Análise Forense Digital - Atividade Recente

Choose a study mode

Play Quiz
Study Flashcards
Spaced Repetition
Chat to Lesson

Podcast

Play an AI-generated podcast conversation about this lesson

Questions and Answers

Qual é a principal função do módulo de Recent Activity na análise forense digital?

  • Comparar arquivos encontrados com um banco de dados de hashes.
  • Identificar dispositivos conectados anteriormente ao computador.
  • Extrair informações das atividades recentes do usuário. (correct)
  • Realizar análise de imagens de disco.

Para que serve a computação de valores hash no Hash Lookup?

  • Para ignorar todos os arquivos que não pertencem ao banco de dados.
  • Para alterar os arquivos encontrados em um formato conhecido.
  • Para aumentar o tamanho dos arquivos encontrados.
  • Para validar a integridade dos arquivos com base em um banco de dados. (correct)

Qual das seguintes afirmações sobre os hashsets é verdadeira?

  • São utilizados apenas por forças policiais para arquivos específicos. (correct)
  • São disponíveis apenas para usuários comuns acessarem.
  • Podem conter arquivos que são sempre bons ou sempre ruins.
  • Não podem ser aplicados em investigações forenses.

O que acontece após baixar as imagens da unidade de disco no Autopsy?

<p>Um novo caso deve ser criado no software. (A)</p> Signup and view all the answers

Quais informações são extraídas do registro no módulo de Recent Activity?

<p>Programas instalados e dispositivos USB conectados. (B)</p> Signup and view all the answers

O que caracteriza um hashset conhecido?

<p>Podem ser tanto bons quanto ruins, dependendo do contexto. (C)</p> Signup and view all the answers

Qual a importância de identificar dispositivos conectados via USB na análise forense?

<p>Permite rastrear ações e dados transferidos pelo usuário. (A)</p> Signup and view all the answers

Qual é a principal finalidade de um processo de extração de conteúdo em uma análise forense digital?

<p>Coletar dados relevantes relacionados a um caso específico. (B)</p> Signup and view all the answers

Qual é a principal função da linguagem estruturada STIX?

<p>Descrever ameaças cibernéticas para que sejam compartilhadas (D)</p> Signup and view all the answers

Qual dos seguintes itens NÃO é um tipo de indicador aceito pelo STIX?

<p>Informações de conta bancária (C)</p> Signup and view all the answers

No caso de hacking descrito, qual era a estratégia do suspeito Greg Schardt?

<p>Interceptar o tráfego da Internet próximo a pontos de acesso sem fio (B)</p> Signup and view all the answers

Qual é a relevância da lista de IPs mencionada no conteúdo?

<p>Monitorar endereços IP conhecidos como perigosos (C)</p> Signup and view all the answers

O que a sigla CFReDS representa no contexto mencionado?

<p>Computer Forensic Reference Data Sets (C)</p> Signup and view all the answers

Qual é o propósito principal do módulo de Hash Lookup?

<p>Pesquisar e validar conjuntos de hashes relacionados a conteúdo específico. (C)</p> Signup and view all the answers

Qual biblioteca é utilizada para verificar o tipo de arquivo e coletar metadados?

<p>Tika (B)</p> Signup and view all the answers

O que o módulo de Extração de Arquivos Embutidos faz?

<p>Descompacta arquivos e processa arquivos embutidos. (D)</p> Signup and view all the answers

Qual das opções não aparece como uma ferramenta de busca de hash mencionada?

<p>FileAnalyser (A)</p> Signup and view all the answers

Qual é uma característica das listas de hash mencionadas?

<p>Elas podem incluir hashes ruins, bons ou apenas conhecidos. (B)</p> Signup and view all the answers

Qual módulo gera informações para outros módulos com base no tipo de arquivo?

<p>Identificação de Tipo de Arquivo (D)</p> Signup and view all the answers

Qual dos seguintes tipos de arquivos pode ser processado pela Extração de Arquivos Embutidos?

<p>DOCX e XLSX (A)</p> Signup and view all the answers

O que caracteriza uma lista de hashes provenientes da National Software Reference Library?

