Queira o Sr. Perito explicar a análise de evidências digitais com software OSForensic – Parte 01

A investigação criminal se defronta cada vez mais com o fato de a comprovação de um crime, em parte ou na totalidade dos seus elementos[i], depender de evidências digitais.

Independentemente do crime investigado, um homicídio, um estelionato, tráfico de drogas ou crimes diretamente relacionados ao uso da tecnologia ou da Internet, os policiais, no curso das apurações, podem depender de informações existentes em dispositivos informáticos para formar o conjunto probatório.

O uso maciço desses dispositivos informáticos acarreta no aumento exponencial da necessidade da perícia e da análise de conteúdos digitais. Entretanto, de modo geral, o quadro que se apresenta para a atividade de investigação e de persecução penal é extremamente deficitário em todo o país.

Ainda que alguns Estados possuam delegacias ou setores especializados na investigação de crimes informáticos, via de regra, tais órgãos não possuem estrutura adequada para fazer frente ao crescente aumento da necessidade desse tipo de investigação.

Isso porque, conforme referido, não apenas os crimes informáticos próprios demandam a necessidade de valer-se de evidências digitais para comprovação do fato criminal; a investigação de um homicídio, por exemplo, pode muito bem depender desse conteúdo.

Por outro lado, também é regra que os setores de perícia encontrem-se sobrecarregados de requisições de perícias computacionais, com recursos geralmente limitados e com carência de peritos em número suficiente para suprir essa demanda.

Some-se a isso que os policiais envolvidos na investigação são os que detêm o maior volume de informações e assim são os que possuem melhores condições de identificar conteúdos relevantes para o caso.

Como a maioria absoluta dos policiais não possuem conhecimento sobre a utilização de ferramentas básicas para análise de evidências digitais, a intenção é começar a familiarizar os investigadores com a utilização do programa OSForensics.

O OSForensics é um programa da empresa Passmark Software que permite o gerenciamento de investigações digitais, possibilitando a extração, análise e organização de evidências digitais e a criação de relatórios sobre os dados coletados.  O programa roda em ambiente Windows e está disponível para download em: http://www.osforensics.com/download.html.

A empresa permite a utilização de uma versão free do programa que será a utilizada neste artigo. A versão free possui algumas limitações em relação à versão profissional, mas que ainda assim conta com excelentes funcionalidades, capazes de suprir necessidades básicas de uma investigação e com uma interface gráfica amistosa para os usuários menos experientes.

Esclarecimento

O presente artigo aborda a análise de evidências digitais, uma etapa do processo de investigação criminal; não trata da perícia digital, que é responsabilidade e atribuição exclusiva dos peritos oficiais.

Para fins da realização da análise, deverá ser requisitado ao setor de perícias que realize a duplicação forense do dispositivo investigado, gerando uma imagem no tipo Raw (dd). Dessa forma a integridade do material apreendido será garantida pelos peritos, possibilitando que os policiais realizem a análise em uma cópia fidedigna do original, dando andamento às investigações e, inclusive, fornecendo suporte ao trabalho dos peritos.

Para saber mais sobre como gerar uma cópia forense, acesse os links abaixo:

Utilizando o OSForensics

Como o OSForensics conta com diversos recursos, nesse artigo será demonstrado como montar a imagem investigada, criar um caso, e utilizar a opção File Name Search.

Após conectar o dispositivo de armazenamento com a imagem ao computador, selecionar a opção Mount Drive Image disponível no menu de opções à esquerda ou através do ícone específico.

Na janela que se abrirá, Mounted Virtual Disk, selecionar Mount new.

Na tela seguinte, selecionar a fonte como arquivo de imagem (Image file), navegar até o local onde está armazenada imagem e adicionar o arquivo. Existe a opção de montar uma partição específica ou todas as partições eventualmente existentes na imagem. A tela informa a letra correspondente ao disco que será montado. Por padrão, a fim de preservar a integridade, a montagem da partição ocorre somente no modo leitura (Read-only drive).

