Escolar Documentos
Profissional Documentos
Cultura Documentos
Pericia Digital
Pericia Digital
www.ricardokleber.com.br
Contextualizao
rea bastante abrangente (tempo insuficiente); Apresentao de principais conceitos envolvidos; Listas no exaustivas de tcnicas e ferramentas; Screenshots e Links (material complementar); Prtica limitada com principais ferramentas; Objetivo Principal: Apresentar o assunto e estimular o estudo na rea.
Definies
Anlise Forense
A aplicao de princpios das cincias fsicas ao direito na busca da verdade em questes cveis, criminais e de comportamento social para que no se cometam injustias contra qualquer membro da sociedade
(Manual de Patologia Forense do Colgio de Patologistas Americanos, 1990).
Normas e Procedimentos
Definies
Anlise Forense Computacional
Supre as necessidades das instituies legais para manipulao de evidncias eletrnicas; Estuda a aquisio, preservao, identificao, extrao, recuperao e anlise de dados em formato eletrnico; Produz informaes diretas e no interpretativas.
Definies
Anlise Forense Computacional
Computao Forense a cincia que trata do exame, anlise e investigao de um incidente computacional, ou seja, que envolvam a computao como meio, sob a tica forense, sendo ela cvel ou penal. Na criminalstica a Computao Forense trata o incidente computacional na esfera penal, determinando causas, meios, autoria e conseqncias
Definies
Anlise Forense Computacional
Permite o rastreamento, identificao e comprovao da autoria de aes no autorizadas Auxilia em investigaes que apuram desde violaes de normas internas a crimes eletrnicos.
Definies
Anlise Forense Computacional :: Aspectos Legais
Enquanto no existe uma padronizao das metolodologias de anlise forense, feito um paralelo com mtodos tradicionais, a fim de se garantir o valor judicial de uma prova eletrnica; fundamental ao perito a compreenso do Cdigo de Processo Penal !Cap"tulo ## $o Exame do Corpo de $elito, e das Per"cias em %eral&'
Definies
Anlise Forense Computacional :: Aspectos Legais
(rtigo )*+, "Nas percias de laboratrio, os peritos guardaro material suficiente para a eventualidade de nova percia. Sempre que conveniente, os laudos sero ilustrados com provas fotogrficas, ou microfotogrficas, desenhos ou esquemas' (rtigo )*), "Nos crimes cometidos com destrui o ou rompimento de obstculo a subtra o da coisa, ou por meio de escalada, os peritos, alm de descrever os vestgios, indicaro com que instrumentos, por que meios e em que poca presumem ter sido o fato praticado"'
Definies
Anlise Forense Computacional :: Aspectos Legais
Adaptao das normas da percia convencional (Cdigo de Processo Penal);
Exemplo: Os peritos devero guardar material suficiente para nova percia (do Cdigo de Processo Penal - Artigo 17 ! Entende!se "#e deve!se $a%er cpias com assinat#ras digitais para an&lise $#t#ra
Primeiros Registros
Fraudes na contabilidade bancria, cometidas por funcionrios responsveis pela rea de informtica da instituio; Fraudes contra o governo; Fraudes contra o usurio.
Em Crime by computer, o autor Donn B. Parker cita o primeiro caso que se teve notcia nos EUA, mais precisamente no estado de Minnesota, noticiado atravs do Minneapolis Tribune do dia 18 de outubro de 1966, sob o ttulo "PERITO EM COMPUTADOR ACUSADO DE FALSIFICAR SEU SALDO BANCRIO"
Necessidade de Percia
O Gartner Group, estima que os PHISHING SCAMS, custaram 1,2 bilho de dlares s administradoras de carto de crdito e bancos americanos em 2007; Diz tambm que cerca de 57 milhes de americanos estiveram sujeitos a este tipo de fraude online no mesmo ano.
Resultados (Operaes PF
CAVALO-DE-TRIA Novembro/2003
CAVALO-DE-TRIA II Outubro/2004
Par, Maranho, Teresina e Cear. 54 prises Par, Maranho, Tocantins e Cear. 77 prises Rio Grande do Sul 8 Prises
MATRIX Maro/2005
Buscas em 8 Estados Priso em Volta Redonda-RJ Cumprimento de prises em PR, SP, MA 127 Prises em Gois, Tocantins, Par, ES, SP e MG
PEGASUS - setembro/2005
Resultados (Operaes PF
GALCTICOS agosto/06
Cerca de 65 prises / Imperatriz/MA
Onde ! Necess"rio#
Defacements com violao de dados de sites; Defacements com difamao em sites; Ataques a servidores; E-mails falsos; Roubo de dados (usando phishing scam p.ex.); Difamao; Ameaas; Retiradas e transferncias de contas bancrias; Investigaes sobre pedofilia; Investigaes sobre crimes comuns com indcios de provas em computadores e/ou mdias. Etc etc etc...
