As buscas com o PPOMPT do DOS são classificadas como método de CARVING (escavar, escultura) “procurar a fundo”, em nosso caso, iremos até a profundidade de segunda camada ou nível de META DADOS, EXTENSÕES DE ARQUIVOS, NOMES, NOMES DO ARQUIVO EM DOS, ETC.
Há formas mais profundas de buscas indo até camadas mais baixas, como a do estudo do CABEÇALHO DO ARQUIVO.
Para que o analista tenha a certeza da integridade do PROMPT utilizado, copie o executável CMD.EXE do sistema operacional (legítimo-registrado) e assine o seu conteúdo para verificação de estabilidade.
DICAS:
- A) Nunca escrever na mídia questionada.
- B) Tenha segurança de que possui os conhecimentos necessários sobre a estrutura de pastas e arquivos do sistema investigado.
- C) Conheça em profundidade as funcionalidades dos comandos da ferramenta do MS DOS de cada versão.
- D) Adquira a lógica de concatenação dos dados para que possa coletar informações eficazes em um menor conjunto de linhas de comando.
Estamos considerando que além do prompt de comandos iremos utilizar para essa tarefa um dispositivo de armazenamento externo que nesse caso será um pendrive.
Vamos praticar!
G:\
E:\
G:\> >
Acima temos o símbolo (>>) que representa um ECO de gravação externa, sempre que o perito necessitar registrar os dados em algum local seguro, ele terá que fazer uso deste símbolo.
Observação: O mesmo símbolo utilizado DUAS vezes, um ao lado do outro, representa a gravação em um mesmo arquivo de dados onde os conteúdos serão separados por linhas horizontais e não haverá perdas.
Já quando se utiliza apenas um > as linhas existentes no arquivo serão apagas e escrita apenas a ultima ação.
Registrando a data e hora de início da investigação
A importância de ter um registro da data e hora da investigação serve não somente ao fato de que serão concatenar os horários em um laudo, mas também para averiguar a hora e a data do sistema, e até mesmo, verificar a linha do tempo dos fatos que estão sendo investigando, o correto, será mostrar o horário e data do início e do final da investigação.
Lembramos também que tal faixa de tempo, pode ser utilizada pelo perito para mostrar todos os eventos ocorridos no sistema investigado no momento em que operava IN VIVO, para que não sofra acusações de que tenha modificado de forma indevida ou mesmo alterado dados relevantes do sistema. (Linha de tempo)
Vamos praticar
G:\> date para exibição na saída padrão
G:\> date > c:\: destino.txt para escrever em um determinado arquivo em destino diferente, nesse caso a unidade C\>
G:\>time
G:\>time >> c:\> destino.txt
Para identificar a evidencia, basta utilizar o comando dir
C:\>dir
Para cada disco, e cada formatação, ou cada modificação é gerada uma assinatura aleatória e não repetitiva que é denominada de número de série do volume, ela pode e deve ser utilizada como um recurso a mais para se identificar de maneira unívoca o disco que foi analisado se este não sofrer nova formatação.
Vamos praticar!
Crie um arquivo denominado de ABIN para que possa servir de repositório para as coletas de conteúdo específico. (Acompanhe os próximos passos).
G:\>dir c:\>g:ABIN.txt
Descobrindo todos os usuários existentes no sistema investigado.
C:\> net user
Com este simples comando já se tem informação de todos os usuários que são registrados no computador.
Vamos praticar!
G:\>net user >> g:ABIN.txt
Descobrindo quais são os grupos locais no sistema
C:\>net localgroup
É importante que seja verificado o sistema de grupos do local investigado, se apresenta de forma padrão ou se o mesmo foi modificado de forma proposital, é bem comum onde há um comprometimento de um sistema, tendo em vista uma falha de segurança, que o invasor, crie ou modifique um grupo de trabalho para que possa fazer uso de tais privilégios ou mesmo para deixar uma assinatura de sua presença.
G:\>met localgroup >>c:\>g:ABIN.txt
1.6 Descobrindo a última vez que o usuário se conectou ao sistema
C:\>net user + nome do usuário
Como se percebe pela leitura da página anterior, o retorno das informações contidas é valioso para os parâmetros de investigação, onde podemos estabelecer uma linha do tempo do usuário investigado a partir de seu último LOGON no sistema, podemos também determinar se todos os usuários do sistema possuem permissão para se conectarem no mesmo a toda hora, ou somente em horários específicos, podemos comprovar se a conta do usuário está ou não ativa, se ele necessita de senha para acesso ou se o mesmo é livre, podemos ainda verificar se o usuário exerceu seus poderes de redefinição de senha, e se esta as reconhece, pois é comum nos casos de furto de informação ou sequestro de dados, que após a invasão e o comprometimento, o invasor, execute as rotinas para a troca da senha do usuário, onde assim não haveria como o mesmo voltar a ter acesso a seus dados.
G:z>net user + nome do usuário >> g:dados.txt
1.7 Listando todos os arquivos, diretórios e subdiretórios em relação ao último acesso.
G:\>dir/t:a/a/s/o c:>g:acesso.txt
Diretórios ordenados pelo tempo, onde a primeira
letra A representa o tempo de ÚLTIMO ACESSO, a segunda
letra A representa a exibição de seus ATRIBUTOS, a
letra S representa a exibição de todos os SUBDIRETÓRIOS e a
letra O de forma ORDENADA por ordem alfabética a
letra C representa o local que será investigado, ou seja, de onde serão retiradas as informações, no caso do DRIVE C: ou C:/ para se indicar que foram inclusos todos os dados a partir da raiz.
Como estamos neste momento lidando com dados de último acesso a diretórios e arquivos, iremos gravar estes resultados em um arquivo diferente que chamamos de acesso.txt
Lembramos que ao se analisar a estrutura de meta dados de qualquer arquivo que esteja em ambiente NTFS ele lhe dará os dados relativos a sua data de criação, data de último acesso e sua data de última modificação.
OBSERVAÇÃO:
A letra O que representa o ordenamento, poder ser utilizada acompanhada de outras letras, por exemplo:
ON - Representação alfabética pelo nome.
OS - Representação por tamanho, o menor primeiro.
OE - Representação por extensão de arquivo em ordem alfabética.
OD - Representação por data e hora a mais antiga primeiro.
OG – Representação por grupos e pastas.
1.8 Listando todos os arquivos, diretórios e subdiretórios em relação à data de criação.
G:\>dir/t:c/a/s/o C:>g:criados.txt
Diretórios ordenados pelo tempo, onde a
letra C representa o tempo de CRIAÇÃO, a
letra A representa a exibição de seus ATRIBUTOS o
letra S representa a exibição de todos os SUBDIRETÓRIOS e a
letra O que devem ser exibidos de forma ORDENADA por ordem alfabética. A
letra D representa o local que será investigado, ou seja, de onde serão retiradas as informações, no caso do DRIVE C: ou C:/ para se indicar que foram inclusos todos os dados a partir da raiz.
1.9 Listando todos os arquivos, diretórios e subdiretórios em relação à data de última escrita ou última alteração.
G:\>dir/t:aw/a/s/o C:>g:modificados.txt
Diretórios ordenados pelo tempo, onde as
letras AW representam o tempo de ÚLTIMA ESCRITA ou ÚLTIMA ALTERAÇÃO, a segunda
letra A representa a exibição de seus ATRIBUTOS o
letra S representa a exibição de todos os SUBDIRETÓRIOS e a
letra O de forma ORDENADA por ordem alfabética. A
letra C representa o local que será investigado, ou seja, de onde serão retiradas as informações, no caso do DRIVE C: ou C:/ para se indicar que foram inclusos todos os dados a partir da raiz.
Neste parâmetro se você utilizar somente a letra W irá surtir o mesmo efeito para fins de resultado de pesquisa de dados.
1.9.1Como exibir os dados relativos ao proprietário de um arquivo em suas buscas.
Durante nossos estudos, iremos aprender de forma mais avançada as características de cada tipo de sistema de arquivos, onde em particular o NTFS nos revela qual o nome do proprietário de cada arquivo que tenha sido nele gravado, para tanto devemos apenas acrescentar em nossas frases de busca a letra Q.
G:\>dir/t:a/a/s/o/q C:>g:acesso2.txt
Tempo de criação por usuário.
G:\>dir/t:a/aw/a/s/o/q C:>g:mudança.txt
Tempo de última modificação por usuário.
OBSERVAÇÃO
A letra S no final da sequência nos mostra o local (pasta/diretório/subdiretório) onde o arquivo esteja gravado.
G:\>dir/t:c/a/s/o/q/s
1.9.2 Descobrindo informações com a sintaxe FIND
As ferramentas de busca por “strings” são um excelente auxílio ao perito, e utilizada em larga escala nos softwares forenses pagos para localizar: correio eletrônico, fotos, músicas, vídeos, números de cartões de crédito, enfim, uma série de dados.
Hoje, qualquer pessoa pode armazenar de 500 GB de informação em um ou mais discos rígidos, ou seja, os peritos precisam de soluções de buscas manuais ou automatizadas que “encurtem” a distância entre seu objetivo e a grande quantidade de dados.
Vamos aprender como fazer uso da sintaxe FIND extraindo informações de dentro dos arquivos de texto já montados em nossas investigações.
Em nosso exemplo, estamos procurando arquivos de fotografias, que possam ter sido criados pelo usuário e estejam relacionadas à pornografia, vamos por etapas:
1º Vamos determinar se há ou não a existência de fotografias no computador do alvo
G:\>find “.jpg” g: criados.txt
A pesquisa acima revela um conteúdo sobre fotos que estão com sua extensão totalmente em letras minúsculas, desta forma, em nossa pesquisa anterior não teríamos como saber a existência das fotos se em nossa pesquisa escolhêssemos em letras maiúsculas, tendo em vista estarem fora dos parâmetros de busca já que é case sensitive. Vamos resolver este problema acrescentando um novo argumento dentro da sentença.
G:\>find/i “.jpg” g: criados.txt
Agora sim, temos um símbolo diferente, mais precisamente o /i que representa um sinal para IGNORAR o estado da extensão do arquivo, quer seja ele maiúsculo ou minúsculo, agora sim todas as fotos que estejam com a extensão escolhida e sejam maiúsculas ou minúsculas serão listadas.
FIND: Procura uma cadeia de caracteres numa lista de arquivos.
Sintaxe
FIND <opções> Texto arquivos
Opções
- /C : Conta as ocorrências
- /I : Ignora diferença entre maiúsculas e minúsculas.
- /N : Número das linhas em que Texto
- /V : Mostra apenas linhas que NÃO contém Texto
- Exemplo
- C:\>FIND /I "sequencia" C:\WINDOWS\explorer.exe
- o parametro "sequencia"faz parte da linha, caso não colocar a sintaxe nao funcionará
- C:\>FIND /I "TESTE" C:\demonstrando.txt
- C:\>FIND /I "palavra" *.txt | sort > pesquisa.txt
- Neste caso ele vai pesquisar no diretório corrente todos os arquivos (.txt) e guardar o resultado no arquivo pesquisa.txt.
