O Registro do Windows além de ser um banco de dados de configurações, também um log das atividades realizadas no sistema. No Registro podemos encontrar os últimos arquivos acessados, os processos carregados na carga inicial do sistema, últimos arquivos executados, configurações de rede, entre tantas outras coisas mais.

De forma análoga ao que acontece com os arquivos, as chaves de Registro  também mantém um valor associado, armazenado no formato FILETIME do Windows, onde é registrada a última alteração (modificação, acesso e exclusão) sofrida, denominada de LASTWRITE. Esta característica  só é associada para as chaves de Registro, para os valores não.

Nos posts anteriores mostramos a localização das Hives e a estrutura do Registro assim como citamos o software Windows Registry Recovery da Mitec. Existem outras ferramentas para fins forenses como o Registry Report e o Registry Viewer, ambos da Gaijin ou ainda o Registry Ripper do Harlan Carvey, desenvolvidas para extração e visualização do conteúdo do Registro.

Visão do regedit do windows

Onde então estariam evidências importantes no Registro? Tomaremos como exemplo o Microsoft Windows 7.

Carga automática de Programas ou scripts

Na inicialização do sistema operacional alguns programas, scripts e arquivos são executados/carregados automaticamente. Algumas chaves contém valores que carregam programas e/ou aplicativos na inicialização do sistema. Para quem avalia um registro com fins forenses é especialmente útil a busca por programas de inicialização persistente como malwares, que podem estar nas seguintes chaves:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_USERS\SID\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_USERS\SID\Software\Microsoft\Windows\CurrentVersion\RunOnce
C:\Users\username\AppData\Roaming\Microsoft\Windows\Menu Iniciar\Programas\Inicializar ou
C:\Users\username\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup

Configurações de rede (inclusive wireless)

As configurações de rede do sistema ficam armazenadas na chave HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Services\Tcpip\Parameters que abriga as chaves DNSRegisteredAdapters e Interfaces onde se encontram respectivamente valores com as informações relativas às configurações de DNS e as configurações de endereço IP, máscara de rede, gateway, servidor DHCP, entre outras, atribuídas a cada interface de rede na última conexão realizada. Já os SSIDs das redes sem fio configuradas ficam na chave HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\NetworkList\Profiles, entretanto essas mesmas informações ficam armazenadas na pasta C:\ProgramData\Microsoft\Wlansvc\Profiles\Interfaces, em arquivos XML.

SSID das conexões Wi-Fi

MRU – Most Recently Used

Arquivos e programas mais recentes utilizados também são guardados no Registro do Windows. São estas chaves que fornecem informação aos recursos do “menu iniciar” como o “Itens Recentes” ou preenchem a linha do “Executar” (Run). Também armazenam as listas de arquivos recentes mostrados pelos aplicativos instaladas.

A análise destas chaves de Registro é especialmente útil quando queremos saber quais foram os últimos arquivos abertos ou últimos programas carregados pelo usuário do computador suspeito. As chaves listadas a seguir possuem sub-chaves organizadas por extensão de arquivos:

Documentos Recentemente Utilizados

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs
HKEY_USERS\SID\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs

Caixa “Executar” (Run) do menu iniciar

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU
HKEY_USERS\SID\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU

Chaves RunMRU

Observa-se que os valores são nomeados por letras seguindo ordem alfabética, sendo a letra a indica o valor mais antigo. Os dados armazenados nestes valores também estão assim ordenados.

User Assist

A chave UserAssist (HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Explorer\UserAssist) é formada por duas ou mais sub-chaves cujos valores possuem dados codificados em ROT13 que representam GUIDs (Globally Unique Identifiers ou Identificadores Globais Únicos). Cada valor está associados a um determinado objeto acessado pelo usuário, como um programa, um atalho, um comando, etc. A codificação ROT13 utiliza um algoritmo que rotaciona cada caractere em 13 posições, para cima ou para baixo, a depender de sua posição. de A a M soma-se 13 e de N a Z diminui-se 13, assim a letra A passa a ser N e O passa a ser B. Veja um conversor ROT13 on line em http://edoceo.com/utilitas/rot13.

