Forense v1

Percia Forense
em Segurana da Informao
Osmany Dantas R. de Arruda

osmany.arruda@fatec.sp.gov.br
Introduo
A Cincia Forense Computacional abrange todas as questes
relacionadas aos crimes praticados na Internet ou fora dela, chamados
cibercrimes. Estudando como coletar evidncias de crimes e violaes,
analisar e documentar casos, esta cincia, relativamente nova, segue as
principais metodologias internacionais usadas e adotadas por todos os
pases do mundo na investigao de crimes e delitos comuns.
A Computao Forense consiste, basicamente, no uso de mtodos
cientficos para preservao, coleta, validao, identificao, anlise,
interpretao, documentao e apresentao de evidncia digital. A
aplicao desses mtodos nem sempre se d de maneira simples.
Evidncia digital entende-se pela informao armazenada ou transmitida
em formatos ou meios digitais. Sendo que essa evidncia, na maioria das
vezes, frgil e voltil, o que requer a ateno de um especialista certificado
ou bastante experiente a fim de garantir que os materiais de valor probatrio
possam ser efetivamente isolados e extrados correta e licitamente. Tais
materiais podem ser apresentados em um tribunal de justia como prova de
materialidade de um crime, por exemplo; ou mesmo como parte de um
laudo pericial.
Aspectos legais fundamentais

Cdigo de Processo Penal
CAPTULO II
DO EXAME DO CORPO DE DELITO, E DAS PERCIAS EM
GERAL
Artigo 170: "Nas percias de laboratrio, os peritos guardaro
material suficiente para a eventualidade de nova percia. Sempre
que conveniente, os laudos sero ilustrados com provas
fotogrficas, ou microfotogrficas, desenhos ou esquemas.
Artigo 171: "Nos crimes cometidos com destruio ou rompimento
de obstculo a subtrao da coisa, ou por meio de escalada, os
peritos, alm de descrever os vestgios, indicaro com que
instrumentos, por que meios e em que poca presumem ter sido o
fato praticado" .
Situaes que justificariam a necessidade de percia
Defacements com violao de dados de sites;
Defacements com difamao em sites;
Ataques a servidores;
e-mails falsos;
Roubo de dados (ex.: usando phishing scam);
Difamao;
Ameaas;
Retiradas e transferncias de contas bancrias;
Investigaes sobre pedofilia (pornografia infanto-juvenil);
Investigaes sobre crimes comuns com indcios de provas em

computadores e/ou mdias;
...
4
Caractersticas bsicas do perito
Profundos conhecimentos tcnicos;
Conhecimento de ferramentas especficas;
tica
- O perito no um policial nem juiz...

- No pode se envolver pessoalmente em prises ou julgar
os praticantes dos delitos descobertos
Atribuies do perito forense computacional

Dentre outras, so atribuies do perito forense:
Identificar a origem de ataques
Investigar e rastrear o uso de mensagens eletrnicas
Constatar:
mau uso em equipamentos de informtica

uso de software no autorizado
violao de direitos de autor de programas de computador
destruio ou alterao indevida de dados
furto eletrnico de informaes
duplicao indevida de dados e softwares
acesso no autorizado a sistema de computador ou redes de
computadores
Preservar dispositivos atravs cpia fiel e integral de mdias

Preservar a integridade dos dados (hash)
Preservao dos Logs
Solicitar Ata Notarial
Ata Notarial
Ata Notarial uma forma pela qual o tabelio , mediante
solicitao das partes Interessadas, lavra um instrumento pblico
de narrativa daquilo que foi verificado em seus sentidos, sem
omisso de opinio, para, na concluso, t-la com a mesma
finalidade de provas pr-constitudas para serem avaliadas nas
esferas judicial, extrajudicial e administrativa a partir dos fatos nela
colhidos, observando-se um detalhe: o tabelio responsvel pela
veracidade do que vai Ata Notarial e, consequentemente, sua
validade perante os que a ela recorrerem ...
Claudemir Queiroz e Raffael Vargas (2010, p.25)
O que devemos procurar ?!
Agora, algumas palavras sobre a procura das coisas. Quando

voc procura algo especfico, suas chances de encontr-lo so bem
menores. Porque, entre todas as coisas do mundo, voc est
procurando apenas uma. Ao procurar qualquer coisa, suas chances
de encontr-la so bem maiores. J que, entre todas as coisas do
mundo, voc tem a certeza de encontrar algumas delas.
Daryl Zero, The Zero Effect
Como orientar nossa procura ?!
O conhecimento bsico das leis ajudar a identificar os

vestgios digitais que podero conduzir s evidncias
procuradas, e ainda, mostrar como proceder de maneira
legal para coleta dos mesmos.
Ver http://criminalisticaforense.wordpress.com/2011/12/11/vestigios-evidencias-e-indicios/
Exemplo:
Estelionato por meio de phishing scam
Estelionato: Art. 171 (CP) - Obter, para si ou para outrem, vantagem

ilcita, em prejuzo alheio, induzindo ou mantendo algum em erro, mediante
artifcio, ardil, ou qualquer outro meio fraudulento
10
Repeito privacidade !!
O perito no dever proceder anlise de dados ou invaso de
sistemas de um suspeito sem ordem judicial, sob risco de incorrer
em invaso de privacidade (crime)
A anlise de servidores de arquivos dever ser precedida de clara

delimitao da rea a ser analisada
A poltica de segurana da instituio dever

ser respeitada, sempre que existir
11
O que dispe a Constituio Federal
Dos Direitos e Garantias Fundamentais
CAPTULO I
DOS DIREITOS E DEVERES INDIVIDUAIS E COLETIVOS
Art. 5 Todos so iguais perante a lei, sem distino de qualquer natureza,
garantindo-se aos brasileiros e aos estrangeiros residentes no Pas a
inviolabilidade do direito vida, liberdade, igualdade, segurana e
propriedade, nos termos seguintes:
...
...
XII - inviolvel o sigilo da correspondncia e das comunicaes
telegrficas, de dados e das comunicaes telefnicas, salvo, no ltimo
caso, por ordem judicial, nas hipteses e na forma que a lei estabelecer
para fins de investigao criminal ou instruo processual penal; (Vide
Lei n 9.296, de 1996)
...
12
Interceptao de dados
LEI N 9.296, DE 24 DE JULHO DE 1996
Art. 1 A interceptao de comunicaes telefnicas, de qualquer natureza,
para prova em investigao criminal e em instruo processual penal,
observar o disposto nesta Lei e depender de ordem do juiz competente da
ao principal, sob segredo de justia.
Pargrafo nico. O disposto nesta Lei aplica-se interceptao do
fluxo de comunicaes em sistemas de informtica e telemtica.
Art. 2 No ser admitida a interceptao de comunicaes telefnicas
quando ocorrer qualquer das seguintes hipteses:
I - no houver indcios razoveis da autoria ou participao em infrao
penal;
II - a prova puder ser feita por outros meios disponveis;
III - o fato investigado constituir infrao penal punida, no mximo, com
pena de deteno.
13
Interceptao de dados
LEI N 9.296, DE 24 DE JULHO DE 1996

