Queira o Sr. Perito explicar como restaurar registros e arquivos apagados com o System Restore

Os registros do sistema operacional Windows são fundamentais em todo o tipo de análise forense computacional. Com eles o examinador poderá determinar a exata versão do sistema e dos seus aplicativos, poderá conhecer as configurações do computador original, os principais programas e documentos acessados, até mesmo quais dispositivos externos (celulares, pendrives, cartões de memória etc.) foram utilizados no computador.

Contudo, cada vez mais os usuários de computador têm se preocupado com o desempenho de seus sistemas e, na maioria das vezes, utilizam ferramentas automáticas de manutenção de sistemas para melhorar esse desempenho. Essas ferramentas, além de apagarem históricos de navegação e cachê de outros recursos, limpam registros considerados pelo sistema “obsoletos”. O problema é que esses registros podem ser essenciais para esclarecimento de um fato.

Uma forma bastante simples, mas pouco usual de recuperar esses registros apagados é utilizar o recurso de Restauração do Sistema presente nos sistemas operacionais Windows.

Com isso não só é possível saber informações passadas que foram apagadas naturalmente pelo sistema, tal como os últimos arquivos manipulados (informação esta que costuma ser substituída por novas muito rapidamente), como também é possível recuperar informações apagadas propositalmente pelos usuários, tal como registros sobre os drives externos conectados ao computador (para saber mais sobre verificação dos dispositivos utilizados em um computador, veja nosso posts sobre esse assunto clicando Aqui!).

Essa parece ser uma tarefa relativamente simples. Entretanto, a problemática que motiva esse tutorial é o fato de que um Ponto de Restauração somente pode ser aberto por meio de programa específico executado no próprio computador analisado. Acontece que de acordo com as melhores práticas forenses, devemos analisar somente cópias/imagens do computador original. Para resolver esse problema, ensinaremos uma forma de inicializar o sistema operacional a partir de uma imagem forense utilizando recursos de virtualização.

Para executar esse procedimento você precisará baixar os seguintes programas:

  1. FTK Image http://accessdata.com/support/product-downloads
  2. Java RE (For LiveView) http://www.java.com/es/download/
  3. VMware-mount or VMware-vix-disklib www.vmware.com
  4. VMware player or VMware Workstation www.vmware.com
  5. LiveView http://liveview.sourceforge.net/
  6. Shadow Explorer: http://www.shadowexplorer.com/downloads.html

Os softwares listados entre os itens 01 e 05 devem ser instalados no computador do examinador exatamente na ordem em que aparecem na lista acima. O software indicado na linha 06 será instalado apenas na imagem forense após ser virtualizada.

O QUE É UM PONTO DE RESTAURAÇÃO

A Restauração de Sistema é um recurso do Windows presente nas versões XP e superiores. Ela permite que o usuário retorne (restaure) as configurações do computador para Pontos de Restaurações específicos.

Um Ponto de Restauração é um contêiner criado pelo sistema operacional com cópia dos arquivos de registro, documentos recentes, e-mails, listas de favoritos e históricos de navegação. Ele pode ser criado automaticamente pelo próprio sistema operacional quando o usuário instalar algum tipo de aplicativo, ou pode ser criado manualmente pelo próprio usuário. Como este procedimento trata da análise desse recurso, não teceremos detalhes adicionais a respeito das formas como um Ponto de Restauração pode ser criado.

Os arquivos de Ponto de Restauração do sistema são armazenados na unidade de disco que está com este recurso ativado dentro do diretório System Volume Information. Esse diretório é oculto para o usuário e é protegido pelo sistema operacional.

Os dados armazenados dentro de um Ponto de Restauração não podem ser diretamente acessados pelo usuário. Para abrir esse contêiner o examinador deve utilizar uma ferramenta capaz disso, como o Shadow Explorer que utilizaremos nesse tutorial.

PARTE 01 – CONVERSÃO DE IMAGEM FORENSE

A primeira coisa que você deve saber é que esse procedimento funciona apenas com imagens em formato RAW, ou seja, se você tem uma imagem em formato E01 terá que convertê-la para RAW. Como isso é muito importante, vamos mostrar como fazer (se você quer aprender como obter uma imagem em formato RAW ao invés de E01 já no momento da coleta, veja procedimento completo clicando Aqui!).

Abra o programa FTK Imager, clique sobre o menu “File” e, em seguida, na opção “Create Disk Image…”.

Na tela seguinte escolha a opção “Image File” e clique em “Next”.

Em seguida, escolha a imagem forense em formato E01 que deseja converter para RAW.

Na tela seguinte, escolha a opção “Add”, como mostrado na figura abaixo.

