Scribd Logo
Fazer o upload

Bem-vindo(a) ao Scribd!

  • Guia Forense 1.1 Parte 2

    Enviado por

    VivianEspinola
    34 visualizações2 páginas
    pericia forense

    Direitos autorais

    © © All Rights Reserved

    Formatos disponíveis

    PDF, TXT ou leia online no Scribd

    Você considera este documento útil?

    Este conteúdo é inapropriado?

    Denunciar este documento
    pericia forense

    Direitos autorais:

    © All Rights Reserved
    Baixe no formato PDF, TXT ou leia online no Scribd
    Sinalizar o conteúdo como inadequado
    34 visualizações2 páginas

    Guia Forense 1.1 Parte 2

    Enviado por

    VivianEspinola
    pericia forense

    Direitos autorais:

    © All Rights Reserved
    Baixe no formato PDF, TXT ou leia online no Scribd
    Sinalizar o conteúdo como inadequado
    de 2

    Pgina4

    5.Oquebuscarnaanlise(continuao)
    Emcasosdeinvasoporredeou
    comprometimentolocaldoSO
    Analisediretriosrelevantes.
    Busquerastrosdooponenteemoutrosdiretrios.
    Busqueporrootkitsebackdoors.
    Verifiqueseosistemaoperacionalestavaatualizado.
    Inicieaverificaopelospacotesmaisrelevantes.
    Exemplo:Apache,PHPeJavaemumdefacement.

    6.Algunscomandoseferramentas
    InstaleoSleuthKit.
    lslta:mostraadataeahoradecriaooumodificao
    dearquivosediretrios.

    lslua:mostraadataeahoradeacessoaarquivose
    diretrios.

    stat:mostradadosgeraisdeumarquivo.Ex:MACtimes.
    strings+grep:fazchovernoNordeste.
    chkrootkiterkhunter:procuramporrootkits.Exemplos:
    #chkrootkitr/mnt
    #rkhunterupdate;rkhuntercr/mnt

    clamav:procuraporwormsevrus.Exemplo:
    #freshclam;clamscanr/mnt

    fls+mactime:estabeleceumalinhadetempo(timeline).
    find:dentreoutrascoisas,podeprocurarporarquivos
    emdiversassituaes.Exemplodebuscaparaarquivos
    modificadosnosltimos2dias:
    #find/mnt/mtime2print

    foremost:buscaporarquivos,apagadosouno,em

    imagensdediscoememria.interessanteutilizlo
    comousuriocomumparapoderabrirarquivos
    encontrados.Ouusesuxparasetornarroot.Exemplo:
    $foremostTmemoria.dd

    Comarecuperaarq.danificadosmasdfalsospositivos.

    Pgina5

    magicrescue:idnticoaoforemost.Noentanto,pode
    produzirresultadosdiferentes.Usarecipes.Vejaosem
    /usr/share/magicrescue/recipes.Exemplo:
    $mkdirmr;magicrescuermsofficedmr
    imagem.dd

    hexedit:mostraeeditacontedosemhexadecimale

    ASCII.umambiente.Paralinhadecomandosimples
    utilizehexdump.

    mcview:mostraeeditacontedosemASCII.
    file:mostracaractersticasdearquivos.tilcom
    imagens,fotos,documentosofficeeexecutveis.

    okular(KDE)eevince(Gnome)paracontedosdiversos.
    gwenview,pornviewegimppodemserutilizadospara
    verfotos(inclusivedanificadas).

    mmlsoufdisklu:mostradadossobreaarquiteturade
    umdiscoapartirdaanlisedeumaimagem.

    metacam:mostradadosexifdeimagensJPG.
    Mais?aptcachesearchforensicouhttp://bit.ly/forense

    "Guiaderefernciarpida"

    percia Linux COM


    Debian GNU/Linux
    Parte2:

    Anlisedeevidnciaselaudo
    Verso1.103desetembrode2010

    (vejaoitem"Pginascomferramentasetutoriais").

    7.Laudo
    Olaudodeperciaforense,em3vias,deverconter:
    nome,CPFecontatosdoperito;
    perododerealizaodaforense;
    breverelatodoocorrido(incluinotciasiniciais);
    dadosgeraissobreohardwarepericiado;
    detalhamentodosprocedimentosrealizados(um
    segundoperitodevertercondiesderefazertodos
    osprocedimentos,casoalgumaautoridaderequeira);

    dados,fatoseindciosrelevantesencontrados;
    conclusoerecomendaes;
    apndices(incluicertificadodeintegridade)eanexos.
    Obs:apndicescontmmaterialproduzidopeloperito.
    Anexoscontmmaterialcolhidopeloperito.

