Recentemente fiz uma perícia em um disco rígido buscando identificar acessos à mídia após a apreensão. Entre a apreensão e a perícia oficial, se detectou diversas inicializações do sistema, e para complicar um pouco mais a situação, a máquina perdeu sua configuração do BIOS por problemas na bateria da placa-mãe. Durante a análise fiz um exame no log de eventos e classifiquei os registros por data/hora, onde me deparei com alguns registros contendo dados inconsistente com o caso, como logon sem o respectivo logoff e vice versa, em circunstâncias que haveria aquele tipo de comportamento. A análise individual dos registros mostrava nos detalhes, um campo denominado EventRecordID, onde fica registrada a sequência de gravação do registro de cada evento, não visível ao snap-in Event Viewer do Microsoft Windows.

E sua configuração padrão, o snap-in do Windows apresenta as colunas “Nível”, “Data/Hora”, “Fonte”, “Identificação do Evento” e “Categoria da Tarefa”, mas existem ainda outras quinze colunas configuráveis, mas nenhuma delas permite visualizar a sequência de registros na ordem em que foram gerados.

Utilizando uma ferramenta externa, o Event Log Explorer da FSPRO Labs, utilitário freeware para uso pessoal, abri os arquivos do log de eventos do sistema periciado e acrescentei a visualização da coluna “Record No” que corresponde ao campo EventRecordID. Classifiquei então esta coluna e lendo os registros organizados por sequencia de gravação pude perceber que o equipamento, após a sua apreensão, teve as configurações de data/hora alteradas para o instante de interesse, de forma que a teoria aventada coubesse na timeline do caso. Ficou claro que houve manipulação do equipamento antes de ser periciado de forma que pudesse incriminar um indivíduo inocente.

Nas imagens a seguir podemos ver as telas do snap-in do Windows e do Event Log Explorer mostrando um mesmo registro do evento.

Até o próximo.

Após seis meses ausente, volto a publicar novos posts. Mais uma vez o trabalho me deixou sem ter como produzir material para o blog. O laboratório de Computação Forense onde trabalho recebeu novos equipamentos e softwares, o que nos levou a dedicar mais tempo na leitura dos manuais e no teste do material recebido. Temos dois novos duplicadores da Tableau, o TD3, que permite operar através de interface web ou localmente no dispositivo, possuindo excelente performance. São mais dois bloqueadores T35u, com interface USB3, para uso em campo. Outro dispositivo que sobressai é o UFED Touch, utilizado largamente na Operação Lava Jato, responsável por extração de grande volume de dados. Quanto aos softwares estamos utilizando além do Encase da Guidance, o FTK da AccessData e o IEF da Magnetic Forensics. Associados a estes recursos vieram novas estações de trabalho, robustas, bem equipadas, hardware de primeira linha, enfim, estamos dedicando um tempo maior para nos ambientar aos novos recursos, adquiridos com recursos federais pela Secretaria Nacional de Segurança Pública, do Ministério da Justiça.

Vamos lá.