com os parmetros de execuo, incluindo a localizao do arquivo de dump, e gera relatrios em formato XML. Para facilitar seu uso, vrios arquivos de lote (.bat) so fornecidos. Eles so listados a seguir: MemoryDD.bat: para obter a imagem da memria fsica; ProcessDD.bat: para obter a imagem do espao de memria de um processo; DriverDD.bat: para obter a imagem de um driver; Process.bat: para enumerar tudas as informaes de um processo incluindo handles, memria virtual, portas de rede e strings; HookDetection.bat: para procurar hooks no sistema operacional;

 DriverSearch.bat: para encontrar drivers; DriverWalkList.bat: para enumerar todos os mdulos do kernel e drivers. A Figura 6.7 apresenta um exemplo da anlise das portas abertas por um processo e o estado da conexo. A sada em XML foi simplicada para facilitar a compreenso.

Figura 6.7. Anlise das portas abertas com a ferramenta memoryze

Volatility O framework Volatility consiste em um conjunto de scripts capazes de extrair informaes de execuo a partir da anlise do arquivo de dump de memria do computador investigado. Essa ferramenta percorre o contedo do arquivo em busca de assinaturas e estruturas de dados dos elementos contidos em memria, tais como: processos em execuo, arquivos abertos, conexes estabelecidas, portas abertas, entre outros. Uma lista completa de parmetros do Volatility 1.3a apresentada a seguir: connections: exibe a lista de conexes estabelecidas com endereo local, endereo remoto e o PID (Process ID); connscan: alm da lista de conexes estabelecidas, exibe conexes escondidas e histrico de conexes, caso estejam ainda em memria; connscan2: exibe as mesmas informaes da opo connscan; datetime: exibe hora e data do sistema em que foi feita a cpia da memria RAM;

 dlllist: lista as DLLs na memria referenciadas para cada processo; dmp2raw: converte um arquivo dump de falha de sistema em um arquivo de dump da memria; dmpchk: exibe as informaes de um arquivo dump de falha; files: lista os arquivos abertos para cada processo; hibinfo: converte o arquivo de hibernao em arquivo de dump da memria; ident: exibe propriedades do arquivo de dump da memria, tais como: nome do arquivo, tipo do sistema operacional e hora de criao do arquivo; memdmp: extrai a memria endereada de um processo; memmap: exibe o mapa de memria; modscan: busca mdulos com os atributos de nome, base e tamanho; modscan2: exibe as mesmas informaes da opo modscan; modules: exibe a lista com os mdulos carregados; procdump: extrai o contedo de um processo para um arquivo executvel; pslist: exibe a lista de processos em execuo; psscan: busca por objetos EPROCESS; psscan2: exibe as mesmas informaes da opo psscan; regobjkeys: lista as chaves de registro abertas para cada processo; sockets: lista as sockets abertos, contendo os atributos PID, porta, cdigo do protocolo e data de criao; sockscan: busca por sockets abertos; sockscan2: exibe as mesmas informaes da opo sockscan; strings: realiza a correspondncia entre os deslocamentos fsicos e os endereos virtuais; thrdscan: busca por objetos ETHREAD; thrdscan2: exibe as mesmas informaes da opo thrdscan; vaddump: extrai as sees VAD (Virtual Address Descriptors) para um arquivo; vadinfo: extrai as informaes VAD; vadwalk: percorre a rvore VAD.

A Figura 6.8 apresenta a listagem de processos em execuo obtida com a opo pslist. importante notar a presena de dois processos na lista abaixo: cmd.exe e mdd_1.3.exe, que so produtos do processo de coleta. Alm deles, deve-se destacar o uso de criptograa (truecrypt.exe) e de mquinas virtuais (VMWareUser.exe), que podem ser ameaas ao exame pericial e exigem uma coleta mais cuidadosa.

