Monday, September 5, 2011

Otimizando uma perícia forense utilizando HashSets

Imagine uma imagem forense de um HD apreendido hoje. Você consegue imaginar o espaço ocupado pelos aplicativos e pelo sistema operacional? Só o Windows Vista Ultimate x64bits SP1 ocupa 26,6GB de dados, com todas as atualizações disponíveis. Some a estes 26,6GB o pacote Office (Word, Excel e PowerPoint somente) e alguns jogos, como The Sims 3, Test Drive Unlimited, Flight Simulator X e outros mais recentes... Só de arquivos de programas, você terá aproximadamente 80GB de dados. Isso para não falar das bibliotecas de música e filmes que o usuário possa ter!


A solução mais simples seria ignorar os diretórios deste aplicativos, correto? Bem, e como fica então a perícia nos arquivos que estão neste diretório suspeito:

C:\Arquivos de Programas (x86)\Electronic Arts\The Sims\The Sims 3\Expasion Pack\ninfetinhas

OK, ignorar simplesmente estes diretórios de aplicativos "não suspeitos" não seria a melhor solução...

Para resolver esta questão, podemos utilizar hash sets, que são conjuntos de hashes (já falei sobre hashes aqui no blog aqui e aqui) de determinados aplicativos. O NIST (National Institute of Standards and Technology), por exemplo, mantém o NSRL (National Software Reference Library), que disponibiliza uma biblioteca com quase 20 MILHÕES de hashes e está disponível para download gratuitamente.



Estes hashes sets podem ser utilizados para ocultar informações (para arquivos desimportantes, como instalações do Office e do Windows) ou para destacar arquivos que merecem uma "atenção especial" (softwares crackers, quebra de senhas, esteganografia) no caso, e podem ser utilizados no EnCase ou no FTK.

No exemplo acima, o folder C:\Arquivos de Programas (x86)\Electronic Arts\The Sims\The Sims 3\ não teria arquivos (apareceria vazio dependendo do filtro utilizado) e o folder C:\Arquivos de Programas (x86)\Electronic Arts\The Sims\The Sims 3\Expasion Pack\ninfetinhas ficaria em evidência, acelerando a resposta da perícia. E se o usuário tentou ocultar alguma informação nos executáveis do jogo, não se preocupe, haverá alteração do hash do binário e o hash set não irá ocultar a informação!

Maiores informações aqui.

2 comments:

Fernando ;) said...

Parabens gostei do seu post, simples e direto, porem eficaz.

Tenho uma pequena dúvida que talvez você possa esclarecer. Existem bases semelhantes ao NSRL no Brasil, digo conhecidas e abertas?

Preciso dessa informação para embasar meu TCC.

Fernando ;) said...

Boa noite Luiz.

Você sabe se existe um projeto semelhante ao NSRL do NIST no Brasil? Se souber de alguma informação fico grato em recebe-la.

Post a Comment