Unidade 1 - FTK (Análise)

Prévia do material em texto

Unidade 1 – FTK (Análise)
Prof. Gustavo Henrique
gustavo.ghmas@gmail.com
2019 
OBJETIVO DA DISCIPLINA:
 Desenvolver e exercitar habilidades para processar
casos relacionados à análise de material digital
questionado.
 Identificar e distinguir as principais opções de
análise de evidências digitais.
 Compreender o reflexo das ações do usuário em
evidências digitais por meio da ferramenta FTK.
 Proporcionar conhecimentos teóricos e práticos,
relacionados à ferramenta FTK, em relação à
realização de exames e elaboração de relatórios.
 Ao final da disciplina o aluno será capaz de:
utilizar o FTK para criar e customizar um novo caso;
 utilizar o FTK para adicionar evidências;
utilizar o FTK para analisar um caso e seus diversos tipos de 
artefatos;
utilizar o PRTK para decriptografar arquivos;
elaborar relatórios diversos.
 Aula expositiva seguida de prática;
 Imperativo que todos realizem os exercícios 
práticos;
 As práticas podem ser cumulativas num 
mesmo caso;
 Muito conteúdo para poucas horas!!
 Visualizando arquivos tipo containers
 Exportando arquivos e pastas
 Criando novos tipos de visualização de colunas
 Copy Special – exportação de propriedades de artefatos
 Análise Adicional (Indexação e Data Carving)
 Rótulos
Para visualizar os “filhos” de um arquivo 
tipo Container é preciso selecionar 
“Expand Compound Files” nas opções de 
processamento.
FTK considera alguns “metadados” como 
parte de arquivos do tipo Containers (como 
por exemplo, metadados de arquivos do 
Microsoft Office)
 Visualizando metadados
 Visualizando arquivos do tipo contêiner
 SYSTEM 
▪ Fuso horário, nome do computador, etc.
 SAM file
▪ Informações de login de cada usuário registrado…
 SOFTWARE
▪ data de instalação, nome de registro, versão do windows, 
etc…
FTK reconhece e cria uma visualização 
padrão para os principais chaves dos 
arquivos SYSTEM, SAM e SOFTWARE do 
Windows
Relatórios criados no 
Registry Viewer podem ser 
incorporados 
automaticamente no 
relatório do caso gerado 
pelo FTK.
Os registros do Microsoft Internet Explorer 
“index.dat” são processados pelo FTK para 
facilitar a visualização. 
Cada entrada no banco de dados é 
apresentada como um registro dentro do 
arquivo “index.dat” e pode ser utilizada 
pelo perito para fazer bookmarks e outras 
anotações. 
Existem algumas diferenças nos nomes das 
pastas de lixeiras em diferentes versões do 
Windows:
C:\RECYCLED = Win 95 / Win 98 (FAT)
C:\RECYCLER = Win XP (NTFS)
C:\$Recycle.Bin = Win Vista, 7, 8, 10... (NTFS)
No Windows 95/98 (FAT), quando o arquivo é 
movido para a lixeira, ele é renomeado. 
D - deleted file; C - drive de origem do disco 
(DC* se o arquivo original estiver no drive C:\)
1 - índice do arquivo
.JPG/.GIF - extensão do arquivo original.
Todos os arquivos são listados no arquivo 
INFO2.
No Windows Vista , Windows 7, 8 e 10, quando
deletamos um arquivo, dois arquivos são
criados na pasta $Recycle.Bin do usuário em
questão:
• $Ixxxx– aponta o caminho, nome e data em
que o arquivo foi deletado;
• $Rxxxx o arquivo propriamente dito.
No Windows Vista , Windows 7, 8 e 10 quando
deletamos um arquivo, dois arquivos são
criados na pasta $Recycle.Bin do usuário em
questão:
• $Ixxxx– aponta o caminho, nome e data em
que o arquivo foi deletado;
• $Rxxxx o arquivo propriamente dito.