Figura 6.8. Listagem de processos exe execuo com o volatility

6.14. Ferramentas para anlise direta

Esta seo apresenta um conjunto de ferramentas e comandos do sistema operacional para realizar a coleta de dados com o sistema em execuo. Essa abordagem se ope quela da anlise do dump de memria. Cabe lembrar que a execuo dessas ferramentas, invariavelmente, gerar alteraes na memria do sistema e seu uso deve ser documentado detalhadamente. 6.14.1. Comandos do sistema operacional Os sistemas Windows disponibilizam alguns comandos que podem ser utilizados para diagnosticar e resolver problemas do computador, alm de servirem para coletar dados de interesse. Alguns comandos teis aos procedimentos de coleta de dados so: cmd, time, date, echo, ipconfig, netstat e tasklist. Parte desses comandos exige privilgios de administrador do sistema para serem executados. Para a coleta de dados, no aconselhvel que se utilize o cmd.exe do sistema investigado, que pode responder de forma imprevisvel por estar comprometido por algum rootkit instalado na mquina. O kit de coleta de dados utilizado pelo analista deve conter uma cpia do cmd.exe sabidamente convel, para que os comandos ali executados tenham a resposta correta e esperada. Regedit O editor de registros do Windows possibilita a realizao de cpia das chaves da mquina local e do usurio atual com o comando a seguir. O resultado gravado em

formato texto no arquivo fornecido como parmetro. A Figura 6.9 apresenta a sada do comando. regedit / e registro . txt

Figura 6.9. Sada do comando regedit /e

Outros comandos de sistema do Windows nome do computador, nome do usurio da sesso, data e hora do sistema e lista de arquivos recentemente abertos pelo usurio da sesso podem ser executados, conforme especicado a seguir. Todos os resultados so adicionados ao arquivo_de_sada.txt. echo % COMPUTERNAME % > arquivo_de_sada . txt e c h o %USERNAME% > a r q u i v o _ d e _ s a d a . t x t d i r "% U s e r P r o f i l e %\ R e c e n t " > a r q u i v o _ d e _ s a d a . t x t date / t > arquivo_de_sada . txt time / t > arquivo_de_sada . t x t A lista de processos e servios em execuo pode ser obtida com o comando tasklist. A Figura 6.10 apresenta a sada do comando. t a s k l i s t /V O comando netstat fornece informaes sobre conexes de rede, como as portas abertas por processos e as conexes estabelecidas. Um exemplo do comando exibido na Figura 6.11. n e t s t a t ano Informaes sobre as interfaces de rede, incluindo endereos fsicos e endereos IP em uso, podem ser obtidas com o uso do comando ipconfig. A sada exibida na Figura 6.12. ipconfig / all

Figura 6.10. Sada do comando tasklist /V

O comando a seguir apresenta uma lista dos comandos recentemente utilizados pelo usurio. A Figura 6.13 ilustra o comando. doskey / h i s t o r y > a r q u i v o _ d e _ s a d a . t x t 6.14.2. Informaes do sistema Esta seo apresenta utilitrios que obtm informaes do sistema em execuo como arquivos aberto, DLLs carregadas, usurios registrados, data de instalao, dentre outras.

Handle v3.45 Utilitrio que mostra a relao de processos com arquivos e pastas abertos. Pode ser executado em sistemas Windows XP ou mais recentes. Necessita ser executado por usurio com poderes de administrador do sistema. h a n d l e a c c e p t e u l a > a r q u i v o _ d e _ s a d a . t x t

Figura 6.11. Exemplo do comando netstat

ListDLLs v3.0 Este utilitrio relaciona as DLLs carregadas no sistema. Pode ser executado em sistemas Windows XP ou mais recentes, retornando o nome completo dos mdulos carregados. Alm disso, sinaliza as DLLs que apresentam nmero de verso diferente dos seus arquivos correspondentes gravados em disco (isso ocorre quando um arquivo atualizado depois que o programa carrega suas DLLs), podendo ainda informar quais DLLs foram realocadas. listdlls

PsFile v1.02 Este utilitrio de linha de comando mostra os arquivos que foram abertos remotamente. Pode ser executado em sistemas Windows XP ou mais recentes. p s f i l e a c c e p t e u l a

PsInfo v1.77 Ferramenta de linha de comando que retorna informaes importantes sobre o sistema, incluindo tipo de instalao, usurio registrado, organizao, nmero e tipo de processador, quantidade de memria fsica, data de instalao do sistema, entre outras. Pode ser executado em sistemas Windows XP ou mais recentes. p s i n f o a c c e p t e u l a

PsList v1.29 Ferramenta de linha de comando que lista os processos em execuo. Pode ser executado em sistemas Windows XP ou mais recentes.