Basta selecionar OK e a imagem será montada, aparecendo como um disco local no computador do usuário. Na imagem abaixo é possível ver a unidade de disco do computador (C:), o disco local (E:) que corresponde ao HD externo onde a imagem está armazenada e o disco local (G:), que corresponde à imagem montada, a cópia do disco do computador investigado com sistema operacional Windows.

Na tela inicial do programa, na aba Case Management, selecione o ícone Create Case, para criar e gerenciar o caso investigado.

Ao selecionar essa opção é possível criar o novo caso, atribuindo um número ao caso, informando nome do investigador, organização e fuso horário por exemplo. Repare que, no caso, deverá ser selecionado o disco que será investigado, drive G:, e, para evitar algum engano, selecionar a opção de que se trata da investigação de um disco de outra máquina.

Por padrão, o OSForensics criará o arquivo do novo caso na pasta Cases, no local indicado. O investigador, entretanto, poderá escolher qualquer outro local de destino para armazenamento do caso.

Criado o caso, o primeiro recurso disponibilizado no menu é o File Name Search (pesquisa por nome do arquivo). Utilizando-o é possível realizar a pesquisa de duas formas:

A partir do rol de extensões de arquivos disponibilizado pelo recurso (Presets) ou pelo nome do arquivo (Search String), caso o investigador já disponha de algum indício em relação a possíveis nomes de arquivos. Ver opções de configuração.

As extensões para pesquisa de documentos, por exemplo, são: *.doc;*.docx;*.ppt;*.pptx;*.xls;*.xlsx.

As configurações de pesquisa fornecem vários recursos, permitindo que o selecione a pesquisa por atributos do arquivo, por data de criação, modificação ou acesso, diferenciação de caracteres maiúsculos ou minúsculos (Case Sensitive), entre outros.

Para àqueles com conhecimento em técnicas e ferramentas de análise forense tais detalhes soam banais, mas, como referido, a maioria dos policiais não estão familiarizados com essa prática e a simples possibilidade do recurso permitir a procura de arquivos ocultos (Hidden) já é de grande valia para o investigador inexperiente.

Como o File Name Search não é uma ferramenta de carving, ele buscará os arquivos a partir do nome fornecido ou simplesmente pela extensão associada ao arquivo. Esse recurso não considera, por exemplo, o cabeçalho/rodapé do arquivo ou sua assinatura.

Para demonstrar esse ponto, utilizamos a ferramenta em uma imagem de um pendrive criada para fins didáticos com algumas pastas e arquivos, inclusive duas pastas ocultas, assim identificadas: Documentos e Tristeza.

Selecionamos a pesquisa de imagens nos formatos predefinidos (*.gif;*.png;*.bmp;*.jpg;*.jpeg) e obtivemos o resultado abaixo. Repare que o recurso “File Name Search” apresenta os arquivos com seus respectivos nomes e seu local de origem, inclusive os das pastas ocultas.

Timezone: GMT -3:00
 173256.JPG
Location: E:\Documentos
Size: 306.7 KB, Created: 11/05/2014, 20:10, Modified: 05/02/2012, 18:25
Accessed: 11/05/2014, 20:10
 
173330.JPG
Location: E:\Documentos
Size: 308.6 KB, Created: 11/05/2014, 20:10, Modified: 13/01/2012, 08:50
Accessed: 11/05/2014, 20:10
 
20140319_152559.jpg
Location: E:\Imagens
Size: 1.47 MB, Created: 11/05/2014, 20:15, Modified: 19/03/2014, 17:38
Accessed: 11/05/2014, 20:15
 
appicon_128.png
Location: E:\ThunderbirdPortable\App\AppInfo
Size: 26.62 KB, Created: 11/05/2014, 20:09, Modified: 01/12/2009, 20:17
Accessed: 11/05/2014, 20:09
 
appicon_16.png
Location: E:\ThunderbirdPortable\App\AppInfo
Size: 946 Bytes, Created: 11/05/2014, 20:09, Modified: 08/12/2009, 22:57
Accessed: 11/05/2014, 20:09
 
appicon_32.png
Location: E:\ThunderbirdPortable\App\AppInfo
Size: 2.78 KB, Created: 11/05/2014, 20:09, Modified: 08/12/2009, 22:57
Accessed: 11/05/2014, 20:09
 
