ForenseForensecomputacionalcomputacional
emLinuxforemLinuxfordummiesdummies
umarpidavisoumarpidavisointrodutriaintrodutria
JooEribertoMotaFilhoJooEribertoMotaFilhoFozdoIguau,PR,17out.2014FozdoIguau,PR,17out.2014
Eribertoout.14Eribertoout.14
SumrioSumrioOqueforensecomputacional?Oqueforensecomputacional?
Ataquesviarede:oquefazer?Ataquesviarede:oquefazer?
MedidasiniciaisnasforensesMedidasiniciaisnasforenses
CriaodaimagemdamdiaatacadaCriaodaimagemdamdiaatacada
UtilizaodaimagemdamdiaatacadaUtilizaodaimagemdamdiaatacada
OquebuscarnaanliseOquebuscarnaanlise
AlgunscomandoseferramentasAlgunscomandoseferramentas
LaudodaperciaLaudodapercia
ConclusoConcluso
Eribertoout.14Eribertoout.14
SumrioSumrioOqueforensecomputacional?Oqueforensecomputacional?
Ataquesviarede:oquefazer?Ataquesviarede:oquefazer?
MedidasiniciaisnasforensesMedidasiniciaisnasforenses
CriaodaimagemdamdiaatacadaCriaodaimagemdamdiaatacada
UtilizaodaimagemdamdiaatacadaUtilizaodaimagemdamdiaatacada
OquebuscarnaanliseOquebuscarnaanlise
AlgunscomandoseferramentasAlgunscomandoseferramentas
LaudodaperciaLaudodapercia
ConclusoConcluso
Eribertoout.14Eribertoout.14
Oqueforensecomputacional?Oqueforensecomputacional?ForensecomputacionalacinciavoltadaparaaForensecomputacionalacinciavoltadaparaaobteno,preservaoedocumentaodeevidnobteno,preservaoedocumentaodeevidncias,apartirdedispositivosdearmazenagemelecias,apartirdedispositivosdearmazenagemeletrnicadigital,comocomputadores,pagers,PDAs,trnicadigital,comocomputadores,pagers,PDAs,cmerasdigitais,telefonescelularesevriosoutroscmerasdigitais,telefonescelularesevriosoutrosdispositivosdearmazenamentoemmemria.Tudodispositivosdearmazenamentoemmemria.Tudodeverserfeitoparapreservarovalorcomprobadeverserfeitoparapreservarovalorcomprobatriodasevidnciaseparaassegurarqueistopossatriodasevidnciaseparaassegurarqueistopossaserutilizadoemprocedimentoslegais.serutilizadoemprocedimentoslegais.
(An introduction to Computer Forensics,(An introduction to Computer Forensics,Information Security and Forensics Society, abr. 04,Information Security and Forensics Society, abr. 04,
disponvel em http://www.isfs.org.hk/publications/public.htm)disponvel em http://www.isfs.org.hk/publications/public.htm)
Eribertoout.14Eribertoout.14
Oqueforensecomputacional?Oqueforensecomputacional?
Ento...Ento...
Aforensecomputacionalbusca,emdispositivosdeAforensecomputacionalbusca,emdispositivosdearmazenamento,evidnciasdeaesincompatveis,armazenamento,evidnciasdeaesincompatveis,danosasoucriminosas.danosasoucriminosas.
Taisaespodemserlocaisouremotas(viarede).Taisaespodemserlocaisouremotas(viarede).
Geralmente,ascitadasaesestorelacionadasaroubodeGeralmente,ascitadasaesestorelacionadasaroubodeinformaes,fraudes,pedofilia,defacements,intruseseinformaes,fraudes,pedofilia,defacements,intrusesecrimescibernticosemgeral.crimescibernticosemgeral.
Ovocbulo"forense"estligadoa"investigao".Ovocbulo"forense"estligadoa"investigao".
Eribertoout.14Eribertoout.14
SumrioSumrioOqueforensecomputacional?Oqueforensecomputacional?
Ataquesviarede:oquefazer?Ataquesviarede:oquefazer?
