MODULE 07 - Linux and Mac Forensics

Machine Translated by Google
MT
CE-Conselho
D FE
Digital Princípios Forenses
Fundamentos de Perícia Forense Digital Exame 112-53

Linux e Mac Forense
Objetivos do Módulo
Compreendendo o volátil e
1 Dados não voláteis no Linux
Compreendendo as imagens do sistema de arquivos

2
Análise usando o kit Sleuth
Compreendendo a análise forense de

3 memória usando volatilidade e PhotoRec
4 Compreendendo a análise forense do Mac
Copyright © por EC-Council. Todos os direitos reservados. A reprodução é estritamente proibida.
Objetivos do Módulo
O Windows pode ser a plataforma mais comumente usada para análise forense devido à sua popularidade em sistemas
corporativos. Existem várias ferramentas forenses digitais para sistemas que operam no Windows.
No entanto, quando se trata de conduzir investigações forenses em sistemas Linux e Mac, os investigadores se deparam com
um tipo diferente de desafio. Embora as técnicas forenses sejam as mesmas, as ferramentas usadas podem diferir.
Linux and MacOS Forensics refere-se à investigação de crimes cibernéticos envolvendo sistemas baseados em Linux e
MacOS. Para obter artefatos pertencentes ao crime cibernético nesses sistemas, os investigadores precisam estar cientes de
seus sistemas de arquivos e diretórios. Eles também devem ter um bom entendimento das ferramentas e comandos forenses
que podem ser usados para encontrar dados probatórios desses sistemas operacionais.
Este módulo discute como coletar e examinar evidências relacionadas a incidentes de crimes cibernéticos em máquinas
baseadas em Linux e MacOS. Ao final deste módulo, você será capaz de:
ÿ Compreender dados voláteis e não voláteis no Linux
ÿ Analisar imagens do sistema de arquivos usando The Sleuth Kit
ÿ Demonstrar análise forense de memória usando Volatility e PhotoRec
ÿ Entenda a análise forense do Mac
Módulo 07 Página 364 Digital Forensics Essentials Copyright © por EC-Council

Todos os direitos reservados. A reprodução é estritamente proibida.

Linux e Mac Forenses
Fluxo do módulo
Entenda o volátil e o Analisar sistema de arquivos

não volátil 01 02 Imagens usando o
Dados no Linux kit de detetive
Entenda o Mac Demonstrar Memória

forense
04 03 forense
Entenda os dados voláteis e não voláteis no Linux

Linux forense refere-se à realização de investigações forenses em um dispositivo baseado em Linux. Para fazer
isso, os investigadores precisam de um forte entendimento das ferramentas e técnicas necessárias para coletar
dados voláteis e não voláteis e conduzir análises ao vivo e possuir bom conhecimento de vários comandos de
shell que podem ser usados em máquinas Linux para recuperar informações forenses valiosas.
Os investigadores também devem estar cientes dos arquivos de log do Linux, seu armazenamento e sua
localização no diretório, pois essas são as fontes de informações mais importantes para rastrear invasores.
Esta seção explorará vários métodos de coleta de dados, os diferentes arquivos de log armazenados no Linux e
métodos para rastrear eventos por meio de arquivos graváveis em máquinas Linux.


Introdução à Análise Forense do Linux
O Linux é um sistema operacional de código aberto usado

extensivamente para servidores corporativos e plataformas de desktop
para funcionários em várias organizações corporativas
Os crimes cibernéticos têm aumentado nesses ambientes de

negócios , e extrair artefatos de sistemas Linux é uma tarefa desafiadora
Portanto, é importante que os investigadores forenses entendam como

examinar sistemas Linux e usar a estação de trabalho Linux para exame
forense.
Introdução à Análise Forense do Linux
O Linux é um sistema operacional de código aberto amplamente utilizado em organizações. Com o aumento do crime
cibernético, também se torna importante que os investigadores forenses estejam bem equipados com o conhecimento
necessário para coletar artefatos de máquinas Linux de maneira forense.
A análise forense do Linux envolve o uso de vários comandos/ferramentas para recuperar, examinar e analisar
artefatos valiosos pertencentes a incidentes de crimes cibernéticos envolvendo máquinas Linux.
O uso de estações de trabalho forenses Linux, por outro lado, serve como uma plataforma muito eficaz para investigar
incidentes de segurança envolvendo sistemas Linux, pois oferecem amplo suporte para vários sistemas de arquivos e
fácil acesso a ferramentas forenses digitais avançadas.


Coletando dados voláteis

ÿ Dados voláteis são perdidos quando uma máquina é desligada/desligada
ÿ No entanto, durante a investigação forense, os investigadores precisam coletar esses dados para construir uma linha do tempo
análise do incidente ocorrido
Informações voláteis incluem:
Nome do host, data e hora Tempo de atividade Informações de rede portas abertas
e fuso horário
Abrir arquivos Informações do sistema de Módulos do kernel carregados Eventos do usuário
arquivos montado
Processos em execução Trocar áreas e informações de mensagens do kernel
partição de disco
Coletando dados voláteis
Os dados voláteis são perdidos quando uma máquina é desligada/desligada. No entanto, durante a investigação forense, os
investigadores precisam coletar esses dados para construir uma análise cronológica do incidente ocorrido.
As informações voláteis incluem:
ÿ Nome do host, data e hora e fuso horário
ÿ Tempo de atividade
ÿ Informações de rede
ÿ Portas abertas
ÿ Abrir arquivos
ÿ Informações do sistema de arquivos montado
ÿ Módulos de kernel carregados
ÿ Eventos do usuário
ÿ Processos em execução
ÿ Trocar áreas e informações de partição de disco
ÿ Mensagens do kernel


Coletando nome de host, data e hora
ÿ Identifique o nome do computador usando o ÿ Verifique a data e a hora da máquina para criar uma
comando hostname linha do tempo adequada dos eventos
Comando: Comando:
nome de anfitrião data
ÿ Este comando pode ser útil ao examinar cat /etc/timezone

logs e tráfego de rede
Coletando nome de host, data e hora (continuação)

ÿ Como alternativa, você pode calcular o tempo da época (contagem do número de
segundos a partir do ponto inicial do sistema operacional Unix) do sistema e
convertê-lo em seu fuso horário Comando:
data +%s
Nota: O timestamp da época do Unix começa em 1º de janeiro de 1970 00:00:00 UTC (em segundos),
enquanto os timestamps da época para HFS+ e Cocoa na Apple começam em 1º de janeiro de 1904
00:00:00 UTC (em segundos) e 1º Janeiro de 2001 00:00:00 UTC (em segundos), respectivamente.
ÿ Ao obter o registro de data e hora da época, você pode usar conversores online
ou offline para converter a hora da época para a hora original.
Aqui, estamos fazendo a conversão em www.epochconverter.com
Coletando nome de host, data e hora

ÿ Nome do host
Os investigadores devem executar o comando hostname para visualizar o nome do

sistema atual e o DNS de uma máquina Linux. Este comando tem vários atributos. Pode
ser útil ao examinar logs e tráfego de rede.


Figura 7.1: Execução do comando hostname
ÿ Data e Hora
O comando date , quando executado, lista a data e a hora de acordo com o fuso horário em que o sistema
operacional Linux foi configurado.
O comando cat/etc/timezone pode ser usado para coletar informações sobre o continente e fuso horário
do sistema Linux. Essas informações podem permitir que os investigadores construam um cronograma
apropriado do caso que está sendo investigado.
Figura 7.2: Execução do comando de data
Os investigadores também podem calcular o horário da máquina Linux suspeita e convertê-lo em seu
próprio fuso horário usando conversores de horário online.
O comando para calcular o tempo de época de um sistema é dado abaixo.
Comando:
data +%s
Figura 7.3: Comando para calcular o tempo de época de um sistema


Linux e Mac Forense
Nota: O timestamp da época do Unix começa em 1º de janeiro de 1970 00:00:00 UTC (em segundos), enquanto
os timestamps da época para HFS+ e Cocoa na Apple começam em 1º de janeiro de 1904 00:00:00 UTC (em
segundos) e 1º de janeiro 2001 00:00:00 UTC (em segundos), respectivamente.
Ao obter o registro de data e hora da época, você pode usar conversores online ou offline para converter a
hora da época para a hora original.
Figura 7.4: Convertendo a hora da época para a hora original online


Linux e Mac Forense
Coletando dados de tempo de atividade
ÿ O comando uptime ÿ Este comando também

no sistema Linux exibe há retorna a hora atual, número
quanto tempo o sistema está de usuários conectados no
em execução desde a última momento, médias de carga
reinicialização do sistema, etc.
Comando:
tempo de atividade
Coletando dados de tempo de atividade
Os dados de tempo de atividade ajudam os investigadores forenses a determinar o intervalo de tempo

durante o qual um sistema está funcionando. Ele também exibe métricas, como o número de usuários
conectados no momento, a hora atual e as médias de carga do sistema nos últimos 1, 5 e 15 minutos. Para
coletar esses dados, um investigador deve executar o comando uptime . Este comando retorna a hora
atual, número de usuários conectados no momento, médias de carga do sistema, etc.
O comando também pode ser executado com várias opções, como -p, -s, -h e -v. O uso da opção -p filtrará
os resultados e retornará informações apenas sobre quanto tempo o sistema está em execução, enquanto
o uso da opção -s recupera a data e a hora desde que o sistema foi ativado.
Da mesma forma, usar a opção -h busca resultados em qualquer ajuda que você possa precisar com várias
opções ao executar o comando uptime , enquanto a opção -v recuperará as informações de versão do
utilitário uptime.
Comando:
tempo de atividade


