Pericia Digital

SegInfo 2009 :: IV Workshop de Segurana da Informao
21, 23, 24 e 25 de Julho de 2009 Unirio :: Rio de Janeiro/RJ
Percia Forense Computacional

Ricardo Klber M. Galvo
(rk@cefetrn.br) www.ricardokleber.com.br
www.ricardokleber.com.br
Contextualizao
rea bastante abrangente (tempo insuficiente); Apresentao de principais conceitos envolvidos; Listas no exaustivas de tcnicas e ferramentas; Screenshots e Links (material complementar); Prtica limitada com principais ferramentas; Objetivo Principal: Apresentar o assunto e estimular o estudo na rea.
Percia Forense Computacional :: Ricardo Klber (www.ricardokleber.com.br)
Definies
Anlise Forense
A aplicao de princpios das cincias fsicas ao direito na busca da verdade em questes cveis, criminais e de comportamento social para que no se cometam injustias contra qualquer membro da sociedade
(Manual de Patologia Forense do Colgio de Patologistas Americanos, 1990).
Levantar evidncias que contam a histria do fato:

Quando? Como? Porque? Onde?
Normas e Procedimentos
Definies
Anlise Forense Computacional
Supre as necessidades das instituies legais para manipulao de evidncias eletrnicas; Estuda a aquisio, preservao, identificao, extrao, recuperao e anlise de dados em formato eletrnico; Produz informaes diretas e no interpretativas.
Definies
Computao Forense a cincia que trata do exame, anlise e investigao de um incidente computacional, ou seja, que envolvam a computao como meio, sob a tica forense, sendo ela cvel ou penal. Na criminalstica a Computao Forense trata o incidente computacional na esfera penal, determinando causas, meios, autoria e conseqncias
Definies
Permite o rastreamento, identificao e comprovao da autoria de aes no autorizadas Auxilia em investigaes que apuram desde violaes de normas internas a crimes eletrnicos.
Definies
Anlise Forense Computacional :: Aspectos Legais
Enquanto no existe uma padronizao das metolodologias de anlise forense, feito um paralelo com mtodos tradicionais, a fim de se garantir o valor judicial de uma prova eletrnica; fundamental ao perito a compreenso do Cdigo de Processo Penal !Cap"tulo ## $o Exame do Corpo de $elito, e das Per"cias em %eral&'
Definies
(rtigo )*+, "Nas percias de laboratrio, os peritos guardaro material suficiente para a eventualidade de nova percia. Sempre que conveniente, os laudos sero ilustrados com provas fotogrficas, ou microfotogrficas, desenhos ou esquemas' (rtigo )*), "Nos crimes cometidos com destrui o ou rompimento de obstculo a subtra o da coisa, ou por meio de escalada, os peritos, alm de descrever os vestgios, indicaro com que instrumentos, por que meios e em que poca presumem ter sido o fato praticado"'
Definies
Adaptao das normas da percia convencional (Cdigo de Processo Penal);
Exemplo: Os peritos devero guardar material suficiente para nova percia (do Cdigo de Processo Penal - Artigo 17 ! Entende!se "#e deve!se $a%er cpias com assinat#ras digitais para an&lise $#t#ra
Primeiros Registros
Fraudes na contabilidade bancria, cometidas por funcionrios responsveis pela rea de informtica da instituio; Fraudes contra o governo; Fraudes contra o usurio.
Em Crime by computer, o autor Donn B. Parker cita o primeiro caso que se teve notcia nos EUA, mais precisamente no estado de Minnesota, noticiado atravs do Minneapolis Tribune do dia 18 de outubro de 1966, sob o ttulo "PERITO EM COMPUTADOR ACUSADO DE FALSIFICAR SEU SALDO BANCRIO"
Necessidade de Percia
O Gartner Group, estima que os PHISHING SCAMS, custaram 1,2 bilho de dlares s administradoras de carto de crdito e bancos americanos em 2007; Diz tambm que cerca de 57 milhes de americanos estiveram sujeitos a este tipo de fraude online no mesmo ano.
Resultados (Operaes PF
CAVALO-DE-TRIA Novembro/2003
CAVALO-DE-TRIA II Outubro/2004
Par, Maranho, Teresina e Cear. 54 prises Par, Maranho, Tocantins e Cear. 77 prises Rio Grande do Sul 8 Prises
MATRIX Maro/2005
ANJO DA GUARDA I Julho/2005
ANJO DA GUARDA II Agosto /2005
Buscas em 8 Estados Priso em Volta Redonda-RJ Cumprimento de prises em PR, SP, MA 127 Prises em Gois, Tocantins, Par, ES, SP e MG
PEGASUS - setembro/2005
Resultados (Operaes PF

