Você está na página 1de 13

Ferramentas para Percia em Arquivos de Discos.

Disciplina PFC Segurana em Redes FATEC Carapicuba

Marcos de Jesus Magalhes

Carapicuba - SP, Brasil 4 de outubro de 2012

Marcos de Jesus Magalhes

Essa uma atividade onde foi detalhado algumas ferramentas para percia forense em arquivos de disco.

Carapicuba - SP, Brasil 4 de outubro de 2012

Atividade PFCFerramentas para Percia em Arquivos de Discos, autor da atividade Marcos de Jesus Magalhes trabalho feito em 4 de outubro de 2012, Carapicuba, Estado de So Paulo.

Resumo
Este trabalho descreve o uso de algumas ferramentas para percia forense em arquivos de discos.Foi feito a anlise das ferramentas DD, Grave-robber, Mactime, ILS e ILS2mac, essas quatro ltimas fazem parte do conjunto de ferramentas TCT em Unix.Foram mostrado exemplos prticos da utilizao dessas ferramentas como tambm sua instalao em sistemas Linux.

Sumrio

Introduo 1.1 Anlise Forense . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

p. 5 p. 5 p. 6 p. 6 p. 7 p. 8 p. 9 p. 9 p. 10 p. 11

Ferramentas 2.1 2.2 2.3 Ferramenta DD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Ferramenta Grave-robber e Mactime . . . . . . . . . . . . . . . . . . . . . . Ferramentas ILS e ILS2mac . . . . . . . . . . . . . . . . . . . . . . . . . .

Concluso 3.1 Concluso da atividade . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Referncias Bibliogrcas Referncias Bibliogrcas

Introduo

1.1

Anlise Forense

muito comum nos dias de hoje se houvir falar em algum tipo de ataque ciberntico, seja ele mau-intensionado ou no, o atacante pode querer prejudicar uma empresa ou pessoa nanceiramente ou denegrir sua imagem, por exemplo, roubando dados pessoais que revelam algo sobre sua intimidade.O computador pode ser utilizado para cometer esses crimes como principal instrumento ou como um apoio, ai que entra a percia forense e suas ferramentas para comprovar esses crimes. Essa atividade visa mostrar algumas ferramentas para percia em arquivos de discos tambm conhecida como (Post Mortem), que nada mais que uma anlise em arquivos que j foram gravados em disco.Essas ferramentas so necessrias para fazer uma anlise forense digital, que nada mais do que a obteno de provas para comprovar atos de criminosos digitais.Todas as ferramentas mostradas so para sistemas operacionais baseados em UNIX, sob a justicativa da sua fcil obteno para uso.

No h f inabalvel seno aquela que pode encarar a razo face a face, em todas as pocas da Humanidade.
Allan Kardec

Ferramentas

2.1

Ferramenta DD

A ferramenta dd nativa do Linux, no sendo necessrio fazer qualquer tipo de instalao na maioria das distribuies, segundo a descrio do seu manual uma ferramenta para copiar arquivos, converter e formatar de acordo com seus operadores.Quando o perito forense encontra um computador comprometido, quer dizer que ele foi utilizado como principal instrumento ou como apoio para cometer o crime, a primeira coisa que ele deve fazer gerar uma cpia bit-bit do seu disco, para isso podemos utilizar a ferramenta dd. Vamos dar um exemplo para criar uma cpia do seu disco supondo que seu disco chame sda1: #dd if=/dev/sda2 of=/home/marcos/imagem_meu_disco.dd Onde: if(Input File) - localizao do disco que sera gerada a imagem.Exemplo: /dev/sda. of (Output File) - destino da imagem gerada.Geralmente recomendado o uso das extenses .ram ou .aff por serem padro para as ferramentas de percia forense.[1]Pode ser usado tambm a extenso .dd como no nosso exemplo. Pronto, j temos uma cpia do disco que ser utilizada para fazer a anlise forense.Agora que j foi feito a cpia do computador comprometido, podemos calcular o hash da imagem gerada para comprovar a integridade da cpia.Para isso pode ser utilizado a ferramenta sha512sum nativa do Linux ou Unix tambm. Vamos supor que com o comando dd foi gerado uma imagem com o nome imagem_meu_disco.dd, ento voc digitaria no prompt do Linux: #sha512sum /home/marcos/imagem_meu_disco.dd O computador comprometido no pode ter o sistema operacional em uso para no alterar
manual acesso atrevs do prompt do Linux digitando #man dd, s lembrando que no necessrio digitar o smbolo #. Para visualizar o manual da ferramenta sha512sum, s utilizar o comando #man sha512sum.
O

2.2 Ferramenta Grave-robber e Mactime

nenhum registro de qualquer arquivo, ento a imagem do disco gerada e a vericao da integridade do mesmo que que ser feito em um outro computador.

