Belkasoft X
Belkasoft X (Belkasoft Evidence Center X) é uma ferramenta canivete da Belkasoft para computação forense, dispositivos móveis e nuvem. Ele pode ajudá-lo a adquirir e analisar uma ampla gama de dispositivos móveis e de computador, executar várias tarefas analíticas, realizar pesquisas em todo o caso, marcar artefatos e criar relatórios.
A Belkasoft é líder global em software forense digital e resposta a incidentes, ajudando clientes em mais de 130 países (possui escritório no Brasil) a resolver casos forenses digitais, responder a incidentes cibernéticos, conduzir investigações de eDiscovery e proteger ativos preciosos de negócios contra ameaças cibernéticas.
Sendo assim, podemos considerar o E-discovery ou Eletronic Discovery como um processo de obtenção, tratamento, indexação, classificação, e revisão de dados e informações eletrônicas com a intenção de utilizá-las como evidências em um processo judicial. [1]
O software Belkasoft chama atenção por sua capacidade de analisar uma ampla gama de tipos de dispositivos, seu suporte imediato para milhares de artefatos, suporte iOS contínuo, análise forense SQLite e Windows com a facilidade de uso do software.
Download
Para obter uma versão de demonstração do Belkasoft X, ferramenta para computação forense, você deve acessar o site https://belkasoft.com/get e preencher seu e-mail.
Em seguida, você receberá um e-mail com um link para download do produto. Atenção! O link para download expira em 10 dias (Caso receba algum questionamento sobre o uso, informe que está seguindo um artigo publicado na Academia de Forense Digital).
Instalação
Por padrão o arquivo baixado vem nomeado “becx.trial.zip”. Após realizar o download, extraia os arquivos e execute o “becx.trial.fixed.x64.exe”
Na primeira tela é possível escolher 11 idiomas de instalação, inclusive português (brasileiro).
Em seguida, na tela de boas-vindas, é recomendado que você fecha todas as aplicações para que a instalação de arquivos de sistema seja realizada sem a necessidade de reiniciar o sistema. Clique em próximo.
Na próxima tela, leia o termo de licença de uso e caso concorde, marque a opção “Eu aceito” e clique em próximo.
Escolha o caminho que o software de computação forense será instalado e avance novamente.
A próxima tela você pode customizar o nome do atalho no menu inicial ou até mesmo optar por não criar atalhos. Em seguida, avance.
Seguindo, na próxima tela é possível optar por instalar uma imagem de exemplo para teste da ferramenta (recomendado).
Por fim, você pode ativar atualizações automáticas para a ferramenta de computação forense, se desejar, e iniciar a instalação.
Dessa forma, é importante lembrar que seu antivírus pode acusar alguma “dll” como arquivo malicioso e causar um mau funcionamento no produto.
Uma DLL é uma biblioteca que contém código e dados que podem ser usados por mais de um programa ao mesmo tempo.
Portanto, finalizada a instalação, basta concluir para executar o Belkasoft X pela primeira vez.
Você vai gostar de ver também: O cursos de Perícia e Investigação Forense da AFD
Ativação
A primeira vez que a aplicação é executada, é perguntado se deseja fazer a ativação online ou offline. Usaremos a opção online.
Aguarde e a ativação será concluída automaticamente.
Configurações
Em seguida, ao executar a aplicação pela primeira vez, a seguinte tela será exibida. Nela é possível acessar as configurações a qualquer tempo e vídeos de tutoriais são apresentados na parte inferior direita.
Na tela de configuração podemos ajustar a quantidade de uso de CPU e memória utilizada no processamento das evidências, dentre outras funcionalidades.
Adicionando um novo caso
Vamos selecionar a opção “Criar caso” e preencher os dados de acordo com o novo Caso. Importante selecionar o fuso horário para as conversões de horário, apresentação em relatório e timeline posterior.
Timeline, ou Linha do Tempo em português, é basicamente a forma gráfica e linear de representar uma sequência de eventos em ordem cronológica. [3]
Sendo assim, nesse momento também é importante apontar a pasta do caso para um RAID ou local de armazenamento rápido para um maior desempenho no processamento.
Como optamos por instalar a base de dados de exemplo, vamos agora selecionar a opção de adicionar uma nova fonte de dados para o caso, em seguida escolher “adicionar existente”.
Na próxima tela, vamos selecionar a opção imagem, para utilizarmos a imagem de exemplo que instalamos junto com o produto.
Caso não tenha alterado o caminho padrão da instalação, o arquivo vai estar em “C:\Program Files\Belkasoft Evidence Center X Trial\Sample Data”. Selecione o arquivo de imagem “Samples.E01”.
