Tuesday, May 31, 2011

Recuperando senha de HD criptografado com TrueCrypt

Uma ferramenta que vem se popularizando muito nos últimos tempos é o TrueCrypt, utilizada para criptografar discos ou criar um "repositório" de dados criptografado. O uso principal que vejo durante os trabalhos de perícia é a criptografia de disco inteiro (full disk encryption). Acho muito válido, é sinal de que as pessoas estão se conscientizando do valor da informação: "se roubarem meu notebook eu compro outro, mas meus dados são importantes"... É claro que tem também o sujeito mal intencionado, que provavelmente armazena conteúdo ilícito no HD criptografado e acha que assim estará seguro ¬.¬

Este post é dedicado a estes sujeitos que estão mal intencionados =)

Vou demonstrar neste post o procedimento para recuperar as senhas de volumes TrueCrypt utilizando o PRTK, da AccessData, mas o procedimento é o mesmo se for utilizar alguma ferramenta gratuita.

O primeiro passo é identificar a criptografia com o TrueCrypt, e para tal vou utilizar a documentação do produto, principalmente a seção que especifica o formato do volume criptografado (o header). Isso fica fácil, pois o "BootLoader" não fica criptografado, é possível visualizar as strings de comandos e inicialização do BootLoader, conforme figura a seguir:

Perceba a string "TrueCrypt Boot Loader" no HEX do disco. 


Vamos trabalhar só com a porção de dados que seria o "cabeçalho" do arquivo, e para delimitar este cabeçalho, vamos utilizar as  informações que estão disponíveis em: http://www.truecrypt.org/docs/?s=volume-format-specification

Pela documentação, o que nos interessa é a porção de dados do offset 0 até o offset 131072. Vamos para a visualização em HEX do volume. Utilize então o CTRL + G para ir até esta posição 131072 (ou right click e opção Go to offset...). Selecione todo este intervalo de dados (offset 0 até o offset 131072) e exporte este bloco de dados (opção Save selection... do right click).

O objetivo desta operação é apresentar ao PRTK apenas uma pequena massa de dados, o que vai otimizar o processamento de tentativa de recuperação da senha. Este pequeno bloco de dados que exportamos tem todas as informações necessárias para o PRTK tentar recuperar a senha do volume completo.

O nosso próximo passo é adicionar este arquivo recém gerado ao PRTK. Vamos carregar o PRTK e então adicionar o arquivo para ser processado, conforme figura abaixo:


Uma vez adicionado o arquivo ao PRTK, este já o identifica como sendo um TrueCrypt e apresenta as formas de ataque disponíveis para a tentativa de recuperação de senha:


Depois de algum tempo (que pode variar de algumas horas até algumas centenas de anos!), o resultado é exibido na interface do PRTK:



Claro que foi montado um laboratório para demonstrar esta situação. Em condições normais, uma senha com esta complexidade (P@ssw0rd) demoraria bastante tempo para ser recuperado.

Meus agradecimentos aos colegas de trabalho Maísa Horta Canguçu de Souza e Mauro Salomão de Castro. Eles escreveram o artigo, eu só mostrei o que deveria ser feito =)

Monday, May 30, 2011

Password Recovery - Brute Force

De acordo com a Wikipedia, força bruta é um algoritmo trivial que consiste em enumerar todos as possíveis soluções de um problema e então verificar se cada uma satisfaz o problema. (Se não concorda, pode mudar o artigo da Wikipedia =D)



Recuperação de senha com um ataques de força bruta podem parecer muito interessantes, uma vez que todas as possibilidades serão testadas, aumenta-se a chance de se recuperar o password... Bem, sim, de fato, todas as possibilidades serão testadas, mas isso pode ser um problema, computacionalmente falando... Sistemas mais modernos são capazes de testar mais de 5 bilhões de combinações de senhas por segundo, dependendo da aplicação, mas ainda assim, testar todas as possibilidades possíveis demoraria muito tempo: um algoritmo de 256 bits possibilita 2^256 senhas diferentes, o que dá...


115.792.089.237.316.000.000.000.000.000.000.000.000.000.000.000.000.000.000.000.000.000.000.000.000.000 possíveis senhas diferentes...



Mesmo testando 5 bilhões de senhas por segundo, você ainda precisará de...


734.348.612.616.161.000.000.000.000.000.000.000.000.000.000.000.000.000.000.000 anos para concluir a tarefa...


E ai, valentão, vai encarar??

