Browser Forensics com Web Historian

Opa, e aí galera

Tudo bem?
No post passado nós falamos um pouquinho sobre imagens lógicas no formato .AD1. Hoje, nós vamos mostrar um exemplo de análise dessa imagem lógica; nós vamos mostrar como analisar informações geradas pelo browser (browser forensics) utilizando o Web Historian, ferramenta criada pela empresa Mandiant.
Alguns vídeos sobre a ferramenta podem ser vistos aqui, aqui e aqui.

O nosso cenário de análise foi a imagem criada no post anterior. A imagem se chama: perfil.ad1. Navegando nessa imagem lógica, eu vou ter várias pastas lá dentro, uma delas é uma pasta chamada "anderson", que estará montada no diretório E:\Users\anderson.

A primeira coisa a se fazer é montar a imagem "perfil.ad1" usando a ferramenta FTK Imager. Para montar a imagem basta seguir estes passos:
Clique em "file" e depois em "Image Mount"

Na próxima tela informe o caminho onde a imagem está armazenada e clique no botão "mount". Depois clique no botão "close"

Pronto, agora vamos abrir a ferramenta Web Historian. Vai aparecer a seguinte tela:

O passo seguinte é clicar no botão "file" e depois em "scan". Vai aparecer a seguinte tela, onde escolhemos a opção "Profile Folder". Clicamos na opção "Browse" e informamos o caminho completo da pasta de perfil do usuário, chamada "anderson", que está contida na imagem forense lógica "perfil.ad1". Neste caso, eu montei a imagem "perfil.ad1" no volume E:. Dentro do E: vai ter várias pastas; eu vou procurar a pasta de perfil do usuário anderson (é lá que as informações de histórico do browser estão armazenadas). Depois eu clico no botão "Start".

Quando o processo de parsing começar, vai aparecer a seguinte tela:

A imagem a seguir mostra as informações prontas para serem analisadas pelo perito



Pronto, é isso.
Mostramos aqui como utilizar a ferramenta Web Historian para fazer uma análise forense em uma imagem lógica .AD1
OBS: Lembrando que ao final precisamos desmontar a imagem (no FTK Imager, clicamos em         File --> Image Mounting --> escolho o drive a ser desmontado e clico no botão "Unmount").


Um abração!

Nenhum comentário:

Postar um comentário