Escolar Documentos
Profissional Documentos
Cultura Documentos
Inserir Forense
Aqui
de
Inserir Título
Sistemas Operacionais
Aqui
Análise Forense em Windows
Revisão Textual:
Prof.ª Dr.ª Luciene Oliveira da Costa Granadeiro
Análise Forense em Windows
Objetivo
• Apresentar os principais objetos passíveis de análise em um dispositivo que utiliza
Microsoft Windows como Sistema Operacional.
Caro Aluno(a)!
Normalmente, com a correria do dia a dia, não nos organizamos e deixamos para o úl-
timo momento o acesso ao estudo, o que implicará o não aprofundamento no material
trabalhado ou, ainda, a perda dos prazos para o lançamento das atividades solicitadas.
Assim, organize seus estudos de maneira que entrem na sua rotina. Por exemplo, você
poderá escolher um dia ao longo da semana ou um determinado horário todos ou alguns
dias e determinar como o seu “momento do estudo”.
Após o contato com o conteúdo proposto, participe dos debates mediados em fóruns de
discussão, pois estes ajudarão a verificar o quanto você absorveu do conteúdo, além de
propiciar o contato com seus colegas e tutores, o que se apresenta como rico espaço de
troca de ideias e aprendizagem.
Bons Estudos!
UNIDADE
Análise Forense em Windows
Contextualização
A maioria dos computadores utiliza o sistema operacional Microsoft Windows, por-
tanto, tanto os computadores de fraudadores, criminosos etc., como os computadores
das vítimas têm grandes chances de possuírem esse sistema operacional.
Por esse motivo, esta Unidade trata de alguns objetos nesse Sistema Operacional
que possuem relevância para uma análise forense ou investigativa.
6
Introdução à Análise de Evidências
Segundo o site Ecommerce Brasil, 96,42% dos computadores utilizados por usuários
comuns no Brasil utilizam Windows. Portanto, em sua carreira na área de Computação
Forense, frequentemente, você irá se deparar com evidências digitais baseadas nesse
sistema operacional.
Para saber mais acesse o link a seguir:
Em Forense, quando nos referimos a objetos que podem conter dados relevantes para
a análise, dizemos que se trata de um artefato.
Esse método auxilia o analista forense a pautar sua atenção em questões objetivas, que
auxiliarão na resolução do caso. Se as perguntas do 5wh forem respondidas, a investigação
ou análise forense terá tido sucesso. No entanto, para ser capaz de responder a essas ques-
tões, você precisa compreender onde estão os itens necessários para isso, aqueles que terão
a resposta para essas questões e muitas outras.
É por meio da análise de artefatos que a maioria das questões em um caso de Forense
serão respondidas. Artefato, um termo emprestado da paleontologia, designa-se aos objetos
escavados e que contam uma história de tempos remotos. No caso da Forense Digital, trata-
se de objetos que contam a história de um crime, fraude ou inúmeras outras situações.
Por exemplo, um colaborador da empresa XPTO, ao ser demitido, excluiu todos os ar-
quivos da rede da empresa.
A empresa, ciente do fato, realizou coleta, aquisição, preservação e análise do equipa-
mento outrora utilizado pelo ex-colaborador.
Durante as análises, o departamento de Forense identificou histórico de internet do na-
vegador Google Chrome, no arquivo “History”, do tipo banco de dados SQLite, contendo
busca por termos relacionados a “limpar rastros”, “download ccleaner”, “entrar anônimo na
rede da empresa”.
7
7
UNIDADE
Análise Forense em Windows
Tipos de Artefatos
Dentre os inúmeros tipos de artefatos, podemos classificá-los em duas categorias.
Artefatos Diretos e Indiretos.
Artefatos Diretos
São artefatos cujo conteúdo é criado diretamente pelo usuário, tais como fotos, textos,
músicas, ou seja, conteúdos que o usuário do sistema teve a intenção de criar e armazenar.
Artefatos Indiretos
Esses artefatos são gerados pelo sistema em resposta à utilização do usuário. Por
exemplo, ao navegar na internet, o usuário tem a intenção de acessar um site, mas o
sistema grava o acesso ao site no histórico de internet, ou seja, realiza essa ação auto-
maticamente, sem a necessidade de o usuário ir até um local e escrever o referido site
na base de dados de navegação na internet.