Carved ‘jpg’ file 2715.jpg
Location: E:\Tristeza\Imagens
Size: 20.38 KB, Created: 11/05/2014, 20:19, Modified:
Accessed: 11/05/2014, 20:19
 
Carved ‘jpg’ file 33.jpg
Location: E:\Tristeza\Imagens
Size: 20.61 KB, Created: 11/05/2014, 20:19, Modified:
Accessed: 11/05/2014, 20:19
 
Carved ‘jpg’ file 3511.jpg
Location: E:\Tristeza\Imagens
Size: 2.21 MB, Created: 11/05/2014, 20:19, Modified:
Accessed: 11/05/2014, 20:19
 
Carved ‘jpg’ file 3589.jpg
Location: E:\Tristeza\Imagens
Size: 845.0 KB, Created: 11/05/2014, 20:19, Modified:
Accessed: 11/05/2014, 20:19
 
Carved ‘jpg’ file 3684.jpg
Location: E:\Tristeza\Imagens
Size: 1.85 MB, Created: 11/05/2014, 20:19, Modified:
Accessed: 11/05/2014, 20:19
 
Carved ‘jpg’ file 3689.jpg
Location: E:\Tristeza\Imagens
Size: 672.3 KB, Created: 11/05/2014, 20:19, Modified:
Accessed: 11/05/2014, 20:19
 
Carved ‘jpg’ file 3974.jpg
Location: E:\Imagens
Size: 672.3 KB, Created: 11/05/2014, 20:18, Modified:
Accessed: 11/05/2014, 20:18
 
donation_button.png
Location: E:\ThunderbirdPortable\Other\Help\images
Size: 1.70 KB, Created: 11/05/2014, 20:09, Modified: 06/04/2012, 18:49
Accessed: 11/05/2014, 20:09
 
DSCF1496.JPG
Location: E:\Imagens
Size: 2.98 MB, Created: 11/05/2014, 20:07, Modified: 09/01/2009, 23:39
Accessed: 11/05/2014, 20:07
 
help_background_footer.png
Location: E:\ThunderbirdPortable\Other\Help\images
Size: 168 Bytes, Created: 11/05/2014, 20:09, Modified: 06/04/2012, 17:16
Accessed: 11/05/2014, 20:09
 
help_background_header.png
Location: E:\ThunderbirdPortable\Other\Help\images
Size: 269 Bytes, Created: 11/05/2014, 20:09, Modified: 06/04/2012, 17:14
Accessed: 11/05/2014, 20:09
 
help_logo_top.png
Location: E:\ThunderbirdPortable\Other\Help\images
Size: 2.53 KB, Created: 11/05/2014, 20:09, Modified: 06/04/2012, 17:31
Accessed: 11/05/2014, 20:09
 
icon.png
Location: E:\ThunderbirdPortable\App\Thunderbird\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
Size: 882 Bytes, Created: 11/05/2014, 20:09, Modified: 24/04/2014, 13:12
Accessed: 11/05/2014, 20:09
 
Imagem 603.jpg
Location: E:\Documentos
Size: 321.9 KB, Created: 11/05/2014, 20:10, Modified: 26/07/2012, 14:47
Accessed: 11/05/2014, 20:10
 
Imagem.jpg
Location: E:\Documentos
Size: 96.70 KB, Created: 11/05/2014, 20:10, Modified: 28/06/2012, 11:44
Accessed: 11/05/2014, 20:10
 
left_image.png
Location: E:\Tristeza\Imagens
Size: 13.66 KB, Created: 11/05/2014, 20:19, Modified: 06/11/2013, 09:56
Accessed: 11/05/2014, 20:19
 
preview.png
Location: E:\ThunderbirdPortable\App\Thunderbird\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
Size: 9.84 KB, Created: 11/05/2014, 20:09, Modified: 24/04/2014, 13:12
Accessed: 11/05/2014, 20:09
 
ThunderbirdPortable.jpg
Location: E:\ThunderbirdPortable\Other\Source
Size: 41.87 KB, Created: 11/05/2014, 20:09, Modified: 11/04/2012, 22:14
Accessed: 11/05/2014, 20:09

Conforme se vê, nenhum arquivo de imagem foi localizado na pasta Drivers. Explorando a pasta Drivers identificamos dois arquivos:

Embora identificados com a extensão .sys (arquivos de sistema do Windows), tratam-se, na verdade de dois arquivos de imagem, formato JPEG, conforme se verifica a assinatura dos arquivos na visualização hexadecimal.

É uma limitação do recurso, mas, como foi referido, a opção File Name Search não é uma ferramenta de recuperação de dados (carving), tal possibilidade é disponibilizada pelo programa através do recurso Deleted File Search, que abordaremos e demonstraremos em outro artigo.

A grande vantagem do recurso é realizar a busca de arquivos no conteúdo investigado e apresentar o resultado de forma estruturada. É importante ter em mente que os diferentes formatos de arquivos podem estar armazenados nos mais diversos locais. Não necessariamente arquivos de documentos estarão armazenados na pasta Documentos do usuário, idem para as imagens e assim por diante.

O usuário pode distribuir esse conteúdo por todo o sistema de arquivos e ainda ocultar pastas e arquivos. É óbvio que estamos fazendo referência a práticas simples que podem ser adotadas por usuários comuns.

Continuando com a análise da cópia do disco com sistema operacional Windows, foi realizada a pesquisa por arquivos das extensões *.doc;*.docx;*.ppt;*.pptx;*.xls;*.xlsx (Office Documents) para demonstração, conforme fragmento do resultado abaixo:

Selecionando um dos arquivos localizado, no caso o arquivo ‘Comandos Find.doc’, clicando com o botão direito do mouse sobre ele abriremos a tela de opções.

Selecionando opção View with internal viewer, o arquivo será aberto com o visualizador interno e aparecem opções de visualização, informações do arquivo (file info),metadados  (metadata), hexadecimal e exibição no modo texto.É possível ler seu conteúdo e explorar todos os detalhes do arquivo.

O botão direito sobre o visualizador apresenta opções: gerar hash set do arquivo, inclusive para verificar eventuais correspondências. Os hashs gerados são adicionados ao relatório.

A opção bookmark permite marcar o arquivo de acordo com a importância da evidência para investigação: verde, amarelo ou vermelho (green, yellow, red).

A opção add files to case, permite salvar o arquivo na pasta do caso, e fazer anotações.

A opção timeline permite ao investigador traçar uma linha do tempo em relação aos arquivos identificados.

Repare que a timeline remonta à 2003, isso porque vários arquivos dos formatos pesquisados são nativos do sistema Windows ou de programas instalados , não foram criados pelo usuário. É possível detalhar cada ano da timeline em meses, dias e horas em relação aos arquivos recuperados. No caso, o último arquivo identificado foi acessado no dia 22/08/14 as 15:00.

Selecionando o arquivo com o botão direito aparece um menu de opções. A opção show these files exibe o arquivo na opção file list, apresentando o arquivo e várias informações, inclusive a data referida que foi a do último acesso.

É possível repetir esse procedimento para todos os tipos de arquivos disponibilizados nas opções.

Pode-se, como referido, realizar a pesquisa fornecendo possíveis nomes de arquivos. Caso ocorra uma correspondência, o arquivo será apresentado e serão disponibilizadas as mesmas informações. A pesquisa por nome de arquivo é limitada em relação a outras ferramentas disponíveis para investigadores mais experientes. Mas existe a opção já referida de realizar a pesquisa Case sensitive.

Nos resultados das pesquisas aparece uma grande quantidade de arquivos que não se relacionam à atividade do usuário, visto que arquivos com os formatos pesquisados também existem armazenados nas pastas da própria estrutura nativa do Windows e dos softwares instalados. Em relação à imagens o resultado tende a ser maior ainda, vez que a pesquisa engloba todo o tipo de arquivos de imagens existentes (amostras de imagens, templates, arquivos temporários, imagens de fundo, cliparts, etc), cabendo ao investigador fazer a seleção do conteúdo.

