• Home
  • Documents
  • Forense computacional em Linux for dummies - dicas .em Linux for dummies “uma ... Alguns comandos
prev
next
out of 29

Forense computacional em Linux for dummies - dicas .em Linux for dummies “uma ... Alguns comandos

  • View
    215

  • Download
    0

Embed Size (px)

Text of Forense computacional em Linux for dummies - dicas .em Linux for dummies “uma ... Alguns comandos

  • Eribertomai.10Eribertomai.10

    ForenseForensecomputacionalcomputacional

    emLinuxforemLinuxfordummiesdummies

    umarpidavisoumarpidavisointrodutriaintrodutria

    JooEribertoMotaFilhoJooEribertoMotaFilhoJooPessoa,PB,08demaiode2010JooPessoa,PB,08demaiode2010

  • Eribertomai.10Eribertomai.10

    SumrioSumrioOqueforensecomputacional?Oqueforensecomputacional?

    Ataquesviarede:oquefazer?Ataquesviarede:oquefazer?

    MedidasiniciaisnasforensesMedidasiniciaisnasforenses

    CriaodaimagemdamdiaatacadaCriaodaimagemdamdiaatacada

    UtilizaodaimagemdamdiaatacadaUtilizaodaimagemdamdiaatacada

    OquebuscarnaanliseOquebuscarnaanlise

    AlgunscomandoseferramentasAlgunscomandoseferramentas

    LaudodaperciaLaudodapercia

    ConclusoConcluso

  • Eribertomai.10Eribertomai.10

    SumrioSumrioOqueforensecomputacional?Oqueforensecomputacional?

    Ataquesviarede:oquefazer?Ataquesviarede:oquefazer?

    MedidasiniciaisnasforensesMedidasiniciaisnasforenses

    CriaodaimagemdamdiaatacadaCriaodaimagemdamdiaatacada

    UtilizaodaimagemdamdiaatacadaUtilizaodaimagemdamdiaatacada

    OquebuscarnaanliseOquebuscarnaanlise

    AlgunscomandoseferramentasAlgunscomandoseferramentas

    LaudodaperciaLaudodapercia

    ConclusoConcluso

  • Eribertomai.10Eribertomai.10

    Oqueforensecomputacional?Oqueforensecomputacional?ForensecomputacionalacinciavoltadaparaaForensecomputacionalacinciavoltadaparaaobteno,preservaoedocumentaodeevidnobteno,preservaoedocumentaodeevidncias,apartirdedispositivosdearmazenagemelecias,apartirdedispositivosdearmazenagemeletrnicadigital,comocomputadores,pagers,PDAs,trnicadigital,comocomputadores,pagers,PDAs,cmerasdigitais,telefonescelularesevriosoutroscmerasdigitais,telefonescelularesevriosoutrosdispositivosdearmazenamentoemmemria.Tudodispositivosdearmazenamentoemmemria.Tudodeverserfeitoparapreservarovalorcomprobadeverserfeitoparapreservarovalorcomprobatriodasevidnciaseparaassegurarqueistopossatriodasevidnciaseparaassegurarqueistopossaserutilizadoemprocedimentoslegais.serutilizadoemprocedimentoslegais.

    (An introduction to Computer Forensics,(An introduction to Computer Forensics,Information Security and Forensics Society, abr. 04,Information Security and Forensics Society, abr. 04,

    disponvel em http://www.isfs.org.hk/publications/public.htm)disponvel em http://www.isfs.org.hk/publications/public.htm)

  • Eribertomai.10Eribertomai.10

    Oqueforensecomputacional?Oqueforensecomputacional?

    Ento...Ento...

    Aforensecomputacionalbusca,emdispositivosdeAforensecomputacionalbusca,emdispositivosdearmazenamento,evidnciasdeaesincompatveis,armazenamento,evidnciasdeaesincompatveis,danosasoucriminosas.danosasoucriminosas.

    Taisaespodemserlocaisouremotas(viarede).Taisaespodemserlocaisouremotas(viarede).

    Geralmente,ascitadasaesestorelacionadasaroubodeGeralmente,ascitadasaesestorelacionadasaroubodeinformaes,fraudes,pedofilia,defacements,intruseseinformaes,fraudes,pedofilia,defacements,intrusesecrimescibernticosemgeral.crimescibernticosemgeral.

  • Eribertomai.10Eribertomai.10

    SumrioSumrioOqueforensecomputacional?Oqueforensecomputacional?

    Ataquesviarede:oquefazer?Ataquesviarede:oquefazer?

    MedidasiniciaisnasforensesMedidasiniciaisnasforenses

    CriaodaimagemdamdiaatacadaCriaodaimagemdamdiaatacada

    UtilizaodaimagemdamdiaatacadaUtilizaodaimagemdamdiaatacada

    OquebuscarnaanliseOquebuscarnaanlise

    AlgunscomandoseferramentasAlgunscomandoseferramentas

    LaudodaperciaLaudodapercia

    ConclusoConcluso

  • Eribertomai.10Eribertomai.10

    Ataquesviarede:oquefazer?Ataquesviarede:oquefazer?Emumrazovelnmerodevezes,forensessoconduzidasEmumrazovelnmerodevezes,forensessoconduzidas

    emvirtudedeataquesremotos(viarede).emvirtudedeataquesremotos(viarede).

