Procedimento para Resolver Problemas de Processamento de Arquivos Lotus Notes no NUIX

Algumas pessoas tem enfrentado problemas ao tentar realizar o processamento de base de e-mail no formato NSF (Lotus Notes), no caso do Nuix apresentar algum erro ao abrir a base, ou mesmo processa-la porém não conseguir interpretar os arquivos, execute os procedimentos a seguir:

1º Inserir a base de dados e verificar se a mesma consegue ser aberta no “pré-filtro” da ferramenta.

Caso demore muito para abrir, pode ser que exista algum erro no arquivo, sendo assim siga as instruções abaixo:

2º Inserir o parâmetro (-DirectAccess=FALSE) no Target do atalho da aplicação no final da sintaxe existente.

TRUE: Copia novamente a base do arquivo NSF

FALSE: Não copia a base existente, utilizando apenas a base já existente

3º Utilizar apenas 02 workers, e disponibilizar mais memória de modo que exista harmonia de memória entre SISTEMA OPERACIONAL, WORKERS E APLICAÇÂO.

Neste exemplo utilizaremos a estação forense HARPIA com 64GB de RAM como modelo:

20GB de memória para aplicação

02 WORKERS com 20GB CADA

4GB de RAM para o S.O

E por fim Inserir os parâmetros abaixo no Target do atalho da aplicação

-Dnuix.processing.worker.timeout=720000

-Dnuix.nsf.notesExtractorTimeout=720000

Executando este procedimento sua base NSF será processada com sucesso, e os dados serão disponibilizados na interface do Sistema, possibilitando a análise das informações.

NOTA: Lembrando que no caso da base de dados exigir senha ou criptografia para abertura, esta deve ser inserida na parte de Descriptografia no menu de configurações de processamento, dúvidas sobre este procedimento podem ser obtidas no manual do produto. 

Diretrizes para Coleta e Preservação de Evidências Digitais

REFERÊNCIAS:

·         Norma Complementar nº 08/IN01/DSIC/GSIPR

·         ABNT NBR ISO/IEC 27037:2013

·         RFC 3227

TRATAMENTO: 

  

  

 IDENTIFICAÇÃO:

·         Envolve a busca, reconhecimento e documentação

·         Priorização com base na importância do ativo e na volatilidade da evidência digital

·         Possibilidade de evidências ou ativos ocultos (pendrives, partições criptografadas, etc)

ORDEM DE VOLATILIDADE:

1.Registradores, memória cache

2.Tabela de rotas, cache ARP, tabela de processos, RAM

3.Disco rígido

  

COLETA/AQUISIÇÃO:

·         Obtenção dos dispositivos computacionais envolvidos e geração de cópia da evidência digital

·         Disco rígido inteiro, partição ou arquivos selecionados

·         De acordo com o caso, acondicionar apropriadamente o dispositivo para futura aquisição

·         Evitar sempre que possível métodos que alterem a evidência digital

·         Documentar o processo

·         Outros materiais (papéis com senhas, cabos de alimentação, etc)

Impossibilidade de cópia da mídia completa:

·         –Ex.: disco muito grande, storage, serviço crítico, etc

Solução:

·         –Aquisição lógica (partições, diretórios ou arquivos relacionados ao incidente)

•Duas situações:

–dispositivo ligado

–dispositivo desligado

PRESERVAÇÃO:

·         Manutenção da integridade e (se for o caso) do sigilo dos dados coletados

·         Uso de funções de verificação:

–resumo criptográfico (hash)

·         Acondicionamento apropriado:

–Proteção contra choque, calor, umidade e magnetismo

  

REQUISITOS IMPORTANTES:

·         Fonte de tempo confiável (NTP / ON)

·         Registro de eventos dos ativos de informação

·         Registros de eventos (logs) armazenados por no mínimo 6 (seis) meses

·         Registro de auditoria armazenados remotamente

Como utilizar Passware Kit Forensic com EnCase

Todos os usuários do EnCase podem utilizar o Passware Kit Forensic para detectar e decifrar arquivos criptografados em um caso, esta integração permite detectar mais de 250 tipos de arquivos criptografados e iniciar um processo de recuperação de senha, se necessário em poucos cliques.

Pré-requisitos:

• EnCase 7.x ou posterior.
• Passware Kit Forensic ( "Instalar para todos os usuários" opção selecionada).