GALCTICOS agosto/06
Cerca de 65 prises / Imperatriz/MA
REPLICANTE setembro/06 CTRL ALT DEL dezembro/06
Cerca de 60 prises / Goinia/GO Cerca 39 prises no Par
CARROSSEL - dezembro 07 ao contra a pedofilia

Cerca de 14 estados no BR e 78 pases
Onde ! Necess"rio#

Defacements com violao de dados de sites; Defacements com difamao em sites; Ataques a servidores; E-mails falsos; Roubo de dados (usando phishing scam p.ex.); Difamao; Ameaas; Retiradas e transferncias de contas bancrias; Investigaes sobre pedofilia; Investigaes sobre crimes comuns com indcios de provas em computadores e/ou mdias. Etc etc etc...
Caractersticas do Perito
-ecessidade de profundos con.ecimentos tcnicos; Con.ecimento de ferramentas espec"ficas; tica'
/ perito no um policial nem 0uiz''' -o pode se en1ol1er pessoalmente em pris2es ou 0ulgar os praticantes dos delitos desco3ertos Caso do aluno homossexual Caso da professora separada
$arefas do Perito
Preservar os dispositivos Cpia integral (e $iel) das mdias 'as( (res#mo criptogr&$ico) para garantir a integridade dos dados Preservao dos )ogs Ata *otarial (constatao escrita+ atestada por testem#n(as+ da ocorr,ncia de #m $ato)
Cuidados com a %ei (Pri&acidade

#n1aso de pri1acidade tam3m crime 4 o perito no de1e 5in1adir& sistemas ou analisar dados de um suspeito sem ordem 0udicial; 6uando se analisa ser1idores de arqui1os, antes feita uma restrio na rea de 3usca para no 1iolar a pri1acidade de inocentes; 7eguir a pol"tica de segurana 8se .ou1er9 da instituio 8con.ecida por todos os usurios9'
Recon'ecimento da (ti&idade
:egislao do Estado de 7o Paulo $ecreto n; <='++>, de )) de agosto de ?++@ (rtigo )? ! N"cleo de #ercias de $nformtica tem por atribui o reali%ar percias visando & elabora o de laudos periciais de locais e pe as envolvendo aparelhos computadori%ados, "soft'are", "hard'are" e perif(ricos, relacionados com a prtica de infra )es penais na rea de informtica'
Falta de Padronizao
(usAncia de normas possi3ilita uma margem de erro muito grande para e1idAncias desperce3idas; Procedimentos''' Berramentas''' qual de1eCpode ser utilizada legalmenteD Peritos x (d1ogados EEE
Ex.: Boaz Guttman http://www.4law.co.il
$entati&as de Padronizao
Proposed Standards for the Exchange of Digital Evidence
7cientific ForGing %roup on $igital E1idence 87F%$E9
International Principles for Computer Evidence

#nternational /rganization on $igital E1idence 8#/CE9
Estes padres foram apresentados durante a International Hi-Tech Crime and Forensics Conference (IHCFC), realizada em Londres, de 4 a 7 de outubro de 1999.
Dificuldades (tuais
/miss2es na legislao federal existente,
/3riga2es dos pro1edores e usurios Heteno de logs de acesso e dados cadastrais
Hegulamentao de funcionamento,
CI3er cafs 7alas de 3ate papo
Cooperao internacional Js 1ezes lenta e ineficiente (umento dos crimes ci3ernticos x -Kmero de Peritos (umento na capacidade de armazenamento -o1as tcnicas 8criptografiaCanti forense9
Definies
Aquisio Preservao Identificao Extrao Recuperao Anlise Apresentao (documentao)
()uisio de Dados
O que Coletar?
Mdias Hds, pendrives, cds, dvds... Dados em memria Em anlises com equipamentos ligados Dados trafegando na rede Em investigaes de trfego de informaes Tambm com equipamentos ligados Dispositivos no convencionais Cmeras digitais, culos/relgios/pulseiras... (com dispositivos de armazenamento).
()uisio de Dados
Interfaces externas (baseadas em USB e/ou firewire) so indicadas para auxiliar este processo.
()uisio de Dados
Serial ATA DriveLock DriveLock Firewire/USB DriveLock IDE
Serial ATA DriveLock DriveLock PCI/IDE
Write Protect Card Reader
O uso de bloqueadores de escrita para aquisio a partir das mdias originais fortemente recomendado
()uisio de Dados
Maletas com kits otimizados para aquisio de dados de vrias mdias esto disponveis.
()uisio (Remota de Dados

