relatório técnico - perícia forense computacional
TRANSCRIPT
FATEC CARAPICUIBA
ANÁLISE DE SISTEMAS E TECNOLOGIADA
INFORMAÇÃO
GEORG FARIAS SILVA
IVAN LUIZ ROCHA TOLUSSO PEREIRA
MURILO MARTINS DE MORAES
RAFAEL GUSTAVO DE OLIVEIRA
RELATÓRIO TÉCNICO - PERÍCIA FORENSE
COMPUTACIONAL
2010/6º CICLO
CARAPICUIBA
2010
2
ÍNDICE
1. Introdução............................................................................................................ 3
2. Procurar por logs de aplicativos ........................................................................... 4
3. Análise das atividades do sistema em tempo real................................................ 5
4. Investigação dos logs de evento .......................................................................... 7
5. Investigação dos logs de evento com a ferramenta Dumpel ................................ 8
6. Investigação dos logs de evento com o utilitário Event Viewer .......................... 10
7. Investigação dos logs de evento com o utilitário Psloglist .................................. 12
8. Investigação de registro do sistema ................................................................... 13
9. Analise do registro através do prompt de comando ........................................... 14
10. Como descobrir arquivos com inicialização automática ..................................... 15
11. Identificação de rootkits no sistema ................................................................... 16
12. Como decifrar senhas do sistema operacional .................................................. 17
13. Investigação da discagem automática ............................................................... 18
14. Descobrindo serviços de controle e acesso remoto ........................................... 19
15. Analise do registro através do prompt de comando ........................................... 20
16. Compartilhamentos administrativos ................................................................... 22
17. Descobrindo tarefas agendadas ........................................................................ 29
18. Descobrindo quem está conectado ao sistema .................................................. 35
19. Detectando quais usuários logaram ou tentaram logar no computador .............. 36
20. Descobrindo contas e grupos de usuários ......................................................... 40
21. Descobrindo a primeira e a ultima vez que o usuário logou no sistema ............. 44
22. Arquivos ............................................................................................................ 45
23. Considerações Finais ........................................................................................ 57
24. Referências Bibliográficas ................................................................................. 58
3
1. Introdução
Este relatório tem como objetivo principal demonstrar a utilização de ferramentas
aplicadas na área da pericia forense computacional. As principais ferramentas de
extração de logs, visualização de eventos, arquivos, manipulação do registro do
Windows e extração de informações do computador serão demonstradas e analisadas.
4
2. Procurar por logs de aplicativos
Em ambientes Windows e Linux geralmente podemos identificar arquivos de log,
realizando pesquisas pelo sufixo (extensão “.log”).
Durante um processo de investigação (perícia) em um sistema computacional,
devemos procurar por rastros, vestígios dos eventos / atividades realizadas pelo
suspeito.
Um exemplo típico são servidores web que registram em logs todas as solicitações a
páginas webs realizadas. Para este tipo de log, existe um formato padrão criado pela
W3C (World Wide Web Consortium). As versões mais recentes deste padrão
especificam que os registros de logs devem sempre ser concatenados ao final do
arquivo de log e devem conter dados sobre: endereço IP do cliente (usuário que
acessou a página, data e hora - TIMESTAMP, nome da página solicitada, código html,
bytes enviados, nome e versão do browser do cliente.
Assim como mencionado no exemplo de um servidor web citado acima, a grande
maioria das aplicações corporativas prevê o registro de logs, tais como: servidores
FTP, servidores de e-mail POP, IMAP e SMTP, servidores DHCP, servidores RADIUS,
servidores de banco de dados, etc.
Análise Crítica
Para que o perito forense computacional possa coletar o maior número possível de
evidências durante uma investigação, é imprescindível que o mesmo tenha um vasto
conhecimento das aplicações suspeitas e a localização dos seus respectivos arquivos
de logs. Mais importante do que conhecer a ferramenta e a localização do log, é saber
ler estes logs e extrair informações válidas e confiáveis para composição das
evidências que serão apresentadas ao juiz.
5
3. Análise das atividades do sistema em tempo real
3.1 Gerenciador de Tarefas
Existem diversas ferramentas no mercado para plataforma Windows que possibilitam a
visualização dos processos / tarefas em execução no sistema. A mais famosa delas é
o “Gerenciador de Tarefas”, pois ele já vem de fábrica instalado no Windows, sendo a
ferramenta de visualização de atividades em execução padrão deste sistema
operacional.
Para executar o gerenciador de tarefas, pasta pressionar simultaneamente
Ctrl+Shift+Esq, e será exibida a janela com os processos em execução:
Figura 1 – Gerenciador de Tarefas (Windows)
6
3.2 Filemon
Esta ferramenta é distribuída pela Microsoft, que a disponibiliza para download em seu
site. Para executar o FileMon (filemon.exe) é necessário que o usuário possua
privilégio de administrador. Quando o FileMon é iniciado pela primeira vez, ele
monitora todos os discos rígidos locais. Menus, teclas de acesso ou botões da barra
de ferramentas podem ser usados para limpar a janela, marcar e desmarcar volumes
monitorados, incluindo volumes de rede, salvar os dados monitorados em um arquivo,
além de filtrar e pesquisar os resultados.
