Análise Forense Digital

Prévia do material em texto

MARIANA MARTINS SILVA 
ANÁLISE FORENSE DIGITAL 
Investigação Digital 
 
• Técnicas e ferramentas que permitem recuperar, preservar e analisar evidencias 
digitais armazenadas em, ou transmitidas por dispositivos digitais. 
• Investigação digital (análise digital forense) tenta identificar: 
- Quais os dispositivos envolvidos no incidente. 
- Qual o uso dado aos dispositivos. 
- Qual o motivo por detrás do incidente. 
- Quem causou o incidente. 
Quando é que se aplica? 
• Recuperação de dados Falhas em equipamentos centrais à operação 
- Não existência de mecanismos de redundância 
- Catástrofes naturais (não previstas) 
▪ Focus na continuidade do negócio 
• Atividades não autorizadas 
- Natureza não técnica 
- Ações ilícitas mal-intencionadas 
- Visam corromper, danificar, impedir operação, etc. 
- sistemas informáticos 
▪ Focus na prova pericial (polícias)! 
Evidencias 
• Evidencia digital – objeto digital que contem informação fidedigna que suporte ou 
refute uma hipótese. 
• Podemos procurar evidencia em todo e qualquer suporte de armazenamento9 de 
informação (volátil ou permanente). 
• Podemos obter evidencias através: 
- Ficheiros eliminados 
▪ Dados temporais (data de eliminação, modificação, acesso, 
criação,etc) 
▪ Identificar que dispositivos de armazenamento (ex.: USB) estavam 
ligados a um PC específico 
▪ Identificar as aplicações instaladas (por vezes até após a sua 
desinstalação) 
▪ Histórico de navegação na Internet 
 
• Podem ser exemplos de evidencias digitais: 
- Documentos (docx, pptx, xlsx, . . .) 
- Emails (ameaças, divulgação de informação confidencial) 
- Software malicioso 
- Mensagens SMS, MMS (em telemóveis) 
 MARIANA MARTINS SILVA 
- Trabalhos de impressão eliminados 
• Devemos procurar evidncias em: 
- Ficheiros recuperados após eliminação (e respetiva informação) 
- Windows Registry (histórico de dispositivos USB, últimos ficheiros acedidos, 
etc) 
- Ficheiros de serviços de impressão (spool) 
- Ficheiro de hibernação e de memória virtual (swap) 
- Espaço livre, ficheiros temporários e cache de browsers 
Processo de análise forense digital 
 
• Identificação de fontes de evidências digitais 
o Que equipamentos foram utilizados pelo suspeito? 
• Preservação e cópia de evidências digitais 
o Se possível, fazer cópias fidedignas para análise posterior 
• Análise minuciosa das evidências digitais 
o Recuperação de ficheiros (undelete, file carving) 
o Pesquisa por palavras chave 
o Inspeção do Windows registry 
o Geração de diagramas temporais (timelines) 
• Documentação e apresentação dos resultados 
o Depoimento ou testemunho em tribunal 
 
• Recolha vs Preservação de evidências digitais 
o Armazenamento volátil (RAM) pode conter informação útil 
▪ Tabelas de ligações TCP, ARP tables 
▪ Lista de utilizadores ligados, de processos em execução, de ficheiros 
abertos, . . . 
▪ Possível efetuar-se uma cópia integral da RAM 
▪ RAM tem muitos conteúdos em cleartext 
o Pode não ser possível (desligado ou com falta de bateria) 
o Nem sempre é a melhor opção 
▪ Tempo gasto na análise pode permitir ao atacante limpar os seus 
rastos 
▪ Atacante pode instalar mecanismos de alerta 
• Persistência de evidências digitais ... 
o Generalidade dos sistemas operativos não apaga ficheiros de forma segura 
o Renomear ficheiros não evita a sua deteção 
o Formatação de discos não apaga grande informação 
o Acesso aos Emails via Web possibilita o acesso a emails sem se ter acesso à 
conta do utilizador 
o Ficheiros trocados pela rede podem ser recuperados e utilizados como prova. 
o Desinstalação completa de aplicações é muito complicada 
o Informação ”volátil” pode persistir mais tempo que o esperado 
o Resquícios da execução de aplicações mantêm-se 
o Utilizar dados cifrados é sempre difícil, a informação só é útil decifrada 
o Muito software anti-análise forense funciona mal 
 MARIANA MARTINS SILVA 
 
Método científico 
• Investigadores digitais têm de ser imparciais (ou neutros) 
• Método científico adequa-se ás necessidade de imparcialidade 
• Existem múltiplas metodologias (ou procedimentos) para regular a atuação dos 
investigadores digitais 
• Metodologias baseiam-se normalmente no método científico ou numa derivação deste 
• Conjunto de regras de como proceder para produzir conhecimento científico. 
• Consiste em juntar evidências empíricas verificáveis baseadas na observação 
sistemática e controlada, resultantes de experiências ou pesquisa de campo, e analisá-
las com o uso da lógica. 
• Método científico surge com a forma de avaliação de metodologias e procedimentos 
de análise forense digital! 
 
• Procedimento cíclico com 4 fases: 
 
o Recolha e análise de evidências 
o Formulação de hipóteses que expliquem as evidências 
o Avaliação das hipóteses 
o Conclusão e documentação das descobertas 
 
Metodologia PICR 
 
• PICR - Preservar, Isolar, Correlacionar, Registar 
• Preservar 
o Evitar a alteração de dados originais, mesmo que acidentalmente 
o Copiar dados e analisar apenas as cópias, 
o Calcular valores de síntese (hash) para provar que os dados não foram 
alterados 
o Usar dispositivos com bloqueio de escrita ao fazer a cópia dos dados originais 
o Minimizar a criação de ficheiros durante análises ao vivo (live) →alteração do 
estado do sistema em análise (ex.: datas de acesso a ficheiros) 
• Isolar 
o Evitar que código não conhecido e/ou malicioso altere o sistema em análise ou 
o sistema do analisador 
o Usar técnicas de virtualização (VMware, VirtualBox, . . . ) 
o Limitar ou impedir ligações de rede (firewall, rede separada, . . . ) 
o Evitar a execução de aplicações ou abertura de ficheiros suspeitos no 
computador do analista 
o Isolar sistemas ligados é tarefa muito complexa 
• Correlacionar 
o Comparar dados com outras fontes como forma de confirmação ou validação 
dos mesmos 
 MARIANA MARTINS SILVA 
o Pode-se manipular a data/hora de um sistema para invalidar que um ficheiro 
sirva como prova 
o Cruzar informação com dados de registo do sistema (logs), tráfego de rede ou 
outros eventos que possam confirmar (ou não) a data/hora de uma atividade. 
• Registar 
o Documentar todas as ações realizadas pelo investigador 
o Saber o que já foi analisado e como 
o Saber o que ainda falta analisar 
o Permitir a reprodução da análise do investigador, servindo de reforço ou 
confirmação 
o Identificar as alterações resultantes das ações do investigador (muito útil na 
análise a sistemas ligados) 
 
