E aí [Música] em forense computacional e de redes aula três técnicas antes forenses o Olá seja muito bem-vindo seja muito bem-vinda a aula de número três da nossa disciplina de Florença e computacional e de redes nessa aula nos abordaremos o assunto de técnicas anti-forense o objetivo é apresentar as técnicas mais utilizadas para omitir ou alterar evidências computacionais o conteúdo ele se baseia no estudo da ferramenta book free changer e também dá encrypting file System que a Nativa e do próprio Windows que nós também acabaremos analisando um pouco mais à frente e-book Fire danger e o
essa primeira ferramenta botifiles encher o propósito dela é simplesmente adulterar o a data e hora de criação da tal de modificação da hora de acesso dos arquivos que nós temos em nosso computador então quando o atacante ele tem a intenção de confundir a cabeça do analista forense ele vai e faz essa alteração dos arquivos né ele faz alteração de data e hora dos arquivos tá isso também pode acontecer quando você tem o algum outro criminoso que não necessariamente está envolvido em um ataque cibernético que ele possa estar envolvido numa invasão Mas também eu aquele criminoso
que tenta de alguma forma só dificultar mesmo a análise de evidências Esse é um fraudador dentro de uma própria organização ele tem acessos ele tem a possibilidade de trabalhar com determinados documentos ele vai lá faz as suas modificações naqueles documentos e depois Altera a data e hora de acessos da torta de criação daquele documento para dificultar então o vínculo que a gente faz numa análise florenze uma investigação quando estamos tentando materializar aquela prova e voltando aqui para o nosso slide aparência dessa ferramenta é basicamente essa é uma ferramenta que você pode fazer o download livremente
lá no site da nirsoft e ela funciona aí de uma forma bastante simples né então você pode estar como está sendo apresentado aqui nessa imagem os arquivos né dentro de um diretório específico E aí você vai alterando a data e hora né de criação o acesso por isso é bastante interessante né voltando aqui um pouco para nossa para nossa câmera é bastante interessante que você entenda como que funciona a mft aqui a mft é o lugar onde o perpetrador ele não vai conseguir fazer essa alteração de data e hora de documentos de arquivos Qualquer que
seja tá então no momento que você percebe que tem um vínculo entre o arquivo que está registrado na mft vão dar tem hora marcado lá e está diferente é no diretório que ele foi salvo você já tem a pista de que ele Possivelmente tentou adulterar aquela data e hora para confundir o seu trabalho a volta da nossa slime e por isso que é evidente essa necessidade de você compreender a fundo como que funciona sistema de arquivos com e os arquivos principais aí que nós temos quando é feito o boot no computador onde ficam armazenados nessas
referências aos arquivos que nós temos lá no nosso sistema operacional no nosso file System A então basicamente como mostrado no slide Essa é a telinha aí do programa para adulterar né a data e hora dos arquivos então novamente Não não podemos nos basear tão somente a data e hora que estamos vendo é quando nós estamos utilizando alguma outra ferramenta forenge como o top se ou até mesmo em Case ou ftk aí tu é importante que a gente faça uma leitura uma referência ao que também está na mft quando estamos trabalhando com o Windows nesse caso
Aqui nós temos nesse outro slide a comparação do arquivo alterado pelo boxe Fight bom então a nossa esquerda nós temos um arquivo que ele é o arquivo original então aí sexta-feira das de julho de dois mil 21:34 23 né ah mas abaixo também a gente vai vendo modificado em é eu e o acessado em com as suas respectivas datas tá e a direita nós temos o arquivo que ele foi adulterado então se nós observar mas aqui a informação acessado em nós conseguiremos ter a visão de que ele foi adulterado de 21:34 com 23 para 23
e 25 com 45 então ele ele teve aí uma uma adulteração básica de horário é para rechear que certo o encrypting file System e o input file System NFS ele é bastante conhecido no Windows também a gente normalmente fala muito sobre análise florenze em Sistemas Windows porque é sem dúvidas aí um dos mais utilizados em praticamente todas as empresas aí então todo lugar que você vai você vai ter um sistema Windows e nas casas enfim para poder fazer a análise você vai conectar o HD e vai fazer a aquisição normalmente de sistema Windows temos também
