Você está na página 1de 52

ndice

I. Introduo a Computao Forense

II. Manipulao de Evidncias

III. Busca de Diretrios

IV. Anlise de Arquivos

V. Auditoria no Windows

VI. Recuperao de Arquivos

VII. Anlise de Criptografia

VIII. Anlise de Esteganografia

IX. Quebra de Senhas

X. Auditoria no Android
Prefcio
Ol! com grande satisfao que apresento mais esse curso de
computao feito pelo canal Fbrica de Noobs. Nesta apostila, abordaremos
um tema de extrema importncia no mundo atual, principalmente na rea
policial: a computao forense.
A computao forense pode ser definida pelo conjunto de prticas
adotadas para a preservao, coleta, validao, identificao, anlise,
interpretao, documentao e apresentao de evidncias digitais que
possuam validade em juzo.
Tais evidncias podem ser teis para o levantamento de provas a
respeito da ocorrncia ou no de crimes virtuais, e devem ser analisadas de
acordo com procedimentos que impeam a sua deteriorao. A computao
forense til na soluo de crimes como invases, fraudes financeiras,
pornografia ilegal, quebra de direitos autorais, spam, cyberbulling, entre
outros.
Este curso tem por objetivo apresentar de forma simples, informal e
acessvel os princpios da computao forense atravs de experincias
prticas com programas do ramo. No visa a formao profissional, mas sim
a introduo de pessoas iniciantes e interessadas no ramo.
Todos os programas apresentados so relacionados a seus respectivos
links de download e esto disponveis em verso grtis (completa ou demo).
Eles tambm podem ser encontrados na biblioteca do MEGA
(https://mega.nz#F!fQcV2IqR!e8iOoBMpVmitVq4ocajL4A) e no pack que
acompanha esta apostila.
Para melhor entendimento do curso, recomendo dispor de alguns
materiais para serem usados como cobaias por voc para testar as
ferramentas apresentadas nele. Principalmente unidades de memria, como
HDs e cartes de memria. Caso esteja animado o bastante, vasculhar um
lixo de uma loja de informtica pode dar bons resultados.
Tambm interessante (mas no obrigatrio) possuir os cabos e
conversores para a anlise desses materiais. Um conjunto de cabos USB e
um kit de converso IDE/SATA dever ser suficiente.

Dispondo ou no dos materiais adequados, fundamental que voc


procure se aprofundar por conta nos tpicos apresentados, explorar outras
ferramentas e testar recursos novos daquelas j apresentadas.
Espero que esse curso lhe traga uma experincia positiva e sirva para
adquirir novos conhecimentos. Confira tambm as vdeo-aulas a serem
gravadas no canal, e sinta-se livre para sugerir novos contedos.
I. Introduo Computao Forense

O processo de investigao forense comea com a ocorrncia de um


crime e a constatao da existncia de evidncias digitais, como discos
rgidos, computadores, unidades USB, celulares, entre outros.
Uma vez autorizado, deve-se inicia-lo a partir da busca e da apreenso
de tais evidncias, seguida pela produo de cpias das mesmas e
autenticao, visando garantir a originalidade de tais cpias em relao
evidncia original.
Aps tais procedimentos, inicia-se a investigao em si, na qual as
evidncias devem ser analisadas utilizando uma gama de programas do
gnero. Todas as descobertas feitas nessa fase devem ser registradas em um
relatrio, que ser posteriormente apresentado em julgamento.
O processo de investigao envolve no s a anlise das evidncias,
mas tambm a montagem de um ambiente de trabalho equipado com os
recursos de software (programas de computao forense) e hardware (cabos
e adaptadores) necessrios para o caso.
Tambm preciso definir se a investigao ser feita individualmente
ou em equipe, e a mesma dever estar em conformidade com a legislao
vigente.
Uma evidncia dever, obrigatoriamente, apresentar as seguintes
caractersticas:
Admissvel: dever reunir condies de ser apresentadas em um
tribunal;
Completa: no suficiente coletar evidncia que fornece
apenas uma perspectiva do fato;
Autntica: evidncias autnticas so aquelas que apresentam
nexo de causalidade com o fato investigado de forma relevante;
Confivel: os procedimentos de coleta e anlise no devem
causar dvidas de sua autenticidade e veracidade;
Acreditvel: a evidncia deve ser clara, fcil de entender e que
faa com que um jri acredite nela.
Por definio, evidncia digital uma informao de valor probatrio
armazenada ou transmitida em formato digital e que pode ser utilizada em
um processo judicial. Ela pode estar presente em quase todos os tipos de
dispositivos eletrnicos, como mostra o diagrama acima;
Alm disso, podemos classific-las principalmente em funo de sua
volatilidade: quanto mais voltil uma evidncia, maior a possibilidade de ser
perdida ou alterada durante a investigao. Cache e memrias de curto prazo
entram nessa categoria. J discos rgidos e CDs so considerados evidncias
no-volteis.
II. Manipulao de Evidncias
Uma vez em posse da evidncia, necessrio iniciar sua anlise. Em
uma investigao real, jamais deve-se realizar procedimentos na evidncia
original, mas sim em uma cpia bit-a-bit da mesma. Porm, antes de entender
o procedimento de cpia, ser necessrio entender a autenticao das
mesmas.
Vale ressaltar que o processo citado abaixo absolutamente
desnecessrio em uma situao informal, como uma tentativa de recuperar
arquivos deletados acidentalmente de um disco rgido.
possvel se certificar de que um arquivo uma cpia exata de outro
atravs da comparao de hash. Uma hash uma sequncia de caracteres que
corresponde ao produto da insero do arquivo sobre um algoritmo. Dessa
forma, se apenas um bit for alterado do arquivo original, a hash resultante
ser diferente.
Caso queira estudar mais sobre funes hash, recomendo assistir ao
seguinte vdeo https://www.youtube.com/watch?v=ZTJEWeWRUkc.
Podemos comparar hashes de arquivos utilizando o QuickHash-
Windows-v2.6.9.2, que pode ser baixado de forma gratuita em
https://sourceforge.net/projects/quickhash/?source=typ_redirect.
A hash de um arquivo pode ser obtida na aba File. Basta escolher o
algoritmo desejado e observar sua hash correspondente.

