Escolar Documentos
Profissional Documentos
Cultura Documentos
EC-Council
CE-Conselho
MT
FE
D EFDigital
Digital Forensics Essentials
Princípios Forenses
SÉRIE PROFISSIONAL
ec-council
currículos oficiais do ec-conselho
Machine Translated by Google
Forense digital
Essenciais
Versão 1
Machine Translated by Google
CE-Conselho
EC-Council
Copyright © 2021 por EC-Council. Todos os direitos reservados. Exceto conforme permitido pela Lei de Direitos Autorais de 1976, nenhuma parte
desta publicação pode ser reproduzida ou distribuída de qualquer forma ou por qualquer meio, ou armazenada em um banco de dados ou sistema
de recuperação, sem a permissão prévia por escrito do editor, com exceção de que as listas de programas podem ser inseridas, armazenadas e
executadas em um sistema de computador, mas não podem ser reproduzidas para publicação sem a permissão prévia por escrito do editor, exceto
no caso de breves citações incluídas em resenhas críticas e outros usos não comerciais permitidos pela lei de direitos autorais. Para solicitações de
permissão, escreva para EC-Council, endereçado “Atenção: EC-Council,” no endereço abaixo:
As informações contidas nesta publicação foram obtidas pelo EC-Council de fontes consideradas confiáveis. O Conselho da CE toma medidas
razoáveis para garantir que o conteúdo seja atual e preciso; no entanto, devido à possibilidade de erro humano ou mecânico, não garantimos a
precisão, adequação ou integridade de qualquer informação e não somos responsáveis por quaisquer erros ou omissões nem pela precisão dos
resultados obtidos com o uso de tais informações.
O material didático é resultado de extensa pesquisa e contribuições de especialistas no assunto de todo o mundo. Os devidos créditos por todas
essas contribuições e referências são fornecidos no material didático nas notas finais da pesquisa.
Estamos empenhados em proteger os direitos de propriedade intelectual. Se você for um proprietário de direitos autorais (um licenciado exclusivo ou
seu agente) e acreditar que qualquer parte do curso constitui uma violação de direitos autorais ou uma violação de uma licença ou contrato acordado,
notifique-nos em legal@eccouncil.org. Em caso de reclamação fundamentada, o EC Council removerá o material em questão e fará as retificações
necessárias.
O material didático pode conter referências a outros recursos de informação e soluções de segurança, mas tais referências não devem ser
consideradas como um endosso ou recomendação do EC-Council.
Os leitores são incentivados a relatar erros, omissões e imprecisões ao EC-Council em legal@eccouncil.org. Se você tiver algum problema, entre
em contato conosco em support@eccouncil.org.
AVISO AO LEITOR
O EC-Council não garante nenhum dos produtos, metodologias ou estruturas aqui descritos, nem realiza nenhuma análise independente em conexão
com qualquer informação do produto aqui contida. O EC Council não assume e se isenta expressamente de qualquer obrigação de obter e incluir
informações além daquelas fornecidas pelo fabricante. O leitor é expressamente alertado para considerar e adotar todas as precauções de segurança
que possam ser indicadas pelas atividades aqui descritas e para evitar todos os perigos potenciais. Ao seguir as instruções aqui contidas, o leitor
assume voluntariamente todos os riscos relacionados a tais instruções. O EC-Council não faz representações ou garantias de qualquer tipo, incluindo,
mas não se limitando às garantias de adequação a um propósito específico ou comercialização, nem tais representações estão implícitas com relação
ao material aqui estabelecido, e o EC Council não assume nenhuma responsabilidade com relação a tal material. O EC-Council não será responsável
por quaisquer danos especiais, consequentes ou exemplares resultantes, no todo ou em parte, do uso ou confiança deste material pelo leitor.
Prefácio
A rápida evolução dos computadores trouxe dispositivos técnicos como uma arma ativa para os criminosos.
Os cibercriminosos tiveram o prazer de poder combinar uma grande variedade de tecnologias complexas para
serem bem-sucedidos em sua missão. Devido à complexidade do ataque, investigar um crime no mundo cibernético
tornou-se cada vez mais difícil.
A computação forense é o processo de detecção de ataques de hackers e extração adequada de evidências para
relatar o crime e conduzir auditorias para evitar ataques futuros. Ele é usado em diferentes tipos de investigações,
como crimes e investigações civis, litígios corporativos, crimes cibernéticos, etc. Ele desempenha um papel vital na
investigação e repressão de criminosos cibernéticos. Refere-se a um conjunto de procedimentos e técnicas
metodológicas para identificar, reunir, preservar, extrair, interpretar, documentar e apresentar evidências de
equipamentos de computação para que as evidências descobertas possam ser usadas durante um processo legal
e/ou administrativo em um tribunal. . Provas podem ser buscadas em uma ampla gama de crimes de computador
ou uso indevido, incluindo, entre outros, roubo de segredos comerciais, roubo ou destruição de propriedade
intelectual e fraude.
A computação forense permite a identificação sistemática e cuidadosa de evidências em casos de crimes e abuso
relacionados a computadores. Isso pode variar desde o rastreamento dos rastros de um hacker através dos
sistemas de um cliente até o rastreamento do originador de e-mails difamatórios e a recuperação de sinais de fraude.
O programa Digital Forensics Essentials (DFE) abrange os conceitos fundamentais da computação forense. Ele
equipa os alunos com as habilidades necessárias para identificar as pegadas de um intruso e reunir adequadamente
as evidências necessárias para processar no tribunal.
Este programa oferece uma visão holística dos principais componentes da computação forense. O curso foi
desenvolvido para aqueles interessados em aprender os vários fundamentos da computação forense e aspiram
seguir uma carreira na área de computação forense.
Sobre o EC-Council
O Conselho Internacional de Consultores de Comércio Eletrônico, mais conhecido como EC-Council, foi fundado
no final de 2001 para atender à necessidade de segurança da informação e profissionais de e-business bem
formados e certificados. O EC-Council é uma organização global baseada em membros composta por especialistas
da indústria e no assunto que trabalham juntos para definir os padrões e elevar o padrão em certificação e
educação em segurança da informação.
O EC-Council desenvolveu pela primeira vez o programa Certified Ethical Hacker (C|EH) com o objetivo de ensinar
as metodologias, ferramentas e técnicas usadas pelos hackers. Aproveitando o conhecimento coletivo de centenas
de especialistas no assunto, o programa CEH ganhou popularidade rapidamente em todo o mundo e agora é
oferecido em mais de 145 países por mais de 950 centros de treinamento autorizados. É considerado a referência
para muitas entidades governamentais e grandes corporações em todo o mundo.
O EC-Council, por meio de sua impressionante rede de profissionais e muitos seguidores da indústria, também
desenvolveu uma série de outros programas líderes em segurança da informação e e-business. As certificações
EC-Council são vistas como as certificações essenciais necessárias quando a configuração padrão e os cursos
de política de segurança ficam aquém. Fornecendo uma abordagem tática verdadeira e prática para a segurança,
os indivíduos armados com o conhecimento disseminado pelos programas do EC-Council estão fortalecendo as
redes de segurança em todo o mundo e derrotando os hackers em seu próprio jogo.
Os alunos aprenderão como proteger, detectar e responder aos ataques de rede, bem como aprender sobre os
fundamentos da defesa de rede, a aplicação de controles de segurança de rede, protocolos, dispositivos de
perímetro, IDS seguro, VPN e configuração de firewall. Os alunos também aprenderão as complexidades da
assinatura, análise e varredura de vulnerabilidades do tráfego de rede, o que ajudará a projetar políticas de
segurança de rede aprimoradas e planos de resposta a incidentes bem-sucedidos. Essas habilidades ajudarão as
organizações a promover a resiliência e a continuidade operacional durante os ataques.
O CEH fornece uma compreensão profunda das fases de hacking ético, vários vetores de ataque e contramedidas
preventivas. Ele ensinará como os hackers pensam e agem de forma maliciosa, para que você fique mais bem
posicionado para configurar sua infraestrutura de segurança e se defender de ataques futuros.
Compreender as fraquezas e vulnerabilidades do sistema ajuda as organizações a fortalecer seus controles de
segurança do sistema para minimizar o risco de um incidente.
O CEH foi construído para incorporar um ambiente prático e um processo sistemático em todos os domínios e
metodologias de hacking ético, dando a você a oportunidade de trabalhar para provar o conhecimento e as
habilidades necessárias para realizar o trabalho de um hacker ético. Você será exposto a uma postura totalmente
diferente em relação às responsabilidades e medidas necessárias para estar seguro.
O CPENT do EC-Council padroniza a base de conhecimento para profissionais de teste de penetração, incorporando
as melhores práticas seguidas por especialistas experientes na área. O objetivo do CPENT é assegurar que cada
profissional segue um rigoroso código de ética, está exposto às melhores práticas no domínio dos testes de
penetração e conhece todos os requisitos de compliance exigidos pela indústria.
Ao contrário de uma certificação de segurança normal, a credencial CPENT fornece uma garantia de que os
profissionais de segurança possuem habilidades para analisar exaustivamente a postura de segurança de uma
rede e recomendar medidas corretivas com autoridade. Por muitos anos, o EC-Council vem certificando profissionais
de segurança de TI em todo o mundo para garantir que esses profissionais sejam proficientes em mecanismos de
defesa de segurança de rede. As credenciais do EC-Council atestam seu profissionalismo e experiência, tornando
esses profissionais mais procurados por organizações e empresas de consultoria em todo o mundo.
O CHFI do EC-Council certifica indivíduos na disciplina de segurança específica de computação forense de uma
perspectiva neutra de fornecedor. A certificação CHFI reforça o conhecimento aplicado do pessoal de aplicação da
lei, administradores de sistema, oficiais de segurança, defesa e pessoal militar, profissionais jurídicos, banqueiros,
profissionais de segurança e qualquer pessoa preocupada com a integridade das infraestruturas de rede.
O E|CIH é um programa orientado a métodos que usa uma abordagem holística para abranger vastos conceitos
relativos ao tratamento e resposta de incidentes organizacionais, desde a preparação e planejamento do processo
de resposta ao tratamento de incidentes até a recuperação de ativos organizacionais após um incidente de segurança.
Esses conceitos são essenciais para lidar e responder a incidentes de segurança para proteger as organizações de
futuras ameaças ou ataques.
desenvolvido, não existia nenhuma certificação para reconhecer o conhecimento, as habilidades e as aptidões
necessárias para um profissional de segurança da informação experiente desempenhar as funções de um CISO de
forma eficaz e competente. Na verdade, naquela época, muitas dúvidas existiam sobre o que realmente era um CISO
e o valor que essa função agregava a uma organização.
O CCISO Body of Knowledge ajuda a definir o papel do CISO e a delinear claramente as contribuições que essa
pessoa faz em uma organização. O EC-Council aprimora essas informações por meio de oportunidades de treinamento
conduzidas como módulos de autoestudo ou conduzidos por instrutores para garantir que os candidatos tenham uma
compreensão completa da função. O EC-Council avalia o conhecimento dos candidatos ao CCISO com um exame
rigoroso que testa sua competência em cinco domínios com os quais um líder de segurança experiente deve estar
familiarizado.
O programa de treinamento certificado pela CASE é desenvolvido simultaneamente para preparar profissionais de
software com os recursos necessários esperados por empregadores e acadêmicos em todo o mundo. Ele foi projetado
para ser um curso prático e abrangente de segurança de aplicativos que ajudará os profissionais de software a criar
aplicativos seguros. O programa de treinamento abrange atividades de segurança envolvidas em todas as fases do
Ciclo de Vida de Desenvolvimento de Software (SDLC): planejamento, criação, teste e implantação de um aplicativo.
Ao contrário de outros treinamentos de segurança de aplicativos, o CASE vai além de apenas as diretrizes sobre
práticas de codificação segura e inclui coleta segura de requisitos, design robusto de aplicativos e tratamento de
problemas de segurança nas fases pós-desenvolvimento do desenvolvimento de aplicativos. Isso faz da CASE uma
das certificações mais abrangentes do mercado atualmente. É desejado por engenheiros de aplicativos de software,
analistas e testadores em todo o mundo e respeitado pelas autoridades contratantes.
Duração 2 horas
Questões 75
Índice
Evidências Digitais 14
Prontidão Forense 31
Glossário 743
Referências 759
MT
EC-Council
CE-Conselho
D FE
Digital
Digital
Forensics Essentials
Princípios Forenses
Módulo 01
Fundamentos da Computação Forense
Machine Translated by Google
Objetivos do módulo
Ideia criativa
Entendendo os fundamentos do computador
1 forense
Objetivos do módulo
Este módulo discute o papel da computação forense no mundo de hoje. A computação forense desempenha um
papel vital na investigação e repressão de cibercriminosos.
Este módulo também discute os fundamentos da evidência digital, bem como as leis e regras que os investigadores
devem seguir durante a coleta de evidências digitais. A discussão abrange planejamento de prontidão forense,
continuidade de negócios e as funções e responsabilidades de um investigador forense.
ÿ Compreender várias leis e regras a ter em conta durante a recolha de provas digitais
Fluxo do módulo
3
Entender Forense 4 5
2 Prontidão
Entenda o
Fundamentos de
Computação Forense
Compreensão
Computação Forense
A computação forense é uma parte da forense digital que lida com crimes cometidos em dispositivos de
computação, como redes, computadores e mídia de armazenamento digital. Refere-se a um conjunto de
procedimentos e técnicas metodológicas para identificar, reunir, preservar, extrair, interpretar, documentar
e apresentar evidências de equipamentos de computação de modo que as evidências descobertas sejam
aceitáveis durante um processo legal e/ou administrativo em um tribunal.
Em resumo, a computação forense lida com o processo de encontrar evidências admissíveis relacionadas
a um crime digital para encontrar os perpetradores e iniciar uma ação legal contra eles.
Objetivos de
Computação Forense
ÿ Recupere arquivos excluídos, arquivos ocultos e dados temporários que podem ser usados como evidência
ÿ Realizar resposta a incidentes (IR) para evitar mais perdas de propriedade intelectual, finanças,
e reputação durante um ataque
ÿ Conheça as leis de várias regiões e áreas, pois os crimes digitais são generalizados e remotos
ÿ Prepare-se para incidentes com antecedência para garantir a integridade e continuidade da rede
a infraestrutura
01 03
Para garantir a integridade geral e a
Para rastrear com
existência contínua de sistemas de
eficiência os perpetradores
TI e infraestrutura de rede dentro das
de diferentes partes do mundo
organizações
04
02 Para proteger os recursos
financeiros da organização e
Extrair, processar e interpretar as
evidências factuais de modo que o tempo valioso
Um aumento exponencial no número de crimes cibernéticos e litígios civis envolvendo grandes organizações enfatizou
a necessidade de computação forense. Tornou-se uma necessidade para as organizações empregar o serviço de uma
agência de computação forense ou contratar um especialista em computação forense para resolver casos envolvendo
o uso de computadores e tecnologias relacionadas. As enormes perdas financeiras causadas por crimes cibernéticos
também contribuíram para renovar o interesse pela computação forense.
A computação forense desempenha um papel importante no rastreamento de criminosos cibernéticos. O papel principal da
computação forense é o seguinte:
ÿ Ajude a organização a capturar informações importantes se seus sistemas ou redes de computadores forem
comprometidos. A evidência forense também ajuda a processar o perpetrador de um crime cibernético, se for
pego.
ÿ Extraia, processe e interprete a evidência real para que comprove as ações do invasor
e sua culpa ou inocência no tribunal
ÿ Rastreie com eficiência perpetradores/terroristas de diferentes partes do mundo. Os terroristas que usam a
Internet como meio de comunicação podem ser rastreados e seus planos descobertos. Os endereços IP são
vitais para encontrar a localização geográfica dos terroristas.
ÿ Economize o dinheiro e o tempo valioso da organização. Muitos gerentes alocam uma grande parte
de seu orçamento de TI para segurança de computadores e redes.
Prepare-se para incidentes protegendo e fortalecendo o mecanismo de defesa, bem como fechando as
brechas na segurança
Defina um parâmetro de segurança e formule normas de segurança para garantir a prontidão forense
A computação forense é necessária quando ocorre um crime baseado em computador e, como mencionado anteriormente,
esses crimes estão aumentando em todo o mundo. As organizações precisam contratar os serviços de uma agência de
computação forense ou contratar um especialista em computação forense para resolver crimes que envolvam computadores
e tecnologias relacionadas. As enormes perdas financeiras causadas por crimes cibernéticos também contribuíram para um
interesse renovado em computação forense.
A computação forense pode ser útil contra todos os tipos de segurança e incidentes criminais que envolvem sistemas de
computador e tecnologias relacionadas. A maioria das organizações procura a ajuda da computação forense para o seguinte:
ÿ Definir um parâmetro de segurança e formular normas de segurança para garantir a prontidão forense
Tipos de Cibercrimes
Cibercrime é definido como qualquer ato ilegal envolvendo
um dispositivo de computação, rede, seus sistemas ou
seus aplicativos
ÿ É um ataque realizado em uma rede corporativa ÿ Este tipo de ataque ocorre quando um
ou em um único computador por uma pessoa invasor de fora da organização tenta obter
confiada (insider) que tenha acesso acesso não autorizado a seus sistemas de
autorizado à rede computação ou ativos de informação
Tipos de Cibercrimes
Cibercrime refere-se a “qualquer ato ilegal que envolva um computador, seus sistemas ou seus aplicativos”.
Assim que os investigadores começarem a investigar a cena do crime, eles devem se lembrar de que os crimes
cibernéticos são principalmente de natureza intencional. O tipo de crime cibernético cometido depende das ferramentas
do crime e de seu alvo.
As ferramentas do crime referem-se a várias ferramentas de hackers usadas para cometer o crime. Eles incluem o
computador ou estação de trabalho usada para o crime e o software e hardware associados. Quando possível, os
investigadores forenses geralmente tomam as ferramentas disponíveis sob custódia para usá-las como prova.
O alvo do crime refere-se à vítima, que pode ser uma organização empresarial, site, agência de consultoria ou órgão
governamental. Os alvos também podem significar um ambiente virtual que pode atuar como evidência digital por
causa de um incidente ocorrido nele. Um sistema se torna o alvo por motivos como roubo, modificação ou destruição
de dados; acesso não autorizado; um ataque de negação de serviço; ou um ataque Man-in-the-Middle. Com base na
linha de ataque, os crimes cibernéticos podem ser classificados como ataques internos/internos e ataques externos.
ÿ Ataques internos/internos
Esses ataques se originam de pessoas dentro da organização, como funcionários insatisfeitos, funcionários
atuais ou demitidos, parceiros de negócios, contratados e/ou equipe mal treinada. Esses insiders têm acesso
legítimo aos sistemas de computador e aos dados da organização e usam esse acesso de forma negativa
para prejudicar a organização. Como ocorrem dentro da rede organizacional e utilizam acesso autorizado, os
ataques internos podem ser bastante difíceis de detectar. Exemplos de ataques internos incluem espionagem,
roubo de propriedade intelectual, manipulação de registros e ataque de cavalo de Tróia.
ÿ Ataques externos
Ataques externos referem-se a ataques originados de fontes externas. Tais ataques ocorrem quando as
políticas e procedimentos de segurança da informação são inadequados. Os invasores de fora da
organização tentam obter acesso não autorizado aos sistemas de computação, rede ou ativos informativos
da organização. Os ataques externos geralmente são executados por cibercriminosos e hackers que visam
informações corporativas protegidas, explorando vulnerabilidades de segurança ou usando outras técnicas
de engenharia social.
Exemplos de ataques externos incluem ataque SQL, quebra de força bruta, roubo de identidade, phishing/
spoofing, ataque de negação de serviço, difamação cibernética, etc.
Os cibercriminosos podem lançar ataques externos em qualquer rede corporativa com várias metas e
objetivos. Eles podem manipular ou destruir informações confidenciais, sabotar sistemas, roubar credenciais
de usuários confiáveis ou exigir resgates. Isso pode interromper gravemente a continuidade dos negócios,
manchar a reputação da organização no mercado e causar perda de dados e recursos financeiros.
1 Espionagem 7 Phishing/Spoofing
ÿ Espionagem: A espionagem corporativa é uma ameaça central para as organizações porque os concorrentes
geralmente tentam proteger dados confidenciais por meio da coleta de inteligência de código aberto.
Por meio dessa abordagem, os concorrentes podem lançar produtos similares no mercado, alterar preços
e, em geral, minar a posição de mercado de uma organização-alvo.
ÿ Manipulação de dados: É uma atividade maliciosa na qual os invasores modificam, alteram ou alteram
conteúdo digital valioso ou dados confidenciais durante a transmissão, em vez de roubar diretamente os
dados da empresa. Ataques de manipulação de dados podem levar à perda de confiança e integridade.
ÿ Ataque de linguagem de consulta estruturada (SQL): injeção/ataque de SQL é uma técnica usada para
aproveitar vulnerabilidades de entrada não sanitizadas para passar comandos SQL por meio de uma rede
aplicativo para execução por um banco de dados de back-end. Nessa técnica, o invasor injeta consultas
SQL maliciosas em um formulário de entrada do usuário para obter acesso não autorizado a um banco de
dados ou para recuperar informações diretamente do banco de dados.
ÿ Ataque de força bruta: é o processo de usar uma ferramenta de software ou script para adivinhar as
credenciais ou chaves de login ou descobrir aplicativos ou páginas da Web ocultos por meio de um método
de tentativa e erro. Um ataque de força bruta é executado tentando todas as combinações possíveis de
nomes de usuários e senhas para determinar credenciais válidas.
ÿ Phishing/spoofing: Phishing é uma técnica na qual um invasor envia um e-mail ou fornece um link falsamente
alegando ser de um site legítimo para adquirir as informações pessoais ou da conta de um usuário.
ÿ Ataque de negação de serviço (DoS): Um ataque DoS é um ataque a um computador ou rede que reduz,
restringe ou impede o acesso a recursos do sistema para usuários legítimos. Em um ataque DoS, os
invasores inundam o sistema da vítima com solicitações de serviço ou tráfego não legítimos para
sobrecarregar seus recursos e desligar o sistema, levando à indisponibilidade do site da vítima ou, pelo
menos, reduzindo significativamente o desempenho do sistema ou da rede da vítima.
ÿ Ciberterrorismo: envolve o uso da Internet ou recursos da web para ameaçar, intimidar ou realizar atividades
violentas para obter vantagens ideológicas ou políticas sobre indivíduos ou grupos. Pode ser executado
usando worms de computador, vírus, scripts maliciosos ou ferramentas maliciosas com uma agenda
pessoal.
ÿ Ciberguerra: Libicki define a ciberguerra como o uso de sistemas de informação contra as personas virtuais
de indivíduos ou grupos. É o mais amplo de todos os tipos de guerra de informação. Inclui terrorismo de
informação, ataques semânticos (semelhante à guerra hacker, mas em vez de prejudicar um sistema, ele
se apodera do sistema mantendo a percepção de que está operando corretamente) e simula-warfare
(guerra simulada, por exemplo, pela aquisição de armas para mera demonstração em vez de uso real).
Impacto de
Cibercrimes no
Organizacional Perda de confidencialidade, integridade e disponibilidade das informações
Nível 01 armazenadas nos sistemas organizacionais
Atualmente, a maioria das empresas depende da Internet e da economia digital, o que também levou ao seu
crescimento fenomenal em escala global. No entanto, essa digitalização completa dos processos de negócios também
apresenta novos riscos e ameaças à segurança cibernética. Novos métodos de ataques cibernéticos e protocolos
inadequados de segurança cibernética resultaram em violações massivas de dados nas organizações nos últimos
tempos. As principais consequências dos crimes cibernéticos nas organizações incluem roubo de informações
confidenciais, interrupção das operações comerciais normais e danos substanciais à reputação.
Essas violações levam ainda mais à perda de confidencialidade, integridade e disponibilidade das informações
armazenadas nos sistemas organizacionais, bem como à perda da confiança do cliente e das partes interessadas.
A natureza do cibercrime está evoluindo com ataques maliciosos internos e aumento das tentativas de phishing com
máximo impacto organizacional. Com o número crescente de violações de segurança, o custo associado à mitigação
de ataques cibernéticos também está aumentando.
Com um cenário de ameaças em constante expansão, as organizações precisam tomar medidas apropriadas para a
investigação, contenção e erradicação de ameaças cibernéticas. Eles também devem fazer investimentos direcionados
para fortalecer sua estrutura de segurança de TI em conformidade com as políticas, padrões e regulamentos relevantes.
Fluxo do módulo
3
Entender Forense 4 5
Prontidão
2
Identifique os papéis e Entender Jurídico
Responsabilidades de um Conformidade em
Entenda o digital Investigador Forense
1 Evidência
Computação Forense
Entenda o
Fundamentos de
Computação Forense
Introdução ao Digital
Evidência
Dispositivos digitais usados em ataques cibernéticos e outras violações de segurança podem armazenar alguns
dados sobre a sessão, como login do usuário, horário, tipo de conexão e endereços IP, que podem fornecer
evidências para processar o invasor. As evidências digitais incluem todas as informações que são armazenadas
ou transmitidas em formato digital e têm valor probatório, ajudando assim os investigadores a encontrar o
perpetrador.
As evidências digitais podem ser encontradas em dispositivos de computação, servidores, roteadores, etc. Elas
são reveladas durante a investigação forense ao examinar a mídia de armazenamento digital, monitorar o tráfego
de rede ou fazer cópias duplicadas de dados digitais. Os investigadores devem tomar o máximo cuidado ao
coletar e extrair as evidências digitais, pois essas evidências são frágeis. Isso torna difícil para um investigador
forense rastrear atividades criminosas. Os investigadores devem ser treinados e qualificados para extrair,
manusear e analisar essas evidências frágeis.
De acordo com o Princípio de Troca de Locard, “qualquer um ou qualquer coisa que entre na cena do crime leva
algo da cena com eles e deixa algo de si para trás quando sai”.
Por exemplo, se as informações do computador da vítima estiverem armazenadas no servidor ou no próprio
sistema no momento do crime, o investigador poderá obter facilmente essas informações examinando arquivos
de log, histórico de navegação na Internet e assim por diante. Da mesma forma, se um indivíduo enviar uma
mensagem intimidadora por meio de um serviço de e-mail baseado na Internet, como Hotmail, Gmail ou Yahoo
Mail, os sistemas da vítima e do ator podem armazenar arquivos, links e outras informações que os investigadores
forenses podem extrair e analisar.
Os cibercriminosos dependem diretamente da tecnologia e dos dispositivos digitais para interagir com o sistema ou
rede de destino. Portanto, a maioria das evidências está presente nos dispositivos usados por um invasor para se
conectar a uma rede ou nos dispositivos de computação da vítima. A evidência digital pode ser qualquer tipo de
arquivo armazenado em um dispositivo, incluindo um arquivo de texto, imagem, documento, arquivo executável e
dados de aplicativos. A maioria dessas evidências está localizada na mídia de armazenamento dos dispositivos. Com
base no estilo de armazenamento e na vida útil, as evidências digitais são categorizadas em dois tipos: dados voláteis
e dados não voláteis.
ÿ Dados voláteis: Referem- se às informações temporárias em um dispositivo digital que requer uma fonte de
alimentação constante e são excluídas se a fonte de alimentação for interrompida. Por exemplo, a memória
de acesso aleatório armazena os dados mais voláteis e os descarta quando o dispositivo é desligado. Dados
voláteis importantes incluem hora do sistema, usuário(s) conectado(s), arquivos abertos, informações de
rede, informações de processo, mapeamento de processo para porta, memória de processo, conteúdo da
área de transferência, informações de serviço/driver, histórico de comandos, etc.
ÿ Dados não voláteis: Referem-se aos dados permanentes armazenados em dispositivos de armazenamento
secundário, como discos rígidos e cartões de memória. Os dados não voláteis não dependem da fonte de
alimentação e permanecem intactos mesmo quando o dispositivo é desligado. Os exemplos incluem arquivos
ocultos, espaço livre, arquivo de troca, arquivos index.dat, clusters não alocados, partições não utilizadas,
partições ocultas, configurações de registro e logs de eventos.
01 02 03 04 05
06 07 08 09 10
Exemplos de casos em que evidências digitais podem auxiliar o investigador forense na acusação ou defesa de um
suspeito:
1. Roubo de identidade
3. Vazamento de informações
6. Uso/abuso da Internet
9. Abuso de sistemas
ÿ Arquivos de documentos
ÿ Arquivos protegidos por senha ÿ Cookies
(texto, planilha,
apresentação, etc.) ÿ Arquivos ocultos ÿ Trocar arquivos
ÿ Arquivos temporários
Fontes de Potencial
Evidências (continuação)
Dispositivo Localização de evidências potenciais
Disco rígido Arquivos de texto, imagem, vídeo, multimídia, banco de dados e programas de computador
Cartão de memória Logs de eventos, logs de bate-papo, arquivos de texto, arquivos de imagem, arquivos de imagem e histórico de navegação na Internet
Cartão inteligente
As evidências são encontradas reconhecendo ou autenticando as informações do cartão e do usuário, por meio do nível de
Conector de wifi
acesso, configurações, permissões e no próprio dispositivo
Scanner biométrico
Gravações de voz, como mensagens excluídas, último número chamado, memorando, números de telefone e
Secretária eletrônica
fitas
Câmera Digital/Vigilância
Imagens, cartuchos removíveis, vídeo, som, carimbo de data e hora, etc.
câmeras
Fontes de Potencial
Evidências (continuação)
Dispositivo Localização de evidências potenciais
Rede local
(LAN) Placa/ Rede Endereço MAC (Media Access Control)
Placa de interface (NIC)
Cabos de rede e
Nos próprios dispositivos
Conectores
Internet das Coisas e As evidências podem ser adquiridas na forma de GPS, gravações de áudio e vídeo, sensores
vestíveis de armazenamento em nuvem, etc.
Removível
O dispositivo de armazenamento e a mídia, como fita, CD, DVD e Blu-ray, contêm as evidências nos
Armazenar
próprios dispositivos
Dispositivo e mídia
Cartão de crédito A evidência é encontrada através da data de validade do cartão, endereço do usuário, números de
Skimmers cartão de crédito, nome do usuário, etc.
Fax (Fax) As evidências são encontradas por meio de documentos, números de telefone, cartucho de filme, registros de
máquinas envio ou recebimento
Posicionamento global A evidência é encontrada através de destinos anteriores, pontos de passagem, rotas, registros de viagem,
Sistemas (GPS) etc.
Os investigadores podem coletar evidências digitais de várias fontes. Além dos sistemas de computação autônomos,
as evidências digitais podem ser adquiridas a partir de dispositivos de armazenamento, periféricos e de rede e
portáteis encontrados na cena do crime. Uma vez identificadas, essas fontes potenciais de evidências devem ser
obtidas de maneira forense sólida para preservar sua integridade.
Os investigadores devem usar ferramentas e técnicas forenses válidas e confiáveis ao adquirir evidências digitais para evitar alterações nos
dados.
