metodologia e ferramenta de coleta de dados voláteis em sistemas
Contents
1. 40 Figura 4 6 Aviso de poss vel presen a de criptografia no sistema 48 Figura 4 7 Conte do do arquivo Processos AXL asas is raras cosa aaa aaa aaa 49 Figura 4 8 Arquivos coletados Cen rio 1 e eccrescersecceseaeecrrasaentaaeo 50 gy ts Bog Sone karts a nesta 50 Figura 4 10 Arquivos coletados cen rio 2 eee eeseesecsseeeseeesneecaeceseeeseeesaeecsaecsseensees 51 Figura 4 11 Conte do parcial do arquivo Resultados txt parte L 52 Figura 4 12 Conte do parcial do arquivo Resultados txt parte 2 00 ieee eeeeeeeeeeereeennees 53 Figura 4 13 Conte do parcial do arquivo Resultados txt parte 3 eseseeeeeserereeeerees 53 Figura 4 14 Ferramentas identificadas como amea as pelo antiv rus 54 Figura 4 15 Arquivos coletados Cen rio 3 usigneis sesiie deepaa avn nana dn eai dei na ns nn ana 55 Figura 4 16 Mensagem de alerta para m quina virtual Cen rio 3 eneees 56 Figura 4 17 Conte do do arquivo Processos txt Cen rio 3 57 Figura 4 18 Arquivos coletados Cen rio 4 rrenan 58 Figura 4 19 Ferramentas identificadas como amea as pelo antiv rus 58 Figura 4 20 Arquivos coletados Cen rio 5 ccesscecsseesseeseccesseecenseccenseccenseecontescetteces 60 Sosa aod sas fated PPT PP EE 60 Figura 4 22 Conte do do arquivo Processos txt Cen rio 5 61 Figura 4 23 Arquiv2. 28 Compara o das ferramentas COFEE e WFT AULER 2009 30 Compara o entre solu es de captura em sistemas Windows XP 43 Cen rios de coleta utilizados gt as Boake Beale el co tacar Gate el Meade gaia Tinea rata 46 Descri o da m quina utilizada no Cen rio 1 48 Descri o da m quina utilizada no Cen rio 2 51 Descri o da m quina utilizada no Cen rio 3 55 Descri o da m quina utilizada no Cen rio 4 56 Descri o da m quina utilizada no Cen rio 5 59 Descri o da m quina utilizada no Cen rio 6 62 xi LISTA DE FIGURAS Figura 1 1 Sistemas operacionais mais utilizados rrenan 3 Figura 1 2 Compara o de uso de Windows XP 7 e outros 3 Figura 1 3 Proje o do uso dos sistemas Windows XP e 7 4 Figura 2 1 Intera o entre os subsistemas b sicos do computador 9 Figura 2 2 Bases da per cia dial ss asaieanatassaas curs acadcnsdtte stiles aa CORRO CO ADA 19 Figura 4 1 Etapas do procedimento de busca e apreens o 33 Figura 4 2 Metodologia da apreens o de computadores 35 Figura 4 3 Conte do do diret rio raiz do Prot tipo eeseeeneeceseeeeeeeeseecsaecneensees 39 Figura 4 4 Conteudo da pasta Ferramentas cesmaisiasian cial pen et alanted Gaal 3 40 Figura 4 5 Conte do do diret rio raiz do flash drive ap s a coleta
3. Alguns comandos teis aos procedimentos de coleta de dados s o por exemplo cmd time date echo ipconfig set e tasklist Parte destas ferramentas exige privil gios de administrador do sistema para ser executada Os comandos precisam ser executados em um prompt de comando do interpretador de comandos Cmd exe Para iniciar o Prompt de 81 Comando basta clicar em Iniciar depois em Executar digitar cmd e ap s clicar em OK Para a coleta de dados n o aconselh vel que se utilize o Cmd exe do sistema investigado que pode responder de forma imprevis vel por estar comprometido por algum Rootkit instalado na m quina O kit de coleta de dados utilizado pelo perito deve conter uma c pia do cmd exe sabidamente limpa para que os comandos ali executados tenham a resposta correta e esperada Algumas ferramentas de linha de comando Windows Sysinternals MICROSOFT 2011a costumam retornar um popup pequena janela mostrada sobre a tela atual perguntando se o usu rio aceita as condi es da licen a de uso eula O inconveniente do popup que a coleta automatizada fica interrompida at que o usu rio aceite ou n o a licen a do software Para evitar este inconveniente em uma ferramenta automatizada de linha de comando em que os resultados s o dirigidos a um arquivo para an lise posterior deve ser utilizada a op o lt accepteula gt logo ap s o comando aceitando assim as condi es da licen a e evitando o aparecimen
4. 46 2 Real X 3 VMware X 4 VMware X 5 VirtualBox X 6 VirtualBox X Os testes foram realizados em m quina real e em m quinas virtuais VMware VMWARE 2011 e VIRTUALBOX 2011 por estarem entre os cinco melhores aplicativos do segmento LIFEHACKER 2011 e estarem dispon veis para testes Quanto ao programa de criptografia foi utilizado o Truecrypt TRUECRYPT 2011 por ser um dos mais populares e estar dispon vel para download e instala o sem custo para o usu rio Outros programas de criptografia como o PGP SYMANTECH 2011 e o DriveCrypt SECURE STAR 2011 s o pagos O BitLocker n o foi testado por ser espec fico para algumas vers es do sistema operacional Windows Vista e 7 MICROSOFT 2011c n o utilizado nestes testes Tamb m foram realizados testes com programa antiv rus ativo e inativo para verificar as poss veis interfer ncias causadas na coleta Os programas utilizados foram o AVG AVG 2011 e o Microsoft Security Essentials MICROSOFT 2011d dispon veis gratuitamente na Internet Todas as coletas de dados foram realizadas no dia 18 06 2011 ap s realizar todas as atualiza es poss veis do sistema operacional e do programa antiv rus quando utilizado Optou se por limitar os testes ao Windows XP de 32 bits para simplificar os testes do modelo proposto Em trabalhos futuros poss vel estender o modelo para outros sistemas operacionais de 32 ou de 64 bits Para isso
5. a integridade e a disponibilidade das informa es SOUSA e PUTTINI 2011 e Autenticidade Visa garantir a correta identifica o de um usu rio ou de um computador assegurando ao receptor que a mensagem realmente procedente da origem informada em seu conte do e Confidencialidade Protege as informa es contra acessos indevidos por pessoas n o autorizadas e Integridade Consiste em proteger a informa o contra modifica es n o autorizadas explicitamente pelo seu propriet rio assegurando que os dados originais n o sofreram qualquer tipo de altera o Uma das formas de alcan ar este objetivo atrav s das fun es de hash e Disponibilidade Significa que as informa es tem que estar sempre acess veis e prontas pra uso Na Se o 2 4 s o apresentas as fun es de hash utilizadas como meio de garantia de integridade dos dados coletados 2 4 FUN ES DE HASH S o fun es que relacionam um arquivo de entrada de tamanho vari vel a um valor de sa da de tamanho fixo que serve como autenticador STALLINGS 2008 As fun es de hash podem ser usadas para criptografia autentica o e at mesmo para assinatura digital Alguns exemplos de algoritmos utilizados s o MDS SHA 1 SHA 256 SHA 384 E SHA 512 FERGUSON e SCHNEIER 2003 Sua caracter stica marcante que muito dif cil encontrar dois arquivos de entrada que produzam o mesmo resultado na sa da e a partir da sa da computacional
6. 18 Apesar da intensa pesquisa realizada nos ltimos anos a captura e a an lise da mem ria f sica em sistemas operacionais em execu o ainda est em um est gio inicial de compreens o e desenvolvimento e ainda n o existe uma t cnica totalmente eficaz Apesar disso a an lise da mem ria vol til RAM capaz de recuperar informa es releventes que de outra maneira seriam perdidas caso fosse utilizada a t cnica de retirar o cabo de energia altamente recomend vel que a an lise tradicional baseada em disco r gido seja complementada atrav s da an lise de mem ria f sica que est se tornando cada vez mais importante e em alguns casos determinante na medida em que as ferramentas de captura e an lise se tornam mais sofisticadas e eficazes RUFF 2008 Para finalizar este cap tulo de Revis o Bibliogr fica s o apresentados na Se o 2 9 os principais conceitos relacionados coleta de dados vol teis 2 9 COLETA DE DADOS VOL TEIS EM SISTEMAS INFORMATIZADOS A extra o de dados vol teis de sistemas informatizados ligados vem sendo alvo de crescente interesse pelos pesquisadores Dados vol teis podem ser definidos como qualquer dado que deixe de existir quando o computador desligado n o sendo poss vel recuper lo posteriormente SUTHERLAND et al 2010 No n vel mais b sico a per cia digital composta de tr s grandes fases descritas como Aquisi o An lise e Apresenta o CARRIER
7. 2010 58 92 21 67 12 58 4 67 2 15 Jan 2011 57 62 23 26 12 15 4 97 1 99 Fev 2011 57 51 24 09 11 49 4 95 1 96 Mar 2011 56 78 25 23 11 02 5 02 1 95 Abr 2011 55 84 26 36 10 73 5 2 1 87 Mai 2011 55 22 27 21 10 46 5 18 1 87 Jun 2011 54 04 28 68 10 06 5 25 1 96 Jul 2011 52 80 29 66 9 84 5 24 2 45 Ago 2011 52 46 30 60 9 40 4 63 2 91 A Figura 1 3 apresenta uma proje o logar tmica para os pr ximos meses comparando a utiliza o dos sistemas Windows XP e Windows 7 a partir dos dados da Tabela 1 1 Seguindo a tend ncia atual prov vel que o n mero de computadores com sistema operacional Windows 77 alcance o n mero de computadores com Windows XP instalado em julho ou agosto de 2012 tornando se predominante a partir de ent o Win XP Win 7 Log Win XP Log Win 7 out 10 fev 11 jun ll out ll fev l2 jun 12 out 12 fev 13 Figura 1 3 Proje o do uso dos sistemas Windows XP e 7 Para efeito de testes e an lise de adequa o das ferramentas de captura de dados vol teis selecionadas o presente trabalho foi desenvolvido em sistemas operacionais Microsoft Windows XP de 32 bits Este sistema foi escolhido para fins de padroniza o dos testes por ser ainda o mais utilizado e por possuir grande estabilidade Esta escolha n o traz preju zo para a continuidade do desenvolvimento deste trabalho j que todas as ferramentas testadas e listadas no Anexo A s o tamb
8. 2011 conforme Figura 2 2 Aquisi o gt gt gt An lise IH Apresenta o Figura 2 2 Fases da per cia digital 1 AQUISI O Na fase de aquisi o ocorre a coleta de todos os dados encontrados em um sistema digital para an lise posterior Como nessa fase ainda n o sabido exatamente qual informa o ser til tudo deve ser coletado incluindo espa os alocados e n o alocados As ferramentas utilizadas devem interferir o m nimo poss vel no sistema investigado 2 AN LISE Na fase de an lise o material obtido na fase de aquisi o 19 examinado para que sejam identificadas as evid ncias presentes O exame de arquivos e o conte do de pastas al m da recupera o de conte do apagado faz parte dos objetivos desta fase O exame feito sobre uma c pia fiel do original que deve ser verificada atrav s de fun es de hash 3 APRESENTA O Na fase de apresenta o s o apresentadas as evid ncias encontradas e as conclus es alcan adas atrav s da fase de an lise A abordagem pericial tradicional consiste em retirar o cabo de energia da m quina suspeita para analisar os dados presentes na m dia de armazenamento posteriormente em laborat rio Esta t cnica pode levar perda de importantes evid ncias presentes nos dados vol teis devido ao crescente uso de criptografia de disco e de sistema SUTHERLAND et al 2010 H uma forte tend nc
9. computador Este conhecimento necess rio para uma melhor compreens o de como e onde os dados s o armazenados e porque correm o risco de serem perdidos durante o desligamento do sistema 2 2 PRINCIPAIS COMPONENTES DE UM COMPUTADOR Os componentes de um computador s o agrupados em tr s subsistemas b sicos a unidade central de processamento CPU a mem ria principal RAM e os dispositivos de entrada 8 e sa da Na Figura 2 1 ilustrada a intera o destes componentes MACHADO e MAIA 1992 CPU unidade Unidade de L gica e R Controle Aritm tica UC ULA 4 Registradores Dispositivos A de Entrada e Sa da y Mem ria Principal RAM 4 Figura 2 1 Intera o entre os subsistemas b sicos do computador Fonte MACHADO e MAIA 1992 2 2 1 Processadores O Processador ou Unidade Central de Processamento CPU tem como fun o principal unificar todo o sistema controlando as fun es realizadas pelos outros componentes A CPU composta por dois componentes b sicos a unidade de controle UC e a unidade l gica e aritm tica ULA MACHADO e MAIA 1992 A fun o da CPU buscar instru es na mem ria e execut las em seguida Seu ciclo b sico de execu o consiste em buscar a instru o da mem ria decodific la para determinar seus operandos e fun es a executar execut la e em seguida
10. est no fato de que todas as ferramentas s o armazenadas em um dispositivo USB antes da aquisi o dos dados Ao contr rio de interagir com o usu rio no momento da coleta solicitando o destino dos dados coletados o programa direciona a sa da das ferramentas automaticamente para o dispositivo USB j inserido na m quina em an lise O programa consegue detectar automaticamente a vers o do sistema operacional da m quina alvo Assim com detec o autom tica do sistema operacional e direcionamento autom tico da sa da para o dispositivo USB tudo que o perito necessita fazer para iniciar o processo de aquisi o de dados inserir o dispositivo USB na m quina a ser analisada e clicar em um ou dois bot es Outra inova o do COFFE que ele separa os procedimentos de aquisi o de dados e os procedimentos de an lise dos dados No WFT por exemplo os processos de gera o do relat rio s o executados imediatamente ap s a extra o de dados na pr pria m quina alvo da investiga o podendo alterar o conte do da mem ria No COFEE a sele o de ferramentas a serem utilizadas a an lise e o processamento dos dados coletados s o realizados na m quina do perito TEONG 2011 A vers o 1 0 do COFFE consiste em tr s componentes principais uma interface gr fica GUN voltada para o perito um terminal de linha de comandos a serem executados na m quina investigada e os programas nativos do Sistema Operacional em geral gr
11. que eventualmente informar a senha no intuito de colaborar com as investiga es Caso n o seja poss vel desbloquear o computador o mesmo deve ser desligado e apreendido conforme instru es do Anexo C 4 1 3 Fase 3 Durante a coleta podem aparecer mensagens na tela apresentando informa es sobre a poss vel presen a de criptografia de volumes criptografia de sistema ou virtualiza o do sistem o sistema deve ser examinado para confirmar as suspeitas Devem se verificar os arquivos flash drive de 36 coleta durante o procedimento para maiores detalhes Em caso de confirma o deve se realizar uma c pia l gica dos arquivos encontrados no volume criptografado ou de todo o sistema dependendo do tipo de criptografia utilizada Se o sistema estiver sendo executado em m quina virtual tamb m deve ser realizada uma c pia l gica de todo o sistema disponibilizado no flash drive de coleta e o resultado deve ser direcionado a um disco r gido externo conectado a outra porta USB 4 1 4 Fase 4 Ao final deve ser verificado se h mais algum dado a copiar como arquivos l gicos ou mem ria f sica Caso contr rio o flash drive de coleta deve ser retirado e o computador desligado O computador deve ser desligado atrav s da retirada do cabo da fonte de alimenta o No caso de computadores port teis al m de retirar o cabo da fonte de alimenta o deve se retirar a bateria ou pressionar o bot o de liga deslig
12. tratar a instru o seguinte at que o programa pare TANEMBAUM 2009 2 2 2 Registradores os de alta velocidade localizados fisicamente na CPU para armazenamento MACHADO e MAIA 1992 2 O registrador o elemento superior da pir mide da mem ria por possuir a maior velocidade de transfer ncia dentro do sistema menor capacidade de armazenamento e maior custo MONTEIRO 1995 Existem registradores para prop sitos gerais como conter vari veis e resultados tempor rios e registradores especiais para prop sitos espec ficos como o contador de programa o ponteiro de pilha e o PSW program status word O sistema operacional deve estar sempre atento ao estado e ao conte do dos registradores Quando o sistema operacional compartilha a CPU com mais de um programa necessita s vezes interromper um programa e iniciar outro Nestes casos necess rio que os dados contidos nos registradores sejam salvos para que possam ser recuperados posteriormente quando seu programa de origem voltar a ser executado TANEMBAUM 2009 2 2 3 Mem ria Cache Esta mem ria hierarquicamente est abaixo da camada de registradores sendo controlada principalmente por hardware TANEMBAUM 2009 uma mem ria de alta velocidade mais lenta que os registradores por m mais r pida que a mem ria principal Os modernos computadores costumam ter dois ou at tr s n veis de cache sendo o seu tamanho limitado pelo alto cust
13. 06 2011 13 18 Text Document 1 KB 18 06 2011 13 18 Text Document 7 KB 18 06 2011 13 13 Text Document 53 256 KB 18 06 2011 13 18 Text Document 46 KB 18 06 2011 13 22 Text Document 1 KB 18 06 2011 13 22 Text Document 2 KB 18 06 2011 13 18 Text Document 5 KB 18 06 2011 13 18 DD File 1 048 048 KB 18 06 2011 13 18 Text Document 4 KB 18 06 2011 13 22 Text Document 10 KB 18 06 2011 13 18 Text Document 1 KB Figura 4 15 Arquivos coletados Cen rio 3 55 O volume criptografado foi identificado da mesma forma j discutida e ilustrada no Cen rio 1 O volume criptografado encontrado deve ter seu conte do copiado durante o procedimento de coleta de dados para n o ser perdido durante o desligamento do sistema Al m disso o sistema estava sendo executado em uma m quina virtual VirtualBox A ferramenta de coleta faz procura por termos espec ficos para a presen a da m quina virtual os encontra gera uma mensagem de alerta Figura 4 16 para que o perito verifique o sistema mais detalhadamente e confirmando a suspeita execute a c pia l gica de todo o sistema Message from Pedro 18 06 2011 13 15 CUIDADO Existem sinais de presen a de de virtualiza o de sistema Verifique o sistema e se for o caso realize a c pia l gica dos arquivos atrav s do FTK Imager Figura 4 16 Mensagem de alerta para m quina virtual Cen rio 3 A presen a de virtualiza o do sistema atrav s do programa VirtualBox
14. 2010 RUFF N Windows memory forensics 2008 Disponivel em lt http www springerlink com content h336r32ju3032v61 fulltext pdf gt Acesso em 16 abr 2011 SCHATZ B BodySnatcher Towards reliable volatile memory acquisition by software 2011 Disponivel em lt http www dfrws org 2007 proceedings p126 schatz pdf gt Acesso em 30 abr 2011 SECURE STAR DriveCrypt 2011 Disponivel em lt http www securstar com products_drivecrypt php gt Acesso em 18 jul 2011 71 SHANNON M M Nigilant32 for Active Memory Management 2011 Disponivel em lt http www agileriskmanagement com pdfs Nigilant32forFirstResponders ActiveMemorylmaging pdf gt Acesso em 11 jun 2011 SHIPLEY T G REEVE H R Collecting Evidence from a Running Computer A Technical and Legal Primer for the Justice Community 2011 Disponivel em lt http www search org files pdf CollectEvidenceRunComputer pdf gt Acesso em 11 abr 2011 SHIPLEY T G REEVE H R Collecting Evidence from a Running Computer A Technical and Legal Primer for the Justice Community 2011 Disponivel em lt http www search org files pdf CollectEvidenceRunComputer pdf gt Acesso em 11 abr 2011 SLAVASOFT Fast File Integrity Checker 2011 Disponivel em lt http www slavasoft com fsum gt Acesso em 12 mai 2011 SLEUTHKIT ORG The Sleuth Kit TSK 2011 Disponivel em lt http www sleuthkit org sleuthkit gt Acesso em 12 set 2011 SOUSA R
15. 87 ANEXO E CONTE DO DO ARQUIVO crmemeesersseess 92 ANEXO F CONTE DO DO ARQUIVO _ sikesessssnssbscnverssdceouecevecunbes she 93 LISTA DE S MBOLOS E ABREVIA ES Boot Buffer COFEE CPU DLL GB EULA FRED GPL IRCR JPEG KB MB MDS NW3C Popup RAM RFC SHA UC ULA WFT Processo de inicializa o do computador Regi o de mem ria tempor ria para escrita e leitura de dados Computer Online Forensic Evidence Extractor Central Processing Unit Dynamic link library Gigabyte 1024 MB End user licence agreement First Responders Evidence Disk General Public Licence Incident Response Collection Report Joint Photographic Experts Group Kilobyte 1024 bytes 1 byte 8 bits Megabyte 1024 KB Message Digest 5 National White Collar Crime Center Pequena janela que se abre automaticamente na tela Random Access Memory Request For Comments Secure Hash Algorithm Unidade de Controle Unidade L gica e Aritm tica Windows Forensics Toolchest LISTA DE TABELAS Tabela 1 1 Tabela 3 1 Tabela 3 2 Tabela 3 3 Tabela 3 4 Tabela 4 1 Tabela 4 2 Tabela 4 3 Tabela 4 4 Tabela 4 5 Tabela 4 6 Tabela 4 7 Tabela 4 8 Evolu o dos sistemas operacionais mais utilizados 3 Exemplos de ferramentas da Nirsoft re 24 Exemplos de ferramentas da Sysinternals eeccceeeseceeeseceeeeeeeesteeeenteeeenaees 25 Recursos do Windows Forensic Toolchest
