Comandos voltados a pericia forense

Neste bate papo você ira..

➢ Trabalhar com ferramentas de linha de comando que permitem a

investigação do conteúdo de sistemas de arquivos.

1
Comandos voltados a pericia forense

Pacote Forense de Ferramentas

➢ Facilitam o trabalho de analisar e extrair evidências de imagens de

disco.

➢ Permitem recuperar arquivos removidos.

➢ São flexíveis, permitindo a análise de sistemas de arquivos

diferentes.

➢ A quantidade de dados é muito grande, então ferramentas

específicas tornam o trabalho mais fácil.

2
Comandos voltados a pericia forense

Pacote Forense de Ferramentas

➢ Ferramentas do Nível de Sistema de Arquivos

➢ Ferramentas do Nível de Nomes de Arquivos

➢ Ferramentas do Nível de Metadados

➢ Ferramentas do Nível de Blocos de Dados

➢ Outras ferramentas

3
Comandos voltados a pericia forense

Pacote Forense de Ferramentas

Existem dois pacotes importantes para Linux:

1 The Coroner’s Toolkit

2 The Sleuth Kit

➢ Sleuth Kit foi criado com base no Encase para Windows

primeiramente e possui mais funcionalidades e flexibilidade.

➢ Outras ferramentas facilitam o trabalho do analista, tal como o

Autopsy, uma interface web para os programas do Sleuth Kit.

4
Comandos voltados a pericia forense
Pacote Forense de Ferramentas
Vamos utilizar o pacote Sleuth Kit: por
possuir:
➢ Maior flexibilidade das ferramentas;
➢ Trabalha com dispositivos de disco
ou imagens binárias;
➢ Reconhece diversos sistemas de
arquivos;
➢ Sem custo de utilização.
5
As ferramentas do Sleuth Kit estão
divididas em grupos, de acordo com as
estruturas de um sistema de arquivos:
➢ Sistema de arquivos;
➢ Estruturas de nomes de arquivos;
➢ Estruturas de metadados;
➢ Estruturas de journaling;
➢ Estruturas de blocos de dados;
➢ Estruturas de gerenciamento de
partições;
➢ Estruturas de acesso físico ao
disco.
Comandos voltados a pericia forense

Pacote Forense de Ferramentas

Cada arquivo em um sistema Unix possui um único inode.
Cada inode contém:

1 Identificação do owner 5 Número de links

2 Tipo do arquivo 6 Tabela de conteúdo

3 Permissões de acesso 7 Tamanho do arquivo

4 Tempo de acesso 8 Lista de blocos de dados do

arquivo

6
Comandos voltados a pericia forense

Pacote Forense de Ferramentas

Qual a importância dos inodes e da forma de alocação de dados no
disco?

➢ Quando um arquivo é apagado os dados continuam no disco e

podem ser recuperados até que sejam sobrescritos.
➢ Algoritmos de alocação de espaço evitam colisão.

Conclusão
Arquivos apagados são frequentemente recuperados com
sucesso e possuem informações valiosas.

7
Comandos voltados a pericia forense

Sleuth Kit
mmls

➢ Mostra o esboço da partição de um volume do sistema (tabela de

partição).

SYNOPSIS
➢ mmls [-t mmtype ] [-o offset ] [ -i imgtype ] [-b dev_sector_size]
[-BrvV] [-aAmM] image [images]

Exemplo
# mmls dump.dd

8
Comandos voltados a pericia forense

Sleuth Kit
mmstat

➢ Mostra os detalhes sobre volumes do sistema (tabela de partição).

SYNOPSIS

➢ mmstat [-t mmtype ] [-o offset ] [ -i imgtype ] [-b

dev_sector_size] [-vV] image [images]

Exemplo
# mmstat dump.dd

9
Comandos voltados a pericia forense

Sleuth Kit
fsstat
➢ Mostra os detalhes gerais de um sistema de arquivo.

SYNOPSIS
➢ fsstat [-f fstype ] [-i imgtype] [-o imgoffset] [-b dev_sector_size] [-tvV]
image [images]

Exemplo
# fsstat -f fat -o 62 dump.dd

10
Comandos voltados a pericia forense

Sleuth Kit
ifind

➢ Encontra a estrutura de metadados que foi alocada para uma

unidade de disco ou nome de arquivo.