Figura 7.5: Resultado obtido ao executar o comando uptime sem nenhuma opção


Linux e Mac Forense
Coletando informações de rede

ÿ A sintaxe a seguir exibe todos os controladores de interface de rede
(NICs) e endereços IP associados a eles
Sintaxe:
show de endereço ip
Observação:
ÿ
lo, ens33 são NICs
ÿ Estado DESCONHECIDO – NIC está operacional, mas não há conexão
ÿ Estado UP – NIC está operacional e há uma conexão

(continua)
Um invasor pode farejar uma rede em busca de dispositivos que estejam em modo
promíscuo e visualizar todos os pacotes de rede
Para identificar o modo promíscuo, use o seguinte comando:

Sintaxe:
ifconfig <interface>
Para desativar o modo promíscuo nos dispositivos de rede

Sintaxe:
ifconfig <interface> -promisc
O dispositivo está
em modo
promíscuo


Coletando informações de rede (continuação)
O comando netstat pode ser usado para

extrair informações de rede
Ele exibe conexões de rede, tabelas de

roteamento e várias interfaces de rede
(controlador de interface de rede ou
interface de rede definida por software) e
estatísticas de protocolo de rede
Para visualizar a lista de interfaces de rede no

sistema
Comando:
netstat -i
A coleta de informações de rede ajuda os investigadores forenses a obter detalhes relativos aos controladores de
interface de rede (NIC), os endereços IP vinculados a eles e as informações de rota. Para recuperar informações
de rede, os investigadores devem usar o comando ip .
Sintaxe:
show de endereço ip
Figura 7.6: Execução do comando ip
Na figura acima,
ÿ lo, ens33 são NICs
ÿ estado DESCONHECIDO significa que a NIC está operacional, mas não há conexão
ÿ estado UP significa que a NIC está operacional e há uma conexão


Linux e Mac Forense
Modo promíscuo
Quando um NIC está no modo normal, ele aceita apenas pacotes que são endereçados exclusivamente a ele.
No entanto, quando definido para o modo promíscuo, ele aceita todos os pacotes de rede recebidos, o que
não é seguro para o sistema host.
Os invasores usam o modo promíscuo para bisbilhotar maliciosamente uma rede e monitorar sua atividade.
Portanto, se ocorrer ou houver suspeita de uma invasão do sistema, os investigadores forenses devem verificar
se uma interface de rede foi configurada para o modo promíscuo. Eles podem fazer isso executando o
comando ifconfig .
Sintaxe:
ifconfig <interface>
Se a interface de rede tiver sido configurada para o modo promíscuo, os investigadores devem desativá-la
imediatamente para segurança do sistema. Eles podem fazer isso usando o sinalizador -promisc no comando
ifconfig .
Sintaxe:
ifconfig <interface> -promisc
Figura 7.7: Desativando o modo promíscuo usando o comando ifconfig
comando netstat
No caso de invasão de rede, os investigadores forenses precisam determinar vários detalhes relacionados às
conexões de rede no sistema host.
Para coletar informações sobre conexões de rede, os investigadores devem executar o comando netstat , que
permite a recuperação de informações relacionadas a todas as portas TCP e UDP abertas para conexão,
tabelas de roteamento, associações multicast, estatísticas de interferência, conexões mascaradas, etc. um
número de interface de rede (controlador de interface de rede ou interface de rede definida por software) e
estatísticas de protocolo de rede.


Linux e Mac Forense
Figura 7.8: Execução do comando netstat
Para visualizar a lista de interfaces de rede em um sistema, os investigadores podem usar a opção -i
com o comando netstat .
Comando:
netstat -i
Figura 7.9: Execução do comando netstat com a opção -i


Linux e Mac Forense
Visualizando Tabelas de Roteamento de Rede
ÿ O comando netstat também pode ser usado para imprimir

tabelas de roteamento
Comando:
netstat -rn
-r exibe a tabela de roteamento IP do
kernel -n exibe os endereços numéricos
ÿ No Linux, a tabela de roteamento fornece informações sobre o

processo de encaminhamento de pacotes de dados TCP/IP
Comando:
ip r
Visualizando Tabelas de Roteamento de Rede
O roteamento refere-se ao processo de transmissão de um pacote IP de um local para outro pela Internet. A estrutura do
kernel em sistemas Linux que armazena informações sobre como encaminhar pacotes IP é chamada de tabela de
roteamento.
Os investigadores forenses devem usar o comando netstat -rn para visualizar as informações da tabela de roteamento.
No comando especificado, o sinalizador -r é fornecido para listar as tabelas de roteamento do kernel, enquanto o sinalizador
-n é fornecido para listar seus endereços numéricos.
Figura 7.10: Execução do comando netstat com as opções -r e -n
No Linux, a tabela de roteamento fornece informações sobre o processo de encaminhamento de pacotes de dados TCP/IP.
Para visualizar essas informações, execute o comando ip r.
Figura 7.11: Execução do comando ip com a opção r


Coletando Porta Aberta

ÿ Para conexões de porta TCP :
Informação
Sintaxe:
nmap –sT localhost

As portas abertas podem ser vulneráveis e os invasores as usam para explorar
ÿ Para conexões de porta UDP :
uma máquina ou um servidor
Sintaxe:
Para coletar informações sobre portas abertas do sistema, use os seguintes nmap –sU localhost
comandos:
Exibindo conexões de porta TCP Exibindo conexões de porta UDP
Coletando informações de portas abertas
Uma porta aberta é uma porta TCP ou UDP configurada para receber pacotes de rede. Os invasores examinam
a rede em busca de portas abertas para instalar serviços maliciosos que permitem que eles se infiltrem na
rede e obtenham acesso não autorizado a dados confidenciais.
A execução do comando nmap ajuda os investigadores forenses a identificar as portas que estão abertas e a
obter informações sobre elas, o que pode ajudar a proteger os dispositivos de rede. O comando é executado
com diferentes opções/sinalizadores para conexões de porta TCP e UDP, que são especificadas
respectivamente por meio das sintaxes e figuras de amostra fornecidas abaixo.
Para conexões de porta TCP:
Sintaxe:
nmap –sT localhost
Figura 7.12: Execução do comando nmap para verificar conexões de porta TCP


Para conexões de porta UDP:
Sintaxe:
nmap –sU localhost
Figura 7.13: Execução do comando nmap para verificar conexões de porta UDP


Encontrando Programas/Processos Associados a uma Porta
ÿ Para detectar invasões, é necessário coletar informações de

portas abertas
ÿ Também é importante verificar se existem

programas/processos associados a portas abertas
Comando:
netstat –tulpn
ÿ Na captura de tela, cupsd é o processo com PID 11806,

rodando na porta 631
ÿ Outro comando para listar os processos em execução no open

portas
Comando:
lsof -i -P -n | grep LISTEN

ÿ O comando grep é usado para filtrar portas no estado LISTEN
Encontrando Programas/Processos Associados a uma Porta
Os investigadores forenses precisam identificar os aplicativos/programas que estão sendo executados em várias
portas para que programas maliciosos (se houver) possam ser detectados. A execução do comando netstat pode
ajudar os investigadores a determinar os aplicativos/programas/processos em execução em uma máquina e as portas
específicas associadas a eles.
Comando:
netstat –tulpn
Parâmetros:
ÿ -t, mostra portas TCP

ÿ
-u, mostra as portas UDP
ÿ -l, exibe as portas de escuta

ÿ
-p, lista PID/nome do programa
ÿ
-n, exibe o endereço na forma numérica


Figura 7.14: Execução do comando netstat com as opções -t, -u, -l, -p e -n
ÿ
Na figura acima, cupsd é o processo com PID 11806, rodando na porta 631.
ÿ Os investigadores também podem executar o comando lsof para listar os processos em execução nas portas abertas.
Se os investigadores quiserem obter informações filtradas sobre portas no estado 'LISTEN' , eles devem adicionar
o comando grep junto com a opção 'LISTEN' no comando lsof .
Comando:
lsof -i -P -n | grep LISTEN
Figura 7.15: Execução do comando lsof para verificar o processo em execução em portas abertas


Coletando dados em arquivos abertos

ÿ Você pode executar o comando lsof para listar todos os arquivos abertos, bem como os processos ativos que
os abriram no sistema
Comando:
lsof
ÿ Para listar os arquivos abertos para o usuário atualmente conectado ao sistema