16. Cen rio 2 Tipo de m quina Real Processador Intel R Pentium R 4 2 3 GHz Sistema operacional Microsoft Windows XP Professional Service Pack 3 Mem ria F sica 2048 MB Programa de criptografia Inativo Programa antiv rus Microsoft Security Essentials Tempo de coleta 6min05s 4 3 2 1 A Figura 4 10 apresenta os arquivos coletados Sharewithv Burm New folder fl O Organize v Include in library v Name L Chrome history bt DetectaCripto tt DetectaVMware tt L DispUSB bt L DumpReg bt E Handle E Hash do Hashes bt E Hashes txt TE history bt Memorydump dd L Processos txt L Resultados txt Senhas Chrome tt Senhas email bt L Senhas Firefox Senhas TEtxt _ Skypelog txt Date modified 18 06 2011 14 27 18 06 2011 14 27 18 06 2011 14 27 18 06 2011 14 27 18 06 2011 14 22 18 06 2011 14 27 18 06 2011 14 28 18 06 2011 14 28 18 06 2011 14 27 18 06 2011 14 27 18 06 2011 14 27 18 06 2011 14 28 18 06 2011 14 27 18 06 2011 14 27 18 06 2011 14 27 18 06 2011 14 27 18 06 2011 14 27 Type Text Document Text Document Text Document Text Document Text Document Text Document Text Document Text Document Text Document DD File Text Document Text Document Text Document Text Document Text Document Text Document Text Document Figura 4 10 Arquivos coletados cen rio 2 Size 1KB 1KB 1KB 42 KB 62 154 KB 50 KB 1KB 2 K
17. Cust dia e evitar que haja questionamentos futuros Agindo desta forma teremos um arquivo contendo a c pia da mem ria f sica com garantia de integridade possibilitando a repeti o dos exames caso necess rio A an lise dos dados vol teis coletados realizada em momento posterior em laborat rio bastante complexa Um nico endere o f sico de mem ria pode conter instru es de m quina dados inicializados e n o inicializados e estruturas de dados espec ficas para um diferente n mero de programas Al m disso muitos processadores suportam virtualiza o de mem ria onde cada programa ou sistema operacional pode enxergar o mesmo endere o f sico de diferentes maneiras Partes deste endere o virtual podem estar na mem ria no disco ou pode mesmo n o existir Diferen as entre linguagens de programa o compiladores interfaces de programa o de aplica es API e bibliotecas de sistemas podem tornar cada sistema levemente diferente Devido a esses desafios ainda n o existe uma ferramenta que fa a uma an lise completa e abrangente dos dados de baixo n vel coletados em um sistema ligado PETRONIJR WALTERS et al 2011 A computa o forense uma rea que evolui rapidamente Como consequ ncia os crimes de inform tica tamb m evoluem na mesma propor o Mais ainda os sistemas de inform tica evoluem em velocidade superior das ferramentas de an lise desenvolvidas STACY JR e LUNSFORD 2011
18. Hashes txt que cont m a lista de arquivos coletados na pasta Resultados e seus hashes SHA256 correspondentes cmd K type Hash do Hashes txt 92 ANEXO F CONTE DO DO ARQUIVO LEIAME TXT Ao inserir o flash drive no computador aguarde alguns instantes para verificar se a coleta de dados ir iniciar automaticamente Provavelmente isto n o ocorrer porque o Windows XP a partir do Service pack 3 desabilitou completamente o autorun a partir de dispositivos USB Caso a coleta autom tica n o inicie d um duplo clique sobre o cone ColetaDados bat e aguarde a mensagem de t rmino Durante a coleta podem aparecer mensagens de texto na tela informando a poss vel presen a de criptografia de volumes criptografia de sistema ou virtualiza o do sistema operacional atrav s do programa VMWare VMWARE 2011 Em qualquer destes casos examine o sistema para confirmar as suspeitas Em caso positivo execute uma c pia l gica dos arquivos encontrados no volume criptografado ou c pia l gica de todo o sistema no caso de criptografia de sistema ou virtualiza o do sistema Se houver necessidade de realizar c pia l gica do sistema ou de volume ser necess rio conectar um disco r gido externo em alguma outra porta USB do computador analisado A c pia dos arquivos pode ser feita a partir do programa FTK Imager ACCESSDATA 2011 cujo atalho encontra se no diret rio raiz do flash drive com o nome FTK Imager bat Uma vez q
19. XP ou mais recentes psfile accepteula gt arquivo de sa da txt Figura A 6 Execu o da ferramenta psfile 7 PsInfo v1 77 MICROSOFT 2011a Ferramenta de linha de comando que retorna informa es importantes sobre o sistema incluindo tipo de instala o usu rio registrado organiza o n mero e tipo de processador quantidade de 75 10 11 mem ria f sica data de instala o do sistema entre outras Pode ser executado em sistemas Windows XP ou mais recentes psinfo accepteula gt arquivo de sa da txt Figura A 7 Execu o da ferramenta psinfo PsList v1 29 MICROSOFT 2011a Ferramenta de linha de comando que lista os processos em execu o Pode ser executado em sistemas Windows XP ou mais recentes pslist accepteula gt arquivo de sa da txt Figura A 8 Execu o da ferramenta pslist PsLoggedOn v1 34 MICROSOFT 2011a Este utilit rio permite determinar quem est utilizando ativamente o sistema seja localmente ou remotamente Pode ser executado em sistemas Windows XP ou mais recentes Psloggedon accepteula gt arquivo de sa da txt Figura A 9 Execu o da ferramenta psloggedon Strings v2 41 MICROSOFT 201la Utilit rio que permite pesquisa de caracteres UNICODE ou ASCII em arquivos strings accepteula arquivo de entrada gt arquivo de sa da txt Figura A 10 Execu o da ferramenta strings Grep UNXUTILS
20. atuar em sistemas Windows NT 2K XP 2K3 VISTA MCDOUGAL 2007 A Tabela 3 3 apresenta alguns dos recursos da ferramenta segundo a p gina na Internet da desenvolvedora FOOL MOON SOFTWARE amp SECURITY 2011 Tabela 3 3 Recursos do Windows Forensic Toolchest Recursos do Windows Forensic Toolchest 2 x 3 x Gera o de relat rio em formato texto ou html Sim Sim Capacidade de ser executado localmente por CD DVD ou pendrive Sim Sim Verifica o da sa da atrav s de fun es de Hash Sim Sim Suporte a Hash MD5 Sim Sim Suporte a Hash SHA1 N o Sim Gera o de relat rio em momento posterior coleta N o Sim N o Sim Detec o autom tica de Sistema Operacional e Drives N o Sim N o Sim Capacidade de incorporar ferramentas de terceiros N o Sim 28 3 3 5 Computer Online Forensic Evidence Extractor COFEE No ano de 2006 inspirado pela ferramenta WFT Ricci Ieong 2011 iniciou o desenvolvimento do Computer Online Forensic Evidence Extractor COFEE que utiliza um processamento em lote batch para executar uma s rie de ferramentas de resposta a incidentes de seguran a e de coleta de dados vol teis de maneira similar ao WFT e ao Nigilant32 O COFEE incorporou mais algumas ferramentas ao processo de aquisi o como captura da tela e ferramentas de captura de senhas A diferen a principal entre o COFFE e as solu es apresentadas nas se es 3 3 1 3 3 2 3 3 3 e 3 3 4
21. batch gt Resultados DetectaCripto txt Ferramentas strings accepteula Resultados DetectaCripto txt Ferramentas grep i appears to be a virtual disk gt Resultados CriptoYesNo txt set filemask Resultados CriptoYesNo txt for S A in filemask do if not zA 0 Msg CUIDADO Existem fortes indicios de Criptografia de volumes ou mesmo do Sistema Inteiro Pesquise a presen a de programas de criptografia principalmente Truecrypt PGP ou Bitlocker Se for o caso realize a c pia logica dos arquivos Ferramentas strings accepteula Resultados Processos txt Ferramentas grep ie pgp ie truecrypt ie bitlocker gt Resultados TestesAdCYesNo txt set filemask Resultados TestesAdCYesNo txt for S A in filemask do if not zA 0 Msg CUIDADO Existem sinais de presen a de programas de criptografia Verifique o sistema e se for o caso realize a c pia logica dos arquivos atrav s do FTK Imager Ferramentas ScoopyNG ScoopyNG exe gt Resultados DetectaVMware txt Ferramentas strings accepteula Resultados DetectaVMware txt Ferramentas grep i VMware detected gt Resultados VMWareYesNo txt 89 set filemask Resultados VMWareYesNo txt for S A in filemask do if not zA 0 Msg CUIDADO Existem fortes ind cios de que o sistema esteja sendo executado em maquina virtual WMWare Verifique o
22. com cuidado de maneira a preservar seu valor probat rio Alguns tipos de evid ncia computacional requerem cuidados especiais no processo de embalagem e transporte tomando cuidados especiais com equipamentos suscet veis a danos ou altera es devido proximidade de campos eletromagn ticos como aqueles gerados por eletricidade est tica magnetismo radiotransmissores ou outros Deve se evitar o armazenamento das evid ncias forenses em ve culos por tempo prolongado evitando ainda o contato com calor excessivo frio ou umidade STACY JR e LUNSFORD 2011 Para uma busca e apreens o realizada de forma ideal deve o perito participar tamb m das fases de planejamento e coordena o orientando a equipe quanto ao melhor momento para a abordagem e quanto aos procedimentos de coleta e transporte dos materiais arrecadados N o comum encontrar computadores ligados no momento da execu o do mandado de busca e apreens o Assim se for sabido de antem o que o alvo da busca utiliza criptografia por exemplo importante que sejam escolhidos um dia e um hor rio mais prop cio a encontrar a m quina ligada de forma a tornar poss vel a captura dos dados da mesma antes do seu desligamento para apreens o Os procedimentos de busca e apreens o que tratam de crimes de inform tica podem ser divididos basicamente em quatro etapas ilustradas na Figura 4 1 HOELZ RUBACK e 32 SILVA 2009 Levantamento de inform
23. do do diret rio raiz do flash drive ap s a coleta 40 4 2 1 Detalhamento do arquivo batch O arquivo batch no diret rio raiz do flash drive utilizado na coleta de dados vol teis e cont m a chamada s ferramentas de coleta contidas no diret rio raiz do flash drive para onde ser o direcionados os arquivos contendo as informa es coletadas A sequ ncia respectivas ferramentas utilizadas para cada tipo de captura a seguinte 10 11 12 Coleta da data e da hora do sistema para documenta o do in cio do procedimento de coleta atrav s dos comandos de sistema do Windows lt date t gt e lt time t gt Coleta dos dados contidos no registro do Windows atrav s do comando de sistema do Windows lt regedit e gt Coleta das informa es relacionadas s conex es TCP ativas atrav s do comando de sistema do Windows lt netstat ano gt Coleta das informa es relacionadas s portas abertas e aplica es associadas atrav s do comando de sistema do Windows lt fport gt Coleta das informa es relacionadas s configura es das interfaces de rede atrav s do comando de sistema do Windows lt ipconfig all gt Coleta de informa es sobre processos em execu o atrav s das ferramentas Coleta da listagem de arquivos recentemente abertos atrav s do comando de sistema do Windows lt tasklist gt Coleta de informa es sobre usu rios ativos no sistema atrav s da UserPro
24. do sistema 4 3 2 Cen rio 5 A m quina utilizada est descrita na Tabela 4 7 Tabela 4 7 Descri o da m quina utilizada no Cen rio 5 Tipo de m quina Virtual VMware vers o 7 1 4 Processador da m quina hospedeira Sistema operacional da m quina hospedeira Mem ria F sica da m quina hospedeira Sistema operacional da m quina virtual Mem ria F sica da m quina virtual Programa de Intel R Core TM 2 Duo CPU T7500 Windows 7 Professional 64 bit Service Pack 1 3048 MB Microsoft Windows XP Professional Service Pack 3 1280 MB Truecrypt vers o 7 04 modo volume criptografia Programa antiv rus Inativo Tempo de coleta 11min59s 4 3 2 1 A Figura 4 20 apresenta os arquivos coletados l gica dos arquivos ali presentes O detalhe diferente neste caso se refere presen a de virtualiza o pelo programa ScoopyNG proposto envia um alerta para a tela do computador em an lise Al m disso pode ser verificado o arquivo 59 confirmar a suspeita conforme Figura 4 21 Organize v Include in library v Share with Burn New folder e fi o 2 Name Date modified Type L Chrome history bt 18 06 2011 11 41 Text Document 1KB _ DetectaCripto bt 18 06 2011 11 41 Text Document 1 KB DetectaVMware bt 18 06 2011 11 41 Text Document 1 KB _ DispUSB txt 18 06 2011 11 41 Text Document 7 KB _ DumpReg tt 18 06 2011 11 37 Text Document 35 480 KB L
25. drives 4 2 N o devem normalmente ser apreendidos dispositivos de entrada e sa da de dados impressoras teclados monitores Apreens o de m dias avulsas flash drives CDs DVDs cart es de mem ria chips de celular disquetes iPods m quinas fotogr ficas filmadoras digitais celulares smartphones etc tamb m podem conter dados relevantes e deve ser apreendidos Para m dias pouco usuais aconselh vel apreender tamb m os dispositivos de leitura correspondentes e para dispositivos eletr nicos recomendado que sejam apreendidos os carregadores e cabos de dados correspondentes Os equipamentos arrecadados devem ser adequadamente etiquetados acondicionados e lacrados Sempre que poss vel devem ser separados em embalagens diferentes dando prefer ncia ao uso de pl sticos transparentes como elementos de embalagem As etiquetas identificadoras devem 85 preferencialmente ser afixadas sobre o equipamento em si n o sobre as embalagens Os cabos de dados e conex o carregadores acess rios e manuais devem ser embalados juntamente com o equipamento correspondente 7 Os discos r gidos removidos de um mesmo gabinete ou servidor as m dias e dispositivos remov veis relacionados e se for o caso de ter havido coleta de dados no local pelo perito criminal o disco r gido e ou DVDs originados dever o ser embalados e lacrados em um nico volume 8 Outras m dias remov veis encontradas n o relacionadas dir
26. i O Organize Include in library v Share with Burn New folder Esq A Name Date modified Type Size 1KB 1KB 1 KB 7 KB Text Document 53 729 KB L Chrome_history txt 18 06 2011 14 00 Text Document __ DetectaCripto txt 18 06 2011 14 00 DetectaVMware txt 2011 14 00 DispUSB tt 06 2011 14 00 DumpReg bt 011 13 56 Text Document Text Document Text Document L Handle txt 2011 14 00 Hash_do_Hashes txt 2011 14 04 L Hashes tet 011 14 04 TE history bt 2011 14 00 Memorydump dd 2011 13 59 2011 14 00 06 2011 14 04 011 14 00 L Processos txt L Resultados tt L Skypelog tt as passwordfox Password Text Document Text Document Text Document Text Document DD File Text Document Text Document Text Document 56 KB 1 KB 2 KB 33 KB 1 048 048 KB 4 KB 20 KB 1 KB amentas iepv iepv exe Potentially harmful program rramentasichromepassiChromePa Potentially harmful program ramentasimspassimspass exe Potentially harmful program amentasimailpvimaipv exe Potentially harmful program Figura 4 19 Ferramentas identificadas como ameagas pelo antivirus 58 A presen a de virtualiza o de sistema pelo programa VirtualBox foi identificado da mesma forma j discutida e ilustrada no Cen rio 3 atrav s do alerta gerado na tela do a confirma o da suspeita de virtualiza o deve ser executada c pia l gica de todo o conte do
27. m compat veis com o sistema operacional Windows 7 O problema da utiliza o de eventuais ferramentas espec ficas para determinado sistema operacional poder ser tratado em trabalhos futuros atrav s do reconhecimento autom tico do sistema operacional e utiliza o da ferramenta correspondente 1 1 OBJETIVOS Como objetivo desta disserta o prop e se o desenvolvimento de um m todo a ser utilizado durante o procedimento de busca e apreens o de material de inform tica levando em considera o o estado em que o computador encontrado ligado ou desligado E proposta ainda uma ferramenta de integra o de aplicativos de coleta de dados vol teis em sistemas de inform tica baseados em Windows Preconiza se a captura autom tica com o objetivo de acelerar o processo diminuindo o tempo necess rio e a possibilidade de erros na coleta 1 1 1 Objetivos espec ficos e Propor um m todo para orientar os peritos criminais durante os procedimentos de busca e apreens o de equipamentos de inform tica de forma a garantir a integridade e a credibilidade dos dados coletados e Desenvolver um prot tipo que verifique a exequibilidade e a possibilidade de desenvolver uma futura solu o de integra o de ferramentas para coleta de dados vol teis em sistemas informatizados que possa ser efetivamente utilizada por peritos criminais ou eventualmente outros profissionais capacitados na coleta de dados vol teis e Desenvolver
28. necess rias ao caso concreto trazendo assim uma invas o adicional desnecess ria ao sistema analisado O perito pode criar seu pr prio conjunto de ferramentas de captura de dados vol teis todas dispon veis gratuitamente na Internet integrando e automatizando as atrav s de um arquivo batch As vantagens desta solu o s o a aus ncia de custo de aquisi o a facilidade na atualiza o das ferramentas a r pida adapta o s novas necessidades e a oportunidade de coletar somente as informa es julgadas essenciais para o caso concreto em an lise Al m disso pode incluir alguns testes para detec o de criptografia ou m quina virtual coadjuvantes na tomada de decis o durante a apreens o que deve ser r pida e precisa com o m nimo poss vel de altera o do sistema alvo Conclui se assim que o procedimento de busca e apreens o de itens relacionados a sistemas informatizados deve incluir as abordagens e Coleta dos dados vol teis quando poss vel computador ligado desbloqueado senha conhecida etc e C pia l gica de dados quando for detectada a presen a de criptografia ou m quina virtual e Apreens o f sica dos equipamentos para an lise tradicional em laborat rio e Ap s desligamento do sistema posteriormente coleta de dados vol teis e Quando o computador for encontrado desligado O desenvolvimento deste trabalho proporcionou a oportunidade de colabora o com o estado da arte no assunto
29. o meu amadurecimento como pesquisador Ao Prof Laerte Peotta de Melo pelo imprescind vel apoio incentivo e amizade prestados durante a fase de elabora o da Disserta o de Mestrado Ao Perito Criminal Federal Marcelo Caldeira Ruback colega de trabalho e de mestrado pelo apoio durante a fase presencial do Curso de Mestrado Ao Perito Criminal Federal H lvio Pereira Peixoto e aos peritos criminais federais lotados no Servi o de Per cias em Inform tica da Pol cia Federal pelo incentivo Aos colegas do Curso de Mestrado pela amizade A todos os meus sinceros agradecimentos O presente trabalho foi realizado com o apoio do Departamento Pol cia Federal com recursos do Programa Nacional de Seguran a P blica com Cidadania PRONASCI do Minist rio da Justi a RESUMO METODOLOGIA E FERRAMENTA DE COLETA DE DADOS VOL TEIS EM SISTEMAS WINDOWS Autor Pedro Auler Orientador Fl vio Elias Gomes de Deus Programa de P s gradua o em Engenharia El trica Bras lia dezembro de 2011 Este trabalho tem o objetivo de apresentar uma metodologia de coleta de dados vol teis em sistemas operacionais baseados em Windows Para tal elaborou se uma ferramenta CADAV Coleta Automatizada de Dados Vol teis e uma proposta de modelo de atua o do perito criminal durante o procedimento de busca e apreens o de equipamentos de inform tica O CADAV executado a partir de um flash drive inserido no computador a ser apreendido sendo
30. para coleta de dados vol teis devem ser considerados entre outros aspectos SUTHERLAND et al 2010 1 Total de mem ria alocada pela ferramenta 2 O impacto da ferramenta nos Registros do Windows 3 O impacto da ferramenta no sistema de arquivos 4 Uso de DLLs presentes no sistema A mem ria RAM chamada vol til porque os dados s o perdidos quando a m quina desligada A grande import ncia em se coletar a mem ria RAM antes de desligar o computador suspeito que nela podem ser encontradas informa es de grande interesse para a condu o da an lise posterior ou mesmo no processo investigat rio como por exemplo SHIPLEY e REEVE 2011 17 Processos em execu o Lista de comando executados Senhas em texto claro Vers es decifradas de dados criptografados Mensagens instant neas Endere os IP SA SO MO TAS I Malwares importante ressaltar que um computador ligado encontra se em constante altera o de dados tanto de mem ria quanto de disco e processos Assim uma coleta de mem ria levar a resultados diferentes a cada vez que for executada Consequentemente n o ha como executar uma fun o de hash de mem ria pois os resultados ser o sempre diferentes O que se recomenda e deve ser feito um hash do arquivo resultante da coleta de mem ria WATTS et al 2010 O resultado do hash deste arquivo deve ser inclu do no Auto de Busca e Apreens o buscando garantir a Cadeia de
31. rio pode ser executado em qualquer vers o do Windows desde a vers o 98 at o Windows 7 e permite recuperar senhas de programas de e mail tais como Outlook Express Microsoft Outlook 2000 POP3 e SMTP Microsoft Oulook 2002 2003 2007 2010 POP3 IMAP HTTP e SMTP Windows Mail 78 19 20 21 22 Windows Live Mail IncrediMail Eudora Netscape 6 x 7 x se a senha n o estiver criptografada com senha mestre Mozilla Thunderbird se a senha n o estiver criptografada com senha mestre Group Mail Free Yahoo Mail se a senha estiver salva em alguma aplica o do Yahoo Messenger e Gmail se a senha estiver salva na aplica o Gmail Notifier Google Desktop ou Google Talk mailpv stext arquivo_de_sa da txt Figura A 18 Execu o da ferramenta Mail Pass View IE PassView v1 26 NIRSOFT 2011c Utilit rio que revela as senhas armazenadas pelo navegador Internet Explorer suportando desde a vers o 4 0 at a 9 0 iepv stext arquivo_de_sa da txt Figura A 19 Execu o da ferramenta IE Pass View ChromePass v1 20 NIRSOFT 2011c Utilit rio que revela as senhas armazenadas pelo navegador Google Chrome ChromePass stext arquivo_de_sa da txt Figura A 20 Execu o da ferramenta ChromePass PasswordFox v1 30 NIRSOFT 2011c Utilit rio que revela as senhas armazenadas pelo navegador Firefox suportando qualquer vers o do Windows 2000 XP Server 2003 V
32. s gt 7 E Ferramentas gt e 36 8 16 232 86 105 146 136 72 2 961 E8D3 1B7B chromehistoryview chromepass cygwini d1ll Eddi20 exe Fport exe fsum grep exe handle exe iehy iehu exe iepv Imager Lite 2 9 8 Le iaMe txt listdlls exe mailpy mdd 1 3 exe nozillahistoryview ms pass mylastsearch netstat exe passwordfox pelip exe ps exe Psinfo exe pslist exe ps loggedon exe regedit exe ScoopyNG skype loguview strings exe tasklist exe ushdeview wire lesskeyview 797 bytes 336 bytes free Figura 4 4 Conte do da pasta Ferramentas Na Figura 4 5 apresentado o conte do do flash drive ap s a coleta Pode se notar que Hashes txt Hash do Hashes txt do o resultado da fun o de garantia de integridade dos arquivos hash Microsoft Windows RP Version 5 1 2608 lt C gt Copyright 1985 2661 Microsoft Corp E gt dir Volume in drive E is Volume Serial Number is Directory of E N 18 87 14 43 69 25 89 25 18 33 18 22 18 22 12 39 12 36 18 21 lt DIR gt 8 File lt s gt 2 Dirts gt 16 67 2611 15 05 2011 15 05 2011 16 67 2611 Forense E8D3 1B7B 8 444 1 55 553 16 32 472 399 5 691 056 128 bytes free 43 autorun inf 389 120 cmd exe ColetaDados Ferramentas FTK Imager bat Hashes txt Hash do Hashes txt Le iaMe bat Recalcula Hashes bat Resultados 888 bytes bat Figura 4 5 Conte
33. ser necess rio fazer testes para determinar o sistema operacional e a vers o instalada no sistema alvo logo no in cio da captura utilizando ferramentas compat veis para cada caso A t tulo de exemplifica o ser apresentado o conte do de alguns dos arquivos coletados e algumas fotografias tiradas da tela do computador analisado durante a coleta Optou se por fotografias da tela ao inv s de captur minuir a interven o no sistema como recomendado neste trabalho 47 4 3 1 Cen rio 1 A m quina utilizada est descrita na Tabela 4 3 Tabela 4 3 Descri o da m quina utilizada no Cen rio 1 Tipo de m quina Real Processador Intel R Pentium R 4 2 3 GHz Sistema operacional Microsoft Windows XP Professional Service Pack 3 Mem ria F sica 2048 MB Programa de criptografia Truecrypt vers o 7 0a modo volume Programa antiv rus Inativo Tempo de coleta 5min54s 4 3 1 1 A ferramenta de captura faz alguns testes durante a coleta Sendo verificado que existe a probabilidade de presen a de criptografia no sistema atrav s da verifica o do arquivo esta situa o conforme Figura 4 6 Mensagem de Nicolas e Beatriz 18 06 2011 14 44 x CUIDADO Existem fortes ind cios de Criptografia de volumes ou mesmo do Sistema Inteiro Pesquise a presen a de programas de criptografia principalmente Truecrypt PGP ou Bitlocker Se tor o caso realize a c pia l gica dos arq
34. sistema e se for o caso realize a c pia logica dos arquivos atrav s do FTK Imager Ferramentas strings accepteula Resultados Processos txt Ferramentas grep ie vmware ie virtualbox ie VBoxService ie VBoxTray gt Resultados TestesAdYesNo txt set filemask Resultados TestesAdYesNo txt for S A in filemask do if not zA 0 Msg CUIDADO Existem sinais de presen a de virtualiza o de sistema Verifique e se for o caso realize a c pia logica dos arquivos atrav s do FTK Imager Ferramentas usbdeview usbdeview stext Resultados DispUSB txt set filemask Resultados txt for A in filemask do if zA 0 del F Q SSA Pate echo o if EXIST Resultados VMWareYesNo txt del Resultados VMWareYesNo txt if EXIST Resultados CriptoYesNo txt del Resultados CriptoYesNo txt f EXIST Resultados TestesAdYesNo txt del Resultados TestesAdYesNo txt if EXIST Resultados TestesAdCYesNo txt del Resultados TestesAdCYesNo txt echo on echo Data do Sistema gt gt Resultados Resultados txt date t gt gt Resultados Resultados txt echo gt gt Resultados Resultados txt cho gt gt Resultados Resultados txt echo gt gt Resultados Resultados txt echo Hora do Sistema gt gt Resultados Resultados txt time t gt gt Resultados Res
35. uma vez este problema seria contornado caso a aquisi o l gica dos dados criptografados tivesse se dado com o sistema ainda ligado Outro exemplo a aquisi o de informa es referentes ao estado da rede e suas portas relacionadas que tamb m s o perdidas ao se 20 desligar o sistema LESSING e VON SOLMONS 2011 Devido s limita es da coleta de dados tradicional em sistemas desligados a aquisi o com o computador ainda ligado pode ser de extrema import ncia Esta t cnica permite a recupera o de relevantes informa es que de outra maneira poderiam ser perdidas Infelizmente esta abordagem tamb m tem suas limita es A mais importante que cada computador analisado possui um sistema operacional diferente instalado Assim o perito precisa ter conhecimento de uma grande variedade de hardware software e sistemas operacionais O perito deve verificar o sistema em an lise e aplicar os princ pios periciais corretamente de maneira a n o inviabilizar a futura aceita o das evid ncias no devido processo legal Parte do processo de aquisi o de dados vol teis consiste em executar aplicativos na CPU do sistema suspeito podendo levar a potenciais altera es de dados de registradores mem ria RAM ou do pr prio disco r gido Dependendo de como se d a abordagem no local de aquisi o dos dados vol teis a altera o do sistema pode ser t o expressiva que pode inviabilizar o uso futuro das informa es coletada
36. Auto de Busca e Apreens o ou na Informa o T cnica elaborada pelo perito criminal conforme for o caso de forma a garantir a integridade dos arquivos coletados durante o procedimento na pasta Resultados 95
37. B 30 KB 2 096 496 KB 4 KB 18 KB 1KB 2 KB 1KB 1 KB 3 KB 51 um dos principais resultados da coleta Devido ao seu grande conte do ser o apresentadas apenas algumas partes mais relevantes deste arquivo A Figura 4 11 mostra data e hora de in cio da coleta conte do da rea de transfer ncia e conex es TCP ativas A Figura 4 12 apresenta informa es sobre as interfaces de rede A Figura 4 13 apresenta informa es sobre o sistema e data e hora do t rmino da coleta File Edit Format View Help Data do Sistema s b 18 06 2011 Conex es TCP ativas active Connections Proto Local address i state TCP 0 0 0 0 135 0 0 0 LISTENING TCP 0 0 0 0 445 0 0 0 LISTENING TCP 127 0 0 1 1029 0 0 0 LISTENING 192 168 1 102 0 0 0 LISTENING 192 168 1 102 82 A TIME WAIT 192 168 1 102 82 E TIME WAIT 192 168 1 102 182 TIME WAIT 168 1 102 TIME WAIT 168 1 102 ESTABLISHED 0 427 e 445 500 4500 123 1 1900 102 123 102 137 102 138 102 427 102 1900 44 4H HH HK FE Se REE HEH KK Figura 4 11 Conte do parcial do arquivo Resultados txt parte 1 Esta coleta ocorreu de forma praticamente id ntica coleta do cen rio 1 com a diferen a de que aqui n o h criptografia e o antiv rus est ativo O programa antiv rus identificou as ser visto na Figura 4 14 52 Configura o de interfaces de rede Configura o de IP do windows Nome do host I pedro c
38. Boletim de Servi o n 129 de 09 07 2001 e no DOU n 126 Se o 1 de 02 07 2001 recomenda que as testemunhas n o sejam policiais e A busca domiciliar ser feita mediante mandado judicial precedida de investiga o sobre o morador do local onde ser realizada visando colher elementos sobre sua pessoa atividades periculosidade e contatos sempre que poss vel com a presen a da autoridade policial e de testemunhas n o policiais o duas testemunhas n o policiais que assinar o o respectivo auto al m do termo o res da busca providenciar o para que o morador e as testemunhas acompanhem a dilig ncia em todas as depend ncias do moradores os executores adotar o medidas para que o im vel seja fechado e lacrado ap s a realiza o da busca que ser assistida por duas testemunhas n o policiais art 69 ser lavrado auto circunstanciado assinado por duas testemunhas presenciais Grifos nossos Assim apesar de a Lei n o proibir expressamente a utiliza o de testemunhas que sejam parentes do suspeito ou da v tima esta conduta n o aconselh vel Em primeiro lugar os parentes podem se recusar a prestar este papel Al m disso n o s o obrigados a falar a verdade Da mesma forma os policiais n o est o proibidos de testemunhar mas a recomenda o da Instru o Normativa citada e o bom senso dizem que esta situa o deve ser evitada A seguir s o apresentados os principais prin
39. Este um aplicativo de linha de comando proveniente de sistemas Unix Linux capaz de fazer buscas no conte do de arquivos ou sa das de outros comandos executados estando tamb m dispon vel para ambiente Windows Exemplos de utiliza o lt pslist grep i truecrypt gt procura a i gt faz com que op es de letras mai sculas ou min sculas sejam ignoradas lt grep 76 i truecrypt teste txt gt pslist grep i truecrypt Figura A 11 1 Exemplo de execu o da ferramenta grep grep 1 truecrypt teste txt Figura A 11 2 Outro exemplo de execu o da ferramenta grep teste txt 12 IEHistoryView v1 61 NIRSOFT 2011e Utilit rio que permite visualizar as 13 14 p ginas acessadas atrav s do navegador Internet Explorer iehv stext arquivo_de_sa da txt Figura A 12 Execu o da ferramenta IEHistory View MozillaHistoryView v1 35 NIRSOFT 2011e Programa Utilit rio que permite visualizar as p ginas acessadas atrav s de navegadores Mozilla Firefox mozillahistoryview stext arquivo_de_sa da txt Figura A 13 Execu o da ferramenta MozillaHistory View ChromeHistoryView v1 00 NIRSOFT 201le Utilit rio que permite visualizar as p ginas acessadas atrav s do navegador Google Chrome Quadro 0 2 Execu o da ferramenta 14 ChromeHistoryView chromehistoryview stext arquivo de sa da txt Figura A 14 Execu o da ferramenta C
40. Handle bt 18 06 2011 11 40 Text Document 42 KB L Hash do Hashes bt 18 06 2011 11 42 Text Document 1KB _ Hashes txt 18 06 2011 11 42 Text Document 2KB _ IE_history tet 18 06 2011 11 41 Text Document 29 KB Memorydump dd 18 06 2011 11 40 DD File 1 310 192 KB Processos bt 18 06 2011 11 40 Text Document 3 KB Resultados bt 18 06 2011 11 42 Text Document 15 KB Senhas_Chrome tet 18 06 2011 11 41 Text Document 1KB _ Senhas_Firefox txt 18 06 2011 11 41 Text Document 1KB Skypelog tet 18 06 2011 11 41 Text Document 1 KB _ UtPesquisas txt 18 06 2011 11 41 Text Document 1 KB Figura 4 20 Arquivos coletados Cen rio 5 File Edit Format View Help HEE EEE ScoopyNG The VMware Detection Tool windows version v1 0 Test 1 IDT IDT base Oxffc18000 Result VMware detected Test 2 LDT LDT base Oxdead4060 Result VMware detected Test 3 GDT GDT base Oxffc07000 Result VMware detected Test 4 STR STR base 0x00400000 Result VMware detected Test 5 VMware get version command Result VMware detected Workstation Test 6 VMware get memory size command Result VMware detected Test 7 VMware emulation mode Result Native OS or VMware without emulation mode enabled acceleration tk 2008 Ss ww trap kit de PPPPPPPPPPPPPPPPI PEA RI PPPI Figura 4 21 A virtualiza o pode ainda ser detectada mais uma vez pelo exame do arquivo orme Figura 4 22 o
41. I ENE FT UnB II T tulo S rie REFER NCIA BIBLIOGR FICA AULER P 2011 Metodologia e Ferramenta de coleta de Dados Vol teis em Sistemas Windows Disserta o de Mestrado Publica o PPGENE DM 86 A 11 Departamento de Engenharia El trica Universidade de Bras lia Bras lia DF 95p CESS O DE DIREITOS NOME DO AUTOR PEDRO AULER T TULO DA DISSERTA O Metodologia e Ferramenta de coleta de Dados Vol teis em Sistemas Windows GRAU ANO Mestre 2011 concedida Universidade de Bras lia permiss o para reproduzir c pias desta Disserta o de Mestrado e para emprestar ou vender tais c pias somente para prop sitos acad micos e cient ficos Do mesmo modo a Universidade de Bras lia tem permiss o para divulgar este documento em biblioteca virtual em formato que permita o acesso via redes de comunica o e a reprodu o de c pias desde que protegida a integridade do conte do dessas c pias e proibido o acesso a partes isoladas desse conte do O autor reserva outros direitos de publica o e nenhuma parte deste documento pode ser reproduzida sem a autoriza o por escrito do autor Pedro Auler SQSW 304 Bloco G Ap 204 CEP 70673 407 Bras lia DF Brasil iii Dedico esta disserta o minha esposa aos meus filhos e aos meus pais iv AGRADECIMENTOS Ao meu orientador Prof Dr Fl vio Elias Gomes de Deus pelo apoio e incentivo essenciais para o desenvolvimento deste trabalho e para
42. PUTTINI R Princ pios B sicos 2011 Disponivel em lt http webserver redes unb br security introducao aspectos html gt Acesso em 10 set 2011 STACY JR H LUNSFORD P Computer Forensics For Law Enforcement 2011 Disponivel em lt http www infosecwriters com text_resources pdf Forensics_HStacy pdf gt Acesso em 28 mai 2011 STALLINGS W Criptografia e Seguran a de Redes Princ pios e Pr ticas 4 ed S o Paulo Hall Pearson Prentice 2008 STEEL C Windows Forensics The Field Guide for Conducting Corporate Computer Investigations Indianapolis Wiley Publishing Inc 2006 SUTHERLAND I et al Acquiring Volatile Operating System Data Tools and Techniques 2010 Disponivel em lt http doi acm org 10 1145 1368506 1368516 gt Acesso em 09 ago 2010 SYMANTECH PGP 2011 Disponivel em lt http www symantec com business theme jsp themeid pgp gt Acesso em 18 jul 2011 TANEMBAUM A S Sistemas Operacionais Modernos 3 ed S o Paulo Hall Pearson Prentice 2009 TECHTERMS COM Malware 2011 Disponivel em lt http www techterms com definition malware gt Acesso em 17 jun 2011 TRAPKIT ScoopyNG The VMware detection tool 2011 Disponivel em lt http www trapkit de research vmm scoopyng index html gt Acesso em 05 mai 2011 72 TRUECRYPT 2011 Disponivel em lt http www truecrypt org gt Acesso em 17 jul 2011 UNXUTILS GNU Utilities for WIN32 Disponivel em lt htt
43. T cnica Neste documento devem ser detalhados todos os passos realizados incluindo os hashes dos arquivos coletados e ou das fotografias tiradas 4 1 2 Fase 2 O perito deve certificar se de que as ferramentas de coleta contidas no flash drive estejam com suas caracter sticas originais Para garantir sua integridade o perito deve comparar os valores de hash dos arquivos contidos no flash drive com os originais armazenados em sua esta o pericial Antes de reutiliz lo em um outro computador suspeito deve conferir novamente a integridade dos arquivos e garantir que n o h contamina o por software malicioso Se o computador n o estiver bloqueado deve se inserir o flash drive contendo os aplicativos automatizados de coleta de dados vol teis CADAV Caso o sistema esteja habilitado para executar automaticamente a partir de flash drives a ferramenta de coleta iniciar automaticamente Provavelmente isto n o ocorrer porque o Windows XP a partir do Service pack 3 desabilitou completamente o autorun a partir de dispositivos USB Neste caso deve se executar um duplo clique sobre o cone do arquivo ColetaDados bat contido no diret rio raiz do flash drive e aguardar a mensagem de t rmino do procedimento Caso o computador esteja bloqueado deve se verificar se a senha est dispon vel Deve se verificar se h algum documento cotendo a senha nos locais pr ximos ao computador Pode tamb m ser perguntado ao usu rio
44. UNIVERSIDADE DE BRAS LIA FACULDADE DE TECNOLOGIA DEPARTAMENTO DE ENGENHARIA ELETRICA METODOLOGIA E FERRAMENTA DE COLETA DE DADOS VOLATEIS EM SISTEMAS WINDOWS PEDRO AULER ORIENTADOR FL VIO ELIAS GOMES DE DEUS DISSERTA O DE MESTRADO EM ENGENHARIA EL TRICA AREA DE CONCENTRA O INFORMATICA FORENSE E SEGURAN A DA INFORMA O PUBLICA O PPGENE DM 86 A 11 BRAS LIA DF DEZEMBRO 2011 UNIVERSIDADE DE BRAS LIA FACULDADE DE TECNOLOGIA DEPARTAMENTO DE ENGENHARIA ELETRICA METODOLOGIA E FERRAMENTA DE COLETA DE DADOS VOLATEIS EM SISTEMAS WINDOWS PEDRO AULER DISSERTA O DE MESTRADO PROFISSIONALIZANTE SUBMETIDA AO DEPARTAMENTO DE ENGENHARIA EL TRICA DA FACULDADE DE TECNOLOGIA DA UNIVERSIDADE DE BRAS LIA COMO PARTE DOS REQUISITOS NECESS RIOS PARA A OBTEN O DO GRAU DE MESTRE APROVADA POR FL VIO ELIAS GOMES DE DEUS Dr ENE UNB ORIENTADOR WILLIAM FERREIRA GIOZZA Dr ENE UNB EXAMINADOR INTERNO H LVIO PEREIRA PEIXOTO Dr DITEC DPF EXAMINADOR EXTERNO Bras lia 16 de dezembro de 2011 FICHA CATALOGR FICA AULER PEDRO Metodologia e Ferramenta de coleta de Dados Vol teis em Sistemas Windows Distrito Federal 2011 xii 95p 297 mm ENE FT UnB Mestre Engenharia El trica 2011 Disserta o de Mestrado Universidade de Bras lia Faculdade de Tecnologia Departamento de Engenharia El trica 1 Inform tica forense 2 Coleta 3 Dados 4 Vol teis 5 Windows
45. a es y Planejamento Sele o do material relevante A Arrecada o Figura 4 1 Etapas do procedimento de busca e apreens o Um dos aspectos mais importantes do campo da computa o forense a documenta o Al m de documentar seus pr prios atos durante a apreens o o perito deve tamb m documentar o ambiente da busca antes de come ar efetivamente a intervir nos sistemas Para que a documenta o seja feita da melhor forma poss vel recomendado que haja uma pessoa respons vel exclusivamente por esta tarefa Itens que requerem aten o especial durante a documenta o devendo ser fotografados s o STEEL 2006 e Telas do computador com resolu o suficiente para leitura de textos ali presentes se necess rio e Conex es de rede mostrando quaisquer cabos de rede conectados ao computador As duas pontas do cabo devem ser fotografadas para o caso em que o perito tenha que provar que o computador estava conectado a algum equipamento espec fico e Conex es de perif ricos para provar que estavam conectados ao computador Ao chegar ao local de busca e apreens o o perito deve cumprir uma s rie de procedimentos ordenados de modo a preservar os vest gios e garantir a sua validade no processo judicial Como ferramenta de aux lio foi elaborado um checklist com as provid ncias a serem tomadas Anexo B Primeiramente deve ser exibido o mandado judicial ao d
46. a es sobre o sistema PsList Exibe os processos em execu o PsLoggedOn Verifica quais usu rios est o ativos Outras ferramentas e comandos do pr prio sistema operacional Windows podem ser encontrados no Anexo A A sele o baseou se no fato de estarem dispon veis gratuitamente possibilitarem execu o atrav s de linha de comando e por coletarem os dados e as informa es consideradas mais relevantes por este estudo 3 2 FTK IMAGER ACCESS DATA Este programa extremamente til para a coleta de dados em local de busca e apreens o sendo disponibilizado gratuitamente pela empresa AccessData ACCESSDATA 2011 S o disponibilizadas duas vers es uma que requer instala o e est atualmente na vers o 3 0 e outra que n o requer instala o e est atualmente na vers o 2 9 0 FTK Imager Lite Apesar de n o ser um programa de linha de comando possibilitando coleta automatizada de dados como o foco deste trabalho trata se de uma ferramenta de grande valia e com boas solu es para alguns dos problemas que podem ser encontrados durante a coleta de dados No caso de ser detectada a presen a de criptografia ou de armazenamento remoto de dados no sistema investigado O FTK Imager pode ser utilizado para a coleta l gica de dados Al m disso ele tamb m pode ser usado para realizar a captura da mem ria f sica e dos registros do sistema operacional A vantagem dos aplicativos de linha de comando est na sua faci
47. a O material deve ser apreendido conforme instru es do Anexo C 4 1 5 Procedimentos p s coleta Terminado o procedimento de coleta o flash drive de coleta inserido no notebook do perito para os procedimentos finais Caso tenham sido tiradas fotografias durante o flash drive e ou tiver havido coleta adicional de mem r deve ser realizado novo c lculo de hashes Recalcula Hashes bat Ser criado um novo arquivo chamado Hashes txt na raiz do flash drive contendo o hash SHA256 de todos os arquivos contidos na pasta Resultados Tamb m ser criado um arquivo chamado Hash do Hashes txt na raiz do flash drive contendo o hash MDS do arquivo de hashes Hashes txt Este hash deve substituir o valor anotado anteriormente j hash deve ser inclu do na Informa o T cnica elaborada pelo perito criminal de forma a garantir a integridade dos arquivos coletados durante o procedimento Para fins de log stica sugere se que a ticas do tipo DVD Considerando os tamanhos comuns de mem ria f sica encontrados na 37 maioria dos casos bastar um DVD ou dois em casos excepcionais Desta forma o perito permanece com seu flash drive de coleta e o DVD pode acompanhar o tr mite do Processo sem qualquer preju zo Nos casos em que houver necessidade de c pia l gica de arquivos para discos r gidos externos devido ao maior volume de dados o pr prio disco r gido utilizado para a coleta deve acompanhar o restante do mate
