AnáliseTítulo

Inserir Forense
Aqui
de
Inserir Título
Sistemas Operacionais
Aqui
Análise Forense em Windows

Responsável pelo Conteúdo:

Prof. Esp. Renan Cavalheiro

Revisão Textual:
Prof.ª Dr.ª Luciene Oliveira da Costa Granadeiro
 Análise Forense em Windows

Fonte: Getty Images

Nesta unidade, trabalharemos os seguintes tópicos:
• Introdução à Análise de Evidências;
• Tipos de Artefatos;
• Análise de Artefatos Windows com SleuthKit Autopsy;
• Análise do Dispositivo com Autopsy;
• Dados de Internet.

Objetivo
• Apresentar os principais objetos passíveis de análise em um dispositivo que utiliza
Microsoft Windows como Sistema Operacional.

Caro Aluno(a)!

Normalmente, com a correria do dia a dia, não nos organizamos e deixamos para o úl-
timo momento o acesso ao estudo, o que implicará o não aprofundamento no material
trabalhado ou, ainda, a perda dos prazos para o lançamento das atividades solicitadas.

Assim, organize seus estudos de maneira que entrem na sua rotina. Por exemplo, você
poderá escolher um dia ao longo da semana ou um determinado horário todos ou alguns
dias e determinar como o seu “momento do estudo”.

No material de cada Unidade, há videoaulas e leituras indicadas, assim como sugestões

de materiais complementares, elementos didáticos que ampliarão sua interpretação e
auxiliarão o pleno entendimento dos temas abordados.

Após o contato com o conteúdo proposto, participe dos debates mediados em fóruns de
discussão, pois estes ajudarão a verificar o quanto você absorveu do conteúdo, além de
propiciar o contato com seus colegas e tutores, o que se apresenta como rico espaço de
troca de ideias e aprendizagem.

Bons Estudos!
UNIDADE
Análise Forense em Windows

Contextualização
A maioria dos computadores utiliza o sistema operacional Microsoft Windows, por-
tanto, tanto os computadores de fraudadores, criminosos etc., como os computadores
das vítimas têm grandes chances de possuírem esse sistema operacional.

Por esse motivo, esta Unidade trata de alguns objetos nesse Sistema Operacional
que possuem relevância para uma análise forense ou investigativa.

6
Introdução à Análise de Evidências
Segundo o site Ecommerce Brasil, 96,42% dos computadores utilizados por usuários
comuns no Brasil utilizam Windows. Portanto, em sua carreira na área de Computação
Forense, frequentemente, você irá se deparar com evidências digitais baseadas nesse
sistema operacional.
Para saber mais acesse o link a seguir:

Pesquisa mostra sistemas operacionais e navegadores mais utilizados por e-consumidores.

Disponível em: https://bit.ly/2VoFZ7v

Em Forense, quando nos referimos a objetos que podem conter dados relevantes para
a análise, dizemos que se trata de um artefato.

Um dos principais métodos de análise aplicáveis em Forense Digital é o método

5Wh, que significa:
• What: “O que”
• Who: “Quem”
• Why: “Por que”
• Where: “Onde”
• When: “Quando”
• How: “Como”

Esse método auxilia o analista forense a pautar sua atenção em questões objetivas, que
auxiliarão na resolução do caso. Se as perguntas do 5wh forem respondidas, a investigação
ou análise forense terá tido sucesso. No entanto, para ser capaz de responder a essas ques-
tões, você precisa compreender onde estão os itens necessários para isso, aqueles que terão
a resposta para essas questões e muitas outras.
É por meio da análise de artefatos que a maioria das questões em um caso de Forense
serão respondidas. Artefato, um termo emprestado da paleontologia, designa-se aos objetos
escavados e que contam uma história de tempos remotos. No caso da Forense Digital, trata-
se de objetos que contam a história de um crime, fraude ou inúmeras outras situações.
Por exemplo, um colaborador da empresa XPTO, ao ser demitido, excluiu todos os ar-
quivos da rede da empresa.
A empresa, ciente do fato, realizou coleta, aquisição, preservação e análise do equipa-
mento outrora utilizado pelo ex-colaborador.
Durante as análises, o departamento de Forense identificou histórico de internet do na-
vegador Google Chrome, no arquivo “History”, do tipo banco de dados SQLite, contendo
busca por termos relacionados a “limpar rastros”, “download ccleaner”, “entrar anônimo na
rede da empresa”.

Nesse contexto, o artefato utilizado foi o histórico de internet, especificamente, aquele

encontrado no arquivo History do navegador Google Chrome.

7
7
UNIDADE
Análise Forense em Windows

Tipos de Artefatos
Dentre os inúmeros tipos de artefatos, podemos classificá-los em duas categorias.
Artefatos Diretos e Indiretos.

Artefatos Diretos
São artefatos cujo conteúdo é criado diretamente pelo usuário, tais como fotos, textos,
músicas, ou seja, conteúdos que o usuário do sistema teve a intenção de criar e armazenar.

Artefatos Indiretos
Esses artefatos são gerados pelo sistema em resposta à utilização do usuário. Por
exemplo, ao navegar na internet, o usuário tem a intenção de acessar um site, mas o
sistema grava o acesso ao site no histórico de internet, ou seja, realiza essa ação auto-
maticamente, sem a necessidade de o usuário ir até um local e escrever o referido site
na base de dados de navegação na internet.

É importante você pensar nessa perspectiva ao realizar suas análises, pois antes de
operar, você precisa planejar. Esse tipo de conceito melhora sua capacidade de planeja-
mento, e, portanto, de eficiência na resolução das questões.

Análise de Artefatos Windows

com SleuthKit Autopsy
Para realização de cópias forenses, utilizamos o FTK Imager, o qual também poderia ser
utilizado para breves análises, pois ele faz interpretação de inúmeros artefatos dos sistemas.

No entanto, para essa etapa da unidade, utilizaremos o software Autopsy para reali-
zar processamento e análise. Esse software pode ser obtido no site.

Autopsy: Download – https://bit.ly/2NH0Xu5

Inicie o Autopsy com permissão de Administrador, clicando com o botão direito no

ícone e em “Executar como Administrador”.

Figura 1 – Autopsy – Executar como Administrador

8
 Após iniciar o Autopsy, a primeira tela exibida é a seguinte:

Figura 2 – tela de início do Autopsy

Inicie um novo caso clicando em “New Case”. A próxima tela solicita o nome do
caso, local onde o caso será processado e se é de um único investigado ou mais.

Figura 3 – New Case Information – Autopsy

O Autopsy pedirá, ainda, que você insira alguns detalhes sobre o caso para que ele
armazene. Estas informações poderão ser úteis quando você for gerar um relatório pela
própria ferramenta.

Figura 4 – Optional Information – Autopsy

9
9
UNIDADE
Análise Forense em Windows

Após gerar os bancos de dados e os arquivos relativos ao caso, o Autopsy irá solicitar
que você adicione uma fonte de evidências. Pode ser um arquivo de imagem forense, no
formato “raw”, “E01” etc., ou pode ser um disco local conectado à sua estação através
de um bloqueador de escrita, pode ser também um arquivo ou ainda apenas um arquivo
de área não alocada de uma Unidade de Armazenamento.

Figura 5 – Add Data Source – Autopsy

Para fins didáticos, utilize sua própria Unidade de Armazenamento local, através da
opção “Local Disk”, para realizar os processamentos que faremos.

Para isso, selecione a opção “Select Disk” da próxima tela, para escolher o disco que
você irá utilizar.

Figura 6 – Select Disk – Autopsy

A próxima tela irá listar as Unidades de Armazenamento conectadas ao computador.

Figura 7 – Select Local Disk – Autopsy

10
 Nessa listagem, as Unidades físicas são identificadas pelo termo “Drive” seguido do
número de sequência em que a unidade foi conectada. Abaixo dos dispositivos físicos,
estão os volumes, os quais não incluem algumas áreas que estão na camada física, tal
como a área não particionada do disco. Então selecione a unidade física que você pre-
tende estudar.

A próxima tela exibe a configuração do processamento, ou seja, quais itens serão

processados. Essa lista inclui diversos artefatos, tais como histórico de internet, registro
do sistema, dentre outros.

Figura 8 – Configurações de processamento – Autopsy

Selecione os mesmos itens que constam na imagem e inicie o processamento. Mes-

mo se tratando de uma imagem de um HD pequeno, esse processo pode levar algumas
horas, dependendo da configuração do seu computador. Em casos reais, em que a evi-
dência pode ter um volume de 500GB, 1TB ou mais, o processamento pode levar mais
de 1 semana, desconsiderando eventuais falhas.

Após o processamento desse caso, seu Autopsy v4.1 deve exibir o seguinte resultado:

Figura 9 – Resultados – Autopsy

11
11
UNIDADE
Análise Forense em Windows

Análise do Dispositivo com Autopsy

Na Forense Digital, é imprescindível que o profissional tenha conhecimento do baixo
nível dos processos que ocorrem em um sistema ou aplicativo. No entanto, saber utilizar
uma ferramenta é tão importante quanto saber o que ela faz.

Por esse motivo, esta Unidade apresenta a análise da evidência utilizando o software
Autopsy, nas proximas unidades terá uma perspectiva mais aprofundada em dados.

Metadados EXIF
Metadados são, em essência, dado a respeito de dado, por exemplo, a data de cria-
ção de um arquivo. Essa é uma informação a respeito do dado (arquivo). O modelo da
câmera digital (metadado) utilizada para capturar uma imagem (dado).

EXIF se refere à Exchangeable Image File Format, é um padrão de formato de ima-

gem no qual os fabricantes convencionaram adicionar ao arquivo gravado informações
técnicas a respeito da captura da imagem, tal como grau de abertura da lente, ISO,
dentre outras, porém, as mais importantes para eventuais análises forenses são Marca,
Modelo, data e GPS.

Para saber mais acesse o link a seguir:

Exchangeable image file format for digital still cameras: Exif Version 2.2 –
Disponível em: https://bit.ly/2SZwDPy

O Autopsy interpreta muitas informações EXIF e exibe essas informações através do

menu EXIF Metadata.

Figura 10 – Menu EXIF Metadata

12
Detecção de Criptografia
Em muitos casos, você irá se deparar com situações em que o analisado criptografou
seus arquivos, ou até mesmo arquivos alheios. Para isso, o Autopsy realiza uma verifi-
cação nos arquivos, analisando o grau de entropia deles, visando verificar indícios de o
arquivo estar criptografado. Clique na aba Encryption Detection.

Figura 11 – Encryption Detection – Autopsy

Detecção de Extensões Falsas

Além da criptografia, existem outras técnicas que podem fazer com que o analista se
engane quanto ao verdadeiro conteúdo de um arquivo. Por exemplo, em um Windows,
configure o Windows Explorer para exibir os nomes dos arquivos incluindo extensão de
forma que ele exiba os arquivos assim:

Figura 12 – Extensão de Arquivos - Windows

Agora altere a extensão de um desses arquivos, por exemplo, para “.doc”, e veja o
que acontece.

Figura 13 – Extensão de Arquivos - Windows

Ao alterar a extensão, o Windows automaticamente associa o arquivo ao aplicativo

mais conveniente para abrir o arquivo cujo formato corresponda àquela extensão. Essa
característica, no entanto, pode ser utilizada para fazer com que uma imagem com con-
teúdo ilícito se passe por uma planilha do Excel, por exemplo.

13
13
UNIDADE
Análise Forense em Windows

Por esse motivo, a ferramenta analisa o formato do arquivo e o compara com a

extensão do arquivo, se os dados não forem correlacionados, a ferramenta informa
o resultado.

Informações sobre o Sistema Operacional

Em “Operating System Information”, o Autopsy mostra algumas informações
a respeito do Sistema Operacional em uso na Unidade, tais como nome do usuário
registrante do Sistema e nome da instituição registrante.

Além desses itens exibidos, o Autopsy armazena detalhes do processamento do Re-

gistro do Windows na guia Ferramentas -> Open Output Folder -> ModuleOutput ->
RecentActivity -> reg.

Informações sobre Contas de Usuários do Sistema

Outro item muito importante para os primeiros passos da análise é verificar quais as
contas de usuários estão cadastradas no Sistema. Às vezes, a conta de usuário do sus-
peito não está cadastrada, indicando que talvez o computador não tenha sido utilizado
por ele.

