Queira o Sr. Perito explicar a análise de evidências digitais com software OSForensic – Parte 03

Continuando a sequência de artigos sobre a utilização do programa OSForensics, abordaremos o recurso Search Index que realiza uma busca de palavras especificadas pelo usuário utilizando para tanto o índice criado anteriormente através do módulo Create Index..

Ao contrário do recurso File Name Search que realiza a busca somente no nome do arquivo, o Search Index realiza a pesquisa no nome e no conteúdo do arquivo.

A pesquisa realizada através do índice permite a busca automática dos termos pesquisados em todos os arquivos indexados, o que agiliza o trabalho de análise e permite que o conteúdo de interesse da investigação seja rapidamente identificado e selecionado.

Selecionada a opção Search Index é necessário escolher o índice a ser pesquisado que foi anteriormente criado e informar o termo que se deseja pesquisar. No exemplo abaixo foi pesquisado a palavra ‘BRASIL’ no índice de documentos criado e foram encontradas 4 referências. Os arquivos identificados são apresentados para o usuário e clicando com o botão direito do mouse sobre os arquivos é apresentado o menu de opções, já detalhado no tópico Pesquisa por nome de arquivo.

Em arquivos de imagem, vídeo ou arquivos compactados, por exemplo, a busca se realizará no nome do arquivo.

Um recurso interessante é a possibilidade de se criar uma lista de termos para pesquisa. Isso agiliza a busca nos casos onde existe a necessidade de se pesquisar vários termos. Por exemplo, uma pesquisa na cópia de um computador de um investigado que realizava a comercialização ilegal de medicamentos controlados, em vez de se pesquisar todos os nomes de medicamentos um a um é possível criar uma lista com todos os nomes de medicamentos e eles serão pesquisados automaticamente.

Essa opção é possível através da aba Use Words List File. O programa disponibiliza em diretório específico várias listas a título de ilustração, por exemplo: lista dos mais procurados do FBI em 2011, lista de produtos químicos e explosivos, lista de drogas banidas do esporte.

Para ilustrar criamos uma lista de palavras a serem pesquisados no índice de documentos, são elas: aluno, brasil, cidadania e interceptação. A lista foi salva na pasta específica como um arquivo de texto com o nome ‘demonstração’.

As listas de pesquisa estão armazenadas na pasta SearchLists do OSForesics, o caminho da pasta está grifado na barra de navegação: C:\ProgramData\PassMark\OSForensics\SearchLists.

Uma lista deve ser criada no formato .txt utilizando-se o bloco de notas, cada item de pesquisa deve ser colocado em uma linha e o arquivo  salvo na referida pasta.

Existem duas formas de se criar e inserir uma nova lista na pasta.

Uma opção, como a pasta ProgramData que contém dados dos programas é uma pasta oculta, é modificar os atributos de pastas acessando: Organizar → Opções de pasta e pesquisa → Modo de Exibição e selecionar a opção ‘Mostrar arquivos, pastas e unidades ocultas’. Após a lista criada ser salva na pasta especificada é aconselhável que seja retomada a configuração padrão de não exibir arquivos e pastas ocultas.

Outra opção é selecionar a opção Use Words List File, isso abrirá a pasta Search Lists. É possível clicar com o botão direito do mouse no conteúdo da pasta e selecionar: Novo → Documento de texto e nomear o arquivo.

Entretanto o arquivo criado estará vazio. Feito isso, é necessário selecionar a opção abrir o arquivo com o bloco de notas para inserir os termos da lista e, após, salvar as alterações. Só então será possível utilizar a lista.

Selecionado então a opção Use Words List File e utilizando a lista criada obteve-se o resultado abaixo. Todas as palavras listadas foram pesquisadas automaticamente em todos os arquivos indexados.

Clicando sobre cada resultado com o botão direito do mouse é exibido um menu com as seguintes opções:

Display Search Results – exibe o resultado da pesquisa do item, os arquivos onde ele aparece;

Display Search Results & Add to Case – exibe o resultado da pesquisa do item, os arquivos onde ele aparece e os adiciona ao caso;

Export Selected Items / Export All Items – exporta itens para algum local escolhido pelo investigador;

Delete / Delete All – deleta o(s) arquivo(s).

Demonstrando o funcionamento, foi selecionada a opção de exibir o resultado da pesquisa para o item ‘interceptação’. São exibidos dois arquivos que contém o item, um no formato .doc e outro no formato .pdf; clicando com o botão direito do mouse sobre cada arquivo será oferecido o menu de opções.

Repare nas marcações que aparecem no canto direito do arquivo ICoFCS.pdf:

A bandeira vermelha é um bookmark que indica que o arquivo já foi marcado de acordo com sua importância para investigação, a lupa indica que o arquivo já foi visualizado e a pasta indica que esse arquivo já foi adicionado ao caso.

Para outra demonstração foi criado um índice de arquivos da web (Web Files). Como exemplo, realizada a pesquisa do termo ‘menina’ no conteúdo web foram encontradas duas referências.

A metodologia de utilização do recurso Search Index é a mesma para todos os outros tipos de arquivos eventualmente indexados.

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s