Belkasoft Evidence Center 2014

Propaganda
Belkasoft
Web: http://belkasoft.com
Email: [email protected]
Belkasoft Evidence Center 2014
Sumário
Resumo do Belkasoft Evidence Center 2014 ............................................................................................5
Funcionalidade principais do Belkasoft Evidence Center ........................................................................6
Versões do produto e edições..................................................................................................................7
Hardware recomendado ..........................................................................................................................8
Instalando Evidence Center 2014 ............................................................................................................8
Gerenciamento de Casos .........................................................................................................................9
Requerimentos .........................................................................................................................................9
Instalando Gerenciamento de Casos........................................................................................................9
Criando um banco de dados SQL Server ................................................................................................10
Instalando Belkasoft Evidence Center Enterprise ..................................................................................12
Início rápido............................................................................................................................................14
Software de uso forense ........................................................................................................................15
Rodando o programa .............................................................................................................................16
Gerenciamento de Casos .......................................................................................................................18
Abrindo um caso ....................................................................................................................................18
Gerenciando Casos .................................................................................................................................20
Janelas do produto .................................................................................................................................21
Process Explorer ...................................................................................................................................23
Caso, origem de dados, perfil e propriedades de bookmark ................................................................27
Lista de Itens .........................................................................................................................................29
Propriedades do Item ...........................................................................................................................31
Gerenciador de Tarefas.........................................................................................................................32
Resultados de busca .............................................................................................................................34
Visualizador SQLite ...............................................................................................................................35
1
Visualizador de Registry........................................................................................................................38
Graphical Timeline ................................................................................................................................39
Grid (Textual) Timeline .........................................................................................................................41
Visualizador de Imagem e Documentos ...............................................................................................45
Visualizador Hex ...................................................................................................................................46
Navegador Web....................................................................................................................................46
Procurando por evidência ......................................................................................................................48
Extraindo evidências ..............................................................................................................................54
Extraindo históricos QQ 2009-2013 .......................................................................................................56
Opção 1 ................................................................................................................................................56
Como testar a opção 1?........................................................................................................................57
Opção 2 ................................................................................................................................................57
Como testar a opção 2?........................................................................................................................58
Opção 3 ................................................................................................................................................58
Procurando por palavra-chave ...............................................................................................................59
Bookmarking ..........................................................................................................................................61
Criando relatórios...................................................................................................................................63
Opções avançadas de relatório ..............................................................................................................65
Exportar para Evidence Reader ..............................................................................................................73
Carving and Live RAM analysis ...............................................................................................................74
O que é Carving ....................................................................................................................................74
Como iniciar o Carving..........................................................................................................................75
BelkaCarving™ ........................................................................................................................................80
Analisando arquivos de hibernação e paginação ...................................................................................82
Analisando dispositivos móveis..............................................................................................................83
Analisando documentos .........................................................................................................................86
Análise "low hanging fruits" de registro .................................................................................................90
Analisando arquivos de sistema .............................................................................................................92
Analisando bancos de dados SQLite.......................................................................................................93
Analisando a freelist do SQLite ............................................................................................................93
Analisando arquivos de transação do SQLite .......................................................................................94
Resolvendo nome MSN ..........................................................................................................................95
Gerenciamento de usuários (Apenas Enterprise) ..................................................................................95
Analisador de tráfego de rede................................................................................................................95
2
Detectando arquivos criptografados ......................................................................................................96
Informações extraídas de navegadores web..........................................................................................98
Browser passwords.................................................................................................................................98
Cálculo do Hash ......................................................................................................................................99
Codificação ...........................................................................................................................................100
Timestamps ..........................................................................................................................................102
Fusos horários ......................................................................................................................................102
Ordenação ............................................................................................................................................104
Análise de Imagens...............................................................................................................................105
Detectando rostos ..............................................................................................................................107
Detectando texto ................................................................................................................................109
Detectando pornografia .....................................................................................................................112
Detectando imagens forjadas .............................................................................................................114
Removendo imagens detectadas incorretamente:..............................................................................117
Armazenando imagens e documentos no banco de dados .................................................................117
Operações com imagens ......................................................................................................................118
Trabalhando com dados de geolocalização .........................................................................................119
Copiando arquivos para uma pasta......................................................................................................124
Copiando arquivos embutidos e anexos para pasta ............................................................................125
Filtros....................................................................................................................................................126
Gerenciando Filtros ..............................................................................................................................128
Editando propriedades do filtro ...........................................................................................................128
Análise de vídeo ...................................................................................................................................130
Janelas de Erro .....................................................................................................................................133
Opções..................................................................................................................................................135
Opções Gerais .....................................................................................................................................135
Opções de imagem .............................................................................................................................136
Opções de Vídeo .................................................................................................................................139
Mudando a pasta CaseData ................................................................................................................140
Montando imagens de disco ou de dispositivos móveis......................................................................141
Verificando atualizações ......................................................................................................................141
Recursos disponíveis ............................................................................................................................142
Limitações do modo Demonstração ....................................................................................................144
Registrando o produto..........................................................................................................................144
3
Hardware ID........................................................................................................................................144
Após a compra ....................................................................................................................................145
Tipos de Licença ...................................................................................................................................147
Por que escolher licença flutuante? ...................................................................................................148
4
Resumo do Belkasoft Evidence Center 2014
Belkasoft Evidence Center é o carro-chefe da suíte de produtos de forense digital da
Belkasoft. O produto torna mais fácil para um investigador pesquisar, analisar e compartilhar
evidências digitais localizadas em desktops, laptops, imagens forenses, memória volátil,
máquinas virtuais e em dispositivos móveis. A suíte permite a pesquisa textual completa entre
as centenas de diferentes tipos de evidência e oferece uma linha do tempo totalmente visual,
permitindo a investigadores analisar todas as atividades de usuário no sistema que ocorreram em
um determinado período de tempo.
Belkasoft Evidence Center destina-se a coletar o maior número de tipos de evidências possíveis
de maneira forense. Os tipos de evidência suportados incluem documentos office, caixas de
correio, aplicativos de dispositivos móveis, histórico de uso, arquivos de sistema e registro, arquivos
de imagem e vídeo, bancos de dados SQLite, comunicação em redes sociais, históricos de mensagens
instantâneas, sessões de navegação na Internet, webmail, dados de aplicativos P2P, aplicações em
nuvem, chats de MMORPG, arquivos criptografados, entre outros…
5
O produto é parte da família de produtos Belkasoft Acquisition & Analysis Suite. Ele pode ser
comprado separadamente ou como parte da suíte.
Funcionalidade principais do Belkasoft Evidence Center
O produto oferece, entre outros, os seguintes recursos forenses de grande importância:

Documentos Office, incluindo arquivos Microsoft Office, OpenOffice, PDF e RTF: Texto em
claro, metadados e objetos embutidos são extraídos e analisados.

Backups de dispositivos móveis, imagens UFED para Android, iPhone, iPad e Blackberry
são analisados e chamadas, SMS/iMessages e dados de aplicações são coletados.

Todos os principais clientes de e-mail são suportados incluindo Outlook, Outlook Express,
Mozilla Thunderbird, Windows Live Mail, The Bat etc.

Arquivos de imagem e vídeo são varridos e analisados para dados EXIF, pornografia,
rostos, texto "scaneado" e sinais de adulteração/modificação de imagem. Mais de 90
formatos de imagem são suportados incluindo muitos formatos RAW de câmeras.

Todos os principais navegadores web são suportados incluindo Internet Explorer,
Mozilla Firefox, Chrome, Opera, Safari, etc.

Todos os principais clientes de mensagem instantânea são suportados incluindo Skype,
MSN, Yahoo Messenger, ICQ, e muitos mais.

Mais de 150 tipos de arquivos criptografados podem ser identificados.

Arquivos de sistema tais como logs de eventos do Windows, thumbnails, thumb
cache, arquivos de registry e jumplists são suportados.

Pesquisa textual completa em todos os tipos de evidências coletadas.

Suporte nativo a bases de dados SQLite, permitindo recuperação de bases danificadas
ou parcialmente sobrescritas.

Visualizador SQLite proprietário, logo não há necessidade de uso aplicações de terceiros.

Análise de SQLite freelist, WAL e arquivo de jornal extraem evidências parcialmente
destruídas e mostram informações como SMS de iPhone e conversas Skype apagadas.

Suporte nativo a arquivos de registro do Windows permitindo recuperação de entradas
danificadas ou parcialmente sobrescritas.

Visualizador de registry proprietário permite visualização automática dentro da própria
aplicação.
6

Recuperação(“Carving”) de histórico suportado em espaço alocado, não alocado ou disco
inteiro.

Capacidade de processar arquivos com formato de codificação YEnc, tanto em espaço
alocado como arquivos apagados e também reconhecê-los em anexos de e-mails.

Análise de memória volátil (RAM) permite a extração de informações de mídias sociais
(Facebook, Twitter,…), Webmails (Gmail, Hotmail,…), dados de aplicações em nuvem
(Dropbox, Flickr,…) entre outros.

Análise BelkaCarving™ desfragmenta “dumps” de memória RAM para resultados mais
assertivos.

Versão de linha do tempo baseada em texto ou completamente visual provê habilidade de
filtrar e mostrar todas atividades de usuário e eventos de sistema de forma unificada.

Relatórios em formato texto, HTML, XML, CSV, PDF, RTF, EML, Excel e Word, com opção de
uso de poderosos componentes de edição.

Leitor de evidências gratuito permite compartilhar descobertas com colegas de trabalho
com ou sem o Belkasoft Evidence Center instalado.

Suporta montagem e interpretação de imagens Encase (E01, Ex01, L01 e Lx01), F T K ( AFF,
AD1 e AF1), X-Ways, SMART, UFED, Android, DD (RAW) e DMG, incluindo drives de
sistemas operacionais (VHD e XVA) virtualizados ou não. Suporta também arquivos de
máquinas virtuais ( .vmdk e .vdi ).

A empresa Guidance Software aprovou a integração com EnCase v.7 por meio de script
gratuito disponibilizado via download.

Capacidade de processar casos grandes (Contendo muitas caixas de e-mail de 10Gb).
Versões do produto e edições
O produto existe nas seguintes versões:

Standalone. Versão de usuário único, deve ser instalada num computador ou laptop.

Portable. Esta versão também é para um único usuário, mas pode ser rodada de um
pendrive.

Enterprise. Esta versão é multiusuário, suportando trabalho colaborativo de múltiplos
7
investigadores. Deve ser instalada num servidor e máquinas para cada usuário.
As seguintes edições estão disponíveis para versão Standalone:

Chat Analyzer

Chat & Social Analyzer

Professional

Ultimate
Hardware recomendado
Se você planeja trabalhar com casos pequenos, médios ou lidar somente com chats ou navegadores
da web e se a quantidade de dados extraídos é relativamente pequena, você pode usar sua estação
de trabalho para utilizar o produto. Não existem requisitos especiais de hardware.
O software foi testado em computadores normais e ele pode lidar com casos de até 10G de
evidência.
Se você planeja trabalhar com casos grandes ou está utilizando a versão Enterprise é recomendado
seguinte especificação de hardware:

Quanto mais RAM melhor (Recomendado pelo menos 4 GB de RAM).

CPU rápida (Um processador multi-core ou múltiplos processadores é recomendado).

Um drive SSD dedicado é recomendado para o SQL Server (ou um Hard Drive dedicado).
Instalando Evidence Center 2014
Para instalar Belkasoft Evidence Center, descompacte o arquivo que você baixou do site da Belkasoft
e execute o arquivo executável. O assistente de instalação irá guiá-lo através das etapas de
instalação.
8
Certifique-se de que o nome do fornecedor é Belkasoft OOO e responda Sim à pergunta de controle
de acesso do usuário:
Gerenciamento de Casos
A subseção seguinte só se aplica se seu Belkasoft Evidence Center vem com o componente
Gerenciamento de Casos. Caso contrário, sua configuração está completa e você pode continuar a
usar o produto.
Requerimentos
Embora o pacote de instalação vá tentar fazer tudo automaticamente, alguns passos podem não ser
permitidos em algumas circunstâncias, dependendo de configuração de computador e sistema
operacional.
Neste caso, você terá que certificar-se de que os seguintes pré-requisitos sejam atendidos:
http://belkasoft.com/bec/en/Evidence_Center_Installation.asp
Instalando Gerenciamento de Casos
Se a sua versão do Belkasoft Evidence Center vem com suporte Case Management, pode-se optar
por instalar o SQLite ou banco de dados Microsoft SQL Server. Enquanto o Microsoft SQL Server pode
9
conter mais dados e é geralmente mais poderoso, ele é uma base de dados muito mais complicada
para instalar e manter.
Depois de aceitar o contrato de licença e selecionar a pasta de instalação adequada, você será
solicitado a instalar um banco de dados. Há duas opções disponíveis atualmente:

Banco de dados SQLite - Mais simples (recomendado, não é requerido tuning)

Banco de dados MS SQL Server - Recomendado para casos grandes e se a versão a ser
instalada é Enterprise.
Por favor selecione a sua configuração para descobrir como instalar o banco de dados SQL Server:

Com conexão a Internet, sem SQL Server instalado

Com conexão a Internet, Windows em linguagem diferente do inglês

Sem conexão à internet e sem SQL Server instalado

SQL Server já instalado

Planejamento para casos grandes (maiores que 10Gb)
Tendo qualquer problema com a instalação automática do banco de dados SQL Server, verifique o
arquivo de instalação colocado na pasta C:\Users\YOUR NAME HERE\AppData\Local\Temp
\SqlSetup.log (para a seguinte C:\Users\YOUR NAME\AppData\Local\Temp\SqlSetup_1.log).
Se precisar de ajuda para instalar e utilizar o produto, por favor, envie e-mail para
[email protected], e teremos o maior prazer em ajudá-lo.
Criando um banco de dados SQL Server
Nesta página, você será solicitado a selecionar uma instância de banco de dados para trabalhar.
10
Clique em Next.
Se você selecionou o MS SQL Server, a seguinte tela será exibida. Selecione uma instância disponível
daqueles mostrados na lista e clique em Install.
11
O produto irá criar um banco de dados chamado "Case" na instância selecionada. O produto será
configurado para trabalhar com essa instância e esse banco de dados.
Instalando Belkasoft Evidence Center Enterprise
A instalação da versão Enterprise é similar à versão standalone, com apenas algumas pequenas
diferenças.
No início da instalação, você será solicitado a escolher se quer instalar o servidor ou a parte do cliente
do produto:
12
A parte do cliente não irá instalar um banco de dados local MS SQL Server, mas irá instalar algumas
bibliotecas do SQL Server para o produto para se conectar ao servidor. Portanto, se você estiver
instalando em um computador sem acesso à Internet, você terá que colocar os mesmos arquivos de
instalação
da
Microsoft
para
a
pasta
de
instalação,
conforme
descrito
no
http://belkasoft.com/bec/en/ Evidence_Center_Installation.asp, exceto para o arquivo de instalação
do SQL Server.
Na tela de configuração de banco de dados, você será solicitado a selecionar uma instância do
SQL Server disponível na sua rede local. Escolha a instância que você instalou durante a
instalação do Server (por esta razão, recomendamos a instalação do Servidor de antemão).
Se você estiver instalando o cliente primeiro, você terá que escrever manualmente o nome do
computador e da instância na caixa de texto como mostrado na imagem a seguir:
13
Você pode instalar o cliente e o servidor na mesma máquina; note, no entanto, que você vai precisar
de uma licença separada para este cliente (A licença de servidor não vai funcionar para a instalação
do cliente, mesmo se o cliente estiver na mesma máquina).
Início rápido
Após a instalação, comece a trabalhar com o produto com três passos simples:

Crie um novo caso.

Procure dados dentro da pasta sample histories em C:\Program Files (x86)\Belkasoft
Evidence Center\samples.

Veja o que o produto extrai.
14
Software de uso forense
Belkasoft está fazendo seu melhor para criar um produto que segue as regras de uma investigação
forense.

O software nunca tenta escrever em uma mídia que está sendo investigada. É totalmente
compatível com dispositivos de bloqueio de gravação e arquivos de imagem.

Para se certificar de que os dados sendo investigados não são alterados, “hashes” são calculados
para cada perfil adicionado a um caso. Você pode comparar o valor de “hash” do perfil original
com o atual a qualquer momento.

O software não pede senhas ou outras informações a respeito do usuário dono dos dados. Toda
extração e decodificação é realizada sem saber credenciais originais do usuário.

O software funciona utilizando a conta do investigador na máquina do investigador e não requer
quaisquer aplicações usadas pelo suspeito que está sendo investigado. Por exemplo, ele não é
obrigado a ter o Microsoft Outlook instalado para recuperar a história Outlook.

