Na perícia de computadores frequentemente nos deparamos com uma grande quantidade de arquivos para analisar, demandando um enorme esforço no exame. A maioria dos arquivos porém não oferecem nenhum valor probatório e se fossem filtrados reduziriam o universo da pesquisa nos arquivos da evidência, eliminando arquivos conhecidos e inalterados dos sistemas instalados.
Imaginemos um notebook com sistema operacional, suíte office, antivírus e outros aplicativos instalados. Os arquivos destes sistemas não têm valor probatório e caso não os separemos certamente demandarão muito esforço na análise. E como realizar esta filtragem?
O NIST (National Institute of Standards and Technology) é uma agência reguladora federal que dentre tantos outros projeto é a responsável pelo projeto denominado NSRL (National Software Reference Library) que produz uma lista de assinaturas digitais de arquivos de softwares conhecidos e certificáveis, que contém atualmente cerca de 28 milhões de assinaturas de arquivos.
Esta lista é conhecida como “Lista NIST” e distribuída gratuitamente no site da NSRL nos formatos RDS, Encase 5 e 6, Hashkeeper e Vogon.
O termo “deNIST” consiste na separação dos arquivos constantes da lista NIST diminuindo o universo de pesquisa do perito em computação forense, reduzindo o tempo de realização do seu trabalho.
Marcelo,
Você saberia dizer se no Brasil temos algum orgão ou agência que efetua este trabalho? do NSRL? sobre criação de Library e manutenção de software?
Desde já agradeço pela ajuda.
Olá Luiz Sérgio
Não tenho conhecimento desse trabalho no âmbito nacional.
Abraços,
Marcelo, boa tarde!
O como seria feita a configuração do KFF para o FTK? Tentei utilizar em meu server mas sem sucesso. Voce saberia me dizer?
Você também conhece alguém que faça treinamentos do Sumattion da Acces data?
Abraços!
Olá Tácio
Primeiramente você instalou o KFF? Se instalou, marcou ou não “Enable Remote Communication”? Para a instalação em estação de trabalho, deve-se deixar sem marcar esta opção. Feito isso, ao criar um caso e preparar para a análise inicial, em “Processamento da evidência” selecione “KFF” escolhendo o perfil desejado. Caso esteja necessitando de uma análise adicional, no menu “Evidência\Análise adicional…”, na guia “Hashing / Job Options”, no quadro “KFF”, selecione “KFF” e escolha o perfil desejado. Esse perfil pode ser gerenciado através do menu “Gerenciar\KFF…” onde cada perfil pode ter configurado o status e os hashsets a serem utilizados. De resto, tudo deverá caminhar sem problemas.
Abraços,
Não suporta FTK ? Se não, existe alguma solução semelhante?
Desde já agradeço.
Olá Janielton
O FTK possui um utilitário chamado de Know File Filters (KFF) que utiliza hashs MD5 para filtrar arquivos conhecidos. Ele pode utilizar hashs gerados pelo usuário, RDS do NIST ou Hashkeeper. Maiores informações sobre o KFF pode ser encontrado no manual do usuário do FTK.
Abraços.
Marcelo parabéns pelo post, sem dúvida é uma excelente forma de separar o “joio do trigo”, porém o custo do tempo pode ser alto se não utilizado métodos eficientes. Nesse caso indico a abordagem com um banco de dados alimentado com os hashes NSRL, desse modo evita-se a sobrecarga de memória!
Sds,
Gabriel
Desde a época dos discos rígidos de 80 gigabytes, já vislumbrávamos o problema de periciar mídias de grande capacidade onde a maior parte dos arquivos é de origem conhecida e que não acrescentam valor aos trabalhos de perícia. Com as mídias na casa dos terabytes o problema é ainda maior e o uso da lista do NIST tem sido de grande valia. A sobrecarga de memória neste processo é um fato e sua dica pode ajudar muito aqueles que lidam com perícia de mídias de grande capacidade de armazenamento.
Abraços.