As unidades flash Universal Serial Bus, comumente conhecidas como unidades flash USB, são os dispositivos de armazenamento mais comuns que podem ser encontrados como evidência na Investigação Forense Digital. A investigação forense digital envolve seguir um procedimento definido para investigação que precisa ser realizado de forma que as evidências não sejam destruídas. Então, vamos começar com a investigação forense do USB.
Índice
- Detectando as últimas unidades flash USB conectadas no sistema Windows
- Usando o Editor do Registro
- Usando o PowerShell
- Usando o USBDeview
- Detectando as últimas unidades flash USB conectadas usando o Metasploit
- Investigando unidades flash USB em busca de arquivos excluídos
- Criando imagem de disco
- Analisando imagem de disco
Detectando as últimas unidades flash USB conectadas no sistema Windows
O uso de unidades USB no local de trabalho pode permitir que funcionários mal-intencionados removam informações sensíveis ou confidenciais de um sistema sem qualquer autorização. Para resolver esse problema, o exame forense dos sistemas entra em cena. Então, vamos começar a investigar;
Para detectar os artefatos do USB na máquina Windows, podemos usar métodos manuais e automatizados.
Usando o Editor do Registro
É um método manual para listar facilmente as informações dos últimos dispositivos de armazenamento USB conectados. Pressione ' Windows+R ' e digite Editor do Registro.
Esta informação pode ser encontrada no registro do Windows em:
Computador\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR
Os detalhes como os últimos dispositivos USB conectados, o fornecedor do USB, o nome do produto, o número de série e o nome da versão podem ser vistos.
Usando o PowerShell
Este é um método manual para encontrar artefatos. O mesmo caminho pode ser usado no PowerShell para obter as informações da última USB conectada, com o seguinte comando;
Get-ItemProperty -Path HKLM:\SYStem\CurrentControlSet\Enum\USBSTOR\*\* | Selecione Nome Amigável
Usando o USBDeview
Para usar um método automático para encontrar artefatos, você pode baixar o USBDeview . Esta ferramenta fornece uma compreensão automatizada e uma representação gráfica de quais dispositivos USB foram conectados ao sistema.
Detectando as últimas unidades flash USB conectadas usando o Metasploit
Quando o histórico das unidades flash USB precisa ser investigado remotamente, podemos fazer uso de módulos no Metasploit no Kali Linux. Este módulo irá enumerar o histórico da unidade USB em um host de destino. Para usar este módulo, ligue sua máquina Linux, inicie o msfconsole e digite o comando;
use post/windows/gather/usb_history
Defina o número da sessão e explore. Aqui você poderá ver um histórico de vários USB conectados anteriormente.
Agora você também obteve a sessão meterpreter, portanto, para usar o powershell remotamente para obter o histórico de unidades flash USB conectadas, você pode usar o seguinte comando;
carregar powershell
Uma vez que o PowerShell é carregado, você pode digitar,
Get-ItemProperty -Path HKLM:\SYStem\CurrentControlSet\Enum\USBSTOR\*\* | Selecione Nome Amigável
Portanto, você pode ver a lista de unidades Flash USB conectadas ao sistema remotamente.
Investigando unidades flash USB em busca de arquivos excluídos.
Depois de detectarmos todas as conexões USB com o sistema e se o pendrive estiver disponível no local do crime. Ele pode ser cuidadosamente coletado no Faraday Bag e agora o investigador forense pode investigar as evidências.
Primeiramente, é importante criar uma imagem do pendrive que foi recuperado da cena do crime. Para criar uma imagem e analisá-la, podemos usar o FTK ® Imager , que pode ser baixado aqui .
Criando imagem de disco
Etapa 1: instalar e executar o gerador de imagens AccessData FTK
Etapa 2. Crie uma imagem de disco da unidade USB
Uma imagem de disco é uma cópia bit a bit ou setor a setor de um dispositivo de armazenamento físico, como uma unidade flash USB, que inclui todos os arquivos, pastas e espaço não alocado, livre e disponível, etc.
Passo 3: Como se trata de uma unidade flash USB, selecione a unidade física e sua fonte para criar uma imagem e clique em concluir.
Etapa 4: adicione o destino do arquivo de imagem, marque a caixa que diz verificar as imagens criadas.
Passo 5: Após adicionar o destino do arquivo de imagem a ser criado, digite o nome que deseja dar ao arquivo de imagem e clique em finalizar.
Etapa 6: Você pode ver que o destino da imagem está pronto e, em seguida, clicar em Iniciar para iniciar a geração de imagens.
Passo 7: Você vê que a imagem da sua unidade flash USB está sendo criada.
Etapa 8: após a conclusão da geração de imagens, você será solicitado com detalhes de verificação de imagem MD%, onde um hash comparado e verificado é gerado.
Aqui a parte de imagem acabou, então podemos agora passar para a análise do USB Flash Drive.
Analisando imagem de disco
Nota: A investigação deve ser realizada apenas na imagem do disco da evidência original.
Etapa 9: Clique em adicionar item de evidência e adicione a fonte do arquivo de imagem criado.
Etapa 10: Aqui você vê que uma árvore de evidências foi criada e a pasta raiz excluiu pastas. Aqui vamos tentar recuperá-los clicando em 'Exportar arquivos'
Etapa 11: você verá que a pasta excluída e o conteúdo da pasta excluída foram recuperados.
Autor: Jeenali Kothari é um entusiasta do forense digital e gosta de escrever conteúdo técnico. Você pode alcançá-la aqui
Comentários
Postar um comentário