Scribd Logo
Upload

Welcome to Scribd!

  • Modulo 3 - Ferramentas

    Uploaded by

    souza91
    98 views23 pages
    O documento descreve as ferramentas e configurações utilizadas em análise forense digital, incluindo o IPED. O IPED é a principal ferramenta de análise de mídia, que permite interpretar sistemas de arquivos, recuperar arquivos apagados, filtrar por metadados e hash, buscar palavras-chave, e gerar relatórios. O documento também fornece detalhes sobre como configurar e executar o IPED, incluindo a criação de perfis de processamento personalizados.

    Original Description:

    IPOG Prática em Analise Forense I

    Copyright

    © © All Rights Reserved

    Available Formats

    PDF, TXT or read online from Scribd

    Did you find this document useful?

    Is this content inappropriate?

    Report this Document
    O documento descreve as ferramentas e configurações utilizadas em análise forense digital, incluindo o IPED. O IPED é a principal ferramenta de análise de mídia, que permite interpretar sistemas de arquivos, recuperar arquivos apagados, filtrar por metadados e hash, buscar palavras-chave, e gerar relatórios. O documento também fornece detalhes sobre como configurar e executar o IPED, incluindo a criação de perfis de processamento personalizados.

    Copyright:

    © All Rights Reserved
    Download as PDF, TXT or read online from Scribd
    Flag for inappropriate content
    98 views23 pages

    Modulo 3 - Ferramentas

    Uploaded by

    souza91
    O documento descreve as ferramentas e configurações utilizadas em análise forense digital, incluindo o IPED. O IPED é a principal ferramenta de análise de mídia, que permite interpretar sistemas de arquivos, recuperar arquivos apagados, filtrar por metadados e hash, buscar palavras-chave, e gerar relatórios. O documento também fornece detalhes sobre como configurar e executar o IPED, incluindo a criação de perfis de processamento personalizados.

    Copyright:

    © All Rights Reserved
    Download as PDF, TXT or read online from Scribd
    Flag for inappropriate content
    of 23

    Prática em Análise Forense I

    Ferramentas e Configurações

    Professor: Marcelo Abdalla dos Reis


    abdalla.mar@gmail.com

    Prof. Marcelo Abdalla dos Reis – Todos os direitos reservados.


    Sumário
    1. Ferramenta de Análise de Mídia
    2. Ferramentas acessórias

    Prof. Marcelo Abdalla dos Reis – Todos os direitos reservados.


    Ferramenta de Análise
    de Mídia
    • Plataforma principal de análise
    • Funcionalidades típicas:
    – Interpretação dos sistemas de arquivos da mídia
    – Recuperação de arquivos apagados
    – Categorização de arquivos (análise por assinatura)
    – Filtragem por metadados
    – Cálculo de hash e identificação por HashSets
    – Busca de palavras-chave (opção de indexação e RegEx)
    – Criação de bookmarks (marcadores ou tags)
    – Geração de relatórios

    Prof. Marcelo Abdalla dos Reis – Todos os direitos reservados.


    Ferramenta de Análise
    de Mídia
    • Exemplos:
    – IPED
    – Autopsy
    – Opentext EnCase Forensic
    – AccessData FTK
    – Magnet AXIOM
    – Belkasoft Evidence Center

    Prof. Marcelo Abdalla dos Reis – Todos os direitos reservados.


    IPED - Arquitetura
    Sleuthkit

    Prof. Marcelo Abdalla dos Reis – Todos os direitos reservados.


    IPED 10 min
    • Preparação:
    – Não necessita de instalação, basta descompactar o IPED em uma
    pasta do seu Sistema
    – Instalar Java JRE x64 versão 8 update 152 (sem bug e testada com a
    versão do IPED disponibilizada)
    – Preparar a pasta TMP do IPED, preferencialmente em disco SSD
    – Preparar a pasta do banco de dados de KFF, preferencialmente em
    disco SSD
    – Preparar a pasta de saída para os casos processados do IPED
    – Desabilitar o antivirus, indexação do Windows e Shadow Copy
    nas pastas TMP, KFF e de saída do IPED

    Prof. Marcelo Abdalla dos Reis – Todos os direitos reservados.


