Forense computacional em Linux for dummies - …eriberto.pro.br/palestras/forense_linux.pdf ·...
Transcript of Forense computacional em Linux for dummies - …eriberto.pro.br/palestras/forense_linux.pdf ·...
-
ForenseForensecomputacionalcomputacional
emLinuxforemLinuxfordummiesdummies
umarpidavisoumarpidavisointrodutriaintrodutria
JooEribertoMotaFilhoJooEribertoMotaFilhoFozdoIguau,PR,17out.2014FozdoIguau,PR,17out.2014
-
Eribertoout.14Eribertoout.14
SumrioSumrioOqueforensecomputacional?Oqueforensecomputacional?
Ataquesviarede:oquefazer?Ataquesviarede:oquefazer?
MedidasiniciaisnasforensesMedidasiniciaisnasforenses
CriaodaimagemdamdiaatacadaCriaodaimagemdamdiaatacada
UtilizaodaimagemdamdiaatacadaUtilizaodaimagemdamdiaatacada
OquebuscarnaanliseOquebuscarnaanlise
AlgunscomandoseferramentasAlgunscomandoseferramentas
LaudodaperciaLaudodapercia
ConclusoConcluso
-
Eribertoout.14Eribertoout.14
SumrioSumrioOqueforensecomputacional?Oqueforensecomputacional?
Ataquesviarede:oquefazer?Ataquesviarede:oquefazer?
MedidasiniciaisnasforensesMedidasiniciaisnasforenses
CriaodaimagemdamdiaatacadaCriaodaimagemdamdiaatacada
UtilizaodaimagemdamdiaatacadaUtilizaodaimagemdamdiaatacada
OquebuscarnaanliseOquebuscarnaanlise
AlgunscomandoseferramentasAlgunscomandoseferramentas
LaudodaperciaLaudodapercia
ConclusoConcluso
-
Eribertoout.14Eribertoout.14
Oqueforensecomputacional?Oqueforensecomputacional?ForensecomputacionalacinciavoltadaparaaForensecomputacionalacinciavoltadaparaaobteno,preservaoedocumentaodeevidnobteno,preservaoedocumentaodeevidncias,apartirdedispositivosdearmazenagemelecias,apartirdedispositivosdearmazenagemeletrnicadigital,comocomputadores,pagers,PDAs,trnicadigital,comocomputadores,pagers,PDAs,cmerasdigitais,telefonescelularesevriosoutroscmerasdigitais,telefonescelularesevriosoutrosdispositivosdearmazenamentoemmemria.Tudodispositivosdearmazenamentoemmemria.Tudodeverserfeitoparapreservarovalorcomprobadeverserfeitoparapreservarovalorcomprobatriodasevidnciaseparaassegurarqueistopossatriodasevidnciaseparaassegurarqueistopossaserutilizadoemprocedimentoslegais.serutilizadoemprocedimentoslegais.
(An introduction to Computer Forensics,(An introduction to Computer Forensics,Information Security and Forensics Society, abr. 04,Information Security and Forensics Society, abr. 04,
disponvel em http://www.isfs.org.hk/publications/public.htm)disponvel em http://www.isfs.org.hk/publications/public.htm)
-
Eribertoout.14Eribertoout.14
Oqueforensecomputacional?Oqueforensecomputacional?
Ento...Ento...
Aforensecomputacionalbusca,emdispositivosdeAforensecomputacionalbusca,emdispositivosdearmazenamento,evidnciasdeaesincompatveis,armazenamento,evidnciasdeaesincompatveis,danosasoucriminosas.danosasoucriminosas.
Taisaespodemserlocaisouremotas(viarede).Taisaespodemserlocaisouremotas(viarede).
Geralmente,ascitadasaesestorelacionadasaroubodeGeralmente,ascitadasaesestorelacionadasaroubodeinformaes,fraudes,pedofilia,defacements,intruseseinformaes,fraudes,pedofilia,defacements,intrusesecrimescibernticosemgeral.crimescibernticosemgeral.
Ovocbulo"forense"estligadoa"investigao".Ovocbulo"forense"estligadoa"investigao".
