Quando você começa a explorar ferramentas forenses, é comum deparar-se com diversas opções para extração, análise e geração de relatórios. Se você é um especialista, encontrará ferramentas que agilizam a coleta e organização de dados, além de recursos exclusivos que outras soluções não oferecem.
Para iniciantes na área, a proposta do Belkasoft Evidence Center X é especialmente atrativa. Ele oferece uma série de facilidades, como um fluxo de trabalho intuitivo, amostras de coleta (samples) e orientação passo a passo pelas principais etapas do processo, tudo em uma interface rica em informações.
O público que utiliza esse tipo de solução é diversificado e inclui policiais, investigadores federais, laboratórios forenses, departamentos encarregados de crimes e drogas, militares e até mesmo investigadores privados.
Com o Belkasoft X, você pode conduzir investigações digitais, responder a incidentes, buscar mídias com conteúdo ilícito, recuperar dados e lidar com situações que demandem análise e recuperação de conteúdo digital.
Figura 1- Foto da tela de inicialização do Evidence Center-X
Instalação
A instalação do Belkasoft Evidence Center X é extremamente simples e permite que você baixe amostras (samples) para ter uma experiência prática na visualização dos conteúdos e das opções oferecidas pela ferramenta. Se esta for sua primeira vez usando a ferramenta, não hesite em aproveitar esse recurso que ajudará muito na sua trilha de aprendizado!
Para utilização será necessário um pré-cadastro sujeito à aprovação da Belkasoft.
Figura 2- Tela de download da ferramenta Belkasoft X Forensic
Após liberação você receberá uma senha para que possa acessar o Portal do Cliente e baixar a ferramenta Belkasoft X (trial version) e o arquivo de licença que será solicitado durante o processo de instalação.
Figura 3- Tela de download da ferramenta Belkasoft X – versão trial
Clique em My Licences para baixar o arquivo de licença que será solicitado durante a instalação.
Figura 4- Tela de visualização das licenças obtidas
Após o download, você terá acesso ao instalador e ao pacote de amostras (samples), que utilizaremos como base de conhecimento e exploração da ferramenta.
Figura 5- Conteúdo da pasta de arquivos com o instalador do Belkasoft X
Execute o arquivo becx.trial.fixed.x64.exe e siga o processo de instalação avançando as etapas até a finalização. Durante a instalação será requisitado o arquivo da licença que baixamos anteriormente.
Figura 6- Etapas da Instalação do Evidence Center-X
Iniciando o Evidence Center-X
Ao iniciar a solução, uma tela inicial exibe os módulos disponíveis, habilitados conforme a licença adquirida. Alguns módulos estão restritos a agentes da lei, como o Passcode Brute-force.
Figura 7- Tela de inicialização do Evidence Center-X
Tela Inicial
Ao iniciar, você terá opções como Criar Caso, Abrir Caso, Configurações, Verificar Atualizações, Tutoriais e Vídeos sobre os primeiros passos na ferramenta. Para a versão de avaliação, é possível visualizar o nome do licenciado e a data de expiração.
Figura 8- Tela de inicialização do Evidence Center-X
Antes de prosseguir para a aplicação prática da ferramenta, explore as configurações para ajustar os caminhos e otimizar o uso dos recursos de processamento.
Configurações
O módulo de configurações pode ser acessado na tela inicial, situado à esquerda. Clique nele para acessar opções de ajuste, como personalização da aparência, definição de caminhos e outras configurações pertinentes.
Figura 9- Tela de Configurações do Evidence Center X
Guia Geral
Na guia “Geral”, é possível configurar as pastas que irão organizar a estrutura de arquivos de cada caso. Por padrão, essas pastas são instaladas em AppData\Roaming\Belkasoft. Lembre-se de habilitar a visualização de arquivos ocultos no Windows Explorer para acessar essa pasta.
Na live intitulada “Coleta e Análise Forense de Computadores com Belkasoft”, disponível no YouTube, o professor Renan Cavalheiro compartilha uma dica importante sobre a configuração da pasta temporária para otimização dos recursos de processamento do Belkasoft, incluindo um segundo disco dedicado à troca de cache.
Nesta mesma guia, é possível ajustar a quantidade de núcleos da CPU utilizados no processamento. Geralmente, mais núcleos resultam em um processamento mais rápido, mas máquinas com muitos núcleos podem ser limitadas pelo desempenho do disco rígido. Portanto, a Belkasoft recomenda testar diferentes configurações para otimizar o desempenho de acordo com as necessidades específicas.