• Além da metodologia baseada no Método científico, foram surgindo outras ao longo 
do tempo. 
o 1. Digital Forensic Research Workshop (DFRWS) 
o 2. National Institute of Standards and Technology (NIST) 
o 3. Building a Digital Forensic Laboratory (Jones & Valli, 2009) 
Técnicas anti-forense 
• Conjunto de ferramentas que visam dificultar ou impedir a análise de evidências. 
• Ferramentas que escondem informação (encriptação, estenografia, . . . ) 
• Ferramentas que removem evidências (limpeza de discos ou ficheiros, destruição de 
discos, . . . ) 
• Ferramentas que escondem registos (alteração de timestamps em ficheiros, alteração 
de cabeçalhos de ficheiros, . . . ) 
• “Faz com que seja difícil encontrar-te e que seja impossível provar que te 
encontraram. 
Funções de resumo 
• Função de resumo (hash function) 
• Função para gerar rapidamente um bloco de bits, de tamanho fixo e pseudo-aleatório, 
a partir de um bloco variável de bits. 
• Muito utilizado para pesquisas rápidas (hash tables) 
• Permite a rápida deteção de duplicadosFunções criptográficas de resumo 
• Função criptográfica de resumo (secure hash function) 
o Função de resumo que deverá garantir algumas propriedades criptográficas 
adicionais. (R. Anderson, 2008) 
• Propriedades necessárias 
o One-way: Para um determinado valor y deve ser computacionalmente 
impossível descobrir um x tal que H(x) = y 
o Resistente a colisões fracas: Para um determinado valor x deve ser 
computacionalmente impossível descobrir um x’ tal que H(x’) = H(x) 
 MARIANA MARTINS SILVA 
o Resistente a colisões: Deve ser computacionalmente impossível descobrir um 
par x ≠ y tal que H(x) = H(y) 
• Exemplos 
o MD4 = Message Digest 4 [RFC 1320] - operações 32 bits 
o MD5 = Message Digest 5 [RFC 1321] - operações 32 bits 
o SHA = Secure hash algorithm [NIST] 
o SHA-1 = Updated SHA – SHA-2 = SHA-224, SHA-256, SHA-384, SHA-512 
o SHA-512 usa operações a 64 bits 
 
• Colisões 
o Dois conjuntos de dados diferentes, por mais parecidos que sejam, devem 
gerar resumos criptográficos diferentes. 
Função input Output 
MD5 Informática Forense a2fe2b5274a769abab7bd7866ed8b6c95 
MD5 Informática forense a4c94cc336407540b8f934bcb7657575 
 
Investigação digital a sistemas ligados (Live) ou Live Digital 
Forensics 
 
• Para efetuar uma investigação digital a sistemas ligados é preciso: 
o 1. Identificar e compreender a diversa informação de estado mantida pelo 
sistema operativo (processos, ligações de rede, ficheiros abertos, . . . ) 
o 2. Utilizar ferramentas que permitam a sua recolha 
• As ferramentas a utilizar estão dependentes do sistema operativo utilizado, bem com 
da sua versão. 
• Os sistemas operativos atuais já incluem ferramentas que permitem avaliar e 
administrar o seu funcionamento. 
• Contudo, os técnicos de análise forense digital frequentemente recorrem a 
ferramentas próprias (desenvolvidas pelas próprios), scripts e ferramentas específicas 
para uso forense com o intuito de obter informação mais detalhada. 
• Em particular, o uso de scripts é comum e recomendado e tem por base vários 
motivos. 
• A necessidade de rapidez e eficiência na recolha em sistemas ligados (Live) causando o 
menor impacto possível é um dos motivos. 
• Realça-se também o facto de a própria análise live alterar o estado do sistema em 
análise. 
• Outro motivo assenta na necessidade de a análise forense assentar na utilização de 
procedimentos previamente definidos, constantes quanto possível e coerentes entre 
situações de análise diferentes. 
 
