MODULE 05 - Defeating Anti-Forensics Techniques

Machine Translated by Google
MT
CE-Conselho
D FE
Digital Princípios Forenses
Fundamentos de Perícia Forense Digital Exame 112-53

Derrotando técnicas anti-forense
Objetivos do Módulo
1 Compreendendo as técnicas anti-forenses
2 Compreendendo a exclusão de dados e a análise forense da lixeira
Visão geral das técnicas de gravação de arquivo e maneiras de recuperar evidências de

3 Partições Excluídas
4 Compreendendo as técnicas de cracking/bypassing de senha
Entendendo como detectar esteganografia, dados ocultos no sistema de arquivos

5 Estruturas e Ofuscação de Trilhas
Compreendendo as técnicas de limpeza de artefatos, dados sobrescritos/

6 Detecção de metadados e criptografia
7 Visão geral das contramedidas e ferramentas antiforenses
Copyright © por EC-Council. Todos os direitos reservados. A reprodução é estritamente proibida.
Objetivos do Módulo
Depois de comprometer um sistema, os invasores geralmente tentam destruir ou ocultar todos os vestígios de suas
atividades; isso torna a investigação forense extremamente desafiadora para os investigadores. O uso de várias
técnicas por cibercriminosos para destruir ou ocultar vestígios de atividades ilegais e dificultar os processos de
investigação forense é chamado de antiforense. Os investigadores forenses precisam superar/derrotar os anti-forenses
para que uma investigação produza evidências concretas e precisas que ajudem a identificar e processar os
perpetradores.
Este módulo descreve os fundamentos das técnicas anti-forenses e discute detalhadamente como os investigadores
forenses podem derrotá-los usando várias ferramentas.
Ao final deste módulo, você será capaz de:
ÿ Compreender as técnicas anti-forenses
ÿ Discutir exclusão de dados e análise forense da Lixeira
ÿ Ilustrar técnicas de escultura de arquivo e maneiras de recuperar evidências de partições excluídas
ÿ Explorar as técnicas de cracking/bypass de senha
ÿ Detecte esteganografia, dados ocultos em estruturas do sistema de arquivos e ofuscação de trilhas
ÿ Compreender as técnicas de limpeza de artefatos, detecção de dados/metadados sobrescritos e

criptografia
ÿ Compreender as contramedidas anti-forenses e as ferramentas anti-forenses
Módulo 05 Página 228 Digital Forensics Essentials Copyright © por EC-Council

Todos os direitos reservados. A reprodução é estritamente proibida.

Fluxo do módulo
1 2
Entenda o Anti-Forense e Discutir Anti-forense
suas Técnicas Contramedidas
Entenda o Anti-Forense e suas Técnicas

Conforme discutido anteriormente, as técnicas anti-forense são usadas por cibercriminosos para
complicar ou impedir a investigação forense adequada. Os cibercriminosos empregam essas técnicas
para tornar a coleta de evidências extremamente difícil e comprometer a precisão de um relatório forense.
Esta seção apresenta uma visão geral do anti-forense e lista várias técnicas anti-forenses usadas pelos
invasores.


O que é Anti-forense?
Anti-forense (também conhecido como contra-forense) é um termo comum para um conjunto de técnicas destinadas a
complicar ou impedir um processo de investigação forense adequado
Objetivos da Anti-forense
ÿ Interromper e impedir a coleta de informações
ÿ Dificulta a tarefa do investigador de encontrar evidências
ÿ Ocultar vestígios de crime ou atividade ilegal
ÿ Comprometer a precisão de um relatório forense ou testemunho
ÿ Excluir evidências de que uma ferramenta anti-forense foi executada
O que é Anti-forense?
Anti-forense, também conhecido como contra-forense, é um conjunto de técnicas que invasores ou perpetradores usam
para evitar ou desviar o processo de investigação forense ou tentar torná-lo muito mais difícil. Essas técnicas afetam
negativamente a quantidade e a qualidade das evidências da cena do crime, dificultando o processo de investigação
forense.
Portanto, o investigador pode ter que executar etapas adicionais para buscar os dados, causando um atraso no
processo de investigação.
Os objetivos da anti-forense estão listados abaixo:
ÿ Interromper e impedir a recolha de informação
ÿ Dificultar a tarefa do investigador de encontrar provas
ÿ Ocultar vestígios de crime ou atividade ilícita
ÿ Comprometer a exatidão de um relatório ou testemunho forense
ÿ Excluir evidências de que uma ferramenta anti-forense foi executada


Técnicas Anti-Forenses
1 Exclusão de dados/arquivos 7 Sobrescrevendo Dados/Metadados
2 Proteção de senha
8 Criptografia
3 Esteganografia 9 Empacotadores de programas
4 Ocultação de dados em estruturas de sistema de arquivos 10 Minimização da Pegada
5 Ofuscação de trilha
11 Explorando bugs de ferramentas forenses
6 Limpeza de Artefatos 12 Detecção de atividades de ferramentas forenses
Técnicas Anti-Forenses
Técnicas anti-forenses são as ações e métodos que impedem o processo de investigação forense, a fim de proteger os atacantes
e perpetradores de processos judiciais em um tribunal.
Essas técnicas agem contra o processo de investigação, como detecção, coleta e análise de arquivos de evidências e desviam os
investigadores forenses. Essas técnicas impactam na qualidade e quantidade das evidências de uma cena de crime, dificultando
assim a análise e investigação. Técnicas anti-forenses, que incluem processos de exclusão e substituição, também ajudam a
garantir a confidencialidade dos dados, reduzindo a capacidade de lê-los.
Os invasores usam essas técnicas para se defender contra a revelação de suas ações durante atividades criminosas. Funcionários
fraudulentos podem usar ferramentas anti-forenses para a destruição de dados que podem causar grandes prejuízos à organização.
Abaixo estão os tipos de técnicas anti-forenses:
1. Exclusão de dados/arquivos 7. Sobrescrevendo Dados/Metadados
2. Proteção por senha 8. Criptografia
3. Esteganografia 9. Empacotadores de programas
4. Ocultação de dados em estruturas de sistema de arquivos 10. Minimização da Pegada
5. Ofuscação de trilha 11. Explorando bugs de ferramentas forenses
6. Limpeza de artefatos 12. Detecção de atividades de ferramentas forenses


Técnica anti-forense:
Exclusão de dados/arquivos
Quando um arquivo é excluído do disco rígido, o ponteiro para o

arquivo é excluído , mas o conteúdo do arquivo permanece no disco
Em outras palavras, os arquivos excluídos podem

ser recuperados do disco rígido até que os setores
que contêm o conteúdo do arquivo sejam substituídos

pelos novos dados
Ferramentas de recuperação de dados como Autopsy, Recover My Files,

O EaseUS Data Recovery Wizard Pro e o R-Studio podem ser usados
para recuperar arquivos/pastas excluídos
Técnica anti-forense: exclusão de dados/arquivos
Quando um arquivo é excluído do disco rígido, o ponteiro para o arquivo é removido pelo sistema operacional e os
setores que contêm os dados excluídos são marcados como disponíveis, o que significa que o conteúdo dos
dados excluídos permanece no disco rígido até que sejam substituídos por novos dados. Os investigadores
forenses usam ferramentas de recuperação de dados, como Autopsy, Recover My Files, EaseUS Data Recovery
Wizard Pro, R-Studio, etc., para escanear o disco rígido e analisar o sistema de arquivos para uma recuperação
de dados bem-sucedida.


O que acontece quando um arquivo é excluído no Windows?
Sistema de arquivos FAT Sistema de arquivos NTFS
ÿ O SO substitui a primeira letra de um ÿ Quando um usuário exclui um arquivo, o SO apenas

nome do arquivo excluído com um código de byte hexadecimal: marca a entrada do arquivo como não alocada, mas não
E5h exclui o conteúdo real do arquivo
ÿ Os clusters alocados para o arquivo excluído são marcados

ÿ E5h é uma tag especial que indica que
como livres no $BitMap (o arquivo $BitMap é um registro
o arquivo foi deletado
de todos os clusters usados e não usados)
ÿ O computador agora percebe aqueles vazios

ÿ O cluster correspondente desse arquivo em
FAT é marcado como não utilizado, agrupa e aproveita esse espaço para armazenar um
embora continue a conter as informações até novo arquivo
está sobrescrito ÿ O arquivo excluído pode ser recuperado se o espaço

não for alocado para nenhum outro arquivo
Nota: Em um sistema Windows, executar a operação normal de exclusão envia os arquivos para a Lixeira. Considerando que
executar a operação Shift+Delete ignora a Lixeira.
O que acontece quando um arquivo é excluído no Windows?
Quando qualquer usuário exclui um arquivo, o sistema operacional na verdade não exclui o arquivo, mas marca a entrada do
arquivo como não alocada na tabela mestre de arquivos (MFT) e aloca um caractere especial. Este caractere indica que o
espaço agora está pronto para uso.
No sistema de arquivos FAT, o sistema operacional substitui a primeira letra de um nome de arquivo excluído por um código de
byte hexadecimal, E5h. E5h é uma tag especial que indica um arquivo excluído. O sistema de arquivos FAT marca os clusters
correspondentes desse arquivo como não utilizados, embora não estejam vazios.
No sistema de arquivos NTFS, quando um usuário exclui um arquivo, o sistema operacional apenas marca a entrada do arquivo
como não alocada, mas não exclui o conteúdo real do arquivo. Os clusters alocados para o arquivo excluído são marcados
como livres no $BitMap (o arquivo $BitMap é um registro de todos os clusters usados e não usados). O computador agora
percebe esses clusters vazios e aproveita esse espaço para armazenar um novo arquivo. O arquivo excluído pode ser
recuperado se o espaço não for alocado para nenhum outro arquivo. Em um sistema Windows, executar a operação normal de
exclusão envia os arquivos para a Lixeira. Considerando que executar a operação Shift+Delete ignora a Lixeira.


