Escolar Documentos
Profissional Documentos
Cultura Documentos
Guia Forense 1.1 Parte 1
Guia Forense 1.1 Parte 1
5.Dumpdememria
5.1KernelLinuxanteriora2.6.27
Kernelsemrestriodeacessomemria.Executar:
#ddif=/dev/memof=/mnt/memoria.dd
5.2KernelLinux2.6.27ouposterior
Kernelcomrestriodeacessomemria
(CONFIG_STRICT_DEVMEM).
Compilareinstalaromdulofmem,disponvelem
http://hysteria.sk/~niekt0/foriana.
Executar:
#ddif=/dev/fmemof=/mnt/memoria.dd
5.3MquinavirtualXen
Executarnamquinareal(Dom0):
#xmdumpcore<resource>memoria.dd
6.Imagemdamdiaaserpericiada
ATENO:deverhaverduastestemunhas
durantetodooprocesso,inclusivenomomentoda
aberturadamquinacomHDaserpericiado.
AdicionarHDdemaiorcapacidadedoqueodamdiaa
serpericiada.
InicializaramquinaaserpericiadacomumliveCDou
pendrivecomferramentasforense(vejaalgumasopes
nositehttp://eriberto.pro.br/forense).
MontarapartiodoHDadicionalem/mnt.NO
montequalquerpartiodamdiaaserpericiada.
Comocomandoddoucomdcfldd,criaraimageme,
depois,calculardoishashesdaimagem,sendoum,
obrigatoriamente,dotipoSHA2.
Umexemplodesintaxedodd,considerandoamdiaa
serpericiadacomosendooHDSATA/dev/sda:
#ddif=/dev/sdaof=/mnt/sda.dd
#md5sum/mnt/sda.dd>/mnt/sda.dd.md5
#sha256sum/mnt/sda.dd>/mnt/sda.dd.sha256
Pgina5
Prefiradcfldd(maisrpidoemostraandamento):
#dcflddif=/dev/sdaof=/mnt/sda.ddhash=md5,sha256
md5log=/mnt/sda.dd.md5sha256log=/mnt/sda.dd.sha256
Nocasodemdiasdanificadas(badblocks,CDscom
defeitoetc),utilizerdd,ddrescueougddrescue.
"Guiaderefernciarpida"
7.Procedimentosfinais
Lacraroamdiaoriginalnapresenadeduas
testemunhas,utilizandolacresnumerados.
Gerarumcertificadodeintegridade,emtrsvias,
referentesmdias(incluindomemria),comosdados:
nomeeCPFdoperitoedastestemunhas;
nmerodesriedosdiscosependrivesaserem
(colheremetiquetasounolog/var/log/syslog);
hashesobtidos(incluindomemria,seforocaso);
nmerosdoslacres;
Procedimentosiniciaisecoletas
Verso1.103desetembrode2010
fotodamdialacrada;
assinaturadoperitoedastestemunhas.
Enviarasmdiaslacradaseduasviasdocertificadode
integridadeparaaautoridadeoupessoainteressada.
Capturardadosgeraisdamquinacomlshwehwinfo.
8.Cuidadosextrascomasimagens
Casohajaanecessidadedemontaralgumaimagem,
faaosomentenomodoreadonly.
Sempretrabalheemumacpiadecadaimagem.
9.Coletadedadosviarede
Algumasvezessernecessrioenviardadosparaoutra
mquina,viarede.Umexemplodissoumamquina
virtualsemacessoapendrive.Utilizenetcat.Umexemplode
coletadoresultadodocomandofreeviarede:
Mquinadestino:
Mquinapericiada:
#nclp53000>free
#freem|nc<ip_dest>53000
2010byJooEribertoMotaFilho
http://www.eriberto.pro.br/forense
eriberto@eriberto.pro.br
2048R/2DF0491F:1D75E212B34CF4BFA9E0D0D8DE6DE039C1CFC265
Pgina1
1.Prembulo
Esteguiaderefernciafoicriadocomointuitodeservir
comoorientaoechecklistparaprofissionaisquerealizam
perciasforensescomputacionais.
