Análise Forense Digital - Atividade Recente

Questions and Answers

Qual é a principal função do módulo de Recent Activity na análise forense digital?

Comparar arquivos encontrados com um banco de dados de hashes.

Identificar dispositivos conectados anteriormente ao computador.

Extrair informações das atividades recentes do usuário. (correct)

Realizar análise de imagens de disco.

Para que serve a computação de valores hash no Hash Lookup?

Para ignorar todos os arquivos que não pertencem ao banco de dados.

Para alterar os arquivos encontrados em um formato conhecido.

Para aumentar o tamanho dos arquivos encontrados.

Para validar a integridade dos arquivos com base em um banco de dados. (correct)

Qual das seguintes afirmações sobre os hashsets é verdadeira?

São utilizados apenas por forças policiais para arquivos específicos. (correct)

São disponíveis apenas para usuários comuns acessarem.

Podem conter arquivos que são sempre bons ou sempre ruins.

Não podem ser aplicados em investigações forenses.

O que acontece após baixar as imagens da unidade de disco no Autopsy?

Um novo caso deve ser criado no software. (A)

Quais informações são extraídas do registro no módulo de Recent Activity?

Programas instalados e dispositivos USB conectados. (B)

O que caracteriza um hashset conhecido?

Podem ser tanto bons quanto ruins, dependendo do contexto. (C)

Qual a importância de identificar dispositivos conectados via USB na análise forense?

Permite rastrear ações e dados transferidos pelo usuário. (A)

Qual é a principal finalidade de um processo de extração de conteúdo em uma análise forense digital?

Coletar dados relevantes relacionados a um caso específico. (B)

Qual é a principal função da linguagem estruturada STIX?

Descrever ameaças cibernéticas para que sejam compartilhadas (D)

Qual dos seguintes itens NÃO é um tipo de indicador aceito pelo STIX?

Informações de conta bancária (C)

No caso de hacking descrito, qual era a estratégia do suspeito Greg Schardt?

Interceptar o tráfego da Internet próximo a pontos de acesso sem fio (B)

Qual é a relevância da lista de IPs mencionada no conteúdo?

Monitorar endereços IP conhecidos como perigosos (C)

O que a sigla CFReDS representa no contexto mencionado?

Computer Forensic Reference Data Sets (C)

Qual é o propósito principal do módulo de Hash Lookup?

Pesquisar e validar conjuntos de hashes relacionados a conteúdo específico. (C)

Qual biblioteca é utilizada para verificar o tipo de arquivo e coletar metadados?

Tika (B)

O que o módulo de Extração de Arquivos Embutidos faz?

Descompacta arquivos e processa arquivos embutidos. (D)

Qual das opções não aparece como uma ferramenta de busca de hash mencionada?

FileAnalyser (A)

Qual é uma característica das listas de hash mencionadas?

Elas podem incluir hashes ruins, bons ou apenas conhecidos. (B)

Qual módulo gera informações para outros módulos com base no tipo de arquivo?

Identificação de Tipo de Arquivo (D)

Qual dos seguintes tipos de arquivos pode ser processado pela Extração de Arquivos Embutidos?

DOCX e XLSX (A)

O que caracteriza uma lista de hashes provenientes da National Software Reference Library?

Inclui uma variedade de software conhecido. (D)

Uma das funções do Tika é:

Identificar o tipo de arquivo e coletar metadados. (D)

Os dados de quais tipos de arquivos são processados novamente pelo módulo de Extração de Arquivos Embutidos?

DOC, DOCX, PPT, PPTX, XLS e XLSX (A)

Qual é uma das funcionalidades oferecidas pelo Autopsy em relação à exportação de evidências?

Realizar análise com outras ferramentas (B)

O que é que o Autopsy permite fazer com os arquivos exportados, além de analizá-los?

Comparar os dados (C)

Qual é a versão documentada do guia do usuário do Autopsy mencionado na bibliografia?

Versão 4.7 (A)

Qual das seguintes opções não é uma função descrita na seção sobre processamento de dados do Autopsy?

Análise de dados pessoais (B)

Quem foi o autor original das apresentações mencionadas no conteúdo?

António Pinto (B)

Qual é um dos principais propósitos da análise de conteúdo no Autopsy?

Realizar uma análise manual detalhada (B)

Qual documento foi referenciado especificamente como um guia do usuário do Autopsy?

Autopsy Forensic Browser User Guide (B)

Qual é uma das razões para exportar arquivos utilizando o Autopsy?

Comparar e arquivar dados (A)

Qual filtro o Autopsy permite usar para reduzir a quantidade de elementos em uma linha do tempo?

Filtrar arquivos conhecidos (D)

Qual é uma das opções de visualização de linha do tempo disponíveis?

Visualização em histogramas (D)

Qual funcionalidade permite marcar resultados para referência futura?

Etiquetagem (D)

Qual dos seguintes tipos de relatórios não é gerado pelo Autopsy?

Relatório de Memória RAM (B)

O que é o Structured Threat Information Exchange (STIX)?

Um formato de linguagem estruturada para descrever informações sobre ameaças cibernéticas (C)

Qual dos seguintes critérios pode ser aceito em STIX?

