Queira o Sr. Perito explicar a análise de evidências digitais com software OSForensic – Parte 02

Conforme referido anteriormente (clique aqui para a Parte 01), o objetivo do presente trabalho é familiarizar os agentes da lei e demais interessados com a utilização do programa OSForensics na investigação de evidências digitais, otimizando o processo de localização e análise desse conteúdo em computadores e dispositivos de armazenamento.

Basicamente a otimização é possível através da indexação do conteúdo existente no material investigado e sua apresentação de forma estruturada de forma a permitir a definição e aplicação de parâmetros adequados de pesquisa.

Para tanto, o OSForensics disponibiliza as funcionalidades Create Index e Search Index, opções acessíveis através da barra à esquerda da janela principal do programa.

No presente artigo abordaremos o processo de criação de um índice (Create Index).

Create Index

Dado o grande volume de dados existentes em computadores e dispositivos de armazenamento e a forma como podem estar distribuídos no sistema, a criação de um índice é fundamental para que a partir dos registros encontrados seja possível localizar àqueles que satisfazem o(s) critério(s) de pesquisa utilizado(s) e que são relevantes para a investigação.

Na primeira tela da opção Create Index é possível selecionar os tipos de arquivos que se deseja indexar. É possível escolher entre um conjunto predefinido de tipos de arquivos.

É possível, também,  escolher opções de indexação mais avançadas através de modelos (templates). Como o presente trabalho é de familiarização, de iniciação na utilização da ferramenta, a opção de indexação através de modelos não será abordada.

É importante ter em mente que o tempo para a realização do processo de indexação é diretamente proporcional à quantidade de tipos de arquivos selecionados e ao tamanho (capacidade de armazenamento)do material investigado e consumirá mais recursos para sua realização.

Os tipos de arquivos previamente definidos para indexação são:

E-mails e seus Anexos: Arquivos de e-mail encontrados no disco. Suporta arquivos PST, MSG, EML, mbox e DBX. Selecionando também a pesquisa de anexos (Attachments) é possível verificar todos os arquivos anexos encontrados em mensagens de e-mail, sendo possível visualizar se os anexos do e-mail contém o termo eventualmente pesquisado.

Documentos de Office e PDF: Documentos do Microsoft Office, documentos OpenOffice e arquivos PDF.

Arquivos Zip: Para a indexação de arquivos compactados (zip) deve-se selecionar outros tipos de arquivos como, por exemplo, arquivos de imagens ou documentos juntamente com esta opção. Isso porque os arquivos compactados são meramente recipientes de outros arquivos e não contêm muitas informações interessantes em si mesmas.

Imagens: pesquisar arquivos de imagem para obter informações de metadados. Os tipos suportados são jpeg, gif, tiff, png e bmp.

Arquivos de texto simples: Verificar arquivos de texto simples e documentos no formato RTF[i].

Web Arquivos + XML: Verificar páginas HTML da web e documentos, incluindo PHP, Perl, JavaScript, CGI, ASP / ASPX e arquivos Shockwave Flash.

Todos os outros tipos de arquivos suportados: Verificar todos os outros tipos de arquivos suportados pelo processo de indexação, tais como arquivos de vídeo e MP3.

Arquivos Desconhecidos: Verificar arquivos cujo tipo não pode ser determinado por sua extensão. O processo de indexação tentará identificar o tipo de arquivo que está lidando. Quanto maior o número de arquivos a serem verificados, maior o tempo de indexação.

Para demonstração do processo, foi selecionada a indexação de arquivos do tipo Documentos de Office e PDF, mas a mesma metodologia poderá ser aplicada para os outros tipos de arquivos.

Na próxima etapa deve-se especificar o diretório onde OSForensics realizará a varredura de arquivos para o índice. Clique no botão Add (Adicionar) para especificar o local que você deseja adicionar à lista.

Existe a opção de selecionar um disco inteiro para indexação, inclusive a opção de somente indexar a área de memória não alocada de um determinado disco (Index Unallocated Cluster Only). Repare que são duas opções distintas: a indexação do conteúdo do disco (arquivos do sistema e do usuário)e a indexação da área não alocada. Para um processo de investigação efetivo os dois processos de indexação deverão ser realizados.

É possível, também, indexar uma pasta específica (specific folder).

A opção escolhida será adicionada e a próxima tela informará o disco selecionado e os tipos dos arquivos a serem indexados, sendo possível iniciar a indexação.

Na próxima etapa o OSForensics irá realizar uma verificação preliminar da localização dos arquivos especificados a fim de estabelecer limites para o processo de indexação.

A última etapa é a da indexação. Este processo pode demorar bastante tempo, dependendo das opções selecionadas, tamanho do dispositivo, capacidade de processamento.

No final do processo de indexação, será informado a quantidade de arquivos indexados, horário de início e fim do processo, tempo decorrido.

É possível verificar que no processo de indexação de documentos de Office e PDF o programa identificicou e informa o número de palavras únicas encontradas, no caso, 5395663.

O programa também gera e armazena um log que permite a obtenção de detalhes do processo de indexação.

Esse índice é que permitirá ao investigador realizar a pesquisa por palavras nos documentos indexados na opção Search Index que será abordada no nosso próximo artigo.


[i] O formato Rich Text é um formato de arquivos desenvolvido pela Microsoft. O Padrão RTF fornece um formato para troca de texto e elementos gráficos que pode ser usado com diferentes dispositos de saída, ambientes e sistemas operacionais. Disponível em: http://support.microsoft.com/kb/86999/pt-br

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s