-
Eribertoout.14Eribertoout.14
SumrioSumrioOqueforensecomputacional?Oqueforensecomputacional?
Ataquesviarede:oquefazer?Ataquesviarede:oquefazer?
MedidasiniciaisnasforensesMedidasiniciaisnasforenses
CriaodaimagemdamdiaatacadaCriaodaimagemdamdiaatacada
UtilizaodaimagemdamdiaatacadaUtilizaodaimagemdamdiaatacada
OquebuscarnaanliseOquebuscarnaanlise
AlgunscomandoseferramentasAlgunscomandoseferramentas
LaudodaperciaLaudodapercia
ConclusoConcluso
-
Eribertoout.14Eribertoout.14
Ataquesviarede:oquefazer?Ataquesviarede:oquefazer?Emumrazovelnmerodevezes,forensessoconduzidasEmumrazovelnmerodevezes,forensessoconduzidas
emvirtudedeataquesremotos(viarede).emvirtudedeataquesremotos(viarede).
Apsumataqueremoto:Apsumataqueremoto:
>Desconecte,imediatamente,ocaboderede(anoserque>Desconecte,imediatamente,ocaboderede(anoserquehajaalgummotivoparanofazerisso).hajaalgummotivoparanofazerisso).
>NUNCAdesligueamquina(considerandoqueoatacanteno>NUNCAdesligueamquina(considerandoqueoatacantenootenhafeitoremotamente).otenhafeitoremotamente).
>Notoquenamquina(nemmesmofaalogin).>Notoquenamquina(nemmesmofaalogin).
>Chame,imediatamente,umperitopararealizarapercia.>Chame,imediatamente,umperitopararealizarapercia.
>Acompanhe,sepossvel,todootrabalhodoperito.>Acompanhe,sepossvel,todootrabalhodoperito.
-
Eribertoout.14Eribertoout.14
SumrioSumrioOqueforensecomputacional?Oqueforensecomputacional?
Ataquesviarede:oquefazer?Ataquesviarede:oquefazer?
MedidasiniciaisnasforensesMedidasiniciaisnasforenses
CriaodaimagemdamdiaatacadaCriaodaimagemdamdiaatacada
UtilizaodaimagemdamdiaatacadaUtilizaodaimagemdamdiaatacada
OquebuscarnaanliseOquebuscarnaanlise
AlgunscomandoseferramentasAlgunscomandoseferramentas
LaudodaperciaLaudodapercia
ConclusoConcluso
-
Eribertoout.14Eribertoout.14
MedidasiniciaisnasforensesMedidasiniciaisnasforensesAotomaroprimeirocontatocomamquinaatacada,casoaAotomaroprimeirocontatocomamquinaatacada,casoamesmaaindaestejaligada,operitodever:mesmaaindaestejaligada,operitodever:
InserirumpendriveouHDexternomaiordoqueaInserirumpendriveouHDexternomaiordoqueaquantidadedeRAMdamquinaparacolherdados.quantidadedeRAMdamquinaparacolherdados.
LogarcomorootemontarodispositivoUSB(/mnt?).LogarcomorootemontarodispositivoUSB(/mnt?).
Gravarnodispositivoexternoosseguintesdados:Gravarnodispositivoexternoosseguintesdados:
>Umdumpdememria,comauxliodaferramentaLiME.>Umdumpdememria,comauxliodaferramentaLiME.
>Usurioslogados,com#w>/mnt/w.>Usurioslogados,com#w>/mnt/w.
>Ohistricodecomandos,com#history>/mnt/history.>Ohistricodecomandos,com#history>/mnt/history.
>Asituaodememria,com#freem>/mnt/free.>Asituaodememria,com#freem>/mnt/free.continua...continua...
-
Eribertoout.14Eribertoout.14
MedidasiniciaisnasforensesMedidasiniciaisnasforensescontinuando...continuando...
>Otempodevidadamquina,com#uptime>/mnt/uptime.>Otempodevidadamquina,com#uptime>/mnt/uptime.
>Osprocessosativos,com#psaux>/mnt/ps.>Osprocessosativos,com#psaux>/mnt/ps.