Quanto ao memory cache, é recomendável que o tamanho não ultrapasse 30% da RAM total. Se houver restrição de memória, é sugerido reduzir a quantidade alocada para a indexação.
Para maior comodidade, a ferramenta permite retomar automaticamente o último caso ao iniciar e busca atualizações automaticamente.
Figura 10- Tela de Configurações – guia Geral
Guia Aparência
O Belkasoft Evidence Center X é uma solução multi-idiomas que oferece suporte para a língua portuguesa, proporcionando uma experiência aprimorada ao usuário (UX). Para garantir a melhor experiência possível, oferece ajustes que facilitam a visualização das informações. Isso inclui a capacidade de ajustar o tamanho da fonte, selecionar entre temas claro ou escuro, personalizar o formato de data e hora, e configurar a codificação de dados conforme necessário. Esses recursos garantem que os usuários possam adaptar a interface de acordo com suas preferências individuais, tornando a análise de dados mais eficiente e confortável.
Figura 11- Tela de Configurações – guia Aparência
Guia Perfis de análise
Na guia “Perfis de Análise”, você pode visualizar e excluir os perfis que foram criados anteriormente. Durante a criação de um caso, você terá a oportunidade de revisar as configurações dos perfis existentes e criar perfis personalizados conforme suas necessidades específicas.
Figura 12- Tela de Configurações – guia Perfis de análise
Guia Favoritos
A configuração de Favoritos serve para facilitar o acesso rápido a itens de interesse dentro de uma investigação digital. Essa função permite que os investigadores criem marcações de forma que possam organizar dados de arquivos, mensagens, URLs, entre outros, como favoritos para consulta.
Exemplo de personalização do Favoritos.
Figura 13- Tela de Configurações – guia Favoritos
Guia Carving
O Evidence Center X permite a configuração ou importação de assinaturas personalizadas para realização do carving.
Esta técnica avançada permite recuperar dados excluídos ou corrompidos com base em padrões de assinatura específicos.
Isso ocorre devido as assinaturas conterem sequencias de bytes ou padrões exclusivos que identificam o início e o fim de um arquivo ou tipo específico de dado.
Desta forma, o Evidence Center X executa uma varredura completa em busca de dados excluídos ou corrompidos que correspondam as assinaturas importadas ou configuradas.
Figura 14- Tela de Configurações – guia Carving
Guia Imagens
A configuração de embaçar imagens, mas não borrar faces em pornografia, demonstra um compromisso com o respeito à privacidade dos envolvidos de forma que a investigação possa ser conduzida de forma ética e legal.
Figura 15- Tela de Configurações – guia Imagens
Guia Vídeo
Esta configuração permite controlar a taxa de quadros dos vídeos durante o processo de análise garantindo uma visualização mais fluida e precisa do conteúdo.
Este ajuste pode ser importante também pelo fato de permitir que o controle de FPS facilite uma análise mais detalhada nas reproduções mais rápidas ou lentas.
Figura 16- Tela de Configurações – guia Vídeos
Aba Terceiro
Esta configuração permite aprofundar a perícia com uso da integração de outras ferramentas com objetivo de analisar malwares, detecção de vírus e análise de memória forense
Figura 17- Tela de Configurações – guia Terceiros
HandsOn no Evidence Center X
Se você chegou até este ponto e achou interessante a proposta da ferramenta, convido você colocar a mão na massa analisando alguns casos disponibilizados nos samples fornecidos pela Belkasoft.
Para isso você precisará:
Versão trial ou full do Evidence Center X (Licença ativa ou não expirada)
Pacote de Samples fornecido no download da ferramenta
Criar Caso
Clique na opção de Criar Caso e preencha as informações de identificação.
Figura 18- Tela de Inserir criação de um caso
Adicionar a fonte de dados que será analisada. Permitindo adicionar mais de uma fonte.
Figura 19- Tela de seleção de uma fonte de dados
Será aberta uma nova tela com as opções de adicionar uma fonte existente, realizar a triagem de uma imagem ou fazer uma aquisição.
Faremos uma breve passagem pelas opções de fontes antes de escolher a fonte do Samples.
A primeira opção é de adicionar uma fonte existente onde você terá a opção de selecionar uma imagem de risco rígido ou dispositivo móvel, unidade de disco, dump de memória, pasta, AmazonS3, uma imagem de drone ou de carro.
