Escolar Documentos
Profissional Documentos
Cultura Documentos
MT
CE-Conselho
D FE
Digital Princípios Forenses
Machine Translated by Google
Objetivos do Módulo
1 Compreendendo as técnicas anti-forenses
Objetivos do Módulo
Depois de comprometer um sistema, os invasores geralmente tentam destruir ou ocultar todos os vestígios de suas
atividades; isso torna a investigação forense extremamente desafiadora para os investigadores. O uso de várias
técnicas por cibercriminosos para destruir ou ocultar vestígios de atividades ilegais e dificultar os processos de
investigação forense é chamado de antiforense. Os investigadores forenses precisam superar/derrotar os anti-forenses
para que uma investigação produza evidências concretas e precisas que ajudem a identificar e processar os
perpetradores.
Este módulo descreve os fundamentos das técnicas anti-forenses e discute detalhadamente como os investigadores
forenses podem derrotá-los usando várias ferramentas.
Fluxo do módulo
1 2
Entenda o Anti-Forense e Discutir Anti-forense
suas Técnicas Contramedidas
Esta seção apresenta uma visão geral do anti-forense e lista várias técnicas anti-forenses usadas pelos
invasores.
O que é Anti-forense?
Anti-forense (também conhecido como contra-forense) é um termo comum para um conjunto de técnicas destinadas a
complicar ou impedir um processo de investigação forense adequado
Objetivos da Anti-forense
O que é Anti-forense?
Anti-forense, também conhecido como contra-forense, é um conjunto de técnicas que invasores ou perpetradores usam
para evitar ou desviar o processo de investigação forense ou tentar torná-lo muito mais difícil. Essas técnicas afetam
negativamente a quantidade e a qualidade das evidências da cena do crime, dificultando o processo de investigação
forense.
Portanto, o investigador pode ter que executar etapas adicionais para buscar os dados, causando um atraso no
processo de investigação.
Técnicas Anti-Forenses
1 Exclusão de dados/arquivos 7 Sobrescrevendo Dados/Metadados
2 Proteção de senha
8 Criptografia
5 Ofuscação de trilha
11 Explorando bugs de ferramentas forenses
Técnicas Anti-Forenses
Técnicas anti-forenses são as ações e métodos que impedem o processo de investigação forense, a fim de proteger os atacantes
e perpetradores de processos judiciais em um tribunal.
Essas técnicas agem contra o processo de investigação, como detecção, coleta e análise de arquivos de evidências e desviam os
investigadores forenses. Essas técnicas impactam na qualidade e quantidade das evidências de uma cena de crime, dificultando
assim a análise e investigação. Técnicas anti-forenses, que incluem processos de exclusão e substituição, também ajudam a
garantir a confidencialidade dos dados, reduzindo a capacidade de lê-los.
Os invasores usam essas técnicas para se defender contra a revelação de suas ações durante atividades criminosas. Funcionários
fraudulentos podem usar ferramentas anti-forenses para a destruição de dados que podem causar grandes prejuízos à organização.
Técnica anti-forense:
Exclusão de dados/arquivos
Quando um arquivo é excluído do disco rígido, o ponteiro para o arquivo é removido pelo sistema operacional e os
setores que contêm os dados excluídos são marcados como disponíveis, o que significa que o conteúdo dos
dados excluídos permanece no disco rígido até que sejam substituídos por novos dados. Os investigadores
forenses usam ferramentas de recuperação de dados, como Autopsy, Recover My Files, EaseUS Data Recovery
Wizard Pro, R-Studio, etc., para escanear o disco rígido e analisar o sistema de arquivos para uma recuperação
de dados bem-sucedida.
Nota: Em um sistema Windows, executar a operação normal de exclusão envia os arquivos para a Lixeira. Considerando que
executar a operação Shift+Delete ignora a Lixeira.
Quando qualquer usuário exclui um arquivo, o sistema operacional na verdade não exclui o arquivo, mas marca a entrada do
arquivo como não alocada na tabela mestre de arquivos (MFT) e aloca um caractere especial. Este caractere indica que o
espaço agora está pronto para uso.
No sistema de arquivos FAT, o sistema operacional substitui a primeira letra de um nome de arquivo excluído por um código de
byte hexadecimal, E5h. E5h é uma tag especial que indica um arquivo excluído. O sistema de arquivos FAT marca os clusters
correspondentes desse arquivo como não utilizados, embora não estejam vazios.
