Curso de Forense Computacional - Aula 3.5 - Analisando imagens forenses da unidade de disco rígido

ah tá vamos lá pessoal para mais uma aula hoje tá hoje vai ir na loteria hoje falou sobre como obter uma evidência digital hoje vai ter um pouco subir analisando evidence digital a focada mais em um disco rígido tá armazenamento secundário ali e aí na aula de posterior hoje tu vai ver sobre memória bom então essa nossa agenda tá tá gente falou ontem eu dormi tendo né agora não fala sobre a nossa minha vida digital hoje eu faço p mudar de disco rígido e a mãe de falar sobre a mais diferença e memória ram tá

só relembrando aqui tá esse infográfico né ela fase de coleta da gente chega no local nós olá a coleta de evidência né tem que garantir integridade dentro de quase igualmente falou sobre isso ontem né exame ele ficar está aí análises obtidas tá então vamos lá na visão evidência digital é capaz de duplicação é que a gente fez lá que é a manipulação das feita pelo próprio ou posteriormente por outro tá então vou fazer um vídeo rapidinho aqui sobre o as ferramentas do seu fixo não sabe que já tá dentro do do sítio pode ser usados

por outros também então a estação processo de retirada de mídias diferenciadas né as informações disponíveis a recuperação processo de busca da desenvolvidos total ou parcialmente na propositalmente ou não acontece o caso do suspeito né a pessoa que sabe fazer ele já tá sabendo que joga nesse aquilo o que é para ficar que vai saber tem uma perícia pode ir lá e apagar o em algum arquivo propositalmente sabe então às vezes paga total né com chifres ideias for windows e nem a lixeira fica tá então cabe normalmente refere-se a um processo rico para a cidade de

corrompido né é intencionalmente disponível ou intencionalmente unidos então a gente falou não apaga outra liso alex fez que a gente comentou ontem né e sistema de arquivo e não consegue identificar aquele a eles passa ali né no locado e aí pode ter um móvel lá dentro tal alguém fazendo o quê logo é uma coisa do tipo então a quem foi uma atividade zinha tá é rápida que você cria um arquivo do texto dentro diretório barra forense falou ontem o abs tem nada esquece vai você mandou ls - aliar para ver os arquivos que estão ocultos

tá fls app barra deve parece de arnold então o irmão achou é node e aqui você coloca oi nude para ele verificar tá então fds foi ketlin trigolo se chama de arquivo completamente para diretamente número de reynolds eu não sei te falar sobre novo a gente falou na hora que ele comentou me chamar de arquivos olha o dá o número do identificador único né por aquele arquivo então o nome que você dá para o nome de um arquivo qualquer é que o signo lindo precisa principalmente ele consegue ver com status e o número é novo

então é dever do nome que você dá você pode influenciar a sua mente que ele é novo né puxar operacional e não reconhece nome é conhece ele ou esse aí novo tá é esse novo esse novo e referencia com o nome que você põe para aquele arquivo tá então fls e o ipad ele vou direto naquele no espaço do do disco tá ele ignora me ignora totalmente ali o o nome tá não tô bebendo não tô procurando dentro dessa do bicho tá então eu tenho a revista contigo a gente faz o cá diferença faz se

tiver apagado ele não vai achar o ipad aí vai lá e procura pela iludir tá eu vou aí no daquele a bom então aqui a cidade é muito a partição procure o arquivo criado no diretório bairro florença utiliza lscat você não vai ver nada aí depois vai executar os comandos abaixo no fls para fazer para estar ou é nose tá eu aí pede para ele poder ler semelhante é o crédito tá esse colocar mais do que eu fiquei analisar a partição do bicho você tem esse comando também o ms ele já levar informações da do

disco ali com as partições também o médico e não grande comentou sobre isso nessa as assinaturas tão arquivo de um mesmo tipo é pdf jpg mp3 epi.doc ele possui um formato-padrão então o conhecimento de formato essencial para o funcionamento das formas de recuperação você precisa entender isso aqui porque acontece o caso da você receber um arquivo palco mp3 né ele se mais quiser e aí tá com tá bom tê mp3 já tinha profissional vai sair para eu poder entrar dois clique aí é uma xf exemplo o windows tá então elas têm que ver esse conhecimento