MedidasiniciaisnasforensesMedidasiniciaisnasforenses
CriaodaimagemdamdiaatacadaCriaodaimagemdamdiaatacada
UtilizaodaimagemdamdiaatacadaUtilizaodaimagemdamdiaatacada
OquebuscarnaanliseOquebuscarnaanlise
AlgunscomandoseferramentasAlgunscomandoseferramentas
LaudodaperciaLaudodapercia
ConclusoConcluso
Eribertoout.14Eribertoout.14
Ataquesviarede:oquefazer?Ataquesviarede:oquefazer?Emumrazovelnmerodevezes,forensessoconduzidasEmumrazovelnmerodevezes,forensessoconduzidas
emvirtudedeataquesremotos(viarede).emvirtudedeataquesremotos(viarede).
Apsumataqueremoto:Apsumataqueremoto:
>Desconecte,imediatamente,ocaboderede(anoserque>Desconecte,imediatamente,ocaboderede(anoserquehajaalgummotivoparanofazerisso).hajaalgummotivoparanofazerisso).
>NUNCAdesligueamquina(considerandoqueoatacanteno>NUNCAdesligueamquina(considerandoqueoatacantenootenhafeitoremotamente).otenhafeitoremotamente).
>Notoquenamquina(nemmesmofaalogin).>Notoquenamquina(nemmesmofaalogin).
>Chame,imediatamente,umperitopararealizarapercia.>Chame,imediatamente,umperitopararealizarapercia.
>Acompanhe,sepossvel,todootrabalhodoperito.>Acompanhe,sepossvel,todootrabalhodoperito.
Eribertoout.14Eribertoout.14
SumrioSumrioOqueforensecomputacional?Oqueforensecomputacional?
Ataquesviarede:oquefazer?Ataquesviarede:oquefazer?
MedidasiniciaisnasforensesMedidasiniciaisnasforenses
CriaodaimagemdamdiaatacadaCriaodaimagemdamdiaatacada
UtilizaodaimagemdamdiaatacadaUtilizaodaimagemdamdiaatacada
OquebuscarnaanliseOquebuscarnaanlise
AlgunscomandoseferramentasAlgunscomandoseferramentas
LaudodaperciaLaudodapercia
ConclusoConcluso
Eribertoout.14Eribertoout.14
MedidasiniciaisnasforensesMedidasiniciaisnasforensesAotomaroprimeirocontatocomamquinaatacada,casoaAotomaroprimeirocontatocomamquinaatacada,casoamesmaaindaestejaligada,operitodever:mesmaaindaestejaligada,operitodever:
InserirumpendriveouHDexternomaiordoqueaInserirumpendriveouHDexternomaiordoqueaquantidadedeRAMdamquinaparacolherdados.quantidadedeRAMdamquinaparacolherdados.
LogarcomorootemontarodispositivoUSB(/mnt?).LogarcomorootemontarodispositivoUSB(/mnt?).
Gravarnodispositivoexternoosseguintesdados:Gravarnodispositivoexternoosseguintesdados:
>Umdumpdememria,comauxliodaferramentaLiME.>Umdumpdememria,comauxliodaferramentaLiME.
>Usurioslogados,com#w>/mnt/w.>Usurioslogados,com#w>/mnt/w.
>Ohistricodecomandos,com#history>/mnt/history.>Ohistricodecomandos,com#history>/mnt/history.
>Asituaodememria,com#freem>/mnt/free.>Asituaodememria,com#freem>/mnt/free.continua...continua...
Eribertoout.14Eribertoout.14
MedidasiniciaisnasforensesMedidasiniciaisnasforensescontinuando...continuando...
>Otempodevidadamquina,com#uptime>/mnt/uptime.>Otempodevidadamquina,com#uptime>/mnt/uptime.
>Osprocessosativos,com#psaux>/mnt/ps.>Osprocessosativos,com#psaux>/mnt/ps.
>Ospossveisprocessosocultos,com#unhide[proc/sys/brute]>Ospossveisprocessosocultos,com#unhide[proc/sys/brute]>/mnt/unhide.[proc/sys/brute].>/mnt/unhide.[proc/sys/brute].