Caractersticas do Perito
-ecessidade de profundos con.ecimentos tcnicos; Con.ecimento de ferramentas espec"ficas; tica'
/ perito no um policial nem 0uiz''' -o pode se en1ol1er pessoalmente em pris2es ou 0ulgar os praticantes dos delitos desco3ertos Caso do aluno homossexual Caso da professora separada
$arefas do Perito
Preservar os dispositivos Cpia integral (e $iel) das mdias 'as( (res#mo criptogr&$ico) para garantir a integridade dos dados Preservao dos )ogs Ata *otarial (constatao escrita+ atestada por testem#n(as+ da ocorr,ncia de #m $ato)
Recon'ecimento da (ti&idade
:egislao do Estado de 7o Paulo $ecreto n; <='++>, de )) de agosto de ?++@ (rtigo )? ! N"cleo de #ercias de $nformtica tem por atribui o reali%ar percias visando & elabora o de laudos periciais de locais e pe as envolvendo aparelhos computadori%ados, "soft'are", "hard'are" e perif(ricos, relacionados com a prtica de infra )es penais na rea de informtica'
Falta de Padronizao
(usAncia de normas possi3ilita uma margem de erro muito grande para e1idAncias desperce3idas; Procedimentos''' Berramentas''' qual de1eCpode ser utilizada legalmenteD Peritos x (d1ogados EEE
$entati&as de Padronizao
Proposed Standards for the Exchange of Digital Evidence
7cientific ForGing %roup on $igital E1idence 87F%$E9
Estes padres foram apresentados durante a International Hi-Tech Crime and Forensics Conference (IHCFC), realizada em Londres, de 4 a 7 de outubro de 1999.
Dificuldades (tuais
/miss2es na legislao federal existente,
/3riga2es dos pro1edores e usurios Heteno de logs de acesso e dados cadastrais
Hegulamentao de funcionamento,
CI3er cafs 7alas de 3ate papo
Cooperao internacional Js 1ezes lenta e ineficiente (umento dos crimes ci3ernticos x -Kmero de Peritos (umento na capacidade de armazenamento -o1as tcnicas 8criptografiaCanti forense9
Percia Forense Computacional :: Ricardo Klber (www.ricardokleber.com.br)
Definies
Anlise Forense Computacional
Aquisio Preservao Identificao Extrao Recuperao Anlise Apresentao (documentao)
()uisio de Dados
O que Coletar?
Mdias Hds, pendrives, cds, dvds... Dados em memria Em anlises com equipamentos ligados Dados trafegando na rede Em investigaes de trfego de informaes Tambm com equipamentos ligados Dispositivos no convencionais Cmeras digitais, culos/relgios/pulseiras... (com dispositivos de armazenamento).
()uisio de Dados
Interfaces externas (baseadas em USB e/ou firewire) so indicadas para auxiliar este processo.
Percia Forense Computacional :: Ricardo Klber (www.ricardokleber.com.br)
()uisio de Dados
Serial ATA DriveLock DriveLock Firewire/USB DriveLock IDE
O uso de bloqueadores de escrita para aquisio a partir das mdias originais fortemente recomendado
()uisio de Dados
Maletas com kits otimizados para aquisio de dados de vrias mdias esto disponveis.
Percia Forense Computacional :: Ricardo Klber (www.ricardokleber.com.br)
()uisio de Dados
Dados armazenados fora dos equipamentos
Sistemas de arquivos remotos; Backups em provedores de contedo; Servidores corporativos externos; Datacenters internacionais.
Preser&ao de Dados
Como manipular dados sem alterar o seu contedo original?
Preser&ao de Dados
A alterao de dados pode ser comparada a alterao da cena de um crime no mundo real.
Preser&ao de Dados
Garantir bloqueio de dados antes da cpia = Impedir alterao da mdia original durante os procedimentos de aquisio; Somente depois da cpia fiel dos dados (atestado por peritos e testemunhas) a mdia original pode ser dispensada. Perito Oficial (f pblica); Perito Convidado (necessidade de testemunhas).