<p>Inclui uma variedade de software conhecido. (D)</p> Signup and view all the answers

Uma das funções do Tika é:

<p>Identificar o tipo de arquivo e coletar metadados. (D)</p> Signup and view all the answers

Os dados de quais tipos de arquivos são processados novamente pelo módulo de Extração de Arquivos Embutidos?

<p>DOC, DOCX, PPT, PPTX, XLS e XLSX (A)</p> Signup and view all the answers

Qual é uma das funcionalidades oferecidas pelo Autopsy em relação à exportação de evidências?

<p>Realizar análise com outras ferramentas (B)</p> Signup and view all the answers

O que é que o Autopsy permite fazer com os arquivos exportados, além de analizá-los?

<p>Comparar os dados (C)</p> Signup and view all the answers

Qual é a versão documentada do guia do usuário do Autopsy mencionado na bibliografia?

<p>Versão 4.7 (A)</p> Signup and view all the answers

Qual das seguintes opções não é uma função descrita na seção sobre processamento de dados do Autopsy?

<p>Análise de dados pessoais (B)</p> Signup and view all the answers

Quem foi o autor original das apresentações mencionadas no conteúdo?

<p>António Pinto (B)</p> Signup and view all the answers

Qual é um dos principais propósitos da análise de conteúdo no Autopsy?

<p>Realizar uma análise manual detalhada (B)</p> Signup and view all the answers

Qual documento foi referenciado especificamente como um guia do usuário do Autopsy?

<p>Autopsy Forensic Browser User Guide (B)</p> Signup and view all the answers

Qual é uma das razões para exportar arquivos utilizando o Autopsy?

<p>Comparar e arquivar dados (A)</p> Signup and view all the answers

Qual filtro o Autopsy permite usar para reduzir a quantidade de elementos em uma linha do tempo?

<p>Filtrar arquivos conhecidos (D)</p> Signup and view all the answers

Qual é uma das opções de visualização de linha do tempo disponíveis?

<p>Visualização em histogramas (D)</p> Signup and view all the answers

Qual funcionalidade permite marcar resultados para referência futura?

<p>Etiquetagem (D)</p> Signup and view all the answers

Qual dos seguintes tipos de relatórios não é gerado pelo Autopsy?

<p>Relatório de Memória RAM (B)</p> Signup and view all the answers

O que é o Structured Threat Information Exchange (STIX)?

<p>Um formato de linguagem estruturada para descrever informações sobre ameaças cibernéticas (C)</p> Signup and view all the answers

Qual dos seguintes critérios pode ser aceito em STIX?

<p>Endereço IP (D)</p> Signup and view all the answers

Qual item não está listado como um tipo de relatório disponível no Autopsy?

<p>Relatório de arquivos corrompidos (B)</p> Signup and view all the answers

Qual função não é realizada pelo Autopsy em relação a filtros?

<p>Filtrar por extensão de arquivo (D)</p> Signup and view all the answers

Como os nomes das tags são definidos no processo de etiquetagem?

<p>Definidos pelo investigador (D)</p> Signup and view all the answers

O que o sistema Autopsy não permite nas visualizações de linha do tempo?

<p>Visualização de dados em tempo real (B)</p> Signup and view all the answers

Qual opção refere-se a um tipo de relatório que deve lidar com itens que foram marcados?

<p>Relatório Tagged (D)</p> Signup and view all the answers

Qual é um exemplo de indicador que pode ser usado em STIX?

<p>Endereço URL (C)</p> Signup and view all the answers

Quais resultados são aplicáveis no relatório de resultados?

<p>Resultados das análises de cada arquivo (B)</p> Signup and view all the answers

Qual é a principal função do módulo Keyword Search?

<p>Extrair texto dos arquivos processados e adicioná-los a um índice (D)</p> Signup and view all the answers

Quais tipos de arquivos o módulo de Email Parser consegue processar?

<p>MBOX e PST (C)</p> Signup and view all the answers

O que o módulo Extension Mismatch Detector tenta identificar?

<p>Arquivos com padrões que não correspondem à extensão do nome do arquivo (D)</p> Signup and view all the answers

Qual é o objetivo do módulo E01 Verifier?

<p>Calcular e comparar valores hash armazenados em arquivos E01 (D)</p> Signup and view all the answers

Que tipo de dados o Interesting Files Identifier gera alertas?

