OS Forensics–Investigação simplificada

By | 2 de outubro de 2013
Print Friendly, PDF & Email

OS Forensics http://www.osforensics.com/ Esse software de investigação forense me surpreendeu pela facilidade de uso e por seu design intuitivo.

Disponível em uma versão gratuita com algumas limitações porém o software completo se comparado com outras ferramentas forense é bem barato em fevereiro de 2012 data da criação desse artigo o valor é de  $499.

É possível criar um PenDrive com o Windows Pre-install 3.0 environment (WinPE)  e carregar o OS Forensics ou simplesmente fazer uma instalação em uma estação de analise forense.

image

O primeiro passo é criar um caso que relacionará informações da investigação. Esses dados serão utilizados no relatório (Laudo).

image

O segundo passo é iniciar a indexação dos dados.
Podemos criar um filtro por tipos de arquivos como DOC, PDF, PPT, XLS, RTF, WPD, SWF, DJVU, JPG, GIF, PNG, TIFF, MP3, DWF, DOCX, PPTX, XLSX, MHT, ZIP e uma variedade de outros tipos, além de que você pode determinar qual o tipo de arquivo desejado.

Neste caso selecionei o tipo Imagem, e o local H: (disco bloqueado –Você pode usar um Pocket Bridge  (http://www.forensic-computers.com/pocketBridges.php)

image

image

Depois é só aguardar a indexação e fazer uma busca.

Outros recursos interessantes são:

  • Suporte a tipos de Email
    • .pst (Outlook)
    • .mbox (Thunderbird, Eudora, Unix mail, e more)
    • .msg (Outlook)
    • .eml (Outlook Express)
    • .dbx (Outlook Express)
  • Visualização em Timeline
  • Recuperação de arquivos excluídos inclusive com o método Carving.
  • Visualização de arquivos / HEX / String / Meta Dados

Atividades recentes

  • Documentos abertos recentemente
  • Histórico dos browsers WEB.
  • Dispositivos USB conectados
  • Network Shares acessados

Visualização da memória

Visualização do disco no formato RAW

Password

  • Senhas de Browsers
  • Windows Login Password/Hashes
  • Gerador de Rainbow Tables
  • Senhas através de dicionário/ Rainbow Tables

Verifica e cria hash de arquivo, volumes e textos usando  SHA-1,MD5,CRC32 e SHA-256

Cria uma Hash Set para monitoramento

Cria e compara assinaturas de arquivos

Cria e monta imagens de discos

Faz copia Forense mantendo o timestamps igual ao original

Instala automaticamente em um PenDrive

Dessa forma é possível iniciar processos investigativos forenses de maneira bem simples e intuitiva e em uma única ferramenta de baixo custo,


logoinfosec200x200Artigo escrito em colaboração com www.infosecbrasil.org .
Curta nossa fanpage. fb.com/infosecbrasil