No sistema de arquivos NTFS, quando um usuário exclui um arquivo, o sistema operacional apenas marca a entrada do arquivo
como não alocada, mas não exclui o conteúdo real do arquivo. Os clusters alocados para o arquivo excluído são marcados
como livres no $BitMap (o arquivo $BitMap é um registro de todos os clusters usados e não usados). O computador agora
percebe esses clusters vazios e aproveita esse espaço para armazenar um novo arquivo. O arquivo excluído pode ser
recuperado se o espaço não for alocado para nenhum outro arquivo. Em um sistema Windows, executar a operação normal de
exclusão envia os arquivos para a Lixeira. Considerando que executar a operação Shift+Delete ignora a Lixeira.
Lixeira no Windows
A Lixeira é um local de armazenamento temporário para
01 arquivos excluídos
Nota: Excluir um arquivo ou pasta de uma unidade de rede ou de uma unidade USB pode excluí-los permanentemente em vez de serem armazenados na Lixeira
• No Windows Vista e versões posteriores, ele está localizado em Drive:\$Recycle.Bin\<SID> https:// www.copyright.gov
Lixeira no Windows
(continua)
Exemplo:
Lixeira no Windows
A Lixeira armazena temporariamente os arquivos excluídos. Quando um usuário exclui um item, ele é enviado
para a Lixeira. No entanto, ele não armazena itens excluídos de mídia removível, como uma unidade USB ou
unidade de rede.
Os itens presentes na Lixeira ainda consomem espaço no disco rígido e são fáceis de restaurar. Os usuários podem usar a opção de
restauração na Lixeira para recuperar arquivos excluídos e enviá-los de volta ao local original.
Mesmo que os arquivos sejam excluídos da Lixeira, eles continuam a consumir espaço no disco rígido até que os locais sejam substituídos
pelo sistema operacional com novos dados.
Quando a Lixeira fica cheia, o Windows exclui automaticamente os itens mais antigos. O sistema operacional Windows atribui um espaço
específico em cada partição do disco rígido para armazenar arquivos na Lixeira. O sistema não armazena itens maiores na Lixeira; em vez
disso, ele os exclui permanentemente.
1. Na área de trabalho, clique com o botão direito do mouse no ícone da Lixeira e selecione “Propriedades”
3. Clique em “Tamanho personalizado” e insira um tamanho máximo de armazenamento (em MB) para a Lixeira na caixa “Tamanho
máximo (MB)”
4. Clique em OK
1. Para restaurar um arquivo, clique com o botão direito do mouse no ícone do arquivo e selecione Restaurar
2. Para restaurar todos os arquivos, selecione Todos, vá para Gerenciar e clique em Restaurar os itens selecionados
3. Para excluir um arquivo, clique com o botão direito do mouse no ícone do arquivo e selecione Excluir
ÿ Selecione Todos, clique com o botão direito do mouse e selecione a opção Excluir
o Ambos os métodos mostram uma janela pop-up para confirmar a exclusão permanente dos itens.
Clique em Sim.
Local de armazenamento da Lixeira no sistema de arquivos FAT: O sistema de arquivos FAT mais antigo, usado no Windows
98 e versões anteriores, armazenava os arquivos excluídos na pasta Drive:\RECYCLED .
Não há limite de tamanho para a Lixeira no Vista e versões posteriores do Windows, enquanto as versões mais antigas
tinham um limite máximo de 3,99 GB. A Lixeira não pode armazenar itens maiores que sua capacidade de armazenamento.
Quando um usuário exclui um arquivo ou pasta, o Windows armazena todos os detalhes do arquivo, como seu nome e o
caminho onde foi armazenado, no INFO2, que é um arquivo oculto encontrado na Lixeira.
O sistema operacional usa essas informações para restaurar o arquivo excluído ao seu local original. A pasta oculta Recycled
contém arquivos excluídos de uma máquina Windows.
Nas versões anteriores do Windows, os arquivos excluídos eram renomeados pelo sistema operacional usando o
seguinte formato:
Por exemplo, no caso de um arquivo Dxy.ext na pasta Reciclado, “x” denota o nome da unidade, como “C”, “D” e outros; “y”
denota o número sequencial a partir de um; e “ext” é a extensão do arquivo original.
No Windows Vista e versões posteriores, os arquivos excluídos são renomeados pelo sistema operacional usando
o seguinte formato:
$I<#>.<extensão original>, onde <#> representa um conjunto de letras e números aleatórios igual
ao usado para $R
Nas versões do Windows mais recentes que o Vista e XP, o sistema operacional armazena o caminho completo e o nome
do arquivo ou pasta em um arquivo oculto chamado INFO2. Este arquivo permanece dentro da pasta Reciclado ou Reciclador
e armazena informações sobre os arquivos excluídos.
INFO2 é o arquivo de banco de dados mestre e é muito crucial para a recuperação de dados. Ele contém vários detalhes
de arquivos excluídos, como nome do arquivo original, tamanho do arquivo original, data e hora da exclusão, número de
identificação exclusivo e o número da unidade na qual o arquivo foi armazenado.
