Você está na página 1de 35

PerciaComputacional Forense:Identificandoocrime

Prof.MarcosMonteiro http://www.marcosmonteiro.com.br contato@marcosmonteiro.com.br

Apartirdaltimadcada,oscriminosos estoutilizandoos benefciosoferecidos pelatecnologiaemsuasatividadesilcitas. Entreosanosde2005e2006oCERT.br(Centro deEstudos,RespostaeTratamentodeIncidentesdeSegurananoBrasil ), registrouumaumentodemaisde190%nos incidentesdeseguranareportados.

CinciaForenseCriminal
Acinciaforensecriminaltrazaprticada investigaooquechamamosdemtodo cientifico,oumetodologiacientifica, fazendosevalerdosconhecimentosde diversostiposdecinciascomoa matemtica,qumica,fsica,biologia, medicina,engenhariaenosdiasatuaisa informtica.

ComputaoForense
Cinciaforensedestinadaapreservar, adquirir,obtereapresentardadosque foramprocessadoseletronicamentee armazenadosemdispositivode computador. FBI

EvidenciaDigital
Qualquerdadoemmeiodigitalquepossa colaborarnosentidodeprovarqueuma fraudeouirregularidadefoicometidae quepossaestabelecervinculoderelao entreafraudeouirregularidadeeavitima, eentreavitimaeoagente.

Perito
q

ACinciaForensepossuidiversasreasde atuao SegundoKRUSEIIeHEISER,a Forense Computacionalcompreendeaaquisio, preservao,identificao,extrao, restaurao,anliseedocumentaode evidnciascomputacionais,quersejam componentesfsicosoudadosqueforam eletronicamenteprocessadosearmazenados emmdiascomputacionais .

HabilidadesdeumPeritoem ComputaoForense
SeguranadaInformao RespostaaIncidentes AuditoriadeSistemas

Camposdeatuaoda ComputaoForense
SistemasOperacionais
AmbienteWindows AmbienteUnixLike

FuncionalidadedoS.O.
Computadoresdomsticosepessoais Computadorescorporativosouservidoresemgeral

Conectividade
Computadoresnorede ComputadoresemRede

Tiposderede
Maiodecabo Semfio

EtapasdeumaInvestigao

TcnicasForenses
Preparao q ChegadaaolocaldaInvestigao q ColetadosDados q ExamedosDados q AnlisedasInformaes q RedaodoLaudo
q

ChegadaaolocaldaInvestigao Isolarareaalteraoecontaminao q FotografarouFilmarprximasetapas q Registrodosdetalhesreconstruo dacena q Manteroestadodosequipamentos prioridade


q

ColetadosDados
q

Dadosvolteis
q q q q q q q

Datahora Conexesderede Memria Configuraodarede Processosemexecuo Arquivosabertos SessodeLogin.

Dadosnovolteis
q q

Log,temporriosedeconfigurao Textos,planilhas,imagens,etc

ColetadosDadoscont.
q

Formasdecoletadosdados
Cpialgica(Backup)arquivosepastas q Imagembitabit
q

ColetandodadosvolteisRootkits& alteraes q ColetandodadosnovolteisRO q IntegridadedosdadosHash


q

ExamedosDados
q

ExtraodosdadosLocalizarFiltrar ExtrairRecronstruodoseventos LocalizandoosdadosConhecimento sobreextenses elocalizao

AnlisedasInformaes
q

Aetapadeanlisedasinformaes, ocorremuitasvezes,paralelaetapa deexame Finalidadederecriaro(s)evento(s)que estosendoinvestigado(s).

RedaodoLaudo
q q

q q q q

FinalidadedorelatrioObjetivosdaInvestigao Autor(es)dorelatrioEspecialidadee responsabilidades ResumodoincidenteIncidenteesuas conseqncias EstadodasevidnciasComo,quandoeporquem DetalhesQuaisevidncias,mtodos,procedimentos ConclusoEvidnciasquecomprovem AnexosTodadocumentao.

PassoaPassoAnalisecomadistribuioLinux FDTK
Etapa DescrioTcnica Esterilizartodasasmdiasqueseroutilizadasnainvestigao Preparaoparaa investigao Certificarsedequetodasasferramentas(softwares)quesero utilizadasestodevidamentelicenciadasparaouso. Certificarsedequetodooequipamentonecessrioparaainvestigao estemordemefuncionandoplenamente Datahoradosistemaoperacional Conexesderedeativas Tabeladeroteamento MdulosdoKernelcarregados Configuraoderede Processosemexecuo Arquivosabertos ColetadosDados Sistemasdearquivosmontados Coletadeinformaesdoequipamento Aimagemdasmidiasouimagem bitabit dosdadosdasmdias GeraodeHash(integridadedasevidncias) CadeiadeCustdia Capturadescreenshots discover1,lshwgtk,blktool dd,dd_recue,dcfldd,aff tools,sdd,air,gddrescue md5,sha1sum FormulriodeCustdia gnomescreenshot dvol.sh&dvol.cmd (naraizdoCD) FerramentasnaFDTK wipe,air,securedelete FDTK Notebook,cmerafotogrfica