A próxima tela é para escolha do tipo de imagem que deverá ser gerada. No nosso caso precisamos de uma imagem em formato RAW e por isso estamos fazendo a conversão. Portanto, selecione a opção “Raw (dd)” e prossiga.

Em seguida devem ser fornecidas as informações sobre a nova imagem, tal como “”Evidence number”… Essa etapa não é necessária para realização do procedimento. Sendo assim, apenas prossiga.

A próxima tela é importante. Nela, escolha o local onde a nova imagem deverá ser criada, o nome da nova imagem e o tamanho de cada fragmento (recomendamos para esse procedimento marcar essa opção como 0). Antes de clicar em “Finish” certifique-se que a tela está configurada como na figura abaixo.

Por fim, o FTK Imager retornará para a tela inicial onde deverão ser escolhidas as opção “Precalculate Progress Statistics” para termos indicação de tempo restante de conversão e “Verification images after they are created”. Então, clique em “Start”.

Após a geração da nova imagem forense, feche o programa FTK Imager.

PARTE 02 – VIRTUALIZAÇÃO DA IMAGEM RAW

Para virtualizar a imagem RAW de forma que seu sistema operacional seja inicializado, você deve instalar os programas indicados no início desse tutorial exatamente na ordem em que aparecem na lista.

Primeiramente, execute o programa LiveView. Escolha o tamanho mínimo de RAM necessário para o sistema operacional instalado na Imagem Forense. Procure configurar a data no “System Time” para um valor próximo da data e hora da coleta (isso ajuda a evitar eventuais falhas de programas e drives causados por questões de expiração de licença), e escolha a versão do sistema operacional instalado na imagem.

Nota: Para saber o tamanho mínimo da RAM consulte o fabricante do sistema operacional.

Nota: Para saber qual sistema operacional está instalado em uma imagem forense, abra essa imagem no FTK Imager, localize o arquivo de registro SOFTWARE em C:\ Windows\ System32\ config e exporte esse arquivo. Abra-o no REGEDIT ou em qualquer outro programa interpretador de registros e localize a chave Computer\ HKEY_CURRENT_CONFIG\ Microsoft\ Windows NT\ CurrentVersion.

Em “Select Your Image or Disk”, escolha a opção “Image File(s)” e clique sobre o botão “Browser” para selecionar a imagem recém-convertida para o formato RAW.

Em “Select Output Directory For VM Config Files”, selecione o local onde as informações de configuração deverão ser gravadas. Esse local será utilizado para cachê de modificação do gerenciador de máquina virtual de forma que a imagem permaneça inalterada.

Para finalizar, escolha a opção “Launch My Image” e clique em “Start”.

Nota: Além da opção “Image File(s)” o Live View também permite virtualizar sistemas operacionais a partir de um disco montado no computador do examinador, para isso basta escolher “Physical Disk”. Essa observação é importante, pois um fator que pode implicar em falhas no início da configuração da máquina virtual é a instalação incompleta do pacote de virtualização de imagens forenses do WMWare. Acontece que algumas vezes esse pacote indica ter sido instalado corretamente quando na verdade isso não aconteceu. Se ao clicar sobre o botão “start” mostrado na tela acima o Live View apresentar uma mensagem de erro ou falha ao montar a imagem, tente reexecutar o procedimento montando a imagem forense com a função “Image Mounting…” do FTK Imager, escolhendo a opção “Physical Disk” no Live View e selecionando o drive físico recém-montado.

Ao clicar em “Start” a seguinte mensagem pode ser apresentada. Nesse caso clique em “Yes”.

Nesse momento o programa Live View irá preparar as configurações necessárias para virtualização do sistema operacional presente na imagem forense e abrirá automaticamente o programa VMWare com a máquina virtual configurada. Espere a inicialização automática do sistema operacional.

Nota: Algumas imagens podem apresentar erros de inicialização nesta etapa. Os erros mais comuns podem ser resolvidos com a utilização do CD de instalação do Windows na mesma versão do sistema instalado na imagem virtualizada, inclusive a tecnologia de processamento (32 ou 64bits). Se esse procedimento for necessário, é importante destacar que os registros atuais do sistema operacional presentes na imagem forense poderão ser atualizados, principalmente no que se refere à configuração de hardware. Entretanto, isso não causará danos ao procedimento, pois os registros que exportaremos são aqueles que estão protegidos e encapsulados pelos Pontos de Restauração e refletem o estado do computado em datas passadas.