Art. 7 Para os procedimentos de interceptao de que trata esta Lei, a
autoridade policial poder requisitar servios e tcnicos especializados s
concessionrias de servio pblico.
Art. 10. Constitui crime realizar interceptao de comunicaes telefnicas,

de informtica ou telemtica, ou quebrar segredo da Justia, sem
autorizao judicial ou com objetivos no autorizados em lei.
Pena: recluso, de dois a quatro anos, e multa.
14
Lei n 12.737, de 30 de Novembro de 2012

..
Art. 1 Esta Lei dispe sobre a tipificao criminal de delitos informticos
e d outras providncias.
..
"Invaso de dispositivo informtico
Art. 154-A. Invadir dispositivo informtico alheio, conectado ou no
rede de computadores, mediante violao indevida de mecanismo de
segurana e com o fim de obter, adulterar ou destruir dados ou
informaes sem autorizao expressa ou tcita do titular do dispositivo
ou instalar vulnerabilidades para obter vantagem ilcita:
Pena - deteno, de 3 (trs) meses a 1 (um) ano, e multa.
1 Na mesma pena incorre quem produz, oferece, distribui, vende ou
difunde dispositivo ou programa de computador com o intuito de permitir a
prtica da conduta definida no caput.
15
Lei n 12.737, de 30 de Novembro de 2012

3 Se da invaso resultar a obteno de contedo de
comunicaes eletrnicas privadas, segredos comerciais ou industriais,
informaes sigilosas, assim definidas em lei, ou o controle remoto no
autorizado do dispositivo invadido:
Pena - recluso, de 6 (seis) meses a 2 (dois) anos, e multa, se a conduta
no constitui crime mais grave.
4 Na hiptese do 3, aumenta-se a pena de um a dois teros se
houver divulgao, comercializao ou transmisso a terceiro, a
qualquer ttulo, dos dados ou informaes obtidos.
5 Aumenta-se a pena de um tero metade se o crime for praticado
contra:
I - Presidente da Repblica, governadores e prefeitos;
II - Presidente do Supremo Tribunal Federal;
III - Presidente da Cmara dos Deputados, do Senado Federal, de
Assembleia Legislativa de Estado, da Cmara Legislativa do Distrito
Federal ou de Cmara Municipal; ou
IV - dirigente mximo da administrao direta e indireta federal, estadual,
municipal ou do Distrito Federal."
.
1 Incorre na mesma pena quem interrompe servio telemtico ou
de informao de utilidade pblica, ou impede ou dificulta-lhe o
restabelecimento.
16
Interceptao de dados - Grampo na LAN
TAP
tap ou
hub
HUB
Console de
Monitoramento
rt
po g
m n
co rori
sw mir
17
Preservao e o Princpio da Incerteza de Heisenberg
18
Ordem de Volatilidade
Tipos de dados
Tempo de Vida
Registradores, memria perifricos, caches, etc.
nanossegundos
Memria principal
10 nanossegundos
Estado da rede
Milissegundos
Processos em execuo
Segundos
Disco
Minutos
Disquetes, mdias de backup
Anos
CD ROMs, impresses
Dezenas de anos
19
Ordem de Volatilidade
CUIDADO
Ao realizar-se qualquer operao em uma camada, as

informaes em todas as camadas superiores a esta sero
destrudas !!
Por exemplo, a execuo de um simples comando para
recuperar alguma informao poder destruir, dentre outros,
o contedo dos registradores, de pores da memria fsica,
e registros de data/hora no sistema de arquivos!!
20
Confiabilidade das Informaes
Anlise das informaes a partir de um sistema

computacional para tirar concluses
Voc est realmente vendo vestgios do ocorrido, ou o que

o invasor deseja que acredite ?
Anlise criteriosa
Mltiplas fontes de informao independentes entre si
Verificao de inconsistncias entre as informaes destas

diversas fontes
21
Exemplo 1 Verificar consistncia dos registros de login

1.1 Comando ps
22
Exemplo 1 Verificar consistncia dos registros de login

1.2 Comando last
23
MAC Times
Algumas vezes, determinar-se quando um incidente ocorreu, pode ser

mais interessante do que determinar o que exatamente aconteceu
H duas formas de coletar-se dados referentes ao tempo:

- Observando-se diretamente as atividades
- Observando-se os efeitos secundrios destas atividades sobre o
ambiente
MAC Time, abreviao para:

- mtime (modification time)
atributo referente a ltima modificao do contedo de um arquivo
- atime (access time)
atributo referente a ltima data/hora de acesso ao arquivo (leitura)
- ctime (creation time, change time)
atributo referente a ltima alterao dos metadados de um arquivo
(proprietrio, grupo, permisses, )
CTIME tem diferentes interpretaes entre sistemas Linux e Windows,

portanto, deve-se atentar a interpretao de tal atributo quando um
arquivo criado no Windows for acessado por um sistema UNIX
24
MAC Times
Metadados de um arquivo
Nome do arquivo
Data de criao, ou ltima modificao

do arquivo
Tamanho
UID e GID
Hard Links
Permisses
Tipo de arquivo
METADADOS
Ver tambm http://onlamp.com/pub/a/bsd/2001/03/07/freebsd_basics.html
25
Trabalhando com MAC Times

2.1: Verificao dos MAC Times de arquivo comum
2.2: Verificao dos MAC Times de um diretrio
26
Consideraes sobre os MAC Times

CUIDADO
O cclulo do hash do arquivo poder alterar o atime
Exemplo 2.3: Alterao do atime pelo clculo do hash do arquivo
27
Exemplo 2.4: Alterao do atime do arquivo pela interface grfica

