Monday, April 26, 2010

MSAB libera versão 5.0 do XRY

Estamos na era da mobilidade, onde um computador é praticamente dispensável quando se tem um smartphone com recursos de enviar e receber e-mails e é capaz de trabalhar com documentos de Word e Excel, por exemplo. Para cobrir este mundo, a forense digital tem um braço para estes dispositívos móveis, área em que atua a MSAB. O XRY é uma suíte completa para forense em dispositivos móveis de fácil utilização em ambientes Windows. Esta ferramenta auxilia o investigador, tornando o seu trabalho mais eficiente.
Imagine-se um investigador com quatro celulares na mão: um iPhone, um Nokia Symbian, um BlackBerry e um Sony Ericson... É trabalhoso, são aparelhos diferentes, mas com algumas horas de trabalho você terá conseguido capturar os sites navegados (browser history), e-mais enviados e recebidos, alguns arquivos Word, e as ligações do aparelho.
Agora, imagine-se com alguns milhares de celulares de diferentes marcas e modelos, sistemas operacionais dos mais variados: além dos já citados, você tem também um WebOS, Microsoft Windows Mobile, Android....

Acredite, você vai querer uma ferramenta para auxiliá-lo neste trabalho.

Esta nova versão do XRY é capaz de capturar dados de 1337 (isso mesmo, um mil trezentos e trinta e sete) modelos diferentes de telefones celular, e, em 121 destes, é capaz de realizar uma captura física dos dados, e com isso, capturar também as listas de chamadas já excluídas, mensagens deletadas...
O equipamento vem em uma maleta com mais de 70 cabos, e se ainda não for o suficiente, é capaz de capturar dados via bluetooth ou infravermelho.



Maiores informações na página da MSAB.

Sunday, April 25, 2010

E se a Apple fizesse computação forense?

O pessoal do blog Happy as a Monkey escreveu um divertido texto sobre os revolucionários produtos de computação forense lançados pela Apple, se a Apple atuasse no mercado de computação forense...

Veja os principais itens da suíte da Apple:
  • O writeblock seria o iBlock, teria um desempenho satisfatório até o lançamento da versão "S"...
  • O software para clonagem de disco seria o iMage, que só criaria arquivos do tipo .AEF (Apple Evidence File). Este é um formato proprietário que só os produtos Apple poderiam ler ou escrever. Não seria capaz de compactar os dados, e só armazenaria um item de metadados...
  • Uma cláusula da licença .AEF (DRM) seria estipular que os dados adquiridos pela suíte se tornam propriedade da Apple, que iria alugar de volta para a autoridade investigadora...
  • A suite de análise forense, iNalyse, só trabalha com arquivos. AEF. Apesar de ter uma interface atraente, o software seria realmente simples. Todos os desorganizados HEX e informações do sistema de arquivos seriam escondidos e todos os arquivos que foram mostrados para o analista seriam convertido em um formato Apple equivalente antes de qualquer coisa, por exemplo, quaisquer coleções de fotos do suspeito deveria ser convertida em bases de dados do iPhoto, e todos os vídeos que se tornam arquivos Quicktime.
  • Uma intensa campanha de publicidade irritante na TV viria a seguir, com "iForensics" representado por alguns hippie nojento e uma ferramenta tradicional de forense seria representada por Idi Amin.





Muito interessante, não? Muito criativo também!!



Steve Jobs faria um mega evento para lançar o produto. Sua opinião? It´s Amazing!!!

Tuesday, April 13, 2010

AccessData libera versão 3.1.1 do FTK

A AccessData, fabricante do FTK, PRTK e outras soluções forenses, liberou a versão 3.1.1 do FTK, que traz uma novidade incrível: OCR para reconhecimento de textos em arquivos de imagem.



Esta nova feature permite indexar o conteúdo de uma imagem escaneada como texto. Então, ao realizar uma busca por um nome que aparece em uma imagem escaneada de um documento, esta imagem será retornada como um dos resultados da busca!! Muito interessante!!


Estou preparando um review completo das novas features do FTK 3.1.1 e irei publicar neste blog em breve.

Maiores informações em: http://www.accessdata.com/forensictoolkit.html

Monday, April 12, 2010

Guidance WinAcq

Já comentei sobre a ferramenta WinAcq em outro post neste blog. Agora vou escrever e demonstrar um pouco a ferramenta.
O WinAcq é uma ferramenta integrante do Guidance EnCase 6.16, serve basicamente para realizar coletas físicas e lógicas de discos para formato E01:
WinAcq é um utilitário de linha de comando multi-threaded que realiza captura física e lógica de dispositivos. Projetado para funcionar em um sistema operacional Windows 2000 ou superior, o utilitário WinAcq permite que você especifique o dispositivo pela letra (C:\, D:\, para realizar uma captura lógica) ou por número (Disk0; Disk1, para realizar uma captura física). O WinAcq cria um arquivo de dados padrão EnCase (*. E01).
Maiores detalhes sobre o WinAcq estão neste post.

