Queira o Sr. Perito detalhar como detectar a cópia de arquivos para dispositivos externos

Desvio de informaçãoDeterminar se algum arquivo foi copiado para dispositivos externos não é uma tarefa fácil, ainda mais se  o arquivo estava em sistemas operacionais Microsoft Windows utilizados como estações de trabalho ou servidores que geralmente não possuem políticas que restrinjam esta atividade.

Para conseguir isso é necessário utilizar uma técnica que se inicia a partir do exame dos logs de documentos abertos recentemente (atalhos) em conjunto com os registros do sistema operacional.

Com o exame dos logs de documentos abertos recentemente (atalhos) é possível identificar se um arquivo foi copiado ou esteve armazenado em alguma unidade ou volume e qual a letra (C: – D: – E:) atribuída a esta unidade quando ela foi conectada ao computador. Já com os registros de sistema é possível determinar que tipo de dispositivo de armazenamento essa unidade representa.

No post de hoje vamos ver na prática como tudo isso funciona. Para reproduzir esse procedimento será necessário baixar três ferramentas livres, o Encase Imager, FTK Imager e o Registry Ripper, os quais podem ser encontrados nos sites a seguir:

http://www.guidancesoftware.com/Order-Forensic-Imager.aspx

http://www.accessdata.com/support/product-downloads

http://www.regripper.wordpress.com

Parte 01 dos exames:

Abra uma imagem forense com a ferramenta Encase Imager para ter acesso à estrutura de arquivos:

O primeiro passo é localizar eventuais registros que indiquem a cópia de arquivos. Nesse procedimento nós utilizaremos como recurso os arquivos de atalho que são gerados pelo sistema operacional toda vez que um documento é aberto. Os atalhos podem ser localizados em dois locais:

\users\<USERNAME>\AppData\Roaming\Microsoft\Windows\Recent\

\users\<USERNAME>\AppData\Roaming\Microsoft\Office\Recent\

Na guia “Evidence”, utilize a “Viewing Entry” para navegar até os diretórios indicados acima. Neles você encontrará diversos arquivos com extensão “lnk”. Essa é a extensão de arquivo do tipo atalho. Em que eles podem nos ajudar? Bem…Um arquivo de atalho é criado sempre que um documento é aberto. O nome do atalho é igual ao nome do documento, dessa forma fica fácil saber quais documentos foram abertos. Além disso, as propriedades técnicas dos atalhos nos indicam quando o documento foi aberto e onde ele estava. Logo, se um arquivo foi copiado para um pendrive, por exemplo, e aberto dentro desse pendrive, haverá nas referidas pastas registros que indicam esse evento.

Na figura abaixo podemos ver o conteúdo da pasta Recent. Observe que existem três arquivos do tipo atalho. Utilizaremos no nosso exemplo o arquivo “MyDocument 01.docx.lnk”.

Para obter um relatório sobre arquivo “lnk” clique sobre ele para selecioná-lo e em seguida clique na aba “Report” do Encase Imager como indicado na imagem acima. Será exibido um relatório sobre o arquivo “lnk” com os seguintes metadados e informações relevantes.

As informações relevantes apresentadas pelo Encase Imager para o arquivo de atalho “MyDocument 01.docx.lnk” são mostradas na figura a seguir:

Com base nessas informações, podemos concluir que:

  1. O arquivo “MyDocument 01.docx” foi acessado em 15/08/2013 às 11:29:08;
  2. O volume ou unidade onde ele estava armazenado chama-se “PORTABLE”;
  3. O endereço onde o documento estava era “G:\UTIL\Documents\”.

O próximo passo dos exames é saber o era a unidade “G:\” denominada “PORTABLE”. Para isso, vamos montar os registros do sistema operacional exportando-os com a ferramenta FTK Imager. Utilizaremos o FTK Imager, pois o Encase Imager não permite a exportação de arquivos.

Parte 02 dos exames

Após abrir a imagem forense no FTK Imager acesse o diretório “C:\Windows\System32\Config” e exporte os arquivos “SYSTEM” e “SOFTWARE”:

Abra a ferramenta Registry Ripper e, em “Hive File”, clique no botão “Browser” para selecionar o arquivo  de registro “SOFTWARE” recém-exportado. Em seguira, em “Report File”, clique no botão “Browser” e indique o local onde você quer que seja criado o relatório sobre esse registro. No campo “Plugin File” escolha a opção “software” e, por fim, clique em “Rip It” para criar o relatório do registro “SOFTWARE”:

Repita esse o mesmo procedimento com o arquivo “SYSTEM”, mas certifique-se de selecionar o Plugin correspondente.

Agora que os arquivos de registro estão montados, vamos examiná-los em busca das respostas necessárias.

No arquivo “SOFTWARE” existe a chave de registro “Microsoft\Windows Portable Devices\Devices”. Localize esta chave e examine as informações sobre os dispositivos externos que foram conectados ao computador.

Observe que o dispositivo “SANDISK&PROD_CRUZER_BLADE” possui o nome “PORTABLE” e foi conectado ao computador no mesmo dia e em horário muito próximo ao último acesso registrado para o documento “MyDocument 01.docx”.

7

Este dispositivo possui um número de série indicado na mesma chave de registro. Com ele é possível identificar qual letra esta unidade foi mapeada no sistema. Para fazer isso, abra o relatório recém-gerado referente ao registro “SYSTEM”. Com o comando Ctrl+F, faça uma busca pelo número de série do dispositivo. O resultado do nosso exemplo é mostrado na figura a seguir.

Note na imagem acima que o dispositivo de nome SanDisk Cruzer Blade, identificado como “PORTABLE”, foi mapeado no sistema operacional na letra “G:\”.

Ao pesquisar pelo dispositivo SanDisk Cruzer Blade no Google verificamos que trata-se de fato de um pendrive:

Conclusão:

Com base nos arquivos de atalho e nos registros de sistema conseguimos verificar que arquivos estavam armazenados em dispositivos externos. Isso pode ajudar na identificação de eventuais desvios de informação ou mau uso de documentos corporativos.

Tags:,

5 Respostas para “Queira o Sr. Perito detalhar como detectar a cópia de arquivos para dispositivos externos”

  1. Diego diz :

    Ótimo post! Parabéns por compartilhar informações preciosas e detalhadas que contribuem para enriquecer cada vez nossa comunidade. Abraços

    • Everson Probst diz :

      Obrigado pela consideração Diego. A ideia do blog é exatamente essa, compartilhar informações detalhadas e consistentes para as pessoas que trabalham com computação forense ou se interessam pela área. Continue nos acompanhando, tentamos trazer coisas novas todas as semanas. :)

  2. Joao Carvalho diz :

    Muito bom!
    Obrigado pela partilha.
    Bem Haja e boas FESTAS!

    • Everson Probst diz :

      Muito obrigado João. Toda a equipe do qperito tem trabalhado para trazer o melhor conteúdo. Agradeço em nome do Carlos e dos demais colaboradores.

  3. Carlos Dias diz :

    Obrigado pessoal pelo convite. É um prazer compartilhar informações com todos da área, posteriormente estarei enviando outros posts para o blog. Parabéns pelo conteúdo do blog, realmente não tem outro no Brasil com tal grau de conhecimento.

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s

Seguir

Obtenha todo post novo entregue na sua caixa de entrada.

Junte-se a 141 outros seguidores

%d blogueiros gostam disto: