Escolar Documentos
Profissional Documentos
Cultura Documentos
CUIABÁ
2019
FACULDADE DE TECNOLOGIA SENAI MATO GROSSO
MARCOS HENRIQUE OLIVEIRA SILVA
CUIABÁ
2019
MARCOS HENRIQUE OLIVEIRA SILVA
BANCA EXAMINADORA
_____________________________________________
Prof. Esp. Alessandro Jesus de Oliveira
FATEC
_____________________________________________
Profa. Me. (NOME do prof. AVALIADOR 1)
FATEC
_____________________________________________
Profa. Esp. (NOME do prof. AVALIADOR 2)
FATEC
Dedico este trabalho a minha família,
amigos, meu orientador e todas as
pessoas que me auxiliaram nessa
jornada.
AGRADECIMENTOS
The internet has been growing exponentially in recent years and new incoming
machines are connected every day. This has been causing serious problems,
because protocols and strings have been organized in ancient settings, when it was
unpredictable that it was one hour of current proportions. Access to information was
also favored so that students could find everything or almost everything they wanted,
others could be facilitated or augmented by virtual crimes. Research-based
companies that refine their investigative techniques have thus emerged in the
Computer Forensic Expert with advanced knowledge in computer science, law and
the ability to search and analyze digital data to produce important technical evidence
for the resolution of crimes. This work aims to describe Computational Forensic
Expertise and demonstration during the process of searching and analyzing digital
data in free software.
CD Compact Disk
CRC Cyclic Redundancy Check
DVD Digital Video Disc
FAT File Allocation Table
GB Gigabytes
HD Hard Disk
MB Megabytes
MD5 Message-Digest algorithm 5
MFT Master File Table
MKV Matroska Video
NTFS New Technology File System
SHA1 Secure Hash Algorithm
SHA256 Secure Hash Algorithm
TB Terabytes
SUMÁRIO
1. INTRODUÇÃO .............................................................................................................. 12
1.1. Objetivo Geral ............................................................................................................ 12
1.2. Objetivos Específicos ............................................................................................... 12
1.3. Metodologia ................................................................................................................ 13
2. Referencial Teórico .................................................................................................... 14
2.1. Perícia Forense Computacional.............................................................................. 14
2.2. Coleta de Evidências ................................................................................................ 15
2.2.1. Extração de Dados ................................................................................................ 16
2.3. Preservação de Evidências ..................................................................................... 16
2.4. Análise das Evidências ............................................................................................ 17
2.5. Apresentação da Análise ......................................................................................... 17
2.5.1. Documentação ....................................................................................................... 18
2.6. Análise Forense em Windows................................................................................. 19
2.6.1. Sistema de Arquivos ............................................................................................. 19
3. Manipulação de Evidências ..................................................................................... 21
3.1. Hashing de Arquivos................................................................................................. 21
3.2. Busca de Diretórios................................................................................................... 24
3.3. Criação de Imagem para Investigação .................................................................. 27
3.3.1. Montagem da Imagem .......................................................................................... 33
3.4. Análise de Arquivos .................................................................................................. 35
3.5. Recuperação de Arquivos........................................................................................ 38
4. Principais Dificuldades que Podem Surgir Durante a Investigação ............. 42
4.1. Quantidade de Arquivos........................................................................................... 42
4.2. Existência de Senhas ............................................................................................... 43
4.3. Criptografia ................................................................................................................. 44
4.4. Esteganografia........................................................................................................... 45
5. CONSIDERAÇÕES FINAIS ........................................................................................ 45
5.1. TRABALHOS FUTUROS ......................................................................................... 46
6. REFERÊNCIAS............................................................................................................. 47
12
1. INTRODUÇÃO
1.3. Metodologia
A metodologia utilizada tem por base uma pesquisa teórica de cunho descritivo
tendo por finalidade, através da utilização de máquinas virtuais apresentar as etapas
de coleta, extração e análise do processo forense.
