Belkasoft Web: http://belkasoft.com Email: [email protected] Belkasoft Evidence Center 2014 Sumário Resumo do Belkasoft Evidence Center 2014 ............................................................................................5 Funcionalidade principais do Belkasoft Evidence Center ........................................................................6 Versões do produto e edições..................................................................................................................7 Hardware recomendado ..........................................................................................................................8 Instalando Evidence Center 2014 ............................................................................................................8 Gerenciamento de Casos .........................................................................................................................9 Requerimentos .........................................................................................................................................9 Instalando Gerenciamento de Casos........................................................................................................9 Criando um banco de dados SQL Server ................................................................................................10 Instalando Belkasoft Evidence Center Enterprise ..................................................................................12 Início rápido............................................................................................................................................14 Software de uso forense ........................................................................................................................15 Rodando o programa .............................................................................................................................16 Gerenciamento de Casos .......................................................................................................................18 Abrindo um caso ....................................................................................................................................18 Gerenciando Casos .................................................................................................................................20 Janelas do produto .................................................................................................................................21 Process Explorer ...................................................................................................................................23 Caso, origem de dados, perfil e propriedades de bookmark ................................................................27 Lista de Itens .........................................................................................................................................29 Propriedades do Item ...........................................................................................................................31 Gerenciador de Tarefas.........................................................................................................................32 Resultados de busca .............................................................................................................................34 Visualizador SQLite ...............................................................................................................................35 1 Visualizador de Registry........................................................................................................................38 Graphical Timeline ................................................................................................................................39 Grid (Textual) Timeline .........................................................................................................................41 Visualizador de Imagem e Documentos ...............................................................................................45 Visualizador Hex ...................................................................................................................................46 Navegador Web....................................................................................................................................46 Procurando por evidência ......................................................................................................................48 Extraindo evidências ..............................................................................................................................54 Extraindo históricos QQ 2009-2013 .......................................................................................................56 Opção 1 ................................................................................................................................................56 Como testar a opção 1?........................................................................................................................57 Opção 2 ................................................................................................................................................57 Como testar a opção 2?........................................................................................................................58 Opção 3 ................................................................................................................................................58 Procurando por palavra-chave ...............................................................................................................59 Bookmarking ..........................................................................................................................................61 Criando relatórios...................................................................................................................................63 Opções avançadas de relatório ..............................................................................................................65 Exportar para Evidence Reader ..............................................................................................................73 Carving and Live RAM analysis ...............................................................................................................74 O que é Carving ....................................................................................................................................74 Como iniciar o Carving..........................................................................................................................75 BelkaCarving™ ........................................................................................................................................80 Analisando arquivos de hibernação e paginação ...................................................................................82 Analisando dispositivos móveis..............................................................................................................83 Analisando documentos .........................................................................................................................86 Análise "low hanging fruits" de registro .................................................................................................90 Analisando arquivos de sistema .............................................................................................................92 Analisando bancos de dados SQLite.......................................................................................................93 Analisando a freelist do SQLite ............................................................................................................93 Analisando arquivos de transação do SQLite .......................................................................................94 Resolvendo nome MSN ..........................................................................................................................95 Gerenciamento de usuários (Apenas Enterprise) ..................................................................................95 Analisador de tráfego de rede................................................................................................................95 2 Detectando arquivos criptografados ......................................................................................................96 Informações extraídas de navegadores web..........................................................................................98 Browser passwords.................................................................................................................................98 Cálculo do Hash ......................................................................................................................................99 Codificação ...........................................................................................................................................100 Timestamps ..........................................................................................................................................102 Fusos horários ......................................................................................................................................102 Ordenação ............................................................................................................................................104 Análise de Imagens...............................................................................................................................105 Detectando rostos ..............................................................................................................................107 Detectando texto ................................................................................................................................109 Detectando pornografia .....................................................................................................................112 Detectando imagens forjadas .............................................................................................................114 Removendo imagens detectadas incorretamente:..............................................................................117 Armazenando imagens e documentos no banco de dados .................................................................117 Operações com imagens ......................................................................................................................118 Trabalhando com dados de geolocalização .........................................................................................119 Copiando arquivos para uma pasta......................................................................................................124 Copiando arquivos embutidos e anexos para pasta ............................................................................125 Filtros....................................................................................................................................................126 Gerenciando Filtros ..............................................................................................................................128 Editando propriedades do filtro ...........................................................................................................128 Análise de vídeo ...................................................................................................................................130 Janelas de Erro .....................................................................................................................................133 Opções..................................................................................................................................................135 Opções Gerais .....................................................................................................................................135 Opções de imagem .............................................................................................................................136 Opções de Vídeo .................................................................................................................................139 Mudando a pasta CaseData ................................................................................................................140 Montando imagens de disco ou de dispositivos móveis......................................................................141 Verificando atualizações ......................................................................................................................141 Recursos disponíveis ............................................................................................................................142 Limitações do modo Demonstração ....................................................................................................144 Registrando o produto..........................................................................................................................144 3 Hardware ID........................................................................................................................................144 Após a compra ....................................................................................................................................145 Tipos de Licença ...................................................................................................................................147 Por que escolher licença flutuante? ...................................................................................................148 4 Resumo do Belkasoft Evidence Center 2014 Belkasoft Evidence Center é o carro-chefe da suíte de produtos de forense digital da Belkasoft. O produto torna mais fácil para um investigador pesquisar, analisar e compartilhar evidências digitais localizadas em desktops, laptops, imagens forenses, memória volátil, máquinas virtuais e em dispositivos móveis. A suíte permite a pesquisa textual completa entre as centenas de diferentes tipos de evidência e oferece uma linha do tempo totalmente visual, permitindo a investigadores analisar todas as atividades de usuário no sistema que ocorreram em um determinado período de tempo. Belkasoft Evidence Center destina-se a coletar o maior número de tipos de evidências possíveis de maneira forense. Os tipos de evidência suportados incluem documentos office, caixas de correio, aplicativos de dispositivos móveis, histórico de uso, arquivos de sistema e registro, arquivos de imagem e vídeo, bancos de dados SQLite, comunicação em redes sociais, históricos de mensagens instantâneas, sessões de navegação na Internet, webmail, dados de aplicativos P2P, aplicações em nuvem, chats de MMORPG, arquivos criptografados, entre outros… 5 O produto é parte da família de produtos Belkasoft Acquisition & Analysis Suite. Ele pode ser comprado separadamente ou como parte da suíte. Funcionalidade principais do Belkasoft Evidence Center O produto oferece, entre outros, os seguintes recursos forenses de grande importância: Documentos Office, incluindo arquivos Microsoft Office, OpenOffice, PDF e RTF: Texto em claro, metadados e objetos embutidos são extraídos e analisados. Backups de dispositivos móveis, imagens UFED para Android, iPhone, iPad e Blackberry são analisados e chamadas, SMS/iMessages e dados de aplicações são coletados. Todos os principais clientes de e-mail são suportados incluindo Outlook, Outlook Express, Mozilla Thunderbird, Windows Live Mail, The Bat etc. Arquivos de imagem e vídeo são varridos e analisados para dados EXIF, pornografia, rostos, texto "scaneado" e sinais de adulteração/modificação de imagem. Mais de 90 formatos de imagem são suportados incluindo muitos formatos RAW de câmeras. Todos os principais navegadores web são suportados incluindo Internet Explorer, Mozilla Firefox, Chrome, Opera, Safari, etc. Todos os principais clientes de mensagem instantânea são suportados incluindo Skype, MSN, Yahoo Messenger, ICQ, e muitos mais. Mais de 150 tipos de arquivos criptografados podem ser identificados. Arquivos de sistema tais como logs de eventos do Windows, thumbnails, thumb cache, arquivos de registry e jumplists são suportados. Pesquisa textual completa em todos os tipos de evidências coletadas. Suporte nativo a bases de dados SQLite, permitindo recuperação de bases danificadas ou parcialmente sobrescritas. Visualizador SQLite proprietário, logo não há necessidade de uso aplicações de terceiros. Análise de SQLite freelist, WAL e arquivo de jornal extraem evidências parcialmente destruídas e mostram informações como SMS de iPhone e conversas Skype apagadas. Suporte nativo a arquivos de registro do Windows permitindo recuperação de entradas danificadas ou parcialmente sobrescritas. Visualizador de registry proprietário permite visualização automática dentro da própria aplicação. 