Para utilizar a ferramenta, podemos fazer de três formas:

  • Utilizar as opções de linha de comando
  • Usando um arquivo de configuração
  • Respondendo as questões da console do utilitário
A forma mais simples é respondendo as questões da console. Simplesmente chame o utilitário e informe qual volume (ou device) será realizado a captura. Os demais parâmetros necessários para a aquisição das evidências serão solicitados pelo utilitário.


Outra forma é passando os parâmetros direto na linha de comando, evitando assim que o utilitário faça alguma pergunta. Pode ser utilizado desta forma inclusive em um arquivo em lotes (BAT), automatizando o processo:
winacq -dev 0 -cdrom -p c:\evidences\ev001.e01 -m Evidence -c Case01 -e BRForensics -r Ev001 -d 0 -s 2048 -t -1 -v
Os parâmetros possíveis de se utilizar com este utilitário são:


-p   *Path and filename for resulting evidence file (maximum 32768 characters).
-m   *Name of the evidence within the evidence file (maximum 50 characters).
-c   *Case number related to the evidence (maximum 64 characters).
-e   *Examiner's name (maximum 64 characters).
-r   *Evidence number (maximum 64 characters).
-d   *Compression level (0=none, 1=fast, 2=best; default: 0).
-a   Semicolon delimited list of alternate paths (maximum 32768 characters).
-n   Notes (maximum 32768 characters).
-s   Maximum file size of each evidence file segment in MB (default: 640, minimum 1, maximum 10485760).
-b   Sectors per block for the evidence file (default: 64, minimum 1, maximum 1024).
-g   Error granularity in sectors (default: 1, minimum 1, maximum 1024).
-f   Path to a configuration file holding variables for the program (maximum 32768 characters).
-t  Compute MD5 hash while acquiring the evidence (default: true; values: true or false).
-1  Compute SHA1 hash while acquiring the evidence (default: false; values: true or false).
-v  Turns on verbose reporting; provides count of sectors imaged (CurrentSector/TotalSector) (default: false).
-wrk   Number of worker threads (default: 10, minimum 1, maximum 20).
-rdr   Number of reader threads (default: 5, minimum 1, maximum 5).
-hsh  Hash in a separate thread (default:false).
-dev   Number of the physical device to acquire (can be used with -cdrom).
-vol   Letter of the logical volume to acquire (cannot be used with -cdrom).
-cdrom  Used with the -dev option to specify that the source is a CD-ROM.
-h  Help message.

Valores marcados com * são necessários e não podem ser omitidos.


Para ilustrar melhor os exemplos de uso, produzi dois vídeos com exemplo de uso da ferramenta:


Utilizando o utilitário sem passagem de parâmetros


Utilizando o utilitário com passagem de parâmetros

Uma outra forma de automatizar o processo é utilizando um arquivo de configuração, como um arquivo de resposta.

Os seguintes valores podem ser incluídos no arquivo de resposta:


EvidencePath*  Path and filename for resulting evidence file (maximum 32768 characters).
EvidenceName*  Name of the evidence within the evidence file (maximum 50 characters).
CaseNumber*  Case number related to the evidence (maximum 64 characters).
Examiner*  Examiner's name (maximum 64 characters).
EvidenceNumber*  Evidence number (maximum 64 characters).
Compress*  Compression level (0=none, 1=fast, 2=best; default: 0).
AlternatePath  Semicolon delimited list of alternate paths (maximum 32768 characters).
Notes  Notes (maximum 32768 characters).
MaxFileSize  Maximum file size of each evidence file segment in MB (default: 640, minimum 1, maximum 10485760).
Granularity  Error granularity in sectors (default: 1, minimum 1, maximum 1024).
BlockSize  Sectors per block for the evidence file (default: 64, minimum 1, maximum 1024).
Hash (true or false)  Compute MD5 hash while acquiring the evidence (default: true).
SHA1 (true or false)  Compute SHA1 hash while acquiring the evidence (default: false).
Verbose (true or false)  Turns on verbose reporting; provides a count of sectors imaged versus total sectors (default: false).
Workers  Number of worker threads (default: 10, minimum 1, maximum 20).
Readers  Number of reader threads (default: 5, minimum 1, maximum 5).
Hasher (true or false)  Hash in a separate thread (default:false).
DeviceNumber  Number of the physical device to acquire (can be used with -cdrom).
VolumeName  Letter of the logical volume to acquire (cannot be used with -cdrom).
CdRom (true or false)  Used with the DeviceNumber option to specify that the source is a CD-ROM.