É possível aplicar filtros sobre o resultado de uma pesquisa. À medida que os eventos
forem impressos no resultado, eles serão marcados com um número de sequência. Se
ocorrer estouro de capacidade dos buffers internos do Filemon durante uma atividade
extremamente pesada, isso se refletirá em lacunas no número de sequência.
Cada vez que o FileMon é finalizado ele registrará um arquivo de configuração,
contendo todos os filtros configurados previamente, assim como a posição da janela e
das larguras das colunas de saída.
Figura 2 – Filemon em execução
Análise Crítica:
O monitoramento das atividades do sistema em tempo real permite a visualização de
todos os processos que estão em execução no sistema operacional, desta forma esta
ferramenta pode ser extremamente útil para que o perito forense identifique aplicativos
suspeitos em execução na máquina investigada.
7
4. Investigação dos logs de evento
Podemos arquivar o conteúdo de um log de evento em 3 formatos, os quais são:
.evt: arquivo de log no formato do Event Viewer, possibilitando que os logs
sejam visualizados no console do Event Viewer posteriormente.
.txt : podemos visualizar os logs em processadores de texto.
.csv : formato de arquivo de texto delimitado por virgulas. Pode ser visualizado
e planilhas eletrônicas e banco de dados.
Estes logs de eventos são armazenados no Windows NT, Windows XP, Windows
2000 e Windows 2003 no diretório:
<UNIDADE DE INSTALAÇÃO DO WINDOWS>Windows\System32\config
Os principais arquivos de log são:
sysevent.evt: arquivo responsável por registrar os logs dos eventos de
sistema, tais como: falhas de hardware, falhas de serviços de rede, etc;
appevent.evt: arquivo com o registro dos logs de eventos de aplicativos,
exemplo: falha de uma aplicação do pacote Microsoft Office;
secevent.evt: arquivo contendo o registro dos logs de eventos de segurança.
Exemplos: mudanças de privilégios em contas de usuários, acesso a arquivos,
diretórios e atividades de sistema.
Análise Crítica:
Arquivos de logs são fundamentais durante o processo de perícia forense em sistemas
computacionais, pois evidenciam eventos decorrentes das ações criminais associadas
ao(s) crime(s) investigado(s). Servem como se fossem uma caixa preta em aviões,
que registram todas as comunicações ocorridas em uma determinada data.
8
5. Investigação dos logs de evento com a ferramenta Dumpel
Dumpel é uma ferramenta de linha de comando, ou seja, não possui interface gráfica,
utilizada para tratar logs de eventos do Windows (arquivos com a extensão .evt).
Dumpel significa Dump Event Log (extrator de logs de eventos).
Para gerar um log com os eventos de segurança, contidos no arquivo secevent.evt,
por exemplo, basta entrar com o seguinte comando no prompt do Windows:
dumpel -l security -t > log_seguranca.txt
Figura 3 – Executando o Dumpel
Após finalizar o processamento o dumpel exibe uma mensagem informando que o
dump (extração) do log foi finalizado com sucesso.
Figura 4 – Finalização do Processamento do Dumpel
9
Para visualizar o relatório gerado pelo Dumpel, basta abrir o arquivo em um editor de
textos ou simplesmente utilizar o comando type no prompt do Windows.
Figura 5 – Abrindo o Relatório do Dumpel com o Bloco de Notas
Figura 6 – Visualizando o Relatório do Dumpel com o Bloco de Notas
No exemplo acima, foi deixado somente o log de um evento para facilitar a
visualização. Este log ilustra o evento de logoff no computador no qual o Dumpel foi
executado. As informação estão organizadas em colunas, onda são respectivamente:
Data, Hora, Tipo de Evento, Categoria do Evento, Computador, Descrição do Evento,
Fonte do Evento, e demais descrições.
Nota: O Dumpel em sua configuração padrão separa as informações com tabulações.
Análise Crítica:
O Dumpel é uma excelente ferramenta para a extração de logs de eventos, pois
possibilita a aplicação de filtros e extração de logs de arquivos “evt” e também de
servidores remotos.
10
6. Investigação dos logs de evento com o utilitário Event Viewer
Dependendo da aplicação que queremos auditar, devemos recorrer aos logs de
eventos registrados pelo Windows. Estes logs podem ser consultados através do
console EventViewer. Acessamos esse console através das Ferramentas
Administrativas, localizadas no Painel de Controle.