Outras informações sobre velocidades de password recovery aqui.

Saturday, May 28, 2011

Ressuscitando os mortos: recuperando arquivos wiped

A pouco tempo atrás, lí um interessante artigo que sugeria montar arquivos wiped a partir do index do Windows. É uma solução muito interessante, já que o serviço de indexação do Windows cataloga praticamente todos os arquivos e dados dos usuários.


O Windows Search Indexer, serviço do Windows que indexa os arquivos para otimizar a busca de informações no disco, cataloga estes dados em um arquivo chamado Windows.EDB. Este arquivo utiliza o padrão Esent database, o mesmo padrão utilizado nas últimas versões do Windows Live Messenger (e também no Exchange server). Maiores informações sobre este formato Esent aqui.

Tentei acessar o conteúdo dese arquivo Windows.EDB pelo EnCase e pelo FTK, mas sem sucessm em ambos. Encontrei na internet algumas ferramentas, mas a que mais me chamou a atenção foi o EseDbViewer, que possui módulos específicos para arquivos no formato Windows Search Indexer e Windows Live Messenger, e também um generico para acessar qualquer arquivo neste formato Esent:


Ferramenta muito simples e objetiva, consegui visualizar muita informação interessante. Claro que não será fácil remontar um documento do Word por exemplo, mas dependendo da situação, pode ser extremamente útil...


 


Wipe nos arquivos? ha-ha para você =D

[Livro] Desvendando a Computação Forense





Recentemente fui presenteado com o livro Desvendando a Computação Forense, de autoria dos Peritos da Polícia Federal Dr. Pedro Monteiro da Silva Eleutério e Dr. Marcio Pereira Machado e me surpreendi: O livro traz uma ótima abordagem sobre a computação forense, partindo do básico e avançando bem em alguns pontos, detalhando não só o trabalho de perícia, mas dando um overview de toda a cadeia de custódia (Apreensão de equipamentos computacionais: O que apreender? / Como apreender?), as etapas do trabalho de perícia forense computacional (Preservação, Extração, Análise e Formalização), traz um capítulo inteiro dedicado a perícia de dispositivos móveis e traz também excelentes exemplos de laudos técnicos!


Preview do livro:


Posso dizer que é um dos melhores livros nacionais que já li sobre computação forense.

Este livro foi publicado pela Novatec, custa R$45,00 e está disponível para venda no site da editora.

Friday, May 27, 2011

Executando comandos como NT Authority\SYSTEM no Windows 7

Recentemente estava conversando com alguns amigos sobre nem me lembro o que e então surgiu a pérola:

"No Windows, não dá para usar a conta SYSTEM.."    (o.O)


Claro que dá, gente! Na minha época de infra, quando o XP reinava, eu fazia algumas bagunças com este account =)  O procedimento é simples: se o relógio do sistema diz que agora são 21:02, a gente utiliza o comando AT para executar o CMD as 21:03:

at 21:03 /interactive cmd.exe
Added a new job with job ID = 1

O problema é que a Microsoft mudou um pouco o comando AT no Windows 7, e por razões de segurança, o operador /interactive foi descontinuado... #FAIL

Mas nem tudo está perdido! Com 2 minutos no Google, achei uma solução muito criativa (a.k.a. jeitinho brasileiro) para contornar: utiliza-se o comando SC para criar um serviço que executa o CMD em modo interativo!! Muito bom!

sc create RunCMDAsLSA binpath= "cmd /K start" type= own type= interact
[SC] CreateService SUCCESS
Serviço criado com sucesso! Depois de criado, só executar o serviço:

net start runcmdaslsa


Ignore a mensagem de erro: Interessante que o Windows 7 leva para um ambiente "protegido" para a execução destes serviços protegidos:



Olha a saída do comando whoami para confirmar!

Feito isso, só digitar comandos no prompt e fazer qualquer coisa com esta account... Até acessar a pasta proibida, a "C:\System Volume Information" está liberado!

wipe no Format do Windows, sem ferramentas especiais

Post rápido da hora do almoço =D

As versões mais recentes do Windows trazem um interessante recurso de sanitização utilizando o comando FORMAT do Windows. Já dei a dica no post Dados a venda no ML, e vou reforçar agora:


Nestas versões mais novas (Vista >), o bom e velho format ganhou um interessante parâmetro, o /p:passes , que realmente "zera" os setores do volume que se deseja formatar, "passes" vezes:

format e: /p:4

Com este comando, o drive E:\ foi sobrescrito 4 vezes com "zeros", e o resultado é o seguinte:

Todos os setores do disco literalmente "zerados"


Thursday, May 26, 2011

Resenha didática - tipificação e punição dos crimes de informática

Muito interessante esta resenha didática sobre a tipificação e punição dos crimes de informática, recomendo a leitura!