Ferramentas para Live Digital Forensics 
• Tr3Secure's Data Collection Script 
• The Volatility Framework 
 MARIANA MARTINS SILVA 
• Dumps de memória com LiME 
• … 
Tr3Secure's Data Collection Script 
• O Tr3Secure's Data Collection Script é um script para recolha de evidências forenses 
digitais em sistemas ligados que executem sistemas operativos Microsoft Windows. E 
desenvolvido por Corey Harrell e disponibilizado no seu blogue \Journey Into Incident 
Response". 
• Sintaxe de utilização: 
o tr3-collect.bat [caso] [disco] [opção] 
▪ em que: 
• [caso] deve ser um identificador único para o caso em análise 
• [disco] deve ser a letra do disco onde se quer gravar o 
resultado da execução do script 
• [opção] é opcional e deve ser um numero de 1 a 5: 
o 1. Obter imagem forense da memoria RAM 
o 2. Obter informação volátil 
o 3. Obter informação não volátil 
o 4. Obter informação volátil e não volátil (opção por 
omissão) 
o 5. Obter imagem forense da memoria, informação 
volátil e não volátil (opção por omissão) 
Dumps de memoria com LiME 
• Os sistemas Linux mais recentes não permitem o acesso direto a memória RAM, 
limitando a quantidade de informação que se pode obter de cada vez. 
• Ou seja, em sistemas Linux com versões de kernel mais atuais, comandos como o 
memdump, ou o dd if=/dev/mem . . . , entre outros, já não funcionam corretamente. 
• A solução nos sistema atuais passa por alterar o comportamento do kernel para que 
passe a aceitar dumps integrais da memoria RAM recorrendo a módulos de kernel que 
podem ser carregados em tempo de execução (normalmente conhecidos como 
loadable kernel modules. Um destes módulos é o Linux Memory Extractor ou LiME. 
The Volatility Framework 
• A Volatility framework é um conjunto de ferramentas implementadas em python que 
permitem a análise de dumps de memoria RAM. 
• Pode funcionar com diferentes tipos de imagens de memória, incluindo: raw files, 
dump files, virtual memory (vmem), mem file, hybernate file 
• Suporta imagens de memoria RAM da generalidade dos sistemas operativos atuais (XP, 
2003 Server, Vista, Server 2008, Server 2008 R2, Win 7, Win 10, Debian, Ubuntu, 
OpenSuSE, Fedora, CentOS e Mac OSX). 
• É multiplataforma (pode ser executado em Windows, Linux e Mac). 
• O exemplo seguinte demonstra como se executar o volatility para obter uma listagem 
de Profiles suportados, plugins disponíveis, e outras informações. 
o ./volatility_2.5_mac --info 
 MARIANA MARTINS SILVA 
• Uma listagem dos plugins para imagens de memória de sistemas Linux, pode ser 
obtida filtrando a informação fornecida pelo comando anterior. O exemplo seguinte 
demonstra-o. 
o ./volatility_2.5_mac –info | grep -i linux 
Introdução á analise de dados armazenados 
 
Visão geral - Conceitos introdutórios 
• Dados são guardados em suportes de armazenamento 
o Discos, cartões de memória, pens USB, . . . 
• Suportes de armazenamentos tem estrutura própria 
o MBR, GPT 
o Encontram-se divididos em partições 
o Cada partição tem um sistema de ficheiros 
• Sistemas de ficheiros organizam a forma como se armazenam os dados 
o FAT (12,16,32), NTFS, EXT(2,3,4), UFS, . . . 
o Alguns sistemas de ficheiros são de conhecimento público, outros são 
proprietários 
 
Organização dos discos - Estrutura de um disco 
• Os tipos de discos mais comuns são os organizados por 
o Master Boot Record (MBR) 
o GUID Partition Table (GPT) 
• GPT faz parte da norma UEFI que veio para substituir a BIOS 
• O MBR/GPT é armazenado no início do disco, contendo a sua estrutura (tabela de 
partições) 
• Cada partição utiliza um sistema de ficheiros 
• Reparticionar um disco não apaga dados, apenas a tabela de partições 
Organização dos discos - Master Boot Record 
 
Figura 1 - Layout de um disco com MBR 
 MARIANA MARTINS SILVA 
• Ocupa os primeiros 512 bytes do disco 
• Incluí apontadores para 4 partições primárias (que podem ou não estar em uso) 
• Partições adicionais (além destas 4) 
o Requer que uma seja marcada como partição estendida 
o Partição estendida requer um Extended Boot Record (EBR) 
o EBR pode conter apontador para o EBR seguinte 
▪ Número ilimitado de partições estendidas 
• Estrutura genérica 
 
 
 
 
 
 
• Estrutura do campo partição (partition entry) 
 
 
 
 
• Tipos de numeração de setores no disco 
o CHS - Cylinder/Head/Sector (mais antigo) 
o LBA - Logical Block Addressing (mais recente) 
 
• Exemplo de entrada de partição 
 
0x1BE Partição está ativa (valor 80h) 
 0x1BF Setor inicial da partição CHS(0,1,1) 
Head, Sector and Cylinder – 01 01 00 
0x1C2 Tipo de partição (0B  FAT32) 
 
 MARIANA MARTINS SILVA 
Organização dos discos – Extended Boot Record 
 
Figura 2 - Layout de um EBR 
- Estrutura genérica 
 
 
- Têm a mesma estrutura que uma MBR partition entryMARIANA MARTINS SILVA 
Organização dos discos - GUID Partition Table 
 
- GUID Partition Table (GPT) é a forma de organização 
de discos incluída na norma Unified Extensible 
Firmware Interface (UEFI) 
- Utiliza endereçamento por LBA (blocos de 512 bytes – 
mas podem ser maiores) 
- Suporta partições de tamanho superior aos em MBR 
- Pode ser utilizada em alguns sistemas com BIOS, 
desde que suportado pelo sistema operativo (ex.: 
Linux) 
- Primeiro bloco de 512 bytes (LBA-0) é ignorado por 
ser o espaço normalmente utilizado pelo MBR 
- Estrutura genérica 
 
- LBA-1 refere-se ao último LBA do disco. 
- Estrutura do cabeçalho GPT 
 
- Estrutura de entrada de partição em GPT 
Figura 3 - Layout de um disco com GPT 
 MARIANA MARTINS SILVA 
 
Sistemas de ficheiros - FAT 
 
Figura 4 - layout de uma partição FAT 
- Boot code costuma estar vazio 
- Diretoria base conhecida como root directory 
- FAT #2 é uma cópia de segurança da FAT #1 
 
• Tipos de entradas FAT #1 
o Não utilizado (0x0000 0000) 
o Cluster com erro (0xFFFF FFF7) 
o Último cluster de um ficheiro (0xFFFF FFF8) 
o Número do próximo cluster de um ficheiro 
• Exemplo de FAT #1 
 
o FILE1.TXT: Ocupa clusters 2, 3 e 4 
o FILE2.TXT: Ocupa clusters 5, 6 e 8 (Fragmentado) 
o FILE3.TXT: Ocupa cluster 7 
 
 
 
FAT: File Allocation Table 
 MARIANA MARTINS SILVA 
- Sistema de ficheiros simples, muito popular 
- Utilizado primeiramente em sistemas DOS, Windows 
- Atualmente é utilizado em pens USB, cartões de memória, smartphones 
 
- FAT12, FAT16, FAT32, exFAT 
o A versão indica o número de bits utilizado para referenciar clusters no disco. 
▪ FAT12 → 12 bits → 4.080 clusters 
▪ FAT16 → 16 bits → 65.520 clusters 
▪ FAT32 → 28 bits → 268.435.444 clusters 
▪ exFAT → 64 bits → 4.294.967.295 clusters 
o Um cluster é um conjunto de sectores 
o Um sector é a unidade mínima de armazenamento de dados 
 
- FAT32 
o Compatível com a maioria dos sistemas operativos; 
o Economiza espaço em disco; 
o Suporte ao armazenamento de ficheiros com até 4 GB; 
o Compatível com partições maiores que 32 GB. 
 