Pgina2
4.Medidasiniciaisnasforenses
(somenteparamquinasvivas)
Aseguir,seromostradasasmedidasiniciais,aserem
adotadasporperitosforenses,aotomaroprimeirocontato
comamquinacomprometida,casoamesmaaindaesteja
Assim,estedocumentoresumeecomplementaapalestra
ligada.Todososprocedimentosdeveroserrealizados
ForensecomputacionalemLinuxfordummies,disponvel
emhttp://www.eriberto.pro.br/palestraseoartigodewiki napresenadeduastestemunhas.
Forensecomputacional,disponvelnoendereo
Inserirumamdiaexterna(pendriveouHD)demaior
http://www.eriberto.pro.br/forense.
capacidadedoqueamemriaRAMparacolherdados.
2.Orientaesaosgerentesderedeem
casosdeinvaso
Aodetectarumainvaso,noemitacomandosna
mquinacomprometida.
Desconecteimediatamenteocaboderede.
NUNCAdesligueamquinaseoatacantenootiver
feitoremotamente.
Noligueamquina,casotenhacertezadainvasoea
mesmaestejadesligada.Seligoudoamquinae
detectouainvaso,noadesligueenomexamais.
Chameimediatamenteumperitoforense.
Acompanheotrabalhodoperito.
3.Orientaessautoridadesao
apreendermquinassuspeitas
Seamquinaestiverligadanomomentodoflagrantee
houverpossibilidade,chameumperitoforensepara
realizarumdumpdememria.Issoajudarmuitonas
investigaes,poishdadospreciososnamemria,
incluindosenhas.
Pararemoveramquinadolocal,lacreamesma,dentro
deumacaixaousacoapropriado,napresenadeduas
testemunhas.Utilizelacresconfiveis,segurose
numerados.
Logarcomorootnamquinacomprometidaemontaro
dispositivoUSBem/mnt,porexemplo.
Executar,deimediato,umdumpdememria,gravando
onamdiaexterna(vejaoitem5.Dumpdememria).
Estatemqueseraprimeiraao.
Colherosseguintesdados:
Osusurioslogadosnomomento:
#w>/mnt/w
Histricodecomandosnamemria:
#history>/mnt/history
Situaodeusodememria:
#freem>/mnt/free
Relaodeprocessosativos:
#psaux>/mnt/ps
Listadepossveisprocessosocultos*:
#unhideproc>/mnt/unhide.proc
#unhidesys>/mnt/unhide.sys
#unhidebrute>/mnt/unhide.brute
Listadepossveisportasderedeocultas*:
#unhidetcp>/mnt/unhide.tcp
Tempodevidadamquina:
#uptime>/mnt/uptime
*Somenteseessescomandosestiveremdisponveis.Nunca
instalenadaemumamquinaviva.
Pgina3
Conexeseportasderedeabertas:
#netstattunap>/mnt/netstat
Relaodepacotesinstalados(Debianederivados):
#COLUMNS=110dpkgl>/mnt/pacotes
Relaodepacotesinstalados(RedHatederivados):
#rpmqa>/mnt/pacotes
Dataehoradamquina,tomandoocuidadodeanotara
horadoseurelgioparacomparaofutura:
#date>/mnt/date
Adefasagemdehorriodeverconstarnolaudo.
Utilizaodediscos:
#dfhT>/mnt/df
Detalhessobredispositivosmontados:
#mount>/mnt/mount
Esquemadeparticionamentodosdiscos:
#fdiskl>/mnt/fdisk
Kernelutilizado:
#unamea>/mnt/uname
Dadosbsicosderede:
#ifconfig>/mnt/ifconfig
Rotasderede:
#routen>/mnt/route
Mdulosdekernelcarregados:
#lsmod>/mnt/lsmod
Depoisdecolherosdados:
Desmontareremoverodispositivoexterno,verificando,
emoutramquina,seosdadosforamgravados.
Desligaramquina,puxandoocabodatomada.
Emoutramquina,calculardoisoumaishashesda
imagem,sendoum,obrigatoriamente,dotipoSHA2.As
duastestemunhasdeveroestaratentasaestepasso.
#md5summemoria.dd>memoria.dd.md5
#sha256summemoria.dd>memoria.dd.sha256
Mostreoshashesobtidosstestemunhas(antesde
calcular,expliqueedemonstreaelasoquehash).