Mdias muito grandes e/ou equipamentos de coleta limitados (ou inexistentes); Uso da rede para envio de dados; Estao pericial remota; Criptografia fundamental; Principal Dificuldade: Atestar integridade dos dados
()uisio de Dados
Dados armazenados fora dos equipamentos
Sistemas de arquivos remotos; Backups em provedores de contedo; Servidores corporativos externos; Datacenters internacionais.
Necessria a Interveno do Juiz (Ordem Judicial)
Preser&ao de Dados
Como manipular dados sem alterar o seu contedo original?
Preser&ao de Dados
A alterao de dados pode ser comparada a alterao da cena de um crime no mundo real.
Preser&ao de Dados
Garantir bloqueio de dados antes da cpia = Impedir alterao da mdia original durante os procedimentos de aquisio; Somente depois da cpia fiel dos dados (atestado por peritos e testemunhas) a mdia original pode ser dispensada. Perito Oficial (f pblica); Perito Convidado (necessidade de testemunhas).
*dentificao de Dados
Todo o material apreendido para anlise deve ser detalhadamente relacionado em um documento (Cadeia de Custdia); O uso de assinaturas hash (MD5/SHA1/SHA256) fundamental para garantir que os dados coletados e armazenados como prova no sero modificados futuramente.
+xtrao,Recuperao de Dados
Aps a coleta, a manipulao dos dados das mdias pode ser feita pelo prprio perito ou posteriormente por outro (inclusive por um perito contratado por advogados que contestaram os laudos); Extrao o processo de retirar das mdias periciadas as informaes disponveis; Recuperao o processo de buscar dados removidos total ou parcialmente, propositalmente ou no.
(n"lise de +&id-ncias
uma das fases mais demoradas, onde o perito utiliza ferramentas e tcnicas para extrair informaes das mdias periciadas; Esta fase exige cuidado especial em proporo igual ao volume de dados analisados, j que nem sempre as evidncias so explcitas (nomes e formatos de arquivos p.ex.).
(presentao de Resultados
(Laudos Periciais)
Esta fase tecnicamente chamada de "substanciao da evidncia", pois nela consiste o enquadramento das evidncias dentro do formato jurdico, sendo inseridas, pelo juiz ou pelos advogados, na esfera civil ou criminal ou mesmo em ambas; Deve representar as concluses do perito em linguagem clara para apresentao em julgamentos (ou com dados tcnicos comentados).
(presentao de Resultados
(Laudos Periciais)
Os Laudos devem conter: Finalidade da Investigao; Autor(es) do Laudo (peritos envolvidos); Resumo do caso/incidente; Relao de evidncias analisadas e seus detalhes; Concluso; Anexos; Glossrio. Metodologia / tcnicas / softwares utilizados.
Resumindo...
*magens para Percia

Aquisio de uma imagem de um HD , em muitos casos, o ponto de partida de uma investigao; A tcnica conhecida como "dead analysis" determina que o HD a ser analisado deve ser clonado bit a bit e qualquer anlise deve ser feita nessa cpia, de forma a manter o HD ntegro; A imagem deve copiar todos os dados do HD, incluindo as partes no utilizadas.
*magens para Percia

O que utilizar ?
Existem vrias ferramentas para esta tarefa; A maioria implementa o mesmo formato (raw); Esse , literalmente, uma cpia fiel do HD; Formato gerado pela ferramenda dd (padro); Entretanto no o nico formato disponvel.
*magens para Percia

Imagens RAW
Pontos Positivos:
Formato facilmente montvel; Independe de ferramentas especficas; Muitas ferramentas disponveis, tanto para linha de comando (CLI) quanto para interface grfica (GUI); Disponvel em utilitrios tanto para Linux quanto para Windows; possvel montar imagens raw de HDs no WIndows usando produtos free, permitindo uma srie de anlises especficas atravs de utilitrios que s existem em Windows; Muito til em anlises de malware.
*magens para Percia

Imagens RAW
Pontos Negativos:
No possui compactao Os arquivos raw so muito grandes; Caso sejam compactados por algum utilitrio de compactao (zip, gzip, tar, etc), eles no podero ser montados dessa forma, requerendo que sejam descompactados antes de serem montados e usados. No possvel adicionar dados da investigao ao arquivo raw. Todas as informaes relativas ao caso ou ao arquivo devem ser armazenadas parte, em outros arquivos/dispositivos; No monta facilmente se estiver dividido. Para se montar uma imagem de 80Gb dividida em 10 pedaos de 8Gb, os pedaos precisam ser concatenados antes e somente aps isso podem ser montados. Algumas operaes so mais lentas devido ao grande tamanho.
*magens para Percia

Outros Tipos de Imagens
Expert Witness (E01)
Propietrio do Encase Permite compactao (sem perda)
SGZIP
Utilizado pelo pyFlag (baseado no gzip) Compactado mas com possibilidade de montagem e pesquisa interna Cdigo-fonte aberto No monta em Windows ( necessrio converter para raw antes disso)
Advanced Forensic Format (AFF)