- exFAT 
o Admite armazenamento de ficheiros únicos com mais de 16EB; 
o Compatível com partições maiores que 32 GB. 
o Possui menos fragmentação e grande economia de espaço; 
o Compatível com vários sistemas operativos. 
- NTFS 
o Suporta formatação de unidades com mais de 32 GB; 
o Tecnologia de compactação permite economia de espaço em disco; 
o Possui sistemas de segurança e backup; 
o Suporte ao armazenamento de ficheiros com até 16 TB 
Sistemas de ficheiros – Utilização do disco 
• Um sector tem normalmente 512 bytes de tamanho 
• Um sector é o tamanho mínimo para operações de leitura/escrita no disco 
• Sempre que se utiliza um sector, este é considerado como totalmente ocupado 
o Se se guardar 10 bytes num sector, os restantes 502 bytes são desperdiçados 
o Bytes não sobrescritos, mantém dados anteriores 
• Espaço em disco é alocado a ficheiros em conjuntos de sectores 
• Número de sectores por cluster tem de ser uma potência de 2 (1,2,4,. . . ) 
• Sectores não utilizados num cluster, mantém dados anteriores 
• Cluster é a unidade mínima de alocação de ficheiros 
 
 MARIANA MARTINS SILVA 
Sistemas de ficheiros – Exemplos de clusters 
 
• Cluster 1 usa 2 sectores, já o cluster 2 usa 4 
sectores 
 
• Espaço não utilizado no fim de cada ficheiro é 
chamado de folga (ou slack) 
 
Sistemas de ficheiros – NTFS 
 
• NTFS: New Technologies File System 
o Sistema de ficheiros utilizado em Windows NT, 2000, . . . 
o Sistema proprietário da Microsoft 
o Suporte para ficheiros superiores a 4GB 
o Todos os registos são ficheiros (mesmo a própria $MFT) 
 
 
 
 
 
 
• Partition Boot Sector poder ocupar de 1 a 16 setores 
• Usa vários ficheiros de sistema (com metadados), como o $MFT, $Bitmap, $LogFile. 
• Mantém assinatura 0x55 0xAA (posição 0x1FE) 
 
Sistemas de ficheiros – Estrutura do MFT 
 
• Registo ocupa 1KB 
• Cada registo pode conter um diretório 
ou ficheiro (até aprox.512 bytes) 
• Primeiro registo é a própria $MFT 
• Segundo registo é uma cópia de 
segurança do $MFT ($MftMirr) 
 
 
 
 
Figura 5 - Layout de uma partição NTFS 
Figura 6 - Estrutura do MFT 
 MARIANA MARTINS SILVA 
Sistemas de ficheiros - EXT 
 
EXT: Extended File System 
• O sistema EXT foram criados para o UNIX e acabaram por ser a base de criação dos 
sistemas operativos do Linux. 
• Vai atualmente na versão 4 (EXT4) 
• Estrutura tem se mantido ao longo da sua evolução 
• Novas versões traduzem novas funcionalidades 
 
 
Figura 7 - Layout de uma partição EXT 
• Organizado em blocos (de 1KB até 64KB) 
• Bloco inicial de 1024 bytes é ignorado 
 
Representação de dados – números 
 
• Binário - Representação digital (0-1) 
• Octal - Representação digital compacta (0-7) 
• Decimal - Representação humana (0-9) 
• Hexadecimal - Representação digital compacta (0-F) 
 
• Valor depende da posição 
• Número 25102d 
 
- 2 * 104 + 5 * 103 + 1 * 102 + 0 * 101 + 2 * 100 
▪ Número 2 à esquerda vale mais (mais significativo) 
▪ Número 2 à direita vale menos (menos significativo) 
- Big-endian - byte mais significativo em primeiro lugar 
- Little-endian - byte menos significativo em primeiro lugar 
 
 
 
 
 
 
 MARIANA MARTINS SILVA 
• Ordem dos dados 
- Processadores big-endian 
▪ Sparc, PowerPC, MIPS . . . 
- Processadores little-endian 
▪ z80, x86, x86-64, adm64 . . . 
- Processadores programáveis (big/little) 
▪ ARM . . . 
- Redes big-endian 
▪ Redes IP (com exceções) 
Representação de dados - carateres 
• Codificação ASCII 
(American Standard Code for Information Interchange) 
o Caracter ocupa um byte (sem problemas de endianness) 
o Versão original usa apenas 7 bits 
o Ocupa menos espaço que Unicode 
o Múltiplas versões estendidas (8 bits) 
o ISO-8859 (latin-1) +e mais comum 
• Codificação Unicode 
o Representa carateres da generalidade das línguas 
o Várias versões 
▪ UTF-8: 1 a 4 bytes, compatível com ASCII 
▪ UTF-16: 2 bytes ou 4 bytes 
▪ UTF-32: 4 bytes (fixo) 
 
Análise a dados – procedimento 
• Procedimento de análise de discos, imagens de discos ou imagens de partições inclui 
as seguintes fases: 
o 1. Recolha da informação 
o 2. Recuperação de dados perdidos/eliminados 
o 3. Identificação de ficheiros conhecidos/desconhecidos 
o 4. Estabelecimento de linhas temporais de eventos (timelines) 
• Seguindo-se a análise forense pelo técnico 
• Recolha da informação 
o Cópia fidedigna e autêntica 
▪ Cópia bit a bit da totalidade do(s) disco(s) (ou partições) sem se 
considerar se o espaço está livre ou não 
o Informação armazenada é não volátil 
▪ Recolha física do suporte de armazenamento também é possível 
 
 
 
