Transcript
  • ForenseForensecomputacionalcomputacional

    emLinuxforemLinuxfordummiesdummies

    umarpidavisoumarpidavisointrodutriaintrodutria

    JooEribertoMotaFilhoJooEribertoMotaFilhoFozdoIguau,PR,17out.2014FozdoIguau,PR,17out.2014

  • Eribertoout.14Eribertoout.14

    SumrioSumrioOqueforensecomputacional?Oqueforensecomputacional?

    Ataquesviarede:oquefazer?Ataquesviarede:oquefazer?

    MedidasiniciaisnasforensesMedidasiniciaisnasforenses

    CriaodaimagemdamdiaatacadaCriaodaimagemdamdiaatacada

    UtilizaodaimagemdamdiaatacadaUtilizaodaimagemdamdiaatacada

    OquebuscarnaanliseOquebuscarnaanlise

    AlgunscomandoseferramentasAlgunscomandoseferramentas

    LaudodaperciaLaudodapercia

    ConclusoConcluso

  • Eribertoout.14Eribertoout.14

    SumrioSumrioOqueforensecomputacional?Oqueforensecomputacional?

    Ataquesviarede:oquefazer?Ataquesviarede:oquefazer?

    MedidasiniciaisnasforensesMedidasiniciaisnasforenses

    CriaodaimagemdamdiaatacadaCriaodaimagemdamdiaatacada

    UtilizaodaimagemdamdiaatacadaUtilizaodaimagemdamdiaatacada

    OquebuscarnaanliseOquebuscarnaanlise

    AlgunscomandoseferramentasAlgunscomandoseferramentas

    LaudodaperciaLaudodapercia

    ConclusoConcluso

  • Eribertoout.14Eribertoout.14

    Oqueforensecomputacional?Oqueforensecomputacional?ForensecomputacionalacinciavoltadaparaaForensecomputacionalacinciavoltadaparaaobteno,preservaoedocumentaodeevidnobteno,preservaoedocumentaodeevidncias,apartirdedispositivosdearmazenagemelecias,apartirdedispositivosdearmazenagemeletrnicadigital,comocomputadores,pagers,PDAs,trnicadigital,comocomputadores,pagers,PDAs,cmerasdigitais,telefonescelularesevriosoutroscmerasdigitais,telefonescelularesevriosoutrosdispositivosdearmazenamentoemmemria.Tudodispositivosdearmazenamentoemmemria.Tudodeverserfeitoparapreservarovalorcomprobadeverserfeitoparapreservarovalorcomprobatriodasevidnciaseparaassegurarqueistopossatriodasevidnciaseparaassegurarqueistopossaserutilizadoemprocedimentoslegais.serutilizadoemprocedimentoslegais.

    (An introduction to Computer Forensics,(An introduction to Computer Forensics,Information Security and Forensics Society, abr. 04,Information Security and Forensics Society, abr. 04,

    disponvel em http://www.isfs.org.hk/publications/public.htm)disponvel em http://www.isfs.org.hk/publications/public.htm)

  • Eribertoout.14Eribertoout.14

    Oqueforensecomputacional?Oqueforensecomputacional?

    Ento...Ento...

    Aforensecomputacionalbusca,emdispositivosdeAforensecomputacionalbusca,emdispositivosdearmazenamento,evidnciasdeaesincompatveis,armazenamento,evidnciasdeaesincompatveis,danosasoucriminosas.danosasoucriminosas.

    Taisaespodemserlocaisouremotas(viarede).Taisaespodemserlocaisouremotas(viarede).

    Geralmente,ascitadasaesestorelacionadasaroubodeGeralmente,ascitadasaesestorelacionadasaroubodeinformaes,fraudes,pedofilia,defacements,intruseseinformaes,fraudes,pedofilia,defacements,intrusesecrimescibernticosemgeral.crimescibernticosemgeral.

    Ovocbulo"forense"estligadoa"investigao".Ovocbulo"forense"estligadoa"investigao".

  • Eribertoout.14Eribertoout.14

    SumrioSumrioOqueforensecomputacional?Oqueforensecomputacional?

    Ataquesviarede:oquefazer?Ataquesviarede:oquefazer?