<p>Arquivos e pastas com tamanhos ou tipos específicos (C)</p> Signup and view all the answers

Qual comando deve ser selecionado para permitir a descoberta de arquivos recentemente deletados?

<p>Processar Espaço Não Alocado (A)</p> Signup and view all the answers

Qual é um problema comum associado às listas pré-definidas do módulo Keyword Search?

<p>Elas geram uma grande quantidade de falsos positivos. (D)</p> Signup and view all the answers

Quais formatos são suportados durante a execução do módulo Keyword Search?

<p>Textos, MS Office, PDF e e-mails (C)</p> Signup and view all the answers

O que faz o módulo Virtual Machine Extractor?

<p>Identifica discos de máquinas virtuais e os adiciona como novas fontes de dados (C)</p> Signup and view all the answers

Qual é a função principal do algoritmo de extração de strings para formatos não suportados?

<p>Identificar codificações e idiomas (C)</p> Signup and view all the answers

O que é o PhotoRec Carver capaz de processar?

<p>Arquivos de espaço não alocado e recentemente deletados (B)</p> Signup and view all the answers

O que o módulo de Extension Mismatch Detector pode gerar durante o processo?

<p>Falsos positivos sobre arquivos camuflados (C)</p> Signup and view all the answers

O que significa o módulo de identificação de arquivos interessantes?

<p>Um recurso que dá visibilidade a arquivos e pastas com características específicas (B)</p> Signup and view all the answers

Qual é o formato que o FTK Imager pode ler além de arquivos de disco virtual?

<p>Arquivos E01 (C)</p> Signup and view all the answers

Flashcards

Nome de usuário

Identificação de um utilizador num sistema, para acesso autorizado.

Hash Lookup

Técnica para comparar valores hash de ficheiros com bases de dados de valores hash.

Valores Hash

Resumos únicos de dados de ficheiros, usados para verificação.

Conjunto de Hash

Bases de dados de valores hash de ficheiros, usados para deteção de ficheiros suspeitos.

Signup and view all the flashcards

Pesquisa

Procura por informação específica nos dados de um local digital.

Signup and view all the flashcards

Imagens de drives do PC

Cópias de dados de um disco rígido de computador, utilizadas em investigações forenses.

Signup and view all the flashcards

Atividade Recente

Dados de 7 dias anteriores sobre atividades digitais, para análise forense.

Signup and view all the flashcards

Autopsy

Software usado para análise forense de dados digitais.

Signup and view all the flashcards

Base de Dados NSRL

Uma base de dados de hashes de arquivos, mantida pelo NIST (National Institute of Standards and Technology).

Signup and view all the flashcards

Identificação de Tipo de Arquivo

Método que identifica o tipo de arquivo baseado em suas características, incluindo metadados.

Signup and view all the flashcards

Biblioteca Tika

Biblioteca usada em análise forense para identificar tipos de arquivos.

Signup and view all the flashcards

Extração de Arquivos Incorporados

Processamento de arquivos comprimidos (ZIP, RAR) ou arquivos incorporados (DOC, PPT, XLS).

Signup and view all the flashcards

Módulo de Indexação (sem saída própria)

Um módulo que processa dados mas não gera saída diretamente. Fornece informações para outros módulos.

Signup and view all the flashcards

Detector de Discrepâncias de Extensão

Módulo que detecta incompatibilidade entre a extensão de um arquivo e seu conteúdo.

Signup and view all the flashcards

Pesquisa por Palavras-chave

Busca por palavras-chave dentro de arquivos para análise forense.

Signup and view all the flashcards

VirusShare

Plataforma online para compartilhamento de informações sobre vírus e malware.

Signup and view all the flashcards

Análise Forense Digital

Processamento de dados digitais para extração de informações.

Signup and view all the flashcards

STIX (Structured Threat Information Exchange)

Uma linguagem estruturada para descrever informações sobre ameaças cibernéticas, permitindo a sua partilha em formato XML.

Signup and view all the flashcards

Indicadores em STIX

Informação específica sobre ameaças, como endereços IP, URLs, nomes de ficheiros, hashes, etc.

Signup and view all the flashcards

IP Watchlist

Uma lista de endereços IP que são considerados potencialmente perigosos.

Signup and view all the flashcards

CFReDS (Computer Forensic Reference Data Sets)

Um conjunto de dados de referência para a investigação forense, fornecido pelo NIST (Instituto Nacional de Padrões e Tecnologia dos EUA).