2.4.1. Criao de um arquivo de teste e verificao do MAC Time
inicial
28

2.4.2. Visualizao pela interface grfica
29

2.4.3. Verificao do MAC Time final do arquivo
30

CUIDADO
Ferramentas para gerenciamento de arquivos podem alterar o atime

Exemplo 2.5: Alterao do atime do diretrio pelo comando ls
31

CUIDADO
MAC Times podem ser facilmente forjados
Exemplo 2.6: Forjando MAC Times
32
Conduza a investigao preferencialmente sobre uma cpia fiel

do objeto questionado, montada READ ONLY
Os MAC Times informam apenas a ltima vez em que um

arquivo foi modificado, no permitindo a elaborao de um
histrico
Os MAC Times no permitem a identificao do autor da ao
MAC Times podem ser de pouca utilidade em sistemas

multiusurios de grande atividade
33
Timeline
Simplificadamente, a timeline uma
forma de demonstrar a cronologia dos
acontecimentos, com a finalidade de
facilitar o entendimento do ocorrido.
A criao da timeline d-se em duas fases:
I. Inicialmente, procede-se coleta de informaes a partir
de diferentes fontes, tais como, sistemas de arquivos e
logs, dentre outras; as quais so salvas em um arquivo
em formato body. Este arquivo criado por ferramentas
como o fls do TSK.
II.O segundo passo classificar e mesclar todos os dados
temporais em uma nica linha do tempo. Este passo
feito usando-se ferramentas como o mactime, um script
especializado do TSK.
34
Timeline
Exemplo 3: Timeline elaborada pelo Autopsy e TSK
35
Processo investigativo
Electronic Discovery Reference Model
Electronic Discovery (e-discovery)

Electronic discovery, tambm conhecida como e-discovery,
refere-se a qualquer mtodo de busca, pesquisa,
localizao e obteno de dados e informaes eletrnicos
com a inteno de utiliz-los como evidncias, em um
processo judicial.
Ref.: http://pt.wikipedia.org/wiki/Electronic_discovery
36
Electronically Stored Information (ESI)

Electronically Stored Information (ESI), ou informao
armazenada eletronicamente, conforme definido pela
Federal Rules of Civil Procedure (FRCP) toda
informao criada, manipulada, comunicada, armazenada
e melhor utilizada em formato digital, exigindo o uso de
hardware e software.
Ref.: http://pt.wikipedia.org/wiki/Electronic_discovery
37
Framework altamente detalhado, composto por 6

estgios, com 9 processos distintos, utilizado como
referncia para descoberta e recuperao de dados
digitais, de forma eficiente e com boa relao
custo-benefcio.
38
39
Estgio 1
INFORMATIOM
MANAGEMENT
Trata da melhoria do ambiente e do gerenciamento

da ESI, desde sua criao at seu descarte, a fim de
mitigar riscos e despesas.
40
Estgio 2
IDENTIFICATION
Identificao de fontes potenciais de ESI relevante,

determinando-se escopo e profundidade das mesmas,
j considerando ainda, a possibilidade de adoo de
medidas legais, por exemplo, para reteno legal do
objeto questionado ou quebra da expectativa de
privacidade.
41
Estgio 3
PRESERVATION
COLLECTION
Assegura que a ESI no venha

a ser indevidamente adulterada
(hashes, imagem forense) ou
perdida,
garantindo
sua
utilizao na esfera jurdica
Cria a massa de dados bruta a
ser processada, validada e
analisada
por
processos
subsequentes
42
Estgio 4
PROCESSING
REVIEW
ANALYSIS
Processa
os
dados
obtidos:
constri a cadeia de custdia,
procede
filtragem
e
de-duplicao, extrai metadados e
strings, ...
Organiza os documentos em
sub-conjuntos de acordo com sua
relevncia. quando a equipe
jurdica comea a traar sua
estratgia
Analisa o contedo, contexto,
palavras-chaves, e outros itens da
ESI
43
Estgio 5
PRODUCTION
Simplificadamente, corresponde a resposta

quesitao formulada em formato, e com
mecanismos, adequados
44
Estgio 6
PRESENTATION
Apresentao dos resultados obtidos, em forma

nativa ou quase-nativa, para validao, obteno de
mais informao ou persuadir a audincia
45
Processo de Investigao
Resumidamente:
Fases
Coleta dos dados;

Exame dos dados;
Anlise das informaes
Interpretao dos resultados
46
1. Coleta de dados
1.1 Premissas
Devero ser estabelecidas prioridades, considerando a volatilidade

e relevncia dos dados, bem como, o esforo necessrio sua
aquisio
Preservar e comprovar a integridade dos dados (HASH)
1.2 Fontes de informao
Mdias: HD's, CD's, DVD's, pendrives, memory cards, .
Memria: RAM, memria virtual, registradores, caches, buffers, .
Rede: captura do trfego de rede (equipamentos ligados)
Outros dispositivos: cmeras digitais, telefones celulares, relgios

com capacidade para armazenamento de dados
47
1. Coleta de dados
1.3 Dispositivos para coleta de dados Interfaces Externas
Interface externa SATA/USB
Interface externa IDE/USB
48
1. Coleta de dados
1.3 Dispositivos para coleta de dados Bloqueadores de Escrita
SerialATA
DriveLock
DriveLock
PCI/IDE
DriveLock
Firewire/USB
49
1. Coleta de dados
1.3.1 Dispositivos para coleta de dados Kits especializados
50
1. Coleta de dados
1.3.2 Dispositivos para coleta de dados
FRED (Forensic Recovery Evidency Device)
51
1.4 Consideraes sobre a coleta de dados remota
Atentar ao tamanho das mdias e s limitaes dos equipamentos de

coleta
Criptografar os dados antes de transmiti-los via rede
Estao pericial remota dever ser confivel e adequada
Garantir a integridade dos dados
1.5 Consideraes sobre a coleta de dados armazenados externamente
Data centers de terceiros
Backups em provedores de hospedagem
Sistemas de arquivos remotos
Servidores externos
Necessidade de ordem judicial