Lixeira no Windows
A Lixeira é um local de armazenamento temporário para
01 arquivos excluídos
O arquivo permanece na Lixeira até que você esvazie

02 a Lixeira ou restaure o arquivo
Os itens podem ser restaurados para suas posições
03 originais com a ajuda da opção Restaurar todos os itens

da Lixeira
Nota: Excluir um arquivo ou pasta de uma unidade de rede ou de uma unidade USB pode excluí-los permanentemente em vez de serem armazenados na Lixeira
Lixeira no Windows (continuação)
O local de armazenamento da Lixeira depende do tipo de sistema operacional e sistema de arquivos
ÿ Local de armazenamento da Lixeira em sistemas de arquivos FAT: • Em

sistemas de arquivos FAT mais antigos (Windows 98 e anteriores), está localizado em Drive:\RECYCLED
ÿ Local de armazenamento da Lixeira em sistemas de arquivos NTFS:
• No Windows 2000, NT e XP, ele está localizado em Drive:\RECYCLER\<SID>
• No Windows Vista e versões posteriores, ele está localizado em Drive:\$Recycle.Bin\<SID> https:// www.copyright.gov


Lixeira no Windows
(continua)
Quando um arquivo é excluído, o caminho completo do arquivo e

seu nome são armazenados em um arquivo oculto chamado INFO2
01 (no Windows 98) na pasta Reciclado. Essas informações são

usadas para restaurar os arquivos excluídos em seus locais originais.
Antes do Windows Vista, um arquivo na Lixeira era armazenado em

seu local físico e renomeado usando a sintaxe: D<letra da unidade
02 original do arquivo><#>.<extensão original>
ÿ “D” denota que um arquivo foi excluído
Exemplo:
03 De7.doc = (Arquivo deletado da unidade E:, é o “oitavo” arquivo recebido

pela lixeira, e é um arquivo “doc”)
Lixeira no Windows (continuação)

No Windows Vista e versões posteriores, o arquivo excluído é renomeado usando a sintaxe:
$R<#>.<extensão original>, onde <#> representa um conjunto de letras e números aleatórios
Ao mesmo tempo, um arquivo de metadados correspondente é criado, denominado como:
$I<#>.<extensão original>, onde <#> representa um conjunto de letras e números aleatórios, o

mesmo usado para $R
Os arquivos $R e $I estão localizados em C:\$Recycle.Bin\<USER SID>\
O arquivo $I contém os seguintes metadados:
ÿ Nome do arquivo original ÿ
Tamanho do arquivo original
ÿ A data e hora em que o arquivo foi excluído
Lixeira no Windows
A Lixeira armazena temporariamente os arquivos excluídos. Quando um usuário exclui um item, ele é enviado
para a Lixeira. No entanto, ele não armazena itens excluídos de mídia removível, como uma unidade USB ou
unidade de rede.


Os itens presentes na Lixeira ainda consomem espaço no disco rígido e são fáceis de restaurar. Os usuários podem usar a opção de
restauração na Lixeira para recuperar arquivos excluídos e enviá-los de volta ao local original.
Mesmo que os arquivos sejam excluídos da Lixeira, eles continuam a consumir espaço no disco rígido até que os locais sejam substituídos
pelo sistema operacional com novos dados.
Figura 5.1: janela da lixeira
Quando a Lixeira fica cheia, o Windows exclui automaticamente os itens mais antigos. O sistema operacional Windows atribui um espaço
específico em cada partição do disco rígido para armazenar arquivos na Lixeira. O sistema não armazena itens maiores na Lixeira; em vez
disso, ele os exclui permanentemente.
A seguir estão as etapas para alterar a capacidade de armazenamento da Lixeira:
1. Na área de trabalho, clique com o botão direito do mouse no ícone da Lixeira e selecione “Propriedades”
2. Clique no local da Lixeira que precisa ser alterado, em Localização da Lixeira

(provável unidade C)
3. Clique em “Tamanho personalizado” e insira um tamanho máximo de armazenamento (em MB) para a Lixeira na caixa “Tamanho
máximo (MB)”
4. Clique em OK


Figura 5.2: Configurando as propriedades da Lixeira
A seguir estão as etapas para excluir ou restaurar arquivos na Lixeira:
Abra a Lixeira para executar as operações de exclusão ou restauração.
1. Para restaurar um arquivo, clique com o botão direito do mouse no ícone do arquivo e selecione Restaurar
2. Para restaurar todos os arquivos, selecione Todos, vá para Gerenciar e clique em Restaurar os itens selecionados
3. Para excluir um arquivo, clique com o botão direito do mouse no ícone do arquivo e selecione Excluir
4. Para excluir todos os arquivos, existem dois métodos:
ÿ Selecione Todos, clique com o botão direito do mouse e selecione a opção Excluir
ÿ Vá para a opção Gerenciar na barra de ferramentas e clique em Esvaziar Lixeira
o Ambos os métodos mostram uma janela pop-up para confirmar a exclusão permanente dos itens.
Clique em Sim.
Local de armazenamento da Lixeira no sistema de arquivos FAT: O sistema de arquivos FAT mais antigo, usado no Windows
98 e versões anteriores, armazenava os arquivos excluídos na pasta Drive:\RECYCLED .
Local de armazenamento da Lixeira no sistema de arquivos NTFS:
ÿ No Windows 2000, NT e XP, está localizado em Drive:\RECYCLER\<SID>
ÿ No Windows Vista e versões posteriores, está localizado em Drive:\$Recycle.Bin\<SID>


Não há limite de tamanho para a Lixeira no Vista e versões posteriores do Windows, enquanto as versões mais antigas
tinham um limite máximo de 3,99 GB. A Lixeira não pode armazenar itens maiores que sua capacidade de armazenamento.
Quando um usuário exclui um arquivo ou pasta, o Windows armazena todos os detalhes do arquivo, como seu nome e o
caminho onde foi armazenado, no INFO2, que é um arquivo oculto encontrado na Lixeira.
O sistema operacional usa essas informações para restaurar o arquivo excluído ao seu local original. A pasta oculta Recycled
contém arquivos excluídos de uma máquina Windows.
Nas versões anteriores do Windows, os arquivos excluídos eram renomeados pelo sistema operacional usando o
seguinte formato:
D<letra da unidade original do arquivo><#>.<extensão original>
Por exemplo, no caso de um arquivo Dxy.ext na pasta Reciclado, “x” denota o nome da unidade, como “C”, “D” e outros; “y”
denota o número sequencial a partir de um; e “ext” é a extensão do arquivo original.
No Windows Vista e versões posteriores, os arquivos excluídos são renomeados pelo sistema operacional usando
o seguinte formato:
$R<#>.<extensão original>, onde <#> representa um conjunto de letras e números aleatórios
Ao mesmo tempo, um arquivo de metadados correspondente é criado, denominado como:
$I<#>.<extensão original>, onde <#> representa um conjunto de letras e números aleatórios igual
ao usado para $R
Os arquivos $R e $I estão localizados em C:\$Recycle.Bin\<USER SID>\
O arquivo $I contém os seguintes metadados:
ÿ Nome do arquivo original
ÿ Tamanho do arquivo original
ÿ A data e hora em que o arquivo foi excluído
Nas versões do Windows mais recentes que o Vista e XP, o sistema operacional armazena o caminho completo e o nome
do arquivo ou pasta em um arquivo oculto chamado INFO2. Este arquivo permanece dentro da pasta Reciclado ou Reciclador
e armazena informações sobre os arquivos excluídos.
INFO2 é o arquivo de banco de dados mestre e é muito crucial para a recuperação de dados. Ele contém vários detalhes
de arquivos excluídos, como nome do arquivo original, tamanho do arquivo original, data e hora da exclusão, número de
identificação exclusivo e o número da unidade na qual o arquivo foi armazenado.


Perícia Forense da Lixeira

ÿ Os arquivos originais pertencentes aos arquivos $I não são
visíveis na pasta Lixeira quando,
ÿ
O arquivo $I está corrompido ou danificado
ÿ O invasor/interno exclui arquivos $I da Lixeira
ÿ Durante a investigação forense, o investigador deve verificar os

arquivos $R no diretório da Lixeira para combater a técnica
anti-forense usada pelo invasor
1 Diretório da Lixeira exibindo os arquivos $I e $R

2 A pasta Lixeira contém apenas arquivos com dados $I
Perícia Forense da Lixeira (continuação)

Se os arquivos de metadados relacionados aos arquivos originais
não estiverem presentes na pasta, o investigador pode usar o
comando 'copiar' para recuperar os arquivos excluídos ( arquivos $R)
Comando:
copie <$R*(ou nome do arquivo)> <Diretório de destino>
3 Comando para copiar dados da Lixeira
Caso os metadados da Lixeira sejam perdidos ou os dados

sejam ocultados intencionalmente pelo criminoso, o investigador
pode seguir as etapas acima para recuperar os arquivos
excluídos da Lixeira para análise posterior
4 dados recuperados
Perícia Forense da Lixeira

ÿ Os arquivos originais pertencentes aos arquivos $I não são visíveis na pasta Lixeira quando,
o O arquivo $I está corrompido ou danificado
o O invasor/interno exclui os arquivos $I da Lixeira


ÿ Durante a investigação forense, o investigador deve verificar os arquivos $R na Reciclagem

Diretório bin para combater a técnica anti-forense usada pelo invasor
Figura 5.3: Diretório da Lixeira exibindo os arquivos $I e $R
Figura 5.4: A pasta Lixeira contém apenas arquivos com dados $I


ÿ
Se os arquivos de metadados relacionados aos arquivos originais não estiverem presentes na pasta, o
investigador pode usar o comando 'copiar' para recuperar os arquivos excluídos (arquivos $R)
Comando:
copie <$R*(ou nome do arquivo)> <Diretório de destino>
Figura 5.5: Comando para copiar dados da Lixeira
Figura 5.6: Dados recuperados
ÿ
Caso os metadados da Lixeira sejam perdidos ou os dados sejam ocultados intencionalmente pelo
criminoso, o investigador pode seguir as etapas acima para recuperar os arquivos excluídos do
Lixeira para análise posterior


arquivo de escultura
ÿ É uma técnica para recuperar arquivos e fragmentos de arquivos do disco rígido na ausência de metadados do sistema de arquivos
ÿ Nesta técnica, a identificação e extração do arquivo é baseada em certas características, como cabeçalho ou rodapé do arquivo
em vez da extensão do arquivo ou metadados
ÿ Um cabeçalho de arquivo é uma assinatura (também conhecida como número mágico), que é um valor numérico ou de texto constante que
determina um formato de arquivo
Exemplo: ÿ
Um suspeito pode tentar impedir que uma imagem seja detectada pelos investigadores alterando a extensão do arquivo de .jpg para .dll ÿ No
entanto, alterar a extensão do arquivo não altera o cabeçalho do arquivo e a análise informa o formato real do arquivo Exemplo: ÿ Um formato
de arquivo é confirmado como .jpg se mostrar “JFIF” no cabeçalho do arquivo e a assinatura hexadecimal como “4A 46 49 46“
ÿ Os investigadores podem dar uma olhada nos cabeçalhos dos arquivos para verificar o formato do arquivo usando ferramentas como 010 Editor, CI Hex Viewer,
Hexinator, Hex Editor Neo, Qiew, WinHex, etc.
arquivo de escultura
File carving refere-se a uma técnica usada para recuperar arquivos excluídos/perdidos e fragmentos de arquivos do disco rígido
quando os metadados do sistema de arquivos estão ausentes. Ao permitir que os investigadores forenses recuperem arquivos
que foram excluídos/perdidos de um disco rígido, o file carving ajuda a extrair artefatos valiosos relacionados a um caso de
crime cibernético para exame mais aprofundado. Um perpetrador também pode tentar excluir uma partição inteira do disco rígido
e, em seguida, mesclar o espaço não alocado da partição excluída com a partição primária do sistema para evitar que um
investigador identifique a partição perdida.
ÿ Conforme discutido anteriormente, o file carving é o processo de recuperação de arquivos de seus fragmentos e partes
do espaço não alocado do disco rígido na ausência de metadados do sistema de arquivos.
Na computação forense, ajuda os investigadores a extrair dados de um meio de armazenamento sem qualquer
suporte do sistema de arquivos usado na criação do arquivo.
ÿ Espaço não alocado refere-se ao espaço no disco rígido que não contém nenhuma informação de arquivo, mas armazena
dados de arquivo sem os detalhes de sua localização. Os investigadores podem identificar os arquivos usando certas
características, como cabeçalho do arquivo (os primeiros bytes) e rodapé (os últimos bytes).
ÿ Por exemplo, um suspeito pode tentar ocultar uma imagem da detecção pelos investigadores, alterando a extensão do
arquivo de .jpg para .dll. No entanto, alterar a extensão do arquivo não altera o cabeçalho do arquivo, o que pode
revelar o formato real do arquivo. Um formato de arquivo é confirmado como .jpg se mostrar “JFIF” no cabeçalho do
arquivo e a assinatura hexadecimal como “4A 46 49 46“.
ÿ
Os métodos de gravação de arquivos podem variar com base em diferentes elementos, como fragmentos de dados
presentes, técnica de exclusão usada, tipo de mídia de armazenamento etc. Esse processo depende de informações
sobre o formato dos arquivos de interesse existentes. Os investigadores podem analisar


os cabeçalhos do arquivo para verificar o formato do arquivo usando ferramentas como 010 Editor, CI Hex Viewer,
Hexinator, Hex Editor Neo, Qiew, WinHex, etc.
ÿ
A escultura de arquivos não requer estrutura do sistema de arquivos para recuperar dados do disco, enquanto a
recuperação de arquivos requer conhecimento da estrutura do sistema de arquivos para recuperar dados excluídos.


Escultura de arquivo no Windows
ÿ O Windows rastreia seus arquivos/pastas em um disco rígido usando os

ponteiros que informam ao sistema onde o arquivo começa e termina
ÿ Quando um arquivo é excluído do disco rígido, o ponteiro para

o arquivo é excluído, mas o conteúdo do arquivo permanece
no disco
ÿ Em outras palavras, os arquivos excluídos podem ser recuperados do

disco rígido até que os setores que contêm o conteúdo do arquivo sejam
substituídos por novos dados
ÿ Ferramentas de recuperação de dados como Autopsy, Recover My Files, EaseUS Data

Recovery Wizard Pro, R-Studio for Windows, etc., podem ser usadas para recuperar arquivos/
pastas excluídos do Windows
File Carving no Windows O

Windows rastreia seus arquivos/pastas em um disco rígido usando os ponteiros que informam ao sistema
onde o arquivo começa e termina. Quando um arquivo/pasta é excluído de uma unidade, o conteúdo
relacionado ao arquivo/pasta permanece no disco rígido, mas os ponteiros para o arquivo são excluídos. Em
outras palavras, os arquivos excluídos podem ser recuperados do disco rígido até que os setores que contêm
o conteúdo do arquivo sejam substituídos por novos dados.
Isso permite que ferramentas forenses, como Autopsy, Recall My Files, EaseUS Data Recovery Wizard Pro e
R-Studio for Windows, recuperem esses arquivos/pastas excluídos do disco rígido. Em SSDs, a recuperação
de arquivos excluídos torna-se difícil, pois o TRIM é ativado por padrão.