Figura 6.12. Exemplo do comando ipconfig /all

p s l i s t a c c e p t e u l a

PsLoggedOn v1.34 Este utilitrio permite determinar quem est utilizando ativamente o sistema, seja localmente ou remotamente. Pode ser executado em sistemas Windows XP ou mais recentes. psloggedon a c c e p t e u l a

pclip Copia o contedo da rea de transferncia. pclip > arquivo_de_sada . txt 6.14.3. Navegadores de Internet Esta seo apresenta utilitrios que extraem informaes dos navegadores de Internet como histrico de navegao, senhas gravadas, arquivos temporrios do cache e buscas realizadas. IEHistoryView v1.61 Utilitrio que permite visualizar as pginas acessadas com o navegador Internet Explorer. iehv / s t e x t arquivo_de_sada . t x t

Figura 6.13. Exemplo do comando doskey /history

MozillaHistoryView v1.35 Programa utilitrio que permite visualizar as pginas acessadas com o navegador Mozilla Firefox. mozillahistoryview / stext arquivo_de_sada . txt

ChromeHistoryView v1.00 Utilitrio que permite visualizar as pginas acessadas com o navegador Google Chrome. A Figura 6.16 apresenta um exemplo da sada na tela. chromehistoryview / s t e x t arquivo_de_sada . t x t

IE PassView v1.26 Utilitrio que revela as senhas armazenadas pelo navegador Internet Explorer, suportando desde a verso 4.0 at a 9.0. iepv / s t e x t arquivo_de_sada . t x t ChromePass v1.20 Utilitrio que revela as senhas armazenadas pelo navegador Google Chrome. ChromePass / s t e x t a r q u i v o _ d e _ s a d a . t x t

PasswordFox v1.30 Utilitrio que revela as senhas armazenadas pelo navegador Mozilla Firefox, suportando qualquer verso do Windows 2000, XP, Server 2003, Vista, at o Windows 7. Caso uma senha mestre esteja sendo utilizada para proteger as senhas, ela pode ser especicada pelo parmetro /master. Caso ela seja desconhecida, no ser possvel recuperar as senhas. Ao contrrio do Google Chrome, o Firefox permite armazenar senhas incorretas. A Figura 6.17 exibe a tela do aplicativo.

Figura 6.14. Sada do aplicativo handle

Figura 6.15. Sada do aplicativo ListDLLs

Figura 6.16. Tela do aplicativo ChromeHistoryView

Figura 6.17. Tela do aplicativo PasswordFox

passwordfox / s t e x t arquivo_de_sada . t x t

MyLastSearch v1.50 Utilitrio que permite para visualizar os ltimos termos pesquisados em diversos programas de busca (Google, Yahoo e MSN) e em sites de redes sociais (Twitter, Facebook, MySpace). A Figura 6.18 ilustra os resultados obtidos com esta ferramenta. No caso de buscar realizadas com o recurso de resultados instantneos, como no navegador Google Chrome, uma busca registrada para cada letra digitada. mylastsearch / stext arquivo_de_sada . txt 6.14.4. Mensageria e comunicao Utilitrios que extraem informaes de aplicativos de mensageria e comunicao so apresentados nesta seo, incluindo registros de conversas, ligao utilizando VoIP e senhas gravadas. SkypeLogView v1.21 Este utilitrio acessa os arquivos de log criados pelo Skype e mostra detalhes, como chamadas realizadas ou recebidas, mensagens de chat e transferncias de arquivos. A Figura 6.19 ilustra os resultados obtidos com essa ferramenta. skypelogview / s t e x t arquivo_de_sada . t x t

MessenPass v1.42 Utilitrio que permite a recuperao de senhas do usurio atualmente ativo no sistema e somente funciona se o usurio congurar o programa para salvar as senhas utilizadas. Os programas de mensagem instantnea suportados so os seguintes: MSN Messenger, Windows Messenger (em Windows XP), Windows Live Messenger (em Windows XP/Vista/7), Yahoo Messenger (verses 5.x e 6.x), Google Talk, ICQ Lite (verses 4.x/5.x/2003), AOL Instant Messenger (verso 4.6 ou abaixo, AIM 6.x e AIM Pro), Trillian, Trillian Astra, Miranda, GAIM/Pidgin, MySpace IM, PaltalkScene e Digsby. mspass / s t e x t a r q u i v o _ d e _ s a d a . t x t