>Ospossveisprocessosocultos,com#unhide[proc/sys/brute]>Ospossveisprocessosocultos,com#unhide[proc/sys/brute]>/mnt/unhide.[proc/sys/brute].>/mnt/unhide.[proc/sys/brute].
>Asconexeseportasabertas,com#netstattunap>>Asconexeseportasabertas,com#netstattunap>/mnt/netstat./mnt/netstat.
>AspossveisportasTCP/UDPocultas,com#unhidetcp>>AspossveisportasTCP/UDPocultas,com#unhidetcp>/mnt/unhide.tcp./mnt/unhide.tcp.
>Arelaodepacotesinstalados.NoDebianederivados,pode>Arelaodepacotesinstalados.NoDebianederivados,podeseusar#COLUMNS=110dpkgl>/mnt/pacotes.NoRedHatseusar#COLUMNS=110dpkgl>/mnt/pacotes.NoRedHathocomando#rpmqa>/mnt/pacotes.hocomando#rpmqa>/mnt/pacotes.
continua...continua...
-
Eribertoout.14Eribertoout.14
MedidasiniciaisnasforensesMedidasiniciaisnasforensescontinuando...continuando...
>Dataehoradamquina,com#date>/mnt/date.Anotea>Dataehoradamquina,com#date>/mnt/date.Anoteahoradoseurelgionestemomento,paraumacomparaohoradoseurelgionestemomento,paraumacomparaofutura.Adefasagemencontradadeverconstarnolaudo.futura.Adefasagemencontradadeverconstarnolaudo.
>Utilizaodediscos,com#dfhT>/mnt/df>Utilizaodediscos,com#dfhT>/mnt/df
>Osdetalhessobredispositivosmontados,com#mount>>Osdetalhessobredispositivosmontados,com#mount>/mnt/mount./mnt/mount.
>Oesquemadeparticionamento,com#fdiskl>/mnt/fdisk>Oesquemadeparticionamento,com#fdiskl>/mnt/fdisk(ougdiskl[disco]>/mnt/gdisk).(ougdiskl[disco]>/mnt/gdisk).
>Aversodekernelutilizada,com#unamea>/mnt/uname.>Aversodekernelutilizada,com#unamea>/mnt/uname.
>Osdadosbsicosderede,com#ifconfig>/mnt/ifconfig.>Osdadosbsicosderede,com#ifconfig>/mnt/ifconfig.
>Asrotasderede,com#routen>/mnt/route.>Asrotasderede,com#routen>/mnt/route.
continua...continua...
-
Eribertoout.14Eribertoout.14
MedidasiniciaisnasforensesMedidasiniciaisnasforensescontinuando...continuando...
>Osmdulosdekernelcarregados,com#lsmod>>Osmdulosdekernelcarregados,com#lsmod>/mnt/lsmod./mnt/lsmod.
>Porfim,colherdoishashesdiferentes(umdelesSHA2)da>Porfim,colherdoishashesdiferentes(umdelesSHA2)damemriaedetodososarquivosgerados.memriaedetodososarquivosgerados.
Desmontareremoverodispositivoexterno(pendriveouDesmontareremoverodispositivoexterno(pendriveouHDexterno).HDexterno).
Verificar,emoutramquina,serealmentefoigravadotodoVerificar,emoutramquina,serealmentefoigravadotodoocontedonecessrionodispositivoexterno.ocontedonecessrionodispositivoexterno.
DesligaramquinasempermitirqueamesmagravedadosDesligaramquinasempermitirqueamesmagravedadosnodisco.Paraisso,puxeocabodeenergiadatomadasemnodisco.Paraisso,puxeocabodeenergiadatomadasemdesligaramquinadeformaconvencional.desligaramquinadeformaconvencional.
-
Eribertoout.14Eribertoout.14
SumrioSumrioOqueforensecomputacional?Oqueforensecomputacional?
Ataquesviarede:oquefazer?Ataquesviarede:oquefazer?