Lembre-se que para uma evidência ter valor forense sua cadeia de custódia deve ser perfeita. Como esse procedimento pode alterar alguns registros da imagem examinada, toda ação deve ser delicadamente controlada de forma que o examinador consiga separa claramente o que já existia na imagem forense se todos os registros que foram criados em função das suas ações. Sugerimos a leitura do nosso post sobre Cadeia de Custódia para maiores detalhes.

PARTE 03 – RESTAURAÇÃO E EXPORTAÇÃO DE REGISTROS

Com a máquina virtual inicializada, transfira para dentro dela o instalador do programa Shadow Explorer. Depois de instalado, execute o programa.

Na tela principal do programa escolha a unidade “C:”, como mostrado na figura a seguir.

Ao lado da unidade “C:” existe uma caixa suspensa com a data do mais antigo Ponto de Restauração. Clique sobre a seta lateral para ver todas as datas possíveis.

Quando uma data é escolhida, toda a estrutura de arquivos da unidade é atualizada com as configurações e arquivos salvos no respectivo Ponto de Restauração. Portanto, para recuperar os registros de sistema com estado em 29/10/2013 as 12min46seg, por exemplo, basta clicar sobre essa data e navegar até o diretório C:Windows\System32\config.

Observe que os principais registros de sistema estão dentro desse diretório com data de modificação em 29/10/2013, ou seja, seu conteúdo representa um estado anterior do computador analisado.

Nota: Os registros de usuário são normalmente armazenados na raiz do diretório de cada usuário do computador (%USERPROFILE%) com nome NTUSER.DAT.

Para exportar os arquivos de registros desejados, basta clicar com o botão direito sobre eles e selecionar a opção “Export”.

Pronto! Agora você pode escolher todas as datas de pontos de restauração que deseja analisar e exportar todos os registros necessários para sua análise.

Nota: Além de registros de sistema e de usuário, é possível restaurar os arquivos recentes gravados nos Pontos de Restauração e que foram apagados posteriormente do seu diretório original, e-mails, históricos de internet e outros. Para isso, basta seguir os mesmo passos indicados ao longo desse tutorial e escolher os arquivos que você deseja restaurar.

4 comentários sobre “Queira o Sr. Perito explicar como restaurar registros e arquivos apagados com o System Restore

  1. Olá Everson.
    Muito bom e objetivo este site para estudo de computação forense. Tenho algumas dúvidas para ti e os demais os experts:

    1. O procedimento acima funciona caso o investigado utilize técnicas anti forenses, como rodar sistema operacional “amnésico” em modo live cd, como o tails.boum.org em máquina virtual (VMWare)? Supondo que o Tails utiliza apenas a memória RAM e navegação anônima do navegador Tor.

    2. Se o investigado apagar manualmente os registros de logs, bem como os pontos de restauração?

    3. Se o investigado utilizar criptografia 256bits como o TrueCrypt?

    Obrigado.

    • Oi Marcos, obrigado pelos seus comentários.

      Vou responder cada uma de suas perguntas individualmente.

      1) Ainda que o usuário use recursos como distribuições Linux Live, poderão ser restaurados arquivos e configurações de datas anteriores a partir de pontos de restauração existentes. A única forma de esgotar esta possibilidade é se o usuário apagar os contêineres de ponto de restauração (System Volume Information) manualmente. Se isso acontecer, a restauração de registros pode ser bastante difícil, pois não existem programas capazes de recuperar automaticamente um SysVol apagado com base em data carving. Sua recuperação fica restrita ao método file recovery baseado em entradas de registros do sistema de arquivos.
      Na mesma pergunta você falou sobre registros de navegação anônima. Esse tipo de registro costuma ser armazenado em arquivos temporários ou memória. No primeiro caso é possível recuperar essas informações com base em métodos data carving. Já o segundo caso, quando o armazenamento fica apenas em memória, você deve verificar os arquivos de paginação. No sistema Windows, por exemplo, você poderá analisar o pagefile.sys para verificar a eventual existência de registros que estavam em memória e foram copiados para o disco. Veja que você sempre trabalhará com possibilidades e terá que realizar diversos testes e verificações.

      2) Se o usuário apagar logs ou registros manualmente, será possível recuperar a informação com métodos de file recovery ou data carving caso o dado não tenha sido sobrescrito. Sugiro você verificar dois artigos que publiquei no blog sobre o assunto. Agora, se o usuário apagou o SysVol manualmente, o problema é um pouco difente. Como o SysVol não é arquivo que os programas de data carving tem capacidade de recuperar, a única possibilidade de recuperação é com file recovery, ou seja, através da entradas de arquivos presentes no sistema de arquivos e somente se os dados que compõem o arquivo e a sua referência no sistema de arquivo estiverem completamente íntegros. O que diminui o sucesso desse método é que a desfragmentação do disco apaga entradas não usada no sistema de arquivos, ou seja, entradas de arquivos apagados.

