Nas primeiras duas partes desta série, capturamos uma imagem de som forense do disco rígido ou outro dispositivo de armazenamento e uma imagem da RAM. Neste tutorial, vamos recuperar todos os arquivos excluídos pelo suspeito.
Entre as habilidades mais fundamentais necessárias para um investigador forense, a recuperação de arquivos excluídos é provavelmente a mais básica. Como você sabe, os arquivos "excluídos" permanecem na mídia de armazenamento até serem substituídos. Excluir esses arquivos simplesmente torna o cluster disponível para ser sobrescrito. Isso significa que, se o suspeito excluiu arquivos de evidências, até que sejam sobrescritos pelo sistema de arquivos, eles permanecerão disponíveis para recuperação.
Neste laboratório, usaremos o The Sleuth Kit (TSK) de código aberto para identificar e recuperar arquivos excluídos. O Sleuth Kit foi desenvolvido primeiro para Linux, mas agora foi portado para Windows, portanto, o usaremos com nosso sistema de exame do Windows. Uma interface GUI foi desenvolvida para TSK chamada Autopsy que usaremos neste tutorial. Você pode baixar a autópsia aqui.
Instale-o em seu sistema.
Depois de instalar o Autopsy e iniciá-lo, você será saudado com uma tela semelhante à acima.
Clique em " Criar Novo Caso ".
Ao fazer isso, você será saudado por uma nova janela solicitando que nomeie seu novo caso e em qual diretório deseja colocar seus casos. Digite "New Case 101" e coloque-o no diretório base de C: \ Cases.
Agora, clique em Avançar .
Isso abrirá outra janela solicitando um número de caso e o nome do examinador. Dê a ele um número de caso 101 e seu nome ou iniciais para o examinador.
Clique em " Concluir ".
Em seguida, clique em "Adicionar novos dados no canto superior esquerdo. Ao fazer isso, uma janela" Adicionar fonte de dados "será aberta. Como usaremos o arquivo de imagem criado no módulo anterior, selecione" Arquivo de imagem "e depois Navegue para o arquivo de imagem que você criou no Módulo 1. Salvei o meu em um diretório c: \ forensic images. O seu pode ser diferente.
Agora, adicione nossa imagem first.image.dd.001 do primeiro tutorial desta série.
Após adicionar a imagem clique em Avançar e a Autópsia começará a fazer sua análise da imagem. Eventualmente, você será saudado por uma tela como a abaixo.
Clique em " Concluir ".
Agora, você deve ver uma interface como essa abaixo. Observe que "firstimage.dd.001" deve aparecer como sua fonte de dados.
Se expandirmos os "Tipos de arquivo" no explorador de objetos, a autópsia exibirá todos os tipos de arquivo e o número de arquivos em cada categoria. Abaixo você pode ver que cliquei no tipo de arquivo "Imagens" e a Autópsia exibirá todos os arquivos de imagem.
Um pouco mais abaixo no explorador de objetos, podemos ver um tipo de arquivo denominado "Arquivos excluídos". Quando clicarmos nele, todos os arquivos excluídos serão exibidos.
Quando clicamos em um arquivo excluído, podemos fazer algumas análises na janela inferior direita. Lá você verá as guias rotuladas, Hex, Strings, Metadados de arquivo, Resultados e Texto indexado. Neste caso, clique na aba “Metadados do Arquivo” e serão exibidos os metadados do arquivo incluindo o nome, tipo, tamanho, modificado, acessado e criado (MAC).
Agora, para recuperar o arquivo excluído, clique com o botão direito no arquivo excluído e selecione "Exportar". Isso abrirá uma janela como a abaixo.
Vá em frente e salve o arquivo excluído no subdiretório Exportar .
Para localizar o arquivo exportado / excluído, navegue até;
C: \ Cases \ New Case 101 \ Export
Agora você pode clicar duas vezes nesse arquivo para abri-lo no aplicativo apropriado.
Conclusão
Os suspeitos freqüentemente tentarão encobrir seus rastros excluindo arquivos de evidências importantes. Como investigador forense, sabemos que, até que esses arquivos sejam substituídos pelo sistema de arquivos, eles podem ser recuperados. Com ferramentas como Autopsy e quase todos os outros conjuntos forenses (Encase, ProDiscover, FTK, Oxygen, etc.), a recuperação desses arquivos excluídos é trivial.
Comentários
Postar um comentário