Tentativa de padronizao e soluo de problemas dos anteriores Usa compactao, tratamento de erros e oferece bibliotecas para adaptao Em fase de testes mas com forte tendncia de consolidao.
Ferramentas
Freeware Shareware (limitaes !!??) Comerciais ($$$ !!??) Pirataria (tica !!?? fundamento bsico)
Ferramentas /indo0s
Criado em 1996 por Mark Russinovich and Bryce Cogswell Comprada pela Microsoft em Julho/2006 Ferramentas avanadas para manipulao e coleta de informaes de sistemas Windows Foruns permanentes para tirar dvidas e compartilhar informaes sobre as ferramentas.
http://live.sysinternals.com http://technet.microsoft.com/en-us/sysinternals/default.aspx
Fr e
Windows Sysinternals
ew ar e
Ferramentas /indo0s
Principais Ferramentas
Process Explorer Process Monitor Autoruns RootkitRevealer TcpView BgInfo Strings
Ferramentas /indo0s
Process Explorer
Lista detalhada de processos em execuo (e DLLs)
http://download.sysinternals.com/Files/ProcessExplorer.zip
Ferramentas /indo0s
Process Explorer
Ferramentas /indo0s
Process Monitor
http://download.sysinternals.com/Files/ProcessMonitor.zip
Ferramentas /indo0s
Autoruns
Ferramentas /indo0s
RootkitRevealer
Ferramentas /indo0s
TcpView
Ferramentas /indo0s
BgInfo
Ferramentas /indo0s
BgInfo
Ferramentas /indo0s
Duplicao Pericial :: Hiren's
Norton Ghost Acronis True Image Drive SnapShot
Ghost Image Explorer DriveImage Explorer
Ferramentas /indo0s
Recuperao de Arquivos Apagados
Active Partition Recovery Active Uneraser Ontrack Easy Recovery Pro Winternals Disk Commander Lost & Found Prosoft Media Tools Active Undelete Restoration GetDataBack for FAT GetDataBack for NTFS Recuva
Ferramentas /indo0s
Duplicao Pericial
Norton Ghost ??
Imagem .GHO e .GHS (formatos propietrios) Imagem .VMDK (Vmware)
Image Center (Drive Image) ??

Imagem .PQI (formato propietrio)
Acronis True Image ??

Imagem .TIB (formato propietrio)
Drive Snapshot ??
Imagem .SNA (formato propietrio)
dd (for Windows)
Imagem .RAW (mais indicado !!!)
Ferramentas /indo0s
Duplicao Pericial :: dd (for Windows)
http://www.chrysocome.net/dd dd --list
Lista as parties (origens)
dd if=origem of=destino
Ferramentas /indo0s
EnCase
Desenvolvido pela Guidance Software http://www.guidancesoftware.com Verses Enterprise e Forensic Edition + Verso de uso restrito (Policy Enforcement) Ferramenta Comercial Mais Conhecida e Recomendada para Anlise Forense a partir de Mquinas Windows Relatrios Detalhados, Linguagem de Script (EnScript) EnCase Neutrino (Mobile Devices)
Ferramentas /indo0s
EnCase Forensic Edition
$ela Principal (*dentificao de Componentes
Ferramentas /indo0s
Criao de Filtros com a %inguagem de Programao +n1cript
Ferramentas /indo0s
[LinEn] Ferramenta de Aquisio de Dados para Linux
Ferramentas /indo0s
Suporte a Unicode = Exi io de Dados em !"rias L#n$uas
Ferramentas /indo0s
Suporte a %"rios sistemas de arqui%os como o &FS ('()*A'+)
Ferramentas /indo0s
!isua,i-ao de E.mai,s ()ensa$ens e Anexos)
Ferramentas /indo0s
!isua,i-ao de /a ea,0os de E.mai,s
Ferramentas /indo0s
!isua,i-ao Deta,0ada de Anexos de E.mai,s
Ferramentas /indo0s
1ist2rico ('nternet 1istor3) com suporte para 'nternet Exp,orer4 )o-i,,a4 5pera e )acintos0*Sa6ari7
Ferramentas /indo0s
8e /ac0e com suporte para 'nternet Exp,orer4 )o-i,,a4 5pera e )acintos0*Sa6ari7
Ferramentas /indo0s
FTK :: Forensic ToolKit
Desenvolvido pela Access Data http://www.accessdata.com Concorrente do EnCase Mais fcil de operar... Menos Recursos Comercial... Porm, mais barato FTK Mobile Phone Examiner
Ferramentas /indo0s
Ferramentas /indo0s
Ferramentas /indo0s
Ferramentas /indo0s
Ferramentas /indo0s
Ferramentas /indo0s
Ferramentas /indo0s
Ferramentas /indo0s
Ferramentas /indo0s
Ferramentas /indo0s
Ferramentas /indo0s
Ferramentas /indo0s
Ferramentas /indo0s
Ferramentas 2nix,%inux
strings
Ferramentas 9ati%as
Extrai mensagens de texto (strings) de arquivos; Pode ser utilizada em arquivos comuns ou dispositivos
grep
Procura por padres em arquivos; Utilizado como filtro por vrios comandos no Linux.
$ile
Identifica o tipo de arquivo (independente de extenses)
Coleta de in$orma-es vol&teis
Conex-es .CP # netstat natp | tee conexoes.tcp Conexes 2DP # netstat naup | tee conexoes.udp Processos em +xecuo # ps aux | tee processos
Aquisio (/o,eta de E%id:ncias)
.r&$ego para determinado endereo:
# tcpdump -n -vv -X -s 1518 host <endereo> -w trafego.dump
O trfego pode ser remontado posteriormente utilizando-se um analisador de pacotes como o Wireshark Ar"#ivos A/ertos e 0elacionamentos com Processos # lsof | tee arqu vos
1n$orma-es so/re porta espec$ica (.CP) # fuser !v <porta>"tcp > porta.tcp 1n$orma-es so/re porta espec$ica (23P) # fuser !v <porta>"udp > porta.udp 4d#los Ativos # lsmod | tee !a modulos. nfo # cat "proc"modules | tee !a modulos. nfo
Percia com Estao Pericial Remota
Uso do Netcat (nc) Envio de informaes para a mquina remota:
# cat <arquivo> | nc <mquina remota> <porta remota>
Recebimento de dados da mquina periciada:

# nc l p <porta> | tee <arquivo>
Imagem fsica e imagem lgica

Um dispositivo de armazenamento ou mdia (HD, CD, pendrive...) possui uma tabela interna que indica como o dispositivo est dividido nas parties; CDs e pendrives, na maioria das vezes, possuem apenas uma partio; HDs, porm, comumente so particionados de forma a organizar melhor o armazenamento de arquivos. Uma imagem lgica uma imagem forense de uma partio apenas. Uma imagem fsica contm todas as parties do dispositivo mais a tabela de parties. Por exemplo, se temos um HD com 3 parties em uma mquina com Linux, carregando esse HD como um dispositivo (device) hda, teramos:
Imagem fsica => /dev/hda Imagem lgica => /dev/hda1, /dev/hda2 ou /dev/hda3
Gerao de Imagem Pericial

Uso do dd Gerao da Imagem:
# dd f#"dev"hda1 of# magem.dd
Montando uma imagem:

# mount < magem> <dest no> -o ro$loop
Gerao de Imagem Pericial Remotamente

Uso do dd + ssh Gerando uma Imagem de forma segura (criptografia):
# dd f#"dev"hd%& | ssh usuar o'estacaoper c al
dd of# magem. mg
'denti6icao (Assinatura de Arqui%os) Identificao da Imagem Pericial