6 Recuperação(“Carving”) de histórico suportado em espaço alocado, não alocado ou disco inteiro. Capacidade de processar arquivos com formato de codificação YEnc, tanto em espaço alocado como arquivos apagados e também reconhecê-los em anexos de e-mails. Análise de memória volátil (RAM) permite a extração de informações de mídias sociais (Facebook, Twitter,…), Webmails (Gmail, Hotmail,…), dados de aplicações em nuvem (Dropbox, Flickr,…) entre outros. Análise BelkaCarving™ desfragmenta “dumps” de memória RAM para resultados mais assertivos. Versão de linha do tempo baseada em texto ou completamente visual provê habilidade de filtrar e mostrar todas atividades de usuário e eventos de sistema de forma unificada. Relatórios em formato texto, HTML, XML, CSV, PDF, RTF, EML, Excel e Word, com opção de uso de poderosos componentes de edição. Leitor de evidências gratuito permite compartilhar descobertas com colegas de trabalho com ou sem o Belkasoft Evidence Center instalado. Suporta montagem e interpretação de imagens Encase (E01, Ex01, L01 e Lx01), F T K ( AFF, AD1 e AF1), X-Ways, SMART, UFED, Android, DD (RAW) e DMG, incluindo drives de sistemas operacionais (VHD e XVA) virtualizados ou não. Suporta também arquivos de máquinas virtuais ( .vmdk e .vdi ). A empresa Guidance Software aprovou a integração com EnCase v.7 por meio de script gratuito disponibilizado via download. Capacidade de processar casos grandes (Contendo muitas caixas de e-mail de 10Gb). Versões do produto e edições O produto existe nas seguintes versões: Standalone. Versão de usuário único, deve ser instalada num computador ou laptop. Portable. Esta versão também é para um único usuário, mas pode ser rodada de um pendrive. Enterprise. Esta versão é multiusuário, suportando trabalho colaborativo de múltiplos 7 investigadores. Deve ser instalada num servidor e máquinas para cada usuário. As seguintes edições estão disponíveis para versão Standalone: Chat Analyzer Chat & Social Analyzer Professional Ultimate Hardware recomendado Se você planeja trabalhar com casos pequenos, médios ou lidar somente com chats ou navegadores da web e se a quantidade de dados extraídos é relativamente pequena, você pode usar sua estação de trabalho para utilizar o produto. Não existem requisitos especiais de hardware. O software foi testado em computadores normais e ele pode lidar com casos de até 10G de evidência. Se você planeja trabalhar com casos grandes ou está utilizando a versão Enterprise é recomendado seguinte especificação de hardware: Quanto mais RAM melhor (Recomendado pelo menos 4 GB de RAM). CPU rápida (Um processador multi-core ou múltiplos processadores é recomendado). Um drive SSD dedicado é recomendado para o SQL Server (ou um Hard Drive dedicado). Instalando Evidence Center 2014 Para instalar Belkasoft Evidence Center, descompacte o arquivo que você baixou do site da Belkasoft e execute o arquivo executável. O assistente de instalação irá guiá-lo através das etapas de instalação. 8 Certifique-se de que o nome do fornecedor é Belkasoft OOO e responda Sim à pergunta de controle de acesso do usuário: Gerenciamento de Casos A subseção seguinte só se aplica se seu Belkasoft Evidence Center vem com o componente Gerenciamento de Casos. Caso contrário, sua configuração está completa e você pode continuar a usar o produto. Requerimentos Embora o pacote de instalação vá tentar fazer tudo automaticamente, alguns passos podem não ser permitidos em algumas circunstâncias, dependendo de configuração de computador e sistema operacional. Neste caso, você terá que certificar-se de que os seguintes pré-requisitos sejam atendidos: http://belkasoft.com/bec/en/Evidence_Center_Installation.asp Instalando Gerenciamento de Casos Se a sua versão do Belkasoft Evidence Center vem com suporte Case Management, pode-se optar por instalar o SQLite ou banco de dados Microsoft SQL Server. Enquanto o Microsoft SQL Server pode 9 conter mais dados e é geralmente mais poderoso, ele é uma base de dados muito mais complicada para instalar e manter. Depois de aceitar o contrato de licença e selecionar a pasta de instalação adequada, você será solicitado a instalar um banco de dados. Há duas opções disponíveis atualmente: Banco de dados SQLite - Mais simples (recomendado, não é requerido tuning) Banco de dados MS SQL Server - Recomendado para casos grandes e se a versão a ser instalada é Enterprise. Por favor selecione a sua configuração para descobrir como instalar o banco de dados SQL Server: Com conexão a Internet, sem SQL Server instalado Com conexão a Internet, Windows em linguagem diferente do inglês Sem conexão à internet e sem SQL Server instalado SQL Server já instalado Planejamento para casos grandes (maiores que 10Gb) Tendo qualquer problema com a instalação automática do banco de dados SQL Server, verifique o arquivo de instalação colocado na pasta C:\Users\YOUR NAME HERE\AppData\Local\Temp \SqlSetup.log (para a seguinte C:\Users\YOUR NAME\AppData\Local\Temp\SqlSetup_1.log). Se precisar de ajuda para instalar e utilizar o produto, por favor, envie e-mail para [email protected], e teremos o maior prazer em ajudá-lo. Criando um banco de dados SQL Server Nesta página, você será solicitado a selecionar uma instância de banco de dados para trabalhar. 10 Clique em Next. Se você selecionou o MS SQL Server, a seguinte tela será exibida. Selecione uma instância disponível daqueles mostrados na lista e clique em Install. 11 O produto irá criar um banco de dados chamado "Case" na instância selecionada. O produto será configurado para trabalhar com essa instância e esse banco de dados. Instalando Belkasoft Evidence Center Enterprise A instalação da versão Enterprise é similar à versão standalone, com apenas algumas pequenas diferenças. No início da instalação, você será solicitado a escolher se quer instalar o servidor ou a parte do cliente do produto: 12 A parte do cliente não irá instalar um banco de dados local MS SQL Server, mas irá instalar algumas bibliotecas do SQL Server para o produto para se conectar ao servidor. Portanto, se você estiver instalando em um computador sem acesso à Internet, você terá que colocar os mesmos arquivos de instalação da Microsoft para a pasta de instalação, conforme descrito no http://belkasoft.com/bec/en/ Evidence_Center_Installation.asp, exceto para o arquivo de instalação do SQL Server. Na tela de configuração de banco de dados, você será solicitado a selecionar uma instância do SQL Server disponível na sua rede local. Escolha a instância que você instalou durante a instalação do Server (por esta razão, recomendamos a instalação do Servidor de antemão). Se você estiver instalando o cliente primeiro, você terá que escrever manualmente o nome do computador e da instância na caixa de texto como mostrado na imagem a seguir: 13 Você pode instalar o cliente e o servidor na mesma máquina; note, no entanto, que você vai precisar de uma licença separada para este cliente (A licença de servidor não vai funcionar para a instalação do cliente, mesmo se o cliente estiver na mesma máquina). Início rápido Após a instalação, comece a trabalhar com o produto com três passos simples: Crie um novo caso. Procure dados dentro da pasta sample histories em C:\Program Files (x86)\Belkasoft Evidence Center\samples. Veja o que o produto extrai. 14 Software de uso forense Belkasoft está fazendo seu melhor para criar um produto que segue as regras de uma investigação forense. O software nunca tenta escrever em uma mídia que está sendo investigada. É totalmente compatível com dispositivos de bloqueio de gravação e arquivos de imagem. Para se certificar de que os dados sendo investigados não são alterados, “hashes” são calculados para cada perfil adicionado a um caso. Você pode comparar o valor de “hash” do perfil original com o atual a qualquer momento. O software não pede senhas ou outras informações a respeito do usuário dono dos dados. Toda extração e decodificação é realizada sem saber credenciais originais do usuário. O software funciona utilizando a conta do investigador na máquina do investigador e não requer quaisquer aplicações usadas pelo suspeito que está sendo investigado. Por exemplo, ele não é obrigado a ter o Microsoft Outlook instalado para recuperar a história Outlook. O software nunca se conecta à Internet e permanece totalmente operacional offline. Existem apenas algumas exceções documentadas a esta regra, a saber: o Quando o software é iniciado, o Windows verifica automaticamente o seu certificado de código de assinatura e tenta fazer uma chamada OCSP padrão para detectar se o certificado X.509 está revogado. Isto é feito pelo Windows e não pelo software e é causado pelo fato de que o software é assinado com certificado de autoridade conhecida. Se você bloquear essa conexão, não vai haver problemas. o Extração de conversas QQ 2009-2013. o Mostrar fotos no Google Maps. o Verificação de atualizações são realizadas somente por requisição explícita. Os resultados de extração são 100% repetíveis. Você sempre tem a opção de re-extrair dados para garantir que os resultados são absolutamente os mesmos. 15 Rodando o programa Selecione o programa a partir da pasta menu Iniciar onde você escolheu para instalá-lo. Quando solicitada permissão de execução do programa pelo Controle de Acesso do Usuário do Windows, aceitar para continuar. A primeira tela para a versão Standalone do produto será a tela Open Case. A primeira tela para a versão Enterprise será a tela de login. Para acessar o servidor pela primeira vez, use o usuário caseadmin com a mesma senha (“caseadmin”). Na janela gerenciamento de usuários que se abre quando você está conectado a um servidor, você deve criar os usuários que, em seguida, 16 serão capazes de entrar a partir de computadores clientes. Se você não é a pessoa que instalou o servidor, você será registrado como cliente. Se este for o caso, use o login e senha fornecidos pela pessoa que administrou a instalação do servidor. Registrando-se (somente para versão Enterprise) Quando você executa o produto, ele irá pedir suas credenciais a fim de proteger os dados. Você deve possuir um nome de usuário e senha relevantes a fim de acessar os dados de casos. Você poderá ver apenas os casos aos quais seu usuário foi concedido acesso. Digite seu nome de usuário e senha e clique em OK. As credenciais padrão são: usuário – caseadmin, senha – caseadmin. 17 Gerenciamento de Casos Gerenciamento de casos é um módulo opcional, que permite a você: Armazenar de forma confiável, todas as informações em banco de dados (SQLite ou MS SQL Server). Agrupar evidências por casos. Trabalhar com múltiplos casos ao mesmo tempo. Trabalhar com conjutos de dados totais maiores que 2Gb. Apagar casos antigos quando não forem mais necessários. Se você não tem o módulo de Gerenciamento de Casos, todos os dados extraídos durante a sessão atual serão perdidos quando você fechar o produto e não estarão disponíveis na próxima execução do programa. Antes de sair da ferramenta, você tem que gerar um relatório para evitar a extração dos mesmos dados ou selecionar Export to Evidence Reader no menu principal. Com o gerenciador de casos, esse não é mais um problema. É extremamente recomendado ter gerenciamento de casos para os usuários que têm que rever a evidência várias vezes, armazenar provas por períodos longos e para trabalhar em casos com mais de 2 GB de dados. Abrindo um caso Se você tiver módulo de gerenciamento de casos você deve selecionar um caso para trabalhar logo após o produto ser iniciado. Versão Standalone: Na janela Open Case, você verá todos os casos existentes na base de dados. Versão Enterprise: Na janela Open Case, você verá apenas os casos que você tem acesso. Você pode abrir um caso existente ou criar um novo. Se você clicar em Cancel, o produto irá sair. 18 Se você prefere que o produto abra o último caso você trabalhou, você pode selecionar Always Open last case and do not show this dialog na tela Open Case. Para criar um caso, clique no botão New. A seguinte janela será exibida: 19 Nesta janela, você pode atribuir um nome ao caso, digite seu nome no campo Investigator e atribua uma descrição. Importante: Certifique-se de especificar o fuso horário padrão correto para o caso. Alguns aplicativos armazenam data/hora em hora local, enquanto outras aplicações armazenam esses dados em UTC. É vital saber o fuso horário local para alinhar todos os eventos. Você pode fixar essa configuração para uma fonte de dados específica ou perfil. Você também pode modificar caso fuso horário mais tarde. Se você quiser alterar o caso que está trabalhando, clique em Open Case na barra de ferramentas do produto: Você pode também clicar em New Case para criar um novo caso em branco. Gerenciando Casos Se você tiver o módulo de gerenciamento de casos, você pode gerenciar casos utilizando a janela Open Case. Nesta janela, você pode: Criar um novo caso clicando no botão New Renomear um caso selecionado clicando no botão Rename, pressionando F2 ou clicando no item selecionado pela segunda vez. Apagando um ou mais casos. 20 Note que você não pode excluir um caso que você está trabalhando no momento. É possível excluir todos os casos, no momento em que o produto é iniciado e antes de abrir qualquer caso. Enterprise: Você não pode excluir um caso se um usuário diferente está trabalhando com ele (Ex.: Se uma extração de dados é realizada dentro desse caso). O botão Delete será desabilitado para casos que não podem ser excluídos naquele momento. Janelas do produto Quando você abre um caso a janela principal é mostrada. A janela principal consiste de várias partes. Todas as janelas filho da janela principal são altamente personalizáveis. Você pode movê-las, mostralas ou escondê-las, encaixá-las em qualquer parte da tela, organizar em qualquer ordem, agrupar com outras janelas ou torná-las auto ocultas ou flutuantes. Belkasoft Evidence Center suporta várias configurações de exibição. Se você tem um computador com vários monitores é possível criar uma ou mais janelas do produto em outros monitores, tornando assim mais fácil para trabalhar com grandes quantidades de dados. 21 Dicas de Encaixe: Você pode encaixar uma janela em qualquer lugar dentro da interface do produto. 22 Janelas Flutuantes: Você pode fazer qualquer parte da interface do usuário flutuante; particularmente, é possível colocar a lista de itens para outro monitor. Process Explorer O Process Explorer exibe o conteúdo do caso. Ele organiza informações sobre o caso em forma de uma árvore. O nó de nível superior representa o caso em si. Sob o nó caso, há subnós para fontes de dados. Uma fonte de dados corresponde a uma única unidade, imagem de unidade, “dump” de memória, telefone ou outro “dump” de dispositivo móvel, arquivo de máquina virtual, ou uma pasta. Cada fonte de dados contém tipos de evidência subnós, por exemplo, todas as informações relacionadas com o Instant Messenger serão agrupadas, por exemplo, no subnó chamado Instant 23 Messengers. Os tipos de evidência atualmente suportados são: Navegadores Dados Recuperados (“Carved data”) Arquivos criptografados Mensageiros instantâneos (“Instant messengers”) Caixas de email Backups de dispositivos móveis Tráfego de rede Documentos Office Imagens Arquivos de registro do Windows Bancos de dados SQLite Arquivos de sistema Vídeos Um subnó especial é chamado Bookmarks (Marcadores) e contém todos os itens que você achar interessante. Outro subnó especial é Timeline (Linha do tempo), contendo todos os eventos dentro de seu caso. 24 Sob nós tipo evidência há nós de perfil. Um "perfil" é uma peça de informação específica para um determinado usuário e um determinado programa. Por exemplo, um perfil do Outlook é um arquivo .pst que contém uma das caixas de correio do usuário. Um perfil Skype é uma pasta com alguns arquivos Skype dentro e assim por diante. Existem filtros disponíveis para exibir fotos, vídeos, documentos, aplicações para backups móveis entre outros. Nós do tipo perfil podem conter subnós filho que são específicos para um determinado tipo de histórico. Por exemplo, perfis de mensagens instantâneas contêm contatos (“amigos" do dono desse perfil); perfis de e-mail contêm pastas de e-mail pertencentes à caixa de correio do perfil; perfis com fotos, vídeos e documentos contêm filtros, e assim por diante. 25 Você pode executar todas as operações com o caso, selecionando um nó e selecionando itens do menu principal, menu de contexto ou a barra de ferramentas. Algumas das operações disponíveis são: Extrair dados Criar relatórios Buscar perfis Carve device Pesquisa por palavra-chave Apagar perfil As seguintes operações são específicas para perfis de e-mail: Copy attachments to folder (cópia todos os anexos de todos os e-mails para uma única pasta, tomando cuidado com arquivos de mesmo nome, renomeando-os para que eles não serão substituídos) As seguintes operações são específicas para perfis de documentos: Copy files to folder. Copia todos os documentos encontrados dentro de uma fonte de dados para uma única pasta, facilitando a revisão com uma ferramenta de terceiros. Copy embedded files to folder. Copia todos os arquivos embutidos encontrados em todos os documentos, tais como imagens, facilitando a revisão por uma ferramenta de terceiros. Filters. Ajuda a filtrar documentos encontrados utilizando vários critérios, como por exemplo metadados. As seguintes operações são específicas para perfis de Imagens e Vídeos: Analyze pictures (Análisa imagens ou quadros-chave de vídeo para pornografia, rostos e falsificação) Copy files to folders (copia todas as imagens encontradas em uma única pasta, facilitando ainda mais a revisão com uma ferramenta de terceiros; não disponível para vídeos) Filters (ajuda a filtrar imagens encontradas imagens ou vídeos por meio de vários critérios, como por exemplo, os metadados EXIF) 26 As seguintes operações são específicas para arquivos criptografados: Decrypt (Decifra todos os arquivos encontrados criptografados, disponível somente se você tiver Passware Kit Forensic instalado). As seguintes operações são específicas para backups de dispositivos móveis: Unpack backup (Descompacta todos os arquivos a partir de um backup em uma pasta; disponível apenas para iPhone / iPad) As seguintes operações são específicas para perfis de Instant Messenger e tráfego de rede: Select encoding for a profile (Escolhe outra codificação para bate-papos; exceto messenger - padrão) Hide/Unhide contacts without history Sort contacts by various criteria Copy contact UIN or SN Caso, origem de dados, perfil e propriedades de bookmark A janela Properties mostra as propriedades de um item, selecionados no Process Explorer. Esta janela é exibida para um caso, fonte de dados, perfis e bookmarks. Para um caso e um bookmark, você pode editar o name e description. Para um perfil, você pode editar o name e comments. Para um caso, um perfil e uma fonte de dados você pode editar timezone. Isso é útil quando você tem várias fontes de dados de diferentes fusos-horários, por exemplo, um disco rígido de um suspeito dos EUA e um telefone de outro suspeito da Europa. Depois que você alterou qualquer um destes campos, as alterações serão salvas automaticamente quando você selecionar qualquer outro campo ou nó no Case Explorer. 