 Visualizando arquivos do registro
 Visualizando páginas e arquivos visitados por 
browsers
 Visualizando itens da lixeira
 Visualizando arquivos tipo containers
 Exportando arquivos e pastas
 Criando novos tipos de visualização de colunas
 Copy Special – exportação de propriedades de artefatos
 Análise Adicional (Indexação e Data Carving)
 Rótulos
Artefatos (arquivos e pastas) podem ser 
exportados para:
• visualização externa e
• processamento em outros aplicativos. 
Cada item no FTK tem um 
identificador único (item 
number). Serve para evitar 
que arquivos sejam 
sobrescritos ou 
confundidos com outros de 
mesmo nome. Assim, todos 
revisores fazem referência 
ao mesmo artefato.
Adiciona a extensão correta 
para o arquivo (conforme a 
assinatura – magic number), 
permitindo assim que 
visualizadores externos 
possam ser corretamente 
utilizados.
Exporta mensagens de 
email e seus anexos... Se 
um anexo de email for do 
tipo ZIP, RAR, etc, o 
conteúdo dos containers 
são também exportados 
em sub-pastas. Containers 
criptografados não são 
extraídos e exportados.Exclui da exportação os 
dados em slack space
O FTK cria visualizações no 
formato HTML para vários 
tipos de arquivos, como por 
exemplo, Index.dat e 
emails. Esta opção faz com 
que a visualização no 
formato HTML também 
seja exportada. 
Exporta os emails em 
containers do tipo PST 
no formato .msg
(Microsoft)
Exporta os emails 
selecionados para 
containers do tipo PST 
(Microsoft)
Converte arquivos, como 
NSF, para containers do 
tipo PST (Microsoft)
Inclui miniaturas para os 
vídeos que o FTK 
processou
Inclui os vídeos 
convertidos e as 
miniaturas que o FTK 
processou 
anteriormente
Utiliza o número do 
artefato como nome do 
arquivo do email 
exportado.
Exporta informações da 
pastas num arquivo binário 
(como um item do caso).
Cria uma pasta de 
“Overflow” para evitar 
conflito com os limites de 
nomes do Windows
Cria um sumário dos 
arquivos exportando, com o 
nome, numero de item, 
caminho, hash para cada 
item exportado.
Cria as pastas 
correspondentes à 
estrutura de diretório onde 
o arquivo/item se 
encontrava na evidência 
original
Selecione os itens que 
devem ser exportados:
•Todos marcados,
•Todos listados,
•Todos em highligth
•Todos itens do caso
Caminho onde os arquivos 
serão criados.
 Observações finais sobre exportação de 
arquivos:
▪ As datas dos itens exportados conferem com a 
data original dos arquivos na evidência;
▪ Lembre que uma pasta de “overflow” será criada 
caso seja escolhida a opção para quando o 
tamanho máximo para sub-diretórios seja 
alcançado durante a exportação. 
 Mudança de Fuso Horário na Interface Gráfica
 Bookmarks 
 Visualizando arquivos tipo containers
 Exportando arquivos e pastas
 Criando novos tipos de visualização de colunas
 Copy Special – exportação de propriedades de artefatos
 Análise Adicional (Indexação e Data Carving)
 Rótulos
 Ordenamento
▪ Artefatos podem ser organizados em ordem alfabética por diferentes 
propriedades.
 Relatório
▪ Diferentes configurações podem ser utilizadas para apresentar as 
propriedades de artefatos em relatórios. 
 CopySpecial/Export
▪ Diferentes configurações podem ser utilizadas para listar e salvar as 
propriedades de artefatos.
FTK permite que a criação de padrões de 
listagem de artefatos em que colunas são 
configuradas para apresentar informações 
de interesse.
Utilize o recurso de TypeDown e ordenar 
para facilitar a busca por determinadas 
propriedades de artefatos de interesse
Selecione a coluna e digite 
rapidamente “desert”.
Primeira ocorrência de 
artefato cujo nome começa 
com “desert”.
