Queira o Sr. Perito detalhar como detectar a cópia de arquivos para dispositivos externos – Parte 01

Desvio de informaçãoDeterminar se algum arquivo foi copiado para dispositivos externos não é uma tarefa fácil, ainda mais se  o arquivo estava em sistemas operacionais Microsoft Windows utilizados como estações de trabalho ou servidores que geralmente não possuem políticas que restrinjam esta atividade.

Para conseguir isso é necessário utilizar uma técnica que se inicia a partir do exame dos logs de documentos abertos recentemente (atalhos) em conjunto com os registros do sistema operacional.

Com o exame dos logs de documentos abertos recentemente (atalhos) é possível identificar se um arquivo foi copiado ou esteve armazenado em alguma unidade ou volume e qual a letra (C: – D: – E:) atribuída a esta unidade quando ela foi conectada ao computador. Já com os registros de sistema é possível determinar que tipo de dispositivo de armazenamento essa unidade representa.

No post de hoje vamos ver na prática como tudo isso funciona. Para reproduzir esse procedimento será necessário baixar três ferramentas livres, o Encase Imager, FTK Imager e o Registry Ripper, os quais podem ser encontrados nos sites a seguir:

http://www.guidancesoftware.com/Order-Forensic-Imager.aspx

http://www.accessdata.com/support/product-downloads

http://www.regripper.wordpress.com

Veja também outro artigo sobre detecção de cópias de arquivos para dispositivos externos com base numa segunda forma de verificação, também publicado aqui, no #qPerito.

Parte 01 dos exames:

Abra uma imagem forense com a ferramenta Encase Imager para ter acesso à estrutura de arquivos:

O primeiro passo é localizar eventuais registros que indiquem a cópia de arquivos. Nesse procedimento nós utilizaremos como recurso os arquivos de atalho que são gerados pelo sistema operacional toda vez que um documento é aberto. Os atalhos podem ser localizados em dois locais:

\users\<USERNAME>\AppData\Roaming\Microsoft\Windows\Recent\

\users\<USERNAME>\AppData\Roaming\Microsoft\Office\Recent\

Na guia “Evidence”, utilize a “Viewing Entry” para navegar até os diretórios indicados acima. Neles você encontrará diversos arquivos com extensão “lnk”. Essa é a extensão de arquivo do tipo atalho. Em que eles podem nos ajudar? Bem…Um arquivo de atalho é criado sempre que um documento é aberto. O nome do atalho é igual ao nome do documento, dessa forma fica fácil saber quais documentos foram abertos. Além disso, as propriedades técnicas dos atalhos nos indicam quando o documento foi aberto e onde ele estava. Logo, se um arquivo foi copiado para um pendrive, por exemplo, e aberto dentro desse pendrive, haverá nas referidas pastas registros que indicam esse evento.

Na figura abaixo podemos ver o conteúdo da pasta Recent. Observe que existem três arquivos do tipo atalho. Utilizaremos no nosso exemplo o arquivo “MyDocument 01.docx.lnk”.

Para obter um relatório sobre arquivo “lnk” clique sobre ele para selecioná-lo e em seguida clique na aba “Report” do Encase Imager como indicado na imagem acima. Será exibido um relatório sobre o arquivo “lnk” com os seguintes metadados e informações relevantes.

As informações relevantes apresentadas pelo Encase Imager para o arquivo de atalho “MyDocument 01.docx.lnk” são mostradas na figura a seguir:

Com base nessas informações, podemos concluir que:

  1. O arquivo “MyDocument 01.docx” foi acessado em 15/08/2013 às 11:29:08;
  2. O volume ou unidade onde ele estava armazenado chama-se “PORTABLE”;
  3. O endereço onde o documento estava era “G:\UTIL\Documents\”.

O próximo passo dos exames é saber o era a unidade “G:\” denominada “PORTABLE”. Para isso, vamos montar os registros do sistema operacional exportando-os com a ferramenta FTK Imager. Utilizaremos o FTK Imager, pois o Encase Imager não permite a exportação de arquivos.

Parte 02 dos exames

Após abrir a imagem forense no FTK Imager acesse o diretório “C:\Windows\System32\Config” e exporte os arquivos “SYSTEM” e “SOFTWARE”:

Abra a ferramenta Registry Ripper e, em “Hive File”, clique no botão “Browser” para selecionar o arquivo  de registro “SOFTWARE” recém-exportado. Em seguira, em “Report File”, clique no botão “Browser” e indique o local onde você quer que seja criado o relatório sobre esse registro. No campo “Plugin File” escolha a opção “software” e, por fim, clique em “Rip It” para criar o relatório do registro “SOFTWARE”:

Repita esse o mesmo procedimento com o arquivo “SYSTEM”, mas certifique-se de selecionar o Plugin correspondente.