27 As fontes de dados têm propriedades adicionais. Se uma fonte de dados é o disco rígido, unidade lógica ou imagem de unidade, as partições e sistemas de arquivos são mostrados na página de propriedades: 28 Lista de Itens A janela Item List exibe a lista de itens pertencentes a um nó selecionado no Case Explorer. Listas de itens são mostrados para todos os dados do navegador como sites, cookies, senhas, pastas de caixas de correio, perfis com fotos e vídeo, Instant Messenger, bookmarks, etc. Os nós podem ser nomeados de forma diferente para diferentes fontes. Por exemplo, para mensageiros instantâneos o nó é chamado de " Lista de mensagens”, nó imagem é chamada de "Lista de imagens" e assim por diante. Ao selecionar um item na lista de itens, você pode inspecionar as propriedades do item na janela propriedades do item. Você também pode copiar um item de texto ou marcá-lo, criar relatório para todos ou selecionados e fazer algumas outras ações específicas para um tipo particular evidência (por exemplo, mostrar imagens selecionadas tendo as coordenadas do GPS no Google Maps). Item List oferece suporte a classificação em ordem crescente e decrescente. Ele se lembra do último modo de ordenação aplicada. A lista permite que você altere as larguras das colunas e se lembre de suas últimas preferências. Mensagens de chat, ordenadas por ordem alfabética de texto Ao selecionar imagem, vídeo ou perfil do documento, lista de itens mostra previews de itens de perfil, em vez de uma exibição de tabela: 29 Você pode classificar os itens, selecionando o critério dentro da caixa Sort by 30 É possível alterar o tamanho da miniatura usando o controle deslizante a direita de Sort by. Você pode selecionar vários itens dentro de ambos os tipos de listas usando as teclas Shift ou Control juntamente com teclas de cursor. Para selecionar todos os itens, pressione Ctrl-A. Propriedades do Item A janela Item Properties permite que você inspecione propriedades do item selecionado no caso de haver apenas um item selecionado. A aba Item text exibe o texto do item atual. Se você desejar, copie este texto, selecione qualquer parte do texto com o mouse e pressione Ctrl-C. Para selecionar todo o texto, aperte Ctrl-A. A aba Properties mostra todos os detalhes sobre o item. Você pode copiar os valores usando o menu do próprio item. 31 Gerenciador de Tarefas O Task Manager exibe o status das tarefas executadas pelo investigador como procurar perfis, extrair ou exportar históricos, buscas no histórico, exclusão de um perfil, e assim por diante. 32 Task Manager permite parar tarefas selecionadas clicando o botão Cancel task. Você pode parar todas as tarefas em execução clicando no botão Cancel all. Você pode ver o log de tarefas concluídas clicando em View task log ou um duplo-clique em qualquer tarefa dentro da lista de tarefas. Você pode cancelar múltiplas tarefas e arquivos de log aberto para várias tarefas usando a seleção múltipla (use a tecla Shift ou Ctrl enquanto seleciona itens com o mouse ou teclado). Depois de cancelar uma tarefa aguarde alguns segundos até que ela termine. Existem as seguintes abas no Task Manager: Running. Aqui você pode ver todas as tarefas executadas pelo programa. Scheduled. Esta página contém todas as tarefas que estão esperando para serem executadas. O programa executa apenas uma quantidade limitada de tarefas de cada vez, tentando tirar o máximo proveito da atual configuração de hardware (por exemplo, quantidade de CPUs e Hyper-Threading). Isto é feito para acelerar o processamento. Enquanto as CPUs estão ocupados com tarefas em execução, todas as outras tarefas estão esperando na fila. Completed. Todas as tarefas concluídas são exibidas nesta página. Você pode filtrar essas tarefas por seu estado marcando as checkboxes Success, Errors, Failed or Canceled. Task Manager exibe os seguintes campos para uma tarefa: Nome da tarefa (Coluna Task) Progresso da tarefa (% completed) Status atual da tarefa (Status) 33 Horário de início da tarefa (Time) Tempo gasto desde o início da tarefa (Elapsed) Você pode ajustar as larguras das colunas nesta janela. Suas preferências serão armazenadas. Resultados de busca A janela Search Results mostra todos os itens encontrados durante a última operação de busca. Esta é uma lista simples de todos os itens que correspondem aos critérios de pesquisa. Ela mostra: Ícone para um tipo de perfil de item (por exemplo, ícone do Skype) Texto do Item (Coluna Text) Nome do campo e em qual termo de busca foi encontrado (Coluna Field name) Nome do Perfil Source (fonte de dados que contém o perfil onde um termo de busca foi encontrado) Usando janela Search Results, você pode criar relatórios ou marcar itens selecionados. Para fazer isso, selecione os itens de interesse utilizando o mouse e as teclas Ctrl ou Shift, clicando no item de menu correspondente. 34 Você pode ajustar as larguras das colunas nesta janela. Suas preferências serão salvas. Você pode ainda classificar os resultados de pesquisa das colunas Field name, Profile name ou Source de forma crescente ou decrescente clicando no cabeçalho da coluna. Visualizador SQLite A janela SQLite Viewer permite rever as bases de dados SQLite. Para inspecionar uma base de dados, você pode fazer um dos seguintes procedimentos: No Case Explorer selecionar um perfil que armazena os dados em um banco de dados SQLite. Por exemplo, quando você seleciona um perfil Skype, SQLite Viewer será automaticamente preenchido com os dados do banco de dados SQLite correspondente para o perfil selecionado Skype (main.db) 35 Perfil do Skype é selecionado no Case Explorer. Visualizador SQLite mostra a base de dados do Skype Se você fez Recuperação de dados e encontrou bancos de dados SQLite, eles serão exibidos em uma lista de bancos de dados SQLite no nó de dados abaixo do nó Carved Data. Para inspecionar qualquer um dos bancos de dados SQLite recuperados, selecione nó bancos de dados SQLite no Case Explorer e na Lista de dados mostrada selecionar o item de interesse. Você pode abrir um banco de dados SQLite arbitrária, clicando no botão Open Na janela SQLite Viewer e especificar um caminho para o banco de dados. A textbox Current database mostra um caminho para a base de dados SQLite exibida no momento. O Botão Open permite a abertura de um banco de dados arbitrários. A dropdown box de nomes de tabelas permite ver todas as tabelas do banco de dados e selecionando uma tabela para avaliar. Na parte inferior do SQLite Viewer você pode ver um número de registros encontrados no interior da tabela selecionada. Uma das principais características do visualizador Belkasoft SQLite vs. visualizadores não-forense de terceiros é a sua capacidade de mostrar áreas SQLite especiais, por exemplo, freelists, arquivos WAL e jornal. FREELIST contém dados apagados por um usuário e é, naturalmente, extremamente importante em uma investigação forense. Os dados de freelists são destacadas pelo fundo vermelho: 36 Banco de dados SQLite usam o mecanismo de controle por transação e parte dos dados é armazenado em um RollbackJournal especial (antes SQLite v.3.7) ou arquivos WAL (write-ahead log) (após SQLite v.3.7). Antes que os dados vão para o arquivo de banco de dados principal, eles são armazenados temporariamente dentro WAL, o que significa que este arquivo pode armazenar a versão mais real de dados. Assim, é muito importante ser capaz de rever conteúdo do WAL. O SQLite Viewer localiza automaticamente ambos os tipos de arquivos de diário e combina dados de arquivo de banco de dados SQLite principal com os dados destes arquivos de diário. Esses dados estão em destaque em azul: 37 Visualizador de Registry A janela Registry Viewer permite que você reveja o conteúdo do arquivo de registro do Windows. Este visualizador se parece ferramenta regedit padrão da Microsoft, mas tem um grande benefício, extremamente importante em um curso da investigação forense. Belkasoft Registry Viewer pode mostrar registros até mesmo danificadas ou sobrescritos. Ao trabalhar com os registros recuperados você vai encontrar quase todos eles já corrompidos. Esses arquivos não serão mostrados por regedit, mas será perfeitamente mostrado por Belkasoft Registry Viewer: 38 Graphical Timeline A Graphical Timeline (Linha do Tempo gráfica) mostra todos os eventos aconteceram dentro de uma fonte de dados que estão sendo investigados. Em uma única representação gráfica do produto combina todos os eventos do navegador, chats, tempos de arquivo como criação / alteração / tempos de acesso, os eventos do sistema (por exemplo, a atribuição de endereço IP), e-mail e EXIF vezes e assim por diante. Todos os eventos são agrupados pelos seguintes tipos: Browser events. Chat events. File events. Mail events. System events. Unknown event, for all other event types. 39 A linha do tempo gráfica se parece com o seguinte: Na foto acima, o zoom é de 1 mês para cada barra, assim representa uma série de eventos de um determinado tipo que ocorreram dentro de 1 mês. Você pode ampliar ou reduzir usando os botões "+" e "-”. Botões "<<" e ">>" mostram primeiros ou últimos eventos no caso. Botões "< " e "> " expandem a linha do tempo para esquerda ou para direita. Você também pode alterar zoom atual, usando a roda do mouse ou clicar com o botão esquerdo do mouse e arrastar o mouse para selecionar período de tempo para ser ampliada: 40 Por fim, o botão " <>" sincroniza seleção atual para a rede (textual) timeline. Quando você clica neste botão, a linha do tempo será filtrada pelo período selecionado de tempo na linha do tempo gráfica, refletindo assim, apenas os eventos ocorridos nesse período. Ao sincronizar linhas-do-tempo você pode restringir a pesquisa quando está procurando por algumas coisas incomuns, como por exemplo picos de comunicações de chat ou conexões Wi-Fi. A linha do tempo em grade é sincronizada com a linha do tempo gráfica automaticamente, assim você pode aumentar ou diminuir quantidade de dados dentro da linha do tempo gráfica, filtrando eventos na linha do tempo em grade. Grid (Textual) Timeline A Linha do tempo em grade (ou linha do tempo textual ou apenas linha do tempo) melhora muito a usabilidade do Evidence Center, exibindo todas as atividades do usuário e eventos do sistema em uma única visão agregada. Ao usar a linha do tempo, os investigadores podem olhar rapidamente para as atividades do usuário ao longo de um determinado período de tempo ou examinar um 41 determinado período de tempo com facilidade. O janela da linha do tempo combina todos os eventos aconteceram dentro de um caso que estão sendo investigados em uma exibição de grade. Nota: um único item de dados pode ter um monte de atividades ligadas na linha do tempo. Por exemplo, um documento do Word pode ter pelo menos 3 itens de linha do tempo: de arquivo criado, arquivo modificado, arquivo acessado pela última vez. Assim, no total, existem mais itens na linha do tempo do que os itens no próprio caso. Cada evento no sistema vai refletir em uma linha separada na linha do tempo, incluindo o carimbo de data e hora, tipo de evento, fonte de dados, tipo de evento e descrição. Cada evento tem tanto a UTC quanto a hora local. Um desses momentos é calculado tendo em conta o fuso horário especificado ao criar um caso (ou, se substituído, usando fuso horário de uma fonte de dados ou um perfil). Por exemplo, se um cliente armazena os dados de envio de e-mail em UTC, o tempo local, exibido dentro do grid será calculado usando o tempo armazenado e fuso horário local compensados. A linha do tempo baseia-se na zona de tempo especificada para o caso, suas fontes de dados e perfis. Se um aplicativo armazena o seu carimbo de data / hora em hora local, o horário UTC é calculado utilizando o fuso horário especificado. Se foi utilizado tempo UTC para alguns dados, a coluna hora local é habitada por tempo calculado, que é baseado em um fuso horário. A linha do tempo da rede é semelhante ao seguinte: 42 A primeira coluna exibe um ícone de um tipo de item (por exemplo, chat, fotos, URL, etc.). Segunda e terceira colunas exibem a hora local e UTC. Quarta coluna mostra uma fonte de dados, em que este ou aquele evento vieram (por exemplo, um disco rígido ou dispositivo móvel). Quinta coluna exibe evento, por exemplo, o tempo de modificação do arquivo, tempo de expiração do cookie, a última vez de login ou tempo em que uma mensagem de chat é enviada ou recebida. Finalmente, a sexta coluna exibe um texto que descreve um item, por exemplo, mensagens de bate-papo, o caminho do arquivo ou corpo do e-mail. Ao clicar em qualquer uma das colunas você pode classificar a grade por uma ou outra coluna. Clicando duas vezes irá alterar a ordem (Ascendente para descendente e vice- versa). Um caso típico terá muitos itens para serem revisados dentro do cronograma. É por isso que o Evidence Center permite filtrar itens por qualquer coluna. Para fazer isso, clique no ícone de filtro (funil) no cabeçalho da coluna e modifique o valor do filtro na janela mostrada: 43 Você pode filtrar por UTC ou hora local, por tipo de evento, fonte de dados e texto. Filtrando por Tempo permite que você esconda datas vazias, tais como 1753, 0000, 1900 e outras datas "vazias" conhecidas. Você pode combinar esses filtros para estreitar a sua pesquisa. Para ver todos os eventos sem filtro aplicado de novo, clique no botão Clear filter dentro da janela Create timeline filter. Quando a linha do tempo é filtrada por essa ou aquela coluna, o ícone de filtro da coluna correspondente se torna verde como na imagem acima. A barra de status do produto mostra uma mensagem como "516 item(s) found; Applied filter: Time (UTC) from 01.01.2000 to 31.12.2039, Some event types are not shown" (516 itens encontrados; Filtro aplicado: Horário (UTC) de 01.01.2000 a 31.12.2039, Alguns tipos de evento não são mostrados). A grade da linha do tempo é sincronizada com a linha do tempo gráfica automaticamente. Quando você aplica um novo filtro (ou limpa filtros) você pode mudar para a janela Graphical Timeline e ver como seus filtros afeta os totais lá. 44 Visualizador de Imagem e Documentos A janela Picture Viewer (Visualizador de Imagens) pode mostrar uma amostra da imagem, quadro chave do vídeo ou documento selecionado na Item List. Para ver a imagem em tamanho real da imagem, documento ou quadro chave, dê um duplo clique no item de interesse. A janela a seguir será aberta: À direita você pode revisar os metadados do documento ou imagem selecionada, como por exemplo, as propriedades EXIF ou propriedades do documento. Se você selecionou um documento com múltiplas páginas, você pode navegar por todas as páginas do documento usando as teclas de PgDown/PgUp ou usando os botões do mouse: 45 Documento PDF com múltiplas páginas Visualizador Hex A janela do visualizador Hex (Hex Viewer) permite que você inspecione os dados binários. Atualmente só funciona com dados recuperados. Para revisar os dados binários recuperados, selecione qualquer item recuperado na janela Data List e a informação será mostrada na janela Hex Viewer: Navegador Web Se alguma imagem possuir propriedades GPS (como aquelas tiradas de um iPhone), a janela Web Browser (Navegador Web) vai mostrar as imagens em um mapa do Google Maps. Para isso, selecione as imagens de interesse na Picture List e selecione o item do menu de contexto Show pictures on Google Maps: 46 Em alguns segundos, o produto vai mostrar os locais onde as imagens foram tiradas no Google Maps dentro da janela Web Browser: Se você mover o mouse sobre o pino (o pino vermelho marcado com “A”), o produto vai mostrar informação sobre a imagem que foi tirada naquele local. Nota importante: Para que essa função funcione adequadamente, o recurso necessita de uma conexão 47 ativa à internet. Sem conexão à internet, o recurso não vai funcionar. Para proteger seus dados, você pode configurar seu firewall para permitir que o produto acesse apenas http://maps.google.com. Se você possuir uma conexão ativa com a internet, você pode até explorar o Google Street View para ver os locais em que a foto foi tirada: Outra nota: Se você não possui conexão à internet, você pode usar uma máquina conectada para baixar o produto Google Earth. Essa ferramenta não requer conexão à internet, portanto você pode instalá-lo na máquina de investigação e usar o item do menu de contexto Show selected items on Google Earth. Por fim, você pode gravar todos os locais de interesse selecionando o comando no menu de contexto Export selected items to Google Earth format. Assim você pode revisar o arquivo resultante (kml) de qualquer máquina com o Google Earth instalado. Nenhum dado do suspeito é colocado no arquivo kml, apenas as coordenadas. Procurando por evidência O produto permite que você procure informações em vários locais: Discos físicos e lógicos Imagens de disco Imagens de celulares/smartphones e outros dispositivos móveis Dumps de memória 48 Arquivos de sistema como arquivos de hibernação ou paginação Bancos de dados SQLite $MFT and $Log Pastas selecionadas do disco Outras áreas importantes para investigação forense Para iniciar uma busca, você pode fazer um dos seguintes procedimentos: Pressionar Ctrl-Shift-F Clicar em Search Profiles na barra de ferramentas Selecionar Search Profiles do menu Edit Selecionar o item Search Profiles... do menu de contexto do Case Explorer Após isso, a janela Search profiles vai aparecer. A primeira tela permite que você selecione a fonte dos dados: 49 As seguintes opções estão disponíveis: Selected folder. (Pasta selecionada) Use essa opção se você sabe com certeza que a evidência está localizada em certa pasta. Essa opção é rápida e é perfeita quando trabalhar com prazo apertado. Se esse for o caso, você pode inspecionar rapidamente uma única pasta contendo informações de conta do usuário, que normalmente contém a maioria dos dados. Logical drive and Physical drive (disco lógico e disco físico). Essa opção vai realizar uma busca em todo o disco rígido conectado ao seu computador (incluindo discos rígidos externos e dispositivos de rede). Drive image file (Arquivo de imagem de disco). Essa opção trabalha com imagens de disco forense criadas por outras ferramentas forenses. Os seguintes formatos são suportados: o Imagens Atola (.img) o Imagens EnCase (E01, Ex01, L01, Lx01) o Imagens FTK (AFF, AFM, AFD, AD1 e AF1) o Recipients X-Ways o Imagens SMART (S01) o Imagens DD 50 o Imagens DMG No momento, arquivos de Sistema do Windows, Mac OS X, Android e *nix são suportados dentro dos arquivos de imagem. Veja “Montando imagens” para mais informações. Mobile device image (imagem de dispositivo móvel). Você pode adicionar dumps físicos UFED da Cellebrite contendo informação de dispositivos Android. O produto também suporta a análise de dumps de dispositivos móveis “chip-off”. Virtual machine file (Arquivos de máquina virtual). O produto suporta a investigação de arquivos Virtual PC e VMWare (.vmdk, .vdi, .vhd, .xva). Live RAM image file (arquivo de imagem Live RAM). Use essa opção para investigar a imagem capturada do conjunto de memória volátil do computador (dump de RAM ou dump de memória), arquivo de hibernação ou arquivo de paginação. A opção Add all found profiles (adicione todos os perfis encontrados) especifica se é para começar a extração de dados imediatamente para todos os perfis identificados ou se é para rodar uma extração manual futuramente. Você também pode optar por calcular os valores hash dos perfis identificados. Essa operação toma tempo, portanto desmarque essa opção se você está usando outro software ou hardware para lidar com hashes. Quando você clica Next, você será solicitado a selecionar por que tipo de evidências procurar: 51 Você pode selecionar tudo apertando o botão Select all ou especificar tipos específicos de histórico; por exemplo, você pode procurar por registros ou caixas de e-mail do Outlook. Quando você clicar Next, outra janela aparecerá perguntando de quais perfis tentar recuperar arquivos apagados (por favor, veja a seção “carving” para mais detalhes). Essa seleção não será usada se você estiver analisando uma pasta (a menos que seja encontrado um arquivo de hibernação, paginação ou máquina virtual seja encontrada) já que não é possível tentar recuperar uma pasta. 