Escolar Documentos
Profissional Documentos
Cultura Documentos
MT
CE-Conselho
D FE
Digital Princípios Forenses
Machine Translated by Google
Objetivos do Módulo
Compreendendo o volátil e
1 Dados não voláteis no Linux
Objetivos do Módulo
O Windows pode ser a plataforma mais comumente usada para análise forense devido à sua popularidade em sistemas
corporativos. Existem várias ferramentas forenses digitais para sistemas que operam no Windows.
No entanto, quando se trata de conduzir investigações forenses em sistemas Linux e Mac, os investigadores se deparam com
um tipo diferente de desafio. Embora as técnicas forenses sejam as mesmas, as ferramentas usadas podem diferir.
Linux and MacOS Forensics refere-se à investigação de crimes cibernéticos envolvendo sistemas baseados em Linux e
MacOS. Para obter artefatos pertencentes ao crime cibernético nesses sistemas, os investigadores precisam estar cientes de
seus sistemas de arquivos e diretórios. Eles também devem ter um bom entendimento das ferramentas e comandos forenses
que podem ser usados para encontrar dados probatórios desses sistemas operacionais.
Este módulo discute como coletar e examinar evidências relacionadas a incidentes de crimes cibernéticos em máquinas
baseadas em Linux e MacOS. Ao final deste módulo, você será capaz de:
Fluxo do módulo
Esta seção explorará vários métodos de coleta de dados, os diferentes arquivos de log armazenados no Linux e
métodos para rastrear eventos por meio de arquivos graváveis em máquinas Linux.
O Linux é um sistema operacional de código aberto amplamente utilizado em organizações. Com o aumento do crime
cibernético, também se torna importante que os investigadores forenses estejam bem equipados com o conhecimento
necessário para coletar artefatos de máquinas Linux de maneira forense.
A análise forense do Linux envolve o uso de vários comandos/ferramentas para recuperar, examinar e analisar
artefatos valiosos pertencentes a incidentes de crimes cibernéticos envolvendo máquinas Linux.
O uso de estações de trabalho forenses Linux, por outro lado, serve como uma plataforma muito eficaz para investigar
incidentes de segurança envolvendo sistemas Linux, pois oferecem amplo suporte para vários sistemas de arquivos e
fácil acesso a ferramentas forenses digitais avançadas.
ÿ No entanto, durante a investigação forense, os investigadores precisam coletar esses dados para construir uma linha do tempo
análise do incidente ocorrido
Nome do host, data e hora Tempo de atividade Informações de rede portas abertas
e fuso horário
arquivos montado
partição de disco
Os dados voláteis são perdidos quando uma máquina é desligada/desligada. No entanto, durante a investigação forense, os
investigadores precisam coletar esses dados para construir uma análise cronológica do incidente ocorrido.
ÿ Tempo de atividade
ÿ Informações de rede
ÿ Portas abertas
ÿ Abrir arquivos
ÿ Eventos do usuário
ÿ Processos em execução
ÿ Mensagens do kernel
ÿ Identifique o nome do computador usando o ÿ Verifique a data e a hora da máquina para criar uma
comando hostname linha do tempo adequada dos eventos
Comando: Comando:
nome de anfitrião data
data +%s
Nota: O timestamp da época do Unix começa em 1º de janeiro de 1970 00:00:00 UTC (em segundos),
enquanto os timestamps da época para HFS+ e Cocoa na Apple começam em 1º de janeiro de 1904
00:00:00 UTC (em segundos) e 1º Janeiro de 2001 00:00:00 UTC (em segundos), respectivamente.
ÿ Ao obter o registro de data e hora da época, você pode usar conversores online
ou offline para converter a hora da época para a hora original.
Aqui, estamos fazendo a conversão em www.epochconverter.com
ÿ Data e Hora
O comando date , quando executado, lista a data e a hora de acordo com o fuso horário em que o sistema
operacional Linux foi configurado.
O comando cat/etc/timezone pode ser usado para coletar informações sobre o continente e fuso horário
do sistema Linux. Essas informações podem permitir que os investigadores construam um cronograma
apropriado do caso que está sendo investigado.
Os investigadores também podem calcular o horário da máquina Linux suspeita e convertê-lo em seu
próprio fuso horário usando conversores de horário online.
Comando:
data +%s
Nota: O timestamp da época do Unix começa em 1º de janeiro de 1970 00:00:00 UTC (em segundos), enquanto
os timestamps da época para HFS+ e Cocoa na Apple começam em 1º de janeiro de 1904 00:00:00 UTC (em
segundos) e 1º de janeiro 2001 00:00:00 UTC (em segundos), respectivamente.