Comando:
lsof -u <user_name>
Coletando dados em arquivos abertos
A coleta de dados de arquivos abertos é uma parte importante da análise forense do Linux, pois ajuda os investigadores
a detectar a presença de arquivos/programas suspeitos em execução em um sistema.
Os investigadores devem executar o comando lsof sem nenhuma opção para recuperar informações sobre todos os
processos ativos e arquivos abertos.
Comando:
lsof
Observação: como a saída gerada por esse comando pode incluir uma grande quantidade de informações, o comando
pode ser combinado com a barra vertical (|) e o sinalizador 'more' , que permitem que a saída seja visualizada página
por página.
Figura 7.16: Execução do comando lsof para verificar dados em arquivos abertos


Para listar os arquivos abertos para o usuário atualmente conectado ao sistema, um investigador pode
executar o comando lsof da seguinte maneira:
Sintaxe:
lsof -u <user_name>


Visualizando Processos em Execução no Sistema

ÿ Execute o comando ps para visualizar os processos em execução no sistema
ÿ Ele fornece um instantâneo dos processos atuais junto com informações detalhadas, como o usuário
id, uso da CPU, uso da memória e nome do comando
ÿ Verifique a árvore do processo para determinar quaisquer processos filhos e dependências suspeitos
Processo
Visualizando Processos em Execução no Sistema
Investigadores forenses devem executar o comando ps para recuperar detalhes pertencentes aos processos
atualmente em execução no sistema. A saída retornada por este comando também fornece aos investigadores
informações sobre os números de identificação do processo (PIDs) correspondentes aos processos em
execução.
O comando também exibe detalhes, como uso da unidade de processamento central (CPU), uso de memória
e nomes dos comandos em execução. Os investigadores devem examinar a árvore do processo para verificar
quaisquer processos filhos e dependências suspeitos.
Quando o comando ps é executado sem nenhuma opção, ele exibe apenas os processos atualmente em
execução na conta do usuário conectado. Se os investigadores quiserem obter informações sobre os
processos em execução para todas as contas de usuário, eles devem emitir o comando ps seguido do sinalizador
auxww.
Figura 7.17: Executando o comando ps


Coletando dados não voláteis

ÿ O estado dos dados não voláteis não muda quando a máquina é desligada
ÿ Durante a investigação forense, os investigadores devem coletar informações não voláteis, como informações do sistema,
histórico de login, logs do sistema e arquivos ocultos para construir a análise da linha do tempo do incidente que ocorreu
Os dados não voláteis incluem o seguinte:
1 Informações do sistema 7 Arquivo de histórico do usuário
2 Informações do kernel 8 arquivos e diretórios ocultos
3 contas de usuário 9 Informações suspeitas
Usuários conectados no momento e

4 10 assinaturas de arquivo
histórico de login
Informações de arquivo obtidas usando

5 registros do sistema 11
o comando file and strings
Arquivos graváveis obtidos usando

6 arquivos de log do Linux 12
o comando find
Coletando dados não voláteis
O estado dos dados não voláteis não muda quando a máquina é desligada. Durante a investigação forense, os investigadores
devem coletar informações não voláteis, como informações do sistema, histórico de login do usuário, logs do sistema e arquivos
ocultos para construir a análise da linha do tempo do incidente ocorrido.
Os dados não voláteis incluem o seguinte:
ÿ Informações do sistema
ÿ Informação do Kernel
ÿ Contas de utilizador
ÿ Usuários atualmente logados e histórico de login
ÿ Registros do sistema
ÿ Arquivos de log do Linux
ÿ Arquivo de histórico do usuário
ÿ Arquivos e diretórios ocultos
ÿ Informação Suspeita
ÿ
Assinaturas de arquivo
ÿ
Informações de arquivo obtidas usando o comando file and strings
ÿ Arquivos graváveis obtidos usando o comando find


Coletando informações do sistema
Execute o comando cat /proc/cpuinfo para Execute o comando cat /proc/self/mounts

visualizar detalhes sobre o para visualizar pontos de montagem e
CPU em uma máquina dispositivos externos montados
Coletando informações do sistema
Os investigadores podem executar o comando cat /proc/cpuinfo para visualizar detalhes sobre a CPU em
uma máquina
Figura 7.18: Executando o comando cat /proc/cpuinfo


Os investigadores devem executar o comando cat /proc/self/mounts para visualizar os pontos de montagem e
os dispositivos externos montados
Figura 7.19: Executando o comando cat /proc/self/mounts


Coletando Kernel
Informação
ÿ Use os seguintes comandos para verificar a versão do kernel do Linux
em um sistema:
uname -r
(ou) cat /proc/version

(ou) hostnamectl | Kernel
grep
Coletando Informações do Kernel
O kernel do Linux é o componente central do sistema operacional Linux. Ele gerencia os recursos do
sistema e facilita as trocas de comunicação entre os componentes de hardware e software. O kernel
também é responsável por manter a segurança do sistema. Portanto, é importante determinar a versão do
kernel para atualizá-lo com patches de segurança, se necessário. Um investigador pode executar os
seguintes comandos para verificar a versão do kernel do Linux em um sistema:
uname -r
(ou)
cat /proc/versão
(ou)
hostnamectl | Kernel grep
Figura 7.20: Executando comandos para coletar informações do kernel


Coletando informações da conta do usuário

O arquivo /etc/passwd em execução em um sistema Linux armazena informações
de conta de usuário local
A análise do arquivo /etc/passwd permite ao investigador visualizar as contas de

usuário no sistema
Comando:
cat /etc/passwd
Comando fornecido para listar apenas nomes de usuários na saída
cut –d: -f1 /etc/passwd
Cada linha na saída representa as informações de login de um único usuário

e inclui sete campos separados por dois pontos (:)
Você pode observar o seguinte sobre o formato de saída do arquivo /etc/

passwd analisando a primeira entrada na captura de tela:
raiz - nome de usuário
x – Senha ('x' denota criptografado)

0 – ID do usuário ('0' é reservado para root)
0 – Raiz do ID
do grupo – Informações do ID
do usuário / root – Diretório
inicial / bin/ bash – Caminho absoluto para o shell de login do usuário
Coletando informações da conta do usuário
Em sistemas Linux, as informações do usuário local são salvas no arquivo /etc/passwd . Cada linha
individual neste arquivo contém informações de login que correspondem a um único usuário. Durante a
investigação forense, examinar o arquivo /etc/passwd ajuda os investigadores a determinar os detalhes
pertencentes a todas as contas de usuário presentes no sistema.
Para examinar o arquivo, os investigadores devem executar o comando cat /etc/passwd . Se eles
quiserem listar apenas nomes de usuários na saída, eles devem executar o comando cut -d: -f1 /etc/passwd
Figura 7.21: Executando o comando cat /etc/passwd para coletar informações da conta do usuário


Cada linha na saída obtida ao executar o comando cat /etc/passwd representa as informações de login de um
único usuário e inclui sete campos separados por dois pontos (:).
Você pode observar o seguinte sobre o formato de saída do arquivo /etc/passwd analisando a primeira entrada na
figura acima:
ÿ root – Nome de usuário
ÿ
x – Senha ('x' denota criptografado)
ÿ 0 – ID do usuário ('0' é reservado para root)
ÿ 0 – ID do grupo
ÿ root – informações de ID do usuário
ÿ /root – Diretório inicial
ÿ /bin/bash – Caminho absoluto para o shell de login do usuário


Coletando usuários e login atualmente conectados

Informações de histórico
ÿ Para encontrar o usuário atualmente conectado no sistema
Comando:
Em
ÿ O arquivo de log /var/log/wtmp mantém

informações sobre o histórico de login do usuário,
tempo de reinicialização do sistema e status do sistema
ÿ O último comando extrai o histórico de login do arquivo de log

wtmp
Comando:
load -f /var/log/wtmp
Coletando usuários atualmente conectados

e informações do histórico de login (continuação)
ÿ O arquivo /var/log/auth.log registra informações relacionadas aos eventos de autenticação e
autorização do usuário, logins remotos do usuário, logins sudo, logins SSH, etc.
Comando:
cat /var/log/auth.log
ÿ O seguinte comando filtra os comandos sudo

grep sudo /var/log/auth.log
Coletando usuários conectados no momento e informações do histórico de login
Coletando informações sobre usuários conectados no momento
É importante que os investigadores forenses saibam como coletar informações sobre os usuários que estão
conectados a um sistema. Os investigadores devem executar o comando w para obter informações sobre os
usuários conectados.


Figura 7.22: Executando o comando w
Coletando informações do histórico de login
Os investigadores também devem verificar o conteúdo do arquivo /var/log/wtmp para obter informações sobre o tempo
de inicialização do sistema, histórico de login do usuário, etc. Eles podem usar o último comando para visualizar o histórico
de login do usuário e outros detalhes relacionados.
load -f /var/log/wtmp
Figura 7.23: Executando o último comando
Para obter informações relativas à autenticação do usuário e eventos de autorização, logins de usuários remotos e o
histórico da execução de comandos sudo , os investigadores forenses devem examinar os detalhes do arquivo /var/log/
auth.log .


