Exportar (0) Imprimir
Expandir Tudo
Expandir Minimizar

Guia básico de investigação computacional para Windows

Capítulo 3: Analisar os dados

Publicado em: 1 de novembro de 2007

Este capítulo discute diferentes abordagens e práticas recomendadas aceitas pela indústria para analisar as evidências reunidas durante a fase de obtenção de dados de uma investigação interna. Use o processo em três etapas, conforme mostra a figura a seguir.

Fase de análise da investigação computacional

Figura 3.1. Fase de análise do modelo de investigação computacional

Cc162856.important(pt-br,TechNet.10).gif Importante:

A análise online dos dados, que examina um computador durante sua execução, é quase sempre necessária. Normalmente, ela é realizada devido a restrições de tempo em uma investigação ou para capturar dados voláteis. Ao executar essa análise, deve-se tomar bastante cuidado para garantir que o risco de afetar outras evidências seja mínimo.

Nesta página

Analisar os dados da rede
Analisar os dados do host
Analisar as mídias de armazenamento

Analisar os dados da rede

Em muitas investigações, não é necessário analisar dados da rede. Em vez disso, as investigações se concentram em examinar imagens dos dados. Quando a análise da rede for necessária, use o seguinte procedimento:

  1. Examine os logs de serviços de rede para os eventos que sejam do seu interesse. É comum haver grandes quantidades de dados, por isso você deve focar em critérios específicos para eventos importantes, como nome de usuário, data e hora ou o recurso que está sendo acessado.

  2. Examine os logs do firewall, do servidor proxy, do sistema de detecção de intrusões (IDS) e do serviço de acesso remoto. Muitos desses logs contêm informações fornecidas por conexões de entrada e saída monitoradas e apresentam informações de identificação, como endereço IP, hora do evento e autenticação. Convém examinar os dados dos logs em uma ferramenta adequada para análise de dados, como o Microsoft® SQL Server™ 2005.

  3. Exiba quaisquer logs de monitor de rede ou de sniffer (farejador) de pacote que possam ajudá-lo a determinar as atividades ocorridas na rede. Além disso, determine se as conexões que você está examinando estão criptografadas, pois não é possível ler o conteúdo de uma sessão criptografada. Mesmo assim, você pode ainda deduzir a hora da conexão e se alguma parte suspeita estabeleceu uma sessão com um servidor específico.

Analisar os dados do host

Os dados do host fornecem informações sobre componentes como aplicativos e o sistema operacional. Use o procedimento a seguir para analisar a cópia dos dados do host recebidos na fase Obter os dados.

  1. Identifique o que você está procurando. É provável que haja uma grande quantidade de dados do host e somente uma parte deles seja relevante para o incidente. Por isso, o ideal é tentar criar critérios de pesquisa para eventos de interesse. Por exemplo, você poderia usar a ferramenta Microsoft Windows® Sysinternals Strings para pesquisar os arquivos localizados na pasta \Windows\Prefetch. Essa pasta contém informações como, por exemplo, quando e onde os aplicativos foram iniciados. Para obter informações sobre como usar a ferramenta Strings e enviar ou canalizar os resultados para um arquivo de texto, consulte o Capítulo 5: Exemplo de cenário aplicado, neste guia.

  2. Examine os dados do sistema operacional (como informações sobre descompasso do relógio) e todos os dados carregados na memória do computador host para tentar determinar se algum processo ou aplicativo mal-intencionado está em execução ou programado para ser executado. Por exemplo, você pode usar a ferramenta Sysinternals AutoRuns do Windows para mostrar quais programas estão configurados para execução durante o logon ou o processo de inicialização.

  3. Examine os aplicativos, os processos e as conexões de rede em execução. Por exemplo, você pode procurar processos em execução que tenham um nome adequado mas que estejam sendo executados em locais fora do padrão. Use ferramentas como Windows Sysinternals ProcessExplorer, LogonSession e PSFile para realizar essas tarefas. Consulte a seção "Ferramentas" no Apêndice: Recursos deste guia para obter informações sobre elas.

Analisar as mídias de armazenamento

As mídias de armazenamento coletadas durante a fase Obter os dados conterão muitos arquivos. Você precisará analisá-los para determinar sua relevância para o incidente, o que pode ser uma tarefa árdua, pois mídias de armazenamento como discos rígidos e fitas de backup costumam conter centenas de milhares de arquivos.

Identifique os arquivos com maior probabilidade de serem relevantes para analisar depois mais detalhadamente. Use o seguinte procedimento para extrair e analisar dados das mídias de armazenamento coletadas:

  1. Sempre que possível, execute análise offline em uma cópia bit a bit da evidência original.

  2. Determine se foi usada criptografia de dados, como o EFS (Sistema de Arquivos com Criptografia) no Microsoft Windows. Várias chaves do Registro podem ser examinadas para determinar se o EFS já foi usado no computador. Para obter uma lista das chaves específicas do Registro, consulte a seção "Determinando se o EFS está sendo usado em um computador" do artigo "O sistema de arquivos com criptografia no Windows XP e no Windows Server 2003", no Microsoft TechNet. Caso você suspeite que foi usada criptografia de dados, precisará determinar se pode ou não recuperar e ler os dados criptografados. Isso dependerá de diferentes circunstâncias, como a versão do Windows, a maneira como o EFS foi implantado e se este é um computador associado a um domínio. Para obter mais informações sobre o EFS, consulte "O sistema de arquivos com criptografia", no Microsoft TechNet. Ferramentas de terceiros para recuperação do EFS também estão disponíveis, como a Advanced EFS Data Recovery da Elcomsoft.

  3. Se necessário, descompacte os arquivos e arquivos mortos compactados. Embora a maioria dos softwares forenses seja capaz de ler arquivos compactados a partir de uma imagem de disco, talvez seja necessário descompactar os arquivos mortos para examinar todos os arquivos na mídia que você está analisando.

  4. Crie um diagrama da estrutura de diretório. Ele pode ser útil para representar graficamente a estrutura dos diretórios e arquivos na mídia de armazenamento, permitindo analisar os arquivos de modo eficiente.

  5. Identifique os arquivos de interesse. Se você já sabe quais arquivos foram afetados pelo incidente de segurança, concentre a investigação neles primeiro. Os conjuntos de hash criados pela National Software Reference Library podem ser usados para comparar arquivos conhecidos (como os de aplicativos e do sistema operacional) com os originais. Os arquivos que coincidirem normalmente poderão ser eliminados da investigação. Você também pode usar sites informativos como filespecs.com, Wotsit's Format, ProcessLibrary.com e DLL Help da Microsoft para ajudá-lo a identificar arquivos e a categorizar e coletar informações sobre formatos de arquivo existentes.

  6. Examine o Registro – o banco de dados que contém informações de configuração do Windows – para conhecer o processo de inicialização do computador, saber quais aplicativos estão instalados (inclusive aqueles carregados durante a inicialização) e obter informações de logon como nome de usuário e domínio. Para obter informações gerais sobre o Registro e descrições detalhadas de seu conteúdo, consulte Referências do Registro do Windows Server 2003 Resource Kit. Diversas ferramentas estão disponíveis para analisar o Registro, como o RegEdit (fornecido com o sistema operacional Windows), o Windows Sysinternals RegMon for Windows e o Registry Viewer da AccessData.

  7. Pesquise o conteúdo de todos os arquivos reunidos para ajudar a identificar aqueles que possam ser interessantes. Diversas pesquisas inteligentes podem ser executadas com o uso das ferramentas descritas na seção "Ferramentas" no Apêndice: Recursos deste guia. Por exemplo, você pode usar a ferramenta Windows Sysinternals Streams para revelar se existem fluxos de dados NTFS alternados sendo utilizados em arquivos ou pastas. Esses fluxos de dados podem ocultar informações dentro de um arquivo, fazendo parecer que ele não contém nenhum byte de dados quando visualizado no Windows Explorer, embora, na realidade, o arquivo contenha dados ocultos.

  8. Estude os metadados de arquivos de interesse usando ferramentas como a Encase da Guidance Software, o Forensic Toolkit (FTK) da AccessData ou o ProDiscover da Technology Pathways. Atributos de arquivo como carimbos de data/hora podem mostrar a hora da criação, do último acesso e das últimas gravações, o que pode ser útil na investigação de um incidente.

  9. Use visualizadores de arquivos para exibir o conteúdo dos arquivos identificados, o que lhe permitirá examinar e visualizar determinados arquivos sem o aplicativo original que os criou. Essa abordagem protege os arquivos contra danos acidentais e quase sempre é mais econômica do que usar o aplicativo nativo. Observe que os visualizadores de arquivos são específicos para cada tipo de arquivo. Caso não haja um disponível, use o aplicativo nativo para examinar o arquivo.

Depois de analisar todas as informações disponíveis, você deve chegar a uma conclusão. Nesta etapa, é importante ter muito cuidado para não atribuir a culpa dos danos à parte errada. No entanto, se você tiver certeza das suas descobertas, pode começar a fase Relatar a investigação.



Download

Obtenha o Guia básico de investigação computacional para Windows

Notificações de atualização

Inscreva-se para receber informações sobre atualizações e novas versões

Comentários

Envie-nos seus comentários ou suas sugestões



Isso foi útil para você?
(1500 caracteres restantes)
Agradecemos os seus comentários
A Microsoft está realizando uma pesquisa online para saber sua opinião sobre o site do MSDN. Se você optar por participar, a pesquisa online lhe será apresentada quando você sair do site do MSDN.

Deseja participar?
Mostrar:
© 2014 Microsoft