*dentificao de Dados
Todo o material apreendido para anlise deve ser detalhadamente relacionado em um documento (Cadeia de Custdia); O uso de assinaturas hash (MD5/SHA1/SHA256) fundamental para garantir que os dados coletados e armazenados como prova no sero modificados futuramente.
+xtrao,Recuperao de Dados
Aps a coleta, a manipulao dos dados das mdias pode ser feita pelo prprio perito ou posteriormente por outro (inclusive por um perito contratado por advogados que contestaram os laudos); Extrao o processo de retirar das mdias periciadas as informaes disponveis; Recuperao o processo de buscar dados removidos total ou parcialmente, propositalmente ou no.
(n"lise de +&id-ncias
uma das fases mais demoradas, onde o perito utiliza ferramentas e tcnicas para extrair informaes das mdias periciadas; Esta fase exige cuidado especial em proporo igual ao volume de dados analisados, j que nem sempre as evidncias so explcitas (nomes e formatos de arquivos p.ex.).
(presentao de Resultados
(Laudos Periciais)
Esta fase tecnicamente chamada de "substanciao da evidncia", pois nela consiste o enquadramento das evidncias dentro do formato jurdico, sendo inseridas, pelo juiz ou pelos advogados, na esfera civil ou criminal ou mesmo em ambas; Deve representar as concluses do perito em linguagem clara para apresentao em julgamentos (ou com dados tcnicos comentados).
(presentao de Resultados
(Laudos Periciais)
Os Laudos devem conter: Finalidade da Investigao; Autor(es) do Laudo (peritos envolvidos); Resumo do caso/incidente; Relao de evidncias analisadas e seus detalhes; Concluso; Anexos; Glossrio. Metodologia / tcnicas / softwares utilizados.
Resumindo...
SGZIP
Utilizado pelo pyFlag (baseado no gzip) Compactado mas com possibilidade de montagem e pesquisa interna Cdigo-fonte aberto No monta em Windows ( necessrio converter para raw antes disso)
Ferramentas
Freeware Shareware (limitaes !!??) Comerciais ($$$ !!??) Pirataria (tica !!?? fundamento bsico)
Ferramentas /indo0s
Criado em 1996 por Mark Russinovich and Bryce Cogswell Comprada pela Microsoft em Julho/2006 Ferramentas avanadas para manipulao e coleta de informaes de sistemas Windows Foruns permanentes para tirar dvidas e compartilhar informaes sobre as ferramentas.
http://live.sysinternals.com http://technet.microsoft.com/en-us/sysinternals/default.aspx
Fr e
Windows Sysinternals
ew ar e
Ferramentas /indo0s
Principais Ferramentas
Process Explorer Process Monitor Autoruns RootkitRevealer TcpView BgInfo Strings
Ferramentas /indo0s
Process Explorer
Lista detalhada de processos em execuo (e DLLs)
http://download.sysinternals.com/Files/ProcessExplorer.zip
Ferramentas /indo0s
Process Explorer
Ferramentas /indo0s
Process Monitor
http://download.sysinternals.com/Files/ProcessMonitor.zip
Ferramentas /indo0s
Autoruns
Ferramentas /indo0s
RootkitRevealer
Ferramentas /indo0s
TcpView
Ferramentas /indo0s
BgInfo
Ferramentas /indo0s
BgInfo
Ferramentas /indo0s
Duplicao Pericial :: Hiren's
Norton Ghost Acronis True Image Drive SnapShot
Ferramentas /indo0s
Recuperao de Arquivos Apagados
Active Partition Recovery Active Uneraser Ontrack Easy Recovery Pro Winternals Disk Commander Lost & Found Prosoft Media Tools Active Undelete Restoration GetDataBack for FAT GetDataBack for NTFS Recuva
Percia Forense Computacional :: Ricardo Klber (www.ricardokleber.com.br)
Ferramentas /indo0s
Duplicao Pericial
Norton Ghost ??
Imagem .GHO e .GHS (formatos propietrios) Imagem .VMDK (Vmware)
Drive Snapshot ??
Imagem .SNA (formato propietrio)
dd (for Windows)
Imagem .RAW (mais indicado !!!)