O software nunca se conecta à Internet e permanece totalmente operacional offline. Existem
apenas algumas exceções documentadas a esta regra, a saber:
o
Quando o software é iniciado, o Windows verifica automaticamente o seu certificado de
código de assinatura e tenta fazer uma chamada OCSP padrão para detectar se o certificado
X.509 está revogado. Isto é feito pelo Windows e não pelo software e é causado pelo fato
de que o software é assinado com certificado de autoridade conhecida. Se você bloquear
essa conexão, não vai haver problemas.

o
Extração de conversas QQ 2009-2013.
o
Mostrar fotos no Google Maps.
o
Verificação de atualizações são realizadas somente por requisição explícita.
Os resultados de extração são 100% repetíveis. Você sempre tem a opção de re-extrair dados
para garantir que os resultados são absolutamente os mesmos.
15
Rodando o programa
Selecione o programa a partir da pasta menu Iniciar onde você escolheu para instalá-lo.
Quando solicitada permissão de execução do programa pelo Controle de Acesso do Usuário do
Windows, aceitar para continuar.
A primeira tela para a versão Standalone do produto será a tela Open Case.
A primeira tela para a versão Enterprise será a tela de login. Para acessar o servidor pela primeira vez,
use o usuário caseadmin com a mesma senha (“caseadmin”). Na janela gerenciamento de usuários
que se abre quando você está conectado a um servidor, você deve criar os usuários que, em seguida,
16
serão capazes de entrar a partir de computadores clientes.
Se você não é a pessoa que instalou o servidor, você será registrado como cliente. Se este for o caso,
use o login e senha fornecidos pela pessoa que administrou a instalação do servidor.
Registrando-se (somente para versão Enterprise)
Quando você executa o produto, ele irá pedir suas credenciais a fim de proteger os dados. Você deve
possuir um nome de usuário e senha relevantes a fim de acessar os dados de casos. Você poderá ver
apenas os casos aos quais seu usuário foi concedido acesso.
Digite seu nome de usuário e senha e clique em OK.
As credenciais padrão são: usuário – caseadmin, senha – caseadmin.
17
Gerenciamento de Casos
Gerenciamento de casos é um módulo opcional, que permite a você:

Armazenar de forma confiável, todas as informações em banco de dados (SQLite ou MS SQL
Server).

Agrupar evidências por casos.

Trabalhar com múltiplos casos ao mesmo tempo.

Trabalhar com conjutos de dados totais maiores que 2Gb.

Apagar casos antigos quando não forem mais necessários.
Se você não tem o módulo de Gerenciamento de Casos, todos os dados extraídos durante a sessão
atual serão perdidos quando você fechar o produto e não estarão disponíveis na próxima execução
do programa. Antes de sair da ferramenta, você tem que gerar um relatório para evitar a extração
dos mesmos dados ou selecionar Export to Evidence Reader no menu principal. Com o gerenciador
de casos, esse não é mais um problema.
É extremamente recomendado ter gerenciamento de casos para os usuários que têm que rever a
evidência várias vezes, armazenar provas por períodos longos e para trabalhar em casos com mais de
2 GB de dados.
Abrindo um caso
Se você tiver módulo de gerenciamento de casos você deve selecionar um caso para trabalhar logo
após o produto ser iniciado.
Versão Standalone: Na janela Open Case, você verá todos os casos existentes na base de dados.
Versão Enterprise: Na janela Open Case, você verá apenas os casos que você tem acesso. Você
pode abrir um caso existente ou criar um novo. Se você clicar em Cancel, o produto irá sair.
18
Se você prefere que o produto abra o último caso você trabalhou, você pode selecionar Always
Open last case and do not show this dialog na tela Open Case.
Para criar um caso, clique no botão New. A seguinte janela será exibida:
19
Nesta janela, você pode atribuir um nome ao caso, digite seu nome no campo Investigator e atribua
uma descrição.
Importante: Certifique-se de especificar o fuso horário padrão correto para o caso. Alguns aplicativos
armazenam data/hora em hora local, enquanto outras aplicações armazenam esses dados em UTC. É
vital saber o fuso horário local para alinhar todos os eventos. Você pode fixar essa configuração para
uma fonte de dados específica ou perfil. Você também pode modificar caso fuso horário mais tarde.
Se você quiser alterar o caso que está trabalhando, clique em Open Case na barra de ferramentas do
produto:
Você pode também clicar em New Case para criar um novo caso em branco.
Gerenciando Casos
Se você tiver o módulo de gerenciamento de casos, você pode gerenciar casos utilizando a janela
Open Case. Nesta janela, você pode:

Criar um novo caso clicando no botão New

Renomear um caso selecionado clicando no botão Rename, pressionando F2 ou clicando no
item selecionado pela segunda vez.

Apagando um ou mais casos.
20
Note que você não pode excluir um caso que você está trabalhando no momento. É possível excluir
todos os casos, no momento em que o produto é iniciado e antes de abrir qualquer caso.
Enterprise: Você não pode excluir um caso se um usuário diferente está trabalhando com ele (Ex.: Se
uma extração de dados é realizada dentro desse caso).
O botão Delete será desabilitado para casos que não podem ser excluídos naquele momento.
Janelas do produto
Quando você abre um caso a janela principal é mostrada. A janela principal consiste de várias partes.
Todas as janelas filho da janela principal são altamente personalizáveis. Você pode movê-las, mostralas ou escondê-las, encaixá-las em qualquer parte da tela, organizar em qualquer ordem, agrupar
com outras janelas ou torná-las auto ocultas ou flutuantes.
Belkasoft Evidence Center suporta várias configurações de exibição. Se você tem um computador com
vários monitores é possível criar uma ou mais janelas do produto em outros monitores, tornando
assim mais fácil para trabalhar com grandes quantidades de dados.
21
Dicas de Encaixe: Você pode encaixar uma janela em qualquer lugar dentro da interface do produto.
22
Janelas Flutuantes: Você pode fazer qualquer parte da interface do usuário flutuante;
particularmente, é possível colocar a lista de itens para outro monitor.
Process Explorer
O Process Explorer exibe o conteúdo do caso. Ele organiza informações sobre o caso em forma de
uma árvore. O nó de nível superior representa o caso em si. Sob o nó caso, há subnós para fontes de
dados. Uma fonte de dados corresponde a uma única unidade, imagem de unidade, “dump” de
memória, telefone ou outro “dump” de dispositivo móvel, arquivo de máquina virtual, ou uma pasta.
Cada fonte de dados contém tipos de evidência subnós, por exemplo, todas as informações
relacionadas com o Instant Messenger serão agrupadas, por exemplo, no subnó chamado Instant
23
Messengers. Os tipos de evidência atualmente suportados são:

Navegadores

Dados Recuperados (“Carved data”)

Arquivos criptografados

Mensageiros instantâneos (“Instant messengers”)

Caixas de email

Backups de dispositivos móveis

Tráfego de rede

Documentos Office

Imagens

Arquivos de registro do Windows

Bancos de dados SQLite

Arquivos de sistema

Vídeos
Um subnó especial é chamado Bookmarks (Marcadores) e contém todos os itens que você achar
interessante. Outro subnó especial é Timeline (Linha do tempo), contendo todos os eventos dentro
de seu caso.
24
Sob nós tipo evidência há nós de perfil. Um "perfil" é uma peça de informação específica para um
determinado usuário e um determinado programa. Por exemplo, um perfil do Outlook é um arquivo
.pst que contém uma das caixas de correio do usuário. Um perfil Skype é uma pasta com alguns
arquivos Skype dentro e assim por diante.
Existem filtros disponíveis para exibir fotos, vídeos, documentos, aplicações para backups móveis
entre outros.
Nós do tipo perfil podem conter subnós filho que são específicos para um determinado tipo de
histórico. Por exemplo, perfis de mensagens instantâneas contêm contatos (“amigos" do dono desse
perfil); perfis de e-mail contêm pastas de e-mail pertencentes à caixa de correio do perfil; perfis com
fotos, vídeos e documentos contêm filtros, e assim por diante.
25
Você pode executar todas as operações com o caso, selecionando um nó e selecionando itens do
menu principal, menu de contexto ou a barra de ferramentas. Algumas das operações disponíveis
são:

Extrair dados

Criar relatórios

Buscar perfis

Carve device

Pesquisa por palavra-chave

Apagar perfil
As seguintes operações são específicas para perfis de e-mail:

Copy attachments to folder (cópia todos os anexos de todos os e-mails para uma única pasta,
tomando cuidado com arquivos de mesmo nome, renomeando-os para que eles não serão
substituídos)
As seguintes operações são específicas para perfis de documentos:

Copy files to folder. Copia todos os documentos encontrados dentro de uma fonte de dados
para uma única pasta, facilitando a revisão com uma ferramenta de terceiros.

Copy embedded files to folder. Copia todos os arquivos embutidos encontrados em todos os
documentos, tais como imagens, facilitando a revisão por uma ferramenta de terceiros.

Filters. Ajuda a filtrar documentos encontrados utilizando vários critérios, como por exemplo metadados.
As seguintes operações são específicas para perfis de Imagens e Vídeos:

Analyze pictures (Análisa imagens ou quadros-chave de vídeo para pornografia, rostos e
falsificação)

Copy files to folders (copia todas as imagens encontradas em uma única pasta, facilitando
ainda mais a revisão com uma ferramenta de terceiros; não disponível para vídeos)

Filters (ajuda a filtrar imagens encontradas imagens ou vídeos por meio de vários critérios,
como por exemplo, os metadados EXIF)
26
As seguintes operações são específicas para arquivos criptografados:

Decrypt (Decifra todos os arquivos encontrados criptografados, disponível somente se você
tiver Passware Kit Forensic instalado).
As seguintes operações são específicas para backups de dispositivos móveis:

Unpack backup (Descompacta todos os arquivos a partir de um backup em uma pasta;
disponível apenas para iPhone / iPad)
As seguintes operações são específicas para perfis de Instant Messenger e tráfego de rede:

Select encoding for a profile (Escolhe outra codificação para bate-papos; exceto messenger
- padrão)

Hide/Unhide contacts without history

Sort contacts by various criteria

Copy contact UIN or SN
Caso, origem de dados, perfil e propriedades de bookmark
A janela Properties mostra as propriedades de um item, selecionados no Process Explorer. Esta
janela é exibida para um caso, fonte de dados, perfis e bookmarks.
Para um caso e um bookmark, você pode editar o name e description. Para um perfil, você pode
editar o name e comments. Para um caso, um perfil e uma fonte de dados você pode editar
timezone. Isso é útil quando você tem várias fontes de dados de diferentes fusos-horários, por
exemplo, um disco rígido de um suspeito dos EUA e um telefone de outro suspeito da Europa.
Depois que você alterou qualquer um destes campos, as alterações serão salvas automaticamente
quando você selecionar qualquer outro campo ou nó no Case Explorer.
27
As fontes de dados têm propriedades adicionais. Se uma fonte de dados é o disco rígido, unidade
lógica ou imagem de unidade, as partições e sistemas de arquivos são mostrados na página de
propriedades:
28
Lista de Itens
A janela Item List exibe a lista de itens pertencentes a um nó selecionado no Case Explorer. Listas de
itens são mostrados para todos os dados do navegador como sites, cookies, senhas, pastas de caixas
de correio, perfis com fotos e vídeo, Instant Messenger, bookmarks, etc. Os nós podem ser
nomeados de forma diferente para diferentes fontes. Por exemplo, para mensageiros instantâneos o
nó é chamado de " Lista de mensagens”, nó imagem é chamada de "Lista de imagens" e assim por
diante.
Ao selecionar um item na lista de itens, você pode inspecionar as propriedades do item na janela
propriedades do item. Você também pode copiar um item de texto ou marcá-lo, criar relatório para
todos ou selecionados e fazer algumas outras ações específicas para um tipo particular evidência (por
exemplo, mostrar imagens selecionadas tendo as coordenadas do GPS no Google Maps).
Item List oferece suporte a classificação em ordem crescente e decrescente. Ele se lembra do último
modo de ordenação aplicada.
A lista permite que você altere as larguras das colunas e se lembre de suas últimas preferências.
Mensagens de chat, ordenadas por ordem alfabética de texto
Ao selecionar imagem, vídeo ou perfil do documento, lista de itens mostra previews de itens de
perfil, em vez de uma exibição de tabela:
29
Você pode classificar os itens, selecionando o critério dentro da caixa Sort by
30
É possível alterar o tamanho da miniatura usando o controle deslizante a direita de Sort by.
Você pode selecionar vários itens dentro de ambos os tipos de listas usando as teclas Shift ou Control
juntamente com teclas de cursor. Para selecionar todos os itens, pressione Ctrl-A.
Propriedades do Item
A janela Item Properties permite que você inspecione propriedades do item selecionado no caso de
haver apenas um item selecionado.
A aba Item text exibe o texto do item atual. Se você desejar, copie este texto, selecione qualquer
parte do texto com o mouse e pressione Ctrl-C. Para selecionar todo o texto, aperte Ctrl-A.
A aba Properties mostra todos os detalhes sobre o item. Você pode copiar os valores usando o menu
do próprio item.
31
Gerenciador de Tarefas
O Task Manager exibe o status das tarefas executadas pelo investigador como procurar perfis, extrair
ou exportar históricos, buscas no histórico, exclusão de um perfil, e assim por diante.
32
Task Manager permite parar tarefas selecionadas clicando o botão Cancel task. Você pode parar
todas as tarefas em execução clicando no botão Cancel all. Você pode ver o log de tarefas concluídas
clicando em View task log ou um duplo-clique em qualquer tarefa dentro da lista de tarefas. Você
pode cancelar múltiplas tarefas e arquivos de log aberto para várias tarefas usando a seleção
múltipla (use a tecla Shift ou Ctrl enquanto seleciona itens com o mouse ou teclado). Depois de
cancelar uma tarefa aguarde alguns segundos até que ela termine.
Existem as seguintes abas no Task Manager:

Running. Aqui você pode ver todas as tarefas executadas pelo programa.

Scheduled. Esta página contém todas as tarefas que estão esperando para serem
executadas. O programa executa apenas uma quantidade limitada de tarefas de cada vez,
tentando tirar o máximo proveito da atual configuração de hardware (por exemplo,
quantidade de CPUs e Hyper-Threading). Isto é feito para acelerar o processamento.
Enquanto as CPUs estão ocupados com tarefas em execução, todas as outras tarefas estão
esperando na fila.

Completed. Todas as tarefas concluídas são exibidas nesta página. Você pode filtrar essas
tarefas por seu estado marcando as checkboxes Success, Errors, Failed or Canceled.
Task Manager exibe os seguintes campos para uma tarefa:

Nome da tarefa (Coluna Task)

Progresso da tarefa (% completed)

Status atual da tarefa (Status)
33

Horário de início da tarefa (Time)

Tempo gasto desde o início da tarefa (Elapsed)
Você pode ajustar as larguras das colunas nesta janela. Suas preferências serão armazenadas.
Resultados de busca
A janela Search Results mostra todos os itens encontrados durante a última operação de busca. Esta
é uma lista simples de todos os itens que correspondem aos critérios de pesquisa. Ela mostra:

Ícone para um tipo de perfil de item (por exemplo, ícone do Skype)

Texto do Item (Coluna Text)

Nome do campo e em qual termo de busca foi encontrado (Coluna Field name)

Nome do Perfil

Source (fonte de dados que contém o perfil onde um termo de busca foi encontrado)
Usando janela Search Results, você pode criar relatórios ou marcar itens selecionados. Para fazer
isso, selecione os itens de interesse utilizando o mouse e as teclas Ctrl ou Shift, clicando no item de
menu correspondente.
34
Você pode ajustar as larguras das colunas nesta janela. Suas preferências serão salvas. Você pode
ainda classificar os resultados de pesquisa das colunas Field name, Profile name ou Source de forma
crescente ou decrescente clicando no cabeçalho da coluna.
Visualizador SQLite
A janela SQLite Viewer permite rever as bases de dados SQLite. Para inspecionar uma base de dados,
você pode fazer um dos seguintes procedimentos:

No Case Explorer selecionar um perfil que armazena os dados em um banco de dados
SQLite. Por exemplo, quando você seleciona um perfil Skype, SQLite Viewer será
automaticamente preenchido com os dados do banco de dados SQLite correspondente para
o perfil selecionado Skype (main.db)
35
Perfil do Skype é selecionado no Case Explorer. Visualizador SQLite mostra a base de dados do Skype

Se você fez Recuperação de dados e encontrou bancos de dados SQLite, eles serão exibidos
em uma lista de bancos de dados SQLite no nó de dados abaixo do nó Carved Data. Para
inspecionar qualquer um dos bancos de dados SQLite recuperados, selecione nó bancos de
dados SQLite no Case Explorer e na Lista de dados mostrada selecionar o item de interesse.