Ferramentas de recuperação de arquivos: Windows
EaseUS Data Recovery Wizard Pro Software de
recuperação de dados do disco rígido para recuperar dados perdidos do PC, laptop Recuperar meus
ou outra mídia de armazenamento devido a exclusão, formatação, perda de partição, arquivos https:// getdata.com
travamento do sistema operacional, ataques de vírus, etc.
DiskDigger
https:// diskdigger.org
Handy Recovery
https:// www.handyrecovery.com
Recuperação rápida
https:// www.recoveryourdata.com
Dados do Windows Stellar Phoenix
Recuperação
https:// www.stellarinfo.com
https:// www.easeus.com
Ferramentas de recuperação de arquivos: Windows
ÿ EaseUS Data Recovery Wizard Pro
Fonte: https:// www.easeus.com O software
EaseUS Data Recovery Wizard é usado para executar a recuperação de formato e desformatar e recuperar arquivos excluídos
esvaziados da Lixeira ou dados perdidos devido a perda ou dano de partição, falha de software, infecção por vírus, desligamento
inesperado , ou qualquer outro motivo desconhecido no Windows 10, 8, 7, 2000/XP/Vista/2003/2008 R2 SP1/Windows 7 SP1. Este
software suporta RAID de hardware e disco rígido, unidade USB, cartão SD, cartão de memória, etc.
Características
o Especifica os tipos de arquivo antes da recuperação do arquivo para encontrar arquivos perdidos rapidamente
o Salva resultados de pesquisa anteriores para recuperação contínua
o Verifica arquivos perdidos mais rapidamente ignorando setores defeituosos automaticamente


Figura 5.7: Recuperando arquivos excluídos usando o assistente de recuperação de dados EaseUS
Algumas ferramentas de recuperação de arquivos baseadas no Windows estão listadas a seguir:
ÿ Recuperar meus arquivos (https:// getdata.com)
ÿ DiskDigger (https:// diskdigger.org)
ÿ Handy Recovery (https:// www.handyrecovery.com)
ÿ Recuperação Rápida (https:// www.recoveryourdata.com)
ÿ Stellar Phoenix Windows Data Recovery (https:// www.stellarinfo.com)


Escultura de arquivo no Linux
ÿ Quando um arquivo é excluído do Linux usando o ÿ Se um processo em execução mantiver um arquivo

comando /bin/rm/, o inode apontando para o 1 2 aberto e depois removê-lo, o conteúdo do arquivo
arquivo é removido, mas o arquivo permanece no ainda estará no disco e outros programas não
disco até ser substituído por novos dados recuperarão o espaço
3
4
ÿ É necessário observar que, se um executável apaga a ÿ Ferramentas de terceiros, como Stellar Phoenix
si mesmo, seu conteúdo pode ser recuperado de uma Recuperação de Dados Linux, R-Studio para Linux,
imagem de memória /proc . O comando cp /proc/$PID/ TestDisk, PhotoRec e Kernel para Linux
exe/tmp/file cria uma cópia de um arquivo em /tmp Data Recovery pode ser usado para recuperar
arquivos excluídos do Linux
Escultura de arquivo no Linux
No Linux, os usuários podem excluir arquivos usando o comando /bin/rm/ , em que o inode apontando para o arquivo é
excluído, mas o arquivo permanece no disco.
Portanto, o investigador forense pode usar ferramentas de terceiros, como Stellar Phoenix Linux Data Recovery, R-Studio
for Linux, TestDisk, PhotoRec, Kernel for Linux Data Recovery, etc., para recuperar dados excluídos do disco.
Se um usuário remover um arquivo que está sendo usado por qualquer processo em execução, o conteúdo do arquivo
ocupará um espaço em disco que não pode ser recuperado por nenhum outro arquivo ou programa.
O segundo sistema de arquivos estendido (ext2) foi projetado de forma a mostrar vários locais onde os dados podem ser
ocultados.
Vale ressaltar que se um executável apagar a si mesmo, seu conteúdo pode ser recuperado de uma imagem de memória /
proc . O comando cp/proc/$PID/exe/tmp/file cria uma cópia de um arquivo em /tmp.
Ao contrário do Windows, o Linux pode acessar e recuperar dados de uma variedade de máquinas. O kernel do Linux
oferece suporte a um grande número de sistemas de arquivos, incluindo sistemas de arquivos VxFS, UFS, HFS, NTFS e FAT.
Alguns sistemas de arquivos não são legíveis em um ambiente Windows, e os usuários podem facilmente recuperar esses
arquivos usando uma distribuição inicializável do Linux, como o Knoppix. Ferramentas de terceiros, como Stellar Phoenix
Linux Data Recovery, R-Studio for Linux, TestDisk, PhotoRec e Kernel for Linux Data Recovery, podem ser usadas para
recuperar arquivos excluídos do Linux.


Gravação de arquivo SSD no sistema de arquivos Linux
Estação de trabalho forense usada: Windows 10
A imagem forense adquirida do SSD desativado por

TRIM deve ser examinada usando ferramentas de
escultura de arquivo, como Autopsy, R-Studio, etc.
Na autópsia, os dados esculpidos do arquivo

de evidências forenses são exibidos na fonte de
dados apropriada com o título
“$CarvedFiles”
Gravação de arquivo SSD no sistema de arquivos Linux
Estação de trabalho forense usada: Windows 10
ÿ A imagem adquirida forense do SSD desativado por TRIM deve ser examinada usando ferramentas de escultura
de arquivo, como Autopsy, R-Studio, etc.
ÿ
Na autópsia, os dados esculpidos do arquivo de evidências forenses são exibidos na fonte de dados apropriada
com o título “$CarvedFiles”
Figura 5.8: Escultura de arquivo no arquivo de imagem do Linux usando Autopsy


Recuperando Partições Excluídas

A tabela de partição MBR contém os registros das partições primárias e estendidas de um disco
Quando uma partição é excluída de um disco, as entradas com a respectiva partição excluída
são removidas pelo computador da tabela de partições MBR
Os investigadores usam ferramentas como R-Studio e EaseUS Data Recovery Wizard para
escanear o disco em busca de partições perdidas e recuperá-las
Essas ferramentas automatizadas executam a verificação completa do disco, procuram

informações sobre partições excluídas e reconstroem a entrada da tabela de partições para partições excluídas
Recuperando Partições Excluídas
Quando um usuário exclui uma partição do disco, os dados alocados para a partição são perdidos e a partição
excluída é convertida em espaço não alocado no disco.
A tabela de partições MBR armazena os registros das partições primárias e estendidas disponíveis no disco.
Portanto, sempre que uma partição é excluída do disco, as entradas pertencentes às partições são removidas
da tabela de partições MBR.
Um invasor/interno com intenção maliciosa pode excluir uma partição e mesclá-la com a partição primária.
Durante a investigação forense, se o investigador não conseguir encontrar a partição excluída no

Gerenciamento de disco, o investigador usará ferramentas de terceiros, como R-Studio e EaseUS Data
Recovery Wizard, para verificar o disco rígido para descobrir e recuperar a partição excluída e seu conteúdo.
Essas ferramentas automatizadas executam a varredura completa do disco, procuram informações sobre
partições excluídas e reconstroem a entrada da tabela de partições para partições excluídas.


Recuperando Partições Excluídas: Usando Dados EaseUS

Assistente de Recuperação
Quando uma partição não alocada é encontrada durante a investigação forense, o investigador usa ferramentas automatizadas,
como o EaseUS Data Recovery Wizard, para descobrir a partição perdida e recuperar os dados dela
A ferramenta EaseUS Data Recovery Wizard recupera dados das partições do sistema de arquivos baseadas em FAT e NTFS
Recuperando partições excluídas: usando o EaseUS Data Recovery Wizard
Quando uma partição não alocada é encontrada durante a investigação forense, o investigador usa ferramentas
automatizadas, como o EaseUS Data Recovery Wizard, para descobrir a partição perdida e recuperar os dados
dela.
A ferramenta EaseUS Data Recovery Wizard recupera dados das partições do sistema de arquivos baseadas em
FAT e NTFS.
Figura 5.9: Partição não alocada na máquina suspeita
Figura 5.10: Partição não alocada detectada usando o EaseUS Data Recovery


Figura 5.11: Dados recuperados da partição perdida


Anti-
forense
Técnica:
Senha Ao conduzir uma investigação forense no computador do suspeito,
acessar recursos protegidos por senha é um dos desafios
Proteção
enfrentados pelo investigador
Nesses casos, os investigadores podem usar ferramentas de quebra

de senha, como ophcrack e RainbowCrack, para burlar a proteção
por senha.
Técnica anti-forense: proteção por senha

As senhas são importantes porque são a porta de entrada para a maioria dos sistemas de computador.
A proteção por senha protege informações, protege redes, aplicativos, arquivos, documentos, etc. de
usuários não autorizados. Muitas organizações e indivíduos, que não desejam que outros acessem
seus dados, recursos e outros produtos, empregam senhas e algoritmos criptográficos fortes como
medidas de segurança.
Os invasores e intrusos usam essas técnicas de proteção para ocultar dados de evidência, impedir a
engenharia reversa de aplicativos, dificultar a extração de informações de dispositivos de rede e
impedir o acesso ao sistema e ao disco rígido. Isso pode dificultar o trabalho dos investigadores
forenses. A criptografia é uma técnica preferida para dissuadir a análise forense. Nesses casos, os
investigadores podem usar ferramentas de quebra de senha, como ophcrack e RainbowCrack, para
burlar a proteção por senha.