    MedidasiniciaisnasforensesMedidasiniciaisnasforenses

    CriaodaimagemdamdiaatacadaCriaodaimagemdamdiaatacada

    UtilizaodaimagemdamdiaatacadaUtilizaodaimagemdamdiaatacada

    OquebuscarnaanliseOquebuscarnaanlise

    AlgunscomandoseferramentasAlgunscomandoseferramentas

    LaudodaperciaLaudodapercia

    ConclusoConcluso

  • Eribertoout.14Eribertoout.14

    Ataquesviarede:oquefazer?Ataquesviarede:oquefazer?Emumrazovelnmerodevezes,forensessoconduzidasEmumrazovelnmerodevezes,forensessoconduzidas

    emvirtudedeataquesremotos(viarede).emvirtudedeataquesremotos(viarede).

    Apsumataqueremoto:Apsumataqueremoto:

    >Desconecte,imediatamente,ocaboderede(anoserque>Desconecte,imediatamente,ocaboderede(anoserquehajaalgummotivoparanofazerisso).hajaalgummotivoparanofazerisso).

    >NUNCAdesligueamquina(considerandoqueoatacanteno>NUNCAdesligueamquina(considerandoqueoatacantenootenhafeitoremotamente).otenhafeitoremotamente).

    >Notoquenamquina(nemmesmofaalogin).>Notoquenamquina(nemmesmofaalogin).

    >Chame,imediatamente,umperitopararealizarapercia.>Chame,imediatamente,umperitopararealizarapercia.

    >Acompanhe,sepossvel,todootrabalhodoperito.>Acompanhe,sepossvel,todootrabalhodoperito.

  • Eribertoout.14Eribertoout.14

    SumrioSumrioOqueforensecomputacional?Oqueforensecomputacional?

    Ataquesviarede:oquefazer?Ataquesviarede:oquefazer?

    MedidasiniciaisnasforensesMedidasiniciaisnasforenses

    CriaodaimagemdamdiaatacadaCriaodaimagemdamdiaatacada

    UtilizaodaimagemdamdiaatacadaUtilizaodaimagemdamdiaatacada

    OquebuscarnaanliseOquebuscarnaanlise

    AlgunscomandoseferramentasAlgunscomandoseferramentas

    LaudodaperciaLaudodapercia

    ConclusoConcluso

  • Eribertoout.14Eribertoout.14

    MedidasiniciaisnasforensesMedidasiniciaisnasforensesAotomaroprimeirocontatocomamquinaatacada,casoaAotomaroprimeirocontatocomamquinaatacada,casoamesmaaindaestejaligada,operitodever:mesmaaindaestejaligada,operitodever:

    InserirumpendriveouHDexternomaiordoqueaInserirumpendriveouHDexternomaiordoqueaquantidadedeRAMdamquinaparacolherdados.quantidadedeRAMdamquinaparacolherdados.

    LogarcomorootemontarodispositivoUSB(/mnt?).LogarcomorootemontarodispositivoUSB(/mnt?).

    Gravarnodispositivoexternoosseguintesdados:Gravarnodispositivoexternoosseguintesdados:

    >Umdumpdememria,comauxliodaferramentaLiME.>Umdumpdememria,comauxliodaferramentaLiME.

    >Usurioslogados,com#w>/mnt/w.>Usurioslogados,com#w>/mnt/w.

    >Ohistricodecomandos,com#history>/mnt/history.>Ohistricodecomandos,com#history>/mnt/history.

    >Asituaodememria,com#freem>/mnt/free.>Asituaodememria,com#freem>/mnt/free.continua...continua...

  • Eribertoout.14Eribertoout.14

    MedidasiniciaisnasforensesMedidasiniciaisnasforensescontinuando...continuando...

    >Otempodevidadamquina,com#uptime>/mnt/uptime.>Otempodevidadamquina,com#uptime>/mnt/uptime.

    >Osprocessosativos,com#psaux>/mnt/ps.>Osprocessosativos,com#psaux>/mnt/ps.

    >Ospossveisprocessosocultos,com#unhide[proc/sys/brute]>Ospossveisprocessosocultos,com#unhide[proc/sys/brute]>/mnt/unhide.[proc/sys/brute].>/mnt/unhide.[proc/sys/brute].