Chave UserAssit

O nome do valor destacado na imagem é “{0139Q44R-6NSR-49S2-8690-3QNSPNR6SSO8}\7-Mvc\7-Mvc Svyr Znantre.yax” que ao ser descodificado passa a ser “{0139D44E-6AFE-49F2-8690-3DAFCAE6FFB8}\7-Zip\7-Zip File Manager.lnk”.

Há algum tempo fiz um post sobre Cadeia de Custódia e hoje volto a falar sobre esse assunto. A cadeia de custódia é o registro da vida de uma prova, desde sua coleta até a finalização do processo judicial. A importância dessa documentação é muito grande, pois é um dos elementos que garantem do direito do contraditório. O processo de montagem de cadeia de custódia no Brasil ainda está longe de ser um procedimento padrão, até porque “procedimento padrão” na apreensão, coleta, análise e apresentação de provas ainda não é consenso no nosso país. Mas o profissional de Computação Forense está cada vez mais preocupado com o assunto, pois a prova que condena também pode inocentar.

Dada a natureza dos registros de dados, a coleta de evidências no meio digital carece de procedimentos específicos para garantir sua integridade e valor probatório. As evidências digitais, são conceituadas pela IOCE (International Organization on Computer Evidence) como “Informações armazenadas ou transmitidas em forma binária, que pode ser invocado em juízo”. No momento em que se detecta a ocorrência de uma ação que possa se configurar um incidente computacional, seja caracterizado como crime ou não, mas que exija uma análise para materialização da prova do ocorrido, inicia-se o que denominamos de cadeia de custódia, que é nada mais que um registro em linha temporal sobre a posse e manuseio das evidências. A coleta da prova quando realizada por perito oficial no exercício da função, detentor de fé pública, goza portanto da presunção de veracidade. Não sendo um perito oficial, mas em decorrência da necessidade de coleta da evidência para sua preservação, pode-se recorrer à ata notarial, que segundo José Antonio Escartin Ipiens é…

A produção da ata notarial é especialmente útil quando existe o risco de perda das evidências. No caso do detentor das provas, poder preservá-las até a realização da perícia, não é necessário a utilização desse recurso.

A Polícia Técnica do Estado da Bahia trabalha atualmente na documentação dos procedimentos operacionais, produzindo uma revisão profunda do manual atual e discutindo novas necessidades em nossa área de atuação. A Computação Forense é susceptível a mudanças a todo momento, pois deve acompanhar a evolução do universo da computação.

Em um país de tantas desigualdades, com a Computação Forense não ia ser diferente. A situação dos estados, apesar de submetidos à mesma legislação, é bastante diversa. Existem estados bem equipados e outros sequer têm um laboratório de CF, faltando o básico para a realizar perícia. Faltam bloqueadores de escrita, softwares de análise de mídias, equipamentos para análise de  telefones celulares e até sistemas operacionais devidamente licenciados, retirando o valor legal da prova produzida. Os dispositivos e sistemas comerciais são caros, mas as vantagens são muitas. São suítes com recursos integrados, ferramentas de produtividade, hardwares para ações especializadas, etc.

Existem soluções alternativas baseadas em software livre, com diversos recursos para as mais variadas necessidades. As distribuições linux forenses são customizações de distribuições conhecidas geralmente voltadas para a produção de imagens periciais de dispositivos de armazenamento de dados e memória assim como análise completa destes dispositivos. Mas fique atento pois qualquer distribuição linux que proponha sua utilização para fins forenses deve obedecer a alguns requisitos e condições.

1. Não deve permitir em nenhuma hipótese, a escrita nas mídias anexadas ao sistema;
2. Deve ter flexibilidade para inicializar com qualquer hardware disponível;

Outro ponto importante é manter a ferramenta sempre atualizada, em sua última versão, de forma a evitar bugs e falhas de segurança. Por fim, lembremos que ao inicializar qualquer distribuição, inclusive as forenses, devemos nos certificar que o BIOS do equipamento esteja ajustado para evitar a carga acidental da mídia suspeita.