possvel tambm obter a hash de todos os arquivos presentes em um


diretrio utilizando a aba FileS, com funcionamento de forma semelhante.

Essa ferramenta pode ser til para encontrar um arquivo diferente dos
demais em um diretrio repleto de arquivos aparentemente iguais, como no
exemplo abaixo.
O programa conseguiu facilmente reconhecer o arquivo modificado
com base no valor de sua hash.

A aba Compare Two Files permite comparar arquivos e verificar se


eles so exatamente os mesmos atravs de sua hash. Observe a seguir dois
resultados diferentes.

Temos ainda a opo Compare Directories, que pode ser usada para
comparar dois diretrios entre si e procurar por diferenas de hash ou nmero
de arquivos.
Caso queiramos obter a hash de um conjunto de arquivos, seja ele uma
pasta, diretrio ou unidade inteira, podemos faz-lo utilizando o AccessData
FTK Imager, que pode ser baixado gratituiamente em
http://accessdata.com/product-download/digital-forensics/ftk-imager-
version-3.4.2.

De posse do programa, podemos inserir evidncias (que podem ser


pastas, discos fsicos ou parties lgicas) e obter suas hashes atravs da
funo Verify Drive/Image.

O processo pode demorar para unidades maiores, e retorna suas


respectivas hashes ao final do processo.
O mesmo programa tambm pode ser usado para realizar cpias bit-a-
bit de unidades. importante relevar que uma cpia bit-a-bit difere de uma
cpia comum no quesito de dados copiados: a segunda opo ir copiar
apenas os arquivos visveis e manipulveis, enquanto que a primeira copiar
todos os bits do volume.
Podemos fazer isso utilizando a opo Create Disk Image e inserindo
a unidade desejada. Por questes de compatibilidade com outras ferramentas
(o Autopsy realmente fresco nesse sentido), recomendo utilizar o formato
E01 e no fragmentar a imagem, conforme o exemplo.

O processo tambm tende a demorar, e ao final deve gerar uma cpia


exata dos bits presentes na unidade original. Lembre-se de comparar as
hashes com futuras cpias da evidncia.
Aps a criao da imagem, so gerados dois arquivos: a imagem em
si e um log, contendo informaes valiosas sobre sua procedincia.
importante que os dois sejam guardados no sistema.

