Identificando o Hardware de um computador

Na internet, existem vários programas que fornecem informações detalhadas de seu computador como processador, memória RAM, HD, dispositivos conectados e etc. Mas vamos hoje, entender de onde esses programas obtêm algumas informações que são mostradas nesses softwares de auditoria.

Podemos dizer que todas as informações que um programa de auditoria consegue sobre os nossos computadores estão armazendas no registro do windows. Não existe muito mistério, apenas, esses programas facilitam a nossa vida.

Por exemplo, onde você extrai as informações sobre o seu processador de seu micro? Simples, basta entrar no registro do windows e procurar a seguinte chave:

HLM -> Hardware -> DESCRIPTION -> System -> CentralProcessor -> O

Existe a chave “Identifier” que descreve o modelo do processador

A chave “ProcessorNameString” é o nome do fabricante do processador e sua velocidade/arquitetura

E finalmente, a chave “VendorIdentifier” que poder ser Intel ou AMD.

Decaf desabilita software forense da MS

SÃO PAULO – Hackers criaram uma nova ferramenta que atrapalha o trabalho da ferramenta COFEE, da Microsoft, utilizada recuperar informações do PC para investigações policiais.

A Decaf, como foi chamada, detecta o programa da MS e dispara mecanismos de segurança que evitam suas rotinas de análise dos sistemas.

A COFEE foi criada para auxiliar a polícia a resgatar informações importantes durante uma investigação. Ela é acionada a partir de um drive USB e é responsável por gerar relatórios de tudo o que foi feito no PC.

Ao identificar o programa, o Decaf é capaz de desabilitar a porta USB e apagar todos os logs, históricos dos navegadores, cookies e até os principais clientes utilizados para baixar torrents.

Fonte: Info Plantão (http://info.abril.com.br/noticias/seguranca/decaf-desabilita-software-forense-da-ms-15122009-6.shl)

Montando um laboratório forense

Quando temos uma situação em que é preciso obter todas as evidências possíveis de um determinado equipamento, é necessário termos um ambiente apropriado para manter o profissionalismo e a ética profissional, para evitar que dados sigilosos sejam divulgados ou que os equipamentos eletrônicos estejam vulneráveis ao acesso de terceiros não autorizados.

Para tanto,o ideal é que o perito forense sempre tenha um laboratório forense para auxiliar nas suas atividades com o maior zelo possível. Primeiramente, tenha em mente qual o orçamento que você terá disponível para montar o seu ambiente de trabalho. Não adianta se planejar com um orçamento que não é a sua realidade financeira.

Pesquise e analise um espaço físico adequado para que tenha um mínimo de conforto e que seus equipamentos possam ser guardados de forma organizada. Tenha em mente também que é nesse local que seus equipamentos que estarão em sua custódia ficarão guardados.

Reúna uma quantidade mínima necessária de equipamentos para que possa começar a trabalhar com perícia forense. Não adianta comprar sofwares caros inicialmente se você não possui nenhum trabalho em vista.

Proteja o seu laboratório fisicamente, controlando o acesso de pessoas no local, registrando dia e horário. Tenha sempre o controle de seu laboratório, evitando assim, surpresas desagradáveis futuras.

Bom trabalho.

Descobrindo o que é executado no boot do windows

Quando ligamos o computador, diversas instruções são executadas (boot da máquina, instrução INT 19, leitura da trilha zero do HD, etc) na máquina até que possamos propriamente ter acesso ao sistema operacional e conseguir  usar o computador.

Nesse momento, vamos analisar quais aplicações ou possíveis scripts poderiam está sendo executados durante o boot do windows, no qual poderemos ter uma noção se algo diferente, como apagar determinados arquvos, estariam sendo realizados antes mesmos do equipamento ser liberado ao usuário / perito.

Uma rápida consulta no registro do windows, poderemos ter a informação desejada. Basta seguir os seguintes passos:

1 – Executar o regedit.exe em Iniciar -> Executar, e entre no registro do windows;

2 – Localize a chave “Session Manager” que pode ser encontrada no seguinte caminho:

HKEY_LOCAL_MACHINE -> System -> ControlSet001 -> Control -> Session Manager

Dentro dessa chave, no lado direito, procure a chave “BootExecute” e visualize o que está sendo executado durante o boot do windows.