Abaixo estão listadas algumas fontes de evidências potenciais que registram as atividades do usuário e podem fornecer informações úteis
o Catálogos de endereços
o Arquivos compactados
o Arquivos criptografados
o Arquivos ocultos
o Esteganografia
o Arquivos de backup
o Arquivos de log
o Arquivos de configuração
o Cookies
o Trocar arquivos
o Arquivos do sistema
o Arquivos de histórico
o Arquivos temporários
Logs de eventos, logs de bate-papo, arquivos de texto, arquivos de imagem, arquivos de imagem e histórico
Cartão de memória
de navegação na Internet
Cartão inteligente
As evidências são encontradas reconhecendo ou autenticando as informações do cartão e
Conector de wifi do usuário, por meio do nível de acesso, configurações, permissões e no próprio dispositivo
Scanner biométrico
Câmera Digital/Vigilância Imagens, cartuchos removíveis, vídeo, som, carimbo de data e hora,
câmeras etc.
Memória de acesso aleatório As evidências são localizadas e podem ser adquiridas na memória principal do computador
(RAM) e armazenamento volátil
Cabos de rede e
Nos próprios dispositivos
Conectores
Internet das Coisas e vestíveis As evidências podem ser adquiridas na forma de GPS, gravações de áudio e vídeo,
sensores de armazenamento em nuvem, etc.
Armazenamento removível O dispositivo de armazenamento e a mídia, como fita, CD, DVD e Blu-ray, contêm as evidências
Dispositivo e mídia nos próprios dispositivos
scanner As evidências são encontradas observando as marcas no vidro do scanner As evidências são
Sistemas de Posicionamento Global em destinos anteriores, pontos de passagem, rotas, registros de viagem, etc.
(GPS)
Regras de Provas
ÿ A coleta de evidências digitais deve ser regida por cinco regras
básicas que a tornam admissível em um tribunal:
Compreensível
1
As evidências devem ser claras e compreensíveis para os juízes
Admissível
2 A evidência deve estar relacionada ao fato que está sendo provado
Autêntico
3 As evidências devem ser reais e apropriadamente relacionadas ao incidente
De confiança
4 Não deve haver dúvida sobre a autenticidade ou veracidade das evidências
Completo
5 A evidência deve provar as ações do agressor ou sua inocência
Regras de Provas
Antes do processo judicial, a prova a ser apresentada em tribunal deve obedecer a cinco regras básicas de prova.
2. Admissível: Os investigadores precisam apresentar evidências de maneira admissível, o que significa que
elas devem ser relevantes para o caso, agir em apoio ao cliente que as apresenta e ser bem comunicadas
e sem preconceitos
3. Autêntico: Dado que as evidências digitais podem ser facilmente manipuladas, sua propriedade precisa ser
esclarecida. Portanto, os investigadores devem fornecer documentos comprobatórios sobre a autenticidade
das evidências com detalhes como a fonte das evidências e sua relevância para o caso. Se necessário,
eles também devem fornecer detalhes como o autor da evidência ou via de transmissão.
5. Completa: A prova deve ser completa, o que significa que deve provar ou refutar o fato
consensual no litígio. Se a prova não o fizer, o tribunal é susceptível de arquivar o caso,
citando a falta de provas integrais.
A regra da melhor evidência afirma que o tribunal só permite a evidência original de um documento, fotografia ou
gravação no julgamento e não uma cópia. No entanto, a duplicata pode ser aceita como prova, desde que o tribunal
considere genuínas as razões da parte para apresentar a duplicata.
Por exemplo, se a prova for destruída, perdida ou inacessível devido a algum motivo (como o original ter sido
destruído ou estar na posse de um terceiro), o tribunal estará disposto a aceitar uma cópia da prova se uma
testemunha puder testemunhar e confirmar que a cópia enviada é de fato uma cópia real das evidências.
A regra da melhor evidência também afirma que a melhor ou mais alta forma de evidência disponível para qualquer
parte deve ser apresentada em um tribunal. Se um formulário de testemunho ao vivo ou original estiver disponível, o
tribunal não admitirá cópias duplicadas desse testemunho como prova.
Estas regras devem ser interpretadas para garantir a justiça na administração, a eliminação de despesas e
atrasos injustificáveis e a promoção do crescimento e desenvolvimento da lei de provas para que a verdade
possa ser apurada e os procedimentos determinados com justiça
“Essas regras se aplicam a processos nos tribunais dos Estados Unidos. Os tribunais e procedimentos específicos aos quais
as regras se aplicam, juntamente com as exceções, são definidos na Regra 1101.”
“Essas regras devem ser interpretadas de forma a administrar todos os procedimentos de forma justa, eliminar despesas e
atrasos injustificáveis e promover o desenvolvimento da lei de evidências, com o objetivo de apurar a verdade e garantir uma
determinação justa.”
“Uma parte pode alegar erro em uma decisão para admitir ou excluir provas somente se o erro afetar um direito
substancial da parte e:
2. se a decisão exclui provas, uma parte informa o tribunal de sua substância por meio de uma oferta de prova, a
menos que a substância seja aparente no contexto
Uma vez que o tribunal decida definitivamente sobre o registro - antes ou no julgamento - uma parte não precisa
renovar uma objeção ou oferecer prova para preservar uma alegação de erro para apelação
O tribunal pode fazer qualquer declaração sobre o caráter ou a forma da prova, a objeção feita e a decisão. O tribunal
pode determinar que uma oferta de prova seja feita na forma de perguntas e respostas
Na medida do possível, o tribunal deve conduzir um julgamento com júri para que provas inadmissíveis não sejam
sugeridas ao júri por qualquer meio
Um tribunal pode tomar conhecimento de um erro claro afetando um direito substancial, mesmo que a alegação de erro
não tenha sido devidamente preservada”
ÿ
Para garantir que as evidências digitais sejam ÿ Todas as agências que apreendem e/ou examinam
coletadas, preservadas, examinadas ou transferidas evidências digitais devem manter um documento
de maneira a proteger a precisão e a confiabilidade SOP apropriado. Todos os elementos das políticas e
das evidências, as organizações policiais e forenses procedimentos de uma agência relativos a evidências
devem estabelecer e manter um sistema de qualidade digitais devem ser claramente definidos neste
eficaz documento SOP, que deve ser emitido sob a autoridade
de gerenciamento da agência.
ÿ A gestão da agência deve revisar os SOPs anualmente ÿ Os procedimentos utilizados devem ser geralmente
para garantir sua adequação e eficácia contínuas aceites no terreno ou suportados por dados recolhidos
e registados de forma científica
https:// www.swgde.org
“Procedimentos Operacionais Padrão (POPs) são diretrizes de controle de qualidade documentadas que devem ser
apoiadas por registros de casos adequados e procedimentos, equipamentos e materiais amplamente aceitos.”
A implementação de SOPs permite que você opere políticas e planos compatíveis com a empresa. É importante que
nenhuma modificação seja feita nos SOPs antes da implementação para alcançar os resultados desejados. No entanto,
caso sejam necessárias modificações, elas devem ser comunicadas antes de iniciar uma investigação.
Todas as agências que apreendem e/ou examinam evidências digitais devem manter um documento SOP apropriado.
Todos os elementos das políticas e procedimentos de uma agência relativos a evidências digitais devem ser claramente
definidos neste documento SOP, que deve ser emitido sob a autoridade de gerenciamento da agência.
Discussão: O uso de SOPs é fundamental tanto para a aplicação da lei quanto para a ciência forense.
Diretrizes consistentes com princípios científicos e legais são essenciais para a aceitação de resultados e conclusões
por tribunais e outros órgãos. O desenvolvimento e a implementação desses SOPs devem estar sob a autoridade de
gerenciamento de uma agência.
A administração da agência deve revisar os SOPs anualmente para garantir sua adequação e eficácia contínuas.
Discussão: Mudanças tecnológicas rápidas são a marca registrada da evidência digital, em que os tipos, formatos e
métodos para apreender e examinar evidências digitais mudam rapidamente. Para garantir que o pessoal, o treinamento,
o equipamento e os procedimentos continuem sendo apropriados e eficazes, a administração deve revisar e atualizar
os documentos SOP anualmente.
Os procedimentos usados devem ser geralmente aceitos no campo ou apoiados por dados coletados e registrados
cientificamente.
Discussão: Como uma variedade de procedimentos científicos pode ser validamente aplicada a um determinado
problema, os padrões e critérios para avaliar os procedimentos precisam ser flexíveis. A validade de um procedimento
pode ser estabelecida pela demonstração da precisão e confiabilidade de técnicas específicas. Na área de evidências
digitais, a revisão por pares dos SOPs por outras agências pode ser útil.
Discussão: Os procedimentos devem estabelecer seu propósito e aplicação apropriada. Os elementos necessários,
como hardware e software, devem ser listados e as etapas adequadas para o uso bem-sucedido devem ser listadas ou
discutidas. Quaisquer limitações no uso do procedimento ou no uso ou interpretação dos resultados devem ser
estabelecidas. O pessoal que usa esses procedimentos deve estar familiarizado com eles e tê-los disponíveis para
referência.
A agência deve usar hardware e software apropriados e eficazes para o procedimento de apreensão ou exame.
Discussão: Embora muitos procedimentos aceitáveis possam ser usados para executar uma tarefa, uma variação
considerável entre os casos requer que o pessoal tenha flexibilidade para exercer julgamento na seleção de um
método apropriado para o problema.
O hardware usado na apreensão e/ou exame de evidências digitais deve estar em boas condições de funcionamento
e ser testado para garantir que funcione corretamente. O software deve ser testado para garantir que produz
resultados confiáveis para uso em apreensão e/ou fins de exame.
Discussão: Em geral, a documentação para apoiar as conclusões deve ser tal que, na ausência do originador, outra
pessoa competente possa avaliar o que foi feito, interpretar os dados e chegar às mesmas conclusões que o
originador.
O requisito de confiabilidade da evidência exige uma cadeia de custódia para todos os itens de evidência.
A documentação da cadeia de custódia deve ser mantida para todas as evidências digitais. Notas de caso e registros
de observações devem ser permanentes. Notas e observações manuscritas devem ser feitas a tinta, não a lápis,
embora lápis (incluindo de cor) possa ser apropriado para diagramas ou traçados.
Quaisquer correções nas notas devem ser feitas por um rascunho único e rubricado; nada nas informações
manuscritas deve ser obliterado ou apagado. Notas e registros devem ser autenticados por assinaturas manuscritas,
iniciais, assinaturas digitais ou outros sistemas de marcação.
Qualquer ação que tenha o potencial de alterar, danificar ou destruir qualquer aspecto da evidência original deve ser
realizada por pessoas qualificadas de maneira forense.
Discussão: Conforme descrito nos padrões e critérios anteriores, a evidência só tem valor se puder ser demonstrada
como precisa, confiável e controlada. Um programa forense de qualidade consiste em pessoal devidamente treinado
e equipamentos, software e procedimentos apropriados para garantir coletivamente esses atributos.
Princípio 1: Nenhuma ação tomada por agências de aplicação da lei ou seus agentes deve alterar
os dados mantidos em um computador ou mídia de armazenamento que possam posteriormente ser
invocados em tribunal
Princípio 3: Uma trilha de auditoria ou outro registro de todos os processos aplicados a evidências
eletrônicas baseadas em computador devem ser criadas e preservadas. Um terceiro independente deve
ser capaz de examinar esses processos e obter o mesmo resultado.
https:// www.college.police.uk
ÿ Princípio 1
“Nenhuma ação tomada por agências de aplicação da lei, pessoas empregadas nessas agências
ou seus agentes deve alterar os dados, que podem posteriormente ser invocados no tribunal.
ÿ Princípio 2
Nas circunstâncias em que uma pessoa considera necessário acessar os dados originais mantidos
em um computador, essa pessoa deve ser competente para fazê-lo e ser capaz de fornecer
evidências explicando a relevância e as implicações de suas ações.
ÿ Princípio 3
Uma trilha de auditoria ou outro registro de todos os processos aplicados à evidência digital deve
ser criada e preservada. Um terceiro independente deve ser capaz de examinar esses processos
e obter o mesmo resultado.
ÿ Princípio 4
A pessoa encarregada da investigação tem a responsabilidade geral de garantir que a lei e esses
princípios sejam respeitados.”
Fluxo do módulo
3
Entender Forense 4 5
Prontidão
2
Identifique os papéis e Entender Jurídico
Responsabilidades de um Conformidade em
Entenda o digital Investigador Forense
1 Evidência
Computação Forense
Entenda o
Fundamentos de
Computação Forense
Conceitos como prontidão forense e resposta a incidentes desempenham um papel muito importante na
capacidade de uma organização de lidar com um incidente de segurança quando ele ocorre. Esta seção
define a prontidão forense e discute o relacionamento integral entre a prontidão forense e a continuidade
dos negócios.
Prontidão Forense
ÿ A prontidão forense refere-se à capacidade de uma organização de usar evidências digitais de maneira otimizada em um
` período de tempo e com custos mínimos de investigação
Benefícios:
ÿ Investigação rápida e eficiente com interrupção mínima para os negócios
Forense
ÿ Fornece segurança contra crimes cibernéticos, como roubo de propriedade intelectual, fraude ou extorsão
ÿ Oferece armazenamento estruturado de evidências que reduz o custo e o tempo de uma investigação
Prontidão Forense
A prontidão forense refere-se à capacidade de uma organização de usar evidências digitais de maneira
otimizada em um tempo limitado e com custos mínimos de investigação. Inclui ações técnicas e não técnicas
que maximizam a competência de uma organização no uso de evidências digitais.
Esse estado de prontidão, juntamente com uma política de segurança executável, ajuda a organização a
reduzir o risco de ameaças internas de funcionários e a preparar medidas preventivas.
Uma equipe de resposta a incidentes forense treinada e bem preparada garante uma reação adequada contra
qualquer contratempo e trata as evidências em conformidade com os procedimentos legais relevantes para
seu uso potencial em um tribunal.
ÿ
Facilita a coleta de provas para atuar na defesa da empresa em caso de ação judicial
ÿ
Ele permite o uso de uma coleta abrangente de evidências para atuar como um impedimento para
ameaças internas e processar todas as evidências importantes sem falhas
ÿ
Ele ajuda a organização a conduzir uma investigação rápida e eficiente no caso de um incidente grave
e a tomar as ações necessárias com o mínimo de interrupção nas atividades comerciais diárias
ÿ
Facilita uma abordagem bem projetada, fixa e estruturada em relação ao armazenamento de evidências para reduzir
consideravelmente as despesas e o tempo de investigação e, simultaneamente, preservar a importantíssima cadeia de custódia
ÿ
Ele estabelece uma abordagem estruturada para o armazenamento de todas as informações digitais, o que não apenas reduz
o custo de qualquer divulgação judicial ou necessidade regulatória/legal de divulgar dados, mas também atende aos requisitos
da lei federal (por exemplo, como resposta a uma solicitação de descoberta de acordo com as Regras Federais de Processo
Civil)
ÿ
Ele estende a proteção oferecida por uma política de segurança da informação para cobrir as ameaças mais amplas do
cibercrime, como roubo de propriedade intelectual, fraude ou extorsão
ÿ
Demonstra a devida diligência e boa governança corporativa dos ativos de informação da empresa, conforme medido pelo
padrão “Reasonable Man”
ÿ
Ele garante que a investigação atenda a todos os requisitos regulamentares.
ÿ
Pode melhorar e facilitar a interface com a aplicação da lei
ÿ
Melhora as perspectivas de uma ação legal bem-sucedida.
ÿ
Ele pode fornecer evidências para resolver disputas comerciais ou de privacidade.