 
 MARIANA MARTINS SILVA 
• Recuperação de dados perdidos/eliminados 
o Tentativa de recuperação de ficheiros eliminados 
o Recuperação de ficheiros em discos formatados 
▪ Uso de ferramentas de recuperação de ficheiros eliminados (undelete) 
▪ Uso de ferramentas de file carving 
• Extração de ficheiros, de blocos de bytes, usando padrões 
o Análise com recurso a editores hexadecimais 
• Identificação de ficheiros conhecidos/desconhecidos• Maioria dos ficheiros encontrados nos suportes de armazenamento são ficheiros 
conhecidos 
o Ficheiros de sistema operativo, de aplicações mais comuns, . . . 
• Há entidades que calculam os resumos (MD5, SHA1) destes ficheiros 
• Podem ser ignorados, reduzindo drasticamente a quantidade de informação a analisar 
pelo técnico 
• Utilizar programas específicos (file, hexdump, strings, antivírus, . . . ) 
 
• Identificação de ficheiros: comando file 
o Comando file é um comando Unix/Linux que tenta identificar o tipo, versão e 
meta-dados de ficheiros 
o Usa base de dados de assinaturas/cabeçalhos (em hexadecimal) 
 
• Identificação de ficheiros: comando hexdump 
o Comando hexdump é um comando Unix/Linux que permite ver o conteúdo de 
um ficheiro em hexadecimal 
o Útil para verificar/validar assinaturas de ficheiros em hexadecimal 
 
• Identificação de ficheiros: comando strings 
o Comando strings é um comando Unix/Linux que permite ver apenas os 
caracteres legíveis do conteúdo em binário 
o Útil para procurar texto cleartext em ficheiros binários (ex.: dumps de RAM) 
 
• Estabelecimento de timelines 
o Recolha e listagem de eventos sobre ficheiros em análise 
▪ Eventos como momentos de criação, acesso, alteração e eliminação 
o Construção de uma linha de eventos temporal (timeline) 
o Timeline é base da análise de correlação de eventos. 
 
Data Digital Forensics 
 
 Investigação digital a suportes de armazenamento de dados 
1. Saber identificar e compreender fontes e/ou dispositivos de armazenamento de dados: 
• Como funcionam os sistemas de armazenamento de dados 
• Conhecer as operações de remoção de informação (delete, formatação) 
2. Saber utilizar ferramentas que permitam a sua recolha, recuperação e análise. 
 MARIANA MARTINS SILVA 
• Procedimentos 
o Efetuar a recolha de dados por meio de uma cópia fidedigna e autêntica. 
o Comandos como o dd, ou o ddrescue, são utilizados muito frequentemente 
nas operações de recolha. 
▪ Efetuam copias bit a bit da totalidade dos discos (ou partições) sem 
considerarem se o espaço em disco está livre ou não. 
o Outro procedimento tradicional é o de se criar um resumo criptográfico (ou 
hash) da imagem do disco/partição usando algoritmos como o MD5 (comando 
md5sum) ou SHA-1 (comando sha1sum). 
▪ Claro está que os comandos ou ferramentas utilizadas dependem do 
sistema operativo do posto de trabalho do técnico forense. 
 
• De realçar é o fato de a informação armazenada em dispositivos de armazenamento 
como discos rígidos, pens USB ou cartões de memória (Ex.: SD) não ser volátil, pelo 
que a sua recolha pode ser efetuada também pela recolha física do suporte de 
armazenamento. Pode-se, por exemplo, remover um disco rígido do computador em 
questão e analisá-lo mais tarde no laboratório, ligando-o a um outro computador. 
 
• A análise a um sistema de armazenamento, após a recolha, incluí a tentativa de 
recuperação de ficheiros eliminados, ou a recuperação de ficheiros em discos 
formatados. Seguindo-se a recolha e listagem de eventos sobre estes ficheiros 
(momentos de criação, acesso, alteração e eliminação) e a construção de uma linha de 
eventos temporal (timeline). Esta timeline servirá de base à análise de correlação de 
eventos. 
 
Análise de imagens de discos 
 
• O processo de análise de discos, imagens de discos ou imagens de partições inclui 
normalmente as seguintes fases: 
o 1. Recolha da informação 
o 2. Recuperação de dados perdidos/eliminados 
o 3. Identificação de ficheiros conhecidos/desconhecidos 
o 4. Estabelecimento de linhas temporais de eventos (timelines) 
 
• Existem diversos utilitários disponíveis gratuitamente na Internet, tipicamente como 
open source. Das ferramentas open source, há dois conjuntos de ferramentas que 
surgem como as mais comuns, mais utilizadas, mais referenciadas e vulgarmente 
recomendadas na Internet: 
o The Sleuth Kit / Autopsy – O The Sleuth Kit (TSK) é uma biblioteca e uma 
coleção de ferramentas de linha de comandos que possibilita a análise de 
imagens de discos rígidos ou partições. Já o Autopsy pode ser usado como 
uma interface gráfica para o TSK, mas é também uma plataforma de análise 
forense digital. O Autopsy é multiplataforma, mas mais comum em 
plataformas Windows. 
 
 MARIANA MARTINS SILVA 
o Digital Forensics Framework – O Digital Forensics Framework é um ambiente 
de análise forense, multiplataforma e open source, que incluí também versões 
comerciais. É modular e pode ser usado em ambiente linha de comandos ou 
em ambiente gráfico. 
 