Ao obter o registro de data e hora da época, você pode usar conversores online ou offline para converter a
hora da época para a hora original.
tempo de atividade
O comando também pode ser executado com várias opções, como -p, -s, -h e -v. O uso da opção -p filtrará
os resultados e retornará informações apenas sobre quanto tempo o sistema está em execução, enquanto
o uso da opção -s recupera a data e a hora desde que o sistema foi ativado.
Da mesma forma, usar a opção -h busca resultados em qualquer ajuda que você possa precisar com várias
opções ao executar o comando uptime , enquanto a opção -v recuperará as informações de versão do
utilitário uptime.
Comando:
tempo de atividade
Figura 7.5: Resultado obtido ao executar o comando uptime sem nenhuma opção
show de endereço ip
Observação:
ÿ
lo, ens33 são NICs
O dispositivo está
em modo
promíscuo
A coleta de informações de rede ajuda os investigadores forenses a obter detalhes relativos aos controladores de
interface de rede (NIC), os endereços IP vinculados a eles e as informações de rota. Para recuperar informações
de rede, os investigadores devem usar o comando ip .
Sintaxe:
show de endereço ip
Na figura acima,
ÿ estado DESCONHECIDO significa que a NIC está operacional, mas não há conexão
Modo promíscuo
Quando um NIC está no modo normal, ele aceita apenas pacotes que são endereçados exclusivamente a ele.
No entanto, quando definido para o modo promíscuo, ele aceita todos os pacotes de rede recebidos, o que
não é seguro para o sistema host.
Os invasores usam o modo promíscuo para bisbilhotar maliciosamente uma rede e monitorar sua atividade.
Portanto, se ocorrer ou houver suspeita de uma invasão do sistema, os investigadores forenses devem verificar
se uma interface de rede foi configurada para o modo promíscuo. Eles podem fazer isso executando o
comando ifconfig .
Sintaxe:
ifconfig <interface>
Se a interface de rede tiver sido configurada para o modo promíscuo, os investigadores devem desativá-la
imediatamente para segurança do sistema. Eles podem fazer isso usando o sinalizador -promisc no comando
ifconfig .
Sintaxe:
comando netstat
No caso de invasão de rede, os investigadores forenses precisam determinar vários detalhes relacionados às
conexões de rede no sistema host.
Para coletar informações sobre conexões de rede, os investigadores devem executar o comando netstat , que
permite a recuperação de informações relacionadas a todas as portas TCP e UDP abertas para conexão,
tabelas de roteamento, associações multicast, estatísticas de interferência, conexões mascaradas, etc. um
número de interface de rede (controlador de interface de rede ou interface de rede definida por software) e
estatísticas de protocolo de rede.
Para visualizar a lista de interfaces de rede em um sistema, os investigadores podem usar a opção -i
com o comando netstat .
Comando:
netstat -i
Comando:
netstat -rn
-r exibe a tabela de roteamento IP do
kernel -n exibe os endereços numéricos
O roteamento refere-se ao processo de transmissão de um pacote IP de um local para outro pela Internet. A estrutura do
kernel em sistemas Linux que armazena informações sobre como encaminhar pacotes IP é chamada de tabela de
roteamento.
Os investigadores forenses devem usar o comando netstat -rn para visualizar as informações da tabela de roteamento.
No comando especificado, o sinalizador -r é fornecido para listar as tabelas de roteamento do kernel, enquanto o sinalizador
-n é fornecido para listar seus endereços numéricos.
No Linux, a tabela de roteamento fornece informações sobre o processo de encaminhamento de pacotes de dados TCP/IP.
Para visualizar essas informações, execute o comando ip r.
Para coletar informações sobre portas abertas do sistema, use os seguintes nmap –sU localhost
comandos:
Uma porta aberta é uma porta TCP ou UDP configurada para receber pacotes de rede. Os invasores examinam
a rede em busca de portas abertas para instalar serviços maliciosos que permitem que eles se infiltrem na
rede e obtenham acesso não autorizado a dados confidenciais.
A execução do comando nmap ajuda os investigadores forenses a identificar as portas que estão abertas e a
obter informações sobre elas, o que pode ajudar a proteger os dispositivos de rede. O comando é executado
com diferentes opções/sinalizadores para conexões de porta TCP e UDP, que são especificadas
respectivamente por meio das sintaxes e figuras de amostra fornecidas abaixo.
Sintaxe:
nmap –sT localhost
Figura 7.12: Execução do comando nmap para verificar conexões de porta TCP
Sintaxe:
nmap –sU localhost
Figura 7.13: Execução do comando nmap para verificar conexões de porta UDP
netstat –tulpn
Os investigadores forenses precisam identificar os aplicativos/programas que estão sendo executados em várias
portas para que programas maliciosos (se houver) possam ser detectados. A execução do comando netstat pode
ajudar os investigadores a determinar os aplicativos/programas/processos em execução em uma máquina e as portas
específicas associadas a eles.
Comando:
netstat –tulpn
Parâmetros:
Figura 7.14: Execução do comando netstat com as opções -t, -u, -l, -p e -n
ÿ
Na figura acima, cupsd é o processo com PID 11806, rodando na porta 631.
ÿ Os investigadores também podem executar o comando lsof para listar os processos em execução nas portas abertas.
Se os investigadores quiserem obter informações filtradas sobre portas no estado 'LISTEN' , eles devem adicionar
o comando grep junto com a opção 'LISTEN' no comando lsof .
Comando:
Figura 7.15: Execução do comando lsof para verificar o processo em execução em portas abertas
Comando:
lsof
lsof -u <user_name>
A coleta de dados de arquivos abertos é uma parte importante da análise forense do Linux, pois ajuda os investigadores
a detectar a presença de arquivos/programas suspeitos em execução em um sistema.
Os investigadores devem executar o comando lsof sem nenhuma opção para recuperar informações sobre todos os
processos ativos e arquivos abertos.
Comando:
lsof
Observação: como a saída gerada por esse comando pode incluir uma grande quantidade de informações, o comando
pode ser combinado com a barra vertical (|) e o sinalizador 'more' , que permitem que a saída seja visualizada página
por página.
Figura 7.16: Execução do comando lsof para verificar dados em arquivos abertos
Para listar os arquivos abertos para o usuário atualmente conectado ao sistema, um investigador pode
executar o comando lsof da seguinte maneira:
Sintaxe:
lsof -u <user_name>
ÿ Ele fornece um instantâneo dos processos atuais junto com informações detalhadas, como o usuário
id, uso da CPU, uso da memória e nome do comando
ÿ Verifique a árvore do processo para determinar quaisquer processos filhos e dependências suspeitos
Processo
Investigadores forenses devem executar o comando ps para recuperar detalhes pertencentes aos processos
atualmente em execução no sistema. A saída retornada por este comando também fornece aos investigadores
informações sobre os números de identificação do processo (PIDs) correspondentes aos processos em
execução.
O comando também exibe detalhes, como uso da unidade de processamento central (CPU), uso de memória
e nomes dos comandos em execução. Os investigadores devem examinar a árvore do processo para verificar
quaisquer processos filhos e dependências suspeitos.
Quando o comando ps é executado sem nenhuma opção, ele exibe apenas os processos atualmente em
execução na conta do usuário conectado. Se os investigadores quiserem obter informações sobre os
processos em execução para todas as contas de usuário, eles devem emitir o comando ps seguido do sinalizador
auxww.
ÿ Durante a investigação forense, os investigadores devem coletar informações não voláteis, como informações do sistema,
histórico de login, logs do sistema e arquivos ocultos para construir a análise da linha do tempo do incidente que ocorreu
O estado dos dados não voláteis não muda quando a máquina é desligada. Durante a investigação forense, os investigadores
devem coletar informações não voláteis, como informações do sistema, histórico de login do usuário, logs do sistema e arquivos
ocultos para construir a análise da linha do tempo do incidente ocorrido.
ÿ Informações do sistema
ÿ Informação do Kernel
ÿ Contas de utilizador
ÿ Registros do sistema
ÿ Informação Suspeita
ÿ
Assinaturas de arquivo
ÿ
Informações de arquivo obtidas usando o comando file and strings
Os investigadores podem executar o comando cat /proc/cpuinfo para visualizar detalhes sobre a CPU em
uma máquina
Os investigadores devem executar o comando cat /proc/self/mounts para visualizar os pontos de montagem e
os dispositivos externos montados
Coletando Kernel
Informação
ÿ Use os seguintes comandos para verificar a versão do kernel do Linux
em um sistema:
uname -r
O kernel do Linux é o componente central do sistema operacional Linux. Ele gerencia os recursos do
sistema e facilita as trocas de comunicação entre os componentes de hardware e software. O kernel
também é responsável por manter a segurança do sistema. Portanto, é importante determinar a versão do
kernel para atualizá-lo com patches de segurança, se necessário. Um investigador pode executar os
seguintes comandos para verificar a versão do kernel do Linux em um sistema:
uname -r
(ou)
cat /proc/versão
(ou)
hostnamectl | Kernel grep
Em sistemas Linux, as informações do usuário local são salvas no arquivo /etc/passwd . Cada linha
individual neste arquivo contém informações de login que correspondem a um único usuário. Durante a
investigação forense, examinar o arquivo /etc/passwd ajuda os investigadores a determinar os detalhes
pertencentes a todas as contas de usuário presentes no sistema.
Para examinar o arquivo, os investigadores devem executar o comando cat /etc/passwd . Se eles
quiserem listar apenas nomes de usuários na saída, eles devem executar o comando cut -d: -f1 /etc/passwd
Figura 7.21: Executando o comando cat /etc/passwd para coletar informações da conta do usuário
Cada linha na saída obtida ao executar o comando cat /etc/passwd representa as informações de login de um
único usuário e inclui sete campos separados por dois pontos (:).
Você pode observar o seguinte sobre o formato de saída do arquivo /etc/passwd analisando a primeira entrada na
figura acima:
ÿ
x – Senha ('x' denota criptografado)
ÿ 0 – ID do grupo
Comando:
load -f /var/log/wtmp
É importante que os investigadores forenses saibam como coletar informações sobre os usuários que estão
conectados a um sistema. Os investigadores devem executar o comando w para obter informações sobre os
usuários conectados.
Os investigadores também devem verificar o conteúdo do arquivo /var/log/wtmp para obter informações sobre o tempo
de inicialização do sistema, histórico de login do usuário, etc. Eles podem usar o último comando para visualizar o histórico
de login do usuário e outros detalhes relacionados.
load -f /var/log/wtmp
Para obter informações relativas à autenticação do usuário e eventos de autorização, logins de usuários remotos e o
histórico da execução de comandos sudo , os investigadores forenses devem examinar os detalhes do arquivo /var/log/
auth.log .
As figuras a seguir destacam a execução dos comandos que os investigadores podem usar
para recuperar informações do arquivo /var/log/auth.log (a segunda figura abaixo refere-se
ao uso do comando grep para filtrar e recuperar logs pertencentes à execução de comandos
sudo ). cat /var/log/auth.log grep sudo /var/log/auth.log
Figura 7.25: Examinando o arquivo /var/log/auth.log usando o comando grep para filtrar os logs relacionados aos comandos sudo
Nos sistemas Linux, o arquivo syslog registra as mensagens do sistema, bem como as mensagens de erro e
status do aplicativo. Este arquivo também coleta e armazena o log de dados do kernel. Os investigadores devem
recuperar detalhes do diretório /var/log/syslog para examinar as informações armazenadas nos arquivos syslog.
O comando a ser usado para exibir os detalhes em /var/log/syslog é cat /var/log/syslog
Arquivos de log são registros de todas as atividades executadas em um sistema. Os arquivos de log do Linux armazenam informações sobre o kernel
No ambiente Linux, diferentes arquivos de log contêm diferentes tipos de informações. Isso ajuda os investigadores a analisar vários problemas
durante um incidente de segurança. Compreender o conteúdo de vários arquivos de log pode ajudar os investigadores forenses a localizar possíveis
Abaixo estão alguns endereços de arquivo de log do Linux que podem ser úteis para os investigadores durante a realização de exames forenses de
uma máquina Linux:
Fluxo do módulo
Sistema de arquivo
Análise usando
O Kit Detetive:
fsstat
Comando:
Em sistemas Linux, o comando fsstat fornece informações associadas ao sistema de arquivos fornecido.
A saída desse comando é específica do sistema de arquivos e consiste em várias informações, como tipo
de sistema de arquivos, ID do volume, carimbos de data/hora da última montagem e último diretório montado.
Comando:
Execute o comando fls para listar os arquivos e diretórios disponíveis em um arquivo de imagem. Este comando também
é útil para visualizar arquivos excluídos recentemente.
Comando:
fls -i <image_type> <imagefile_name>
Comando Estadual
Use o comando istat para exibir os metadados de um arquivo, como tempos MAC, tamanho do arquivo e permissões
de acesso ao arquivo, especificando um número de inode específico.
Comando:
Fluxo do módulo
Nota: O investigador deve prosseguir com o exame forense com base nas informações/eventos registrados pela equipe de resposta a incidentes
A análise forense de memória refere-se ao exame de dados voláteis obtidos de um arquivo de imagem de
memória/despejo de memória de um sistema. Um despejo de memória (despejo de RAM) refere-se aos dados
voláteis capturados da RAM de um sistema quando o sistema está em execução. Os dados da RAM contêm
informações valiosas relacionadas a incidentes como ataque de malware, travamento do sistema e
comprometimento do sistema. As soluções de segurança de rede, como firewalls e ferramentas antivírus, não
podem detectar scripts maliciosos gravados na RAM do sistema. Os investigadores forenses devem realizar
análises forenses de memória para examinar vários artefatos e identificar atividades maliciosas que ocorrem em
um sistema. A análise forense de memória também ajuda a detectar e analisar malware residente na memória
que, de outra forma, pode passar despercebido no disco rígido. A análise forense do despejo de RAM fornece
informações sobre processos em execução na memória, informações de rede, acesso não autorizado ao sistema,
módulos carregados, comandos executados recentemente, fragmentos de código injetados, etc.