Caso desejarmos explorar o contedo de uma imagem, podemos


mont-la como uma mdia removvel atravs de programas como o
OSFMount, que pode ser baixado em
http://www.osforensics.com/tools/mount-disk-images.html. A montagem
intuitiva e a unidade montada apresentar a mesma aparncia da unidade
original.
III. Busca de Diretrios
Durante uma investigao, comum nos depararmos com uma
unidade repleta de diretrios para serem analisados, nos quais preciso
buscar apenas por determinados arquivos. Por exemplo, imagine que temos
um HD suspeito de armazenar pornografia infantil e precisamos localizar
apenas os arquivos de mdia (imagem e vdeo) para posteriormente
classific-los em provas do crime ou arquivos comuns.
Sem o uso de ferramentas adequadas, essa tarefa pode se tornar rdua
ainda mais considerando a existncia de vrias pastas e diretrios.
O WinDirStat uma ferramenta grtis
(https://sourceforge.net/projects/windirstat/) que nos d uma representao
grfica dos arquivos que mais ocupam espao num diretrio e pode ser
extremamente til para busca de arquivos suspeitos.

O grfico na parte inferior mostra sua distribuio, na qual cada cor


relacionada com uma extenso de arquivo exibido no canto superior
esquerdo.
Clicando em um deles, somos imediatamente direcionados para a
lolizao do arquivo em questo.

Outra forma interessante de listar arquivos com os comandos tree e


dir no Prompt de Comando do Windows. O primeiro exibe todos os arquivos
presentes em um diretrio na forma de rvore, onde podemos ver claramente
a organizao de pastas.

J o ltimo exibe todas as pastas de um diretrio de uma forma um


pouco mais compacta.
Existem ainda mais duas ferramentas com funes semelhantes que
podem ser utilizadas para explorao de diretrios.
A primeira delas o Total Commander (https://www.ghisler.com),
que permite buscarmos arquivos em diretrios conforme filtros de data,
tamanho, atributos e tipos de arquivo.

Basta configurarmos os filtros corretos e iniciar a busca para que os


programas enquadrados neles sejam listados na tela.
O programa ainda nos fornece duas janelas de operao, o que permite
uma busca mais rpida e funcional.

Outra ferramenta interessante o File Viewer 9.2, que apesar de ser


um projeto descontinuado, pode ser encontrado no pack que acompanha este
curso.
Ele nos permite buscar arquivos conforme sua extenso, o que pode
economizar uma quantidade considervel de trabalho braal.

Basta definir os critrios de busca e aguardar at que os arquivos


desejados sejam exibidos na barra inferior.
Podemos ainda usar a Copiadora 666
(https://sourceforge.net/projects/copiadora-666/) para copiar arquivos de
determinado tipo entre diretrios.

IV. Anlise de Arquivos


Arquivos, alm de serem provas de eventuais crimes, podem tambm
ser fontes de informaes valiosas.
Um dos programas que permitem tal anlise o OSForensics, que
apesar de pago, possui uma demo disponvel para download em
http://www.osforensics.com/download.html.
A opo File Viewer nos permite obter informaes sobre a data na
qual um arquivo foi criado, acessado e modificado, alm de detalhes sore
seus atribuitos.

Podemos tambm usar a viso em hexadecimal para extrair partes de


texto que podem ser relevantes em uma investigao forense, como
caminhos de arquivos, nomes de programas utilizados e URLs.

Caso no dispionha de um programa como o OSForensic, tambm


possvel obter essas informaes manualmente utilizando um editor
hexadecimal como o Hex Workshop Hex Editor, disponvel para download
em http://www.hexworkshop.com.
Ao abrir um arquivo com o programa, temos acesso ao seu cdigo
hexadecimal e tambm a um inspetor de valores, presente na coluna
esquerda.

Essa parte em especial pode fornecer alguns detalhes importantes,


como o header do arquivo.
O header uma sequncia de caracteres em hexadecimal que indica a
extenso de determinado arquivo. Cada extenso (jpg, png, docx, etc) possui
seu prprio header. No exemplo, ele est presente nos valores associados
com o campo binary.

Segue uma tabela com os headers dos principais tipos de arquivo


encontrados. Note tambm que sempre possvel pesquisar pelo cdigo em
hexadecimal para descobrir sua correspondncia.
Buscar por headers especficos em um cdigo hexadecimal tambm
pode ser til para detectar e quebrar alguns mtodos simples de
esteganografia.
V. Auditoria em Windows
So diversas as situaes em que ocorre a apreenso de um
computador e necessrio analis-lo no s no quesito dos arquivos
armazenados, mas tambm dos processo que esto sendo executados na
mquina.
nesse contexto que entram os programas que permitem procurar por
dados teis em um sistema operacional, como chaves de registro, senhas
armazenadas, histrico de navegao, entre outros.
Por se tratar de dados volteis, importante que os programas forenses
sejam executados a partir de uma unidade externa, de forma a realizar o
mnimo possvel de modificaes no sistema investigado.
Um dos primeiros passos fazer um levantamento completo do
hardware do computador, incluindo placas de vdeo, rede, processadores e
dispositivos perifricos.
Felizmente, existem programas que realizam todo o servio
automaticamente, como o WinAudit (https://winaudit.codeplex.com). Basta
execut-lo e aguardar o processo de auditoria.