    >Asconexeseportasabertas,com#netstattunap>>Asconexeseportasabertas,com#netstattunap>/mnt/netstat./mnt/netstat.

    >AspossveisportasTCP/UDPocultas,com#unhidetcp>>AspossveisportasTCP/UDPocultas,com#unhidetcp>/mnt/unhide.tcp./mnt/unhide.tcp.

    >Arelaodepacotesinstalados.NoDebianederivados,pode>Arelaodepacotesinstalados.NoDebianederivados,podeseusar#COLUMNS=110dpkgl>/mnt/pacotes.NoRedHatseusar#COLUMNS=110dpkgl>/mnt/pacotes.NoRedHathocomando#rpmqa>/mnt/pacotes.hocomando#rpmqa>/mnt/pacotes.

    continua...continua...

  • Eribertoout.14Eribertoout.14

    MedidasiniciaisnasforensesMedidasiniciaisnasforensescontinuando...continuando...

    >Dataehoradamquina,com#date>/mnt/date.Anotea>Dataehoradamquina,com#date>/mnt/date.Anoteahoradoseurelgionestemomento,paraumacomparaohoradoseurelgionestemomento,paraumacomparaofutura.Adefasagemencontradadeverconstarnolaudo.futura.Adefasagemencontradadeverconstarnolaudo.

    >Utilizaodediscos,com#dfhT>/mnt/df>Utilizaodediscos,com#dfhT>/mnt/df

    >Osdetalhessobredispositivosmontados,com#mount>>Osdetalhessobredispositivosmontados,com#mount>/mnt/mount./mnt/mount.

    >Oesquemadeparticionamento,com#fdiskl>/mnt/fdisk>Oesquemadeparticionamento,com#fdiskl>/mnt/fdisk(ougdiskl[disco]>/mnt/gdisk).(ougdiskl[disco]>/mnt/gdisk).

    >Aversodekernelutilizada,com#unamea>/mnt/uname.>Aversodekernelutilizada,com#unamea>/mnt/uname.

    >Osdadosbsicosderede,com#ifconfig>/mnt/ifconfig.>Osdadosbsicosderede,com#ifconfig>/mnt/ifconfig.

    >Asrotasderede,com#routen>/mnt/route.>Asrotasderede,com#routen>/mnt/route.

    continua...continua...

  • Eribertoout.14Eribertoout.14

    MedidasiniciaisnasforensesMedidasiniciaisnasforensescontinuando...continuando...

    >Osmdulosdekernelcarregados,com#lsmod>>Osmdulosdekernelcarregados,com#lsmod>/mnt/lsmod./mnt/lsmod.

    >Porfim,colherdoishashesdiferentes(umdelesSHA2)da>Porfim,colherdoishashesdiferentes(umdelesSHA2)damemriaedetodososarquivosgerados.memriaedetodososarquivosgerados.

    Desmontareremoverodispositivoexterno(pendriveouDesmontareremoverodispositivoexterno(pendriveouHDexterno).HDexterno).

    Verificar,emoutramquina,serealmentefoigravadotodoVerificar,emoutramquina,serealmentefoigravadotodoocontedonecessrionodispositivoexterno.ocontedonecessrionodispositivoexterno.

    DesligaramquinasempermitirqueamesmagravedadosDesligaramquinasempermitirqueamesmagravedadosnodisco.Paraisso,puxeocabodeenergiadatomadasemnodisco.Paraisso,puxeocabodeenergiadatomadasemdesligaramquinadeformaconvencional.desligaramquinadeformaconvencional.

  • Eribertoout.14Eribertoout.14

    SumrioSumrioOqueforensecomputacional?Oqueforensecomputacional?

    Ataquesviarede:oquefazer?Ataquesviarede:oquefazer?