Você pode abrir um banco de dados SQLite arbitrária, clicando no botão Open

Na janela SQLite Viewer e especificar um caminho para o banco de dados.
A textbox Current database mostra um caminho para a base de dados SQLite exibida no momento. O
Botão Open permite a abertura de um banco de dados arbitrários. A dropdown box de nomes de
tabelas permite ver todas as tabelas do banco de dados e selecionando uma tabela para avaliar.
Na parte inferior do SQLite Viewer você pode ver um número de registros encontrados no interior da
tabela selecionada.
Uma das principais características do visualizador Belkasoft SQLite vs. visualizadores não-forense de
terceiros é a sua capacidade de mostrar áreas SQLite especiais, por exemplo, freelists, arquivos WAL
e jornal. FREELIST contém dados apagados por um usuário e é, naturalmente, extremamente
importante em uma investigação forense. Os dados de freelists são destacadas pelo fundo vermelho:
36
Banco de dados SQLite usam o mecanismo de controle por transação e parte dos dados é
armazenado em um RollbackJournal especial (antes SQLite v.3.7) ou arquivos WAL (write-ahead log)
(após SQLite v.3.7). Antes que os dados vão para o arquivo de banco de dados principal, eles são
armazenados temporariamente dentro WAL, o que significa que este arquivo pode armazenar a
versão mais real de dados. Assim, é muito importante ser capaz de rever conteúdo do WAL. O SQLite
Viewer localiza automaticamente ambos os tipos de arquivos de diário e combina dados de arquivo
de banco de dados SQLite principal com os dados destes arquivos de diário. Esses dados estão em
destaque em azul:
37
Visualizador de Registry
A janela Registry Viewer permite que você reveja o conteúdo do arquivo de registro do Windows.
Este visualizador se parece ferramenta regedit padrão da Microsoft, mas tem um grande benefício,
extremamente importante em um curso da investigação forense. Belkasoft Registry Viewer pode
mostrar registros até mesmo danificadas ou sobrescritos. Ao trabalhar com os registros recuperados
você vai encontrar quase todos eles já corrompidos. Esses arquivos não serão mostrados por regedit,
mas será perfeitamente mostrado por Belkasoft Registry Viewer:
38
Graphical Timeline
A Graphical Timeline (Linha do Tempo gráfica) mostra todos os eventos aconteceram dentro de uma
fonte de dados que estão sendo investigados. Em uma única representação gráfica do produto
combina todos os eventos do navegador, chats, tempos de arquivo como criação / alteração /
tempos de acesso, os eventos do sistema (por exemplo, a atribuição de endereço IP), e-mail e EXIF
vezes e assim por diante. Todos os eventos são agrupados pelos seguintes tipos:

Browser events.

Chat events.

File events.

Mail events.

System events.

Unknown event, for all other event types.
39
A linha do tempo gráfica se parece com o seguinte:
Na foto acima, o zoom é de 1 mês para cada barra, assim representa uma série de eventos de um
determinado tipo que ocorreram dentro de 1 mês. Você pode ampliar ou reduzir usando os botões
"+" e "-”. Botões "<<" e ">>" mostram primeiros ou últimos eventos no caso. Botões "< " e "> "
expandem a linha do tempo para esquerda ou para direita.
Você também pode alterar zoom atual, usando a roda do mouse ou clicar com o botão esquerdo do
mouse e arrastar o mouse para selecionar período de tempo para ser ampliada:
40
Por fim, o botão " <>" sincroniza seleção atual para a rede (textual) timeline. Quando você clica neste
botão, a linha do tempo será filtrada pelo período selecionado de tempo na linha do tempo gráfica,
refletindo assim, apenas os eventos ocorridos nesse período. Ao sincronizar linhas-do-tempo você
pode restringir a pesquisa quando está procurando por algumas coisas incomuns, como por exemplo
picos de comunicações de chat ou conexões Wi-Fi.
A linha do tempo em grade é sincronizada com a linha do tempo gráfica automaticamente, assim
você pode aumentar ou diminuir quantidade de dados dentro da linha do tempo gráfica, filtrando
eventos na linha do tempo em grade.
Grid (Textual) Timeline
A Linha do tempo em grade (ou linha do tempo textual ou apenas linha do tempo) melhora muito a
usabilidade do Evidence Center, exibindo todas as atividades do usuário e eventos do sistema em
uma única visão agregada. Ao usar a linha do tempo, os investigadores podem olhar rapidamente
para as atividades do usuário ao longo de um determinado período de tempo ou examinar um
41
determinado período de tempo com facilidade.
O janela da linha do tempo combina todos os eventos aconteceram dentro de um caso que estão
sendo investigados em uma exibição de grade.
Nota: um único item de dados pode ter um monte de atividades ligadas na linha do tempo. Por
exemplo, um documento do Word pode ter pelo menos 3 itens de linha do tempo: de arquivo criado,
arquivo modificado, arquivo acessado pela última vez. Assim, no total, existem mais itens na linha do
tempo do que os itens no próprio caso.
Cada evento no sistema vai refletir em uma linha separada na linha do tempo, incluindo o carimbo de
data e hora, tipo de evento, fonte de dados, tipo de evento e descrição. Cada evento tem tanto a UTC
quanto a hora local. Um desses momentos é calculado tendo em conta o fuso horário especificado ao
criar um caso (ou, se substituído, usando fuso horário de uma fonte de dados ou um perfil). Por
exemplo, se um cliente armazena os dados de envio de e-mail em UTC, o tempo local, exibido dentro
do grid será calculado usando o tempo armazenado e fuso horário local compensados.
A linha do tempo baseia-se na zona de tempo especificada para o caso, suas fontes de dados e perfis.
Se um aplicativo armazena o seu carimbo de data / hora em hora local, o horário UTC é calculado
utilizando o fuso horário especificado. Se foi utilizado tempo UTC para alguns dados, a coluna hora
local é habitada por tempo calculado, que é baseado em um fuso horário.
A linha do tempo da rede é semelhante ao seguinte:
42
A primeira coluna exibe um ícone de um tipo de item (por exemplo, chat, fotos, URL, etc.). Segunda
e terceira colunas exibem a hora local e UTC. Quarta coluna mostra uma fonte de dados, em que
este ou aquele evento vieram (por exemplo, um disco rígido ou dispositivo móvel). Quinta coluna
exibe evento, por exemplo, o tempo de modificação do arquivo, tempo de expiração do cookie, a
última vez de login ou tempo em que uma mensagem de chat é enviada ou recebida. Finalmente, a
sexta coluna exibe um texto que descreve um item, por exemplo, mensagens de bate-papo, o
caminho do arquivo ou corpo do e-mail.
Ao clicar em qualquer uma das colunas você pode classificar a grade por uma ou outra coluna.
Clicando duas vezes irá alterar a ordem (Ascendente para descendente e vice- versa).
Um caso típico terá muitos itens para serem revisados dentro do cronograma. É por isso que o
Evidence Center permite filtrar itens por qualquer coluna. Para fazer isso, clique no ícone de filtro
(funil) no cabeçalho da coluna e modifique o valor do filtro na janela mostrada:
43
Você pode filtrar por UTC ou hora local, por tipo de evento, fonte de dados e texto. Filtrando por
Tempo permite que você esconda datas vazias, tais como 1753, 0000, 1900 e outras datas "vazias"
conhecidas.
Você pode combinar esses filtros para estreitar a sua pesquisa. Para ver todos os eventos sem filtro
aplicado de novo, clique no botão Clear filter dentro da janela Create timeline filter. Quando a linha
do tempo é filtrada por essa ou aquela coluna, o ícone de filtro da coluna correspondente se torna
verde como na imagem acima. A barra de status do produto mostra uma mensagem como "516
item(s) found; Applied filter: Time (UTC) from 01.01.2000 to 31.12.2039, Some event types are not
shown" (516 itens encontrados; Filtro aplicado: Horário (UTC) de 01.01.2000 a 31.12.2039, Alguns
tipos de evento não são mostrados).
A grade da linha do tempo é sincronizada com a linha do tempo gráfica automaticamente. Quando
você aplica um novo filtro (ou limpa filtros) você pode mudar para a janela Graphical Timeline e ver
como seus filtros afeta os totais lá.
44
Visualizador de Imagem e Documentos
A janela Picture Viewer (Visualizador de Imagens) pode mostrar uma amostra da imagem, quadro chave
do vídeo ou documento selecionado na Item List. Para ver a imagem em tamanho real da imagem,
documento ou quadro chave, dê um duplo clique no item de interesse. A janela a seguir será aberta:
À direita você pode revisar os metadados do documento ou imagem selecionada, como por exemplo, as
propriedades EXIF ou propriedades do documento. Se você selecionou um documento com múltiplas
páginas, você pode navegar por todas as páginas do documento usando as teclas de PgDown/PgUp ou
usando os botões do mouse:
45
Documento PDF com múltiplas páginas
Visualizador Hex
A janela do visualizador Hex (Hex Viewer) permite que você inspecione os dados binários. Atualmente só
funciona com dados recuperados. Para revisar os dados binários recuperados, selecione qualquer item
recuperado na janela Data List e a informação será mostrada na janela Hex Viewer:
Navegador Web
Se alguma imagem possuir propriedades GPS (como aquelas tiradas de um iPhone), a janela Web Browser
(Navegador Web) vai mostrar as imagens em um mapa do Google Maps. Para isso, selecione as imagens
de interesse na Picture List e selecione o item do menu de contexto Show pictures on Google Maps:
46
Em alguns segundos, o produto vai mostrar os locais onde as imagens foram tiradas no Google Maps
dentro da janela Web Browser:
Se você mover o mouse sobre o pino (o pino vermelho marcado com “A”), o produto vai mostrar
informação sobre a imagem que foi tirada naquele local.
Nota importante: Para que essa função funcione adequadamente, o recurso necessita de uma conexão
47
ativa à internet. Sem conexão à internet, o recurso não vai funcionar. Para proteger seus dados, você pode
configurar seu firewall para permitir que o produto acesse apenas http://maps.google.com.
Se você possuir uma conexão ativa com a internet, você pode até explorar o Google Street View para ver
os locais em que a foto foi tirada:
Outra nota: Se você não possui conexão à internet, você pode usar uma máquina conectada para baixar o
produto Google Earth. Essa ferramenta não requer conexão à internet, portanto você pode instalá-lo na
máquina de investigação e usar o item do menu de contexto Show selected items on Google Earth. Por
fim, você pode gravar todos os locais de interesse selecionando o comando no menu de contexto Export
selected items to Google Earth format. Assim você pode revisar o arquivo resultante (kml) de qualquer
máquina com o Google Earth instalado. Nenhum dado do suspeito é colocado no arquivo kml, apenas as
coordenadas.
Procurando por evidência
O produto permite que você procure informações em vários locais:

Discos físicos e lógicos

Imagens de disco

Imagens de celulares/smartphones e outros dispositivos móveis

Dumps de memória
48

Arquivos de sistema como arquivos de hibernação ou paginação

Bancos de dados SQLite

$MFT and $Log

Pastas selecionadas do disco

Outras áreas importantes para investigação forense
Para iniciar uma busca, você pode fazer um dos seguintes procedimentos:

Pressionar Ctrl-Shift-F

Clicar em Search Profiles na barra de ferramentas

Selecionar Search Profiles do menu Edit

Selecionar o item Search Profiles... do menu de contexto do Case Explorer
Após isso, a janela Search profiles vai aparecer. A primeira tela permite que você selecione a fonte dos
dados:
49
As seguintes opções estão disponíveis:

Selected folder. (Pasta selecionada) Use essa opção se você sabe com certeza que a evidência
está localizada em certa pasta. Essa opção é rápida e é perfeita quando trabalhar com prazo
apertado. Se esse for o caso, você pode inspecionar rapidamente uma única pasta contendo
informações de conta do usuário, que normalmente contém a maioria dos dados.

Logical drive and Physical drive (disco lógico e disco físico). Essa opção vai realizar uma busca em
todo o disco rígido conectado ao seu computador (incluindo discos rígidos externos e dispositivos
de rede).

Drive image file (Arquivo de imagem de disco). Essa opção trabalha com imagens de disco forense
criadas por outras ferramentas forenses. Os seguintes formatos são suportados:
o
Imagens Atola (.img)
o
Imagens EnCase (E01, Ex01, L01, Lx01)
o
Imagens FTK (AFF, AFM, AFD, AD1 e AF1)
o
Recipients X-Ways
o
Imagens SMART (S01)
o
Imagens DD
50
o
Imagens DMG
No momento, arquivos de Sistema do Windows, Mac OS X, Android e *nix são suportados dentro dos
arquivos de imagem. Veja “Montando imagens” para mais informações.
Mobile device image (imagem de dispositivo móvel). Você pode adicionar dumps físicos UFED da
Cellebrite contendo informação de dispositivos Android. O produto também suporta a análise de dumps
de dispositivos móveis “chip-off”.
Virtual machine file (Arquivos de máquina virtual). O produto suporta a investigação de arquivos Virtual
PC e VMWare (.vmdk, .vdi, .vhd, .xva).
Live RAM image file (arquivo de imagem Live RAM). Use essa opção para investigar a imagem capturada
do conjunto de memória volátil do computador (dump de RAM ou dump de memória), arquivo de
hibernação ou arquivo de paginação.
A opção Add all found profiles (adicione todos os perfis encontrados) especifica se é para começar a
extração de dados imediatamente para todos os perfis identificados ou se é para rodar uma extração
manual futuramente. Você também pode optar por calcular os valores hash dos perfis identificados. Essa
operação toma tempo, portanto desmarque essa opção se você está usando outro software ou hardware
para lidar com hashes.
Quando você clica Next, você será solicitado a selecionar por que tipo de evidências procurar:
51
Você pode selecionar tudo apertando o botão Select all ou especificar tipos específicos de histórico; por
exemplo, você pode procurar por registros ou caixas de e-mail do Outlook.
Quando você clicar Next, outra janela aparecerá perguntando de quais perfis tentar recuperar arquivos
apagados (por favor, veja a seção “carving” para mais detalhes). Essa seleção não será usada se você
estiver analisando uma pasta (a menos que seja encontrado um arquivo de hibernação, paginação ou
máquina virtual seja encontrada) já que não é possível tentar recuperar uma pasta.
52
Selecione os tipos de evidência para tentar recuperar e clique em Finish. A busca irá se iniciar.
Ajustando o produto para arquivos de sistema HFS/HFS+ e ext*
Se você está rotineiramente investigando máquinas com sistema de arquivo Mac OS X ou *nix, por favor,
entre em contato com o suporte da Belkasoft para instruções adicionais sobre como melhorar o
desempenho da busca.
53
Extraindo evidências
O produto permite que você extraia vários tipos de evidência da fonte de dados, como por exemplo
imagem de disco ou dump de dispositivo móvel, sem nenhum pré-requisito (com a única exceção do
mensageiro QQ 2009-2013). Você não tem que:

Saber a senha do dono do perfil para aplicativos que pedem por senha

Estar logado como o dono do perfil

Ter um programa em particular instalado para esse ou aquele formato de dados (por exemplo,
você não tem que ter o Microsoft Office ou o Outlook para extrair arquivos do office ou e-mails)

Ter direitos de escrita no disco contendo o perfil (o produto funciona perfeitamente com
dispositivos bloqueados para escrita)
Há várias opções para extração dos dados:

Extraia automaticamente evidência selecionando Start extraction for found profiles quando
estiver procurando por perfis.

Selecione qualquer perfil e clique em Extract data na barra de ferramentas, ou selecione o item
Extract data do menu de contexto de um perfil tanto no Case Explorer quanto na opção Edit do
menu principal.

Selecione Extract data for all profiles do menu de contexto do caso, da fonte de dados ou nó do
tipo de evidência no Case Explorer.
54

Por fim, você pode extrair novamente dados de perfis que já foram processados (por exemplo, se
a primeira tentativa de extração falhou).
Quando você iniciar a extração, o Task Manager vai mostrar uma tarefa de extração para cada perfil.
Quando a extração terminar, o Task Manager indicará o status da extração e permitirá que você examine
o log de extração.
O ícone de status à esquerda do perfil no Case Explorer mostra a atual situação da extração:

Círculo cinza: a extração de dados nunca foi rodada para esse perfil.

Círculo verde: os dados foram extraídos sem nenhum erro.

Círculo vermelho: um erro fatal impediu a extração de dados (nenhum dado extraído).

