FATEC CARAPICUIBA ANÁLISE DE SISTEMAS E TECNOLOGIADA INFORMAÇÃO
GEORG FARIAS SILVA IVAN LUIZ ROCHA TOLUSSO PEREIRA MURILO MARTINS DE MORAES RAFAEL GUSTAVO DE OLIVEIRA
RELATÓRIO TÉCNICO - PERÍCIA FORENSE COMPUTACIONAL 2010/6º CICLO
CARAPICUIBA
2010
ÍNDICE
1.
Introduçã Introdução......... o.......................... ................................. ................................. ................................. ................................. ................................. ................ 3
2.
Procurar por logs de aplicativos ................... .......... .................. ................... ................... ................... ................... .................. ......... 4
3.
Análise das atividades do sistema em tempo real.................... real........... ................... ................... .................. ......... 5
4.
Investigação dos logs de evento .................. ......... .................. ................... ................... ................... ................... .................. ......... 7
5.
Investigação dos logs de evento com a ferramenta Dumpel .................. ......... .................. .............. ..... 8
6.
Investigação dos logs de evento com o utilitário Event Viewer ................... ......... ................. ....... 10
7.
Investigação dos logs de evento com o utilitário Psloglist ................... ......... ................... ............... ...... 12
8.
Investigação de registro do sistema................... .......... ................... ................... .................. ................... ................... ........... 13
9.
Analise do registro através do prompt de comando ................... ......... ................... .................. ............... ...... 14
10.
Como descobrir arquivos com inicialização inicialização automática ................... ......... ................... .................. ......... 15
11.
Identificação de rootkits no sistema ................... .......... ................... ................... .................. ................... ................... ........... 16
12.
Como decifrar senhas do sistema operacional .................. ......... .................. .................. ................... .............. .... 17
13.
Investigação da discagem automática .................. ......... ................... ................... .................. ................... ................. ....... 18
14.
Descobrindo serviços de controle e acesso remoto ................... ......... ................... .................. ............... ...... 19
15.
Analise do registro através do prompt de comando ................... ......... ................... .................. ............... ...... 20
16.
Compartilhamentos Compartilhamentos administrativos administrativos ................... .......... ................... ................... .................. ................... ................... ........... 22
17.
Descobrindo tarefas agendadas agendadas .................. ......... .................. ................... ................... ................... ................... ................ ....... 29
18.
Descobrindo quem está conectado ao sistema.................. ......... .................. .................. ................... .............. .... 35
19.
Detectando quais usuários usuários logaram logaram ou tentaram logar logar no computador.............. .......... .... 36
20.
Descobrindo contas e grupos de usuários ................... ......... ................... .................. ................... ................... ........... 40
21.
Descobrindo a primeira primeira e a ultima vez que o usuário usuário logou no sistema sistema ............. ......... .... 44
22. Arquivos Arquivos ................................. .................................................. ................................. ................................. .................................. ......................... ........ 45 23.
Considerações Considerações Finais .................. ......... ................... ................... ................... ................... .................. .................. ................... .............. .... 57
24.
Referências Bibliográficas Bibliográficas ................... .......... ................... ................... .................. ................... ................... .................. ............... ...... 58
2
ÍNDICE
1.
Introduçã Introdução......... o.......................... ................................. ................................. ................................. ................................. ................................. ................ 3
2.
Procurar por logs de aplicativos ................... .......... .................. ................... ................... ................... ................... .................. ......... 4
3.
Análise das atividades do sistema em tempo real.................... real........... ................... ................... .................. ......... 5
4.
Investigação dos logs de evento .................. ......... .................. ................... ................... ................... ................... .................. ......... 7
5.
Investigação dos logs de evento com a ferramenta Dumpel .................. ......... .................. .............. ..... 8
6.
Investigação dos logs de evento com o utilitário Event Viewer ................... ......... ................. ....... 10
7.
Investigação dos logs de evento com o utilitário Psloglist ................... ......... ................... ............... ...... 12
8.
Investigação de registro do sistema................... .......... ................... ................... .................. ................... ................... ........... 13
9.
Analise do registro através do prompt de comando ................... ......... ................... .................. ............... ...... 14
10.
Como descobrir arquivos com inicialização inicialização automática ................... ......... ................... .................. ......... 15
11.
Identificação de rootkits no sistema ................... .......... ................... ................... .................. ................... ................... ........... 16
12.
Como decifrar senhas do sistema operacional .................. ......... .................. .................. ................... .............. .... 17
13.
Investigação da discagem automática .................. ......... ................... ................... .................. ................... ................. ....... 18
14.
Descobrindo serviços de controle e acesso remoto ................... ......... ................... .................. ............... ...... 19
15.
Analise do registro através do prompt de comando ................... ......... ................... .................. ............... ...... 20
16.
Compartilhamentos Compartilhamentos administrativos administrativos ................... .......... ................... ................... .................. ................... ................... ........... 22
17.
Descobrindo tarefas agendadas agendadas .................. ......... .................. ................... ................... ................... ................... ................ ....... 29
18.
Descobrindo quem está conectado ao sistema.................. ......... .................. .................. ................... .............. .... 35
19.