    IPED
    • Configuração básica:

    – Arquivo “LocalConfig.txt” (configurações locais do ambiente)


    • Idioma, pasta TMP, path da base do KFF, path de programas e libs acessórias

    – Arquivo “IPEDConfig.txt” (configurações de processamento)


    • Algoritmos de HASH, KFF (exclusão arquivos conhecidos), ignorar duplicados,
    exporter propriedades dos arquivos, análise de assinatura, expansão de
    arquivos compostos (conteineres), busca RegExp, detecção de idioma,
    indexação de texto, OCR em imagens e PDF, file carving, criação de thumbs de
    imagens e vídeos, entre outras

    Prof. Marcelo Abdalla dos Reis – Todos os direitos reservados.


    IPED
    • Configurações extras e avançadas:
    – Arquivos de configuração na subpasta “conf”
    – Arquivo “CustomSignatures.xml” (customização de Mimetypes
    com assinaturas e extensões de arquivos)
    – Arquivo “CategoriesByTypeConfig.txt” (configuração de categorias
    por Mimetypes)
    – Arquivo “CategoryHierarchy.txt” (configuração de hierarquia entre
    categorias – junção de subcategorias em categorias maiores)
    – Arquivo “CategoriesToExpand.txt” (categorias de arquivos
    compostos que serão expandidas no processamento)
    • Utiliza as categorias definidas em “CategoriesByTypeConfig.txt”

    Prof. Marcelo Abdalla dos Reis – Todos os direitos reservados.


    IPED
    • Configurações extras e avançadas:
    – Arquivo “CategoriesToExport.txt” (configuração para exportação
    automática de arquivos)
    • Usado apenas em casos de extração automatizada de arquivos
    – Arquivo “KeywordsToExport.txt” (configuração de palavras-chave
    para exportação automática de arquivos contendo os termos)
    • Usado apenas em casos de extração automatizada de arquivos
    – Arquivo “CarvingConfig.txt” (configuração de data carving)
    • Lista branca = tipos de arquivos onde será aplicado o carving (Mimetypes)
    • Lista negra = tipos de arquivos onde NÃO será aplicado o carving (Mimetypes)
    • Definição das assinaturas a serem buscadas no carving

    Prof. Marcelo Abdalla dos Reis – Todos os direitos reservados.


    IPED - Carving

    Prof. Marcelo Abdalla dos Reis – Todos os direitos reservados.


    IPED
    • Configurações extras e avançadas:
    – Arquivo “DefaultFilters.txt” (configuração dos filtros disponíveis na
    lista de filtros da interface de análise)
    – Arquivo “KFFTaskConfig.txt” (configuração dos grupos/produtos da
    base KFF que devem receber o status de alerta)
    – Arquivo “RegexConfig.txt” (configuração das RegExp a serem
    buscadas no processamento)
    – Arquivo “HTMLReportConfig.txt” (informações e configurações
    usadas no relatório no formato HTML)
    – Arquivo “AdvancedConfig.txt” (configurações avançadas de
    processamento)

    Prof. Marcelo Abdalla dos Reis – Todos os direitos reservados.


    IPED
    • Importação de nova base KFF do NIST-NSRL:
    – Baixar arquivos de hashes do NIST-NSRL e descompactar
    – Habilitar no arquivo de configuração “IPEDConfig.txt” a opção
    enableKff
    – Configurar no arquivo de configuração “LocalConfig.txt” o caminho
    do arquivo da base KFF do IPED na opção kffDb
    – Executar o IPED com o parâmetro –importkff sobre a pasta
    contendo os arquivos do NIST-NSRL:

    java –jar iped.jar –importkff [CAMINHO_PASTA_NIST]

    Prof. Marcelo Abdalla dos Reis – Todos os direitos reservados.


    IPED
    • Configurações de profiles:
    – Diferentes perfis de processamento/configuração podem ser
    definidos através da criação de subpastas na pasta “profiles”
    • Cada subpasta apresenta o arquivo de configuração básica “IPEDConfig.txt” e
    os arquivos de configuração extra e avançadas da pasta “conf”
    • O nome da subpasta define o nome do profile (que será usado como
    argumento da opção –profile do IPED)

    Prof. Marcelo Abdalla dos Reis – Todos os direitos reservados.