    MedidasiniciaisnasforensesMedidasiniciaisnasforenses

    CriaodaimagemdamdiaatacadaCriaodaimagemdamdiaatacada

    UtilizaodaimagemdamdiaatacadaUtilizaodaimagemdamdiaatacada

    OquebuscarnaanliseOquebuscarnaanlise

    AlgunscomandoseferramentasAlgunscomandoseferramentas

    LaudodaperciaLaudodapercia

    ConclusoConcluso

  • Eribertoout.14Eribertoout.14

    CriaodaimagemdamdiaatacadaCriaodaimagemdamdiaatacadaTodootrabalhodeforensedeverserrealizadoemumaTodootrabalhodeforensedeverserrealizadoemuma

    cpiadamdiaatacada(imagem).cpiadamdiaatacada(imagem).

    Paracriaraimagem:Paracriaraimagem:

    AdicionarumHDdecapacidademaiordoqueooriginalouAdicionarumHDdecapacidademaiordoqueooriginalouusarocomandodcflddparageraraimagememvriosHDs.usarocomandodcflddparageraraimagememvriosHDs.

    InicializaramquinaatacadacomumliveCDvoltadoparaInicializaramquinaatacadacomumliveCDvoltadoparaforenseoupendrivecomLinux.CUIDADO!LiveCDsnoforenseoupendrivecomLinux.CUIDADO!LiveCDsnoapropriadosusamreasdeswapencontradasnodiscoeapropriadosusamreasdeswapencontradasnodiscoemontammdiasautomaticamente.montammdiasautomaticamente.

    MontarapenasapartiodoHDadicional(aqueirMontarapenasapartiodoHDadicional(aqueirreceberasimagens).receberasimagens).

    CriarumaimagemdoHDcomprometido,porinteiro,noCriarumaimagemdoHDcomprometido,porinteiro,nonovoHD.novoHD.

  • Eribertoout.14Eribertoout.14

    CriaodaimagemdamdiaatacadaCriaodaimagemdamdiaatacadaApsacriaodaimagemdoHD,calculardoishashesdeApsacriaodaimagemdoHD,calculardoishashesde

    talimagem(pelomenosumdelesdeverserSHA2).talimagem(pelomenosumdelesdeverserSHA2).

    TodooprocessodeaberturafsicadamquinaTodooprocessodeaberturafsicadamquinacomprometida,criaodaimagemeclculodoshashescomprometida,criaodaimagemeclculodoshashesdeverseracompanhadoporduastestemunhas.deverseracompanhadoporduastestemunhas.

    Aofinaldaoperao,deversergeradoumAofinaldaoperao,deversergeradoumcertificadodecertificadodeintegridadeintegridade,contendoadata,onomeeoCPFdoperito,das,contendoadata,onomeeoCPFdoperito,dastestemunhas,onmerodesriedoHDeoshashesobtidostestemunhas,onmerodesriedoHDeoshashesobtidos(especialmenteHDememria).Todosdeveroassinaro(especialmenteHDememria).Todosdeveroassinarocertificado,queserumdosapndicesaolaudopericial.certificado,queserumdosapndicesaolaudopericial.

    OHDoriginaldeverserlacradonapresenadetodoseOHDoriginaldeverserlacradonapresenadetodoseentregueparaautoridadecompetente.Onmerodoslacresentregueparaautoridadecompetente.Onmerodoslacresdeverconstarnolaudo(ounocertificadodeintegridade).deverconstarnolaudo(ounocertificadodeintegridade).

  • Eribertoout.14Eribertoout.14

    CriaodaimagemdamdiaatacadaCriaodaimagemdamdiaatacadaMdiasdanificadas(HD,pendrive,CDROM)poderoteroMdiasdanificadas(HD,pendrive,CDROM)poderotero

    seucontedoparcialcopiadocomocomandodd_rescue.seucontedoparcialcopiadocomocomandodd_rescue.IssoirgerarumfragmentoauditvelcomferramentasIssoirgerarumfragmentoauditvelcomferramentasespeciais.especiais.

    muitoimportantepreservaraomximoaimagemmuitoimportantepreservaraomximoaimagemoriginal.Trabalhetodootempoemumacpiadamesma.original.Trabalhetodootempoemumacpiadamesma.

  • Eribertoout.14Eribertoout.14

    CriaodaimagemdamdiaatacadaCriaodaimagemdamdiaatacadaExemplodecriaodeimagens:Exemplodecriaodeimagens:

    HDcomprometido:/dev/sda.HDcomprometido:/dev/sda.