4 dados recuperados
ÿ
Se os arquivos de metadados relacionados aos arquivos originais não estiverem presentes na pasta, o
investigador pode usar o comando 'copiar' para recuperar os arquivos excluídos (arquivos $R)
Comando:
ÿ
Caso os metadados da Lixeira sejam perdidos ou os dados sejam ocultados intencionalmente pelo
criminoso, o investigador pode seguir as etapas acima para recuperar os arquivos excluídos do
Lixeira para análise posterior
arquivo de escultura
ÿ É uma técnica para recuperar arquivos e fragmentos de arquivos do disco rígido na ausência de metadados do sistema de arquivos
ÿ Nesta técnica, a identificação e extração do arquivo é baseada em certas características, como cabeçalho ou rodapé do arquivo
em vez da extensão do arquivo ou metadados
ÿ Um cabeçalho de arquivo é uma assinatura (também conhecida como número mágico), que é um valor numérico ou de texto constante que
determina um formato de arquivo
Exemplo: ÿ
Um suspeito pode tentar impedir que uma imagem seja detectada pelos investigadores alterando a extensão do arquivo de .jpg para .dll ÿ No
entanto, alterar a extensão do arquivo não altera o cabeçalho do arquivo e a análise informa o formato real do arquivo Exemplo: ÿ Um formato
de arquivo é confirmado como .jpg se mostrar “JFIF” no cabeçalho do arquivo e a assinatura hexadecimal como “4A 46 49 46“
ÿ Os investigadores podem dar uma olhada nos cabeçalhos dos arquivos para verificar o formato do arquivo usando ferramentas como 010 Editor, CI Hex Viewer,
Hexinator, Hex Editor Neo, Qiew, WinHex, etc.
arquivo de escultura
File carving refere-se a uma técnica usada para recuperar arquivos excluídos/perdidos e fragmentos de arquivos do disco rígido
quando os metadados do sistema de arquivos estão ausentes. Ao permitir que os investigadores forenses recuperem arquivos
que foram excluídos/perdidos de um disco rígido, o file carving ajuda a extrair artefatos valiosos relacionados a um caso de
crime cibernético para exame mais aprofundado. Um perpetrador também pode tentar excluir uma partição inteira do disco rígido
e, em seguida, mesclar o espaço não alocado da partição excluída com a partição primária do sistema para evitar que um
investigador identifique a partição perdida.
ÿ Conforme discutido anteriormente, o file carving é o processo de recuperação de arquivos de seus fragmentos e partes
do espaço não alocado do disco rígido na ausência de metadados do sistema de arquivos.
Na computação forense, ajuda os investigadores a extrair dados de um meio de armazenamento sem qualquer
suporte do sistema de arquivos usado na criação do arquivo.
ÿ Espaço não alocado refere-se ao espaço no disco rígido que não contém nenhuma informação de arquivo, mas armazena
dados de arquivo sem os detalhes de sua localização. Os investigadores podem identificar os arquivos usando certas
características, como cabeçalho do arquivo (os primeiros bytes) e rodapé (os últimos bytes).
ÿ Por exemplo, um suspeito pode tentar ocultar uma imagem da detecção pelos investigadores, alterando a extensão do
arquivo de .jpg para .dll. No entanto, alterar a extensão do arquivo não altera o cabeçalho do arquivo, o que pode
revelar o formato real do arquivo. Um formato de arquivo é confirmado como .jpg se mostrar “JFIF” no cabeçalho do
arquivo e a assinatura hexadecimal como “4A 46 49 46“.
ÿ
Os métodos de gravação de arquivos podem variar com base em diferentes elementos, como fragmentos de dados
presentes, técnica de exclusão usada, tipo de mídia de armazenamento etc. Esse processo depende de informações
sobre o formato dos arquivos de interesse existentes. Os investigadores podem analisar
os cabeçalhos do arquivo para verificar o formato do arquivo usando ferramentas como 010 Editor, CI Hex Viewer,
Hexinator, Hex Editor Neo, Qiew, WinHex, etc.
ÿ
A escultura de arquivos não requer estrutura do sistema de arquivos para recuperar dados do disco, enquanto a
recuperação de arquivos requer conhecimento da estrutura do sistema de arquivos para recuperar dados excluídos.
Isso permite que ferramentas forenses, como Autopsy, Recall My Files, EaseUS Data Recovery Wizard Pro e
R-Studio for Windows, recuperem esses arquivos/pastas excluídos do disco rígido. Em SSDs, a recuperação
de arquivos excluídos torna-se difícil, pois o TRIM é ativado por padrão.
recuperação de dados do disco rígido para recuperar dados perdidos do PC, laptop Recuperar meus
ou outra mídia de armazenamento devido a exclusão, formatação, perda de partição, arquivos https:// getdata.com
travamento do sistema operacional, ataques de vírus, etc.