Uma vez terminado, basta navegar no menu para obter todo tipo de
informao sobre o computador analisado.
Tambm importante salvar o resultado da auditoria como um arquivo
HTML para futuras consultas.
O registro do Windows um banco de dados do sistema que armazena
todas as configuraes dos aplicativos que instalamos. Qualquer alterao
feita nele ser salva no registro, o que o torna uma importante fonte de
informao para a computao forense.
Ele pode ser facilmente acessado pelo comando regedit e composto
de 5 classes de valores.
So elas:
HKEY_CLASSES_ROOT (HKCR): armazena informaes
que garantem que o programa correto seja iniciado quando
clicado pelo Windows Explorer. Tambm possui detalhes sobre
atalhos.
HKEY_CURRENT_USER (HKCU): contm informaes
sobre o usurio logado atualmente no sistema.
HKEY_LOCAL_MACHINE (HKLM): contm informaes de
hardware sobre mquina em questo, cuja maioria j pode ser
obtida a partir da auditoria.
HKEY_USERS (HKU): contm informaes a respeito de
todos os usurios presentes na mquina, como programas,
configuaes e definies visuais.
HKEY_CURRENT_CONFIG (HCU): armazenas informaes
sobre a atual configurao do sistema.
O registro do Windows basicamente organizado nos seguintes
valores:
Por exemplo, podemos encontrar os programas configurados para se
auto executar no momento da inicializao do Windows em localizaes
como:
HKLM\Software\Microsoft\Windows\CurrentVersion\Runonce
HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Ru
n
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Essas informaes nos permitiro deduzir quais programas so
iniciados automaticamente com o Windows.

Em HCU\Software\Microsoft\Windows\CurrentVersion
\Explorer\UserAssist, podemos encontrar valores relativos aos processos
inciados na mquina por determinado usurio. Para tanto, basta expandir as
pastas e clicar nos valores Count.

Cada um deles dever revelar um conjunto de valores.


Escolhendo um valor arbitrrio, receberemos a seguinte janela:

O texto do campo Nome do valor est encriptado em ROT13 e ao ser


traduzido pode revelar informaes interessantes.
Podemos encontrar detalhes sobre os dispostivios USB que foram
contectados no computador na seo
HKLM\SYSTEM\ControlSet00x\Enum\USBSTOR.

Clicar em uma das chaves nos retorna valores sobre o dispostivo.

Tambm podemos verificar as regras de Firewall e encontrar deetalhes


sobrea aplicaes executadas na mquina em
HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\
FirewallPolicy/FirewallRules.

Outra ferramenta interessante o Regshot


(https://sourceforge.net/projects/regshot/), que permite tirar uma
fotografia do registro naquele momento, e depois comparar com outra.
uma funo interessante para estudar as alteraes que determinados
procedimentos no Windows podem exercer no registro, e facilitar a busca
por determinadas evidncias.
Existem alguns programas que facilitam nossa busca por informaes
de relevncia conhecida e que requerem uma procura mais complexa se
forem levantadas atravs do regedit, como os presentes no kit da Nirsoft.
Cada programa pode ser baixado individualmente em
http://www.nirsoft.net/password_recovery_tools.html e tem funes
prprias. possvel ainda realizar o download de toda a ferramenta em
http://launcher.nirsoft.net/downloads/index.html.
Recomendo gastar algum tempo se familizarizando com todas as suas
funoes. Alm disso, o projeto est em constante desenvolvimento e novas
funes so atualizadas a cada semana.

Com eles possvel, por exemplo, ter acesso todas as senhas


armazenadas no computador.
Ou ao histrico de navegao de pginas da web e arquivos.

Ou ainda um registro das vezes em que o computador foi ligado e


desligado, alm de vrias outras informaes improtantes.

Este captulo no estaria completo sem abordar a investigao dos


processos do Windows. Esse tipo de anlise pode ser til em casos onde
possvel ter acesso ao computador na cena do crime ainda funcionando, ou
em uma situao domstica para se erradicar um malwhare.
Um primeiro reconhecimento pode ser feito pelo prprio Gerenciador
de Tarefas do Windows, e consiste apenas em analisar os programas em
execuo na procura de algo suspeito.

possvel tambm obter uma lista de todos os arquivos e diretrios


que esto associados com determinado processo utilizando o handle,
ferramenta de linha de comando disponvel para download no site da
Microsoft (https://technet.microsoft.com/en-us/sysinternals/handle.aspx).