As figuras a seguir destacam a execução dos comandos que os investigadores podem usar
para recuperar informações do arquivo /var/log/auth.log (a segunda figura abaixo refere-se
ao uso do comando grep para filtrar e recuperar logs pertencentes à execução de comandos
sudo ). cat /var/log/auth.log grep sudo /var/log/auth.log
Figura 7.24: Examinando o arquivo /var/log/auth.log usando o comando cat
Figura 7.25: Examinando o arquivo /var/log/auth.log usando o comando grep para filtrar os logs relacionados aos comandos sudo


Coletando dados de registros do sistema

ÿ Em uma máquina Linux, os logs do sistema estão localizados no diretório /
ÿ Analisar os logs do kernel do Linux
var/log/syslog ÿ O arquivo de configuração syslog armazena
localizados em /var/log/kern.log pode ser útil para solucionar problemas
mensagens do sistema do recurso de log kernels personalizados
e coleta logs de dados de vários programas e serviços, incluindo o kernel
Comando:
Comando:
cat /var/log/kern.log
cat /var/log/syslog
Coletando dados de registros do sistema
Examinando o arquivo syslog
Nos sistemas Linux, o arquivo syslog registra as mensagens do sistema, bem como as mensagens de erro e
status do aplicativo. Este arquivo também coleta e armazena o log de dados do kernel. Os investigadores devem
recuperar detalhes do diretório /var/log/syslog para examinar as informações armazenadas nos arquivos syslog.
O comando a ser usado para exibir os detalhes em /var/log/syslog é cat /var/log/syslog
Figura 7.26: Examinando o arquivo syslog usando o comando cat


Examinando o log do kernel
O arquivo de log /var/log/s.log registra as informações de todos os eventos relacionados ao kernel. Os

investigadores forenses devem recuperar os detalhes dos logs armazenados em /var/log/kern.log para examinar
todas as informações que foram armazenadas no arquivo de log do kernel. O comando a ser executado para
visualizar os detalhes armazenados no arquivo de log do kernel é cat /var/log/kern.log
Figura 7.27: Examinando o log do kernel usando o comando cat


Arquivos de registro do Linux
Localização do registro Descrição do conteúdo
Informações de autorização do sistema, incluindo logins de

/var/log/auth.log
usuário e mecanismo de autenticação
Inicialização de kernels, erros de kernel ou mensagens

/var/log/kern.log
informativas enviadas do kernel
/var/log/faillog Tentativas de login do usuário com falha
/var/log/lpr.log Registros da impressora
/var/log/mail.* Todos os logs de mensagens do servidor de e-mail
/var/log/mysql.* Todos os logs do servidor MySQL
/var/log/apache2/* Todos os logs do servidor web Apache
/var/log/apport.log Relatório/log de travamento do aplicativo
/var/log/lighttpd/* Diretório de arquivos de log do servidor web Lighttpd
/var/log/daemon.log Serviços em execução, como squid e ntpd
/var/log/depurar Mensagens de registro de depuração
/var/log/dpkg.log Logs de instalação ou remoção de pacotes
Arquivos de registro do Linux
Arquivos de log são registros de todas as atividades executadas em um sistema. Os arquivos de log do Linux armazenam informações sobre o kernel
do sistema e os serviços em execução no sistema.
No ambiente Linux, diferentes arquivos de log contêm diferentes tipos de informações. Isso ajuda os investigadores a analisar vários problemas
durante um incidente de segurança. Compreender o conteúdo de vários arquivos de log pode ajudar os investigadores forenses a localizar possíveis
evidências em um sistema durante incidentes de segurança.
Abaixo estão alguns endereços de arquivo de log do Linux que podem ser úteis para os investigadores durante a realização de exames forenses de
uma máquina Linux:
Localização do registro Descrição do conteúdo
Informações de autorização do sistema, incluindo logins de

/var/log/auth.log
usuário e mecanismo de autenticação
Inicialização de kernels, erros de kernel ou mensagens

/var/log/kern.log
informativas enviadas do kernel
/var/log/faillog Tentativas de login do usuário com falha
/var/log/lpr.log Registros da impressora
/var/log/mail.* Todos os logs de mensagens do servidor de e-mail
/var/log/mysql.* Todos os logs do servidor MySQL


/var/log/apache2/* Todos os logs do servidor web Apache
/var/log/apport.log Relatório/log de travamento do aplicativo
/var/log/lighttpd/* Diretório de arquivos de log do servidor web Lighttpd
/var/log/daemon.log Serviços em execução, como squid e ntpd
/var/log/depurar Mensagens de registro de depuração
/var/log/dpkg.log Logs de instalação ou remoção de pacotes
Tabela 7.1: Endereços de arquivo de log do Linux


Fluxo do módulo


forense 04 03 forense
Analisar imagens do sistema de arquivos usando o kit Sleuth

O Sleuth Kit (TSK) permite que você investigue imagens de disco. Sua funcionalidade principal permite
analisar dados de volume e sistema de arquivos. A estrutura de plug-in permite incorporar módulos adicionais
para analisar o conteúdo do arquivo e construir sistemas automatizados. Esta seção explorará os comandos
TSK que podem ajudar os investigadores a visualizar e examinar os sistemas de arquivos.


Sistema de arquivo
Análise usando
O Kit Detetive:
fsstat
ÿ Em sistemas Linux, o comando fsstat fornece

informações associadas ao sistema de arquivos fornecido
ÿ A saída deste comando é específica do sistema de arquivos e

consiste em várias informações, como o tipo de sistema de
arquivos, ID do volume, registros de data e hora da última
montagem e último diretório montado
Comando:
fsstat -i <input _filetype>

<filename.extension>
Análise do sistema de arquivos usando o kit Sleuth: fsstat
Em sistemas Linux, o comando fsstat fornece informações associadas ao sistema de arquivos fornecido.
A saída desse comando é específica do sistema de arquivos e consiste em várias informações, como tipo
de sistema de arquivos, ID do volume, carimbos de data/hora da última montagem e último diretório montado.
Comando:
fsstat -i <input _filetype> <filename.extension>
Figura 7.28: Examinando uma imagem usando o comando fsstat


Análise do sistema de arquivos usando o kit Sleuth: fls e istat

ÿ Execute o comando fls para listar os arquivos e diretórios disponíveis
ÿ Use o comando istat que exibe os metadados de um arquivo, como
em um arquivo de imagem ÿ Este comando também é útil para tempos MAC, tamanho do arquivo e permissões de acesso ao
visualizar arquivos excluídos recentemente arquivo, especificando um número de inode específico
arquivos
Comando:
Comando: istat -f <fstype> -i <imgtype>

fls -i <image_type> <imagefile_name> <imagefile_name> <inode_number>
Análise do sistema de arquivos usando o kit Sleuth: fls e istat

comando fls
Execute o comando fls para listar os arquivos e diretórios disponíveis em um arquivo de imagem. Este comando também
é útil para visualizar arquivos excluídos recentemente.
Comando:
fls -i <image_type> <imagefile_name>
Figura 7.29: Examinando uma imagem usando o comando fls


Comando Estadual
Use o comando istat para exibir os metadados de um arquivo, como tempos MAC, tamanho do arquivo e permissões
de acesso ao arquivo, especificando um número de inode específico.
Comando:
istat -f <fstype> -i <imgtype> <imagefile_name> <inode_number>
Figura 7.30: Examinando um arquivo de imagem usando o comando istat


Fluxo do módulo


forense
04 03 forense
Demonstrar Forense de Memória

A análise forense de memória desempenha um papel importante no rastreamento dos eventos que
ocorreram na máquina suspeita. A estrutura Volatility é uma ferramenta útil que ajuda os investigadores a
examinar a imagem RAM de uma máquina Linux. Esta seção explorará tópicos como coletar informações
relacionadas à rede em um arquivo de imagem, coletar informações do sistema e realizar análises de
memória para identificar conexões maliciosas associadas à máquina suspeita. Você também aprenderá
como esculpir arquivos excluídos do despejo de memória usando o PhotoRec.


Memória Forense: Introdução
A análise forense de memória envolve a análise forense de despejos de

RAM capturados de uma máquina em execução 1
A análise forense do despejo de RAM fornece informações sobre processos em
execução na memória, informações de rede, acesso não autorizado ao sistema,
módulos carregados, comandos executados recentemente, fragmentos de código 2
injetados, etc.
Essas informações podem ajudar o investigador a descobrir ataques de

malware ou qualquer outro comportamento malicioso que tenha ocorrido na
máquina de destino
3
Nota: O investigador deve prosseguir com o exame forense com base nas informações/eventos registrados pela equipe de resposta a incidentes
Memória Forense: Introdução
A análise forense de memória refere-se ao exame de dados voláteis obtidos de um arquivo de imagem de
memória/despejo de memória de um sistema. Um despejo de memória (despejo de RAM) refere-se aos dados
voláteis capturados da RAM de um sistema quando o sistema está em execução. Os dados da RAM contêm
informações valiosas relacionadas a incidentes como ataque de malware, travamento do sistema e
comprometimento do sistema. As soluções de segurança de rede, como firewalls e ferramentas antivírus, não
podem detectar scripts maliciosos gravados na RAM do sistema. Os investigadores forenses devem realizar
análises forenses de memória para examinar vários artefatos e identificar atividades maliciosas que ocorrem em
um sistema. A análise forense de memória também ajuda a detectar e analisar malware residente na memória
que, de outra forma, pode passar despercebido no disco rígido. A análise forense do despejo de RAM fornece
informações sobre processos em execução na memória, informações de rede, acesso não autorizado ao sistema,
módulos carregados, comandos executados recentemente, fragmentos de código injetados, etc.
Em uma máquina Linux, os dumps de RAM são adquiridos usando ferramentas/softwares especializados. O
LiME é uma das ferramentas mais conhecidas usadas na aquisição de dumps de RAM. Em muitos casos de
crimes cibernéticos, o exame e a análise de despejos de memória podem levar à coleta de evidências críticas
que podem ser usadas para identificar e processar os perpetradores em um tribunal. Ferramentas como o
Volatility Framework são amplamente usadas para executar análise forense de memória em máquinas Linux.
Nota: O investigador deve prosseguir com o exame forense com base nas informações/eventos registrados pela
equipe de resposta a incidentes.


