Scribd Logo
Fazer o upload

Bem-vindo(a) ao Scribd!

  • Lab-Windows Live IPT

    Enviado por

    Sandro Melo
    5 visualizações2 páginas

    Título original

    Lab-windows_live_IPT

    Direitos autorais

    © © All Rights Reserved

    Formatos disponíveis

    PDF, TXT ou leia online no Scribd

    Você considera este documento útil?

    Este conteúdo é inapropriado?

    Denunciar este documento

    Direitos autorais:

    © All Rights Reserved
    Baixe no formato PDF, TXT ou leia online no Scribd
    Sinalizar o conteúdo como inadequado
    5 visualizações2 páginas

    Lab-Windows Live IPT

    Enviado por

    Sandro Melo

    Direitos autorais:

    © All Rights Reserved
    Baixe no formato PDF, TXT ou leia online no Scribd
    Sinalizar o conteúdo como inadequado
    de 2

    LABORATÓRIO: FORENSIC sistema “vivo” Sistema Operacional Windows

    Propósito

    O propósito deste Laboratório é a familiarização com as ferramentas e técnicas


    requeridas para coletar evidências em computadores vivos. O sistema operacional
    Windows que você estará coletando as evidências (ainda) não foi comprometido, mas
    você deve tratar as máquinas como se elas tivessem sido comprometidas.

    Procedimento:

    PARTE-I

    Em todas as etapas desta primeira parte do Laboratório, o Perito deverá salvar em


    disquete as informações colhidas no sistema a ser pereciado. O disquete deverá ser
    entregue ao professor como parte do resultado do Laboratório

    1. Ligar a estação comprometida no Sistema Operacional windows.


    2. Inserir o CD com as ferramentas forense.
    3. Abrir um prompt com o cmd.exe localizado no CD. Não abrir programa na
    estação que está sendo periciada.
    4. Inserir o disquete formatado no drive.
    5. LEMBRE-SE: O sistema que você está analisando está comprometido e todas
    as evidências devem ser salvas no disquete. Nenhuma evidência pode ser salva
    no sistema analisado.
    A observância do correto comando com o número “x” do Perito é de
    fundamental importância para a correta avaliação do Laboratório
    6. Pegar a data do sistema: date /t > a:\win2k-grupox.txt
    7. Pegar a hora: time /t | nc 192.168.100.200 x000; onde x é o número da porta.
    8. Pegar o uptime: uptime| nc 192.168.100.200 x000; onde x é o número da porta.
    9. Verifique quem você é: id | nc 192.168.100.200 x000; onde x é o número da
    porta.
    10. Verifique quem mais está conectado: psloggedon | nc 192.168.100.200 x000;
    onde x é o número da porta.
    11. Informação do sistema: psinfo | nc 192.168.100.200 x000; onde x é o número da
    porta.
    12. Informação sobre o sistema: env| nc 192.168.100.200 x000; onde x é o número
    da porta.
    13. Lista dos processos: pslist| nc 192.168.100.200 x000; onde x é o número da
    porta.
    14. Outra maneira de se pegar os processos: ps –ealW| nc 192.168.100.200 x000;
    onde x é o número da porta.
    15. Pegar o status dos serviços: psservice| nc 192.168.100.200 x000; onde x é o
    número da porta.
    16. Listar as conexões ativas: netstat –an| nc 192.168.100.200 x000; onde x é o
    número da porta.
    17. Listar as conexões ativas por processo: fport| nc 192.168.100.200 x000; onde x é
    o número da porta.
    18. Listar todas as dlls em uso: listdlls| nc 192.168.100.200 x000; onde x é o número
    da porta.
    19. Pegar as informações de rede: ipconfig /all| nc 192.168.100.200 x000; onde x é o
    número da porta.
    20. Pegar as informações do volume do drive: volume_dump| nc 192.168.100.200
    x000; onde x é o número da porta.
    21. Calcule o md5sum das informações coletadas:
    a. md5sum a:\win2k-grupox.txt > a:\win2k-grupox.md5
    22. Ao final do Laboratório, entregar o disquete ao professor com o número do
    Perito e respectivos nomes. Verificar se os arquivos estão mesmo no disquete.

    PARTE-II

    23. Adquirir a imagem da memória da máquina investigada e enviar por netcat para
    a estação forense.
    a. Lembre-se que a observância do correto comando com o número do
    Perito é de fundamental importância para a correta avaliação do
    Laboratório
    b. dd if=\\.\PhisicalMemory conv=noerror --md5sum | nc 192.168.100.200
    x000; onde x é o número da porta.
    Antes de executar este comando você deve executar o netcat no modo
    listen na estação forense:
    c. nc –l –p x000 > /grupox/winramx.img
    i. Anotar o “total Physical Memory”
    d. A opção -- md5sum faz com que o dd calcule o md5sum dos dados.
    i. Após enviar a imagem da memória para a estação forense, anote
    o resultado do md5sum e execute o comando na estação forense:
    1. md5sum c:\nce\grupox\winramx.img >
    c:\nce\grupox\winram.img.md5
    ii. Verifique se este md5sum coincide com o md5 calculado pelo dd
    na estação da vítima quando a imagem da memória foi criada.

    PARTE-III

    Após terminar as duas partes do Laboratório, execute um teste de busca de um


    programa que possa estar servindo de “backdoor” no sistema. Utiliza os comandos
    “grep” e o “strings” para buscar uma palavra específica.

    24. Utilizar o grep para procurar no conteúdo da memória pela string “cryptcat”.
    a. dd if=\\.\PhysicalMemory conv=noerror | strings ! grep crypcat
    25. Repetir a busca na imagem.
    a. grep cryptcat c:\nce\grupox\winramx.img
    26. Você encontrou a string “cryptcat” na memória?
    27. Quando você repetiu o comando na imagem da memória você encontrou o
    mesmo resultado. Se o resultado foi diferente, como você explicaria este
    ocorrido.
    28. Se a string foi descoberta na memória, existe suspeita de que sua máquina está
    com o programa crypcat instalado? Por que ou Por que não?

    Você também pode gostar