Wednesday, August 18, 2010

Realizando acquire de pendrive "on-demand"

Uma função muito interessante do EnCase Enterprise, porém muito pouco conhecida, é a capacidade de “monitorar” uma estação e capturar o pendrive quando o usuário conectá-lo na estação. Esta função é possível graças ao EnScript Sweep Enterprise, presente no EnCase Enterprise.


Este Sweep Enterprise é o mesmo EnScript que utilizamos para realizar o Case Initializers. A primeira tela do Sweep Enterprise é mostrada abaixo. Ela traz as informações do Caso que estamos trabalhando, o Safe em que estamos conectado e a Role que está em uso.


Clique em Next nesta tela, não precisa alterar valor algum. Vamos, para esta captura, utilizar o módulo Acquire Device, dentro do folder Acquire Device.


Selecione o módulo Acquire Device, informe qual a máquina em que será executada a coleta no campo Machines, e dê um duplo clique em Acquire Devices.


A tela Acquire Devices trás algumas opções para a captura de dispositivos remotos. Veja que é possível capturar o drive de sistema, CDROMs e Mídias Removíveis, que é o que nos interessa. Selecione a opção Get Removable Media, informe as letras que podem ser utilizadas pelo pendrive (no exemplo, digitei as mais usuais), clique em OK e na tela Nodes to Sweep, clique em Next. 

PS: Não se esqueça que a máquina alvo deverá estar liberada por alguma Role para que você possa acessá-la. No exemplo, eu utilizei o IP de loopback 127.0.0.1.


A próxima tela é o Sweep Options: Esta tela trás um resumo das opções já definidas. Clique no botão Sweep Options para definir o intervalo para a captura do pendrive na máquina remota (schedule).


Para esta captura, o schedule é uma das opções mais importantes. Se não for configurado, o EnScript irá executar uma única vez, se não houver um pendrive conectado na máquina uma mensagem de erro será informada e o EnScript será encerrado. Minha sugestão é definir o schedule conforme exibido na imagem acima. Desta forma, o EnScript será executado a cada minuto, das 10:00 as 12:00. Se, durante este intervalo de tempo, o pendrive for plugado na máquina, a captura será iniciada.

O grande poder do EnCase são os EnScripts. Conhecer as funções e recursos escondidos nestas poderosas opções é muito importante para um profissional de investigação forense! Muito tempo pode ser poupado durante a investigação utilizando os EnScripts.

Qualquer dúvida, utilizem os comentários. Agradeço ao meu amigo Simão que me ajudou com este artigo!

No comments:

Post a Comment