Em uma máquina Linux, os dumps de RAM são adquiridos usando ferramentas/softwares especializados. O
LiME é uma das ferramentas mais conhecidas usadas na aquisição de dumps de RAM. Em muitos casos de
crimes cibernéticos, o exame e a análise de despejos de memória podem levar à coleta de evidências críticas
que podem ser usadas para identificar e processar os perpetradores em um tribunal. Ferramentas como o
Volatility Framework são amplamente usadas para executar análise forense de memória em máquinas Linux.
Nota: O investigador deve prosseguir com o exame forense com base nas informações/eventos registrados pela
equipe de resposta a incidentes.
Comando:
ÿ Use o plug-in netstat para procurar ÿ O plug-in pstree exibe os processos pai e filho associados
comunicação de rede maliciosa na máquina gerados usando um backdoor malicioso
ÿ Na captura de tela abaixo, pode-se observar que o
Comando:
processo apache2 com PID 1279 iniciou outro processo
python vol.py --file=<file_name> -- apache2 com PID 1332
profile=<Linux_profile_name> linux_netstat
ÿ Isso indica que o processo com PID 1332 está estabelecendo
comunicação maliciosa
Comando:
python vol.py --file=<file_name> --
profile=<Linux_profile_name> linux_pstree
ÿ Comando:
O Volatility Framework é uma ferramenta que ajuda os investigadores a analisar a memória volátil. Depois de
adquirir os dumps de RAM da máquina de destino, o investigador deve analisar esses dumps usando ferramentas
como Volatility para identificar a ocorrência de atividade maliciosa.
Antes de analisar o arquivo de imagem RAM usando a ferramenta de volatilidade, um investigador deve criar um
perfil Linux para definir o sistema/kernel ao qual o arquivo de imagem de memória pertence.
Os investigadores forenses devem usar o plug-in pslist da ferramenta de volatilidade para recuperar informações
sobre todos os processos/programas que estavam em execução no sistema no momento em que o despejo de
memória foi coletado.
Comando:
Investigadores forenses devem usar o plug-in netstat para recuperar detalhes relacionados a conexões de
rede em um sistema host. A saída retornada pelo plug-in netstat fornece informações sobre todas as
conexões de porta TCP e UDP, o que pode ajudar a detectar qualquer comunicação de rede maliciosa em
execução no sistema.
Comando:
Os investigadores devem usar o plug-in pstree para exibir informações sobre os processos em execução junto com
seus processos pai na forma de uma árvore em vez de exibi-los como uma lista. Devido ao seu formato de árvore, é
mais simples e conveniente visualizar a hierarquia do processo através da saída gerada por este plugin. A partir da
saída obtida, os investigadores podem detectar os processos maliciosos em execução, bem como seus processos pai.
Comando:
A execução do plug-in malfind ajuda os investigadores forenses a detectar arquivos ocultos ou injetados, que
geralmente são arquivos de biblioteca de vínculo dinâmico (DLL), na memória. Se a saída do plug-in pstree indicar
que um determinado PID é suspeito, os investigadores devem executar o plug-in malfind nesse PID para
determinar sua legitimidade. Por exemplo, a partir da saída do plug-in pstree mostrada na figura anterior, o
processo com PID 1332 é identificado como malicioso. Você pode usar o plugin malfind para verificar se o PID
1332 é um processo legítimo.
A figura abaixo mostra que quando o plugin malfind é executado com PID 1332, o parâmetro 'Protection' mostra
que o processo está marcado com as permissões Read, Write e Execute. Isso indica que algum código malicioso
foi injetado no processo.
Comando:
PhotoRec é uma ferramenta de código Despejos de memória contêm dados voláteis Identificar e extrair esses
aberto que usa técnicas de gravação pertencentes a usuários conectados, arquivos arquivos permite a
de dados para recuperar arquivos compartilhados, arquivos de mídia acessados investigadores forenses
excluídos/dados perdidos de uma recentemente e bate-papos via redes sociais para realizar uma
unidade ou arquivo de imagem redes, páginas web acedidas, etc. investigação mais detalhada
ÿ Use ferramentas anti-malware para verificar se há vírus nos dados extraídos dos despejos de
memória ÿ Isso permite a detecção de quaisquer dados maliciosos nos despejos de memória que podem ser úteis durante
uma investigação
Extraindo dados de despejos de memória usando PhotoRec Dados recuperados do arquivo de imagem
Os investigadores forenses podem recuperar arquivos excluídos/perdidos do disco rígido ou um arquivo de imagem
de memória usando a ferramenta PhotoRec. Depois de recuperar os arquivos excluídos, os investigadores devem
examiná-los com ferramentas antimalware para verificar a presença de dados maliciosos.