Há muita discussão em torno deste projeto de lei do Senador Eduardo Azeredo e o chamado Marco Civil da Internet. Acho que este documento pode ser esclarecedor para quem gosta da discussão. Na minha humilde opinião, deveríamos ter uma legislação forte, não um AI5, como alguns chamam. O problema que temos hoje é que todo mundo pensa que Internet é uma terra sem lei...

Vale a máxima: QUEM NÃO DEVE, NÃO TEME.



 X  





Este documento está disponível para download no site da revista Info Exame.

Wednesday, May 25, 2011

Cookbook para processamento distribuído de evidências no FTK

Sempre que falo da possibilidade de processamento distribuído de evidências no FTK3, as pessoas se interessam e querem saber como funciona. Já falei desta possibilidade no post "Grid Computing aplicado à Computação Forense" e, para não restarem dúvidas, a AccessData disponibiliza um cookbook (passo a passo) de como configurar o FTK 3 para processamento distribuído e como criar um caso que suporte o  processamento distribuído de evidências.

Para que este procedimento funcione, vamos precisar de pelo menos duas máquinas, e no máximo quatro. Esta limitação é uma questão de licenciamento da ferramenta, e não existe para as versões Enterprise ou LAB, por exemplo. É muito importante que as máquinas estejam interligadas por uma rede rápida: pelo menos rede gigabit.



O procedimento está disponível para download aqui e está em inglês.

Monday, May 23, 2011

AccessData Registry Viewer

Seguindo a linha de posts sobre o registro do Windows, vou falar desta vez de uma ferramenta capaz de acessar estes arquivos em uma perícia post-mortem: o Registry Viewer. Esta ferramenta é um dos componentes que compõe a suíte do Forensic Toolkit da AccessData e é capaz de acessar e exibir os dados de todos os arquivos que compõe o registro do sistema operacional Microsoft Windows:

  • ntuser.dat
  • sam
  • system
  • software
  • security




O FTK Registry Viewer tem uma interface simples e intuitiva. Quem já trabalhou com o utilitário REGEDIT do Windows se sentirá em casa:


Além da semelhança com o REGEDIT, o sistema trás ainda este painel "Key Properties", onde ele interpreta alguns valores, como no print screen acima, onde o sistema "traduz" os valores hexa F e V nos valores que são exibidos, como user name, description e logon count.

Maiores informações sobre o AccessData Registry Viewer em:

http://accessdata.com/media/en_us/print/papers/wp.Registry_Quick_Find_Chart.en_us.pdf
http://accessdata.com/downloads/media/UserAssist%20Registry%20Key%209-8-08.pdf
http://accessdata.com/downloads/media/Registry%20Quick%20Find%20Chart%20%207-22-08.pdf
http://accessdata.com/downloads/media/Registry%20Offsets%209-8-08.pdf

Wednesday, May 11, 2011

Redes Sociais: a engenharia das relações virtuais

Por causa do blog e dos cursos que leciono, recebo muitas vezes pedidos de apoio de estudantes que estão tentando ingressar na área. Desta vez foi um pouco diferente: o David Nunes me enviou um artigo solicitando meu apoio, mas o artigo já estava muito bom! Ele autorizou a publicação do artigo aqui no blog, e então vamos lá:



Redes Sociais: a engenharia das relações virtuais

Por: David Nunes*, revisão de Jessica Martins

O crescimento de redes sociais tem ocorrido em grande proporção, visto que, cada dia mais um número maior de pessoas se inscreve e cria contas de usuário nessas redes colocadas à disposição da sociedade.

Para exemplificar, temos o Orkut, onde o usuário ao criar sua conta, pode postar fotos, vídeos e trocar recados com outros usuários da rede. O Messenger é um programa que permite ao usuário conversar com pessoas em tempo real. O Twitter é uma espécie de blog onde os usuários postam fotos em tempo real utilizando a ferramenta Twitpic, também podem mostrar o que estão fazendo, ao vivo, através da Twicam. O Facebook tem quase a mesma finalidade que o Orkut. É permitido ao usuário postar fotos e trocarem mensagens instantâneas. As redes sociais são bastante amplas, porém, estes supracitados são mais utilizados atualmente.