O arquivo de resposta deverá ser salvo num arquivo do tipo TXT (plain text).
Para informar o caminho do arquivo de resposta, utilizar o parâmetro -f.

Bom pessoal, é isso. É uma ferramenta muito interessante e pode poupar muito tempo. Em breve vou escrever um artigo aqui comparando esta ferramenta com o EnCase Portable. Até lá!

Saturday, April 10, 2010

EnCase versão 6.16.1

Alguns dias após lançar a versão 6.16 do EnCase, a Guidance Software disponibiliza para download a versão 6.16.1.


A promessa de estabilidade não foi cumprida pela versão 6.16, com constantes travamentos. Em testes, o release 6.16.1 se mostrou bastante estável.

Uma das novidades desta versão é o utilitário de linha de comando WINACQ. WinAcq é um utilitário de linha de comando multi-threaded que realiza captura física e lógica de dispositivos. Projetado para funcionar em um sistema operacional Windows 2000 ou superior, o utilitário WinAcq permite que você especifique o dispositivo pela letra (C:\, D:\) ou por número (Disk0; Disk1). O WinAcq cria um arquivo de dados padrão EnCase (*. E01).

A Guidance destaca as segiuntes vantagens do utilitário:

  • Aquisição mais rápida devido a multi-threading.
  • Facilidade de uso: WinAcq exige um mínimo de treinamento para pesquisadores de campo.
  • Eliminação dos limites anteriores sobre o número de dispositivos EnCase pode visualizar.


Para executar WinAcq, abra um prompt de comando no computador de destino. Você deve ter privilégios de administrador na máquina. Uma vez que você abrir um prompt de comando, execute WinAcq usando a sintaxe abaixo. Você só pode adquirir um item de cada vez, que você pode armazenar em apenas um único caminho. Você não pode adquirir um dispositivo lógico e um dispositivo físico ao mesmo tempo, por exemplo.

O algorítimo utilizado na aquisição do WinAcq roda com um mínimo de três threads:

 Thread Reader permite a você controlar quantos threads estão lendo o dispositivo. Você pode especificar de um e cinco threads de leitura.
 Worker Threads permitem controlar os dados de cálculo de compressão. Você pode especificar de um a
20 worker threads.
 O Hashing thread executa a função hash, que foi separado para melhorar o desempenho do utilitário.


Existem três formas para fornecer as informações necessárias para WinAcq:

  • Utilizar as opções de linha de comando
  • Usando um arquivo de configuração
  • Respondendo as questões da console do utilitário



Exemplo de execução do utilitário WinAcq: O console pede os valores necessários se você não fornecê-los.


O processo de captura é dividido em quatro etapas:

  • Leitura de um número de setores a partir do dispositivo.
  • Compressão os setores que foram lidos.
  • Hashing dos setores que foram lidos.
  • Escrever os dados compactados para um arquivo de evidencia.

Como a compressão é o processo que leva mais tempo em uma aquisição, tendo processos independentes de leitura e compressão, há uma melhoria de performance significante no processo e se aproveita melhor o poder de processamento da máquina. Pode-se usar até cinco threads de leitura e até 20 threads de compressão, mas apenas uma thread para hash e outra para thread para gravação do arquivo de evidencia. Além disso, para tornar o processo ainda mais performático, você pode executar hashing pela thread própria ou pela thread de escrita. Hashing pela thread específica funciona melhor em máquinas mais rápidas, mas se você tem uma máquina mais lenta, executar hash na thread de escrita irá carregar menos o processamento da máquina

Além do utilitário de captura WinAcq, é válido também destacar o Enhanced Physical Drive Preview, que elimina a limitação de apenas 30 dispositívos para visualização.

Em um próximo artigo, irei detalhar melhor a ferramenta WinAcq. Até lá!

[utilitário] Mount Image Pro

Recebi uma dica de um utilitário para facilitar o acesso a evidências por pessoas leigas. Chama-se Mount Image Pro (MIP).

Com esta ferramenta, é possível montar uma imagem do EnCase, imagens DD do Unix/Linux e SMART images, como um driver em seu sistema.


É muito simples: clique em uma imagem com o botão direito do mouse e selecione “Mount”. Assim, você tem acesso às imagens forenses à sua disposição.

Advogados de defesa e agentes da lei podem, com este utilitário, acessar arquivos de evidencia sem necessidade de aprendizado de complexas ferramentas.
Maiores informações: http://www.mountimage.com/

Obrigado pela dica, Bruno!