OS Forensics–Investigação simplificada

2 de outubro de 2013 Daniel Donda DFIR 0

OS Forensics http://www.osforensics.com/ Esse software de investigação forense me surpreendeu pela facilidade de uso e por seu design intuitivo.

Disponível em uma versão gratuita com algumas limitações porém o software completo se comparado com outras ferramentas forense é bem barato em fevereiro de 2012 data da criação desse artigo o valor é de  $499.

É possível criar um PenDrive com o Windows Pre-install 3.0 environment (WinPE)  e carregar o OS Forensics ou simplesmente fazer uma instalação em uma estação de analise forense.

image

O primeiro passo é criar um caso que relacionará informações da investigação. Esses dados serão utilizados no relatório (Laudo).

image

O segundo passo é iniciar a indexação dos dados.
Podemos criar um filtro por tipos de arquivos como DOC, PDF, PPT, XLS, RTF, WPD, SWF, DJVU, JPG, GIF, PNG, TIFF, MP3, DWF, DOCX, PPTX, XLSX, MHT, ZIP e uma variedade de outros tipos, além de que você pode determinar qual o tipo de arquivo desejado.

Neste caso selecionei o tipo Imagem, e o local H: (disco bloqueado –Você pode usar um Pocket Bridge  (http://www.forensic-computers.com/pocketBridges.php)

image

image

Depois é só aguardar a indexação e fazer uma busca.

Outros recursos interessantes são:

  • Suporte a tipos de Email
    • .pst (Outlook)
    • .mbox (Thunderbird, Eudora, Unix mail, e more)
    • .msg (Outlook)
    • .eml (Outlook Express)
    • .dbx (Outlook Express)
  • Visualização em Timeline
  • Recuperação de arquivos excluídos inclusive com o método Carving.
  • Visualização de arquivos / HEX / String / Meta Dados

Atividades recentes

  • Documentos abertos recentemente
  • Histórico dos browsers WEB.
  • Dispositivos USB conectados
  • Network Shares acessados

Visualização da memória

Visualização do disco no formato RAW

Password

  • Senhas de Browsers
  • Windows Login Password/Hashes
  • Gerador de Rainbow Tables
  • Senhas através de dicionário/ Rainbow Tables

Verifica e cria hash de arquivo, volumes e textos usando  SHA-1,MD5,CRC32 e SHA-256

Cria uma Hash Set para monitoramento

Cria e compara assinaturas de arquivos

Cria e monta imagens de discos

Faz copia Forense mantendo o timestamps igual ao original

Instala automaticamente em um PenDrive

Dessa forma é possível iniciar processos investigativos forenses de maneira bem simples e intuitiva e em uma única ferramenta de baixo custo,

logoinfosec200x200Artigo escrito em colaboração com www.infosecbrasil.org .
Curta nossa fanpage. fb.com/infosecbrasil

 

 

 

Até o próximo.

Anúncio

Sobre Daniel Donda 549 Artigos
Olá, meu nome é Daniel Donda e sou especialista em cibersegurança, autor de livros, professor e palestrante. Saiba mais
Website Facebook Instagram Twitter YouTube Linkedin

Artigos Relacionados

Seja o primeiro a comentar

Faça um comentário

Seu e-mail não será divulgado.


*