Laboratórios FTK II

Prévia do material em texto

EXERCÍCIO DIRIGIDO 
Forensic ToolKit 
RESUMO 
Atividades relacionadas ao uso do Forensic Toolkit 
da AccessData. 
PROFESSOR 
Gustavo Henrique M. A. da Silva 
 
 
1 METADADOS E CONTÊINERES 
1.1 VISUALIZANDO METADADOS 
Alguns itens possuem metadados, que são dados que descrevem outros dados. Um exemplo são 
metadados de documentos do tipo Office, em que alguns metadados (como nome do autor) são 
associados ao texto de um documento Word, por exemplo. 
1. Na aba Overview, selecione os documentos do tipo Microsoft Word 2003. 
2. Encontre o documento de nome “News Report.doc”. Selecione o documento. 
3. Com o botão da direita, selecione ver este item na aba Explore: 
 
4. Quantos documentos com o nome “News Report.doc” você encontrou? 
5. Por qual motivo “News Report.doc” não tem data de criação ou modificação? 
6. Observe os metadados do documento “News Report.doc”, verificando na janela de listagem de 
arquivos os seus sub-itens. 
 
7. Identifique qual cidade no Brasil é mencionada no Título do documento e quem foi o autor do 
documento, conforme descrito nas informações de propriedade do MS Word 
8. Crie um bookmark com as informações do Autor deste documento. O bookmark deve estar junto 
aos demais bookmark do usuário “admin”. 
1.2 VISUALIZANDO ARQUIVOS DO TIPO CONTAINER 
1. Na aba Overview, dentro de Archives → ZIP, selecione o arquivo “Funny Fish.zip” 
2. Selecione o arquivo “Funny Fish.zip” e com o botão da direita, selecione ver este item na aba 
Explore. 
3. Veja que os arquivos contidos no ZIP são mostrados na janela de listagem de arquivos como 
contidos no arquivo “Funny Fish.zip”. 
4. Visualize os arquivos contidos. 
5. Crie um bookmark com os arquivos contidos no zip. O bookmark deve estar junto aos demais 
bookmark do usuário “admin”. 
 
 
2 REGISTRO DO WINDOWS, REGISTROS DE INTERNET E LIXEIRA 
2.1 VISUALIZANDO ARQUIVOS DO REGISTRO 
1. Trabalhe com a evidência encontrada com Washer, na aba Overview dentro de OS FileSystem 
Files → Windows NT Registry, navegue pelos arquivos “SAM” , “SYSTEM” e “SOFTWARE” e 
responda: 
• Qual o SID do usuário Billy Bob Brubeck: 
• Qual o fuso horário associado ao computador: 
• Quando foi instalado o sistema operacional: 
2. Crie um bookmark para cada uma das informações acima. Os bookmarks devem estar junto aos 
demais bookmark do usuário “admin”. 
3. Abra o arquivo SAM no Registry Viewer 
 
4. Procure o SID do usuário no Registry Viewer. 
5. Feche o Registry Viewer. 
2.2 VISUALIZANDO PÁGINAS E ARQUIVOS VISITADOS POR BROWSERS 
1. Na aba Overview, dentro de Internet Chat Files → Internet Explorer Brouser → Internet Explorer 
Files → MSIE History, navegue pelos arquivos “index.dat” da evidência Washer e informe quantos 
arquivos dentro da pasta “My Pictures” foram visualizados pelo usuário “Administrator”. 
2. Liste os arquivos: 
3. Crie um bookmark com o arquivo Index.dat que contém as informações encontradas. O bookmark 
deve estar junto aos demais bookmark do usuário “admin”. 
2.3 VISUALIZANDO ITENS DA LIXEIRA 
1. Procure a pasta “$Recycle.Bin” na evidência Mantooth e observe a estrutura das sub-pastas. 
2. Indique quantos arquivos estão na lixeira para o usuário Billy Bob Brubeck: 
3. Indique quantos arquivos estão na lixeira para o usuário Wes Mantooth: 
4. Indique quantos arquivos estão na lixeira para o usuário Drácula: 
5. Crie um bookmark com os arquivos “$I9HZOZ0.jpg” e “$R9HZOZ0.jpg” da pasta do Mantooth. O 
bookmark deve estar junto aos demais bookmarks do usuário “admin”. 
 
