Pgina4

5.Dumpdememria
5.1KernelLinuxanteriora2.6.27
Kernelsemrestriodeacessomemria.Executar:
#ddif=/dev/memof=/mnt/memoria.dd

5.2KernelLinux2.6.27ouposterior
Kernelcomrestriodeacessomemria
(CONFIG_STRICT_DEVMEM).

Compilareinstalaromdulofmem,disponvelem
http://hysteria.sk/~niekt0/foriana.

Executar:
#ddif=/dev/fmemof=/mnt/memoria.dd

5.3MquinavirtualXen
Executarnamquinareal(Dom0):
#xmdumpcore<resource>memoria.dd

6.Imagemdamdiaaserpericiada
ATENO:deverhaverduastestemunhas
durantetodooprocesso,inclusivenomomentoda
aberturadamquinacomHDaserpericiado.

AdicionarHDdemaiorcapacidadedoqueodamdiaa
serpericiada.

InicializaramquinaaserpericiadacomumliveCDou
pendrivecomferramentasforense(vejaalgumasopes
nositehttp://eriberto.pro.br/forense).

MontarapartiodoHDadicionalem/mnt.NO
montequalquerpartiodamdiaaserpericiada.

Comocomandoddoucomdcfldd,criaraimageme,
depois,calculardoishashesdaimagem,sendoum,
obrigatoriamente,dotipoSHA2.

Umexemplodesintaxedodd,considerandoamdiaa
serpericiadacomosendooHDSATA/dev/sda:
#ddif=/dev/sdaof=/mnt/sda.dd
#md5sum/mnt/sda.dd>/mnt/sda.dd.md5
#sha256sum/mnt/sda.dd>/mnt/sda.dd.sha256

Pgina5

Prefiradcfldd(maisrpidoemostraandamento):
#dcflddif=/dev/sdaof=/mnt/sda.ddhash=md5,sha256
md5log=/mnt/sda.dd.md5sha256log=/mnt/sda.dd.sha256

Nocasodemdiasdanificadas(badblocks,CDscom
defeitoetc),utilizerdd,ddrescueougddrescue.

"Guiaderefernciarpida"

7.Procedimentosfinais
Lacraroamdiaoriginalnapresenadeduas
testemunhas,utilizandolacresnumerados.

Gerarumcertificadodeintegridade,emtrsvias,
referentesmdias(incluindomemria),comosdados:

nomeeCPFdoperitoedastestemunhas;
nmerodesriedosdiscosependrivesaserem
(colheremetiquetasounolog/var/log/syslog);

hashesobtidos(incluindomemria,seforocaso);
nmerosdoslacres;

percia Linux COM

Debian GNU/Linux
Parte1:

Procedimentosiniciaisecoletas
Verso1.103desetembrode2010

fotodamdialacrada;
assinaturadoperitoedastestemunhas.

Enviarasmdiaslacradaseduasviasdocertificadode
integridadeparaaautoridadeoupessoainteressada.

Capturardadosgeraisdamquinacomlshwehwinfo.

8.Cuidadosextrascomasimagens
Casohajaanecessidadedemontaralgumaimagem,
faaosomentenomodoreadonly.

Sempretrabalheemumacpiadecadaimagem.

9.Coletadedadosviarede
Algumasvezessernecessrioenviardadosparaoutra
mquina,viarede.Umexemplodissoumamquina
virtualsemacessoapendrive.Utilizenetcat.Umexemplode
coletadoresultadodocomandofreeviarede:

Mquinadestino:
Mquinapericiada:

#nclp53000>free
#freem|nc<ip_dest>53000

2010byJooEribertoMotaFilho
http://www.eriberto.pro.br/forense
eriberto@eriberto.pro.br
2048R/2DF0491F:1D75E212B34CF4BFA9E0D0D8DE6DE039C1CFC265

Pgina1

1.Prembulo
Esteguiaderefernciafoicriadocomointuitodeservir
comoorientaoechecklistparaprofissionaisquerealizam
perciasforensescomputacionais.