    2HD:possuiumanicapartio,a/dev/sdb1.2HD:possuiumanicapartio,a/dev/sdb1.

    Criaodasimagens(/dev/sdb1montadoem/mnt):Criaodasimagens(/dev/sdb1montadoem/mnt):

    #ddif=/dev/sdaof=/mnt/sda.dd#ddif=/dev/sdaof=/mnt/sda.dd

    Odcflddumaexcelentealternativamodernaaodd.Odcflddumaexcelentealternativamodernaaodd.

    Dentreoutraspossibilidades,odcflddexibeoandamentoDentreoutraspossibilidades,odcflddexibeoandamentodaoperaoecalculahashesemtemporeal.Exemplo:daoperaoecalculahashesemtemporeal.Exemplo:

    #dcflddif=/dev/sdaof=/mnt/sda.ddhash=md5,sha256#dcflddif=/dev/sdaof=/mnt/sda.ddhash=md5,sha256md5log=/mnt/sda.dd.md5sha256log=/mnt/sda.dd.sha256md5log=/mnt/sda.dd.md5sha256log=/mnt/sda.dd.sha256

  • Eribertoout.14Eribertoout.14

    CriaodaimagemdamdiaatacadaCriaodaimagemdamdiaatacadaComparativo(usandocomobaseumpendrivede16GBemComparativo(usandocomobaseumpendrivede16GBem

    umnotebookDellcomprocessadorI7):umnotebookDellcomprocessadorI7):

    *dd+md5sum+sha256sum=15min21seg(sodd:11'*dd+md5sum+sha256sum=15min21seg(sodd:11'21'').21'').

    *dcfldd,calculandooshashes=11min21seg.*dcfldd,calculandooshashes=11min21seg.

    Exemplodesadaemtela:Exemplodesadaemtela:

    root@scutum:~# dcfldd if=/dev/sdb of=/mnt/sdb.dd hash=md5,sha256 md5log=/mnt/sdb.dd.md5 sha256log=/mnt/sdb.dd.sha256

    433152 blocks (13536Mb) written.

  • Eribertoout.14Eribertoout.14

    SumrioSumrioOqueforensecomputacional?Oqueforensecomputacional?

    Ataquesviarede:oquefazer?Ataquesviarede:oquefazer?

    MedidasiniciaisnasforensesMedidasiniciaisnasforenses

    CriaodaimagemdamdiaatacadaCriaodaimagemdamdiaatacada

    UtilizaodaimagemdamdiaatacadaUtilizaodaimagemdamdiaatacada

    OquebuscarnaanliseOquebuscarnaanlise

    AlgunscomandoseferramentasAlgunscomandoseferramentas

    LaudodaperciaLaudodapercia

    ConclusoConcluso

  • Eribertoout.14Eribertoout.14

    UtilizaodaimagemdamdiaatacadaUtilizaodaimagemdamdiaatacadaOsarquivosdeimagenspoderoseranalisadosdiretamenteOsarquivosdeimagenspoderoseranalisadosdiretamente

    (examedesuperfcie).Htambmaopopelamontagem(examedesuperfcie).Htambmaopopelamontagemdecadaumadaspartiesexistentesnaimagem.decadaumadaspartiesexistentesnaimagem.

    AspartiesdasimagensdeverosermontadascomoreadAspartiesdasimagensdeverosermontadascomoreadonly(paranoalterarocontedo).only(paranoalterarocontedo).

    Exemplo:Exemplo:

    #mountoro,offset=32256sda.dd/forense#mountoro,offset=32256sda.dd/forense

    ArquivosdeswapsoextensodamemriaenopossuemArquivosdeswapsoextensodamemriaenopossuemfilesystem.Ento,seroanalisadossemmontagem(nofilesystem.Ento,seroanalisadossemmontagem(nopossvelmontlos).possvelmontlos).

  • Eribertoout.14Eribertoout.14

    SumrioSumrioOqueforensecomputacional?Oqueforensecomputacional?

    Ataquesviarede:oquefazer?Ataquesviarede:oquefazer?

