Escolar Documentos
Profissional Documentos
Cultura Documentos
Sandro Melo
(sandro.melo@bandtec.com.br)
About me
File System
String Extracts Layer
& (3rd)
Analysis with Regex
Analise de
Artefatos Metadata
Layer
File (4rd)
Relatório Carving File Layer
(5rd)
O Processo da
Forense de Memória
# grep -E "[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}"
DUMP.img.str
# grep -i "\/exploit\/" DUMP.img.str
# grep -i "rootkit\/" DUMP.img.str
Uma vez que foi possível reunir todas essa informações pode-
se usar o comando DD para extrair o pedaço de fluxo de
bytes que corresponde ao arquivo em uma respectiva
imagem:.
# echo $((0x00052a0))
21152
# file file_carving.jpg
file_carving.jpg: JPEG image data, JFIF standard 1.01
# tkjpeg file_carving.jpg
# ELF Binary
# jpg y 20000000 \x7f\x45\x4c\x46\x01\x01\x01\x00
# dsniff -p tcpxtract.conf
# msgsnarf -p trafego_de_rede.pcap
# mailsnarf -p trafego_de_rede.pcap
# urlsnarf -p trafego_de_rede.pcap
.
12ª Conferencia Latino-americana de Software Livre
Conclusão
Por favor,
levante a
mão...
DEMO