H tambm outra ferramenta semelhante chamada listdlls


(https://technet.microsoft.com/en-us/sysinternals/bb896656.aspx) que
permite listar todas as DLLs envolvidas com determinado processo.
VI. Recuperao de Arquivos
Justamente em funo de sua ampla utilidade, a rea de recuperao
de arquivos uma das mais populares da computao forense, uma vez que
no til apenas em investigaes, mas em qualquer situao na qual seja
necessrio recuperar arquivos perdidos proposital ou acidentalmente.
Por essa razo, existe uma ampla gama de programas que recuperam
arquivos, desde os voltados para uso domstico at os profissionais, que
contam com funes desnecessrias para o usurio comum.
A recuperao de arquivos s possvel porque, ao deletar um
arquivo, o computador no apaga os valores dos bits relativos ao arquivo
escolhido, mas apenas os marca como passveis de serem sobrepostos.
Dessa forma, um arquivo deletado mesmo a partir de uma
formatao de alto nvel ainda pode ser recuperado facilmente com a ajuda
de programas simples. Nas prximas pginas, abordarei alguns deles.
O primeiro deles o Recuva, que pode ser baixado gratuitamente em
https://www.piriform.com/recuva/download e conta com uma interface
amigvel e funcional.
Pode-se determinar o tipo de arquivo, o diretrio procurado e o nvel
de busca (rpido ou profundo). Os arquivos encontrados devem ser exibidos
na tela em seguida, juntamente com sua dificuldade de recuperao. No
recomendado recuperar um arquivo no mesmo disco em que o arquivo
original foi deletado.

Outro programa de funcionalidade semelhante o Pandora Recovery


(http://www.pandorarecovery.com), que exibe todos os diretrios de um
disco em forma de rvore e destaca os que j foram excludos.
Basta escolher algum e iniciar o processo de recuperao.

Os programas mostrados acima podem ser extremamente funcionais


para usurios domsticos, mas uma investigao forense requer ferramentas
mais robustas capazes, por exemplo, procurar arquivos excludos de uma
imagem de disco.
Uma das melhores ferramentas nessa categoria o Autopsy,
disponvel gratuitamente em http://www.sleuthkit.org/autopsy/. Alm da
busca por arquivos, ele tambm conta com ferramentas de procura por
palavras chave
Assim que iniciado, o programa requer a insero de uma fonte de
dados, que pode ser um disco fsico, um diretrio ou uma imagem. O
procedimento padro que seja inserido uma imagem, a fim de no danificar
a evidncia original.
Em seguida, devemos escolher as opes de anlise para serem
executadas.

Assim que o disco for analisado, ser possvel ter acesso a tudo que
foi encontrado, incluindo arquivos existentes e deletados, palavras-chave e
endereos de e-mail.
Ao navegar por um diretrio, os arquivos que foram apagados sero
destacados. possvel tentar recuperar cada um deles.
Em nvel de arquivos, o programa tambm apresenta um editor
hexadecimal com retorno de strings.

VII. Anlise de Criptografia


A criptografia pode ser definida como o cojunto de tcnicas utilizadas
para se cifrar a escrita, tornando-a ininteligvel para os que no possuem
conhecimento de tais tcnicas.
Existem diversos mtodos de criptografia, desde os mais rudimentares
(como Cifra de Csar) at aqueles que precisariam de um computador
quntico para serem quebrados (como algumas implementaes de RSA).
Recomendo se familizar com eles (e com os abordados no prximo captulo)
atravs da playlist sobre o assunto gravada no canal, disponvel em
https://www.youtube.com/playlist?list=PLIevgZoV2cAi6wQj2J4HGfEqSil
HK8s0M.
Uma forma relativamente popular (e facilmente violvel) de
criptografia so os algortmos de base numrica, como o binrio,
hexadecimal e octal. Eles funcionam substituindo os caracteres do texto por
valores correspondentes na tabela ASCII.

A anlise de tais cifras depende apenas de identificar a cifra utilizada


(ou de tentar todas, se voc for absurdamente ruim). Para isso, consulte a
tabela abaixo e as decifre utilizando o Unit-Conversion.info em
http://www.unit-conversion.info/texttools/.

Para demais criptografias, utilizaremos o CrypTool 1, disponvel em


https://www.cryptool.org/en/cryptool1. O programa permite realizar uma
srie de ataques contra diversos tipos de criptografia, e funciona melhor se
forem adicionados arquivos em txt contendo textos em seu idioma nativo na
pasta CrypTool\reference para servir de referncia em algumas anlises.

