Escolar Documentos
Profissional Documentos
Cultura Documentos
Propósito
Procedimento:
PARTE-I
PARTE-II
23. Adquirir a imagem da memória da máquina investigada e enviar por netcat para
a estação forense.
a. Lembre-se que a observância do correto comando com o número do
Perito é de fundamental importância para a correta avaliação do
Laboratório
b. dd if=\\.\PhisicalMemory conv=noerror --md5sum | nc 192.168.100.200
x000; onde x é o número da porta.
Antes de executar este comando você deve executar o netcat no modo
listen na estação forense:
c. nc –l –p x000 > /grupox/winramx.img
i. Anotar o “total Physical Memory”
d. A opção -- md5sum faz com que o dd calcule o md5sum dos dados.
i. Após enviar a imagem da memória para a estação forense, anote
o resultado do md5sum e execute o comando na estação forense:
1. md5sum c:\nce\grupox\winramx.img >
c:\nce\grupox\winram.img.md5
ii. Verifique se este md5sum coincide com o md5 calculado pelo dd
na estação da vítima quando a imagem da memória foi criada.
PARTE-III
24. Utilizar o grep para procurar no conteúdo da memória pela string “cryptcat”.
a. dd if=\\.\PhysicalMemory conv=noerror | strings ! grep crypcat
25. Repetir a busca na imagem.
a. grep cryptcat c:\nce\grupox\winramx.img
26. Você encontrou a string “cryptcat” na memória?
27. Quando você repetiu o comando na imagem da memória você encontrou o
mesmo resultado. Se o resultado foi diferente, como você explicaria este
ocorrido.
28. Se a string foi descoberta na memória, existe suspeita de que sua máquina está
com o programa crypcat instalado? Por que ou Por que não?