quinta-feira, 5 de janeiro de 2017

Ango Hackianos - Computação forense "Manipulação de Evidências"

Manipulação de Evidências

Uma vez em posse da evidência, é necessário iniciar sua análise. Em uma investigação real, jamais deve-se realizar procedimentos na evidência original, mas sim em uma cópia bit-a-bit da mesma. Porém, antes de entender o procedimento de cópia, será necessário entender a autenticação das mesmas.
Vale ressaltar que o processo citado abaixo é absolutamente desnecessário em uma situação informal, como uma tentativa de recuperar arquivos deletados acidentalmente de um disco rígido.
É possível se certificar de que um arquivo é uma cópia exata de outro através da comparação de hash. Uma hash é uma sequência de caracteres que corresponde ao produto da inserção do arquivo sobre um algoritmo. Dessa forma, se apenas um bit for alterado do arquivo original, a hash resultante será diferente.
Caso queira estudar mais sobre funções hash, recomendo ler o seguinte artigo "Brevemente".
Podemos comparar hashes de arquivos utilizando o QuickHash-Windows-v2.6.9.2, que pode ser baixado de forma gratuita em https://sourceforge.net/projects/quickhash/?source=typ_redirect.
A hash de um arquivo pode ser obtida na aba File. Basta escolher o algoritmo desejado e observar sua hash correspondente.


É possível também obter a hash de todos os arquivos presentes em um diretório utilizando a aba FileS, com funcionamento de forma semelhante.
Essa ferramenta pode ser útil para encontrar um arquivo diferente dos demais em um diretório repleto de arquivos aparentemente iguais, como no exemplo abaixo.
O programa conseguiu facilmente reconhecer o arquivo modificado com base no valor de sua hash.
A aba Compare Two Files permite comparar arquivos e verificar se eles são exatamente os mesmos através de sua hash. Observe a seguir dois resultados diferentes.
Temos ainda a opção Compare Directories, que pode ser usada para comparar dois diretórios entre si e procurar por diferenças de hash ou número de arquivos.
Caso queiramos obter a hash de um conjunto de arquivos, seja ele uma pasta, directório ou unidade inteira, podemos fazê-lo utilizando o AccessData FTK Imager, que pode ser baixado gratuitamente em http://accessdata.com/product-download/digital-forensics/ftk-imagerversion-3.4.2.

De posse do programa, podemos inserir evidências (que podem ser pastas, discos físicos ou partições lógicas) e obter suas hashes através da função Verify Drive/Image.

O processo pode demorar para unidades maiores, e retorna suas respectivas hashes ao final do processo.
O mesmo programa também pode ser usado para realizar cópias bit-a-bit de unidades. É importante relevar que uma cópia bit-a-bit difere de uma cópia comum no quesito de dados copiados: a segunda opção irá copiar apenas os arquivos visíveis e manipuláveis, enquanto que a primeira copiará todos os bits do volume.
Podemos fazer isso utilizando a opção Create Disk Image e inserindo a unidade desejada. Por questões de compatibilidade com outras ferramentas(o Autopsy é realmente fresco nesse sentido), recomendo utilizar o formato E01 e não fragmentar a imagem, conforme o exemplo.
O processo também tende a demorar, e ao final deve gerar uma cópia exata dos bits presentes na unidade original. Lembre-se de comparar as hashes com futuras cópias da evidência.
Após a criação da imagem, são gerados dois arquivos: a imagem em si e um log, contendo informações valiosas sobre sua procediência. É importante que os dois sejam guardados no sistema.

Caso desejarmos explorar o conteúdo de uma imagem, podemos montá-la como uma mídia removível através de programas como o OSFMount, que pode ser baixado em http://www.osforensics.com/tools/mount-disk-images.html. A montagem é intuitiva e a unidade montada apresentará a mesma aparência da unidade original.



EmoticonEmoticon