Signup and view all the flashcards

Exemplo de caso: Hacking

Um caso fictício envolvendo um suspeito que usa um computador para fins de hacking, tendo como evidências a localização do computador abandonado e a sua atividade online.

Signup and view all the flashcards

Formatos suportados

Suporte a vários formatos de arquivos, como texto, MS Office, PDF e e-mails.

Signup and view all the flashcards

Extração de strings

Algoritmo para extração de strings em arquivos não suportados, identificando codificações e idiomas.

Signup and view all the flashcards

Listas predefinidas

Autopsy inclui listas predefinidas de termos comuns, como endereços web, endereços IP, números de telefone e endereços de e-mail, mas elas podem gerar falsos positivos.

Signup and view all the flashcards

Parser de e-mail

Identifica e processa arquivos de programas de e-mail (MBOX, PST), extraindo e-mails e seus anexos.

Signup and view all the flashcards

Detector de inconsistências de extensão

Identifica arquivos com extensões incompatíveis com o nome do arquivo, investigando arquivos camuflados.

Signup and view all the flashcards

Validador E01

Verifica o valor hash dos dados em arquivos EWF, calculando o hash e comparando-o com os valores armazenados nos metadados E01 para evitar corrupção.

Signup and view all the flashcards

Identificador de arquivos interessantes

Gera alertas quando detecta arquivos e pastas com características específicas, como tipo, tamanho, extensão, nome, caminho e tipo MIME.

Signup and view all the flashcards

Arquivos recuperados

Extrai arquivos de espaços não alocados, incluindo arquivos recentemente excluídos.

Signup and view all the flashcards

Extração de máquina virtual

Identifica discos de máquinas virtuais (como VMWare vmdk e Microsoft vhd) e os adiciona como novas fontes de dados.

Signup and view all the flashcards

Conversão de disco virtual

FTK Imager pode ler e converter arquivos de discos virtuais para o formato E01.

Signup and view all the flashcards

Módulos de Ingestão

Componentes do Autopsy que extraem dados de várias fontes, como discos rígidos, arquivos e memórias.

Signup and view all the flashcards

Análise de Conteúdo Manual

O processo de examinar manualmente dados coletados para encontrar evidências relevantes.

Signup and view all the flashcards

Exportação de Evidências

Funcionalidade do Autopsy para salvar e compartilhar dados coletados para análise em outras ferramentas.

Signup and view all the flashcards

STIX

Um padrão para compartilhar informações sobre ameaças cibernéticas, incluindo indicadores de compromisso (IOCs) e informações sobre atacantes.

Signup and view all the flashcards

Linhas do Tempo

Exibe a ordem dos eventos em um dispositivo ou sistema, mostrando a atividade ao longo do tempo.

Signup and view all the flashcards

Relatório

Um documento que resume a análise forense, incluindo os resultados e conclusões.

Signup and view all the flashcards

Evidências

Dados digitais relevantes que podem ser usados ​​como prova em uma investigação forense.

Signup and view all the flashcards

Visualização Timeline

Exibe a atividade digital numa sequência temporal, mostrando eventos como acesso a arquivos, modificações e conexões de rede.

Signup and view all the flashcards

Visão Detalhada

A Timeline pode ser expandida para mostrar detalhes específicos de cada evento, como o nome do arquivo, a data e a hora exatas.

Signup and view all the flashcards

Filtros na Timeline

Autopsy permite filtrar eventos da Timeline para focar em elementos relevantes, como arquivos conhecidos ou texto específico.

Signup and view all the flashcards

Filtro por Arquivos Conhecidos

Remove eventos relacionados a arquivos previamente identificados, como arquivos de sistema ou arquivos comuns.

Signup and view all the flashcards

Filtro por Texto

Mostra apenas eventos que contenham um texto específico, como um nome ou um endereço.

Signup and view all the flashcards

Filtro por Tipo de Evento

Exibe eventos específicos, como acesso a arquivos, modificações de arquivos ou eventos de rede.

Signup and view all the flashcards

Filtro por Intervalo de Tempo

Limita a Timeline para exibir eventos dentro de um intervalo de tempo específico, como um dia ou uma semana.