Tipos de senha
Texto claro ofuscado Senha

senhas senhas Hashes
As senhas de texto não Senhas ofuscadas são Os hashes de senha são

criptografado são transmitidas criptografadas usando um assinaturas da
ou armazenadas na mídia algoritmo e podem ser senha original,
sem nenhuma descriptografadas aplicando geradas usando um
criptografia um algoritmo reverso algoritmo unidirecional.
As senhas com hash
usando algoritmos de
hash (MD5, SHA, etc.)
não são reversíveis
Tipos de senha
Os dispositivos de computação podem armazenar e transmitir senhas como senhas de texto não criptografado,
ofuscadas e com hash, das quais apenas as senhas com hash precisam ser quebradas, enquanto os outros tipos de
senha podem ajudar na fase de quebra.
ÿ Senhas de texto não criptografado
o As senhas são enviadas e armazenadas em texto simples sem qualquer alteração
o Exemplo: o Registro do Windows armazena a senha de logon automático em texto não criptografado no
registro, HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
o Os investigadores podem usar ferramentas como Cain e Ettercap para detectar senhas de texto não criptografado
ÿ Senhas ofuscadas
o As senhas são armazenadas ou comunicadas após uma transformação
o Quando a transformação é reversível, a senha torna-se ilegível quando o usuário aplica um algoritmo e na
aplicação do algoritmo reverso, ele retorna ao formato de texto não criptografado
ÿ Hashes de senha
o Hashes de senha são uma assinatura da senha original gerada usando um algoritmo unidirecional. As
senhas são hash usando algoritmos de hash (MD5, SHA, etc.), que não são reversíveis


Quebra de senha
Técnicas
Ataque de dicionário
ÿ Um arquivo de dicionário é carregado no aplicativo de cracking

que é executado em contas de usuário
Ataques de Força Bruta
ÿ O programa tenta todas as combinações de caracteres

até que a senha seja quebrada
Ataque baseado em regras
ÿ Este ataque é usado quando alguma informação sobre o

a senha é conhecida
Técnicas de quebra de senha
Existem três técnicas populares para quebra de senha e elas são discutidas abaixo:
ÿ Ataques de Dicionário
Em um ataque de dicionário, um arquivo de dicionário é carregado no aplicativo de cracking executado

nas contas de usuário. Um dicionário é um arquivo de texto que contém várias palavras do dicionário
ou combinações de caracteres predeterminadas. O programa usa todas as palavras presentes no
dicionário para encontrar a senha. Os ataques de dicionário são mais úteis do que um ataque de força
bruta. No entanto, esse ataque não funciona contra um sistema que usa frases secretas ou senhas
não contidas no dicionário usado.
Este ataque é aplicável em duas situações:
o Na análise de criptografia, ajuda a descobrir a chave de descriptografia para obter o texto simples de
o texto cifrado
o Na segurança do computador, ajuda a evitar autenticação e acesso a um computador adivinhando

senhas
Métodos para melhorar o sucesso de um ataque de dicionário:
o Utilização de maior número de dicionários, como dicionários técnicos e dicionários estrangeiros

dicionários, podem ajudar a recuperar a senha correta
o Usando manipulação de strings; por exemplo, se o dicionário contiver a palavra “sistema”,

então tente manipulação de string e use “metsys” e outros


ÿ Ataques de força bruta
Algoritmos criptográficos devem ser fortes o suficiente para impedir um ataque de força bruta. A RSA define o ataque
de força bruta como “[uma] técnica básica para tentar todas as chaves possíveis em turnos até que a chave correta
seja identificada”.
Um ataque de força bruta é essencialmente um ataque criptoanalítico usado para descriptografar qualquer dado
criptografado (que pode ser chamado de cifra).
Em outras palavras, envolve testar todas as chaves possíveis na tentativa de recuperar o texto simples, que é a
base para a produção de um determinado texto cifrado.
Os ataques de força bruta precisam de mais poder de processamento em comparação com outros ataques. A
detecção de chaves ou texto simples em um ritmo rápido em um ataque de força bruta resulta na quebra da cifra.
Uma cifra é segura se não existir nenhum método para quebrá-la além de um ataque de força bruta. Principalmente,
todas as cifras carecem de prova matemática de segurança.
Algumas considerações para ataque de força bruta são as seguintes:
o É um processo demorado
o Eventualmente, ele pode rastrear todas as senhas
o Um ataque contra hash de tecnologia de rede (NT) é muito mais difícil contra LAN
Gerenciador (LM) hash
ÿ Ataque baseado em regras
Os invasores usam um ataque baseado em regras quando conhecem algumas informações confiáveis sobre a
senha, como regras para definir a senha, algoritmos envolvidos ou as strings e caracteres usados em sua criação.
Por exemplo, se os invasores souberem que a senha contém um número de dois ou três dígitos, eles usarão
algumas técnicas específicas para extração mais rápida da senha.
Ao obter informações úteis, como uso de números, comprimento da senha e caracteres especiais, o invasor pode
aprimorar o desempenho da ferramenta de cracking e, assim, reduzir o tempo necessário para recuperar a senha.
Esta técnica envolve ataques de força bruta, de dicionário e de sílaba (um ataque de sílaba combina tanto um ataque
de força bruta como um ataque de dicionário eéfrequentemente usado para quebrar as senhas que não consistem
numa palavra real mas numa mistura de caracteres e sílabas ).
Os invasores podem usar vários dicionários, técnicas de força bruta ou simplesmente tentar adivinhar a senha.


Ferramentas de quebra de senha

Kit de senha ÿ Uma solução completa de descoberta de evidências eletrônicas criptografadas que relata e descriptografa
Forense todos os itens protegidos por senha em um computador
L0phtCrack
https:// www.l0phtcrack.com
ophcrack
https:// ophcrack.sourceforge.io
Caim e Abel
https:// www.oxid.it
RainbowCrack
https:// project-rainbowcrack.com
Senha do NT offline e editor de registro

https:// pogostick.net
https:// www.passware.com
Ferramentas de quebra de senha
ÿ Kit de Passware Forense
Fonte: https:// www.passware.com
O Passware Kit Forensic é a solução completa de descoberta de evidências eletrônicas criptografadas que
relata e descriptografa todos os itens protegidos por senha em um computador. Ele suporta MS Office, PDF,
Zip e RAR, QuickBooks, FileMaker, Lotus Notes, carteiras Bitcoin, Apple iTunes Backup, Mac OS X Keychain,
gerenciadores de senhas, etc. Ele analisa imagens de memória ao vivo e arquivos de hibernação e extrai
chaves de criptografia para APFS, FileVault2, TrueCrypt, VeraCrypt, BitLocker e logins para contas Windows
e Mac de imagens de memória e arquivos de hibernação. O Passware Bootable Memory Imager adquire
memória de computadores Windows, Linux e Mac.


Figura 5.12: Captura de tela do Passware Kit Forensic
Algumas ferramentas de quebra de senha são listadas a seguir:
ÿ L0phtCrack (https:// www.l0phtcrack.com)

ÿ ophcrack (https:// ophcrack.sourceforge.io)
ÿ Caim & Abel (https:// www.oxid.it)
ÿ RainbowCrack (https:// project-rainbowcrack.com)
ÿ Senha do NT offline e Editor do Registro (https:// pogostick.net)


Técnica anti-forense: Esteganografia
Esteganografia é uma técnica de ocultar O invasor pode usar a esteganografia para O investigador forense examina o Stego-
uma mensagem secreta dentro de uma ocultar mensagens como uma lista de Object para extrair as informações ocultas
mensagem comum e extraí-la no destino servidores comprometidos, código-fonte
para manter da ferramenta de hacking e planos para
confidencialidade dos dados ataques futuros
Cobertura Média Cobertura Média
Função de função de
incorporação extração
EC-Council “Os hackers EC-Council “Os hackers

estão aqui. Onde você estão aqui. Onde você
Estego objeto Extraído
está? Mensagem a ser está?
incorporada mensagem
Técnica anti-forense: Esteganografia
Uma das deficiências de vários programas de detecção é seu foco principal na transmissão de dados de
texto. E se um invasor contornar as técnicas normais de vigilância e ainda conseguir roubar ou transmitir
dados confidenciais? Em uma situação típica, depois que um invasor consegue entrar em uma empresa
como funcionário temporário ou contratado, ele/ela procura informações sigilosas sub-repticiamente. Embora
a organização possa ter uma política que não permita equipamentos eletrônicos removíveis nas instalações,
um invasor determinado ainda pode encontrar maneiras de fazer isso usando técnicas como a esteganografia.
A esteganografia refere-se à arte de ocultar dados “atrás” de outros dados sem o conhecimento do alvo,
ocultando assim a existência da própria mensagem. Ele substitui bits de dados não utilizados em arquivos
comuns, como gráfico, som, texto, áudio, vídeo, etc., por alguns outros bits sub-reptícios. Os dados ocultos
podem ser texto simples ou texto cifrado, ou podem ser uma imagem. Utilizar uma imagem gráfica como
capa é o método mais popular para ocultar dados em arquivos. A esteganografia é preferida pelos invasores
porque, ao contrário da criptografia, não é fácil de detectar.
Por exemplo, os invasores podem ocultar um keylogger dentro de uma imagem legítima; portanto, quando
a vítima clica na imagem, o keylogger captura as teclas digitadas pela vítima.
Os invasores também usam a esteganografia para ocultar informações quando a criptografia não é viável.
Em termos de segurança, ele oculta o arquivo em um formato criptografado para que, mesmo que o invasor
o descriptografe, a mensagem permaneça oculta. Os invasores podem inserir informações como código-
fonte de uma ferramenta de hacking, lista de servidores comprometidos, planos para ataques futuros, canal
de comunicação e coordenação, etc. O investigador forense examina o Stego-Object para extrair as
informações ocultas.