MedidasiniciaisnasforensesMedidasiniciaisnasforenses
CriaodaimagemdamdiaatacadaCriaodaimagemdamdiaatacada
UtilizaodaimagemdamdiaatacadaUtilizaodaimagemdamdiaatacada
OquebuscarnaanliseOquebuscarnaanlise
AlgunscomandoseferramentasAlgunscomandoseferramentas
LaudodaperciaLaudodapercia
ConclusoConcluso
-
Eribertoout.14Eribertoout.14
CriaodaimagemdamdiaatacadaCriaodaimagemdamdiaatacadaTodootrabalhodeforensedeverserrealizadoemumaTodootrabalhodeforensedeverserrealizadoemuma
cpiadamdiaatacada(imagem).cpiadamdiaatacada(imagem).
Paracriaraimagem:Paracriaraimagem:
AdicionarumHDdecapacidademaiordoqueooriginalouAdicionarumHDdecapacidademaiordoqueooriginalouusarocomandodcflddparageraraimagememvriosHDs.usarocomandodcflddparageraraimagememvriosHDs.
InicializaramquinaatacadacomumliveCDvoltadoparaInicializaramquinaatacadacomumliveCDvoltadoparaforenseoupendrivecomLinux.CUIDADO!LiveCDsnoforenseoupendrivecomLinux.CUIDADO!LiveCDsnoapropriadosusamreasdeswapencontradasnodiscoeapropriadosusamreasdeswapencontradasnodiscoemontammdiasautomaticamente.montammdiasautomaticamente.
MontarapenasapartiodoHDadicional(aqueirMontarapenasapartiodoHDadicional(aqueirreceberasimagens).receberasimagens).
CriarumaimagemdoHDcomprometido,porinteiro,noCriarumaimagemdoHDcomprometido,porinteiro,nonovoHD.novoHD.
-
Eribertoout.14Eribertoout.14
CriaodaimagemdamdiaatacadaCriaodaimagemdamdiaatacadaApsacriaodaimagemdoHD,calculardoishashesdeApsacriaodaimagemdoHD,calculardoishashesde
talimagem(pelomenosumdelesdeverserSHA2).talimagem(pelomenosumdelesdeverserSHA2).
TodooprocessodeaberturafsicadamquinaTodooprocessodeaberturafsicadamquinacomprometida,criaodaimagemeclculodoshashescomprometida,criaodaimagemeclculodoshashesdeverseracompanhadoporduastestemunhas.deverseracompanhadoporduastestemunhas.
Aofinaldaoperao,deversergeradoumAofinaldaoperao,deversergeradoumcertificadodecertificadodeintegridadeintegridade,contendoadata,onomeeoCPFdoperito,das,contendoadata,onomeeoCPFdoperito,dastestemunhas,onmerodesriedoHDeoshashesobtidostestemunhas,onmerodesriedoHDeoshashesobtidos(especialmenteHDememria).Todosdeveroassinaro(especialmenteHDememria).Todosdeveroassinarocertificado,queserumdosapndicesaolaudopericial.certificado,queserumdosapndicesaolaudopericial.
OHDoriginaldeverserlacradonapresenadetodoseOHDoriginaldeverserlacradonapresenadetodoseentregueparaautoridadecompetente.Onmerodoslacresentregueparaautoridadecompetente.Onmerodoslacresdeverconstarnolaudo(ounocertificadodeintegridade).deverconstarnolaudo(ounocertificadodeintegridade).
-
Eribertoout.14Eribertoout.14
CriaodaimagemdamdiaatacadaCriaodaimagemdamdiaatacadaMdiasdanificadas(HD,pendrive,CDROM)poderoteroMdiasdanificadas(HD,pendrive,CDROM)poderotero
seucontedoparcialcopiadocomocomandodd_rescue.seucontedoparcialcopiadocomocomandodd_rescue.IssoirgerarumfragmentoauditvelcomferramentasIssoirgerarumfragmentoauditvelcomferramentasespeciais.especiais.
muitoimportantepreservaraomximoaimagemmuitoimportantepreservaraomximoaimagemoriginal.Trabalhetodootempoemumacpiadamesma.original.Trabalhetodootempoemumacpiadamesma.
-
Eribertoout.14Eribertoout.14
CriaodaimagemdamdiaatacadaCriaodaimagemdamdiaatacadaExemplodecriaodeimagens:Exemplodecriaodeimagens:
HDcomprometido:/dev/sda.HDcomprometido:/dev/sda.