Figura 7 – Event Viewer (Windows 7)
Eventos são ações efetuadas pelos usuários, baseadas em diretivas de auditoria, ou
ações efetuadas pelo próprio Windows. Através dos eventos, ficamos sabendo sobre
erros, tentativas de ruptura da segurança, entre outras informações ocorridas no
sistema.
Através de logs de eventos, podemos monitorar informações sobre segurança e
identificar problemas de software, hardware e sistema. Existem 3 tipos de logs:
Log de sistema: armazena os eventos registrados por componentes do
Windows 2000, como o não carregamento de um driver, entre outros.
Log de aplicativo: armazena os eventos registrados por aplicativos ou
programas.
Log de segurança: registra os eventos de segurança, como tentativas de
logon válidas e inválidas, entre outros.
Nota: O log de segurança só pode ser visualizado por usuários com direitos
administrativos.
11
Logs de eventos de sistema e aplicativo podem ser classificados em 3 tipos:
Informação: exibe informações sobre operações bem sucedidas de um
aplicativo.
Aviso: pode indicar um problema futuro. Fique atento a esses eventos.
Erro: indica problemas significativos nas operações do sistema.
Logs de eventos de segurança podem ser classificados em 2 tipos:
Auditoria com êxito: registra auditorias executadas com sucesso, como
tentativa de logon efetuada com sucesso.
Auditoria sem êxito: registra auditorias executadas sem sucesso, como
tentativa de logon efetuada sem sucesso.
Exemplo de log de evento de logoff:
Figura 8 – Log de evento de segurança
12
7. Investigação dos logs de evento com o utilitário Psloglist
De forma análoga à ferramenta Dumpel, o Psloglist também tem como objetivo gerar
relatórios com base nos logs de eventos registrados pelo Windows.
A grande vantage do psloglist é que ele permite acesso a computadores remotos para
extração de logs de eventos mesmo quando o usuário logado na estação que está
executando o mesmo não possui credeciais de acesso no sistema remoto.
Para executar o psloglist basta acessar o prompt de comando e executar psloglist na
pasta para a qual o mesmo foi descompactado, após ter sido realizado o download.
Se executado sem que seja especificado nenhum argumento (parâmetro de entrada),
o psloglist retornará todos os logs de eventos registrados no computador local, como
demonstram as figuras abaixo:
Figura 9 – Executando o psloglist
Figura 10 – Resultado da execução do psloglist
O psloglist, aceita vários parâmetros de entrada, possibilitando filtrar os logs
desejados, tempo em que o evento foi gerado, usuário, máquina remota e arquivo de
saída.
Análise Crítica:
O psloglist é uma ponderosa ferramenta de análise de logs de eventos do Windows,
especialmente quando utilizada para acessar logs de sistemas remotos. Ele também
suporta parâmetros de usuário e senha para sistemas com autenticação. Trata-se de
uma ferramenta fundamental para peritos forenses computacionais realizarem
extrações de logs de maneira ágil e remotamente.
13
8. Investigação de registro do sistema
O registro do sistema operacional é um banco de dados que contém todas as
informações sobre hardware, softwares instalados, configurações do sistema e os
perfis de cada usuário do sistema operacional. No caso do Windows, o registro é um
banco de dados hierárquico e centralizado, formado por chaves e subchaves, seções
e entradas de valores.
Para a visualização do registro do Windows em modo gráfico deve-se utilizar o “Editor
de Registro”, para acessá-lo clique em Iniciar -> Executar, e digite o comando regedit.
Figura 11 – Editor do Registro do Windows
Através do registro, pode-se identificar se houve instalação de programas no
computador, softwares maliciosos e verificar usuários e preferências, dentre outras
informações, abaixo seguem as chaves principais do registro:
HKEY_CLASSES_ROOT (HKCR): Contém as informações sobre associações de
arquivos aos seus respectivos softwares;
HKEY_CURRENT_USER (HKCU): Armazena as configurações relacionadas ao perfil
do usuário logado no sistema;
HKEY_LOCAL_MACHINE (HKLM): Contém as informações sobre o hardware e
software instalados no computador;
HKEY_USERS (HKU): Armazena as informações relacionadas a todos os usuários do
sistema operacional e suas configurações pessoais;
HKEY_CURRENT_CONFIG (HKCC): Armazena informações sobre o perfil atual do
hardware.
Análise Crítica:
14
O Editor de Registro do Windows, por ser visual, é uma ferramenta que permite fácil
navegação através das configurações, bem como uma alteração igualmente simples
quando necessário.
9. Analise do registro através do prompt de comando
Através do Prompt de Comando, o registro é acessado através do utilitário reg query,
nele é possível pesquisar o conteúdo das chaves do Registro.