Círculo amarelo: apesar de ter havido alguns erros durantes a extração de dados, alguns históricos
do perfil foram extraídos e estão disponíveis para revisão.
As principais causas para a não extração de dados são:

Algum processo travou o arquivo de dados. Isso ocorre frequentemente quando você testa o
produto num sistema ativo, por exemplo, num perfil aberto do Firefox, caixa de e-mail do Outlook
ou histórico do Skype. Se for o caso, feche os aplicativos e tente de novo.

O arquivo está corrompido.

O arquivo foi incorretamente identificado como sendo o perfil de um tipo particular, portanto
uma tentativa de analisar esse arquivo usando o formato específico não pode ter sucesso.
Configuração com o Case Management: Quando dados são extraídos com sucesso, são automaticamente
armazenados no bando de dados. É seguro fechar o produto nesse ponto.
Configuração sem o Case Management: Quando dados são extraídos com sucesso e você está prestes a
sair do produto, você será solicitado a exportar os dados para o Evidence Reader (se você ainda não tiver
feito isso). Caso contrário, a informação sobre evidência extraída será perdida.
Você extrair novamente os dados para perfis que já foram processados. Isso é útil se um perfil for mudado
(normalmente num sistema ativo ou em perfil teste já que o perfil de um suspeito nunca será modificado).
55
Extraindo históricos QQ 2009-2013
Históricos do QQ Messenger são únicos. O que separa o histórico do QQ de outros tipos de histórico é que
a extração das versões 2009-2013 requer informação adicional.
As últimas versões do QQ Messenger são muito secretos. Ao contrário de muitos outros mensageiros, QQ
2009-2013 torna impossível a extração do histórico se tudo o que você tem é o arquivo de histórico.
A lista a seguir mostra que partes você precisa ter para extrair o histórico do QQ 2009-2013 com sucesso:

O disco rígido do suspeito onde o QQ foi inicialmente instalado e onde o Windows foi incialmente
instalado e acesso à internet; ou

O resultado da ferramenta da Belkasoft QqDiagnostics, rodado no PC do suspeito enquanto ela
estava conectada à internet (essa ferramenta deve ser solicitada à Belkasoft); ou

A senha original do perfil QQ e acesso à internet.
É impossível extrair o histórico do QQ a menos que um desses pré-requisitos seja alcançado.
Particularmente, você não pode extrair o histórico sem uma conexão ativa à internet, que é necessária no
PC do investigador nas opções 1 e 3 e no PC do suspeito na opção 2.
Extração da conversa é possível se o usuário gravou a senha dele (marcou a opção “lembre minha senha”)
antes de você analisar o computador em questão ou se você sabe a senha do usuário. Por favor, note que
os dados da senha armazenada expiram algum tempo depois do último login, mesmo com a opção
“lembre minha senha” marcada, portanto você não vai conseguir recuperar o histórico se o último login
foi feito há muito tempo.
Opção 1
Você precisará indicar o seguinte no programa:

A letra do disco em que o Windows foi instalado no computador do usuário. Por exemplo, se você
conectou o disco do usuário ao seu computador e agora você tem o os discos M, N e O para os
discos lógicos desse usuário, você provavelmente deve selecionar M se M:\Windows existir lá.

A letra do disco onde o QQ foi instalado. Normalmente, é a mesma letra do disco onde o Windows
foi instalado, mas alguns usuários podem instalar o QQ Messenger em outro disco.

O arquivo Registry.db precisa existir perto do Msg2.0.db

O caminho para o registro do usuário. Esse arquivo é normalmente armazenado no seguinte
caminho: C:\Windows\System32\config\PROGRAMA. Lembre-se: é o registro do usuário, não o
seu,
portanto
use
a
letra
do
disco
dele,
no
exemplo
acima,
M:\Windows\System32\config\PROGRAMA.
56
Quando você tiver fornecido todas essas informações o produto vai tentar conectar à internet. Isso é
necessário a fim de conectar ao servidor QQ. Você terá que permitir essa conexão no seu firewall ou na
ferramenta de antivírus. A fim de proteger seu computador, você pode restringir o acesso de endereços
de IP a apenas os endereços dos servidores do QQ. A lista desses IPs pode ser obtida com a Belkasoft.
Como testar a opção 1?
Para testar a opção 1, você tem que criar o seu próprio histórico de chat como uma amostra de histórico
de outro computador (o teste não vai funcionar no seu próprio PC). Faça o seguinte:

Instale o QQ mais recente, converse um pouco.

Feche o QQ Messenger (do contrário vai trancar o histórico).

Copie
seu
registro
de
Software
usando
HoboCopy,
por
exemplo,
hobocopy
c:\windows\system32\config c:\Temp\Test software onde c:\Temp\Test é uma pasta existente.

Rode nossa ferramenta, localize o histórico e preencha os campos descritos acima, usando a cópia
do original, já que o Windows tranca o arquivo original.
Opção 2
Você vai ter que entrar o caminho para o resultado da ferramenta QqDiagnostics enquanto ele roda na
máquina fonte:
57
Como testar a opção 2?

Instale a versão mais recente do QQ em qualquer máquina e converse um pouco.

Feche o QQ Messenger e copie o Msg2.0.db para a sua máquina principal.

Na máquina fonte, tenha certeza que há conexão com a internet e rode a ferramenta
QqDiagnostics. Copie o resultado, de nome qq.dat, para sua máquina principal.

Na sua máquina principal, rode o Belkasoft Evidence Center, localize o arquivo msg2.2.db e entre
o caminho para o qq.dat quando solicitado.
Opção 3
Para a opção 3, tudo que você precisa é do arquivo Msg.2.0 do utuário, a senha do usuário e conexão à
internet:
58
Quando você tiver fornecido todas as informações o produto vai tentar conectar à internet. Isso é
necessário para conectar ao servidor QQ.
Se tudo estiver configurado corretamente, o produto será capaz de decifrar o histórico.
Procurando por palavra-chave
O produto permite que você realize vários tipos de busca nas informações do caso. Para começar uma
busca você pode tanto apertar Ctrl+F, clicar no botão Search na barra de ferramentas, escolher o item
Search... na opção Edit do menu principal ou no menu de contexto do Case Explorer.
Assim que você fizer isso, a janela Search data vai aparecer:
59
As seguintes opções de busca estão disponíveis:

Procurando por uma palavra ou frase (word or phrase) Escolha essa opção se você quer encontrar
todos os dados contendo certa palavra ou frase. A busca despreza espaços e procura por
substrings, o que significa que se você buscar pela palavra “the” a palavra “there” também será
encontrada. A busca não discerne maiúsculas e minúsculas.

Procurando por palavras de um arquivo (words from file) Escolha essa opção quando você tem
um arquivo de referência com uma lista de todas as palavras de interesse. Ter um arquivo de
referência economiza muito tempo com milhares de palavras suspeitas. Usar o arquivo de
referência permite realizar uma única busca ao invés de milhares de buscas por palavras
suspeitas.

Procurando por uma expressão regular (regular expression) Expressões regulares são uma forma
poderosa de realizar buscas complicadas. Escolha essa opção se você não sabe exatamente o que
está procurando, por exemplo, enquanto procura por e-mails ou cartões de crédito você não sabe
o endereço ou o número do cartão. Você pode usar expressões regulares para realizar a tarefa:
entre "\d{4}-\d{4}-\d{4}-\d{4}" para achar qualquer número de cartão, se houver.

Busca pré-definida (predefined search). Se você não está familiarizado com expressões regulares,
o produto oferece algumas buscas pré-definidas, tais como e-mails, CPFs, nomes humanos (para
USA, Espanha, Alemanha, Rússia e China), palavras sexuais e assim por diante. Algumas dessas
60
buscas são customizáveis. Você pode encontra-las na pasta do programa e editá-las como quiser.
Você pode realizar a busca em todos os dados do caso, especificar uma única ou múltiplas fontes na janela
do Task Manager e os resultados serão mostrados na janela Search Results.
Bookmarking
O produto permite que você marque pedaços interessantes de informação com bookmarks. Um bookmark
é uma entidade com nome e descrição, e é mostrado no nó Bookmarks do Case Explorer. Um bookmark
pode se referir a qualquer número de evidência como documentos, e-mails, dados de aplicativos de
dispositivos móveis, arquivos encriptados, URLs, e assim por diante. Um item de evidência pode pertencer
a mais de um bookmark.
Um bookmark chamado “Chat and mail evidence” contém itens de e-mail e mensageiro instantâneo
O item no bookmark é marcado com cor azul clara, para que você não o perca na lista de itens:
Para adicionar um único item ou múltiplos itens a um bookmark, selecione um ou mais itens, clique com o
botão direito do mouse neles e selecione o item de menu Bookmark selected items. Você terá a opção de
criar um novo bookmark ou adicionar itens a um já existente.
61
Você pode também arrastar e soltar os itens selecionador para um o nó Bookmarks do Case Explorer
(para criar um novo bookmark) ou qualquer bookmark já existente (para adicionar o item ao bookmark).
Arraste e solte os itens selecionados para um bookmark existente para adicionar
O menu de contexto para um item do bookmark contém a opção Go to bookmark que vai selecionar o
bookmark correspondente no Case Explorer:
O menu de contexto para um item do bookmark contém a opção Go to original item que vai selecionar o
item no perfil original.
62
Você pode realizar buscar nos bookmarks, criar relatórios baseados nos conteúdos dos bookmarks e
adicionar item aos bookmarks desde a janela Search results.
Criando relatórios
O produto permite que você crie relatórios de quase todas as partes da interface do usuário. Relatórios
estão disponíveis em vários formatos como HTML e PDF. Para gerar um relatório, selecione um dos
seguintes:

Nó do caso no Case Explorer.

Nó da fonte do caso no Case Explorer.

Nó do tipo de evidência: navegadores, dados recuperados, documentos, arquivos encriptados,
mensageiros instantâneos, caixas de e-mail, tráfego de rede, imagens, registros, arquivos de
sistema, vídeo.

Nó Timeline ou Bookmarks

Um único perfil (por exemplo, perfil de Skype)

Um único bookmark

Um o mais itens de uma lista de itens, como Lista de Documentos, URLs ou lista de Bookmark

Um ou mais itens da janela Search Results

Filtros

Contatos de Mensageiro Instantâneo

Etc.
Após isso, você pode tanto clicar em Create Report na barra de ferramentas, selecionar o item Create
Report no item Edit do menu principal ou do menu de contexto do Case Explorer.
Se você está criando um relatório para itens selecionados de uma lista de itens, você pode escolher Create
report for all items ou Create report for selected items do contexto de menu da lista de itens.
63
A janela Create Report vai aparecer.
Nessa janela você pode especificar um formato alvo e um caminho para o relatório. Atualmente, os
seguintes formatos são suportados:

CSV

DOCX

EML (para e-mails apenas)

HTML

PDF

Texto puro

RTF

XLSX

XML
64
O caixa Open report when done permite que você abra os resultados do relatório com um aplicativo
padrão. Por exemplo, se você exportou para o formato HTML, o seu navegador web padrão será aberto
mostrando o arquivo resultante.
Relatório em PDF aberto no visualizador de PDF padrão
Se você exportar para arquivos múltiplos usando Split/Group do menu Advanced options, o sumário em
HTML será aberto no navegador padrão, permitindo que você selecione manualmente qualquer dos
arquivos para exame.
Você pode ajustar várias opções para customizar seu relatório. Para isso, clique no botão Advanced
options.
Opções avançadas de relatório
Você pode customizar a aparência do relatório ajustando as opções avançadas de relatório. Para isso,
aperte o botão Advanced options na janela Create report.
Na página Formatting da janela Advanced report option você pode especificar as seguintes opções:
65

Encoding (Codificação). A opção vai definir a codificação alvo para relatórios de puro texto ou CSV.
Por exemplo, para exportar chats em chinês, você pode querer usar o UTF8 ou Chinês
Simplificado.

Item Sorting (Ordenação de itens). Você pode ordenar itens por data e horário em sentido
ascendente ou descendente.

Header and Footer text (texto de cabeçalho e de pé de página). Este texto vai aparecer no
começo e no final de cada página num relatório em PDF. Para outros tipos de relatório essa opção
é desabilitada.

Date and time formats (formato de data e hora). Há vários formatos pré-definidos, usados em
diferentes países.

Orientation (orientação). Essa opção está disponível para todos os formatos Office e especifica se
é orientação paisagem ou retrato.

Report generated by (relatório gerado por). Essa opção permite especificar o nome do usuário
que gerou o relatório.
Na página Style você pode especificar as seguintes opções:
66

Default/Custom logo (logo padrão ou customizado). Por padrão o logo da Belkasoft é inserido nos
relatórios gerados, no entanto você pode usar o logo da sua organização.

Font (fonte). Você pode selecionar a fonte específica (por exemplo, Arial), estilo (por exemplo,
itálico), tamanho da fonte, efeitos de fonte (por exemplo, sublinhado), cor da fonte, etc.
A página Split/Group permite você especificar o número de arquivos a serem gerados. As seguintes
opções estão disponíveis:
67

One file (um arquivo). Escolha essa opção se a quantidade de evidência que você está exportando
é pequena. Um arquivo muito grande pode atrasar a sua análise. Por exemplo, um arquivo HTML
de 10Mb pode fazer com que o seu navegador “engasgue” e consuma muita memória.

One file per profile/data type (um arquivo por perfil/tipo de dados). Quando gerar um relatório
para um caso, fonte de dados ou tipo de evidência, você pode optar por gerar arquivos separados
para cada perfil do caso, da fonte de dados ou do tipo de evidência.

Separate file for every contact or mail folder (arquivo separado para cada contato ou pasta de email). Escolha essa opção se você está exportando histórico de mensageiros instantâneos ou de email (essa opção é ignorada para outros tipos de dados). Um arquivo dedicado será criado e
conterá apenas os eventos de um recipiente particular de chat ou uma pasta particular de e-mail.

Split by item count (separe por número de itens). Escolha essa opção para quebrar o relatório em
vários arquivos de um dado tamanho.

One file per each date (um arquivo por cada data). Essa é uma opção diária. Escolha essa opção
quando for importante para você ver os dados que ocorreram em cada data.
A mesma página permite que você selecione o tipo de agrupamento. As seguintes opções estão
disponíveis:

Do not group (não agrupe). Neste caso você verá os eventos em linha, ordenador por data e
horário.