      3) Criptografia é sempre um problema. É comum você ouvir falar em quebra de criptografia. Não gosto de usar máximas, mas quebra de criptografia é no mínimo improvável. Mas fácil é quebra a senha criptográfica, mesmo assim essa tarefa pode ser tão custosa que não vale a pena ser executada.
      Nesse caso, se for um computador corporativo e a criptografia for gerenciada por um servidor da empresa, poderá ser possivel gerar uma contra chave, caso contrário o acesso as informações é quase impossível. Historicamente conhecemos casos em que a própria policia federal brasileira, embora tenha recebido ajuda do FBI, não conseguiu acessar dados criptografados de HDs apreendidos. Não trata-se de incapacidade técnica, mas da enorme complexidade dos principais algoritmos de criptografia.

      Espero ter ajudar. Se tiver mais dúvidas ou quiser compartilhar algo, fique à vontade para postar mais vezes.

      • Olá Everson.
        1. Pelo que entendi, o SysVol pode ser acessado em “c: > opções de pasta e pesquisa > modo de exibição > ocultar arquivos protegidos do Sistema Operacional”. Este é o famoso arquivo de recuperação do Windows, o qual acessamos em caso de falha no S.O? Neste caso, apagando o SysVol, não é possível recuperar o S.O, exceto se houver backup da partição de recuperação do sistema em pen drive. Estou correto?
        2. Apagando o SysVol, os pontos de restauração antigos, logs de registro, e desfragmentando o c:, torna praticamente inviável a perícia forense post mortem?
        3. Gostaria de recomendar aos peritos, o estudo do Linux Tails. Na minha opinião, o maior desafio para a forense, tanto inviabilizando técnicas de mineração forense no pc, quanto inviabilizando farejamento (sniffers) de dados entre o provedor (ISP) do investigado e seu pc. O Tails, é um S.O amnésico e que usa a rede anônima Tor, para acessar a “Deep Web”.
        4. Gostaria da opinião dos peritos sobre o acima exposto e indicar os seguintes sites para maiores esclarecimentos:

        https://www.torproject.org/

        https://tails.boum.org/

        Agradeço sua atenção e espero mais artigos sobre forense.

      • Oi Marcos,

        Parece-me que você está mais interessado em apagar dados do que em encontrá-los rs.

        O SysVol é o contêiner onde são armazenados os dados de pontos de restauração do Windows. Apenas usuários mais avançados conseguiriam apagá-lo, uma vez que ele é protegido pelo sistema. Mas sim, é possível apagar esse arquivo sem grande dificuldade. Nesse sentido, existem fluxos de execução de técnicas anti-forense que compreendem, entre outras coisas, formas de excluir o SysVol, excluir arquivos/áreas de Swap, realizar desfragmentação de disco e, até mesmo, wipe da área não alocada (sanitização ou zeramento). Entretanto, nunca vi uma técnica que fosse 100% efetiva na destruição de dados, pois existem muitos locais onde podem restar dados antigos e que são muito difíceis de limpar, tais como o File Slack e novos registros e recursos que surgem a todo o momento e que armazenam diversos dados a respeito da forma como o usuário utiliza o computador.

        Com base nisso, e também nas experiências que tive, posso lhe assegurar que é improvável que alguma técnica anti-forense, ou um conjunto delas, inviabilize completamente a análise post mortem de HDs.

        Sobre o Linux Tails, ele realmente está em pauta ultimamente. Ainda assim, como vários outros recursos de navegação anônima ou mesmo sistemas operacionais construídos para fins não tão lícitos, o Linux Tails não é muito utilizado por usuários comuns. Esse tipo de recurso costuma ser mais fortemente utilizado por hackers em grandes operações de invasão e fraudes. Esses casos, por sua vez, são tratados geralmente pela polícia, e não por peritos particulares ou peritos judiciais. Embora eu acredite ser de fundamental importância que profissionais e entusiastas da nossa área estejam sempre conectados ao que há de novo, sugiro que você não consuma muito tempo com o estudo de sistemas operacionais que são utilizados em parcelas irrisórias de casos reais. Lembre-se que o grande volume de demandas são de perícias computacionais voltadas ao esclarecimento de práticas ilícitas ou irregulares feitas por pessoas com pouco ou nenhum conhecimento de técnicas como essas.

        Novamente agradeço a sua colaboração e, em breve, teremos novos artigos técnicos no blog.

        Grande abraço,

        Everson Probst

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s