para analisar porque pode ludibriar enganar leu que tá fazendo análise sabe então é isso aí possibilita encontrar a gente ficar um arquivo os momentos você conteúdo não levando em consideração do ombro é só chamar de arquivo e o território não diretamente relacionada à florença e que ele mostra a funcionária é o fábio né então você tem aquele comando do linux é o raio semana filho ele mostra ali as características daquele aquele arquivo tá então aqui assinatura você consegue ver a alex d'anta é de ex napoleon a menina que você gosta de deus não internação ferramentas

livres consegue te mostrar os primeiros 20 bytes ali do arquivo e novamente encontra ali o a assinatura tava e se mede que não então é que devem ser foi o ponto station ele vai te mostrar deixa de ser aqui obstrui s a s s arquivos vai mostrar uma tabela uma página na internet da tabela grande lá com várias tipos de assinatura tá com se identificar a mesma mesmo para um dia o número hexadecimal se vai ficar aqui numa dessas mal esse racional tempo do arquivo tá então faz uma ponte conectivos soninho sair para o einstein

o sf dentro pai fala que vem junto com o photorec tá beleza meu celular essa parte então falar uma observação zinho aqui né todo trabalho de análise deve ser dizer que tá perdendo a imagem diferença tá então acho que isso aqui tem ratificado o bastante para não cometer o equívoco tá louco adesivo uma fita ali para não poder cometer um erro tá tão fácil o disco rígido aqui né pessoal forma de mudança da mente da gente já comentou é local de maria de dados pessoais e empresariais armazenagem de vergonha ferramentas para é montar então para

montar isso né no modo no linux né modo simplificado álicos enfrentam da aula de ontem né é um mal se a a imagem tá não de imagem o destino você vai lá que eu diretório você que vai criar para si para o bairro análise ameno só r o look não é a relação entre lucrativo montado no meio do sistema de arquivos tá é montá-la beleza então outras ferramentas né esse aqui é para windows que é o arsenal e meio de malta tá é uma pessoa se tá gratuito o livro aqui embaixo no link então ele

monta imagem forense community completo não linda né permite navegar em diretório de arquivos estão você vai lá no nosso canal faz o download o e executa né então ele vai pedir para instalar um driver de as coisas aí você vai lá e confirma né mandou ok e suporta aqui o tipo hall e do tipo em que isso tá e aí interessante que ele pergunta aqui que você quer montar importante você vem com a imagem boa tarde ontem tá vendo aqui em cima aqui tem um lote sempre disse que vais escrever e escrever no lixo tá

então certo aqui também né creide removeu deixe de voz é da seguinte forma você ele vai simular né aí mais diferente que você tá você tá no hd externo por exemplo você vai ou no arquivo né seu dentro do seu disco a vender então se a montagem de polyone tá vai escolher qual é o dispositivo ele vai montar para você dentro de um diretório tá aqui em cima um disco removível ué tá vendo ele vai mudar somente leitura então esse aqui ó esse aqui os arquivos modelagem da mesa tá aqui deixa eu removível hades quando

ela ainda mesa base64 importante e cacá e esse é os arquivos que estavam dentro desse disco tá é um dia que você vem aqui que é um dia que tamanho 100 mega somente né tava que montador rede vai servir de óleo é do tipo removível tá assinatura dele um disco físico repartição do tipo layout mbr tá tá aqui online tá montado é que você consegue fazer amigas em cima tá consegue abrir esse arquivo a abrir o arquivo pdf está esse base64 aqui tudo bem pessoal então ele monta aí você analisa isso dentro do windows outra

ferramenta né o sf mouse semelhante da a o arsenal e-mail então ele também suporta todos esses quando ali arquivos aqui no hall ao e-mail cd speed hot image fêmur um ponto cm de carro em case o ff a gente falou onde vai ser show em forma de beleza eu vi hd na vertical e meia né que a gente comentou também que era tudo eu aconselho de cozer vocês entrar lá no site do access e deita aí fazer o cadastro para baixar se quiser fazer alarmes dentro do windows tá a o carne que é uma versão