52 Selecione os tipos de evidência para tentar recuperar e clique em Finish. A busca irá se iniciar. Ajustando o produto para arquivos de sistema HFS/HFS+ e ext* Se você está rotineiramente investigando máquinas com sistema de arquivo Mac OS X ou *nix, por favor, entre em contato com o suporte da Belkasoft para instruções adicionais sobre como melhorar o desempenho da busca. 53 Extraindo evidências O produto permite que você extraia vários tipos de evidência da fonte de dados, como por exemplo imagem de disco ou dump de dispositivo móvel, sem nenhum pré-requisito (com a única exceção do mensageiro QQ 2009-2013). Você não tem que: Saber a senha do dono do perfil para aplicativos que pedem por senha Estar logado como o dono do perfil Ter um programa em particular instalado para esse ou aquele formato de dados (por exemplo, você não tem que ter o Microsoft Office ou o Outlook para extrair arquivos do office ou e-mails) Ter direitos de escrita no disco contendo o perfil (o produto funciona perfeitamente com dispositivos bloqueados para escrita) Há várias opções para extração dos dados: Extraia automaticamente evidência selecionando Start extraction for found profiles quando estiver procurando por perfis. Selecione qualquer perfil e clique em Extract data na barra de ferramentas, ou selecione o item Extract data do menu de contexto de um perfil tanto no Case Explorer quanto na opção Edit do menu principal. Selecione Extract data for all profiles do menu de contexto do caso, da fonte de dados ou nó do tipo de evidência no Case Explorer. 54 Por fim, você pode extrair novamente dados de perfis que já foram processados (por exemplo, se a primeira tentativa de extração falhou). Quando você iniciar a extração, o Task Manager vai mostrar uma tarefa de extração para cada perfil. Quando a extração terminar, o Task Manager indicará o status da extração e permitirá que você examine o log de extração. O ícone de status à esquerda do perfil no Case Explorer mostra a atual situação da extração: Círculo cinza: a extração de dados nunca foi rodada para esse perfil. Círculo verde: os dados foram extraídos sem nenhum erro. Círculo vermelho: um erro fatal impediu a extração de dados (nenhum dado extraído). Círculo amarelo: apesar de ter havido alguns erros durantes a extração de dados, alguns históricos do perfil foram extraídos e estão disponíveis para revisão. As principais causas para a não extração de dados são: Algum processo travou o arquivo de dados. Isso ocorre frequentemente quando você testa o produto num sistema ativo, por exemplo, num perfil aberto do Firefox, caixa de e-mail do Outlook ou histórico do Skype. Se for o caso, feche os aplicativos e tente de novo. O arquivo está corrompido. O arquivo foi incorretamente identificado como sendo o perfil de um tipo particular, portanto uma tentativa de analisar esse arquivo usando o formato específico não pode ter sucesso. Configuração com o Case Management: Quando dados são extraídos com sucesso, são automaticamente armazenados no bando de dados. É seguro fechar o produto nesse ponto. Configuração sem o Case Management: Quando dados são extraídos com sucesso e você está prestes a sair do produto, você será solicitado a exportar os dados para o Evidence Reader (se você ainda não tiver feito isso). Caso contrário, a informação sobre evidência extraída será perdida. Você extrair novamente os dados para perfis que já foram processados. Isso é útil se um perfil for mudado (normalmente num sistema ativo ou em perfil teste já que o perfil de um suspeito nunca será modificado). 55 Extraindo históricos QQ 2009-2013 Históricos do QQ Messenger são únicos. O que separa o histórico do QQ de outros tipos de histórico é que a extração das versões 2009-2013 requer informação adicional. As últimas versões do QQ Messenger são muito secretos. Ao contrário de muitos outros mensageiros, QQ 2009-2013 torna impossível a extração do histórico se tudo o que você tem é o arquivo de histórico. A lista a seguir mostra que partes você precisa ter para extrair o histórico do QQ 2009-2013 com sucesso: O disco rígido do suspeito onde o QQ foi inicialmente instalado e onde o Windows foi incialmente instalado e acesso à internet; ou O resultado da ferramenta da Belkasoft QqDiagnostics, rodado no PC do suspeito enquanto ela estava conectada à internet (essa ferramenta deve ser solicitada à Belkasoft); ou A senha original do perfil QQ e acesso à internet. É impossível extrair o histórico do QQ a menos que um desses pré-requisitos seja alcançado. Particularmente, você não pode extrair o histórico sem uma conexão ativa à internet, que é necessária no PC do investigador nas opções 1 e 3 e no PC do suspeito na opção 2. Extração da conversa é possível se o usuário gravou a senha dele (marcou a opção “lembre minha senha”) antes de você analisar o computador em questão ou se você sabe a senha do usuário. Por favor, note que os dados da senha armazenada expiram algum tempo depois do último login, mesmo com a opção “lembre minha senha” marcada, portanto você não vai conseguir recuperar o histórico se o último login foi feito há muito tempo. Opção 1 Você precisará indicar o seguinte no programa: A letra do disco em que o Windows foi instalado no computador do usuário. Por exemplo, se você conectou o disco do usuário ao seu computador e agora você tem o os discos M, N e O para os discos lógicos desse usuário, você provavelmente deve selecionar M se M:\Windows existir lá. A letra do disco onde o QQ foi instalado. Normalmente, é a mesma letra do disco onde o Windows foi instalado, mas alguns usuários podem instalar o QQ Messenger em outro disco. O arquivo Registry.db precisa existir perto do Msg2.0.db O caminho para o registro do usuário. Esse arquivo é normalmente armazenado no seguinte caminho: C:\Windows\System32\config\PROGRAMA. Lembre-se: é o registro do usuário, não o seu, portanto use a letra do disco dele, no exemplo acima, M:\Windows\System32\config\PROGRAMA. 56 Quando você tiver fornecido todas essas informações o produto vai tentar conectar à internet. Isso é necessário a fim de conectar ao servidor QQ. Você terá que permitir essa conexão no seu firewall ou na ferramenta de antivírus. A fim de proteger seu computador, você pode restringir o acesso de endereços de IP a apenas os endereços dos servidores do QQ. A lista desses IPs pode ser obtida com a Belkasoft. Como testar a opção 1? Para testar a opção 1, você tem que criar o seu próprio histórico de chat como uma amostra de histórico de outro computador (o teste não vai funcionar no seu próprio PC). Faça o seguinte: Instale o QQ mais recente, converse um pouco. Feche o QQ Messenger (do contrário vai trancar o histórico). Copie seu registro de Software usando HoboCopy, por exemplo, hobocopy c:\windows\system32\config c:\Temp\Test software onde c:\Temp\Test é uma pasta existente. Rode nossa ferramenta, localize o histórico e preencha os campos descritos acima, usando a cópia do original, já que o Windows tranca o arquivo original. Opção 2 Você vai ter que entrar o caminho para o resultado da ferramenta QqDiagnostics enquanto ele roda na máquina fonte: 57 Como testar a opção 2? Instale a versão mais recente do QQ em qualquer máquina e converse um pouco. Feche o QQ Messenger e copie o Msg2.0.db para a sua máquina principal. Na máquina fonte, tenha certeza que há conexão com a internet e rode a ferramenta QqDiagnostics. Copie o resultado, de nome qq.dat, para sua máquina principal. Na sua máquina principal, rode o Belkasoft Evidence Center, localize o arquivo msg2.2.db e entre o caminho para o qq.dat quando solicitado. Opção 3 Para a opção 3, tudo que você precisa é do arquivo Msg.2.0 do utuário, a senha do usuário e conexão à internet: 58 Quando você tiver fornecido todas as informações o produto vai tentar conectar à internet. Isso é necessário para conectar ao servidor QQ. Se tudo estiver configurado corretamente, o produto será capaz de decifrar o histórico. Procurando por palavra-chave O produto permite que você realize vários tipos de busca nas informações do caso. Para começar uma busca você pode tanto apertar Ctrl+F, clicar no botão Search na barra de ferramentas, escolher o item Search... na opção Edit do menu principal ou no menu de contexto do Case Explorer. Assim que você fizer isso, a janela Search data vai aparecer: 59 As seguintes opções de busca estão disponíveis: Procurando por uma palavra ou frase (word or phrase) Escolha essa opção se você quer encontrar todos os dados contendo certa palavra ou frase. A busca despreza espaços e procura por substrings, o que significa que se você buscar pela palavra “the” a palavra “there” também será encontrada. A busca não discerne maiúsculas e minúsculas. Procurando por palavras de um arquivo (words from file) Escolha essa opção quando você tem um arquivo de referência com uma lista de todas as palavras de interesse. Ter um arquivo de referência economiza muito tempo com milhares de palavras suspeitas. Usar o arquivo de referência permite realizar uma única busca ao invés de milhares de buscas por palavras suspeitas. Procurando por uma expressão regular (regular expression) Expressões regulares são uma forma poderosa de realizar buscas complicadas. Escolha essa opção se você não sabe exatamente o que está procurando, por exemplo, enquanto procura por e-mails ou cartões de crédito você não sabe o endereço ou o número do cartão. Você pode usar expressões regulares para realizar a tarefa: entre "\d{4}-\d{4}-\d{4}-\d{4}" para achar qualquer número de cartão, se houver. Busca pré-definida (predefined search). Se você não está familiarizado com expressões regulares, o produto oferece algumas buscas pré-definidas, tais como e-mails, CPFs, nomes humanos (para USA, Espanha, Alemanha, Rússia e China), palavras sexuais e assim por diante. Algumas dessas 60 buscas são customizáveis. Você pode encontra-las na pasta do programa e editá-las como quiser. Você pode realizar a busca em todos os dados do caso, especificar uma única ou múltiplas fontes na janela do Task Manager e os resultados serão mostrados na janela Search Results. Bookmarking O produto permite que você marque pedaços interessantes de informação com bookmarks. Um bookmark é uma entidade com nome e descrição, e é mostrado no nó Bookmarks do Case Explorer. Um bookmark pode se referir a qualquer número de evidência como documentos, e-mails, dados de aplicativos de dispositivos móveis, arquivos encriptados, URLs, e assim por diante. Um item de evidência pode pertencer a mais de um bookmark. Um bookmark chamado “Chat and mail evidence” contém itens de e-mail e mensageiro instantâneo O item no bookmark é marcado com cor azul clara, para que você não o perca na lista de itens: Para adicionar um único item ou múltiplos itens a um bookmark, selecione um ou mais itens, clique com o botão direito do mouse neles e selecione o item de menu Bookmark selected items. Você terá a opção de criar um novo bookmark ou adicionar itens a um já existente. 61 Você pode também arrastar e soltar os itens selecionador para um o nó Bookmarks do Case Explorer (para criar um novo bookmark) ou qualquer bookmark já existente (para adicionar o item ao bookmark). Arraste e solte os itens selecionados para um bookmark existente para adicionar O menu de contexto para um item do bookmark contém a opção Go to bookmark que vai selecionar o bookmark correspondente no Case Explorer: O menu de contexto para um item do bookmark contém a opção Go to original item que vai selecionar o item no perfil original. 62 Você pode realizar buscar nos bookmarks, criar relatórios baseados nos conteúdos dos bookmarks e adicionar item aos bookmarks desde a janela Search results. Criando relatórios O produto permite que você crie relatórios de quase todas as partes da interface do usuário. Relatórios estão disponíveis em vários formatos como HTML e PDF. Para gerar um relatório, selecione um dos seguintes: Nó do caso no Case Explorer. Nó da fonte do caso no Case Explorer. Nó do tipo de evidência: navegadores, dados recuperados, documentos, arquivos encriptados, mensageiros instantâneos, caixas de e-mail, tráfego de rede, imagens, registros, arquivos de sistema, vídeo. Nó Timeline ou Bookmarks Um único perfil (por exemplo, perfil de Skype) Um único bookmark Um o mais itens de uma lista de itens, como Lista de Documentos, URLs ou lista de Bookmark Um ou mais itens da janela Search Results Filtros Contatos de Mensageiro Instantâneo Etc. Após isso, você pode tanto clicar em Create Report na barra de ferramentas, selecionar o item Create Report no item Edit do menu principal ou do menu de contexto do Case Explorer. Se você está criando um relatório para itens selecionados de uma lista de itens, você pode escolher Create report for all items ou Create report for selected items do contexto de menu da lista de itens. 63 A janela Create Report vai aparecer. Nessa janela você pode especificar um formato alvo e um caminho para o relatório. Atualmente, os seguintes formatos são suportados: CSV DOCX EML (para e-mails apenas) HTML PDF Texto puro RTF XLSX XML 64 O caixa Open report when done permite que você abra os resultados do relatório com um aplicativo padrão. Por exemplo, se você exportou para o formato HTML, o seu navegador web padrão será aberto mostrando o arquivo resultante. Relatório em PDF aberto no visualizador de PDF padrão Se você exportar para arquivos múltiplos usando Split/Group do menu Advanced options, o sumário em HTML será aberto no navegador padrão, permitindo que você selecione manualmente qualquer dos arquivos para exame. Você pode ajustar várias opções para customizar seu relatório. Para isso, clique no botão Advanced options. Opções avançadas de relatório Você pode customizar a aparência do relatório ajustando as opções avançadas de relatório. Para isso, aperte o botão Advanced options na janela Create report. Na página Formatting da janela Advanced report option você pode especificar as seguintes opções: 65 Encoding (Codificação). A opção vai definir a codificação alvo para relatórios de puro texto ou CSV. Por exemplo, para exportar chats em chinês, você pode querer usar o UTF8 ou Chinês Simplificado. Item Sorting (Ordenação de itens). Você pode ordenar itens por data e horário em sentido ascendente ou descendente. Header and Footer text (texto de cabeçalho e de pé de página). Este texto vai aparecer no começo e no final de cada página num relatório em PDF. Para outros tipos de relatório essa opção é desabilitada. Date and time formats (formato de data e hora). Há vários formatos pré-definidos, usados em diferentes países. Orientation (orientação). Essa opção está disponível para todos os formatos Office e especifica se é orientação paisagem ou retrato. Report generated by (relatório gerado por). Essa opção permite especificar o nome do usuário que gerou o relatório. Na página Style você pode especificar as seguintes opções: 66 Default/Custom logo (logo padrão ou customizado). Por padrão o logo da Belkasoft é inserido nos relatórios gerados, no entanto você pode usar o logo da sua organização. Font (fonte). Você pode selecionar a fonte específica (por exemplo, Arial), estilo (por exemplo, itálico), tamanho da fonte, efeitos de fonte (por exemplo, sublinhado), cor da fonte, etc. A página Split/Group permite você especificar o número de arquivos a serem gerados. As seguintes opções estão disponíveis: 67 One file (um arquivo). Escolha essa opção se a quantidade de evidência que você está exportando é pequena. Um arquivo muito grande pode atrasar a sua análise. Por exemplo, um arquivo HTML de 10Mb pode fazer com que o seu navegador “engasgue” e consuma muita memória. One file per profile/data type (um arquivo por perfil/tipo de dados). Quando gerar um relatório para um caso, fonte de dados ou tipo de evidência, você pode optar por gerar arquivos separados para cada perfil do caso, da fonte de dados ou do tipo de evidência. Separate file for every contact or mail folder (arquivo separado para cada contato ou pasta de email). Escolha essa opção se você está exportando histórico de mensageiros instantâneos ou de email (essa opção é ignorada para outros tipos de dados). Um arquivo dedicado será criado e conterá apenas os eventos de um recipiente particular de chat ou uma pasta particular de e-mail. Split by item count (separe por número de itens). Escolha essa opção para quebrar o relatório em vários arquivos de um dado tamanho. One file per each date (um arquivo por cada data). Essa é uma opção diária. Escolha essa opção quando for importante para você ver os dados que ocorreram em cada data. A mesma página permite que você selecione o tipo de agrupamento. As seguintes opções estão disponíveis: Do not group (não agrupe). Neste caso você verá os eventos em linha, ordenador por data e horário. Group by contact or mail folder (agrupe por contato ou pasta de e-mail). Neste caso os eventos 68 serão agrupados. Por exemplo, num mensageiro instantâneo, todos os chats de um determinado usuário serão apresentados, ordenados por data e horário; depois o histórico de um outro usuário e assim por diante. Isso é útil para examinar os chats de um determinado contato. Essa opção é ignorada para outros tipos de evidência. Por favor, note que algumas dessas opções são ignoradas em certos formatos. Por exemplo não é possível agrupar nada no formato CSV. Na página Time Period você pode selecionar o período de tempo que quer limitar a exportação: A página Contacts está disponível para relatório de mensageiros instantâneos apenas. Nessa página você pode selecionar quais contatos gerar: todos os disponíveis, apenas contatos com histórico em determinada data ou apenas contatos específicos. 