Nesse caso, a única conta de usuário identificada está apelidada no sistema como
“Wes Mantooth”. Apesar de a ferramenta trazer essa informação automaticamente,
é importante analisar outros artefatos para verificar se não existem outras contas, tal
como a pasta Users, logs de evento e registro SAM.

Documentos Recentes
O Autopsy possui uma guia chamada “Recent Documents”, a qual analisa a pasta
Itens Recentes do Windows onde estão os arquivos do formato MS-SHLLINK ou mais
conhecidos como arquivos de atalho.

Para ampliar a usabilidade do Sistema, o Windows cria um atalho para cada docu-
mento aberto, seja ele doc, pdf, txt etc. Ao ser aberto pela primeira vez, o Windows cria
este atalho e o atualiza na pasta Itens Recentes, onde o usuário poderá voltar a acessar
o documento mais rapidamente.

Pastas Remotas
Através da análise do arquivo NTUSER.dat, respectivo para cada pasta de usuá-
rio, o Autopsy obtém a chave responsável por armazenar as pastas da rede mapeadas
no sistema.

14
 Figura 14 – Pastas Remotas – Autopsy

Nesse caso, a pasta estava mapeada no endereço “\\mediacenter\My Internet

Cleaning Folder”.

Histórico de utilização de Unidades USB

Cada dispositivo USB conectado ao computador é registrado pelo sistema ope-
racional no arquivo SYSTEM, o qual é parte da constituição do registro do Sistema.
Autopsy faz o processamento desse arquivo e lista os dispositivos, exibindo, conforme
a figura mostra, a data em que o dispositivo foi conectado, marca, modelo e número
de identificação.

Figura 15 – Histórico de utilização de Unidades USB – Autopsy

Existem outras formas de analisar histórico de dispositivos USB conectados ao

sistema, por exemplo, utilizando a ferramenta USB Historian.

Para saber mais acesse o link a seguir:

USB Historian: 4Discovery – Disponível em: https://bit.ly/2WZtzbo

Dados de Internet
Uma área com extrema relevância para análises forenses e investigativas é o histórico
de internet. Atualmente, esse aspecto da utilização do sistema é arraigado em todas as
atividades de um usuário. O Google, por exemplo, através da ferramenta exibe inúmeras
atividades de um usuário obtidas através de GPS, fotografias, gravações de áudio (mes-
mo sem a ação do usuário), dentre outras.

Para saber mais acesse o link a seguir:

Google: minha atividade – Disponível em: https://bit.ly/295qYDE

Aqui trataremos apenas dos artefatos de internet clássicos, tais como histórico de
navegação, cookies e palavras-chave pesquisadas nos mecanismos de buscas.

15
15
UNIDADE
Análise Forense em Windows

Histórico
Para analisar o histórico de internet, é crucial verificar quais navegadores estão ins-
talados no sistema e ainda verificar qual é o principal navegador utilizado pelo usuário.

O Autopsy identifica os históricos de Internet existentes e exibe o resultado na tabela

contida no menu Web History.

Figura 16 – Histórico de Internet – Autopsy

Buscas
A tabela de buscas trazida pelo Autopsy filtra o histórico de internet para trazer
somente as ações realizadas pelo usuário nos mecanismos de busca, tais como Google,
Bing etc.

Figura 17 – Buscas, Histórico de Internet – Autopsy

Inúmeros outros artefatos podem ser analisados para identificar vestígios de histórico
de navegação. Veja como realizar análise manualmente no histórico do navegador
Google Chrome.

Para saber mais acesse o link a seguir:

Investigação Forense em Chrome: Saiba como analisar as ocorrências –

Disponível em: https://bit.ly/2ZpHaWL

Cookies
Além do histórico de navegação, os navegadores salvam arquivos contendo informa-
ções do usuário para cada site, tanto pela simples navegação no site, como para acesso
a áreas administrativas.

16
 Esse artefato pode ser extremamente útil, pois, mesmo que o usuário tenha excluído
o histórico de internet, se não tiver atentado à limpeza dos cookies, ainda existirão da-
dos a respeito de sua navegação na internet.