Recuperararquivosdeletadosouarmazenadosnasreaslivresouno utilizadasdasmdias Recuperararquivosexpecficos ManipulacaodedadosemsistemasdearquivosNTFS Visualizarimagens Acessararquivoscompactados

testdisk,ScroungeNTFS, fatback,magicrescue, e2undel,recover recovergz,recoverjpg ntfsprogs,scroungentfs comix,gthumb,imageindex xarquive,zoo,p7zip, unshield,unrarfree,unzip, unarj,unace exif,exiftags,jpginfo, exifprobe,exiftran,exiv2 dcraw outguess,stegdetect,xsteg bcrypt,ccrypy,cryptcat medussa,jonh,ophcrack chntpw fcrackzip pdftk mactime,macrobber chkrootkit,rkhunter ghex2,biew,hexdump, hexcat readpst,antiword,mdbtools, tnef,fccudocprop,fccu evtreader,regtool,regp.pl, dumpster_drive.pl, mscompress

Extrairinformaesdearquivosjpg Extrairimagenscruasdecamerasfotograficas Criptoanlise ExamedosDados Decriptararquivos Quebarsenhasdearquivos QuebarsenhasdearquivosdoNT Quebarsenhasdearquivoszip Manipulararquivospdf Coletarmactimedearquivosediretrios Detecodapresenaderootkits Acessararquivosdeformabinria

LeitoresparavariasextensesproprietriadaMS

Gerarodeumtimelinedasevidencias Localizaratacantesatravsdeseusip's AnalizarbasesdedadosdeemailMS Analisarcookiesdowindows AnlisedasEvidncias AnalisarcachedoIExplorerdowindows AnalisararquivosINF2dowindows Scriptperlparalerarquivohistory.datdoFirefox Visualizadordehistricosdebowsers Tollkit'sparatarefasdevriasfinalidades TotaldeEtapas=4 Totaldeareasdeatuao=42

sleuthkit xtraceroute eindeutig galetta,cookie_cruncher.pl pasco rifiuti mork.pl browserhistoryviewer autopsy,pyflag TotaldeFerramentas=95

VamosPeritar!!
ZeraraSenhadoUsuriolocaldo Windows
Hiren's

VamosPeritar!!!
Identificandooseusistema.
WinAudit WindowsForensicToolchest(WFT)

Hash
MD5deep

VamosPeritar!!
Osarquivosmaisrecentescriadosna maquina.
RecentFilesView

Asultimaslinhasderegistroqueforam modificadas
RegScanner

MonitorandoArquivosqueestosendo executadosemtemporealparaanalise.
Filemon

Identificandooperfildeacessodousurioa Internet HistricodeInternet


pasco IECacheView MozillaCacheView

Ultimaspesquisasfeitasnainternet
MyLastSearch

IdentificandoSenhasdeUsurio
mailpv senhaoutlook Pspvsenhasdeinternetououtocompletar WirelessKeyViewConexesWireless

Arquivosqueforamdeletadosparaa lixeira
rifiuti

RecuperandoarquivosDeletados
GetDataBack

IdentificandoAcessodoPenDrive
USBDeview

Identificandoarquivoscomatributos
Attrib

Esteganografia
Esteganografia(dogrego"escrita escondida")oestudoeusodastcnicas paraocultaraexistnciadeuma mensagemdentrodeoutra.Emoutras palavras,esteganografiaoramo particulardacriptologiaqueconsisteem fazercomqueumamensagemseja camuflada,mascarandosuapresena.
Camouflage

DistribuiesLinuxparaPerciaComputacional Forense
DistribuiesLinuxAnalisadas
Nome DEFT BackTrack INSERT nUbuntu FCCU Helix Operator PHLAK L.A.SLinux KnoppixSTD Baseada Ubuntu Slackware Knoppix Ubuntu Knoppix Knoppix Knoppix Morphix Knoppix Knoppix Verso 1.0 2.0 1.3.9b 6.10 11.0 1.8 3.3.20 0.3 0.5 0.1 Data 22/3/2007 06/03/2007 16/02/2007 21/11/2006 19/10/2006 06/10/2006 01/10/2005 07/05/2005 06/03/2004 21/01/2004 Nomenclatura DigitalEvidenceForenseToolkit N/A InsideSecurityRescueToolkit NetworkUbuntu FederalComputerCrimeUnit N/A N/A ProfessionalHacker'sLinuxAssaultKit LocalAreaSecurity STDSecurityToolsDistribution

PERGUNTAS?

MarcosMonteiro contato@marcosmonteiro.com.br http://www.marcosmonteiro.com.br