Análise Forense Digital - Atividade Recente

Questions and Answers

Qual é a principal função do módulo de Recent Activity na análise forense digital?

• Comparar arquivos encontrados com um banco de dados de hashes.
• Identificar dispositivos conectados anteriormente ao computador.
• Extrair informações das atividades recentes do usuário. (correct)
• Realizar análise de imagens de disco.

Para que serve a computação de valores hash no Hash Lookup?

• Para ignorar todos os arquivos que não pertencem ao banco de dados.
• Para alterar os arquivos encontrados em um formato conhecido.
• Para aumentar o tamanho dos arquivos encontrados.
• Para validar a integridade dos arquivos com base em um banco de dados. (correct)

Qual das seguintes afirmações sobre os hashsets é verdadeira?

• São utilizados apenas por forças policiais para arquivos específicos. (correct)
• São disponíveis apenas para usuários comuns acessarem.
• Podem conter arquivos que são sempre bons ou sempre ruins.
• Não podem ser aplicados em investigações forenses.

O que acontece após baixar as imagens da unidade de disco no Autopsy?

Um novo caso deve ser criado no software. (A)

Quais informações são extraídas do registro no módulo de Recent Activity?

Programas instalados e dispositivos USB conectados. (B)

O que caracteriza um hashset conhecido?

Podem ser tanto bons quanto ruins, dependendo do contexto. (C)

Qual a importância de identificar dispositivos conectados via USB na análise forense?

Permite rastrear ações e dados transferidos pelo usuário. (A)

Qual é a principal finalidade de um processo de extração de conteúdo em uma análise forense digital?

Coletar dados relevantes relacionados a um caso específico. (B)

Qual é a principal função da linguagem estruturada STIX?

Descrever ameaças cibernéticas para que sejam compartilhadas (D)

Qual dos seguintes itens NÃO é um tipo de indicador aceito pelo STIX?

Informações de conta bancária (C)

No caso de hacking descrito, qual era a estratégia do suspeito Greg Schardt?

Interceptar o tráfego da Internet próximo a pontos de acesso sem fio (B)

Qual é a relevância da lista de IPs mencionada no conteúdo?

Monitorar endereços IP conhecidos como perigosos (C)

O que a sigla CFReDS representa no contexto mencionado?

Computer Forensic Reference Data Sets (C)

Qual é o propósito principal do módulo de Hash Lookup?

Pesquisar e validar conjuntos de hashes relacionados a conteúdo específico. (C)

Qual biblioteca é utilizada para verificar o tipo de arquivo e coletar metadados?

Tika (B)

O que o módulo de Extração de Arquivos Embutidos faz?

Descompacta arquivos e processa arquivos embutidos. (D)

Qual das opções não aparece como uma ferramenta de busca de hash mencionada?

FileAnalyser (A)

Qual é uma característica das listas de hash mencionadas?

Elas podem incluir hashes ruins, bons ou apenas conhecidos. (B)

Qual módulo gera informações para outros módulos com base no tipo de arquivo?

Identificação de Tipo de Arquivo (D)

Qual dos seguintes tipos de arquivos pode ser processado pela Extração de Arquivos Embutidos?

DOCX e XLSX (A)

O que caracteriza uma lista de hashes provenientes da National Software Reference Library?

Inclui uma variedade de software conhecido. (D)

Uma das funções do Tika é:

Identificar o tipo de arquivo e coletar metadados. (D)

Os dados de quais tipos de arquivos são processados novamente pelo módulo de Extração de Arquivos Embutidos?

DOC, DOCX, PPT, PPTX, XLS e XLSX (A)

Qual é uma das funcionalidades oferecidas pelo Autopsy em relação à exportação de evidências?

Realizar análise com outras ferramentas (B)

O que é que o Autopsy permite fazer com os arquivos exportados, além de analizá-los?

Comparar os dados (C)

Qual é a versão documentada do guia do usuário do Autopsy mencionado na bibliografia?

Versão 4.7 (A)

Qual das seguintes opções não é uma função descrita na seção sobre processamento de dados do Autopsy?

Análise de dados pessoais (B)

Quem foi o autor original das apresentações mencionadas no conteúdo?

António Pinto (B)

Qual é um dos principais propósitos da análise de conteúdo no Autopsy?

Realizar uma análise manual detalhada (B)

Qual documento foi referenciado especificamente como um guia do usuário do Autopsy?