    Apsumataqueremoto:Apsumataqueremoto:

    >Desconecte,imediatamente,ocaboderede.>Desconecte,imediatamente,ocaboderede.

    >NUNCAdesligueamquina(considerandoqueoatacanteno>NUNCAdesligueamquina(considerandoqueoatacantenootenhafeitoremotamente).otenhafeitoremotamente).

    >Notoquenamquina(nemmesmofaalogin).>Notoquenamquina(nemmesmofaalogin).

    >Chame,imediatamente,umperitopararealizaraforense.>Chame,imediatamente,umperitopararealizaraforense.

    >Acompanhe,sepossvel,todootrabalhodoperito.>Acompanhe,sepossvel,todootrabalhodoperito.

  • Eribertomai.10Eribertomai.10

    SumrioSumrioOqueforensecomputacional?Oqueforensecomputacional?

    Ataquesviarede:oquefazer?Ataquesviarede:oquefazer?

    MedidasiniciaisnasforensesMedidasiniciaisnasforenses

    CriaodaimagemdamdiaatacadaCriaodaimagemdamdiaatacada

    UtilizaodaimagemdamdiaatacadaUtilizaodaimagemdamdiaatacada

    OquebuscarnaanliseOquebuscarnaanlise

    AlgunscomandoseferramentasAlgunscomandoseferramentas

    LaudodaperciaLaudodapercia

    ConclusoConcluso

  • Eribertomai.10Eribertomai.10

    MedidasiniciaisnasforensesMedidasiniciaisnasforensesAotomaroprimeirocontatocomamquinaatacada,casoaAotomaroprimeirocontatocomamquinaatacada,casoamesmaaindaestejaligada,operitodever:mesmaaindaestejaligada,operitodever:

    InserirumpendrivemaiordoqueaquantidadedeRAMdaInserirumpendrivemaiordoqueaquantidadedeRAMdamquinaparacolherdados(nuncagravarnoHDatacado).mquinaparacolherdados(nuncagravarnoHDatacado).

    LogarcomorootemontarodispositivoUSB(/mnt?).LogarcomorootemontarodispositivoUSB(/mnt?).

    Gravarnodispositivoexternoosseguintesdados:Gravarnodispositivoexternoosseguintesdados:

    >Umdumpdememria,com#if=/dev/memof=/mnt/mem.>Umdumpdememria,com#if=/dev/memof=/mnt/mem.(estatemqueseraprimeiraao)(estatemqueseraprimeiraao)

    >Asituaodememria,com#freem>/mnt/free.>Asituaodememria,com#freem>/mnt/free.

    >Osprocessosativos,com#psaux>/mnt/ps.>Osprocessosativos,com#psaux>/mnt/ps.

    >Osprocessoseportasocultos,com#unhide>/mnt/unhide.>Osprocessoseportasocultos,com#unhide>/mnt/unhide.

    continua...continua...

  • Eribertomai.10Eribertomai.10

    MedidasiniciaisnasforensesMedidasiniciaisnasforensescontinuando...continuando...

    >Otempodevidadamquina,com#uptime>/mnt/uptime.>Otempodevidadamquina,com#uptime>/mnt/uptime.

    >Asconexeseportasabertas,com#netstattunap>>Asconexeseportasabertas,com#netstattunap>/mnt/netstat./mnt/netstat.

    >Arelaodepacotesinstalados(noDebian,podeseusar#>Arelaodepacotesinstalados(noDebian,podeseusar#COLUMNS=110dpkgl>/mnt/pacotes).COLUMNS=110dpkgl>/mnt/pacotes).

    >Dataehoradamquina,com#date>/mnt/date.Anotea>Dataehoradamquina,com#date>/mnt/date.Anoteahoradoseurelgionestemomento,paraumacomparaohoradoseurelgionestemomento,paraumacomparaofutura.Adefasagemencontradadeverconstarnolaudo.futura.Adefasagemencontradadeverconstarnolaudo.

    >Usurioslogados,com#w>/mnt/w.>Usurioslogados,com#w>/mnt/w.

    >Utilizaodediscos,com#dfhT>/mnt/df.>Utilizaodediscos,com#dfhT>/mnt/df.

    >Okernelutilizado,com#unamea>/mnt/uname.>Okernelutilizado,com#unamea>/mnt/uname.

    continua...continua...

  • Eribertomai.10Eribertomai.10

    MedidasiniciaisnasforensesMedidasiniciaisnasforensescontinuando...continuando...

    Desmontareremoverodispositivoexterno(pendrive).Desmontareremoverodispositivoexterno(pendrive).