>Asconexeseportasabertas,com#netstattunap>>Asconexeseportasabertas,com#netstattunap>/mnt/netstat./mnt/netstat.
>AspossveisportasTCP/UDPocultas,com#unhidetcp>>AspossveisportasTCP/UDPocultas,com#unhidetcp>/mnt/unhide.tcp./mnt/unhide.tcp.
>Arelaodepacotesinstalados.NoDebianederivados,pode>Arelaodepacotesinstalados.NoDebianederivados,podeseusar#COLUMNS=110dpkgl>/mnt/pacotes.NoRedHatseusar#COLUMNS=110dpkgl>/mnt/pacotes.NoRedHathocomando#rpmqa>/mnt/pacotes.hocomando#rpmqa>/mnt/pacotes.
continua...continua...
Eribertoout.14Eribertoout.14
MedidasiniciaisnasforensesMedidasiniciaisnasforensescontinuando...continuando...
>Dataehoradamquina,com#date>/mnt/date.Anotea>Dataehoradamquina,com#date>/mnt/date.Anoteahoradoseurelgionestemomento,paraumacomparaohoradoseurelgionestemomento,paraumacomparaofutura.Adefasagemencontradadeverconstarnolaudo.futura.Adefasagemencontradadeverconstarnolaudo.
>Utilizaodediscos,com#dfhT>/mnt/df>Utilizaodediscos,com#dfhT>/mnt/df
>Osdetalhessobredispositivosmontados,com#mount>>Osdetalhessobredispositivosmontados,com#mount>/mnt/mount./mnt/mount.
>Oesquemadeparticionamento,com#fdiskl>/mnt/fdisk>Oesquemadeparticionamento,com#fdiskl>/mnt/fdisk(ougdiskl[disco]>/mnt/gdisk).(ougdiskl[disco]>/mnt/gdisk).
>Aversodekernelutilizada,com#unamea>/mnt/uname.>Aversodekernelutilizada,com#unamea>/mnt/uname.
>Osdadosbsicosderede,com#ifconfig>/mnt/ifconfig.>Osdadosbsicosderede,com#ifconfig>/mnt/ifconfig.
>Asrotasderede,com#routen>/mnt/route.>Asrotasderede,com#routen>/mnt/route.
continua...continua...
Eribertoout.14Eribertoout.14
MedidasiniciaisnasforensesMedidasiniciaisnasforensescontinuando...continuando...
>Osmdulosdekernelcarregados,com#lsmod>>Osmdulosdekernelcarregados,com#lsmod>/mnt/lsmod./mnt/lsmod.
>Porfim,colherdoishashesdiferentes(umdelesSHA2)da>Porfim,colherdoishashesdiferentes(umdelesSHA2)damemriaedetodososarquivosgerados.memriaedetodososarquivosgerados.
Desmontareremoverodispositivoexterno(pendriveouDesmontareremoverodispositivoexterno(pendriveouHDexterno).HDexterno).
Verificar,emoutramquina,serealmentefoigravadotodoVerificar,emoutramquina,serealmentefoigravadotodoocontedonecessrionodispositivoexterno.ocontedonecessrionodispositivoexterno.
DesligaramquinasempermitirqueamesmagravedadosDesligaramquinasempermitirqueamesmagravedadosnodisco.Paraisso,puxeocabodeenergiadatomadasemnodisco.Paraisso,puxeocabodeenergiadatomadasemdesligaramquinadeformaconvencional.desligaramquinadeformaconvencional.
Eribertoout.14Eribertoout.14
SumrioSumrioOqueforensecomputacional?Oqueforensecomputacional?
Ataquesviarede:oquefazer?Ataquesviarede:oquefazer?