Cobertura Média Cobertura Média
Função de função de
incorporação extração
CE-Council “Hackers CE-Council “Hackers

estão aqui. Onde você estão aqui. Onde você
Mensagem a ser
Estego objeto Extraído
está?" está?"
incorporada mensagem
Figura 5.13: Ilustração da esteganografia


Ferramentas de detecção de esteganografia
OpenStegoGenericName StegSpy
ÿ O OpenStego fornece duas funcionalidades principais: ocultação de ÿ StegSpy identifica um arquivo “esteganizado”
dados e marca d'água. Ele permite que os investigadores extraiam e detecta esteganografia e o programa
dados ocultos para análise. usado para ocultar a mensagem
https:// www.openstego.com http:// www.spy-hunter.com
Ferramentas de detecção de esteganografia
ÿ Estego Aberto
Fonte: https:// www.openstego.com
O OpenStego fornece duas funcionalidades principais:
o Ocultação de dados: Pode ocultar quaisquer dados dentro de um arquivo de capa (por exemplo, imagens).
o Marca d'água (beta): Arquivos de marca d'água (por exemplo, imagens) com uma assinatura invisível. Isto
pode ser usado para detectar a cópia de arquivo não autorizada.
Ele permite que os investigadores extraiam dados ocultos para análise.
Figura 5.14: Captura de tela do OpenStego


ÿ StegSpy
Fonte: http:// www.spy-hunter.com
O StegSpy identifica um arquivo “esteganizado” e detecta a esteganografia e o programa usado para

ocultar a mensagem. Ele também identifica a localização do conteúdo oculto. StegSpy atualmente
identifica os seguintes programas:
o Hiderman o JPEG
o JPHideandSeek o Segredos Invisíveis
o mascarado
Figura 5.15: captura de tela do StegSpy


Técnica anti-forense: fluxos de dados alternativos

Os invasores usam fluxos de dados alternativos (ADS)
para ocultar dados no Windows NTFS e não podem ser revelados
através da linha de comando ou do Windows Explorer
O ADS permite que o invasor oculte qualquer número de fluxos em um

único arquivo sem modificar o tamanho do arquivo, a funcionalidade etc.,
exceto a data do arquivo
No entanto, a data do arquivo pode ser modificada usando

ferramentas anti-forense como TimeStomp
Em alguns casos, esses ADS ocultos podem ser usados para

explorar remotamente um servidor da web
Técnica anti-forense: fluxos de dados alternativos
ADS, ou um fluxo de dados alternativo, é um recurso do sistema de arquivos NTFS que ajuda os usuários a localizar um
arquivo usando informações de metadados alternativos, como o título do autor. Ele permite que os arquivos tenham mais
de um fluxo de dados, que são invisíveis para o Windows Explorer e requerem ferramentas especiais para visualização.
Assim, o ADS torna mais fácil para os criminosos ocultar dados em arquivos e acessá-los quando necessário. Os
invasores também podem armazenar arquivos executáveis no ADS e executá-los usando o utilitário de linha de comando.
O ADS permite que o invasor oculte qualquer número de fluxos em um único arquivo sem modificar o tamanho do
arquivo, a funcionalidade etc., exceto a data do arquivo. No entanto, a data do arquivo pode ser modificada usando
ferramentas anti-forenses como TimeStomp. Em alguns casos, esses ADS ocultos podem ser usados para explorar
remotamente um servidor da web.
Um ADS contém metadados, como registros de data e hora de acesso, atributos de arquivo, etc. Os investigadores
precisam encontrar o ADS e extrair as informações presentes nele. Como o sistema não pode modificar os dados do
ADS, recuperá-los pode oferecer detalhes brutos do arquivo e a execução do malware.
Além de usar os métodos mencionados acima, os investigadores também podem usar ferramentas de software para
identificar arquivos ADS e extrair os fluxos adicionais.


Técnica anti-forense:
Ofuscação de trilha
ÿ O objetivo da ofuscação da trilha é confundir e enganar

o processo de investigação forense
ÿ Os invasores enganam os investigadores por meio de adulteração de log,
geração de cabeçalho de e-mail falso , modificação de carimbo de data/
hora e modificação de vários cabeçalhos de arquivo
Algumas das técnicas que os invasores

usam para ofuscação de dados/trilhas:
ÿ Limpadores de toras ÿ Falsificação
ÿ Desinformação ÿ Contas zumbis
ÿ Comandos de Tróia
A ofuscação do conteúdo do tráfego pode ser obtida por meio de

VPNs e tunelamento SSH
Técnica anti-forense: ofuscação de trilha (continuação)

Timestomp é uma das ferramentas de ofuscação de trilha mais amplamente usadas que permitem a exclusão ou modificação de
informações relacionadas a carimbo de data/hora em arquivos. O procedimento para contornar essa técnica é abordado na seção
“Detectando dados/metadados sobrescritos”.
Técnica anti-forense: ofuscação de trilha

O objetivo da ofuscação de trilha é confundir e enganar o processo de investigação forense.
Os invasores enganam os investigadores por meio de adulteração de log, geração de cabeçalho de e-mail falso, modificação de
carimbo de data/hora e modificação de vários cabeçalhos de arquivo.


Os invasores podem fazer isso usando várias ferramentas e técnicas, como as listadas abaixo:
ÿ Limpadores de toras
ÿ Contas Zumbi
ÿ Falsificação
ÿ Comandos de Tróia
ÿ Desinformação
A ofuscação do conteúdo do tráfego pode ser obtida por meio de VPNs e tunelamento SSH.
Nesse processo, os invasores excluem ou modificam os metadados de alguns arquivos importantes para confundir os
investigadores. Eles modificam informações de cabeçalho e extensões de arquivo usando várias ferramentas.
Timestomp, que faz parte do Metasploit Framework, é uma ferramenta de ofuscação de trilha que os invasores usam
para modificar, editar e excluir os metadados de data e hora em um arquivo e torná-lo inútil para os investigadores.
Transmogrify é outro exemplo de tal ferramenta.
ÿ Temporização
Timestomp é uma das ferramentas de ofuscação de trilha mais amplamente usadas que permitem a exclusão
ou modificação de informações relacionadas a carimbo de data/hora em arquivos. O procedimento para
contornar essa técnica é abordado na seção “Detectando dados/metadados sobrescritos”.
Figura 5.16: Atributos MACE de marcação de tempo


Técnica anti-forense: limpeza de artefato
A limpeza de artefatos envolve vários métodos destinados à exclusão

permanente de arquivos específicos ou sistemas de arquivos inteiros
Métodos de limpeza de artefatos:
1. Utilitários de limpeza de disco 2. Utilitários de limpeza de arquivos
ÿ A limpeza do disco envolve apagar ÿ Exclui arquivos individuais e

dados do disco, excluindo seus entradas da tabela de arquivos de um sistema operacional
links para blocos de memória e

sobrescrevendo a memória ÿ Alguns dos utilitários de limpeza de
conteúdo arquivos comumente usados
incluem BCWipe, R-Wipe & Clean,
ÿ Alguns dos utilitários de limpeza de
CyberScrub Privacy Suite, etc.
disco comumente usados incluem
BCWipe Total WipeOut,
CyberScrub cyberCide,
DriveScrubber, ShredIt, etc.
Técnica anti-forense: limpeza de artefatos (continuação)
3. Técnicas de Desmagnetização/Destruição de Disco 4. Formatação de disco
ÿ A desmagnetização do disco é um processo pelo qual um forte ÿ A formatação de um disco rígido não apaga os dados
campo magnético é aplicado ao dispositivo de armazenamento, presentes no disco, mas limpa suas tabelas de
resultando em um dispositivo totalmente limpo de quaisquer dados endereços e desvincula todos os arquivos do sistema de
armazenados anteriormente arquivos
ÿ NIST recomenda uma variedade de métodos para

realizar a destruição física da mídia digital, que ÿ Mais tarde, uma nova árvore de arquivos é configurada para usar com o SO
inclui desintegração, incineração, pulverização,
trituração e derretimento
ÿ Depois de formatar um disco rígido, o investigador
ÿ Os invasores usam técnicas de desmagnetização/ forense pode recuperar dados de uma unidade
destruição de disco para tornar os dados formatada
probatórios indisponíveis para investigadores forenses
Observação: é difícil recuperar dados que foram eliminados usando essas técnicas. Portanto, é recomendável que as organizações façam
backup dos dados regularmente.
Técnica anti-forense: limpeza de artefato
A limpeza de artefato refere-se ao processo de exclusão ou destruição permanente dos arquivos de evidências
usando utilitários de limpeza de arquivos e de disco e técnicas de desmagnetização/destruição de disco. O
invasor elimina permanentemente determinados arquivos ou o próprio sistema de arquivos.