69 A página Pictures está disponível para relatório de imagens e vídeos apenas. Nessa página você pode optar por borrar as imagens detectadas como pornografia e especificar o tamanho da miniatura de uma imagem dentro do arquivo de relatório. Por favor, note que se você não rodou a análise Detect porn nenhuma imagem será borrada, seja ela explícita ou não. 70 Na página Columns você pode especificar quais colunas de dados incluir num relatório e a ordem desejada dessas colunas. Isso é útil para tipos de evidência que tenha múltiplos atributos, por exemplo, imagens, que podem ter centenas de propriedades EXIF. Você pode selecionar as propriedades mais importantes para não bagunçar o relatório resultante. 71 A página Folders permite que você opte por criar subpastas para arquivos de relatório dentro da pasta alvo, escolhida na janela Create Report. Se você selecionar a opção Create subfolders, o produto vai criar um número de pastas na pasta destino. A opção According to the profile path especifica que as subpastas vão refletir os caminhos do perfil original. A opção According to the case tree especifica que os nomes subpastas vão repetir o caminho para um perfil na árvore do Case Explorer. Note que a ferramenta vai criar uma subpasta dentro da pasta alvo, com o nome do perfil, caminho da árvore do caso ou caminho original do perfil. Se uma paste com o mesmo nome já existir, um número será anexado ao nome da pasta para torna-lo único. Resultados previamente exportados nunca são sobrescritos. A janela Advanced report options vai lembrar-se de todas as preferências. A próxima vez que você clicar Ok na janela Create Report para gerar um novo relatório ele usará as mesmas preferências avançadas de relatório. 72 Exportar para Evidence Reader A função Export to Evidence Reader permite que você compartilhe todos os seus achados com qualquer um, mesmo que eles não tenham uma licença do Belkasoft Evidence Center. Evidence Reader é um produto gratuito que pode ver casos exportados em modo read-only. Esse recurso é particularmente útil para aqueles que têm o componente Case Management. Neste caso, certifique-se que você saia da ferramenta para não perder dados. De outro modo, crie um relatório num dos formatos suportados, por exemplo, HTML ou PDF. Para exportar os dados do caso para o formado do Evidence Reader, selecione o item Export to Evidence Reader no menu Tools ou clique no botão Export to Evidence Reader na barra de ferramentas: A seguinte janela será aberta, que permite que sejam selecionadas profiles para exportação. Você pode exportar todo o caso ou somente as profiles selecionadas: 73 Depois que você clica em Next, você será questionado sobre um diretório de destino para exportar ao caso e o processo de exportação irá iniciar-se. Carving and Live RAM analysis O produto permite que você execute uma análise altamente sofisticada chamada “carving” O que é Carving Carving é uma busca sequencial com precisão no nível de bit do disco por vários artefatos. Enquanto executa o carving, o produto não depende do Sistema de arquivos e não faz uso de “arquivos”, pois eles podem ter sido apagados. Ao invés disto, ele procura por sequências específicas de bytes, ou assinaturas específicas para certos tipos de evidências. Por exemplo, a versão 3 do Skype insere a assinatura "l33l" antes de todas as mensagens de chat, então se esta sequência é encontrada no disco, há uma alta probabilidade de que uma mensagem de Skype será encontrada logo após este trecho. 74 l33l precede uma mensagem Skype 3 mostrado pela janela do HexViewer Carving é uma técnica indispensável na busca por dados apagados e na procura de evidências destruídas. Favor notar que, diferente de analisar arquivos existentes, carving não é uma técnica "precisa". Um processo de carving pode originar resultados incompletos (por exemplo, dados não serão encontrados para uma mensagem de chat) ou itens "falso-positivos". Os resultados falso-positivos são possíveis quando uma assinatura é descoberta, mas ela não precede realmente dados de interesse. Isto pode acontecer, por exemplo, se você salva um arquivo com o texto "l33l"; o arquivo vai ser identificado incorretamente como uma mensagem do Skype. O produto varre todo o dispositivo (disco rígido ou imagem), e não somente o espaço não alocado, então alguns resultados podem ser duplicatas dos que você já obteve utilizado a análise de arquivos regular. Como iniciar o Carving Para iniciar o carving, você pode fazer uma das opções abaixo: Execute um “profile search” por um disco físico ou lógico, drive ou imagem de dispositivo móvel, máquina virtual, dump UFED ou imagem RAM Live. Se você selecionar qualquer item na página Select what to carve, o produto irá efetuar o carving na fonte de dados selecionada juntamente 75 com a análise regular existente. Clique Carve Device na barra de ferramentas. Selecione Carve Device do menu Edit ou do menu de contexto do Case Explorer: Após fazer isto, a janela Search profiles será aberta. Inicialmente é possível selecionar a fonte de dados para executar o carving. Esta tela é similar a primeira dela do wizard Search Profiles com a única diferença que a opção Selected folder está disabilitada, pois não há sentido em fazer carving em um folder: 76 As seguintes opções são disponíveis: Logical drive. Estes são seus discos lógicos com nomes como "C:\". Cada disco pode conter um ou vários drives lógicos a serem apresentados no combo box. 77 Physical Drive. Estas são os seus discos físicos com nomes como "\\.\PHYSICALDRIVE1". Cada disco rígido é representado por um item único na janela de seleção. Arquivo de Imagem de Disco, Máquina Virtual, Imagem UFED ou e chip-off mobile device dump. Você pode executar o carving em qualquer imagem nos seguintes formatos: o Atola (.img) o EnCase (.e01, .ex01, .l01, .lx01) o FTK image (.aff, .afd, .afm, .ad1 e .af1) o UFED (imagem física de Android) o X-Ways container (.ctr) o DD ( RAW ) o DMG o SMART (.s01) o Disco de Máquina Virtual (.vmdk, .vdi, .vhd, .xva) o Chip-off dump (qualquer format) o etc. Os sistemas de arquivo dentro de uma imagem podem ser qualquer um dos seguintes: Windows, Mac OS X, Android e *nix: todas as versões FAT, NTFS, HFS/HFS+, ext2/ext3/ext4, YAFFS. Captura de imagem de memória RAM. É possível obter uma imagem raw a partir da memória volátil (.mem). Existem algumas ferramentas que podem ser usadas para capturar a memória live de um computador, incluindo o Belkasoft LiveRAM Capturer, que é gratuito e capaz de trabalhar em kernel mode. Este produto está também incluído no pacote do Belkasoft Evidence Center. O Belkasoft Evidence Center aceita a saída de qualquer programa que cria um dump de memória RAM. Além do dump de memória RAM, você pode também especificar um path para um arquivo de hibernação e paginação (hiberfil.sys e pagefile.sys). Estes dois tipos de arquivos podem conter informações da memória RAM sque foram salvas para o disco rígido devido ao funcionamento do Windows. Eles são fontes importantes de artefatos de memória RAM porque estas informações podem sobreviver ao desligamento do computador. Existem também opções para buscar em diferentes clusters. Você pode diminuir o tempo necessário para fazer sua análise procurando apenas de clusters não alocados (caso você esteja buscando por dados intencionalmente escondidos, por exemplo). Porém, algumas vezes a execução de carving em clusters alocados também produz bons resultados, por exemplo, se fragmentos de dados são mantidos em arquivos existentes, porém corrompidos. Pode não 78 ser possível extrair os dados de tais arquivos utilizando a extração regular, mas o carving pode solucionar este problema. Este é o motive pelo qual o produto permite que você escolha em que locais executar o carving: Unallocated somente, Allocated somente ou ambos na opção: What clusters to analyze? Nota: o carving em pastas e compartilhamento de rede não é suportado neste momento. Isto também vale para pastas compartilhadas do VMWare também. Se a opção Start extraction for found profiles está selecionada, o carving vai ser iniciado logo depois que o wizard for fechado (após você clicar em Finish). Se você não marcar esta opção, a fonte de dados selecionada (disco ou imagem) vai ser adicionada aos nós de casos do Case Explorer, mas as informações não serão extraídas. Você pode extrair as informações desta fonte clicando em Extract data… no menu de contexto do nó correspondente ou Extract data… no menu Edit. Na segunda página você pode selecionar por tipos de evidência a procurar: 79 Clique no botão Finish para iniciar o carving. Os resultados do processo serão visualizados, e é possível navegar pelos resultados já encontrados e examinar suas propriedades utilizando as opções Item List e Item Properties. BelkaCarving™ A opção BelkaCarving™ ajuda a combater a fragmentação de memória RAM em máquina. Informações na memória volátil do computador (RAM) são fragmentadas, assim como os dados em um disco rígido. Apesar do carving comum funcionar bem para porções de dados menores como conversas de instant messenger e URLs de navegadores, não funciona tão bem para porções de dados maiores (p. ex. imagens). 80 Abaixo você pode ver o resultado padrão do carving comum para uma imagem dentro de um dump de memória. Você pode ver claramente que, após algumas poucas linhas que conseguimos obter inicialmente, o resto da imagem está corrompida. É nisso que o BelkaCarving pode lhe ajudar. Belkasoft Evidence Center permite que você rode uma recuperação de RAM inteligente selecionando a opção “Enable BelkaCarving” como mostrado abaixo: 81 Analisando o mesmo dump de memória agora retorna a imagem inteira apesar de que ela estava espalhada pelo dump de memória: Por que nós temos isso como uma opção e não usamos como padrão? A razão é velocidade. BelkaCarving é um processo computacional altamente intensivo, requerendo muitos ciclos da CPU e levando um bom tempo para reconstruir corretamente os conjuntos de processos de memória. Se você não está buscando conjuntos grandes de dados como arquivos de imagens, você pode dispensar essa opção e ganhar um tempo considerável. Nota: Neste momento, BelkaCarving só está disponível para captura de “dumps” de memória em computadores rodando os seguintes sistemas operacionais: Windows 7 32-bit Windows 7 64-bit *nix (Unix/Linux/etc) 32-bit *nix (Unix/Linux/etc) 64-bit *nix (Unix/Linux/etc) PAE Linux ARM Analisando arquivos de hibernação e paginação Belkasoft Evidence Center permite que você extraia informação de dois importantes arquivos Windows: Arquivos de hibernação e arquivos de paginação (swap). Estes arquivos são a única exceção em que conteúdo de memória volátil pode sobreviver ao desligamento do PC. Ambos os arquivos podem conter artefatos voláteis. Enquanto o arquivo de hibernação é mais usado em laptops, arquivos de paginação são usados na maioria dos computadores já que representa a memória virtual do computador. Para extrair informação desses arquivos, rode o assistente Carve Device e escolha Live RAM image file: 82 Então especifique um caminho para os arquivos de hibernação e paginação de interesse. Após apertar Next, será apresentada a lista de tipos de evidência para CARVE. Após selecionar, aperte em Finish; o arquivo especificado será vasculhado por qualquer artefato que a Live Ram possa conter. Não espere uma grande quantidade de evidência encontrada dessa maneira; memória volátil contém apenas os dados mais recentes usados por vários programas. Até esses dados podem ser sobrescritos com outra informação rapidamente. No entanto, até uma pequena quantidade de dados recentes é melhor do que nada. Você pode baixar uma amostra de arquivos de hibernação e paginação no website da Belkasoft. Analisando dispositivos móveis O produto permite a análise de todos os mais importantes dispositivos móveis, tablets ou 83 smartphones, como iPhone e Android. É possível analisar o arquivo de backup da maioria dos dispositivos móveis. Backups são guardados em um computador durante a sincronização do dispositivo móvel com o PC. É também possível analisar “dumps” UFED para telefones Android e “dumps” de chip-off. Fontes de dados móveis suportadas incluem: Backups do Android Chip-off dump Backups iPhone Backups iPad Blackberry backups (ipd) Blackberry backups (bbb) Dump físico UFED para dispositivos Android. Para encontrar e analisar backups, selecione a caixa Mobile device backup na segunda página do assistente Search profiles. Para analisar “dumps” de UFED ou chip-off, adicione-os como uma fonte de dados na primeira página do assistente Search profiles. Após a extração de dados terminarem, alguns itens de sistema e aplicações serão apresentados sob o nó mobile no Case Explorer. Dependendo do tipo de dispositivo, você verá alguns dos seguintes: Agenda Contatos Chamadas Histórico de navegação do Safari ou outros navegadores SMSes Gmail E muitos outros itens específicos de cada aplicativo. A lista completa de aplicativos suportados por cada tipo de backup pode ser encontrada em http://belkasoft.com/. Para revisar cada aplicativo ou dado do sistema, selecione-o no Case Explorer e explore o Mobile Application Data List: 84 Por favor, note que backups criptografados do iPhone/iPad ainda não são suportados. Você pode descompactar backups do iPhone e iPad para uma pasta local usando o menu de contexto Unpack backup... no Case Explorer: 85 Analisando documentos O produto pode encontrar, analisar e recuperar arquivos apagados da maior parte dos tipos de documentos de escritório, como: Microsoft Office 1997-2003 (doc, ppt, xls) Microsoft Office 2007-2012 (docx, pptx, xslx) OpenOffice (odt, odp, ods) PDF RTF Para cada fonte de dados, um único nó Documents é criado, combinando todos os documentos dentro de todas as pastas daquela fonte de dados: Por padrão, os seguintes filtros são criados para um perfil de documento: Corrupted documents. Esses são documentos que começam com informações válidas mas que em algum ponto não podem mais ser lidos. Você pode ler informação extraída deles, mas esta informação não está completa. Invalid documents. Esses documentos falharam completamente na checagem de consistência. Muito possivelmente eles estão severamente danificados, criptografados ou 86 foram renomeados. Muitos resultados de recuperação de documentos apagados vão cair nesse filtro. Valid documents. Esses documentos estão bem e podem ser abertos sem problemas. Documents with embedded files. Esses documentos contêm um ou mais arquivos embutidos que podem ser visualizados dentro do produto. Para cada documento, a seguinte informação é extraída: Plain text. Para planilhas, é a combinação de todas as células e todas as páginas da planilha. Para apresentações, o texto é a junção de todos os slides, simplificando a revisão e a busca. Metadata. Metadados, como criador do documento, data/hora são vitais para muitas investigações. Embedded files. Arquivos de office podem conter muitos arquivos de tipos arbitrários. Muito frequentemente são figuras, mas é possível incorporar outro documento, gráficos, scripts, arquivos, etc. Quando você seleciona um perfil de documento, você verá uma amostra de alguns documentos na janela Document List: 87 Atualmente o produto apresenta uma amostra da primeira página para documentos PDF; para outros tipos de documento um ícone é mostrado. Para ver uma amostra do documento inteiro, dê um duplo clique no documento de interesse, a janela do Picture Viewer vai abrir (atualmente suporta apenas documentos PDF). Para examinar metadados, clique num documento e revise suas propriedades na janela Item Properties: 88 Para ver a lista de arquivos incorporados a um determinado documento, clique na aba Embedded files: 89 Todas as figuras incorporadas serão mostradas; arquivos de outros tipos incorporados serão apresentados com o ícone padrão do sistema. Você pode abrir outros arquivos incorporados que não sejam figuras com as aplicações padrão ou salvá-las para o disco. Para fazê-lo, selecione os arquivos incorporados, dê um clique com o botão direito do mouse sobre eles e selecione o item correspondente do menu de contexto. Análise "low hanging fruits" de registro O produto pode encontrar e analisar arquivos de registro do Windows. Registro do Windows é uma fonte importante de informações sobre o uso do sistema e de aplicativos. O Registro contém milhares de entradas e o Belkasoft Evidence Center analisa as mais importantes, como: Arquivos mais recentes abertos por diversos aplicativos, como o Microsoft Office (“MRUs”) UserAssists Dados de inicialização de programa 90 Lista de dispositivos USB conectados ao sistema Adaptadores de rede Perfis wireless Fuso-horário E muitos outros. Para encontrar todos os arquivos colmeia de registro, selecione a caixa Registry no assistente Search profiles. Os resultados serão adicionados no subnó Registry sob o nó fonte de dados no Case Explorer. Para explorar os dados extraídos, clique-os no Case Explorer: Os artefatos mais importantes dos registros do Windows serão mostrados no Item List à direita. Se você precisar inspecionar outros dados dentro de um arquivo de registro, selecione o arquivo dentro de Case Explorer e abra a tela Registry Viewer. 