MedidasiniciaisnasforensesMedidasiniciaisnasforenses
CriaodaimagemdamdiaatacadaCriaodaimagemdamdiaatacada
UtilizaodaimagemdamdiaatacadaUtilizaodaimagemdamdiaatacada
OquebuscarnaanliseOquebuscarnaanlise
AlgunscomandoseferramentasAlgunscomandoseferramentas
LaudodaperciaLaudodapercia
ConclusoConcluso
Eribertoout.14Eribertoout.14
CriaodaimagemdamdiaatacadaCriaodaimagemdamdiaatacadaTodootrabalhodeforensedeverserrealizadoemumaTodootrabalhodeforensedeverserrealizadoemuma
cpiadamdiaatacada(imagem).cpiadamdiaatacada(imagem).
Paracriaraimagem:Paracriaraimagem:
AdicionarumHDdecapacidademaiordoqueooriginalouAdicionarumHDdecapacidademaiordoqueooriginalouusarocomandodcflddparageraraimagememvriosHDs.usarocomandodcflddparageraraimagememvriosHDs.
InicializaramquinaatacadacomumliveCDvoltadoparaInicializaramquinaatacadacomumliveCDvoltadoparaforenseoupendrivecomLinux.CUIDADO!LiveCDsnoforenseoupendrivecomLinux.CUIDADO!LiveCDsnoapropriadosusamreasdeswapencontradasnodiscoeapropriadosusamreasdeswapencontradasnodiscoemontammdiasautomaticamente.montammdiasautomaticamente.
MontarapenasapartiodoHDadicional(aqueirMontarapenasapartiodoHDadicional(aqueirreceberasimagens).receberasimagens).
CriarumaimagemdoHDcomprometido,porinteiro,noCriarumaimagemdoHDcomprometido,porinteiro,nonovoHD.novoHD.
Eribertoout.14Eribertoout.14
CriaodaimagemdamdiaatacadaCriaodaimagemdamdiaatacadaApsacriaodaimagemdoHD,calculardoishashesdeApsacriaodaimagemdoHD,calculardoishashesde
talimagem(pelomenosumdelesdeverserSHA2).talimagem(pelomenosumdelesdeverserSHA2).
TodooprocessodeaberturafsicadamquinaTodooprocessodeaberturafsicadamquinacomprometida,criaodaimagemeclculodoshashescomprometida,criaodaimagemeclculodoshashesdeverseracompanhadoporduastestemunhas.deverseracompanhadoporduastestemunhas.
Aofinaldaoperao,deversergeradoumAofinaldaoperao,deversergeradoumcertificadodecertificadodeintegridadeintegridade,contendoadata,onomeeoCPFdoperito,das,contendoadata,onomeeoCPFdoperito,dastestemunhas,onmerodesriedoHDeoshashesobtidostestemunhas,onmerodesriedoHDeoshashesobtidos(especialmenteHDememria).Todosdeveroassinaro(especialmenteHDememria).Todosdeveroassinarocertificado,queserumdosapndicesaolaudopericial.certificado,queserumdosapndicesaolaudopericial.
OHDoriginaldeverserlacradonapresenadetodoseOHDoriginaldeverserlacradonapresenadetodoseentregueparaautoridadecompetente.Onmerodoslacresentregueparaautoridadecompetente.Onmerodoslacresdeverconstarnolaudo(ounocertificadodeintegridade).deverconstarnolaudo(ounocertificadodeintegridade).
Eribertoout.14Eribertoout.14
CriaodaimagemdamdiaatacadaCriaodaimagemdamdiaatacadaMdiasdanificadas(HD,pendrive,CDROM)poderoteroMdiasdanificadas(HD,pendrive,CDROM)poderotero
seucontedoparcialcopiadocomocomandodd_rescue.seucontedoparcialcopiadocomocomandodd_rescue.IssoirgerarumfragmentoauditvelcomferramentasIssoirgerarumfragmentoauditvelcomferramentasespeciais.especiais.
muitoimportantepreservaraomximoaimagemmuitoimportantepreservaraomximoaimagemoriginal.Trabalhetodootempoemumacpiadamesma.original.Trabalhetodootempoemumacpiadamesma.
Eribertoout.14Eribertoout.14
CriaodaimagemdamdiaatacadaCriaodaimagemdamdiaatacadaExemplodecriaodeimagens:Exemplodecriaodeimagens:
HDcomprometido:/dev/sda.HDcomprometido:/dev/sda.
2HD:possuiumanicapartio,a/dev/sdb1.2HD:possuiumanicapartio,a/dev/sdb1.
Criaodasimagens(/dev/sdb1montadoem/mnt):Criaodasimagens(/dev/sdb1montadoem/mnt):
#ddif=/dev/sdaof=/mnt/sda.dd#ddif=/dev/sdaof=/mnt/sda.dd
Odcflddumaexcelentealternativamodernaaodd.Odcflddumaexcelentealternativamodernaaodd.
Dentreoutraspossibilidades,odcflddexibeoandamentoDentreoutraspossibilidades,odcflddexibeoandamentodaoperaoecalculahashesemtemporeal.Exemplo:daoperaoecalculahashesemtemporeal.Exemplo:
#dcflddif=/dev/sdaof=/mnt/sda.ddhash=md5,sha256#dcflddif=/dev/sdaof=/mnt/sda.ddhash=md5,sha256md5log=/mnt/sda.dd.md5sha256log=/mnt/sda.dd.sha256md5log=/mnt/sda.dd.md5sha256log=/mnt/sda.dd.sha256
Eribertoout.14Eribertoout.14
CriaodaimagemdamdiaatacadaCriaodaimagemdamdiaatacadaComparativo(usandocomobaseumpendrivede16GBemComparativo(usandocomobaseumpendrivede16GBem
umnotebookDellcomprocessadorI7):umnotebookDellcomprocessadorI7):
*dd+md5sum+sha256sum=15min21seg(sodd:11'*dd+md5sum+sha256sum=15min21seg(sodd:11'21'').21'').
*dcfldd,calculandooshashes=11min21seg.*dcfldd,calculandooshashes=11min21seg.
Exemplodesadaemtela:Exemplodesadaemtela:
root@scutum:~# dcfldd if=/dev/sdb of=/mnt/sdb.dd hash=md5,sha256 md5log=/mnt/sdb.dd.md5 sha256log=/mnt/sdb.dd.sha256
433152 blocks (13536Mb) written.
Eribertoout.14Eribertoout.14
SumrioSumrioOqueforensecomputacional?Oqueforensecomputacional?
Ataquesviarede:oquefazer?Ataquesviarede:oquefazer?
MedidasiniciaisnasforensesMedidasiniciaisnasforenses
CriaodaimagemdamdiaatacadaCriaodaimagemdamdiaatacada
UtilizaodaimagemdamdiaatacadaUtilizaodaimagemdamdiaatacada
OquebuscarnaanliseOquebuscarnaanlise
AlgunscomandoseferramentasAlgunscomandoseferramentas
LaudodaperciaLaudodapercia
ConclusoConcluso
Eribertoout.14Eribertoout.14
UtilizaodaimagemdamdiaatacadaUtilizaodaimagemdamdiaatacadaOsarquivosdeimagenspoderoseranalisadosdiretamenteOsarquivosdeimagenspoderoseranalisadosdiretamente
(examedesuperfcie).Htambmaopopelamontagem(examedesuperfcie).Htambmaopopelamontagemdecadaumadaspartiesexistentesnaimagem.decadaumadaspartiesexistentesnaimagem.
AspartiesdasimagensdeverosermontadascomoreadAspartiesdasimagensdeverosermontadascomoreadonly(paranoalterarocontedo).only(paranoalterarocontedo).
Exemplo:Exemplo:
#mountoro,offset=32256sda.dd/forense#mountoro,offset=32256sda.dd/forense
ArquivosdeswapsoextensodamemriaenopossuemArquivosdeswapsoextensodamemriaenopossuemfilesystem.Ento,seroanalisadossemmontagem(nofilesystem.Ento,seroanalisadossemmontagem(nopossvelmontlos).possvelmontlos).
Eribertoout.14Eribertoout.14
SumrioSumrioOqueforensecomputacional?Oqueforensecomputacional?
Ataquesviarede:oquefazer?Ataquesviarede:oquefazer?