Autopsy Forensic Browser User Guide (B)

Qual é uma das razões para exportar arquivos utilizando o Autopsy?

Comparar e arquivar dados (A)

Qual filtro o Autopsy permite usar para reduzir a quantidade de elementos em uma linha do tempo?

Filtrar arquivos conhecidos (D)

Qual é uma das opções de visualização de linha do tempo disponíveis?

Visualização em histogramas (D)

Qual funcionalidade permite marcar resultados para referência futura?

Etiquetagem (D)

Qual dos seguintes tipos de relatórios não é gerado pelo Autopsy?

Relatório de Memória RAM (B)

O que é o Structured Threat Information Exchange (STIX)?

Um formato de linguagem estruturada para descrever informações sobre ameaças cibernéticas (C)

Qual dos seguintes critérios pode ser aceito em STIX?

Endereço IP (D)

Qual item não está listado como um tipo de relatório disponível no Autopsy?

Relatório de arquivos corrompidos (B)

Qual função não é realizada pelo Autopsy em relação a filtros?

Filtrar por extensão de arquivo (D)

Como os nomes das tags são definidos no processo de etiquetagem?

Definidos pelo investigador (D)

O que o sistema Autopsy não permite nas visualizações de linha do tempo?

Visualização de dados em tempo real (B)

Qual opção refere-se a um tipo de relatório que deve lidar com itens que foram marcados?

Relatório Tagged (D)

Qual é um exemplo de indicador que pode ser usado em STIX?

Endereço URL (C)

Quais resultados são aplicáveis no relatório de resultados?

Resultados das análises de cada arquivo (B)

Qual é a principal função do módulo Keyword Search?

Extrair texto dos arquivos processados e adicioná-los a um índice (D)

Quais tipos de arquivos o módulo de Email Parser consegue processar?

MBOX e PST (C)

O que o módulo Extension Mismatch Detector tenta identificar?

Arquivos com padrões que não correspondem à extensão do nome do arquivo (D)

Qual é o objetivo do módulo E01 Verifier?

Calcular e comparar valores hash armazenados em arquivos E01 (D)

Que tipo de dados o Interesting Files Identifier gera alertas?

Arquivos e pastas com tamanhos ou tipos específicos (C)

Qual comando deve ser selecionado para permitir a descoberta de arquivos recentemente deletados?

Processar Espaço Não Alocado (A)

Qual é um problema comum associado às listas pré-definidas do módulo Keyword Search?

Elas geram uma grande quantidade de falsos positivos. (D)

Quais formatos são suportados durante a execução do módulo Keyword Search?

Textos, MS Office, PDF e e-mails (C)

O que faz o módulo Virtual Machine Extractor?

Identifica discos de máquinas virtuais e os adiciona como novas fontes de dados (C)

Qual é a função principal do algoritmo de extração de strings para formatos não suportados?

Identificar codificações e idiomas (C)

O que é o PhotoRec Carver capaz de processar?

Arquivos de espaço não alocado e recentemente deletados (B)

O que o módulo de Extension Mismatch Detector pode gerar durante o processo?

Falsos positivos sobre arquivos camuflados (C)

O que significa o módulo de identificação de arquivos interessantes?

Um recurso que dá visibilidade a arquivos e pastas com características específicas (B)

Qual é o formato que o FTK Imager pode ler além de arquivos de disco virtual?

Arquivos E01 (C)

Flashcards

Nome de usuário

Identificação de um utilizador num sistema, para acesso autorizado.

Hash Lookup

Técnica para comparar valores hash de ficheiros com bases de dados de valores hash.

Valores Hash

Resumos únicos de dados de ficheiros, usados para verificação.

Conjunto de Hash

Bases de dados de valores hash de ficheiros, usados para deteção de ficheiros suspeitos.

Pesquisa

Procura por informação específica nos dados de um local digital.

Imagens de drives do PC

Cópias de dados de um disco rígido de computador, utilizadas em investigações forenses.

Atividade Recente

Dados de 7 dias anteriores sobre atividades digitais, para análise forense.

Autopsy

Software usado para análise forense de dados digitais.

Base de Dados NSRL

Uma base de dados de hashes de arquivos, mantida pelo NIST (National Institute of Standards and Technology).

Identificação de Tipo de Arquivo

Método que identifica o tipo de arquivo baseado em suas características, incluindo metadados.

Biblioteca Tika

Biblioteca usada em análise forense para identificar tipos de arquivos.

Extração de Arquivos Incorporados

Processamento de arquivos comprimidos (ZIP, RAR) ou arquivos incorporados (DOC, PPT, XLS).

Módulo de Indexação (sem saída própria)

Um módulo que processa dados mas não gera saída diretamente. Fornece informações para outros módulos.

Detector de Discrepâncias de Extensão

Módulo que detecta incompatibilidade entre a extensão de um arquivo e seu conteúdo.

Pesquisa por Palavras-chave

Busca por palavras-chave dentro de arquivos para análise forense.

VirusShare

Plataforma online para compartilhamento de informações sobre vírus e malware.

Análise Forense Digital

Processamento de dados digitais para extração de informações.

STIX (Structured Threat Information Exchange)

Uma linguagem estruturada para descrever informações sobre ameaças cibernéticas, permitindo a sua partilha em formato XML.

Indicadores em STIX

Informação específica sobre ameaças, como endereços IP, URLs, nomes de ficheiros, hashes, etc.

IP Watchlist

Uma lista de endereços IP que são considerados potencialmente perigosos.

CFReDS (Computer Forensic Reference Data Sets)

Um conjunto de dados de referência para a investigação forense, fornecido pelo NIST (Instituto Nacional de Padrões e Tecnologia dos EUA).

Exemplo de caso: Hacking

Um caso fictício envolvendo um suspeito que usa um computador para fins de hacking, tendo como evidências a localização do computador abandonado e a sua atividade online.

Formatos suportados

Suporte a vários formatos de arquivos, como texto, MS Office, PDF e e-mails.

Extração de strings

Algoritmo para extração de strings em arquivos não suportados, identificando codificações e idiomas.

Listas predefinidas

Autopsy inclui listas predefinidas de termos comuns, como endereços web, endereços IP, números de telefone e endereços de e-mail, mas elas podem gerar falsos positivos.

Parser de e-mail

Identifica e processa arquivos de programas de e-mail (MBOX, PST), extraindo e-mails e seus anexos.

Detector de inconsistências de extensão

Identifica arquivos com extensões incompatíveis com o nome do arquivo, investigando arquivos camuflados.

Validador E01

Verifica o valor hash dos dados em arquivos EWF, calculando o hash e comparando-o com os valores armazenados nos metadados E01 para evitar corrupção.

Identificador de arquivos interessantes

Gera alertas quando detecta arquivos e pastas com características específicas, como tipo, tamanho, extensão, nome, caminho e tipo MIME.

Arquivos recuperados

Extrai arquivos de espaços não alocados, incluindo arquivos recentemente excluídos.

Extração de máquina virtual

Identifica discos de máquinas virtuais (como VMWare vmdk e Microsoft vhd) e os adiciona como novas fontes de dados.

Conversão de disco virtual

FTK Imager pode ler e converter arquivos de discos virtuais para o formato E01.

Módulos de Ingestão

Componentes do Autopsy que extraem dados de várias fontes, como discos rígidos, arquivos e memórias.

Análise de Conteúdo Manual

O processo de examinar manualmente dados coletados para encontrar evidências relevantes.

Exportação de Evidências

Funcionalidade do Autopsy para salvar e compartilhar dados coletados para análise em outras ferramentas.

STIX

Um padrão para compartilhar informações sobre ameaças cibernéticas, incluindo indicadores de compromisso (IOCs) e informações sobre atacantes.

Linhas do Tempo

Exibe a ordem dos eventos em um dispositivo ou sistema, mostrando a atividade ao longo do tempo.

Relatório

Um documento que resume a análise forense, incluindo os resultados e conclusões.

Evidências

Dados digitais relevantes que podem ser usados ​​como prova em uma investigação forense.

Visualização Timeline

Exibe a atividade digital numa sequência temporal, mostrando eventos como acesso a arquivos, modificações e conexões de rede.

Visão Detalhada

A Timeline pode ser expandida para mostrar detalhes específicos de cada evento, como o nome do arquivo, a data e a hora exatas.

Filtros na Timeline

Autopsy permite filtrar eventos da Timeline para focar em elementos relevantes, como arquivos conhecidos ou texto específico.

Filtro por Arquivos Conhecidos

Remove eventos relacionados a arquivos previamente identificados, como arquivos de sistema ou arquivos comuns.