ÿ
Ele pode apoiar sanções de funcionários até e incluindo demissão com base em evidências digitais (por exemplo, para provar
uma violação de uma política de uso aceitável)
ÿ
Impede que os invasores cubram seus rastros
ÿ
Limita o custo dos requisitos regulatórios ou legais para divulgação de dados
ÿ
Ajuda a evitar ataques semelhantes no futuro
ÿ A prontidão forense ajuda a manter a continuidade dos negócios, permitindo a identificação rápida e fácil do
componentes impactados e substituí-los para continuar os serviços e negócios
A prontidão forense permite que as empresas: A falta de prontidão forense pode resultar em:
Os incidentes podem impactar e danificar servidores web, aplicativos, sistemas, contas e redes essenciais para o
fornecimento de serviços a clientes e clientes, interrompendo os negócios. A prontidão forense ajuda a manter a
continuidade dos negócios, permitindo a identificação rápida e fácil dos componentes afetados e tornando possível
substituí-los de forma que os serviços e os negócios possam continuar ininterruptos. Consiste em ações técnicas e não
técnicas que maximizam a capacidade de uma organização de usar evidências digitais.
Estabelecer uma política para manusear e Mantenha uma equipe de resposta a incidentes
4 armazenar as evidências adquiridas em um local seguro 8 pronta para revisar o incidente e preservar as
maneiras evidências
O planejamento de prontidão forense refere-se a um conjunto de processos a serem seguidos para alcançar a prontidão
forense. As etapas a seguir descrevem as principais atividades no planejamento de prontidão forense.
Definir o objetivo da coleta de evidências e coletar informações para determinar as fontes de evidências que
podem ajudar a lidar com o crime e projetar os melhores métodos de coleta.
Produza uma declaração de requisitos de evidência em colaboração com as pessoas responsáveis pelo
gerenciamento do risco do negócio e aquelas que executam e monitoram os sistemas de informação.
Possíveis arquivos de evidência incluem auditoria de TI e logs de dispositivos, logs de rede e dados do sistema.
A prontidão forense deve incluir o conhecimento de todas as fontes de evidências potenciais presentes. Determine
o que acontece atualmente com os possíveis dados de evidência e seu impacto nos negócios durante a
recuperação das informações.
3. Defina uma política que determine o caminho para extrair legalmente evidências eletrônicas com o mínimo
de interrupção
Elaborar uma estratégia para garantir a coleta de evidências de todas as fontes relevantes e garantir sua
preservação de maneira legalmente sólida, causando o mínimo de interrupção no trabalho.
4. Estabeleça uma política para manusear e armazenar com segurança as evidências coletadas
Proteja as evidências coletadas de forma que estejam disponíveis para recuperação no futuro. Definir uma política
para o armazenamento e gerenciamento seguro de evidências potenciais e definir a segurança
medidas para proteger a legitimidade dos dados e a integridade das evidências sempre que alguém tentar
acessar, usar, mover ou armazenar informações digitais adicionais. Na linguagem dos investigadores, esse é
o processo de continuidade de provas no Reino Unido e cadeia de custódia nos Estados Unidos. Documento
de quem detinha e quem teve acesso às provas.
Existem diferentes tipos de incidentes. Estime o evento e avalie-o para verificar se ele requer uma investigação
completa ou formal ou pode ser negligenciado com base em seu impacto no negócio. Escale um incidente
apenas se ele tiver um grande impacto na continuidade dos negócios. Esteja preparado para justificar
qualquer escalonamento para uma investigação completa ou formal, pois o escalonamento consome recursos
e tempo.
Ele também fornece um backup para referência futura e ajudará a apresentar as evidências em um tribunal.
Todos os processos de investigação devem adotar uma postura legal, e a organização deve buscar
aconselhamento jurídico antes de tomar qualquer ação relacionada ao incidente. Isso porque alguns incidentes
podem prejudicar a reputação da empresa. Forme um conselho consultivo jurídico composto por pessoal
experiente que entenda a posição da empresa e possa fornecer conselhos sólidos sobre a força do caso e
sugerir outras ações.
8. Mantenha uma equipe de resposta a incidentes pronta para revisar o incidente e preservar as evidências
O gerenciamento de incidentes requer uma equipe forte e bem qualificada. As organizações precisam
construir uma equipe CIRT (Computer Incident Response Team) com membros que tenham o treinamento
adequado para cumprir suas funções.
É ainda necessário assegurar que os membros desta equipa são suficientemente competentes para
desempenhar qualquer função relacionada com a revisão de qualquer incidente de segurança e preservação
de provas.
Fluxo do módulo
3
Entender Forense 4 5
2 Prontidão
Entenda o
Fundamentos de
Computação Forense
ÿ Investigação de Cibercrimes
ÿ Atualiza a organização sobre vários métodos de ataque e técnicas de recuperação de dados e mantém um
registro atualizado regularmente (determinando e usando o método de documentação relevante)
Os investigadores forenses devem estar familiarizados com as atuais plataformas Linux, Macintosh e
Windows. Eles também devem desenvolver e manter contatos com profissionais de computação, rede e
investigação. Esses contatos podem ajudá-los a superar quaisquer dificuldades durante uma investigação.
Fluxo do módulo
3
Entender Forense 4 5
2 Prontidão
Entenda o
Fundamentos de
Computação Forense
Esta seção descreve certas leis/regulamentos e padrões importantes de vários países/regiões que podem
influenciar o procedimento de investigação forense.
Computação Forense
e Conformidade Legal
Comunicações Eletrônicas
ÿ A conformidade legal em computação 01 Lei Gramm-Leach-Bliley (GLBA) 05 Lei de privacidade
forense garante que qualquer
evidência coletada e
analisado é admissível em tribunal Segurança da Informação Federal
Proteção Geral de Dados
02 Lei de Modernização de 2014 06 Regulamento (RGPD)
(FISMA)
Os investigadores forenses devem estar cientes das implicações legais de suas atividades. Os investigadores
devem cumprir as políticas de segurança da organização onde ocorreu o incidente e tomar ações de acordo
com as leis estaduais e federais aplicáveis. A conformidade legal garante que qualquer evidência coletada
e analisada seja admissível em um tribunal.
Esta seção discute alguns regulamentos e normas que o investigador forense deve conhecer ao realizar a
análise forense.
Promulgada em 1999, a Lei Gramm–Leach–Bliley (GLBA) exige que as instituições financeiras – empresas
que oferecem produtos ou serviços financeiros aos consumidores, como empréstimos, consultoria financeira
ou de investimento ou seguros – expliquem suas práticas de compartilhamento de informações a seus
clientes e protejam dados sensíveis. O objetivo do GLBA é facilitar a transferência de informações
financeiras entre instituições e bancos, tornando mais específicos os direitos do indivíduo por meio de
requisitos de segurança.
As disposições do GLBA limitam quando uma “instituição financeira” pode divulgar as “informações
pessoais não públicas” de um consumidor a terceiros não afiliados. A lei abrange uma ampla gama de
instituições financeiras, incluindo muitas empresas que não são tradicionalmente consideradas instituições
financeiras porque se envolvem em certas “atividades financeiras”. De acordo com a Regra de Privacidade,
apenas uma instituição que esteja “significativamente engajada” em atividades financeiras é considerada
uma instituição financeira.
As instituições financeiras devem notificar seus clientes sobre suas práticas de compartilhamento de informações e
dizer aos consumidores sobre seu direito de “exclusão” se não quiserem que suas informações sejam compartilhadas
com determinados terceiros não afiliados. Além disso, qualquer entidade que receba informações financeiras do
consumidor de uma instituição financeira pode ser restringida em sua reutilização e divulgação dessas informações. Ele
ajuda a lidar com incidentes de acesso não autorizado a informações confidenciais de clientes mantidas pela instituição
financeira de maneira que possa resultar em “danos substanciais ou inconveniência para qualquer cliente”.
A FISMA foi introduzida como uma emenda à Lei Federal de Gerenciamento de Segurança da Informação de 2002, que
foi implementada para fornecer uma estrutura para que os sistemas de informação federais tenham controles de
segurança da informação mais eficazes. A FISMA 2014 fez várias modificações nos artigos existentes da FISMA 2002,
a fim de modernizar as práticas de segurança seguidas pelas agências federais para atender às crescentes preocupações
de segurança. Essas mudanças resultaram em relatórios menos gerais, fortaleceram o uso de monitoramento contínuo
em sistemas, aumentaram o foco nas agências de conformidade e incentivaram relatórios mais focados nos problemas
causados por incidentes de segurança.
A FISMA 2014 exigia que o Escritório de Administração e Orçamento (OMB) alterasse/revisasse o A-130 para eliminar
relatórios ineficientes e desnecessários e refletir mudanças na lei e avanços na tecnologia. Específico para segurança e
privacidade, o A-130 atualizado enfatiza seus papéis no ciclo de vida da informação federal e representa uma mudança
de ver os requisitos de segurança e privacidade como exercícios de conformidade para elementos cruciais de um
programa abrangente, estratégico e contínuo baseado em riscos em agências federais .
A regra de privacidade da HIPAA fornece proteções federais para informações de saúde individualmente identificáveis
mantidas por entidades cobertas e seus parceiros de negócios e oferece aos pacientes uma série de direitos com
relação a tais informações. A regra de privacidade também permite a divulgação de informações de saúde necessárias
para o atendimento ao paciente e outras finalidades importantes. A regra de segurança da HIPAA especifica uma série
de proteções administrativas, físicas e técnicas para as entidades cobertas e seus parceiros de negócios usarem para
garantir a confidencialidade, integridade e disponibilidade das informações de saúde protegidas eletronicamente.
O Escritório de Direitos Civis implementou o Estatuto e as Regras de Simplificação Administrativa da HIPAA, conforme
discutido abaixo:
As transações são trocas eletrônicas envolvendo a transferência de informações entre duas partes para fins
específicos. A HIPAA nomeia certos tipos de organizações como entidades cobertas, incluindo planos de
saúde, câmaras de compensação de assistência médica e certos provedores de assistência médica. Nos
regulamentos da HIPAA, o Secretário de Saúde e Serviços Humanos (HHS)
adotou certas transações padrão para Intercâmbio Eletrônico de Dados (EDI) de dados de saúde.
ÿ Regra de Privacidade
A regra de privacidade da HIPAA estabelece padrões nacionais para proteger registros médicos de indivíduos e outras
informações pessoais de saúde e se aplica a planos de saúde, câmaras de compensação de assistência médica e
provedores de assistência médica que conduzem determinadas transações de assistência médica eletronicamente. A
Regra exige salvaguardas adequadas para proteger a privacidade das informações pessoais de saúde e estabelece
limites e condições para o uso e divulgação de tais informações sem autorização do paciente. A Regra também concede
direitos aos pacientes sobre suas informações de saúde, incluindo o direito de examinar e obter uma cópia de seus
registros de saúde e solicitar correções.
ÿ Regra de Segurança
A regra de segurança da HIPAA estabelece padrões nacionais para proteger as informações pessoais eletrônicas de
saúde dos indivíduos que são criadas, recebidas, usadas ou mantidas por uma entidade coberta. A Regra de Segurança
exige salvaguardas administrativas, físicas e técnicas adequadas para garantir a confidencialidade, integridade e
segurança das informações de saúde protegidas eletronicamente.
O Health Insurance Portability and Accountability Act de 1996 (HIPAA) exige que os empregadores tenham números
nacionais padrão que os identifiquem em transações padrão.
ÿ Norma de Execução
O PCI DSS é um padrão proprietário de segurança de informações para organizações que lidam com informações de titulares de
cartão para os principais cartões de débito, crédito, pré-pagos, e-purse, ATM e POS. PCI
O DSS se aplica a organizações que “armazenam, processam ou transmitem dados do titular do cartão” para cartões de crédito.
Um de seus requisitos é “rastrear… todo o acesso a recursos de rede e dados do titular do cartão”.
A Lei de Privacidade de Comunicações Eletrônicas e a Lei de Comunicações Eletrônicas Stored Wire são comumente
referidas como Lei de Privacidade de Comunicações Eletrônicas (ECPA) de 1986, que vem sob 18 USC §§ 2510-2523.
A ECPA atualizou o Federal Wiretap Act de 1968, que tratava da interceptação de conversas usando linhas telefônicas
“duras”, mas não se aplicava à interceptação de computadores e outras comunicações digitais e eletrônicas. A ECPA,
conforme alterada, protege comunicações por fio, orais e eletrônicas, enquanto tais comunicações estão sendo feitas,
em trânsito e armazenadas em computadores. A lei se aplica a e-mail, conversas telefônicas e dados armazenados
eletronicamente.
ÿ Título I
Muitas vezes referido como a Lei de escutas telefônicas, o Título I proíbe a interceptação, uso, divulgação ou
"obtenção" [de] qualquer outra pessoa para interceptar ou tentar interceptar qualquer comunicação por fio,
oral ou eletrônica ." O Título I também proíbe o uso de comunicações obtidas ilegalmente como prova.
Exceção: o Título I prevê exceções para operadores e prestadores de serviços para usos “no curso normal
de seu emprego enquanto estiverem envolvidos em qualquer atividade que seja um incidente necessário
para a prestação de seu serviço” e para “pessoas autorizadas por lei a interceptar mensagens eletrônicas,
orais , ou comunicações eletrônicas ou conduzir vigilância eletrônica, conforme definido na seção 101 da Lei
de Vigilância de Inteligência Estrangeira (FISA) de 1978." Ele fornece procedimentos para funcionários
federais, estaduais e outros governos obterem autorização judicial para interceptar tais comunicações e
também regulamenta o uso e a divulgação de informações obtidas por meio de escutas telefônicas autorizadas.
ÿ Título II
Também chamado de Stored Communications Act (SCA), o Título II protege a privacidade do conteúdo dos
arquivos armazenados pelos provedores de serviços e dos registros mantidos sobre o assinante pelos
provedores de serviços, como nome do assinante, registros de cobrança ou endereços IP.
ÿ Título III
O Título III trata dos dispositivos de registro de caneta e armadilhas e rastreamentos e exige que as entidades
governamentais obtenham uma ordem judicial autorizando a instalação e uso de um registro de caneta (um
dispositivo que captura os números discados e informações relacionadas às quais as chamadas de saída ou
comunicações são feitas pelo sujeito ) e/ou um trap and trace (um dispositivo que captura os números e as
informações relacionadas de onde se originaram as chamadas recebidas e as comunicações que chegam ao
assunto).
O GDPR da UE substituiu a Diretiva de Proteção de Dados 95/46/EC e foi projetado para harmonizar as leis de privacidade
de dados em toda a Europa, para proteger e capacitar a privacidade de dados de todos os cidadãos da UE e para
remodelar a maneira como as organizações em toda a região abordam a privacidade de dados.
ÿ A capacidade de restaurar a disponibilidade e acesso aos dados pessoais em tempo hábil em caso de incidente
físico ou técnico
Artigo 33(1):
“Em caso de violação de dados pessoais, o responsável pelo tratamento notificará, sem demora injustificada e, sempre
que possível, o mais tardar 72 horas após ter tido conhecimento da mesma, a violação de dados pessoais à autoridade
de controlo competente nos termos do artigo 55.º, salvo se é improvável que a violação de dados pessoais resulte em
risco para os direitos e liberdades das pessoas físicas. Caso a notificação à autoridade de controlo não seja efetuada no
prazo de 72 horas, deve ser acompanhada da fundamentação do atraso.”
O DPA 2018 estabelece a estrutura da lei de proteção de dados no Reino Unido. Ele atualiza e substitui a Lei de Proteção
de Dados de 1998 e entrou em vigor em 25 de maio de 2018. Foi alterado em 01 de janeiro de 2021 por regulamentos da
Lei de (Retirada) da União Europeia de 2018, para refletir o status do Reino Unido fora da UE.