Entre jovens, adolescentes e até mesmo entre crianças é comum a criação de perfis em redes sociais. Contudo, a maioria não exerce autocontrole no tocante ao que está postando em seu perfil. Muitos postam o dia a dia, sem ter noção da quantidade de informação que estão passando para um local que nada mais é do que um banco de dados de suas vidas de simples e fácil acesso, ou seja, qualquer indivíduo pode ver o que foi postado, sendo “amigo aceito” em seu perfil ou não, como no caso do Twitter. Porém, este “amigo” pode ser alguém interessado em sua intimidade, seguir seus passos, vigiar sua conta bancária e muitas vezes planejar um sequestro, como a mídia já veiculou muitos casos. Contudo, vale salientar que, certas vezes essas redes são utilizadas com fins benéficos, como por exemplo, encontrar parentes distantes ou até mesmo pais e filhos biológicos.

O Twitter, ferramente social de grande sucesso no momento, é uma excelente arma para o indivíduo que está planejando algo, como um sequestro, por exemplo. O usuário posta algo sem ponderar o que está escrevendo. Em tese, o usuário pensa que apenas seus “seguidores” podem acessar seus escritos, tendo uma falsa sensação de que tem controle sobre quem estará acessando seu perfil. Porém, o conteúdo publicado pode ser acessado por qualquer um que digitar “twitter.com/username”. Isso nos mostra que não é necessário ser “seguidor” para visualizar as postagens do usuário em questão. Ao escrever este artigo, deparei-me com uma situação dentro do Twitter:




Caso eu tivesse alguma má intenção, poderia definir algumas coisas com o post deste usuário:

1. Os pais não estão em casa;



2. Confirmação de que os pais não estão em casa e estão no exterior. Ainda é possível perceber que a mesma pertence a uma família abastada e com alto poder aquisitivo;



3. Delimitação de onde a vítima vai e qual meio utilizará para chegar até o lugar. Vale ressaltar, que o Twitter pode dar a localização exata do usuário;


De forma bem simplificada, expus como seria uma situação de sequestro. Para tanto, se faz necessário mais estudo e um pouco de Engenharia Social.

Por conseguinte, o indivíduo passaria a seguir todos os Twittes do usuário em questão. Não pode-se descartar a ideia de que é possível encontrar o mesmo usuário, apenas pelo nome, em outras redes, como Orkut e Facebook. Nestes é possível visualizar se a mesma tem o perfil que o indivíduo precisa para realizar qualquer atentado contra o usuário citado. Analisando do ponto de vista da Engenharia Social, o indivíduo mal-intencionado pode facilmente adicioná-la no Messenger e através de algumas trocas de informações, facilmente saber onde a vitima mora, qual seria o ponto a que ela se referia em seu post no Twitter . Sendo assim, ao reunir todas as informações que precisa, está pronto para a agir contra este usuária.

Adicionar um contato em redes sociais é imposto pela sociedade jovem como uma necessidade de ampliar o círculo de amizades. Os jovens perdem a noção de segurança ao adicionar um contato. Estes não avaliam se conhecem ou não, apenas o aceitam ou o adicionam, às vezes por que é bonito ou possui algo em comum.

Para evitar situações como esta, que hipoteticamente tracei, é interessante a elaboração de projetos de conscientização voltados para Educação e Segurança no mundo virtual. Tais projetos abordariam as formas de como o jovem deve se portar ante o uso das redes sociais e mostrar limites, a fim de deixá-los a par do que pode vir a afetar sua segurança e integridade, tanto física, quanto psicológica. Hoje em dia se agrega valor apenas à segurança que impossibilite fraudes bancarias furtos e clonagens de cartão. Isso faz com que se deixe de salientar aos usuários sua própria segurança pessoal. Sabemos que é quase impossível criar um órgão público que fique monitore a ação dos usuários. Mas é possível distribuir folders, criar campanhas e até avisos simples de como a segurança das pessoas dentro das redes virtuais.

No programa Messenger, vulgo MSN, quando uma janela de conversa é aberta, aparece uma mensagem alertando aos seus usuários que não postem dados pessoais, senhas e até mesmo os números dos cartões bancários. O mesmo poderia ser feito em outras redes sociais, no ato do login, como por exemplo:

“NÃO DIVULGUE INFORMAÇÕES PESSOAIS A DESCONHECIDOS. (Leia mais)”. 