ÿ Utilitários de limpeza de disco
A limpeza de disco envolve o apagamento de dados do disco, excluindo seus links para blocos de memória e
substituindo o conteúdo da memória. Nesse processo, o aplicativo substitui o conteúdo do MBR, tabela de partição e
outros setores do disco rígido com caracteres como caractere nulo ou qualquer caractere aleatório várias vezes
(usando padrões de limpeza de dados). Nesse caso, o investigador forense acha difícil recuperar os dados do
dispositivo de armazenamento.
Alguns dos utilitários de limpeza de disco comumente usados incluem BCWipe Total WipeOut, CyberScrub cyberCide,
DriveScrubber, ShredIt, etc.
ÿ Utilitários de limpeza de arquivos
Esses utilitários excluem arquivos individuais de um sistema operacional em um curto espaço de tempo e deixam
uma assinatura muito menor quando comparada com os utilitários de limpeza de disco. No entanto, alguns
especialistas acreditam que muitas dessas ferramentas não são eficazes, pois não eliminam os dados com precisão
ou completamente e também exigem o envolvimento do usuário. Os utilitários de limpeza de arquivos comumente
usados são BCWipe, R-Wipe & Clean, CyberScrub Privacy Suite, etc.
ÿ Técnicas de Desmagnetização e Destruição de Disco
A desmagnetização do disco é um processo pelo qual um forte campo magnético é aplicado ao dispositivo de
armazenamento, resultando em um dispositivo totalmente limpo de quaisquer dados armazenados anteriormente. A
destruição física do dispositivo é uma das técnicas mais utilizadas para garantir a limpeza dos dados.
O NIST recomenda uma variedade de métodos para realizar a destruição física da mídia digital, que inclui
desintegração, incineração, pulverização, trituração e derretimento.
Intrusos usam técnicas de desmagnetização/destruição de disco para tornar os dados probatórios indisponíveis para
investigadores forenses.
ÿ Formatação de Disco
A formatação de um disco rígido não apaga os dados presentes no disco, mas limpa suas tabelas de endereços e
desvincula todos os arquivos do sistema de arquivos. Posteriormente, uma nova árvore de arquivos é configurada
para uso com o sistema operacional. Depois de formatar um disco rígido, o investigador forense pode recuperar
dados de uma unidade formatada.
Observação: é difícil recuperar dados que foram eliminados usando essas técnicas. Portanto, é recomendável que as
organizações façam backup dos dados regularmente.


Técnica anti-forense: substituição de dados/metadados

ÿ Os perpetradores usam técnicas diferentes para sobrescrever dados ou metadados (ou ambos) em uma mídia de armazenamento,
representando um desafio para os investigadores durante a recuperação de dados
ÿ Os programas de substituição (desinfetantes de disco) funcionam em três modos:
ÿ Sobrescrever mídia inteira
ÿ Sobrescrever arquivos individuais
ÿ Substituir arquivos excluídos na mídia
Sobrescrevendo Metadados
ÿ Os investigadores usam metadados para criar uma linha do tempo das ações do perpetrador, organizando todos os dados do computador
timestamps em uma sequência
ÿ Embora os invasores possam usar ferramentas para limpar o conteúdo da mídia, essa ação em si pode chamar a atenção de
investigadores. Portanto, os invasores encobrem seus rastros sobrescrevendo os metadados (ou seja, tempos de acesso), dificultando a construção
da linha do tempo.
ÿ Ex: Timestomp (parte do Metasploit Framework) é usado para alterar MACE (Modified-Accessed-Created-Entry)
atributos do arquivo
Técnica anti-forense: sobrescrever dados/metadados Os perpetradores usam
diferentes técnicas para sobrescrever dados ou metadados (ou ambos) em uma mídia de armazenamento, representando um
desafio para os investigadores durante a recuperação de dados.
Os programas de substituição (desinfetantes de disco) funcionam em três modos:
ÿ Sobrescrever mídia inteira
ÿ Substituir arquivos individuais
ÿ Substituir arquivos excluídos na mídia
Sobrescrevendo Metadados
ÿ Os investigadores usam metadados para criar uma linha do tempo das ações do perpetrador, organizando
todos os timestamps do computador em uma sequência
ÿ Embora os invasores possam usar ferramentas para limpar o conteúdo da mídia, essa ação em si pode chamar a atenção
dos investigadores. Portanto, os invasores encobrem seus rastros sobrescrevendo os metadados (ou seja, tempos de
acesso), dificultando a construção da linha do tempo. ÿ Ex: Timestomp (parte do Metasploit Framework) é usado para
alterar MACE (Modified

Accessed-Created-Entry) atributos do arquivo
ÿ Outra forma de confundir o investigador é aceder ao computador de forma a que não sejam gerados metadados
o Exemplos: Montar uma partição como somente leitura ou acessá-la por meio do dispositivo bruto,
impede que os metadados do arquivo sejam atualizados
o Definindo a chave de registro do Windows

“HKLM\SYSTEM\CurrentControlSet\Control\FileSystem\NtfsDisableLastAccessUpdat e” para 1 desativa a
atualização do último carimbo de data/hora acessado


Anti-forense
Técnica:
Criptografia
ÿ A criptografia de dados é uma ÿ Intrusos usam fortes ÿ Além disso, a maioria dos programas de ÿ A criptoanálise pode ser usada
das técnicas comumente algoritmos de criptografia para criptografia é capaz de executar funções para descriptografar dados
usadas para derrotar a criptografar dados de valor adicionais, incluindo o uso de um arquivo criptografados
investigação forense investigativo, o que os torna de chave, criptografia de volume total
• Exemplo: CryptoTool
processo praticamente ilegíveis sem o e negação plausível; que torna o trabalho
do investigador mais difícil
chave designada
Técnica anti-forense: Criptografia
A criptografia é uma maneira eficaz de proteger os dados que envolve o processo de tradução de dados em um
código secreto que somente o pessoal autorizado pode acessar.
Para ler o arquivo criptografado, os usuários precisam de uma chave secreta ou senha que possa descriptografar o
arquivo. Devido à sua eficácia e facilidade de uso, a maioria dos invasores prefere usar técnicas de criptografia para
análise forense.
Os invasores usam algoritmos de criptografia fortes para criptografar dados de valor investigativo, o que os torna
praticamente ilegíveis sem a chave designada. Alguns algoritmos são capazes de evitar os processos de
investigação executando funções adicionais, incluindo o uso de um arquivo de chave, criptografia de volume total e
negação plausível.
Listados abaixo estão os utilitários de criptografia integrados fornecidos pela Microsoft para Windows 7 e posterior:
ÿ BitLocker—criptografa um volume inteiro
ÿ Encrypting File System (EFS)—criptografa arquivos e diretórios individuais
A criptoanálise pode ser usada para descriptografar dados criptografados.
ÿ Exemplo: CryptoTool
O VeraCrypt é uma das ferramentas mais utilizadas na criptografia anti-forense.


Fluxo do módulo
1 2
Entenda o Anti-Forense e Discutir Anti-forense
suas Técnicas Contramedidas
Discutir contramedidas anti-forenses

Esta seção discute as contramedidas a serem usadas pelos investigadores contra ferramentas e
técnicas anti-forenses.