da linux para fora esse já tenha o fck lá e ele ver com você bota ele muito no pen drive né então essa secar para windows na verdade então divino pen drive então você pode colocar na mesa ele funcionar tá então você vai aqui vai da pedra da vidência e aí tem um site então você vai conversando aqui qual é a sua fonte transformar um disco físico local e aqui tem o e-mail de forma que ativo demais que a gente já tinha sal beleza e aqui ele vai abrir essa forma né aquele arquivo que a

gente tava analisando né então tá aqui no modo router é um fato de 1669 mega tá o nome dele atividade 02 pontos vídeo aí ele tá aqui é importante com toque x com essa quantidade de arquivos aqui xls o dax quando você quica né a nele aqui ele tem a parte da diretora lá aqui eu tenho a lista dos arquivos para que vitória que tá diretório root também selecionado embaixo tem propriedades do arquivo que a gente selecionou dentro desse fai olice aqui e aqui embaixo é o semelhante whatsapp né ele mostra essas esse mal do

arquivo então clicando aqui importante quando blocks a gente consegue ver aqui ó no médico e não abra o que eu tenho um jffs jff característica de um j pegue tá então você vê que esse docsis aqui é lindo pelo sistema operacional da nossa não é meio de mal de conta que nem fiquei carro como ele bota pronto bloco x você abra só reconhece como se fosse o arquivo do windows tá e aqui é um arquivo já tá pegue tá poderia ser mais fizer poderia ser um zip não sei que dia que ele vai lá é

um mau infecção sua marca por exemplo ou é uma hora que você tem que analisar então tem prestar atenção nessa característica também então mais que não é ratificando aqui nós temos a quase nas constantes do arquivo de um de um tipo de arquivo para definir o formato padrão para aquele mesmo tipo só conhecer de conversando sobre esse aqui hoje e se aquilo só causa no início do bloco de informação do arquivo tá então aí que a gente acabou de ver também e aí eu consigo colocar analisar isso aqui né você quer investir não dá como

analisar além disso né então e aí isso aqui é uma versão gratuita tá aí você vê lá com o botão direito bota spotify você ele vai inicialmente querer abrir com arquivo do word nessa parte todos os arquivos para sua vai importante põe lá para abrir e aí você pode abrir isso dentro do com vocês viram jotapeg abre dentro do pai assim tá e vai ver lá importante e aí ver que essa mensagem tá aproveita para dar uma parte motivacional ele aula ou sucesso e a soma de pequenos esforços repetidos dia após dia né olha beleza

então ficar atento nessas características tá outra coisa que esse arquivos né com o espaço não alocado em logo que ele pense você se lembra problemas foi deletado esse aqui não e tá lá não tinha próximo a última o celular não reconhece isso né então porque a gente não viu ali não há sinal e meio de volta a senhora que diz apagados no local então a gente veio aqui que tem um arquivo eu quero tipo dele mas tem que tomar d4454 né então quando você clica para ver é um arquivo e deixa aqui tá esse aqui

foi manipulada 2 anos atrás foi uma pessoa suspeita tá então a mensagem do ele aqui beleza então até aqui ó a aqui essa desse mal né é o código esc tá da mensagem beleza então authors não é uma ferramenta poderosíssima tá que aí ele pega aquelas biblioteques e dos eu fiz né que a gente falou aí atrás fs-uae crédito ms e faz um interface gráfica tá com alguns modos preciso em python liga não o tipo de outra linguagem lembro agora mas aí você que tem paz a certeza então você consegue desenvolver baldes que você botox

para ele funcionar então eu tava sofrendo que permite automatizar grande parte das tarefas de análises né gente fazer isso na mão né um por um então a requerida na loja investigações recuperação de arquivo excluído da análise e registro do windows bom então eu tenho aqui né o top também é gratuito tá só ter livre você vai lá faz o download e aí vamos aprender como adquirir um caso tá então autópsia new case aí você vai criar um caso é um container quer mais informações sobre mais né é o seu investigação deve ter ao menos uma