Filtro por Texto

Mostra apenas eventos que contenham um texto específico, como um nome ou um endereço.

Filtro por Tipo de Evento

Exibe eventos específicos, como acesso a arquivos, modificações de arquivos ou eventos de rede.

Filtro por Intervalo de Tempo

Limita a Timeline para exibir eventos dentro de um intervalo de tempo específico, como um dia ou uma semana.

Marcação de Resultados

Autopsy permite adicionar etiquetas aos resultados da análise para facilitar a organização e identificação.

Itens para Referência Futura

As etiquetas marcam resultados para referência posterior, como evidências chave ou informações importantes.

Marcar Arquivos ou Resultados

A marcação permite destacar arquivos ou resultados específicos para análise posterior.

Nome da Tag Definido pelo Investigador

O investigador escolhe o nome da etiqueta para cada resultado, permitindo organização personalizada.

Exibição das Tags

As etiquetas criadas são exibidas na seção de resultados, facilitando a localização de informações marcadas.

Geração de Relatórios

Autopsy oferece diferentes tipos de relatórios para registrar os resultados da análise forense.

Relatório de Resultados

Exibe os resultados da análise, como arquivos encontrados, eventos, e informações sobre as etiquetas aplicadas.

Relatório de Marcados

Exibe apenas os resultados marcados com etiquetas, permitindo foco em informações específicas.

Study Notes

MCIF - Digital Forensic Analysis 1 - Autopsy

• Autopsy: A graphical tool for digital investigations of storage media images. Developed in Java, mainly for Windows. It's expandable, supporting modules in Python for Java and has limited support for Android.
• Autopsy Workflow:
  • Create a Case: Includes case name, type, directory, basic information.
  • Add a Data Source: Can use raw (dd) or EnCase (E01) images, drives, files, or virtual machine drives.
  • Analyze with Ingest Modules: Ingest modules perform tasks like analysis with pre-installed modules.
  • Manual Analysis: Manual inspection of data.
  • Report Generation: Creating reports of findings.

Introductory Concepts

• Autopsy's url: http://www.sleuthkit.org/autopsy/
• Autopsy is a graphical tool for digital investigation of storage media images.
• Autopsy is developed in Java, mainly for Windows.
• Autopsy is expandable (supports modules developed in Python for Java).
• Autopsy has limited support for Android.

Tips: Making Autopsy Run Faster

• Run Autopsy under Linux: Avoids anti-virus interference and reduces concurrent processes for better CPU performance. However, certain tools like OCR may not work.
• Give more RAM to Autopsy JVM: For example, change the value from 4 GB to 8 GB. Increasing CPU cores increases needed RAM.
• More memory to Solr: The indexing service enhancing search features.
• Increasing from 1 to 2 GB should be sufficient; never give more than 2 GB for the JVM.

Tips: Autopsy Installation on Ubuntu

• Download the snap package from https://github.com/sleuthkit/autopsy/releases
• Install the package using sudo snap install --dangerous autopsy.snap
• Connect to snap using sudo snap connect {} (replace {} with the output from snap connections autopsy | sed -ne 's/^[^ ]* *([^]*) *- *- *$/\1/p')
• Run the first time: snap run autopsy --nosplash

Data Processing - Ingest Modules

• Automated Processing: Using ingest modules effectively processes data.
• Ingest Modules: Examples include:
  • All Files, Directories, and Unallocated Space
  • Recent Activity
  • Hash Lookup
  • File Type Identification
  • Embedded File Extractor
  • Exif Parser
  • Keyword Search
  • Email Parser
  • Extension Mismatch Detector
  • E01 Verifier
  • Encryption Detection
  • Interesting Files Identifier
  • PhotoRec Carver
  • Virtual Machine Extractor
• Multi-core support: Enables parallel processing of files to reduce processing time. Configure the number of threads using Tools -> Options -> Ingest -> Settings.

Case 1: Hacking

• Lost PC: On 20-09-2004, a computer was found abandoned, with potential use for hacking.
• Suspect: Nicknamed "Mr. Evil."
• Goal: Intercept internet traffic to obtain credit card information, usernames and passwords.
• Tasks:
  • Download PC drive images from Moodle.
  • Create a new case in Autopsy.
  • Start automated processing.

Module: Recent Activity

• Extracts information: from the last 7 days.
• Information included: Internet usage (including searches), installed programs, connected devices , processes.
• Display: Results are displayed in "Extracted Content."