DiskDigger
https:// diskdigger.org
Handy Recovery
https:// www.handyrecovery.com
Recuperação rápida
https:// www.recoveryourdata.com
Recuperação
https:// www.stellarinfo.com
https:// www.easeus.com
EaseUS Data Recovery Wizard é usado para executar a recuperação de formato e desformatar e recuperar arquivos excluídos
esvaziados da Lixeira ou dados perdidos devido a perda ou dano de partição, falha de software, infecção por vírus, desligamento
inesperado , ou qualquer outro motivo desconhecido no Windows 10, 8, 7, 2000/XP/Vista/2003/2008 R2 SP1/Windows 7 SP1. Este
software suporta RAID de hardware e disco rígido, unidade USB, cartão SD, cartão de memória, etc.
Características
o Especifica os tipos de arquivo antes da recuperação do arquivo para encontrar arquivos perdidos rapidamente
Figura 5.7: Recuperando arquivos excluídos usando o assistente de recuperação de dados EaseUS
3
4
ÿ É necessário observar que, se um executável apaga a ÿ Ferramentas de terceiros, como Stellar Phoenix
si mesmo, seu conteúdo pode ser recuperado de uma Recuperação de Dados Linux, R-Studio para Linux,
imagem de memória /proc . O comando cp /proc/$PID/ TestDisk, PhotoRec e Kernel para Linux
exe/tmp/file cria uma cópia de um arquivo em /tmp Data Recovery pode ser usado para recuperar
arquivos excluídos do Linux
No Linux, os usuários podem excluir arquivos usando o comando /bin/rm/ , em que o inode apontando para o arquivo é
excluído, mas o arquivo permanece no disco.
Portanto, o investigador forense pode usar ferramentas de terceiros, como Stellar Phoenix Linux Data Recovery, R-Studio
for Linux, TestDisk, PhotoRec, Kernel for Linux Data Recovery, etc., para recuperar dados excluídos do disco.
Se um usuário remover um arquivo que está sendo usado por qualquer processo em execução, o conteúdo do arquivo
ocupará um espaço em disco que não pode ser recuperado por nenhum outro arquivo ou programa.
O segundo sistema de arquivos estendido (ext2) foi projetado de forma a mostrar vários locais onde os dados podem ser
ocultados.
Vale ressaltar que se um executável apagar a si mesmo, seu conteúdo pode ser recuperado de uma imagem de memória /
proc . O comando cp/proc/$PID/exe/tmp/file cria uma cópia de um arquivo em /tmp.
Ao contrário do Windows, o Linux pode acessar e recuperar dados de uma variedade de máquinas. O kernel do Linux
oferece suporte a um grande número de sistemas de arquivos, incluindo sistemas de arquivos VxFS, UFS, HFS, NTFS e FAT.
Alguns sistemas de arquivos não são legíveis em um ambiente Windows, e os usuários podem facilmente recuperar esses
arquivos usando uma distribuição inicializável do Linux, como o Knoppix. Ferramentas de terceiros, como Stellar Phoenix
Linux Data Recovery, R-Studio for Linux, TestDisk, PhotoRec e Kernel for Linux Data Recovery, podem ser usadas para
recuperar arquivos excluídos do Linux.
ÿ A imagem adquirida forense do SSD desativado por TRIM deve ser examinada usando ferramentas de escultura
de arquivo, como Autopsy, R-Studio, etc.
ÿ
Na autópsia, os dados esculpidos do arquivo de evidências forenses são exibidos na fonte de dados apropriada
com o título “$CarvedFiles”
Quando uma partição é excluída de um disco, as entradas com a respectiva partição excluída
são removidas pelo computador da tabela de partições MBR
Os investigadores usam ferramentas como R-Studio e EaseUS Data Recovery Wizard para
escanear o disco em busca de partições perdidas e recuperá-las
Quando um usuário exclui uma partição do disco, os dados alocados para a partição são perdidos e a partição
excluída é convertida em espaço não alocado no disco.
A tabela de partições MBR armazena os registros das partições primárias e estendidas disponíveis no disco.
Portanto, sempre que uma partição é excluída do disco, as entradas pertencentes às partições são removidas
da tabela de partições MBR.
Um invasor/interno com intenção maliciosa pode excluir uma partição e mesclá-la com a partição primária.
Quando uma partição não alocada é encontrada durante a investigação forense, o investigador usa ferramentas automatizadas,
como o EaseUS Data Recovery Wizard, para descobrir a partição perdida e recuperar os dados dela
A ferramenta EaseUS Data Recovery Wizard recupera dados das partições do sistema de arquivos baseadas em FAT e NTFS
Quando uma partição não alocada é encontrada durante a investigação forense, o investigador usa ferramentas
automatizadas, como o EaseUS Data Recovery Wizard, para descobrir a partição perdida e recuperar os dados
dela.