É importante você pensar nessa perspectiva ao realizar suas análises, pois antes de
operar, você precisa planejar. Esse tipo de conceito melhora sua capacidade de planeja-
mento, e, portanto, de eficiência na resolução das questões.
No entanto, para essa etapa da unidade, utilizaremos o software Autopsy para reali-
zar processamento e análise. Esse software pode ser obtido no site.
8
Após iniciar o Autopsy, a primeira tela exibida é a seguinte:
Inicie um novo caso clicando em “New Case”. A próxima tela solicita o nome do
caso, local onde o caso será processado e se é de um único investigado ou mais.
O Autopsy pedirá, ainda, que você insira alguns detalhes sobre o caso para que ele
armazene. Estas informações poderão ser úteis quando você for gerar um relatório pela
própria ferramenta.
9
9
UNIDADE
Análise Forense em Windows
Após gerar os bancos de dados e os arquivos relativos ao caso, o Autopsy irá solicitar
que você adicione uma fonte de evidências. Pode ser um arquivo de imagem forense, no
formato “raw”, “E01” etc., ou pode ser um disco local conectado à sua estação através
de um bloqueador de escrita, pode ser também um arquivo ou ainda apenas um arquivo
de área não alocada de uma Unidade de Armazenamento.
Para fins didáticos, utilize sua própria Unidade de Armazenamento local, através da
opção “Local Disk”, para realizar os processamentos que faremos.
Para isso, selecione a opção “Select Disk” da próxima tela, para escolher o disco que
você irá utilizar.
10
Nessa listagem, as Unidades físicas são identificadas pelo termo “Drive” seguido do
número de sequência em que a unidade foi conectada. Abaixo dos dispositivos físicos,
estão os volumes, os quais não incluem algumas áreas que estão na camada física, tal
como a área não particionada do disco. Então selecione a unidade física que você pre-
tende estudar.
Após o processamento desse caso, seu Autopsy v4.1 deve exibir o seguinte resultado:
11
11
UNIDADE
Análise Forense em Windows
Por esse motivo, esta Unidade apresenta a análise da evidência utilizando o software
Autopsy, nas proximas unidades terá uma perspectiva mais aprofundada em dados.
Metadados EXIF
Metadados são, em essência, dado a respeito de dado, por exemplo, a data de cria-
ção de um arquivo. Essa é uma informação a respeito do dado (arquivo). O modelo da
câmera digital (metadado) utilizada para capturar uma imagem (dado).
Exchangeable image file format for digital still cameras: Exif Version 2.2 –
Disponível em: https://bit.ly/2SZwDPy
12
Detecção de Criptografia
Em muitos casos, você irá se deparar com situações em que o analisado criptografou
seus arquivos, ou até mesmo arquivos alheios. Para isso, o Autopsy realiza uma verifi-
cação nos arquivos, analisando o grau de entropia deles, visando verificar indícios de o
arquivo estar criptografado. Clique na aba Encryption Detection.
Agora altere a extensão de um desses arquivos, por exemplo, para “.doc”, e veja o
que acontece.
13
13
UNIDADE
Análise Forense em Windows
Nesse caso, a única conta de usuário identificada está apelidada no sistema como
“Wes Mantooth”. Apesar de a ferramenta trazer essa informação automaticamente,
é importante analisar outros artefatos para verificar se não existem outras contas, tal
como a pasta Users, logs de evento e registro SAM.
Documentos Recentes
O Autopsy possui uma guia chamada “Recent Documents”, a qual analisa a pasta
Itens Recentes do Windows onde estão os arquivos do formato MS-SHLLINK ou mais
conhecidos como arquivos de atalho.
Para ampliar a usabilidade do Sistema, o Windows cria um atalho para cada docu-
mento aberto, seja ele doc, pdf, txt etc. Ao ser aberto pela primeira vez, o Windows cria
este atalho e o atualiza na pasta Itens Recentes, onde o usuário poderá voltar a acessar
o documento mais rapidamente.
Pastas Remotas
Através da análise do arquivo NTUSER.dat, respectivo para cada pasta de usuá-
rio, o Autopsy obtém a chave responsável por armazenar as pastas da rede mapeadas
no sistema.
14
Figura 14 – Pastas Remotas – Autopsy
Dados de Internet
Uma área com extrema relevância para análises forenses e investigativas é o histórico
de internet. Atualmente, esse aspecto da utilização do sistema é arraigado em todas as
atividades de um usuário. O Google, por exemplo, através da ferramenta exibe inúmeras
atividades de um usuário obtidas através de GPS, fotografias, gravações de áudio (mes-
mo sem a ação do usuário), dentre outras.
Aqui trataremos apenas dos artefatos de internet clássicos, tais como histórico de
navegação, cookies e palavras-chave pesquisadas nos mecanismos de buscas.
15
15
UNIDADE
Análise Forense em Windows
Histórico
Para analisar o histórico de internet, é crucial verificar quais navegadores estão ins-
talados no sistema e ainda verificar qual é o principal navegador utilizado pelo usuário.
Buscas
A tabela de buscas trazida pelo Autopsy filtra o histórico de internet para trazer
somente as ações realizadas pelo usuário nos mecanismos de busca, tais como Google,
Bing etc.
Inúmeros outros artefatos podem ser analisados para identificar vestígios de histórico
de navegação. Veja como realizar análise manualmente no histórico do navegador
Google Chrome.
Cookies
Além do histórico de navegação, os navegadores salvam arquivos contendo informa-
ções do usuário para cada site, tanto pela simples navegação no site, como para acesso
a áreas administrativas.
16
Esse artefato pode ser extremamente útil, pois, mesmo que o usuário tenha excluído
o histórico de internet, se não tiver atentado à limpeza dos cookies, ainda existirão da-
dos a respeito de sua navegação na internet.
Através dessa funcionalidade, você pode realizar buscas por palavras-chave e obter
o resultado instantaneamente. Isso permite que você busque os termos relacionados ao
caso, como, por exemplo “drugs”:
Análise de Comunicações
O Autopsy possui uma funcionalidade para leitura de comunicações da evidência,
tais como e-mails, SMS, Directs de Instagram, WhatsApp etc.
17
17
UNIDADE
Análise Forense em Windows
O aplicativo irá exibir uma tela com diversas opções para filtro de dados de comuni-
cação e leitura de conteúdos.
18
Análise Cronológica
O Autopsy possui ainda uma funcionalidade para análise cronológica de cada evento
ocorrido no Sistema. Ele organiza lista em linha de tempo cada metadado dos arquivos,
possibilitando uma análise detalhada em função de data e hora.
Para acessar esta funcionalidade, utilize o botão “Timeline” no canto superior esquerdo.
Nesta Unidade, estudamos como utilizar o Autopsy como ferramenta para proces-
samento e análise de evidências digitais. Aprofunde-se com outras ferramentas e com a
bibliografia indicada.
19
19
UNIDADE
Análise Forense em Windows
Material Complementar
Indicações para saber mais sobre os assuntos abordados nesta Unidade:
Sites
Windows Forensic Analysis: You Can’t Protect What You Don’t Know About.
SANS. Windows Forensic Analysis: You Can’t Protect What You Don’t Know About.
2019. Disponível em:
https://bit.ly/2LPNfJp
Livros
Windows Forensic Analysis Toolkit: Advanced Analysis Techniques for Windows
CARVEY, H. Windows Forensic Analysis Toolkit: Advanced Analysis Techniques for
Windows 8. 4. ed. Massachusetts: Syngress, 2014. 346 p.
Windows Registry Forensics: Advanced Digital Forensic Analysis of the Windows Registry
CARVEY, H. Windows Registry Forensics: Advanced Digital Forensic Analysis of the
Windows Registry. 2. ed. Massachusetts: Syngress, 2016. 203 p.
20
Referências
4DISCOVERY (Chicago). USB Historian. Disponível em: <https://4discovery.com/
usb-historian/>. Acesso em: 14 jul. 2019.
21
21