Percia Forense Computacional :: Ricardo Klber (www.ricardokleber.com.br)
Ferramentas /indo0s
Duplicao Pericial :: dd (for Windows)
http://www.chrysocome.net/dd dd --list
Lista as parties (origens)
dd if=origem of=destino
Ferramentas /indo0s
EnCase
Desenvolvido pela Guidance Software http://www.guidancesoftware.com Verses Enterprise e Forensic Edition + Verso de uso restrito (Policy Enforcement) Ferramenta Comercial Mais Conhecida e Recomendada para Anlise Forense a partir de Mquinas Windows Relatrios Detalhados, Linguagem de Script (EnScript) EnCase Neutrino (Mobile Devices)
Ferramentas /indo0s
EnCase Forensic Edition
$ela Principal (*dentificao de Componentes
Ferramentas /indo0s
EnCase Forensic Edition
Criao de Filtros com a %inguagem de Programao +n1cript
Ferramentas /indo0s
EnCase Forensic Edition
[LinEn] Ferramenta de Aquisio de Dados para Linux
Ferramentas /indo0s
EnCase Forensic Edition
Suporte a Unicode = Exi io de Dados em !"rias L#n$uas
Ferramentas /indo0s
EnCase Forensic Edition
Suporte a %"rios sistemas de arqui%os como o &FS ('()*A'+)
Ferramentas /indo0s
EnCase Forensic Edition
!isua,i-ao de E.mai,s ()ensa$ens e Anexos)
Ferramentas /indo0s
EnCase Forensic Edition
!isua,i-ao de /a ea,0os de E.mai,s
Ferramentas /indo0s
EnCase Forensic Edition
!isua,i-ao Deta,0ada de Anexos de E.mai,s
Ferramentas /indo0s
EnCase Forensic Edition
1ist2rico ('nternet 1istor3) com suporte para 'nternet Exp,orer4 )o-i,,a4 5pera e )acintos0*Sa6ari7
Ferramentas /indo0s
EnCase Forensic Edition
8e /ac0e com suporte para 'nternet Exp,orer4 )o-i,,a4 5pera e )acintos0*Sa6ari7
Ferramentas /indo0s
FTK :: Forensic ToolKit
Desenvolvido pela Access Data http://www.accessdata.com Concorrente do EnCase Mais fcil de operar... Menos Recursos Comercial... Porm, mais barato FTK Mobile Phone Examiner
Ferramentas /indo0s
FTK :: Forensic ToolKit
Ferramentas /indo0s
FTK :: Forensic ToolKit
Ferramentas /indo0s
FTK :: Forensic ToolKit
Ferramentas /indo0s
FTK :: Forensic ToolKit
Ferramentas /indo0s
FTK :: Forensic ToolKit
Ferramentas /indo0s
FTK :: Forensic ToolKit
Ferramentas /indo0s
FTK :: Forensic ToolKit
Ferramentas /indo0s
FTK :: Forensic ToolKit
Ferramentas /indo0s
FTK :: Forensic ToolKit
Ferramentas /indo0s
FTK :: Forensic ToolKit
Ferramentas /indo0s
FTK :: Forensic ToolKit
Ferramentas /indo0s
FTK :: Forensic ToolKit
Ferramentas /indo0s
FTK :: Forensic ToolKit
Ferramentas 2nix,%inux
Ferramentas 2nix,%inux
strings
Ferramentas 9ati%as
Extrai mensagens de texto (strings) de arquivos; Pode ser utilizada em arquivos comuns ou dispositivos
grep
Procura por padres em arquivos; Utilizado como filtro por vrios comandos no Linux.