A ferramenta EaseUS Data Recovery Wizard recupera dados das partições do sistema de arquivos baseadas em
FAT e NTFS.
Figura 5.10: Partição não alocada detectada usando o EaseUS Data Recovery
Anti-
forense
Técnica:
Senha Ao conduzir uma investigação forense no computador do suspeito,
acessar recursos protegidos por senha é um dos desafios
Proteção
enfrentados pelo investigador
Os invasores e intrusos usam essas técnicas de proteção para ocultar dados de evidência, impedir a
engenharia reversa de aplicativos, dificultar a extração de informações de dispositivos de rede e
impedir o acesso ao sistema e ao disco rígido. Isso pode dificultar o trabalho dos investigadores
forenses. A criptografia é uma técnica preferida para dissuadir a análise forense. Nesses casos, os
investigadores podem usar ferramentas de quebra de senha, como ophcrack e RainbowCrack, para
burlar a proteção por senha.
Tipos de senha
Tipos de senha
Os dispositivos de computação podem armazenar e transmitir senhas como senhas de texto não criptografado,
ofuscadas e com hash, das quais apenas as senhas com hash precisam ser quebradas, enquanto os outros tipos de
senha podem ajudar na fase de quebra.
o Exemplo: o Registro do Windows armazena a senha de logon automático em texto não criptografado no
registro, HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
o Os investigadores podem usar ferramentas como Cain e Ettercap para detectar senhas de texto não criptografado
ÿ Senhas ofuscadas
o Quando a transformação é reversível, a senha torna-se ilegível quando o usuário aplica um algoritmo e na
aplicação do algoritmo reverso, ele retorna ao formato de texto não criptografado
ÿ Hashes de senha
o Hashes de senha são uma assinatura da senha original gerada usando um algoritmo unidirecional. As
senhas são hash usando algoritmos de hash (MD5, SHA, etc.), que não são reversíveis
Quebra de senha
Técnicas
Ataque de dicionário
Existem três técnicas populares para quebra de senha e elas são discutidas abaixo:
ÿ Ataques de Dicionário
o Na análise de criptografia, ajuda a descobrir a chave de descriptografia para obter o texto simples de
o texto cifrado
Algoritmos criptográficos devem ser fortes o suficiente para impedir um ataque de força bruta. A RSA define o ataque
de força bruta como “[uma] técnica básica para tentar todas as chaves possíveis em turnos até que a chave correta
seja identificada”.
Um ataque de força bruta é essencialmente um ataque criptoanalítico usado para descriptografar qualquer dado
criptografado (que pode ser chamado de cifra).
Em outras palavras, envolve testar todas as chaves possíveis na tentativa de recuperar o texto simples, que é a
base para a produção de um determinado texto cifrado.
Os ataques de força bruta precisam de mais poder de processamento em comparação com outros ataques. A
detecção de chaves ou texto simples em um ritmo rápido em um ataque de força bruta resulta na quebra da cifra.
Uma cifra é segura se não existir nenhum método para quebrá-la além de um ataque de força bruta. Principalmente,
todas as cifras carecem de prova matemática de segurança.
o É um processo demorado
o Um ataque contra hash de tecnologia de rede (NT) é muito mais difícil contra LAN
Gerenciador (LM) hash
Os invasores usam um ataque baseado em regras quando conhecem algumas informações confiáveis sobre a
senha, como regras para definir a senha, algoritmos envolvidos ou as strings e caracteres usados em sua criação.
Por exemplo, se os invasores souberem que a senha contém um número de dois ou três dígitos, eles usarão
algumas técnicas específicas para extração mais rápida da senha.
Ao obter informações úteis, como uso de números, comprimento da senha e caracteres especiais, o invasor pode
aprimorar o desempenho da ferramenta de cracking e, assim, reduzir o tempo necessário para recuperar a senha.
Esta técnica envolve ataques de força bruta, de dicionário e de sílaba (um ataque de sílaba combina tanto um ataque
de força bruta como um ataque de dicionário eéfrequentemente usado para quebrar as senhas que não consistem
numa palavra real mas numa mistura de caracteres e sílabas ).
Os invasores podem usar vários dicionários, técnicas de força bruta ou simplesmente tentar adivinhar a senha.