2HD:possuiumanicapartio,a/dev/sdb1.2HD:possuiumanicapartio,a/dev/sdb1.
Criaodasimagens(/dev/sdb1montadoem/mnt):Criaodasimagens(/dev/sdb1montadoem/mnt):
#ddif=/dev/sdaof=/mnt/sda.dd#ddif=/dev/sdaof=/mnt/sda.dd
Odcflddumaexcelentealternativamodernaaodd.Odcflddumaexcelentealternativamodernaaodd.
Dentreoutraspossibilidades,odcflddexibeoandamentoDentreoutraspossibilidades,odcflddexibeoandamentodaoperaoecalculahashesemtemporeal.Exemplo:daoperaoecalculahashesemtemporeal.Exemplo:
#dcflddif=/dev/sdaof=/mnt/sda.ddhash=md5,sha256#dcflddif=/dev/sdaof=/mnt/sda.ddhash=md5,sha256md5log=/mnt/sda.dd.md5sha256log=/mnt/sda.dd.sha256md5log=/mnt/sda.dd.md5sha256log=/mnt/sda.dd.sha256
-
Eribertoout.14Eribertoout.14
CriaodaimagemdamdiaatacadaCriaodaimagemdamdiaatacadaComparativo(usandocomobaseumpendrivede16GBemComparativo(usandocomobaseumpendrivede16GBem
umnotebookDellcomprocessadorI7):umnotebookDellcomprocessadorI7):
*dd+md5sum+sha256sum=15min21seg(sodd:11'*dd+md5sum+sha256sum=15min21seg(sodd:11'21'').21'').
*dcfldd,calculandooshashes=11min21seg.*dcfldd,calculandooshashes=11min21seg.
Exemplodesadaemtela:Exemplodesadaemtela:
root@scutum:~# dcfldd if=/dev/sdb of=/mnt/sdb.dd hash=md5,sha256 md5log=/mnt/sdb.dd.md5 sha256log=/mnt/sdb.dd.sha256
433152 blocks (13536Mb) written.
-
Eribertoout.14Eribertoout.14
SumrioSumrioOqueforensecomputacional?Oqueforensecomputacional?
Ataquesviarede:oquefazer?Ataquesviarede:oquefazer?
MedidasiniciaisnasforensesMedidasiniciaisnasforenses
CriaodaimagemdamdiaatacadaCriaodaimagemdamdiaatacada
UtilizaodaimagemdamdiaatacadaUtilizaodaimagemdamdiaatacada
OquebuscarnaanliseOquebuscarnaanlise
AlgunscomandoseferramentasAlgunscomandoseferramentas
LaudodaperciaLaudodapercia
ConclusoConcluso
-
Eribertoout.14Eribertoout.14
UtilizaodaimagemdamdiaatacadaUtilizaodaimagemdamdiaatacadaOsarquivosdeimagenspoderoseranalisadosdiretamenteOsarquivosdeimagenspoderoseranalisadosdiretamente
(examedesuperfcie).Htambmaopopelamontagem(examedesuperfcie).Htambmaopopelamontagemdecadaumadaspartiesexistentesnaimagem.decadaumadaspartiesexistentesnaimagem.
AspartiesdasimagensdeverosermontadascomoreadAspartiesdasimagensdeverosermontadascomoreadonly(paranoalterarocontedo).only(paranoalterarocontedo).
Exemplo:Exemplo:
#mountoro,offset=32256sda.dd/forense#mountoro,offset=32256sda.dd/forense
ArquivosdeswapsoextensodamemriaenopossuemArquivosdeswapsoextensodamemriaenopossuemfilesystem.Ento,seroanalisadossemmontagem(nofilesystem.Ento,seroanalisadossemmontagem(nopossvelmontlos).possvelmontlos).
-
Eribertoout.14Eribertoout.14
SumrioSumrioOqueforensecomputacional?Oqueforensecomputacional?
Ataquesviarede:oquefazer?Ataquesviarede:oquefazer?
