PerciaForenseComputacional

http://www.gsec.com.br/GustavoC.Pereira29/05/07

Agenda

OqueAnliseForenseComputacional OqueAntiForense PerciaForense TcnicasAntiForense Referncias Perguntas

OqueAnliseForense Computacional
Inspeo sistemtica de um sistema computacional em buscadeevidnciasousupostasevidnciasdeumcrimeou outraatividadequepreciseserinspecionada. Wikipedia

OqueAnliseForense Computacional
Quem? Oque? Quando? Como?

OqueAntiForense
So mtodos de remoo, ocultao e subverso de evidncias com o objetivo de mitigar os resultados de uma anliseforensecomputacional.

PerciaForense

Identificao Preservao Anlise ApresentaodasEvidncias

Identificao

Levantamento de informaes relevantes em relao ao ocorrido: nomes, datas, empresas, enfim, tudo que possa ajudar na anlise das informaes.

Preservao

Toda informao deve ser legtima e confivelmente intocada. Deve se garantir que nada foi alterado desde a identificao ou apreenodamdiaaseranlisada.

AnliseFsica

Anlise de mdias danificadas ou de contedo desconhecido,assimcomoarquivosapagados.

AnliseLgica
Anlise das parties num sistema que seja capaz de entender o sistema de arquivos em questo. E que seja montado obrigatriamente comosomenteleitura. Anlise da memria e dos processos em execuocomdumpspreviamenterealizados.

Anlise

neste passo que as informaes realmente interessantes e que tem relao com o caso sero levantadas. Os arquivos de prova sero coletados assim como, datas, trilha, segmento, entreoutros.

Apresentao

opassoemqueseapresentaasevidnciasem um formato jurdico ou no, visto que nem toda perciaforensetemoobjetivocriminal.

TcnicasAntiForense

Criptografia Esteganografia Wipe DataHiding ColisodeMD5

Criptografia

CriptografiadeParties CriptografiadeDispositivosUSB CriptografiadeArquivos

Estegnografia

Esteganografia o estudo e uso das tcnicas para ocultar a existncia de uma mensagem dentrodeoutra. Wikipedia

Wipe

conhecidocomoumaformadedeleosegura, no apenas o marcando como unlinked, mas sobreescrevendovriasvezesomesmoblocodo discocomlixo.

Wipe
structext3_inode{ __le16i_mode;/*Filemode*/ __le16i_uid;/*Low16bitsofOwnerUid*/ __le32i_size;/*Sizeinbytes*/ __le32i_atime;/*Accesstime*/ __le32i_ctime;/*Creationtime*/ __le32i_mtime;/*Modificationtime*/ __le32i_dtime;/*DeletionTime*/ __le16i_gid;/*Low16bitsofGroupId*/ __le16i_links_count;/*Linkscount*/ __le32i_blocks;/*Blockscount*/ __le32i_flags;/*Fileflags*/

DataHiding

Talvez uns dos mtodos mais utilizados hoje em dia. Consiste em esconder arquivos em lugares noconvencionaisdosistema.

DataHiding

Swap BadBlocks Imagens/Audio Espaosnoalocadosentreparties Arquivostexto

ColisodeMD5

MD5 utilizado em vrias partes do sistema, desde checagem de integridade de pacotes, at ferramentas de integridade do sistema. Mas possvel ter 2 informaes diferentes com o mesmoMD5.

Referncias

http://en.wikipedia.org/wiki/Digital_Forensic_Tools http://www.tucofs.com/tucofs/tucofs.asp?mode=mainmenu http://www.guiatecnico.com.br/evidenciadigital/

Perguntas?

MaisInformaes: http://www.gsec.com.br gustavo@gsec.com.br