48. a ferramenta de captura n o possui controle sobre os processos executados na m quina alvo de forma que programas maliciosos podem detectar as ferramentas de captura de mem ria e provocar altera es defensivas no sistema causando inconsist ncias na imagem de mem ria capturada LIBSTER e KORNBLUM 2011 Um dos princ pios mais importantes ligados inform tica forense o Princ pio da Troca de Locard Locard s Exchange Principle segundo o qual ocorrem mudan as em um sistema de inform tica ativo simplesmente pela passagem do tempo Isto ocorre devido aos processos que est o em execu o aos dados que est o sendo gravados ou apagados na mem ria a conex es de rede sendo criadas ou finalizadas e assim por diante Se as mudan as ocorrem simplesmente pela passagem do tempo s o agravadas quando o perito executa seus programas de coleta de dados A execu o de ferramentas no sistema provoca o seu carregamento na mem ria f sica sobrescrevendo outros dados ali presentes 22 CARVEY 2007 A coleta de dados em computadores ligados deve ser realizada com impacto m nimo sobre a integridade do sistema At h pouco tempo os resultados obtidos desta forma n o eram bem aceitos na Justi a devido interfer ncia do perito no sistema original Entretanto n o h mais como fugir destas t cnicas para que n o haja perda definitiva de informa es Pequenas interfer ncias no sistema podem e devem ser aceitas desde que
49. ada a a OT aa eg as acao aaa 4 1 1 1 Objetivos espec ficos E scsisisssavecscissausitscaveusannsnestaacivevinsunnssannssbebnnesaiatensndeevenes 5 1 2 JUSTIBICA TRY Asia danada UR mit Gaia a eso 5 13 ORGANIZA O cus isso goiabada SS anaisa Ravedcte adeno 7 2 REVIS O BIBLIOGR FICA siscscsscscccssssnsiccsnvsssesntesotsncuionsspicensiocanesopennssosssabecrsotvebecsuie 8 2 1 PER CIA COMPUTACIONAL E EVID NCIA DIGITAL cececcererecererecereeecereseerss 8 2 2 PRINCIPAIS COMPONENTES DE UM COMPUTADOR sssssssssssssssscesssssessessesssssnesseseess 8 221 Processador s ar DADE RO Saad 9 22 2 RESINAS as ai ai AA A O Rd E ROO ARS ESP 9 2 2 3 Memoria Cache sisal aa 10 2 2 4 Memoria Principal RAM casas cccasssivedssinyssvessseovsesisscotsvuvs ea neo 10 2 25 Mem ria Secund ria secas elarsiacatuy caro Deduseninetestteo doida caneca Ei poi anes Il 2 2 6 Dispositivos de Entrada e Saidd cssccccssccssssscssssscssnsccsssccsssecesssscesssscessees Il 2 3 PRINC PIOS B SICOS DE SEGURAN A usessessssssssssssesssssssssesssenssscssseseesssssees 11 24 FUN ES DE HASH iss ssnsedssccunevsadeavecscausoedss sonauvacsauvet vaccsesniessvscsadossaavsescossteatssvoseadesevs 12 2 5 MALWARE ocisdessscecedccesssieseccscecescsssdesbsdieecaccsettevssvsces svcseside sassicddeceses esectsdscetosesdsosseseses 13 2 6 ROOTKIT NEII EE seseesessdecocdcesosessacecensde sesssseseoncecdcccssessseue 13 dito CADEIA DE CUST DIA seisceccccteciedias seotssgetente
50. ados dados contidos em sistemas ou volumes criptografados ou dados armazenados remotamente atrav s da rede n o h solu o f cil Uma vez perdidos estes dados sua recupera o pode se tornar imposs vel A maior parte das informa es contidas na mem ria vol til caso n o estejam salvas em disco estar o definitivamente perdidas Para a recupera o de dados contidos em sistemas ou volumes criptografados depender se da recupera o de senhas ou chaves de criptografia Por outro lado para as pequenas altera es introduzidas no sistema pelo perito com suas ferramentas de coleta existem maneiras de documenta o capazes de preservar a prova atrav s da Cadeia de Cust dia Quando h necessidade de intervir em sistemas ligados todos os passos devem ser bem documentados de prefer ncia incluindo fotografias e filmagens dos procedimentos e do estado do material periciado e apreendido A integridade dos arquivos resultantes da coleta deve ser garantida normalmente atrav s de fun es unidirecionais de resumo hash Os valores obtidos devem ser inclu dos no Auto de Busca e Apreens o para fins de documenta o para o caso de futuros questionamentos Por ser uma rea relativamente nova os peritos normalmente n o est o preparados para intervir nos sistemas de inform tica ligados Falta lhes familiaridade com o grande n mero de ferramentas poss veis de uso Al m disso caso as ferramentas sejam utilizadas de forma
51. afar e ou filmar o ambiente incluindo telas e conex es Verificar se o flash drive CADAV est ntegro ferramentas de coleta com suas caracter sticas originais e aus ncia de software malicioso Computador desligado a Sim Apreender o material Ir para o item 13 b N o Continuar no passo seguinte Computador bloqueado a N o Realizar a coleta de dados Ir para o item 10 b Sim Continuar no passo seguinte Pode ser desbloqueado a N o Desligar o computador Apreender o material Ir para o item 13 b Sim Realizar a coleta de dados Continuar no passo seguinte 83 10 Presen a de criptografia ou m quina virtual a N o Desligar o computador Apreender o material Ir para o item 12 b Sim Continuar no passo seguinte 11 Dados acess veis a N o Desligar o computador Apreender o material Continuar no passo seguinte b Sim Realizar a c pia l gica dos dados acess veis Desligar o computador Apreender o material Continuar no passo seguinte 12 Procedimentos a realizar no notebook do perito Inserir flash drive de coleta CADAV no notebook Copiar fotografias e ou filmagem digital para a Recalcula Hashes m dia tica Juntar m dia tica gravada ao material apreendido no documento da Busca e Apreens o 13 Encerrar documento da Busca e Apreens o lembrar da assinatura das testemunhas 14 Verificar se todo
52. aleat ria n o sistem tica tendem a causar maiores altera es no sistema e aumentar o risco de esquecimento de coleta de determinados dados O sistema operacional Microsoft Windows o mais utilizado no mundo NETMARKETSHARE 2011a estando instalado em mais de 90 de todos os computadores conforme Figura 1 1 Dentre os sistemas operacionais Microsoft Windows o sistema ainda predominante instalado em mais de 50 dos computadores segundo NETMARKETSHARE 2011b o Windows XP conforme Figura 1 2 A Tabela 1 1 por sua vez mostra a evolu o da utiliza o dos sistemas operacionais no per odo de outubro de 2010 a agosto de 2011 NETMARKETSHARE 2011c 100 00 90 00 80 00 70 00 60 00 50 00 40 00 30 00 20 00 10 00 0 00 Windows 92 90 6 03 1 07 0 00 Figura 1 1 Sistemas operacionais mais utilizados 60 00 50 00 pa 40 00 30 00 20 00 Lee 10 00 a 0 00 is BB Windows XP Windows 7 52 46 30 60 Win Vista 9 40 Mac OS 4 63 Linux 1 07 Outros 1 84 Figura 1 2 Compara o de uso de Windows XP 7 e outros Tabela 1 1 Evolu o dos sistemas operacionais mais utilizados M s Ano Win XP Win 7 Win Vista Mac OS Outros Out 2010 60 76 18 90 13 33 4 55 2 46 Nov 2010 59 80 20 34 13 04 4 63 2 19 Dez
53. arquivo Hash do Hashes txt 4 4 AN LISE DOS TESTES A coleta de dados vol teis em sistemas operacionais baseados em Windows XP de 32 bits mostrou se adequada detectando corretamente a presen a de criptografia e virtualiza o de sistema 64 Apesar de o programa antiv rus ter bloqueado algumas ferramentas relacionadas captura de senhas n o houve preju zo para a coleta como um todo que n o foi interrompida em momento algum seguindo at o final O tempo de coleta variou de um tempo m nimo de 5min54s no Cen rio 1 e um tempo m ximo de 14min08s no Cen rio 4 Por se tratar de coletas em condi es diferenciadas de processador quantidade de mem ria f sica m quina real ou virtual e outros fatores a inclus o dos tempos de coleta tem apenas o intuito de fornecer uma id ia do tempo que uma coleta real pode levar 65 5 CONCLUS O Devido s limita es da coleta tradicional de dados em sistemas desligados a aquisi o com o computador ainda ligado parece ser uma alternativa de vital import ncia Esta t cnica permite a recupera o de relevantes informa es que de outra maneira poderiam ser perdidas Para a captura de dados vol teis podem ser utilizadas solu es desenvolvidas por terceiros trazendo as limita es de custo de aquisi o e dificuldades de atualiza o e adapta o s necessidades da per cia As solu es dispon veis capturam uma grande quantidade de informa es nem sempre
54. as de acesso gratuito de pouca interfer ncia no sistema analisado de linha de comando e que colham as informa es julgadas mais importantes para a an lise necess ria Al m disso aborda algumas solu es de integra o de ferramentas de coleta de dados vol teis com a finalidade de embasar a solu o aqui proposta O quarto cap tulo trata da metodologia proposta detalhando o m todo proposto para o procedimento de busca e apreens o e a ferramenta de coleta de dados proposta Este cap tulo termina com a apresenta o de um estudo de caso contendo algumas coletas realizadas que comprovam a exequibilidade do m todo No quinto cap tulo s o apresentadas as conclus es e a proposta de trabalhos futuros No final s o inclu dos seis anexos o primeiro apresenta um resumo das funcionalidades de algumas ferramentas de captura de dados vol teis o segundo prop e um checklist com um roteiro de tarefas que o perito deve realizar no local de busca e apreens o o terceiro traz um roteiro b sico de procedimentos a serem seguidos durante o procedimento da busca e apreens o o quarto mostra o conte do o quinto hashes e por fim o sexto flash drive de aquisi o de dados vol teis com um manual b sico de opera o da coleta 2 REVIS O BIBLIOGR FICA Este cap tulo apresenta alguns conceitos b sicos necess rios ao entendimento do tema em estudo e faz um levantamento do estado da arte em mat ria de coleta de dados vol te
55. as preferencialmente utilizadas para a coleta s o as de linha de comando que s o mais leves e comprometem menos recursos da m quina alvo A ferramenta utilizada ocupa parte da mem ria RAM refor ando a ideia que os dados mais vol teis que tendem a desaparecer mais rapidamente devem ser coletados primeiro Existem diversas ferramentas voltadas para resposta a incidentes e seguran a na Tecnologia da Informa o TT IEONG 2011 Um dos problemas de se utilizar estas ferramentas est no fato de que o usu rio tem que lembrar todos os comandos e par metros para executar as ferramentas corretamente em linha de comando Ap s o perito ter que consolidar os resultados de forma a realizar seu relat rio Assim para utilizar estas ferramentas em todo o seu potencial necess rio agreg las em um aplicativo que as execute de forma autom tica e na ordem correta atendendo aos princ pios forenses relacionados e salvando os resultados de forma integrada e l gica em um arquivo para an lise posterior Algumas das ferramentas encontradas podem ser utilizadas tanto para seguran a da informa o protegendo os computadores contra ataques em tempo real quanto para per cia forense mais preocupada na preserva o das evid ncias Existem algumas solu es integradas para o problema da coleta de dados vol teis no mercado Entretanto a maioria delas tem fins comerciais e n o permite f cil atualiza o e adequa o necess ria a
56. asa xp Sufixo DNS prim rio E Tipo de nd desconhecido Roteamento de IP ativado nao Proxy WINS ativado mao Adaptador Ethernet Conexao local sufixo DNS espec fico de conex o Descri o VIA Rhine II Fast Ethernet Adapter Endere o fisico OO 13 D4 F1 1A A9 DHCP ativado Sim Configura o autom tica ativada Sim Endere o IP 192 168 1 102 Mascara de sub rede 1 255 255 255 0 Gateway padr o 192 168 1 1 Servidor DHCP s xm w s 192 168 1 1 Servidores DNS soa verse a ac 2089 6 0 233 189 6 0 138 Concess o obtida S bado 18 de junho de 2011 14 16 28 Concess o expira domingo 19 de junho de 2011 Informa es do sistema System information for PEDRO CASA XP Uptime Error reading uptime Kernel version Microsoft windows XP Uniprocessor Free Product type Professional Product version 5 1 Service pack 3 Kernel build number 2600 Registered organization Registered owner Pedro Auler Install date 14 11 2010 22 14 23 Activation status Error reading status IE version 8 0000 System root c WINDOWS Processors 1 Processor speed 2 3 GHZ Processor type Intel R Pentium R 4 CPU Physical memory 2048 MB Video driver NVIDIA GeForce 8500 GT Data do sistema s b 18 06 2011 Hora do sistema 14 28 Figura 4 13 Co
57. atrav s da submiss o de artigos cient ficos em Simp sios 66 especializados em computa o forense Assim foram aceitos para publica o o artigo na 6 ICoFCS 2011 International Conference on Forensic Computer Science AULER et al 2011 e o c Live Forensics em ambiente Microsoft Windows 11 SBSeg 2011 Simp sio Brasileiro em Seguran a da Informa o e de Sistemas Computacionais HOELZ MESQUITA e AULER 2011 Em trabalho futuros poss vel e recomend vel adicionar outras funcionalidades ao CADAV tornando sua aplica o mais completa e abrangente Dentre elas podem se destacar as seguintes e Reconhecimento autom tico do sistema operacional e da vers o correspondente e Conjunto de comandos e ferramentas apropriados e espec ficos para cada vers o de sistema operacional reconhecido e Mecanismo de escolha das ferramentas a serem utilizadas em cada caso pelo perito em momento anterior ao da apreens o e Mecanismo facilitador de atualiza o das ferramentas e Aprimoramento dos testes de aux lio decis o durante o procedimento de captura de dados e Incorpora o de solu o para tratamento de computa o em nuvem e Detec o autom tica do antiv rus executado com desligamento do mesmo antes do in cio da coleta de dados 67 REFER NCIAS BIBLIOGR FICAS ACCESSDATA FTK Imager User Guide 2011 Disponivel em lt http accessdata com downloads current_releases imager FT KImager_UserGui
58. atuitos gerenciados pelo COFEE no terminal de linha de comandos MICROSOFT 2007 A vers o 1 1 2 lan ada em 2009 n o trouxe mudan as importantes no software corrigindo apenas algumas falhas apresentadas nas vers es anteriores Conforme consta no manual o sistema operacional Windows XP o nico suportado na m quina alvo onde ser realizada a coleta Ainda segundo o manual o software poderia eventualmente funcionar em algum outro sistema Entretanto n o foram realizados testes em outros sistemas e n o h suporte para eles MICROSOFT 2009 29 A solu o foi projetada para necessitar do m nimo de intera o do usu rio no momento da coleta de dados A configura o do dispositivo USB que ser levado para o local de busca e apreens o realizada pelo perito na sua pr pria m quina antes de se dirigir ao local de aquisi o dos dados Assim chegando ao local basta inserir o dispositivo USB e ap s m nima intera o a captura conclu da Depois os dados coletados s o analisados novamente na m quina do perito minimizando o tempo de contato e o grau de intera o do mesmo com a m quina suspeita MICROSOFT 2007 Trata se de um bom conjunto de ferramentas com bom projeto de f cil instala o e escolha das ferramentas a serem utilizadas em cada caso Trata se de um software disponibilizado sem custo apenas para as for a policiais AULER 2009 Nos Estados Unidos e no Canad est dispon vel
59. bem documentadas com o objetivo maior de preservar informa es vitais para a investiga o e para o processo judicial GROBLER e VON SOLMONS 2010 importante salientar que a inser o de qualquer dispositivo em um computador ligado produz pequenas altera es no sistema O uso apropriado das ferramentas de captura de dados vol teis e a inser o destes dispositivos n o adiciona nenhuma evid ncia ao sistema A execu o de uma ferramenta capaz de realizar a coleta de mem ria RAM por exemplo necessita de uma pequena por o da pr pria mem ria a ser capturada Assim a inser o de um dispositivo USB tamb m adiciona uma entrada no Registro do sistema operacional Todas essas pequenas altera es n o produzem grandes consequ ncias no sistema como um todo e podem ser explicadas posteriormente atrav s do exame minucioso e detalhado do material coletado Essas pequenas altera es s o produzidas pela intera o das ferramentas com o sistema operacional interferindo apenas com os arquivos do sistema operacional n o acarretando nenhuma mudan a importante no conte do dos dados salvos no sistema SHIPLEY e REEVE 2011 23 3 COLETA DE DADOS As ferramentas utilizadas neste trabalho enviam as informa es coletadas para arquivos texto Optou se por este tipo de sa da pela possibilidade de f cil verifica o de seu conte do ainda durante o per odo da coleta com pequeno esfor o computacional Os dados contidos ne
60. c pios que regem a adequada coleta de dados vol teis na Se o 2 8 15 2 8 PRINC PIOS FUNDAMENTAIS DA COLETA DE DADOS VOL TEIS A aquisi o de dados vol teis baseada em software necessita necessariamente de relaxar o crit rio da fidelidade devido natureza de constantes muta es no conte do da mem ria Esta condi o inevit vel em um sistema de inform tica em funcionamento ainda mais quando s o executadas ferramentas de captura neste mesmo sistema SCHATZ 2011 Os princ pios fundamentais que norteiam a extra o de dados em sistemas ligados orientam as seguintes condutas IEONG 2011 e Devem se coletar todos os dados que ser o perdidos ao desligar o sistema e Devem se coletar primeiramente os dados mais vol teis deixando os menos vol teis para o final e Os dados devem ser coletados no menor tempo poss vel e levando em conta a sua import ncia e Os dados coletados devem permanecer dispon veis para futuras an lises se necess rias e os exames realizados devem ser t o repet veis quanto poss vel e Deve se manter a integridade dos dados coletados e As ferramentas de coleta devem capturar os dados de forma fidedigna e As a es realizadas em cada caso em particular devem ser relevantes e espec ficas o caso Os dados vol teis incluem qualquer dado armazenado na mem ria ou em tr nsito que ser o perdidos durante uma queda de energia ou quando o sistema desligado Dados vol
61. csechion accede sucessbdouatescstbcebsusscavonsaiecaetnetstes 13 2 8 PRINC PIOS FUNDAMENTAIS DA COLETA DE DADOS VOL TEIS 16 2 9 COLETA DE DADOS VOL TEIS EM SISTEMAS INFORMATIZADOS ccoceseesseesessreso 19 3 COLETA DE DADOS seios ideal ir e la pg 24 3 1 FERRAMENTAS X COMANDOS DE SISTEMA csccssssssssscssssescessecsesssessesssssocssessonseses 24 3 2 FTK IMAGER ACCESS DATA esesesossesosossesesosocsosoesesesosoososossesesosoesosossssesosoesosossssee 25 3 3 FERRAMENTAS INTEGRADAS e essscecesececococoocococococcececocococoocococococcececocococoososososoecesecocoo 26 3 3 1 Incident Response Collection Report IRCR sccsssscsssssssesscesessccsesces 26 3 3 2 First Responders Evidence Disk FRED sccssssccssssssssscssessccsssscesences 27 3 3 3 Nigilant3 2 oss scatis cei Sundseasskay saevagousedusetnanunsgedaesestancdves REED RE NR ARE 27 3 3 4 Windows Forensics Toolchest WET sssscccsssssscccsssscccsssssccceessnsccecess 27 3 3 5 Computer Online Forensic Evidence Extractor COFEE 29 3 4 COMPARA O DAS FERRAMENTAS INTEGRADAG cccsssssscsssssccssssscccccssscccccssssecseees 30 4 METODOLOGIA PROPOST A cccccccscssssscsssssssssccscececscscecesesesecesecesesesesesesesssssesosessses 32 4 1 PROCEDIMENTOS DA BUSCA E APREENS O ccccsssssscsscccssscsscscecsccccsssssccsececcsseseees 32 4 1 1 PROS OSD BPE EAE A S SEEE A EA EE EE A iara EET 34 4 1 2 BASCO sd
62. de pdf gt Acesso em 02 abr 2011 AGILE RISK MANAGEMENT LLC Nigilant32 2011 Disponivel em lt http www agileriskmanagement com download html gt Acesso em 11 jun 2011 AKKAN H Digital Forensics Tools for Live Data Collection 2006 Disponivel em lt http citeseerx ist psu edu viewdoc download doi 10 1 1 114 5329 amp rep rep1 amp type pdf gt Acesso em 30 abr 2011 AULER P Captura de Dados em Sistemas Windows em Execu o Ferramentas e T cnicas Bras lia Universidade Cat lica de Bras lia Monografia P s gradua o em Per cia Digital 2009 AULER P et al Uma Nova Abordagem em Apreens o de Computadores 6 ICoFCS 2011 International Conference on Forensic Computer Science Florian polis s n 2011 AVG AVG Anti virus Free 2011 Dispon vel em lt http www avgbrasil com br landings download free gt Acesso em 02 jun 2011 BRASIL Decreto Lei n 2848 de 7 de dezembro de 1940 1940 Acesso em 12 out 2011 BRASIL Decreto Lei n 3 689 de 3 de outubro de 1941 1941 Disponivel em lt http www planalto gov br ccivil 03 Decreto Lei Del3689 htm gt Acesso em 12 out 2011 BRASIL Instru o Normativa n 11 de 27 de junho de 2001 da Dire o Geral do Departamento de Pol cia Federal 2001 Disponivel em lt http www in gov br imprensa visualiza index jsp jornal 1 amp pagina 232 amp data 02 07 20 01 gt Acesso em 12 out 2011 BREZINSKL D KILLALEA T Guidelines for Ev