Figura 6.18. Tela do aplicativo MyLastSearch

Mail PassView v1.73 Este utilitrio pode ser executado em qualquer verso do Windows, desde a verso 98 at o Windows 7, e permite recuperar senhas de programas de e-mail, tais como: Outlook Express, Microsoft Outlook 2000 (POP3 e SMTP), Microsoft Oulook 2002/2003/2007/2010 (POP3, IMAP, HTTP e SMTP), Windows Mail, Windows Live Mail, IncrediMail, Eudora, Netscape 6.x/7.x (se a senha no estiver criptografada com senha mestre), Mozilla Thunderbird (se a senha no estiver criptografada com senha mestre), Group Mail Free, Yahoo! Mail (se a senha estiver salva em alguma aplicao do Yahoo! Messenger) e Gmail (se a senha estiver salva na aplicao Gmail Notier, Google Desktop ou Google Talk). mailpv / s t e x t arquivo_de_sada . t x t

Figura 6.19. Tela do aplicativo SkypeLogView

6.14.5. Dispositivos Informaes sobre dispositivos USB, conexes sem o, volumes criptografados e mquinas virtuais podem ser extradas com o auxlio dos utilitrios apresentados nesta seo. WirelessKeyView v1.35 Utilitrio que recupera as senhas de internet sem o (WEP/WPA) armazenadas no computador, em sistemas Windows XP e Vista. wirelesskeyview / stext arquivo_de_sada . txt

USBDeview v1.89 Utilitrio que lista os dispositivos USB conectados ao computador, bem como aqueles que estiveram conectados recentemente. usbdeview / s t e x t a r q u i v o _ d e _ s a d a . t x t

Encrypted Disk Detector (EDD) 1.2.0 Ferramenta de linha de comando que verica a presena de volumes criptografados para os programas TrueCrypt, PGP, Safeboot (McAfee Endpoint Encryption) e Bitlocker. O programa foi testado pelo desenvolvedor em sistemas Windows XP, Vista e 7 (32 e 64 bits), necessitando de apenas 40 KB de espao em disco e, aproximadamente, 3 MB de memria. Atualmente, o programa disponi-

Figura 6.20. Tela do aplicativo usbdeview

bilizado gratuitamente. A Figura 6.21 apresenta um exemplo em que no foi detectado qualquer volume criptografado. edd120 . e x e / b a t c h a r q u i v o _ d e _ s a d a . t x t

Figura 6.21. Sada do aplicativo EDD

ScoopyNG v1.0 Este utilitrio combina as tcnicas de outras duas ferramentas mais antigas, ScoobyDoo e Jerry, e incorpora algumas novas tcnicas para determinar se o sistema operacional corrente est sendo executado dentro de uma mquina virtual VMware ou em um sistema nativo. O aplicativo funciona em qualquer CPU moderna, independentemente do nmero de processadores utilizados. Alm disso, capaz de detectar a presena do VMware mesmo quando utilizados mecanismos anti-deteco. scoopyng > a r q u i v o _ d e _ s a d a . t x t 6.14.6. Ferramentas auxiliares As ferramentas apresentadas nesta seo auxiliam o trabalho pericial na manipulao dos resultados gerados pelas demais ferramentas.

strings v2.41 Utilitrio que permite a extrao de caracteres UNICODE (ou ASCII) em arquivos, incluindo arquivos executveis e DLLs. s t r i n g s a c c e p t e u l a a r q u i v o _ d e _ e n t r a d a

grep Este um aplicativo de linha de comando proveniente de sistemas Unix/Linux, capaz de fazer buscas no contedo de arquivos ou sadas de outros comandos executados, estando tambm disponvel para ambiente Windows. O quadro a seguir apresenta dois exemplos de utilizao. No primeiro, realizada a procura pela palavra "truecrypt"nos processos listados pelo comando pslist. A opo -i faz com que a diferena entre letras maisculas e minsculas seja ignorada. No segundo, feita a procura pela palavra "truecrypt"no arquivo teste.txt. p s l i s t | grep i t r u e c r y p t grep i t r u e c r y p t t e s t e . t x t