ÿ Depois de adquirir RAM dumps da máquina de destino, o

Malware investigador deve analisar esses lixões usando ferramentas como
Volatilidade para identificar a ocorrência de atividade maliciosa
Análise usando
ÿ Para examinar despejos de memória usando o Volatility Framework, o
Volatilidade o investigador deve criar um perfil do Linux que corresponda à versão
Estrutura do kernel do despejo de RAM de destino (que é usado para análise)
O plug-in pslist lista todos os processos que estavam

em execução na máquina quando o despejo de memória
foi capturado
Comando:
python vol.py --file=<file_name> --

profile=<Linux_profile_name> linux_pslist
Nota: Neste caso, o perfil do Linux é Linux Ubuntu_16.04 x64
Análise de malware usando a estrutura de volatilidade (continuação)
ÿ Use o plug-in netstat para procurar ÿ O plug-in pstree exibe os processos pai e filho associados
comunicação de rede maliciosa na máquina gerados usando um backdoor malicioso
ÿ Na captura de tela abaixo, pode-se observar que o
Comando:
processo apache2 com PID 1279 iniciou outro processo
python vol.py --file=<file_name> -- apache2 com PID 1332
profile=<Linux_profile_name> linux_netstat
ÿ Isso indica que o processo com PID 1332 está estabelecendo
comunicação maliciosa
Comando:
python vol.py --file=<file_name> --
profile=<Linux_profile_name> linux_pstree


Análise de malware usando a estrutura de volatilidade (continuação)
ÿ O plugin malfind ajuda o investigador

identificar quaisquer injeções de código remotas/
ocultas na memória
ÿ Comando:
ÿ python vol.py --file=<file_name> -

-
perfil=<Linux_profile_name> linux _malfind
ÿ Na saída do pstree , o processo com PID 1332 é identificado

como malicioso. Você pode utilizar o plugin malfind para
verificar se o PID 1332 é um legítimo
processo.
ÿ Quando o plugin malfind é executado com PID 1332, o

Malware
parâmetro 'Protection' mostra que o processo está
Análise
marcado com as permissões Read, Write e Execute .
Isso indica que algum código malicioso foi injetado no
processo.
Análise de malware usando a estrutura de volatilidade
O Volatility Framework é uma ferramenta que ajuda os investigadores a analisar a memória volátil. Depois de
adquirir os dumps de RAM da máquina de destino, o investigador deve analisar esses dumps usando ferramentas
como Volatility para identificar a ocorrência de atividade maliciosa.
Antes de analisar o arquivo de imagem RAM usando a ferramenta de volatilidade, um investigador deve criar um
perfil Linux para definir o sistema/kernel ao qual o arquivo de imagem de memória pertence.
Identificando processos em execução usando o plug-in pslist
Os investigadores forenses devem usar o plug-in pslist da ferramenta de volatilidade para recuperar informações
sobre todos os processos/programas que estavam em execução no sistema no momento em que o despejo de
memória foi coletado.
Comando:
python vol.py --file=<file_name> --profile=<Linux_profile_name> linux_pslist


Figura 7.31: Usando o plug-in pslist
Observação: nesse caso, o perfil do Linux é Linux Ubuntu_16.04 x64.
Examinando comunicações de rede maliciosas usando o plug-in netstat
Investigadores forenses devem usar o plug-in netstat para recuperar detalhes relacionados a conexões de
rede em um sistema host. A saída retornada pelo plug-in netstat fornece informações sobre todas as
conexões de porta TCP e UDP, o que pode ajudar a detectar qualquer comunicação de rede maliciosa em
execução no sistema.
Comando:
python vol.py --file=<file_name> --profile=<Linux_profile_name> linux_netstat


Figura 7.32: Saída obtida ao usar o plug-in netstat
Visualizando processos usando o plug-in pstree
Os investigadores devem usar o plug-in pstree para exibir informações sobre os processos em execução junto com
seus processos pai na forma de uma árvore em vez de exibi-los como uma lista. Devido ao seu formato de árvore, é
mais simples e conveniente visualizar a hierarquia do processo através da saída gerada por este plugin. A partir da
saída obtida, os investigadores podem detectar os processos maliciosos em execução, bem como seus processos pai.
Comando:
python vol.py --file=<file_name> --profile=<Linux_profile_name> linux_pstree
Figura 7.33: Resultado obtido ao usar o plugin pstree


Detectando arquivos ocultos na memória usando o plug-in malfind
A execução do plug-in malfind ajuda os investigadores forenses a detectar arquivos ocultos ou injetados, que
geralmente são arquivos de biblioteca de vínculo dinâmico (DLL), na memória. Se a saída do plug-in pstree indicar
que um determinado PID é suspeito, os investigadores devem executar o plug-in malfind nesse PID para
determinar sua legitimidade. Por exemplo, a partir da saída do plug-in pstree mostrada na figura anterior, o
processo com PID 1332 é identificado como malicioso. Você pode usar o plugin malfind para verificar se o PID
1332 é um processo legítimo.
A figura abaixo mostra que quando o plugin malfind é executado com PID 1332, o parâmetro 'Protection' mostra
que o processo está marcado com as permissões Read, Write e Execute. Isso indica que algum código malicioso
foi injetado no processo.
Comando:
python vol.py --file=<file_name> profile=<Linux_profile_name> --

linux_malfind
Figura 7.34: Usando o plugin malfind


Gravando despejos de memória usando a ferramenta PhotoRec
PhotoRec é uma ferramenta de código Despejos de memória contêm dados voláteis Identificar e extrair esses
aberto que usa técnicas de gravação pertencentes a usuários conectados, arquivos arquivos permite a
de dados para recuperar arquivos compartilhados, arquivos de mídia acessados investigadores forenses
excluídos/dados perdidos de uma recentemente e bate-papos via redes sociais para realizar uma
unidade ou arquivo de imagem redes, páginas web acedidas, etc. investigação mais detalhada
Gravando dados do despejo de memória
ÿ Execute a ferramenta PhotoRec e execute o seguinte

comando
Comando:
fotorrec <Imagefile_name>
Gravando despejos de memória usando a ferramenta PhotoRec (continuação)
ÿ Use ferramentas anti-malware para verificar se há vírus nos dados extraídos dos despejos de
memória ÿ Isso permite a detecção de quaisquer dados maliciosos nos despejos de memória que podem ser úteis durante
uma investigação
Extraindo dados de despejos de memória usando PhotoRec Dados recuperados do arquivo de imagem
Gravando despejos de memória usando a ferramenta PhotoRec
Fonte: https:// www.cgsecurity.org
Os investigadores forenses podem recuperar arquivos excluídos/perdidos do disco rígido ou um arquivo de imagem
de memória usando a ferramenta PhotoRec. Depois de recuperar os arquivos excluídos, os investigadores devem
examiná-los com ferramentas antimalware para verificar a presença de dados maliciosos.


Dada a seguir é o comando para executar a ferramenta PhotoRec.
Comando:
fotorrec <Imagefile_name>
Figura 7.35: Executando a ferramenta photorec
Ao executar o comando PhotoRec conforme mostrado acima, o progresso da recuperação dos dados do despejo de
memória pode ser visto na janela do terminal, conforme mostrado na figura abaixo.
Figura 7.36: Extraindo dados de despejos de memória por meio do PhotoRec
Figura 7.37: Dados recuperados do despejo de memória usando o PhotoRec


Fluxo do módulo


forense
04 03 forense
Entenda a análise forense do Mac

MacOS é um sistema operacional desenvolvido pela Apple para suportar sua série de computadores pessoais
Macintosh. É um dos sistemas mais amplamente adotados em todo o mundo e, com o aumento de seu uso, o
número de ataques cibernéticos que enfrenta aumentou significativamente. Para realizar análises forenses com
eficiência em sistemas baseados em MacOS, os investigadores devem entender o MacOS, seu processo, políticas,
funções e padrões de armazenamento interno. Esta seção apresentará os processos que podem ajudar a conduzir
a investigação forense nesses sistemas.