Este “Leia Mais” direcionaria o usuário a um texto de caráter informativo que serviria de alerta e auxiliaria em sua própria segurança.

Cabe às redes sociais se preocuparem com a questão abordada e implantarem políticas de segurança, pois um post qualquer, uma vez que publicado na internet, pode se multiplicar e se espalhar em questão de segundos e situação desagradáveis podem ocorrer, como a descrita anteriormente. Por fim, deixo um conselho que li em um blog:



*David Nunes, estudante do curso Tec. Segurança da Informação pela Faculdade FMU (Faculdades Metropolitanas Unidas) , trabalha na Instituição Paulista Adventista de Educação e Assistencia Social. como responsável pela Manutenção Computadores. CPD - TI


Gostou do artigo do David? Tem algum artigo que gostaria de vê-lo publicado aqui no blog? Não fique acanhado! Envie seu artigo para o mail@4n6.cc e ele poderá ser publicado aqui no blog!

II DEFENSIS PRODESP - 2011 - 2º Encontro Internacional de Segurança da Informação


A PRODESP realizará nos dias 24 e 25 de maio deste ano, o DEFENSIS 2011 – 2º Encontro Internacional de Segurança da Informação. O evento é direcionado a autoridades do Estado e profissionais de Tecnologia da Informação do governo. Seu objetivo é colaborar para a prestação de serviço ao cidadão paulista com segurança. A abertura do evento será feita pelo Secretário da Gestão Pública, sr. Julio Semeghini e o tema deste ano será “Como aliar a realidade das redes sociais no segmento governamental com segurança".

Os trabalhos que formarão a grade temária desta edição serão selecionados nos próximos dias. Segundo o regulamento, deverão focados em soluções e tendências em segurança da informação, observando (mas não restrito a) o tema proposto. Vale destacar que as palestras não devem fazer alusão a produtos ou marcas específicas.

Maiores informações no blog oficial do evento.

Saturday, May 7, 2011

Registro do Windows - Análise Forense

Recentemente adquiri o livro Windows Registry Forensic, e tinha em mente publicar neste blog uma série de postagens sobre o registro do Windows, mas com uma visão forense, baseando-me neste excelente livro do Harlan Carvey.



A questão agora é que eu achei no Forensic Focus um PDF muito bom, mas muito bom mesmo, e eu não vou reescrever / traduzir o documento deles =)

Recomendo muito a leitura:






Original disponível em  http://www.forensicfocus.com/downloads/forensic-analysis-windows-registry.pdf

Thursday, May 5, 2011

Análise de Malware

Excelente o artigo do Luiz Vieira, publicado no site Viva o Linux. Ele aborda a análise forense de malwares.

Recomendo a leitura!


Malwares, palavra proveniente do termo "malicious software", são softwares que destinam-se a se infiltrar ilicitamente no sistema de um computador e danificar ou roubar informações confidenciais ou não.
Como o objetivo de uma investigação forense é, muitas vezes, descobrir como e com qual motivação um sistema foi comprometido, é mais do que normal que o sistema que estamos investigando, tenha sido comprometido por um artefato malicioso que tenha permitido o acesso de um invasor, ou objetivamente possibilitado o vazamento de informações.

Leia o resto do artigo em : http://www.vivaolinux.com.br/artigo/Analise-de-Malware-em-Forense-Computacional

Carving com o Foremost

Já falei sobre data carving aqui no blog. Desta vez, lí um post muito bom no blog Pericia Digital e Computação Forense explicando o uso do Foremost para esta função.


O Foremost é um programa que roda em console (terminal) voltado para recuperação de arquivos baseando-se em seus headers, footers e suas estruturas de dados. Este programa pode rodar diretamente em uma imagem de disco, por exemplo, as imagens geradas pelo DCFLDD. Além disso, pode ser usado para recuperar arquivos em imagens do EnCase, ou então, pode ser usado diretamente em um drive.

Para ler o post completo, clique aqui.

Wednesday, May 4, 2011

Detalhes dos Artefatos da Lixeira do Windows

Sempre que vou falar da lixeira do Windows e explicar as peculiaridades de como o sistema operacional trata este diretório, começo com a pergunta: No Windows, eu consigo criar dois arquivos com o mesmo nome na mesma pasta? E duas pastas com o mesmo nome, é possível?

A resposta óbvia para esta pergunta é NÃO, então eu mostro esta janela:

Explique, Mr. M!??!!