    MedidasiniciaisnasforensesMedidasiniciaisnasforenses

    CriaodaimagemdamdiaatacadaCriaodaimagemdamdiaatacada

    UtilizaodaimagemdamdiaatacadaUtilizaodaimagemdamdiaatacada

    OquebuscarnaanliseOquebuscarnaanlise

    AlgunscomandoseferramentasAlgunscomandoseferramentas

    LaudodaperciaLaudodapercia

    ConclusoConcluso

  • Eribertoout.14Eribertoout.14

    OquebuscarnaanliseOquebuscarnaanliseInicieainvestigaoouvindoosfatosparatentardeduzirInicieainvestigaoouvindoosfatosparatentardeduzir

    algorelevantequeleveseleodeumpontoinicial.algorelevantequeleveseleodeumpontoinicial.

    AdoteumdosmtodosdeperciaparainiciarostrabalhosAdoteumdosmtodosdeperciaparainiciarostrabalhos(linhadotempooudescubraoquepuder).(linhadotempooudescubraoquepuder).

    Analiselogs,memriaeswap.Analiselogs,memriaeswap.

    Analisediretriosimportantescomo/tmp,/var/tmp,Analisediretriosimportantescomo/tmp,/var/tmp,/homee/etc./homee/etc.

    Busqueporrootkitsebackdoors.Busqueporrootkitsebackdoors.

    Verifiqueseosistemaoperacionalestavaatualizado.Verifiqueseosistemaoperacionalestavaatualizado.

    Busquesenhasearquivosdentrodaimagemdamemria.Busquesenhasearquivosdentrodaimagemdamemria.

  • Eribertoout.14Eribertoout.14

    OquebuscarnaanliseOquebuscarnaanliseProcure,emimagensdediscos,porarquivosrelevantesProcure,emimagensdediscos,porarquivosrelevantes

    apagados,combaseempalavraschave.apagados,combaseempalavraschave.

    ArquivosdeMSOfficeeLibreOfficesuspeitosdevemserArquivosdeMSOfficeeLibreOfficesuspeitosdevemseranalisadosprofundamente.Comecepelaspropriedadesdosanalisadosprofundamente.Comecepelaspropriedadesdosmesmos.TambmvlidoparaPDFs.mesmos.TambmvlidoparaPDFs.

    FigurasJPGpossuemdadosEXIF.Issoimportante!AnaliseFigurasJPGpossuemdadosEXIF.Issoimportante!Analisetambmaspropriedadesdequalquerfigura.tambmaspropriedadesdequalquerfigura.

    Figuraspodemconteresteganografia.ArquivospodemestarFiguraspodemconteresteganografia.Arquivospodemestarcriptografados.Vocpoderdescobrirsenhasporcriptografados.Vocpoderdescobrirsenhasporengenhariasocialouanlisedememria.engenhariasocialouanlisedememria.

    Sejainteligente,criativoeperseverante.TenhaavontadeSejainteligente,criativoeperseverante.Tenhaavontadedevenceroseuoponente!devenceroseuoponente!

  • Eribertoout.14Eribertoout.14

    SumrioSumrioOqueforensecomputacional?Oqueforensecomputacional?

    Ataquesviarede:oquefazer?Ataquesviarede:oquefazer?

    MedidasiniciaisnasforensesMedidasiniciaisnasforenses

    CriaodaimagemdamdiaatacadaCriaodaimagemdamdiaatacada

    UtilizaodaimagemdamdiaatacadaUtilizaodaimagemdamdiaatacada

    OquebuscarnaanliseOquebuscarnaanlise

    AlgunscomandoseferramentasAlgunscomandoseferramentas

    LaudodaperciaLaudodapercia

    ConclusoConcluso

  • Eribertoout.14Eribertoout.14

    AlgunscomandoseferramentasAlgunscomandoseferramentasInstaleosleuthkit(noDebian,#aptgetinstallsleuthkit;Instaleosleuthkit(noDebian,#aptgetinstallsleuthkit;

    paravercomandos:#dpkgLsleuthkit|grep/usr/bin).paravercomandos:#dpkgLsleuthkit|grep/usr/bin).

    UtilizeocamandostatparasaberasituaodearquivoseUtilizeocamandostatparasaberasituaodearquivosediretrios.diretrios.