Agora que os arquivos de registro estão montados, vamos examiná-los em busca das respostas necessárias.

No arquivo “SOFTWARE” existe a chave de registro “Microsoft\Windows Portable Devices\Devices”. Localize esta chave e examine as informações sobre os dispositivos externos que foram conectados ao computador.

Observe que o dispositivo “SANDISK&PROD_CRUZER_BLADE” possui o nome “PORTABLE” e foi conectado ao computador no mesmo dia e em horário muito próximo ao último acesso registrado para o documento “MyDocument 01.docx”.

7

Este dispositivo possui um número de série indicado na mesma chave de registro. Com ele é possível identificar qual letra esta unidade foi mapeada no sistema. Para fazer isso, abra o relatório recém-gerado referente ao registro “SYSTEM”. Com o comando Ctrl+F, faça uma busca pelo número de série do dispositivo. O resultado do nosso exemplo é mostrado na figura a seguir.

Note na imagem acima que o dispositivo de nome SanDisk Cruzer Blade, identificado como “PORTABLE”, foi mapeado no sistema operacional na letra “G:\”.

Ao pesquisar pelo dispositivo SanDisk Cruzer Blade no Google verificamos que trata-se de fato de um pendrive:

Conclusão:

Com base nos arquivos de atalho e nos registros de sistema conseguimos verificar que arquivos estavam armazenados em dispositivos externos. Isso pode ajudar na identificação de eventuais desvios de informação ou mau uso de documentos corporativos.

16 comentários sobre “Queira o Sr. Perito detalhar como detectar a cópia de arquivos para dispositivos externos – Parte 01

    • Obrigado pela consideração Diego. A ideia do blog é exatamente essa, compartilhar informações detalhadas e consistentes para as pessoas que trabalham com computação forense ou se interessam pela área. Continue nos acompanhando, tentamos trazer coisas novas todas as semanas. :)

    • Muito obrigado João. Toda a equipe do qperito tem trabalhado para trazer o melhor conteúdo. Agradeço em nome do Carlos e dos demais colaboradores.

  1. Obrigado pessoal pelo convite. É um prazer compartilhar informações com todos da área, posteriormente estarei enviando outros posts para o blog. Parabéns pelo conteúdo do blog, realmente não tem outro no Brasil com tal grau de conhecimento.

  2. Cara excelente post,mas gostaria de saber se tem como fazer o contrário,eu tenho um pendrive e tenho quase certeza de que copiaram desenhos e projetos dele,pois algum projetos apresentados em uma reunião eram idênticos aos que eu estava desenvolvendo,mas gostaria de saber se tem como saber quais arquivos foram copiados de um hd externo ou no meu caso pendrive para um computador ou outro dispositivo??

    • Caro Robson.

      Obrigado por acompanhar o nosso blog.

      Infelizmente não existem muitos registros que fiquem no pendrive sobre a cópia de arquivos. Nesse caso, o mais usual é analisar o computador onde você suspeita que os arquivos tenha sido descarregados. Nele você pode procurar, nos registros de sistema, quaisquer indícios de que o dito pendrive tenha sido conectado e, adicionalmente, verificar se existem arquivos idênticos ou parecidos no computador.

      Para verificar se existem arquivos idênticos, basta calcular o hashcode dos arquivos originais e de todos os arquivos do computador e compará-los (você pode gerar um hash list com o programa FTK Imager e fazer a comparação utilizando a função VLookUp do Microsoft Excel). Para verificar arquivos semelhantes, sugiro verificar em nosso blog um post sobre o assunto que detalha o uso do método fuzzy hash.

      Grande abraço.

      Everson Probst

  3. Boa noite, Everson, tudo bem?
    Fiz cópias de pastas do computador na empresa onde trabalho, os computadores ficam em rede, tem como apagar alguma rastreabilidade que possam saber que copiei estes arquivos?

    Ou ainda mudar a data de último acesso?

    Att,

    Henrique
    wiliansp2010@hotmail.com

    • Caro Henrique, obrigado por acompanhar o nosso blog.