91 Analisando arquivos de sistema O produto ajuda a achar e analisar vários outros arquivos de sistema. Arquivos de sistema suportados incluem: Jumplists Thumbnails Thumb cache Log de Eventos do Windows Para encontrar jumplists, thumbnails (incluindo Thumb cache) e Log de eventos do Windows selecione- os no System Files dentro do assistente Search profiles. O produto suporta recuperação de arquivos de log de eventos e thumb cache. Para encontrá-los, selecione Files na última página do assistente Search profiles (tipos de evidência a recuperar). Selecione um item dentro de System File List para revisar várias propriedades importantes de um arquivo. Por exemplo, jumplist contém informações forenses importantes como tamanho do arquivo, nome, nome do disco, de onde o arquivo foi aberto (esta informação é armazenada mesmo se o arquivo foi aberto de um disco removível!), o endereço MAC do computador no momento da abertura do arquivo e até a última vez que o computador foi iniciado antes do arquivo ser aberto! Jumplist para arquivos do Powerpoint mostram histórico de abertura do arquivo 145.pptx 92 Analisando bancos de dados SQLite O produto suporta análise compreensiva de bancos de dados SQLite. Bancos de dados SQLite são muito importantes ao longo de uma investigação forense porque SQLite é um formato muito popular de armazenamento de dados. Milhares de diferentes aplicações de desktop escolhem SQLite, inclusive Skype, Firefox, Chrome etc. SQLite é um padrão de-facto para armazenamento de dados em aplicativos móveis. Por isso você precisa de uma ferramenta que investiga dados em formato SQLite. Os seguintes tipos de análises estão disponíveis no Belkasoft Evidence Center: Análise automática de bancos de dados SQLite de vários aplicativos desktop tais como SQLite, Firefox, Chrome, e múltiplas aplicações móveis, como WhatsApp. Recuperação de bancos de dados deletados de SQLite Abertura de bancos de dados SQLite arbitrários, escolhidos por um usuário Análise de freelist de SQLite Análise de RollbackJournal do SQLite Análise do arquivo WAL do SQLite Belkasoft Evidence Center não usa nenhuma biblioteca SQLite de terceiros, permitindo a análise plenamente nativa do SQLite. Esse recurso permite que usuários do Evidence Center analisem até mesmo bancos de dados profundamente danificados, fragmentados e incompletos, como aqueles que resultam de uma tentativa de recuperação. Essa é uma diferença importante entre o Evidence Center e soluções de terceiros não forenses como o SQLite Database Browser, que irão falhar quando tentarem recuperar um arquivo SQLite danificado. Analisando a freelist do SQLite Informação apagada de um banco de dados SQLite não é eliminada imediatamente. Ao contrário, ela é transferida para a chamada “freelist”, uma área especial dentro de um arquivo SQLite que armazena dados apagados. Freelists não são acessíveis por meio de ferramentas de análise padrão de SQLite. Graças à análise nativa de SQLite, Belkasoft Evidence Center permite a recuperação de informação deletada armazenada em freelists de SQLite. 93 Dados de freelists são marcados como “True” sob a variável “Is Deleted”, como as mensagens Skype abaixo: Freelist data is marked with red background inside SQLite Viewer. Analisando arquivos de transação do SQLite Bancos de dados SQLite usam um mecanismo de transaçãoe parte dos dados é armazenado num arquivo RollbackJournal especial (antes do SQLite v.3.7) ou arquivo WAL (“write-ahead log”) (após SQLite v.3.7). Antes dos dados irem para o arquivo principal do banco de dados, eles são temporariamente armazenados dentro de um arquivo WAL, o que significa que este arquivo pode conter a versão mais atual dos dados. Portanto é muito importante ser capaz de revisar o conteúdo dos arquivos WAL. O SQLite Viewer automaticamente localiza ambos os tipos de arquivos-diário e combina dados do banco de dados SQLite principal com dados desses arquivos-diário. Dados de arquivos de transação são destacados com azul claro. 94 Resolvendo nome MSN O Microsoft MSN/Live Messenger armazena o histórico em pastar com nome como esse: john.smith2462261469. O número após o nome do usuário representa um valor hash do e-mail do usuário e você pode estar interessado no endereço de e-mail em apenas texto (por exemplo, [email protected]) ao invés do número. O produto torna possível recuperar o e-mail em pleno texto com um algoritmo de força bruta usando um conjunto de serviços de e-mail conhecidos. Na maioria dos casos, a lista dos serviços de e-mail mais populares não serão suficientes para recuperar o e-mail do usuário. O produto usa uma lista de quase 7000 serviços armazenados no arquivo “mailservers.txt” que é colocado na mesma pasta que o produto principal. Se você quiser estender a lista de servidores de e-mails, apenas adicione novas entradas nesse arquivo. Gerenciamento de usuários (Apenas Enterprise) A janela de gerenciamento de usuários é a principal janela da porção Servidor do Belkasoft Evidence Center edição Enterprise. Essa janela é mostrada após o login no produto. Usando o gerenciados de usuários você pode criar e deletar usuários, dar ou revogar direitos a eles, criar ou editar funções no sistema. Analisador de tráfego de rede Belkasoft Evidence Center permite que você abra e analise arquivos contendo tráfego de rede interceptado. Há várias ferramentas disponíveis na Internet (“sniffers”) para capturar tráfego de rede, por exemplo, o WireShark. Essas ferramentas podem produzir arquivos PCAP com o registro da atividade de rede em uma rede local. Arquivos PCAP podem ser analisador pela nossa ferramenta. Para localizar o arquivo PCAP, realize uma busca usando o assistente Search histories como explicado na seção Searching profiles. Cheque o nódulo “Network Traffic” na primeira tela do assistente e selecione a localização do arquivo ou arquivos na segunda tela. Atualmente, o produto suporta os seguintes protocolos: Oscar (usado pelo ICQ, por exemplo) XMPP (usado por Jabber ou Facebook, por exemplo) 95 A extração, visualização e exportação da informação disponível pode ser realizada da mesma forma que todos os outros tipos de itens. Detectando arquivos criptografados Belkasoft Evidence Center pode descobrir e analisar mais de 150 tipos de arquivos criptografados. A lista de formatos suportados inclui: Adobe Acrobat PDF Lotus Notes Microsoft Access, OneNote, Outlook, PowerPoint, Word Zip and 7-zip E muitos outros tipos de arquivos encriptados. Por favor, veja a lista completa em http://belkasoft.com. Para descobrir arquivos criptografados, selecione a caixa Encrypted files no assistente Search profiles. Os resultados serão colocados no subnó Encrypted files sob o nó fonte de dados no Case Explorer. Por favor, note que a detecção de encriptação é uma operação que exige tempo, por isso faz sentido que se busque por outros tipos de artefatos antes e só execute a detecção de encriptação depois. Em algumas circunstâncias, duas linhas de análise separadas podem ser mais rápidas que apenas uma. Para analisar arquivos criptografados, selecione o nódulo Found encrypted files no Case Explorer. O produto vai apresentar esses arquivos no Encrypted File List: 96 As colunas mais importantes são Complexity e Protection features. A primeira mostra quão difícil é decodificar o arquivo. Para as complexidades Instant e FastBruteForce você pode ser capaz de recuperar a senha rapidamente. No entanto, MediumBruteForce e SlowBruteForce pode levar dias, semanas ou até mesmo bilhões de anos para decodificar. Com encriptação forte, você pode precisar de um equipamento especial para decodificar os arquivos, e mesmo assim pode não ser possível decodificar em um tempo razoável. Protection features mostra como um arquivo é protegido. Open Password significa que você não pode abrir o documento e ver seu conteúdo sem saber a senha. Há, no entanto, outros tipos de proteção, como por exemplo, na captura de tela acima o arquivo PDF pode ser aberto mas não pode ser impresso sem uma correção. Para permitir que o usuário decodifique arquivos, Belkasoft Evidence Center está integrado com o Passware Kit Forensic. Se você tiver ambas as ferramentas, é possível realizar a decriptação dos arquivos de dentro da interface do Evidence Center. Sleecione um ou mais arquivos na Encrypted Files List, aperte o botão direito do mouse e selecione Decrypt: Se você não tiver o Passware Kit Forensic, o item do menu estará desabilitado. 97 Você também pode decodificar todos os arquivos criptografados descobertos selecionando Decrypt no menu de contexto do “Case Explorer”. Por favor, note que a decriptação é uma operação que consome muito tempo e não há garantias de que será bem sucedida para tipos fortes de encriptação. Informações extraídas de navegadores web Análise de navegadores web recuperam os seguintes tipos de artefatos: Sites visitados pelo suspeito Cookies Senhas, entradas em várias telas de login (com exceção do IE e do Safari) Valores de formulários preenchidos em vários fóruns-web Arquivos baixados Links favoritos URLs digitadas (URLs que foram digitadas diretamente na caixa de endereço do navegador) Cache (arquivos armazenados localmente para aumentar a velocidade de carregamento subsequente de um site, por exemplo, imagens) Para as URLs digitadas no Internet Explorer, você precisará de acesso aos arquivos de registro do usuário. Browser passwords Evidence Center pode extrair senhas entradas por usuários em várias telas de login usando o navegador web. No entanto, há algumas restrições: A análise funciona no Firefox, Chrome e Opera apenas. Safari e Internet Explorer não são suportados. Se o usuário não optou por deixar o navegador armazenar sua senha, não há maneira de extraí-las usando a análise de navegador. Para o Opera, não é possível determinar qual campo gravado é o login e qual é a senha, então o produto vai tentar adivinhar e pode ser que adivinhe erroneamente. A razão para 98 isso é que o Opera armazena suas senhas numa ordem aleatória e usa o conteúdo do site para determinar que valor armazenado deve ir em qual campo. Cálculo do Hash Todo perfil pode ter dois valores hash associados a ele. Esses são o valor hash original e o valor hash atual. Valores de hash são calculados para garantir que o perfil não foi alterado durante a investigação e para ser capaz de provar para uma terceira parte. Se você está prestes a criar valores hash, selecione a caixa Calculate profile hash value na janela Search profiles. Por favor, note que calcular valores hash pode levar um tempo, em especial para perfil grandes como os arquivos PST do Outlook ou uma pasta do navegador com múltiplos arquivos dentro. Então se você não vai usar o valor hash, você pode desabilitar essa caixa para acelerar o processo de adicionar perfis ao caso. O produto usa um algoritmo MD5 padrão para calcular valores hash. Se o perfil for uma pasta, o hash é calculado com todos os arquivos e subpastas dentro da pasta, e então seus hashes são colocados numa cadeia de caracteres para a qual a hash resultante é calculada. Se ao menos um arquivo dentro da pasta for alterado, o valor total do hash vai mudar também. Para um perfil de imagem que contém arquivos de diferentes pastas, o hash é uma combinação de todos os valores hash de arquivos de imagem pertencentes ao perfil. Para garantir que o perfil permaneça o mesmo, selecione-o no “Case Explorer”. Na página de propriedades do perfil dois valores hash serão apresentados: 99 Clique no botão Recalculate para instruir o produto a calcular o valor hash do perfil atual. Se o novo valor hash for igual ao original, o perfil não foi mudado. Sob algumas circunstâncias, o produto pode falhar ao calcular o hash. Isto pode ocorrer, por exemplo, quando um arquivo de perfil está trancado. Essa situação pode ocorrer enquanto você está testando o produto no seu próprio sistema, onde vários arquivos são naturalmente trancados, como o seu arquivo de registros, seus arquivos do Skype ou do Firefox. Outro problema comum surge quando você copia outro perfil de usuário para o seu hard drive e alguns caminhos de arquivo se tornam muito grandes, excedendo o limite máximo do Windows para caminhos de arquivo. Nesse caso, o cálculo do hash também falhará e o programa mostrará uma mensagem “Failed to calculate hash” (falha ao calcular o hash) no campo Current hash do Profile Properties. Se você já tiver retirado o drive com o perfil ou movido o perfil para outro lugar, o produto também não será capaz de calcular o valor hash atual. Codificação Alguns tipos de evidência, por exemplo, Jumplists ou Mensageiros Instantâneos podem armazenar seus históricos em codificação nacional ao invés de UTF. Para esse tipo de dados, o produto vai 100 extrair informação usando o padrão de codificação do sistema. No entanto, isso pode dar resultados incorretos se o padrão do sistema não for o mesmo que o usado para codificar um pedaço de evidência em particular, por exemplo, um chat que foi realizado usando Chinês Simplificado enquanto você está na Alemanha e tem a codificação Alemã por padrão. Para instruir o produto a usar a codificação adequada, clique com o botão direito do mouse no perfil de interesse, clique no item de menu Encoding e selecione a codificação necessária. O produto vai oferecer para extrair os dados novamente já que a codificação foi alterada: Você também pode especificar a codificação padrão do produto. Veja “Opções” para mais detalhes. 101 Timestamps Ao extrair e apresentar dados extraídos de vários aplicativos e arquivos de sistema, o produto preserva as marcas de data e horários com os quais foram armazenados pelo aplicativo ou pelo sistema. O cabeçalho Data/hora (Date/time) explica que hora é: local ou UTC. Portanto, você pode precisar recalcular a hora para o seu fuso horário. Por exemplo, o usuário de um perfil de Mensageiro Instantâneo do fuso horário UTC +3 mandou uma mensagem às 11:00am. Você está investigando o perfil no UTC+2. Para o seu fuso horário, a mensagem foi enviada às 10:00am. Dados recuperados do Chrome armazenados em horário local. A linha do tempo (Timeline) automaticamente recalcula todos os horários locais para UTC e vice versa. Fusos horários Dados de um caso podem vir de diferentes fusos horários. Alguns eventos são armazenados com horário UTC, outros podem usar o horário local. A fim de ajudar a interpretar corretamente os vários horários, fuso horário pode ser especificado separadamente para os seguintes itens: Caso. Fonte dos dados. Perfil. 102 Você será solicitado a entrar com um fuso horário quando criar um novo caso. Assegure-se de especificar o fuso horário do suspeito e não o seu. O fuso-horário indicado será padrão para todas as marcas de data/tempo, armazenados em horário local. No entanto, em um caso você pode ter algumas fontes de dados de outro fuso horário. Por exemplo, se você tem diferentes discos, e todos menos um vieram de um único país enquanto o outro originou-se de um país com fuso horário diferente. Enquanto o fuso horário padrão estará certo para a maioria dos discos, você iria querer sobrescrever o fuso horário para aquele diferente. Isso pode ser feito na página de parâmetros de origem de dados apresentada quando você seleciona a origem dos dados no “Case Explorer”: Da mesma forma, você pode mudar o fuso horário para um perfil em particular. O horário padrão para o caso também pode ser modificado na página Case Properties. A prioridade de fusos horários é a seguinte: 1. Profile. 2. Data source. 3. Case. Isso significa que o fuso horário do perfil, se sobreposto, tem prioridade maior que fuso horário da 103 fonte dos dados e do caso, e será usado para os cálculos. Fuso horário da fonte dos dados tem prioridade sobre o fuso horário do caso. O fuso horário é usado para calcular o horário preciso para a visualização da Timeline apenas. Nenhuma conversão é feita para outras visualizações de dados. Configuração de fuso horário também é usada nos relatórios, quando um dos tipos de horário não é conhecido, ele é calculado usando o fuso horário especificado e o segundo horário. Ordenação O Item List suporta a ordenação dos itens que ela contém. Você pode procurar por qualquer coluna na grade. Para fazer isso, clique no cabeçalho da coluna. Itens ordenados por data 104 Itens ordenados por tipo de item (chamadas de Skype primeiro, chats a seguir) Fazendo isso duas vezes vai mudar a ordem de ordenação (ascendente para descendente e vice versa). Suas preferências de ordenação serão lembradas pelo programa, então a ordenação será a mesma a próxima vez que iniciar. Análise de Imagens O produto suporta os seguintes tipos de análise específica de imagens: Detecção de faces Detecção de texto Detecção de pornografia Detecção de imagens forjadas (plugin pago para o produto) Esses tipos de análises podem ser realizados em perfis de imagem e perfis de vídeo com seus quadros extraídos. Para rodar um certo tipo de análise, clique com o botão direito do mouse no perfil da figura ou do vídeo e selecione o item correspondente do sub menu no menu de contexto Analyze pictures: 105 Nota: a mídia original com as imagens deve estar conectada ao computador porque o programa não armazena as imagens no banco de dados por padrão. De forma alternativa, você pode armazenar as imagens selecionadas ao caso. Se você fez isso, o produto vai checar o banco de dados do caso e só então tentar acessar o caminho original da imagem. A análise resultante será guardada sob os seguintes subnós do nó Analysis results: Imagens com faces Imagens com textos Imagens pornográficas Imagens forjadas Todos os tipos de análises, exceto detecção de imagens forjadas, estão usando redes neurais a fim de detectar o conteúdo do tipo correspondente. Atualmente, não é tecnicamente possível criar um algoritmo que faça tal análise 100% corretamente sem falsos positivos ou falsos negativos. 