Um exemplo de comando do reg query é: reg query HKLM\SYSTEM\/s > registro.txt
Outro comando para pesquisa no registro é o dureg. Para pesquisar todas as
ocorrências da palavra “version”, por exemplo, no registro, usa-se o comando:
dureg /s “version” > reg_version.txt
Análise Crítica:
O reg query, por ser uma ferramenta em prompt de comando, seu acesso e a
localização das informações são mais complexas e demoradas, pois é necessário
salvar todas as informações em um arquivo de texto, para depois começar a análise,
e, neste caso, dependendo totalmente da ferramenta de pesquisa do editor de texto
utilizado.
15
10. Como descobrir arquivos com inicialização automática
No sistema operacional Windows, para se descobrir quais programas foram
configurados com inicialização automática, junto com o sistema operacional, é
necessário usar o utilitário Configuração do Sistema, clicando na aba Inicialização de
Programas, onde é possível verificar em quais diretórios estão os programas
suspeitos, e qual o local onde está sua entrada no registro.
Figura 12 – Configuração do Sistema do Windows
Há também o software Autoruns, da Sysinternals, no qual é possível saber vários
detalhes dos programas que inicializam junto com o sistema, nele é possível saber o
diretório dos programas, acessar o local onde está sua entrada no registro, apagar,
copiar, visualizar suas propriedades e pesquisar informações sobre o programa na
Internet.
Análise Crítica:
O programa Autoruns permite maior controle sobre os programas de inicialização
automática, permitindo o acesso direto aos arquivos, enquanto o programa
Configuração do Sistema do Windows permite apenas ativar ou desativar o programa
para inicializar junto com o sistema.
16
11. Identificação de rootkits no sistema
Rootkit é o termo utilizado para descrever os meios e técnicas usadas pelos vírus,
malwares, spywares e trojans na tentativa de se esconder dos programas utilizados
para detectar este tipo de arquivo, tais como antivírus. Para identificar um rootkit no
Windows há um utilitário de detecção chamado RootkitRevealer.
Figura 13 – Configuração do Sistema do Windows
Análise Crítica:
O RootkitRevealer usa um mecanismo simples e vasculha a lista de registros do
Windows, procurando por discrepâncias no sistema API, as quais podem indicar falhas
e a presença de rootkit, e após detectados, estes são isolados e eliminados. Esta
facilidade de uso e eficiência, torna esse utilitário bastante viável.
17
12. Como decifrar senhas do sistema operacional
Um dos programas mais usados para se decifrar senhas no Windows é o L0phtcrack,
que permite examinar as senhas do banco de dados Security Access Manager (SAM),
o qual contém o banco de dados das contas de segurança local do Windows,
localizado em C:\WINDOWS\system32\config. O L0phtcrack utiliza um ataque de força
bruta, com dicionários do próprio programa para quebrar as senhas, o programa,
também, computa sehas de usuários, a partir de hashes criptografados, armazenados
no sistema operacional.
Figura 14 – L0phtcrack
Análise Crítica:
O L0phtcrack é uma ferramenta que trás diversas opções de quebra de senhas,
realiza a quebra de senhas não só por força bruta, com dicionários, mas também
através da extração de hash de 64 bits, com vários algoritmos e redes de
monitorização e decodificação. Permite, ainda a auditoria e recuperação de senhas de
vários softwares.
18
13. Investigação da discagem automática
No Sistema Operacional Windows, quando um programa necessita de acesso à
Internet, automaticamente abre uma conexão, utilizando, para isso, o recurso
“Discagem Automática”. Este recurso mapeia e mantém uma lista das IPs usados no
computador para acesso à Internet.
Para visualizar a lista de conexões do computador, basta utilizar o comando, no
prompt de comando do Windows, ressaltou –s.
Figura 15 – Resultado apresentado pelo comando “rasautou –s”
Análise Crítica:
É muito importante saber quais conexões estão disponíveis no computador, pois,
muitas vezes, pode ser instalada no computador uma conexão desconhecida pelo
usuário, e que pode acabar conectando a um IP usado para obter alguma informação
deste computador.
19
14. Descobrindo serviços de controle e acesso remoto
Os serviços de acesso remoto permitem ao usuário controlar todas as funções do
computador, através de outro computador, conectado a uma rede ou Internet. Para
identificar se, no computador, há algum tipo de sistema de controle para acesso
remoto instalado no computador, deve-se primeiro procurar nos arquivos de
inicialização, depois nos programas que estiverem na pasta “Arquivos de Programas”
no HD, e, por último, utilizando comandos de varredura de portas, tais como netstat,
fport e pslist, para averiguar se as portas relacionadas a sistemas de controle de
acesso remoto estão abertas.
Para listar todos os serviços que foram iniciados no sistema operacional Windows,
utilize o comando net start no prompt de comando.