14
2. Referencial Teórico
Uma função hash é usada para construir uma pequena "impressão digital"
de alguns dados. Se os dados forem alterados, a impressão digital não será
mais válida. Mesmo que os dados sejam armazenados em um local
inseguro, sua integridade pode ser verificada periodicamente analisando a
impressão digital e verificando se a mesma não foi alterada. (STINSON,
2006, p.119).
A maneira como uma análise deve ser apresentada é importante e deve ser
compreensível até mesmo por leigos no assunto para ser eficaz. Deve ser
tecnicamente correto e confiável, um bom apresentador pode ser útil durante o
processo (VACCA, 2005).
18
Para testar o quão bem você articula seu caso, encontre o membro
tecnicamente mais competente de sua família e explique sua descobertas
para ele ou ela. Se você atingir esse objetivo com sucesso, estará pronto
para apresentar os dados para o advogado. Para investigadores altamente
técnicos, isso pode ser a fase mais difícil do processo.
2.5.1. Documentação
3. Manipulação de Evidências
Fonte: Autor
Fonte: Autor
cópia. Essa função pouparia muito tempo em uma investigação real, pois não seria
necessário a análise de um arquivo por vez por exemplo (Figura 4).
Fonte: Autor
Fonte: Autor
Fonte: Autor
Fonte: Autor
Fonte: Autor
Fonte: Autor
27
Para criar uma cópia dos discos, existem diversos métodos e ferramentas
disponíveis, o método mais comum é a criação de uma imagem de disco bit-a-bit.
Existe diversos formatos de imagem, alguns utilizados por ferramentas específicas,
outros mais difundidos, como o formato DD.
“Uma imagem bit-a-bit é uma cópia fiel do conteúdo do dispositivo de
armazenagem, garantindo que todos os dados presentes no dispositivo estejam
presentes na imagem”. (VENERE, 2009, p.35).
No presente trabalho foi utilizado o método de criação de imagem de disco
bit-a-bit e o formato de imagem “RAW [dd]”. O software de código aberto (do inglês
open source software ou OSS) AccessData FTK Imager foi utilizado para criar a
imagem de exemplo.
Fonte: Autor
28
Fonte: Autor
Fonte: Autor
Fonte: Autor
Fonte: Autor
30
Fonte: Autor
Fonte: Autor
31
Fonte: Autor
Após clicar no botão “Start” será iniciado a criação da imagem. Podendo levar
de alguns minutos a horas ou dias, dependendo do tamanho da unidade de
armazenamento que esta dando origem a imagem (Figura 18 e 19).
Fonte: Autor
32
Fonte: Autor
Fonte: Autor
33
Fonte: Autor
Para utilizar a imagem que foi criada, foi utilizado o software de código aberto
(do inglês open source software ou OSS) OSFMount. Esse software permite montar
arquivos de imagem de disco local (cópias bit-a-bit de uma partição de disco) no
Windows com a atribuição de uma letra de unidade. Por padrão, os arquivos de
imagem são montados como somente leitura para que os arquivos de imagem
originais não sejam alterados.
Figura 22. Interface do OSFMount.
34
Fonte: Autor
Para montar a imagem foi utilizado a opção “Mount new” no canto inferior
esquerdo, então uma janela será aberta para selecionar a imagem que será
montada e suas configurações (Figura 23). Após clicar em “OK” a imagem será
montada e poderá ser utilizada (Figura 24).
Fonte: Autor
Fonte: Autor
35
Fonte: Autor
Fonte: Autor
Fonte: Autor
Fonte: Autor
Fonte: Autor
Fonte: Autor
Fonte: Autor
Fonte: Autor
Fonte: Autor
Fonte: Autor
Fonte: Autor
Fonte: Autor
Por fim basta selecionar a opção de “Deleted Files” para visualizar todos os
arquivos que podem ou não serem recuperados. Para recuperar um arquivo basta
clicar em “Extract File(s)” e escolher a pasta de destino (Figura 37).
42
Fonte: Autor
4.3. Criptografia
4.4. Esteganografia
5. CONSIDERAÇÕES FINAIS
6. REFERÊNCIAS
NO
CONTATO
marcosmhs100@gmail.com
Tel.: (65) 99278-5995