O DPA é uma lei que dispõe sobre a regulamentação do processamento de informações relativas a indivíduos; fazer
provisões em conexão com as funções do Comissário de Informação de acordo com certos regulamentos relativos a
informações; fazer provisões para um código de prática de marketing direto; e para fins conexos.
O DPA também estabelece regras de proteção de dados separadas para autoridades policiais, estende a proteção de
dados a algumas outras áreas, como segurança e defesa nacional, e define as funções e poderes do Comissário de
Informação.
1. O DPA protege os indivíduos no que diz respeito ao processamento de dados pessoais, em particular
por:
uma. Exigir que os dados pessoais sejam tratados de forma lícita e justa, com base nos dados
consentimento do sujeito ou outra base especificada,
b. Conferir direitos ao titular dos dados para obter informações sobre o processamento de dados pessoais e
exigir que os dados pessoais inexatos sejam retificados, e
2. Ao desempenhar funções ao abrigo do RGPD, do RGPD aplicado e desta Lei, o Comissário deve ter em conta
a importância de assegurar um nível adequado de proteção dos dados pessoais, tendo em conta os interesses
dos titulares dos dados, responsáveis pelo tratamento e outros e questões de interesse público geral.
A Lei Sarbanes-Oxley de 2002 (SOX) é uma lei aprovada pelo Congresso dos EUA em 2002 para proteger os
investidores da possibilidade de atividades contábeis fraudulentas por parte das empresas. Embora a SOX se aplique
principalmente a práticas financeiras e contábeis, ela também abrange as funções de tecnologia da informação (TI)
que dão suporte a essas práticas. A SOX pode ser suportada pela revisão regular de logs para procurar sinais de
violações de segurança, incluindo exploração, bem como reter logs e registros de revisões de log para revisão futura
por auditores.
Seção 202a. Espionagem de dados, Seção 303a. Alteração de Dados, Seção 303b. Sabotagem de Computador
Alemanha http://www.cybercrimelaw.net
Estados Unidos
Infraestrutura Nacional de Informação
https://www.congress.gov
Lei de Proteção de 1996
Resumo do Módulo
Este módulo discutiu os fundamentos da computação forense
1
Resumo do Módulo
Este módulo discutiu os fundamentos da computação forense. Cobriu vários tipos de provas digitais e
regras de prova. Também discutiu em detalhes várias leis e regras a serem consideradas
durante a coleta de evidências digitais. Além disso, este módulo discutiu o planejamento de prontidão
forense e a continuidade dos negócios. Além disso, explicou as funções e responsabilidades de um
investigador forense. Finalmente, este módulo apresentou uma discussão detalhada sobre conformidade
legal em computação forense.
MT
CE-Conselho
EC-Council
D FE
Digital
Digital
Forensics Essentials
Princípios Forenses
Módulo 02
Processo de Investigação Forense Computacional
Machine Translated by Google
Objetivos do módulo
Objetivos do módulo
Um dos objetivos da realização de um processo de investigação forense é ter uma melhor compreensão de um
incidente, identificando e analisando as evidências do mesmo. Este módulo descreve as diferentes etapas
envolvidas no processo completo de investigação forense de computador e destaca o papel das testemunhas
especializadas na solução de um caso de crime cibernético. Ele também descreve a importância dos relatórios
formais de investigação apresentados em um tribunal durante um julgamento.
Fluxo do módulo
Investigação forense
Processar
O processo de investigação forense computacional inclui uma abordagem metodológica para investigar,
apreender e analisar evidências digitais e, em seguida, gerenciar o caso desde o momento da busca e
apreensão até o relatório do resultado da investigação.
Importância da perícia
Processo de Investigação
Os investigadores devem seguir um conjunto repetível e bem documentado de etapas, de modo que
cada iteração da análise produza as mesmas descobertas; caso contrário, as conclusões da investigação
podem ser invalidadas durante o interrogatório em um tribunal. Os investigadores devem adotar
processos forenses de computador padrão; desta forma, o júri pode replicar o processo sempre que
necessário.
ÿ Lida com as tarefas a serem ÿ A fase principal do processo ÿ Inclui documentação de todas as
realizada antes do início de investigação forense ações realizadas e todas as
da investigação real computacional descobertas descobertas durante a
investigação
ÿ Fase de pré-investigação: Esta fase envolve todas as tarefas realizadas antes do início da investigação
propriamente dita. Envolve a criação de um laboratório de computação forense, a construção de uma
estação de trabalho forense, o desenvolvimento de um kit de ferramentas de investigação, a formação
de uma equipe de investigação, a obtenção da aprovação da autoridade competente, etc.
Essa fase também inclui etapas como planejamento do processo, definição dos objetivos da missão e
proteção do perímetro do caso e dos dispositivos envolvidos.
ÿ Fase Pós-investigação: Esta fase envolve o relato e documentação de todas as ações realizadas e as
conclusões obtidas durante o curso da investigação. Ele garante que o público-alvo possa entender
facilmente o relatório e que forneça evidências adequadas e aceitáveis. Cada jurisdição estabeleceu
padrões para relatar descobertas e evidências; o relatório deve cumprir todos esses padrões, bem como
ser legalmente sólido e aceitável em um tribunal.
Fluxo do módulo
Um Laboratório de Computação Forense (CFL) é um local que abriga instrumentos, ferramentas de software e hardware e estações
de trabalho forenses necessárias para conduzir uma investigação baseada em computador em relação às evidências coletadas
1 2 3
Considerações sobre Considerações de projeto físico e Considerações sobre a área de trabalho
planejamento e orçamento estrutural
ÿ Número de casos esperados ÿ Tipo ÿ Tamanho do laboratório ÿ Requisito de estação de trabalho ÿ
Requisitos de equipamento e software ÿ Estimativa de espaço para área de trabalho e ÿ Internet, rede e linha de comunicação ÿ Sistemas de
armazenamento de provas
iluminação e energia de emergência
ÿ Aquecimento, ventilação e ar condicionado
4 5 6
Considerações de segurança física Considerações sobre recursos humanos Licenciamento de laboratório forense
Um laboratório forense de computador (CFL) é um local designado para conduzir uma investigação baseada em
computador das evidências coletadas, a fim de resolver o caso e encontrar o culpado. O laboratório abriga os
instrumentos, ferramentas de software e hardware e as estações de trabalho forenses necessárias para realizar
investigações de todos os tipos.
o Tipos de Investigações: Escolha os tipos de crimes para o laboratório investigar com base nas
estatísticas criminais do ano anterior e a tendência esperada, como criminal, civil e corporativa. Se
a investigação for para uma corporação, decida se será apenas interna ou interna e externa. Isso
ajudará na estimativa do número de casos esperados e na alocação de recursos físicos, bem como
no orçamento.
o Requisito de equipamento: O laboratório forense deve ter estações de trabalho forenses e não
forenses para fins investigativos. Um armário seguro grande o suficiente para armazenar o
equipamento necessário para a investigação forense deve estar disponível no laboratório. Isso
ajudará a categorizar o equipamento armazenado no rack e ajudará o investigador a localizar o
equipamento necessário durante a investigação. Armários seguros também são um meio de manter
o equipamento seguro e protegê-lo contra desgaste, poeira e outras partículas estranhas que podem
prejudicar o desempenho. Mantenha o equipamento não utilizado em prateleiras de armazenamento
longe da área de trabalho principal para manter o laboratório limpo e organizado.
o Requisito de Software: Garanta o uso de versões licenciadas de todos os softwares necessários para a
investigação forense a qualquer momento durante a investigação. Versões de demonstração de software
forense não são preferíveis, pois oferecem funcionalidade limitada. Ter versões licenciadas também ajuda os
investigadores durante um julgamento. Use uma versão de demonstração se e somente se ela fornecer
funcionalidade completa.
o Acesso a Serviços Essenciais: Deve haver fácil acesso a todos os serviços essenciais do laboratório, incluindo
serviços de emergência como corpo de bombeiros e outros veículos de emergência. Também deve ter acesso
ao envio e recebimento sem comprometer a segurança física do laboratório.
o Estimativa de espaço para área de trabalho e armazenamento de evidências: O laboratório deve ser grande.
Deve haver espaço suficiente para colocar todos os equipamentos no laboratório, como estações de trabalho
e armazenamento de evidências.
o Aquecimento, Ventilação e Ar Condicionado: O ambiente no laboratório, como umidade, fluxo de ar, ventilação
e temperatura ambiente, também desempenha um fator importante.
Deve haver uma alta taxa de troca de ar no laboratório para manter o ar fresco dentro da sala e evitar odores
indesejados no laboratório. Deve haver sistemas de resfriamento adequados instalados no laboratório para
superar o calor gerado pelas estações de trabalho.
o Requisito de estação de trabalho: Um laboratório forense de pequeno porte geralmente tem duas estações de
trabalho e uma estação de trabalho comum com conectividade com a Internet. No entanto, a exigência de
estações de trabalho forenses varia de acordo com os tipos e complexidade dos casos e processos tratados
no laboratório.
o Internet, Rede e Linha de Comunicação: Instale uma Rede Digital de Serviços Integrados (ISDN) dedicada
para comunicações de rede e voz. Uma rede dedicada é preferida para o computador forense, pois requer
acesso contínuo à Internet e outros recursos na rede. Acesso discado à Internet deve estar disponível para as
estações de trabalho do laboratório.
o Sistemas de Iluminação e Energia de Emergência: O laboratório deve ter energia de emergência e proteção
para todos os equipamentos contra oscilações de energia. Os sistemas de iluminação devem ser organizados
para aumentar a produtividade dos investigadores. Ajuste a iluminação para evitar ofuscamento e mantenha
os monitores em um ângulo de 90 graus em relação às janelas.
o O nível de segurança física exigido para um laboratório forense depende da natureza das investigações realizadas
no laboratório
o Manter um registro de log na entrada do laboratório para registrar os dados do visitante, como
endereço e nome do visitante com data, hora e objetivo da visita, bem como nome da pessoa de
contato. Forneça passes aos visitantes para diferenciá-los da equipe do laboratório e mantenha
um registro eletrônico de entrada para eles.
o Instalar um sistema de alarme de intrusão no laboratório para fornecer uma camada adicional de
proteção e implantar guardas nas instalações
o Manter o laboratório sob vigilância, colocando câmeras de circuito fechado no laboratório e em torno
de suas instalações
o Estimar o número de pessoal necessário para lidar com o caso com base em sua natureza e nas
habilidades que devem ter para concluir as tarefas
o No caso de um laboratório de computação forense, as principais funções de trabalho incluem crimes cibernéticos de laboratório
investigador, diretor de laboratório, técnico forense e analista forense
o Os laboratórios forenses devem ser licenciados pelas autoridades competentes para indicar
confiabilidade
o As autoridades fornecem essas licenças após revisar o laboratório e as instalações que ele possui
para realizar investigações
Construindo a Investigação
Equipe
ÿ Mantenha a equipe pequena para proteger a confidencialidade da investigação e evitar vazamentos de informações
Respondente de Incidente Responsável pelas medidas a serem tomadas quando ocorre um incidente
A equipe de investigação desempenha um papel importante na resolução de um caso. A equipe é responsável por
avaliar o crime, as provas e os criminosos. Cada membro da equipe deve receber algumas tarefas específicas
(funções e responsabilidades) que permitem que a equipe analise o incidente facilmente. As diretrizes para a
construção da equipe de investigação são as seguintes:
Para encontrar a evidência apropriada de uma variedade de sistemas de computação e dispositivos eletrônicos, as
seguintes pessoas podem estar envolvidas:
ÿ Fotógrafo: O fotógrafo fotografa a cena do crime e as provas recolhidas. Eles devem ter uma certificação
autêntica. Essa pessoa é responsável por fotografar todas as evidências encontradas na cena do crime, que
registra as principais evidências no processo forense.
ÿ Respondente do Incidente: O respondente do incidente é responsável pelas medidas tomadas quando ocorre
um incidente. Esse indivíduo é responsável por proteger a área do incidente e coletar as evidências
presentes na cena do crime. Eles devem desconectar o sistema de outros sistemas para impedir a
propagação do incidente para outros sistemas.
ÿ Gerenciador de evidências: O gerenciador de evidências gerencia as evidências. Eles têm todas as informações
sobre a evidência, por exemplo, nome da evidência, tipo de evidência, hora e fonte da evidência. Eles
gerenciam e mantêm um registro das evidências de forma que sejam admissíveis no tribunal.
ÿ Perito: O perito oferece uma opinião formal como testemunho em um tribunal. Os peritos ajudam a autenticar
os fatos e outras testemunhas em casos complexos.
Eles também auxiliam no interrogatório de testemunhas e evidências, pois vários fatores podem influenciar
uma testemunha normal.
hardware Programas
Um laboratório forense digital deve ter todas as ferramentas de hardware e software necessárias para apoiar o processo
de investigação, desde a busca e apreensão das evidências até o relatório do resultado da análise. A familiaridade com o
kit de ferramentas de investigação torna todo o processo mais rápido e eficiente. Um kit de ferramentas de investigação
sofisticado que inclui hardware e software pode reduzir o impacto do incidente impedindo que ele se espalhe para outros
sistemas. Isso minimizará os danos à organização e também ajudará no processo de investigação.
hardware
ÿ Duas ou mais estações de trabalho forenses com bom poder de processamento e RAM
ÿ Cabos especializados
ÿ Bloqueadores de escrita
ÿ Duplicadores de drives
ÿ Kit de ferramentas de hardware forense de computador, como o pacote de primeiros socorros da Paraben, DeepSpar
Disk Imager, estação de trabalho forense FRED, etc.
Programas
ÿ SOs
ÿ Ferramentas de Aquisição
ÿ Analisadores de dados
ÿ
Visualizadores de arquivos (imagem e gráficos)
ÿ
Ferramentas de conversão de tipo de arquivo
ÿ Ferramentas de software forense de computador, como Wireshark, FTK da Access Data, etc.
Fluxo do módulo
1 2 3
Documentando o Busca Evidência
Cena de Crime Eletrônico e apreensão Preservação
6 5 4
Análise de Caso Análise de dados Aquisição de dados
7 8
Testemunhando como um
Comunicando
Perito
Documentando o
Cena de Crime Eletrônico
ÿ A documentação da cena do crime eletrônico é
necessário manter um registro de todos os processos
de investigação forense realizados para identificar,
extrair, analisar e preservar as evidências
A documentação da cena do crime eletrônico é necessária para manter um registro de todos os processos de
investigação forense aplicados para identificar, extrair, analisar e preservar as evidências. Os detalhes devem
incluir a localização do crime, status do sistema, dispositivos de rede conectados, mídia de armazenamento,
smartphones, telefones celulares, PDAs, Internet e acesso à rede.
O documento ajudará a rastrear os números de série ou outros identificadores dos dispositivos adquiridos.
A documentação também inclui tirar fotos, vídeos, anotações e esboços da cena para recriá-la posteriormente. O
investigador precisa documentar os processos e atividades em execução nas telas de exibição.
ÿ A documentação do local do crime electrónico é um processo contínuo durante a investigação que faz um
registo permanente do local
ÿ
É essencial anotar adequadamente o local e o estado dos computadores, mídias de armazenamento
digital e outros dispositivos eletrônicos
Busca e apreensão
ÿ Busca de consentimento
Busca e apreensão
Os investigadores devem ter conhecimento profundo de todos os dispositivos que podem ter desempenhado um
papel na transmissão dos dados do ataque ao dispositivo da vítima. Devem poder procurar todos os dispositivos
envolvidos e apreendê-los de forma lícita para a obtenção e análise dos dados probatórios.
Os investigadores precisam traçar um processo estratégico para conduzir a atividade de busca e apreensão.
Isso os ajudará a distribuir tarefas entre os membros da equipe para concluir a apreensão e permitir que a equipe use
o tempo e as ferramentas de maneira bem definida.
ÿ Detalhes dos equipamentos a apreender, como tipo e dimensão da estrutura, localização (tudo num só local,
espalhados pelo edifício ou andares), tipo de aparelho e número do modelo, estado da energia, estado da
rede e tipo de rede, backups (se qualquer), última hora e data, local do backup e se for necessário derrubar
o servidor e o impacto dessa ação nos negócios
ÿ Precauções de saúde e segurança, como todas as equipes forenses usando luvas protetoras de látex para
todas as operações de busca e apreensão no local para proteger a equipe e preservar quaisquer impressões
digitais que possam ser úteis no futuro
A equipe de investigação não pode entrar em ação imediatamente após traçar um plano de busca e apreensão; eles
devem seguir um protocolo específico e realizar algumas formalidades legais que incluem obtenção de mandado,
coleta de informações sobre o incidente e obtenção de autorização e consentimento.
Preservação de evidências
Preservação de evidências
Compreender a importância de preservar as evidências é importante porque as evidências forenses são frágeis por
natureza e podem ser facilmente adulteradas. É essencial salvaguardar a integridade da evidência para torná-la
aceitável em um tribunal.
O manuseio e a preservação de evidências são alguns dos aspectos mais significativos da investigação forense
digital. Os investigadores devem tomar todas as medidas necessárias para garantir que as evidências permaneçam
em seu verdadeiro estado, exatamente como foram encontradas na cena do crime.
No momento da transferência da evidência, tanto o remetente quanto o destinatário precisam fornecer informações
sobre a data e a hora da transferência no registro da cadeia de custódia.
ÿ O diário de bordo do projeto para registo das observações relacionadas com as provas
Aquisição de dados
A aquisição de dados forenses é um processo de geração de
imagens ou coleta de informações de várias mídias de acordo
com certos padrões para analisar seu valor forense
Aquisição de dados
Durante a investigação de dispositivos digitais, todas as evidências podem estar presentes na forma de dados.
Portanto, os investigadores devem ter experiência em adquirir os dados armazenados em vários dispositivos de
diferentes formas.
A aquisição de dados é o uso de métodos estabelecidos para extrair informações armazenadas eletronicamente
(ESI) de um computador ou mídia de armazenamento suspeito, a fim de obter informações sobre um crime ou incidente.
A aquisição de dados forenses é um processo de geração de imagens ou coleta de informações de várias mídias de
acordo com certos padrões, a fim de analisar seu valor forense. Os investigadores podem processar e examinar
forensemente os dados coletados para extrair informações relevantes para qualquer caso ou incidente específico,
protegendo a integridade dos dados. É uma das etapas mais críticas da perícia digital, pois qualquer aquisição
imprópria pode alterar os dados na mídia de evidências e torná-los inadmissíveis no tribunal.
Os investigadores forenses devem ser capazes de verificar a precisão dos dados adquiridos, e o processo completo
deve ser aceitável e reproduzível no tribunal.
Antes de adquirir os dados, o investigador precisa garantir que seu dispositivo de armazenamento esteja legalmente
limpo e, em seguida, iniciar a proteção contra gravação para proteger e proteger as evidências originais.
Análise de dados
Análise de dados
A análise de dados refere-se ao processo de examinar, identificar, separar, converter e modelar dados para isolar
informações úteis. Na investigação forense, a análise de dados ajuda na coleta e exame de dados para encontrar sua
relevância com o incidente, a fim de enviar as descobertas a uma autoridade para conclusões e tomada de decisão.
Os investigadores devem analisar minuciosamente os dados adquiridos para tirar conclusões relacionadas ao caso.
Aqui, as técnicas de análise de dados dependem do escopo do caso ou dos requisitos do cliente e do tipo de evidência.
Identifique e categorize os dados em ordem de relevância para o caso, de forma que os dados mais relevantes sirvam
como a evidência mais importante para o caso.
Caso
Análise
Os investigadores podem relacionar os dados probatórios aos detalhes do caso para entender como o
incidente completo ocorreu e determinar as ações futuras, como as seguintes:
Determine a possibilidade de explorar outros Reúna informações adicionais Considere a relevância dos
procedimentos investigativos para reunir relacionadas ao caso (por exemplo, componentes que estão fora do
evidências adicionais (por exemplo, verificar os pseudônimos, contas de e-mail, ISP escopo da investigação; por exemplo,
dados do host e examinar os logs do serviço de usado, nomes, configuração de rede, equipamentos como laminadores,
rede em busca de qualquer informação de valor logs do sistema e senhas) entrevistando cheques de papel, scanners e
probatório, coletar evidências específicas do os respectivos indivíduos impressoras em caso de fraude
caso nas mídias sociais, identificar locais de
armazenamento remoto etc.)
Análise de Caso
A análise de caso é o processo de relacionar os dados probatórios obtidos ao caso, a fim de entender como
ocorreu o incidente completo. Nesta fase, o investigador avalia o impacto do incidente na organização, os
motivos e a origem do incidente, as etapas necessárias para lidar com o incidente, a equipe de investigação
necessária para lidar com o caso, os procedimentos investigativos e o possível resultado do processo forense.
A análise do caso é importante para implementar um plano adequado para lidar com o caso e alcançar os
resultados desejados. A análise de caso pode ajudar os investigadores a determinar ações futuras, como as
seguintes:
ÿ Verifique se existe a possibilidade de seguir outros métodos investigativos para, por exemplo, identificar
um local de armazenamento remoto, examinar logs de serviço de rede para qualquer informação de
valor probatório, coletar evidências específicas do caso nas mídias sociais, identificar locais de
armazenamento remoto etc.)
ÿ Reúna informações adicionais relacionadas ao caso (por exemplo, pseudônimos, contas de e-mail, ISP
usado, nomes, configuração de rede, logs do sistema e senhas) entrevistando os respectivos
indivíduos.
ÿ Identificar a relevância de vários elementos de rede para a cena do crime, como cartões de crédito,
cheques, scanners e câmeras
Fluxo do módulo
Esta seção fornece diretrizes sobre como escrever um relatório de investigação e testemunhar como perito.
Procedimentos
ÿ Identificação
A documentação em cada fase deve ser identificada para decidir se é apropriada para a investigação e deve
ser organizada em categorias específicas
ÿ Procedimentos
ÿ Deve ser estruturado de forma lógica para que as informações possam ser facilmente localizadas
A redação do relatório é uma etapa crucial no processo de investigação forense, pois resume toda a investigação em
um relatório legível a ser apresentado em um tribunal. Com base na precisão e certeza deste relatório, o tribunal
processará os suspeitos. O relatório deve ser claro, conciso e escrito para o público apropriado. O relatório deve estar
no idioma local, se necessário, e sem jargões. Deve incluir apenas os dados relativos ao caso e as provas.
O relatório também deve fornecer um relato detalhado dos incidentes, enfatizando as discrepâncias nas declarações
das testemunhas. Deve ser um documento bem escrito que se concentre nas circunstâncias do incidente, depoimentos
das testemunhas, fotografias da cena do crime, materiais de referência que levem às evidências, desenhos esquemáticos
do sistema de computador e o relatório de análise forense da rede. As conclusões do relatório de investigação devem
ser baseadas em fatos e não nas opiniões dos investigadores. Um investigador deve redigir a documentação
considerando que a equipe de defesa também a examinará.
ÿ
Deve incluir conclusões que possam ser totalmente reproduzidas por terceiros.
ÿ
Deve tentar responder a questões levantadas durante um julgamento judicial.
ÿ
Deve fornecer conclusões, opiniões e recomendações válidas apoiadas por números e fatos.
ÿ Detalhes do incidente
ÿ Data e hora em que o incidente supostamente
ocorreu ÿ Data e hora em que o incidente foi relatado ao pessoal da
agência ÿ Detalhes da pessoa ou pessoas que relataram o incidente ÿ
ÿ Informações de evidência
ÿ Descobertas relevantes ÿ
ÿ Localização das provas
Arquivos de suporte
ÿ Listagem das provas recolhidas
ÿ Anexos e apêndices
ÿ Ferramentas envolvidas na coleta das evidências
ÿ Caminho completo dos arquivos importantes
ÿ Preservação das provas
ÿ Avaliações e opiniões de especialistas
Cada relatório investigativo começa com um número de caso único, seguido por nomes, bem
como o número de segurança social dos autores, investigadores e examinadores envolvidos na
investigação. O relatório cobre todos os detalhes do incidente que são atualizados com o
andamento diário do processo investigativo. Inclui todos os detalhes das evidências, como
localização, lista das evidências coletadas, ferramentas usadas na investigação e o processo de
extração e preservação das evidências.
Deve também registrar o procedimento de avaliação e análise desde a avaliação inicial das
evidências até as técnicas utilizadas na investigação, incluindo a análise das evidências
eletrônicas/digitais com os arquivos relevantes, documentos de suporte como anexos e apêndices
e o caminho do arquivos. O relatório também deve incluir revisões de especialistas com detalhes
de suporte sobre a intenção do invasor, dispositivos usados, atividade na Internet e
recomendações.
O advogado conduz o perito através das provas e explica o papel deste em relação às provas
de forma que seja compreensível para o júri, a audiência e o advogado da parte contrária. Segue-
se um interrogatório do advogado da oposição, que então questiona o perito sobre a descrição
das provas e os métodos que seguiram ao coletar e analisar as provas.
Resumo do Módulo
Este módulo discutiu o processo de investigação forense e
sua importância
Resumo do Módulo
Este módulo discutiu o processo de investigação forense e sua importância. Cobriu as várias atividades envolvidas
na fase de pré-investigação e discutiu em detalhes as atividades realizadas na fase de investigação. Finalmente,
este módulo apresentou uma discussão detalhada sobre as atividades da fase pós-investigação.
MT
EC-Council
CE-Conselho
D FE
Digital
Digital
Forensics Essentials
Princípios Forenses
Módulo 03
Entendendo Discos Rígidos e Sistemas de Arquivos
Machine Translated by Google
Objetivos do módulo
4 Visão geral de vários sistemas de arquivos dos sistemas operacionais Windows, Linux e Mac
Objetivos do módulo
Dispositivos de armazenamento como unidades de disco rígido (HDDs) e unidades de estado sólido (SSDs) são uma
fonte importante de informações durante a investigação forense. O investigador deve localizar e proteger os dados
coletados dos dispositivos de armazenamento como evidência. Portanto, é necessário que o investigador tenha
conhecimento sobre a estrutura e o comportamento dos dispositivos de armazenamento. O sistema de arquivos
também é importante, pois o armazenamento e a distribuição dos dados em um dispositivo dependem do sistema de
arquivos usado.
ÿ Compreender o processo de inicialização dos sistemas operacionais (SOs) Windows, Linux e Mac
Módulo 03 Página 86 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Fluxo do módulo
Explique o lógico
Estrutura de um disco
Entenda o processo de
inicialização do Windows, Linux e
Sistemas operacionais Mac Entenda Vários Arquivos
Sistemas de Windows,
Linux e Mac
Examine o arquivo Sistemas operacionais
Sistema
Módulo 03 Página 87 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Setores
Conector de força
Pinos de jumper
Um HDD é um dispositivo de armazenamento de dados digitais não voláteis usado em um sistema de computador.
Um disco rígido armazena dados usando um método semelhante ao usado em um gabinete de arquivo. O usuário,
quando necessário, pode acessar os dados e programas. Quando o computador precisa de programas ou dados
armazenados, o sistema copia os dados do HDD para um local temporário. Quando o usuário ou o sistema faz
alterações em um arquivo, o computador salva o arquivo substituindo o arquivo antigo pelo novo. O HDD grava os
dados magneticamente no disco rígido.
O HDD consiste em pratos giratórios e suas velocidades de leitura/gravação dependem das revoluções por minuto
(RPM) desses pratos. Quanto mais rápido o prato girar, maior será o desempenho de leitura/gravação do HDD.
Os HDDs são suscetíveis a danos físicos porque contêm partes móveis. A longo prazo, as partes móveis se
desgastam, danificando o acionamento.
Módulo 03 Página 88 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Capacidade
ÿ Interface utilizada
ÿ Velocidade em RPM
ÿ Procurar tempo
ÿ Tempo de acesso
ÿ Tempo de transferência
Módulo 03 Página 89 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Os pratos têm duas superfícies, cada uma delas dividida em círculos concêntricos chamados trilhas. As trilhas armazenam
todas as informações em um disco rígido e as trilhas em uma partição de prato armazenam grandes blocos de dados. Um
disco rígido moderno contém dezenas de milhares de faixas em cada prato. As cabeças rolantes leem e gravam dados da
parte mais interna para a mais externa do disco. Esse tipo de arranjo de dados permite acesso fácil a qualquer parte do
disco, e é por isso que os discos rígidos têm o apelido de “dispositivos de armazenamento de acesso aleatório”.
Cada trilha contém várias unidades menores chamadas setores, e todos os pratos em um HDD têm a mesma densidade
de trilhas. A densidade da via refere-se à compacidade dos círculos da via; ele deve ser maximizado para que uma
unidade de área na superfície do prato possa conter o número máximo de bits.
A densidade da trilha também determina a capacidade de armazenamento de um disco rígido.
Módulo 03 Página 90 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Cabeça 1
Cabeça 2
Cabeça 4
Faixas
Um cilindro é um grupo de todas as trilhas que começam na mesma posição da
cabeça do disco Setor
ÿ A numeração das faixas em um disco rígido começa em 0 a partir da borda externa e se move em direção ao centro. O número
de faixas em um disco rígido depende do tamanho do disco
ÿ As cabeças de leitura/gravação em ambas as superfícies de um prato estão bem embaladas e travadas juntas
em uma montagem de braços de cabeça
ÿ Os braços se movem para dentro e para fora juntos para localizar fisicamente todas as cabeças no mesmo número de faixa
ÿ Portanto, uma localização de trilha é frequentemente referida por um número de cilindro em vez de uma trilha
número
ÿ Um cilindro é um grupo de todas as trilhas que começam na mesma posição da cabeça do disco
Módulo 03 Página 91 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Cada setor contém dados de tamanho fixo: 512 bytes para HDDs, 2048
bytes para CD-ROMs e DVD-ROMs.
Os HDDs mais recentes usam setores de 4.096 bytes (4 KB).
Por exemplo, se o tamanho do arquivo for 600 bytes, dois setores de 512 bytes
serão alocados para o arquivo
contêm divisões menores chamadas setores, que são as menores unidades de armazenamento físico em uma bandeja de
disco rígido. Um setor é um termo matemático que denota uma parte em forma de torta ou angular de um círculo e é delimitado
pelo perímetro do círculo e dois raios.
Cada setor normalmente armazena 512 bytes de dados para HDDs e 2048 bytes para CD-ROMs e DVD-ROMs; os HDDs
mais recentes usam setores de 4.096 bytes (4 KB), com bytes adicionais utilizados para controle interno da unidade,
informações que auxiliam no armazenamento de dados e na detecção e correção de erros. Todos os setores entre dois círculos
concêntricos formam uma trilha. As faixas se combinam para formar a superfície de um prato de disco.
ÿ Informações de ID: Esta parte contém o número e a localização do setor, que identificam os setores
no disco. Ele também contém informações sobre o status do setor.
ÿ Campos de sincronização: O controlador do drive conduz o processo de leitura usando estes campos ÿ Dados:
Esta parte é a informação armazenada no setor ÿ Codificação de correção de erros (ECC): Este código garante a
integridade dos dados ÿ Gaps: São espaços usados para fornecer tempo para o controlador continuar a leitura
processar
Esses elementos constituem despesas gerais do setor. É um determinante importante do tempo necessário para acessar os
dados. Como o disco rígido usa bits para gerenciamento de disco ou dados, o tamanho da sobrecarga deve ser minimizado
para maximizar a eficiência. Um arquivo em um disco armazena dados em uma série contígua para uso ideal do espaço,
enquanto o sistema aloca setores para o arquivo de acordo com seu tamanho. Se o tamanho de um arquivo for de 600 bytes,
o sistema alocará dois setores, cada um com 512 bytes. O número da faixa e o número do setor referem-se ao endereço de
qualquer dado no disco rígido.
