segunda-feira, 16 de maio de 2016

Otimizando pesquisas no EnCase utilizando Enscripts




Resolvi escrever este artigo após identificar que vários usuários demonstraram dúvidas sobre como realizar o download de Enscripts no site da Guidance (fabricante do EnCase), e além disso o propósito é de ajuda-los em atividades do dia a dia que as vezes requerem tempo (coisa rara de se ter sobrando hoje em dia), mas que podem ser otimizadas com o uso de EnScripts.


Seguem abaixo alguns exemplos:

COPY WEB BROWSER FILES - Um script simples usado para identificar todos os arquivos de cookies e cache do histórico do navegador em um caso, e copiá-los. Ele apenas copia dados atuais de usuários e não tenta recuperar arquivos de histórico / cache excluídos. O script suporta Internet Explorer Firefox Chrome / Chromium Opera e Safari no Windows * nix e Mac. O script irá procurar por arquivos e pastas do navegador e copiá-los para uma pasta que será especificada pelo usuário.

VIRUS TOTAL BOOKMARK - Este enscript submete o valor de hash dos arquivos marcados com a tag "VirusTotal 'via uma API pública para a Virus Total, para ver se ele é conhecido como malware. Virus Total é um serviço gratuito que analisa arquivos suspeitos e URLs, e funciona como um agregador de informações. . Os resultados são a saída dos motores de diferentes antivírus, sites scanners, ferramentas de análise de URL de arquivo e e contribuições dos próprios usuários.

EVTX LOG ENTRY FINDER - Este script localiza registros de log apagados do Windows (EVTX) . O script funciona procurando os pedaços evento de log que quando tomado com o make-up de um log-file EVTX completa cabeçalho do evento-log. A razão para não procurar por registros individuais é que, enquanto um pedaço é uma entidade auto-suficiente, os registros em um pedaço não-EVTX log-files usar um sistema de templates, a fim de economizar espaço. Isto significa que mesmo que seja possível encontrar um registo eliminado através da procura de sua assinatura usando uma palavra-chave GREP há uma boa chance de que o que se segue não será o registro completo e que alguns dos dados do registro provavelmente será armazenado a uma anterior . localização no pedaço associado Tendo encontrado uma possível pedaço do script irá fabricar um arquivo EVTX virtual na memória consiste no pedaço e um cabeçalho estático; Em seguida, ele usa própria funcionalidade evento de log de ​​análise do EnCase para analisar os registros no arquivo. É importante ter em mente que a análise dados apagados EVTX não é sem alguns dados de risco-corrompido pode causar um erro irrecuperável. Caso isto aconteça os logs do console pode ajudar a identificar os dados causando o problema de modo que você pode tentar e tomar medidas para evitar a analisá-lo.

E-MAIL ADDRESS FINDER - Este enscript irá procurar todos os .com, .edu, addreses .org, .net e .gov e-mail em um caso. Os endereços de e-mail será marcada e um arquivo de resumo será criado na sua pasta de exportação. O arquivo de resumo é uma lista separada por vírgulas que pode ser aberto usando o Microsoft Excel. O arquivo de resumo irá listar cada endereço de e-mail contidos no caso e o número de ocorrências para esse endereço de e-mail.

Postado por às Nenhum comentário:

Como identificar todos os dispositivos USB que já se conectaram no computador


O Registro do Windows (regedit.exe) é um banco de dados existente no sistema operacional Microsoft Windows. Cuja função é concentrar todas as configurações do sistema e aos aplicativos executados nele de modo a tornar sua administração mais fácil. Todas as configurações alteráveis no Painel de Controle, associações das extensões dearquivos e configuração de hardware são armazenadas nesse banco de dados.

Neste artigo vou ensina-los a identificar e listar todos os dispositivos USB que foram conectados na máquina alvo.

Em algum momento, um dispositivo USB é conectado no computador, seja ele uma impressora, pendrive, CD-ROM ou uma câmera digital. E quando essa conexão é efetuada na porta USB, fica gravado no registro do Windows, uma série de informações sobre o dispositivo que um dia foi inserido na porta USB do micro.

Para um perito forense, esse tipo de informação, é uma fonte rica de dados preciosos que pode resolver uma série de casos.

Por exemplo, digamos que um criminoso se defenda e diga que o pendrive dele não foi utilizado no computador da vítima para infectar o computador, e assim, obter dados sigilosos e confidenciais. Basta o perito consultar o registro do Windows e pronto, se o dispositivo USB estiver listado na chave de registro, é uma confirmação que o pendrive foi conectado na porta USB. Lembrando que caberá ao Juiz decidir se o criminoso realmente praticou tal ato com intenção de obter dados confidenciais, mas desde imediato, fica comprovado e derrubada a tese da defesa, em que foi alegado que o pendrive nunca foi inserido na USB do computador da vítima.