Group by contact or mail folder (agrupe por contato ou pasta de e-mail). Neste caso os eventos
68
serão agrupados. Por exemplo, num mensageiro instantâneo, todos os chats de um determinado
usuário serão apresentados, ordenados por data e horário; depois o histórico de um outro usuário
e assim por diante. Isso é útil para examinar os chats de um determinado contato. Essa opção é
ignorada para outros tipos de evidência.
Por favor, note que algumas dessas opções são ignoradas em certos formatos. Por exemplo não é possível
agrupar nada no formato CSV.
Na página Time Period você pode selecionar o período de tempo que quer limitar a exportação:
A página Contacts está disponível para relatório de mensageiros instantâneos apenas. Nessa página você
pode selecionar quais contatos gerar: todos os disponíveis, apenas contatos com histórico em
determinada data ou apenas contatos específicos.
69
A página Pictures está disponível para relatório de imagens e vídeos apenas. Nessa página você pode
optar por borrar as imagens detectadas como pornografia e especificar o tamanho da miniatura de uma
imagem dentro do arquivo de relatório. Por favor, note que se você não rodou a análise Detect porn
nenhuma imagem será borrada, seja ela explícita ou não.
70
Na página Columns você pode especificar quais colunas de dados incluir num relatório e a ordem desejada
dessas colunas. Isso é útil para tipos de evidência que tenha múltiplos atributos, por exemplo, imagens,
que podem ter centenas de propriedades EXIF. Você pode selecionar as propriedades mais importantes
para não bagunçar o relatório resultante.
71
A página Folders permite que você opte por criar subpastas para arquivos de relatório dentro da pasta
alvo, escolhida na janela Create Report.
Se você selecionar a opção Create subfolders, o produto vai criar um número de pastas na pasta destino.
A opção According to the profile path especifica que as subpastas vão refletir os caminhos do perfil
original.
A opção According to the case tree especifica que os nomes subpastas vão repetir o caminho para um
perfil na árvore do Case Explorer.
Note que a ferramenta vai criar uma subpasta dentro da pasta alvo, com o nome do perfil, caminho da
árvore do caso ou caminho original do perfil. Se uma paste com o mesmo nome já existir, um número será
anexado ao nome da pasta para torna-lo único. Resultados previamente exportados nunca são
sobrescritos.
A janela Advanced report options vai lembrar-se de todas as preferências. A próxima vez que você clicar
Ok na janela Create Report para gerar um novo relatório ele usará as mesmas preferências avançadas de
relatório.
72
Exportar para Evidence Reader
A função Export to Evidence Reader permite que você compartilhe todos os seus achados com qualquer
um, mesmo que eles não tenham uma licença do Belkasoft Evidence Center. Evidence Reader é um
produto gratuito que pode ver casos exportados em modo read-only. Esse recurso é particularmente útil
para aqueles que têm o componente Case Management. Neste caso, certifique-se que você saia da
ferramenta para não perder dados. De outro modo, crie um relatório num dos formatos suportados, por
exemplo, HTML ou PDF.
Para exportar os dados do caso para o formado do Evidence Reader, selecione o item Export to Evidence
Reader no menu Tools ou clique no botão Export to Evidence Reader na barra de ferramentas:
A seguinte janela será aberta, que permite que sejam selecionadas profiles para exportação. Você pode
exportar todo o caso ou somente as profiles selecionadas:
73
Depois que você clica em Next, você será questionado sobre um diretório de destino para exportar ao
caso e o processo de exportação irá iniciar-se.
Carving and Live RAM analysis
O produto permite que você execute uma análise altamente sofisticada chamada “carving”
O que é Carving
Carving é uma busca sequencial com precisão no nível de bit do disco por vários artefatos. Enquanto
executa o carving, o produto não depende do Sistema de arquivos e não faz uso de “arquivos”, pois eles
podem ter sido apagados.
Ao invés disto, ele procura por sequências específicas de bytes, ou assinaturas específicas para certos
tipos de evidências. Por exemplo, a versão 3 do Skype insere a assinatura "l33l" antes de todas as
mensagens de chat, então se esta sequência é encontrada no disco, há uma alta probabilidade de que
uma mensagem de Skype será encontrada logo após este trecho.
74
l33l precede uma mensagem Skype 3 mostrado pela janela do HexViewer
Carving é uma técnica indispensável na busca por dados apagados e na procura de evidências destruídas.
Favor notar que, diferente de analisar arquivos existentes, carving não é uma técnica "precisa". Um
processo de carving pode originar resultados incompletos (por exemplo, dados não serão encontrados
para uma mensagem de chat) ou itens "falso-positivos". Os resultados falso-positivos são possíveis
quando uma assinatura é descoberta, mas ela não precede realmente dados de interesse. Isto pode
acontecer, por exemplo, se você salva um arquivo com o texto "l33l"; o arquivo vai ser identificado
incorretamente como uma mensagem do Skype.
O produto varre todo o dispositivo (disco rígido ou imagem), e não somente o espaço não alocado, então
alguns resultados podem ser duplicatas dos que você já obteve utilizado a análise de arquivos regular.
Como iniciar o Carving
Para iniciar o carving, você pode fazer uma das opções abaixo:

Execute um “profile search” por um disco físico ou lógico, drive ou imagem de dispositivo móvel,
máquina virtual, dump UFED ou imagem RAM Live. Se você selecionar qualquer item na página
Select what to carve, o produto irá efetuar o carving na fonte de dados selecionada juntamente
75
com a análise regular existente.

Clique Carve Device na barra de ferramentas.

Selecione Carve Device do menu Edit ou do menu de contexto do Case Explorer:
Após fazer isto, a janela Search profiles será aberta. Inicialmente é possível selecionar a fonte de dados
para executar o carving. Esta tela é similar a primeira dela do wizard Search Profiles com a única diferença
que a opção Selected folder está disabilitada, pois não há sentido em fazer carving em um folder:
76
As seguintes opções são disponíveis:

Logical drive. Estes são seus discos lógicos com nomes como "C:\". Cada disco pode conter um ou
vários drives lógicos a serem apresentados no combo box.
77

Physical Drive. Estas são os seus discos físicos com nomes como "\\.\PHYSICALDRIVE1". Cada disco
rígido é representado por um item único na janela de seleção.

Arquivo de Imagem de Disco, Máquina Virtual, Imagem UFED ou e chip-off mobile device dump.
Você pode executar o carving em qualquer imagem nos seguintes formatos:
o
Atola (.img)
o
EnCase (.e01, .ex01, .l01, .lx01)
o
FTK image (.aff, .afd, .afm, .ad1 e .af1)
o
UFED (imagem física de Android)
o
X-Ways container (.ctr)
o
DD ( RAW )
o
DMG
o
SMART (.s01)
o
Disco de Máquina Virtual (.vmdk, .vdi, .vhd, .xva)
o
Chip-off dump (qualquer format)
o
etc.
Os sistemas de arquivo dentro de uma imagem podem ser qualquer um dos seguintes: Windows, Mac OS
X, Android e *nix: todas as versões FAT, NTFS, HFS/HFS+, ext2/ext3/ext4, YAFFS.

Captura de imagem de memória RAM. É possível obter uma imagem raw a partir da memória
volátil (.mem). Existem algumas ferramentas que podem ser usadas para capturar a memória
live de um computador, incluindo o Belkasoft LiveRAM Capturer, que é gratuito e capaz de
trabalhar em kernel mode. Este produto está também incluído no pacote do Belkasoft Evidence
Center. O Belkasoft Evidence Center aceita a saída de qualquer programa que cria um dump de
memória RAM.

Além do dump de memória RAM, você pode também especificar um path para um arquivo de
hibernação e paginação (hiberfil.sys e pagefile.sys). Estes dois tipos de arquivos podem conter
informações da memória RAM sque foram salvas para o disco rígido devido ao funcionamento
do Windows. Eles são fontes importantes de artefatos de memória RAM porque estas
informações podem sobreviver ao desligamento do computador.
Existem também opções para buscar em diferentes clusters. Você pode diminuir o tempo necessário para
fazer sua análise procurando apenas de clusters não alocados (caso você esteja buscando por dados
intencionalmente escondidos, por exemplo).
Porém, algumas vezes a execução de carving em clusters alocados também produz bons resultados, por
exemplo, se fragmentos de dados são mantidos em arquivos existentes, porém corrompidos. Pode não
78
ser possível extrair os dados de tais arquivos utilizando a extração regular, mas o carving pode solucionar
este problema. Este é o motive pelo qual o produto permite que você escolha em que locais executar o
carving: Unallocated somente, Allocated somente ou ambos na opção: What clusters to analyze?
Nota: o carving em pastas e compartilhamento de rede não é suportado neste momento. Isto também
vale para pastas compartilhadas do VMWare também.
Se a opção Start extraction for found profiles está selecionada, o carving vai ser iniciado logo depois que
o wizard for fechado (após você clicar em Finish). Se você não marcar esta opção, a fonte de dados
selecionada (disco ou imagem) vai ser adicionada aos nós de casos do Case Explorer, mas as informações
não serão extraídas. Você pode extrair as informações desta fonte clicando em Extract data… no menu de
contexto do nó correspondente ou Extract data… no menu Edit.
Na segunda página você pode selecionar por tipos de evidência a procurar:
79
Clique no botão Finish para iniciar o carving. Os resultados do processo serão visualizados, e é
possível navegar pelos resultados já encontrados e examinar suas propriedades utilizando as opções
Item List e Item Properties.
BelkaCarving™
A opção BelkaCarving™ ajuda a combater a fragmentação de memória RAM em máquina.
Informações na memória volátil do computador (RAM) são fragmentadas, assim como os dados em
um disco rígido. Apesar do carving comum funcionar bem para porções de dados menores como
conversas de instant messenger e URLs de navegadores, não funciona tão bem para porções de
dados maiores (p. ex. imagens).
80
Abaixo você pode ver o resultado padrão do carving comum para uma imagem dentro de um dump
de memória.
Você pode ver claramente que, após algumas poucas linhas que conseguimos obter inicialmente, o
resto da imagem está corrompida.
É nisso que o BelkaCarving pode lhe ajudar. Belkasoft Evidence Center permite que você rode uma
recuperação de RAM inteligente selecionando a opção “Enable BelkaCarving” como mostrado abaixo:
81
Analisando o mesmo dump de memória agora retorna a imagem inteira apesar de que ela estava
espalhada pelo dump de memória:
Por que nós temos isso como uma opção e não usamos como padrão? A razão é velocidade.
BelkaCarving é um processo computacional altamente intensivo, requerendo muitos ciclos da CPU e
levando um bom tempo para reconstruir corretamente os conjuntos de processos de memória. Se
você não está buscando conjuntos grandes de dados como arquivos de imagens, você pode
dispensar essa opção e ganhar um tempo considerável.
Nota: Neste momento, BelkaCarving só está disponível para captura de “dumps” de memória em
computadores rodando os seguintes sistemas operacionais:

Windows 7 32-bit

Windows 7 64-bit

*nix (Unix/Linux/etc) 32-bit

*nix (Unix/Linux/etc) 64-bit

*nix (Unix/Linux/etc) PAE

Linux ARM
Analisando arquivos de hibernação e paginação
Belkasoft Evidence Center permite que você extraia informação de dois importantes arquivos
Windows: Arquivos de hibernação e arquivos de paginação (swap). Estes arquivos são a única
exceção em que conteúdo de memória volátil pode sobreviver ao desligamento do PC. Ambos os
arquivos podem conter artefatos voláteis. Enquanto o arquivo de hibernação é mais usado em
laptops, arquivos de paginação são usados na maioria dos computadores já que representa a
memória virtual do computador.
Para extrair informação desses arquivos, rode o assistente Carve Device e escolha Live RAM image
file:
82
Então especifique um caminho para os arquivos de hibernação e paginação de interesse. Após
apertar Next, será apresentada a lista de tipos de evidência para CARVE. Após selecionar, aperte em
Finish; o arquivo especificado será vasculhado por qualquer artefato que a Live Ram possa conter.
Não espere uma grande quantidade de evidência encontrada dessa maneira; memória volátil contém
apenas os dados mais recentes usados por vários programas. Até esses dados podem ser sobrescritos
com outra informação rapidamente. No entanto, até uma pequena quantidade de dados recentes é
melhor do que nada.
Você pode baixar uma amostra de arquivos de hibernação e paginação no website da Belkasoft.
Analisando dispositivos móveis
O produto permite a análise de todos os mais importantes dispositivos móveis, tablets ou
83
smartphones, como iPhone e Android.
É possível analisar o arquivo de backup da maioria dos dispositivos móveis. Backups são guardados
em um computador durante a sincronização do dispositivo móvel com o PC.
É também possível analisar “dumps” UFED para telefones Android e “dumps” de chip-off. Fontes de
dados móveis suportadas incluem:

Backups do Android

Chip-off dump

Backups iPhone

Backups iPad

Blackberry backups (ipd)

Blackberry backups (bbb)

Dump físico UFED para dispositivos Android.
Para encontrar e analisar backups, selecione a caixa Mobile device backup na segunda página do
assistente Search profiles. Para analisar “dumps” de UFED ou chip-off, adicione-os como uma fonte
de dados na primeira página do assistente Search profiles.
Após a extração de dados terminarem, alguns itens de sistema e aplicações serão apresentados sob o
nó mobile no Case Explorer. Dependendo do tipo de dispositivo, você verá alguns dos seguintes:

Agenda

Contatos

Chamadas

Histórico de navegação do Safari ou outros navegadores

SMSes

Gmail
E muitos outros itens específicos de cada aplicativo. A lista completa de aplicativos suportados
por cada tipo de backup pode ser encontrada em http://belkasoft.com/. Para revisar cada
aplicativo ou dado do sistema, selecione-o no Case Explorer e explore o Mobile Application Data
List:
84
Por favor, note que backups criptografados do iPhone/iPad ainda não são suportados.
Você pode descompactar backups do iPhone e iPad para uma pasta local usando o menu de contexto
Unpack backup... no Case Explorer:
85
Analisando documentos
O produto pode encontrar, analisar e recuperar arquivos apagados da maior parte dos tipos de
documentos de escritório, como:

Microsoft Office 1997-2003 (doc, ppt, xls)

Microsoft Office 2007-2012 (docx, pptx, xslx)

OpenOffice (odt, odp, ods)

PDF

RTF
Para cada fonte de dados, um único nó Documents é criado, combinando todos os documentos
dentro de todas as pastas daquela fonte de dados:
Por padrão, os seguintes filtros são criados para um perfil de documento:

Corrupted documents. Esses são documentos que começam com informações válidas mas
que em algum ponto não podem mais ser lidos. Você pode ler informação extraída deles,
mas esta informação não está completa.

Invalid documents. Esses documentos falharam completamente na checagem de
consistência. Muito possivelmente eles estão severamente danificados, criptografados ou
86
foram renomeados. Muitos resultados de recuperação de documentos apagados vão cair
nesse filtro.

Valid documents. Esses documentos estão bem e podem ser abertos sem problemas.

Documents with embedded files. Esses documentos contêm um ou mais arquivos
embutidos que podem ser visualizados dentro do produto.
Para cada documento, a seguinte informação é extraída:

Plain text. Para planilhas, é a combinação de todas as células e todas as páginas da planilha.
Para apresentações, o texto é a junção de todos os slides, simplificando a revisão e a busca.

Metadata. Metadados, como criador do documento, data/hora são vitais para muitas
investigações.

Embedded files. Arquivos de office podem conter muitos arquivos de tipos arbitrários.
Muito frequentemente são figuras, mas é possível incorporar outro documento, gráficos,
scripts, arquivos, etc.
Quando você seleciona um perfil de documento, você verá uma amostra de alguns documentos na
janela Document List:
87
Atualmente o produto apresenta uma amostra da primeira página para documentos PDF; para outros
tipos de documento um ícone é mostrado. Para ver uma amostra do documento inteiro, dê um duplo
clique no documento de interesse, a janela do Picture Viewer vai abrir (atualmente suporta apenas
documentos PDF).
Para examinar metadados, clique num documento e revise suas propriedades na janela Item
Properties:
88
Para ver a lista de arquivos incorporados a um determinado documento, clique na aba Embedded
files:
89
Todas as figuras incorporadas serão mostradas; arquivos de outros tipos incorporados serão
apresentados com o ícone padrão do sistema.
Você pode abrir outros arquivos incorporados que não sejam figuras com as aplicações padrão ou
salvá-las para o disco. Para fazê-lo, selecione os arquivos incorporados, dê um clique com o botão
direito do mouse sobre eles e selecione o item correspondente do menu de contexto.
Análise "low hanging fruits" de registro
O produto pode encontrar e analisar arquivos de registro do Windows. Registro do Windows é uma
fonte importante de informações sobre o uso do sistema e de aplicativos. O Registro contém
milhares de entradas e o Belkasoft Evidence Center analisa as mais importantes, como:

Arquivos mais recentes abertos por diversos aplicativos, como o Microsoft Office (“MRUs”)

UserAssists

Dados de inicialização de programa
90

Lista de dispositivos USB conectados ao sistema

Adaptadores de rede

Perfis wireless

Fuso-horário E muitos outros.
Para encontrar todos os arquivos colmeia de registro, selecione a caixa Registry no assistente Search
profiles. Os resultados serão adicionados no subnó Registry sob o nó fonte de dados no Case
Explorer. Para explorar os dados extraídos, clique-os no Case Explorer:
Os artefatos mais importantes dos registros do Windows serão mostrados no Item List à direita. Se
você precisar inspecionar outros dados dentro de um arquivo de registro, selecione o arquivo dentro
de Case Explorer e abra a tela Registry Viewer.
91
Analisando arquivos de sistema
O produto ajuda a achar e analisar vários outros arquivos de sistema. Arquivos de sistema
suportados incluem:

Jumplists

Thumbnails

Thumb cache

Log de Eventos do Windows
Para encontrar jumplists, thumbnails (incluindo Thumb cache) e Log de eventos do Windows
selecione- os no System Files dentro do assistente Search profiles. O produto suporta recuperação
de arquivos de log de eventos e thumb cache. Para encontrá-los, selecione Files na última página do
assistente Search profiles (tipos de evidência a recuperar).
Selecione um item dentro de System File List para revisar várias propriedades importantes de um
arquivo. Por exemplo, jumplist contém informações forenses importantes como tamanho do arquivo,
nome, nome do disco, de onde o arquivo foi aberto (esta informação é armazenada mesmo se o
arquivo foi aberto de um disco removível!), o endereço MAC do computador no momento da
abertura do arquivo e até a última vez que o computador foi iniciado antes do arquivo ser aberto!
Jumplist para arquivos do Powerpoint mostram histórico de abertura do arquivo 145.pptx
92
Analisando bancos de dados SQLite
O produto suporta análise compreensiva de bancos de dados SQLite. Bancos de dados SQLite são
muito importantes ao longo de uma investigação forense porque SQLite é um formato muito popular
de armazenamento de dados. Milhares de diferentes aplicações de desktop escolhem SQLite,
inclusive Skype, Firefox, Chrome etc. SQLite é um padrão de-facto para armazenamento de dados em
aplicativos móveis. Por isso você precisa de uma ferramenta que investiga dados em formato SQLite.
Os seguintes tipos de análises estão disponíveis no Belkasoft Evidence Center:

Análise automática de bancos de dados SQLite de vários aplicativos desktop tais como SQLite,
Firefox, Chrome, e múltiplas aplicações móveis, como WhatsApp.