106 Detectando rostos O produto permite que você detecte faces em perfis de imagens ou vídeo. A fim de detectar face, selecione o perfil de imagem ou vídeo de interesse, clique com o botão direito do mouse, escolha o item Analyze pictures no menu de contexto e depois Detect face. A análise irá começar. Após a análise, o filtro Pictures with faces sob o subnó Analysis results no “Case Explorer” estará cheia de imagens com faces detectadas. O número total de imagens detectadas com faces vai ser indicado no nó correspondente: 4 imagens com rostos detectados A análise foi desenvolvida para funcionar com faces claras de frente e de perfil. Os melhores resultados podem ser obtidos com faces frontais. Outros tipos de faces, por exemplo, viradas a meio caminho, podem não ser detectadas já que não existe um algoritmo robusto até o momento. Os seguintes obstáculos podem impedir a detecção bem sucedida de faces: Face virada significativamente da posição frontal ou de perfil Alguma coisa cobre grande parte do rosto (por exemplo, óculos escuros, mão, cachecol) Fracas condições de luz Detecção de faces usa rede neural para encontrar faces. Falsos negativos e falsos positivos são esperados. Por exemplo, o algoritmo frequentemente detecta a região do joelho como face. Para 107 reduzir falso positivos, o produto realizar um número adicional de tipos de análise como: Detecção de pele Detecção de nariz Detecção de olhos Detecção da boca Para se livrar de falsos positivos, você pode filtrar faces que só contenham todas essas características. Note: contagem de falsos positivos e falsos negativos dependem um do outro. Se você diminuir o número de falsos positivos, mais falsos negativos vão aparecer (então você pode perder algumas imagens com faces). Para ver quais características são detectadas para a face, você pode inspecionar a sessão Analysis properties na janela Item Properties: Para cada face descoberta, um registro separado é criado com todos os detalhes como limites da face e características adicionais como nariz, boca, pele e olhos detectados. Cada face é destacada com uma caixa verde dentro das janelas Picture List e Picture Viewer, caso a opção correspondente esteja selecionada em Picture Options. O produto pode detectar com sucesso não só faces reais mas também faces em desenho e até animações! 108 Nota: para extração de faces de um arquivo de vídeo, você vai ter que extrair os quadros chave primeiro. Detectando texto O produto permite que você detecte texto em perfis de imagens e vídeos. A fim de detectar texto, selecione o perfil de imagem ou de vídeo de interesse, clique com o botão direito do mouse nele, clique em Analyze pictures e depois Detect text. A análise irá começar. Após a análise completar, o filtro Pictures with text no nódulo Analysis results no “Case Explorer” estará cheio de imagens com texto detectadas. O número total de imagens com texto será indicado no nódulo correspondente: 109 2 imagens com texto detectado A análise foi desenvolvida para funcionar com texto escaneado claramente. Pode não funcionar com texto arbitrário como sinais de trânsito, legendas, texto em camisetas etc. Exemplo de imagens que podem ser bem processadas. 110 Para melhorar os resultados, o produto realizar operações como ajuste de alinhamento, aumento na resolução e outros. Portanto, mesmo imagens pequenas e desalinhadas podem ser processadas. Não há 100% de garantia que todo o texto é extraído corretamente. Os seguintes obstáculos podem impedir uma detecção bem sucedida do texto: Texto significativamente desalinhado Resolução muito baixa (por exemplo, letras com 5 pixels de altura) Marcas manuscritas sobre texto impresso Para ver que texto é detectado para uma imagem, você pode inspecionar a seção Analysis properties na janela Item Properties: 111 A fim de reconhecer o texto de forma bem sucedida, você deve especificar a linguagem de reconhecimento nas opções (Inglês por padrão). Reconhecimento multilíngue não é suportado. O texto reconhecido é pesquisável, isto é, na imagem acima, você pode buscar pela palavra-chave “wine” e a imagem será encontrada. Nota: para extração de texto de um arquivo de vídeo, você deve extrair os quadros chave primeiro. Detectando pornografia O programa permite detectar pornografia em perfis de imagem e de vídeo. A fim de detectar conteúdo pornográfico, selecione o perfil de vídeo ou imagem de interesse, clique com o botão direito do mouse, clique em Analyze pictures e então em Detect porn. A análise se iniciará. Após a análise se completar, o filtro Porn pictures sob o nó Analysis results no “Case Explorer” estará cheia de imagens com pornografia detectada. O número total de imagens com pornografia será 112 indicado no filtro correspondente: 2 imagens pornográficas detectadas Detecção de pornografia usa rede neural a fim de encontrar figuras explícitas. Resultados 100% corretos não são garantidos. Tanto falsos positivos quanto falsos negativos podem existir. Os seguintes obstáculos podem prevenir a detecção bem sucedida de pornografia: Condições ruins de luz Muito pouca pele nua visível Imagens em preto e branco Vários efeitos pós-processamento como converter cores para luminescentes num editor de imagens Pele negra é pior detectada que pele branca Para ajudar a identificar imagens suspeitas, um fator de probabilidade de pornografia é atribuído para cada imagem. Você pode ordenar a lista de imagens pela coluna Porn probability para que as imagens mais suspeitas apareçam primeiro. A implementação atual tem as seguintes características qualitativas: 4,96% de falsos negativos e 16,31% de falsos positivos. 113 Nota: para detecção de pornografia em arquivos de vídeo, os quadros chaves devem ser extraídos primeiro. Detectando imagens forjadas O “Forgery Detection Plugin” (deve ser adquirido separadamente) permite a detecção de imagens JPG que foram alteradas ou modificadas após terem sido tiradas por uma câmera digital. Todos os tipos de modificação contam como uma imagem forjada (alterada) incluindo gravá-la com um nível de compressão diferente, cortar partes ou mudar deliberadamente o conteúdo da imagem (desde mudar a exposição até clonar partes da imagem). A fim de detectar imagens forjadas, selecione o perfil de interesse, clique com o botão direito do mouse, selecione Analyze pictures e então Detect forgery. A análise se iniciará. Após a análise, o filtro Forged pictures sob o nó Analysis results no “Case Explorer” estará cheia de imagens forjadas. O número total de imagens forjadas será indicado no filtro correspondente. 114 Após a análise você pode criar um relatório especial de detecção de imagens forjadas. Para fazer isso, selecione o filtro Forged pictures no “Case Explorer”, dentro da Picture List selecione todas as imagens ou aquelas de interesse, clique com o botão direito do mouse e selecione Create forgery analysis report...: Um relatório de análise de imagem forjada será criado: 115 Detecção de imagens forjadas usa um número de dados empíricos obtidos de mais de 3000 diferentes câmeras digitais. O algoritmo analisa os dados EXIF, tabelas de quantificação, vários artefatos de imagem específicos desta ou daquela câmera e a imagem propriamente dita. Forgery Detection é um plugin pago do Belkasoft Evidence Center Ultimate. Você deve adquiri-lo separadamente. 116 Removendo imagens detectadas incorretamente: Se o produto detectar faces incorretamente, você pode removê-la usando a janela Picture List. Apenas dê um clique com o botão direito do mouse na região e ela vai desaparecer. Se você remover a última face detectada numa imagem, ela será removida do filtro Pictures with faces da próxima vez que a selecionar. Armazenando imagens e documentos no banco de dados Um disco rígido típico ou dispositivo móvel possui milhares de fotos; alguns contém centenas de milhares. Muitas dessas imagens não representam nenhum interesse para uma investigação; algumas, no entanto, podem apresentar maior interesse que outras. O total de imagens desnecessários podem exceder gigabytes. Por essa razão, imagens não são armazenadas no banco de dados por padrão. Apenas os caminhos originais e as propriedades são armazenadas. Por isso você não é capaz de visualizar uma imagem ou rodar uma análise nela caso tenha removida a mídia que a contém do computador. Pela mesma razão, documentos encontrados não são armazenados no banco de dados por padrão, apenas os caminhos e metadados vão para o banco de dados. No entanto, você pode querer armazenar algumas imagens ou documentos de interesse por um período de tempo maior do que você vai ter a mídia original à disposição. Nesse caso, você pode selecionar as imagens e documentos de interesse e salvá-las para o banco de dados selecionando Save selected items to database: 117 Feito isso, todas as operações subsequentes realizadas com itens gravados serão feitas no arquivo cópia do banco de dados, de forma a poder analisar imagens e documentos sem a mídia original conectada. Operações com imagens Além do menu de contexto padrão para qualquer item do Item List, imagens tem operações adicionais disponíveis: Show selected items on Google Maps. Se alguma das imagens selecionadas contiver coordenadas GPS, esta opção é habilitada. Usando esse recurso você pode ver todos os pontos do mapa onde as fotos selecionadas foram tiradas. Show selected items on Google Earth. Se você não tiver uma conexão à internet no seu computador, essa opção pode ser perfeita para ver as mesmas coordenadas GPS num mapa. Precisa instalar o Google Earth e não requer uma conexão à internet para mostrar o local. 118 Export selected items to Google Earth format. Se você não tem nem uma conexão à internet nem o Google Earth instalado no seu computador, esta opção vai permitir que você veja as locações desejadas. O programa vai criar um arquivo no formato do Google Earth (kml-file) que pode ser copiado para outro computador com Google Earth instalado e ser visualizado lá. Copy picture. Para copiar imagens selecionadas selecione este item do menu de contexto. Save selected items in database. Este item de menu armazena permanentemente as imagens selecionadas no banco de dados. Open in folder. Você pode escolher uma ou várias imagens e selecionar este item do menu. Uma janela separada do Explorer vai abrir para cada pasta contendo a imagem original (se você possuir três figuras em duas pastas diferentes, duas janelas do Explorer vão se abrir). Há também duas operações específicas com imagens disponíveis pelo nódulo de perfil de imagem do “Case Explorer”: Copy files to folder. Escolha esse menu para copiar todas as imagens de um perfil ou um filtro para uma única pasta. Para mais detalhes veja “Copiando imagens para pasta”. Filters. Este item permite você ver e editar filtros de perfil de vídeo e de imagem. Para mais detalhes veja “Filtros”. Trabalhando com dados de geolocalização O produto suporta uma variedade de artefatos com dados de geolocalização. Existe um grande número de artefatos que suportam a inserção de dados para geolocalização, particularmente, imagens com dados de GPS, que são tiradas em dispositivos móveis e câmeras modernas, buscas no Google search, mapas, entre outros. A aplicação detecta automaticamente pesquisas realizadas no Google maps dentro do histórico dos browsers de internet. Se um link visitado por um usuário contém pesquisa no Google maps, o produto extrai a latitude, longitude e em alguns casos altitude e zoom. Essas propriedades são mostradas na lista de itens do produto: 119 120 O produto também busca em aplicativos de dispositivos móveis por Google maps e mostra a geolocalização desses aplicativos. Para encontrar essas informações, os selecione em "Geolocation data" conforme mostrado na figura abaixo: 121 Quando você possuir itens com dados de geolocalização, tais como URL do Google maps, aplicações de dispositivos móveis ou imagens com coordenadas de GPS, você pode selecioná-los e inspecionálos dentro da janela Google Maps do produto: 122 Finalmente, o produto permite criar relatórios para todos os dados geolocalizados. Para tanto, clique com o botão direito dentro da janela Google Maps e selecione o item “Create Report”. Um novo relatório será criado e conterá um preview do artefato conforme mostrado abaixo: 123 Copiando arquivos para uma pasta Você pode copiar todos os arquivos pertencentes a um perfil, como imagens, vídeos ou documentos, ou filtro para uma determinada pasta. Esta função é muito útil para juntar todos os arquivos de um mesmo tipo na mesma pasta, por exemplo, se você quiser revisar todas as imagens de um dispositivo móvel uma a uma, é conveniente combiná-las de todas as subpastas do dispositivo para uma única pasta. Para fazer isso, escolha o menu de contexto Copy files to folder... no “Case Explorer”: A janela de Set target options vai abrir permitindo que você selecione a pasta destino e se quer que o Windows Explorer abra a pasta depois: Selecione qualquer pasta existente e clique em OK para começar a copiar. 124 Copiando arquivos embutidos e anexos para pasta O produto ajuda você a reunir vários arquivos embutidos numa única pasta. Em particular, você pode reunir todos os anexos de um perfil de e-mails e todos os arquivos embutidos em todos os documentos dentro de uma fonte de dados. Isto pode ser útil, por exemplo, quando você está investigando todas as imagens dentro de um documento do Word, ou todos os documentos do Excel anexados a e-mails dentro do perfil do Outlook. Revisar esses arquivos um por um pode tomar uma quantidade enorme de tempo, enquanto tê-los todos dentro de uma única pasta pode acelerar a investigação sobremaneira. Para copiar arquivos embutidos em documentos para uma pasta, clique com o botão direito do mouse no nódulo do perfil do documento ou num filtro sob o perfil do documento no “Case Explorer” e selecione o item de menu Copy embedded files to folder.... Você será solicitado a escolher a pasta para a qual quer copiar os arquivos. Para copiar os anexos de um perfil de e-mail para uma pasta, clique com o botão direito do mouse no nódulo de perfil do e-mail ou em uma pasta de e-mail sob o perfil no “Case Explorer” e selecione 125 o item de menu Copy attachments to folder.... Você será solicitado a escolher a pasta para a qual quer copiar os arquivos: Filtros O produto suporta filtragem compreensiva para imagens em perfis de imagem e de vídeo. Por exemplo, se você gostaria de agrupar apenas imagens que tenham coordenadas GPS ou apenas imagens com conteúdo pornográfico, o produto lhe permite fazer isso. Há alguns poucos filtros pré-definidos disponíveis: Imagens com faces 126 Imagens com texto Imagens pornográficas Imagens forjadas (se você possuir o Forgery Detection Plugin) Imagens com dados de GPS Imagens com metadados Imagens grandes Documentos válidos/inválidos/corrompidos Todo perfil tem filtros padrão logo após sua criação. Filtros agrupados sob o nódulo Analysis results só serão preenchidos após a análise correspondente for completada (veja “Análise específica de imagens”). Outros filtros serão preenchidos logo após a criação do perfil para que você possa, por exemplo, revisar todas as imagens grandes imediatamente. Se você quiser editar os filtros padrão ou criar seu próprio filtro, você pode clicando com o botão direito do mouse num perfil de imagem ou vídeo e selecionando o menu de contexto Filters.... 127 Gerenciando Filtros Usando o Filter Manager você pode inspecionar, editar ou deletar filtros customizados. Clique em New filter para criar um filtro customizado, Edit filter para editar um único filtro selecionado e Delete filter para deletar um ou mais filtros selecionados. Editando propriedades do filtro Usando a janela Edit Filter Properties você pode editar propriedades de filtros existentes e criar novos filtros customizados. Por exemplo, se você gostaria de endurecer o limiar de imagens pornográficas, você pode selecionar o filtro pré-definido chamado “Porn pictures” no Filter Manager e clicar em Edit filter. Na janela aberta Edit Filter Properties você pode ajustar os valores para o limiar: 128 Por exemplo, você pode ajustar Porn detection probability (probabilidade de detecção de pornografia) para ser maior ou igual a 0.8 para diminuir o número de falsos positivos. Nota: ao fazer isso, você também aumentará o número de falsos negativos. Nesta janela você pode dar um nome ao filtro e adicionar um ou mais critérios. Condição é uma condição contendo três partes: A parte da esquerda, que é a das propriedades pré-definidas, como propriedades EXIF, propriedades do arquivo, propriedades da imagem, metadados do Office e propriedades gerais dos itens. Para achar a propriedade por nome, você pode entrar uma substring na caixa de texto Find Properties by substring. A parte da direita, que é um valor que você entra manualmente. Esta pode ser uma string, um integral, real ou valor booleano. Operação, que pode ser uma das operações lógicas pré-definidas, como “>=” para números, “contains” (contém) para strings, “=” para booleano e assim por diante. Você pode selecionar uma operação na caixa Operation. Há a possibilidade de inverter uma condição selecionando a caixa Logical NOT. Isso é particularmente útil para expressões string, como por exemplo, condição “NOT manufacturer EQUALS Canon” vai filtrar todas as imagens feitas por todas as câmeras que não sejam da marca Canon. 