Para facilitar a pesquisa, o investigador tem a sua disposição a possibilidade de ordenar os resultados através da opção Sorting no canto inferior direito da tela. Entre outros, é possível ordenar o resultados por nome, tamanho, data de criação, modificação e acesso, entre outros.

Concluída essa faze da análise, é possível gerar o relatório do caso em Manage Case, selecionado a opção generate report.

Será gerado na pasta do caso os arquivos referentes à investigação, incluindo todos os arquivos salvos pelo investigador e um relatório completo do caso no formato html (report.html).

[i] Circunstâncias de um crime: o fato em si, as pessoas, o tempo, o lugar, os meios utilizados, os motivos, a maneira.

7 comentários sobre “Queira o Sr. Perito explicar a análise de evidências digitais com software OSForensic – Parte 01

  1. Caro Everson! Mais um texto do Dr. Marcínio com riqueza de detalhes, nos instigando a exercitar a utilização do OSForensics. Instalei a versão freeware e constatei que a ferramenta tem excelentes recursos. Fico na expectativa da publicação da Parte-02. Forte abraço. Vilmar.

    • Caro Vilmar, mais uma vez obrigado por acompanhar o nosso blog e por prestigiar mais um incrível texto do Dr. Marcinio. Realmente este artigo é muito rico e ajudará tantos outros entusiastas.

      Grande abraço

      Everson Probst

  2. A ferramenta é uma ótima opção para searching massivo.

    Apesar de limitações, recomendo a versão 3.0.

    Pois a mesma teve uma significativa melhoria em relação ao OSF 2.2

    Especialmente em indexação de arquivos da plataforma Windows.

    Apresenta uma grande problema para pesquisa com acentuação.

  3. Excelente tutorial.
    Recomendo a Parte-02 que já está disponível. A forense digital é uma área fascinante. Sugiro alguma matéria sobre um assunto pouco disponível em forense: Como é feita a forense digital em máquinas virtuais? Ou seja, em caso de necessidade de investigação de dados armazenados na máquina virtual do investigado, instalada em Virtual Box ou VMWare dentro do Windows. Supondo que esta máquina virtual esteja protegida por senha simples de usuário e não criptografada.
    Desejo muito sucesso e perseverança à turma do blog.
    Marcos Kehl.

  4. Obrigado pelo comentário Marcos. Realmente a questão de forense em máquinas virtuais não é tão divulgada e bastante interessante. Dica anotada!! Trabalharemos nesse assunto e voltaremos com novidades.
    Enquanto aguarda os próximos artigos dessa série, continue nos acompanhando.

    Grande abraço,

    Osvaldo Aranha

      • Oi Marcos, como vai.

        Em breve escreveremos mais sobre esse assunto. Contudo, se o disco virtual (VHD) não estiver criptografado ou oculto por alguma técnica anti-forense, o que é extremamente incomum acontecer, a análise de máquinas virtuais é muitíssimo similar a de uma máquina “física”. A vantagem é que você não precisa gerar uma cópia, pois o VHD já é um arquivo em si que pode ser aberto em qualquer ferramenta de análise forense, comproteção contra modificação, e analisada sem conhecimentos especiais, afinal, uma máquina virtua é feita para se comportar exatamente como uma máquina “física”. Na verdade, o sistema operacional instalado na máquina virtual sequer deveria tomar conhecimento da virtualização.

        Com base nisso, a dica mais preiosa é sempre que você localizar em um HD um disco virtual, analise completa e separadamente tanto o sistema operacional da máquina física (máquina hospedeira), quando o sistema operacional da máquina virtual, tentando relacionar os eventos por meio da criação de linhas de tempo para descobrir ações iniciadas em um sistema e terminadas em outro.

        Espero ter ajudado.

        Abraços,

        Everson Probst

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s