Detectando quais usuários usuários logaram logaram ou tentaram logar logar no computador.............. .......... .... 36
20.
Descobrindo contas e grupos de usuários ................... ......... ................... .................. ................... ................... ........... 40
21.
Descobrindo a primeira primeira e a ultima vez que o usuário usuário logou no sistema sistema ............. ......... .... 44
22. Arquivos Arquivos ................................. .................................................. ................................. ................................. .................................. ......................... ........ 45 23.
Considerações Considerações Finais .................. ......... ................... ................... ................... ................... .................. .................. ................... .............. .... 57
24.
Referências Bibliográficas Bibliográficas ................... .......... ................... ................... .................. ................... ................... .................. ............... ...... 58
2
1. Introdução Este relatório tem como objetivo principal demonstrar a utilização de ferramentas aplicadas na área da pericia forense computacional. As principais ferramentas de extração de logs, visualização de eventos, arquivos, manipulação do registro do Windows e extração de informações do computador serão demonstradas e analisadas.
3
2. Procurar por logs de aplicativos Em ambientes Windows e Linux geralmente podemos identificar arquivos de log, realizando pesquisas pelo sufixo (extensão “.log”) . Durante um processo de investigação (perícia) em um sistema computacional, devemos procurar por rastros, vestígios dos eventos / atividades realizadas pelo suspeito. Um exemplo típico são servidores web que registram em logs todas as solicitações a páginas webs realizadas. Para este tipo de log, existe um formato padrão criado pela W3C (World Wide Web Consortium). As versões mais recentes deste padrão especificam que os registros de logs devem sempre ser concatenados ao final do arquivo de log e devem conter dados sobre: endereço IP do cliente (usuário que acessou a página, data e hora - TIMESTAMP, nome da página solicitada, código html, bytes enviados, nome e versão do browser do cliente. Assim como mencionado no exemplo de um servidor web citado acima, a grande maioria das aplicações corporativas prevê o registro de logs, tais como: servidores FTP, servidores de e-mail POP, IMAP e SMTP, servidores DHCP, servidores RADIUS, servidores de banco de dados, etc. Análise Crítica Para que o perito forense computacional possa coletar o maior número possível de evidências durante uma investigação, é imprescindível que o mesmo tenha um vasto conhecimento das aplicações suspeitas e a localização dos seus respectivos arquivos de logs. Mais importante do que conhecer a ferramenta e a localização do log, é saber ler estes logs e extrair informações válidas e confiáveis para composição das evidências que serão apresentadas ao juiz.
4
3. Análise das das atividades atividades do sistema em tempo real 3.1 Gerenciador de Tarefas Existem diversas ferramentas no mercado para plataforma Windows que possibilitam a visualização dos processos / tarefas em execução no sistema. A mais famosa delas é o “Gerenciador de Tarefas”, pois ele já vem de fá brica instalado no Windows, sendo a ferramenta de visualização de atividades em execução padrão deste sistema operacional. Para executar o gerenciador de tarefas, pasta pressionar simultaneamente Ctrl+Shift+Esq, e será exibida a janela com os processos em execução:
Figura 1 – Gerenciador de Tarefas (Windows)
5
3.2 Filemon Esta ferramenta é distribuída pela Microsoft, que a disponibiliza para download em seu site. Para executar o FileMon (filemon.exe) é necessário que o usuário possua privilégio de administrador. Quando o FileMon é iniciado pela primeira vez, ele monitora todos os discos rígidos locais. Menus, teclas de acesso ou botões da barra de ferramentas podem ser usados para limpar a janela, marcar e desmarcar volumes monitorados, incluindo volumes de rede, salvar os dados monitorados em um arquivo, além de filtrar e pesquisar os resultados. É possível aplicar filtros sobre o resultado de uma pesquisa. À medida que os eventos forem impressos no resultado, eles serão marcados com um número de sequência. Se ocorrer estouro de capacidade dos buffers internos do Filemon durante uma atividade extremamente pesada, isso se refletirá em lacunas no número de sequência. Cada vez que o FileMon é finalizado ele registrará um arquivo de configuração, contendo todos os filtros configurados previamente, assim como a posição da janela e das larguras das colunas de saída.
Figura 2 – Filemon em execução
Análise Crítica: O monitoramento das atividades do sistema em tempo real permite a visualização de todos os processos que estão em execução no sistema operacional, desta forma esta ferramenta pode ser extremamente útil para que o perito forense identifique aplicativos suspeitos em execução na máquina investigada. 6
4. Investigação dos logs de evento Podemos arquivar o conteúdo de um log de evento em 3 formatos, os quais são:
.evt: arquivo de log no formato do Event Viewer, possibilitando que os logs sejam visualizados no console do Event Viewer posteriormente. .txt : podemos visualizar os logs em processadores de texto. .csv : formato de arquivo de texto delimitado por virgulas. Pode ser visualizado e planilhas eletrônicas e banco de dados.