52
1.6 Consideraes sobre a preservao e identificao dos dados
- A alterao de dados pode ser comparada a alterao da cena de um
crime na vida real !!
Garantir o bloqueio da mdia original (read-only) antes da cpia,

impedir a alterao dos dados durante os procedimentos de coleta
A fidelidade dos dados da cpia dever ser atestada por peritos e

testemunhas, antes de a mdia original poder ser liberada
Perito oficial tem f pblica
Perito convidado necessita de testemunhas
Todo material apreendido para anlise, dever ser cuidadosamente

relacionado em um documento denominado CADEIA DE CUSTDIA
Devero ser utilizados HASHs, tais como MD5, SHA1 ou SHA256, para
garantir a integridade dos dados
53
Cadeia de Custdia
A Cadeia de Custdia um processo usado para manter e documentar a
histria cronolgica da evidncia, para garantir a idoneidade e o
rastreamento das evidncias utilizadas em processos judiciais.
Ref.: CADEIA DE CUSTDIA: UMA ABORDAGEM PRELIMINAR
LOPES, M.; GABRIEL, M. M.; BARETA, G. M. S.
Contedo da Cadeia de Custdia
Data e hora de coleta da evidncia

Identificao de quem a evidncia foi apreendida
Nome da pessoa que coletou a evidncia
Descrio detalhada da evidncia
Nome e assinatura dos envolvidos
Identificao do caso e da evidncia (tags)
Hashs MD5/SHA1 das evidncias (sempre que possvel)
Informaes tcnicas pertinentes
Informaes sobre o hardware (ex.: fabricante, modelo, n de srie, ...)
54
Cadeia de Custdia
Ref.: http://forensics.luizrabelo.com.br/2011/08/cadeia-de-custodia.html
55
Cadeia de Custdia
Obtendo informaes do objeto questionado
HD Externo
HD externo, o
objeto questionado
Dados para preenchimento

da cadeia de custdia
56
Cadeia de Custdia
Obtendo informaes do objeto questionado
Pen drive
Pen drive, o
objeto questionado
Dados para cadeia

de custdia
57
2. Exame dos dados
Objetivos
- Filtrar, avaliar e extrair informaes relevantes
- Emprego de tcnicas e ferramentas especializadas para:
dump da memria voltil
recuperao e anlise de dados persistentes, etc.
National Software Reference Library: conjunto de

assinaturas de softwares e documentos
disponibilizado para filtragem de dados
...
58
3. Anlise das informaes
Objetivos
Interpretao dos dados coletados

identificao
dos envolvidos
estabelecimento
levantamento
da cronologia
de eventos e locais
Cruzamento de informaes para obteno de evidncias
59
4. Interpretao e apresentao dos Resultados
Objetivo:
Elaborao de laudo pericial
Concluso
imparcial, clara e concisa
Exposio
dos mtodos utilizados
Deve
apresentar as concluses do perito de forma

simples e de fcil interpretao, para apresentao em
julgamentos (dados tcnicos devero ser comentados)
Fase
tecnicamente chamada de substanciao da

evidncia, pois nela ocorre o enquadramento das
evidncias no formato jurdico, sendo ento inseridas
pelo juz ou advogados, na esfera civil e/ou criminal
60
Formato final do laudo pericial
O laudo pericial final deve conter:
Finalidade
da investigao
Identificao
do(s) autor(es) do laudo
Resumo
do caso/incidente
Relao
de evidncias analisadas com os respectivos
detalhes
Concluso,
anexos, glossrio
Metodologias,
tcnicas e ferramentas empregadas
61
Magic Numbers Assinaturas dos arquivos
Magic Number um nmero hexadecimal,

normalmente com 4 bytes, inserido no incio de um
arquivo, a fim de determinar o tipo do mesmo
referenciado tambm como a assinatura do
arquivo
Exemplos
JPEG
FF D8 FF E0
PNG
89 50 4E 47
Adobe PDF 25 50 44 46
GIF
47 49 46 38
Ver tambm:
http://www.astro.keele.ac.uk/oldusers/rno/Computing/File_magic.html
http://www.garykessler.net/library/file_sigs.html
62
Magic Numbers: Assinaturas dos arquivos
Considere o arquivo abaixo:
63
Magic Numbers: Assinaturas dos arquivos
Utilizao do comando hexdump para verificar o magic number do arquivo:
magic number
em little endian
Na linha de comando acima, foi solicitado ao hexdump a exibio apenas

da primeira linha de sada, a qual contm o magic number do arquivo em
for-mato little endian, portanto, deve-se considerar ff d8 ff e0.
64
Magic Numbers Assinaturas dos arquivos
Observa-se, portanto, tratar-se na verdade

de um arquivo do tipo jpeg, e no txt.
O comando file utiliza-se de trs formas distintas para
determinar o tipo do arquivo analisado (ver pgina de
manual), e poder ajudar a ratificar a informao fornecida
pelo hexdump.
sada do comando file ratificando

a informao do hexdump:
Trata-se de uma imagem e no
de um arquivo texto
65
Magic Numbers
Assinatura do MBR
66
Imagem para percia
Em muitos casos, a criao de uma imagem fiel da mdia

(HD) constitui o ponto de partida de uma investigao
Tal imagem dever ser o produto de uma cpia bit a bit da

mdia original, e base para uma dead analysis
O dd uma das ferramentas de linha de comando mais

amplamente utilizadas para criao de imagens em
formato raw
67
Imagem para percia
Em muitos casos, a criao de uma imagem fiel da mdia (HD) constitui o

ponto de partida de uma investigao
Tal imagem dever ser o produto de uma cpia bit a bit da mdia original,
e base para uma dead analysis
O dd uma das ferramentas de linha de comando mais amplamente

utilizadas para criao de imagens em formato raw
68
Vantagens das imagens RAW
Independe de ferramentas especficas;
Formato facilmente montvel
Variedade de ferramentas disponveis, tanto para

interfaces de linha de comando (CLI), quanto para
interfaces grficas (GUI)
Muito til em anlise de malwares
69
Desvantagens das imagens RAW
No permitem a adio dos dados da investigao ao

arquivo raw
Difcil de montar em caso da segmentao da imagem (por

exemplo, uma imagem de 200GB, segmentada em 5
imagens de 40GB)
Pode tornar algumas operaes mais lentas em funo do

tamanho
70
Outros tipos de imagens
Expert Witness (E01)
Formato proprietrio do EnCase
SGZIP
Formato utilizado pelo pyFlag, baseado no gzip, cdigo
aberto, somente Linux
AFF (Advanced Forensic Format)
Formato aberto e extensvel para armazenamento de
imagens de disco
O formato AFF original constitudo por um nico arquivo

contendo segmentos com dados do disco e metadados.
71
Trabalhando com imagens RAW ferramenta dd