L0phtCrack
https:// www.l0phtcrack.com
ophcrack
https:// ophcrack.sourceforge.io
Caim e Abel
https:// www.oxid.it
RainbowCrack
https:// project-rainbowcrack.com
https:// www.passware.com
O Passware Kit Forensic é a solução completa de descoberta de evidências eletrônicas criptografadas que
relata e descriptografa todos os itens protegidos por senha em um computador. Ele suporta MS Office, PDF,
Zip e RAR, QuickBooks, FileMaker, Lotus Notes, carteiras Bitcoin, Apple iTunes Backup, Mac OS X Keychain,
gerenciadores de senhas, etc. Ele analisa imagens de memória ao vivo e arquivos de hibernação e extrai
chaves de criptografia para APFS, FileVault2, TrueCrypt, VeraCrypt, BitLocker e logins para contas Windows
e Mac de imagens de memória e arquivos de hibernação. O Passware Bootable Memory Imager adquire
memória de computadores Windows, Linux e Mac.
Esteganografia é uma técnica de ocultar O invasor pode usar a esteganografia para O investigador forense examina o Stego-
uma mensagem secreta dentro de uma ocultar mensagens como uma lista de Object para extrair as informações ocultas
mensagem comum e extraí-la no destino servidores comprometidos, código-fonte
para manter da ferramenta de hacking e planos para
confidencialidade dos dados ataques futuros
Função de função de
incorporação extração
Uma das deficiências de vários programas de detecção é seu foco principal na transmissão de dados de
texto. E se um invasor contornar as técnicas normais de vigilância e ainda conseguir roubar ou transmitir
dados confidenciais? Em uma situação típica, depois que um invasor consegue entrar em uma empresa
como funcionário temporário ou contratado, ele/ela procura informações sigilosas sub-repticiamente. Embora
a organização possa ter uma política que não permita equipamentos eletrônicos removíveis nas instalações,
um invasor determinado ainda pode encontrar maneiras de fazer isso usando técnicas como a esteganografia.
A esteganografia refere-se à arte de ocultar dados “atrás” de outros dados sem o conhecimento do alvo,
ocultando assim a existência da própria mensagem. Ele substitui bits de dados não utilizados em arquivos
comuns, como gráfico, som, texto, áudio, vídeo, etc., por alguns outros bits sub-reptícios. Os dados ocultos
podem ser texto simples ou texto cifrado, ou podem ser uma imagem. Utilizar uma imagem gráfica como
capa é o método mais popular para ocultar dados em arquivos. A esteganografia é preferida pelos invasores
porque, ao contrário da criptografia, não é fácil de detectar.
Por exemplo, os invasores podem ocultar um keylogger dentro de uma imagem legítima; portanto, quando
a vítima clica na imagem, o keylogger captura as teclas digitadas pela vítima.
Os invasores também usam a esteganografia para ocultar informações quando a criptografia não é viável.
Em termos de segurança, ele oculta o arquivo em um formato criptografado para que, mesmo que o invasor
o descriptografe, a mensagem permaneça oculta. Os invasores podem inserir informações como código-
fonte de uma ferramenta de hacking, lista de servidores comprometidos, planos para ataques futuros, canal
de comunicação e coordenação, etc. O investigador forense examina o Stego-Object para extrair as
informações ocultas.
Função de função de
incorporação extração
OpenStegoGenericName StegSpy
ÿ O OpenStego fornece duas funcionalidades principais: ocultação de ÿ StegSpy identifica um arquivo “esteganizado”
dados e marca d'água. Ele permite que os investigadores extraiam e detecta esteganografia e o programa
dados ocultos para análise. usado para ocultar a mensagem
ÿ Estego Aberto
o Ocultação de dados: Pode ocultar quaisquer dados dentro de um arquivo de capa (por exemplo, imagens).
o Marca d'água (beta): Arquivos de marca d'água (por exemplo, imagens) com uma assinatura invisível. Isto
pode ser usado para detectar a cópia de arquivo não autorizada.
ÿ StegSpy
o Hiderman o JPEG
o mascarado
ADS, ou um fluxo de dados alternativo, é um recurso do sistema de arquivos NTFS que ajuda os usuários a localizar um
arquivo usando informações de metadados alternativos, como o título do autor. Ele permite que os arquivos tenham mais
de um fluxo de dados, que são invisíveis para o Windows Explorer e requerem ferramentas especiais para visualização.
Assim, o ADS torna mais fácil para os criminosos ocultar dados em arquivos e acessá-los quando necessário. Os
invasores também podem armazenar arquivos executáveis no ADS e executá-los usando o utilitário de linha de comando.
O ADS permite que o invasor oculte qualquer número de fluxos em um único arquivo sem modificar o tamanho do
arquivo, a funcionalidade etc., exceto a data do arquivo. No entanto, a data do arquivo pode ser modificada usando
ferramentas anti-forenses como TimeStomp. Em alguns casos, esses ADS ocultos podem ser usados para explorar
remotamente um servidor da web.
Um ADS contém metadados, como registros de data e hora de acesso, atributos de arquivo, etc. Os investigadores
precisam encontrar o ADS e extrair as informações presentes nele. Como o sistema não pode modificar os dados do
ADS, recuperá-los pode oferecer detalhes brutos do arquivo e a execução do malware.