Estes logs de eventos são armazenados no Windows NT, Windows XP, Windows 2000 e Windows 2003 no diretório: Windows\System32\config
Os principais arquivos de log são:
sysevent.evt : arquivo responsável por registrar os logs dos eventos de sistema, tais como: falhas de hardware, falhas de serviços de rede, etc; appevent.evt: arquivo com o registro dos logs de eventos de aplicativos, exemplo: falha de uma aplicação do pacote Microsoft Office; secevent.evt : arquivo contendo o registro dos logs de eventos de segurança. Exemplos: mudanças de privilégios em contas de usuários, acesso a arquivos, diretórios e atividades de sistema.
Análise Crítica: Arquivos de logs são fundamentais durante o processo de perícia forense em sistemas computacionais, pois evidenciam eventos decorrentes das ações criminais associadas ao(s) crime(s) investigado(s). Servem como se fossem uma caixa preta em aviões, que registram todas as comunicações ocorridas em uma determinada data.
7
5. Investigação dos logs de evento com a ferramenta Dumpel Dumpel é uma ferramenta de linha de comando, ou seja, não possui interface gráfica, utilizada para tratar logs de eventos do Windows (arquivos com a extensão .evt). Dumpel significa Dump Event Log (extrator de logs de eventos). Para gerar um log com os eventos de segurança, contidos no arquivo secevent.evt, por exemplo, basta entrar com o seguinte comando no prompt do Windows: dumpel -l security -t > log_seguranca.txt
Figura 3 – Executando o Dumpel
Após finalizar o processamento o dumpel exibe uma mensagem informando que o dump (extração) do log foi finalizado com sucesso.
Figura 4 – Finalização do Processamento do Dumpel
8
Para visualizar o relatório gerado pelo Dumpel, basta abrir o arquivo em um editor de textos ou simplesmente utilizar o comando type no prompt do Windows.
Figura 5 – Abrindo o Relatório do Dumpel com o Bloco de Notas
Figura 6 – Visualizando o Relatório do Dumpel com o Bloco de Notas
No exemplo acima, foi deixado somente o log de um evento para facilitar a visualização. Este log ilustra o evento de logoff no computador no qual o Dumpel foi executado. As informação estão organizadas em colunas, onda são respectivamente: Data, Hora, Tipo de Evento, Categoria do Evento, Computador, Descrição do Evento, Fonte do Evento, e demais descrições. Nota: O Dumpel em sua configuração padrão separa as informações com tabulações. Análise Crítica: O Dumpel é uma excelente ferramenta para a extração de logs de eventos, pois possibilita a aplicação de filtros e extração de logs de arquivos “evt” e também de
servidores remotos.
9
6. Investigação dos logs de evento com o utilitário Event Viewer Dependendo da aplicação que queremos auditar, devemos recorrer aos logs de eventos registrados pelo Windows. Estes logs podem ser consultados através do console EventViewer. Acessamos esse console através das Ferramentas Administrativas, localizadas no Painel de Controle.
Figura 7 – Event Viewer (Windows 7)
Eventos são ações efetuadas pelos usuários, baseadas em diretivas de auditoria, ou ações efetuadas pelo próprio Windows. Através dos eventos, ficamos sabendo sobre erros, tentativas de ruptura da segurança, entre outras informações ocorridas no sistema. Através de logs de eventos, podemos monitorar informações sobre segurança e identificar problemas de software, hardware e sistema. Existem 3 tipos de logs:
Log de sistema: armazena os eventos registrados por componentes do Windows 2000, como o não carregamento de um driver, entre outros. Log de aplicativo: armazena os eventos registrados por aplicativos ou programas. Log de segurança: registra os eventos de segurança, como tentativas de logon válidas e inválidas, entre outros.
Nota: O log de segurança só pode ser visualizado por usuários com direitos administrativos. 10
Logs de eventos de sistema e aplicativo podem ser classificados em 3 tipos:
Informação: exibe informações sobre operações bem sucedidas de um aplicativo.
Aviso: pode indicar um problema futuro. Fique atento a esses eventos.
Erro: indica problemas significativos nas operações do sistema.
Logs de eventos de segurança podem ser classificados em 2 tipos:
Auditoria com êxito: registra auditorias executadas com sucesso, como tentativa de logon efetuada com sucesso. Auditoria sem êxito: registra auditorias executadas sem sucesso, como tentativa de logon efetuada sem sucesso.
Exemplo de log de evento de logoff:
Figura 8 – Log de evento de segurança
11
7. Investigação dos logs de evento com o utilitário Psloglist De forma análoga à ferramenta Dumpel, o Psloglist também tem como objetivo gerar relatórios com base nos logs de eventos registrados pelo Windows. A grande vantage do psloglist é que ele permite acesso a computadores remotos para extração de logs de eventos mesmo quando o usuário logado na estação que está executando o mesmo não possui credeciais de acesso no sistema remoto. Para executar o psloglist basta acessar o prompt de comando e executar psloglist na pasta para a qual o mesmo foi descompactado, após ter sido realizado o download. Se executado sem que seja especificado nenhum argumento (parâmetro de entrada), o psloglist retornará todos os logs de eventos registrados no computador local, como demonstram as figuras abaixo:
Figura 9 – Executando o psloglist
Figura 10 – Resultado da execução do psloglist
O psloglist, aceita vários parâmetros de entrada, possibilitando filtrar os logs desejados, tempo em que o evento foi gerado, usuário, máquina remota e arquivo de saída. Análise Crítica: O psloglist é uma ponderosa ferramenta de análise de logs de eventos do Windows, especialmente quando utilizada para acessar logs de sistemas remotos. Ele também suporta parâmetros de usuário e senha para sistemas com autenticação. Trata-se de uma ferramenta fundamental para peritos forenses computacionais realizarem extrações de logs de maneira ágil e remotamente.