129 Você pode combinar várias condições por conjunções lógicas como “AND” e “OR” usando a caixa combine with existing rules as: No exemplo abaixo há um filtro com o nome “Path contains “xxx”, que é um filtro com uma única condição que o caminho para o arquivo de imagem contenha a substring “xxx” em algum lugar no meio: Note que os filtros estão funcionando com escopo no perfil, o que significa que cada perfil tem seu próprio conjunto de filtros. Portanto, se você mudar o filtro “Porn pictures” para um perfil, o mesmo filtro em outro perfil não irá ser alterado. Análise de vídeo O produto permite que você “quebre” o vídeo em uma série de quadros chave. Um quadro chave é um quadro que difere significativamente do quadro anterior. Por exemplo, um movimento rápido ou completa mudança de cena será considerada uma diferença significativa. 130 Para ganhar tempo, você pode revisar apenas quadros chave, porque outros quadros serão similares. Portanto, você só revisa uma série de imagens ao invés de assistir ao filme inteiro. Isso aumenta substancialmente a velocidade e eficiência da análise. Para extrair quadros chave, especifique as opções de extração na aba Video no diálogo Options. Então dê um clique com o botão direito do mouse no perfil de vídeo e selecione Extract key frames: A extração de quadros chave vai começar. Durante a extração, você será apresentado com quadros já extraídos sob o sub nódulo Key frames de um nódulo de perfil: 131 Quando a extração de quadros chave for completada, você pode fazer a mesma análise específica de imagens com os quadros extraídos sendo usados como imagens normais. O filtro Key frames mostra todos os quadros chave extraídos de todos os vídeos da fonte de dados. Se você gostaria de revisar os quadros chave pertencentes a um vídeo em particular, selecione-o no Picture List e inspecione a aba Pictures dentro da janela Item Properties: 132 Nota: os quadros chave não são gravados no banco de dados durante a extração. Ao invés disso, eles são extraídos para a pasta Case Data. Você pode querer deletar quadros chave depois, quando terminar de trabalhar num caso, para liberar espaço no disco rígido. Se você precisar gravar alguns quadros selecionados, você pode salvá-los para o banco de dados como você faria com imagens comuns. Janelas de Erro Se o produto encontrar um problema inesperado, ele vai apresentar uma janela Error occurred contendo informações técnicas detalhadas sobre o erro. 133 Clique no botão Details para ver informações detalhadas sobre o erro. Ao usar essa janela, você pode mandar um relatório de erro para a Belkasoft. Para fazer isso, clique em Copy, depois em Send to support. O seu cliente de e-mail padrão vai abrir, um novo e-mail será criado. Apenas cole os detalhes no corpo do e-mail e nos envie. Nós agradecemos a ajuda! Se você não tiver acesso a e-mail do computador onde você está trabalhando com o produto, você pode gravar os detalhes do erro para um arquivo usando o botão Save. Anexe o arquivo resultante em outra máquina para nos deixar cientes do problema. Além dos detalhes da janela Error occurred algumas informações técnicas adicionais podem ser requeridas pela equipe da Belkasoft para consertar o problema. Se você viu um problema, por favor, nos envie os arquivos de log da pasta do caso correspondente. A pasta de logs fica armazenada sob a pasta CaseData para o caso. Por definição o caminho pode parecer com o seguinte: C:\Users\[YOUR ACCOUNT]\AppData\Roaming\Belkasoft\Evidence Center Ultimate\CaseData\[CASE NAME])\Logs\2013.10.27_22.09.27.04.Extract history.txt Outra pasta de log é armazenada dentro de CaseData: C:\Users\[YOUR ACCOUNT]\AppData\Roaming\Belkasoft\Evidence Center Ultimate\CaseData\Logs Esta pasta guarda logs que não são relacionados com o caso atual e sim com o produto de forma geral. Esses logs são também de interesse particular quando queremos consertar um problema, 134 portanto, por favor, inclua-os no seu e-mail para o nosso suporte. Esperamos que essa não seja uma operação que você tenha que realizar com frequência. Opções O produto tem um número de opções disponíveis clicando no item de menu Tools e selecionando Options. Dependendo da configuração de ferramentas que você tiver, a janela Options pode conter uma ou mais abas, incluindo General, Picture e Video. Opções Gerais A aba da opção General contém as seguintes opções: Language. Inglês é a língua padrão. Outras opções estarão disponíveis assim que o produto estiver traduzido para outras línguas. Default encoding. Se você está frequentemente trabalhando com históricos da mesma codificação que não seja a padrão do seu sistema, você pode ganhar tempo ao selecionar a codificação padrão do produto aqui. Por exemplo, se você tem como local padrão a Alemanha e trabalha com Chinês Simplificado, você pode selecionar Chinês Simplificado como codificação 135 padrão. Always open the last case. Quando esta opção está selecionada, o produto não vai perguntar qual caso abrir ao iniciar. O último caso será sempre aberto. Log profile search folders. Se você suspeita que o produto não está vasculhando todas as pastas disponíveis num dispositivo de interesse, você pode selecionar essa opção. Quando selecionada, o produto vai salvar todas as pastas que tiverem sido percorridas ao buscar por perfis num arquivo de log. Esse arquivo pode ser visualizado usando o Task Manager após a busca terminar. Por favor, note que o arquivo de log pode ficar bastante grande porque pode haver milhares ou dezenas de milhares de pastas num disco. Folder to store case data. Se o seu disco de sistema não for muito grande, você pode selecionar outro disco para armazenar os dados de caso. Após você mudar a pasta de dados de caso, reinicie o programa para aplicar as mudanças. Note, por favor, que casos existentes não serão movidos para o novo local portanto você verá listas de caso vazias. Se você gostaria de manter todos os seus casos, você pode movê-los para o novo local manualmente. Mudar a pasta de dados de caso para a antiga vai retornar todos os casos para a lista de casos. Note: Você não deveria tentar recuperar o mesmo disco que você selecionou para o seu Case Data ou então o processo vai entrar em loop, porque o ele vai tentar recuperar novos arquivos criados de novo e de novo. Opções de imagem A aba Picture contém as seguintes opções: 136 Blur pictures detected as porn. Imagens pornográficas serão borradas na janela de Picture Preview para que apresentar os resultados de sua análise sem muitos detalhes: Note, no entanto, que antes da tarefa de análise de detecção de pornografia for completada, todas as imagens serão apresentadas como são, já que a ferramenta ainda não sabe quais as que contém conteúdo explícito. Notem também que a janela Picture Viewer sempre mostrará a imagem original (isto é, não borrada independentemente de serem pornográficas ou não). Show recognized faces bounds. Após você rodar a análise de detecção de faces e ela achar algumas faces, é possível destacá-las em cada imagem relevante: As faces detectadas são destacadas com um retângulo verde 137 Do not blur recognized faces. Quando você roda tanto a detecção de pornografia e de faces, você pode visualizar imagens pornográficas borradas com exceção da área do rosto: Imagem pornográfica está borrada mas a face é mostrada como é. Text recognition language. A fim de obter resultados corretos da detecção de texto, é necessário especificar a linguagem a ser detectada. Atualmente, as seguintes línguas são suportadas: o English o Russian Línguas adicionais podem ser adicionadas por solicitação. Notem, por favor, que reconhecimento multilíngue não é suportado. Face recognition mode. Há três modos pré-definidos: o Less false positives. Neste modo você vai ter menos faces detectadas incorretamente, mas também menos faces detectadas corretamente. Selecione essa opção quando for importante para você pegar o menor número de resultados incorretos possível e você não se importa de perder algumas faces verdadeiras. o o Medium false positives. More false positives. Neste modo você pega mais falso positivo, mas também o máximo de faces detectadas corretamente. Selecione essa opção para você pegar o máximo de fazer possível e você não se importa com muitos resultados. Ignore small pictures. Todo computador contém milhares de imagens pequenas usadas para as mais diferentes razões, ícones, “spacers” ou imagens em branco para páginas HTML, entre outros. Essas imagens não têm nenhum significado forense em 99% dos casos, então é melhor desprezá-las. Você pode especificar o tamanho mínimo para uma imagem ser adicionada a um caso. Imagens menores serão silenciosamente ignoradas. 138 Opções de Vídeo A aba Video contém as opções referentes a extração de quadros chave: Frames per second. Se você gostaria de extrair quadros chave rapidamente, você pode instruir o programa a tirar um quadro a cada 10 segundos (o maior valor desta opção é 0,1 quadro por segundo). O alcance disponível para essa opção é de 0,1 quadros por segundo a 50 quadros por segundo. Para a maioria dos vídeos 50 quadros por segundo será equivalente a analisar todos os quadros. Isso dá resultados mais precisos mas levará muito mais tempo. Frames similarity. Um quadro chave é um quadro que difere substancialmente de um anterior. Por exemplo, movimento rápido ou completa mudança de cena pode ser considerado uma diferença significativa. Você pode mudar esse parâmetro para pegar mais ou menos quadros resultantes. O alcance disponível é de 0 a 100, no entanto, o número não tem nenhum significado real e é apenas para referência. 139 Mudando a pasta CaseData O produto armazena uma quantidade significativa de dados dentro de uma pasta especial chamada CaseData. O banco de dados principal do caso é guardado lá. Além disso, vários dados temporário são colocados na pasta CaseData, como arquivos recuperados e banco de dados, quadros chave extraídos, imagens miniaturas para preview de imagens, log de tarefas, log de erros e assim por diante. Por isso essa pasta pode ocupar muitos gigabytes de dados. Por padrão, a pasta CaseData é armazenada no seu disco de sistema dentro da pasta do usuário. Algumas vezes, no entanto, discos de sistema são pequenos e você pode querer que o produto armazene dados em algum outro disco. Para designar o CaseData para outro disco, mude a opção Folder to store case data na aba General da janela Options: Saia do programa. Você agora pode reiniciar o Evidence Center. Os seus novos casos e dados relevantes serão guardados na nova pasta de casos. Nota: Se você precisar mover seus casos existentes para o novo local, apenas copie todo o conteúdo da pasta CaseData de sua localização padrão para a nova antes de reiniciar o programa. 140 Montando imagens de disco ou de dispositivos móveis O produto suporta montar imagens de disco, de dispositivos móveis e de Live RAM nos seguintes formatos forenses: Arquivos de evidência EnCase E01, Ex01 e evidência lógica L01 e LX01 FTK AF* e imagens AD* Recipientes X-Ways Imagens físicas UFED para dispositivos Android. Imagens Atola .img Imagens raw DD Imagens DMG Imagens SMART Imagens Live RAM, criadas com o Belkasoft Live RAM Capturer e outras ferramentas de dumping de memória. Imagens de múltiplas partes são suportadas; o número de arquivos não é limitado. Os seguintes sistemas de arquivos são suportados: Todos os do Windows: todos os FAT*, exFAT, NTFS. Mac OS X: HFS, HFS+ *nix (Unix/Linux): ext2, ext3, ext4 Sistema de arquivos Android YAFFS Verificando atualizações Se você tiver uma conexão à internet, você pode checar se há alguma nova versão disponível no website da Belkasoft. Para isso, vá ao menu principal Help e selecione o item Check updates. A seguinte janela vai ser apresentada: 141 Em poucos segundos o software vai mostrar se há ou não uma nova versão: Em muitas configurações, investigadores não podem ter conexão à internet em suas estações de trabalho com o software da Belkasoft instalado. Nesse caso é possível fazer login no Portal do cliente e checar se há uma nova versão do software disponível. Recursos disponíveis Alguns recursos descritos nesse manual podem não estar disponíveis dependendo da configuração que você adquiriu. A lista de recursos atuais suportados é a seguinte: Análise de navegadores Recuperação de Informação Apagada (“Carving”) Análise de Documentos Análise de E-mails Detecção de Encriptação Análise de Mensageiro Instantâneo Análise de Dump de Live RAM Análise de Backups de Dispositivos Móveis Montagem de Imagens de Disco tais como arquivos de evidência EnCase, AFF, UFED, X-Ways, SMART, DD (arquivos de sistema do Windows, Mac Os X, Linux e Android)) Análise de Tráfego de Rede para artefatos de chat Análise de Imagens: pornografia, texto e detecção de face Análise de Imagens: detecção de Imagem Adulterada Análise de Registro Análise de Arquivo de Sistema Análise de Vídeo: extração de quadros chave; detecção de pornografia, texto e faces. 142 Recursos disponíveis na configuração adquirida aparecem na tela About: Clique em About sob o menu Help para abrir essa lista. Por favor, veja a tabela de comparação de versões de produto e edições no nosso website http:// belkasoft.com para descobrir quais recursos estão incluídos em quais versões e edições do produto. Você pode sempre atualizar sua aquisição para uma mais poderosa com desconto. 143 Limitações do modo Demonstração O produto roda em um modo demonstração restrito até a aquisição. As limitações do modo demonstração são as seguintes: Produto funciona durante 10 dias após a primeira utilização Apenas uma pequena parte do histórico (não mais que 20 itens) é extraído por perfil de contato/pasta de email/navegador/imagem/vídeo/ tráfego de rede. QQ 2009-2012 não é suportado. Registrando o produto Para fazer sua cópia totalmente funcional, adquira o produto. Forças da Lei, Governo e organizações acadêmicas podem solicitar uma licença de testes totalmente funcional. Hardware ID Se você optou por adquirir uma licença fixa, você será solicitado a fornecer um ID de Hardware para o computador que você está prestes a usar com o produto. A fim de obter esse ID, por favor, instale o produto na máquina alvo e verifique a janela License information disponível no menu Help: 144 Clique em Copy ID para copiar o seu ID de Hardware. Após a compra Quando sua compra estiver efetivada, você receberá um link para o Portal do Cliente junto com instruções de como logar. Você deve baixar a versão não-demo do produto e sua licença do Portal do Cliente, instalar o produto e descompactar o arquivo de licença baixado “features.xml.zip” para a pasta do produto. Nele está contido um único arquivo “features.xml” que deve ser colocado na pasta do produto como mostrado abaixo: Uma vez que você descompacte o arquivo de licença na pasta do produto, todos os recursos adquiridos estarão disponíveis na próxima vez que executar o programa. 145 Se você adquiriu uma licença flutuante, você também vai receber uma chave USB que você deve inserir em uma porta USB do seu computador antes de rodar o produto. Permita que o Windows reconheça a chave USB. Não esqueça de copiar seu arquivo, ele ainda é necessário mesmo que você esteja usando uma licença baseada em chave USB. Você pode checar se está registrado corretamente selecionando o item de menu About no menu Help. Se tudo estiver certo, a janela About vai conter o nome da sua organização na área This product is registered to: Em alguns casos seu código de licença pode ser solicitado para o fornecimento de suporte ao consumidor. Para obter o código de licença, selecione License information do menu Help. A seguinte tela será mostrada: 146 Você pode copiar a chave clicando no botão Copy license. Tipos de Licença Há dois tipos de uso do produto com várias licenças: Fixed license. Essa licença está agregada a um único computador. Permite que você use o software apenas no programa que foi especificado durante a aquisição. Você não pode usar o software em outros computadores. Esse tipo de licença é mais barato que a flutuante. Para adquirir essa licença, você terá que indicar o ID de Hardware do computador alvo mostrado na janela de informação de Licença. Se você reinstalar o sistema ou adicionar algum hardware, seu ID de hardware pode mudar. Nesse caso você terá que solicitar outra chave para a Belkasoft. A antiga chave será desabilitada. Você deverá comprar uma licença para cada estação de trabalho em que queira instalar o software. Floating license. Essa licença permite que você use o software em todo computador que tenha uma chave USB inserida. Sua chave de licença não está vinculada a nenhum computador em particular, no entanto, o programa não rodará sem o dongle. Nem permitirá que você realize nenhuma operação se você retirar o dongle do computador com o programa rodando. Essa licença é mais cara que a fixa, mas dá muito mais flexibilidade, particularmente para mudar livremente a sua configuração de hardware. 147 Por que escolher licença flutuante? Se você necessita de mais flexibilidade (por exemplo, você vai usar o software em diferentes computadores), você pode escolher a licença flutuantes. Por exemplo, se você tem 6 investigadores e cada investigador tem 2 estações de trabalho e um laptop, ao invés de comprar 18 licenças fixas, você pode obter 6 licenças flutuantes e economizar. Por favor, note que ao contrário da licença fixa que está disponível quase que imediatamente após a aquisição, a licença flutuante requer que as chaves USB sejam entregues a você, e suas chaves podem levar um tempo para chegar. Nós ficaremos felizes em fornecer uma licença fixa temporária para permitir que você use o produto de imediato. 148