MedidasiniciaisnasforensesMedidasiniciaisnasforenses
CriaodaimagemdamdiaatacadaCriaodaimagemdamdiaatacada
UtilizaodaimagemdamdiaatacadaUtilizaodaimagemdamdiaatacada
OquebuscarnaanliseOquebuscarnaanlise
AlgunscomandoseferramentasAlgunscomandoseferramentas
LaudodaperciaLaudodapercia
ConclusoConcluso
-
Eribertoout.14Eribertoout.14
OquebuscarnaanliseOquebuscarnaanliseInicieainvestigaoouvindoosfatosparatentardeduzirInicieainvestigaoouvindoosfatosparatentardeduzir
algorelevantequeleveseleodeumpontoinicial.algorelevantequeleveseleodeumpontoinicial.
AdoteumdosmtodosdeperciaparainiciarostrabalhosAdoteumdosmtodosdeperciaparainiciarostrabalhos(linhadotempooudescubraoquepuder).(linhadotempooudescubraoquepuder).
Analiselogs,memriaeswap.Analiselogs,memriaeswap.
Analisediretriosimportantescomo/tmp,/var/tmp,Analisediretriosimportantescomo/tmp,/var/tmp,/homee/etc./homee/etc.
Busqueporrootkitsebackdoors.Busqueporrootkitsebackdoors.
Verifiqueseosistemaoperacionalestavaatualizado.Verifiqueseosistemaoperacionalestavaatualizado.
Busquesenhasearquivosdentrodaimagemdamemria.Busquesenhasearquivosdentrodaimagemdamemria.
-
Eribertoout.14Eribertoout.14
OquebuscarnaanliseOquebuscarnaanliseProcure,emimagensdediscos,porarquivosrelevantesProcure,emimagensdediscos,porarquivosrelevantes
apagados,combaseempalavraschave.apagados,combaseempalavraschave.
ArquivosdeMSOfficeeLibreOfficesuspeitosdevemserArquivosdeMSOfficeeLibreOfficesuspeitosdevemseranalisadosprofundamente.Comecepelaspropriedadesdosanalisadosprofundamente.Comecepelaspropriedadesdosmesmos.TambmvlidoparaPDFs.mesmos.TambmvlidoparaPDFs.
FigurasJPGpossuemdadosEXIF.Issoimportante!AnaliseFigurasJPGpossuemdadosEXIF.Issoimportante!Analisetambmaspropriedadesdequalquerfigura.tambmaspropriedadesdequalquerfigura.
Figuraspodemconteresteganografia.ArquivospodemestarFiguraspodemconteresteganografia.Arquivospodemestarcriptografados.Vocpoderdescobrirsenhasporcriptografados.Vocpoderdescobrirsenhasporengenhariasocialouanlisedememria.engenhariasocialouanlisedememria.
Sejainteligente,criativoeperseverante.TenhaavontadeSejainteligente,criativoeperseverante.Tenhaavontadedevenceroseuoponente!devenceroseuoponente!
-
Eribertoout.14Eribertoout.14
SumrioSumrioOqueforensecomputacional?Oqueforensecomputacional?
Ataquesviarede:oquefazer?Ataquesviarede:oquefazer?
MedidasiniciaisnasforensesMedidasiniciaisnasforenses
CriaodaimagemdamdiaatacadaCriaodaimagemdamdiaatacada
UtilizaodaimagemdamdiaatacadaUtilizaodaimagemdamdiaatacada
OquebuscarnaanliseOquebuscarnaanlise
AlgunscomandoseferramentasAlgunscomandoseferramentas
LaudodaperciaLaudodapercia
ConclusoConcluso
-
Eribertoout.14Eribertoout.14
AlgunscomandoseferramentasAlgunscomandoseferramentasInstaleosleuthkit(noDebian,#aptgetinstallsleuthkit;Instaleosleuthkit(noDebian,#aptgetinstallsleuthkit;
paravercomandos:#dpkgLsleuthkit|grep/usr/bin).paravercomandos:#dpkgLsleuthkit|grep/usr/bin).
UtilizeocamandostatparasaberasituaodearquivoseUtilizeocamandostatparasaberasituaodearquivosediretrios.diretrios.