 
3 ARQUIVOS E PROPRIEDADE DE ARTEFATOS 
3.1 EXPORTANDO ARQUIVOS 
1. Na aba Overview, selecione os documentos do tipo Microsoft Word 2003. 
2. Selecione o arquivo “Dear Sweetie.doc” e com o botão da direita do mouse selecione Export. 
Observe as opções possíveis. 
3. Marque apenas a opção “Create manifest file”. Escolha uma pasta no desktop do seu computador 
(ou a pasta Export) e clique OK. Localize o arquivo manifesto e visualize seu conteúdo. 
4. Na aba Explore, navegue e selecione a pasta “MANTOOTH [NTFS] /root /USERS /Wes Mantooth 
/Documents /Hacker Suff”. 
5. Clique com o botão da direita do mouse e selecione Export. 
6. Selecione a opção “Export children” e selecione a pasta no desktop do seu computador (ou pasta 
Export) e clique OK 
7. Observe a pasta exportada e sua estrutura 
3.2 CONFIGURANDO COLUNAS 
1. Na aba Overview, selecione os documentos do tipo Graphics 
2. Na janela de listagem de arquivos, clique no ícone de gerenciamento de colunas 
3. Selecione a coluna “Date and Time” criada anteriormente e clique em “Copy Selected” 
 
4. Altere o nome desse novo template de colunas para “Arquivos por SID” 
5. Adicione “Owner SID” à listagem de atributos de colunas selecionadas 
6. Clique em “Make Shared” para compartilhar este template de coluna em outros casos do FTK 
 
7. Clique em “Apply” 
8. Modifique o template da coluna para listar “Arquivos por SID” 
 
3.3 COPY SPECIAL 
Copy Special é sinônimo de “copiar para a área de transferência do Windows” propriedades de um 
arquivo. 
1. Na aba Overview, selecione os documentos do tipo Graphics → Raster Graphics → JPEG 
2. Selecione 10 arquivos (highlighting) e com o botão da direita do mouse selecione “Copy Special” 
 
3. Marque All Highlithed e clique Ok. 
4. Abra o Excel 
5. Cole (ctrl-v) na célula A1 
6. Salve a planilha. 
É possível também salvar direto no formato CSV. 
7. Repita os passos anteriores, mas ao invés de selecionar “Copy Special”, selecione “Export File List 
Info” 
 
8. Salve o arquivo e observe o resultado no Excel. 
 
 
4 BUSCAS E DATA CARVING 
4.1 DATA CARVING AUTOMÁTICO 
1. Na aba Overview, selecione o container do tipo File Status → Data Carved Files 
 
2. No menu, selecione Evidence → Additional Analysis 
3. Na aba Miscellaneous, selecione “Data Carve” e clique no botão “Carving Options” 
 
4. Limpe toda a seleção e deixa apenas JPEG files como opção de data carving. 
5. Clique OK na janela de “Additional Analysis” e aguarde o processamento terminar. 
6. Na aba Overview, selecione os documentos do tipo File Status → Data Carved Files 
7. Observe os itens que foram adicionados. Qual o total de itens File Status → Data Carved Files: 
4.2 CARVERS CUSTOMIZADOS 
1. Refaça o data carving como descrito na seção anterior, mas no lugar de selecionar JPEG Files, 
selecione apenas AVI Videos criado anteriormente. 
2. Compare os resultados. Qual o total de itens Status → Data Carved Files: 
 
4.3 DATA CARVING MANUAL 
1. Na aba Live Search, busque pelo termo “rbadguy”. Adicione a palavra aos critérios de busca e 
clique no botão “Search Now” 
2. Expanda os resultados no espaço não alocado e escolha a primeira linha que apresenta 10 hits, 
selecione o primeiro hit. Observe que aparentemente temos um texto em HTML neste espaço não 
alocado 
 
3. Para fazer data carving manual, é preciso fazer a seleção no dado bruto, ou seja, HEX. Selecione o 
modo de exibição em HEX. 
4. Busque a “rbadguy” na visualização em HEX e faça uma seleção no hexadecimal do trecho que 
parece compor um arquivo HTML. 
5. Uma vez marcado o texto, selecione com o botão da direita “Save selection as a carved file” 
 
6. Salve o arquivo recuperado manualmente conforme descrito na imagem: 
 
7. O Bookmark deve ser nomeado “Chat recuperado” 
8. Na aba Overview, selecione os documentos do tipo File Status → Data Carved Files 
9. Clique duas vezes no arquivo “Chat recuperado.HTML” e visualize o seu conteúdo. 
10. Ainda na aba Live Search, busque pelo termo “password”. Limpe os critérios de busca e adicione a 
palavra “password” aos critérios de busca e clique no botão “Search Now” 
11. Nos hits no espaço não alocado, procure por alguma possível senha que possa ser recuperada. 
Qual as senhas encontradas? 
12. Faça o data carving manual criando um arquivo, e também um bookmark, de nomes “Password 
recuperada”. Qual deve ser o tipo de arquivo? 
 