Pgina2

4.Medidasiniciaisnasforenses
(somenteparamquinasvivas)

Aseguir,seromostradasasmedidasiniciais,aserem
adotadasporperitosforenses,aotomaroprimeirocontato
comamquinacomprometida,casoamesmaaindaesteja
Assim,estedocumentoresumeecomplementaapalestra
ligada.Todososprocedimentosdeveroserrealizados
ForensecomputacionalemLinuxfordummies,disponvel
emhttp://www.eriberto.pro.br/palestraseoartigodewiki napresenadeduastestemunhas.
Forensecomputacional,disponvelnoendereo
Inserirumamdiaexterna(pendriveouHD)demaior
http://www.eriberto.pro.br/forense.
capacidadedoqueamemriaRAMparacolherdados.

2.Orientaesaosgerentesderedeem
casosdeinvaso
Aodetectarumainvaso,noemitacomandosna
mquinacomprometida.

Desconecteimediatamenteocaboderede.
NUNCAdesligueamquinaseoatacantenootiver
feitoremotamente.

Noligueamquina,casotenhacertezadainvasoea
mesmaestejadesligada.Seligoudoamquinae
detectouainvaso,noadesligueenomexamais.

Chameimediatamenteumperitoforense.
Acompanheotrabalhodoperito.

3.Orientaessautoridadesao
apreendermquinassuspeitas
Seamquinaestiverligadanomomentodoflagrantee
houverpossibilidade,chameumperitoforensepara
realizarumdumpdememria.Issoajudarmuitonas
investigaes,poishdadospreciososnamemria,
incluindosenhas.

Pararemoveramquinadolocal,lacreamesma,dentro
deumacaixaousacoapropriado,napresenadeduas
testemunhas.Utilizelacresconfiveis,segurose
numerados.

Logarcomorootnamquinacomprometidaemontaro
dispositivoUSBem/mnt,porexemplo.

Executar,deimediato,umdumpdememria,gravando
onamdiaexterna(vejaoitem5.Dumpdememria).
Estatemqueseraprimeiraao.

Colherosseguintesdados:
Osusurioslogadosnomomento:
#w>/mnt/w

Histricodecomandosnamemria:
#history>/mnt/history

Situaodeusodememria:
#freem>/mnt/free

Relaodeprocessosativos:
#psaux>/mnt/ps

Listadepossveisprocessosocultos*:
#unhideproc>/mnt/unhide.proc
#unhidesys>/mnt/unhide.sys
#unhidebrute>/mnt/unhide.brute

Listadepossveisportasderedeocultas*:
#unhidetcp>/mnt/unhide.tcp

Tempodevidadamquina:
#uptime>/mnt/uptime

*Somenteseessescomandosestiveremdisponveis.Nunca
instalenadaemumamquinaviva.

Pgina3

Conexeseportasderedeabertas:
#netstattunap>/mnt/netstat

Relaodepacotesinstalados(Debianederivados):
#COLUMNS=110dpkgl>/mnt/pacotes

Relaodepacotesinstalados(RedHatederivados):
#rpmqa>/mnt/pacotes

Dataehoradamquina,tomandoocuidadodeanotara
horadoseurelgioparacomparaofutura:

#date>/mnt/date

Adefasagemdehorriodeverconstarnolaudo.

Utilizaodediscos:
#dfhT>/mnt/df

Detalhessobredispositivosmontados:
#mount>/mnt/mount

Esquemadeparticionamentodosdiscos:
#fdiskl>/mnt/fdisk

Kernelutilizado:
#unamea>/mnt/uname

Dadosbsicosderede:
#ifconfig>/mnt/ifconfig

Rotasderede:
#routen>/mnt/route

Mdulosdekernelcarregados:
#lsmod>/mnt/lsmod

Depoisdecolherosdados:
Desmontareremoverodispositivoexterno,verificando,
emoutramquina,seosdadosforamgravados.

Desligaramquina,puxandoocabodatomada.
Emoutramquina,calculardoisoumaishashesda

imagem,sendoum,obrigatoriamente,dotipoSHA2.As
duastestemunhasdeveroestaratentasaestepasso.

#md5summemoria.dd>memoria.dd.md5
#sha256summemoria.dd>memoria.dd.sha256

Mostreoshashesobtidosstestemunhas(antesde
calcular,expliqueedemonstreaelasoquehash).