A segunda opção de Triagem permite que seja realizada uma triagem em uma mídia recebida.
A terceira opção de Aquisição permite realizar a coleta de dados de uma variedade de dispositivos, incluindo unidades de disco, dispositivos Tableau e dispositivos móveis. Durante este processo, é possível definir o formato de saída dos dados como RAW ou E01, bem como o tipo de checksum, escolhendo entre MD5, SHA1 ou SHA256.
Figura 20- Tela de opções de fontes de dados
Algumas opções de aquisições que podem interessar
No caso da aquisição via Tableau TX1, é possível inserir o endereço IP e acessar diretamente as informações desejadas.
Quanto à aquisição de dispositivos móveis, o Belkasoft X oferece suporte para sistemas Android, iOS e cartões SIM.
Para aquisição de dados em nuvem, a solução dispõe de várias opções interessantes, tais como Microsoft Office 365, MEGA, Telegram, Huawei, VK, Instagram, Google Cloud, entre outras. Também incluídos serviços mais populares como WhatsApp, WhatsApp CR, backups do iCloud e e-mails.
Explorando as opções com uso de samples
Como mencionado anteriormente, é possível ampliar nosso entendimento sobre o uso ideal da ferramenta ao examinar algumas amostras coletadas disponibilizadas durante a instalação, os samples e que se encontram no caminho abaixo.
Começaremos por explorar a primeira opção de aquisição de dados de uma fonte já existente, escolhendo a imagem disponível na pasta C:\Program Files\Belkasoft Evidence Center X\Sample Data > Samples.E01
Figura 21- Tela de seleção de uma fonte de dados
Selecione a imagem exibida (samples.E01) e veja que o sistema identifica o sistema de arquivos e tamanho.
Figura 22- Tela de seleção das fontes ou partes da imagem
Na próxima tela, você será questionado sobre o tipo de análise desejado, com opções que incluem a busca por arquivos existentes, a restauração de informações da lixeira e a análise de arquivos arquivados. Além disso, você terá a opção de escolher o tipo de data carving: “Carve All”, que realiza uma varredura completa de todo o espaço de armazenamento, ou “Free Carve”, que se concentra apenas em áreas não alocadas do dispositivo de armazenamento.
Figura 23- Tela de seleção do tipo de análise
Na tela seguinte, ajuste algumas configurações avançadas para análise. Isso inclui a especificação dos tipos de artefatos a serem examinados, o cálculo dos valores de hash dos arquivos e a importação de regras para identificar automaticamente atividades suspeitas com base em SIGMA e em regras desenvolvidas em Yara. No entanto, é importante notar que algumas dessas funcionalidades exigem a licença “Yara and Sigma rules”.
As modificações realizadas resultam na criação de um novo perfil.
Figura 24- Tela de seleção de artefatos relevantes
Figura 25- Tela de revisão das configurações aplicadas a fonte de dados
Finalize as alterações clicando em “Completo” e visualize as informações disponibilizadas nos exemplos (samples). Você também tem a opção de adicionar outras fontes de informação, caso necessário.
Figura 26- Popup de confirmação da configuração
Visualização dos artefatos
Observe que o sistema começará a organizar os artefatos para que você possa analisar as informações com mais clareza. Aguarde a conclusão do processamento para prosseguir com as análises.
Figura 27- Tela de visualização dos artefatos
Após o processamento, podemos explorar os artefatos em busca de informações pertinentes para o caso.
Figura 28- Tela de visualização dos artefatos após carregamento completo
Storytelling de um caso
Contar a história de um caso começa com a montagem da imagem e a organização dos dados, seguida pela pergunta crucial: “O que devo inferir?” Afinal, uma simples imagem pode conter uma infinidade de informações. Nesse momento, percebemos que os dados, por si só, têm limitações em transmitir significado.
No entanto, no contexto forense ou investigativo, é essencial transformar esses dados em uma narrativa coesa que gere insights relevantes sobre o caso. Uma abordagem pertinente é revisar a documentação inicial, incluindo todas as anotações e formulários preenchidos durante o processo de identificação.
Você pode se questionar se as informações estarão lá e se há um padrão que regule esse processo. A resposta é afirmativa. Desde 2013, a norma ABNT ISO 27037:2013 fornece diretrizes para investigações, descrevendo os passos de coleta, análise e tratamento de dados.