fsum v2.52 Utilitrio de linha de comando para vericar a integridade de arquivos. Permite a escolha entre vrias funes de hash. O quadro a seguir apresenta trs exemplos. No primeiro, a ferramenta executada sobre a pasta "Resultados", de forma recursiva (-r), e a sada gravada no arquivo hashes.txt. No segundo, a ferramenta calcula o hash do arquivo hashes.txt, salvando o resultado em hash_do_hashes.txt. No terceiro, pedida a vericao (-c) dos hashes contidos no arquivo hashes.txt, mostrando apenas eventuais falhas de vericao na tela (-jf). fsum d " . \ R e s u l t a d o s " r s h a 2 5 6 > h a s h e s . t x t fsum d " . " h a s h e s . t x t > h a s h _ d o _ h a s h e s . t x t fsum j f c h a s h e s . t x t Entre as ferramentas citadas, as distribudas pela empresa Nirsoft so as seguintes: IEHistoryView v1.60, MozillaHistoryView v1.31, MyLastSearch v1.50, SkypeLogView v1.21, MessenPass v1.41, Mail PassView v1.72, IE PassView v1.26. Todas elas podem ser executadas em linha de comando sem utilizao de interface grca, podendo o resultado da pesquisa ser direcionado para um arquivo de texto (/stext arquivo.txt), para um arquivo HTML (/shtml arquivo.html), para um arquivo XML (/sxml arquivo.xml) ou outros formatos, que podem ser consultados no site da Nirsoft. Os utilitrios so distribudos gratuitamente, podendo ser utilizados livremente para uso particular ou empresarial, desde que no haja ns lucrativos ou cobranas de qualquer natureza para recuperar senhas de eventuais clientes, a no ser com autorizao expressa dos autores do software. Os aplicativos podem ser livremente distribudos, desde que todos os arquivos do pacote sejam includos sem qualquer modicao e que no haja nenhum tipo de cobrana nanceira. Algumas ferramentas de linha de comando da Microsoft Sysinternals costumam retornar uma janela perguntando se o usurio aceita as condies da licena de uso. O inconveniente dessa janela que a coleta automatizada ca interrompida at que o usurio aceite ou no a licena do software. Para evitar este inconveniente em uma ferramenta

automatizada de linha de comando, em que os resultados so dirigidos a um arquivo para anlise posterior, deve ser utilizada a opo -accepteula logo aps o comando, aceitando, assim, as condies da licena e evitando o aparecimento da janela. Algumas vezes, os aplicativos utilizados para ns periciais so classicados incorretamente como vrus ou cavalos-de-troia pelos antivrus eventualmente instalados na mquina em anlise. Isso devido ao fato de algumas das ferramentas recuperarem informaes sensveis, como senhas, chaves de instalao e registros do Windows. Logo, esse comportamento considerado suspeito pelos antivrus. Assim, recomendvel que se desabilite qualquer antivrus instalado antes de iniciar a coleta dos dados, quando possvel.

6.15. Consideraes nais

A anlise de memria RAM tem ser tornado parte importante de qualquer investigao forense computacional, permitindo o acesso aos dados volteis no encontrados em uma imagem de disco rgido. Apesar dos recentes progressos da anlise de memria, as diculdades ainda so grandes, devido falta de exibilidade das ferramentas existentes, que geralmente s podem ser utilizadas nos sistemas operacionais especcos e respectivas verses para os quais foram codicadas. Como citado anteriormente, a abordagem forense tradicional consiste em retirar o cabo de energia da mquina suspeita, para analisar os dados presentes na mdia de armazenamento posteriormente, em laboratrio. Esta tcnica pode levar perda de importantes evidncias presentes nos dados volteis, devido ao crescente uso de criptograa de disco e de sistema. No caso de utilizao de criptograa, principalmente de disco, conseguir acesso aos dados com o sistema ainda ligado de vital importncia. Alm disso, h uma forte tendncia a se utilizar armazenamento remoto de dados, em servidores remotos, por meio de conexes de rede ou Internet. Neste caso, o desligamento precoce do sistema pode inviabilizar a coleta de dados remotos que esto acessveis somente naquele momento. Um dos princpios mais importantes da percia o Princpio da Troca de Locard, que, adaptado Informtica Forense, arma que ocorrem mudanas em um sistema de informtica ativo, simplesmente pela passagem do tempo. Isso ocorre devido aos processos que esto em execuo, aos dados que esto sendo gravados na memria ou apagados, s conexes de rede sendo criadas ou nalizadas, e assim por diante. Se as mudanas ocorrem simplesmente pela passagem do tempo, so agravadas quando o investigador executa seus programas de coleta de dados. Anal, a execuo de ferramentas no sistema provoca o seu carregamento na memria RAM, sobrescrevendo outros dados ali presentes. A coleta de dados em computadores ligados deve ser realizada com impacto mnimo sobre a integridade do sistema. H pouco tempo, os resultados obtidos dessa forma no eram bem aceitos na Justia, devido interferncia do analista forense no sistema original. Entretanto, no h mais como fugir dessas tcnicas, para que no haja perda denitiva de informaes valiosas. A cadeia de custdia deve ser criteriosamente documentada, com a ajuda de hashes do material coletado, utilizao de fotograas e lmagens e presena de testemunhas durante a coleta. Pequenas interferncias no sistema podem e devem ser aceitas, desde que bem documentadas, com o objetivo maior de preservar a informao vital para a investigao e para o processo judicial.