Figura 16 – Resultado apresentado pelo comando “net start”
Análise Crítica:
É extremamente importante manter um sistema de varredura de portas ativo em um
sistema operacional, pois isto ajuda não só na identificação de sistemas de acesso
remoto, mas sim para todo o diagnóstico de proteção de uma rede ou de um
computador, podendo prevenir diversos tipos de ataque e invasões no computador,
revelando diversas fragilidades do sistema.
20
15. Analise do registro através do prompt de comando
Para procurarmos por recursos compartilhados na máquina podemos utilizar um utilitário de linha de comando chamado “Net Share”. Este é um utilitário do Windows que informa o nome do compartilhamento de cada recurso, o caminho ou os nomes dos dispositivos associados, além de um breve comentário a respeito do recurso. Através do Net Share é possível criar um novo compartilhamento ou apagar um existente, caso desconfie de algum compartilhamento suspeito em sua rede.
Figura 17 – Resultado da execução do comando net share
Podemos também encontrar os recursos compartilhados através do utilitário gráfico “Gerenciamento do Computador”, localizado dentro de “Iniciar > Painel de Controle > Ferramentas Administrativas”>”Gerenciamento do Computador”.
21
Figura 18 – Resultado da verificação gráfica dos recursos compartilhados
22
16. Compartilhamentos administrativos
Os sistemas operacionais Windows NT/2000/XP e 2003 possuem compartilhamentos ocultos chamados de administrativos (compartilhamentos usados pelo SO (Sistema Operacional)). Estes compartilhamentos são automaticamente carregados depois de cada processo de inicialização e todos possuem o caractere $ em seus nomes. Observe a seguir a descrição de cada compartilhamento administrativo. Compartilhamento Descrição
<Drive>$ Uma pasta compartilhada que permite ao administrador de rede
conectar-se à raiz de uma unidade. Exibida como A$, B$, C$,
D$ e assim por diante.
ADMIN$ Um recurso utilizado pelo sistema operacional durante a
administração remota de um computador. Essa é a pasta
Windows, e o compartilhamento administrativo oferece aos
administradores um acesso mais simples à hierarquia da pasta
raiz do sistema na rede.
IPC$ É usado com conexões temporárias entre clientes e servidores
usando pipes nomeados (uma porção da memória) para
comunicação entre programas de rede.
PRINT$ Um recurso utilizado durante a administração remota de
impressoras.
NETLOGON$ Um recurso utilizado pelo serviço de Logon de rede de um
computador com o Windows Server durante o processamento
de solicitações de logon de domínio.
FAX$ Uma pasta compartilhada em um servidor usado por clientes de
fax no processo de envio de um fax. Essa pasta compartilhada
armazena arquivos em cache e acessa as folhas de rosto
armazenadas em um servidor de arquivos.
23
Abaixo temos o exemplo prático dos compartilhamentos administrativos no computador. Estes vêm por padrão já configurados nas máquinas.
Figura 19 – Compartilhamentos administrativos padrão
Criar um compartilhamento oculto
Para criar um compartilhamento oculto, execute as seguintes etapas:
1. No Painel de controle, clique duas vezes em Ferramentas administrativas e em Gerenciamento do computador.
2. Expanda Pastas compartilhadas, clique com o botão direito do mouse em Compartilhamentos e clique em Novo compartilhamento de arquivo.
3. Na caixa Assistente para criar pasta compartilhada, digite o caminho para a pasta que você deseja compartilhar ou clique em Procurar para localizá-la.
4. Digite o nome de compartilhamento que você deseja usar seguido de um sinal de cifrão e clique em Avançar.
5. Para tornar o compartilhamento acessível apenas para administradores, marque a caixa de seleção Administradores possuem acesso total; outros usuários possuem acesso somente leitura clique em Concluir.
6. Clique em Sim para criar outro compartilhamento ou em Não para retornar ao console de Gerenciamento do computador.
Figura 20 – Iniciando o processo de criação do compartilhamento administrativo
24
Figura 21 – Tela de informações para criação do compartilhamento administrativo
Figura 22 – Selecionando local onde compartilhamento administrativo ficará salvo
25
Figura 23 – Informando descrição do compartilhamento administrativo
Figura 24 – Informando o tipo de permissão do compartilhamento administrativo
26
Figura 25 – Considerações finais do compartilhamento administrativo
Figura 26 – Exibição do novo compartilhamento administrativo criado
27
Excluir um compartilhamento oculto
Para excluir um compartilhamento oculto, execute as seguintes etapas:
1. No Painel de controle, clique duas vezes em Ferramentas administrativas e em Gerenciamento do computador.
2. Expanda Pastas compartilhadas e clique em Compartilhamentos. 3. Na coluna Pasta compartilhada, clique com o botão direito do mouse no
compartilhamento que você deseja excluir, clique em Interromper compartilhamento e em OK.