Contramedidas anti-forenses
1 Treine e eduque os investigadores forenses sobre anti-forense
2 Valide os resultados do exame usando várias ferramentas
3 Imponha leis rígidas contra o uso ilegal de ferramentas anti-forenses
4 Compreender as técnicas anti-forense e as suas fragilidades
5 Use CFTs mais recentes e atualizados e teste-os quanto a vulnerabilidades
Contramedidas anti-forenses
Os investigadores podem superar as técnicas anti-forenses discutidas neste módulo por meio de monitoramento
aprimorado de dispositivos e uso de CFTs atualizados. Algumas das contramedidas importantes contra técnicas anti-
forenses estão listadas abaixo:
ÿ Treinar e educar os investigadores forenses sobre anti-forense
ÿ Validar os resultados do exame usando várias ferramentas
ÿ Impor leis estritas contra o uso ilegal de ferramentas anti-forenses
ÿ Compreender as técnicas anti-forenses e as suas fragilidades
ÿ Use CFTs mais recentes e atualizados e teste-os quanto a vulnerabilidades
ÿ Salvar dados em locais seguros
ÿ Use bibliotecas de descompressão inteligentes para se defender contra bombas de compressão
ÿ Substituir técnicas fracas de identificação de arquivos por outras mais fortes
Observação: é melhor não depender totalmente de ferramentas específicas, pois as próprias ferramentas não são
imunes a ataques.


Ferramentas anti-forense
Estúdio de CryptaPix GiliSoft File Lock Pro http:// wbStego Armazenamento
Esteganografia https:// www.briggsoft.com gilisoft.com https:// wbstego.wbailer.com de Dados https:// www.skyjuicesoftware.com
http:// stegstudio.sourceforge.net
OmniHide PRO Máscara Som Profundo DBAN east-tec InvisibleSecrets https://

https:// omnihide.com http:// softpuls.weebly.com http:// jpinsoft.net https:// dban.org www.east-tec.com
Ferramentas anti-forense
Algumas ferramentas anti-forenses estão listadas a seguir:
ÿ Estúdio de Esteganografia (http:// stegstudio.sourceforge.net)

ÿ CryptaPix (https:// www.briggsoft.com)
ÿ GiliSoft File Lock Pro (http:// gilisoft.com)
ÿ wbStego (https:// wbstego.wbailer.com)
ÿ Data Stash (https:// www.skyjuicesoftware.com)
ÿ OmniHide PRO (https:// omnihide.com)
ÿ Máscaras (http:// softpuls.weebly.com)
ÿ DeepSound (http:// jpinsoft.net)
ÿ DBAN (https:// dban.org)
ÿ east-tec InvisibleSecrets (https:// www.east-tec.com)


Resumo do módulo
Este módulo discutiu as técnicas anti-forenses
Ele discutiu a exclusão de dados e a análise forense da Lixeira
Ele também discutiu em detalhes as técnicas de gravação de arquivos e maneiras de

recuperar evidências de partições excluídas
Este módulo também discutiu as técnicas de cracking/bypass de senha
Ele também discutiu como detectar esteganografia, dados ocultos em estruturas do sistema
de arquivos e ofuscação de trilha
Ele também discutiu as técnicas de limpeza de artefatos, detecção de dados/

metadados sobrescritos e criptografia
Finalmente, este módulo terminou com uma discussão detalhada sobre as contramedidas
e ferramentas anti-forenses
No próximo módulo, discutiremos em detalhes a análise forense do Windows
Resumo do módulo
Este módulo discutiu várias técnicas anti-forense. Ele explicava a exclusão de dados e a análise forense da Lixeira. Ele
também discutiu em detalhes técnicas e métodos de escultura de arquivos para recuperar evidências de partições
excluídas. Além disso, este módulo discutiu técnicas de cracking/bypass de senha. Ele também discutiu como detectar
esteganografia, dados ocultos em estruturas de sistema de arquivos e ofuscação de trilhas. Além disso, explicou as técnicas
de limpeza de artefatos, detecção de dados/metadados sobrescritos e criptografia. Por fim, este módulo apresentou uma
discussão detalhada sobre contramedidas e ferramentas antiforenses.
No próximo módulo, discutiremos detalhadamente a análise forense do Windows.


MODULE 05 - Defeating Anti-Forensics Techniques

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

MODULE 05 - Defeating Anti-Forensics Techniques

Enviado por

Direitos autorais:

Formatos disponíveis

Machine Translated by Google

Fundamentos de Perícia Forense Digital Exame 112-53

2 Compreendendo a exclusão de dados e a análise forense da lixeira

Visão geral das técnicas de gravação de arquivo e maneiras de recuperar evidências de

4 Compreendendo as técnicas de cracking/bypassing de senha

Entendendo como detectar esteganografia, dados ocultos no sistema de arquivos

Compreendendo as técnicas de limpeza de artefatos, dados sobrescritos/

7 Visão geral das contramedidas e ferramentas antiforenses

Copyright © por EC-Council. Todos os direitos reservados. A reprodução é estritamente proibida.

Ao final deste módulo, você será capaz de:

ÿ Compreender as técnicas anti-forenses

ÿ Discutir exclusão de dados e análise forense da Lixeira

ÿ Ilustrar técnicas de escultura de arquivo e maneiras de recuperar evidências de partições excluídas

ÿ Explorar as técnicas de cracking/bypass de senha

ÿ Detecte esteganografia, dados ocultos em estruturas do sistema de arquivos e ofuscação de trilhas

ÿ Compreender as técnicas de limpeza de artefatos, detecção de dados/metadados sobrescritos e

ÿ Compreender as contramedidas anti-forenses e as ferramentas anti-forenses

Módulo 05 Página 228 Digital Forensics Essentials Copyright © por EC-Council

Fundamentos de Perícia Forense Digital Exame 112-53

Copyright © por EC-Council. Todos os direitos reservados. A reprodução é estritamente proibida.

Entenda o Anti-Forense e suas Técnicas

Módulo 05 Página 229 Digital Forensics Essentials Copyright © por EC-Council

Fundamentos de Perícia Forense Digital Exame 112-53

ÿ Interromper e impedir a coleta de informações

ÿ Dificulta a tarefa do investigador de encontrar evidências

ÿ Ocultar vestígios de crime ou atividade ilegal

ÿ Comprometer a precisão de um relatório forense ou testemunho

ÿ Excluir evidências de que uma ferramenta anti-forense foi executada

Copyright © por EC-Council. Todos os direitos reservados. A reprodução é estritamente proibida.

Os objetivos da anti-forense estão listados abaixo:

ÿ Interromper e impedir a recolha de informação

ÿ Dificultar a tarefa do investigador de encontrar provas

ÿ Ocultar vestígios de crime ou atividade ilícita

ÿ Comprometer a exatidão de um relatório ou testemunho forense

ÿ Excluir evidências de que uma ferramenta anti-forense foi executada

Módulo 05 Página 230 Digital Forensics Essentials Copyright © por EC-Council

Fundamentos de Perícia Forense Digital Exame 112-53

3 Esteganografia 9 Empacotadores de programas

4 Ocultação de dados em estruturas de sistema de arquivos 10 Minimização da Pegada

6 Limpeza de Artefatos 12 Detecção de atividades de ferramentas forenses

Copyright © por EC-Council. Todos os direitos reservados. A reprodução é estritamente proibida.

Abaixo estão os tipos de técnicas anti-forenses:

1. Exclusão de dados/arquivos 7. Sobrescrevendo Dados/Metadados

2. Proteção por senha 8. Criptografia

3. Esteganografia 9. Empacotadores de programas

4. Ocultação de dados em estruturas de sistema de arquivos 10. Minimização da Pegada

5. Ofuscação de trilha 11. Explorando bugs de ferramentas forenses

6. Limpeza de artefatos 12. Detecção de atividades de ferramentas forenses

Módulo 05 Página 231 Digital Forensics Essentials Copyright © por EC-Council

Fundamentos de Perícia Forense Digital Exame 112-53

Quando um arquivo é excluído do disco rígido, o ponteiro para o

Em outras palavras, os arquivos excluídos podem

que contêm o conteúdo do arquivo sejam substituídos

Ferramentas de recuperação de dados como Autopsy, Recover My Files,

Copyright © por EC-Council. Todos os direitos reservados. A reprodução é estritamente proibida.

Técnica anti-forense: exclusão de dados/arquivos

Módulo 05 Página 232 Digital Forensics Essentials Copyright © por EC-Council

Fundamentos de Perícia Forense Digital Exame 112-53

O que acontece quando um arquivo é excluído no Windows?

Sistema de arquivos FAT Sistema de arquivos NTFS

ÿ O SO substitui a primeira letra de um ÿ Quando um usuário exclui um arquivo, o SO apenas

ÿ Os clusters alocados para o arquivo excluído são marcados

ÿ O computador agora percebe aqueles vazios

está sobrescrito ÿ O arquivo excluído pode ser recuperado se o espaço