      Se você realizou cópias de arquivos da empresa onde trabalha, sugiro que informe o evento aos seus superiores, pois eles certamente saberão a melhor forma de proceder com esse incidente. Ainda que houvesse alguma possibilidade de excluir registros dessa operação, possibilidade esta que pode ser ilegal dependendo do que te motivou a utilizá-la, essa exclusão não impedirá completamente a constatação da cópia.

      Em termos técnicos, qualquer operação realizada em um computador deixa dezenas de evidências, algumas das quais não são conhecidas até mesmo por usuários mais experientes ou ferramentas de limpeza de registro.

      É importante lembrar que documentos da empresa, ainda que produzido por você, pertencem a sua contratante, principalmente se foram produzidos durante o exercício de seus funções laborais ou para os fins aos quais você foi contratado.

      Grande abraço

      Everson Probst

  4. Passei uma pasta com fotos para o pendrive, depois exclui esta pasta do computador, há como fazer um rastreamento para saber se a referida pasta foi transferida para algum ipad via itunes, estando ela somente no pendrive agora?

    • Caro Rodrigo

      Se a pasta foi transferida para um dispositivo Apple via iTunes, você deve primeiramente verificar se há ou já houve neste computador o iTunes instalado (ou outro software de transferência de dados para Apple). Para isso, consulte os registros do sistema. O programa Registry Ripper é ótimo para tratar os arquivos de registro do Windows e aqui no blog qPerito.com você encontrará detalhes sobre ele.

      Além disso, quando um arquivo é transferido para um dispositivo via Itunes, o próprio programa armazena registros dessa operação. Não me recordo exatamente onde estão ou qual seu nome, mas se você estiver disposto a descubrir isso, suriro fazer um pequeno ensaio: num computador com iTunes, tire um SnapShot dos registros (use o programa RegShot para isso). Depois faça a transferência de um arquivo via Itunes para um dispositivo Apple e, em seguida, utilizando o mesmo programa (RegShot), tire um segundo SnapShot. Por fim, compare os resultados (o próprio programa faz isso pra você) e você saberá quais arquivos ou registros foram criados ou atualizados após a transfêrencia. Esse é um excelente caminho para descobrir quais fontes você deve examinar. :)

      Além disso, verifique se neste computador há backup do dispositivo criado pelo próprio iTunes, se não estiver bloqueado com senha, há vários softwares na Internet que abrem ele.

      Espero ter ajudado e obrigado por acompanhar nosso blog.

      Everson Probst

      • Caro Everson.

        Primeiramente obrigado pela resposta. Ocorre que formatei meu pc esses dias, há como recuperar as informações de registro? Na verdade fiz uma restauração do sistema e perdi todas as pastas, como se houvesse formatado o computador, não sei se realmente foi feita uma formatação, mas eu perdi todos os programas e pastas instalados após essa restauração, o windows foi instalado novamente, etc… Ainda há chance de pelo menos saber se algum pendrive (iphone) foi conectado no meu pc antes dessa restauração ou formatação?

  5. Caro Everson,

    Não estou achando encontrando ” Na guia “Evidence”, utilize a “Viewing Entry” para navegar até os diretórios indicados acima” Consigo navegar até a opção por “add evidence file” porem estou tendo problemas com as permissões. Queria saber também qual a versão do EnCase que vc esta usando, talvez a minha seja mais recente já que seu post já tem um ano.

    Muito obrigado !

    P.S. vou ficar o final de semana trabalhando pra tentar resolver, qualquer dica nesse intervalo de tempo será muito bem vinda. :)

    • Prezado

      Quando esse artigo foi feito utilizamos o EnCase 7, mas não me lembro exatamente qual a versão. A view “Entry” do EnCase é onde você enxerga a árvore de diretórios do HD. É a primeira tela exibida após a abertura da imagem.

      Espero ter ajudar.

      Obrigado por acompanhar o nosso blog ;)

      Everson Probst

  6. Caro Everson.

    Primeiramente obrigado pela resposta. Ocorre que formatei meu pc esses dias, há como recuperar as informações de registro?

    Obrigado!

  7. O post ajudou muito mas ainda tenho uma dúvida. Levei um pen drive para assistir filme na casa de uma amiga mas naquele pen drive tinha documentos também, porém os arquivos de documento não foram abertos. É possivel que, mesmo sem serem abertos, o computador crie um atalho deles?

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alteração )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alteração )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alteração )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alteração )

Conectando a %s