imagem forense para cada caso tá então eu vou criar um link no diretório vi uma parte ali tem para windows e para ir não que está então você bota um nome né aqui foi da palestra ou acho que ela tá em roma daquele evento então você cria base red óleo ele vai lá e cria dentro do diretório tá você vai browse aqui no procurar oi estão off se põe o nome do examinador na telefone algum e-mail a água anota o número do caso certo semelhante que a gente viu aí vai lá clínica de queijo data-base

você pergunta qual é o tipo não que você vai querer analisar as em vez de comentou sobre isso até um artigo lógico local diz que tá a gente tá da partida de tá alugada ali ou alguma imagem tá não disse que mesmo né então diz que image que a gente já fez o a coleta na obtenção da imagem na anterior então alguém vai analisá-lo beleza então é a vida se elas fizeram um se você souber o time zone aí você já coloca né para ele poder gerenciar ali inicialmente né os horários tá não souber botas

altas técnica ah tá é que tem configuring gente modos aqui aí você e são módulos de configurações que tá falando que você pode desenvolver para o top a aqui tem uns pressão eu tinha poder forno é o atividade recente o resto do capita é falando sobre algumas delas então esse definir as opções de nascer mais forem escada rolante ponsável por um de que a tarefa de análise tá então a que que acontece uma sugestão eles tratam marcar mais informações mais comuns usada na análise forense digital parece oferecem rolo ingestão de dados padrão né para análise

mais florença então você escolher a qual é o modo que você vai querer para cada investigação então depois essa base selecionar tudo aí demora um bocadinho ta dependendo do tamanho da imagem aí vai lá carregar aqui no canto isso é de outra análise fluminense ele vai carregando então ele começa a mostrar aqui desse lado esquerdo né a toda essa essa árvore aqui datas ou se quem é o arquivo tratado tipo de arquivos tá conteúdo extraído as contas se tem aqui foi creditado como assistir operacional documentos aquela de sentimento é esse vai cobrir né que é

a lixeira tá schelb usb device a tati decidir trancado aqui embaixo a questão do kword shih-tzu né que a palavra chave que você pode pesquisar por palavra-chave por exemplo eu quero saber se teve as usuário esses feita né usava fotografia over a crypton o trileptal você pode colocar e pesquisar a eu sei que ele escreveu alguma importante né importante quando a gente tá você pode procurar falar para mim importante vai pegar todos os arquivos tem a palavra importante sabe o resto insetecida falar o seu pai na frente tá calma aí oi tudo bem quando vai

concluindo né vai aumentando aqui ó tá vendo nossa da barrinha tudo bem se quiser cancelar vem aqui no xixi clica aqui e cancela e ele vai mostrando tá então se você quiser cancelar ou quiser rodar algum modo de gestão diferente nascer bem clica no botão direito em cima do disco a evidência aqui a vida e se eu desconto é 01 tá então você vai lá e vai escolher né quando você quer carregar então você pode apagar tudo né daí selexol esse lançamento que diz que vocês querem tá estamos aqui em versão attractive de faltar pendente

queixo abstenção o smash e ele faz shake então ele vou pegar a cidade recente tá identificar o tipo de arquivo ali as extensões se faz se bate com a detecção correta e o arquivo extraído né que esses arquivos é um líder bom então aqui tá já pegar um exemplo tá esse cpf viu passar de lado para você daqui também depois eu saiba fast track spin 2020 agora em março 2020 então aqui eu dei uma tarefa que ele pede que ele fala que o arquivo foi acessado a partir de um de nossos servidores então nós não

temos nenhum detalhe sobre esse esse ponto ao subjetivo então qual pasta aí ele pegou atendê-lo do nível de logo você tá no quarto também não bebo então por favor olha através desse arquivo demais né que eu mais o bila então e veja se algum arquivo foi baixado na parte da internet ou de algum algum pf algum caminho e o mc tá então você vai lá faz o download da imagem tá então a vidência 01 e sai e vai começar a caçar aqui que que foi baixado tá então deixe forma aí rápido de fazer e de