Exemplo 4.1: Executando uma cpia do MBR
72

Exemplo 4.2: Clonando a partio /boot
73

Esterilizao da mdia disk wiping
Denomina-se disk wiping o processo de sobrescrever-se as
informaes da mdia, bit a bit, a fim de garantir-se o
descarte seguro da mesma, sem possibilidade de
recuperao dos dados anteriormente gravados.
Portanto, a utilizao de tal tcnica sem respaldo nas
polticas de segurana da instituio, poder caracterizar
comportamento suspeito.
Exemplo 4.3: Utilizao da ferramenta dd para disk wipe

dd if=/dev/zero of=/dev/sda bs=1M
74
Obtendo informaes escondidas

I. SLACK SPACE
O espao utilizvel nos discos rgidos dos computadores

dividido em setores de igual tamanho.
Quando um usurio precisa armazenar informaes, o

sistema operacional aloca automaticamente os sectores a
serem utilizados.
Em muitos casos, a informao a ser armazenada no ir

utilizar todo o espao disponvel no(s) sector(es)
alocado(s).
Quando isso acontece, a informao anteriormente

armazenada no disco permanecer na parte no utilizada
do(s) sector(es) alocado(s), denominada slack space.
75

I. SLACK SPACE
76

I. SLACK SPACE
Isto significa que, mesmo que a maior parte do disco tenha

sido regravada com novos dados, provvel que algumas
evidncias ainda permaneam no slack space, podendo
assim, serem recuperadas atravs de tcnicas forenses.
77

I.I Verificando o SLACK SPACE
Nota:
bmap uma ferramenta livre, cujo download pode ser efetuado em:
http://www.packetstormsecurity.org/linux/security/bmap-1.0.17.tar.gz
78

I.II Manipulando o SLACK SPACE
Ocultando dados no slack space
string a ocultar
no slack space
string oculta no
slack space
79

I.II Manipulando o SLACK SPACE
Limpando o slack space
string oculta
removida
80
Anlise de ataques via rede

- Cenrio
host 1
host 2
Um usurio no host 1 estabece um acesso remoto no

autorizado, via SSH, ao host 2, utilizando-se das
credenciais de um dos usurios do mesmo
81

- Consideraes gerais
1.Tenha sempre em mente as caractersticas de cada fase
do processo de percia (coleta, exame, anlise e laudo)
2.Na fase de coleta, observe atentamente a ordem de
volatilidade dos dados, preserve o ambiente da melhor
maneira possvel, gere o hash de cada arquivo produzido
pela sada dos comandos utilizados. Gere tambm o
hash de cada ferramenta (comando) utilizada para anlise
do sistema
3.Na fase de exame, aps a extrao/filtragem dos dados
coletados, preserve os arquivos originais obtidos
durante a fase de coleta
82

- Consideraes gerais
4.Na fase de anlise, cruze os dados filtrados na etapa
anterior, procurando por inconsistncias
5.O laudo dever ser acompanhado por todo material
coletado arquivos com a sada dos comando, dump de
memria, imagens das midias, relatrio fotogrfico, ...
83

Medidas
via rede
iniciais para coleta de dados aps um ataque
1.Mantenha a mquina ligada e desconecte o cabo de rede

2.No interaja desnecessariamente com a mquina
3.Inicie imediatamente a percia, ou chame um perito
qualificado
4.Neste ltimo caso, acompanhe atentamente o trabalho do
perito
84

FASE I
COLETA DE INFORMAES NO OBJETO QUESTIONADO
Na mquina a ser periciada:

1.Logar como root
2.Montar um dispositivo de armazenamento externo (pen
drive,HD):
Ateno capacidade de armazenamento do mesmo:
neste dispositivo sero armazenados o dump da RAM, os
arquivos com as sadas dos comandos utilizados durante
a investigao, hashes, .
85

- FASE I COLETA DE INFORMAES NO OBJETO QUESTIONADO
Ordem de volatilidade: MEMRIA FSICA (RAM)

Comandos:
#dd if=/dev/fmem of=dump.ram bs=1M count=<qtde_memo>
#dcfldd if=/dev/fmem of=dump.ram bs=1M count=<qtde_memo>
[hash=alg1,alg2 hashlog=<nome_arq>]
Comandos relacionados:
a serem utilizados neste momento apenas em caso de incerteza sobre tais informaes,
em caso contrrio, devero ser executados aps a realizao do dump da memria
uname -a: determinao da verso do kernel corrente

cat /etc/lsb-release: determinao da verso da distribuio (UBUNTU)
free -m: determinao da memria fsica a ser lida pelo comando dd (dcfldd)
Observaes:
A
partir da verso 2.6 do kernel Linux, a opo CONFIG_STRICT_DEVMEM vem habilitada por
default, impedindo que dispositivos no autorizados acessem o diretrio /dev/mem
Para possibilitar o acesso ao mesmo, deve-se utilizar o mdulo fmem, parte do projeto FORIANA
(http://hysteria.sk/~niekt0/foriana/)
Para poder ser utilizado de forma confivel, o referido mdulo deve ser compilado em outra
mquina, com a mesma distribuio e verso de kernel da mquina periciada
imprescindvel fornecer ao comando de dump a quantidade de memria a ser lida (count=x) a
fim de evitar um loop durante o processo de dump
86

Ordem de volatilidade: Status da rede

Comandos:
Verificao das portas e conexes ativas
#netstat -tunap | tee /media/forense/netstat
#lsof -i | tee /media/forense/lsof
Verificao de conexes ocultas
#unhide-tcp | tee /media/forense/unhide-tcp
Verificao da tabela de rotas
#route -n | tee /media/forense/route
Verificao das configuraes de rede(1)
#ifconfig | tee /media/forense/ifconfig
Observaes:
1.O endereo IP da interface poder ser perdido quando da desconexo do cabo, caso este seja
atribudo dinamicamente
2.Considera-se nos exemplos,o ponto de montagem da mdia removvel como /media/forense
87

Ordem de volatilidade: Processos ativos

Comandos:
Verificao dos processos ativos
#ps aux | tee /media/forense/ps
Verificao de processos ocultos
#unhide proc | tee /media/forense/uhproc
Comandos relacionados
#unhide sys | tee /media/forense/uhsys
#unhide brute | tee /media/forense/uhbrute
Observaes:
1. Considera-se nos exemplos, o ponto de montagem da mdia removvel como /media/forense
88

Ordem de volatilidade: --Comandos complementares:

Verificao dos usurios logados no sistema
#w | tee /media/forense/w
#last -F | tee /media/forense/last
Verificao da data/hora do sistema
#date | tee /media/forense/date(1)
Histrico dos comandos emitidos pelo invasor
#history | tee /media/forense/history(2)
Tempo de operao do sistema
#uptime | tee /media/forense/uptime
Observaes:
1.Registrar tambm a hora apontada por seu relgio
2.Certifique-se de a sesso do mesmo foi previamente encerrada
3.Considera-se nos exemplos, o ponto de montagem da mdia removvel como /media/forense
89

Comandos complementares:
Inventrio dos dispositivos montados
#mount | tee /media/forense/mount
Verificao dos sistemas de arquivos
#df -hT | tee /media/forense/df
Verificao do esquema de particionamento do disco
#fdisk -l | tee /media/forense/fdisk
Inventrio dos pacotes instalados
#dpkg -l | tee /media/forense/dpkg
Observaes:
90

Mdulos carregados pelo kernel
#lsmod | tee /media/forense/lsmod
Observaes:
91

Busca e verificao de arquivos
Localizando arquivos de um usurio especifico
92

Localizando arquivos alterados nos ltimos 10 minutos
93

Localizando arquivos regulares acessados a menos de 1 dia
94

Localizando arquivos com tamanho zero
95

Localizando arquivos com permisses especificas
96

Atestando a integridade dos arquivos gerados

- Gerar dois hashes distintos para cada arquivo gerado:
#md5sum <nome_arq_calc> >> /media/forense/<nome_arq_gravar>
#sha256sum <nome_arq_calc> >> /media/forense/<nome_arq_gravar>
Finalizados os procedimentos, desmontar e remover o dispositivo de
armazenamento externo, conectando-o a outra mquina, confivel, a fim de
verificar-se a correta gravao dos arquivos gerados.
97

IMAGEM FORENSE (RAW)

- Rplica (cpia) exata, bit a bit, integra, do objeto questionado
TIPOS DE IMAGENS FORENSES (RAW)

- LGICA:
Imagem de uma nica partio do dispositivo
Ex.: /dev/sda1 ; /dev/sda2
- FSICA
Imagem contendo todas as parties do dispositivo, mais informaes
tabela de parties
Ex.: /dev/sda
98

AQUISIO DA IMAGEM RAW (POST MORTEM)
Caso a aquisio da imagem forense venha a ser executada em processo

post mortem, a mquina dever ento ser desligada sem permitir a
escrita de qualquer dado no disco.
Para tal, puxe o cabo de
alimentao da mesma, ao invs de deslig-la de forma
convencional.
A aquisio da imagem poder ser feita por equipamentos especializados,

ou pela utilizao de live cd forense, uma vez que os sistemas de
arquivos devero ser montados read-only.
Havendo ou no necessidade de apreenso do objeto questionado, o(s)

formulrio(s) da cadeia de custdia dever(o) ser corretamente
preenchido(s) antes de os trabalhos in loco serem dados como
encerrados.
Em caso de necessidade de apreenso do objeto questionado, este

dever ainda ser devidamente embalado e lacrado, na presena de
testemunhas, sendo o(s) lacre(s) inviolvel(is) e devidamente assinado(s)
pelo perito.
99

AQUISIO DA IMAGEM RAW (VIA REDE)
Caso a aquisio da imagem forense venha a ser executada via rede,

deve-se atentar s condies do ambiente para que o mesmo no
comprometa o trabalho de aquisio (redes com altas taxas de perda de
pacotes, sniffers na rede, )
FERRAMENTAS MAIS COMUMENTE UTILIZADAS
NETCAT
Utilitrio destinado a estabelecer conexes fim-a-fim, clear-text, entre
hosts de uma rede. Rpido, deve ser utilizado para fins forenses apenas
em ambientes altamente confiveis.
SSH
Utilitrio destinado a estabelecer conexes fim-a-fim criptografadas entre
hosts de uma rede. Mais seguro quando comparado ao Netcat, a opo
mais indicada para uso, especialmente, se em ambientes no confiveis.
100

- Adquirindo uma imagem RAW com NETCAT
Objeto questionado
Estao forense
TCP
IP 192.168.10.5 /24
IP 192.168.10.10 /24
listen 9000
#dcfldd if=/dev/sda | nc 192.168.10.10 9000 -q5

#nc -l -p 9000 | dcfldd of=image.dd bs=1M hash=md5,sha256
hashlog=hash.img
101

ESTAO FORENSE
102

OBJETO QUESTIONADO
Fechar conexo 5s aps

trmino da leitura dos
dados de entrada
103

- Adquirindo uma imagem RAW com SSH
Objeto questionado
Estao forense
TCP
IP 192.168.0.59 /24
IP 192.168.0.58 /24
ssh-server
- sem compresso
dcfldd if=/dev/sda | ssh <username>@192.168.0.58 dcfldd of=image.dd
- com compresso
dcfldd if=/dev/sda | gzip | ssh <username>@192.168.0.58 dcfldd of=image.dd
- Obs.: vrias opes do dcfldd omitidas
104

- Adquirindo uma imagem RAW com SSH (sem compresso)
OBJETO QUESTIONADO
105

- Adquirindo uma imagem RAW com SSH (compresso com gzip)
OBJETO QUESTIONADO
106

- Montando imagens RAW
Verificando as caractersticas da imagem
Tamanho do setor
Estrutura do disco
107

- Montando imagens RAW
A sada do fdisk mostra que a imagem RAW fsica do objeto questionado

tem quatro parties, com sistema de arquivos FAT32
A primeira partio inicia-se no setor 2048, cada setor possui 512 bytes
O loopback no consegue interpretar a tabela de parties, portanto, para

montagem da imagem raw, necessrio calcular o offset (deslocamento)
que indicar onde cada partio se inicia
offset=<setor de incio da partio> x <tamanho do setor>

offset da primeira partio = 2048 x 512 = 1048576
Como esta imagem um arquivo, o comando mount dever utilizar o

dispositivo loop para mont-lo
A imagem RAW dever ser montada apenas para leitura (ro)
108

- Montando imagens RAW Montagem da primeira partio
Informaes da primeira partio
clculo do offset
montagem da
partio
partio montada
109

- Explorando imagens RAW COMANDO FLS (TSK)
fls lista os arquivos e nomes de diretrio em um sistema de arquivos. Ele processa o
contedo de um determinado diretrio e pode exibir informaes sobre arquivos
excludos. Ver http://wiki.sleuthkit.org/index.php?title=Fls
Ver http://wiki.sleuthkit.org/index.php?title=Fls para detalhes