    IPED 20 min
    • Criação e configuração do novo profile PRATICA1:
    – Na pasta “profiles\pt-BR” crie uma cópia da pasta “forensic”
    – Renomeie a cópia criada para “PRATICA1”
    – Configure o profile “PRATICA1”
    • Hashes (MD5, SHA-1, SHA-256 e EDONKEY)
    • Habilite (valor true):
    – KFF, exclusão de arquivos conhecidos, exportação de propriedades, processamento de
    assinaturas, parsing de arquivos, expansão de arquivos compostos (conteineres), busca de
    RegExp, detecção de idioma, indexação de conteúdo, indexação de arquivos desconhecidos,
    indexação de arquivos corrompidos, adição de File Slack, adição de espaço não-alocado,
    indexação de espaço não-alocado, data carving, carving de known.met, thumbs de imagens,
    thumbs de vídeos, geração de relatório HTML
    • Desligue (valor false):
    – LED WKFF e LED DIE, descarte de duplicados, reconhecimento de entidades, OCR, KFF carving

    Prof. Marcelo Abdalla dos Reis – Todos os direitos reservados.


    IPED ~3h
    • Execução do processamento:

    java –jar iped.jar –d “[CAMINHO]\


    EVIDENCIA_PRINCIPAL_PRATICA1.E01” –o “[PASTA_CASO]”
    –profile PRATICA1

    OU

    iped.exe –d
    “[CAMINHO]\EVIDENCIA_PRINCIPAL_PRATICA1.E01” –o
    “[PASTA_CASO]” –profile PRATICA1
    (com JRE 1.8.0_152 x64 incluso)

    Prof. Marcelo Abdalla dos Reis – Todos os direitos reservados.


    IPED
    • Log de processamento:
    – Após o processamento, ou no caso de finalização inexperada, é
    importante verificar o arquivo de log gerado pelo IPED na pasta
    padrão “log” (caso não tenha sido especificado outro arquivo com
    a opção –log)
    – Processamento concluído com sucesso:

    Prof. Marcelo Abdalla dos Reis – Todos os direitos reservados.


    IPED – Principais argumentos
    -d Dado de entrada:
    • imagem (DD, 001, E01, VMDK ou VHD)
    • pasta
    -dname Atribuir nome para o objeto de entrada (diferente do nome da
    imagem ou pasta)
    -o Pasta de saída
    -profile Nome do perfil de configuração de processamento
    --append Faz o append do processamento em outro caso
    -b Para imagens DD, especifica tamanho de setor diverso de 512B (4096B
    para HDs grandes)
    -log Caminho e nome do arquivo de log (padrão é gerado na pasta log do
    IPED)
    -tz Especifica timezone para volumes FAT32 (padrão é o local)
    Prof. Marcelo Abdalla dos Reis – Todos os direitos reservados.
    IPED 1h
    • Interface de análise:
    – Programa “IPED-SearchApp.exe” gerado na pasta de saída do
    processamento do IPED
    – Abra o programa “IPED-SearchApp.exe” na pasta C:\IPOG-
    PRATICA1\CASOS\CASO_PRINCIPAL_PROFESSOR

    Prof. Marcelo Abdalla dos Reis – Todos os direitos reservados.


    filtros predefinidos

    pesquisa indexada de texto em metadados ou conteúdo


    selecionados / itens totais

    painel de listagem de itens (na forma de tabela, galeria ou georeferenciado)

    painel de ocorrências de busca e painel de visualização


    anexos/subitens
    painel de
    agrupamento dos
    itens (por categoria,
    metadados, diretório
    ou marcadores)

    caminho do item destacado


    Prof. Marcelo Abdalla dos Reis – Todos os direitos reservados.
    Sumário
    1. Ferramenta de Análise de Mídia
    2. Ferramentas acessórias

    Prof. Marcelo Abdalla dos Reis – Todos os direitos reservados.


    Ferramentas Acessórias
    • Virtualização:
    – Oracle VM VirtualBox
    – Windows Forensic Environment LiveCD
    – Windows Change Password / Registry Editor / Boot CD
    • Aquisição e montagem de imagem forense
    – FTK Imager
    • Análise do Windows Registry
    – AccessData Registry Viewer
    – Registry Explorer

    Prof. Marcelo Abdalla dos Reis – Todos os direitos reservados.


    Ferramentas Acessórias
    • Análise de Thumbcache
    – Thumbcache Viewer
    • Análise de Histórico de Navegação
    – Browsing History View
    – Mozilla History View
    – Mozilla Cache View
    – My Last Search
    – Password Fox

    Prof. Marcelo Abdalla dos Reis – Todos os direitos reservados.


    DÚVIDAS

    Prof. Marcelo Abdalla dos Reis – Todos os direitos reservados.

    You might also like