63. do da m quina examinada se for poss vel retir lo ou em caso contr rio da m quina inteira Para fazer c pia dos arquivos de algum volume criptografado encontrado clique em File depois Add Evidence Item Ap s selecione Logical Volume encontre o drive correspondente ao volume criptografado e clique em Finish Expanda as op es at encontrar a pasta chamada root Clique nesta pasta com o bot o direito do mouse e a seguir clique com o bot o esquerdo do mouse em Export logical Image AD1 Ser aberta uma caixa de op es onde deve ser clicado em Add depois em Avan ar A seguir clique em Browse e encontre o drive correspondente ao Disco R gido externo USB que ir receber os dados Em Image Filename pode ser dado um nome gen rico como Volume j que o Disco R gido de destino e o flash drive utilizado na coleta v o acompanhar o restante do material de inform tica apreendido e relacionado no Auto Na pasta de destino ser criado um arquivo de texto pelo FTK Imager contendo alguns dados da coleta como o Checkum MDS E SHAI data e hora da coleta Por fim clique em Finish e a seguir em Start Agora basta esperar o t rmino da c pia Quando estiver pronto verfifique se h mais alguma coisa a copiar como arquivos ou mem ria f sica Caso contr rio desligue o computador e prossiga na arrecada o dos materiais de inform tica inclusive do disco r gido da m quina examinada se for poss v
64. e autom tica os dados de um sistema de inform tica ligado produzindo o m nimo de altera es poss veis no sistema Devem ainda ser capazes de auxiliar na interpreta o e organiza o das informa es coletadas de forma a levar a conclus es l gicas e de f cil demonstra o para o caso de serem apresentadas em Ju zo Na abordagem tradicional onde o material apreendido para exame posterior a an lise realizada sobre uma c pia forense bit a bit do material original utilizando t cnicas de prote o contra grava o S o empreendidos os m ximos esfor os para n o danificar o material original para o caso de serem necess rios novos exames no futuro Al m disso n o deve haver nenhuma interfer ncia do perito no material apreendido para n o haver futuros questionamentos quanto a eventuais evid ncias terem sido acrescentadas por ele Deve haver a preocupa o de n o contaminar o material apreendido com altera es produzidas pelas ferramentas periciais Entretanto h casos em que o custo benef cio autoriza a manipula o do sistema ligado sabendo se de antem o que ser o produzidas pequenas altera es no mesmo Na disputa entre a n o introdu o de pequenas altera es no sistema examinado pelo perito e a eventual perda de informa es relevantes que poderiam ter sido coletadas este ltimo aspecto tem se mostrado mais importante Para a perda de informa es vol teis que se encontram em sistemas lig
65. e integra o de ferramentas de captura de dados vol teis recentes utilizam em geral ferramentas de acesso gratuito de f cil obten o que podem ser adicionadas e configuradas Como diferenciais importantes destaca se a facilidade de inclus o exclus o e da ordem de execu o das ferramentas no COFEE Por outro lado o CADAV apresenta os testes de detec o de criptografia e m quinas virtuais n o oferecidos pelas outras solu es A quantidade e a qualidade de dados capturados n o dependem muito da solu o de integra o propriamente dita O fator mais importante a correta sele o e configura o das ferramentas mais apropriadas para cada caso concreto investigado O WFT e o COFEE oferecem esta funcionalidade atrav s de arquivos de configura o O prot tipo aqui apresentado permite a inclus o e configura o de ferramentas e de sua ordem de execu o de forma est tica atrav s da manipula o do arquivo batch que serializa a extra o de dados O objetivo principal a ser atingido coletar no local de apreens o com o computador ligado todas as informa es importantes que poderiam ser perdidas em caso de desligamento do sistema primordial que as informa es estejam disposi o dos peritos para as an lises a serem realizadas posteriormente Por isso optou se por destinar a sa da de dados a arquivos texto mais leves e de f cil manipula o e recupera o de informa es As ferrame
66. el retir lo ou em caso contr rio da m quina inteira A coleta de mem ria f sica RAM efetuada MANTECH 2011 Nos casos de virtualiza o de sistema pelo programa VMWare VMWARE 2011 o pode n o funcionar adequadamente Neste caso o prot tipo de coleta de dados gerar um alerta popup durante a coleta informando esta situa o Nesta situa o execute a coleta de mem ria a partir do programa FTK Imager ACCESSDATA 2011 cujo atalho encontra se no diret rio raiz deste flash drive com o nome FTK Imager bat Uma vez que o FTK Imager esteja sendo executado clique em File e depois na op o Capture memory Ser aberta uma caixa de texto onde deve ser escolhido o destino do arquivo memdump mem atrav s de um clique na op o Browse e selecionando como destino a pasta Resultados do flash drive inserido durante a coleta 94 Caso seja realizada nova coleta de mem ria deve ser realizado novo c lculo de hashes da pasta Resultados clicando no cone Recalcula Hashes bat Ser criado um novo arquivo chamado Hashes txt na raiz do flash drive com o hash SHA256 de todos os arquivos contidos na pasta Resultados Tamb m ser criado um arquivo chamado Hash do Hashes txt na raiz do flash drive contendo o hash MDS do arquivo de hashes Hashes txt Este hash deve substituir o valor anotado anteriormente j que o valor anterior n o inclu a a coleta de mem ria O valor do hash deve ser inclu do no
67. el ter acesso a estas informa es montando o volume novamente no momento da an lise em laborat rio ou ligando o sistema com aux lio de alguma das senhas encontradas Entretanto esta solu o deve ficar reservada para casos excepcionais em que por algum motivo n o foi poss vel executar a c pia l gica no momento da apreens o Pode ocorrer que as senhas encontradas n o sejam teis primeira vista ou mesmo n o sejam encontradas senhas aparentemente As senhas encontradas em navegadores de Internet ou servi os de e mail por exemplo ou mesmo as informa es aparentemente sem utilidade extra das da coleta de mem ria f sica s o important ssimas Elas podem ser utilizadas na elabora o de um dicion rio de palavras espec fico para aquele caso sendo de grande valia em uma quebra de senha por dicion rio realizada em momento posterior De qualquer forma al m da captura dos dados vol teis e da c pia l gica quando necess ria devem ser coletados todos os elementos normalmente apreendidos para an lise 45 posterior em laborat rio Desta forma ter se o m ximo de dados poss vel e um menor risco de perda de informa es essenciais ao esclarecimento do caso Todos os arquivos coletados cont m informa es relevantes para a an lise completa do caso que ser realizada em etapa posterior em laborat rio Entretanto alguns dos arquivos coletados merecem aten o especial ainda no local de apreens o
68. ema CT DispuSB ie Notep ee File Edit Format View Help Device Name DataTraveler 2 0 Description Kingston DataTraveler 2 0 USB Device i Mass Storage Yes NO NO agi Drive Letter Created Date 14 6 2011 21 46 42 Last Plug Unplug Date 18 6 2011 12 25 49 vendor ID 0930 ProductID 6545 Firmware Revision 1 10 USB class 08 USB Subclass 06 50 8 amp 1F775ebea0 USBSTOR Service Description USB Mass Storage Driver Filename USBSTOR SYS Class USB Mfg Compatible USB storage device 300 mA Description USB Mass Storage Device version 5 1 2600 0 Instance ID USB Vid_09308 amp Pi1d_6545 0014225F365AB910960D03Dc TT Figura 4 24 Conte do parcial do arquivo DispUSB txt Ao terminar de coletar todos os dados a ferramenta de coleta emite um aviso na tela informando que o perito deve anotar o hash resultante para garantir a integridade dos 63 Hashes hashes SHA256 e o arquivo Hash do Hashes hash MDS do arquivo Hashes Itimo valor lan ado na tela Figura 4 25 e pode tamb m ser Hash do Hashes Figura 4 26 encontrado na ualaf fntimicina Checbkeum Ilt i l is Figura 4 25 Valor do hash a ser anotado Hash_do_Hashes txt File Edit Format View Help Slavasoft Optimizing Checksum utility fsum 2 52 00337 lt www S lavasoft com gt Generated on 06 18 11 at 12 30 57 9ff3ee406a04c453d2b351bfef07ffde Hashes txt Figura 4 26 Conte do do
69. estinat rio do mesmo autorizando a apreens o e an lise do material Imediatamente ap s ter o local sob controle deve se 33 isolar os equipamentos de inform tica presentes no recinto Deve se impedir que um equipamento ligado seja desligado por interven o humana ou que fique indispon vel atrav s de hiberna o autom tica ou de execu o de protetor de tela com senha por exemplo j que ser alvo de captura de dados vol teis Deve se impedir tamb m que outras evid ncias sejam ocultadas adulteradas ou destru das As fotografias devem ser de prefer ncia digitais com no m nimo cinco megapixels de resolu o O BRIEN 2011 devendo ser inclu das no procedimento de Cadeia de Cust dia Uma solu o poss vel armazen las em uma m dia tica que ser inclu da no Auto de Apreens o e identificada de modo a relacion la ao computador correspondente atrav s de marca modelo n mero de s rie etc A Figura 4 2 representa a metodologia a ser seguida durante o procedimento de busca e apreens o no que tange aos equipamentos de inform tica e composta de quatro fases principais 4 1 1 Fase 1 Se o computador estiver desligado deve assim permanecer e deve ser apreendido para exames posteriores em laborat rio O Anexo C apresenta os detalhes do procedimento de apreens o de equipamentos de inform tica Se o computador estiver ligado sua tela deve ser fotografada e deve ser providenciado algum
70. etamente a determinado computador devem ser agrupadas por tipo e cada conjunto deve ser embalado e lacrado separadamente 2 Cuidados Com o Material Apreendido 1 N o deixar o material apreendido pr ximo a fontes de calor ou em locais fechados submetidos a altas temperaturas 2 Manter o material distante de campos magn ticos gerados por motores el tricos alto falantes im etc 3 Coletar os equipamentos com componentes eletr nicos expostos como discos r gidos ou placas m e atrav s de embalagens anti est ticas 4 Utilizar prote o contra choques mec nicos embalando o equipamento em embalagens com prote o como pl stico bolha por exemplo 3 Acondicionamento e lacre 1 Separar os equipamentos atrav s de embalagens e lacres diferentes 2 Dar prefer ncia a sacos pl sticos transparentes 3 Proteger a integridade f sica do equipamento contra choques mec nicos ou descargas eletrost ticas 4 Discos r gidos e m dias remov veis provenientes de um mesmo computador devem ser embalados e lacrados em um nico volume 5 M dias de armazenamento avulsas devem ser agrupadas por tipo e cada conjunto deve ser embalado e lacrado individualmente 86 ANEXO D CONTE DO DO ARQUIVO COLETADADOS mkdir Resultados echo Data do Sistema gt Resultados Resultados txt date t gt gt Resultados Resultados txt echo gt gt Resultados Resultados txt cho gt gt Resultados Resultados txt echo gt
71. fect of File and Disk Encryption on Computer Forensics 2010 Disponivel em lt http lowmanio co uk share The 20Effect 200f 20File 20and 20Disk 20Encrypti on 200n 20Computer 20Forensics pdf gt Acesso em 30 abr 2011 69 MACHADO F B MAIA L P Introdu o arquitetura de sistemas operacionais Rio de Janeiro Editores LTC Livros T cnicos e Cient ficos 1992 MANDIA K PROSISE C PEPE M Incident Response amp Computer Forensics 2nd ed Emeryville McGraw Hill Osborne 2003 MANTECH ManTech Memory DD 2011 Disponivel em lt http www mantech com capabilities mdd asp gt Acesso em 31 mar 2011 MCDOUGAL M What Is New Wit Disponivel em lt http www foolmoon net downloads SANSfire_2007_WFT_3 0_BOF pdf gt Acesso em 06 nov 2011 MEDEIROS C Seguran a da Informa o 2011 Disponivel em lt http www ivanfm com files docs TCE Seguranca da Informacao pdf gt Acesso em 10 set 2011 MICROSOFT User Guide for COFEE v1 0 2007 MICROSOFT User Guide for COFEE v1 1 2 2009 MICROSOFT Windows Sysinternals Suite 201 1a Disponivel em lt http technet microsoft com en us sysinternals bb842062 gt Acesso em 30 mar 2011 MICROSOFT Command line reference A Z 201 1b Disponivel em lt http technet microsoft com en us library bb490890 aspx gt Acesso em 04 abr 2011 MICROSOFT BitLocker 201 1c Disponivel em lt http windows microsoft com pt BR windows7 products features bitlocke
72. file Recent gt Coleta de informa es gen ricas sobre o sistema atrav s da ferramenta Coleta de senhas hist ricos e logs de navegadores programas de mensagens instant neas correio eletr nico Skype Internet sem fio etc 41 13 Coleta de informa es sobre os dispositivos USB conectados ao sistema no momento da an 14 Por fim feita nova coleta da data e da hora do sistema para documenta o do t rmino do procedimento de coleta atrav s dos comandos de sistema do Windows lt date t gt e lt time t gt O arquivo ColetaDados bat al m de conter os comandos necess rios execu o da coleta de dados referida anteriormente executa alguns testes para otimizar a coleta descritos a seguir 1 Verifica a presen a de criptografia pelos programas Truecrypt PGP Safeboot ou BitLoc 2 Verifica se o sistema est sendo executado em m quina virtual do tipo VMWare 3 Verifica o arquivo que cont m as informa es coletadas sobre processos em execu o pela presen a de termos como vmware i3 pgp truecrypt com vistas a aumentar a abrang ncia da detec o de criptografia e de virtualbox bitlocker VBoxService e VBoxTray m quinas virtuais O resultado destas verifica es direcionado a um arquivo de texto Atrav s do programa de algum dos programas ou termos questionados Em caso positivo o perito recebe um alerta na tela informando o sobre a suspei
73. gt Resultados Resultados txt echo Hora do Sistema gt gt Resultados Resultados txt time t gt gt Resultados Resultados txt echo gt gt Resultados Resultados txt o e ch gt gt Resultados Resultados txt echo gt gt Resultados Resultados txt echo Coleta de Registros do Windows regedit e Resultados DumpReg txt echo Coleta de mem ria f sica RAM Ferramentas mdd_1 3 exe o Resultados Memorydump dd echo Conte do da rea de transfer ncia gt gt Resultados Resultados txt Ferramentas pclip gt gt Resultados Resultados txt echo gt gt Resultados Resultados txt cho gt gt Resultados Resultados txt echo gt gt Resultados Resultados txt echo Conex es TCP ativas gt gt Resultados Resultados txt Ferramentas netstat ano gt gt Resultados Resultados txt echo gt gt Resultados Resultados txt cho gt gt Resultados Resultados txt echo gt gt Resultados Resultados txt echo Portas abertas e aplica es associadas gt gt Resultados Resultados txt Ferramentas fport gt gt Resultados Resultados txt echo gt gt Resultados Resultados txt cho gt gt Resultados Resultados txt echo gt gt Resultados Resultados txt E echo Configura o de interfaces de rede gt gt Resultados Resultados txt ipconfig all gt gt Resultados Resultados txt echo gt gt Resultados Resultado
74. hromeHistory View 77 15 16 17 18 MyLastSearch v1 50 NIRSOFT 2011e Utilit rio que permite para visualizar os ltimos termos pesquisados em diversos programas de busca Google Yahoo e MSN e em sites de redes sociais Twitter Facebook MySpace mylastsearch stext arquivo_de_sa da txt Figura A 15 Execu o da ferramenta MyLastSearch SkypeLogView v1 21 NIRSOFT 2011b Este utilit rio acessa os arquivos de log criados pelo Skype e mostra detalhes com chamadas realizadas ou recebidas mensagens de chat transfer ncias de arquivos skypelogview stext arquivo_de_sa da txt Figura A 16 Execu o da ferramenta SkypeLogView MessenPass v1 42 NIRSOFT 2011c Utilit rio que permite a recupera o de senhas do usu rio atualmente ativo no sistema e somente funciona se o usu rio configurar o programa para salvar as senhas utilizadas Os programas de mensagem instant nea suportados s o os seguintes MSN Messenger Windows Messenger em Windows XP Windows Live Messenger em Windows XP Vista 7 Yahoo Messenger vers es 5 x e 6 x Google Talk ICQ Lite vers es 4 x 5 x 2003 AOL Instant Messenger vers o 4 6 ou abaixo AIM 6 x e AIM Pro Trillian Trillian Astra Miranda GAIM Pidgin MySpace IM PaltalkScene e Digsby mspass stext arquivo_de_sa da txt Figura A 17 Execu o da ferramenta MessenPass Mail PassView v1 73 NIRSOFT 2011c Este utilit
75. ia a se utilizar armazenamento remoto de dados em servidores remotos atrav s de conex es de rede ou Internet Neste caso dependendo da solu o utilizada tamb m poder haver perda irrevers vel das informa es em caso de desligamento precoce do sistema Desligar o computador atrav s de seu cabo de energia produz menos altera es nas evid ncias armazenadas no disco r gido mas por outro lado tende a destruir uma quantidade significativa de evid ncias vol teis Quando utilizada criptografia principalmente de disco a senha fornecida pelo usu rio durante o boot e pode ser armazenada na mem ria RAM Assim se for realizada uma coleta da mem ria RAM para an lise posterior poss vel que a senha seja recuperada Outra abordagem interessante realizar uma c pia l gica do conte do do disco enquanto o sistema ainda est ligado e os dados est o acess veis RICHARD IIT e ROUSSEV 2010 Coletar dados digitais em um sistema j desligado traz a vantagem de tornar a sobrescrita acidental ou modifica o de dados praticamente imposs vel Por outro lado n o permite a aquisi o de dados vol teis que s o perdidos durante o processo de desligamento do sistema Al m disso h outras situa es em que a recupera o de dados permanentes tamb m praticamente inviabilizada o caso por exemplo do uso de criptografia quando s poss vel recuperar as informa es com o uso da senha de acesso correta Mais
76. idence Collection and Archiving 2002 Disponivel em lt http www faqs org rfcs rfc3227 html gt Acesso em 16 jun 2011 CARRIER B Open Source Digital Forensics Tools The Legal Argument 2011 Disponivel em lt http www digital evidence org papers opensrc_legal pdf gt Acesso em 28 mai 2011 CARVEY H Windows Forensics Analysis Burlington Syngress Publishing Inc 2007 E FENSE Helix 2011 Disponivel em lt http www e fense com index php gt Acesso em 11 jun 2011 FERGUSON N SCHNEIER B Practical Cryptography Indianapolis Willey Publishing Inc 2003 68 FOOL MOON SOFTWARE amp SECURITY Windows Forensic Toolchest WFT 2011 Disponivel em lt http www foolmoon net security wft gt Acesso em 06 nov 2011 FREE SOFTWARE FOUNDATION INC GNU GENERAL PUBLIC LICENSE 2007 Disponivel em lt http www gnu org licenses gpl html gt Acesso em 17 jun 2011 GROBLER M M VON SOLMONS S H A Best Practice Approach To Live Forensic Acquisition 2010 Disponivel em lt http hdl handle net 10204 3509 gt Acesso em 09 ago 2010 HOELZ B W MESQUITA F I AULER P Live Forensics em Ambiente Microsoft Windows 11 SBSeg Simp sio Brasileiro em Seguran a da Informa o e de Sistemas Computacionais Bras lia s n 2011 HOELZ B W RUBACK M C SILVA J H Inform tica Forense Bras lia Academia Nacional de Pol cia Caderno Did tico 2009 IEONG R Freeware Live Forensics
77. is em sistemas informatizados 2 1 PER CIA COMPUTACIONAL E EVID NCIA DIGITAL Per cia Computacional ou Inform tica Forense o processo de coletar analisar e preservar dados relacionados a computadores de modo a preservar seu valor probat rio junto Justi a STACY JR e LUNSFORD 2011 2 Evid ncia digital a informa o ou dado de valor para a investiga o armazenado ou transmitido atrav s de um dispositivo eletr nico Evid ncias armazenadas em computadores s o muitas vezes latentes fr geis e podem ser facilmente alteradas danificadas ou destru das Arquivos criados pelo usu rio do computador podem conter importantes evid ncias de atividades criminosas como agendas de endere os bancos de dados fotografias incluindo pedofilia arquivos de udio ou v deo planilhas eletr nicas senhas comunica o entre os criminosos atrav s de e mails ou outros mecanismos de comunica o instant nea etc STACY JR e LUNSFORD 2011 Evid ncia pode ser definida como qualquer informa o de valor probat rio significando que ela ou prova ou ajuda a provar algo relevante para o caso mais prudente tratar qualquer informa o de valor probat rio obtido durante a investiga o como evid ncia MANDIA PROSISE e PEPE 2003 Para facilitar o entendimento da import ncia de se coletar dados vol teis em computadores realizada na Se o 2 2 uma breve revis o a respeito dos principais componentes de um