Garimpeimagensearquivoscomstrings+grep.OGarimpeimagensearquivoscomstrings+grep.Ocomandostrings,noDebian,estnopacotebinutils.comandostrings,noDebian,estnopacotebinutils.
Procureporrootkitscomchkrootkiterkhunter.Exemplos:Procureporrootkitscomchkrootkiterkhunter.Exemplos:
#chkrootkitr/forense#chkrootkitr/forense
#rkhunterupdate;rkhuntercr/forense#rkhunterupdate;rkhuntercr/forense
Procureporwormscomoclamscan(#aptgetinstallProcureporwormscomoclamscan(#aptgetinstallclamav).Exemplo:clamav).Exemplo:
#freshclam;clamscanr/forense#freshclam;clamscanr/forense
-
Eribertoout.14Eribertoout.14
AlgunscomandoseferramentasAlgunscomandoseferramentasUtilizeocomandofindparaprocurarporarquivoscriadosUtilizeocomandofindparaprocurarporarquivoscriados
oumodificadosnosltimosoumodificadosnosltimosxxdias.Exemplopara2dias:dias.Exemplopara2dias:
#find/forense/mtime2#find/forense/mtime2
Utilizefls+icatpararecuperararquivosapagadosemUtilizefls+icatpararecuperararquivosapagadosemfilesystems.Exemplo:filesystems.Exemplo:
#flsFdro63sda.img#flsFdro63sda.img
#icato63sda.img75>teste.jpg#icato63sda.img75>teste.jpg
UtilizeoscomandosmagicrescueeforemostparabuscarUtilizeoscomandosmagicrescueeforemostparabuscararquivosemimagensdemdiasformatadas,corrompidasarquivosemimagensdemdiasformatadas,corrompidasouemfragmentosdeimagens.Comaopoa,oforemostouemfragmentosdeimagens.Comaopoa,oforemostrecuperaarquivosdanificados(egeramuitosfalsosrecuperaarquivosdanificados(egeramuitosfalsospositivos).AopomaiscomumTq.positivos).AopomaiscomumTq.
-
Eribertoout.14Eribertoout.14
AlgunscomandoseferramentasAlgunscomandoseferramentasUtilizehexdumpehexeditparaacessarcontedos,Utilizehexdumpehexeditparaacessarcontedos,
exibindoosemhexadecimal(mesmoemfragmentos).Paraexibindoosemhexadecimal(mesmoemfragmentos).ParaASCIIpuro,utilizeomcview.ASCIIpuro,utilizeomcview.
Utilizeosprogramasgwenviewegimpparaabrirfiguras,Utilizeosprogramasgwenviewegimpparaabrirfiguras,inclusivedanificadas.inclusivedanificadas.
Paraverdadosexif,utilizemetacameexif.Paraverdadosexif,utilizemetacameexif.
UtilizeocomandofileparavercaractersticasdeimagensUtilizeocomandofileparavercaractersticasdeimagensdedispositivos,fotos,documentosdoofficeeexecutveis.dedispositivos,fotos,documentosdoofficeeexecutveis.
okular(KDE)eevince(Gnome)podemserutilizadosparaokular(KDE)eevince(Gnome)podemserutilizadosparavercontedosdiversos.Parafiguras,hovisualizadorvercontedosdiversos.Parafiguras,hovisualizadorrpidosxiv.rpidosxiv.
SempreapliqueocomandostringsemfotosePDFs.SempreapliqueocomandostringsemfotosePDFs.
-
Eribertoout.14Eribertoout.14
AlgunscomandoseferramentasAlgunscomandoseferramentasUtilizeoLibreOfficeparaabrireinvestigardocumentosdoUtilizeoLibreOfficeparaabrireinvestigardocumentosdo
tipooffice.tipooffice.
Utilizevolatilityparafazeraanlisebinriadamemria.Utilizevolatilityparafazeraanlisebinriadamemria.
Estudemuito!!!(aptcachesearchforensic).Estudemuito!!!(aptcachesearchforensic).
DEMONSTRAO.DEMONSTRAO.
-
Eribertoout.14Eribertoout.14
SumrioSumrioOqueforensecomputacional?Oqueforensecomputacional?