Comando:
fotorrec <Imagefile_name>
Ao executar o comando PhotoRec conforme mostrado acima, o progresso da recuperação dos dados do despejo de
memória pode ser visto na janela do terminal, conforme mostrado na figura abaixo.
Fluxo do módulo
A adoção cada vez maior de sistemas Mac os tornou um alvo primário para ataques maliciosos
1
O avanço das ferramentas de malware e a menor disponibilidade de ferramentas de segurança para sistemas
2 baseados em MacOS aceleraram ainda mais essas ameaças
Os sistemas Mac armazenam todos esses dados de evidência em arquivos de log, diretórios, configurações,
4 histórico de aplicativos, etc. e os investigadores precisam extrair esses dados e usá-los para criar uma linha do tempo
para descobrir o que aconteceu
Portanto, para realizar uma investigação eficaz, os investigadores devem possuir conhecimento profundo do
OPÇÃO 01
MacOS é um sistema operacional baseado em Unix usado pela Apple em seus sistemas de computação Macintosh. O
sistema operacional depende das camadas do kernel Mach e Berkeley Software Distribution (BSD). O uso de produtos da
Apple, como computadores Mac, iPods, iPads e iPhones aumentou drasticamente nos últimos anos. Com o tempo, eles
também se tornaram o principal alvo de ataques cibernéticos. O número crescente de ataques contra sistemas Mac pode
ser atribuído ao avanço das ferramentas de malware e à falta de ferramentas de segurança suficientes desenvolvidas para
defender esses sistemas contra ataques. Para identificar um ataque ou provar a culpa, os investigadores exigem evidências
como a presença de malware, tentativas de registro não autorizadas e conectividade com servidores e sites maliciosos.
A análise forense do Mac refere-se à investigação de um crime ocorrido em ou usando um dispositivo baseado em MacOS.
Os sistemas Mac armazenam todos esses dados de evidência em arquivos de log, diretórios, configurações, histórico de
aplicativos, etc. e os investigadores precisam extrair esses dados e usá-los para criar uma linha do tempo para descobrir o
que aconteceu. Portanto, para realizar uma investigação eficaz, os investigadores devem possuir conhecimento profundo
do MacOS, seu sistema de arquivos, bibliotecas e diretórios
• Visualize o arquivo SystemVersion.plist localizado em • É o aplicativo padrão do Mac que ajuda a encontrar
/System/Library/CoreServices/SystemVersion.plist arquivos e pastas específicos
ÿ Carimbo de data/hora:
• Use a estatística de entrada da linha de comando para encontrar o registro de data e hora de
qualquer arquivo
ÿ Pacotes de aplicativos:
ÿ Os dados da conta do usuário são armazenados em ÿ A camada do sistema de arquivos ÿ O token representa dados específicos, como
a pasta da biblioteca do usuário - armazena informações como metadados de argumentos de programa , valor de
/Usuários/nome de usuário/Biblioteca arquivo, conteúdo de arquivo e estruturas de retorno, dados de texto, soquete,
diretório execução e ação em um arquivo
ÿ Colete informações como horários de
ÿ Use um holofote para pesquisar palavras-chave específicas que representam atividades maliciosas
Holofote
Diretório inicial ÿ Ajuda o investigador a determinar todas as tentativas feitas para contornar a segurança
medidas junto com os timestamps relevantes
o e-mail no formato emlx, onde cada e-mail é armazenado como um arquivo no formato ASCII ÿ
Use extratores de e-mail como o Email Extractor 7 e o Data Extractor para analisar os dados do e-mail
Safári
ÿ Dados como histórico de navegação, histórico de download e favoritos podem ser usados como evidência e são armazenados como
History.plist, Downloads.plist e Bookmarks.plist respectivamente no local / Users//Library/Safari
eu converso
$tail .bash_history para visualizar os comandos mais recentes que foram executados na máquina suspeita
A análise de todas essas fontes, conforme discutido abaixo, pode fornecer dados forenses cruciais que podem ajudar
os investigadores a rastrear ciberataques. Além disso, os investigadores podem obter todos os detalhes da conta do
usuário na pasta da biblioteca e coletar informações relacionadas aos horários de modificação, acesso e criação da
conta.