 Mudança de Fuso Horário na Interface Gráfica
 Bookmarks 
 Visualizando arquivos tipo containers
 Exportando arquivos e pastas
 Criando novos tipos de visualização de colunas
 Copy Special – exportação de propriedades de artefatos
 Análise Adicional (Indexação e Data Carving)
 Rótulos
Copy Special Export File List
Copy Special Export File List
Copia para área Grava em 
transferência do arquivo as 
Windows as propriedades 
propriedades de de artefatos.
artefatos.
Copy Special Export File List
 Exportando arquivos
 Configurando colunas
 Copy special
 Mudança de Fuso Horário na Interface Gráfica
 Bookmarks 
 Visualizando arquivos tipo containers
 Exportando arquivos e pastas
 Criando novos tipos de visualização de colunas
 Copy Special – exportação de propriedades de artefatos
 Análise Adicional(Indexação e Data Carving)
 Rótulos
É possível processar novas análises numa 
evidência que tenha sido parcialmente 
processada:
• Data Carving, 
• Fuzzy Hashing, 
•OCR, 
• Registry Reports,
• etc.
É possível limitar o escopo da análise adicional da 
seguinte forma:
•Artefatos highlighted
•Artefatos marcados (checked)
•Artefatos listados na janela do FTK
•Todos os artefatos do caso
Data Carving procura por 
▪ arquivos incorporados dentro de outros 
objetos 
▪ arquivos excluídos localizados no espaço não 
alocado do disco
FTK procura arquivos pelo cabeçalho dos 
tipos conhecidos (pelo FTK)
 Útil quando você localiza fragmentos de 
arquivos, mas não encontra 
cabeçalho/rodapé
 Geralmente você encontra palavras e/ou 
frases de interesse durante as buscas por 
palavras-chave
Procure pela palavra “10K”
Todo arquivo de 
DataCarving (manual ou 
automático) é listado 
em “DataCarved Files”
Também são classificados 
na categoria apropriada 
(conforme sua 
assinatura)
 Data carving automático
 Carvers customizados
 Cata carving manual
 FTK é capaz de identificar e decriptar
▪ EFS, 
▪ Microsoft Office, 
▪ Lotus NFS documents
▪ S/MIME PKC57 files (MBOX, DBX, RFC822),
▪ Alguns formatos PST/ EDB
▪ Arquivos containers (zip, rar, etc.)
 Informando senhas para o FTK
É possível utilizar o FTK para verificar se o 
Hash da evidência coincide com o Hash
obtido no momento da aquisição, 
confirmando assim a integridade da cadeia 
de custódia.
Assim como no FTK Imager, é possível 
utilizar o FTK para montar uma evidência 
como um drive no computador local.
 Por qual motivo usamos a função de montar 
imagens?
▪ Acessar uma imagem com qualquer aplicativo do 
seu computador, sem a necessidade de exportar 
arquivos;
▪ Montar várias partições de uma só vez;
▪ Procurar por vírus/malware;
▪ Compartilhar uma imagem na rede com 
outros usuários.
 Mudança de Fuso Horário na Interface Gráfica
 Bookmarks 
 Visualizando arquivos tipo containers
 Exportando arquivos e pastas
 Criando novos tipos de visualização de colunas
 Copy Special – exportação de propriedades de artefatos
 Análise Adicional (Indexação e Data Carving)
 Rótulos
 Rótulos ou labels funcionam exatamente 
como os marcadores do Gmail e Outlook.
 Permite agrupar artefatos para 
▪ Visualização rápida,
▪ Criar bookmarks com arquivos com determinado 
rótulo,
▪ Etc...
Apresentação
(relatório)
AnáliseProcessamento
Computacionalmente 
intensivo
“Humanamente” 
intensivo
Proporcional ao 
tamanho do 
relatório
 Mudança de Fuso Horário na Interface Gráfica
 Bookmarks 
 Visualizando arquivos tipo containers
 Exportando arquivos e pastas
 Criando novos tipos de visualização de colunas
 Copy Special – exportação de propriedades de artefatos
 Análise Adicional (Indexação, Data Carving e Senhas)
 Rótulos