Recolha de imagem de discos – Linux 
• Em sistemas Linux pode-se efetuar uma imagem de um disco (ou partição) recorrendo 
ao comando dd. 
• Cria uma imagem do disco /dev/das no ficheiro /media/PENUSB/imagem.bin. 
o Note: que o parâmetro if é utilizado para indicar a origem dos dados, e o of é 
utilizado para indicar o destino dos dados. 
• Antes de se proceder à recolha de uma partição ou disco, é normal recorrer a 
comandos auxiliares para tentar identificar as partições ou discos a recolher para 
análise. Um comando útil é o comando df, que permite obter uma lista de partições ou 
discos em uso no sistema, bem como a sua capacidade, ocupação, e ainda o seu 
mount point. 
• O mount point de uma partição sugere a sua utilização. Por exemplo, o mount point 
/home (linha 8 do exemplo seguinte) indica, normalmente, que é a partição onde se 
armazenam os perfis dos utilizadores. 
Identificação de ficheiros 
• Um procedimento comum, que visa acelerar o processo de análise de um disco ou 
suporte de armazenamento, é o de identificar ficheiros conhecidos. Considerando um 
qualquer sistema operativo, por exemplo, é muito normal que este seja composto por 
muitos ficheiros (ultrapassando facilmente as dezenas de milhares). Utilizando funções 
criptográficas de resumo (ou hash) torna-se possível identificar um ficheiro e verificar 
que este não viu alterado o seu conteúdo (mesmo quando renomeado). 
• Num processo de análise a suportes de armazenamento, cada vez maiores, a 
informação de que um determinado ficheiro é um ficheiro comum, permite dirigir a 
atenção do analista forense para outros ficheiros, potencialmente mais relevantes 
para a investigação. 
• É cada vez mais comum encontrar disponível na Internet, bases de dados de hashs 
MD5 (ou outras) de ficheiros conhecidos. Ficheiros como os que compõem os sistemas 
operativos mais comuns (Microsoft, Apple, Linux) fazem parte destas bases de dados e 
permitem filtrar automaticamente dezenas de milhares de ficheiros de um disco ou 
suportes de armazenamento. 
• Existem várias bases de dados na Internet passiveis de serem utilizadas por 
ferramentas forenses, contudo a performance surge como ponto crítico já que um 
processo de identificação de ficheiros implica que se efetue o resumo (Ex.: MD5) de 
todos os ficheiros, bem como a sua comparação com resumos previamente efetuados 
e guardados numa base de dados. 
• Ou seja, para esta tarefa, são necessárias duas componentes críticas: 
o 1. A base de dados de resumos (ou hashs); 
o 2. Aplicações que permitam a comparação com a informação na base de 
dados. 
 
 MARIANA MARTINS SILVA 
National Software Reference Library Reference Data Set. 
• O NSRL RDS é uma base de dados publicada e atualizada pelo NIST que é distribuída 
gratuitamente na Internet. A base de dados é distribuída em vários formatos (ISO, Zip, 
. . . ) e em várias versões (completa, reduzida, lista de produtos, lista de sistemas 
operativos, . . . ). 
Nsrllookup: 
• O Nsrllookup é um conjunto decliente (nsrllookup) e servidor ( nslsvr) que possibilita a 
utilização da base de dados NSRL. O nslsvr permite montar um servidor que procura na 
base de dados NSRL por um determinado valor de resumo (hash), caso encontre tal 
significa que o ficheiro é um ficheiro conhecido. O servidor nslsvr tem a particularidade 
de carregar para memória RAM a totalidade da base de dados de resumos do NSRL. 
Caso se opte pela base de dados completa, tal significa que o nslsvr vai necessitar de 
9GB de RAM (aprox.). 
• O nsrllookup é o programa utilizado pelos analistas forenses para interagir com o 
servidor (nslsvr), tendo sido desenhado para ser usado em linha de comandos em 
conjunto com aplicações que calculem resumos criptográficos a ficheiros de forma 
recursiva. O programador do Nsrllookup, sugere a aplicação de resumos criptográficos 
md5deep. 
• O nsrllookup tem a particularidade de mostrar apenas os resumos dos ficheiros não 
encontrados na base de dados. 
 
Investigação digital com Autopsy 
• Autopsy é uma ferramenta gráfica vocacionada para a investigação digital de imagens 
de suportes de armazenamento. 
• Suporta a análise de imagens de sistemas Android. 
• E expansível (suporta módulos desenvolvidos em Python) 
• É desenvolvida em Java, inicialmente para Windows, mas atualmente também 
funciona em Linux e OS X 
Autopsy – Processamento automatizado 
• Suporte multi-núcleo 
o Autopsy suporta execução multi-thread do módulo file ingest 
o Visa reduzir o tempo utilizado por este 
o Requer configuração do número de threads a usar 
• Módulo: Recent Activity 
o Extrai informação dos últimos 7 dias 
▪ Utilização da Internet (incluindo pesquisas) 
▪ Programas instalados 
▪ Equipamentos ligados (USB) 
▪ Processa o Registry hive 
o Informação é colocada em Extracted Content, dentro de Results 
• Módulo: Hash Lookup 
 MARIANA MARTINS SILVA 
o Calcula valores de resumo (MD5) de todos os ficheiros encontrados e 
compara-os com bases de dados deste tipo de valores (hashs MD5) 
▪ Known good hashsets 
• Ficheiros que podem ser ignorados 
▪ Known bad hashsets 
• Ficheiros que devem ser validados 
• Módulo: Hash Lookup 
o Hash sets 
▪ Geralmente só são disponibilizadas para forças policiais (ex.: hash 
sets de imagens de pornografia infantil) 
▪ Lista pode ser good ou bad dependendo do caso 
▪ National Software Reference Library (NSRL) do NIST 
• Módulo: File Type Identification 
o Verifica o tipo de cada ficheiro em função das suas características e 
recolhe meta dados 
▪ Utiliza o Tika (http://tika.apache.org/) 
▪ Módulo de indexação sem output próprio 
▪ Gera informação para outros módulos 
• Extension Mismatch Detector 
• Keyword Search 
• Módulo: Embedded File Extraction 
o Descomprime ficheiros comprimidos (ZIP, RAR) ou embarcados (DOC, 
DOCX, PPT, PPTX, XLS e XLSX), processando-os de novo. 
▪ Possibilita a análise de ficheiros incluídos nestes arquivos 
▪ Resultados aparecem na vista Archives, em File types 
• Módulo: EXIF Parser 
o Extrai informação em formato EXIF (Exchangeable Image File Format) 
armazenada em imagens 
▪ Geolocalização, data, hora 
▪ Modelo da câmara, definições (exposição, resolução) 
▪ Resultados aparecem em EXIF Metadata, em Extracted contente 
• Módulo: Keyboard Search 
o Pesquisa por palavras chave durante o processamento inicial ou a pedido 
▪ Extrai texto dos ficheiros em processamento e adiciona-as a um 
índice (Solr) 
▪ Suporta vários formatos (Texto, MS Office, PDF, E-mails) 
▪ Em formatos não suportados 
• Algoritmo de String Extraction 
• Possibilita identificação de codificações e línguas 
• Módulo: Keyboard Search 
o Listas predefinidas 
▪ Autopsy inclui listas predefinidas para palavras chave frequentes – 
Endereços web (URLs) 
• Endereços IP 
• Números de telefone 
• Endereços de e-mail 
▪ Geram um número significativo de falsos positivos 
http://tika.apache.org/
 MARIANA MARTINS SILVA 
• Módulo: Email Parser 
o Identifica e processa ficheiros de programas de correio eletrónico (MBOX, 
PST) 
▪ Extrai e-mails lá contidos 
▪ Processa os respetivos anexos 
• Módulo: Extension Mismatch Detector 
o Identifica ficheiros que tenham uma extensão diferente da esperada 
▪ Visa identificar tentativas de camuflagem de ficheiros 
• Módulo: E01 Verifier 
o Verifica o valor de checksum de ficheiros fonte em formato E01 
▪ Calcula e compara com os valores contidos nos próprios ficheiros 
E01 
▪ Visa evitar o processamento de ficheiros E01 corrompidos 
• Módulo: Interesting Files Identifier 
o Gerar alertas quando detetar ficheiros e pastas com determinadas 
características 
▪ Tipo (ficheiro/pasta) 
▪ Tamanho, Extensão 
▪ Nome, Caminho 
▪ Tipo MIME 
• Módulo: PhotoRec Carver 
o Extrai ficheiros de espaços não alocados 
▪ Suporta vários tipos de ficheiros 
▪ Possibilita a descoberta de ficheiros eliminados recentemente 
▪ Permite a adição personalizada de assinaturas de ficheiros 
▪ Opção “Process Unallocated Space” tem de estar ativa 
• Módulo: Virtual Machine Extractor 
o Identifica discos de máquinas virtuais e adicionaos como novas fontes de 
dados 
▪ Suporta ficheiros VMWare (vmdk) e Microsoft Virtual Hard Drives 
(vhd) 
Autopsy – Análise de conteúdos 
 