MedidasiniciaisnasforensesMedidasiniciaisnasforenses
CriaodaimagemdamdiaatacadaCriaodaimagemdamdiaatacada
UtilizaodaimagemdamdiaatacadaUtilizaodaimagemdamdiaatacada
OquebuscarnaanliseOquebuscarnaanlise
AlgunscomandoseferramentasAlgunscomandoseferramentas
LaudodaperciaLaudodapercia
ConclusoConcluso
Eribertoout.14Eribertoout.14
OquebuscarnaanliseOquebuscarnaanliseInicieainvestigaoouvindoosfatosparatentardeduzirInicieainvestigaoouvindoosfatosparatentardeduzir
algorelevantequeleveseleodeumpontoinicial.algorelevantequeleveseleodeumpontoinicial.
AdoteumdosmtodosdeperciaparainiciarostrabalhosAdoteumdosmtodosdeperciaparainiciarostrabalhos(linhadotempooudescubraoquepuder).(linhadotempooudescubraoquepuder).
Analiselogs,memriaeswap.Analiselogs,memriaeswap.
Analisediretriosimportantescomo/tmp,/var/tmp,Analisediretriosimportantescomo/tmp,/var/tmp,/homee/etc./homee/etc.
Busqueporrootkitsebackdoors.Busqueporrootkitsebackdoors.
Verifiqueseosistemaoperacionalestavaatualizado.Verifiqueseosistemaoperacionalestavaatualizado.
Busquesenhasearquivosdentrodaimagemdamemria.Busquesenhasearquivosdentrodaimagemdamemria.
Eribertoout.14Eribertoout.14
OquebuscarnaanliseOquebuscarnaanliseProcure,emimagensdediscos,porarquivosrelevantesProcure,emimagensdediscos,porarquivosrelevantes
apagados,combaseempalavraschave.apagados,combaseempalavraschave.
ArquivosdeMSOfficeeLibreOfficesuspeitosdevemserArquivosdeMSOfficeeLibreOfficesuspeitosdevemseranalisadosprofundamente.Comecepelaspropriedadesdosanalisadosprofundamente.Comecepelaspropriedadesdosmesmos.TambmvlidoparaPDFs.mesmos.TambmvlidoparaPDFs.
FigurasJPGpossuemdadosEXIF.Issoimportante!AnaliseFigurasJPGpossuemdadosEXIF.Issoimportante!Analisetambmaspropriedadesdequalquerfigura.tambmaspropriedadesdequalquerfigura.
Figuraspodemconteresteganografia.ArquivospodemestarFiguraspodemconteresteganografia.Arquivospodemestarcriptografados.Vocpoderdescobrirsenhasporcriptografados.Vocpoderdescobrirsenhasporengenhariasocialouanlisedememria.engenhariasocialouanlisedememria.
Sejainteligente,criativoeperseverante.TenhaavontadeSejainteligente,criativoeperseverante.Tenhaavontadedevenceroseuoponente!devenceroseuoponente!
Eribertoout.14Eribertoout.14
SumrioSumrioOqueforensecomputacional?Oqueforensecomputacional?
Ataquesviarede:oquefazer?Ataquesviarede:oquefazer?
MedidasiniciaisnasforensesMedidasiniciaisnasforenses
CriaodaimagemdamdiaatacadaCriaodaimagemdamdiaatacada
UtilizaodaimagemdamdiaatacadaUtilizaodaimagemdamdiaatacada
OquebuscarnaanliseOquebuscarnaanlise
AlgunscomandoseferramentasAlgunscomandoseferramentas
LaudodaperciaLaudodapercia
ConclusoConcluso
Eribertoout.14Eribertoout.14
AlgunscomandoseferramentasAlgunscomandoseferramentasInstaleosleuthkit(noDebian,#aptgetinstallsleuthkit;Instaleosleuthkit(noDebian,#aptgetinstallsleuthkit;
paravercomandos:#dpkgLsleuthkit|grep/usr/bin).paravercomandos:#dpkgLsleuthkit|grep/usr/bin).
UtilizeocamandostatparasaberasituaodearquivoseUtilizeocamandostatparasaberasituaodearquivosediretrios.diretrios.