Recuperação de bancos de dados deletados de SQLite

Abertura de bancos de dados SQLite arbitrários, escolhidos por um usuário

Análise de freelist de SQLite

Análise de RollbackJournal do SQLite

Análise do arquivo WAL do SQLite
Belkasoft Evidence Center não usa nenhuma biblioteca SQLite de terceiros, permitindo a análise
plenamente nativa do SQLite. Esse recurso permite que usuários do Evidence Center analisem até
mesmo bancos de dados profundamente danificados, fragmentados e incompletos, como aqueles
que resultam de uma tentativa de recuperação. Essa é uma diferença importante entre o Evidence
Center e soluções de terceiros não forenses como o SQLite Database Browser, que irão falhar
quando tentarem recuperar um arquivo SQLite danificado.
Analisando a freelist do SQLite
Informação apagada de um banco de dados SQLite não é eliminada imediatamente. Ao contrário, ela
é transferida para a chamada “freelist”, uma área especial dentro de um arquivo SQLite que
armazena dados apagados. Freelists não são acessíveis por meio de ferramentas de análise padrão de
SQLite.
Graças à análise nativa de SQLite, Belkasoft Evidence Center permite a recuperação de informação
deletada armazenada em freelists de SQLite.
93
Dados de freelists são marcados como “True” sob a variável “Is Deleted”, como as mensagens Skype
abaixo:
Freelist data is marked with red background inside SQLite Viewer.
Analisando arquivos de transação do SQLite
Bancos de dados SQLite usam um mecanismo de transaçãoe parte dos dados é armazenado num
arquivo RollbackJournal especial (antes do SQLite v.3.7) ou arquivo WAL (“write-ahead log”) (após
SQLite v.3.7). Antes dos dados irem para o arquivo principal do banco de dados, eles são
temporariamente armazenados dentro de um arquivo WAL, o que significa que este arquivo pode
conter a versão mais atual dos dados. Portanto é muito importante ser capaz de revisar o conteúdo
dos arquivos WAL. O SQLite Viewer automaticamente localiza ambos os tipos de arquivos-diário e
combina dados do banco de dados SQLite principal com dados desses arquivos-diário.
Dados de arquivos de transação são destacados com azul claro.
94
Resolvendo nome MSN
O Microsoft MSN/Live Messenger armazena o histórico em pastar com nome como esse:
john.smith2462261469. O número após o nome do usuário representa um valor hash do e-mail do
usuário e você pode estar interessado no endereço de e-mail em apenas texto (por exemplo,
[email protected]) ao invés do número.
O produto torna possível recuperar o e-mail em pleno texto com um algoritmo de força bruta usando
um conjunto de serviços de e-mail conhecidos. Na maioria dos casos, a lista dos serviços de e-mail
mais populares não serão suficientes para recuperar o e-mail do usuário. O produto usa uma lista de
quase 7000 serviços armazenados no arquivo “mailservers.txt” que é colocado na mesma pasta que
o produto principal. Se você quiser estender a lista de servidores de e-mails, apenas adicione novas
entradas nesse arquivo.
Gerenciamento de usuários (Apenas Enterprise)
A janela de gerenciamento de usuários é a principal janela da porção Servidor do Belkasoft Evidence
Center edição Enterprise. Essa janela é mostrada após o login no produto. Usando o gerenciados de
usuários você pode criar e deletar usuários, dar ou revogar direitos a eles, criar ou editar funções no
sistema.
Analisador de tráfego de rede
Belkasoft Evidence Center permite que você abra e analise arquivos contendo tráfego de rede
interceptado. Há várias ferramentas disponíveis na Internet (“sniffers”) para capturar tráfego de rede,
por exemplo, o WireShark. Essas ferramentas podem produzir arquivos PCAP com o registro da
atividade de rede em uma rede local. Arquivos PCAP podem ser analisador pela nossa ferramenta.
Para localizar o arquivo PCAP, realize uma busca usando o assistente Search histories como explicado
na seção Searching profiles. Cheque o nódulo “Network Traffic” na primeira tela do assistente e
selecione a localização do arquivo ou arquivos na segunda tela.
Atualmente, o produto suporta os seguintes protocolos:

Oscar (usado pelo ICQ, por exemplo)

XMPP (usado por Jabber ou Facebook, por exemplo)
95
A extração, visualização e exportação da informação disponível pode ser realizada da mesma forma
que todos os outros tipos de itens.
Detectando arquivos criptografados
Belkasoft Evidence Center pode descobrir e analisar mais de 150 tipos de arquivos criptografados. A
lista de formatos suportados inclui:

Adobe Acrobat PDF

Lotus Notes

Microsoft Access, OneNote, Outlook, PowerPoint, Word

Zip and 7-zip
E muitos outros tipos de arquivos encriptados. Por favor, veja a lista completa em
http://belkasoft.com.
Para descobrir arquivos criptografados, selecione a caixa Encrypted files no assistente Search
profiles. Os resultados serão colocados no subnó Encrypted files sob o nó fonte de dados no Case
Explorer.
Por favor, note que a detecção de encriptação é uma operação que exige tempo, por isso faz sentido
que se busque por outros tipos de artefatos antes e só execute a detecção de encriptação depois. Em
algumas circunstâncias, duas linhas de análise separadas podem ser mais rápidas que apenas uma.
Para analisar arquivos criptografados, selecione o nódulo Found encrypted files no Case Explorer. O
produto vai apresentar esses arquivos no Encrypted File List:
96
As colunas mais importantes são Complexity e Protection features. A primeira mostra quão difícil é
decodificar o arquivo. Para as complexidades Instant e FastBruteForce você pode ser capaz de
recuperar a senha rapidamente. No entanto, MediumBruteForce e SlowBruteForce pode levar dias,
semanas ou até mesmo bilhões de anos para decodificar. Com encriptação forte, você pode precisar
de um equipamento especial para decodificar os arquivos, e mesmo assim pode não ser possível
decodificar em um tempo razoável.
Protection features mostra como um arquivo é protegido. Open Password significa que você não
pode abrir o documento e ver seu conteúdo sem saber a senha. Há, no entanto, outros tipos de
proteção, como por exemplo, na captura de tela acima o arquivo PDF pode ser aberto mas não pode
ser impresso sem uma correção.
Para permitir que o usuário decodifique arquivos, Belkasoft Evidence Center está integrado com o
Passware Kit Forensic. Se você tiver ambas as ferramentas, é possível realizar a decriptação dos
arquivos de dentro da interface do Evidence Center. Sleecione um ou mais arquivos na Encrypted
Files List, aperte o botão direito do mouse e selecione Decrypt:
Se você não tiver o Passware Kit Forensic, o item do menu estará desabilitado.
97
Você também pode decodificar todos os arquivos criptografados descobertos selecionando Decrypt
no menu de contexto do “Case Explorer”.
Por favor, note que a decriptação é uma operação que consome muito tempo e não há garantias de
que será bem sucedida para tipos fortes de encriptação.
Informações extraídas de navegadores web
Análise de navegadores web recuperam os seguintes tipos de artefatos:

Sites visitados pelo suspeito

Cookies

Senhas, entradas em várias telas de login (com exceção do IE e do Safari)

Valores de formulários preenchidos em vários fóruns-web

Arquivos baixados

Links favoritos

URLs digitadas (URLs que foram digitadas diretamente na caixa de endereço do navegador)

Cache (arquivos armazenados localmente para aumentar a velocidade de carregamento
subsequente de um site, por exemplo, imagens)
Para as URLs digitadas no Internet Explorer, você precisará de acesso aos arquivos de registro do
usuário.
Browser passwords
Evidence Center pode extrair senhas entradas por usuários em várias telas de login usando o
navegador web. No entanto, há algumas restrições:

A análise funciona no Firefox, Chrome e Opera apenas. Safari e Internet Explorer não são
suportados.

Se o usuário não optou por deixar o navegador armazenar sua senha, não há maneira de
extraí-las usando a análise de navegador.

Para o Opera, não é possível determinar qual campo gravado é o login e qual é a senha,
então o produto vai tentar adivinhar e pode ser que adivinhe erroneamente. A razão para
98
isso é que o Opera armazena suas senhas numa ordem aleatória e usa o conteúdo do site
para determinar que valor armazenado deve ir em qual campo.
Cálculo do Hash
Todo perfil pode ter dois valores hash associados a ele. Esses são o valor hash original e o valor hash
atual.
Valores de hash são calculados para garantir que o perfil não foi alterado durante a investigação e
para ser capaz de provar para uma terceira parte. Se você está prestes a criar valores hash, selecione
a caixa Calculate profile hash value na janela Search profiles. Por favor, note que calcular valores
hash pode levar um tempo, em especial para perfil grandes como os arquivos PST do Outlook ou uma
pasta do navegador com múltiplos arquivos dentro. Então se você não vai usar o valor hash, você
pode desabilitar essa caixa para acelerar o processo de adicionar perfis ao caso.
O produto usa um algoritmo MD5 padrão para calcular valores hash. Se o perfil for uma pasta, o hash
é calculado com todos os arquivos e subpastas dentro da pasta, e então seus hashes são colocados
numa cadeia de caracteres para a qual a hash resultante é calculada. Se ao menos um arquivo dentro
da pasta for alterado, o valor total do hash vai mudar também. Para um perfil de imagem que
contém arquivos de diferentes pastas, o hash é uma combinação de todos os valores hash de
arquivos de imagem pertencentes ao perfil.
Para garantir que o perfil permaneça o mesmo, selecione-o no “Case Explorer”. Na página de
propriedades do perfil dois valores hash serão apresentados:
99
Clique no botão Recalculate para instruir o produto a calcular o valor hash do perfil atual. Se o novo
valor hash for igual ao original, o perfil não foi mudado.
Sob algumas circunstâncias, o produto pode falhar ao calcular o hash. Isto pode ocorrer, por
exemplo, quando um arquivo de perfil está trancado. Essa situação pode ocorrer enquanto você
está testando o produto no seu próprio sistema, onde vários arquivos são naturalmente
trancados, como o seu arquivo de registros, seus arquivos do Skype ou do Firefox.
Outro problema comum surge quando você copia outro perfil de usuário para o seu hard drive e
alguns caminhos de arquivo se tornam muito grandes, excedendo o limite máximo do Windows para
caminhos de arquivo. Nesse caso, o cálculo do hash também falhará e o programa mostrará uma
mensagem “Failed to calculate hash” (falha ao calcular o hash) no campo Current hash do Profile
Properties.
Se você já tiver retirado o drive com o perfil ou movido o perfil para outro lugar, o produto também
não será capaz de calcular o valor hash atual.
Codificação
Alguns tipos de evidência, por exemplo, Jumplists ou Mensageiros Instantâneos podem armazenar
seus históricos em codificação nacional ao invés de UTF. Para esse tipo de dados, o produto vai
100
extrair informação usando o padrão de codificação do sistema. No entanto, isso pode dar resultados
incorretos se o padrão do sistema não for o mesmo que o usado para codificar um pedaço de
evidência em particular, por exemplo, um chat que foi realizado usando Chinês Simplificado
enquanto você está na Alemanha e tem a codificação Alemã por padrão.
Para instruir o produto a usar a codificação adequada, clique com o botão direito do mouse no perfil
de interesse, clique no item de menu Encoding e selecione a codificação necessária. O produto vai
oferecer para extrair os dados novamente já que a codificação foi alterada:
Você também pode especificar a codificação padrão do produto. Veja “Opções” para mais detalhes.
101
Timestamps
Ao extrair e apresentar dados extraídos de vários aplicativos e arquivos de sistema, o produto
preserva as marcas de data e horários com os quais foram armazenados pelo aplicativo ou pelo
sistema. O cabeçalho Data/hora (Date/time) explica que hora é: local ou UTC. Portanto, você pode
precisar recalcular a hora para o seu fuso horário.
Por exemplo, o usuário de um perfil de Mensageiro Instantâneo do fuso horário UTC +3 mandou uma
mensagem às 11:00am. Você está investigando o perfil no UTC+2. Para o seu fuso horário, a
mensagem foi enviada às 10:00am.
Dados recuperados do Chrome armazenados em horário local.
A linha do tempo (Timeline) automaticamente recalcula todos os horários locais para UTC e vice
versa.
Fusos horários
Dados de um caso podem vir de diferentes fusos horários. Alguns eventos são armazenados com
horário UTC, outros podem usar o horário local. A fim de ajudar a interpretar corretamente os vários
horários, fuso horário pode ser especificado separadamente para os seguintes itens:

Caso.

Fonte dos dados.

Perfil.
102
Você será solicitado a entrar com um fuso horário quando criar um novo caso. Assegure-se de
especificar o fuso horário do suspeito e não o seu. O fuso-horário indicado será padrão para todas as
marcas de data/tempo, armazenados em horário local.
No entanto, em um caso você pode ter algumas fontes de dados de outro fuso horário. Por exemplo,
se você tem diferentes discos, e todos menos um vieram de um único país enquanto o outro
originou-se de um país com fuso horário diferente. Enquanto o fuso horário padrão estará certo para
a maioria dos discos, você iria querer sobrescrever o fuso horário para aquele diferente. Isso pode ser
feito na página de parâmetros de origem de dados apresentada quando você seleciona a origem dos
dados no “Case Explorer”:
Da mesma forma, você pode mudar o fuso horário para um perfil em particular. O horário padrão
para o caso também pode ser modificado na página Case Properties.
A prioridade de fusos horários é a seguinte:
1. Profile.
2. Data source.
3. Case.
Isso significa que o fuso horário do perfil, se sobreposto, tem prioridade maior que fuso horário da
103
fonte dos dados e do caso, e será usado para os cálculos. Fuso horário da fonte dos dados tem
prioridade sobre o fuso horário do caso.
O fuso horário é usado para calcular o horário preciso para a visualização da Timeline apenas.
Nenhuma conversão é feita para outras visualizações de dados.
Configuração de fuso horário também é usada nos relatórios, quando um dos tipos de horário não é
conhecido, ele é calculado usando o fuso horário especificado e o segundo horário.
Ordenação
O Item List suporta a ordenação dos itens que ela contém. Você pode procurar por qualquer coluna
na grade. Para fazer isso, clique no cabeçalho da coluna.
Itens ordenados por data
104
Itens ordenados por tipo de item (chamadas de Skype primeiro, chats a seguir)
Fazendo isso duas vezes vai mudar a ordem de ordenação (ascendente para descendente e vice
versa). Suas preferências de ordenação serão lembradas pelo programa, então a ordenação será a
mesma a próxima vez que iniciar.
Análise de Imagens
O produto suporta os seguintes tipos de análise específica de imagens:

Detecção de faces

Detecção de texto

Detecção de pornografia

Detecção de imagens forjadas (plugin pago para o produto)
Esses tipos de análises podem ser realizados em perfis de imagem e perfis de vídeo com seus quadros
extraídos. Para rodar um certo tipo de análise, clique com o botão direito do mouse no perfil da
figura ou do vídeo e selecione o item correspondente do sub menu no menu de contexto Analyze
pictures:
105
Nota: a mídia original com as imagens deve estar conectada ao computador porque o programa não
armazena as imagens no banco de dados por padrão. De forma alternativa, você pode armazenar as
imagens selecionadas ao caso. Se você fez isso, o produto vai checar o banco de dados do caso e só
então tentar acessar o caminho original da imagem.
A análise resultante será guardada sob os seguintes subnós do nó Analysis results:

Imagens com faces

Imagens com textos

Imagens pornográficas

Imagens forjadas
Todos os tipos de análises, exceto detecção de imagens forjadas, estão usando redes neurais a fim
de detectar o conteúdo do tipo correspondente. Atualmente, não é tecnicamente possível criar um
algoritmo que faça tal análise 100% corretamente sem falsos positivos ou falsos negativos.
106
Detectando rostos
O produto permite que você detecte faces em perfis de imagens ou vídeo. A fim de detectar face,
selecione o perfil de imagem ou vídeo de interesse, clique com o botão direito do mouse, escolha o
item Analyze pictures no menu de contexto e depois Detect face. A análise irá começar.
Após a análise, o filtro Pictures with faces sob o subnó Analysis results no “Case Explorer” estará
cheia de imagens com faces detectadas. O número total de imagens detectadas com faces vai ser
indicado no nó correspondente:
4 imagens com rostos detectados
A análise foi desenvolvida para funcionar com faces claras de frente e de perfil. Os melhores
resultados podem ser obtidos com faces frontais. Outros tipos de faces, por exemplo, viradas a meio
caminho, podem não ser detectadas já que não existe um algoritmo robusto até o momento. Os
seguintes obstáculos podem impedir a detecção bem sucedida de faces:

Face virada significativamente da posição frontal ou de perfil

Alguma coisa cobre grande parte do rosto (por exemplo, óculos escuros, mão, cachecol)

Fracas condições de luz
Detecção de faces usa rede neural para encontrar faces. Falsos negativos e falsos positivos são
esperados. Por exemplo, o algoritmo frequentemente detecta a região do joelho como face. Para
107
reduzir falso positivos, o produto realizar um número adicional de tipos de análise como:

Detecção de pele

Detecção de nariz

Detecção de olhos

Detecção da boca
Para se livrar de falsos positivos, você pode filtrar faces que só contenham todas essas características.
Note: contagem de falsos positivos e falsos negativos dependem um do outro. Se você diminuir o
número de falsos positivos, mais falsos negativos vão aparecer (então você pode perder algumas
imagens com faces).
Para ver quais características são detectadas para a face, você pode inspecionar a sessão Analysis
properties na janela Item Properties:
Para cada face descoberta, um registro separado é criado com todos os detalhes como limites da face
e características adicionais como nariz, boca, pele e olhos detectados.
Cada face é destacada com uma caixa verde dentro das janelas Picture List e Picture Viewer, caso a
opção correspondente esteja selecionada em Picture Options. O produto pode detectar com sucesso
não só faces reais mas também faces em desenho e até animações!
108
Nota: para extração de faces de um arquivo de vídeo, você vai ter que extrair os quadros chave
primeiro.
Detectando texto
O produto permite que você detecte texto em perfis de imagens e vídeos.
A fim de detectar texto, selecione o perfil de imagem ou de vídeo de interesse, clique com o botão
direito do mouse nele, clique em Analyze pictures e depois Detect text. A análise irá começar.
Após a análise completar, o filtro Pictures with text no nódulo Analysis results no “Case Explorer”
estará cheio de imagens com texto detectadas. O número total de imagens com texto será indicado
no nódulo correspondente:
109
2 imagens com texto detectado
A análise foi desenvolvida para funcionar com texto escaneado claramente. Pode não funcionar com
texto arbitrário como sinais de trânsito, legendas, texto em camisetas etc. Exemplo de imagens que
podem ser bem processadas.
110
Para melhorar os resultados, o produto realizar operações como ajuste de alinhamento, aumento na
resolução e outros. Portanto, mesmo imagens pequenas e desalinhadas podem ser processadas.
Não há 100% de garantia que todo o texto é extraído corretamente. Os seguintes obstáculos podem
impedir uma detecção bem sucedida do texto:

Texto significativamente desalinhado

Resolução muito baixa (por exemplo, letras com 5 pixels de altura)

Marcas manuscritas sobre texto impresso
Para ver que texto é detectado para uma imagem, você pode inspecionar a seção Analysis properties
na janela Item Properties:
111
A fim de reconhecer o texto de forma bem sucedida, você deve especificar a linguagem de
reconhecimento nas opções (Inglês por padrão). Reconhecimento multilíngue não é suportado.
O texto reconhecido é pesquisável, isto é, na imagem acima, você pode buscar pela palavra-chave
“wine” e a imagem será encontrada.
Nota: para extração de texto de um arquivo de vídeo, você deve extrair os quadros chave primeiro.
Detectando pornografia
O programa permite detectar pornografia em perfis de imagem e de vídeo.
A fim de detectar conteúdo pornográfico, selecione o perfil de vídeo ou imagem de interesse, clique
com o botão direito do mouse, clique em Analyze pictures e então em Detect porn. A análise se
iniciará.
Após a análise se completar, o filtro Porn pictures sob o nó Analysis results no “Case Explorer” estará
cheia de imagens com pornografia detectada. O número total de imagens com pornografia será
112
indicado no filtro correspondente:
2 imagens pornográficas detectadas
Detecção de pornografia usa rede neural a fim de encontrar figuras explícitas. Resultados 100%
corretos não são garantidos. Tanto falsos positivos quanto falsos negativos podem existir. Os
seguintes obstáculos podem prevenir a detecção bem sucedida de pornografia:

Condições ruins de luz

Muito pouca pele nua visível

Imagens em preto e branco

Vários efeitos pós-processamento como converter cores para luminescentes num editor de
imagens

Pele negra é pior detectada que pele branca
Para ajudar a identificar imagens suspeitas, um fator de probabilidade de pornografia é atribuído
para cada imagem. Você pode ordenar a lista de imagens pela coluna Porn probability para que as
imagens mais suspeitas apareçam primeiro.
A implementação atual tem as seguintes características qualitativas: 4,96% de falsos negativos e
16,31% de falsos positivos.
113
Nota: para detecção de pornografia em arquivos de vídeo, os quadros chaves devem ser extraídos
primeiro.
Detectando imagens forjadas
O “Forgery Detection Plugin” (deve ser adquirido separadamente) permite a detecção de imagens
JPG que foram alteradas ou modificadas após terem sido tiradas por uma câmera digital. Todos os
tipos de modificação contam como uma imagem forjada (alterada) incluindo gravá-la com um nível
de compressão diferente, cortar partes ou mudar deliberadamente o conteúdo da imagem (desde
mudar a exposição até clonar partes da imagem).
A fim de detectar imagens forjadas, selecione o perfil de interesse, clique com o botão direito do
mouse, selecione Analyze pictures e então Detect forgery. A análise se iniciará.
Após a análise, o filtro Forged pictures sob o nó Analysis results no “Case Explorer” estará cheia de
imagens forjadas. O número total de imagens forjadas será indicado no filtro correspondente.
114
Após a análise você pode criar um relatório especial de detecção de imagens forjadas. Para fazer isso,
selecione o filtro Forged pictures no “Case Explorer”, dentro da Picture List selecione todas as
imagens ou aquelas de interesse, clique com o botão direito do mouse e selecione Create forgery
analysis report...:
Um relatório de análise de imagem forjada será criado:
115
Detecção de imagens forjadas usa um número de dados empíricos obtidos de mais de 3000 diferentes
câmeras digitais. O algoritmo analisa os dados EXIF, tabelas de quantificação, vários artefatos de
imagem específicos desta ou daquela câmera e a imagem propriamente dita.
Forgery Detection é um plugin pago do Belkasoft Evidence Center Ultimate. Você deve adquiri-lo
separadamente.
116
Removendo imagens detectadas incorretamente:
Se o produto detectar faces incorretamente, você pode removê-la usando a janela Picture List.
Apenas dê um clique com o botão direito do mouse na região e ela vai desaparecer.
Se você remover a última face detectada numa imagem, ela será removida do filtro Pictures with
faces da próxima vez que a selecionar.
Armazenando imagens e documentos no banco de dados
Um disco rígido típico ou dispositivo móvel possui milhares de fotos; alguns contém centenas de
milhares. Muitas dessas imagens não representam nenhum interesse para uma investigação;
algumas, no entanto, podem apresentar maior interesse que outras. O total de imagens
desnecessários podem exceder gigabytes. Por essa razão, imagens não são armazenadas no banco de
dados por padrão.
Apenas os caminhos originais e as propriedades são armazenadas. Por isso você não é capaz de
visualizar uma imagem ou rodar uma análise nela caso tenha removida a mídia que a contém do
computador.
Pela mesma razão, documentos encontrados não são armazenados no banco de dados por padrão,
apenas os caminhos e metadados vão para o banco de dados.
No entanto, você pode querer armazenar algumas imagens ou documentos de interesse por um
período de tempo maior do que você vai ter a mídia original à disposição. Nesse caso, você pode
selecionar as imagens e documentos de interesse e salvá-las para o banco de dados selecionando
Save selected items to database:
117
Feito isso, todas as operações subsequentes realizadas com itens gravados serão feitas no arquivo
cópia do banco de dados, de forma a poder analisar imagens e documentos sem a mídia original
conectada.
Operações com imagens
Além do menu de contexto padrão para qualquer item do Item List, imagens tem operações
adicionais disponíveis:

Show selected items on Google Maps. Se alguma das imagens selecionadas contiver
coordenadas GPS, esta opção é habilitada. Usando esse recurso você pode ver todos os
pontos do mapa onde as fotos selecionadas foram tiradas.

Show selected items on Google Earth. Se você não tiver uma conexão à internet no seu
computador, essa opção pode ser perfeita para ver as mesmas coordenadas GPS num mapa.
Precisa instalar o Google Earth e não requer uma conexão à internet para mostrar o local.
118

Export selected items to Google Earth format. Se você não tem nem uma conexão à internet
nem o Google Earth instalado no seu computador, esta opção vai permitir que você veja as
locações desejadas. O programa vai criar um arquivo no formato do Google Earth (kml-file)
que pode ser copiado para outro computador com Google Earth instalado e ser visualizado
lá.

Copy picture. Para copiar imagens selecionadas selecione este item do menu de contexto.

Save selected items in database. Este item de menu armazena permanentemente as
imagens selecionadas no banco de dados.

Open in folder. Você pode escolher uma ou várias imagens e selecionar este item do menu.
Uma janela separada do Explorer vai abrir para cada pasta contendo a imagem original (se
você possuir três figuras em duas pastas diferentes, duas janelas do Explorer vão se abrir).
Há também duas operações específicas com imagens disponíveis pelo nódulo de perfil de imagem do
“Case Explorer”:

Copy files to folder. Escolha esse menu para copiar todas as imagens de um perfil ou um
filtro para uma única pasta. Para mais detalhes veja “Copiando imagens para pasta”.

Filters. Este item permite você ver e editar filtros de perfil de vídeo e de imagem. Para mais
detalhes veja “Filtros”.
Trabalhando com dados de geolocalização
O produto suporta uma variedade de artefatos com dados de geolocalização. Existe um grande
número de artefatos que suportam a inserção de dados para geolocalização, particularmente,
imagens com dados de GPS, que são tiradas em dispositivos móveis e câmeras modernas, buscas no
Google search, mapas, entre outros.
A aplicação detecta automaticamente pesquisas realizadas no Google maps dentro do histórico dos
browsers de internet. Se um link visitado por um usuário contém pesquisa no Google maps, o
produto extrai a latitude, longitude e em alguns casos altitude e zoom. Essas propriedades são
mostradas na lista de itens do produto:
119
120
O produto também busca em aplicativos de dispositivos móveis por Google maps e mostra a
geolocalização desses aplicativos. Para encontrar essas informações, os selecione em "Geolocation
data" conforme mostrado na figura abaixo:
121
Quando você possuir itens com dados de geolocalização, tais como URL do Google maps, aplicações
de dispositivos móveis ou imagens com coordenadas de GPS, você pode selecioná-los e inspecionálos dentro da janela Google Maps do produto:
122
Finalmente, o produto permite criar relatórios para todos os dados geolocalizados. Para tanto, clique
com o botão direito dentro da janela Google Maps e selecione o item “Create Report”. Um novo
relatório será criado e conterá um preview do artefato conforme mostrado abaixo:
123
Copiando arquivos para uma pasta
Você pode copiar todos os arquivos pertencentes a um perfil, como imagens, vídeos ou documentos,
ou filtro para uma determinada pasta. Esta função é muito útil para juntar todos os arquivos de um
mesmo tipo na mesma pasta, por exemplo, se você quiser revisar todas as imagens de um dispositivo
móvel uma a uma, é conveniente combiná-las de todas as subpastas do dispositivo para uma única
pasta.
Para fazer isso, escolha o menu de contexto Copy files to folder... no “Case Explorer”:
A janela de Set target options vai abrir permitindo que você selecione a pasta destino e se quer que o
Windows Explorer abra a pasta depois:
Selecione qualquer pasta existente e clique em OK para começar a copiar.
124
Copiando arquivos embutidos e anexos para pasta
O produto ajuda você a reunir vários arquivos embutidos numa única pasta. Em particular, você pode
reunir todos os anexos de um perfil de e-mails e todos os arquivos embutidos em todos os
documentos dentro de uma fonte de dados. Isto pode ser útil, por exemplo, quando você está
investigando todas as imagens dentro de um documento do Word, ou todos os documentos do Excel
anexados a e-mails dentro do perfil do Outlook. Revisar esses arquivos um por um pode tomar uma
quantidade enorme de tempo, enquanto tê-los todos dentro de uma única pasta pode acelerar a
investigação sobremaneira.
Para copiar arquivos embutidos em documentos para uma pasta, clique com o botão direito do
mouse no nódulo do perfil do documento ou num filtro sob o perfil do documento no “Case
Explorer” e selecione o item de menu Copy embedded files to folder.... Você será solicitado a
escolher a pasta para a qual quer copiar os arquivos.
Para copiar os anexos de um perfil de e-mail para uma pasta, clique com o botão direito do mouse
no nódulo de perfil do e-mail ou em uma pasta de e-mail sob o perfil no “Case Explorer” e selecione
125
o item de menu Copy attachments to folder.... Você será solicitado a escolher a pasta para a qual
quer copiar os arquivos:
Filtros
O produto suporta filtragem compreensiva para imagens em perfis de imagem e de vídeo. Por
exemplo, se você gostaria de agrupar apenas imagens que tenham coordenadas GPS ou apenas
imagens com conteúdo pornográfico, o produto lhe permite fazer isso.
Há alguns poucos filtros pré-definidos disponíveis:

Imagens com faces
126

Imagens com texto

Imagens pornográficas

Imagens forjadas (se você possuir o Forgery Detection Plugin)

Imagens com dados de GPS

Imagens com metadados

Imagens grandes

Documentos válidos/inválidos/corrompidos
Todo perfil tem filtros padrão logo após sua criação.
Filtros agrupados sob o nódulo Analysis results só serão preenchidos após a análise correspondente
for completada (veja “Análise específica de imagens”). Outros filtros serão preenchidos logo após a
criação do perfil para que você possa, por exemplo, revisar todas as imagens grandes imediatamente.
Se você quiser editar os filtros padrão ou criar seu próprio filtro, você pode clicando com o botão
direito do mouse num perfil de imagem ou vídeo e selecionando o menu de contexto Filters....
127
Gerenciando Filtros
Usando o Filter Manager você pode inspecionar, editar ou deletar filtros customizados.
Clique em New filter para criar um filtro customizado, Edit filter para editar um único filtro
selecionado e Delete filter para deletar um ou mais filtros selecionados.
Editando propriedades do filtro
Usando a janela Edit Filter Properties você pode editar propriedades de filtros existentes e criar
novos filtros customizados.
Por exemplo, se você gostaria de endurecer o limiar de imagens pornográficas, você pode selecionar
o filtro pré-definido chamado “Porn pictures” no Filter Manager e clicar em Edit filter. Na janela
aberta Edit Filter Properties você pode ajustar os valores para o limiar:
128
Por exemplo, você pode ajustar Porn detection probability (probabilidade de detecção de
pornografia) para ser maior ou igual a 0.8 para diminuir o número de falsos positivos. Nota: ao fazer
isso, você também aumentará o número de falsos negativos. Nesta janela você pode dar um nome ao
filtro e adicionar um ou mais critérios. Condição é uma condição contendo três partes:

A parte da esquerda, que é a das propriedades pré-definidas, como propriedades EXIF,
propriedades do arquivo, propriedades da imagem, metadados do Office e propriedades
gerais dos itens. Para achar a propriedade por nome, você pode entrar uma substring na
caixa de texto Find Properties by substring.

A parte da direita, que é um valor que você entra manualmente. Esta pode ser uma string,
um integral, real ou valor booleano.