Introdução à análise forense do Mac
A adoção cada vez maior de sistemas Mac os tornou um alvo primário para ataques maliciosos
1
O avanço das ferramentas de malware e a menor disponibilidade de ferramentas de segurança para sistemas
2 baseados em MacOS aceleraram ainda mais essas ameaças
Para identificar um ataque ou provar a culpa, os investigadores exigem evidências como a

3 presença de malware, tentativas de registro não autorizadas e conectividade com servidores e sites maliciosos
Os sistemas Mac armazenam todos esses dados de evidência em arquivos de log, diretórios, configurações,
4 histórico de aplicativos, etc. e os investigadores precisam extrair esses dados e usá-los para criar uma linha do tempo
para descobrir o que aconteceu
Portanto, para realizar uma investigação eficaz, os investigadores devem possuir conhecimento profundo do
OPÇÃO 01
5 MacOS, seu sistema de arquivos, bibliotecas e diretórios
Introdução à análise forense do Mac
MacOS é um sistema operacional baseado em Unix usado pela Apple em seus sistemas de computação Macintosh. O
sistema operacional depende das camadas do kernel Mach e Berkeley Software Distribution (BSD). O uso de produtos da
Apple, como computadores Mac, iPods, iPads e iPhones aumentou drasticamente nos últimos anos. Com o tempo, eles
também se tornaram o principal alvo de ataques cibernéticos. O número crescente de ataques contra sistemas Mac pode
ser atribuído ao avanço das ferramentas de malware e à falta de ferramentas de segurança suficientes desenvolvidas para
defender esses sistemas contra ataques. Para identificar um ataque ou provar a culpa, os investigadores exigem evidências
como a presença de malware, tentativas de registro não autorizadas e conectividade com servidores e sites maliciosos.
A análise forense do Mac refere-se à investigação de um crime ocorrido em ou usando um dispositivo baseado em MacOS.
Os sistemas Mac armazenam todos esses dados de evidência em arquivos de log, diretórios, configurações, histórico de
aplicativos, etc. e os investigadores precisam extrair esses dados e usá-los para criar uma linha do tempo para descobrir o
que aconteceu. Portanto, para realizar uma investigação eficaz, os investigadores devem possuir conhecimento profundo
do MacOS, seu sistema de arquivos, bibliotecas e diretórios


Dados forenses do Mac

ÿ Detecção da Versão do Sistema:
ÿ Descobertas:
• Visualize o arquivo SystemVersion.plist localizado em • É o aplicativo padrão do Mac que ajuda a encontrar
/System/Library/CoreServices/SystemVersion.plist arquivos e pastas específicos
• Também ajuda na classificação na ordem necessária
ÿ Carimbo de data/hora:
• Use a estatística de entrada da linha de comando para encontrar o registro de data e hora de
qualquer arquivo
• Uso: stat [-FlLnqrsx] [-f formato] [-t timefmt] [arquivo ...]
ÿ Pacotes de aplicativos:
• Estes são diretórios especiais que armazenam aplicativos

dados, e estão ocultos do usuário
• Analisar esses pacotes para identificar malware ou outros

dados suspeitos
• Avalie os códigos executáveis para verificar se algo

está errado com o aplicativo
Dados forenses do Mac (continuação)
Conta de usuário Sistema de arquivo Módulo de segurança básica (BSM)
ÿ Os dados da conta do usuário são armazenados em ÿ A camada do sistema de arquivos ÿ O token representa dados específicos, como
a pasta da biblioteca do usuário - armazena informações como metadados de argumentos de programa , valor de
/Usuários/nome de usuário/Biblioteca arquivo, conteúdo de arquivo e estruturas de retorno, dados de texto, soquete,
diretório execução e ação em um arquivo
ÿ Colete informações como horários de
modificação, acesso e criação de cada

ÿ Os dados armazenados no BSM ajudam
conta
a determinar o tipo de arquivo, criador e dados
de uso


ÿ Use um holofote para pesquisar palavras-chave específicas que representam atividades maliciosas
Holofote
ÿ Armazena os dados de autenticação, como tentativas de logon (sucesso e falha) de todos

Usuários
Diretório inicial ÿ Ajuda o investigador a determinar todas as tentativas feitas para contornar a segurança
medidas junto com os timestamps relevantes
ÿ Uma ferramenta de backup que armazena o conteúdo do disco rígido
ÿ Inclui um arquivo BackupAlias contendo as informações binárias relacionadas ao disco rígido

Máquina do tempo
usado para armazenar os backups
ÿ O MacOS pode incorporar recursos adicionais carregando extensões do kernel

Kexts
ÿ Analisar o sistema para extensões do kernel

Apple Mail ÿ
Armazena o e-mail do usuário no diretório /Users//Library/Mail ÿ Salva
o e-mail no formato emlx, onde cada e-mail é armazenado como um arquivo no formato ASCII ÿ
Use extratores de e-mail como o Email Extractor 7 e o Data Extractor para analisar os dados do e-mail
Safári
ÿ Dados como histórico de navegação, histórico de download e favoritos podem ser usados como evidência e são armazenados como
History.plist, Downloads.plist e Bookmarks.plist respectivamente no local / Users//Library/Safari
eu converso
ÿ Verifique se há bate-papos salvos no local padrão: /Users/<username>/Documents/iChats
ÿ Aplicativos individuais são armazenados como <nome de usuário> em <data> às <hora>.ichat
Entradas de linha de comando ÿ

MacOS registra comandos no bash shell e os armazena no arquivo .bash_history ÿ Use o comando
$tail .bash_history para visualizar os comandos mais recentes que foram executados na máquina suspeita
Dados forenses do Mac
Se um dispositivo baseado em MacOS estiver presente na cena do crime, os investigadores primeiro

apreenderão o dispositivo e o protegerão. O dispositivo suspeito é então visualizado usando
bloqueadores de gravação e as investigações são realizadas na cópia com imagem. Investigadores
forenses então examinam a mídia digital de maneira forense. Sua tarefa é identificar, preservar,
recuperar, analisar e apresentar as evidências extraídas do dispositivo de forma admissível no tribunal.


A análise de todas essas fontes, conforme discutido abaixo, pode fornecer dados forenses cruciais que podem ajudar
os investigadores a rastrear ciberataques. Além disso, os investigadores podem obter todos os detalhes da conta do
usuário na pasta da biblioteca e coletar informações relacionadas aos horários de modificação, acesso e criação da
conta.
ÿ Arquivo SystemVersion.plist
Ele contém detalhes da versão do sistema e está localizado em /

System/Library/CoreServices/SystemVersion.plist.
Figura 7.38: Verificando os detalhes da versão do sistema no sistema Mac por meio do arquivo SystemVersion.plist
ÿ Utilitário de carimbo de data/hora
Isso ajuda a correlacionar eventos de log e criar uma linha do tempo lógica dos eventos que ocorreram em
uma máquina. Ele fornece informações importantes, como tempos de MAC de qualquer arquivo. Também
ajuda a recuperar registros de data e hora de aplicativos, serviços, eventos e logs do sistema. Um investigador
pode usar a estatística de entrada da linha de comando para recuperar o registro de data e hora de qualquer arquivo.
Comando:
stat [-FlLnqrsx] [formato-f] [-t timefmt] [arquivo ...]
Figura 7.39: Verificando os metadados associados a um arquivo em um sistema Mac usando o comando stat
ÿ Pacotes de Aplicativos
Esses são diretórios especiais que armazenam dados do aplicativo e ficam ocultos do usuário.
Os investigadores devem analisar esses pacotes para identificar malware ou outros dados suspeitos.
Avalie os códigos executáveis para verificar se algo está errado com o aplicativo.


ÿ Localizador
Este é o aplicativo padrão do Mac que ajuda a encontrar arquivos e pastas específicos e também ajuda a classificá-
los na ordem necessária.
ÿ Conta de Utilizador
Os dados da conta do usuário armazenam informações relacionadas a todas as contas de usuário, como IDs de
usuário e opção de política de senha. Também ajuda a identificar os usuários convidados e administradores.
Os dados da conta do usuário são armazenados na pasta da biblioteca do usuário - /Users/username/Library.
Colete informações como horários de modificação, acesso e criação de cada conta
ÿ Sistema de
Arquivos O MacOS usa o Sistema de Arquivos Apple (APFS) que compreende duas camadas, a camada do
contêiner e a camada do sistema de arquivos. A camada de contêiner contém dados como metadados de volume,
estado de criptografia e instantâneos do volume. A camada do sistema de arquivos armazena informações como
metadados de arquivo, conteúdo de arquivo e estruturas de diretório
ÿ Módulo Básico de Segurança (BSM)

O BSM salva informações de arquivo e eventos relacionados usando um token, que possui uma estrutura binária.
O token representa dados específicos, como argumentos de programa, valor de retorno, dados de texto, soquete,
execução e ação em um arquivo. Os dados armazenados no BSM ajudam a determinar o tipo de arquivo, o criador e
os dados de uso.
ÿ Spotlight O
Spotlight é um recurso de pesquisa integrado do MAC OS, que indexa os arquivos por tipo e, assim, facilita a
pesquisa. Essa tecnologia é particularmente útil para os investigadores rastrearem arquivos e aplicativos suspeitos.
Use um holofote para pesquisar palavras-chave específicas nos arquivos que representam atividades maliciosas.
ÿ Home Directory No
macOS, a pasta Home armazena todos os arquivos, documentos, aplicativos, pastas de biblioteca, etc. pertencentes
a um determinado usuário. Ele armazena os dados de autenticação, como tentativas de logon (sucesso e falha) de
todos os usuários, juntamente com as pastas de aplicativos e de instalação.
O sistema operacional cria um diretório inicial separado para cada usuário do sistema com seu nome de usuário.
Portanto, os investigadores podem analisar facilmente o diretório Home e recuperar dados cruciais, como senhas,
arquivos de log, pastas de biblioteca, tentativas de logon e outras informações forenses significativas. O exame da
pasta pessoal também pode ajudar a determinar todas as tentativas feitas para contornar as medidas de segurança
junto com os carimbos de data/hora relevantes. Outros arquivos incluem área de trabalho, documentos, biblioteca e
revistas.
ÿ Máquina do Tempo
Time machine é uma ferramenta de backup que armazena o conteúdo do disco rígido. Isso inclui um arquivo
BackupAlias contendo as informações binárias relacionadas ao disco rígido usado para armazenar os backups.


ÿ Kexts
O MacOS pode incorporar recursos adicionais carregando extensões do kernel. Analise o sistema para
extensões do kernel.
ÿ Apple Mail
O MacOS tem um cliente de e-mail autônomo padrão chamado Apple Mail, que oferece suporte a
várias contas POP3 e IMAP e filtragem avançada. Ele armazena todas as mensagens de e-mail no
computador host no diretório /Users//Library/Mail . Ele salva e-mail no formato emlx , onde cada e-
mail é armazenado como um arquivo no formato ASCII. Essas mensagens de e-mail podem atuar como
uma fonte crucial de evidência forense. Use extratores de e-mail como o Email Extractor 7
e Data Extractor para analisar dados de e-mail.
ÿ Safári
O Safari é o navegador da Web padrão para MacOS. Ele armazena informações sobre o histórico de
navegação, histórico de download, etc. como arquivos plist na pasta Biblioteca. Dados como histórico
de navegação, histórico de download e favoritos podem ser usados como evidência e são armazenados
como History.plist, Downloads.plist e Bookmarks.plist , respectivamente, no local /Users//Library/
Safari .
ÿ iChat
O MacOS vem com o aplicativo de mensagens instantâneas padrão chamado iChat. Não armazena
conversas anteriores automaticamente; mas os usuários podem optar por salvá-los manualmente.
Verifique a localização
para padrão dossalvou
individuais chats:
são qualquer /Users/<username>/Documents/iChats.
armazenados como em o Aplicativos
<nome de usuário> em <data> às <hora>.ichat.
ÿ Entradas de linha de comando
O MacOS registra comandos no bash shell e os armazena no arquivo .bash_history.

Use o comando $tail .bash_history para visualizar os comandos mais recentes que foram executados
na máquina suspeita.


Arquivos de registro do Mac
Arquivo de log Usos
/var/log/crashreporter.log Histórico de falhas do aplicativo
/var/log/cups/access_log Informações de conexão da impressora
/var/log/cups/error_log Informações de conexão da impressora
/var/log/daily.out Histórico da interface de rede
Informações de conexão Samba (máquina baseada em

/var/log/samba/log.nmbd
Windows)
~/Biblioteca/Logs Logs de aplicativos específicos para o diretório inicial
~/Library/Logs/
informações de conexão do iChat
iChatConnectionErrors
~/Biblioteca/Logs/Sincronizar Informações de dispositivos em sincronização .Mac
/var/log/* Pasta principal para arquivos de log do sistema
/var/auditoria/* Registros de auditoria
/var/log/install.log Datas de instalação da atualização do sistema e do software
Arquivos de registro do Mac
Listados abaixo estão os diretórios para arquivos de log importantes em sistemas Linux:
Arquivo de log Usos
/var/log/crashreporter.log Histórico de falhas do aplicativo
/var/log/cups/access_log Informações de conexão da impressora
/var/log/cups/error_log Informações de conexão da impressora
/var/log/daily.out Histórico da interface de rede
/var/log/samba/log.nmbd Samba (máquina baseada em Windows) informações de conexão
~/Biblioteca/Logs Logs de aplicativos específicos para o diretório inicial
~/Library/Logs/
informações de conexão do iChat
iChatConnectionErrors
~/Biblioteca/Logs/Sincronizar Informações de dispositivos em sincronização .Mac
/var/log/* Pasta principal para arquivos de log do sistema
/var/auditoria/* Registros de auditoria
/var/log/install.log Datas de instalação da atualização do sistema e do software
Tabela 7.2: Diretórios para arquivos de log do Mac


Diretórios Mac
Nome do arquivo Localização
Iniciar arquivos do agente /Biblioteca/LaunchAgents/*, /Sistema/Biblioteca/LaunchAgents/*
Iniciar arquivos daemon /Biblioteca/LaunchDaemons/*, /Sistema/Biblioteca/LaunchDaemons/*
Arquivo de item de inicialização /Biblioteca/StartupItems/*, /Sistema/Biblioteca/StartupItems/*
Tarefas do Mac OS X /usr/lib/cron/jobs/*
Guias cron ou trabalhos agendados /etc/crontab, /usr/lib/cron/tabs/*
redes sem fio /Library/Preferences/SystemConfiguration/com.apple.airport.preferences.plist
Configurações de preferência do usuário para aplicativos %%users.homedir%%/Library/Preferences/*

e utilitários
iDevices anexados %%users.homedir%%/Library/Preferences/com.apple.iPod.plist
contas sociais %%users.homedir%%/Library/Accounts/Accounts3.sqlite
Diretório de lixo %%users.homedir%%/.Trash/
Pasta principal do Safari %%users.homedir%%/Library/Safari/*
Navegador Mozilla Firefox %%users.homedir%%/Library/Application Support/Firefox/*
navegador Google Chrome %%users.homedir%%/Library/Application Support/Google/Chrome/*
Diretórios Mac
Listados abaixo estão os diretórios importantes em sistemas Mac que podem servir como repositórios de evidências durante uma
investigação forense:
Nome do arquivo Localização
Iniciar arquivos do agente /Biblioteca/LaunchAgents/*, /Sistema/Biblioteca/LaunchAgents/*
Iniciar arquivos daemon /Biblioteca/LaunchDaemons/*, /Sistema/Biblioteca/LaunchDaemons/*
Arquivo de item de inicialização /Biblioteca/StartupItems/*, /Sistema/Biblioteca/StartupItems/*
Tarefas do Mac OS X /usr/lib/cron/jobs/*
Guias cron ou tarefas agendadas /etc/crontab, /usr/lib/cron/tabs/*
/Library/Preferences/SystemConfiguration/com.apple.airport.preferences.plist
redes sem fio
Configurações de preferência do
%%users.homedir%%/Library/Preferences/*
usuário para aplicativos e utilitários
iDevices anexados %%users.homedir%%/Library/Preferences/com.apple.iPod.plist %%users.homedir%
contas sociais %/Library/Accounts/Accounts3.sqlite %%users.homedir%%/.Trash/ %
Diretório de lixo %users.homedir %%/Biblioteca/Safari/*
Pasta principal do Safari
Navegador da web Mozilla Firefox %%users.homedir%%/Library/Application Support/Firefox/*
%%users.homedir%%/Library/Application Support/
navegador Google Chrome
Google/Chrome/*
Tabela 7.3: Diretórios importantes do Mac


Análise APFS: Captura Biskus APFS

ÿ A ferramenta Biskus APFS Capture foi projetada para recuperar informações de discos formatados em APFS
• Ele identifica todas as partições disponíveis nos discos conectados e arquivos de imagem
• O arquivo de relatório no formato CSV permite que você examine os metadados de cada arquivo/pasta no sistema de arquivos
Relatório sobre metadados extraídos do sistema de arquivos Partições disponíveis no arquivo de imagem
O arquivo de relatório SQLite fornece todos os metadados APFS de maneira organizada, pois está no
Diretório APFS
Análise APFS: Ele também fornece acesso individual a cada chave nomeada, inode, xattr e registro de extensão,
Biskus APFS incluindo CNIDs e números de bloco
Captura (continuação) Isso permite que os investigadores pesquisem hardlinks, conteúdo de arquivo clonado, etc., e usem essas
informações para acessar todos os arquivos no disco
Análise APFS: Captura Biskus APFS
A ferramenta Biskus APFS Capture foi projetada para recuperar informações de discos formatados em APFS.
Esta ferramenta identifica todas as partições disponíveis nos discos conectados e arquivos de imagem. O arquivo
de relatório gerado pela ferramenta no formato CSV permite examinar os metadados de cada arquivo/pasta no
sistema de arquivos.


Figura 7.40: Partições disponíveis no arquivo de imagem
Figura 7.41: Relatório sobre os metadados extraídos do sistema de arquivos usando o Biskus APFS Capture
O arquivo de relatório SQLite fornece todos os metadados APFS de maneira organizada, pois está no diretório
APFS. Ele também fornece acesso individual a cada chave nomeada, inode, xattr e registro de extensão,
incluindo CNIDs e números de bloco. Isso permite que os investigadores pesquisem hardlinks, conteúdo de
arquivo clonado, etc., e usem essas informações para acessar todos os arquivos no disco.