A resposta, claro, continua sendo não. Isso não é uma limitação do Windows, e sim do file system. Inclusive, é uma limitação comum a todos os file system que conheço... O fato é que o Windows trata de uma forma muito especial a Lixeira do sistema operacional, garantindo que o usuário possa mover arquivos para este "repositório temporário" sem perda de informações, até que seja selecionada a opção "Esvaziar Lixeira", onde então o Windows irá eliminar os arquivos (a.k.a. marcar o espaço utilizado pelo arquivo como espaço não utilizado =D ) ou "Restaure" o arquivo para seu local de origem.
Até o  Windows XP, a Microsoft tratava a Lixeira de uma forma, e mudou um pouco no Windows Vista, mantendo estas alterações para o Windows 7.

Até o Windows XP funciona assim:
Em file system FAT, a pasta é chamada de Recycled e arquivo INFO2 mantém registros de 280 bytes que contêm o nome do arquivo (255 caracteres) e a data/hora da exclusão.
Em file system NTFS, a pasta é chamada de Recycler. O arquivo INFO2 mantém registros de 800 bytes que contêm o nome do arquivo, o nome do arquivo em UNICODE e a data/hora da exclusão.

Quando o arquivo é movido para a lixeira, ele é renomeado. Por exemplo, quando o arquivo c:\foto.jpg é movido para a lixeira, ele é renomeado para DC1.jpg, onde:
  • D - deleted file, identifica que é um arquivo que foi "movido para a lixeira";
  • C - drive de origem do disco (DC* se o arquivo original estiver no drive C:\, DD* se estiver no drive d:\);
  • 1 - índice do arquivo, número do arquivo até a exclusão definitiva do arquivo;
  • .JPG - extensão do arquivo original.
Todos os arquivos DC*.JPG são então listados no arquivo INFO2.



A partir do Windows Vista, a Microsoft fez assim: quando um arquivo é movido para a lixeira, ele é renomeado e são criados dois arquivos: $I*.* e $R*.*. Por exemplo, quando o arquivo c:\foto.jpg é movido para a lixeira, ele é renomeado para $R4SF903.jpg e é criado um $I4SF903.jpg "casando" com este arquivo.





A estrutura deste arquivo $I* é:

  • Bytes 0-7: Cabeçalho (header) – geralmente como 01 00 00 00 00 00 00 00.
  • Bytes 8-15: Tamanho do arquivo original – armazenado em hex, formato little-endian.
  • Bytes 16-23: Data e hora que o arquivo foi movido para a lixeira – representado em números de segundos desde 01 de Janeiro de 1601.  
  • Bytes 24-543: Caminho e nome do arquivo original.

Tanto o FTK quanto o EnCase são capazes de trabalhar e interpretar as informações dos arquivos INFO2 e $I*


Leitura recomendada:

http://www.forensicfocus.com/downloads/forensic-analysis-vista-recycle-bin.pdf
http://whereismydata.files.wordpress.com/2009/07/vista-recycle-bin-forensics.pdf
http://dereknewton.com/2010/06/recycle-bin-forensics-in-windows-7-and-vista/

Tuesday, May 3, 2011

AccessData lança vesão 3.3 do Forensic ToolKit



Com o objetivo principal de suportar dados físicos do iOS, o FTK chega a versão 3.3 trazendo algumas novidades muito interessantes!



O FTK é uma das principais ferramentas de computação forense disponíveis no mercado e está chegando agora na versão 3.3, com algumas correções e novidades que facilitam a vida do perito/investigador: [em inglês]


News:
  • “Upon completion of an export job, the export destination folder will now automatically open up in Windows Explorer to show you the files / folders exported. (55773)”.
  • “Enhanced export functionality to handle export destination paths of more than 248 characters in length. (54302)”.
  • “The New Case Wizard and Additional Analysis dialog box now allow the user to “Do not find find deleted items”. Deleted files will be discovered and processed by default. (44322)”.
  • “At the root of each case folder you will now find a file called EvidenceHistory.log”
  • “New columns added in the file list view for MS Office metadata properties of “Last SavedBy” and “Author”. (54704)”.

FIX:
  • “Case Reviewers are no longer able to see or to know how many items have been marked privileged. (52836)”.
  • “FTK does not support processing evidence images of HFS+ file systems that have a sector size greater than 512 bytes. (52734)”.


Atualize já para a versão 3.3, disponível em http://ftk.accessdata.com/