Ataquesviarede:oquefazer?Ataquesviarede:oquefazer?
MedidasiniciaisnasforensesMedidasiniciaisnasforenses
CriaodaimagemdamdiaatacadaCriaodaimagemdamdiaatacada
UtilizaodaimagemdamdiaatacadaUtilizaodaimagemdamdiaatacada
OquebuscarnaanliseOquebuscarnaanlise
AlgunscomandoseferramentasAlgunscomandoseferramentas
LaudodaperciaLaudodapercia
ConclusoConcluso
-
Eribertoout.14Eribertoout.14
LaudodaperciaLaudodaperciaNohummodeloespecficoparalaudoourelatriodeNohummodeloespecficoparalaudoourelatriode
forense.difcilencontrarummodelonaInternet.forense.difcilencontrarummodelonaInternet.
Algunsdadosinteressantesparaacomposiodolaudo:Algunsdadosinteressantesparaacomposiodolaudo:
>Dadospessoaisdoperito.>Dadospessoaisdoperito.
>Perododarealizaodaforense.>Perododarealizaodaforense.
>Breverelatodoocorrido(notciasiniciais).>Breverelatodoocorrido(notciasiniciais).
>Dadosgeraissobreamquinae/ousistemaatacado(nomeda>Dadosgeraissobreamquinae/ousistemaatacado(nomedamquina,portasabertas,partiesexistentesetc).mquina,portasabertas,partiesexistentesetc).
>Detalhamentodosprocedimentosrealizados.>Detalhamentodosprocedimentosrealizados.
>Dadosefatosrelevantesencontrados.>Dadosefatosrelevantesencontrados.
>Conclusoerecomendaes.>Conclusoerecomendaes.
>Apndiceseanexos.(incluircertificadodeintegridade)>Apndiceseanexos.(incluircertificadodeintegridade)
-
Eribertoout.14Eribertoout.14
SumrioSumrioOqueforensecomputacional?Oqueforensecomputacional?
Ataquesviarede:oquefazer?Ataquesviarede:oquefazer?
MedidasiniciaisnasforensesMedidasiniciaisnasforenses
CriaodaimagemdamdiaatacadaCriaodaimagemdamdiaatacada
UtilizaodaimagemdamdiaatacadaUtilizaodaimagemdamdiaatacada
OquebuscarnaanliseOquebuscarnaanlise
AlgunscomandoseferramentasAlgunscomandoseferramentas
LaudodaperciaLaudodapercia
ConclusoConcluso
-
Eribertoout.14Eribertoout.14
ConclusoConclusoAperciaforensebuscaencontrardadosrelevantes,emAperciaforensebuscaencontrardadosrelevantes,em
meiosdearmazenagemdigital,comointuitodelevantarmeiosdearmazenagemdigital,comointuitodelevantarprovassobreumfato(geralmenteumcrimedigital).provassobreumfato(geralmenteumcrimedigital).
UmperitoforensedeveconhecerprofundamenteosistemaUmperitoforensedeveconhecerprofundamenteosistemaoperacionalqueeleirinvestigar.Casonooconhea,operacionalqueeleirinvestigar.Casonooconhea,podersolicitarumauxiliartcnico.podersolicitarumauxiliartcnico.
AastciaeacriatividadesoessenciaisemqualquerAastciaeacriatividadesoessenciaisemqualquerinvestigao.Tenhaavontadedevenceroseuoponente.investigao.Tenhaavontadedevenceroseuoponente.
EstapalestraestdisponvelemEstapalestraestdisponvelem
http://eriberto.pro.brhttp://eriberto.pro.brSigamenoTwitter@eribertomotaSigamenoTwitter@eribertomota
Slide 1Slide 2Slide 3Slide 4Slide 5Slide 6Slide 7Slide 8Slide 9Slide 10Slide 11Slide 12Slide 13Slide 14Slide 15Slide 16Slide 17Slide 18Slide 19Slide 20Slide 21Slide 22Slide 23Slide 24Slide 25Slide 26Slide 27Slide 28Slide 29Slide 30Slide 31Slide 32