Análise Forense no Thumbs.db
| ||
O arquivo Thumbs.db é criado quando você ativa a exibição das imagens em modo de miniatura, porém em um processo de Análise Forense explorar o conteúdo deste arquivo é indispensável para procurar evidências de um crime de pedofilia por exemplo. | ||
Neste exemplo todas as imagens foram apagadas porém o arquivo Thumbs.db ainda existe, vale ressaltar que este arquivo fica oculto no sistema. | ||
| ||
Para extrair o conteúdo do arquivo Thumbs.db vamos utilizar a ferramenta forense vinetto disponível no BackTrack, Kali Linux e entre outras distribuições, neste exemplo usaremos o Kali Linux. | ||
01 — Passo | ||
Utilizando o prograna FileZilla conecte no Kali e copie o arquivo Thumbs.db para a o Kali no diretório /root. | ||
| ||
02 — Passo | ||
Usando o comando ls -l liste o arquivo Thumbs.db que foi copiado. | ||
ls -l | ||
| ||
03 — Passo | ||
Execute o comando vinetto –-help para conhecer as opções que a ferramenta disponibiliza. | ||
O vinetto também pode ser acessado no Kali através do menu: Applications > Kali Linux > Forensics > Forensic Analysis Tools > vinetto. | ||
vinetto –-help | ||
-o : Informa o output (saída) ou local onde os arquivos serão colocados. | ||
vinetto -Ho /var/www/vinetto/ Thumbs.db | ||
/var/www/vinetto : É o diretório que armazenará os arquivos extraídos. | ||
| ||
Os arquivos foram extraídos para o diretório /var/www/vinetto/. | ||
| ||
04 — Passo | ||
Acesse o diretório /var/www/vinetto/ e listar os arquivos extraídos. | ||
cd /var/www/vinetto/ls | ||
| ||
05 — Passo | ||
No Windows acesse o endereço http://IP-DO-KALI/vinetto para visualizar o relatório em HTML. | ||
| ||
06 — Passo | ||
Novamente usando o programa FileZilla copie os arquivos extraídos para a pasta Imagens no Windows. | ||
| ||
07 — Passo | ||
Pronto! os arquivos foram recuperados com sucesso. | ||
| ||
Vídeo | ||