12
8. Investigação de registro do sistema O registro do sistema operacional é um banco de dados que contém todas as informações sobre hardware, softwares instalados, configurações do sistema e os perfis de cada usuário do sistema operacional. No caso do Windows, o registro é um banco de dados hierárquico e centralizado, formado por chaves e subchaves, seções e entradas de valores. Para a visualização do registro do Windows em modo gráfico deve- se utilizar o “Editor de Registro”, para acessá -lo clique em Iniciar -> Executar, e digite o comando regedit .
Figura 11 – Editor do Registro do Windows
Através do registro, pode-se identificar se houve instalação de programas no computador, softwares maliciosos e verificar usuários e preferências, dentre outras informações, abaixo seguem as chaves principais do registro:
HKEY_CLASSES_ROOT (HKCR): Contém as informações sobre associações de arquivos aos seus respectivos softwares; HKEY_CURRENT_USER (HKCU): Armazena as configurações relacionadas ao perfil do usuário logado no sistema; HKEY_LOCAL_MACHINE (HKLM): Contém as informações sobre o hardware e software instalados no computador; HKEY_USERS (HKU): Armazena as informações relacionadas a todos os usuários do sistema operacional e suas configurações pessoais; HKEY_CURRENT_CONFIG (HKCC): Armazena informações sobre o perfil atual do hardware.
Análise Crítica:
13
O Editor de Registro do Windows, por ser visual, é uma ferramenta que permite fácil navegação através das configurações, bem como uma alteração igualmente simples quando necessário.
9. Analise do registro através do prompt de comando Através do Prompt de Comando, o registro é acessado através do utilitário reg query, nele é possível pesquisar o conteúdo das chaves do Registro. Um exemplo de comando do reg query é: reg query HKLM\SYSTEM\/s > registro.txt Outro comando para pesquisa no registro é o dureg . Para pesquisar todas as ocorrências da palavra “version”, por exemplo, no registro, usa -se o comando: dureg /s “version” > reg_version.txt
Análise Crítica: O reg query , por ser uma ferramenta em prompt de comando, seu acesso e a localização das informações são mais complexas e demoradas, pois é necessário salvar todas as informações em um arquivo de texto, para depois começar a análise, e, neste caso, dependendo totalmente da ferramenta de pesquisa do editor de texto utilizado.
14
10. Como descobrir arquivos com inicialização automática No sistema operacional Windows, para se descobrir quais programas foram configurados com inicialização automática, junto com o sistema operacional, é necessário usar o utilitário Configuração do Sistema, clicando na aba Inicialização de Programas , onde é possível verificar em quais diretórios estão os programas suspeitos, e qual o local onde está sua entrada no registro.
Figura 12 – Configuração do Sistema do Windows
Há também o software Autoruns , da Sysinternals, no qual é possível saber vários detalhes dos programas que inicializam junto com o sistema, nele é possível saber o diretório dos programas, acessar o local onde está sua entrada no registro, apagar, copiar, visualizar suas propriedades e pesquisar informações sobre o programa na Internet. Análise Crítica: O programa Autoruns permite maior controle sobre os programas de inicialização automática, permitindo o acesso direto aos arquivos, enquanto o programa Configuração do Sistema do Windows permite apenas ativar ou desativar o programa para inicializar junto com o sistema.
15
11. Identificação de rootkits no sistema Rootkit é o termo utilizado para descrever os meios e técnicas usadas pelos vírus, malwares, spywares e trojans na tentativa de se esconder dos programas utilizados para detectar este tipo de arquivo, tais como antivírus. Para identificar um rootkit no Windows há um utilitário de detecção chamado RootkitRevealer .
Figura 13 – Configuração do Sistema do Windows
Análise Crítica: O RootkitRevealer usa um mecanismo simples e vasculha a lista de registros do Windows, procurando por discrepâncias no sistema API, as quais podem indicar falhas e a presença de rootkit, e após detectados, estes são isolados e eliminados. Esta facilidade de uso e eficiência, torna esse utilitário bastante viável.
16
12. Como decifrar senhas do sistema operacional Um dos programas mais usados para se decifrar senhas no Windows é o L0phtcrack , que permite examinar as senhas do banco de dados Security Access Manager (SAM), o qual contém o banco de dados das contas de segurança local do Windows, localizado em C:\WINDOWS\system32\config. O L0phtcrack utiliza um ataque de força bruta, com dicionários do próprio programa para quebrar as senhas, o programa, também, computa sehas de usuários, a partir de hashes criptografados, armazenados no sistema operacional.