110

tipo de
imagem
offset em
setores
nome da
imagem
111

inode
nome do arquivo
deletado *
arquivo regular
Ver http://wiki.sleuthkit.org/index.php?title=Fls
112

- Gerando arquivo body COMANDO FLS (TSK)
output em
mactimes
recurso
diretrios
113

- Criando uma TimeLine COMANDO MACTIME (TSK)
mactime cria uma timeline ASCII com base na sada da ferramenta fls. Ele pode ser
usado para detectar comportamentos anormais e reconstruir eventos. O comando fls
deve usar a flag -m para gerar uma sada com timestamps.
Ver http://wiki.sleuthkit.org/index.php?title=Mactime
114

sada delimitada, gerando
arquivo csv
115

Visualizao do arquivo CSV com LibreOffice CALC
116

- Tabela de atividades do comando MACTIME (TSK)
117

- Gerando TimeLine com o AUTOPSY (TSK)
Inicialize o autopsy atravs de um terminal
118

http://localhost:9999/autopsy
1. Abra seu web browser, desabilite o uso de JavaScript, e para inicializar a interface
web do Autopsy digite: http://localhost:9999/autopsy
2. Clique no boto NEW CASE para inicar um novo caso
119

Preencha os campos do formulrio, e clique em New Case

120

Na nova janela, clique no boto Add Host e cadastre o host, objeto

da investigao
121

Na pgina ao lado, preencha

ao menos o campo Host Name,
e clique no boto Add Host
122

Adicionado o novo host, clique em Add
Image para adicionar aimagem a analisar
Adicione a imagem clicando no boto Add Image File
123

Fornea o caminho para
a imagem, escolhendo o
tipo e mtodo de importao mais adequados.
Clique em NEXT para
continuar
124

Fornea o hash MD5 gerado quando da criao da imagem,

e clique na caixa confirmando a verificao do hash aps
importao da imagem
125

Verifique no quadro File
System Details os detalhes
sobre as parties do disco
e clique em ADD
126

Aguarde o final do processo de verificao e importao da imagem, verifique as informaes retornadas pelo sistema,e, estando tudo certo, clique em OK
127

Selecione no quadro o volume a analisar, e clique em File Activity Time Lines
128

A criao da TimeLine exige a prvia criao do arquivo de dados, logo, clique na opo
Create Data File no menu na parte superior.
129

Selecione as opes desejadas e clique em OK
130

Conforme anteriormente feito manualmente, o Autopsy executar o comando fls

com as opes -r (recurso) e -m (mactimes format) para gerar o arquivo body,
a ser utilizado para cosntruo da timeline.
Clique em OK ao final do processo.
131

Ajuste os parmetros de sada

conforme sua necessidade e
clique em OK
132

O Autopsy iniciar a criao da Timeline, gerando o hash da mesma, e salvando no

diretrio indicado.
Finalizado o processo, clique em OK para ver a timeline.
133

Timeline finalizada
134
Anexos
1. Pedofilia
2. Quesitao
3. Estrutura de diretrios Linux
4. Definies
5. Metadados e i-nodes
135
1. Pedofilia
Desvio sexual caracterizado pela atrao por crianas ou
adolescentes sexualmente imaturos, com os quais os portadores
do vazo ao erotismo pela prtica de obscenidades ou de atos
libidinosos
DeltonCroce(1995)
uma doena e/ou um desvio

de comportamento
No pode ser confundida com
pornografia infanto-juvenil
136
PEDOFILIA - LEI N 11.829, DE25 DE NOVEMBRO DE 2008

Art. 240. Produzir, reproduzir, dirigir, fotografar, filmar ou registrar, por qualquer meio,
cena de sexo explcito ou pornogrfica, envolvendo criana ou adolescente:
Pena - recluso, de 4 (quatro) a 8 (oito) anos, e multa.
1o Incorre nas mesmas penas quem agencia, facilita, recruta, coage, ou de
qualquer modo intermedeia a participao de criana ou adolescente nas cenas
referidas no caput deste artigo, ou ainda quem com esses contracena.
2o Aumenta-se a pena de 1/3 (um tero) se o agente comete o crime:
I - no exerccio de cargo ou funo pblica ou a pretexto de exerc-la;
II - prevalecendo-se de relaes domsticas, de coabitao ou de hospitalidade; ou
III - prevalecendo-se de relaes de parentesco consangneo ou afim at o terceiro
grau, ou por adoo, de tutor, curador, preceptor, empregador da vtima ou de quem,
a qualquer outro ttulo, tenha autoridade sobre ela, ou com seu consentimento.
137
2. Quesitao
essencial que os quesitos estejam diretamente relacionados ao
fato investigado, que sejam claros e especficos:
1. Evitar que os quesitos referenciem todo o contedo da mdia questionada.
Ex.: Descreva os arquivos existentes no disco rgido
2. Evitar que os quesitos induzam verificao individual de todos os arquivos
presentes na mdia questionada. Ex.: H arquivos relacionados a <tal pessoa ou
empresa> na mdia questionada ?
3. Evitar quesitos que exijam conhecimento jurdico de um perito especialista em
informtica. Ex.: Existe algum indcio de crime na mdia questionada ?
4. Sempre que possvel, utilizar quesitos especficos, que permitam buscas com
base em palavras-chave.
Ex.:
Existem na mdia questionada, arquivos
relacionados empresa XPTO ?
5. Sempre que possvel, utilizar quesitos especficos e detalhados: Ex.: H, na
mdia questionada, mensagens de correio eletrnico enviadas pela conta
usuario@dominio.com.br, contendo anexos em formato .pdf ?
138
3. Estrutura de Diretrios Linux
139
4. Definies
I. Vestgios
... so elementos materiais que podem conter informaes
relacionadas ao fato que buscamos apurar desde o incio de
uma investigao ou percia.
II. Indcios
... toda circunstncia conhecida e provada que, ao ter relao
com o fato, nos autorize, por induo, a concluir a existncia
de outra, ou de outras, circunstacia(s). (Art. 259 CPP)
III. Evidncia
... o vestgio verdadeiro existente mesmo antes do incio de
um fato ocorrido, como define a Criminalstica legal.
140
4. Definies
IV. Preservao
A regra nmero um em uma investigao no destruir ou
alterar provas.
Portanto, as evidncias precisam ser
preservadas.
E para que as evidncias no sejam
comprometidas, substitudas ou perdidas durante o transporte
ou manuseio no laboratrio, devemos preserv-las da melhor
maneira possvel.
Claudemir Queiroz e Raffael Vargas (2010, p.25) citando
Andrey R. Freitas
141
5. Os metadados so armazenados nos i-nodes
Estrutura de i-nodes em
sistemas de arquivos EXT-3
Cada diretrio/ arquivo identificado por um inode

