Queira o Sr. Perito detalhar como detectar a cópia de arquivos para dispositivos externos – Parte 01

Desvio de informaçãoDeterminar se algum arquivo foi copiado para dispositivos externos não é uma tarefa fácil, ainda mais se  o arquivo estava em sistemas operacionais Microsoft Windows utilizados como estações de trabalho ou servidores que geralmente não possuem políticas que restrinjam esta atividade.

Para conseguir isso é necessário utilizar uma técnica que se inicia a partir do exame dos logs de documentos abertos recentemente (atalhos) em conjunto com os registros do sistema operacional.

Com o exame dos logs de documentos abertos recentemente (atalhos) é possível identificar se um arquivo foi copiado ou esteve armazenado em alguma unidade ou volume e qual a letra (C: – D: – E:) atribuída a esta unidade quando ela foi conectada ao computador. Já com os registros de sistema é possível determinar que tipo de dispositivo de armazenamento essa unidade representa.

No post de hoje vamos ver na prática como tudo isso funciona. Para reproduzir esse procedimento será necessário baixar três ferramentas livres, o Encase Imager, FTK Imager e o Registry Ripper, os quais podem ser encontrados nos sites a seguir:

http://www.guidancesoftware.com/Order-Forensic-Imager.aspx

http://www.accessdata.com/support/product-downloads

http://www.regripper.wordpress.com

Veja também outro artigo sobre detecção de cópias de arquivos para dispositivos externos com base numa segunda forma de verificação, também publicado aqui, no #qPerito.

Parte 01 dos exames:

Abra uma imagem forense com a ferramenta Encase Imager para ter acesso à estrutura de arquivos:

O primeiro passo é localizar eventuais registros que indiquem a cópia de arquivos. Nesse procedimento nós utilizaremos como recurso os arquivos de atalho que são gerados pelo sistema operacional toda vez que um documento é aberto. Os atalhos podem ser localizados em dois locais:

\users\<USERNAME>\AppData\Roaming\Microsoft\Windows\Recent\

\users\<USERNAME>\AppData\Roaming\Microsoft\Office\Recent\

Na guia “Evidence”, utilize a “Viewing Entry” para navegar até os diretórios indicados acima. Neles você encontrará diversos arquivos com extensão “lnk”. Essa é a extensão de arquivo do tipo atalho. Em que eles podem nos ajudar? Bem…Um arquivo de atalho é criado sempre que um documento é aberto. O nome do atalho é igual ao nome do documento, dessa forma fica fácil saber quais documentos foram abertos. Além disso, as propriedades técnicas dos atalhos nos indicam quando o documento foi aberto e onde ele estava. Logo, se um arquivo foi copiado para um pendrive, por exemplo, e aberto dentro desse pendrive, haverá nas referidas pastas registros que indicam esse evento.

Na figura abaixo podemos ver o conteúdo da pasta Recent. Observe que existem três arquivos do tipo atalho. Utilizaremos no nosso exemplo o arquivo “MyDocument 01.docx.lnk”.

Para obter um relatório sobre arquivo “lnk” clique sobre ele para selecioná-lo e em seguida clique na aba “Report” do Encase Imager como indicado na imagem acima. Será exibido um relatório sobre o arquivo “lnk” com os seguintes metadados e informações relevantes.

As informações relevantes apresentadas pelo Encase Imager para o arquivo de atalho “MyDocument 01.docx.lnk” são mostradas na figura a seguir:

Com base nessas informações, podemos concluir que:

  1. O arquivo “MyDocument 01.docx” foi acessado em 15/08/2013 às 11:29:08;
  2. O volume ou unidade onde ele estava armazenado chama-se “PORTABLE”;
  3. O endereço onde o documento estava era “G:\UTIL\Documents\”.

O próximo passo dos exames é saber o era a unidade “G:\” denominada “PORTABLE”. Para isso, vamos montar os registros do sistema operacional exportando-os com a ferramenta FTK Imager. Utilizaremos o FTK Imager, pois o Encase Imager não permite a exportação de arquivos.