Helix 3 Pro

Helix 3 Pro é uma distribuição linux live, instalável, baseada no Ubuntu, com interface Gnome, desenvolvida pela E-Fense. O Helix agrega um lote de ferramentas forenses que auxiliam desde a realização da imagem e a análise de mídias/imagens. A interface de produção de imagem forense do Helix é o Adepto 2.1, baseada na interface do Air, arrecada informações sobre o dispositivo suspeito e configura a saída do arquivo de imagem, gerando um log da operação, que ainda permite acréscimo de informações pelo usuário, além de possuir recursos para restauração da imagem ou clonagem do dispositivo em outra mídia. O ambiente de análise é o Autopsy Forensic Browser, uma interface gráfica baseada em html para o The Sleuth Kit, ferramenta de análise para discos com sistemas Windows e UNIX, baseados em sistemas de arquivos NTFS, FAT, HFS+, UFS1, UFS2, Ext2 e Ext3. O Helix também possui o Linen, que é a versão linux do software de aquisição de imagens da Guidance Software.

Raptor 2.5

Raptor 2.5 é uma distribuição linux live também baseada no Ubuntu, com interface Unity, desenvolvido pela Forward Discovery com foco voltado para a realização de imagens forenses, principalmente para aqueles que não se sentem muito seguros em realizá-las em linha de comando. No lançador você encontrará o ícone do Raptor Toolbox que oferece nove abas com opções diversas iniciando com a duplicação de mídias de armazenamento até o controle das tarefas em andamento.

Santoku 0.4

Santoku 0.4 é também uma distribuição linux live baseada no Ubuntu, gratuita e open source, desenvolvido pela Via Forensic com foco voltado para análise de telefones celulares. Possui também ferramentas para testes de penetração e análise de redes wireless.

FDTK 3.0

FDTK 3 ou Forense Digital ToolKit é a distribuição linux live forense brasileira, instalável, baseada no Ubuntu, com desenvolvido por Paulo Alberto Neukamp e Aderbal Botelho. A FDTK começou como um trabalho de Graduação em Segurança da Informação da Universidade do Vale do Rio dos Sinos – Unisinos, no Rio Grande do Sul. O seu desenvolvimento esteve sempre focado nas quatro etapas da perícia, a coleta, o exame, a análise e a apresentação dos resultados e assim encontra-se no menu Aplicativos/Forense Digital, exceto pela apresentação que é a fase onde se desenvolve o relatório que será o Laudo Pericial. Rica em ferramentas, vale a pena conhecer.

Caine 4.0

Caine 4.0 é uma distribuição linux live italiana, baseada no Ubuntu, com interface própria, que agrega um lote de ferramentas forenses para auxiliar a realização de análise forense de computadores. Além das ferramentas usuais das distros forenses, possui recursos para exame de telefones celulares e rede. Utiliza como uma das ferramentas de imagem o Guyimager, uma das mais práticas opções gráficas linux para a confecção de imagens periciais. Possui também uma prática ferramenta gráfica de montagem de dispositivos de armazenamento, o Mounter, que por padrão monta as unidades em modo somente leitura, a não ser que se clique sobre o ícone da aplicação com o botão direito, o que torna a montagem passível de escrita. Após a montagem ainda faz um alerta sobre o status de escrita atribuído ao dispositivo.

DEFT 8

Deft 8 é outra distribuição linux live italiana, também baseada no Ubuntu,  instalável, que contém ferramentas forenses diversas. Esta versão da distribuição agregou o Mount Imager e o  Guymager para montagem e realização de imagem forense, respectivamente. Agrega também o DART (Digital Advanced Response Toolkit)  conjunto de ferramentas para ambiente Windows carregadas através do Wine.

BackTrack 5 R3 – Kali 1.0

O BackTrack 5 R3  e o Kali 1.0 são distribuições linux live, também instaláveis, desenvolvidas com foco em segurança, mais especificamente nos testes de penetração, mas que também oferecem ferramentas para uso forense. O Kali é dos mesmos desenvolvedores do BackTrack e é considerado como um sistema operacional completo.

A melhor ferramenta é aquela que você domina. Portanto o conhecimento sobre seu uso é fundamental e você pode até se surpreender com as possibilidades oferecidas.