Depois de obter uma imagem forense de um disco duro de evidência e iniciar
seu processo de análise, uma pergunta que se faz qualquer examinador é: quais
tipos de arquivos são os que me servem para a investigação? Ao falar de
arquivos há milhares de extensões que existem nos computadores, algumas das quais
já foram padronizadas pela Organização Internacional de Padronização (ISO) e a
União Internacional de Telecomunicações (ITU-T), entidades que trabalham para padronizar
os diferentes tipos de informação eletrônica. Por isso, já podemos falar de
arquivos do sistema, arquivos de aplicação e arquivos de usuário.
Estes últimos são os que geralmente contêm informação que o examinador encontra e entrega em seus informes; mas não há que confiar-se. Existem outras extensões que estão camufladas escondendo o conteúdo real dos arquivos. Algumas vezes os arquivos denominados com extensão 111 são realmente arquivos de texto que pessoas mal-intencionadas personalizaram mudando a extensão original.
Estes últimos são os que geralmente contêm informação que o examinador encontra e entrega em seus informes; mas não há que confiar-se. Existem outras extensões que estão camufladas escondendo o conteúdo real dos arquivos. Algumas vezes os arquivos denominados com extensão 111 são realmente arquivos de texto que pessoas mal-intencionadas personalizaram mudando a extensão original.
Hoje, os delinqüentes cibernéticos estão utilizando técnicas comuns para mascarar
a informação renomeando as extensões com nomes diferentes, de modo que pareçam
outro tipo de arquivos. Há que ressaltar que os arquivos estão compostos por
três partes: um nome, um ponto e uma extensão (exemplo :ARCHIVO.EXE). O nome serve para identificar um arquivo
de outro; a extensão para designar-lhes
propriedades concretas, como, por exemplo, se o nome do arquivo tem extensão. EXE
indica e se espera que seja um arquivo de uma aplicação. É por isto que EnCase
Forensics realiza análise de firmas (Signature analysis), facilitando ao
examinador verificar entre todos os arquivos contidos na imagem forense; este
processo o toma comparando os cabeçalhos de cada arquivo ou assinatura digital
com a extensão. Assim mesmo, os programas consultam exclusivamente a extensão
do arquivo para obter algum tipo de informação adequada, como, por exemplo,
Microsoft Windows ao abrir um arquivo associa
a extensão com suas respectivas aplicações. Outro ponto importante para tomar
em conta por um examinador forense nas análises de assinaturas digitais são os
arquivos gerados nos Sistemas Operativos UNIX, Linux e MAC, porque arquivos
contidos neste tipo de sistemas não arrojam extensão e é muito comum em
sistemas Mac, o qual pode dar falsos positivos em análises de assinaturas
digitais..
Em uma excelente investigação é importante que o examinador para todos os casos através de EnCase Forensics realize a análise das assinaturas digitais, para que sempre se faça a comparação entre as extensões do arquivo e os cabeçalhos incluídos na tabela de assinaturas digitais do arquivo, com o fim de verificar se a extensão do arquivo foi modificada. Este resultado se visualiza organizando em EnCase as colunas ou campos como nomes, extensão e assinaturas digitais, visualizando as três colunas imediatamente. Desta maneira o examinador poderá iniciar a análise das assinaturas digitais do arquivo, aproveitando as bondades da ferramenta organizadas de maneira que primeiro fique em ordem a coluna ASSINATURAS DIGITAIS, depois EXTENSÃO e por último NOME DO ARQUIVO; desta forma poderá ver resultados possíveis de arquivos como:
Assinatura Digital Incorreta:o qual se deve a que se encontrou um arquivo com a extensão correta ,mas o cabeçalho não corresponde à esta extensão.
Alias: o qual indica que o cabeçalho está incluído na tabela de assinaturas digitais de arquivo, mas a extensão não corresponde a este cabeçalho; o alias é clave para a investigação, posto que isto sucede quando a extensão foi renomeada.
Coincidência : sucede quando o cabeçalho coincide com a extensão.
Desconhecido: é também um ponto clave para a investigação, posto que a tabela de assinaturas digitais não contém nem o cabeçalho, nem a extensão do arquivo.
Um exemplo é aquele arquivo com extensão .txt que depois de realizar a análise de assinaturas digitais aparece como imagem JPEG, e EnCase Forensics o mostra como uma imagem . É de notar que se existem algumas discrepâncias, como é o caso que um suspeito haja escondido um arquivo ou simplesmente o acha renomeado.
Em uma excelente investigação é importante que o examinador para todos os casos através de EnCase Forensics realize a análise das assinaturas digitais, para que sempre se faça a comparação entre as extensões do arquivo e os cabeçalhos incluídos na tabela de assinaturas digitais do arquivo, com o fim de verificar se a extensão do arquivo foi modificada. Este resultado se visualiza organizando em EnCase as colunas ou campos como nomes, extensão e assinaturas digitais, visualizando as três colunas imediatamente. Desta maneira o examinador poderá iniciar a análise das assinaturas digitais do arquivo, aproveitando as bondades da ferramenta organizadas de maneira que primeiro fique em ordem a coluna ASSINATURAS DIGITAIS, depois EXTENSÃO e por último NOME DO ARQUIVO; desta forma poderá ver resultados possíveis de arquivos como:
Assinatura Digital Incorreta:o qual se deve a que se encontrou um arquivo com a extensão correta ,mas o cabeçalho não corresponde à esta extensão.
Alias: o qual indica que o cabeçalho está incluído na tabela de assinaturas digitais de arquivo, mas a extensão não corresponde a este cabeçalho; o alias é clave para a investigação, posto que isto sucede quando a extensão foi renomeada.
Coincidência : sucede quando o cabeçalho coincide com a extensão.
Desconhecido: é também um ponto clave para a investigação, posto que a tabela de assinaturas digitais não contém nem o cabeçalho, nem a extensão do arquivo.
Um exemplo é aquele arquivo com extensão .txt que depois de realizar a análise de assinaturas digitais aparece como imagem JPEG, e EnCase Forensics o mostra como uma imagem . É de notar que se existem algumas discrepâncias, como é o caso que um suspeito haja escondido um arquivo ou simplesmente o acha renomeado.
EnCase Forensics detecta automaticamente
a identidade do arquivo, e inclui em seus resultados um novo item
com a bandeira de assinatura digital descoberta. Isto permite ao
investigador dar-se conta desse detalhe
, entregando resultados claros e
contundentes dentro da múltiplas investigações que se tem nos laboratórios de evidência digital.
RELACIONADOS
No comments :
Post a Comment