78. ista at o Windows 7 passwordfox stext arquivo_de_sa da txt Figura A 21 Execu o da ferramenta PasswordFox WirelessKeyView v1 35 NIRSOFT 2011c Utilit rio que recupera as senhas de Internet sem fio WEP WPA armazenadas no computador em sistemas 79 23 24 25 Windows XP e Vista wirelesskeyview stext arquivo_de_sa da txt Figura A 22 Execu o da ferramenta WirelessKeyView USBDeview v1 89 NIRSOFT 2011d Utilit rio que lista os dispositivos USB conectados ao computador bem como aqueles que estiveram conectados recentemente usbdeview stext arquivo_de_sa da txt Figura A 23 Execu o da ferramenta USBDeview Encrypted Disk Detector EDD 1 2 0 JADSOFTWARE 2011 Ferramenta de linha de comando que verifica a presen a de volumes criptografados pelos programas TrueCrypt PGP Safeboot McAfee Endpoint Encryption e Bitlocker O programa foi testado pelo desenvolvedor em sistemas Windows XP Vista e 7 32 e 64 bits necessitando de apenas 40 KB de espa o em disco e aproximadamente 3 MB de mem ria Atualmente o programa disponibilizado gratuitamente na Internet edd120 exe batch arquivo_de_sa da txt Figura A 24 Execu o da ferramenta Encrypted Disk Detector EDD ScoopyNG v1 0 TRAPKIT 2011 Este utilit rio combina as t cnicas de outras duas ferramentas mais antigas ScoobyDoo e Jerry e incorpora algumas novas t cnica
79. izada por exemplo pela ferramenta MICROSOFT 2011a e o desligamento pode ser realizado por exemplo atrav s MICROSOFT 2011a NIRSOFT 2011b 54 4 3 3 Cen rio 3 A m quina utilizada est descrita na Tabela 4 5 Tabela 4 5 Descri o da m quina utilizada no Cen rio 3 Tipo de m quina Virtual VirtualBox vers o 4 08 171778 Processador da m quina hospedeira Intel R Core TM 2 Duo CPU T7500 Sistema operacional da maquina hospedeira Ubuntu 10 04 32 bit Kernel Linux 2 6 32 32 generic Mem ria F sica da m quina hospedeira 3048 MB Sistema operacional da m quina virtual Microsoft Windows XP Professional Service Pack 3 Mem ria F sica da m quina virtual 1024 MB Programa de criptografia Truecrypt vers o 7 04 modo volume Programa antiv rus Inativo Tempo de coleta 13min41s 4 3 3 1 A Figura 4 15 apresenta os arquivos coletados Search 3 Resultados Name _ DetectaCripto txt _ DispUSB tet _ DumpReg bt L Handle bt L Hashes txt lE_history tt L Memorydump dd L Processos bt L Resultados tet L Skypelog txt L Chrome_history tt L DetectaVMware txt L Hash_do_Hashes txt Organize Include in library v Share with v Burn New folder de vi 2 Date modified Type Size 18 06 2011 13 18 Text Document 1 KB 18 06 2011 13 18 Text Document 1 KB 18
80. litada automa o Entretanto nos casos em que houver necessidade de interven o adicional do perito o FTK Imager traz uma interface intuitiva e de f cil utiliza o 25 Algumas vantagens adicionais do FTK Imager al m de ser gr tis que ele pode realizar imagens em diferentes formatos Al m de permitir uma c pia forense bit a bit de disco inteiro possibilita a aquisi o de arquivos ou pastas utilizando o formato ADI c pia l gica Seguindo a filosofia da captura de dados vol teis de interven o m nima no sistema analisado o pode ser executado a partir de um drive USB como um flash drive ou a partir de uma m dia tica sem necessidade de instala o O possui suporte para linha de comando para apenas tr s funcionalidades que n o incluem nenhuma daquelas de interesse para o presente trabalho As linhas de comando suportadas s o ACCESSDATA 2011 1 CreateDirListing Cria um arquivo de lista de diret rio na pasta onde o executado 2 Verifylmage verifica uma imagem quando especificado o nome do arquivo e seu caminho 3 EnableDebuLog permite acesso ao arquivo FTKImageDebug log criado na pasta em que o executado 3 3 FERRAMENTAS INTEGRADAS Apesar da disponibilidade de diversas ferramentas e comandos de sistema para coleta de dados vol teis o usu rio se defronta com a dificuldade de ter que se lembrar de diversos comandos e par metros correspondentes Al m disso ap s a coleta adeq
81. m manuten o da integridade do material examinado m nima intera o do usu rio e coleta de toda informa o pertinente para an lise posterior O WFT foi projetado codificado e compilado como um programa execut vel O usu rio n o pode 27 modificar o c digo ou alterar a ordem de execu o das ferramentas incorporadas Assim como ocorre com as ferramentas IRCR e FRED o WFT tamb m faz uso de ferramentas pr existentes para a aquisi o de dados Os dados de mem ria coletados pelo WFT consistem na mem ria f sica informa es sobre o sistema processos correntes informa es de usu rio e configura es de rede al m de todos os dados tamb m coletados pelo IRCR e pelo FRED O WFT inova trazendo um gerador instant neo de relat rio no formato HTML que gerado durante o processo de aquisi o possibilitando verifica o mais amig vel dos resultados IEONG 2011 A ltima vers o do WFT a v3 0 06 lan ada em setembro de 2011 Segundo informa o que consta na p gina de Internet do desenvolvedor FOOL MOON SOFTWARE amp SECURITY 2011 o WFT projetado para prover acoleta de dados em sistemas ligados resposta a incidentes ou auditoria em sistemas Windows de forma automatizada estruturada e repet vel Essencialmente trata se de um processamento em lote batch capaz de executar outras ferramentas de seguran a e produzir um relat rio em formato HTML seguindo os princ pios forenses O software prop e se a
82. mecanismo que o impe a de hibernar ou entrar em descanso de tela O computador pode estar protegido por senha e n o ser poss vel voltar a ter acesso ao sistema A integridade das fotografias deve ser garantida atrav s de uma fun o unidirecional de resumo hash cujo resultado ser inclu do no Auto de Busca e Apreens o ou na Informa o T cnica conforme o caso podendo ser verificado posteriormente Todas as informa es relevantes para a investiga o ou para futuros exames tais como senhas nomes de usu rios ou peculiaridades de configura o de sistemas devem ser solicitadas ao respons vel que se encontre no local e devidamente documentadas de forma que estejam dispon veis quando necess rias 34 Zz INICIO WO q Computador ligado Computador bloqueado Senha dispon vel ao Trata se de uma m quina virtual Existe criptografia ativa no sistema Sim Sim y p Copiar dados l gicos gt Desligar o computador FIM Fase 4 Figura 4 2 Metodologia da apreens o de computadores Quando houver interven o do perito em um sistema informatizado ligado todos os procedimentos devem ser minuciosamente documentados Neste caso para n o 35 sobrecarregar o Auto de Busca e Apreens o normalmente elaborado pelo escriv o com detalhes atinentes aos procedimentos periciais recomenda se que o perito elabore uma Informa o
83. mente invi vel encontrar a entrada Dessa forma estas fun es s o utilizadas para garantir a integridade de arquivos digitais Nas Se es 2 5 e 2 6 s o apresentados respectivamente os conceitos de Malware e Rootkit importantes devido ao risco de altera es que podem provocar nos dados coletados 12 2 5 MALWARE Este termo vem do ingl s malicious software significando software malicioso Refere se a programas desenvolvidos para alterar ou danificar o sistema roubar informa es ou provocar outras a es n o pretendidas pelo usu rio atual Exemplos comuns de malware incluem v rus worms trojans e spyware TECHTERMS COM 2011 2 6 ROOTKIT Rootkit um software que permite acesso privilegiado e cont nuo a um computador ao mesmo tempo em que fica invis vel aos administradores do sistema subvertendo as respostas normais e esperadas de comandos do sistema operacional ou de outros aplicativos O termo rootkit uma concatena o dos termos root e kit Root nome tradicional da conta com privil gios de administrador do sistema nos sistemas operacionais Unix enquanto o termo kit refere se aos componentes de software que integram a ferramenta Tipicamente o rootkit instalado na m quina pelo atacante ap s ter obtido poderes de administrador do sistema explorando alguma vulnerabilidade conhecida ou tendo acesso senha de administrador Os rookits s o de dif cil detec o uma vez que podem subver
84. nadas com a finalidade de coletar informa es vol teis em sistemas ligados O FRED inicia executando uma s rie de programas e salva os resultados em um arquivo calculando seu hash Baseado em treze comandos o aplicativo consegue coletar informa es sobre portas abertas processos correntes usu rios ativos configura es de rede e outras informa es IEONG 2011 33 3 Nigilant32 Trata se de uma ferramenta de interface gr fica do tipo freeware desenvolvida pela empresa Agile Risk Management com base no c digo da ferramenta Sleuthkit SLEUTHKIT ORG 2011 O utilit rio foi desenvolvido para operar em sistemas Windows 2000 XP e 2003 SHANNON 2011 A ferramenta est disponibilizada para download isolado AGILE RISK MANAGEMENT LLC 2011 e tamb m est dispon vel nas distribui es do Helix E FENSE 2011 Vers es anteriores do Helix eram disponibilizadas gratuitamente e inclu am o Nigilant32 Atualmente o Helix est dispon vel apenas mediante pagamento em uma vers o comercial Helix Enterprise e em uma vers o apenas para membros do f rum da E FENSE Helix Pro mediante pagamento de taxas anuais 3 3 4 Windows Forensics Toolchest WFT No ano de 2003 Monty McDougal apresentou um sistema de coleta de dados em sistemas de inform tica ligados mais abrangente e sofisticado chamado Windows Forensics Toolchest WFT Para seu desenvolvimento foram observados os princ pios gerais da an lise forense baseados e
85. nde poss vel encontrar os processos VMwareTray VMwareUser confirmando a presenga de criptografia Figura 4 22 Conte do do arquivo Processos txt Cen rio 5 4 3 3 Cen rio 6 A maquina utilizada esta descrita na Tabela 4 8 61 Tabela 4 8 Descri o da m quina utilizada no Cen rio 6 Tipo de m quina Virtual VMware vers o 7 1 4 Processador da ae E Intel R Core TM 2 Duo CPU T7500 m quina hospedeira Sistema operacional da coe Windows 7 Professional 64 bit Service Pack 1 m quina hospedeira Mem ria F sica da ae f 3048 MB m quina hospedeira Sistema operacional da as Microsoft Windows XP Professional Service Pack 3 maquina virtual Mem ria Fisica da me 1280 MB maquina virtual Programa de criptografia Inativo Programa antivirus AVG Free Tempo de coleta 12min02s 4 3 3 1 A Figura 4 23 apresenta os arquivos coletados Figura 4 23 Arquivos coletados Cen rio 6 62 Trata corretamente detectada pela ferramenta ScoopyNG Cen rio 5 Da mesma forma gerado um alerta na tela e a detec o pode ser confirmada pela an lise dos arquivos sistema Em rela o ao antiv rus a coleta se comporta da mesma forma ao j discutido no Cen rio 4 j que em ambos os casos estava sendo executado o mesmo programa antiv rus AVG Free A figura 4 24 apresentando informa es relacionadas a dispositivos USB conectados ao sist
86. ndex html password_utils gt Acesso em 28 mai 2011 NIRSOFT System Utilities 2011d Disponivel em lt http www nirsoft net utils index html system_utils gt Acesso em 28 mai 2011 NIRSOFT Web Browser Tools 201 le Disponivel em lt http www nirsoft net utils index html browser_tools gt Acesso em 28 mai 2011 O BRIEN S Digital Forensic Photography Update Appropriate Techniques for Law Enforcement 2011 Disponivel em lt http www iowaiai org digital_forensic_phototgraphy_update html gt Acesso em 21 mai 2011 OKOLICA J PETERSON G L Windows operating systems agnostic memory analysis 2010 Disponivel em lt http www dfrws org 2010 proceedings 2010 306 pdf gt Acesso em 30 abr 2011 PETRONI JR N L et al A Framework for the Extraction and Analysis of Digital Forensic Data from Volatile System Memory 2011 Disponivel em lt http www google com br url sa t amp source web amp cd 4 amp ved 0CDY QFjJAD amp url http 3A 2F 2F citeseerx ist psu edu 2Fviewdoc 2Fdownload 3 Fdoi 3D10 1 1 102 2189 26rep 3Drep 1 26type 3 Dpdf amp ei jmG8TdxmpbrRAagHwMAF amp usg AFQjCNHeB 9PI dZ_9Q21le4WpahCeOTTkgA gt Acesso em 30 abr 2011 RICHARD HI G G ROUSSEV V Next Generation Digital Forensics 2010 Disponivel em lt http delivery acm org 10 1145 1120000 1113074 p76 richard pdf key 1 1113074 amp key2 908664 1821 amp coll GUIDE amp dI GUIDE amp CFID 10011 1939 amp CFTOKEN 81363570 gt Acesso em 10 ago
87. ntas selecionadas foram aquelas consideradas mais teis do ponto de vista da 44 2 per cia criminal A meta coletar todos os dados relevantes seguindo a ordem de import ncia e a volatilidade Durante a captura de dados realizada de forma semiautom tica atrav s do prot tipo da ferramenta sugerida neste trabalho pode ser detectada a presen a de criptografia ou de utiliza o de m quinas virtuais O perito deve estar atento a este fato estando preparado para tomar outras provid ncias necess rias para evitar a perda de dados de forma irrecuper vel em caso de desligamento do sistema Caso alguma destas situa es seja detectada durante a coleta o perito deve realizar uma an lise mais cuidadosa do sistema de modo a minimizar a chance de perda de importantes informa es durante o desligamento do sistema mas ao mesmo tempo ser extremamente cuidadoso causando o m nimo poss vel de altera es no sistema examinado Caso as suspeitas de criptografia ou m quina virtual sejam confirmadas o perito deve executar uma c pia l gica dos arquivos em risco de perda irrecuper vel Esta pode e provavelmente ser a nica oportunidade de acesso s informa es que podem ser relevantes e cruciais ao esclarecimento do caso Se a c pia automatizada que inclui c pia da mem ria f sica for bem sucedida podem se encontrar senhas permitindo o acesso a dados criptografados ou a um sistema protegido Assim ainda seria poss v
88. ntetido parcial do arquivo Resultados txt parte 3 53 Figura 4 14 Ferramentas identificadas como amea as pelo antiv rus N o obstante esta identifica o positiva como v rus n o h nenhum preju zo para a coleta como um todo que continua normalmente S o perdidas apenas as informa es que seriam coletadas pelas ferramentas bloqueadas Algumas das ferramentas utilizadas principalmente as de recupera o de senhas s o classificadas como amea as pelos antiv rus eventualmente instalados na m quina alvo da busca e apreens o Devido ao fato de recuperarem informa es sens veis como senhas chaves de instala o e registros do Windows entre outras estas ferramentas s o consideradas nocivas pelos programas antiv rus As empresas desenvolvedoras de programas antiv rus partem do pressuposto de que essa recupera o de dados sens veis ocorre sempre em favor dos mal intencionados N o bem assim j que um programa de recupera o de senhas por exemplo pode perfeitamente ser utilizado para recuperar as senhas perdidas ou esquecidas pelo usu rio leg timo De qualquer forma recomend vel que se desabilite qualquer antiv rus instalado antes de iniciar a coleta dos dados quando poss vel Em trabalhos futuros pode ser adicionado algum mecanismo de detec o e desligamento autom tico dos antiv rus executados na m quina investigada A detec o com determina o dos processos envolvidos pode ser real
89. o A cada n vel subsequente diminui a velocidade e aumenta a capacidade de armazenamento Todas as requisi es da CPU que n o podem ser atendidas pela mem ria cache s o direcionadas para a mem ria principal 2 2 4 Mem ria Principal RAM Tamb m conhecida como mem ria prim ria real ou RAM random access memory A mem ria principal dividida em linha de cache cache lines As linhas de cache mais frequentemente utilizadas s o mantidas em um cache de velocidade maior Quando o programa precisa ler uma palavra de mem ria o hardware verifica se a linha necess ria est na cache cache hit Neste caso nenhuma requisi o adicional necess ria Entretanto caso a linha requisitada esteja ausente da cache cache miss h necessidade de uma requisi o adicional enviada mem ria principal com perda substancial de tempo TANEMBAUM 2009 10 Palavra a unidade de informa o do sistema CPU mem ria principal que deve representar o valor de um n mero um dado ou uma instru o de m quina MONTEIRO 1995 Durante a opera o normal de um sistema informatizado necess ria certa quantidade de mem ria chamada de mem ria de acesso aleat rio RAM ou mem ria principal onde todas as requisi es da CPU que n o podem ser atendidas imediatamente pela mem ria cache s o temporariamente armazenadas TANEMBAUM 2009 2 2 5 Mem ria Secund ria E um meio permanente de armazenamento Enquan
90. o caso espec fico da Pol cia Federal Al m do aspecto financeiro existe a necessidade de se aguardar o lan amento de novas vers es al m de n o possibilitar acesso ao c digo fonte Para isso ser necess rio realizar uma ampla revis o das ferramentas voltadas captura de dados vol teis das solu es de integra o existentes da maneira de integrar as ferramentas escolhidas e da maneira de formatar o relat rio de sa da dos dados coletados Devido r pida evolu o da computa o forense dos sistemas de inform tica e dos crimes relacionados as ferramentas de an lise forense n o conseguem acompanhar no mesmo passo Para cada novo sistema operacional nova vers o ou novo programa de roubo de dados desenvolvido h necessidade de adequa o atualiza o e adapta o das ferramentas de detec o e an lise 1 3 ORGANIZA O Este trabalho est dividido em cinco cap tulos e seis anexos O primeiro cap tulo trata da introdu o versando sobre os objetivos a justificativa e a organiza o da disserta o O segundo cap tulo traz uma revis o bibliogr fica tratando de alguns conceitos fundamentais para a compreens o do problema e buscando o estado da arte na rea de coleta de dados vol teis em sistemas informatizados No terceiro cap tulo feita uma revis o das principais ferramentas pass veis de utiliza o na extra o de dados vol teis seguindo o princ pio da utiliza o de ferrament
91. o material apreendido consta do Documento de Busca e Apreens o com a descri o de suas caracter sticas principais tipo de material marca modelo n mero de s rie cor ou outras caracter sticas individualizadoras 15 Conferir se o material apreendido est devidamente lacrado e acondicionado 84 ANEXO C BUSCA E APREENS O DE MATERIAL DE INFORM TICA 1 Procedimentos Gen ricos HOELZ RUBACK e SILVA 2009 1 Ao chegar ao local assim que a seguran a do ambiente estiver estabelecida assegurar a integridade dos equipamentos e dados a serem apreendidos Apreens o de computadores de mesa desktops 2 1 Quando ligados Procedimentos especificos a cargo do perito criminal 2 2 Quando desligados Nao devem ser ligados Desconectar todos os cabos externos Documentar o estado das conex es relevantes Se poss vel retirar o s disco s r gido s caso contr rio apreender o gabinete inteiro Apreens o de computadores port teis notebooks 3 1 Quando ligados Procedimentos espec ficos a cargo do perito criminal 3 2 Quando desligados N o devem ser ligados Retirar a bateria encaminhando em conjunto com o respectivo notebook Desconectar todos os cabos externos Documentar o estado das conex es relevantes Apreender o equipamento acompanhado de sua fonte de alimenta o Apreens o de perif ricos 4 1 Devem normalmente ser apreendidos discos r gidos externos chaves de hardware e m dias remov veis flash
92. o resultado da coleta copiado para uma pasta criada durante o processo Devido ao crescente uso de m todos criptogr ficos e de m quinas virtuais a ferramenta prop e alguns testes para diagnosticar esta situa o Para evitar o risco de perda de informa es sistemas que utilizam criptografia ou virtualiza o de sistema devem ter seu conte do copiado para uma m dia externa antes do desligamento do computador Al m disso apresentada uma metodologia para o procedimento de busca e apreens o levando em conta a garantia da integridade dos dados coletados atrav s do procedimento chamado Cadeia de Cust dia Basicamente a Cadeia de Cust dia trata dos cuidados que devem ser tomados para garantir a integridade e a idoneidade das evid ncias coletadas Todos os passos realizados desde a chegada ao local de busca e apreens o passando pela an lise da m quina suspeita at o encaminhamento de todo o material apreendido deve ser cuidadosamente documentado A metodologia proposta necess ria porque caso n o sejam utilizadas t cnicas adequadas de coleta e documenta o h grande risco de perda de evid ncias ou de falta de credibilidade das provas coletadas em um futuro processo judicial vi ABSTRACT METHODOLOGY AND TOOL FOR VOLATILE DATA ACQUISITION ON WINDOWS BASED SYSTEMS Author Pedro Auler Supervisor Fl vio Elias Gomes de Deus Programa de P s gradua o em Engenharia El trica Bras lia December of 2011 Thi