Módulo 03 Página 92 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Os números de trilha e setor são usados pelo sistema operacional e pela unidade de
disco para identificar as informações armazenadas
ÿ Por exemplo, o disco formatado pode conter 50 faixas, cada uma dividida em 10
setores
ÿ Números de trilha e setor são usados pelo sistema operacional e unidade de disco para identificar o armazenado
em formação
Módulo 03 Página 93 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ O Formato Avançado de Geração Um, também chamado de tecnologia de setor 4K, usa com eficiência a
mídia de superfície de armazenamento de um disco ao mesclar oito setores de 512 bytes em um
único setor de 4.096 bytes
Marca de endereço
distribuído
ETC
Novos discos rígidos usam setores de formato avançado de 4096 bytes (4 KB ou 4 K). Este formato usa a
mídia de superfície de armazenamento de um disco de forma eficiente, mesclando oito setores de 512 bytes
em um único setor (4096 bytes). A estrutura de um setor de 4K mantém os elementos de design de setores
de 512 bytes, com as áreas de início e codificação de correção de erro (ECC) representadas pelos caracteres
de identificação e sincronização, respectivamente. A tecnologia de setor 4K remove áreas de cabeçalho
redundantes entre os setores.
Módulo 03 Página 94 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Os dados são gravados em um disco rígido usando um método chamado gravação de bit de zona (também conhecido
como gravação de zona múltipla)
Os discos rígidos armazenam dados usando o método de gravação de bit de zona, também conhecido como gravação de
zona múltipla. Nesta técnica, as trilhas formam uma coleção de zonas dependendo de sua distância do centro do disco, e as
trilhas externas têm mais setores do que as trilhas internas. Isso permite que a unidade armazene mais bits em cada trilha
externa do que na zona mais interna, o que ajuda a atingir uma alta capacidade total de dados.
ÿ Densidade de trilha: Este termo refere-se ao espaço requerido por um determinado número de trilhas em um disco.
Discos com maior densidade de trilha podem armazenar mais informações e oferecer melhor desempenho.
ÿ Densidade de área: Este termo refere-se ao número de bits por polegada quadrada em um prato e
representa a quantidade de dados que um disco rígido pode conter.
ÿ Densidade de bits: Este termo refere-se ao número de bits que uma unidade de comprimento de trilha pode acomodar.
Módulo 03 Página 95 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Responder
*
Tamanho Total do Disco = Nº de Cilindros Nº de Chefes * Nº de Setores
por Trilha * 512
Total
bytes
do Disco
por Setor
= (16.384
Tamanho
* *
cilindros) trilha) (80 cabeças) (63 setores /
* (512 bytes/setor)
= 42.278.584.320 bytes
O endereçamento de dados do disco rígido é a técnica de atribuir endereços a blocos físicos de dados em
HDs.
O processo Cylinder-Head-Sector (CHS) identifica setores individuais em um disco rígido de acordo com suas posições
em uma trilha, e os números da cabeça e do cilindro determinam essas trilhas. Ele associa informações do disco rígido
por especificações como cabeçote (lado do prato), cilindro (raio) e setor (posição angular).
Exemplo de cálculo de capacidade de disco: Uma unidade de disco tem 16.384 cilindros, 80 cabeçotes e 63 setores
por trilha. Suponha - um setor tem 512 bytes. Qual é a capacidade de tal disco?
Responder
* Nº de cabeças *
Tamanho Total do Disco = Nº do Setor de Nº de setores por trilha * 512 bytes por
Cilindros
Tamanho Total do Disco = (16.384 cilindros) * (80 cabeças) * (63 setores/trilha) * (512 bytes/setor)
= 42.278.584.320 bytes
Módulo 03 Página 96 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Medindo o
Disco rígido
atuação
ÿ Os dados são armazenados no disco rígido na forma de arquivos
Os dados são armazenados no disco rígido na forma de arquivos. Quando um programa em execução solicita um
arquivo, o disco rígido recupera o conteúdo de bytes do arquivo e envia os bytes para a CPU, um de cada vez, para
processamento posterior. A medição do desempenho da unidade de disco rígido inclui o cálculo de suas duas
características, incluindo o tempo de acesso e a taxa de transferência de dados.
Tempo de acesso
O tempo de acesso refere-se ao tempo que uma unidade leva para iniciar a transferência de dados. Este tempo
depende da natureza mecânica dos discos rotativos e cabeçotes móveis. A seguir estão os principais componentes
adicionados para obter o tempo de acesso:
ÿ Tempo de busca: Este é o tempo necessário para um controlador de disco rígido encontrar um determinado
dado. Ao ler ou gravar dados, as cabeças do disco se movem para a posição correta por meio do processo
de busca. O tempo necessário para mover as cabeças do disco de leitura ou gravação de um ponto para
outro no disco é o tempo de busca. O tempo de busca é geralmente entre 10 e 20 ms, com os discos
rígidos de desktop comuns tendo um tempo de busca de aproximadamente 9 ms.
ÿ Latência rotacional: Refere-se ao atraso rotacional no setor de disco escolhido para girar sob os cabeçotes
da unidade de disco de leitura ou gravação. A latência rotacional média do disco é metade do tempo que o
disco leva para completar uma revolução. O termo é aplicável apenas a dispositivos de armazenamento
rotativo, como HDDs e unidades de disquete, mas não a unidades de fita.
ÿ Taxa de transferência de dados: A taxa de transferência de dados de uma unidade é expressa pela taxa
interna, que é a taxa de transferência de dados entre a superfície do disco e o controlador da unidade, bem
como a taxa externa, que é a taxa de transferência de dados entre os controlador de unidade e sistema
host. A taxa de transferência do host ou taxa de transferência de dados é a velocidade na qual o host
Módulo 03 Página 97 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
computador pode transferir dados do Integrated Drive Electronics (IDE)/Enhanced IDE (EIDE) ou
Small Computer System Interface (SCSI) para a CPU.
o As taxas de transferência de dados na zona interna variam de 44,2 MB/s a 74,5 MB/s
o A taxa de transferência de dados na zona externa varia de 74,0 MB/s a 111,4 MB/s
Módulo 03 Página 98 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Os SSDs são mais rápidos que os HDDs, pois não possuem partes móveis e o desempenho de leitura/gravação depende da conexão de dados da unidade
Controlador
DRAM
SSD PCB Poder
Porta É uma memória volátil que fornece desempenho de leitura/gravação
mais rápido
Interface do host
Um SSD se conecta à máquina host usando uma interface. As interfaces SSD comumente usadas
são SATA, PCIe, SCSI, etc.
Um SSD é um dispositivo eletrônico de armazenamento de dados que implementa a tecnologia de memória de estado sólido
para armazenar dados de maneira semelhante a um HDD. Em eletrônica, o termo “estado sólido” refere-se a um circuito
eletrônico construído inteiramente com semicondutores. Os SSDs usam os dois tipos de memória a seguir.
ÿ SSDs baseados em NAND: Esses SSDs usam microchips de memória NAND de estado sólido para armazenar dados.
A memória NAND é não volátil por natureza e retém a memória mesmo sem energia.
Portanto, os dados nesses microchips estão em um estado não volátil e não precisam de partes móveis. A memória
NAND foi desenvolvida principalmente para reduzir o custo por bit de armazenamento de dados. No entanto, ainda
é mais caro que a memória óptica e os HDDs. A memória baseada em NAND é amplamente usada atualmente em
dispositivos móveis, câmeras digitais, MP3 players, etc. Ela permite apenas um número finito de gravações durante
a vida útil do dispositivo.
ÿ SSDs baseados em RAM volátil: SSDs baseados em memória volátil, como RAM dinâmica (DRAM), são usados
quando os aplicativos exigem acesso rápido aos dados. Esses SSDs incluem uma bateria recarregável interna ou
um adaptador AC/DC externo, bem como armazenamento de backup. Os dados residem na DRAM durante o
acesso a dados e são armazenados no armazenamento de backup em caso de falha de energia.
Vantagens do SSD
As três principais vantagens do SSD sobre os discos rígidos magnéticos são as seguintes:
ÿ Maior confiabilidade
Módulo 03 Página 99 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
SSD PCB
Poder
Porta
Componentes do SSD
1. Memória flash NAND—Ele usa tecnologia de armazenamento não volátil para armazenar dados e consiste
de transistores de porta flutuante que não requerem energia para reter dados
2. Controlador—É um processador embutido que atua como uma ponte entre os componentes da memória
flash e o sistema, executando um software de nível de firmware
3. DRAM—É uma memória volátil e requer energia para reter os dados. A DRAM está incluída em um SSD
para aumentar seu desempenho de leitura/gravação.
4. Interface de host—Com base nos requisitos de desempenho, várias interfaces de host são usadas em
SSDs. As interfaces de host SSD comumente usadas incluem Serial Advanced Technology Attachment
(SATA), Peripheral Component Interconnect Express (PCIe) e SCSI.
Módulo 03 Página 100 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Interfaces de disco
ATA/PATA (IDE/EIDE) Serial ATA/SATA (AHCI) Serial Attached SCSI
ATA (Advanced Technology Attachment) é É um avanço do ATA e usa sinalização serial, ao SAS (Serial Attached SCSI) é o sucessor e uma alternativa
o ANSI oficial (American National Standards contrário da sinalização paralela do IDE avançada ao SCSI paralelo em ambientes corporativos
Institute) nome do Integrated Drive
Eletrônica (IDE), uma interface padrão entre o barramento de
dados da placa-mãe e os discos de armazenamento
Interfaces de disco
Uma unidade de armazenamento se conecta a um PC usando uma interface. Existem vários tipos de interfaces, incluindo
IDE, SATA, PCIe e SCSI.
ÿ ATA/PATA (IDE/EIDE)
IDE é uma interface eletrônica padrão usada entre os caminhos ou barramento de dados da placa-mãe de um
computador e os dispositivos de armazenamento do computador, como HDDs, SSDs e unidades de CD-ROM/DVD.
O padrão de barramento IBM PC Industry Standard Architecture (ISA) de 16 bits é a base para a interface IDE,
que oferece conectividade em computadores que usam outros padrões de barramento. O IDE oficial do American
National Standards Institute (ANSI) é o Advanced Technology Attachment (ATA).
ÿ ATA Paralelo
O Parallel ATA (PATA), baseado na tecnologia de sinalização paralela, oferece um controlador na própria unidade
de disco e, assim, elimina a necessidade de uma placa adaptadora separada. Os padrões PATA permitem apenas
comprimentos de cabo de até 46 cm (18 pol.).
o Relativamente barato
Módulo 03 Página 101 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
o Fácil de configurar
A maioria dos computadores vendidos hoje usa uma versão aprimorada do IDE chamada Enhanced Integrated
Drive Electronics (EIDE). Unidades IDE se conectam a PCs usando uma placa adaptadora de host IDE. O
controlador IDE em computadores modernos é um recurso embutido na placa-mãe. EIDE é uma extensão da
interface IDE que suporta os padrões ATA-2 e ATA Packet Interface (ATAPI). A placa-mãe contém dois tipos
de soquetes EIDE. Um soquete conecta duas unidades, ou seja, cabos de 80 fios para discos rígidos rápidos
e um cabo de fita de 40 pinos para CD-ROMs/DVD-ROMs. IDE aprimorado ou expandido é uma interface
eletrônica padrão que conecta a placa-mãe de um computador às suas unidades de armazenamento. O EIDE
pode endereçar um disco rígido maior que 528 Mbytes, permite acesso rápido ao disco rígido e fornece
suporte para acesso direto à memória (DMA) e unidades adicionais, como dispositivos de fita e unidades de
CD-ROM. Ao atualizar um sistema de computador com um disco rígido maior, o controlador EIDE é inserido
no slot da placa do sistema. O EIDE acessa unidades maiores que 528 Mbytes usando um endereço de bloco
lógico (LBA) de 28 bits para indicar as localizações reais do cabeçote, setor e cilindro dos dados do disco. O
LBA de 28 bits fornece informações suficientes para identificar setores exclusivos em um dispositivo de
armazenamento com capacidade de 8,4 GB.
ÿ Serial ATA
Serial ATA (SATA) oferece um canal ponto a ponto entre a placa-mãe e a unidade.
Os cabos em SATA são mais curtos do que os em PATA. Utiliza cabos blindados de quatro fios de até 1 m
de comprimento. Os cabos SATA são mais flexíveis, mais finos e mais leves do que os cabos de fita
necessários para os discos rígidos PATA convencionais.
o Fácil de configurar
o Transfere dados a uma taxa de 1,5 Gbps (SATA revisão 1.0) e 6 Gbps (SATA revisão 3)
A conectividade da unidade e da placa-mãe por meio de um canal ponto a ponto SATA é baseada na
tecnologia de sinalização serial. Essa tecnologia permite a transferência de dados a uma taxa de
aproximadamente 1,5 Gbps em um modo de canal half-duplex.
ÿ SCSI
SCSI é um conjunto de interfaces eletrônicas padrão ANSI que permite que computadores pessoais se
comuniquem com hardware periférico, como unidades de disco, unidades de fita, unidades de CD-ROM,
Módulo 03 Página 102 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
impressoras e scanners. Adotados pela Apple Computer, Inc. e ainda usados no Macintosh, os atuais
conjuntos de SCSIs são interfaces paralelas. As portas SCSI continuam disponíveis como um recurso
integrado em vários PCs atualmente e são suportadas por todos os principais sistemas operacionais. Além
de fornecer taxas de dados mais rápidas, o SCSI é mais flexível do que as interfaces de transferência de
dados paralelas anteriores. O SCSI permite que até 7 ou 15 dispositivos (dependendo da largura do
barramento) sejam conectados a uma única porta SCSI em cadeia. Isso permite que uma placa de circuito ou
placa acomode todos os periféricos, em vez de ter uma placa separada para cada dispositivo, tornando-a uma
interface ideal para uso com computadores portáteis e notebooks. Um único adaptador de host, na forma de
um cartão de PC, pode servir como uma interface SCSI para um laptop, liberando as portas paralela e serial
para uso com um modem externo e impressora, além de permitir o uso de outros dispositivos.
SCSI-1 6 5 8
SCSI-2 6 5-10 8 ou 16
Wide SCSI-2 3 20 16
Ultra-2 SCSI 12 40 8
Ultra-3 (Ultra160/m)
12 160 16
SCSI
Serial Attached SCSI (SAS) é um protocolo serial ponto a ponto que lida com o fluxo de dados entre
dispositivos de armazenamento de computador, como HDDs e unidades de fita. É o sucessor do Parallel
SCSI e usa o conjunto de comandos SCSI padrão.
Módulo 03 Página 103 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
O SAS é escolhido em vez do SCSI devido à sua flexibilidade e outros recursos benéficos, conforme explicado abaixo:
o Enquanto o padrão SCSI paralelo mais recente pode suportar no máximo apenas 16 dispositivos, o SAS faz uso de
expansores e pode suportar até 65.535 dispositivos
o Como o SAS é uma tecnologia ponto-a-ponto, não é afetado por problemas de contenção de recursos, que eram
comuns em SCSI paralelo
ÿ SSD PCIe
Um SSD PCIe é uma placa de expansão serial de alta velocidade que integra o flash diretamente na placa-mãe.