Para listar os dispositivos que um dia foi conectado na porta USB do computador, basta localizar a seguinte pasta no registro do Windows:

1 – Clique em Iniciar, e digite regedit para entrar no registro do windows;

2 – Localize a seguinte chave no registro:
HLM -> System -> ControlSet001 ->  Enum -> USBTOR

Se existir ControlSet002, ControlSet003 e assim por diante… pesquise em todas essas chaves, pois em cada uma delas, na chave USBTOR, estará listado todos os dispositivos USB que um dia, passaram pelo computador.


Postado por às Nenhum comentário:

Como utilizar o Live View no EnCase (PDE Emulator)



O Live View é uma ferramenta forense baseada em Java que cria uma máquina virtual VMware a partir de uma imagem (Exemplo: DD/E01) ou disco físico. Isso permite que o examinador forense inicialize um disco e possa ter uma visão interativa de usuário, tudo sem modificar a imagem subjacente ou disco. Porque todas as alterações feitas para o disco são gravados em um arquivo separado, o examinador pode imediatamente reverter todas as suas mudanças de volta ao estado original do disco. 

Este artigo tem como objetivo apresentar os pré requisitos, e mostrar como utiliza-lo quando o examinador estiver utilizando o EnCase.

PRÉ-REQUISITOS:





* Uma estação com sistema operacional Windows 7 ou superior


Após realizar a instalação dos itens acima, abra o EnCase Examiner e siga o seguinte passo a passo:

1º Crie um novo caso ou utilize algum que já esteja trabalhando;

2º Adicione uma nova evidência ou utilize algum que já esteja trabalhando;

3º Abra sua evidência e em seguida clique com o botão direito em "Entries" > "Device" > "Share" > "Mount as Emulated Disk"

Faça isso e avance as próximas telas, após o término do carregamento sua evidência será emulada como uma unidade de disco.

Pronto ! Agora é só utilizar o Live View conforme mencionado no início e acessar o sistema operacional em modo de usuário.

Espero ter ajudado.


Postado por às Nenhum comentário:

Como obter a chave de criptografia do Whatsapp Crypt8 e sua base de dados




Bom pessoal, devido a uma grande demanda de usuários que estão tendo dúvidas para realizar extração da base de dados do whatsapp, e a chave de decriptografia, resolvido postar aqui uma dica que pode vir a ajudar vocês.

Eu utilizo o software "WhatsApp Key DB Extractor V3", que é uma ferramenta open source e bem simples de se utilizar.

Basta realizar o download do software, descompactar a pasta e executar o arquivo WhatsAppKeyExtract.bat, porém deve se atentar aos seguintes detalhes:

1-  O aparelho deve ser conectado ao computador desbloqueado, e com o modo de depuração USB habilitado;

2- Deve-se ter o Java instaladado;

3- O computador deve estar conectado a internet, pois a aplicação irá baixar um complemento para possibilitar a extração da chave.


IMPORTANTE: Este software pode não funcionar com todos os modelos de aparelho, e outro ponto que notei é que o mesmo não tem funcionado em sistema operacional Android 5.1.1, apesar deste sistema ser "suportado" pelo software.

Se tudo correr bem, na tela do aparelho irá aparecer uma mensagem, solicitando a realização de backup, confirme a operação. Ao término do processo será criada uma pasta TEMP, na diretório do software, onde estará a base de dados do Whatsapp bem como sua chave de decriptografia.

Para abrir a base de dados e conseguir visualizar seu conteúdo, pode-se utilizar a ferramenta WhatsApp Viewer, que também é uma ferramenta bem simples e intuitiva de se utilizar.

Caso possuam o UFED da Cellebrite basta realizar a extração da chave utilizando o mesmo software mencionado acima e em seguida abrir o arquivo extraido, no Physical Analyzer, e expandir a guia "Sistema de Arquivos", e localizar a base de dados do Whatsapp, que geralmente é armazenada no diretório /shared/0/WhatsApp/Databases, 

                                              Base de dados criptografada
 Após localizar a base de dados, clique na guia Plug-ins e execute o plug-in "Android Whatsapp with Provided Key", em seguida aponte para o arquivo (.KEY) extraído.

Fazendo isso irá aparecer uma base de dados "msgstore.db", e as mensagens já estaram categorizadas na guia BATE PAPO

Postado por às Um comentário:
Assinar: Postagens (Atom)