Uma mensagem em Cifra de Csar pode ser facilmente quebrada


atravs do mtodo de anlise por frequncia de caracteres.

Outra forma testar as 26 chaves possveis e procurar por uma


sequncia que faa sentido, o que pode ser feito em
http://www.dcode.fr/caesar-cipher.
Caso nenhuma das sequncias corresponda a uma mensagem
compreensvel, provvel que ela esteja cifrada em Vigenre. Tal
criptografia tambm pode ser quebrada de forma semelhante, mas possui
menos chance de sucesso. Nesse ataque, o programa ir retornar possveis
chaves, e cabe ao investigador procurar quais fazem mais sentido.
Note que caso apenas parte do texto descriptografado faa sentido,
provvel que a chave real corresponda a parte da chave indicada pelo
programa.
Existem tambm os mtodos de critpografia moderna como Base64,
Megan35, Feron74, entre outros. Nesse caso, o melhor a se fazer testar
possibilidades utilizando algum servio como o Crypo
(http://crypo.pw/encryptors), pois provvel que a cifra foi codificada nesse
site.

J as sequncias de hash podem ser quebradas em sites como o


HashKiller (https://hashkiller.co.uk/) ou o Crackstation
(https://crackstation.net), mas no podem ser decodificadas. Isso acontece
porque, ao contrrio dos mtodos de criptografia estudados at agora, essas
funes so unidirecionais. Isso significa que possvel criptografar
utilizando um algoritmo, mas no possvel fazer o processo contrrio. Esses
recursos so utilizados, por exemplo, para realizar autenticaes de login ou
armazenar senhas em bancos de dados.

A nica forma de se quebrar uma funo de hash, como MD5 a partir de


um ataque de fora bruta, onde uma lista com possveis senhas e suas
respectivas codificaes comparada com a hash at uma correspondncia
ser encontrada. Logo, uma hash gerada de uma senha forte resistente a
ataques de fora bruta.
Caso no saibamos qual o algortmo utilizado em uma hash, podemos
encontrar pistas dele utilizando o hashID
(https://github.com/davidaurelio/hashids-python) , script feito em Python
que retorna possveis algortmos atravs da quantidade de bits presentes na
funo.

VIII. Anlise de Esteganografia


A esteganografia a tcnica usada para esconder a prpria dentro de
um recipente, normalmente um arquivo que no levante suspeitas.
Tem como objetivo impedir que tais dados ocultos sejam descobertos
por terceiro, e funciona atravs da substituio dos bytes menos relevantes
do arquivo recipente pelos bytes da mensagem real, sem grandes mudanas
na primeira.
Existem diversas ferramentas que possibilitam a esteganografia, desde
as mais simples e identificvei at as mais complexas, feitas com programas
prprios para o assunto.
Por se tratar de um curso sobre computao forense, a abordagem
estar voltada para a idenficao e quebra de mtodos de esteganografia, e
interessante que voc conhea o funcionamento dos mesmos para melhor
compreenso dos procedimentos apresentados.
A anlise de esteganografia pode ser facilitada se um ou mais dos
seguintes fatores forem conhecidos:
Mtodo de esteganografia
Recipiente
Mensagem escondida
As formas mais simples de esteganografia consistem em esconder
mensagens importantes nos detalhes sutis de um arquivo, como por
exemplos nos campos artista e lbum de uma msica.
Tais mensagens podem ser facilmente detectadas analisando-se a aba
Detalhes no meno Propriedades do arquivo. Da, eis a importncia de se
realizar uma anlise atenta em cada detalhe de uma evidncia suspeita.

Outra tcnica simples consiste em inserir uma mensagem em texto


dentro de outro arquivo, que pode ser recuperada abrindo o recipiente pelo
Bloco de Notas.
Mensagens desse tipo podem ser facilmente encontradas efetuando-se
uma busca por strings. No exemplo abaixo, usamos o OSForensics.

J a esteganografia feita utilizando um editor hexadecimal tambm


pode ser facilmente recuperada atravs da busca de possveis headers no
cdigo hexadecimal do arquivo.
Outros tipos de esteganografia (principalmente as feitas a partir de
programas prprios) so mais complexos de se detectar. Porm, tais
programas quase sempre deixam rastros de sua existncia na mquina alvo.
Buscar por eles pode ser uma boa forma de identificar o mtodo de
esteganografia, facilitando o resto da investigao.
Isso pode ser feito atravs de uma busca por palavras-chave
relacionadas a esteganografia. No exemplo abaixo, buscamos por stego na
ferramenta de busca do OSForensics. Recomendo orientar a busca conforme
os nomes dessa lista https://en.wikipedia.org/wiki/Steganography_tools.