Operação, que pode ser uma das operações lógicas pré-definidas, como “>=” para números,
“contains” (contém) para strings, “=” para booleano e assim por diante. Você pode
selecionar uma operação na caixa Operation.
Há a possibilidade de inverter uma condição selecionando a caixa Logical NOT. Isso é particularmente
útil para expressões string, como por exemplo, condição “NOT manufacturer EQUALS Canon” vai
filtrar todas as imagens feitas por todas as câmeras que não sejam da marca Canon.
129
Você pode combinar várias condições por conjunções lógicas como “AND” e “OR” usando a caixa
combine with existing rules as:
No exemplo abaixo há um filtro com o nome “Path contains “xxx”, que é um filtro com uma única
condição que o caminho para o arquivo de imagem contenha a substring “xxx” em algum lugar no
meio:
Note que os filtros estão funcionando com escopo no perfil, o que significa que cada perfil tem seu
próprio conjunto de filtros. Portanto, se você mudar o filtro “Porn pictures” para um perfil, o mesmo
filtro em outro perfil não irá ser alterado.
Análise de vídeo
O produto permite que você “quebre” o vídeo em uma série de quadros chave. Um quadro chave é
um quadro que difere significativamente do quadro anterior. Por exemplo, um movimento rápido ou
completa mudança de cena será considerada uma diferença significativa.
130
Para ganhar tempo, você pode revisar apenas quadros chave, porque outros quadros serão similares.
Portanto, você só revisa uma série de imagens ao invés de assistir ao filme inteiro. Isso aumenta
substancialmente a velocidade e eficiência da análise.
Para extrair quadros chave, especifique as opções de extração na aba Video no diálogo Options.
Então dê um clique com o botão direito do mouse no perfil de vídeo e selecione Extract key frames:
A extração de quadros chave vai começar. Durante a extração, você será apresentado com quadros já
extraídos sob o sub nódulo Key frames de um nódulo de perfil:
131
Quando a extração de quadros chave for completada, você pode fazer a mesma análise específica de
imagens com os quadros extraídos sendo usados como imagens normais.
O filtro Key frames mostra todos os quadros chave extraídos de todos os vídeos da fonte de dados.
Se você gostaria de revisar os quadros chave pertencentes a um vídeo em particular, selecione-o no
Picture List e inspecione a aba Pictures dentro da janela Item Properties:
132
Nota: os quadros chave não são gravados no banco de dados durante a extração. Ao invés disso,
eles são extraídos para a pasta Case Data. Você pode querer deletar quadros chave depois, quando
terminar de trabalhar num caso, para liberar espaço no disco rígido. Se você precisar gravar
alguns quadros selecionados, você pode salvá-los para o banco de dados como você faria com
imagens comuns.
Janelas de Erro
Se o produto encontrar um problema inesperado, ele vai apresentar uma janela Error occurred
contendo informações técnicas detalhadas sobre o erro.
133
Clique no botão Details para ver informações detalhadas sobre o erro. Ao usar essa janela, você
pode mandar um relatório de erro para a Belkasoft. Para fazer isso, clique em Copy, depois em
Send to support. O seu cliente de e-mail padrão vai abrir, um novo e-mail será criado. Apenas cole
os detalhes no corpo do e-mail e nos envie. Nós agradecemos a ajuda!
Se você não tiver acesso a e-mail do computador onde você está trabalhando com o produto, você
pode gravar os detalhes do erro para um arquivo usando o botão Save. Anexe o arquivo resultante
em outra máquina para nos deixar cientes do problema.
Além dos detalhes da janela Error occurred algumas informações técnicas adicionais podem ser
requeridas pela equipe da Belkasoft para consertar o problema. Se você viu um problema, por favor,
nos envie os arquivos de log da pasta do caso correspondente. A pasta de logs fica armazenada sob a
pasta CaseData para o caso. Por definição o caminho pode parecer com o seguinte:
C:\Users\[YOUR ACCOUNT]\AppData\Roaming\Belkasoft\Evidence Center Ultimate\CaseData\[CASE
NAME])\Logs\2013.10.27_22.09.27.04.Extract history.txt
Outra pasta de log é armazenada dentro de CaseData:
C:\Users\[YOUR ACCOUNT]\AppData\Roaming\Belkasoft\Evidence Center Ultimate\CaseData\Logs
Esta pasta guarda logs que não são relacionados com o caso atual e sim com o produto de forma
geral. Esses logs são também de interesse particular quando queremos consertar um problema,
134
portanto, por favor, inclua-os no seu e-mail para o nosso suporte.
Esperamos que essa não seja uma operação que você tenha que realizar com frequência.
Opções
O produto tem um número de opções disponíveis clicando no item de menu Tools e selecionando
Options.
Dependendo da configuração de ferramentas que você tiver, a janela Options pode conter uma ou
mais abas, incluindo General, Picture e Video.
Opções Gerais
A aba da opção General contém as seguintes opções:

Language. Inglês é a língua padrão. Outras opções estarão disponíveis assim que o produto
estiver traduzido para outras línguas.

Default encoding. Se você está frequentemente trabalhando com históricos da mesma
codificação que não seja a padrão do seu sistema, você pode ganhar tempo ao selecionar a
codificação padrão do produto aqui. Por exemplo, se você tem como local padrão a Alemanha e
trabalha com Chinês Simplificado, você pode selecionar Chinês Simplificado como codificação
135
padrão.

Always open the last case. Quando esta opção está selecionada, o produto não vai perguntar
qual caso abrir ao iniciar. O último caso será sempre aberto.

Log profile search folders. Se você suspeita que o produto não está vasculhando todas as pastas
disponíveis num dispositivo de interesse, você pode selecionar essa opção. Quando selecionada,
o produto vai salvar todas as pastas que tiverem sido percorridas ao buscar por perfis num
arquivo de log. Esse arquivo pode ser visualizado usando o Task Manager após a busca terminar.
Por favor, note que o arquivo de log pode ficar bastante grande porque pode haver milhares ou
dezenas de milhares de pastas num disco.

Folder to store case data. Se o seu disco de sistema não for muito grande, você pode selecionar
outro disco para armazenar os dados de caso. Após você mudar a pasta de dados de caso, reinicie o
programa para aplicar as mudanças. Note, por favor, que casos existentes não serão movidos para o
novo local portanto você verá listas de caso vazias. Se você gostaria de manter todos os seus casos,
você pode movê-los para o novo local manualmente. Mudar a pasta de dados de caso para a antiga
vai retornar todos os casos para a lista de casos. Note: Você não deveria tentar recuperar o mesmo
disco que você selecionou para o seu Case Data ou então o processo vai entrar em loop, porque o ele
vai tentar recuperar novos arquivos criados de novo e de novo.
Opções de imagem
A aba Picture contém as seguintes opções:
136

Blur pictures detected as porn. Imagens pornográficas serão borradas na janela de Picture
Preview para que apresentar os resultados de sua análise sem muitos detalhes:
Note, no entanto, que antes da tarefa de análise de detecção de pornografia for completada, todas
as imagens serão apresentadas como são, já que a ferramenta ainda não sabe quais as que contém
conteúdo explícito. Notem também que a janela Picture Viewer sempre mostrará a imagem original
(isto é, não borrada independentemente de serem pornográficas ou não).

Show recognized faces bounds. Após você rodar a análise de detecção de faces e ela achar
algumas faces, é possível destacá-las em cada imagem relevante:
As faces detectadas são destacadas com um retângulo verde
137

Do not blur recognized faces. Quando você roda tanto a detecção de pornografia e de faces, você
pode visualizar imagens pornográficas borradas com exceção da área do rosto:
Imagem pornográfica está borrada mas a face é mostrada como é.

Text recognition language. A fim de obter resultados corretos da detecção de texto, é necessário
especificar a linguagem a ser detectada. Atualmente, as seguintes línguas são suportadas:
o
English
o
Russian
Línguas adicionais podem ser adicionadas por solicitação. Notem, por favor, que reconhecimento
multilíngue não é suportado.

Face recognition mode. Há três modos pré-definidos:
o
Less false positives. Neste modo você vai ter menos faces detectadas
incorretamente, mas também menos faces detectadas corretamente. Selecione
essa opção quando for importante para você pegar o menor número de resultados
incorretos possível e você não se importa de perder algumas faces verdadeiras.
o
o
Medium false positives.
More false positives. Neste modo você pega mais falso positivo, mas também o
máximo de faces detectadas corretamente. Selecione essa opção para você pegar o
máximo de fazer possível e você não se importa com muitos resultados.

Ignore small pictures. Todo computador contém milhares de imagens pequenas usadas para as
mais diferentes razões, ícones, “spacers” ou imagens em branco para páginas HTML, entre
outros.
Essas imagens não têm nenhum significado forense em 99% dos casos, então é melhor desprezá-las.
Você pode especificar o tamanho mínimo para uma imagem ser adicionada a um caso. Imagens
menores serão silenciosamente ignoradas.
138
Opções de Vídeo
A aba Video contém as opções referentes a extração de quadros chave:

Frames per second. Se você gostaria de extrair quadros chave rapidamente, você
pode instruir o programa a tirar um quadro a cada 10 segundos (o maior valor desta
opção é 0,1 quadro por segundo). O alcance disponível para essa opção é de 0,1
quadros por segundo a 50 quadros por segundo. Para a maioria dos vídeos 50
quadros por segundo será equivalente a analisar todos os quadros. Isso dá
resultados mais precisos mas levará muito mais tempo.

Frames similarity. Um quadro chave é um quadro que difere substancialmente de
um anterior. Por exemplo, movimento rápido ou completa mudança de cena pode
ser considerado uma diferença significativa. Você pode mudar esse parâmetro para
pegar mais ou menos quadros resultantes. O alcance disponível é de 0 a 100, no
entanto, o número não tem nenhum significado real e é apenas para referência.
139
Mudando a pasta CaseData
O produto armazena uma quantidade significativa de dados dentro de uma pasta especial chamada
CaseData. O banco de dados principal do caso é guardado lá. Além disso, vários dados temporário são
colocados na pasta CaseData, como arquivos recuperados e banco de dados, quadros chave
extraídos, imagens miniaturas para preview de imagens, log de tarefas, log de erros e assim por
diante. Por isso essa pasta pode ocupar muitos gigabytes de dados.
Por padrão, a pasta CaseData é armazenada no seu disco de sistema dentro da pasta do usuário.
Algumas vezes, no entanto, discos de sistema são pequenos e você pode querer que o produto
armazene dados em algum outro disco. Para designar o CaseData para outro disco, mude a opção
Folder to store case data na aba General da janela Options:
Saia do programa. Você agora pode reiniciar o Evidence Center. Os seus novos casos e dados
relevantes serão guardados na nova pasta de casos.
Nota: Se você precisar mover seus casos existentes para o novo local, apenas copie todo o conteúdo
da pasta CaseData de sua localização padrão para a nova antes de reiniciar o programa.
140
Montando imagens de disco ou de dispositivos móveis
O produto suporta montar imagens de disco, de dispositivos móveis e de Live RAM nos seguintes
formatos forenses:

Arquivos de evidência EnCase E01, Ex01 e evidência lógica L01 e LX01

FTK AF* e imagens AD*

Recipientes X-Ways

Imagens físicas UFED para dispositivos Android.

Imagens Atola .img

Imagens raw DD

Imagens DMG

Imagens SMART

Imagens Live RAM, criadas com o Belkasoft Live RAM Capturer e outras ferramentas de
dumping de memória.

Imagens de múltiplas partes são suportadas; o número de arquivos não é limitado. Os
seguintes sistemas de arquivos são suportados:

Todos os do Windows: todos os FAT*, exFAT, NTFS.

Mac OS X: HFS, HFS+

*nix (Unix/Linux): ext2, ext3, ext4

Sistema de arquivos Android YAFFS
Verificando atualizações
Se você tiver uma conexão à internet, você pode checar se há alguma nova versão disponível no
website da Belkasoft. Para isso, vá ao menu principal Help e selecione o item Check updates. A
seguinte janela vai ser apresentada:
141
Em poucos segundos o software vai mostrar se há ou não uma nova versão:
Em muitas configurações, investigadores não podem ter conexão à internet em suas estações de
trabalho com o software da Belkasoft instalado. Nesse caso é possível fazer login no Portal do cliente
e checar se há uma nova versão do software disponível.
Recursos disponíveis
Alguns recursos descritos nesse manual podem não estar disponíveis dependendo da configuração
que você adquiriu. A lista de recursos atuais suportados é a seguinte:

Análise de navegadores

Recuperação de Informação Apagada (“Carving”)

Análise de Documentos

Análise de E-mails

Detecção de Encriptação

Análise de Mensageiro Instantâneo

Análise de Dump de Live RAM

Análise de Backups de Dispositivos Móveis

Montagem de Imagens de Disco tais como arquivos de evidência EnCase, AFF, UFED, X-Ways,
SMART, DD (arquivos de sistema do Windows, Mac Os X, Linux e Android))

Análise de Tráfego de Rede para artefatos de chat

Análise de Imagens: pornografia, texto e detecção de face

Análise de Imagens: detecção de Imagem Adulterada

Análise de Registro

Análise de Arquivo de Sistema

Análise de Vídeo: extração de quadros chave; detecção de pornografia, texto e faces.
142
Recursos disponíveis na configuração adquirida aparecem na tela About:
Clique em About sob o menu Help para abrir essa lista.
Por favor, veja a tabela de comparação de versões de produto e edições no nosso website http://
belkasoft.com para descobrir quais recursos estão incluídos em quais versões e edições do produto.
Você pode sempre atualizar sua aquisição para uma mais poderosa com desconto.
143
Limitações do modo Demonstração
O produto roda em um modo demonstração restrito até a aquisição. As limitações do modo
demonstração são as seguintes:

Produto funciona durante 10 dias após a primeira utilização

Apenas uma pequena parte do histórico (não mais que 20 itens) é extraído por perfil de
contato/pasta de email/navegador/imagem/vídeo/ tráfego de rede.

QQ 2009-2012 não é suportado.
Registrando o produto
Para fazer sua cópia totalmente funcional, adquira o produto. Forças da Lei, Governo e organizações
acadêmicas podem solicitar uma licença de testes totalmente funcional.
Hardware ID
Se você optou por adquirir uma licença fixa, você será solicitado a fornecer um ID de Hardware
para o computador que você está prestes a usar com o produto. A fim de obter esse ID, por favor,
instale o produto na máquina alvo e verifique a janela License information disponível no menu Help:
144
Clique em Copy ID para copiar o seu ID de Hardware.
Após a compra
Quando sua compra estiver efetivada, você receberá um link para o Portal do Cliente junto com
instruções de como logar. Você deve baixar a versão não-demo do produto e sua licença do Portal do
Cliente, instalar o produto e descompactar o arquivo de licença baixado “features.xml.zip” para a
pasta do produto. Nele está contido um único arquivo “features.xml” que deve ser colocado na pasta
do produto como mostrado abaixo:
Uma vez que você descompacte o arquivo de licença na pasta do produto, todos os recursos
adquiridos estarão disponíveis na próxima vez que executar o programa.
145
Se você adquiriu uma licença flutuante, você também vai receber uma chave USB que você deve inserir em
uma porta USB do seu computador antes de rodar o produto. Permita que o Windows reconheça a chave
USB. Não esqueça de copiar seu arquivo, ele ainda é necessário mesmo que você esteja usando uma licença
baseada em chave USB.
Você pode checar se está registrado corretamente selecionando o item de menu About no menu
Help. Se tudo estiver certo, a janela About vai conter o nome da sua organização na área This product
is registered to:
Em alguns casos seu código de licença pode ser solicitado para o fornecimento de suporte ao
consumidor. Para obter o código de licença, selecione License information do menu Help. A seguinte
tela será mostrada:
146
Você pode copiar a chave clicando no botão Copy license.
Tipos de Licença
Há dois tipos de uso do produto com várias licenças:

Fixed license. Essa licença está agregada a um único computador. Permite que você use o
software apenas no programa que foi especificado durante a aquisição. Você não pode usar
o software em outros computadores. Esse tipo de licença é mais barato que a flutuante. Para
adquirir essa licença, você terá que indicar o ID de Hardware do computador alvo mostrado
na janela de informação de Licença. Se você reinstalar o sistema ou adicionar algum
hardware, seu ID de hardware pode mudar. Nesse caso você terá que solicitar outra chave
para a Belkasoft. A antiga chave será desabilitada.
Você deverá comprar uma licença para cada estação de trabalho em que queira instalar o software.

Floating license. Essa licença permite que você use o software em todo computador que
tenha uma chave USB inserida. Sua chave de licença não está vinculada a nenhum
computador em particular, no entanto, o programa não rodará sem o dongle. Nem permitirá
que você realize nenhuma operação se você retirar o dongle do computador com o programa
rodando. Essa licença é mais cara que a fixa, mas dá muito mais flexibilidade,
particularmente para mudar livremente a sua configuração de hardware.
147
Por que escolher licença flutuante?
Se você necessita de mais flexibilidade (por exemplo, você vai usar o software em diferentes
computadores), você pode escolher a licença flutuantes. Por exemplo, se você tem 6 investigadores e
cada investigador tem 2 estações de trabalho e um laptop, ao invés de comprar 18 licenças fixas, você
pode obter 6 licenças flutuantes e economizar. Por favor, note que ao contrário da licença fixa que
está disponível quase que imediatamente após a aquisição, a licença flutuante requer que as chaves
USB sejam entregues a você, e suas chaves podem levar um tempo para chegar. Nós ficaremos felizes
em fornecer uma licença fixa temporária para permitir que você use o produto de imediato.
148
Download