How-To para EnCase v7 e Superior

1. Inicie o EnCase, crie um caso e abra sua evidência.

2. Clique em "Process Evidence". As informações sobre arquivos criptografados serão exibidos nas colunas "protection complexity" do EnCase.

3. Clique com o botão direito do mouse sobre o arquivo que você gostaria de abrir:

4. Escolha Open With -> Passware Kit . Uma sessão do Passware Kit Forensic será iniciada como um visualizador de arquivos e o processo de recuperação de senha será iniciado automaticamente bastando selecionar o tipo de ataque a ser utilizado.

5. Depois que o arquivo for descriptografado ou a senha for recuperada, você poderá abrir o arquivo diretamente no Passware Kit Forensic.

How-To para EnCase v6

Se você estiver usando o EnCase v6, você ainda pode usar os recursos de detecção de criptografia de Passware Kit Forensic via Enscript. A amostra marcadores enscript ou arquivos criptografados para posterior análise -.Passware Kit Forensic 10.3 ou posterior é necessária neste caso.

1. Inicie o EnCase, crie um caso e abra sua evidência.

2. Adicione C: \ Arquivos de Programas (x86) \ Passware \ Passware Kit \ EnCase \ PasswareSample.EnScript

3. Selecione as entradas que você gostaria de scanear.

4. Execute PasswareSample.EnScript

5. Todos arquivos criptografados ou protegidos por senha referentes as entradas serão marcados e as informações adicionais serão gravados no Console:

Utilizando o Pacote de Revisão do EnCase para Otimização de Resultados - Review Package

O EnCase Review Package é uma maneira fácil para os examinadores forenses compartilharem suas descobertas com agentes de campo ou qualquer outra pessoa interessada no caso, proporcionando visibilidade sobre as provas para uma ampla gama de pessoas, permitindo ao examinador concluir as investigações mais rápido e de forma "colaborativa".

Você pode consolidar os resultados de pesquisas em um pacote de revisão que podem ser revistos por entidades externas. Pacotes de revisão podem ser uma combinação de e-mal ou arquivo de resultados de pesquisas de palavras-chave indexadas, você também pode criar pacotes de revisão dos favoritos.

O pacote de revisão é uma auto aplicação (container) visível em um navegador da web que não requer o EnCase para que ele seja aberto. Os revisores podem usar tags existentes ou criar novas personalizadas, para sinalizar itens de interesse no pacote de revisão. Quando a informação é importada de volta no EnCase usando um arquivo no formato (EnReview), gerado a partir da própria aplicação, você pode então ver as tags que foram adicionados pelo revisor nos respectivos arquivos.

Todos os tipos de arquivos poder ser encapsulados para revisão. Pesquisas cruas e indexadas através do conteúdo e metadados de imagens, e-mail e documentos diversos.

O revisor recebe e abre o pacote de revisão. O processo para criar, revisar e retomar um pacote de revisão pode ser baixado clicando aqui e assista também ao vídeo abaixo.

O revisor então exporta o pacote de revisão e envia o arquivo exportado de volta para o EnCase. Vale ressaltar que este pacote contém apenas os GUIDs dos itens, então pode ser enviado de volta como um pequeno arquivo sem revelar nenhuma informação do caso.

Por fim basta salvar dentro da própria aplicação os trabalhos realizados, e importar para dentro do EnCase o pacote gerado que será possível então visualizar os itens marcados dentro da interface da própria ferramenta e então dar continuidade aos trabalhos e geração de relatório. 

Espero que seja últil !

Inscreva-se nesta página para receber um alerta sempre que houver uma nova publicação.

Otimizando pesquisas no EnCase utilizando Enscripts

​

​​

Resolvi escrever este artigo após identificar que vários usuários demonstraram dúvidas sobre como realizar o download de Enscripts no site da Guidance (fabricante do EnCase), e além disso o propósito é de ajuda-los em atividades do dia a dia que as vezes requerem tempo (coisa rara de se ter sobrando hoje em dia), mas que podem ser otimizadas com o uso de EnScripts.

Seguem abaixo alguns exemplos:

COPY WEB BROWSER FILES - Um script simples usado para identificar todos os arquivos de cookies e cache do histórico do navegador em um caso, e copiá-los. Ele apenas copia dados atuais de usuários e não tenta recuperar arquivos de histórico / cache excluídos. O script suporta Internet Explorer Firefox Chrome / Chromium Opera e Safari no Windows * nix e Mac. O script irá procurar por arquivos e pastas do navegador e copiá-los para uma pasta que será especificada pelo usuário.

VIRUS TOTAL BOOKMARK - Este enscript submete o valor de hash dos arquivos marcados com a tag "VirusTotal 'via uma API pública para a Virus Total, para ver se ele é conhecido como malware. Virus Total é um serviço gratuito que analisa arquivos suspeitos e URLs, e funciona como um agregador de informações. . Os resultados são a saída dos motores de diferentes antivírus, sites scanners, ferramentas de análise de URL de arquivo e e contribuições dos próprios usuários.

EVTX LOG ENTRY FINDER - Este script localiza registros de log apagados do Windows (EVTX) . O script funciona procurando os pedaços evento de log que quando tomado com o make-up de um log-file EVTX completa cabeçalho do evento-log. A razão para não procurar por registros individuais é que, enquanto um pedaço é uma entidade auto-suficiente, os registros em um pedaço não-EVTX log-files usar um sistema de templates, a fim de economizar espaço. Isto significa que mesmo que seja possível encontrar um registo eliminado através da procura de sua assinatura usando uma palavra-chave GREP há uma boa chance de que o que se segue não será o registro completo e que alguns dos dados do registro provavelmente será armazenado a uma anterior . localização no pedaço associado Tendo encontrado uma possível pedaço do script irá fabricar um arquivo EVTX virtual na memória consiste no pedaço e um cabeçalho estático; Em seguida, ele usa própria funcionalidade evento de log de ​​análise do EnCase para analisar os registros no arquivo. É importante ter em mente que a análise dados apagados EVTX não é sem alguns dados de risco-corrompido pode causar um erro irrecuperável. Caso isto aconteça os logs do console pode ajudar a identificar os dados causando o problema de modo que você pode tentar e tomar medidas para evitar a analisá-lo.

E-MAIL ADDRESS FINDER - Este enscript irá procurar todos os .com, .edu, addreses .org, .net e .gov e-mail em um caso. Os endereços de e-mail será marcada e um arquivo de resumo será criado na sua pasta de exportação. O arquivo de resumo é uma lista separada por vírgulas que pode ser aberto usando o Microsoft Excel. O arquivo de resumo irá listar cada endereço de e-mail contidos no caso e o número de ocorrências para esse endereço de e-mail.

​

Como identificar todos os dispositivos USB que já se conectaram no computador

​

​​

O Registro do Windows (regedit.exe) é um banco de dados existente no sistema operacional Microsoft Windows. Cuja função é concentrar todas as configurações do sistema e aos aplicativos executados nele de modo a tornar sua administração mais fácil. Todas as configurações alteráveis no Painel de Controle, associações das extensões dearquivos e configuração de hardware são armazenadas nesse banco de dados.

Neste artigo vou ensina-los a identificar e listar todos os dispositivos USB que foram conectados na máquina alvo.

Em algum momento, um dispositivo USB é conectado no computador, seja ele uma impressora, pendrive, CD-ROM ou uma câmera digital. E quando essa conexão é efetuada na porta USB, fica gravado no registro do Windows, uma série de informações sobre o dispositivo que um dia foi inserido na porta USB do micro.

Para um perito forense, esse tipo de informação, é uma fonte rica de dados preciosos que pode resolver uma série de casos.

Por exemplo, digamos que um criminoso se defenda e diga que o pendrive dele não foi utilizado no computador da vítima para infectar o computador, e assim, obter dados sigilosos e confidenciais. Basta o perito consultar o registro do Windows e pronto, se o dispositivo USB estiver listado na chave de registro, é uma confirmação que o pendrive foi conectado na porta USB. Lembrando que caberá ao Juiz decidir se o criminoso realmente praticou tal ato com intenção de obter dados confidenciais, mas desde imediato, fica comprovado e derrubada a tese da defesa, em que foi alegado que o pendrive nunca foi inserido na USB do computador da vítima.

Para listar os dispositivos que um dia foi conectado na porta USB do computador, basta localizar a seguinte pasta no registro do Windows:

1 – Clique em Iniciar, e digite regedit para entrar no registro do windows;

2 – Localize a seguinte chave no registro:

HLM -> System -> ControlSet001 ->  Enum -> USBTOR

Se existir ControlSet002, ControlSet003 e assim por diante… pesquise em todas essas chaves, pois em cada uma delas, na chave USBTOR, estará listado todos os dispositivos USB que um dia, passaram pelo computador.

​​

​

Como utilizar o Live View no EnCase (PDE Emulator)

​

​​

O Live View é uma ferramenta forense baseada em Java que cria uma máquina virtual VMware a partir de uma imagem (Exemplo: DD/E01) ou disco físico. Isso permite que o examinador forense inicialize um disco e possa ter uma visão interativa de usuário, tudo sem modificar a imagem subjacente ou disco. Porque todas as alterações feitas para o disco são gravados em um arquivo separado, o examinador pode imediatamente reverter todas as suas mudanças de volta ao estado original do disco. 

Este artigo tem como objetivo apresentar os pré requisitos, e mostrar como utiliza-lo quando o examinador estiver utilizando o EnCase.

PRÉ-REQUISITOS:

* VMware Disk Mount Utility 

* VMware Server 1x Full Install

* Java Runtime Evironment

* Live View

* Uma estação com sistema operacional Windows 7 ou superior

Após realizar a instalação dos itens acima, abra o EnCase Examiner e siga o seguinte passo a passo:

1º Crie um novo caso ou utilize algum que já esteja trabalhando;

2º Adicione uma nova evidência ou utilize algum que já esteja trabalhando;

3º Abra sua evidência e em seguida clique com o botão direito em "Entries" > "Device" > "Share" > "Mount as Emulated Disk"

​​

Faça isso e avance as próximas telas, após o término do carregamento sua evidência será emulada como uma unidade de disco.

​​

Pronto ! Agora é só utilizar o Live View conforme mencionado no início e acessar o sistema operacional em modo de usuário.

Espero ter ajudado.

​

Como obter a chave de criptografia do Whatsapp Crypt8 e sua base de dados

​

Bom pessoal, devido a uma grande demanda de usuários que estão tendo dúvidas para realizar extração da base de dados do whatsapp, e a chave de decriptografia, resolvido postar aqui uma dica que pode vir a ajudar vocês.

Eu utilizo o software "WhatsApp Key DB Extractor V3", que é uma ferramenta open source e bem simples de se utilizar.

Basta realizar o download do software, descompactar a pasta e executar o arquivo WhatsAppKeyExtract.bat, porém deve se atentar aos seguintes detalhes:

1-  O aparelho deve ser conectado ao computador desbloqueado, e com o modo de depuração USB habilitado;

2- Deve-se ter o Java instaladado;

3- O computador deve estar conectado a internet, pois a aplicação irá baixar um complemento para possibilitar a extração da chave.

IMPORTANTE: Este software pode não funcionar com todos os modelos de aparelho, e outro ponto que notei é que o mesmo não tem funcionado em sistema operacional Android 5.1.1, apesar deste sistema ser "suportado" pelo software.

Se tudo correr bem, na tela do aparelho irá aparecer uma mensagem, solicitando a realização de backup, confirme a operação. Ao término do processo será criada uma pasta TEMP, na diretório do software, onde estará a base de dados do Whatsapp bem como sua chave de decriptografia.

Para abrir a base de dados e conseguir visualizar seu conteúdo, pode-se utilizar a ferramenta WhatsApp Viewer, que também é uma ferramenta bem simples e intuitiva de se utilizar.

Caso possuam o UFED da Cellebrite basta realizar a extração da chave utilizando o mesmo software mencionado acima e em seguida abrir o arquivo extraido, no Physical Analyzer, e expandir a guia "Sistema de Arquivos", e localizar a base de dados do Whatsapp, que geralmente é armazenada no diretório /shared/0/WhatsApp/Databases, 

                                              ​

 Após localizar a base de dados, clique na guia Plug-ins e execute o plug-in "Android Whatsapp with Provided Key", em seguida aponte para o arquivo (.KEY) extraído.

Fazendo isso irá aparecer uma base de dados "msgstore.db", e as mensagens já estaram categorizadas na guia BATE PAPO​​​