Figura 27 – Encerrando um compartilhamento administrativo
Figura 28 – Tela de confirmação de exclusão do compartilhamento administrativo
28
Figura 29 – Exibição dos compartilhamentos administrativos sem o item deletado
29
17. Descobrindo tarefas agendadas
Por ser uma tarefa simples e rápida, geralmente os invasores fazem uso do
agendamento de tarefas para facilitar invasões futuras. Na maioria das vezes, eles
deixam agendados, por exemplo, a inicialização de um backdoor ou de qualquer outro
programa que facilite a invasão ou então limpe as pistas deixadas na invasão.
Figura 30 – tela referente às tarefas agendadas
17.1 Criar tarefa
1. Para abrir Agendador de Tarefas, clique no botão Iniciar, clique em Painel de Controle, Sistema e Manutenção, Ferramentas Administrativas e clique duas vezes em Agendador de Tarefas. Se você for solicitado a informar uma senha de administrador ou sua confirmação, digite a senha ou forneça a confirmação.
2. Clique no menu Ação e em Criar Tarefa Básica.
3. Digite o nome e uma descrição opcional da tarefa e clique em Avançar.
4. Siga um destes procedimentos:
Para selecionar uma agenda baseada no calendário, clique em Diariamente, Semanalmente, Mensalmente ou Uma vez e clique em Avançar. Em seguida, especifique a agenda que deseja usar e clique em Avançar.
Para selecionar uma agenda baseada em eventos recorrentes comuns, clique em Ao iniciar o computador ou Ao fazer logon e clique em Avançar.
Para selecionar uma agenda baseada em eventos específicos, clique em Quando um evento específico for registrado, clique em Avançar, especifique o log de eventos e outras informações usando as listas suspensas e clique em Avançar.
30
5. Para agendar um programa para iniciar automaticamente, clique em Iniciar um programa e clique em Avançar.
6. Clique em Procurar para localizar o programa que deseja iniciar e clique emAvançar.
7. Clique em Concluir.
Figura 31 – Criando tarefas agendadas
Figura 32 – Tela para inserção de informações para criação de uma tarefa agendada
31
Figura 33 – Informando a periodicidade da tarefa agendada
Figura 34 – Informando o período de vigência da tarefa agendada
32
Figura 35 – Ação a ser tomada quando tarefa agendada for executada
Figura 36 – Informações referentes à ação escolhida
33
Figura 37 – Verificação geral das configurações escolhidas para a tarefa agendada
Figura 38 – Lista das tarefas agendadas, incluindo a tarefa criada
34
17.2 Excluir tarefa
Figura 39 – Deletar uma tarefa agendada
Figura 40 – Lista das tarefas agendadas, não inclui tarefa excluída
35
18. Descobrindo quem está conectado ao sistema
Como descobrir qual usuário esta conectado localmente na máquina? Simples,
através do comando whoami, executado no prompt.
Figura 41 – Resultado da execução do comando net whoami
Porém não apenas um usuário, mas outros podem estar conectados à máquina, para
descobrir a relação de todos os usuários conectados localmente e remotamente
utilizaremos o comando psloggedon no prompt.
Figura 42 – Resultado da execução do comando psloggedon
E para descobrirmos todos os usuários que podem se conectar ao sistema através de
acesso remoto utilizaremos o comando rasusers, no prompt.
36
19. Detectando quais usuários logaram ou tentaram logar no
computador
O registro dos usuários que logaram ou tentaram logar no computador é feito por meio
de diretivas de auditoria, para visualizar o estado destas diretivas deve-se executar no
prompt o comando auditpol, que retornará “NO” ou “Success and Failure”. Caso
retorne NO, devemos configurar a diretiva para “Success and Failure”, pois somente
assim o sistema efetuará os registros de logon ou tentativa de logon.
A execução do comando auditpol retornará as seguintes diretivas:
Auditoria Descrição
AuditCategorySystem Auditoria de eventos de sistema.
AuditCategoryLogon Auditoria de eventos de logon.
AuditCategoryObjectAccess Auditoria de acesso a objetos.
AuditCategoryPrivilegeUse Auditoria de uso de privilégios.
AuditCategoryDetailedTracking Auditoria de controle de processos.
AuditCategoryPolicyChange Auditoria de alteração de diretivas.
AuditCategoryAcconutManagement Auditoria de gerenciamento de contas.
Tabela 1: Diretivas do comando auditpol.
Para configurar a diretiva de logon, podemos em modo gráfico, executar a seqüência
Iniciar > Configurações > Painel de Controle > Ferramentas Administrativas > Diretiva
de Segurança Local > Diretivas Locais > Diretiva de Auditoria e dê dois cliques no item
Auditoria de eventos de logon, ao aparecer a tela Configuração da diretiva da
segurança local escolha os itens Sucesso e Falha.
37
Figura 43 – tela para configurar a diretiva de logon
38
Figura 44 – Tela para escolher as opções específicas em relação a diretiva de logon
Outra maneira de se alterar a diretiva, é através do prompt, executando-se o seguinte
comando: auditpol /enable /logon:all.