Garimpeimagensearquivoscomstrings+grep.OGarimpeimagensearquivoscomstrings+grep.Ocomandostrings,noDebian,estnopacotebinutils.comandostrings,noDebian,estnopacotebinutils.
Procureporrootkitscomchkrootkiterkhunter.Exemplos:Procureporrootkitscomchkrootkiterkhunter.Exemplos:
#chkrootkitr/forense#chkrootkitr/forense
#rkhunterupdate;rkhuntercr/forense#rkhunterupdate;rkhuntercr/forense
Procureporwormscomoclamscan(#aptgetinstallProcureporwormscomoclamscan(#aptgetinstallclamav).Exemplo:clamav).Exemplo:
#freshclam;clamscanr/forense#freshclam;clamscanr/forense
Eribertoout.14Eribertoout.14
AlgunscomandoseferramentasAlgunscomandoseferramentasUtilizeocomandofindparaprocurarporarquivoscriadosUtilizeocomandofindparaprocurarporarquivoscriados
oumodificadosnosltimosoumodificadosnosltimosxxdias.Exemplopara2dias:dias.Exemplopara2dias:
#find/forense/mtime2#find/forense/mtime2
Utilizefls+icatpararecuperararquivosapagadosemUtilizefls+icatpararecuperararquivosapagadosemfilesystems.Exemplo:filesystems.Exemplo:
#flsFdro63sda.img#flsFdro63sda.img
#icato63sda.img75>teste.jpg#icato63sda.img75>teste.jpg
UtilizeoscomandosmagicrescueeforemostparabuscarUtilizeoscomandosmagicrescueeforemostparabuscararquivosemimagensdemdiasformatadas,corrompidasarquivosemimagensdemdiasformatadas,corrompidasouemfragmentosdeimagens.Comaopoa,oforemostouemfragmentosdeimagens.Comaopoa,oforemostrecuperaarquivosdanificados(egeramuitosfalsosrecuperaarquivosdanificados(egeramuitosfalsospositivos).AopomaiscomumTq.positivos).AopomaiscomumTq.
Eribertoout.14Eribertoout.14
AlgunscomandoseferramentasAlgunscomandoseferramentasUtilizehexdumpehexeditparaacessarcontedos,Utilizehexdumpehexeditparaacessarcontedos,
exibindoosemhexadecimal(mesmoemfragmentos).Paraexibindoosemhexadecimal(mesmoemfragmentos).ParaASCIIpuro,utilizeomcview.ASCIIpuro,utilizeomcview.
Utilizeosprogramasgwenviewegimpparaabrirfiguras,Utilizeosprogramasgwenviewegimpparaabrirfiguras,inclusivedanificadas.inclusivedanificadas.
Paraverdadosexif,utilizemetacameexif.Paraverdadosexif,utilizemetacameexif.
UtilizeocomandofileparavercaractersticasdeimagensUtilizeocomandofileparavercaractersticasdeimagensdedispositivos,fotos,documentosdoofficeeexecutveis.dedispositivos,fotos,documentosdoofficeeexecutveis.
okular(KDE)eevince(Gnome)podemserutilizadosparaokular(KDE)eevince(Gnome)podemserutilizadosparavercontedosdiversos.Parafiguras,hovisualizadorvercontedosdiversos.Parafiguras,hovisualizadorrpidosxiv.rpidosxiv.
SempreapliqueocomandostringsemfotosePDFs.SempreapliqueocomandostringsemfotosePDFs.
Eribertoout.14Eribertoout.14
AlgunscomandoseferramentasAlgunscomandoseferramentasUtilizeoLibreOfficeparaabrireinvestigardocumentosdoUtilizeoLibreOfficeparaabrireinvestigardocumentosdo
tipooffice.tipooffice.
Utilizevolatilityparafazeraanlisebinriadamemria.Utilizevolatilityparafazeraanlisebinriadamemria.
Estudemuito!!!(aptcachesearchforensic).Estudemuito!!!(aptcachesearchforensic).
DEMONSTRAO.DEMONSTRAO.
Eribertoout.14Eribertoout.14
SumrioSumrioOqueforensecomputacional?Oqueforensecomputacional?
