Procedimento para Resolver Problemas de Processamento de Arquivos Lotus Notes no NUIX

Algumas pessoas tem enfrentado problemas ao tentar realizar o processamento de base de e-mail no formato NSF (Lotus Notes), no caso do Nuix apresentar algum erro ao abrir a base, ou mesmo processa-la porém não conseguir interpretar os arquivos, execute os procedimentos a seguir:

1º Inserir a base de dados e verificar se a mesma consegue ser aberta no “pré-filtro” da ferramenta.

Caso demore muito para abrir, pode ser que exista algum erro no arquivo, sendo assim siga as instruções abaixo:

2º Inserir o parâmetro (-DirectAccess=FALSE) no Target do atalho da aplicação no final da sintaxe existente.

TRUE: Copia novamente a base do arquivo NSF

FALSE: Não copia a base existente, utilizando apenas a base já existente

3º Utilizar apenas 02 workers, e disponibilizar mais memória de modo que exista harmonia de memória entre SISTEMA OPERACIONAL, WORKERS E APLICAÇÂO.

Neste exemplo utilizaremos a estação forense HARPIA com 64GB de RAM como modelo:

20GB de memória para aplicação

02 WORKERS com 20GB CADA

4GB de RAM para o S.O

E por fim Inserir os parâmetros abaixo no Target do atalho da aplicação

-Dnuix.processing.worker.timeout=720000

-Dnuix.nsf.notesExtractorTimeout=720000

Executando este procedimento sua base NSF será processada com sucesso, e os dados serão disponibilizados na interface do Sistema, possibilitando a análise das informações.

NOTA: Lembrando que no caso da base de dados exigir senha ou criptografia para abertura, esta deve ser inserida na parte de Descriptografia no menu de configurações de processamento, dúvidas sobre este procedimento podem ser obtidas no manual do produto. 

Diretrizes para Coleta e Preservação de Evidências Digitais

REFERÊNCIAS:

·         Norma Complementar nº 08/IN01/DSIC/GSIPR

·         ABNT NBR ISO/IEC 27037:2013

·         RFC 3227

TRATAMENTO: 

  

  

 IDENTIFICAÇÃO:

·         Envolve a busca, reconhecimento e documentação

·         Priorização com base na importância do ativo e na volatilidade da evidência digital

·         Possibilidade de evidências ou ativos ocultos (pendrives, partições criptografadas, etc)

ORDEM DE VOLATILIDADE:

1.Registradores, memória cache

2.Tabela de rotas, cache ARP, tabela de processos, RAM

3.Disco rígido

  

COLETA/AQUISIÇÃO:

·         Obtenção dos dispositivos computacionais envolvidos e geração de cópia da evidência digital

·         Disco rígido inteiro, partição ou arquivos selecionados

·         De acordo com o caso, acondicionar apropriadamente o dispositivo para futura aquisição

·         Evitar sempre que possível métodos que alterem a evidência digital

·         Documentar o processo

·         Outros materiais (papéis com senhas, cabos de alimentação, etc)

Impossibilidade de cópia da mídia completa:

·         –Ex.: disco muito grande, storage, serviço crítico, etc

Solução:

·         –Aquisição lógica (partições, diretórios ou arquivos relacionados ao incidente)

•Duas situações:

–dispositivo ligado

–dispositivo desligado

PRESERVAÇÃO:

·         Manutenção da integridade e (se for o caso) do sigilo dos dados coletados

·         Uso de funções de verificação:

–resumo criptográfico (hash)

·         Acondicionamento apropriado:

–Proteção contra choque, calor, umidade e magnetismo

  

REQUISITOS IMPORTANTES:

·         Fonte de tempo confiável (NTP / ON)

·         Registro de eventos dos ativos de informação

·         Registros de eventos (logs) armazenados por no mínimo 6 (seis) meses

·         Registro de auditoria armazenados remotamente

Como utilizar Passware Kit Forensic com EnCase

Todos os usuários do EnCase podem utilizar o Passware Kit Forensic para detectar e decifrar arquivos criptografados em um caso, esta integração permite detectar mais de 250 tipos de arquivos criptografados e iniciar um processo de recuperação de senha, se necessário em poucos cliques.

Pré-requisitos:

• EnCase 7.x ou posterior.
• Passware Kit Forensic ( "Instalar para todos os usuários" opção selecionada).

How-To para EnCase v7 e Superior

1. Inicie o EnCase, crie um caso e abra sua evidência.

2. Clique em "Process Evidence". As informações sobre arquivos criptografados serão exibidos nas colunas "protection complexity" do EnCase.

3. Clique com o botão direito do mouse sobre o arquivo que você gostaria de abrir:

4. Escolha Open With -> Passware Kit . Uma sessão do Passware Kit Forensic será iniciada como um visualizador de arquivos e o processo de recuperação de senha será iniciado automaticamente bastando selecionar o tipo de ataque a ser utilizado.

5. Depois que o arquivo for descriptografado ou a senha for recuperada, você poderá abrir o arquivo diretamente no Passware Kit Forensic.

How-To para EnCase v6

Se você estiver usando o EnCase v6, você ainda pode usar os recursos de detecção de criptografia de Passware Kit Forensic via Enscript. A amostra marcadores enscript ou arquivos criptografados para posterior análise -.Passware Kit Forensic 10.3 ou posterior é necessária neste caso.

1. Inicie o EnCase, crie um caso e abra sua evidência.

2. Adicione C: \ Arquivos de Programas (x86) \ Passware \ Passware Kit \ EnCase \ PasswareSample.EnScript

3. Selecione as entradas que você gostaria de scanear.

4. Execute PasswareSample.EnScript

5. Todos arquivos criptografados ou protegidos por senha referentes as entradas serão marcados e as informações adicionais serão gravados no Console: