Queira o Sr. Perito detalhar como detectar a cópia de arquivos para dispositivos externos – Parte 02

INTRODUÇÃO

No ano passado, o nosso colaborador Carlos Dias publicou um artigo muito bom que detalha uma forma simples e rápida de verificar indícios de desvios de informação (clique aqui para ler o artigo). Depois disso, recebemos muitos contatos por e-mail pedindo mais detalhes técnicos e informações adicionais sobre como evidenciar cópias de arquivos. Por isso, decidimos complementar o assunto trazendo um artigo com informações técnicas sobre os registros que existem no sistema operacional Windows que nos ajudam nesse tipo de análise e, ainda, apresentando outro método de verificar a cópia de arquivos para dispositivos externos.

Sempre que um arquivo é aberto pelo usuário ou pelo sistema operacional são criados registros a respeito desse evento. Um registro muito importante é o Link File. Link Files, ou atalhos de arquivos, são arquivos criados automaticamente pelo sistema operacional quando um documento é aberto ou quando um aplicativo é executado.

Esses arquivos possuem extensão “LNK” e são armazenados sob o diretório C: \Users \USERNAME \AppData \Roaming \Microsoft \Windows \Recent. Em síntese, os Link Files são utilizados para ajudar o sistema operacional na localização dos documentos e aplicativos acessados recentemente.[1]

Dentro de um Link File existem várias informações que ajudam a verificar se o arquivo estava em um dispositivo externo. Uma dessas informações é o próprio endereço do arquivo (path), que irá indicar a letra do dispositivo onde ele estava armazenado. O primeiro post sobre esse assunto parte dessa premissa. É através da letra (C:, D:, D:, etc.) que se inicia a verificação do eventual armazenamento de um arquivo num dispositivo externo. Em seguida, nesse mesmo post, são descritos os procedimentos para verificar se a letra onde o arquivo estava armazenado indicava ou não ser um dispositivo externo. Essa verificação é feita com base em registro.

Acontece que, embora esse procedimento seja bastante prático, existe a chance de a letra que identifica a unidade não ser suficiente para determinar se essa unidade era ou não um dispositivo externo, como um pendrive, por exemplo. Isso pode acontecer, pois o sistema operacional não reserva uma letra exclusivamente para um único dispositivo. Na verdade, ele procura sempre utilizar a primeira letra do alfabeto que estiver disponível, ainda que ela já tenha sido utilizada anteriormente para outro dispositivo.

Nesse cenário, se um arquivo foi copiado para uma pasta na rede que estava mapeada na letra “E:”, por exemplo, e esse arquivo foi aberto a partir de seu local de destino, ou seja, a pasta na rede, certamente haverá no computador um Link File indicando que este arquivo estava dentro dessa pasta mapeada com a letra “E:”. Mas, se antes de o examinador ter acesso ao computador, a pasta deixar de estar mapeada, liberando assim a letra “E:”, e, em seguida, o usuário do computador utilizar um pendrive, possivelmente o sistema operacional atribuirá a esse pendrive também a letra “E:”. É aí que reside a confusão, pois um examinador que não atentar para esse fato pode acabar incorrendo em erro ao constatar que o arquivo, indicado pelo Link File como estando em um local com a letra “E:”, estava dentro de um pendrive, quando na verdade ele nunca esteve lá.

Ainda existe um segundo problema, é que os registros de sistema guardam a relação entre a letra de mapeamento e um dispositivo apenas para o último evento. Assim, ainda que não haja erro, a análise baseada apenas na letra pode deixar para trás informações de registros mais antigos de dispositivos externos conectados ao computador que, apesar de ainda remanescerem no sistema, já não mais guardam informações sobre a letra que ele utilizou no passado.

Uma forma de mitigar esse risco é, ao invés de utilizar a letra para identificar o dispositivo, utilizar outra propriedade do Link File. Trata-se do número serial do volume. Esse número serial é um identificador único para cada volume utilizado em um computador, isso significa que mesmo que dois ou mais dispositivos venham a utilizar a mesma letra em algum momento, cada um deles terá um número serial exclusivo.

Para localizar o número serial de um dispositivo onde um arquivo está ou esteve armazenado, basta procurar no computador o Link File referente a este arquivo. Em seguida, podemos utilizar o programa Windows File Analyzer[2] para decodificar esse Link File e nos mostrar o número serial.

Uma vez identificado o número serial, precisamos relacioná-lo com um dispositivo. Isso pode ser feito a partir dos registros do sistema operacional. Para fazer isso analisaremos o registro SOFTWARE com o programa REGEDIT do Windows.

PROCEDIMENTO

Inicie o WFA – Windows File Analyzer. Em seguida selecione o local onde está o Link File que deverá ser analisado. Para isso, clique em “File”, “Analyze Shortcuts…” e escolha o local. O WFA irá automaticamente sugerir que seja aberta a pasta “C: \Users \USERNAME \AppData \Roaming \Microsoft \Windows \Recent”, essa é a pasta onde comumente se encontram os Link Files, mas você poderá selecionar qualquer pasta do computador. Em seguida, surgirá uma nova janela onde deverá ser informada qual a versão do sistema operacional.

Assim que o programa concluir o processamento dos Link Files, o que costuma ser bastante rápido, localize o arquivo que você deseja analisar. No nosso caso, como mostra a figura abaixo, vamos analisar o arquivo “ENCE_E[1].PROBST [FINAL].rtf”. Note que a unidade onde ele esteve armazenado é identificada pela letra “F:”. Contudo, para não incorrermos em qualquer tipo de erro, vamos utilizar o “Vol Serial” (número serial do volume) para saber se esse arquivo estava ou não em um dispositivo externo.

Como mostra a figura acima, o número serial do volume onde o arquivo estava é “24A7-24BC”. Agora, abra a calculadora do Windows, selecione a opção “Programmer” no menu “View”, clique na opção “Hex” presente do lado esquerdo da calculadora e digite o número serial localizado no Link File, assim como mostra a figura abaixo:

Em seguida, apenas clique sobre a opção “Dec” do lado esquerdo da calculadora para converter o número serial que está em hexadecimal para um número decimal. Veja a conversão na figura a seguir:

Agora abra o programa REGEDIT escrevendo o nome do programa no campo de pesquisa do menu Iniciar. Em seguida, navegue até a chave de registro “HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows NT \CurrentVersion \EMDMgmt”. Dentro desse registro, que deverá ser exibido como uma pasta, procure por um diretório cujo nome contenha o número serial em decimal do volume buscado, no nosso caso, conforme convertido pela calculadora, buscamos o número “614933692”.

Note na figura acima que o número serial está antecedido pelo nome do dispositivo (Label Name) no final do nome da chave. No começo da chave, destacado com o quadrado vermelho, temos a descrição do dispositivo, que é um disco USB que possui o seguinte número de série “100517590202c2”.

Cada dispositivo apresenta alguma informação em sua descrição, alguns, como o Kingston, por exemplo, apresentam o nome do fabricante, outros apresentam apenas o tipo e o número de série. Independentemente disso, seja qual for a informação apresentada, ela deverá ser suficiente para desvendar se a unidade trata-se ou não de um dispositivo externo.

Com base no procedimento demonstrado acima é possível afirma, sem margens para erro, que o arquivo “ENCE_E[1].PROBST [FINAL].rtf” esteve em um dispositivo externo, denominado Disco USB, com nome “EPROBST”, de número de série “100517590202c2” e identificado no sistema operacional com a letra “F:”.

Essas informações, além de serem bastante precisas, podem ajudar sobremaneira na solução de casos de desvio de informação, pois se o arquivo em questão for um documento confidencial da empresa e o dispositivo for de um determinado funcionário, a empresa poderá, dependendo da estratégia jurídica adotada, requere autorização judicial para realização de busca e apreensão na residência desse funcionário. Nesse caso, ainda que o arquivo não esteja mais no pendrive, caso o funcionário já o tenha apagado, por exemplo, se esse pendrive for localizado será possível verificar o número de série desse dispositivo e confrontá-lo com aquele que foi identificado na análise de Link File e registros. Assim, mesmo sem localizar o arquivo já apagado, é possível construir uma prova forte e contundente fazendo uma completa e tecnicamente precisa descrição de eventos.

[1] https://qperito.com/2014/01/13/queira-o-sr-perito-explicar-quais-os-principais-rastros-guardados-pelo-sistema-windows-parte-02/

[2] O WFA pode ser baixado em: http://www.mitec.cz/wfa.html

Um comentário sobre “Queira o Sr. Perito detalhar como detectar a cópia de arquivos para dispositivos externos – Parte 02

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s