Queira o Sr. Perito tratar sobre atividade recente com o software OSForensics

Abordaremos neste artigo a utilização do módulo de Atividade Recente do OSForensics que verifica o sistema e apresenta uma lista de informações sobre essas atividades do sistema operacional, tais como websites acessados, os programas instalados, drives USB, redes sem fio e downloads. Esse recurso fornece uma variada gama de informações.

Quando da utilização dessa função deve-se indicar o disco a ser pesquisado, aquele que corresponde à imagem montada do sistema operacional objeto da investigação.

Figura 1

A configuração padrão abrange todos os itens possíveis de serem pesquisados. É possível, porém, selecionar itens específicos para pesquisa ou delimitar um intervalo de datas para a pesquisa.

Figura 2

Para demonstração foi realizada a pesquisa no disco com a imagem de um notebook com o sistema operacional Windows. Concluída a pesquisa o programa informa o total de itens identificados.

Imagem 3

Figura 3

É possível então ordenar o conteúdo a ser visualizado através dos parâmetros data, nome, tipo e usuário usando a opção “Sort By”; é possível também selecionar eventos específicos a serem exibidos através da opção “Show Only”.

Figura 4

Demonstrando algumas das informações disponibilizadas pela função, é possível selecionar a opção que exibe a relação de todas as redes sem fio (WLAN) que o notebook se utilizou.

Figura 5

É possível identificar todos os dispositivos USB que foram conectados ao equipamento com a informação do seu número de série e a data de sua utilização, possibilitando, por exemplo, que se demonstre que um pendrive apreendido foi acessado pelo usuário do sistema investigado.

Figura 6

Explorando a opção “timeline” no exemplo acima é possível identificar o último dispositivo USB conectado ao sistema.

Figura 7

Outra opção é explorar o histórico de navegação, o que permite identificar a atividade do investigado na Internet. Existe a opção de se visualizar o conteúdo acessado caso esteja disponível na rede. Para tanto basta clicar com o botão direito do mouse sobre o item e escolher a opção “Open URL”.

Figura 8

No exemplo, o conteúdo acessado foi uma comunidade do Orkut, disponível aqui.

Figura 9

Através do histórico de navegação é possível identificar, por exemplo, vídeos acessados no YouTube (figura 10), perfil do usuário no Facebook (figura 11), pesquisas realizadas no Google (figura 12), entre uma variada gama de outras informações.

Figura 10

Figura 11

Figura 12

Selecionando a opção de mostrar os eventos do sistema (“Events”), conforme figura 4, é possível identificar a data/hora inicial da instalação do sistema (figura 13), da última inicialização (figura 14) e do último desligamento do sistema (figura 15).

Figura 13

Figura 14

Figura 15

Essas e outras opções estão disponíveis nesse módulo e poderão ser exploradas para a identificação de evidências no curso da investigação. Conforme já demonstrado, todas as evidências julgadas úteis poderão ser adicionadas ao caso através do menu de opções (botão direito do mouse sobre o item de interesse).

Para inserir uma captura da imagem (“snapshot”) dessa página no relatório do caso é possível utilizar outro módulo do programa, o “Web Browser”. Até a próxima!


Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s