• Tree Viewer 
o O Tree viewer indexa informação resultante do processamento automático e 
dá acesso a quatro grandes áreas 
▪ Data sources: Indica os ficheiros utilizados como fonte de dados, 
permitindo a navegação dentro dos respetivos sistemas de ficheiros. 
▪ Views: Mostra os ficheiros encontrados sob múltiplas vistas (tipo, 
tamanho, estado). Um mesmo ficheiro pode surgir aqui várias vezes 
(em vistas diferentes). 
• File type: Ordena ficheiros por extensão ou tipo MIME. 
• Recent files: Ficheiros acedidos nos últimos 7 dias. 
• Deleted files: Ficheiros eliminados, tentando recuperar o seu 
nome original. 
• File size: Ordena ficheiros por tamanho. 
 MARIANA MARTINS SILVA 
▪ Results: Mostra os resultados encontrados pelos vários módulos. 
▪ Reports: Indica os vários relatórios produzidos, quer manual, quer 
automaticamente pelos módulos 
• Galeria de imagens 
o Útil quando a análise de imagens é relevante para o caso em consideração. 
Está disponível no menu Tools 
▪ Agrupa imagens por pasta, arquivo comprimido 
▪ Permite a visualização de imagens quando detetadas 
▪ Funcionalidade pode ser ativada/desativada nas opções 
▪ Permite catalogação de imagens (focado em pornografia infantil e 
similares) 
• Pesquisa de ficheiros 
o Útil quando se procura por um ficheiro com características específicas. Está 
disponível no menu Tools 
▪ Nome 
▪ Tamanho 
▪ Tipo MIME 
▪ Datas 
▪ Bom/Mau 
 
Investigação digital a dispositivos móveis 
I 
Importância dos telemóveis (para a investigação forense) 
• Telemóveis têm um elevado potencial de produção evidências 
o Fazem parte do quotidiano 
▪ Em média, cada pessoa verifica o seu telemóvel 85 vezes por dia e usa-
o durante 5 horas/dia 
o Armazenam quantidades enormes e variadas de informação 
▪ chamadas, mensagens, GPS, ligações de rede 
▪ emails, fotos, vídeo, redes sociais 
o Venda de telemóveis ultrapassou venda de PCs em 2011 
 
Localização da informação 
• Informação pode residir em 3 locais distintos 
o Telemóvel, cartão SIM e em cartões de memória 
• Alguma informação pode residir em múltiplos locais 
o Contatos (SIM e telemóvel) 
o Fotografias (Cartão de memória e telemóvel) 
Extração de informação 
• Procedimento de extração 
o Analisar cada área de forma independente (SIM, cartão de memória, 
telemóvel) 
▪ Tentar recolher o máximo de informaçãopossível 
 MARIANA MARTINS SILVA 
• Informação pode estar disponível por outras vias 
• Fornecedores de serviço (Internet, cloud) → Requer procedimentos legais adicionais 
• Cópias de segurança mais comum em iOS 
Cartão SIM 
• Universal Integrated Circuit Card (UICC) 
• UICC Embebido – eSIM 
o Inseridos diretamente nas placas de circuitos integrados dos equipamentos 
o Utilizados em cenários machine-to-machine (M2M) 
o Substituição por técnicos especializados 
o Formatos disponíveis 
▪ MFF1 – encaixe (socket) 
▪ MFF2 – soldado 
 
• Universal Integrated Circuit Card (UICC) 
Principais características 
o Incluí processador 
o Capaz de armazenar dados 
▪ SMS, contactos e chamadas 
▪ Tipicamente entre 16 e 64 KB (alguns chegam ao GB) 
o Obrigatórios em redes GSM 
o Normalizado pelo 3GPP 
 
• Universal Integrated Circuit Card (UICC) 
o Integrated Circuit Card Identifier (ICCID) 
o Identifica cartão 
o 19 ou 20 dígitos 
o por vezes impresso no cartão (abreviado) 
o armazenado digitalmente no cartão 
o Inclui identificação do fornecedor e país 
 
• Integrated Circuit Card Identifier (ICCID) 
 