Figura 14 – L0phtcrack
Análise Crítica: O L0phtcrack é uma ferramenta que trás diversas opções de quebra de senhas, realiza a quebra de senhas não só por força bruta, com dicionários, mas também através da extração de hash de 64 bits, com vários algoritmos e redes de monitorização e decodificação. Permite, ainda a auditoria e recuperação de senhas de vários softwares.
17
13. Investigação da discagem automática No Sistema Operacional Windows, quando um programa necessita de acesso à Internet, automaticamente abre uma conexão, utilizando, para isso, o recurso “Discagem Automática”. Este recurso mapeia e mantém uma lista das IPs usados no
computador para acesso à Internet. Para visualizar a lista de conexões do computador, basta utilizar o comando, no prompt de comando do Windows, ressaltou –s.
Figura 15 – Resultado apresentado pelo comando “rasautou – s ”
Análise Crítica: É muito importante saber quais conexões estão disponíveis no computador, pois, muitas vezes, pode ser instalada no computador uma conexão desconhecida pelo usuário, e que pode acabar conectando a um IP usado para obter alguma informação deste computador.
18
14. Descobrindo serviços de controle e acesso remoto Os serviços de acesso remoto permitem ao usuário controlar todas as funções do computador, através de outro computador, conectado a uma rede ou Internet. Para identificar se, no computador, há algum tipo de sistema de controle para acesso remoto instalado no computador, deve-se primeiro procurar nos arquivos de inicialização, depois nos programas que estiverem na pasta “Arquivos de Programas” no HD, e, por último, utilizando comandos de varredura de portas, tais como netstat , fport e pslist , para averiguar se as portas relacionadas a sistemas de controle de
acesso remoto estão abertas. Para listar todos os serviços que foram iniciados no sistema operacional Windows, utilize o comando net start no prompt de comando.
Figura 16 – Resultado apresentado pelo comando “net start”
Análise Crítica: É extremamente importante manter um sistema de varredura de portas ativo em um sistema operacional, pois isto ajuda não só na identificação de sistemas de acesso remoto, mas sim para todo o diagnóstico de proteção de uma rede ou de um computador, podendo prevenir diversos tipos de ataque e invasões no computador, revelando diversas fragilidades do sistema.
19
15. Analise do registro através do prompt de comando Para procurarmos por recursos compartilhados na máquina podemos utilizar um utilitário de linha de comando chamado “Net Share”. Este é um utilitário do Windows que informa o nome do compartilhamento de cada recurso, o caminho ou os nomes dos dispositivos associados, além de um breve comentário a respeito do recurso. Através do Net Share é possível criar um novo compartilhamento ou apagar um existente, caso desconfie de algum compartilhamento suspeito em sua rede.
Figura 17 – Resultado da execução do comando net share
Podemos também encontrar os recursos compartilhados através do utilitário gráfico “Gerenciamento do Computador”, localizado dentro de “Iniciar > Painel de Controle > Ferramentas Administrativas”>”Gerenciamento do Computador”.
20
Figura 18 – Resultado da verificação gráfica dos recursos compartilhados
21
16. Compartilhamentos administrativos Os sistemas operacionais Windows NT/2000/XP e 2003 possuem compartilhamentos ocultos chamados de administrativos (compartilhamentos usados pelo SO (Sistema Operacional)). Estes compartilhamentos são automaticamente carregados depois de cada processo de inicialização e todos possuem o caractere $ em seus nomes. Observe a seguir a descrição de cada compartilhamento administrativo. Compartilhamento Descrição $
Uma pasta compartilhada que permite ao administrador de rede conectar-se à raiz de uma unidade. Exibida como A$, B$, C$, D$ e assim por diante.
ADMIN$
Um recurso utilizado pelo sistema operacional durante a administração remota de um computador. Essa é a pasta Windows, e o compartilhamento administrativo oferece aos administradores um acesso mais simples à hierarquia da pasta raiz do sistema na rede.
IPC$
É usado com conexões temporárias entre clientes e servidores usando pipes nomeados (uma porção da memória) para comunicação entre programas de rede.
PRINT$
Um recurso utilizado durante a administração remota de impressoras.
NETLOGON$
Um recurso utilizado pelo serviço de Logon de rede de um computador com o Windows Server durante o processamento de solicitações de logon de domínio.
FAX$
Uma pasta compartilhada em um servidor usado por clientes de fax no processo de envio de um fax. Essa pasta compartilhada armazena arquivos em cache e acessa as folhas de rosto armazenadas em um servidor de arquivos.
22
Abaixo temos o exemplo prático dos compartilhamentos administrativos no computador. Estes vêm por padrão já configurados nas máquinas.
Figura 19 – Compartilhamentos administrativos padrão
Criar um compartilhamento oculto Para criar um compartilhamento oculto, execute as seguintes etapas: 1. No Painel de controle, clique duas vezes em Ferramentas administrativas e em Gerenciamento do computador. 2. Expanda Pastas compartilhadas, clique com o botão direito do mouse em Compartilhamentos e clique em Novo compartilhamento de arquivo. 3. Na caixa Assistente para criar pasta compartilhada, digite o caminho para a pasta que você deseja compartilhar ou clique em Procurar para localizá-la. 4. Digite o nome de compartilhamento que você deseja usar seguido de um sinal de cifrão e clique em Avançar. 5. Para tornar o compartilhamento acessível apenas para administradores, marque a caixa de seleção Administradores possuem acesso total; outros usuários possuem acesso somente leitura clique em Concluir. 6. Clique em Sim para criar outro compartilhamento ou em Não para retornar ao console de Gerenciamento do computador.