$ile
Ferramentas 2nix,%inux
Coleta de in$orma-es vol&teis
Conex-es .CP # netstat natp | tee conexoes.tcp Conexes 2DP # netstat naup | tee conexoes.udp Processos em +xecuo # ps aux | tee processos
Ferramentas 2nix,%inux
Coleta de in$orma-es vol&teis
.r&$ego para determinado endereo:
O trfego pode ser remontado posteriormente utilizando-se um analisador de pacotes como o Wireshark Ar"#ivos A/ertos e 0elacionamentos com Processos # lsof | tee arqu vos
Ferramentas 2nix,%inux
Coleta de in$orma-es vol&teis
1n$orma-es so/re porta espec$ica (.CP) # fuser !v <porta>"tcp > porta.tcp 1n$orma-es so/re porta espec$ica (23P) # fuser !v <porta>"udp > porta.udp 4d#los Ativos # lsmod | tee !a modulos. nfo # cat "proc"modules | tee !a modulos. nfo
Ferramentas 2nix,%inux
Percia com Estao Pericial Remota
Uso do Netcat (nc) Envio de informaes para a mquina remota:
Ferramentas 2nix,%inux
Aquisio (/o,eta de E%id:ncias)
Ferramentas 2nix,%inux
Aquisio (/o,eta de E%id:ncias)
Ferramentas 2nix,%inux
dd of# magem. mg
Ferramentas 2nix,%inux
Aps a gerao de uma imagem pericial deve-se sempre aplicar o hash md5 (ou sha1) e anotar a assinatura digital. Isso pode ser feito com os comandos md5sum / sha1sum
Ferramentas 2nix,%inux
Aquisio (/o,eta de E%id:ncias)
Informaes Complementares
Apesar de ser a maneira mais simples, o utilitrio dd no oferece algumas funcionalidades importantes; O dd_rescue serve para realizar aquisies de mdias com problemas (em algumas situae o dd interrompido ao encontrar erros na mdia); O sdd realiza aquisies mais rpido do que o dd, quando o tamanho de bloco dos devices de origem e destino so diferentes; O dcfldd possui um log de toda a operao, faz diviso da imagem (split) e permite verificar diretamente a integridade da operao atravs de vrios algoritmos de hash; O rdd foi desenvolvido pelo Netherlands Forensic Institute (NFI) e sua documentao indica que ele bem mais robusto em relao a tratamento de erros, diviso de arquivos (split) e hash.
Percia Forense Computacional :: Ricardo Klber (www.ricardokleber.com.br)
Ferramentas 2nix,%inux
Aquisio (/o,eta de E%id:ncias)
Informaes Complementares
As interfaces grficas so, em sua maioria, mscaras para as ferramentas em linha de comando. O usurio indica as opes da aquisio, que so passadas para um dos utilitrios em linha de comando. O Adepto, oferece log sobre toda a operao e a possibilidade de se escolher entre usar o dcfldd (formato raw) ou ainda o AFF, para o formato Advanced Forensic Format. Na interface tambm indicamos qual algoritmo de hash ser usado para validar a operao e se queremos dividir o arquivo da imagem em pores menores (split). Ele permite tambm fazer a aquisio tendo como destino um dispositivo montado (local), um dispositivo SMB (Samba ou mesmo um compartilhamento Windows) ou ento via netcat. O Air, presente no Helix, no to completo quanto o Adepto em termos de log, e oferece captar a imagem atravs do dd ou do dcfldd. possvel determinar o algoritmo de hash (md5 e SHA-1) e enviar a imagem capturada atravs da rede com netcat ou cryptcat (netcat encriptado).
Percia Forense Computacional :: Ricardo Klber (www.ricardokleber.com.br)
Ferramentas 2nix,%inux
Origem
6 de agosto de 1999; Dan Farmer and Wietse Venema; IBM T.J. Watson Research Center; Apresentaram a palestra:
UNIX Computer Forensics Analysis, promovida pela IBM. Primeira ferramenta The Coroner's Toolkit (TCT)
Ferramentas 2nix,%inux
TCT :: The Coroner's Toolkit
Coleo de scripts Perl Ferramentas mais conhecidas:
( grave-robber: captura de informaes ( ils / mactime: informaes sobre acesso a arquivos ( findkey: recuperao de chaves criptogrficas ( unrm / lazarus: recuperao de arquivos apagados
Ferramentas 2nix,%inux
TCT :: The Coroner's Toolkit
Uso do TCT em recuperao de dados apagados: unrm + lazarus
Visualizao via browser Identificao de tipo (provvel) de dado recuperado baseado em legenda
Ferramentas 2nix,%inux
TCT :: The Coroner's Toolkit
Coleta de dados (varredura de reas apagadas) unrm /dev/hdb1 >> imagem.out Gerao de cdigo HTML para anlise lazarus h ! . " . w . imagem.out
h cr a um documento )*+, -v sual .ado por qualquer browser); ! #dir> d rec ona a escr ta dos %locos para um d ret/r o espec0f co1 " #dir> d rec ona os pr nc pa s arqu vos )*+, para um d ret/r o espec0f co1 w #dir> d rec ona outras sa0das )*+, para um d ret/r o espec0f co.
Ferramentas 2nix,%inux
TCT :: The Coroner's Toolkit
Ferramentas 2nix,%inux
TCT :: The Coroner's Toolkit
Limitaes : Tipo de Partio Investigada
No reconhece parties NTFS, FAT e EXT3
Interface Pouco Amigvel Necessrio conhecimento de legendas Ausncia de mecanismo de catalogao de percias realizadas Framework ???
Ferramentas 2nix,%inux
Sleuth Kit
Coleo de ferramentas para anlise de sistemas
Brian Carrier 2002 Inicialmente chamado T@SK - The @stake Sleuth Kit Baseado no TCT
Brian Carrier desenvolveu, antes do T@SK um conjunto de ferramentas que utilizam funes e estruturas do TCT provendo funcionalidades extras. A estas ferramentas deu o nome de TCTUTILS
Ferramentas 2nix,%inux
The Autopsy Forensic Browser
Interface grfica (escrita em Perl) para o Sleuth Kit
Baseada em HTML, semelhante a um gerenciador de arquivos Permite analisar arquivos, diretrios, blocos de dados e i-nodes (alocados ou apagados) em uma imagem de sistema de arquivos ou em um arquivo gerado pelo dls. Permite a busca por palavras-chave ou expresses regulares.
Ferramentas 2nix,%inux
The Autopsy Forensic Browser
Monta um framework com possibilidade de armazenamento de casos (Cases) periciais para eventual anlise posterior. Individualiza os investigadores de um mesmo caso
(usando a mesma estao pericial)
Ferramentas 2nix,%inux
The Autopsy Forensic Browser
root$estacaopericial:%# autops& ' (1) 1*+, root$estacaopericial:%# ---------------------------------------------------------------------------.utops& /orensic 0rowser http://www.sleuth1it.org/autops&/ ver 1.+2 ---------------------------------------------------------------------------3vidence 4oc1er: /var/lib/autops&/ 5tart 6ime: 5at 5ep *, *7:27:89 8**, :emote "ost: localhost 4ocal ;ort: 7777 <pen an "6=4 browser on the remote host and paste this >:4 in it: http://localhost:7777/?,?,9,89*,8??@+,1,?+/autops&
Ferramentas 2nix,%inux
The Autopsy Forensic Browser
=e,a 'nicia,
Ferramentas 2nix,%inux
The Autopsy Forensic Browser
>a,eria de ;/ases< (/ase >a,,er3)
Ferramentas 2nix,%inux
The Autopsy Forensic Browser
>a,eria de ;1osts< (1ost >a,,er3)
Ferramentas 2nix,%inux
The Autopsy Forensic Browser
>erenciador de ;1osts< (1ost )ana$er)
Ferramentas 2nix,%inux
The Autopsy Forensic Browser
/riando um 9o%o ?/ase?
Ferramentas 2nix,%inux
The Autopsy Forensic Browser
Adicionando uma 9o%a 'ma$em
Ferramentas 2nix,%inux
The Autopsy Forensic Browser
Estudo de /aso (Scan do ):s @A BB CD*@DD@) Desafio:
1. Buem sCo os fornecedores de maconha de Doe Dacobs e Eual o endereFo informado pelo fornecedorG 8. Bue dados cruciais estCo disponHveis dentro do arEuivo coverpage.Ipg e porEue estes dados sCo cruciaisG ?. Buais Jse existe algumaK outras escolas alLm da 5mith "ill Doe Dacobs freEuentaG ,. ;ara cada arEuivoM Eue procedimentos foram feitos pelo suspeito para mascarN los dentro de outrosG 2. Bue procedimentos vocO JinvestigadorK utilizou para examinar com sucesso o contePdo de cada arEuivoG
www.honeynet .org
Ferramentas 2nix,%inux
The Autopsy Forensic Browser
Exerc#cioB Exame de /onteEdo (Fi,e Ana,3sis)
Ferramentas 2nix,%inux
The Autopsy Forensic Browser
Exerc#cioB Exame de /onteEdo do Arqui%o Apa$ado
Ferramentas 2nix,%inux
The Autopsy Forensic Browser
Exerc#cioB Exame de /onteEdo do Arqui%o Sc0edu,ed !isits7exe
Ferramentas 2nix,%inux
The Autopsy Forensic Browser
Exerc#cioB Exame de /onteEdo do Arqui%o Sc0edu,ed !isits7exe
Ferramentas 2nix,%inux
The Autopsy Forensic Browser
Exerc#cioB Exame de /onteEdo do Arqui%o co%erpa$e7Fp$c
Ferramentas 2nix,%inux
The Autopsy Forensic Browser
Exerc#cioB Exame de /onteEdo do Arqui%o co%erpa$e7Fp$c