ÿ Arquivo SystemVersion.plist
Figura 7.38: Verificando os detalhes da versão do sistema no sistema Mac por meio do arquivo SystemVersion.plist
Isso ajuda a correlacionar eventos de log e criar uma linha do tempo lógica dos eventos que ocorreram em
uma máquina. Ele fornece informações importantes, como tempos de MAC de qualquer arquivo. Também
ajuda a recuperar registros de data e hora de aplicativos, serviços, eventos e logs do sistema. Um investigador
pode usar a estatística de entrada da linha de comando para recuperar o registro de data e hora de qualquer arquivo.
Comando:
Figura 7.39: Verificando os metadados associados a um arquivo em um sistema Mac usando o comando stat
ÿ Pacotes de Aplicativos
Esses são diretórios especiais que armazenam dados do aplicativo e ficam ocultos do usuário.
Os investigadores devem analisar esses pacotes para identificar malware ou outros dados suspeitos.
Avalie os códigos executáveis para verificar se algo está errado com o aplicativo.
ÿ Localizador
Este é o aplicativo padrão do Mac que ajuda a encontrar arquivos e pastas específicos e também ajuda a classificá-
ÿ Conta de Utilizador
Os dados da conta do usuário armazenam informações relacionadas a todas as contas de usuário, como IDs de
usuário e opção de política de senha. Também ajuda a identificar os usuários convidados e administradores.
Os dados da conta do usuário são armazenados na pasta da biblioteca do usuário - /Users/username/Library.
Colete informações como horários de modificação, acesso e criação de cada conta
ÿ Sistema de
Arquivos O MacOS usa o Sistema de Arquivos Apple (APFS) que compreende duas camadas, a camada do
contêiner e a camada do sistema de arquivos. A camada de contêiner contém dados como metadados de volume,
estado de criptografia e instantâneos do volume. A camada do sistema de arquivos armazena informações como
metadados de arquivo, conteúdo de arquivo e estruturas de diretório
ÿ Spotlight O
Spotlight é um recurso de pesquisa integrado do MAC OS, que indexa os arquivos por tipo e, assim, facilita a
pesquisa. Essa tecnologia é particularmente útil para os investigadores rastrearem arquivos e aplicativos suspeitos.
Use um holofote para pesquisar palavras-chave específicas nos arquivos que representam atividades maliciosas.
ÿ Home Directory No
macOS, a pasta Home armazena todos os arquivos, documentos, aplicativos, pastas de biblioteca, etc. pertencentes
a um determinado usuário. Ele armazena os dados de autenticação, como tentativas de logon (sucesso e falha) de
todos os usuários, juntamente com as pastas de aplicativos e de instalação.
O sistema operacional cria um diretório inicial separado para cada usuário do sistema com seu nome de usuário.
Portanto, os investigadores podem analisar facilmente o diretório Home e recuperar dados cruciais, como senhas,
arquivos de log, pastas de biblioteca, tentativas de logon e outras informações forenses significativas. O exame da
pasta pessoal também pode ajudar a determinar todas as tentativas feitas para contornar as medidas de segurança
junto com os carimbos de data/hora relevantes. Outros arquivos incluem área de trabalho, documentos, biblioteca e
revistas.
ÿ Máquina do Tempo
Time machine é uma ferramenta de backup que armazena o conteúdo do disco rígido. Isso inclui um arquivo
BackupAlias contendo as informações binárias relacionadas ao disco rígido usado para armazenar os backups.
ÿ Kexts
O MacOS pode incorporar recursos adicionais carregando extensões do kernel. Analise o sistema para
extensões do kernel.
ÿ Apple Mail
O MacOS tem um cliente de e-mail autônomo padrão chamado Apple Mail, que oferece suporte a
várias contas POP3 e IMAP e filtragem avançada. Ele armazena todas as mensagens de e-mail no
computador host no diretório /Users//Library/Mail . Ele salva e-mail no formato emlx , onde cada e-
mail é armazenado como um arquivo no formato ASCII. Essas mensagens de e-mail podem atuar como
uma fonte crucial de evidência forense. Use extratores de e-mail como o Email Extractor 7
e Data Extractor para analisar dados de e-mail.
ÿ Safári
O Safari é o navegador da Web padrão para MacOS. Ele armazena informações sobre o histórico de
navegação, histórico de download, etc. como arquivos plist na pasta Biblioteca. Dados como histórico
de navegação, histórico de download e favoritos podem ser usados como evidência e são armazenados
como History.plist, Downloads.plist e Bookmarks.plist , respectivamente, no local /Users//Library/
Safari .
ÿ iChat
O MacOS vem com o aplicativo de mensagens instantâneas padrão chamado iChat. Não armazena
conversas anteriores automaticamente; mas os usuários podem optar por salvá-los manualmente.
Verifique a localização
para padrão dossalvou
individuais chats:
são qualquer /Users/<username>/Documents/iChats.
armazenados como em o Aplicativos
~/Library/Logs/
informações de conexão do iChat
iChatConnectionErrors
Listados abaixo estão os diretórios para arquivos de log importantes em sistemas Linux:
~/Library/Logs/
informações de conexão do iChat
iChatConnectionErrors
Diretórios Mac
Nome do arquivo Localização
Diretórios Mac
Listados abaixo estão os diretórios importantes em sistemas Mac que podem servir como repositórios de evidências durante uma
investigação forense:
/Library/Preferences/SystemConfiguration/com.apple.airport.preferences.plist
redes sem fio
Configurações de preferência do
%%users.homedir%%/Library/Preferences/*
usuário para aplicativos e utilitários
%%users.homedir%%/Library/Application Support/
navegador Google Chrome
Google/Chrome/*
• Ele identifica todas as partições disponíveis nos discos conectados e arquivos de imagem
• O arquivo de relatório no formato CSV permite que você examine os metadados de cada arquivo/pasta no sistema de arquivos
Relatório sobre metadados extraídos do sistema de arquivos Partições disponíveis no arquivo de imagem
O arquivo de relatório SQLite fornece todos os metadados APFS de maneira organizada, pois está no
Diretório APFS
Análise APFS: Ele também fornece acesso individual a cada chave nomeada, inode, xattr e registro de extensão,
Biskus APFS incluindo CNIDs e números de bloco
Captura (continuação) Isso permite que os investigadores pesquisem hardlinks, conteúdo de arquivo clonado, etc., e usem essas
informações para acessar todos os arquivos no disco
A ferramenta Biskus APFS Capture foi projetada para recuperar informações de discos formatados em APFS.
Esta ferramenta identifica todas as partições disponíveis nos discos conectados e arquivos de imagem. O arquivo
de relatório gerado pela ferramenta no formato CSV permite examinar os metadados de cada arquivo/pasta no
sistema de arquivos.
Figura 7.41: Relatório sobre os metadados extraídos do sistema de arquivos usando o Biskus APFS Capture
O arquivo de relatório SQLite fornece todos os metadados APFS de maneira organizada, pois está no diretório
APFS. Ele também fornece acesso individual a cada chave nomeada, inode, xattr e registro de extensão,
incluindo CNIDs e números de bloco. Isso permite que os investigadores pesquisem hardlinks, conteúdo de
arquivo clonado, etc., e usem essas informações para acessar todos os arquivos no disco.
Figura 7.42: Visualizando o sistema de arquivos da imagem mac.dd usando o Biskus APFS Capture
/.Spotlight-V100/Store-V2/<UUID> pasta
Sintaxe:
python spotlight_parser.py <path_to_database> <path_to_output_folder>
Um é um arquivo de texto contendo um despejo de banco de dados de todas as entradas, enquanto o outro é um arquivo
CSV que consiste em diretórios de cada arquivo/pasta na partição especificada
Metadados analisados do Spotlight no formato CSV Saída de metadados de arquivo jpg analisados do banco de dados
O Spotlight no MacOS permite que os usuários pesquisem arquivos/pastas consultando bancos de dados
ocupados com atributos do sistema de arquivos, metadados e conteúdo textual indexado. Ele cria um índice de
todos os arquivos/pastas no sistema e armazena os metadados de todos os arquivos/pastas no disco. No MacOS,
o Spotlight pode ser acessado pressionando as teclas Command + barra de espaço.
O arquivo de banco de dados store.db no repositório central do Spotlight é de grande valor forense. Isso ocorre
porque a análise desse arquivo fornece ao investigador detalhes como tempos de MAC, arquivos abertos
recentemente, número de vezes que um aplicativo ou arquivo é aberto e metadados associados.
Sintaxe:
A saída do spotlight_parser inclui dois arquivos: um arquivo de texto contendo um despejo de banco de
dados de todos os arquivos/pastas no disco e um arquivo CSV contendo diretórios de cada arquivo/pasta
na partição específica. As figuras a seguir mostram o exemplo de um arquivo de texto e um arquivo CSV
obtidos como saída, respectivamente, ao executar o analisador Spotlight.
OS X Auditor F-Response
https:// github.com https:// www.f-response.com
Resumo do módulo
Este módulo discutiu a coleta de dados voláteis e não voláteis
no Linux
Por fim, este módulo terminou com uma discussão detalhada sobre
análise forense do Mac
Resumo do módulo
Este módulo discutiu a coleta de dados voláteis e não voláteis no Linux. Ele discutiu a análise de imagem do sistema
de arquivos usando o Sleuth Kit. Além disso, explicou detalhadamente a análise forense de memória usando Volatility
e PhotoRec. Por fim, este módulo apresentou uma discussão detalhada sobre análise forense do Mac.