 
5 SENHAS 
5.1INFORMANDO SENHAS PARA O FTK 
1. Crie no desktop um arquivo “passwords.txt” e dentro deste arquivo, na primeira linha, entre a 
palavra “tooth”. Salve o documento. Este documento contém o registro de palavras que foram 
identificadas como senhas válidas. 
2. Selecione a aba Overview e observe a classificação que o FTK faz para os documentos 
criptografados e decriptados 
3. Escolha o menu Tools→ Decrypt Files 
4. Mantenha selecionado as opções conforme apresentado abaixo: 
 
5. Clique no botão “Set Passwords” e entre a palavra “tooth” 
6. Clique no botão “Decrypt” 
7. Selecione a aba Overview e navegue até o container de arquivos decriptados (File Status → 
Decrypted Files) 
8. Crie um bookmark chamado “Arquivos Decriptados”, selecionando TODOS os arquivos lisados no 
container “Decrypted Files. O bookmark deve conter ainda o arquivo “passwords.txt” criado no 
passo 1 como arquivo suplementar. Certifique-se que a opção “Actual Source File” esteja 
selecionada para que os arquivos criptografados originais e relacionados sejam também 
adicionados ao bookmark (veja figura abaixo): 
 
 
 
6 KFF 
6.1 CRIANDO HASH DE ARQUIVOS 
1. Na aba de gráficos, ative o QuickPicks na raiz e selecione o filtro “email attachments” 
 
2. Limpe a seleção de todos os itens “checked” no caso. 
3. Selecione as imagens com nomes 1.jpg, 10.jpg, 12.jpg e 2.jpg indicadas na figura acima e, 
utilizando a barra de espaço, faça o check nessas imagens. 
4. Selecione com o botão da direita a opção “Export File List Info” 
5. Na janela de exportação, clique no botão “Column Setting” para criar um novo template de coluna 
chamado “Hash Export”. Configure as colunas para que tenham apenas as seguintes propriedades 
• Nome do arquivo 
• MD5 
• SHA1 
 
6. Certifique-se de selecionar “All checked”, a coluna criada como sendo “Hash Export” e o nome do 
arquivo no formato CSV “FileListExportPara KFF”, conforme imagem acima. 
 
6.2 IMPORTANDO HASHSETS NO KFF 
1. Selecione no menu Manage → KFF. 
2. Clique no botão para “Import” para importar Hash Sets no servidor de KFF 
 
3. Entre as informações que apontam para o arquivo de hashs criado anteriormente. Veja exemplo 
na figura abaixo: 
 
4. Após selecionar o arquivo de hash, clique no botão “Import” 
 
5. O pacote “Teste” foi adicionado ao conjunto de hashs disponíveis. Agora este conjunto de hash 
precisa fazer parte de algum grupo de hashes. Vamos criar então um novo grupo chamado “KFF 
Lab”. Clique no botão “New” para criar um novo grupo e preencha como indicado abaixo, 
selecionando o pacote Teste para fazer parte deste novo grupo (use << para trazer o pacote Teste 
para dentro do grupo). Note o nome e o status Alert. 
 
6. Clique ok. Na janela de administração do KFF, clique em “Done” 
7. Agora que importamos um hash set no KFF, podemos fazer uma análise adicional para tentar 
identificar se no caso em questão há arquivos de ALERTA na base do KFF. No menu, acesse 
Evidence→Additional Analysis e selecione a opção KFF, selecionando o grupo “KFF Lab”, tendo 
como alvo TODOS os itens do caso (“All Items”). Clique em OK e aguarde o final do 
processamento. 
 
8. Observe, na aba Overview → File Status, que o container “KFF Alert Files” agora contem 8 
arquivos que foram identificados como sendo do tipo Alert. 
 
 
7 BUSCAS E FILTROS 
7.1 BUSCAS 
1. Na aba Index Search, limpe os critérios de busca. 
2. Busque pelo termo “cat”. Adicione a palavra aos critérios de busca. 
3. Busque pelo termo “dog”. Adicione a palavra aos critérios de busca. 
 
4. Selecione a opção “Accumulate Results”. Oberve o resultado e responda: 
• Quantos hits possuem o critério “e” (“and”)? 
• Quantos hits possuem o critério “ou” (“or”)? 
5. Clique no botão “Search Now” usando os dois critérios acima descritos (usando “e” e “ou”). 
6. Expanda os resultados e observe como ficam as buscas