Por exemplo, pode aparecer a seguinte informação:

BootExecute

autocheck xmnt2002 /bat=”C:\WINDOWS\TEMP\PQ_BATCH.PQB”

/win=”C:\WINDOWS” /dbg=”C:\WINDOWS\TEMP\PQ_DEBUG.TXT”

/ver=262144 /prd=”PartitionMagic”
autocheck autochk *
–

Visualização de janelas escondidas com o ShowWin

Não duvide, programas “invisíveis” estão rodando junto com o Windows na sua frente e você não vê no Desktop (área de trabalho). O perito quando vai fazer uma investigação e sai em busca de evidências, não pode deixar passar certas situações em que para um usuário leigo, nem imagina que algo está acontecendo diante de seus olhos e ele não pode ver, muito menos imaginar que telas estão abertas e que simplesmente não aparecem.

Em muitos casos, um criminoso instala um programa que roda em segundo plano (processo background) em que não precebemos a sua execução e fica esperando a digitação do teclado para “roubar” (o termo técnico correto é furtar) os seus dados pessoais para utilização futura.

Para um perito experiente, a primeira coisa dentre muitas outras que são planejadas, é ir em busca de evidências de softwares que estão rodando no momento em memória. Uma das ferramentas que te mostra as janelas abertas mas que não aparecem ao usuário é o ShowWin.

Com esse software, o perito clica em um símbolo existente no programa e arrasta por toda a área da janela do ambiente de trabalho. Para cada janela que o ShowWin encontrar, aparece a demarcação da janela ativa e o nome da função em funcionamento. Com um clique com o botão direito do mouse, acontece o “milagre”: a janela que está ativa aparece agora aos olhos do perito, que pode servir como evidência ou até mesmo prova para a confecção do laudo pericial. 

Visualizando os arquivos instalados e a data de instalação

Muitas pessoas gostam de experimentar os softwares disponibilizados na internet para download e instalam no computador para verificar o funcionamento deles. Em muitos casos, os programas são instalados e quando expiram o prazo de avaliação ( programa beta) os usuários vão em busca de métodos não convencionais para manter o software em funcionamento (serial clandestino ou crack fornecido pelo mundo “underground”).

Porém, é importante para um perito listar todos os programas instalados na máquina e visualizar a data de instalação de cada um. Caso o serviço do perito seja de identificar os softwares “piratas” que estão no computador do investigado, o perito poderá utilizar ferramentas específicas para determinar se o programa está dentro do perído de teste desde a instalação ou confirmar que foram usados meios ilícitos para manter um programa em eterno período de teste.

Para tanto, uma das ferramentas utilizadas pelo perito para listar todos os programas instalados, versão, caminho de instalação e data da instalação, é o software   Installed Program Finder, muito eficiente e prático, que possibilita salvar a listagem dos softwares instalados em um arquivo texto (txt) para futuras formatação em um relatório para anexar ao laudo pericial produzido pelo perito.

 

Ferramenta Forense para acessar arquivo NTUSER.DAT

Muitos me procuraram para questionar sobre a fucionalidade do arquivo NTUSER.DAT existente dentro de cada perfil de usuário criado no windows. Para um perito, pode ser uma fonte de informação sobre as preferências do usuário, o que ele tem instalado ultimamente no computador e outros dados importantes.

Nesse caso, resumidamente, o arquivo NTuser.dat é a parte do Registro do perfil de usuário. Quando um usuário faz logoff do computador, o sistema descarrega a seção específica do usuário do Registro (ou seja, HKEY_CURRENT_USER) no arquivo NTuser.dat e o atualiza. Para obter mais informações sobre o Registro, consulte estrutura do Registro.

Pra cada usuário criado na maquina existe um arquivo “NTuser.dat”. Só confira o nome do arquivo, pois como já disseram alguns virus imitam o nome de arquivos do windows, mas se o nome for “NTuser.dat” fique tranquilo, e o arquivo varia mesmo de tamanho dependo da configuração do perfil do usuário.