Figura 20 – Iniciando o processo de criação do compartilhamento administrativo
23
Figura 21 – Tela de informações para criação do compartilhamento administrativo
Figura 22 – Selecionando local onde compartilhamento administrativo ficará salvo
24
Figura 23 – Informando descrição do compartilhamento administrativo
Figura 24 – Informando o tipo de permissão do compartilhamento administrativo
25
Figura 25 – Considerações finais do compartilhamento administrativo
Figura 26 – Exibição do novo compartilhamento administrativo criado
26
Excluir um compartilhamento oculto Para excluir um compartilhamento oculto, execute as seguintes etapas: 1. No Painel de controle, clique duas vezes em Ferramentas administrativas e em Gerenciamento do computador. 2. Expanda Pastas compartilhadas e clique em Compartilhamentos. 3. Na coluna Pasta compartilhada, clique com o botão direito do mouse no compartilhamento que você deseja excluir, clique em Interromper compartilhamento e em OK.
Figura 27 – Encerrando um compartilhamento administrativo
Figura 28 – Tela de confirmação de exclusão do compartilhamento administrativo
27
Figura 29 – Exibição dos compartilhamentos administrativos sem o item deletado
28
17. Descobrindo tarefas agendadas Por ser uma tarefa simples e rápida, geralmente os invasores fazem uso do agendamento de tarefas para facilitar invasões futuras. Na maioria das vezes, eles deixam agendados, por exemplo, a inicialização de um backdoor ou de qualquer outro programa que facilite a invasão ou então limpe as pistas deixadas na invasão.
Figura 30 – tela referente às tarefas agendadas
17.1 Criar tarefa 1. Para abrir Agendador de Tarefas, clique no botão Iniciar, clique em Painel de Controle, Sistema e Manutenção, Ferramentas Administrativas e clique duas vezes em Agendador de Tarefas. Se você for solicitado a informar uma senha de administrador ou sua confirmação, digite a senha ou forneça a confirmação. 2. Clique no menu Ação e em Criar Tarefa Básica. 3. Digite o nome e uma descrição opcional da tarefa e clique em Avançar. 4. Siga um destes procedimentos:
Para selecionar uma agenda baseada no calendário, clique em Diariamente, Semanalmente, Mensalmente ou Uma vez e clique em Avançar. Em seguida, especifique a agenda que deseja usar e clique em Avançar. Para selecionar uma agenda baseada em eventos recorrentes comuns, clique em Ao iniciar o computador ou Ao fazer logon e clique em Avançar. Para selecionar uma agenda baseada em eventos específicos, clique em Quando um evento específico for registrado, clique em Avançar, especifique o log de eventos e outras informações usando as listas suspensas e clique em Avançar.
29
5. Para agendar um programa para iniciar automaticamente, clique em Iniciar um programa e clique em Avançar. 6. Clique em Procurar para localizar o programa que deseja iniciar e clique emAvançar. 7. Clique em Concluir.
Figura 31 – Criando tarefas agendadas
Figura 32 – Tela para inserção de informações para criação de uma tarefa agendada 30
Figura 33 – Informando a periodicidade da tarefa agendada
Figura 34 – Informando o período de vigência da tarefa agendada
31
Figura 35 – Ação a ser tomada quando tarefa agendada for executada
Figura 36 – Informações referentes à ação escolhida
32
Figura 37 – Verificação geral das configurações escolhidas para a tarefa agendada
Figura 38 – Lista das tarefas agendadas, incluindo a tarefa criada
33
17.2
Excluir tarefa
Figura 39 – Deletar uma tarefa agendada
Figura 40 – Lista das tarefas agendadas, não inclui tarefa excluída
34
18. Descobrindo quem está conectado ao sistema Como descobrir qual usuário esta conectado localmente na máquina? Simples, através do comando whoami , executado no prompt.
Figura 41 – Resultado da execução do comando net whoami
Porém não apenas um usuário, mas outros podem estar conectados à máquina, para descobrir a relação de todos os usuários conectados localmente e remotamente utilizaremos o comando psloggedon no prompt.
Figura 42 – Resultado da execução do comando psloggedon
E para descobrirmos todos os usuários que podem se conectar ao sistema através de acesso remoto utilizaremos o comando rasusers , no prompt.
35
19. Detectando quais usuários logaram ou tentaram logar no computador O registro dos usuários que logaram ou tentaram logar no computador é feito por meio de diretivas de auditoria, para visualizar o estado destas diretivas deve-se executar no prompt o comando auditpol , que retornará “NO” ou “Success and Failure”. Caso retorne NO, devemos configurar a diretiva para “Success and Failure”, pois somente
assim o sistema efetuará os registros de logon ou tentativa de logon. A execução do comando auditpol retornará as seguintes diretivas: Auditoria
Descrição
AuditCategorySystem
Auditoria de eventos de sistema.