Além de usar os métodos mencionados acima, os investigadores também podem usar ferramentas de software para
identificar arquivos ADS e extrair os fluxos adicionais.
Técnica anti-forense:
Ofuscação de trilha
ÿ Comandos de Tróia
Os invasores podem fazer isso usando várias ferramentas e técnicas, como as listadas abaixo:
ÿ Limpadores de toras
ÿ Contas Zumbi
ÿ Falsificação
ÿ Comandos de Tróia
ÿ Desinformação
A ofuscação do conteúdo do tráfego pode ser obtida por meio de VPNs e tunelamento SSH.
Nesse processo, os invasores excluem ou modificam os metadados de alguns arquivos importantes para confundir os
investigadores. Eles modificam informações de cabeçalho e extensões de arquivo usando várias ferramentas.
Timestomp, que faz parte do Metasploit Framework, é uma ferramenta de ofuscação de trilha que os invasores usam
para modificar, editar e excluir os metadados de data e hora em um arquivo e torná-lo inútil para os investigadores.
Transmogrify é outro exemplo de tal ferramenta.
ÿ Temporização
Timestomp é uma das ferramentas de ofuscação de trilha mais amplamente usadas que permitem a exclusão
ou modificação de informações relacionadas a carimbo de data/hora em arquivos. O procedimento para
contornar essa técnica é abordado na seção “Detectando dados/metadados sobrescritos”.
ÿ A desmagnetização do disco é um processo pelo qual um forte ÿ A formatação de um disco rígido não apaga os dados
campo magnético é aplicado ao dispositivo de armazenamento, presentes no disco, mas limpa suas tabelas de
resultando em um dispositivo totalmente limpo de quaisquer dados endereços e desvincula todos os arquivos do sistema de
armazenados anteriormente arquivos
Observação: é difícil recuperar dados que foram eliminados usando essas técnicas. Portanto, é recomendável que as organizações façam
backup dos dados regularmente.
A limpeza de artefato refere-se ao processo de exclusão ou destruição permanente dos arquivos de evidências
usando utilitários de limpeza de arquivos e de disco e técnicas de desmagnetização/destruição de disco. O
invasor elimina permanentemente determinados arquivos ou o próprio sistema de arquivos.
A limpeza de disco envolve o apagamento de dados do disco, excluindo seus links para blocos de memória e
substituindo o conteúdo da memória. Nesse processo, o aplicativo substitui o conteúdo do MBR, tabela de partição e
outros setores do disco rígido com caracteres como caractere nulo ou qualquer caractere aleatório várias vezes
(usando padrões de limpeza de dados). Nesse caso, o investigador forense acha difícil recuperar os dados do
dispositivo de armazenamento.
Alguns dos utilitários de limpeza de disco comumente usados incluem BCWipe Total WipeOut, CyberScrub cyberCide,
DriveScrubber, ShredIt, etc.
Esses utilitários excluem arquivos individuais de um sistema operacional em um curto espaço de tempo e deixam
uma assinatura muito menor quando comparada com os utilitários de limpeza de disco. No entanto, alguns
especialistas acreditam que muitas dessas ferramentas não são eficazes, pois não eliminam os dados com precisão
ou completamente e também exigem o envolvimento do usuário. Os utilitários de limpeza de arquivos comumente
usados são BCWipe, R-Wipe & Clean, CyberScrub Privacy Suite, etc.
A desmagnetização do disco é um processo pelo qual um forte campo magnético é aplicado ao dispositivo de
armazenamento, resultando em um dispositivo totalmente limpo de quaisquer dados armazenados anteriormente. A
destruição física do dispositivo é uma das técnicas mais utilizadas para garantir a limpeza dos dados.
O NIST recomenda uma variedade de métodos para realizar a destruição física da mídia digital, que inclui
desintegração, incineração, pulverização, trituração e derretimento.
Intrusos usam técnicas de desmagnetização/destruição de disco para tornar os dados probatórios indisponíveis para
investigadores forenses.
ÿ Formatação de Disco
A formatação de um disco rígido não apaga os dados presentes no disco, mas limpa suas tabelas de endereços e
desvincula todos os arquivos do sistema de arquivos. Posteriormente, uma nova árvore de arquivos é configurada
para uso com o sistema operacional. Depois de formatar um disco rígido, o investigador forense pode recuperar
dados de uma unidade formatada.
Observação: é difícil recuperar dados que foram eliminados usando essas técnicas. Portanto, é recomendável que as
organizações façam backup dos dados regularmente.