É importante lembrar que o perito desempenha um papel decisivo na investigação e que lidar com a verdade nem sempre é simples. Seguindo o processo, continuamos com a análise, buscando responder a questionamentos relevantes para o caso em questão.
Após uma rápida análise dos dados obtidos, o sistema categoriza 9692 artefatos, incluindo áudios, vídeos, contatos, informações de geolocalização, senhas, entre outros.
Figura 29- Tela de visualização dos artefatos
Para explorar, clique em um dos itens e veja o conjunto de dados e seus detalhes.
Figura 30- Quadro de visualização dos artefatos
Se você está procurando informações de um aplicativo específico, considere começar pela lista exibida nos menus laterais:
Figura 31- Tela com visualização dos menus verticais
Dependendo do caso, pode ser viável realizar buscas por palavras específicas, frases ou termos relevantes. Como exemplo, vamos buscar pela palavra “gun”.
Figura 32- Tela de busca de termo
Uma nova aba será aberta, exibindo os resultados que incluem imagens e e-mails contendo o termo pesquisado. Com base nessas descobertas, podemos aproveitar o recurso de categorização para facilitar a criação de um relatório com artefatos relevantes.
Figura 33- Tela com resultado da pesquisa de termo
Observe que há uma variedade de consultas e informações que você pode destacar em seu relatório. Na tela inicial, você encontrará os tipos de artefatos disponíveis. Abaixo, apresentamos alguns exemplos de itens que merecem uma análise mais detalhada:
Figura 34- Tela com visualização de artefatos interessantes
Na seção de Arquivos Encriptados, a ferramenta apresenta uma lista dos arquivos criptografados encontrados, acompanhada de uma análise realizada pelo Evidence Center sobre a complexidade da quebra. Quando um arquivo é processado, é possível visualizar a senha associada a ele. No entanto, para realizar esse processamento, é necessária uma licença do recurso de Força Bruta, que não está disponível na versão de avaliação.
Figura 35- Tela com a visão de arquivos encriptados
Outros recursos
Explore o menu superior para ter acesso a outras visualizações que a ferramenta entrega. Veja abaixo algumas opções interessantes.
Figura 36- Menu superior com outros recursos do Evidence Center X
Favoritos
Aqui temos os itens relevantes que foram marcados durante a análise.
Figura 37- Tela com a visualização dos Favoritos categorizados
Gráfico de Conexão
Com o gráfico de conexão é possível obter uma representação visual das conexões entre diferentes entidades de dados em uma investigação.
Figura 38- Tela com um gráfico de conexão
Relatórios
No menu vertical esquerdo, é possível criar relatórios com a opção de alguns formatos disponíveis tais como Texto, PDF, KML, RSMF, HTML, XLSX, VICS 1.3, VICS 2.0, XML, DOCX, CSV, EML e S21.
Figura 39- Tela da criação de um relatório
Configurações avançadas
Permite personalizar cabeçalho, rodapé, logotipo e colunas que serão visualizados no relatório.
Figura 40- Tela de configuração do relatório
Visualização do Relatório
Após a exportação, o usuário tem acesso a um resumo que incluem detalhes das fontes de dados, conteúdos relacionados, mensagens e visualização das informações.
Este resumo da extração do relatório fornece uma visão geral das fontes de dados, entregando dados relevantes para a investigação.
Figura 41- Visualização de uma extração de relatório
Conclusão
Em conclusão, o Belkasoft Evidence Center X entrega uma ferramenta robusta e eficiente para a análise forense digital. A recuperação de dados, análise detalhada e apresentação de evidências oferece uma abordagem abrangente para examinar fontes de dados. A interface intuitiva unindo os recursos avançados de filtragem e exportação de relatórios tornam a análise de dados mais eficiente e organizada. O Belkasoft Evidence Center X é uma escolha confiável para profissionais que buscam resultados sólidos e confiáveis em suas investigações digitais.
Analista de operações, formada em Redes de Computadores e Pós-graduada em Gestão de Projetos. Possui mais de 15 anos de experiência em diversos segmentos e projetos voltados a tecnologia. Dentro desta área conseguiu expandir horizontes, levar soluções e promover constantes melhorias em processos e sistemas.
Apaixonada por tecnologia, investigações e games busca constantemente superar as limitações estudando e promovendo interações entre as áreas de conhecimento e aluna da AFD desde 2022.