AuditCategoryLogon
Auditoria de eventos de logon.
AuditCategoryObjectAccess
Auditoria de acesso a objetos.
AuditCategoryPrivilegeUse
Auditoria de uso de privilégios.
AuditCategoryDetailedTracking
Auditoria de controle de processos.
AuditCategoryPolicyChange
Auditoria de alteração de diretivas.
AuditCategoryAcconutManagement Auditoria de gerenciamento de contas. Tabela 1: Diretivas do comando auditpol . Para configurar a diretiva de logon, podemos em modo gráfico, executar a seqüência Iniciar > Configurações > Painel de Controle > Ferramentas Administrativas > Diretiva de Segurança Local > Diretivas Locais > Diretiva de Auditoria e dê dois cliques no item Auditoria de eventos de logon , ao aparecer a tela Configuração da diretiva da segurança local escolha os itens Sucesso e Falha.
36
Figura 43 – tela para configurar a diretiva de logon
37
Figura 44 – Tela para escolher as opções específicas em relação a diretiva de logon
Outra maneira de se alterar a diretiva, é através do prompt, executando-se o seguinte comando: auditpol /enable /logon:all .
Figura 45 – Resultado da execução do comando “auditpol /enable /logon:all”
38
Depois de alterada a diretiva, devemos então monitorar o processo de logins, para isso contamos com o comando ntlast , executado no prompt, onde a seqüência ntlast – s lista os logins bem-sucedidos, ntlast –f os mal-sucedidos e ntlast –r os logins remotos.
Figura 46 – Resultado da execução do comando ntlast
39
20. Descobrindo contas e grupos de usuários Nosso objetivo neste tópico é descobrir a quantidade de usuários no sistema, quem são eles, a que grupo pertencem e quantos grupos existem. O primeiro comando a ser utilizado será o net user que retornará a quantidade de usuários e quem eles são.
Figura 47 – Resultado da execução do comando net user
Figura 48 – Resultado da execução do comando net user
40
O segundo comando será o net localgroup que retornará as informações referentes aos grupos do sistema.
Figura 49 – Resultado da execução do comando net localgroup
No entanto também conseguimos visualizar tais informações em ambiente gráfico através do utilitário Gerenciamento do computador em Iniciar > Painel de Controle > Ferramentas Administrativas > Gerenciamento do computador > Usuários e grupos locais .
Figura 50 – Tela gráfica para visualização dos usuários do sistema
41
Figura 51 – Tela gráfica para visualização dos grupos do sistema
Devemos também periciar a pasta :\Documents and Settings . Se por acaso existir o diretório e não mais a conta de usuário no “ Gerenciamento do
Computador ”, quer dizer que o usuário existiu em algum momento. Porém se existir a conta de usuário no “ Gerenciamento do Computador ” mas não f or
encontrado o diretório correspondente, isso significa que a conta de usuário ainda não foi utilizada para se conectar ao sistema. No “Event Viewer” (Visualizar Eventos) nativo do Windows, Iniciar > Painel de Controle > Ferramentas Administrativas >Visualizar Eventos , procure pelos seguintes eventos:
624: Conta de usuário criada;
626: Conta de usuário ativada;
636: Mudança de um grupo de contas;
642: A conta de usuário foi alterada.
42
Figura 52 – Tela gráfica para visualização dos eventos
No registro do Windows, Iniciar > Executar > regedit , encontramos exatamente em “HKEY_LOCAL_MACHINE \SOFTWARE\Microsoft\Windows NT\CurrentVersion\Profile list” os
SIDs dos usuários, mesmo daqueles com a conta de usuário já excluída, o que permite avaliar quais usuários já existiram e foram excluídos do sistema. Observe o ítem ProfileImagePath que informa o diretório do usuário dentro de “: \ Documents and Settings”.
Figura 53 – Caminho no regedit, para visualizar os usuários já criados
43
21. Descobrindo a primeira e a ultima vez que o usuário logou no sistema Um método simples de verificar o primeiro logon do usuário é visualizando a data de criação do seu diretório. Devemos então utilizando o utilitário Windows Explorer, acessar a pasta :\Documents and Settings e com o botão direito do mouse clicar sobre umas das pastas, por exemplo, Administrador e escolher a opção propriedades , na aba Geral, opção Criado , encontraremos a data de criação do diretório, que corresponde à data do seu primeiro logon .
44
22. Arquivos 22.1 Analisando as horas de modificação, geração e acesso de todos os arquivos Através do comando Dir é possível obter uma listagem de todos os arquivos suspeitos, registrando o tamanho e as horas de acesso, modificação e criação.
Figura 54 – Executando o comando DIR
Se o perito souber quando ocorreu o incidente poderá identificar quais arquivos o invasor alterou ou executou no sistema, através do comando DIR /? Temos uma lista de todos os comandos disponíveis e o que eles fazem quando executados.