Signup and view all the flashcards

Marcação de Resultados

Autopsy permite adicionar etiquetas aos resultados da análise para facilitar a organização e identificação.

Signup and view all the flashcards

Itens para Referência Futura

As etiquetas marcam resultados para referência posterior, como evidências chave ou informações importantes.

Signup and view all the flashcards

Marcar Arquivos ou Resultados

A marcação permite destacar arquivos ou resultados específicos para análise posterior.

Signup and view all the flashcards

Nome da Tag Definido pelo Investigador

O investigador escolhe o nome da etiqueta para cada resultado, permitindo organização personalizada.

Signup and view all the flashcards

Exibição das Tags

As etiquetas criadas são exibidas na seção de resultados, facilitando a localização de informações marcadas.

Signup and view all the flashcards

Geração de Relatórios

Autopsy oferece diferentes tipos de relatórios para registrar os resultados da análise forense.

Signup and view all the flashcards

Relatório de Resultados

Exibe os resultados da análise, como arquivos encontrados, eventos, e informações sobre as etiquetas aplicadas.

Signup and view all the flashcards

Relatório de Marcados

Exibe apenas os resultados marcados com etiquetas, permitindo foco em informações específicas.

Signup and view all the flashcards

Study Notes

MCIF - Digital Forensic Analysis 1 - Autopsy

  • Autopsy: A graphical tool for digital investigations of storage media images. Developed in Java, mainly for Windows. It's expandable, supporting modules in Python for Java and has limited support for Android.
  • Autopsy Workflow:
    • Create a Case: Includes case name, type, directory, basic information.
    • Add a Data Source: Can use raw (dd) or EnCase (E01) images, drives, files, or virtual machine drives.
    • Analyze with Ingest Modules: Ingest modules perform tasks like analysis with pre-installed modules.
    • Manual Analysis: Manual inspection of data.
    • Report Generation: Creating reports of findings.

Introductory Concepts

  • Autopsy's url: http://www.sleuthkit.org/autopsy/
  • Autopsy is a graphical tool for digital investigation of storage media images.
  • Autopsy is developed in Java, mainly for Windows.
  • Autopsy is expandable (supports modules developed in Python for Java).
  • Autopsy has limited support for Android.

Tips: Making Autopsy Run Faster

  • Run Autopsy under Linux: Avoids anti-virus interference and reduces concurrent processes for better CPU performance. However, certain tools like OCR may not work.
  • Give more RAM to Autopsy JVM: For example, change the value from 4 GB to 8 GB. Increasing CPU cores increases needed RAM.
  • More memory to Solr: The indexing service enhancing search features.
  • Increasing from 1 to 2 GB should be sufficient; never give more than 2 GB for the JVM.

Tips: Autopsy Installation on Ubuntu

  • Download the snap package from https://github.com/sleuthkit/autopsy/releases
  • Install the package using sudo snap install --dangerous autopsy.snap
  • Connect to snap using sudo snap connect {} (replace {} with the output from snap connections autopsy | sed -ne 's/^[^ ]* *([^]*) *- *- *$/\1/p')
  • Run the first time: snap run autopsy --nosplash

Data Processing - Ingest Modules

  • Automated Processing: Using ingest modules effectively processes data.
  • Ingest Modules: Examples include:
    • All Files, Directories, and Unallocated Space
    • Recent Activity
    • Hash Lookup
    • File Type Identification
    • Embedded File Extractor
    • Exif Parser
    • Keyword Search
    • Email Parser
    • Extension Mismatch Detector
    • E01 Verifier
    • Encryption Detection
    • Interesting Files Identifier
    • PhotoRec Carver
    • Virtual Machine Extractor
  • Multi-core support: Enables parallel processing of files to reduce processing time. Configure the number of threads using Tools -> Options -> Ingest -> Settings.

Case 1: Hacking

  • Lost PC: On 20-09-2004, a computer was found abandoned, with potential use for hacking.
  • Suspect: Nicknamed "Mr. Evil."
  • Goal: Intercept internet traffic to obtain credit card information, usernames and passwords.
  • Tasks:
    • Download PC drive images from Moodle.
    • Create a new case in Autopsy.
    • Start automated processing.