Ataquesviarede:oquefazer?Ataquesviarede:oquefazer?
MedidasiniciaisnasforensesMedidasiniciaisnasforenses
CriaodaimagemdamdiaatacadaCriaodaimagemdamdiaatacada
UtilizaodaimagemdamdiaatacadaUtilizaodaimagemdamdiaatacada
OquebuscarnaanliseOquebuscarnaanlise
AlgunscomandoseferramentasAlgunscomandoseferramentas
LaudodaperciaLaudodapercia
ConclusoConcluso
Eribertoout.14Eribertoout.14
LaudodaperciaLaudodaperciaNohummodeloespecficoparalaudoourelatriodeNohummodeloespecficoparalaudoourelatriode
forense.difcilencontrarummodelonaInternet.forense.difcilencontrarummodelonaInternet.
Algunsdadosinteressantesparaacomposiodolaudo:Algunsdadosinteressantesparaacomposiodolaudo:
>Dadospessoaisdoperito.>Dadospessoaisdoperito.
>Perododarealizaodaforense.>Perododarealizaodaforense.
>Breverelatodoocorrido(notciasiniciais).>Breverelatodoocorrido(notciasiniciais).
>Dadosgeraissobreamquinae/ousistemaatacado(nomeda>Dadosgeraissobreamquinae/ousistemaatacado(nomedamquina,portasabertas,partiesexistentesetc).mquina,portasabertas,partiesexistentesetc).
>Detalhamentodosprocedimentosrealizados.>Detalhamentodosprocedimentosrealizados.
>Dadosefatosrelevantesencontrados.>Dadosefatosrelevantesencontrados.
>Conclusoerecomendaes.>Conclusoerecomendaes.
>Apndiceseanexos.(incluircertificadodeintegridade)>Apndiceseanexos.(incluircertificadodeintegridade)
Eribertoout.14Eribertoout.14
SumrioSumrioOqueforensecomputacional?Oqueforensecomputacional?
Ataquesviarede:oquefazer?Ataquesviarede:oquefazer?
MedidasiniciaisnasforensesMedidasiniciaisnasforenses
CriaodaimagemdamdiaatacadaCriaodaimagemdamdiaatacada
UtilizaodaimagemdamdiaatacadaUtilizaodaimagemdamdiaatacada
OquebuscarnaanliseOquebuscarnaanlise
AlgunscomandoseferramentasAlgunscomandoseferramentas
LaudodaperciaLaudodapercia
ConclusoConcluso
Eribertoout.14Eribertoout.14
ConclusoConclusoAperciaforensebuscaencontrardadosrelevantes,emAperciaforensebuscaencontrardadosrelevantes,em
meiosdearmazenagemdigital,comointuitodelevantarmeiosdearmazenagemdigital,comointuitodelevantarprovassobreumfato(geralmenteumcrimedigital).provassobreumfato(geralmenteumcrimedigital).
UmperitoforensedeveconhecerprofundamenteosistemaUmperitoforensedeveconhecerprofundamenteosistemaoperacionalqueeleirinvestigar.Casonooconhea,operacionalqueeleirinvestigar.Casonooconhea,podersolicitarumauxiliartcnico.podersolicitarumauxiliartcnico.
AastciaeacriatividadesoessenciaisemqualquerAastciaeacriatividadesoessenciaisemqualquerinvestigao.Tenhaavontadedevenceroseuoponente.investigao.Tenhaavontadedevenceroseuoponente.
EstapalestraestdisponvelemEstapalestraestdisponvelem
http://eriberto.pro.brhttp://eriberto.pro.brSigamenoTwitter@eribertomotaSigamenoTwitter@eribertomota
Slide 1Slide 2Slide 3Slide 4Slide 5Slide 6Slide 7Slide 8Slide 9Slide 10Slide 11Slide 12Slide 13Slide 14Slide 15Slide 16Slide 17Slide 18Slide 19Slide 20Slide 21Slide 22Slide 23Slide 24Slide 25Slide 26Slide 27Slide 28Slide 29Slide 30Slide 31Slide 32