Roteiro de atividades

Sessão de aprendizagem 5

Recuperação e análise de

evidências

Atividade 1 – Rastreando eventos

Um dos objetivos da análise forense é tentar descobrir

quando foram realizadas ações na máquina invadida.

No sistema que usamos como exemplo, os arquivos

de log foram removidos, dificultando a identificação

de informações sobre a invasão.

Utilizando as ferramentas do pacote forense, tente

recuperar todos os arquivos apagados do diretório

/var/log da máquina comprometida. Depois, faça um

breve relatório sobre o conteúdo de cada arquivo.

Você saberia dizer por que alguns deles não se

parecem com arquivos de log? A atividade deve ser

feita em dupla.

Atividade 1 – Rastreando eventos

Mesmo conseguindo recuperar alguns arquivos de log

no exercício anterior, ainda existem informações

importantes que não foram recuperadas. No disco

ainda existem partes dos arquivos de log de e-mail e

do servidor web. Juntamente com um colega, procure

na internet informações sobre o formato desses logs,

e utilize-as para procurar em disco por partes

importantes destes logs. Utilize para isso os

comandos grep, strings e dcat. A pesquisa deve ser

feita em dupla.

Atividade 1 – Rastreando eventos

Crie fichas de identificação para as evidências

encontradas nos dois exercícios anteriores, conforme

mostrado na sessão anterior.

Para os arquivos que não foram recuperados

totalmente, a evidência que deve ser cadastrada são

os inodes onde foram encontrados.

Atividade 2 – Buscando ferramentas na

internet

Como vimos durante a sessão, arquivos apagados em

uma partição Ext3 são difíceis de recuperar. Muitas

vezes, realizar o serviço manualmente não é viável.

Procure na internet por ferramentas que realizem a

recuperação de arquivos em sistemas Ext3, e faça um

breve relatório sobre as características de cada

ferramenta.