Parte 02 dos exames

Após abrir a imagem forense no FTK Imager acesse o diretório “C:\Windows\System32\Config” e exporte os arquivos “SYSTEM” e “SOFTWARE”:

Abra a ferramenta Registry Ripper e, em “Hive File”, clique no botão “Browser” para selecionar o arquivo  de registro “SOFTWARE” recém-exportado. Em seguira, em “Report File”, clique no botão “Browser” e indique o local onde você quer que seja criado o relatório sobre esse registro. No campo “Plugin File” escolha a opção “software” e, por fim, clique em “Rip It” para criar o relatório do registro “SOFTWARE”:

Repita esse o mesmo procedimento com o arquivo “SYSTEM”, mas certifique-se de selecionar o Plugin correspondente.

Agora que os arquivos de registro estão montados, vamos examiná-los em busca das respostas necessárias.

No arquivo “SOFTWARE” existe a chave de registro “Microsoft\Windows Portable Devices\Devices”. Localize esta chave e examine as informações sobre os dispositivos externos que foram conectados ao computador.

Observe que o dispositivo “SANDISK&PROD_CRUZER_BLADE” possui o nome “PORTABLE” e foi conectado ao computador no mesmo dia e em horário muito próximo ao último acesso registrado para o documento “MyDocument 01.docx”.

7

Este dispositivo possui um número de série indicado na mesma chave de registro. Com ele é possível identificar qual letra esta unidade foi mapeada no sistema. Para fazer isso, abra o relatório recém-gerado referente ao registro “SYSTEM”. Com o comando Ctrl+F, faça uma busca pelo número de série do dispositivo. O resultado do nosso exemplo é mostrado na figura a seguir.

Note na imagem acima que o dispositivo de nome SanDisk Cruzer Blade, identificado como “PORTABLE”, foi mapeado no sistema operacional na letra “G:\”.

Ao pesquisar pelo dispositivo SanDisk Cruzer Blade no Google verificamos que trata-se de fato de um pendrive:

Conclusão:

Com base nos arquivos de atalho e nos registros de sistema conseguimos verificar que arquivos estavam armazenados em dispositivos externos. Isso pode ajudar na identificação de eventuais desvios de informação ou mau uso de documentos corporativos.

7 comentários sobre “Queira o Sr. Perito detalhar como detectar a cópia de arquivos para dispositivos externos – Parte 01

    • Obrigado pela consideração Diego. A ideia do blog é exatamente essa, compartilhar informações detalhadas e consistentes para as pessoas que trabalham com computação forense ou se interessam pela área. Continue nos acompanhando, tentamos trazer coisas novas todas as semanas. :)

    • Muito obrigado João. Toda a equipe do qperito tem trabalhado para trazer o melhor conteúdo. Agradeço em nome do Carlos e dos demais colaboradores.

  1. Obrigado pessoal pelo convite. É um prazer compartilhar informações com todos da área, posteriormente estarei enviando outros posts para o blog. Parabéns pelo conteúdo do blog, realmente não tem outro no Brasil com tal grau de conhecimento.

  2. Cara excelente post,mas gostaria de saber se tem como fazer o contrário,eu tenho um pendrive e tenho quase certeza de que copiaram desenhos e projetos dele,pois algum projetos apresentados em uma reunião eram idênticos aos que eu estava desenvolvendo,mas gostaria de saber se tem como saber quais arquivos foram copiados de um hd externo ou no meu caso pendrive para um computador ou outro dispositivo??

    • Caro Robson.

      Obrigado por acompanhar o nosso blog.

      Infelizmente não existem muitos registros que fiquem no pendrive sobre a cópia de arquivos. Nesse caso, o mais usual é analisar o computador onde você suspeita que os arquivos tenha sido descarregados. Nele você pode procurar, nos registros de sistema, quaisquer indícios de que o dito pendrive tenha sido conectado e, adicionalmente, verificar se existem arquivos idênticos ou parecidos no computador.

      Para verificar se existem arquivos idênticos, basta calcular o hashcode dos arquivos originais e de todos os arquivos do computador e compará-los (você pode gerar um hash list com o programa FTK Imager e fazer a comparação utilizando a função VLookUp do Microsoft Excel). Para verificar arquivos semelhantes, sugiro verificar em nosso blog um post sobre o assunto que detalha o uso do método fuzzy hash.

      Grande abraço.

      Everson Probst

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s