Verificando Imagem (integridade):
# dd # dd f#"dev"hda1 | md5sum !% f# magem.dd | md5sum !% deve ser ig#al a
Aps a gerao de uma imagem pericial deve-se sempre aplicar o hash md5 (ou sha1) e anotar a assinatura digital. Isso pode ser feito com os comandos md5sum / sha1sum
Informaes Complementares
Apesar de ser a maneira mais simples, o utilitrio dd no oferece algumas funcionalidades importantes; O dd_rescue serve para realizar aquisies de mdias com problemas (em algumas situae o dd interrompido ao encontrar erros na mdia); O sdd realiza aquisies mais rpido do que o dd, quando o tamanho de bloco dos devices de origem e destino so diferentes; O dcfldd possui um log de toda a operao, faz diviso da imagem (split) e permite verificar diretamente a integridade da operao atravs de vrios algoritmos de hash; O rdd foi desenvolvido pelo Netherlands Forensic Institute (NFI) e sua documentao indica que ele bem mais robusto em relao a tratamento de erros, diviso de arquivos (split) e hash.
Informaes Complementares
As interfaces grficas so, em sua maioria, mscaras para as ferramentas em linha de comando. O usurio indica as opes da aquisio, que so passadas para um dos utilitrios em linha de comando. O Adepto, oferece log sobre toda a operao e a possibilidade de se escolher entre usar o dcfldd (formato raw) ou ainda o AFF, para o formato Advanced Forensic Format. Na interface tambm indicamos qual algoritmo de hash ser usado para validar a operao e se queremos dividir o arquivo da imagem em pores menores (split). Ele permite tambm fazer a aquisio tendo como destino um dispositivo montado (local), um dispositivo SMB (Samba ou mesmo um compartilhamento Windows) ou ento via netcat. O Air, presente no Helix, no to completo quanto o Adepto em termos de log, e oferece captar a imagem atravs do dd ou do dcfldd. possvel determinar o algoritmo de hash (md5 e SHA-1) e enviar a imagem capturada atravs da rede com netcat ou cryptcat (netcat encriptado).
Origem
6 de agosto de 1999; Dan Farmer and Wietse Venema; IBM T.J. Watson Research Center; Apresentaram a palestra:
A%a,iao (An",ise ;Post.)ortem<)
UNIX Computer Forensics Analysis, promovida pela IBM. Primeira ferramenta The Coroner's Toolkit (TCT)
TCT :: The Coroner's Toolkit
Coleo de scripts Perl Ferramentas mais conhecidas:
( grave-robber: captura de informaes ( ils / mactime: informaes sobre acesso a arquivos ( findkey: recuperao de chaves criptogrficas ( unrm / lazarus: recuperao de arquivos apagados
Uso do TCT em recuperao de dados apagados: unrm + lazarus
Visualizao via browser Identificao de tipo (provvel) de dado recuperado baseado em legenda
Coleta de dados (varredura de reas apagadas) unrm /dev/hdb1 >> imagem.out Gerao de cdigo HTML para anlise lazarus h ! . " . w . imagem.out
h cr a um documento )*+, -v sual .ado por qualquer browser); ! #dir> d rec ona a escr ta dos %locos para um d ret/r o espec0f co1 " #dir> d rec ona os pr nc pa s arqu vos )*+, para um d ret/r o espec0f co1 w #dir> d rec ona outras sa0das )*+, para um d ret/r o espec0f co.
Limitaes : Tipo de Partio Investigada
No reconhece parties NTFS, FAT e EXT3
Interface Pouco Amigvel Necessrio conhecimento de legendas Ausncia de mecanismo de catalogao de percias realizadas Framework ???
Sleuth Kit
Coleo de ferramentas para anlise de sistemas
Capaz de analisar sistemas de arquivos NTFS, FAT, UFS,

EXT2 e EXT3
Brian Carrier 2002 Inicialmente chamado T@SK - The @stake Sleuth Kit Baseado no TCT
Brian Carrier desenvolveu, antes do T@SK um conjunto de ferramentas que utilizam funes e estruturas do TCT provendo funcionalidades extras. A estas ferramentas deu o nome de TCTUTILS
The Autopsy Forensic Browser
Interface grfica (escrita em Perl) para o Sleuth Kit
Baseada em HTML, semelhante a um gerenciador de arquivos Permite analisar arquivos, diretrios, blocos de dados e i-nodes (alocados ou apagados) em uma imagem de sistema de arquivos ou em um arquivo gerado pelo dls. Permite a busca por palavras-chave ou expresses regulares.
Pode ser executado diretamente no sistema comprometido

(ideal em casos onde no possvel extrair imagens do sistema de arquivos)
Monta um framework com possibilidade de armazenamento de casos (Cases) periciais para eventual anlise posterior. Individualiza os investigadores de um mesmo caso
(usando a mesma estao pericial)
root$estacaopericial:%# autops& ' (1) 1*+, root$estacaopericial:%# ---------------------------------------------------------------------------.utops& /orensic 0rowser http://www.sleuth1it.org/autops&/ ver 1.+2 ---------------------------------------------------------------------------3vidence 4oc1er: /var/lib/autops&/ 5tart 6ime: 5at 5ep *, *7:27:89 8**, :emote "ost: localhost 4ocal ;ort: 7777 <pen an "6=4 browser on the remote host and paste this >:4 in it: http://localhost:7777/?,?,9,89*,8??@+,1,?+/autops&
Aeep this process running and use #ctrl c> to exit
=e,a 'nicia,
>a,eria de ;/ases< (/ase >a,,er3)
>a,eria de ;1osts< (1ost >a,,er3)
>erenciador de ;1osts< (1ost )ana$er)
/riando um 9o%o ?/ase?
Adicionando uma 9o%a 'ma$em
Estudo de /aso (Scan do ):s @A BB CD*@DD@) Desafio:
1. Buem sCo os fornecedores de maconha de Doe Dacobs e Eual o endereFo informado pelo fornecedorG 8. Bue dados cruciais estCo disponHveis dentro do arEuivo coverpage.Ipg e porEue estes dados sCo cruciaisG ?. Buais Jse existe algumaK outras escolas alLm da 5mith "ill Doe Dacobs freEuentaG ,. ;ara cada arEuivoM Eue procedimentos foram feitos pelo suspeito para mascarN los dentro de outrosG 2. Bue procedimentos vocO JinvestigadorK utilizou para examinar com sucesso o contePdo de cada arEuivoG
www.honeynet .org
Analisar a imagem recuperada de um disquete e responder as questes propostas.
Exerc#cioB Exame de /onteEdo (Fi,e Ana,3sis)
Exerc#cioB Exame de /onteEdo do Arqui%o Apa$ado
Exerc#cioB Exame de /onteEdo do Arqui%o Sc0edu,ed !isits7exe
Exerc#cioB Exame de /onteEdo do Arqui%o Sc0edu,ed !isits7exe
.rEuivo .Q45 exportado solicitou senha
Exerc#cioB Exame de /onteEdo do Arqui%o co%erpa$e7Fp$c
Exerc#cioB Exame de /onteEdo do Arqui%o co%erpa$e7Fp$c
5enha da ;lanilha GGG . planilha contLm a lista solicitada pelo !esafio