SYNOPSIS

➢ ifind [-avVl] [-f fstype] [-d data_unit] [-n file] [-p par_inode] [-z ZONE]
[-i imgtype] [-o imgoffset] [-b dev_sector_size] image [images]

Exemplo
# ifind -f fat -o 62 -d 10000 dump.dd

11
Comandos voltados a pericia forense

Sleuth Kit
ffind
➢ Encontra o nome de um arquivo ou diretório pelo inode.

SYNOPSIS
➢ fffind [-aduvV] [-f fstype] [-i imgtype] [-o imgoffset] [-b
dev_sector_size] image [images] inode

Exemplo
# ffind -f fat -o 62 dump.dd 8

12
Comandos voltados a pericia forense

Sleuth Kit
istat

➢ Mostra os detalhes de uma estrutura de metadados, isto é, inode.

SYNOPSIS

➢ istat [-B num ] [-f fstype ] [-i imgtype] [-o imgoffset]

[-b dev_sector_size] [-vV] [-z zone ] [-s seconds ] image [images]
inode

Exemplo
# istat -o 62 dump.dd 8

13
Comandos voltados a pericia forense

Sleuth Kit
fls
➢ Lista os nomes dos arquivos e diretórios de uma imagem de disco.

SYNOPSIS

➢ fls [-adDFlpruvV] [-m mnt ] [-z zone ] [-f fstype ] [-s seconds ] [-i
imgtype ] [-o imgoffset ] [-b dev_sector_size] image [images] [ inode ]

Exemplo
# fls -ro 62 dump.dd
# fls -ro 0001051520 dump.dd

14
Comandos voltados a pericia forense

Sleuth Kit
icat
➢ Retorna o conteúdo de um arquivo baseado no seu número inode.

SYNOPSIS

➢ icat [-hrsvV] [-f fstype ] [-i imgtype ] [-o imgoffset ]

[-b dev_sector_size] image [images] inode

Exemplo
# icat -o 62 dump.dd 8

15
Comandos voltados a pericia forense

Sleuth Kit
sigfind

➢ Encontra a assinatura binária em um arquivo.

SYNOPSIS
➢ sigfind [-b bsize ] [-o offset ] [-t template ] [-lV] [ hex_signature ] file

Exemplo
sigfind -t fat dump.dd

16
Comandos voltados a pericia forense

Sleuth Kit
ils
➢ Lista a informação do inode.

SYNOPSIS
➢ ils [-emOpvV] [-f fstype ] [-s seconds ] [-i imgtype ] [-o imgoffset ]
[-b dev_sector_size] image [images] [start-stop]
➢ ils [-aAlLvVzZ] [-f fstype ] [-s seconds ] [-i imgtype ] [-o imgoffset ]
image [images] [start-stop]

Exemplo
# ils -o 62 dump.dd

17
Comandos voltados a pericia forense

Sleuth Kit
img_stat

➢ Mostra os detalhes de um arquivo imagem.

SYNOPSIS
➢ img_stat [-i imgtype] [-b dev_sector_size] [-tvV] image [images]

Exemplo
# img_stat dump.dd

18
Comandos voltados a pericia forense

Sleuth Kit
img_cat

➢ Retorna o conteúdo de um arquivo imagem.

SYNOPSIS

➢ img_cat [-i imgtype] [-b dev_sector_size] [-s start_sector]

[-e stop_sector] [-vV] image [images]

Exemplo
# img_cat dump.dd
# img_cat dump.dd | strings -a > img_cat_dump.txt

19
Comandos voltados a pericia forense

Sleuth Kit
tsk_gettimes

➢ Coleta os MAC times de uma imagem de disco para um arquivo.

SYNOPSIS

➢ tsk_gettimes [-vV] [ -f fstype ] [ -i imgtype ] [ -b dev_sector_size ]

[ -z zone ] [ -s seconds ] image [images]

Exemplo
# tsk_gettimes dump.dd

20
Comandos voltados a pericia forense

Sleuth Kit
tsk_comparedir
➢ Compara o conteúdo de um diretório com o conteúdo de uma
imagem ou dispositivo local.