para o nesses casos acontecendo em Sistemas Linux mas é um pouco mais difícil você encontrar alguma alguma algum local né que você vai obter informação que você vai coletar Agradeço o esse mês ou dispositivo eu já fiz com os sistemas Linux Mas vá via de regra né Quais são as recomendações são as mesmas né voltando pro nosso slide aqui o FS você pode simular facilmente com o seu seu computador é se você tiver um sistema Windows da mesma forma que estamos observando aqui no nosso slide Então você vai no nas propriedades de algum arquivo e
você pode clicar em avançado Como está sendo demonstrado aqui e depois criptografar o conteúdo para proteger os dados a Essa é uma das formas Então esse arquivo ele vai estar criptografado no momento que é feita a coleta de um dispositivo eu vou usar o termo HD é mas você pode também fazer a mesma coisa para um dispositivo SSD em um dispositivo de armazenamento no momento difícil é feito que é aplicado uma criptografia aquele Arquivo ele deixará de ser e legível a o interessante do FS é que você pode fazer isso de arquivo arquivo ou você
também pode optar por outros outros programas de encriptação de dados de encriptação de arquivos como Vera cript o clipe é o quem tem tantos outros né mas nativamente nós temos aí o FS que faz isso quando você coleta um HD um SSD e você vai fazer a leitura vai fazer a indexação daquelas evidências se o arquivo estiver criptografado obviamente ele estará a com um difícil uma difícil leitura você provavelmente não conseguirá ler o conteúdo daquele arquivo a menos que você tenha a senha de descriptografia senha para poder analisar aquele arquivo Abrir aquele arquivo analisar o
que acontece é no momento da cor o que você tem que se preocupar também com o fato de se o computador está ligado ou não então isso é muito importante porque normalmente quando um arquivo está em uso ele vai para poder ser legível para poder ser interpretado Ele precisará estar descriptografado né ao menos que ele esteja em Total repouso que não esteja em uso a ele permanecerá criptografado nós duas formas ou com o computador ligado o computador desligado mas em geral a recomendação é que você sempre faça uma expressão lógica aí das evidentes que você
está buscando com o computador ligado É pelo menos as mais voláteis se você identificar a Logo no início que tem a possibilidade de estar trabalhando com o evidências de um de um dispositivo de um suspeito que ele tem um conhecimento um lado nem tecnologia em levado em informática pode ser interessante que você faça a primeira coleta lógica é de todos os arquivos que você puder coletar o mesmo vale para a parte partições que podem estar criptografadas com bitlocker ou com qualquer outra ferramenta Então se ela tiver desmontada no momento que você pegou o computador e
ele está ligado e você observou que as partições estão montadas né perdão e ela não ela estiver aberta né com a possibilidade de leitura você coleta logo porque se você desligar Pode ser que você vai acabar perdendo aí a oportunidade de fazer aquisição de residências importante tá volta depois então considerações finais é Como ocorrem as tentativas de burlar as investigações e a ferramenta Box changer e-mail e a ferramenta FS tão só voltando aqui novamente fica a dica para importantíssimo que você tenha um bom conhecimento que você busque informações boas referências sobre como que a investigação
ocorre dentro de um HD dentro de um dispositivo de armazenamento e como que o sistema operacional funciona como que ele trabalha né desde o momento que você ligou ele até o momento que você resolveu desligar aí como que esses arquivos eles ficam registrados lá na mft no caso do Windows né como que eles são referenciados dentro dos clusters porque se eu com certeza vai te fazer toda a diferença ainda das técnicas antes forem esses nós podemos citar outras como em caso de invasão é a que os perpetradores eles costumam apagar os logs é na nossa
e nós falamos sobre os logs estão quando o invasor ele tenta ocultar informação ele pode muito bem apagar os lados e se ele apagar os logs e ainda o do alterar data e hora de alguns arquivos importantes pode ser bem mais complicado você fazer a sua análise frente ele pode colocar um horário posterior aquilo que ele fez e aí as coisas complicam bastante tá então você perde a linha do tempo daquela ação de fato certo Então essa é a minha recomendação o final aí para nossa aula agora de você na próxima aula até mais é
[Música]
![Upbeat Lofi - Power and Energize Your Workday - [R&B, Neo Soul, Lofi Hiphop]](https://img.youtube.com/vi/ONcY0BM5EAg/maxresdefault.jpg)