Figura 7.42: Visualizando o sistema de arquivos da imagem mac.dd usando o Biskus APFS Capture
Figura 7.43: arquivo de relatório SQLite


Analisando metadados no Spotlight
O Spotlight é um sistema de indexação

embutido no MacOS que cria índices de No MacOS, o Spotlight pode ser
01 todos os arquivos/pastas no sistema e acessado pressionando 02

armazena os metadados de cada arquivo/ Comando + Teclas da barra de espaço
pasta no disco
No exame forense digital, as informações

O arquivo de banco de dados
do banco de dados analisadas do
store.db é o repositório de banco
Spotlight recuperam detalhes como datas,
03 de dados central do Spotlight. Cada
última abertura e número de vezes 04
partição MacOS individual contém o
que um aplicativo ou arquivo é aberto
arquivo store.db.

(continua)
ÿ Análise com Spotlight
ÿ Execute spotlight_parser e aponte-o para o arquivo de banco de dados, .store.db que está localizado no
/.Spotlight-V100/Store-V2/<UUID> pasta
Sintaxe:
python spotlight_parser.py <path_to_database> <path_to_output_folder>


Analisando metadados no Spotlight (continuação)

Quando o Spotlight termina de analisar o arquivo de banco de dados, ele cria dois arquivos de saída
Um é um arquivo de texto contendo um despejo de banco de dados de todas as entradas, enquanto o outro é um arquivo
CSV que consiste em diretórios de cada arquivo/pasta na partição especificada
Metadados analisados do Spotlight no formato CSV Saída de metadados de arquivo jpg analisados do banco de dados
O Spotlight no MacOS permite que os usuários pesquisem arquivos/pastas consultando bancos de dados
ocupados com atributos do sistema de arquivos, metadados e conteúdo textual indexado. Ele cria um índice de
todos os arquivos/pastas no sistema e armazena os metadados de todos os arquivos/pastas no disco. No MacOS,
o Spotlight pode ser acessado pressionando as teclas Command + barra de espaço.
O arquivo de banco de dados store.db no repositório central do Spotlight é de grande valor forense. Isso ocorre
porque a análise desse arquivo fornece ao investigador detalhes como tempos de MAC, arquivos abertos
recentemente, número de vezes que um aplicativo ou arquivo é aberto e metadados associados.
O store.db é um arquivo oculto localizado na pasta /.Spotlight-V100/Store-V2/<UUID>. Cada partição individual

no sistema MAC contém um arquivo store.db específico para a partição. Quando o arquivo de banco de dados é
analisado, ele extrai artefatos específicos dessa partição.
Sintaxe:
python spotlight_parser.py <path_to_database> <path_to_output_folder>


Figura 7.44: Analisando o Spotlight
A saída do spotlight_parser inclui dois arquivos: um arquivo de texto contendo um despejo de banco de
dados de todos os arquivos/pastas no disco e um arquivo CSV contendo diretórios de cada arquivo/pasta
na partição específica. As figuras a seguir mostram o exemplo de um arquivo de texto e um arquivo CSV
obtidos como saída, respectivamente, ao executar o analisador Spotlight.


Figura 7.45: Arquivo de texto de saída gerado pelo analisador spotlight
Figura 7.46: Arquivo CSV de saída gerado pelo analisador spotlight


Ferramentas forenses do Mac
OS X Auditor F-Response
https:// github.com https:// www.f-response.com
Recon Imager volafox

https:// sumuri.com https:// github.com
Memoryze para Mac https:// Volatilidade

www.fireeye.com https:// www.volatilityfoundation.org
Stellar Data Recovery mac_apt - macOS (e iOS)

Professional para Mac Ferramenta de análise de
https:// www.stellarinfo.com artefato https:// github.com
Ferramentas forenses do Mac
Algumas ferramentas forenses do Mac estão listadas a seguir:
ÿ OS X Auditor (https:// github.com)
ÿ Recon Imager (https:// sumuri.com)
ÿ Memoryze para Mac (https:// www.fireeye.com)
ÿ Stellar Data Recovery Professional para Mac (https:// www.stellarinfo.com)
ÿ F-Response (https:// www.f-response.com)
ÿ volafox (https:// github.com)
ÿ Volatilidade (https:// www.volatilityfoundation.org)
ÿ mac_apt - ferramenta de análise de artefato macOS (e iOS) (https:// github.com)


Resumo do módulo
Este módulo discutiu a coleta de dados voláteis e não voláteis
no Linux
Ele discutiu a análise de imagens do sistema de arquivos usando

O Kit Detetive
Ele também discutiu em detalhes a análise forense de memória

usando Volatility e PhotoRec
Por fim, este módulo terminou com uma discussão detalhada sobre
análise forense do Mac
No próximo módulo, discutiremos em detalhes sobre forense

de rede
Resumo do módulo
Este módulo discutiu a coleta de dados voláteis e não voláteis no Linux. Ele discutiu a análise de imagem do sistema
de arquivos usando o Sleuth Kit. Além disso, explicou detalhadamente a análise forense de memória usando Volatility
e PhotoRec. Por fim, este módulo apresentou uma discussão detalhada sobre análise forense do Mac.
No próximo módulo, discutiremos detalhadamente a análise forense de rede.


MODULE 07 - Linux and Mac Forensics

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

MODULE 07 - Linux and Mac Forensics

Enviado por

Direitos autorais:

Formatos disponíveis

Machine Translated by Google

Fundamentos de Perícia Forense Digital Exame 112-53

Compreendendo as imagens do sistema de arquivos

Compreendendo a análise forense de

4 Compreendendo a análise forense do Mac

Copyright © por EC-Council. Todos os direitos reservados. A reprodução é estritamente proibida.

ÿ Compreender dados voláteis e não voláteis no Linux

ÿ Analisar imagens do sistema de arquivos usando The Sleuth Kit

ÿ Demonstrar análise forense de memória usando Volatility e PhotoRec

ÿ Entenda a análise forense do Mac

Módulo 07 Página 364 Digital Forensics Essentials Copyright © por EC-Council

Fundamentos de Perícia Forense Digital Exame 112-53

Entenda o volátil e o Analisar sistema de arquivos

Entenda o Mac Demonstrar Memória

Copyright © por EC-Council. Todos os direitos reservados. A reprodução é estritamente proibida.

Entenda os dados voláteis e não voláteis no Linux

Módulo 07 Página 365 Digital Forensics Essentials Copyright © por EC-Council

Fundamentos de Perícia Forense Digital Exame 112-53

Introdução à Análise Forense do Linux

O Linux é um sistema operacional de código aberto usado

Os crimes cibernéticos têm aumentado nesses ambientes de

Portanto, é importante que os investigadores forenses entendam como

Copyright © por EC-Council. Todos os direitos reservados. A reprodução é estritamente proibida.

Introdução à Análise Forense do Linux

Módulo 07 Página 366 Digital Forensics Essentials Copyright © por EC-Council

Fundamentos de Perícia Forense Digital Exame 112-53

Coletando dados voláteis

Informações voláteis incluem:

Abrir arquivos Informações do sistema de Módulos do kernel carregados Eventos do usuário

Processos em execução Trocar áreas e informações de mensagens do kernel

Copyright © por EC-Council. Todos os direitos reservados. A reprodução é estritamente proibida.

Coletando dados voláteis

As informações voláteis incluem:

ÿ Nome do host, data e hora e fuso horário

ÿ Informações do sistema de arquivos montado

ÿ Módulos de kernel carregados

ÿ Trocar áreas e informações de partição de disco

Módulo 07 Página 367 Digital Forensics Essentials Copyright © por EC-Council

Fundamentos de Perícia Forense Digital Exame 112-53

Coletando nome de host, data e hora

ÿ Este comando pode ser útil ao examinar cat /etc/timezone

Copyright © por EC-Council. Todos os direitos reservados. A reprodução é estritamente proibida.

Coletando nome de host, data e hora (continuação)

Copyright © por EC-Council. Todos os direitos reservados. A reprodução é estritamente proibida.

Coletando nome de host, data e hora

Os investigadores devem executar o comando hostname para visualizar o nome do

Módulo 07 Página 368 Digital Forensics Essentials Copyright © por EC-Council

Fundamentos de Perícia Forense Digital Exame 112-53

Figura 7.1: Execução do comando hostname

Figura 7.2: Execução do comando de data

O comando para calcular o tempo de época de um sistema é dado abaixo.

Figura 7.3: Comando para calcular o tempo de época de um sistema

Módulo 07 Página 369 Digital Forensics Essentials Copyright © por EC-Council

Fundamentos de Perícia Forense Digital Exame 112-53

Figura 7.4: Convertendo a hora da época para a hora original online

Módulo 07 Página 370 Digital Forensics Essentials Copyright © por EC-Council

Fundamentos de Perícia Forense Digital Exame 112-53

Coletando dados de tempo de atividade

ÿ O comando uptime ÿ Este comando também

Copyright © por EC-Council. Todos os direitos reservados. A reprodução é estritamente proibida.

Coletando dados de tempo de atividade

Os dados de tempo de atividade ajudam os investigadores forenses a determinar o intervalo de tempo

Módulo 07 Página 371 Digital Forensics Essentials Copyright © por EC-Council

Fundamentos de Perícia Forense Digital Exame 112-53