93. os apagados senhas em texto claro buffers com conte do da rea de transfer ncia informa es sobre processos em execu o ou j encerrados etc O conte do da mem ria f sica o dado mais vol til e mais vulner vel encontrado em um sistema informatizado podendo desaparecer rapidamente caso n o seja coletado rapidamente antes dos demais procedimentos AKKAN 2006 An lise de mem ria parte importante de qualquer investiga o digital permitindo o acesso aos dados vol teis n o encontrados em uma imagem de disco r gido Apesar dos recentes progressos da an lise de mem ria as dificuldades ainda s o grandes devido falta de flexibilidade das ferramentas existentes que geralmente s podem ser utilizadas em sistemas operacionais espec ficos e respectivas vers es para os quais foram codificadas A raz o para isso que j que as estruturas de dados utilizados pelos sistemas operacionais mudam a cada nova vers o as ferramentas forenses tamb m precisam ser atualizadas OKOLICA e PETERSON 2010 Mem rias RAM de grande capacidade tamb m facilitam a utiliza o de malwares residentes em mem ria Assim n o mais poss vel ignorar a mem ria vol til dos computadores WAITS et al 2010 Apesar da ineg vel import ncia da captura da mem ria vol til a necess ria execu o de ferramentas no computador investigado provoca mudan as no estado do sistema e no conte do da mem ria capturada Al m disso
94. os coletados Cen rio 6 224 5125 oe seccleas tecense ts qqadbl seca gaas facet cece sects 62 Figura 4 24 Conte do parcial do arquivo DispUSB txt 63 Figura 4 25 Valor do hash a ser anotado saias 229th Fato aa el a esate 64 Figura 4 26 Conte do do arquivo Hash do Hashes txt 64 xii 1 INTRODU O Os procedimentos de busca e apreens o de materiais de inform tica v m sofrendo dr sticas mudan as nos ltimos tempos A abordagem tradicional que consiste em retirar o cabo de energia da m quina suspeita com a apreens o de todo o material para an lise posterior em laborat rio pode trazer grave comprometimento da investiga o levando perda irrevers vel de dados Com o uso cada vez mais frequente de criptografia de sistema ou de volumes e de armazenamento remoto de dados o desligamento precoce da m quina examinada pode causar a perda imediata e irrevers vel das informa es nela contidas SUTHERLAND et al 2010 As t cnicas utilizadas em procedimentos de busca e apreens o est o cada vez mais elaboradas e necess rio que o perito da rea de inform tica acompanhe esta mudan a de paradigmas para n o comprometer a coleta de dados A captura e a an lise de dados vol teis v m se tornando uma das reas mais importantes e desafiadoras da investiga o forense digital As ferramentas de captura de dados vol teis devem ser capazes de extrair e preservar de forma sistem tica
95. ostos foi avaliada com a seguinte escala e N o realiza a coleta proposta e Realiza a coleta proposta de forma b sica e Realiza a coleta proposta e traz funcionalidades adicionais Tabela 4 1 Compara o entre solu es de captura em sistemas Windows XP Nigilant WFT COFEE CADAV PATOS AENA 32 3005 112 1 0 Data do sistema Hora do sistema Informa es do Sistema C pia de mem ria f sica Es Recupera o de Senhas Arquivos abertos z Processos em execu o 43 Usu rios ativos Conex es de rede Estado da rede Inclus o ou exclus o de ferramentas l Configura o da ordem de execu o Detec o de Criptografia Detec o de M quinas Virtuais C pia dos logs do Skype C pia dos ltimos termos de busca C pia dos hist ricos de Internet C pia do conte do da rea de transfer ncia Coleta de registros do Windows Coleta de comandos recentemente utilizados 7 Coleta de informa es sobre DLLs l f f 4 4 4 4 Calculo do hash dos dados coletados A compara o levou em conta testes realizados em outros trabalhos e funcionalidades anunciadas pelos desenvolvedores das ferramentas Todas as solu es d
96. p unxutils sourceforge net gt Acesso em 30 mar 2011 VIRTUALBOX 2011 Disponivel em lt http www virtualbox org wiki VirtualBox gt Acesso em 17 jul 2011 VMWARE Desktop amp End User Computing Solutions 2011 Disponivel em lt http www vmware com solutions desktop gt Acesso em 17 jul 2011 WAITS C et al Computer Forensics Results of Live Response Inquiry vs Memory Image Analysis 2010 Disponivel em lt http www cert org archive pdf 08tn017 pdf gt Acesso em 08 nov 2010 73 ANEXO A FERRAMENTAS E COMANDOS DE SISTEMA 1 Mdd 1 3 MANTECH 2011 Ferramenta para coleta da mem ria f sica RAM disponibilizado gratuitamente para rg os governamentais e uso privado sob licen a GPL FREE SOFTWARE FOUNDATION INC 2007 mdd 1 3 oarquivo de sa da img Figura A 1 Execu o da ferramenta mdd 2 Regedit Editor de registros do Windows que possibilita a realiza o de c pia de registros regedit e arquivo de sa da txt Figura A 2 Execu o do comando regedit 3 Outros comandos de sistema do Windows date t gt arquivo de sa da txt Figura A 3 1 Data do sistema time t gt arquivo de sa da txt Figura A 3 2 Hora do sistema tasklist gt arquivo de sa da txt Figura A 3 3 Lista de arquivos recentemente abertos dir UserProfile Recent gt arquivo de sa da txt Figura A 3 4 Usu rio
97. para membros do National White Collar Crime Center NW3C NATIONAL WHITE COLLAR CRIME CENTER 2011 3 4 COMPARA O DAS FERRAMENTAS INTEGRADAS No trabalho de AULER 2009 foi realizada uma compara o entre as ferramentas WFT e COFFE nas suas vers es 1 0 e 3 0 03 apresentada na Tabela 3 4 Tabela 3 4 Compara o das ferramentas COFEE e WFT AULER 2009 COFEE v 1 0 WET v 3 0 03 Windows XP Sim Sim Windows 2000 Sim Sim Windows 2003 Sim Sim Windows Vista N o N o es cies Segundo manual Sim Segundo desenvolvedor Sim Momona neice SAM Nos testes N o Nos testes N o Segundo manual Sim 3 Dump de Senhas Nos test es N o N o Data e hora do sistema Sim Sim Arquivos abertos Sim Sim Processos em execu o Sim Sim Usu rios do sistema Sim Sim Portas abertas Sim Sim Configura o de ferramentas Sim N o Configura o de ordem de Sim N o execu o 30 Possibilidade de executar a partir de Pen Drive Sun a Possibilidade de coletar os dados Sim Sim em Pen Drive Formato do relat rio HTML HTML Apresenta o do Relat rio Boa Muito boa Checagem dos dados coletados Sim Sim Hash 3 5 LIMITA ES DAS FERRAMENTAS INTEGRADAS EXISTENTES Durante a avalia o das solu es de captura de dados vol teis na Se o 3 3 verificou se as seguintes limita es e Custo de aquisi o quando pagas e Dificuldade de ob
98. pode ser resultante da execu o da ferramenta cujo conte do apresentado na Figura 4 17 Al poss vel verificar os processos Neste mesmo arquivo tamb m poss vel verificar a presen a d comprovando a presen a de criptografia 4 3 1 Cen rio 4 A m quina utilizada est descrita na Tabela 4 6 Tabela 4 6 Descri o da m quina utilizada no Cen rio 4 Tipo de m quina Virtual VirtualBox vers o 4 08 171778 Processador da m quina hospedeira Sistema operacional da m quina hospedeira Mem ria F sica da m quina hospedeira Intel R Core TM 2 Duo CPU T7500 Ubuntu 10 04 32 bit Kernel Linux 2 6 32 32 generic 3048 MB 56 Sistema operacional da m quina virtual Microsoft Windows XP Professional Service Pack 3 Mem ria F sica da er 1024 MB maquina virtual Programa de criptografia Ausente Programa antivirus AVG Free Tempo de coleta 14min08s Figura 4 17 Conte do do arquivo Processos txt Cen rio 3 57 4 3 1 1 Esta coleta ocorreu de forma semelhante aquela do Cen rio 2 onde o programa antivirus identificou algumas ferramentas como amea as A Figura 4 18 apresenta os arquivos coletados Neste caso o programa antiv rus o AVG Free que identificou como nocivas Figura 4 19 Da mesma forma a coleta continuou at o final com preju zo apenas das informa es que seriam coletadas pelas ferramentas bloqueadas
99. por conterem informa es relevantes para tomadas de decis o relacionadas pr pria coleta de dados Entre eles est o os arquivos e DetectaCrypto txt cont m informa es relevantes sobre a presen a ou n o de volumes criptografados no sistema e DetectaWMware txt cont m informa es relevantes sobre a presen a ou n o de virtualiza o de sistema atrav s do programa Vmware e Processos txt cont m a lista de processos em execu o no sistema podendo evidenciar a presen a de criptografia ativa ou virtualiza o de sistema casos em que a provid ncia a ser tomada imediata c pia l gica dos arquivos envolvidos que correm s rio risco de ficarem completamente inacess veis ap s o desligamento do computador dispositivos USB conectados ao sistema no momento da apreens o ou mesmo em per odos anteriores A an lise deste arquivo pode trazer pistas a respeito de dispositivos USB que podem estar presentes no ambiente e devem ser localizados e apreendidos 4 3 ESTUDO DE CASO Para o teste do prot tipo proposto neste trabalho foram escolhidos seis cen rios todos executados em Sistema Operacional Windows XP Service Pack 3 32 bits Tabela 4 2 Os cen rios foram selecionados na tentativa de reproduzir uma coleta real que possa surgir durante um procedimento de busca e apreens o Tabela 4 2 Cen rios de coleta utilizados Cen rio M quina Truecrypt Ativo Antiv rus Ativo 1 Real X
100. que j logaram na m quina netstat ano gt arquivo de sa da txt Figura A 3 5 Informa es sobre conex es de rede ipconfig all gt arquivo de sa da txt 74 Figura A 3 6 Informa es sobre as interfaces de rede doskey history gt arquivo de sa da txt Figura A 3 7 Comandos recentemente utilizados 4 Handle v3 45 MICROSOFT 2011a Utilit rio que apresenta a rela o de processos com arquivos e pastas abertos Pode ser executado em sistemas Windows XP ou mais recentes Necessita ser executado por usu rio com poderes de administrador do sistema handle accepteula gt arquivo de sa da txt Figura A 4 Execu o da ferramenta handle 5 ListDLLs v3 0 MICROSOFT 2011a Este utilit rio relaciona as DLLs carregadas no sistema Pode ser executado em sistemas Windows XP ou mais recentes retornando o nome completo dos m dulos carregados Al m disso ele as sinaliza as DLLs que apresentam n mero de vers o diferente dos seus arquivos correspondentes gravados em disco isto ocorre quando um arquivo atualizado depois do programa carregar suas DLLs podendo ainda informar quais DLLs foram realocadas listdlls gt arquivo de sa da txt Figura A 5 Execu o da ferramenta listdlls 6 PsFile v1 02 MICROSOFT 2011a Este utilit rio de linha de comando mostra os arquivos que foram abertos remotamente Pode ser executado em sistemas Windows
101. r gt Acesso em 18 jul 2011 MICROSOFT Microsoft Security Essentials 2011d Disponivel em lt http windows microsoft com pt BR windows products security essentials gt Acesso em 02 jun 2011 MOCKRIDGE T Unix Commands ported to Windows 2011 Disponivel em lt http mysite mweb co za residents thomas unix cmds default htm gt Acesso em 07 mai 2011 MONTEIRO M A Introdu o Organiza o de Computadores 2 ed Rio de Janeiro S A LTC Livros T cnicos e Cient ficos Editora 1995 ISBN 2 NATIONAL WHITE COLLAR CRIME CENTER 2011 Disponivel em lt http www nw3c org gt Acesso em 09 abr 2011 NETMARKETSHARE 201 1a Disponivel em lt http www netmarketshare com operating system market share aspx qprid 8 amp qpcustomd 0 gt Acesso em 09 set 2011 NETMARKETSHARE 2011b Disponivel em lt http www netmarketshare com operating system market share aspx qprid 10 amp qpcustomd 0 gt Acesso em 09 set 2011 70 NETMARKETSHARE 2011c Disponivel em lt http www netmarketshare com operating system market share aspx qprid 1 1 amp qpcustomb 0 gt Acesso em 09 set 2011 NIRSOFT 201 1a Disponivel em lt http www nirsoft net gt Acesso em 09 set 2011 NIRSOFT Other Utilities 2011b Disponivel em lt http www nirsoft net utils index html other_utils gt Acesso em 30 mar 2011 NIRSOFT Password Recovery Utilities 201 1c Disponivel em lt http www nirsoft net utils i
102. rial de inform tica apreendido Neste caso tamb m n o h necessidade de realizar novo c lculo de hashes j que o pr prio log com estes c lculos Entretanto o perito criminal deve verificar o valor do hash criado e inclu lo tamb m em sua Informa o T cnica 4 2 PROT TIPO DA FERRAMENTA O prot tipo da ferramenta de integra o proposto no presente trabalho utiliza arquivos batch do sistema operacional Windows para automatizar a execu o de algumas das ferramentas de coleta apresentadas no Anexo A direcionando os resultados para uma pasta chamada A escolha das ferramentas e a ordem de execu o das mesmas tiveram por fundamento os seguintes aspectos e Prefer ncia por ferramentas de linha de comando que acarretam menor consumo de mem ria resultando em menor impacto sobre o sistema examinado quando comparadas a aplicativos que utilizam interfaces gr ficas e In cio da coleta pelos dados mais importantes e mais vol teis e Coleta automatizada O prot tipo de coleta de dados vol teis proposto sugere que as ferramentas sejam executadas a partir de um flash drive que cont m todas as ferramentas necess rias e tamb m receber o resultado da coleta realizada A Figura 4 3 apresenta o conte do do diret rio raiz do flash drive utilizado para captura de dados vol teis 38 a E cmd exe crosoft Windows XP Version 5 1 2608 lt C Copyright 1985 2001 Microsoft Corp E gt dir Volume in dri
103. s LESSING e VON SOLMONS 2011 A populariza o do uso de programas de criptografia cada vez mais f ceis de utilizar e muitas vezes incorporados aos sistemas operacionais est tornando mais comum o fato de se encontrar sistemas ligados utilizando esta tecnologia Normalmente n o muito f cil detectar a criptografia em uso no sistema uma vez que o software utilizado pode ser muito discreto deixando poucos rastros da sua presen a Assim a abordagem na coleta de dados vol teis em sistemas ligados tem que se ser bastante criteriosa a fim de detectar a presen a de criptografia e se for o caso realizar uma c pia l gica do sistema antes de deslig lo A an lise com o volume ainda montado possibilita ainda a aquisi o l gica dos dados nele contidos De outra forma apareceria apenas um arquivo criptografado dif cil de ser detectado e praticamente imposs vel de se acessado No caso de criptografia de sistema todos os dados devem ser copiados antes do seu desligamento LOWMAN 2010 A grande capacidade de armazenamento da mem ria RAM geralmente com mais de 4 GB na maioria dos computadores vendidos pessoas f sicas atualmente capaz de guardar grande quantidade de dados podendo incluir entre outras informa es senhas usadas para criptografia SUTHERLAND et al 2010 Podem ser encontradas v rias evid ncias extremamente teis na mem ria RAM como por 21 exemplo o conte do inteiro ou parcial de arquiv
104. s dica n a a a co eaa aa a a e oo ca donas A ET S 36 4 1 3 Fase 3 EA EEE EEEE EE T EE 36 4 1 4 TEAS CPF PERIERE AE E A EAE AE 37 4 1 5 Procedimentos p s coleta ciccsassssssssssaciseguices ssedencananvsinissvesnsesunnssgnevavsbanssenoess 37 4 2 PROT TIPO DA FERRAMENTA cccccscssscscsceccessscccesesessssececececacsecesesecscacacecees 38 4 2 1 Detalhamento do arquivo batch ColetaDados bat ssccssssssesssssesees 41 4 3 ESTUDO DE CASO siciniscencedtuccccausnecsciecunccacecdoececscsnceccooseccsdaccessactedeesececcessdcenes ne sda cia das dao 46 4 3 1 CB Tri g Vea MPR RAR RDI DD ORI DURAR DORES RR DD 48 4 3 2 Cen rio 2 sscinssis assi cascarsita cars ia aa a a iaa Si SENES 5I 4 3 3 CONATIO S PEAR INIER EEE EENI EA EE 55 4 3 1 Cehi odana a a a a a a a i S 56 4 3 2 OLA 111 11 BILETEN EE EA IEE ENEA A I 59 4 3 3 CONATIO O PARREIRA a ND PR DER 61 4 4 ANALISE DOS TESTES csssuniro srs asEa aaa ES asses Seese oe Seoras ana Eat a Srs UNE nano Casa asia Se nnt asas ada 64 SE CONCLUS O paisagens lg a 66 REFER NCIAS BIBLIOGR FICAS u csscssssssssssssssssssssssssssssessessessesssssssssssssssssssessessessessesses 68 ANEXO A FERRAMENTAS E COMANDOS DE SISTEMA ccesesesesssssssssssssssos 74 ANEXO B CHECKLIST BUSCA E APREENS O ccccccsccscsesesesecssssssesccsssocesecececsece 83 ANEXO C BUSCA E APREENS O DE MATERIAL DE INFORM TICA 85 ANEXO D CONTE DO DO ARQUIVO j eseesssseesessooeessooeesse
105. s paper presents a methodology for volatile data acquisition on Windows based operating systems For that a tool CADAV Automated Volatile Data Acquisition has been developed Furthermore this work presents a model on how the forensic expert should behave during a digital search and seizure CADAV runs from a flash drive inserted in the suspect computer and the result is copied to a folder created during the process Due to the increasing use of cryptography and virtual machines the tool offers some tests to detect these situations To avoid the risk of information loss systems that are running encryption or virtualization programs must have their contents copied to an external drive before the computer is shut down In addition considering the collected data integrity during the procedure called Chain of Custody a search and seizure procedure methodology is presented Basically Chain of Custody deals with the issues that must be taken to ensure collected evidence integrity and reliability All the steps taken since the arrival at the search and seizure location should be carefully documented including the suspect computer analysis and the seized material hand over If inappropriate acquisition and documentation techniques are used there is a great risk of evidence loss and lack of credibility in a future lawsuit he proposed methodology is necessary vii SUM RIO 1 INTRODU O oi tio saias agf Aa aan 1 1 1 OBJETIVOS diccios tada atir
106. s para determinar se o sistema operacional corrente est sendo executado dentro de uma m quina virtual VMware ou em um sistema nativo O aplicativo funciona em qualquer CPU moderna independente do n mero de processadores utilizados Al m disso capaz de detectar a presen a do WMware mesmo quando utilizados mecanismos anti detec o scoopyng gt arquivo_de_sa da txt 80 Figura A 25 Execu o da ferramenta Scoopy NG 26 PCLIP MOCKRIDGE 2011 Copia o conte do da rea de transfer ncia pclip gt arquivo de sa da txt Figura A 26 Execu o da ferramenta PCLIP 27 FSUM v2 52 SLAVASOFT 2011 Utilit rio de linha de comando para verificar a integridade de arquivos Permite a escolha entre v rias fun es de hash fsum d Resultados r sha256 gt Hashes txt Figura A 27 1 Exemplo de execu o da ferramenta FSUM Onde a ferramenta executada fsum d Hashes txt gt Hash do Hashes txt Figura A 27 2 Outro exemplo de execu o da ferramenta FSUM Onde a ferramenta calcula o hash O Windows disponibiliza algumas ferramentas de linha de comando no pr prio sistema e podem ser executadas a partir de um prompt de comandos cmd MICROSOFT 2011b Estas ferramentas podem ser utilizadas para diagnosticar e resolver problemas do computador al m de servirem para coletar alguns dados de interesse para a investiga o
107. s txt cho gt gt Resultados Resultados txt 87 echo gt gt Resultados Resultados txt echo Informa es sobre Processos em execu o gt Resultados Processos txt Ferramentas pslist gt gt Resultados Processos txt echo gt gt Resultados Processos txt cho gt gt Resultados Processos txt echo gt gt Resultados Processos txt echo Status dos Processos em execu o gt gt Resultados Processos txt Ferramentas ps accepteula gt gt Resultados Processos txt echo gt gt Resultados Processos txt cho gt gt Resultados Processos txt echo gt gt Resultados Processos txt echo Rela o de processos com arquivos e pastas abertos gt NResultadosN Handle txt Ferramentas handle accepteula gt gt Resultados Handle txt echo Lista de arquivos recentemente abertos gt gt Resultados Resultados txt Ferramentas tasklist gt gt Resultados Resultados txt echo gt gt Resultados Resultados txt cho gt gt Resultados Resultados txt echo gt gt Resultados Resultados txt echo Usu rios logados ao sistema gt gt Resultados Resultados txt Ferramentas psloggedon accepteula gt gt Resultados Resultados txt echo gt gt Resultados Resultados txt cho gt gt Resultados Resultados txt echo gt gt Resultados Resultados txt echo Usu rios logados ao sistema gt gt Res
108. se da obriga o de depor Poder o entretanto recusar se a faz lo o ascendente ou descendente o afim em linha reta o c njuge ainda que desquitado o irm o e o pai a m e ou o filho adotivo do acusado salvo quando n o for poss vel por outro modo obter se ou integrar se a prova do fato e de suas circunst ncias art 206 A testemunha far sob palavra de honra a promessa de dizer a verdade do que souber e Ihe for perguntado devendo declarar seu nome sua idade seu estado e sua resid ncia sua profiss o lugar onde exerce sua atividade se parente e em que grau de alguma das partes ou quais suas rela es com qualquer delas e relatar o que souber explicando sempre as raz es de sua ci ncia ou as circunst ncias pelas quais possa avaliar se de sua N o se deferir o compromisso a que alude o art 203 aos doentes e deficientes mentais e aos menores de 14 quatorze anos nem s pessoas a que se refere o art 206 Grifos nossos O C digo Penal BRASIL 1940 define o crime de falso testemunho Fazer afirma o falsa ou negar ou calar a verdade como testemunha perito contador tradutor ou int rprete em processo judicial ou administrativo inqu rito policial ou em ju zo arbitral Pena reclus o de um a tr s anos e multa art 342 Por fim a Instru o Normativa n 11 01 DG DPF MJ BRASIL 2001 da Dire o Geral 14 do Departamento de Pol cia Federal publicada no