    2010byJooEribertoMotaFilho
    http://www.eriberto.pro.br/forense
    eriberto@eriberto.pro.br
    2048R/2DF0491F:1D75E212B34CF4BFA9E0D0D8DE6DE039C1CFC265

    Pgina1

    1.Prembulo
    Esteguiaderefernciafoicriadocomointuitodeservir
    comoorientaoechecklistparaprofissionaisquerealizam
    perciasforensescomputacionais.
    Assim,estedocumentoresumeecomplementaapalestra
    ForensecomputacionalemLinuxfordummies,disponvel
    emhttp://www.eriberto.pro.br/palestraseoartigode
    wikiForensecomputacional,disponvelnoendereo
    http://www.eriberto.pro.br/forense.

    2.Ambientedeanliseforense
    Umavezcolhidososdadosiniciaiseimagens(vejao
    guiaquecontmaparte1),aperciadeverser
    realizadaemambienteprprio.

    Oambientedeverter,porexemplo,oTheSleuthKit
    (TSK)instalado(noDebian,#aptgetinstallsleuthkit).

    OTSKosucessordoTCT(TheCoroner'sToolkit).
    OAutopsyumfrontendwebparaoSleuthKit.
    HferramentasprontasemLiveCD/DVD,casovoc

    noqueiraconstruirumambientemanualmente.Veja
    http://eriberto.pro.br/forense.

    3.Aesiniciaisnapercia
    Ahistriaeosfatos
    Aprimeiraaoserouvirahistriacontadaporquem
    solicitouaperciadeumadeterminadamquina.

    Operitodeveanotarahistriaefazerperguntasque
    esclareampontosobscuros.

    Dasanotaessurgirumalinhadeinvestigaoe
    palavraschaveaseremutilizadasnaanlise.

    Buscardadoscomplementaresusandoengenharia
    socialououtrosmtodos.

    Criarumalistadepalavraschavecombasenahistria
    contadaenosdadoslevantadoscomengenhariasocial.

    Pgina2

    Ordenaocronolgica(timeline)
    Utilizadaemmquinasinvadidasremotamenteou
    quandosequerbuscarmanipulaesemarquivos,
    ocorridasdentrodeumadeterminadafaixadetempo.

    Nemsempresernecessriotrabalharcomtimelines.
    FeitasobreosMACtimes(Modify/readAccess/status
    Change).

    TimelinedefilesystemcomSleuthKit(aindano
    suportaplenamenteoExt4):
    #flsrm/imagem.dd>imagem.dd.timeline
    #mactimebimagem.dd.timeline

    Casosejanecessriovereventosdesde10ago.2010:
    #mactimebimagem.dd.timeline20100810

    Casosejanecessriovereventosentre10ago.2010e
    15ago.2010:

    #mactimebimagem.dd.timeline201008
    10..20100815

    Criaodelistadestrings
    Alistadestringsdevesercriadaparadiminuiro

    espaoaservarridoduranteabuscaporumapalavra
    ouexpresso.

    Pordefault,ocomandostringsconsideraqualquer
    sequnciade4caracteresimprimveis.Issopodeser
    mudadocomaopon.

    Criaralistaapartirdasimagensdediscoememria.
    #stringsmemoria.dd>memoria.dd.strings

    Parafazerumabusca,usegrep,egrepoufgrep.
    Exemplo:
    #catmemoria.dd.strings|grepibras.lia

    Nocasoanterior,comogrepentendeexpresses
    regulares,ocaracterepontofoiutilizadonolugarde
    umpossvel"i"acentuado.

    Sevocprecisadeumguiarpidosobreexpresses
    regulares,consultehttp://bit.ly/wper.Paradiversos
    guias,consultehttp://aurelio.net/er.

    Pgina3

    4.Cuidadoscomasimagens
    Casohajaanecessidadedemontaralgumaimagemde
    disco,faaosomentenomodoreadonly.Exemplos:
    #mountoloop,roimagem.dd/mnt
    #mountoloop,ro,offset=32256imagem.dd/mnt

    Lembresequessepodemontarimagensdeparties
    deHDoumdiasremovveis.Imagensdememria
    (incluindooswap)devemseranalisadasdiretamente.

    Sempretrabalheemumacpiadecadaimagem.Isso
    permitirquevoctenhaumaimagemoriginalcaso
    ocorraalgumacidenteouoperaoindevida.

    5.Oquebuscarnaanlise
    Emqualquercaso
    Verifiqueosarquivosmodificadosdentrode
    determinadafaixadetempo(timeline).

    Busqueporpalavraschaverelevantesnasimagens.
    Analiselogs(dentrodamemriaounofilesystemcom
    strings,porexemplo).

    Analiseamemriaeoswap.Busque,dentreoutras
    coisas,porsenhasearquivos.Parasenhas,utilize
    palavraschaveedicionrios.

    Sepudermontaralgumaimagemdedisco,analise:
    /tmp
    /var/tmp
    /home
    outrosdiretriosdeinteresse.
    Analiseaspropriedadesdearquivosdotipooffice,
    PDF,imagensJPG(dadosexif)eoutros.

    Figuraspodemconteresteganografia.
    Arquivoscriptografadospossuemsenhaeamesma
    podeestarnamemria.
    Continua...

    Você também pode gostar