Uma vez identificado o programa, podemos pesquisar pelos seus


formatos de sada e procurar arquivos que correspondem a esse formato.
Tambm interessante observar as seguintes ocorrncias:
Arquivos grandes demais para seu formato: uma imagem com
10MB certamente possui algo dentro dela.
Imagens em BMP: alguns programas de ocultao de dados em
imagens costumam retorn-las nesse formato.
Rudos de udio estranhos: possvel fazer esteganografia
atravs de espectogramas, e os resultados retornam udios um tanto
incomuns.
Pixelizao incomum: imagens podem apresentar contornos
diferentes quando so utilizadas como recipiente para
esteganografia.

IX. Quebra de Senhas


Durante o processo de investigao forense frequentemente nos
deparamos com arquivos, parties, discos ou mquinas inteiras protegidas
por senha. Nessas situaes, comum utilizarmos programas para quebrar
tais senhas.
Existem trs tipos de ataques:
Retorno da prpria senha: alguns programas conseguem ser
vulnerveis o bastante para exibir a senha procurada (criptografada
ou no) sem maiores problemas. Pouco comum.
Retorno da hash da senha: a senha em si no armazenada, mas
sim a sua hash corresponde. Comum para hacking de contas de
usurio do Windows, por exemplo.
Ataque de fora bruta: no temos acesso tanto senha quanto
sua hash. necessrio tentar possveis senhas at se obter sucesso.
O Windows costuma armazenar a hash da senha de suas contas de
usurio. Tais hashs podem ser obtidas com programas com o o OSForensics
ou o Cain & Abel (http://www.oxid.it/cain.html).
Note que o programa tambm oferece a possibilidade de crackear
diversos outros servios:

Uma vez obtida a hash, basta quebr-la para se retornar a senha


original. Senhas comuns tem mais chance de serem quebradas com sucesso.

Outra ferramenta semelhante o ophcrack


(https://sourceforge.net/projects/ophcrack/?source=typ_redirect), que
permite realizar a mesma funo a partir da opo Local SAM.
Caso disponhamos de uma mquina cujo acesso ao desktop no est
disponvel, podemos redefinir as senhas de usurio atravs de programas
gravveis em imagens ISO, como o Windows Password Genius
(http://www.isunshare.com/windows-password-genius.html).

Tambm podemos obter as senhas de usurio de uma mquina


recuperando os arquivos presentes nos seguintes diretrios atravs de um live
CD ou um cabo USB.
C:\Windows\system32\config\SAM
C:\Windows\system32\config\SYSTEM

Com os arquivos em mos, basta utilizar a opo Encrypted SAM do


ophcrack na partio em que os mesmos se encontram.
Existem tambm situaes em que necessrio quebrar a senha de um
arquivo, normalmente zipados ou documentos do Office. Esse tipo de ataque
feito atravs da fora bruta, o qual consiste em tentar todas as senhas de
uma lista na expectativa de que uma delas corresponda a senha procurada.

Porm, bastam alguns conhecimentos de anlise combinatria para se


perceber que esse mtodo se torna invivel para senhas mais complexas.
Porm, para senhas simples (poucos caracteres ou palavras de dicionrio)
pode se tornar eficaz.
O primeiro passo lanarmos um ataque criarmos a lista de senhas,
conhecida no vocabulrio tcnico por wordlist. A grosso modo, existem dois
tipos de wordlists: as feitas por combinao pura, e as feitas com base em
um dicionrio. As primeiras so eficazes para senhas curtas, principalmente
numricas. J as segundas podem servir em casos onde a senha em questo
corresponde a uma palavra.
Wordlists do primeiro tipo podem ser facilmente criadas utilizando o
crunch (https://sourceforge.net/projects/crunch-wordlist/), ferramenta nativa
de diversas distribuies Linux e que tambm conta com verso em
Windows.
A sintaxe fundamental do crunch :
crunch mnimo mximo set de caracteres -o arquivo de sada.txt
Em que:
Mnimo e mximo correspondem, respectivamente, a quantidade
mnima e mxima de caracteres nas senhas.
Set de caracteres correspondem aos caracteres que podem ser
utilizados na criao das senhas.
Arquivo de sada corresponde ao arquivo onde a wordlist ser
salva.
Assim, se quisermos criar uma lista com todas as senhas numricas (0
a 9) de 3 a 6 caracteres, usamos:

O arquivo ser salvo no diretrio onde o programa est instalado. Para


lidar com a leitura de listas grandes, recomendo o Em Editor
(http://appnee.com/emeditor-pro-universal-registration-keys-collection/).