SYNOPSIS
➢ tsk_comparedir [-vV] [-n start_inum ] [ -f fstype ] [ -i imgtype ] [ -b
dev_sector_size ] [ -o sector_offset ] image [images]
comparison_directory

Exemplo
# tsk_comparedir -o 62 dump.dd /tmp

21
Comandos voltados a pericia forense

Sleuth Kit
tsk_loaddb

➢ Popula um banco de dados SQLite com os metadados de uma

imagem de disco.

SYNOPSIS
➢ tsk_loaddb [-ahkvV] [ -i imgtype ] [ -b dev_sector_size ] [ -i imgtype ]
[ -d database ] image [images]

Exemplo
# tsk_loaddb dump.dd

22
Comandos voltados a pericia forense

Sleuth Kit
tsk_recover
➢ Exporta os arquivos de uma imagem para um diretório local.

SYNOPSIS
➢ tsk_recover [-vVae] [ -f fstype ] [ -i imgtype ] [ -b dev_sector_size ] [ -o
sector_offset ] [ -d dir_inum ] image [images] output_dir

Exemplo
# tsk_recover -o 62 dumo.dd /tmp/

23
Comandos voltados a pericia forense

Sleuth Kit
srch_strings

➢ Mostra os caracteres imprimíveis das strings de um arquivo.

SYNOPSIS
➢ srch_strings [option(s)] [file(s)]

Exemplo
# srch_strings dump.dd

24
Comandos voltados a pericia forense

Sleuth Kit
hfind
➢ Consulta um valor de Hash em uma base de dados de Hash.

SYNOPSIS
➢ hfind [-i db_type ] [-f lookup_file ] [-eq] db_file [hashes]

Exemplo
# md5sum /bin/* /sbin/* /usr/bin/* /usr/bin/* /usr/local/bin/*
/usr/local/sbin/* > system.md5
# hfind -i md5sum system.md
# md5sum /bin/* | hfind system.md5
928682269cd3edb1acdf9a7f7e606ff2 /bin/bash
25
Comandos voltados a pericia forense

Sleuth Kit
blkls

➢ Lista as unidades de dados do sistema de arquivos (blocos).

SYNOPSIS
➢ blkls [-aAelsvV] [-f fstype ] [-i imgtype ] [-o imgoffset ]
[-b dev_sector_size] image [images] [start-stop]

Exemplo
# blkls -o 62 dump.dd

26
Comandos voltados a pericia forense

MACtimes – Sleuth Kit

Em uma investigação forense, o dado bruto muitas vezes não nos fornece nenhuma
informação sobre algum fato ocorrido.
O uso dos MACtimes em uma investigação é algo simples de entender e utilizar.

➢ atime – último momento em que ocorreu acesso ao arquivo. Exemplo: cat arquivo
➢ ctime – último momento em que ocorreram modificações no conteúdo e meta-
informações de um arquivo. Exemplo: chown usuario arquivo
➢ mtime – último momento em que ocorreu alguma modificação no conteúdo do
arquivo. Exemplo: echo ” ” >> arquivo

Existe a ferramenta mactime, parte do conjunto de aplicações forenses sleuthkit,

que possui a capacidade de construir uma linha do tempo de acordo com uma
base de dados criada previamente pela ferramenta mac-robber.

27
Comandos voltados a pericia forense

MACtimes – Sleuth Kit

Necessário instalação do comando mac-robber:
➢ aptitude install mac-robber

SYNOPSIS
➢ mac-robber [OPTION]
➢ mac-robber <DIRECTORY>
Exemplo
# mkdir forense_teste
# touch forense_teste\arq1 ; touch forense_teste\arq2 ; touch
forense_teste\arq3
# mac-robber forense_teste > analise
# mactime -b analise
28
Comandos voltados a pericia forense

Foremost – Sleuth Kit

O foremost é uma ferramenta de recuperação de arquivos desenvolvido por
dois agentes especiais do grupo de investigações da Força Aérea dos
Estados Unidos: o agente Kris Kendall e Jese Komblum e foi modificada
por um pesquisador naval chamado Nick Mikus que tornou a ferramenta
ainda mais eficiente.

➢ # aptitude install foremost

SYNOPSIS

➢ foremost [-h] [-V] [-d] [-vqwQT] [-b <blocksize>] [-o <dir>] [-t <type>]
[-s <num>] [-i <file>]
29