    Garimpeimagensearquivoscomstrings+grep.OGarimpeimagensearquivoscomstrings+grep.Ocomandostrings,noDebian,estnopacotebinutils.comandostrings,noDebian,estnopacotebinutils.

    Procureporrootkitscomchkrootkiterkhunter.Exemplos:Procureporrootkitscomchkrootkiterkhunter.Exemplos:

    #chkrootkitr/forense#chkrootkitr/forense

    #rkhunterupdate;rkhuntercr/forense#rkhunterupdate;rkhuntercr/forense

    Procureporwormscomoclamscan(#aptgetinstallProcureporwormscomoclamscan(#aptgetinstallclamav).Exemplo:clamav).Exemplo:

    #freshclam;clamscanr/forense#freshclam;clamscanr/forense

  • Eribertoout.14Eribertoout.14

    AlgunscomandoseferramentasAlgunscomandoseferramentasUtilizeocomandofindparaprocurarporarquivoscriadosUtilizeocomandofindparaprocurarporarquivoscriados

    oumodificadosnosltimosoumodificadosnosltimosxxdias.Exemplopara2dias:dias.Exemplopara2dias:

    #find/forense/mtime2#find/forense/mtime2

    Utilizefls+icatpararecuperararquivosapagadosemUtilizefls+icatpararecuperararquivosapagadosemfilesystems.Exemplo:filesystems.Exemplo:

    #flsFdro63sda.img#flsFdro63sda.img

    #icato63sda.img75>teste.jpg#icato63sda.img75>teste.jpg

    UtilizeoscomandosmagicrescueeforemostparabuscarUtilizeoscomandosmagicrescueeforemostparabuscararquivosemimagensdemdiasformatadas,corrompidasarquivosemimagensdemdiasformatadas,corrompidasouemfragmentosdeimagens.Comaopoa,oforemostouemfragmentosdeimagens.Comaopoa,oforemostrecuperaarquivosdanificados(egeramuitosfalsosrecuperaarquivosdanificados(egeramuitosfalsospositivos).AopomaiscomumTq.positivos).AopomaiscomumTq.

  • Eribertoout.14Eribertoout.14

    AlgunscomandoseferramentasAlgunscomandoseferramentasUtilizehexdumpehexeditparaacessarcontedos,Utilizehexdumpehexeditparaacessarcontedos,

    exibindoosemhexadecimal(mesmoemfragmentos).Paraexibindoosemhexadecimal(mesmoemfragmentos).ParaASCIIpuro,utilizeomcview.ASCIIpuro,utilizeomcview.

    Utilizeosprogramasgwenviewegimpparaabrirfiguras,Utilizeosprogramasgwenviewegimpparaabrirfiguras,inclusivedanificadas.inclusivedanificadas.

    Paraverdadosexif,utilizemetacameexif.Paraverdadosexif,utilizemetacameexif.

    UtilizeocomandofileparavercaractersticasdeimagensUtilizeocomandofileparavercaractersticasdeimagensdedispositivos,fotos,documentosdoofficeeexecutveis.dedispositivos,fotos,documentosdoofficeeexecutveis.

    okular(KDE)eevince(Gnome)podemserutilizadosparaokular(KDE)eevince(Gnome)podemserutilizadosparavercontedosdiversos.Parafiguras,hovisualizadorvercontedosdiversos.Parafiguras,hovisualizadorrpidosxiv.rpidosxiv.

    SempreapliqueocomandostringsemfotosePDFs.SempreapliqueocomandostringsemfotosePDFs.

  • Eribertoout.14Eribertoout.14

    AlgunscomandoseferramentasAlgunscomandoseferramentasUtilizeoLibreOfficeparaabrireinvestigardocumentosdoUtilizeoLibreOfficeparaabrireinvestigardocumentosdo

    tipooffice.tipooffice.

    Utilizevolatilityparafazeraanlisebinriadamemria.Utilizevolatilityparafazeraanlisebinriadamemria.

    Estudemuito!!!(aptcachesearchforensic).Estudemuito!!!(aptcachesearchforensic).

    DEMONSTRAO.DEMONSTRAO.

  • Eribertoout.14Eribertoout.14

    SumrioSumrioOqueforensecomputacional?Oqueforensecomputacional?