Buscas por palavras-chave

Ao realizar o processamento com o parâmetro “Keyword Search” o Autopsy irá criar
um banco de dados contendo cada uma das palavras existentes na evidência. Depois de
realizar esse processo, através do botão “Keyword Search”, no canto superior direito
da ferramenta.

Figura 18 – Keyword Search – Autopsy

Através dessa funcionalidade, você pode realizar buscas por palavras-chave e obter
o resultado instantaneamente. Isso permite que você busque os termos relacionados ao
caso, como, por exemplo “drugs”:

Figura 19 – Keyword Search – Autopsy, buscas

O Autopsy, instanteamente, exibe o resultado da busca através do banco de dados

“index” criado por ele quando da realização do processamento. O resultado da busca
exibe o arquivo onde o termo buscado foi encontrado, exibe uma pré-visualização do
conteúdo onde o termo-chave foi encontrado, além dos metadados do arquivo, tais
como datas de criação, modificação e acesso, bem como endereço, dentre outras.

Análise de Comunicações
O Autopsy possui uma funcionalidade para leitura de comunicações da evidência,
tais como e-mails, SMS, Directs de Instagram, WhatsApp etc.

Para acessar essa funcionalidade, clique no botão “Comunications” no canto supe-

rior esquerdo.

17
17
UNIDADE
Análise Forense em Windows

Figura 20 – Comunications – Autopsy

O aplicativo irá exibir uma tela com diversas opções para filtro de dados de comuni-
cação e leitura de conteúdos.

Figura 21 – Opções de filtro – Autopsy

No canto direito, a ferramenta exibe a interpretação dos conteúdos filtrados.

Figura 22 – Interpretação dos conteúdos filtrados – Autopsy

18
Análise Cronológica
O Autopsy possui ainda uma funcionalidade para análise cronológica de cada evento
ocorrido no Sistema. Ele organiza lista em linha de tempo cada metadado dos arquivos,
possibilitando uma análise detalhada em função de data e hora.

Para acessar esta funcionalidade, utilize o botão “Timeline” no canto superior esquerdo.

Figura 23 – Análise Cronológica – Autopsy

Ao abrir a função Timeline o Autopsy irá exibir a seguinte tela.

Figura 24 – Timeline – Autopsy

Nesta Unidade, estudamos como utilizar o Autopsy como ferramenta para proces-
samento e análise de evidências digitais. Aprofunde-se com outras ferramentas e com a
bibliografia indicada.

19
19
UNIDADE
Análise Forense em Windows

Material Complementar
Indicações para saber mais sobre os assuntos abordados nesta Unidade:

Sites
Windows Forensic Analysis: You Can’t Protect What You Don’t Know About.
SANS. Windows Forensic Analysis: You Can’t Protect What You Don’t Know About.
2019. Disponível em:
https://bit.ly/2LPNfJp

Livros
Windows Forensic Analysis Toolkit: Advanced Analysis Techniques for Windows
CARVEY, H. Windows Forensic Analysis Toolkit: Advanced Analysis Techniques for
Windows 8. 4. ed. Massachusetts: Syngress, 2014. 346 p.

Windows Forensic Analysis Toolkit: Advanced Analysis Techniques for Windows

CARVEY, H. Windows Forensic Analysis Toolkit: Advanced Analysis Techniques for
Windows 8. 4. ed. Massachusetts: Syngress, 2014. 296 p.

Windows Registry Forensics: Advanced Digital Forensic Analysis of the Windows Registry
CARVEY, H. Windows Registry Forensics: Advanced Digital Forensic Analysis of the
Windows Registry. 2. ed. Massachusetts: Syngress, 2016. 203 p.

20
Referências
4DISCOVERY (Chicago). USB Historian. Disponível em: <https://4discovery.com/
usb-historian/>. Acesso em: 14 jul. 2019.

AUTOPSY. Autopsy User Documentation. 2019. Disponível em: <http://sleuthkit.

org/autopsy/docs/user-docs/4.10.0/>. Acesso em: 14 jul. 2019.

CAVALHEIRO, R. F. Academia de Forense Digital. Investigação Forense em Chrome:

Histórico de Navegação. 2017. Disponível em: <https://www.academiadeforensedigital.
com.br/investigacao-forense-em-chrome/>. Acesso em: 14 jul. 2019.

21
21