J as worldlists de dicionrio podem ser criadas atravs do


WordListCompiler, ferramenta gratuita e eficaz disponvel em http://word-
list-compiler.software.informer.com/download/.
Seu funcionamento simples: adicionamos um arquivo de texto
qualquer e ele procura extrair o mximo possvel de palavras desse texto. Ele
trabalha apenas com arquivos em txt, ento interessante procurar por livros
nesse formato ou convert-los para txt antes de montar a wordlist.
Boas opes de arquivo base so:
Dicionrio;
Bblia;
Best-sellers;
Listas de senhas mais comuns;
Listas de palavres;
Relaes com nomes de pessoas, cidades, times de futebol,
nmeros de telefone.
PDFs, por exemplo, podem ser facilmente convertidos para texto com
o uso do PDF2Text Pilot (http://www.colorpilot.com/extract-pdf-text.html).
Basta adicion-los e iniciar a converso.

Todos os livros so convertidos em arquivos txt, prontos para serem


usados na criao da wordlist. Basta adicion-los no programa e iniciar a
criao.
Uma vez criada, a wordlist j est pronta para ser usada. Lembre-se
que um ataque tem mais chances de ser bem-sucedido se uma boa wordlist
for utilizada.

Voltando ao tema do captulo, podemos realizar ataques de fora bruta


em arquivos com senha utilizando o Passware Kit Professional
(https://www.passware.com/kit-standard-plus/). Uma vez selecionado o
alvo, o programa permite configurar e combinar uma srie de ataques
possveis. Vale lembrar que tais ataques levam tempo, e um ataque bem
configurado pode economizar
Vale lembrar que tais ataques levam tempo, e um ataque bem
configurado pode economizar vrias horas de alto consumo de RAM.
Uma vez configurado, basta rod-lo e aguardar seu resultado.

Dependendo da configurao escolhida, ataques podem levar horas ou


dias para serem concludos, e a nica forma de otimizar tal processo atravs
da aquisio de mais memria RAM. Meu Intel Core i3 com 4GB de RAM
apresentou uma taxa de aproximadamente 105 senhas por segundo.
X. Auditoria no Android
Os smartphones so cada vez mais populares em todo mundo,
realizando no apenas as funes clssicas de um telefone, mas tambm
armazenamento de fotos, envio de e-mails, SMS, agenda e aplicativos. Por
essa razo, celulares tambm so estudados como evidncias forenses.
O trabalho de auditoria em um smartphone pode se tornar rduo caso
o dispositivo no possua root ou a senha de desbloqueio seja desconhecida.
Por essa razo, abordarei nessa apostila os procedimentos forenses para um
dispositivo Android que possua:
Acesso ao root
Senha de desbloqueio conhecida
Primeiramente, ser necessrio instalar os drivers correspondentes
marca do celular no computador. Isso pode ser feito com uma simples busca
no Google.
Em seguida, deveremos ativar as Opes de Desenvolvedor no
aparelho em questo. Para tanto, v em Configuraes > Sobre o telefone e
clique repetidas vezes no campo Nmero da verso.
Uma vez ativadas, v em Programador e marque Depurao USB. Seu
dispositivo estar pronto para ser auditado.
Em seguida, usaremos o Andriller (http://andriller.com) para extrair as
informaes teis. O programa pago, mas por incrvel que parea basta usar
a opo Migrate License para conseguir outra trial.
Uma vez no programa, devemos ligar o dispositivo ao computador via
cabo USB, definir um diretrio, clicar em Check e em seguida clicar em Go!.
Ele comear a realizar a auditoria do aparelho. Caso queira que seja feito o
mesmo no carto de memria, marque Extract Shared Storage.

Assim que o processo for terminado, os resultados sero salvos para


uma pasta previamente identificada.
O relatrio completo da auditoria est presente em REPORT.html. L,
podemos encontrar todas as informaes sobre o dispositivo, como registro
de chamadas, histrico de navegao, contas, logs de aplicativos (Whatsapp
e Facebook) etc.

Podemos ainda descobrir a senha do dispositivo inserindo os valores


presentes nos campos Lockscreen Hash e Lockscreen Salt na opo Crack
PIN (para senhas numricas) ou Crack Password (para senhas de qualquer
tipo). A quebra feita atravs de um ataque de fora bruta.