    Ataquesviarede:oquefazer?Ataquesviarede:oquefazer?

    MedidasiniciaisnasforensesMedidasiniciaisnasforenses

    CriaodaimagemdamdiaatacadaCriaodaimagemdamdiaatacada

    UtilizaodaimagemdamdiaatacadaUtilizaodaimagemdamdiaatacada

    OquebuscarnaanliseOquebuscarnaanlise

    AlgunscomandoseferramentasAlgunscomandoseferramentas

    LaudodaperciaLaudodapercia

    ConclusoConcluso

  • Eribertoout.14Eribertoout.14

    LaudodaperciaLaudodaperciaNohummodeloespecficoparalaudoourelatriodeNohummodeloespecficoparalaudoourelatriode

    forense.difcilencontrarummodelonaInternet.forense.difcilencontrarummodelonaInternet.

    Algunsdadosinteressantesparaacomposiodolaudo:Algunsdadosinteressantesparaacomposiodolaudo:

    >Dadospessoaisdoperito.>Dadospessoaisdoperito.

    >Perododarealizaodaforense.>Perododarealizaodaforense.

    >Breverelatodoocorrido(notciasiniciais).>Breverelatodoocorrido(notciasiniciais).

    >Dadosgeraissobreamquinae/ousistemaatacado(nomeda>Dadosgeraissobreamquinae/ousistemaatacado(nomedamquina,portasabertas,partiesexistentesetc).mquina,portasabertas,partiesexistentesetc).

    >Detalhamentodosprocedimentosrealizados.>Detalhamentodosprocedimentosrealizados.

    >Dadosefatosrelevantesencontrados.>Dadosefatosrelevantesencontrados.

    >Conclusoerecomendaes.>Conclusoerecomendaes.

    >Apndiceseanexos.(incluircertificadodeintegridade)>Apndiceseanexos.(incluircertificadodeintegridade)

  • Eribertoout.14Eribertoout.14

    SumrioSumrioOqueforensecomputacional?Oqueforensecomputacional?

    Ataquesviarede:oquefazer?Ataquesviarede:oquefazer?

    MedidasiniciaisnasforensesMedidasiniciaisnasforenses

    CriaodaimagemdamdiaatacadaCriaodaimagemdamdiaatacada

    UtilizaodaimagemdamdiaatacadaUtilizaodaimagemdamdiaatacada

    OquebuscarnaanliseOquebuscarnaanlise

    AlgunscomandoseferramentasAlgunscomandoseferramentas

    LaudodaperciaLaudodapercia

    ConclusoConcluso

  • Eribertoout.14Eribertoout.14

    ConclusoConclusoAperciaforensebuscaencontrardadosrelevantes,emAperciaforensebuscaencontrardadosrelevantes,em

    meiosdearmazenagemdigital,comointuitodelevantarmeiosdearmazenagemdigital,comointuitodelevantarprovassobreumfato(geralmenteumcrimedigital).provassobreumfato(geralmenteumcrimedigital).

    UmperitoforensedeveconhecerprofundamenteosistemaUmperitoforensedeveconhecerprofundamenteosistemaoperacionalqueeleirinvestigar.Casonooconhea,operacionalqueeleirinvestigar.Casonooconhea,podersolicitarumauxiliartcnico.podersolicitarumauxiliartcnico.

    AastciaeacriatividadesoessenciaisemqualquerAastciaeacriatividadesoessenciaisemqualquerinvestigao.Tenhaavontadedevenceroseuoponente.investigao.Tenhaavontadedevenceroseuoponente.

    EstapalestraestdisponvelemEstapalestraestdisponvelem

    http://eriberto.pro.brhttp://eriberto.pro.brSigamenoTwitter@eribertomotaSigamenoTwitter@eribertomota

    Slide 1Slide 2Slide 3Slide 4Slide 5Slide 6Slide 7Slide 8Slide 9Slide 10Slide 11Slide 12Slide 13Slide 14Slide 15Slide 16Slide 17Slide 18Slide 19Slide 20Slide 21Slide 22Slide 23Slide 24Slide 25Slide 26Slide 27Slide 28Slide 29Slide 30Slide 31Slide 32