O inode exclusivo somente para o dispositivo (partio) no qual est contido, portanto, para
identificar um arquivo, o kernel deve ter o nmero do dispositivo e o inode do arquivo
Cada arquivo possui um nico inode, no importando por quantos nomes este arquivo
identificado no sistema, logo, o conjunto de inodes que indica o nmero de
arquivos/diretrios que o sistema possui
Ver tambm http://www.vivaolinux.com.br/artigo/Sistemas-de-arquivos-EXT3-e-ReiserFS-no-GNU-Linux?pagina=6
142
Referncias
1. http://pt.wikipedia.org/wiki/Forense_computacional ; acessado em 17/02/2012
2. Famer, Dan, Venema,Wietse. Percia Forense Computacional: Teoria e Prtica, 1 ed. So
Paulo: Pearson Prentice Hall, 2007
3. http://drdobbs.com/cpp/184404275 ; acessado em 17/02/2012
4. http://www.porcupine.org/forensics/forensic-discovery/chapter2.html ; acessado em 17/02/2012
5. http://computer-forensics.sans.org/blog/2010/11/02/digital-forensics-time-stamp- manipulation/ ;
acessado em 25/02/2012
6. https://sites.google.com/a/cristiantm.com.br/forense/forense-computacional/processo-deinvestigacao ; acessado em 25/02/2012
7. http://www.cefetrn.br/~rk/seginfo2009_2_rk.pdf ; acessado em 25/02/2012
8. http://eron-tads.blogspot.com/2011/03/pericia-forense-computacional-e.html ;
acessado em 01/03/2012
9. http://www.forensicswiki.org/wiki/EnCase ; acessado em 01/03/2012
10.http://en.wikipedia.org/wiki/Dd_(Unix) ; acessado em 01/03/2012
11.http://www.expertlaw.com/library/forensic_evidence/computer_forensics_101.html ; acessado em
01/03/2010
12.http://www.techrepublic.com/blog/security/computer-forensics-finding-hidden-data/232 ; acessado
em 01/03/2012
143
Referncias
13.http://eriberto.pro.br/blog/?p=279 ; acessado em 01/03/2012
14.http://www.infosegura.eti.br/Forense/duplicacao_hdd.php ; acessado em 09/04/2012
15.Eleutrio, P. M. S.; Machado, M. P. Desvendando a Computao Forense, 1 ed. So Paulo:
Novatec Editora, 2010
16.Queiroz, C.; Vargas, R. Investigao e Percia Forense Computacional: Certificaes, Leis e
Processuais Estudos de Caso, 1 ed. Rio de Janeiro: Brasport, 2010
17.Ng, Reynaldo Forense Computacional Corporativa: Motivadores, Planejamento e Custo,
Metodologia, 1 ed. Rio de Janeiro: Brasport, 2007
144
Fundamentos da Percia Forense Computacional

Osmany Dantas R. de Arruda 2012 v1.1
Atualizado em 20/02/14
145

Forense v1

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Forense v1

Enviado por

Direitos autorais:

Formatos disponíveis

Percia Forense

Osmany Dantas R. de Arruda

Aspectos legais fundamentais

Situaes que justificariam a necessidade de percia

Defacements com violao de dados de sites;

Defacements com difamao em sites;

Roubo de dados (ex.: usando phishing scam);

Retiradas e transferncias de contas bancrias;

Investigaes sobre pedofilia (pornografia infanto-juvenil);

Investigaes sobre crimes comuns com indcios de provas em

Caractersticas bsicas do perito

Profundos conhecimentos tcnicos;

Conhecimento de ferramentas especficas;

- O perito no um policial nem juiz...

Atribuies do perito forense computacional

Identificar a origem de ataques

Investigar e rastrear o uso de mensagens eletrnicas

mau uso em equipamentos de informtica

Preservar dispositivos atravs cpia fiel e integral de mdias

O que devemos procurar ?!

Agora, algumas palavras sobre a procura das coisas. Quando

Como orientar nossa procura ?!

O conhecimento bsico das leis ajudar a identificar os

Estelionato por meio de phishing scam

Estelionato: Art. 171 (CP) - Obter, para si ou para outrem, vantagem

A anlise de servidores de arquivos dever ser precedida de clara

A poltica de segurana da instituio dever

Dos Direitos e Garantias Fundamentais

LEI N 9.296, DE 24 DE JULHO DE 1996

Art. 10. Constitui crime realizar interceptao de comunicaes telefnicas,

Lei n 12.737, de 30 de Novembro de 2012

Lei n 12.737, de 30 de Novembro de 2012

Preservao e o Princpio da Incerteza de Heisenberg

Registradores, memria perifricos, caches, etc.

Disquetes, mdias de backup

Ao realizar-se qualquer operao em uma camada, as

Confiabilidade das Informaes

Anlise das informaes a partir de um sistema

Voc est realmente vendo vestgios do ocorrido, ou o que

Mltiplas fontes de informao independentes entre si

Verificao de inconsistncias entre as informaes destas

Exemplo 1 Verificar consistncia dos registros de login

Exemplo 1 Verificar consistncia dos registros de login

Algumas vezes, determinar-se quando um incidente ocorreu, pode ser

H duas formas de coletar-se dados referentes ao tempo:

MAC Time, abreviao para:

CTIME tem diferentes interpretaes entre sistemas Linux e Windows,

Data de criao, ou ltima modificao

Trabalhando com MAC Times

2.2: Verificao dos MAC Times de um diretrio

Consideraes sobre os MAC Times

O cclulo do hash do arquivo poder alterar o atime

Exemplo 2.3: Alterao do atime pelo clculo do hash do arquivo

Consideraes sobre os MAC Times

Exemplo 2.4: Alterao do atime do arquivo pela interface grfica

Consideraes sobre os MAC Times

Exemplo 2.4: Alterao do atime do arquivo pela interface grfica

Consideraes sobre os MAC Times

Exemplo 2.4: Alterao do atime do arquivo pela interface grfica

Consideraes sobre os MAC Times

Ferramentas para gerenciamento de arquivos podem alterar o atime

Consideraes sobre os MAC Times

MAC Times podem ser facilmente forjados