Module: Recent Activity

  • Extracts information: from the last 7 days.
  • Information included: Internet usage (including searches), installed programs, connected devices , processes.
  • Display: Results are displayed in "Extracted Content."

Module: Hash Lookup

  • Computes hash values: of found files and compares to existing MD5 hashsets.
  • Known bad hashsets: Files to be validated.
  • Known good hashsets: Files that can be safely ignored.
  • Known hashsets: Files that can be good or bad depending on context.
  • Hash sets: Commonly available for police forces (e.g., child pornography images).
  • National Software Reference Library (NSRL): A publicly available hash database from NIST, available through URLs http://www.nsrl.nist.gov/, http://sourceforge.net/projects/autopsy/files/NSRL/. VirusShare URL: https://virusshare.com/hashes.4n6.

Module: File Type Identification

  • Checks file types: according to characteristics and collects metadata.
  • Uses Tika: (http://tika.apache.org/) as an indexing module.
  • Generates information: for other modules, including Extension Mismatch Detector and Keyword Search.

Module: Embedded File Extraction

  • Uncompresses files: like ZIP, RAR and embedded files (DOC, DOCX, PPT, PPTX, XLS, XLSX).
  • Processing: Process files again, enabling analysis of files within compressed/embedded files.
  • Results: displayed under results → Archives.

Module: EXIF Parser

  • Extracts EXIF data: (Exchangeable Image File Format) for images.
  • Data included: Geolocation, date/time, camera model, setup, resolution, etc.
  • Results: Displayed in the "Extracted Content" area under "EXIF Metadata".
  • Searches by keywords: During initial or on-demand processing.
  • Extract text: from files and adds to the index (Solr).
  • Supported formats: Text, MS Office, PDF, Emails.
  • String Extraction Algorithm: Identifies encodings and languages for non-supported formats.
  • Default lists: include web addresses (URLs), IP addresses, phone numbers, email addresses.

Module: Email Parser

  • Identifies and processes: Emails in MBOX, PST files.
  • Processes: emails and their attachments.

Module: Extension Mismatch Detector

  • Identifies files: with mismatched file patterns and filename extensions, potentially camouflaging malicious code.
  • Possible false positives: May result in identifying valid files incorrectly.

Module: E01 Verifier

  • Verifies EWF files: Calculates the hash of EWF file data and compares it to metadata in the E01 file. Identifies corrupted EWF files and prevents automated process issues.

Module: Interesting Files Identifier

  • Detects specific files: and folders based on characteristics (type, size, extension, name, MIME type).
  • Generates alerts: for files and folders matching the specified criteria.

Module: PhotoRec Carver

  • Extracts files: from unallocated disk space.
  • Multiple file types: Supported including recently deleted files.
  • Custom file patterns: Allows custom inclusion of file types.
  • "Process Unallocated Space" option needed for activation.

Module: Virtual Machine Extractor

  • Identifies virtual machine disks: which are added as new data sources.
  • Supports different formats: Including VMWare (vmdk) and Microsoft Virtual Hard Drives (vhd).
  • Conversion capability: FTK Imager can convert virtual disks to E01 format.

Report Generation

  • Types available:
    • Results: Applied to the items.
    • Tagged: Applied to tagged items.
    • Files: List of files under analysis.
    • KML: GPS Coordinates in Google Earth format.
    • TSK: MAC timeline of all files.
    • STIX: Compares results to a threat file.
  • Other functions: can include filtering and advanced artifact selection options for reports.

Labeling

  • Tagging results for future reference.
  • Enables marking files and results.
  • Tag names are set by the investigator.
  • Tags appear in the results view.

Timelines

  • Created using: Event dates.
  • Recognizes various: Event types: Files (modification, access, creation, change); Internet access (downloads, cookies, bookmarks, searches, browser history); Other events (messages, phone calls, emails, GPS tracks, etc.).
  • Visualizations: Including histograms and detailed views.
  • Filter options: Allowing reduction of elements.

Exporting Evidences

  • Exporting file types (PDF, Plain Text, Rich Text, Executable, Deleted Files): analysis with external tools, comparisons, or archival purposes.

Bibliography and Credits

Studying That Suits You

Use AI to generate personalized quizzes and flashcards to suit your learning preferences.

Quiz Team

Related Documents

More Like This

Use Quizgecko on...
Browser
Browser