A computao forense uma rea que evolui rapidamente. Como consequncia, os crimes de informtica tambm evoluem na mesma proporo. Mais ainda, os sistemas de informtica evoluem em velocidade superior das ferramentas de anlise desenvolvidas. Apesar da intensa pesquisa realizada nos ltimos anos, a captura e a anlise da memria fsica em sistemas operacionais baseados em Windows ainda est em um estgio inicial de compreenso e desenvolvimento e ainda no existe uma tcnica totalmente eciente. Apesar disso, a anlise live capaz de recuperar informaes valiosas que, de outra maneira, seriam perdidas se fosse utilizada a tcnica de retirar o cabo de energia. altamente recomendvel que a anlise tradicional, baseada em disco rgido, seja complementada com a anlise live, que est se tornando cada vez mais importante e, em alguns casos, determinante, na medida em que as ferramentas de captura e anlise se tornam mais sosticadas e ecientes.

Referncias
Adelstein, F. (2006). Diagnosing your system without killing it rst. Communications of the ACM, 49:6366. Anson, S. and Bunting, S. (2007). Mastering Windows Network Forensics and Investigation. Sybex. Aquilina, J. M., Casey, E., and Malin, C. H. (2008). Malware Forensics - Investigating and Analyzing Malicious Code. Syngress. Beebe, N. L. and Clark, J. G. (2005). A hierarchical, objectives-based framework for the digital investigations process. Digital Investigation, 2(2):147167. Carrier, B. (2006). Risks of live digital forensic analysis. Communications of the ACM, 49:5661. Carrier, B. D. and Spafford, E. H. (2005). Automated digital evidence target denition using outlier analysis and existing evidence. In Digital Forensic Research Workshop (DFRWS). FTK Imager (2011). <http://accessdata.com/support/adownloads>. ltimo acesso em 22/09/2011. Hay, B., Nance, K., and Bishop, M. (2009). Live analysis: Progress and challenges. digital forensics. IEEE Security and Privacy, 7:307. Hoelz, B. W. P. (2009). Madik: Uma abordagem multiagente para o exame pericial de sistemas computacionais. Masters thesis, Universidade de Braslia, Braslia. Huebner, E., Bem, D., and Bem, O. (2003). Computer Forensics: Past, Present And Future. Information Security Technical Report, 8(2):3236. Mandia, K., Prosise, C., and Pepe, M. (2003). Incident Response & Computer Forensics. McGraw-Hill, 2nd edition. MANDIANT Memoryze (2011). <http://www.mandiant.com/products/ free_software/memoryze>. ltimo acesso em 22/09/2011.

MDD (2011). <http://sourceforge.net/projects/mdd>. ltimo acesso em 22/09/2011. Microsoft Sysinternals (2011). <http://technet.microsoft.com/ sysinternals>. ltimo acesso em 22/09/2011. NetMarketShare (2011). <http://www.netmarketshare.com/>. ltimo acesso em 23/09/2011. Nirsoft (2011). <http://www.nirsoft.com/>. ltimo acesso em 22/09/2011. Palmer, G. (2001). A Road Map for Digital Forensic Research. Technical Report DTR T001-01 FINAL, DFRWS. Report from the First Digital Forensic Research Workshop (DFRWS). Reith, M., Carr, C., and Gunsch, G. (2002). An Examination of Digital Forensic Models. International Journal of Digital Evidence, 1(3). Rogers, M. K., Mislan, R., Goldman, J., Wedge, T., and Debrota, S. (2006). Computer forensics eld triage process model. In Conference on Digital Forensics, Security and Law, pages 2740. Ruibin, G. and Gaertner, M. (2005). Case-Relevance Information Investigation: Binding Computer Intelligence to the Current Computer Forensic Framework. International Journal of Digital Evidence, 4(1). Turner, P. (2005). Digital provenance - interpretation, verication and corroboration. Digital Investigation, 2:4549. Volatility (2011). <https://www.volatilesystems.com/default/ volatility. ltimo acesso em 22/09/2011.