2.2

Ferramenta Grave-robber e Mactime

O Grave-robber e tambm o Mactime so um conjunto de ferramentas do TCT (The Coroners Tookit) em Unix, que so ferramentas para anlise forense em sistemas baseados em Unix.Para instalar o TCT usando o gerenciador de pacotes apt em seu Linux digite no seu prompt: #apt-get update #apt-get install tct Para Venema(2007)[2], Esta ferramenta tem a nalidade de coletar um grande volume de informaes teis sobre o sistema compremetido: processos do sistema, arquivos de log, arquivos de congurao, MAC times, arquivos de histrico, etc. Toda a sada dessa ferramenta passada para o programa Mactime, uma ferramenta que cria automaticamente uma linha de tempo de acordo com a base de dados gerada pela ferramenta forense mac-robber.[3] Segue abaixo algumas abreviaes referentes aos atributos que compe um arquivo em sistemas Unix:[2] - mtime: sendo este uma referncia ao tempo de modicao e revela o ltimo momento de acesso ao arquivo; - atime: referencia o ltimo momento em que ocorreram modicaes no contedo e no meta-dados do arquivo; - ctime: revela o ltimo momento em que ocorreu alguma modicao no contedo do arquivo. Segue abaixo um exemplo do uso da ferramenta Grave-robber, onde primeiro montamos a imagem do disco que est em por exemplo /home/marcos/imagem_meu_disco.dd depois utilizaremos a ferramenta Grave-robber onde o atributo -o especica o sistema operacional em uso: #mount -r /home/marcos/ /dev #grave-robber -c /dev -d /local_onde_informacoes_seram_armazenadas -m -o LINUX2 Criando uma lista cronolgica de arquivos acessados com o Mactime:
o programa Grave-robber instalado digite no prompt do Linux o comando #man grave-robber para visualizar todos seus atributos.
Com

2.3 Ferramentas ILS e ILS2mac

#mactime -p /dev/etc/passwd -g /dev/etc/groups -b body 04/10/2012 > mactime.txt[3] Onde os atributos -p passado um arquivo de senha do sistema em questo, a opo -g e -b signicam respectivamente o arquivo de grupos do sistema e nalmente passado o arquivo de sada para o mactime com a data que supostamente o sistema foi comprometido.Com o Mactime instalado em seu sistema digite a opo no prompt de comando do Linux #man mactime para ver todos os atributos do comando.

2.3

Ferramentas ILS e ILS2mac

Existem situaes onde o sistema que foi comprometido o atacante deletou os arquivos, tanto a ferramenta Grave-robber quanto a Mactime funcionam somente para arquivos existentes.Ento temos outras ferramentas para fazer a recuperao de registros quando os mesmos foram excludos, ILS (List node information) e ILS2mac, o ILS faz um trabalho em nodes de arquivos deletados similar ao Grave-robber e o ILS2mac gera uma lista com MAC times para anlise similar a ferramenta Mactime descrita anteriormente.O ILS e o ILS2mac fazem parte do conjunto de ferramentas TCT que j foi explicado sua instalao anteriormente.[3]Segue abaixo um exemplo do uso das ferramentas ILS e ILS2mac : #ils /dev | ils2mac > ils.mactime.txt Onde nesse exemplo zemos uma suposio que voc tem uma imagem do sistema comprometido montado em /dev, com sada desses comando criado o arquivo ils.mactime.txt.[3]

acessar os manuais das ferramentas ILS e ILS2mac tendo as mesmas instaladas em seu sistema, digite no prompt do Linux respectivamente #man ils e #man ils2mac.

Para

3
3.1

Concluso
Concluso da atividade

Essa atividade mostrou algumas ferramentas para percia em arquivos de discos, so ferramentas muito teis para uma percia em arquivos prinpalmente o conjunto de ferramentas TCT que tambm inclu outras ferramentas que no foram citadas.Existem diversas ferramentas para uma anlise forense cada uma com uma aplicao diferente, mais as ferramentas demostradas tinham um objetivo de coletar informaes dos rastros deixados pelo atacante em arquivos de discos mesmo quando eles foram excludos do sistema.

10

Referncias Bibliogrcas

11

Referncias Bibliogrcas
. [1]2o Site Viva o Linux: http://www.vivaolinux.com.br/dica/Recuperacao-de-arquivos-com-dd-e-foremost "Acessado em 04 de outubro de 2012." 6 . [2]1o Forensic Discovery; Addison-Wesley Professional, 1 edio: FARMER, Dan; VENEMA, Wietse; 2005. 7 . [3]2o Site Revista do Linux - Computao Forense Parte II: http://augustocampos.net/revista-do-linux/030/seguranca.html "Acessado em 04 de outubro de 2012." 7, 8