Module: Hash Lookup

• Computes hash values: of found files and compares to existing MD5 hashsets.
• Known bad hashsets: Files to be validated.
• Known good hashsets: Files that can be safely ignored.
• Known hashsets: Files that can be good or bad depending on context.
• Hash sets: Commonly available for police forces (e.g., child pornography images).
• National Software Reference Library (NSRL): A publicly available hash database from NIST, available through URLs http://www.nsrl.nist.gov/, http://sourceforge.net/projects/autopsy/files/NSRL/. VirusShare URL: https://virusshare.com/hashes.4n6.

Module: File Type Identification

• Checks file types: according to characteristics and collects metadata.
• Uses Tika: (http://tika.apache.org/) as an indexing module.
• Generates information: for other modules, including Extension Mismatch Detector and Keyword Search.

Module: Embedded File Extraction

• Uncompresses files: like ZIP, RAR and embedded files (DOC, DOCX, PPT, PPTX, XLS, XLSX).
• Processing: Process files again, enabling analysis of files within compressed/embedded files.
• Results: displayed under results → Archives.

Module: EXIF Parser

• Extracts EXIF data: (Exchangeable Image File Format) for images.
• Data included: Geolocation, date/time, camera model, setup, resolution, etc.
• Results: Displayed in the "Extracted Content" area under "EXIF Metadata".

Module: Keyword Search

• Searches by keywords: During initial or on-demand processing.
• Extract text: from files and adds to the index (Solr).
• Supported formats: Text, MS Office, PDF, Emails.
• String Extraction Algorithm: Identifies encodings and languages for non-supported formats.
• Default lists: include web addresses (URLs), IP addresses, phone numbers, email addresses.

Module: Email Parser

• Identifies and processes: Emails in MBOX, PST files.
• Processes: emails and their attachments.

Module: Extension Mismatch Detector

• Identifies files: with mismatched file patterns and filename extensions, potentially camouflaging malicious code.
• Possible false positives: May result in identifying valid files incorrectly.

Module: E01 Verifier

• Verifies EWF files: Calculates the hash of EWF file data and compares it to metadata in the E01 file. Identifies corrupted EWF files and prevents automated process issues.

Module: Interesting Files Identifier

• Detects specific files: and folders based on characteristics (type, size, extension, name, MIME type).
• Generates alerts: for files and folders matching the specified criteria.

Module: PhotoRec Carver

• Extracts files: from unallocated disk space.
• Multiple file types: Supported including recently deleted files.
• Custom file patterns: Allows custom inclusion of file types.
• "Process Unallocated Space" option needed for activation.

Module: Virtual Machine Extractor

• Identifies virtual machine disks: which are added as new data sources.
• Supports different formats: Including VMWare (vmdk) and Microsoft Virtual Hard Drives (vhd).
• Conversion capability: FTK Imager can convert virtual disks to E01 format.

Report Generation

• Types available:
  • Results: Applied to the items.
  • Tagged: Applied to tagged items.
  • Files: List of files under analysis.
  • KML: GPS Coordinates in Google Earth format.
  • TSK: MAC timeline of all files.
  • STIX: Compares results to a threat file.
• Other functions: can include filtering and advanced artifact selection options for reports.

Labeling

• Tagging results for future reference.
• Enables marking files and results.
• Tag names are set by the investigator.
• Tags appear in the results view.

Timelines

• Created using: Event dates.
• Recognizes various: Event types: Files (modification, access, creation, change); Internet access (downloads, cookies, bookmarks, searches, browser history); Other events (messages, phone calls, emails, GPS tracks, etc.).
• Visualizations: Including histograms and detailed views.
• Filter options: Allowing reduction of elements.

Exporting Evidences

• Exporting file types (PDF, Plain Text, Rich Text, Executable, Deleted Files): analysis with external tools, comparisons, or archival purposes.

Bibliography and Credits

• Autopsy User's Guide available at https://github.com/sleuthkit/autopsy/tree/release-4.7.0/docs/doxygen-user.
• Autopsy Forensic Browser User Guide (2013), author: Julia Keffer. Available at https://juliakeffer.files.wordpress.com/2013/06/autopsy_user_guide.pdf.
• The slides' original author is António Pinto.
• The document was translated, adapted, and updated by Miguel Frade.