Em seguida, será exibido um resumo do arquivo selecionado para confirmação.
Na próxima tela, podemos customizar de forma simples e amigável o tipo de análise que será realizada bem como as opções de tipo de data carving desejada. Para nossa didática será selecionado todas as opções de análise e “Carve all”. Em seguida clique em próximo.
Em seguida, podemos customizar filtros para tipos de artefatos a serem processados, definir quais hashes [4] desejamos calcular bem como definir classificação de pesquisa de fotos.
Você vai gostar de ver também: O cursos de Perícia e Investigação Forense da AFD
Caso você faça uma customização, ao avançar, aparecerá uma tela para criar um novo perfil para facilitação em uso futuro.
Em seguida, uma tela aparecerá para revisão do exame a ser executado na fonte de dados selecionada.
Ao clicar em “Completo” o software inicia o processamento da evidência e permite que adicione um novo processamento em paralelo se desejar.
Após o processamento é possível acessar o resumo dos dados e visualizá-los organizados em sessões, na guia painel.
Em seguida, no canto inferior esquerdo, é identificado pesquisas automáticas através de expressões regulares previamente configuradas que realizam combinações de caracteres em uma string. [5]
Dessa forma, Ao clicar duas vezes em URL por exemplo, o sistema abre uma nova guia detalhada, onde é possível examinar minuciosamente o artefato. Nesta tela é possível realizar filtros de pesquisa, customizar as colunas de visualização, pré-visualizar o conteúdo, visualizar os cabeçalhos, realizar marcações, criar relatório personalizado dos achados, entre outras funções.
Você vai gostar de ver também: O cursos de Perícia e Investigação Forense da AFD
Na versão de testes do software de computação forense é possível ainda, criar um relatório dos artefatos encontrados com 50% do conteúdo exibido na interface de forma aleatória em 13 formatos diferentes, como forma de demonstração.
Conclusão
Portanto. Este projeto de pesquisa demonstrou a utilização básica do Belkasoft Evidence Center X. Uma das melhores ferramentas amigáveis de computação forense e de fácil uso para processamento, indexação e análise de evidências digitais. Sendo assim, ele é capaz de processar grandes volumes de dados e permitir uma análise inteligente e eficiente nos mais diversos tipos de casos de Investigação e Perícia de dispositivos eletrônicos.
Sobre o autor:
Nome: Petterson Faria de Souza (Linkedin)
Sua Mini Biografia: Petterson Faria é membro da APECOF e da Comissão Especial de Perícia da OAB/SP. Atua como Assistente técnico e Perito Judicial nos Tribunais Estaduais de MG, RJ e ES, Tribunal Federal da 2ª Região e Tribunal Regional do Trabalho da 1ª, 3ª e 17ª Região. Certificado Microsoft MCP, MCDST, MCTS e MCITP. Atuação profissionalmente em áreas de tecnologia desde 2005.
Referências:
- [1] Academia de Forense Digital. EDISCOVERY, O QUE É, PARA QUE SERVE E COMO FUNCIONA NA PRÁTICA!. 2019. Disponível em: <https://www.youtube.com/watch?v=AiFXpmvGFW0>. Acesso em: 09 dez. 2022.
- [2] Microsoft Learn. DLL (Biblioteca de vínculo dinâmico) – Windows Client. 2022. Disponível em: < https://learn.microsoft.com/pt-br/troubleshoot/windows-client/deployment/dynamic-link-library>. Acesso em: 09 dez. 2022.
- [3] Internet Innovation. Timeline: Conceito e Definição. Disponível em: < https://www.internetinnovation.com.br/timeline-conceito-e-definicao/>. Acesso em: 09 dez. 2022.
- [4] A função Hash é um cálculo matemático que aplicado à Forense Digital, possibilita a verificação de integridade de uma cópia, pois esta função gera um código único para cada conjunto de dados inserido nela, e no caso de dois conjuntos idênticos, gera o mesmo código. Através de processo, portanto, é possível verificar se a cópia de um determinado conjunto de dados é realmente idêntica ao conjunto de dados original.
- [5] Cadeia de caracteres.
- [6] BELKASOFT. Belkasoft Evidence Center X User Reference. 2022. Disponível em: https://belkasoft.com/downloads/info/Evidence%20Center%20Help.pdf. Acesso em: 09 dez. 2022.
- [7] BELKASOFT. Accelerate Your DFIR Investigation. 2022. Disponível em: https://belkasoft.com/. Acesso em: 09 dez. 2022.
- [8] BELKASOFT. A reliable end-to end DFIR Solution by Belkasoft. 2022. Disponível em: https://belkasoft.com/x. Acesso em: 09 dez. 2022.