http://www.e-fense.com/helix/
http://mirrors.cmich.edu/helix/Helix2008R1.iso
Outros Conjuntos de Ferramentas em Live-CD
Professional Hackers Linux Assault Kit (PHLAK) http://www.phla1.org Knoppix security tools distribution (Knoppix-std) http://www.1noppix std.org Penguin Sleuth Kit Bootable CD http://www.linux forensics.com Forensic and Incident Response Environment (F.I.R.E) http://fire.dmzs.com/
Outros Conjuntos de Ferramentas em Live-CD
Fdtk Ubuntu-BR http://www.fdt1.com.br
Forense Digital Toolkit Projeto livre que objetiva produzir e manter uma distribuio para coleta e anlise de dados em Percia Forense Computacional
Fdt3 24untu56R
Coleta de Dados
Formulrio --> Formulrio de Cadeia de Custdia air --> Interface grfica para dd/dcfldd, para criar facilmente imagens forense dcfldd --> Verso aprimorada pelo DOD (Departament of Defense) do dd dd --> Ferramenta para gerao de imagem dos dados ddrescue --> Recuperar dados de hds com setores defeituosos (bad blocks) sdd --> Verso da ferramenta dd para Fitas (DAT, DLT...) memdump --> Dump de memria para sistemas UNIX-like md5sum --> Gerar hash md5 sha1sum --> Gera hash sha (160bits) discover --> Informaes sobre Hardware hardinfo --> Informaes e Testes do Sistema lshw-grfico --> Lista os dispositivos de hardware em formato HTML sysinfo --> Mostra informaes do computador e do sistema wipe --> Remover totalmente os dados das Mdias
Fdt3 24untu56R
Exame de Dados (1/2)
cabextract --> Acessar contedo de arquivos .cab orange --> Ferramenta para manipular arquivos .cab p7zip --> Acessar arquivos zip unshield --> Ferramenta para descompactar arquivos CAB da MS exif --> Ler informaes EXIF de arquivos jpeg exifprobe --> Exame do contedo e da estrutura dos arquivos de JPEG e TIFF exiftags --> Adquirir informaes sobre a cmera e as imagens por ela produzidas jhead --> Visualizar e manipular os dados de cabealhos de imagens jpeg jpeginfo --> Ferramenta para coletar informaes sobre imagens jpeg antiword --> Ferramenta para ler arquivos do MS-Word dumpster --> Acessar os arquivos da lixeira do Windows readpst --> Ferramenta para ler arquivos do MS-Outlook reglookup --> Utilitrio para leitura e resgate de dados do registro do Windows regp --> Acessar o contedo de arquivos .dat
Fdt3 24untu56R
Exame de Dados (2/2)
gnome-search-tool --> Ferramenta grfica de localizao de arquivos slocate --> Localiza arquivos e indexa os disco ntfscat --> Concatena arquivos e visualiza-os sem montar a partio NTFS ntfsclone --> Clonar um sistema de arquivos NTFS ou somente parte dele ntfsinfo --> Obter informaes sobre parties NTFS ntfsls --> Lista o contedo de diretrios em parties NTFS sem mont-los atback --> Ferramenta para recuperar dados de sistemas de arquivos FAT foremost --> Ferramenta para recuperao de imagens a partir dos cabealhos gzrecover --> Ferramenta para extrair dados de arquivos gzip corrompidos ntfsundelete --> Recuperar arquivos deletados em parties NTFS recoverjpg --> Ferramenta para recuperar imagens jpg scrounge-ntfs --> Ferramenta para recuperar dados de parties NTFS chkrookit --> Ferramenta para identificar a presena de rootkits no sistema rkhunter --> Ferramenta para identificar a presena de rootkits no sistema imageindex --> Gera galeria de imagens em html
7uestionamentos

Pericia Digital

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Pericia Digital

Enviado por

Direitos autorais:

Formatos disponíveis

SegInfo 2009 :: IV Workshop de Segurana da Informao

21, 23, 24 e 25 de Julho de 2009 Unirio :: Rio de Janeiro/RJ

Percia Forense Computacional

Percia Forense Computacional :: Ricardo Klber (www.ricardokleber.com.br)

Levantar evidncias que contam a histria do fato:

Percia Forense Computacional :: Ricardo Klber (www.ricardokleber.com.br)

Percia Forense Computacional :: Ricardo Klber (www.ricardokleber.com.br)

Percia Forense Computacional :: Ricardo Klber (www.ricardokleber.com.br)

Percia Forense Computacional :: Ricardo Klber (www.ricardokleber.com.br)

Percia Forense Computacional :: Ricardo Klber (www.ricardokleber.com.br)

Percia Forense Computacional :: Ricardo Klber (www.ricardokleber.com.br)

Percia Forense Computacional :: Ricardo Klber (www.ricardokleber.com.br)

Percia Forense Computacional :: Ricardo Klber (www.ricardokleber.com.br)

Percia Forense Computacional :: Ricardo Klber (www.ricardokleber.com.br)

ANJO DA GUARDA I Julho/2005

ANJO DA GUARDA II Agosto /2005

Percia Forense Computacional :: Ricardo Klber (www.ricardokleber.com.br)

REPLICANTE setembro/06 CTRL ALT DEL dezembro/06

Cerca de 60 prises / Goinia/GO Cerca 39 prises no Par

CARROSSEL - dezembro 07 ao contra a pedofilia

Percia Forense Computacional :: Ricardo Klber (www.ricardokleber.com.br)

Percia Forense Computacional :: Ricardo Klber (www.ricardokleber.com.br)

Percia Forense Computacional :: Ricardo Klber (www.ricardokleber.com.br)

Percia Forense Computacional :: Ricardo Klber (www.ricardokleber.com.br)

Cuidados com a %ei (Pri&acidade

Percia Forense Computacional :: Ricardo Klber (www.ricardokleber.com.br)

Percia Forense Computacional :: Ricardo Klber (www.ricardokleber.com.br)

Ex.: Boaz Guttman http://www.4law.co.il

Percia Forense Computacional :: Ricardo Klber (www.ricardokleber.com.br)

International Principles for Computer Evidence

Percia Forense Computacional :: Ricardo Klber (www.ricardokleber.com.br)

Percia Forense Computacional :: Ricardo Klber (www.ricardokleber.com.br)

Percia Forense Computacional :: Ricardo Klber (www.ricardokleber.com.br)

Serial ATA DriveLock DriveLock PCI/IDE

Write Protect Card Reader

Percia Forense Computacional :: Ricardo Klber (www.ricardokleber.com.br)

()uisio (Remota de Dados

Percia Forense Computacional :: Ricardo Klber (www.ricardokleber.com.br)

Necessria a Interveno do Juiz (Ordem Judicial)

Percia Forense Computacional :: Ricardo Klber (www.ricardokleber.com.br)

Percia Forense Computacional :: Ricardo Klber (www.ricardokleber.com.br)

Percia Forense Computacional :: Ricardo Klber (www.ricardokleber.com.br)

Percia Forense Computacional :: Ricardo Klber (www.ricardokleber.com.br)

Percia Forense Computacional :: Ricardo Klber (www.ricardokleber.com.br)

Percia Forense Computacional :: Ricardo Klber (www.ricardokleber.com.br)

Percia Forense Computacional :: Ricardo Klber (www.ricardokleber.com.br)

Percia Forense Computacional :: Ricardo Klber (www.ricardokleber.com.br)

Percia Forense Computacional :: Ricardo Klber (www.ricardokleber.com.br)

Percia Forense Computacional :: Ricardo Klber (www.ricardokleber.com.br)

*magens para Percia

Percia Forense Computacional :: Ricardo Klber (www.ricardokleber.com.br)

*magens para Percia

Percia Forense Computacional :: Ricardo Klber (www.ricardokleber.com.br)

*magens para Percia

Percia Forense Computacional :: Ricardo Klber (www.ricardokleber.com.br)

*magens para Percia

*magens para Percia

Advanced Forensic Format (AFF)

Percia Forense Computacional :: Ricardo Klber (www.ricardokleber.com.br)

Percia Forense Computacional :: Ricardo Klber (www.ricardokleber.com.br)

Percia Forense Computacional :: Ricardo Klber (www.ricardokleber.com.br)

Percia Forense Computacional :: Ricardo Klber (www.ricardokleber.com.br)

Percia Forense Computacional :: Ricardo Klber (www.ricardokleber.com.br)

Percia Forense Computacional :: Ricardo Klber (www.ricardokleber.com.br)