45
Figura 55 – Atributos do comando DIR
46
22.2 Descobrindo informações através de buscas por palavra chave; tipo do arquivo e suas associações; quem tem acesso ao arquivo
Em todos os casos onde há o roubo de informações a busca por palavra chave é a ideal a ser realizada, neste tipo de busca quanto maior o detalhamento da busca, mais rápida e precisa será a resposta. Nas versões mais atuais do Windows , podemos clicar no menu iniciar e no campo de texto contido nela podemos digitar o que estamos procurando.
Figura 56 – Pesquisando por arquivos ou pastas
47
No prompt de comando podemos usar o comando „find‟ para encontrar trechos
similares em arquivos ou textos.
Figura 57 – Pesquisando pelo prompt de comando
Neste caso, o termo procurado não foi encontrado no arquivo passado para ser realizado a busca.
48
22.3 Comparação de arquivos, se o arquivo esta criptografado Quando estamos investigando os arquivos podemos desconfiar que ele foi alterado pelo invasor. Quando temos este arquivo em sua versão original podemos fazer uma comparação dos dois usando o comando “comp” seguido do nome dos dois arquivos para sabermos se o mesmo foi alterado ou não. Em alguns casos o invasor pode esconder os arquivos ou criptografá-los, através do comando cipher no prompt de comando podemos ver se os arquivos estão criptografados ou não, se estiverem criptografados só poderão ser abertos pelo usuário que realizou a ação de criptografálos. Podemos também encontrar arquivos ocultos através do comando cipher –H
Figura 58 – Pesquisando por arquivos criptografados
49
22.4 Recuperando arquivos excluídos; investigando o arquivo na lixeira, arquivos temporários Quando apagamos arquivos eles não são realmente excluídos do HD do computador, eles são marcados para serem sobrescritos por novos arquivos, por este motivo quanto mais rápido for realizado a pericia maiores são as chances de se obter novamente os arquivos apagados. Um exemplo de programa que realiza esta busca é o File Scavenger, que através da analise do HD do computador ele recupera os arquivos que ainda não foram sobrescritos.
Figura 59 – Recuperando arquivos deletados
Atualmente o Windows para evitar perda acidental de dados, move para lixeira os arquivos deletados, a exceção fica para os arquivos que são maiores que a capacidade de armazenamento da lixeira, arquivos apagados da rede e para os arquivos apagados de mídias removíveis.
50
Figura 60 – Verificando a lixeira
Também é possível investigar os arquivos temporários, os mesmos podem indicar sites visitados, download de arquivos e anexos de e-mail. Os arquivos temporários são criados pelos próprios programas para que os mesmos possam funcionar corretamente, estes arquivos deveriam ser apagados após o uso, porém nem sempre isso ocorre, deixando assim pistas valiosas para o investigador.
51
Figura 61 – Verificando arquivos temporários
52
22.5 Investigando links de atalho; arquivos incomuns, arquivos ocultos, quais foram acessados. Procura por arquivos impressos
Programas instalados e removidos ou acessados, deixam links de atalho perdidos pelo sistema, usando o programa ChkLink podemos encontrar estes vestígios, sabendo assim quais programas estavam instalados no computador ou que foram removidos do mesmo.
Figura 62 – Pesquisando por atalhos de programas Através do comando “dir /a” podemos encontrar a rquivos
incomuns e arquivos ocultos que estejam no HD do computador, através da ajuda do próprio Windows para comandos, vemos que ele encontra arquivos ocultos entre outros.
53
Figura 63 – Procurando arquivos ocultos
Figura 64 – Procurando arquivos ocultos 2
Das duas imagens podemos perceber que o arquivo SECURITYFOCUS.docx não aparece na segunda imagem, pois o mesmo foi marcado como oculto pelo usuário.
54
Para facilitar a investigação o perito deve marcar nas opções de pasta para que os arquivos ocultos sejam sempre exibidos
Figura 65 – Observando um arquivo oculto
55
Figura 66 – Alterando a opção de arquivos ocultos
Com esta opção garantimos que arquivos ocultos serão exibidos quando existirem.
56
23. Considerações Finais A experimentação de ferramentas que auxiliam no processo de investigação de informações em sistemas computacionais é fundamental para que o perito forense sempre tenha em mãos um kit de ferramentas coerente com as últimas tecnologias, de forma que o mesmo esteja sempre preparado para atuar nos mais diversos tipos de processos criminais onde poderá se deparar com sistemas operacionais das mais diversas naturezas, podendo ser desde um DOS 1.0, um Windows 7, um Leopard Mac OSX ou até mesmo um UNIX ou um sistema mobile ex: Google Android. Mas não basta simplesmente conhecer boas ferramentas, acima de tudo é imprescindível que todas as ferramentas utilizadas sejam de procedência comprovadamente confiável, desta forma durante o processo de pesquisa e experimentação de ferramentas de investigação em sistemas computacionais, o perito deve sempre certificar-se de que estas sejam obtidas em fontes seguras. Finalmente, o perito deve dominar a utilização das ferramentas que selecionou para compor o seu kit, sabendo a exata aplicação de cada uma de acordo com a situação com a qual se deparar durante uma investigação criminal.
57