Sobrescrevendo Metadados
ÿ Os investigadores usam metadados para criar uma linha do tempo das ações do perpetrador, organizando todos os dados do computador
timestamps em uma sequência
ÿ Embora os invasores possam usar ferramentas para limpar o conteúdo da mídia, essa ação em si pode chamar a atenção de
investigadores. Portanto, os invasores encobrem seus rastros sobrescrevendo os metadados (ou seja, tempos de acesso), dificultando a construção
da linha do tempo.
ÿ Ex: Timestomp (parte do Metasploit Framework) é usado para alterar MACE (Modified-Accessed-Created-Entry)
atributos do arquivo
diferentes técnicas para sobrescrever dados ou metadados (ou ambos) em uma mídia de armazenamento, representando um
desafio para os investigadores durante a recuperação de dados.
Sobrescrevendo Metadados
ÿ Os investigadores usam metadados para criar uma linha do tempo das ações do perpetrador, organizando
todos os timestamps do computador em uma sequência
ÿ Embora os invasores possam usar ferramentas para limpar o conteúdo da mídia, essa ação em si pode chamar a atenção
dos investigadores. Portanto, os invasores encobrem seus rastros sobrescrevendo os metadados (ou seja, tempos de
acesso), dificultando a construção da linha do tempo. ÿ Ex: Timestomp (parte do Metasploit Framework) é usado para
ÿ Outra forma de confundir o investigador é aceder ao computador de forma a que não sejam gerados metadados
o Exemplos: Montar uma partição como somente leitura ou acessá-la por meio do dispositivo bruto,
impede que os metadados do arquivo sejam atualizados
Anti-forense
Técnica:
Criptografia
ÿ A criptografia de dados é uma ÿ Intrusos usam fortes ÿ Além disso, a maioria dos programas de ÿ A criptoanálise pode ser usada
das técnicas comumente algoritmos de criptografia para criptografia é capaz de executar funções para descriptografar dados
usadas para derrotar a criptografar dados de valor adicionais, incluindo o uso de um arquivo criptografados
investigação forense investigativo, o que os torna de chave, criptografia de volume total
• Exemplo: CryptoTool
processo praticamente ilegíveis sem o e negação plausível; que torna o trabalho
do investigador mais difícil
chave designada
A criptografia é uma maneira eficaz de proteger os dados que envolve o processo de tradução de dados em um
código secreto que somente o pessoal autorizado pode acessar.
Para ler o arquivo criptografado, os usuários precisam de uma chave secreta ou senha que possa descriptografar o
arquivo. Devido à sua eficácia e facilidade de uso, a maioria dos invasores prefere usar técnicas de criptografia para
análise forense.
Os invasores usam algoritmos de criptografia fortes para criptografar dados de valor investigativo, o que os torna
praticamente ilegíveis sem a chave designada. Alguns algoritmos são capazes de evitar os processos de
investigação executando funções adicionais, incluindo o uso de um arquivo de chave, criptografia de volume total e
negação plausível.
Listados abaixo estão os utilitários de criptografia integrados fornecidos pela Microsoft para Windows 7 e posterior:
ÿ Exemplo: CryptoTool
Fluxo do módulo
1 2
Entenda o Anti-Forense e Discutir Anti-forense
suas Técnicas Contramedidas
Contramedidas anti-forenses
Contramedidas anti-forenses
Os investigadores podem superar as técnicas anti-forenses discutidas neste módulo por meio de monitoramento
aprimorado de dispositivos e uso de CFTs atualizados. Algumas das contramedidas importantes contra técnicas anti-
forenses estão listadas abaixo:
Observação: é melhor não depender totalmente de ferramentas específicas, pois as próprias ferramentas não são
imunes a ataques.
Ferramentas anti-forense
http:// stegstudio.sourceforge.net
Ferramentas anti-forense
Algumas ferramentas anti-forenses estão listadas a seguir:
Resumo do módulo
Este módulo discutiu as técnicas anti-forenses
Ele também discutiu como detectar esteganografia, dados ocultos em estruturas do sistema
de arquivos e ofuscação de trilha
Finalmente, este módulo terminou com uma discussão detalhada sobre as contramedidas
e ferramentas anti-forenses
Resumo do módulo
Este módulo discutiu várias técnicas anti-forense. Ele explicava a exclusão de dados e a análise forense da Lixeira. Ele
também discutiu em detalhes técnicas e métodos de escultura de arquivos para recuperar evidências de partições
excluídas. Além disso, este módulo discutiu técnicas de cracking/bypass de senha. Ele também discutiu como detectar
esteganografia, dados ocultos em estruturas de sistema de arquivos e ofuscação de trilhas. Além disso, explicou as técnicas
de limpeza de artefatos, detecção de dados/metadados sobrescritos e criptografia. Por fim, este módulo apresentou uma
discussão detalhada sobre contramedidas e ferramentas antiforenses.