Para ter acesso aos dados desse arquivo, não basta abrir com o bloco de notas ou wordpad, pois as informações estão criptografadas, devido a segurança que o sistema operacional utiliza para evitar problemas de confidencialidade.

Para um perito, particularmente, eu utilizo o Live CD Ubuntu Forensics – FTDK, no qual através da ferramenta regp, você pode observar o conteúdo do arquivo, que contem algumas informações do tipo:

Offline Registry File Parser, by Harlan Carvey

Version 1.1, 20060523

 

\$$$PROTO.HIV\Software\Microsoft\Internet Explorer\TypedURLs

 

LastWrite time: Tue Nov 24 15:35:53 2009

–> url1;REG_SZ;http://www.google.com.br/

–> url2;REG_SZ;http://wordpress.com/

–> url3;REG_SZ;http://www.terra.com.br/

–> url4;REG_SZ;http://www.dealextreme.com/

–> url5;REG_SZ;http://www.gmail.com/

 

Técnicas anti-forense para ocultação de dados – Parte 2

Colaboração: Alexandre Stratikopoulos

Nesta segunda parte do artigo sobre técnicas anti-forense, abordaremos algumas opções para ocultação de dados na Camanda de Hardware.

O disco rígido, independente do funcionamento dos sistemas operacionais, parece ser um bom local para ocultar dados confidenciais. O processo investigativo e de análise de um disco deve iniciar-se com a obtenção de informações sobre sua geometria e configuração, seguida pelo processo de geração da imagem bit-a-bit do dispositivo.

A seguir, abordaremos 2 áreas do disco que podem ser usadas para ocultação de dados.
                       MBR
                       ===

Dentre as áreas não acessíveis pelo usuário comum, está a MBR. Como indicado abaixo, é uma prática normal as tabelas de partições (do MBR ou da partição estendidas) começarem na cabeça 0, setor 1 de um cilindro, e o primeiro
setor da primeira particão começar na cabeça 1, setor 1 do cilindro.

A consequência dessa prática é a existência de setores não utilizados entre o setor da tabela de partições e início da primeira partição. Esses setores podem ser utilizados para esconder informações, sem qualquer risco de serem detectadas pelo uso normal do sistema de arquivos.

As informações armazenadas em áreas não acessíveis através de um sistema de arquivos podem ser extraídas por meio de raw I/O, utilizando-se, por exemplo, o comando dd e o device node (ou a imagem em arquivo) correspondente ao disco analisado, como ilustrado a seguir:

 # dd if=/dev/sda of=image.sda bs=512 skip=1 count=62
 62+0 records in
 62+0 records out

No exemplo anterior, o comando dd é usado para extrair o espaço não utilizado entre o MBR (setor 0) e o setor de boot da primeira partição do disco (setor 63). A informação é extraída do disco /dev/sda e é preservada no arquivo binário image.sda. As opções bs, skip e count são utilizadas para instruir o comando dd a copiar 62 setores de 512 bytes, a partir do setor de número 1.

                       MBR
                       ===

A Host Protected Area (HPA) é definida como uma área protegida em um disco rígido, sendo introduzida como um recurso opcional no padrão ATA-4 em 1998 e atualmente, a maioria dos discos rígidos suportam esse recurso.

Este recurso é muito usado por fabricantes de notebook para armazenar imagens do sistema atual, bem como ferramentas de recuperação e diagnóstico. Seu principal objetivo é prover a recuperação do sistema a partir de uma imagem padrão. Se a HPA está sendo utilizada para este propósito, é possível que o investigador forense encontre evidências de dados ocultos nesta área.

Na prática, seu disco tem um espaço maior do que a área utilizada pelo sistema operacional e existem algumas ferramentas gratuítas, como hdat2, que são capazes de acessar e modificar o conteúdo da HPA de um disco.

Para verificar se seu disco tem a HPA habilitada, pode-se utilizar a ferramenta hdat2, como no exemplo abaixo:

No exemplo abaixo, um disco que para o sistema operacional é exibido como sendo de 125G, na verdade tem mais 125G alocado para a HPA.