forma de você e caçando aos poucos tá então imagem evidência né vou dentro de ser nome de usuários né porque ele baixou procura aqui tem usuário esse zona e a gente worker e 33 certo né polícia daqui onde está e o o que você vai ver aqui e o pierre rock contest jotapeg tá e o sono identifier é esses dois pontos aqui ele vai mostrar aqui ó onde é que nós vamos ads fácil né atividade extreme não é uma característica do ntfs também posso ver aqui ó eu barra barra 19268 dezesseis dezoito interna homem pergunta

ele fez esse download tá de compartilhamento aí das mb então eu tenho aqui queijo data só se subo aí tá eu vou mostrar que o tamanho né da imagem o espaço não alocado dentro dela o o tamanho do setor né quem falou que a gente 12 baixo aqui eu md5 né que é o resto para você comparar com o resto e do da sua sua imagem tá a outra forma de procurar arquivos deletados delete files tá então tem aqui o rocket mundo árabe ele se você vem aqui isso é que faz ele vai lá e

vai estar aí você vai escolher qual é o diretório que você quer salvar por padrão ele aciona aqui dentro desse ter ecosport você vai lá e sabão dentro do rock aí quando ela ver esse beleza e aí arquivo extraído tá lá se aqui você paga para você analisar beleza se melhor deve ter que ir em frente ou atrás outro a modo de gestão né é o banco de resto o resto certo já tá beijo então aqui com parou de falar de restos arquivo de imagem forense um valor resto e pré-compilado tá de arquivos conhecidos ou

vários estamos ativos com esses são os que pertençam para o sistema operacional e as aplicações popular então se você tem um opus você tem e aí daniele do windows tá que não foi modificada então eu tenho uma tabela de hash já pronta para que você não tem que ficar importante analisando cada arquivo da que não tenha nada então aqui você vai né não são maus ou eu aqui os vasos são maus e outros semelhantes tá então eles requerem uma atenção maior se eu passou pelo resto sete né e ali não não verificou nada então tá

beleza precisa ver nada agora aquilo que tá morreu como inválido tem alguma coisa estranha tá você como é que faz isso né bem em ferramentas opções tá você vê lá aqui ó abre que a opção ela veio em headset em cima né número 1 depois de aqui ó importa e hashtag tá e depois vem o número 3 open aí eu vou procurar aqui aqui vai lá padre não tem nada bom então você vai aqui de abre o resto da cabeça não tem nada do rege então você vai ter que procurar isso na internet né então

já tem um caminho aqui na através desse url que você vai ver aqui do nicho né ele tem o moderno rds que é um arquivo a bem grandes inclusive esse mínimo lá acho que tem 3gb por ele compactado então ele já tem uma tabela de hash né grande que vai ajudar nesse aqui tá você vai lá baixa diz compacta tá esse esse ponto zip e vai lá escolhe o inss rsn srl faro né os caranguejo com português e aí você abre põe para abrir vamos ter só que esses três não tá bem organizadas assim dizer

né o off ele precisa fazer algo chamada de inglês né para analisar tá e aí deixa eu passar para você manda um ok aqui e não está indexado tá então aí precisa montar mesmo que a tabela ali né de isso para poder identificar qual é o resto mas aonde for mais rápido então você foi lá no início para mim que eu não entendi que você poder fazer esse processo de indexação tá demora um pouquinho tá depois eu ainda comem dessas você bota aqui oi aqui sou eu rsrsrs fire e aí você vai lá tem que

executar de novo tá o luan entra com o botão direito jogar online já esse modo para você poder que a riachuelo capim aí você vai lá escolher qual é a aqui é o resto do cap vai escolher qual é o seu arquivo de hashtag tava com celular da talvez ali beleza de resto então vem aqui no inss selecione srf calculate md5 lá beleza e aí finalizar aí ele vai processar agora tá analisando os arquivos lá no canto inferior direito tranquilo pessoal olá tudo bem aí essa algumas parte tops que tem tá e tu faltava ser

muito mais de volta de gestão a gente vai encerrar por aqui e depois amanhã a gente vai saber mais sobre meia hora tranquilo que a gente viu aí a toda essa parte de e aí como analisar a trabalhar sertanejo nacional e meio gita como é que a gente analisar ali cria imagem coloca é mais e faz augusto beleza pessoal dúvidas alguma coisa aí só mandar para mim beleza e aí