Endereço IP (D)

Qual item não está listado como um tipo de relatório disponível no Autopsy?

Relatório de arquivos corrompidos (B)

Qual função não é realizada pelo Autopsy em relação a filtros?

Filtrar por extensão de arquivo (D)

Como os nomes das tags são definidos no processo de etiquetagem?

Definidos pelo investigador (D)

O que o sistema Autopsy não permite nas visualizações de linha do tempo?

Visualização de dados em tempo real (B)

Qual opção refere-se a um tipo de relatório que deve lidar com itens que foram marcados?

Relatório Tagged (D)

Qual é um exemplo de indicador que pode ser usado em STIX?

Endereço URL (C)

Quais resultados são aplicáveis no relatório de resultados?

Resultados das análises de cada arquivo (B)

Qual é a principal função do módulo Keyword Search?

Extrair texto dos arquivos processados e adicioná-los a um índice (D)

Quais tipos de arquivos o módulo de Email Parser consegue processar?

MBOX e PST (C)

O que o módulo Extension Mismatch Detector tenta identificar?

Arquivos com padrões que não correspondem à extensão do nome do arquivo (D)

Qual é o objetivo do módulo E01 Verifier?

Calcular e comparar valores hash armazenados em arquivos E01 (D)

Que tipo de dados o Interesting Files Identifier gera alertas?

Arquivos e pastas com tamanhos ou tipos específicos (C)

Qual comando deve ser selecionado para permitir a descoberta de arquivos recentemente deletados?

Processar Espaço Não Alocado (A)

Qual é um problema comum associado às listas pré-definidas do módulo Keyword Search?

Elas geram uma grande quantidade de falsos positivos. (D)

Quais formatos são suportados durante a execução do módulo Keyword Search?

Textos, MS Office, PDF e e-mails (C)

O que faz o módulo Virtual Machine Extractor?

Identifica discos de máquinas virtuais e os adiciona como novas fontes de dados (C)

Qual é a função principal do algoritmo de extração de strings para formatos não suportados?

Identificar codificações e idiomas (C)

O que é o PhotoRec Carver capaz de processar?

Arquivos de espaço não alocado e recentemente deletados (B)

O que o módulo de Extension Mismatch Detector pode gerar durante o processo?

Falsos positivos sobre arquivos camuflados (C)

O que significa o módulo de identificação de arquivos interessantes?

Um recurso que dá visibilidade a arquivos e pastas com características específicas (B)

Qual é o formato que o FTK Imager pode ler além de arquivos de disco virtual?

Arquivos E01 (C)

Study Notes

MCIF - Digital Forensic Analysis 1 - Autopsy

• Autopsy: A graphical tool for digital investigations of storage media images. Developed in Java, mainly for Windows. It's expandable, supporting modules in Python for Java and has limited support for Android.
• Autopsy Workflow:
  • Create a Case: Includes case name, type, directory, basic information.
  • Add a Data Source: Can use raw (dd) or EnCase (E01) images, drives, files, or virtual machine drives.
  • Analyze with Ingest Modules: Ingest modules perform tasks like analysis with pre-installed modules.
  • Manual Analysis: Manual inspection of data.
  • Report Generation: Creating reports of findings.

Introductory Concepts

• Autopsy's url: http://www.sleuthkit.org/autopsy/
• Autopsy is a graphical tool for digital investigation of storage media images.
• Autopsy is developed in Java, mainly for Windows.
• Autopsy is expandable (supports modules developed in Python for Java).
• Autopsy has limited support for Android.

Tips: Making Autopsy Run Faster

• Run Autopsy under Linux: Avoids anti-virus interference and reduces concurrent processes for better CPU performance. However, certain tools like OCR may not work.
• Give more RAM to Autopsy JVM: For example, change the value from 4 GB to 8 GB. Increasing CPU cores increases needed RAM.
• More memory to Solr: The indexing service enhancing search features.
• Increasing from 1 to 2 GB should be sufficient; never give more than 2 GB for the JVM.

Tips: Autopsy Installation on Ubuntu

• Download the snap package from https://github.com/sleuthkit/autopsy/releases
• Install the package using sudo snap install --dangerous autopsy.snap
• Connect to snap using sudo snap connect {} (replace {} with the output from snap connections autopsy | sed -ne 's/^[^ ]* *([^]*) *- *- *$/\1/p')
• Run the first time: snap run autopsy --nosplash

Data Processing - Ingest Modules

• Automated Processing: Using ingest modules effectively processes data.
• Ingest Modules: Examples include:
  • All Files, Directories, and Unallocated Space
  • Recent Activity
  • Hash Lookup
  • File Type Identification
  • Embedded File Extractor
  • Exif Parser
  • Keyword Search
  • Email Parser
  • Extension Mismatch Detector
  • E01 Verifier
  • Encryption Detection
  • Interesting Files Identifier
  • PhotoRec Carver
  • Virtual Machine Extractor
• Multi-core support: Enables parallel processing of files to reduce processing time. Configure the number of threads using Tools -> Options -> Ingest -> Settings.