                       Conclusão
                       =========

Normalmente, quando a informação é armazenada tanto na HPA, ela não é acessível pelo BIOS, sistema operacional, ou pelo usuário. No entanto, algumas ferramentas podem ser usadas para acessar e modificar seu conteúdo.

Dado o potencial de colocar esses dados em áreas escondidas, esta é uma área de preocupação para os peritos computacionais.

Espero que isso não seja mais “grego” para você!!

Artigo publicado originalmente em http://gregoweblog.blogspot.com/2009/11/tecnicas-anti-forense-para-ocultacao-de.html

Fonte: www.dicas-l.com.br

Diferença entre cluster e setor de um Disco Rígido (HD)

Algumas pessoas quando falam sobre disco rígido, se confundem quando formatam o HD (hard disk). As vezes, ficam na dúvida se a formatação no disco foi física ou lógica.

Bem, a formatação física só acontece quando o HD sai de fábrica, onde durante o processo de fabricação do disco rígido, acontece a formatação física do dispositivo, onde é gravado na placa lógica do equipamento a tabela de endereçamento das áreas de armazenamento do HD.

Ou seja, existe um processo em que o disco é “mapeado” em setores, cada um com seu endereço físico e então, é gravado na tabela esse endereçamento que mais tarde, será utilizado pelo Sistema Operacional para organizar as informações alí gravadas.

Quando se fala setor, trata-se da menor porção física de um HD, ou seja, é o endereço mapeado no próprio disco rígido, com tamanho de 512 bytes cada.

O cluster, é um conjunto de setores, em que o Sistema Operacional reconhece e se organiza para gravar as informações lógicas. Como o setor, o cluster também é a menor tamanho que o SO (Sistema Operacional) reconhece, sendo assim, o cluster a menor unidade de informação lógica.

Quando se formata logicamente o HD, estamos limpando e habilitando no disco rígido, a capacidade de se instalar um Sistema Operacional que vai reconhecer os cluster, local onde o sistema de arquivo será gravado, bem como outras informações.

Resumidamente:

Setor: a informação alí contida é sempre Positivo ou Negativo, Magnetizado ou Desmagnetizado, zero ou um, etc.

Cluster: a informação lógica alí contida são dados, informações possíveis de interpretação pelo Sistema Operacional.

Quando é utilizado alguma ferramenta forense para checar as informações no Slack Space, a ferramenta retorna com os dados classificando por cluster, e não por setor.

Rootkits de kernel e de biblioteca

No mundo forense computacional, é importante antes de iniciarmos uma investigação propriamente dita, recorrer a um planejamento prévio sobre o ambiente encontrado, as possibilidades e caminhos a serem percorridos para que tenhamos sucesso na empreitada.

Quando um Perito Forense é destacado para periciar um computador, ele deverá observar se o equipamento em questão que será periciado, está com o seu sistema de arquivos intacto ou modificado por algum tipo de ferramenta que “manipula” o sistema operacional de modo que as informações passadas no momento da perícia estejam comprometidas, objetivo este das ferramentas do mundo “Underground” conhecidas como “RootKits”.

Um rootkit é um conjunto de ferramentas que quando instalado no computador, pode comprometer todo o sistema operacional, alterando as permissões de acesso de arquivos de sistema, que originalmente eram somente leitura e agora passam a ter permissão de escrita.

Quando o RootKit é instalado com o objetivo de alterar os módulos que são carregados durante a iniciação do Kernel, chamamos de RootKit de Kernel, no qual ele compromete determinados módulos do núcleo do kernel, fazendo com que a máquina já esteja comprometida desde o boot do sistema operacional.

No caso de comprometimento de determinados comandos de sistemas somente, como os comandos de listagem em tela, impressão, etc, onde o conjunto de ferramentas se preocupam com os arquivos de sistemas, chamamos de RootKits de Biblioteca, normalmente no linux encontramos no arquivo libproc.

Contudo, um bom perito, deve conhecer sobre RootKit, identificar e analisar as suas atividades no computador comprometido, senão, as informações colhidas e repassadas para um laudo pericial forense, não terão validade jurídica e assim, estará fadado aos questonamentos inerentes a perícia e as informações apresentadas não fidedígnas do sistema operacional, visto que o equipamento em questão, está comprometido com o rootkit instalado.