 
• Subscriber Identity Module (SIM) – Papel do SIM 
• Autenticação – Usa algoritmos próprios (algoritmo A3) 
• Registo – Faturação, tendo por base os IDs do SIM e do equipamento 
 MARIANA MARTINS SILVA 
• Subscriber Identity Module (SIM) – Evolução 
Universal Subscriber Identity Module (USIM) 
o Usado redes 3G e seguintes 
o Mais seguro que SIM 
o Mais capacidade de armazenamento 
o Podem correr mais aplicações 
 
• International Mobile Subscriber Identity (IMSI) 
o Identifica o cliente 
o Guardado digitalmente no cartão 
o Não pode ser alterado 
o Pode identificar operador e país 
o Composto por: 
▪ Mobile Country Code (MCC) 
▪ Mobile Network Code (MNC) 
▪ Mobile Subscription Identification Number (MSIN) 
 
• Prova potencial - O que pode servir de prova no (U)SIM? 
o Identificadores (ICCID, IMSI) 
o Agenda, contactos 
o SMS, incluindo os eliminados (se não sobrescritos) 
o Histórico de chamadas 
 
• Prova potencial – Mais sobre os SMS 
o O que acontece quando se apaga um SMS do (U)SIM? 
▪ Estado do SMS muda para eliminado 
▪ Conteúdo não é alterado 
▪ MS só é realmente eliminado quando não há espaço para novas SMS 
▪ SMS apagados podem ser recuperadas com leitor de cartões 
o SMS tem tamanho máximo 
▪ 160 carateres (GSM, alfabeto latino) 
▪ Menos carateres para outros alfabetos (Arábe . . .) 
▪ Mensagens longas são divididas em múltiplos SMS 
 
• Tipos diferentes de cartões 
• Cartões 4G/LTE CDMA (USA) 
o Operam em redes CDMA (4G/LTE) 
o Suportado pela maioria telefones vendidos globalmente 
o Aparentam ser iguais ao GSM, mas não são! 
o Atenção: não são lidos por todos os softwares forenses, o XRY não lê este tipo 
de cartões. 
 
 
 
 MARIANA MARTINS SILVA 
• Segurança dos cartões SIM 
o PIN (Personal Identification Number) → se ativo e introduzido 3 vezes mal, 
bloqueia e pede PUK 
o PUK (PIN Unlock Key) ! se introduzido 10 vezes mal, bloqueia definitivamente 
o cartão 
▪ PUK é definido pelo operador 
▪ Não pode ser mudado pelo utilizador 
o Sem o PIN 
▪ Apenas se consegue ler ICCID 
▪ Com ICCID, pedir PUK ao operador → requer procedimentos legais 
 
• Números armazenados 
o Cartões SIM podem armazenar múltiplos Mobile Station International 
Subscriber Directory Number (MSISDN) 
o No entanto esta informação não confiável 
▪ Números guardados podem nunca ter sido utilizados 
▪ MSISDN pode ter sido copiado de cartão SIM antigo 
▪ Número pode não constar ou ter sido editado (telefones mais antigo) 
▪ MSISDN deve de ser confirmado junto do operador 
Telemóveis 
• Existem telemóveis dos mais diversos tamanhos, formatos e funcionalidades! 
• Que tem todos em comum? 
o Todos podem ser identificados individualmente pelo IMEI 
o International Mobile Equipment Identifier (IMEI) 
▪ Impresso na caixa, na bateria, no dispositivo, . . . 
▪ Armazenado digitalmente no dispositivo 
▪ Pode ser obtido com *#06# 
▪ Telemóveis multi-SIM → 1 IMEI por SIM 
▪ 8 dígitos iniciais indicam marca e modelo 
 
• Informação de localização 
o GPS permite obter informação de localização e data/hora 
o Sinal GPS é suscetível a bloqueio, reflexo e distorção 
▪ Arvores, edifícios, terreno, condições climatéricas, temperatura, . . . 
o Qualidade dos sinais GPS pode variar ao longo do dia 
o Localização pode ser obtida também com Wi-Fi e GSM. 
• Erros de localização 
o Pode chegar às dezenas de metros (GPS) 
o Ou centenas de metros (triangulação Wi-Fi, GSM) 
 
 
 
 MARIANA MARTINS SILVA 
Aquisição de dados 
 
• Possibilidades de ligação 
o Cabo: rápido, estável 
o Bluetooth: lento, deixa registos no PC e equipamento 
o Adotar método recomendado pelo software forense 
o Método diferente pode dar resultados diferentes 
 
Isolamento da rede 
• Garantir sempre isolamento da rede antes da extração 
o Ativar modo avião (muitas vezes disponível mesmo quando bloqueado) 
o Retirar cartão SIM e desligar Wi-Fi 
o Usar caixa/saco de Faraday 
o Usar bloqueadores de sinal (autorização necessária) 
• Evitam-se custos e bloqueios ou eliminações remotas 
 
Aquisição lógica 
• Software forense pede informação disponível ao equipamento 
• Equipamento pode ou não responder 
o Não permite obter informação eliminada 
• Requer acesso ao sistema operativo 
• São utilizados protocolos diferentes conforme o equipamento, sistema operativo, 
informação a recolher, . . . 
• Tipos de aquisição lógica 
o Aquisição parcial (backup de aplicação ou do telemóvel) 
o Aquisição completa (usa aplicação agente) 
Aquisição física 
• Dados são extraídos em formato raw 
o Cópia bit a bit da totalidade dos dados 
o Extrai muita informação, incluindo dados eliminados (não sobrescritos) 
o Requer processamento de baixo nível 
▪ Utilização intensiva CPU 
▪ Software forense pode não ser capaz de processar toda a informação 
▪ Não pode ser utilizada se equipamento estiver encriptado 
Ferramentas 
• Software – XRY: Aquisição lógica e física a equipamentos 
• FTK Imager: Aquisição física de cartões de memoria 
• Autopsy: Analisar aquisições (suporte Android) 
• SQLiteBrowser: Analisar BDs de aplicações móveis 
• file: Identifica tipos de ficheiros 
• strings: Extração de todo o texto de binários 
 MARIANA MARTINS SILVA 
• Hardware - Supressor de escrita (SATA/IDE ou USB) 
• Hardware - Saco de Faraday 
• Hardware - Cabos/Conetores 
• Hardware - Kit XRY 
• Hardware - Leitor de cartões SIM (multi-formato)