Ferramentas 2nix,%inux
http://www.e-fense.com/helix/
http://mirrors.cmich.edu/helix/Helix2008R1.iso
Percia Forense Computacional :: Ricardo Klber (www.ricardokleber.com.br)
Ferramentas 2nix,%inux
Outros Conjuntos de Ferramentas em Live-CD
Professional Hackers Linux Assault Kit (PHLAK) http://www.phla1.org Knoppix security tools distribution (Knoppix-std) http://www.1noppix std.org Penguin Sleuth Kit Bootable CD http://www.linux forensics.com Forensic and Incident Response Environment (F.I.R.E) http://fire.dmzs.com/
Ferramentas 2nix,%inux
Outros Conjuntos de Ferramentas em Live-CD
Fdtk Ubuntu-BR http://www.fdt1.com.br
Forense Digital Toolkit Projeto livre que objetiva produzir e manter uma distribuio para coleta e anlise de dados em Percia Forense Computacional
Fdt3 24untu56R
Coleta de Dados
Formulrio --> Formulrio de Cadeia de Custdia air --> Interface grfica para dd/dcfldd, para criar facilmente imagens forense dcfldd --> Verso aprimorada pelo DOD (Departament of Defense) do dd dd --> Ferramenta para gerao de imagem dos dados ddrescue --> Recuperar dados de hds com setores defeituosos (bad blocks) sdd --> Verso da ferramenta dd para Fitas (DAT, DLT...) memdump --> Dump de memria para sistemas UNIX-like md5sum --> Gerar hash md5 sha1sum --> Gera hash sha (160bits) discover --> Informaes sobre Hardware hardinfo --> Informaes e Testes do Sistema lshw-grfico --> Lista os dispositivos de hardware em formato HTML sysinfo --> Mostra informaes do computador e do sistema wipe --> Remover totalmente os dados das Mdias
Fdt3 24untu56R
Exame de Dados (1/2)
cabextract --> Acessar contedo de arquivos .cab orange --> Ferramenta para manipular arquivos .cab p7zip --> Acessar arquivos zip unshield --> Ferramenta para descompactar arquivos CAB da MS exif --> Ler informaes EXIF de arquivos jpeg exifprobe --> Exame do contedo e da estrutura dos arquivos de JPEG e TIFF exiftags --> Adquirir informaes sobre a cmera e as imagens por ela produzidas jhead --> Visualizar e manipular os dados de cabealhos de imagens jpeg jpeginfo --> Ferramenta para coletar informaes sobre imagens jpeg antiword --> Ferramenta para ler arquivos do MS-Word dumpster --> Acessar os arquivos da lixeira do Windows readpst --> Ferramenta para ler arquivos do MS-Outlook reglookup --> Utilitrio para leitura e resgate de dados do registro do Windows regp --> Acessar o contedo de arquivos .dat
Percia Forense Computacional :: Ricardo Klber (www.ricardokleber.com.br)
Fdt3 24untu56R
Exame de Dados (2/2)
gnome-search-tool --> Ferramenta grfica de localizao de arquivos slocate --> Localiza arquivos e indexa os disco ntfscat --> Concatena arquivos e visualiza-os sem montar a partio NTFS ntfsclone --> Clonar um sistema de arquivos NTFS ou somente parte dele ntfsinfo --> Obter informaes sobre parties NTFS ntfsls --> Lista o contedo de diretrios em parties NTFS sem mont-los atback --> Ferramenta para recuperar dados de sistemas de arquivos FAT foremost --> Ferramenta para recuperao de imagens a partir dos cabealhos gzrecover --> Ferramenta para extrair dados de arquivos gzip corrompidos ntfsundelete --> Recuperar arquivos deletados em parties NTFS recoverjpg --> Ferramenta para recuperar imagens jpg scrounge-ntfs --> Ferramenta para recuperar dados de parties NTFS chkrookit --> Ferramenta para identificar a presena de rootkits no sistema rkhunter --> Ferramenta para identificar a presena de rootkits no sistema imageindex --> Gera galeria de imagens em html
Percia Forense Computacional :: Ricardo Klber (www.ricardokleber.com.br)
7uestionamentos