Primeiros Passos com o Autopsy — Tutorial Forense Digital

Quando falamos de análise forense digital, existem várias ferramentas amplamente utilizadas como o EnCase, FTK Imager, Volatility, Redline, entre outras.

No entanto, a ferramenta sobre a qual nos vamos focar hoje é o Autopsy, e vamos ver como podemos utilizá-la em investigações reais.

O que é o Autopsy?

O Autopsy é uma ferramenta de código aberto de forense digital desenvolvida pela Basis Technology, lançada pela primeira vez em 2000. É uma ferramenta gratuita e bastante eficiente para investigação de discos rígidos com funcionalidades como casos multiutilizador, análise de linha do tempo, análise de registo, pesquisa de palavras-chave, análise de email, reprodução de multimédia, análise EXIF, deteção de ficheiros maliciosos e muito mais.

Como instalar o Autopsy?

Passo 1: Descarregue o Autopsy aqui .
Passo 2: Execute o ficheiro instalador .msi do Autopsy.

Passo 3: Se receber um aviso do Windows, clique em Sim.
Passo 4: Clique nas caixas de diálogo até clicar num botão que diz Concluir.
Passo 5: O Autopsy deve estar instalado agora.

Objetivos da Investigação

O objetivo da análise forense é determinar:

• Análise de metadados EXIF, com foco na detecção de coordenadas GPS que possam indicar a localização física do utilizador/suspeito.
• Pesquisa por palavras-chave relevantes (ex: “forense”) para identificar ficheiros com conteúdo sensível ou relacionado com a atividade investigada.
• Criação e aplicação de etiquetas (tags) para classificar e organizar os artefatos encontrados, facilitando a elaboração do relatório final.
• Documentar todas as descobertas de forma estruturada, apresentando as evidências de forma clara e objetiva.

Dados do Caso

Etapa 1: execute a autopsy e selecione Novo caso .

Etapa 2: informe o nome do caso e o diretório para armazenar o arquivo. Clique em Avançar.

Etapa 3: adicione o número do caso e os detalhes do examinador e clique em Concluir .

Etapa 4: escolha o tipo de fonte de dados necessária, neste caso Imagem de disco e clique em Avançar.

Etapa 5 : informe o caminho da fonte de dados e clique em Avançar.

Etapa 6: selecione os módulos necessários e clique em Avançar.

Etapa 7: depois que a fonte de dados for adicionada, clique em Concluir.

Etapa 8: Você chega aqui quando todos os módulos forem ingeridos. Você pode começar a investigar, mas recomendo esperar até que a análise e a verificação de integridade sejam concluídas.

Há muitas coisas que podemos investigar para resolver o cenário descrito anteriormente, mas para fins tutoriais, encontraremos respostas para as 20 perguntas a seguir.

Q1. O que é o hash da imagem?

Sol. 510BBAE79570BF0BD0D192AE1D2E9293.

Para verificar o hash da imagem, clique na imagem e vá para a aba Metadados do Arquivo . (Verificamos o hash da imagem para garantir que seja o mesmo que o hash criado no momento em que a imagem foi criada.)

Importar e aplicar o hashset badfiles.md5 no Autopsy

Objetivo: Importar um conjunto de hashes MD5 (neste caso, badfiles.md5) e aplicá-lo a um caso para identificar ficheiros maliciosos conhecidos.

• No topo do Autopsy, clica em Tools > Options
• Vai ao separador Hash
• Clica em Import Hash Set.

Preenche os seguintes campos:

• Set Name: badfiles
• Clica em Browse e seleciona o ficheiro badfiles.md5.
• Clica em Apply e OK para importar.
• Depois, clica em Close para sair das definições.

Aplicar o hashset

Se o caso já tinha sido analisado antes de importar o hashset, tens de reexecutar o módulo Hash Lookup:

1. No painel esquerdo (Data Sources), clica com o botão direito sobre hd.img.
2. Seleciona Run Ingest Modules.
3. No menu que aparece:

• Desativa todos os módulos exceto Hash Lookup.
• Confirma que o hashset badfiles está ativado (deve aparecer listado).

Clica em Next, depois em Finish para iniciar o processamento.

Foram identificados 6 ficheiros cujo hash corresponde a valores incluídos no ficheiro badfiles.md5, sinalizando-os como ficheiros maliciosos conhecidos.

Quais foram os ficheiros identificados?

Nome do Ficheiro MD5 Hash                         Localização
f0003936.jpg     35d339f54b8273967a3f1fc9b69950ae $CarvedFiles e $OrphanFiles
f0003952.docx    4247257df986528b0b68c35e62c845eb $CarvedFiles e $OrphanFiles
UNTITL~1.DOC     4247257df986528b0b68c35e62c845eb $OrphanFiles
THE_ON~1.JPE     35d339f54b8273967a3f1fc9b69950ae $OrphanFiles

Porque os hashes MD5 desses ficheiros coincidem exatamente com os valores definidos no ficheiro badfiles.md5, que representa uma lista de hashes de ficheiros maliciosos conhecidos.

EXIF e Geolocalização

Quais arquivos fazem referência às coordenadas GPS?

Com base na análise dos metadados EXIF (acessível através de EXIF Metadata no painel esquerdo), vários ficheiros de imagem contêm coordenadas GPS embutidas.

Os seguintes ficheiros, extraídos do ficheiro comprimido f0004352_fotos.zip, contêm coordenadas GPS nos seus metadados EXIF:

/img_hd.img/$CarvedFiles/1/f0004352_fotos.zip/fotos/DSCN0042.JPG
/img_hd.img/$CarvedFiles/1/f0004352_fotos.zip/fotos/DSCN0040.JPG
/img_hd.img/$CarvedFiles/1/f0004352_fotos.zip/fotos/DSCN0038.JPG
/img_hd.img/$CarvedFiles/1/f0004352_fotos.zip/fotos/DSCN0029.JPG
/img_hd.img/$CarvedFiles/1/f0004352_fotos.zip/fotos/DSCN0027.JPG
/img_hd.img/$CarvedFiles/1/f0004352_fotos.zip/fotos/DSCN0025.JPG

A que cidade as coordenadas se referem?

Busca por Palavras-chave

Foi criada uma nova lista de palavras-chave com o nome Mylist1:

Após a criação, foi reexecutado o módulo de análise “Keyword Search” sobre a imagem de disco hd.img, com base na nova lista.

Etiquetas

Durante a análise dos artefactos digitais, foram aplicadas várias etiquetas (tags) para facilitar a organização, categorização e futura referência de itens relevantes.

Tag badfiles.md5 para os ficheiros identificados por hash

Importância das Etiquetas

A utilização de tags no Autopsy é essencial para:

• Agrupar rapidamente ficheiros por tipo de evidência;
• Gerar relatórios mais organizados e filtrados;
• Marcar artefatos relevantes para revisão posterior;
• Apoiar a construção da linha temporal da investigação.