Figura 45 – Resultado da execução do comando “auditpol /enable /logon:all”
39
Depois de alterada a diretiva, devemos então monitorar o processo de logins, para
isso contamos com o comando ntlast, executado no prompt, onde a seqüência ntlast –
s lista os logins bem-sucedidos, ntlast –f os mal-sucedidos e ntlast –r os logins
remotos.
Figura 46 – Resultado da execução do comando ntlast
40
20. Descobrindo contas e grupos de usuários
Nosso objetivo neste tópico é descobrir a quantidade de usuários no sistema, quem
são eles, a que grupo pertencem e quantos grupos existem.
O primeiro comando a ser utilizado será o net user que retornará a quantidade de
usuários e quem eles são.
Figura 47 – Resultado da execução do comando net user
Figura 48 – Resultado da execução do comando net user <usuário>
41
O segundo comando será o net localgroup que retornará as informações referentes
aos grupos do sistema.
Figura 49 – Resultado da execução do comando net localgroup
No entanto também conseguimos visualizar tais informações em ambiente gráfico
através do utilitário Gerenciamento do computador em Iniciar > Painel de Controle >
Ferramentas Administrativas > Gerenciamento do computador > Usuários e grupos
locais.
Figura 50 – Tela gráfica para visualização dos usuários do sistema
42
Figura 51 – Tela gráfica para visualização dos grupos do sistema
Devemos também periciar a pasta <Drive>:\Documents and Settings. Se por acaso
existir o diretório e não mais a conta de usuário no “Gerenciamento do
Computador”, quer dizer que o usuário existiu em algum momento. Porém se existir a
conta de usuário no “Gerenciamento do Computador” mas não for encontrado o
diretório correspondente, isso significa que a conta de usuário ainda não foi utilizada
para se conectar ao sistema.
No “Event Viewer” (Visualizar Eventos) nativo do Windows, Iniciar > Painel de Controle
> Ferramentas Administrativas >Visualizar Eventos, procure pelos seguintes eventos:
624: Conta de usuário criada;
626: Conta de usuário ativada;
636: Mudança de um grupo de contas;
642: A conta de usuário foi alterada.
43
Figura 52 – Tela gráfica para visualização dos eventos
No registro do Windows, Iniciar > Executar > regedit, encontramos exatamente em
“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Profile
list” os SIDs dos usuários, mesmo daqueles com a conta de usuário já excluída, o que
permite avaliar quais usuários já existiram e foram excluídos do sistema.
Observe o ítem ProfileImagePath que informa o diretório do usuário dentro de
“<Drive>:\Documents and Settings”.
Figura 53 – Caminho no regedit, para visualizar os usuários já criados
44
21. Descobrindo a primeira e a ultima vez que o usuário logou no
sistema
Um método simples de verificar o primeiro logon do usuário é visualizando a data de
criação do seu diretório. Devemos então utilizando o utilitário Windows Explorer,
acessar a pasta <Drive>:\Documents and Settings e com o botão direito do mouse
clicar sobre umas das pastas, por exemplo, Administrador e escolher a opção
propriedades, na aba Geral, opção Criado, encontraremos a data de criação do
diretório, que corresponde à data do seu primeiro logon.
45
22. Arquivos
22.1 Analisando as horas de modificação, geração e acesso de todos os
arquivos
Através do comando Dir é possível obter uma listagem de todos os arquivos suspeitos,
registrando o tamanho e as horas de acesso, modificação e criação.
Figura 54 – Executando o comando DIR
Se o perito souber quando ocorreu o incidente poderá identificar quais
arquivos o invasor alterou ou executou no sistema, através do comando DIR /? Temos
uma lista de todos os comandos disponíveis e o que eles fazem quando executados.
46
Figura 55 – Atributos do comando DIR
47
22.2 Descobrindo informações através de buscas por palavra chave; tipo do
arquivo e suas associações; quem tem acesso ao arquivo
Em todos os casos onde há o roubo de informações a busca por palavra chave é a
ideal a ser realizada, neste tipo de busca quanto maior o detalhamento da busca, mais
rápida e precisa será a resposta.
Nas versões mais atuais do Windows , podemos clicar no menu iniciar e no campo de
texto contido nela podemos digitar o que estamos procurando.
Figura 56 – Pesquisando por arquivos ou pastas
48
No prompt de comando podemos usar o comando „find‟ para encontrar trechos
similares em arquivos ou textos.
Figura 57 – Pesquisando pelo prompt de comando
Neste caso, o termo procurado não foi encontrado no arquivo passado para ser
realizado a busca.
49
22.3 Comparação de arquivos, se o arquivo esta criptografado
Quando estamos investigando os arquivos podemos desconfiar que ele foi alterado
pelo invasor. Quando temos este arquivo em sua versão original podemos fazer uma
comparação dos dois usando o comando “comp” seguido do nome dos dois arquivos
para sabermos se o mesmo foi alterado ou não. Em alguns casos o invasor pode
esconder os arquivos ou criptografá-los, através do comando cipher no prompt de
comando podemos ver se os arquivos estão criptografados ou não, se estiverem
criptografados só poderão ser abertos pelo usuário que realizou a ação de criptografá-
los. Podemos também encontrar arquivos ocultos através do comando cipher –H
Figura 58 – Pesquisando por arquivos criptografados
50
22.4 Recuperando arquivos excluídos; investigando o arquivo na lixeira,
arquivos temporários
Quando apagamos arquivos eles não são realmente excluídos do HD do computador,
eles são marcados para serem sobrescritos por novos arquivos, por este motivo
quanto mais rápido for realizado a pericia maiores são as chances de se obter
novamente os arquivos apagados. Um exemplo de programa que realiza esta busca é
o File Scavenger, que através da analise do HD do computador ele recupera os
arquivos que ainda não foram sobrescritos.
Figura 59 – Recuperando arquivos deletados
Atualmente o Windows para evitar perda acidental de dados, move para lixeira os
arquivos deletados, a exceção fica para os arquivos que são maiores que a
capacidade de armazenamento da lixeira, arquivos apagados da rede e para os
arquivos apagados de mídias removíveis.
51
Figura 60 – Verificando a lixeira
Também é possível investigar os arquivos temporários, os mesmos podem indicar
sites visitados, download de arquivos e anexos de e-mail. Os arquivos temporários são
criados pelos próprios programas para que os mesmos possam funcionar
corretamente, estes arquivos deveriam ser apagados após o uso, porém nem sempre
isso ocorre, deixando assim pistas valiosas para o investigador.
52
Figura 61 – Verificando arquivos temporários
53
22.5 Investigando links de atalho; arquivos incomuns, arquivos ocultos, quais
foram acessados. Procura por arquivos impressos
Programas instalados e removidos ou acessados, deixam links de atalho perdidos pelo
sistema, usando o programa ChkLink podemos encontrar estes vestígios, sabendo
assim quais programas estavam instalados no computador ou que foram removidos do
mesmo.
Figura 62 – Pesquisando por atalhos de programas
Através do comando “dir /a” podemos encontrar arquivos incomuns e arquivos ocultos
que estejam no HD do computador, através da ajuda do próprio Windows para
comandos, vemos que ele encontra arquivos ocultos entre outros.
54
Figura 63 – Procurando arquivos ocultos
Figura 64 – Procurando arquivos ocultos 2
Das duas imagens podemos perceber que o arquivo SECURITYFOCUS.docx não
aparece na segunda imagem, pois o mesmo foi marcado como oculto pelo usuário.
55
Para facilitar a investigação o perito deve marcar nas opções de pasta para que os
arquivos ocultos sejam sempre exibidos
Figura 65 – Observando um arquivo oculto
56
Figura 66 – Alterando a opção de arquivos ocultos
Com esta opção garantimos que arquivos ocultos serão exibidos quando existirem.
57
23. Considerações Finais
A experimentação de ferramentas que auxiliam no processo de investigação de
informações em sistemas computacionais é fundamental para que o perito forense
sempre tenha em mãos um kit de ferramentas coerente com as últimas tecnologias, de
forma que o mesmo esteja sempre preparado para atuar nos mais diversos tipos de
processos criminais onde poderá se deparar com sistemas operacionais das mais
diversas naturezas, podendo ser desde um DOS 1.0, um Windows 7, um Leopard Mac
OSX ou até mesmo um UNIX ou um sistema mobile ex: Google Android.
Mas não basta simplesmente conhecer boas ferramentas, acima de tudo é
imprescindível que todas as ferramentas utilizadas sejam de procedência
comprovadamente confiável, desta forma durante o processo de pesquisa e
experimentação de ferramentas de investigação em sistemas computacionais, o perito
deve sempre certificar-se de que estas sejam obtidas em fontes seguras.
Finalmente, o perito deve dominar a utilização das ferramentas que selecionou para
compor o seu kit, sabendo a exata aplicação de cada uma de acordo com a situação
com a qual se deparar durante uma investigação criminal.
58
24. Referências Bibliográficas
FREITAS, Andrey R. Perícia Forense – Aplicada a Informática. Brasport – 2009.
TECHNET, Microsoft Sysinternals. Disponível em: < http://technet.microsoft.com/pt-br/sysinternals/default.aspx>. Acessado 07 de Novembro de 2010.
PHILIPP, Aaron. Hacking Exposed Computer Forensics, Second Edition: Computer Forensics Secrets & Solutions - McGraw-Hill Osborne Media – Segunda Edição – 2009.