Case 1: Hacking

• Lost PC: On 20-09-2004, a computer was found abandoned, with potential use for hacking.
• Suspect: Nicknamed "Mr. Evil."
• Goal: Intercept internet traffic to obtain credit card information, usernames and passwords.
• Tasks:
  • Download PC drive images from Moodle.
  • Create a new case in Autopsy.
  • Start automated processing.

Module: Recent Activity

• Extracts information: from the last 7 days.
• Information included: Internet usage (including searches), installed programs, connected devices , processes.
• Display: Results are displayed in "Extracted Content."

Module: Hash Lookup

• Computes hash values: of found files and compares to existing MD5 hashsets.
• Known bad hashsets: Files to be validated.
• Known good hashsets: Files that can be safely ignored.
• Known hashsets: Files that can be good or bad depending on context.
• Hash sets: Commonly available for police forces (e.g., child pornography images).
• National Software Reference Library (NSRL): A publicly available hash database from NIST, available through URLs http://www.nsrl.nist.gov/, http://sourceforge.net/projects/autopsy/files/NSRL/. VirusShare URL: https://virusshare.com/hashes.4n6.

Module: File Type Identification

• Checks file types: according to characteristics and collects metadata.
• Uses Tika: (http://tika.apache.org/) as an indexing module.
• Generates information: for other modules, including Extension Mismatch Detector and Keyword Search.

Module: Embedded File Extraction

• Uncompresses files: like ZIP, RAR and embedded files (DOC, DOCX, PPT, PPTX, XLS, XLSX).
• Processing: Process files again, enabling analysis of files within compressed/embedded files.
• Results: displayed under results → Archives.

Module: EXIF Parser

• Extracts EXIF data: (Exchangeable Image File Format) for images.
• Data included: Geolocation, date/time, camera model, setup, resolution, etc.
• Results: Displayed in the "Extracted Content" area under "EXIF Metadata".

Module: Keyword Search

• Searches by keywords: During initial or on-demand processing.
• Extract text: from files and adds to the index (Solr).
• Supported formats: Text, MS Office, PDF, Emails.
• String Extraction Algorithm: Identifies encodings and languages for non-supported formats.
• Default lists: include web addresses (URLs), IP addresses, phone numbers, email addresses.

Module: Email Parser

• Identifies and processes: Emails in MBOX, PST files.
• Processes: emails and their attachments.

Module: Extension Mismatch Detector

• Identifies files: with mismatched file patterns and filename extensions, potentially camouflaging malicious code.
• Possible false positives: May result in identifying valid files incorrectly.

Module: E01 Verifier

• Verifies EWF files: Calculates the hash of EWF file data and compares it to metadata in the E01 file. Identifies corrupted EWF files and prevents automated process issues.

Module: Interesting Files Identifier

• Detects specific files: and folders based on characteristics (type, size, extension, name, MIME type).
• Generates alerts: for files and folders matching the specified criteria.

Module: PhotoRec Carver

• Extracts files: from unallocated disk space.
• Multiple file types: Supported including recently deleted files.
• Custom file patterns: Allows custom inclusion of file types.
• "Process Unallocated Space" option needed for activation.

Module: Virtual Machine Extractor

• Identifies virtual machine disks: which are added as new data sources.
• Supports different formats: Including VMWare (vmdk) and Microsoft Virtual Hard Drives (vhd).
• Conversion capability: FTK Imager can convert virtual disks to E01 format.

Report Generation

• Types available:
  • Results: Applied to the items.
  • Tagged: Applied to tagged items.
  • Files: List of files under analysis.
  • KML: GPS Coordinates in Google Earth format.
  • TSK: MAC timeline of all files.
  • STIX: Compares results to a threat file.
• Other functions: can include filtering and advanced artifact selection options for reports.

Labeling

• Tagging results for future reference.
• Enables marking files and results.
• Tag names are set by the investigator.
• Tags appear in the results view.

Timelines

• Created using: Event dates.
• Recognizes various: Event types: Files (modification, access, creation, change); Internet access (downloads, cookies, bookmarks, searches, browser history); Other events (messages, phone calls, emails, GPS tracks, etc.).
• Visualizations: Including histograms and detailed views.
• Filter options: Allowing reduction of elements.

Exporting Evidences

• Exporting file types (PDF, Plain Text, Rich Text, Executable, Deleted Files): analysis with external tools, comparisons, or archival purposes.

Bibliography and Credits

• Autopsy User's Guide available at https://github.com/sleuthkit/autopsy/tree/release-4.7.0/docs/doxygen-user.
• Autopsy Forensic Browser User Guide (2013), author: Julia Keffer. Available at https://juliakeffer.files.wordpress.com/2013/06/autopsy_user_guide.pdf.
• The slides' original author is António Pinto.
• The document was translated, adapted, and updated by Miguel Frade.

Description

Teste seus conhecimentos sobre a análise forense digital, focando no módulo de Atividade Recente e na computação de valores hash. Este quiz aborda funções, informações extraídas e a importância de dispositivos USB na análise forense. Prepare-se para desafios específicos desse campo.