109. stes arquivos podem subsidiar a conduta do perito no restante da an lise enquanto o computador continua ligado Dependendo das informa es encontradas pode ser necess rio realizar uma c pia l gica de dados por exemplo Posteriormente as informa es coletadas ser o examinadas exaustivamente pelo perito criminal Essa an lise ser realizada no laborat rio forense juntamente com o restante do material apreendido 3 1 FERRAMENTAS X COMANDOS DE SISTEMA A Tabela 3 1 apresenta algumas das ferramentas gratuitas para coleta de dados vol teis utilizadas com resumos de suas funcionalidades desenvolvidas pela Nirsoft NIRSOFT 201 1a Tabela 3 1 Exemplos de ferramentas da Nirsoft Ferramenta Funcionalidade USBDeview Lista os dispositivos USB conectados IEHistoryView a p ginas acessadas pelo Internet MozillaHistoryView PL p ginas acessadas pelo Mozilla ChromeHistoryView Recupera p ginas acessadas pelo Google MyLastSearch Recupera ltimos termos pesquisados A Tabela 3 2 apresenta algumas das ferramentas gratuitas para coleta de dados vol teis do pacote Sysinternals com resumos de suas funcionalidades disponibilizadas pela Microsoft MICROSOFT 201 1a 24 Tabela 3 2 Exemplos de ferramentas da Sysinternals Ferramenta Funcionalidade Handle RA a ListDLLs Recupera DLLs carregadas no sistema PsFile Exibe os arquivos abertos remotamente PsInfo Recupera inform
110. ta Neste caso devem se examinar os arquivos DetectaCripto DetectaVMware Processos flash drive Confirmada a presen a de criptografia ou virtualiza o de sistema o perito deve executar uma c pia l gica dos arquivos que correm risco de serem perdidos durante o desligamento do computador Parta finalizar a coleta s o ainda executados os seguintes testes 42 1 A coleta de mem ria f sica RAM realizada atrav s do programa mdd exe Mantech Devido extrema import ncia deste item da coleta a ferramenta de coleta automatizada de dados vol teis executa um teste para verificar a pres na pasta Resultados do flash drive de coleta Se este arquivo n o estiver presente o usu rio recebe uma mensagem de texto na tela orientando o a realizar a coleta de tamb m disponibilizado no flash drive de resumo c lculo de hash dos arquivos coletados utilizado o algoritmo SHA256 arquivo por sua vez tem tamb m seu hash calculado utilizando o algoritmo MDS e o algoritmo 32 caracteres se deu em raz o de ser menor que o SHA256 64 caracteres e facilitar a anota o no Auto de Busca e Apreens o apresentado no Anexo D A partir da compara o das ferramentas WFT E COFEE apresentada na Tabela 3 4 foram acrescentados testes realizados com a ferramenta Nigilant32 e com a ferramenta proposta neste trabalho CADAV Os resultados s o apresentados na Tabela 4 1 A efic cia das ferramentas na coleta dos dados prop
111. teis s o encontrados em registradores na cache e na mem ria RAM Mem ria de acesso aleat rio Dados vol teis pass veis de coleta podem incluir SUTHERLAND et al 2010 SHIPLEY e REEVE 2011 Data e hora do sistema Usu rios ativos e suas credenciais de autentica o Informa o sobre processos em execu o Informa es dos registros do Windows Dispositivos conectados ao sistema Oi Ad com co Dus Informa es do sistema 16 7 Conex es de rede 8 Estado da rede 9 Conte do da rea de transfer ncia 10 Hist rico de comandos 11 Arquivos abertos Per cia em sistemas ligados exige uma abordagem mais criteriosa do que o exame tradicional com o sistema desligado Deve haver extremo cuidado para minimizar o impacto das ferramentas utilizadas SUTHERLAND et al 2010 A partir da mem ria principal pode ser poss vel encontrar senhas ou dados de usu rios n o gravados em disco aconselh vel que o perito capture todos os dados vol teis poss veis A ordem de coleta pode ser crucial para a investiga o O perito deve avaliar o caso cuidadosamente para decidir a ordem de coleta partindo dos dados mais vol teis para os menos vol teis Uma sequ ncia poss vel poderia ser SUTHERLAND et al 2010 Registradores e mem ria cache Mem ria f sica Estado da rede Processos em execu o Ste caes DA DA GE Volumes criptografados montados etc Na avalia o de ferramentas
112. ten o quando gratuitas e Dificuldade de atualiza o e adapta o No caso de surgirem novas necessidades de coleta h a necessidade de se aguardar o lan amento de novas vers es Al m disso n o permitem a adapata o das ferramentas para necessidades espec ficias por n o disponibilizarem o c digo fonte e Falta de mecanismos de verifica o de criptografia m quinas virtuais ou armazenamento remoto de dados durante a coleta Consequente perda dos dados relacionados a estas t cnicas que poderiam ser resguardados atrav s de c pia l gica dos mesmos antes do desligamento do sistema 31 4 METODOLOGIA PROPOSTA 2 Neste cap tulo apresentada a ferramenta de coleta de dados proposta e sugerido um m todo a ser seguido pelos peritos criminais durante a o procedimento de busca e apreens o O objetivo minimizar as altera es provocadas no sistema ao mesmo tempo em que seja coletado o maior n mero poss vel de informa es vol teis preservando seu valor probat rio atrav s da Cadeia de Cust dia 4 1 PROCEDIMENTOS DA BUSCA E APREENS O Os procedimentos de coleta devem ser t o detalhados quanto poss vel facilitando a tomada de decis es durante o procedimento da apreens o Al m disso os procedimentos da Cadeia de Cust dia devem ser claramente documentados BREZINSKI e KILLALEA 2002 Evid ncias de crimes de inform tica assim como todas as outras evid ncias devem ser manuseadas
113. ter o pr prio software que supostamente deveria detect lo LINFO 2011 A Se o 2 7 apresenta o conceito de Cadeia de Cust dia important ssimo para a correta manipula o e documenta o das evid ncias de modo a preservar seu valor probat rio 2 7 CADEIA DE CUST DIA cronol gica da evid ncia para garantir a idoneidade e o rastreamento das evid ncias LOPES GABRIEL e BARETA 2006 A Cadeia de Cust dia trata dos procedimentos que buscam garantir a idoneidade das evid ncias atrav s da descri o e da documenta o detalhada de como a evid ncia foi encontrada e de como foi tratada dali por diante Todo o procedimento deve ser documentado de tal maneira que fique registrado onde quando e por quem a evid ncia foi descoberta manipulada coletada e armazenada Quando a evid ncia passa para a responsabilidade de outra pessoa este fato com todos os detalhes envolvidos incluindo n mero de lacres e outros procedimentos de seguran a deve ser tamb m cuidadosamente 13 documentado BREZINSKI e KILLALEA 2002 O procedimento de busca e apreens o deve ser acompanhado de duas testemunhas presenciais que de prefer ncia n o tenham parentesco com o suspeito ou com a v tima e n o sejam policiais O C digo de Processo Penal BRASIL 1941 disp e sobre as testemunhas no procedimento de busca e apreens o da seguinte forma o com duas testemunhas art 245 7 A testemunha n o poder eximir
114. to da janela As ferramentas distribu das pela empresa Nirsoft NIRSOFT 2011a podem ser executadas em linha de comando sem necessidade de interface gr fica podendo direcionar o resultado da pesquisa para um arquivo de texto comando stext lt nome do arquivo txt gt para um arquivo HTML comando shtml lt nome_do_arquivo html gt para um arquivo XML comando sxml lt nome_do_arquivo xml gt ou outros formatos que podem ser consultados no site da Nirsoft Os utilit rios s o distribu dos gratuitamente podendo ser utilizados livremente para uso particular ou empresarial desde que n o haja fins lucrativos ou cobran as de qualquer natureza para recuperar senhas de eventuais clientes a n o ser com autoriza o expressa dos autores do software Todos os arquivos do pacote devem ser inclu dos na distribui o sem qualquer modifica o Os aplicativos podem ser livremente distribu dos desde que todos os arquivos do pacote sejam inclu dos sem qualquer modifica o e que n o haja nenhum tipo de cobran a financeira 82 ANEXO B CHECKLIST BUSCA E APREENS O I Providenciar duas testemunhas para acompanhar todo o procedimento n o parentes e n o policiais Exibir o mandado de busca e apreens o Controlar o local isolar computadores e cuidar da seguran a Providenciar para que computadores ligados n o sejam desligados ou entrem em modo de hiberna o ou prote o de tela podem estar com senha Fotogr
115. to os dados contidos em registradores mem ria cache e mem ria principal s o vol teis sendo perdidos no momento de desligamento do computador a mem ria secund ria permanece armazenada mesmo depois do desligamento da m quina MACHADO e MAIA 1992 Trata se de uma mem ria de acesso bem mais lento quando comparado s mem rias vol teis Sua vantagem por m est no menor custo e na alta capacidade de armazenamento Exemplos deste tipo de mem ria s o os discos r gidos e os flash drives 2 2 6 Dispositivos de Entrada e Sa da S o os dispositivos que permitem a comunica o entre o computador e o mundo externo Podem ser divididos em duas categorias na primeira est o os dispositivos utilizados como mem ria secund ria e na segunda os dispositivos que permitem a intera o do ser humano com o computador como teclado monitor mouse impressora e scanners etc Na Se o 2 3 s o apresentados os princ pios b sicos relacionados seguran a e preserva o dos dados coletados com vistas a garantir sua validade em um futuro processo judicial 2 3 PRINC PIOS B SICOS DE SEGURAN A Os mecanismos de seguran a da informa o buscam reduzir os riscos de vazamentos fraudes erros uso indevido sabotagens paralisa es ou qualquer outro mecanismo de desvio ou altera o de informa es MEDEIROS 2011 11 Os princ pios b sicos de seguran a da informa o s o a autenticidade a confidencialidade
116. tools evaluation and operation tips 2011 Disponivel em lt http scissec scis ecu edu au proceedings 2006 forensics leong 20 20Freeware 20Live 20Forensics 20tools 20evaluation 20and 200peration 20tip s pdf gt Acesso em 09 abr 2011 JADSOFTWARE Encrypted Disk Detector 2011 Disponivel em lt http www jadsoftware com go page 1d 167 gt Acesso em 16 jul 2011 LESSING M VON SOLMONS B Live Forensic Acquisition as Alternative toTraditional Forensic Processes 2011 Disponivel em lt http www pdfio com k 52494 html gt Acesso em 09 mai 2011 LIBSTER E KORNBLUM J D A Proposal for an Integrated Memory Acquisition Mechanism 2011 Disponivel em lt http delivery acm org 10 1145 1370000 1368510 p14 libster pdf ip 164 41 100 240 amp CFID 25987712 amp CFTOKEN 66491704 amp acm 130 6592372 aa92bf3fa0d9054711773546196fa317 gt Acesso em 28 mai 2011 LIFEHACKER 2011 Disponivel em lt http translate google com br translate hl pt BR amp langpair en 7Cpt amp u http lifehacker com 57 14966 five best virtual machine applications gt Acesso em 11 nov 2011 LINFO Rootkit Definition 2011 Disponivel em lt http www linfo org rootkit html gt Acesso em 17 jun 2011 LOPES M GABRIEL M M BARETA G M Cadeia de Cust dia Uma Abordagem Preliminar 2006 Disponivel em lt http ojs c3sl ufpr br ojs2 index php academica article download 9022 63 15 gt Acesso em 16 jun 2011 LOWMAN S The Ef
117. uada dos dados o perito teria que consolidar todos os resultados em seu relat rio Assim para utilizar estas ferramentas em todo o seu potencial seria necess rio agreg las em um aplicativo que as executasse de forma autom tica e na ordem correta atendendo aos princ pios forenses relacionados e salvando os resultados de forma integrada e l gica em um arquivo para an lise posterior ACCESSDATA 2011 3 3 1 Incident Response Collection Report IRCR O IRCR Incident Response Collection Report conhecido como o primeiro conjunto de ferramentas desenvolvido no ano de 2000 para coletar informa es forenses em um computador ligado A ferramenta desenvolvida atrav s de um arquivo de lote Escrita em linguagem DOS e Windows depende de uma s rie de programas selecionados que podem ser modificados pelo perito de acordo com suas necessidades Antes de sua utiliza o 26 necess rio que o perito forne a as pastas e links para todas as ferramentas utilizadas De acordo com as ferramentas selecionadas poss vel coletar o hist rico de comandos conex es de rede portas abertas processos em execu o informa o de registros e log de eventos do sistema investigado TEONG 2011 3 3 2 First Responders Evidence Disk FRED Logo ap s o lan amento do IRCR surgiu o FRED First Responders Evidence Disk codificado de forma similar ao IRCR em arquivos de lote e utilizando uma s rie de ferramentas pr selecio
118. ue o FTK Imager esteja sendo executado para fazer c pia l gica de todo o sistema clique em File depois Add Evidence Item Ap s selecione Physical Drive encontre o drive correspondente ao Disco R gido do sistema onde estiver realizando a coleta de dados clique em Finish e expanda as op es at encontrar a pasta chamada root Clique nesta pasta com o bot o direito do mouse e a seguir clique com o bot o esquerdo em Export logical Image AD1 Ser aberta uma caixa de op es onde deve ser clicado em Add depois clique em Next a seguir em Browse e encontre o drive correspondente ao disco r gido externo USB que ir receber os dados Em Image Filename pode ser dado um nome gen rico como Sistema j que o disco r gido de destino e o flash drive ou uma m dia tica gravada a partir dele utilizado na coleta acompanhar o o restante do material de inform tica apreendido e ser o cadastrados conjuntamente no Auto de Apreens o Na pasta de destino ser criado um arquivo de texto pelo FTK Imager contendo alguns dados da coleta como o Checkum MDS E SHAI data e hora da coleta Por fim clique em Finish e a seguir em Start Agora basta 93 esperar o t rmino da c pia Quando estiver pronto verifique se h mais alguma coisa a copiar como arquivos l gicos ou mem ria f sica Caso contr rio desligue o computador e prossiga na arrecada o dos materiais de inform tica inclusive do disco r gi
119. uivos Figura 4 6 Aviso de poss vel presen a de criptografia no sistema Em virtude de ter aparecido este aviso na tela o perito deve fazer uma an lise mais cuidadosa da m quina suspeita verificando se realmente existe o volume criptografado detectado Sendo confirmada a presen a de um volume criptografado necess rio fazer uma c pia l gica dos dados contidos neste volume j que os mesmos ficar o inacess veis no caso de desligamento do sistema 48 A presen a de criptografia tamb m pode ser evidenciada pela an lise do arquivo apresentado na Figura 4 7 resultante da execu o da execu o da ferramenta processo informa es sobre Processos em execu o PsList 1 26 Process Information Lister Copyright c 1999 2004 Mark Russinovich Sysinternals www sysinternals com Process information for PEDRO CASA XP Pid Pri Thd Hnd Priv CPU Time psed Time o 01 0 0 0 09 05 093 00 00 000 4 8 64 307 0 0 11 968 00 00 000 560 11 3 19 168 0 00 00 015 11 28 828 Figura 4 7 Conte do do arquivo Processos txt A Figura 4 8 apresenta os arquivos coletados enquanto a Figura 4 9 apresenta o conte do lume criptografado no 49 Figura 4 8 Arquivos coletados Cen rio 1 Encrypted Disk Detector v1 1 ight Cc 2009 Jad Saliba copyr ig c LAD Figura 4 9 50 4 3 2 Cen rio 2 A m quina utilizada est descrita na Tabela 4 4 Tabela 4 4 Descri o da m quina utilizada no
120. ultados Resultados txt dir SUserProfile Recent gt gt Resultados Resultados txt echo gt gt Resultados Resultados txt cho gt gt Resultados Resultados txt echo gt gt Resultados Resultados txt echo Informa es do sistema gt gt Resultados Resultados txt Ferramentas psinfo accepteula gt gt Resultados Resultados txt echo gt gt Resultados Resultados txt cho gt gt Resultados Resultados txt echo gt gt Resultados Resultados txt echo off Ferramentas iepv iepv stext Resultados Senhas IE txt 88 Ferramentas passwordfox passwordfox stext Resultados Senhas Firefox txt Ferramentas ChromePass ChromePass stext Resultados Senhas Chrome txt 2X X Ferramentas mspass mspass stext Resultados Senhas msn txt Ferramentas mailpv mailpv stext Resultados Senhas email txt Ferramentas wirelesskeyview wirelesskeyview stext Resultados Senhas wireless txt Ferramentas iehv iehv stext Resultados IE history txt Ferramentas mozillahistoryview mozillahistoryview stext Resultados Firefox history txt Ferramentas chromehistoryview chromehistoryview stext Resultados Chrome_ history txt Ferramentas mylastsearch mylastsearch stext Resultados UltPesquisas txt Ferramentas skypelogview skypelogview stext Resultados Skypelog txt Ferramentas edd120 exe
121. ultados txt echo gt gt Resultados Resultados txt cho gt gt Resultados Resultados txt echo gt gt Resultados Resultados txt echo off if not EXIST Resultados Memorydump dd Msg CUIDADO Houve algum problema na captura da mem ria fjsica RAM com a ferramenta MDD Fa a a captura atrav s do FTK Imager Ferramentas fsum fsum d Resultados r sha256 gt Hashes txt Ferramentas fsum fsum d Hashes txt gt Hash do Hashes txt echo on 90 Msg A coleta de dados terminou Verifique s xiste necessidade de realizar alguma c pia l gica de dados ou de mem ria adicionais Depois retire o flash drive da maquina analisada e desligue o computador Msg Anote o resultado do hash MD5 do arquivo Hash do hashes txt que cont m a lista de arquivos coletados com seus respectivos hashes SHA256 Veja o valor no prompt de comandos echo Anote o HASH MD5 correspondente ao arquivos de Hashes txt com a lista de arquivos e hashes HSA256 coletados na pasta Resultados cmd K type Hash do Hashes txt 91 ANEXO E CONTE DO DO ARQUIVO echo off Ferramentas fsum fsum d Resultados r sha256 gt Hashes txt Ferramentas fsum fsum d Hashes txt gt Hash do Hashes txt echo Despreze o HASH anotado anteriormente Se voc executou este comando porque teve uma falha na coleta da mem ria f sica echo Anote o novo HASH MD5 correspondente ao arquivo de
122. um estudo de caso em que a proposta ser testada e avaliada 1 2 JUSTIFICATIVA O presente trabalho pretende desenvolver uma ferramenta visando integrar uma solu o de coleta de dados vol teis utilizando de forma sistem tica e organizada algumas das diversas ferramentas existentes no mercado Os utilit rios utilizados s o de forma geral programas gr tis encontrados na Internet Quando n o totalmente gratuitos s o permitidos sem nus para uso particular ou sem fins lucrativos e alguns ainda s o disponibilizados apenas para as for as policiais Com a utiliza o de uma solu o integrada de ferramentas diminui se o risco de erro por esquecimento de alguma ferramenta espec fica para coletar determinado dado ou pelo uso das ferramentas na ordem incorreta permitindo a coleta mais r pida e correta de todos os dados na sequ ncia ideal A coleta de dados vol teis deve ser feita em uma sequ ncia que parta dos dados mais vol teis para os menos vol teis Os dados mais vol teis tendem a desaparecer mais rapidamente tendo a prefer ncia na ordem de coleta A RFC 3227 BREZINSKI e KILLALEA 2002 traz um exemplo de ordem de coleta em um sistema de inform tica t pico partindo dos dados mais vol teis para os menos vol teis e Registros e mem ria cache e Tabela de roteamento tabela de processos e mem ria f sica e Sistemas de arquivos tempor rios e Conex es remotas e Topologia de rede As ferrament
123. ve E is Forense Volume Serial Number is E8D3 1B7B Directory of E N 15 65 2611 autorun inf 31 03 2011 cmd exe 16 67 2611 8 ColetaDados bat 16 67 2611 z Ferramentas 14 65 2611 z FTK Imager bat 15 65 2611 LeiaMe bat 15 65 2611 Recalcula Hashes bat 6 Filets 166 bytes 1 Dir ts gt 7 961 336 bytes free Figura 4 3 Conte do do diret rio raiz do Prot tipo Os arquivos presentes no diret rio raiz do flash drive s o os seguintes o respons vel pela autoexecu o da ferramenta quando permitido pelo sistema operacional da m quina analisada o c pia segura do terminal de comandos independente do sistema analisado o aD seu conte do apresentado no Anexo D s presente na na Se o 3 2 na pasta Ferramentas contendo breve manual de utiliza o da ferramenta arquivo batch que realiza novo c lculo de Hashes prim ria Seu conte do apresentado no Anexo E Juntamente com as ferramentas disponibilizadas no flash drive de coleta de dados vol teis raiz do flash drive contendo um manual b sico sobre a utiliza o das ferramentas de apresentado no Anexo F A Figura 4 4 apresenta o conte do da no Anexo A 39 E NFerramentas gt dir Volume in drive E is Volume Serial Number Forens is Directory of E Ferramentas 16 07 2011 lt DIR gt lt DIR gt lt DIR gt lt DIR gt lt DIR gt lt DIR gt lt DIR gt 227 lt DIR gt 18 File lt s gt 1 Dir lt
Download Pdf Manuals
Related Search