DOE AGORA Qualquer valor

Marcadores

USB Forense: Detecção e Investigação

Perícia Cibernética

USB Forense: Detecção e Investigação

9 De Setembro De 2020Por Raj Chandel

As unidades flash Universal Serial Bus, comumente conhecidas como unidades flash USB, são os dispositivos de armazenamento mais comuns que podem ser encontrados como evidência na Investigação Forense Digital. A investigação forense digital envolve seguir um procedimento definido para investigação que precisa ser realizado de forma que as evidências não sejam destruídas. Então, vamos começar com a investigação forense do USB.

Índice

  • Detectando as últimas unidades flash USB conectadas no sistema Windows
  • Usando o Editor do Registro
  • Usando o PowerShell
  • Usando o USBDeview
  • Detectando as últimas unidades flash USB conectadas usando o Metasploit
  • Investigando unidades flash USB em busca de arquivos excluídos
  • Criando imagem de disco
  • Analisando imagem de disco

Detectando as últimas unidades flash USB conectadas no sistema Windows

O uso de unidades USB no local de trabalho pode permitir que funcionários mal-intencionados removam informações sensíveis ou confidenciais de um sistema sem qualquer autorização. Para resolver esse problema, o exame forense dos sistemas entra em cena. Então, vamos começar a investigar;

Para detectar os artefatos do USB na máquina Windows, podemos usar métodos manuais e automatizados.

Usando o Editor do Registro

É um método manual para listar facilmente as informações dos últimos dispositivos de armazenamento USB conectados. Pressione ' Windows+R ' e digite Editor do Registro.

Esta informação pode ser encontrada no registro do Windows em:

Computador\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR

Os detalhes como os últimos dispositivos USB conectados, o fornecedor do USB, o nome do produto, o número de série e o nome da versão podem ser vistos.

Usando o PowerShell

Este é um método manual para encontrar artefatos. O mesmo caminho pode ser usado no PowerShell para obter as informações da última USB conectada, com o seguinte comando;

Get-ItemProperty -Path HKLM:\SYStem\CurrentControlSet\Enum\USBSTOR\*\* | Selecione Nome Amigável

Usando o USBDeview

Para usar um método automático para encontrar artefatos, você pode baixar o USBDeview . Esta ferramenta fornece uma compreensão automatizada e uma representação gráfica de quais dispositivos USB foram conectados ao sistema.

Detectando as últimas unidades flash USB conectadas usando o Metasploit

Quando o histórico das unidades flash USB precisa ser investigado remotamente, podemos fazer uso de módulos no Metasploit no Kali Linux. Este módulo irá enumerar o histórico da unidade USB em um host de destino. Para usar este módulo, ligue sua máquina Linux, inicie o msfconsole e digite o comando;

use post/windows/gather/usb_history

Defina o número da sessão e explore. Aqui você poderá ver um histórico de vários USB conectados anteriormente.

Agora você também obteve a sessão meterpreter, portanto, para usar o powershell remotamente para obter o histórico de unidades flash USB conectadas, você pode usar o seguinte comando;

carregar powershell

Uma vez que o PowerShell é carregado, você pode digitar,

Get-ItemProperty -Path HKLM:\SYStem\CurrentControlSet\Enum\USBSTOR\*\* | Selecione Nome Amigável

Portanto, você pode ver a lista de unidades Flash USB conectadas ao sistema remotamente.

Investigando unidades flash USB em busca de arquivos excluídos.

Depois de detectarmos todas as conexões USB com o sistema e se o pendrive estiver disponível no local do crime. Ele pode ser cuidadosamente coletado no Faraday Bag e agora o investigador forense pode investigar as evidências.

Primeiramente, é importante criar uma imagem do pendrive que foi recuperado da cena do crime. Para criar uma imagem e analisá-la, podemos usar o FTK ®  Imager , que pode ser baixado aqui .

Criando imagem de disco

Etapa 1: instalar e executar o gerador de imagens AccessData FTK

Etapa 2. Crie uma imagem de disco da unidade USB

Uma imagem de disco é uma cópia bit a bit ou setor a setor de um dispositivo de armazenamento físico, como uma unidade flash USB, que inclui todos os arquivos, pastas e espaço não alocado, livre e disponível, etc.

Passo 3: Como se trata de uma unidade flash USB, selecione a unidade física e sua fonte para criar uma imagem e clique em concluir.

Etapa 4: adicione o destino do arquivo de imagem, marque a caixa que diz verificar as imagens criadas.

Passo 5: Após adicionar o destino do arquivo de imagem a ser criado, digite o nome que deseja dar ao arquivo de imagem e clique em finalizar.

Etapa 6: Você pode ver que o destino da imagem está pronto e, em seguida, clicar em Iniciar para iniciar a geração de imagens.

Passo 7: Você vê que a imagem da sua unidade flash USB está sendo criada.

Etapa 8: após a conclusão da geração de imagens, você será solicitado com detalhes de verificação de imagem MD%, onde um hash comparado e verificado é gerado.

Aqui a parte de imagem acabou, então podemos agora passar para a análise do USB Flash Drive.

Analisando imagem de disco

Nota: A investigação deve ser realizada apenas na imagem do disco da evidência original.

Etapa 9: Clique em adicionar item de evidência e adicione a fonte do arquivo de imagem criado.

Etapa 10: Aqui você vê que uma árvore de evidências foi criada e a pasta raiz excluiu pastas. Aqui vamos tentar recuperá-los clicando em 'Exportar arquivos'

Etapa 11: você verá que a pasta excluída e o conteúdo da pasta excluída foram recuperados.

Autor:  Jeenali Kothari é um entusiasta do forense digital e gosta de escrever conteúdo técnico. Você pode alcançá-la aqui 

Enviar esta postagem
Marcadores:

Comentários

Postar um comentário

Ebook

Postagens mais visitadas