    Verificar,emoutramquina,serealmentefoigravadotodoVerificar,emoutramquina,serealmentefoigravadotodoocontedonecessrionodispositivoexterno.ocontedonecessrionodispositivoexterno.

    DesligaramquinasempermitirqueamesmagravedadosDesligaramquinasempermitirqueamesmagravedadosnodisco.Paraisso,puxeocabodeenergiadatomadasemnodisco.Paraisso,puxeocabodeenergiadatomadasemdesligaramquinadeformaconvencional.desligaramquinadeformaconvencional.

  • Eribertomai.10Eribertomai.10

    SumrioSumrioOqueforensecomputacional?Oqueforensecomputacional?

    Ataquesviarede:oquefazer?Ataquesviarede:oquefazer?

    MedidasiniciaisnasforensesMedidasiniciaisnasforenses

    CriaodaimagemdamdiaatacadaCriaodaimagemdamdiaatacada

    UtilizaodaimagemdamdiaatacadaUtilizaodaimagemdamdiaatacada

    OquebuscarnaanliseOquebuscarnaanlise

    AlgunscomandoseferramentasAlgunscomandoseferramentas

    LaudodaperciaLaudodapercia

    ConclusoConcluso

  • Eribertomai.10Eribertomai.10

    CriaodaimagemdamdiaatacadaCriaodaimagemdamdiaatacadaTodootrabalhodeforensedeverserrealizadoemumaTodootrabalhodeforensedeverserrealizadoemuma

    cpiadamdiaatacada(imagem).cpiadamdiaatacada(imagem).

    Paracriaraimagem:Paracriaraimagem:

    AdicionarumHDdecapacidademaiordoqueodaAdicionarumHDdecapacidademaiordoqueodamquinaatacada.mquinaatacada.

    InicializaramquinaatacadacomumliveCDvoltadoparaInicializaramquinaatacadacomumliveCDvoltadoparaforense(sugesto:Insert)oupendrivecomLinuxforense(sugesto:Insert)oupendrivecomLinux(sugesto:http://tiny.cc/pendrive_debian).(sugesto:http://tiny.cc/pendrive_debian).

    MontarapenasapartiodoHDadicional(aqueirMontarapenasapartiodoHDadicional(aqueirreceberasimagens).receberasimagens).

    CriarumaimagemdoHDcomprometido,porinteiro,noCriarumaimagemdoHDcomprometido,porinteiro,nonovoHD.novoHD.

  • Eribertomai.10Eribertomai.10

    CriaodaimagemdamdiaatacadaCriaodaimagemdamdiaatacadaApsacriaodaimagemdoHD,calculardoishashesdeApsacriaodaimagemdoHD,calculardoishashesde

    taisimagens(pelomenosumdeverserSHA2).taisimagens(pelomenosumdeverserSHA2).

    TodooprocessodeaberturafsicadamquinaTodooprocessodeaberturafsicadamquinacomprometida,criaodaimagemeclculodoshashescomprometida,criaodaimagemeclculodoshashesdeverseracompanhadoporduastestemunhas.deverseracompanhadoporduastestemunhas.

    Aofinaldaoperao,deversergeradoumAofinaldaoperao,deversergeradoumcertificadodecertificadodeintegridadeintegridade,contendoadata,onomeeoCPFdoperito,das,contendoadata,onomeeo

Recommended

Seguranca em Servidores Linux
Seguranca em Servidores Linux
Technology
Oracle Em Linux
Oracle Em Linux
Documents
Linux em 2012
Linux em 2012
Technology
Segurança em servidores Linux
Segurança em servidores Linux
Education
DO WHAT YOU NEVER THOUGHT POSSIBLE WITH UBUNTU Linux Programming, Linux For Dummies, 8th Edition, and
DO WHAT YOU NEVER THOUGHT POSSIBLE WITH UBUNTU Linux Programming, Linux For Dummies, 8th Edition, and
Documents
CCcam Em Linux Server
CCcam Em Linux Server
Documents
Linux for Dummies
Linux for Dummies
Documents
Zabbix - Monitoramento em Linux
Zabbix - Monitoramento em Linux
Documents
Forense computacional em Linux for dummies
Forense computacional em Linux for dummies
Documents
ROTEAMENTO VOIP EM LINUX - Unifacvest portas VoIP desenvolvido em Linux, atendendo necessidades como
ROTEAMENTO VOIP EM LINUX - Unifacvest portas VoIP desenvolvido em Linux, atendendo necessidades como
Documents
SEGURANÇA COMPUTACIONAL: Segurança em Servidores Linux em Camadas
SEGURANÇA COMPUTACIONAL: Segurança em Servidores Linux em Camadas
Documents
Forense computacional em Linux for dummies - “uma rpida viso ... integridade, contendo a data, o nome e o CPF do perito, das
Forense computacional em Linux for dummies - “uma rpida viso ... integridade, contendo a data, o nome e o CPF do perito, das
Documents
View more >