Esses dispositivos se conectam à máquina host por meio de seu próprio link serial, eliminando a necessidade de
compartilhar um barramento, reduzindo a latência e aprimorando as velocidades de transferência de dados entre um
servidor e o armazenamento. A velocidade da transferência de dados é determinada pelo número de pistas PCIe por
SSD. O PCIe 5.0 foi lançado em 29 de maio de 2019 e possui uma largura de banda de 32 GT/s (~128 GB/s),
tornando-o ideal para aplicativos como inteligência artificial, aprendizado de máquina, jogos, computação visual,
armazenamento e rede.
Non-Volatile Memory Express (NVMe) é um protocolo de armazenamento desenvolvido para memória flash NAND e
SSDs de alto desempenho que usam tecnologia de slot de cartão PCIe. Com seu sistema de enfileiramento paralelo,
o NVMe supera as limitações do SATA e outras opções de armazenamento SSD.
Ele pode lidar com cargas de trabalho mais pesadas, reduzir a latência e oferecer melhor suporte de fila do que SSDs
SATA/Advanced Host Controller Interface (AHCI), aumentando significativamente o desempenho e mitigando os
gargalos da CPU. Atualmente, o NVMe oferece suporte a três fatores de forma: placas PCIe adicionais, SSDs M.2 e
SSDs U.2 de 2,5 polegadas.
Módulo 03 Página 104 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Fluxo do módulo
Explique o lógico
Estrutura de um disco
Entenda o processo de
inicialização do Windows, Linux e
Sistemas operacionais Mac Entenda Vários Arquivos
Sistemas de Windows,
Linux e Mac
Examine o arquivo Sistemas operacionais
Sistema
Módulo 03 Página 105 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
A estrutura lógica de um disco rígido depende principalmente dos sistemas de arquivos usados e do software, como
o sistema operacional. Esses fatores controlam e definem o processo de acesso aos dados no disco rígido. Os
sistemas operacionais usam diferentes tipos de sistemas de arquivos, e esses sistemas de arquivos usam vários
outros tipos de mecanismos de controle e acesso para dados no disco rígido. Os sistemas operacionais organizam
o mesmo disco rígido de várias maneiras diferentes. A estrutura lógica do disco rígido influencia diretamente a
consistência, desempenho, compatibilidade e capacidade de expansão dos subsistemas de armazenamento do disco rígido.
Módulo 03 Página 106 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Clusters
O processo pelo qual os arquivos são alocados para clusters é chamado de alocação;
portanto, os clusters também são conhecidos como unidades de alocação
No sistema de arquivos File Allocation Table (FAT), os clusters vinculados a um arquivo acompanham
os dados do arquivo na tabela de alocação de arquivos do disco rígido
Clusters
Clusters são as menores unidades de armazenamento acessíveis em um disco rígido. Os sistemas de arquivos
dividem o volume de dados armazenados no disco em partes discretas de dados para desempenho ideal e uso
eficiente do disco. Clusters são formados pela combinação de setores para facilitar o processo de manipulação de
arquivos. Também chamados de unidades de alocação, os clusters são conjuntos de trilhas e setores que variam do
cluster número 2 ao 32 ou superior, dependendo do esquema de formatação. Os sistemas de alocação de arquivos
devem ser flexíveis para alocar os setores necessários aos arquivos. A alocação pode ser do tamanho de um setor por
cluster. Qualquer processo de leitura ou gravação consome um espaço mínimo de um cluster.
Para armazenar um arquivo, o sistema de arquivos deve atribuir o número necessário de clusters a ele. O tamanho do
cluster depende inteiramente do volume do disco e varia de 4 a 64 setores. Em alguns casos, o tamanho do cluster
pode ser de 128 setores. Os setores localizados em um cluster são contínuos. Portanto, cada cluster é um pedaço
contínuo de espaço no disco rígido. Em um cluster, quando o sistema de arquivos armazena um arquivo menor que o
tamanho do cluster, o espaço extra é desperdiçado e é chamado de espaço livre.
Módulo 03 Página 107 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Tamanho do cluster
Tamanho do cluster
O dimensionamento do cluster tem um impacto significativo no desempenho de um sistema operacional e na utilização do disco. O
particionamento de disco determina o tamanho de um cluster e volumes maiores usam tamanhos de cluster maiores. O sistema pode
alterar o tamanho do cluster de uma partição existente para aprimorar o desempenho. Se o tamanho do cluster for 8192 bytes, o
sistema de arquivos aloca um cluster inteiro para armazenar um arquivo de 5000 bytes. Se o tamanho do arquivo for 10.000 bytes, o
sistema de arquivos alocará dois clusters totalizando 16.384 bytes no espaço de armazenamento. Portanto, o tamanho do cluster
desempenha um papel vital na maximização do uso eficiente do disco. O uso de um tamanho de cluster grande diminui o problema
de fragmentação, mas aumenta muito as chances de espaço não utilizado.
O sistema de arquivos em execução no computador mantém as entradas do cluster. Os clusters formam cadeias no disco usando
números contínuos, para os quais não é necessário armazenar um arquivo inteiro em um bloco contínuo no disco. O sistema de
arquivos pode armazená-lo em partes localizadas em qualquer lugar do disco, bem como movê-lo para qualquer lugar após a criação
do arquivo. Esse encadeamento de cluster é invisível para o sistema operacional.
Os usuários podem alterar o tamanho do cluster somente ao reformatar a unidade.
ÿ Clique com o botão direito do mouse na unidade que deseja formatar e selecione Formatar
ÿ
Na caixa de diálogo Formatar, escolha o tamanho da unidade de alocação que a unidade recém-formatada deve usar. O
tamanho do cluster pode variar de 512 bytes a 4096 bytes
Módulo 03 Página 108 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Clusters Perdidos
Quando o sistema operacional marca clusters como usados, mas não os aloca
01 para nenhum arquivo, esses clusters são conhecidos como clusters perdidos
Clusters Perdidos
Um cluster perdido é um erro da tabela de alocação de arquivos (FAT) que ocorre quando o sistema operacional marca os clusters
como usados, mas não aloca nenhum arquivo para eles. O erro se origina do processo usado pelo sistema de arquivos FAT para
atribuir espaços e agrupar arquivos. É principalmente um erro de estrutura lógica e não um erro de disco físico. Os clusters perdidos
ocorrem quando o usuário não fecha os arquivos corretamente ou desliga um computador sem fechar um aplicativo. Esses erros
também ocorrem devido a corrupções de disco, como drivers ruins e conflitos de recursos. Os sistemas operacionais marcam esses
clusters como em uso, embora não tenham arquivos atribuídos ou vinculados a eles. Os programas de verificação de disco podem
examinar um volume de disco completo em busca de clusters perdidos. Para detectar clusters perdidos, pode-se usar um programa
que pode salvá-los como um arquivo ou limpá-los. O último gera e vincula arquivos artificiais a esses clusters. Este método resultará
em danos ao arquivo recém-formado; no entanto, os dados órfãos são visíveis e é possível recuperar algumas partes desses dados.
Os programas de verificação de disco podem verificar o sistema do computador em busca de clusters perdidos usando o procedimento
a seguir.
ÿ É gerada uma cópia duplicada na memória do FAT observando todos os clusters marcados
como “em uso”.
ÿ A partir do diretório raiz, os clusters utilizados por um arquivo são rastreados e marcados como “contabilizados” para conectá-
los ao arquivo. Este procedimento é repetido para todos os subdiretórios.
ÿ Clusters perdidos ou clusters “órfãos” são marcados no FAT como sendo usados, mas não têm link para
qualquer arquivo.
Módulo 03 Página 109 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Chkdsk.exe ou Check Disk é um utilitário interno do Windows que ajuda a detectar erros no sistema de
arquivos e na mídia do disco. O utilitário Check Disk deve ser usado no caso de problemas como telas azuis
e dificuldade para abrir ou salvar arquivos ou pastas. Este utilitário também verifica setores defeituosos e
clusters perdidos.
ÿ Digite chkdsk no prompt de comando para executar o utilitário Check Disk no modo somente leitura
ÿ Depois de concluir uma verificação, o utilitário Check Disk exibirá o status da unidade atual
Módulo 03 Página 110 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Espaço livre
Slack space é a área de Se o tamanho do arquivo for menor que o tamanho Por exemplo, se o tamanho da partição for
armazenamento de um disco entre o do cluster, um cluster completo ainda será de 4 GB, cada cluster terá 32 KB de tamanho.
final de um arquivo e o final de um atribuído a esse arquivo. O espaço não utilizado Mesmo que um arquivo exija apenas 10 KB, todos
cluster restante é chamado de espaço slack. os 32 KB serão alocados para esse arquivo,
Espaço livre
O espaço livre é a área desperdiçada de um cluster de disco entre o final de um arquivo e o final do cluster; ele é criado
quando o sistema de arquivos aloca um cluster completo para um arquivo menor que o tamanho do cluster. Um grande
número de arquivos e um grande tamanho de cluster resultam em espaço em disco desperdiçado devido à falta de
espaço. Os sistemas de arquivos DOS e Windows usam clusters de tamanho fixo. O tamanho consumido por um
arquivo dentro de um cluster é independente do armazenamento de dados, embora o sistema de arquivos reserve todo
o espaço dentro de um cluster para um arquivo. As versões mais antigas do Windows e do DOS usavam uma tabela
de alocação de 16 bits, resultando em um grande tamanho de cluster para grandes partições. Por exemplo, se o
tamanho de cada partição for 4 GB, o tamanho de cada cluster for 32 KB e um arquivo exigir apenas 10 KB, o sistema
alocará um cluster inteiro de 32 KB, resultando em 22 K de espaço disponível.
Para eliminar essa ineficiência, o sistema usa o particionamento. Outra abordagem para reduzir o espaço ocioso é usar
o New Technology File System (NTFS), que permite clusters muito menores em grandes partições do que o FAT. O
arquivamento de arquivos usados com pouca frequência também pode usar a compactação para reduzir a folga. À
medida que o tamanho dos discos aumenta, o problema do espaço slack ganha importância.
Módulo 03 Página 111 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ RAM slack: RAM slack é o espaço de armazenamento de dados que começa do final de um arquivo até o
fim do último setor do arquivo
ÿ Folga na unidade : A folga na unidade é o espaço de armazenamento de dados que começa no final do último setor
de um arquivo até o final do último cluster do arquivo
No campo da investigação forense, o espaço livre é uma importante forma de prova. Muitas vezes, o slack space pode conter informações
suspeitas relevantes exigidas por um promotor para apresentar como prova no tribunal. Por exemplo, se o suspeito excluiu os arquivos de
um cluster de disco rígido inteiro e salvou novos arquivos, que preencheram metade do cluster, a outra metade pode não estar vazia. Ele
pode conter os dados dos arquivos excluídos. Os examinadores forenses podem coletar esses dados usando ferramentas forenses de
computador.
Módulo 03 Página 112 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
1 3
Um registro mestre de inicialização (MBR) Na prática, MBR quase sempre se refere
é o primeiro setor ("setor zero") de um ao setor de inicialização de 512 bytes (ou
dispositivo de armazenamento de dados , setor de partição) de um disco
como um disco rígido
2 4
As informações sobre os arquivos no MBR é usado para o seguinte:
disco, suas localizações e tamanhos e Segurando uma tabela de partição que se refere às
outros dados importantes são armazenados partições de um disco rígido
no arquivo MBR
Inicializando um sistema operacional
Master Boot Record (MBR) refere-se ao primeiro setor de um disco rígido ou setor zero, que especifica a localização de
um sistema operacional para o sistema carregar no armazenamento principal. O MBR também é chamado de setor de
partição ou tabela de partição mestre, pois contém uma tabela que localiza os dados do disco particionado. Um programa
no registro carrega o restante do sistema operacional na RAM.
Um arquivo MBR contém informações sobre vários arquivos presentes no disco, suas localizações e tamanhos. Na
prática, MBR quase sempre se refere ao setor de inicialização de 512 bytes ou setor de partição de um disco. Os
comandos fdisk/MBR ajudam na criação do MBR no Windows e no DOS. Quando um computador é inicializado, o BIOS
se refere a esse primeiro setor para instruções do processo de inicialização e informações sobre como carregar o
sistema operacional.
ÿ Reconhecimento distinto de mídia de disco rígido individual com uma assinatura de disco de 32 bits
ÿ Tabela de Partição
Uma tabela de partição é uma estrutura de dados de 64 bytes que armazena informações sobre os tipos de
partições presentes no disco rígido e suas localizações. Esta tabela possui um layout padrão que não depende
do sistema operacional. Ele é capaz de descrever apenas quatro partições, que são partições primárias ou
físicas. Todas as outras partições são partições lógicas vinculadas a uma das partições primárias.
Módulo 03 Página 113 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
O código mestre de inicialização é um pequeno código de computador que o sistema carrega no BIOS e
executa para iniciar o processo de inicialização do sistema. Após a execução, o sistema transfere os controles
para o programa de inicialização presente na partição ativa para carregar o SO.
Módulo 03 Página 114 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Master Boot Code ou Boot Strap – É um código executável e responsável por carregar o SO na memória do
computador. Consiste em uma estrutura de dados de 446 bytes.
ÿ Assinatura de Disco – Localiza-se no final do MBR e contém apenas 2 bytes de dados. Isto
é exigido pelo BIOS durante a inicialização.
Módulo 03 Página 115 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Os sistemas que executam Windows e DOS usam o arquivo MBR para armazenar as informações sobre os arquivos no disco. Muitos produtos
substituem o arquivo MBR fornecido pelo sistema operacional da Microsoft. Algumas ferramentas utilitárias de terceiros são úteis durante a
instalação de dois ou mais sistemas operacionais em um disco. Os investigadores precisam de muitas ferramentas de aquisição de dados para
investigação forense, pois um produto de fornecedor pode não ser confiável para tarefas forenses de computador. No UNIX/Linux, o comando dd
Restaurando MBR
Módulo 03 Página 116 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Partições de disco
ÿ O particionamento de disco é a criação de divisões lógicas em um dispositivo de armazenamento (HDD/SSD) para permitir que o usuário
aplique a formatação lógica específica do sistema operacional
ÿ É uma unidade que contém as informações ÿ É uma unidade lógica que contém as
em relação ao sistema operacional, área do sistema informações sobre dados e arquivos armazenados no
e outras informações necessárias para inicializar disco
Partições de disco
ÿ Partição primária: É a unidade que contém informações sobre o sistema operacional, a área do sistema e
outras informações necessárias para inicializar. No MS-DOS e versões anteriores dos sistemas Microsoft
Windows, a primeira partição (C:) deve ser uma partição primária.
ÿ Partição estendida: É a unidade lógica que contém informações sobre os dados e arquivos armazenados no
disco. Várias ferramentas estão disponíveis para examinar partições de disco. Algumas ferramentas de
edição de disco são Disk Edit, WinHex e Hex Workshop. Essas ferramentas permitem que os usuários
visualizem os cabeçalhos dos arquivos e informações importantes sobre os arquivos. Ambos os recursos
requerem a análise dos códigos hexadecimais que um sistema operacional identifica e usa para manter o
sistema de arquivos.
Módulo 03 Página 117 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
partição ÿ Descreve o layout físico de um volume de armazenamento de dados, como o número de cabeçotes e o tamanho das trilhas na unidade ÿ BPB
em sistemas de arquivos como como FAT12 (exceto em DOS 1.x), FAT16, FAT32, HPFS (High Performance File System) e NTFS (New Technology
File System) define a estrutura do sistema de arquivos
ÿ O comprimento do BPB varia para setores de inicialização FAT16, FAT32 e NTFS devido aos diferentes tipos de campos e à quantidade de dados armazenados
Formato do bloco de parâmetros do BIOS completo DOS 7.1 estendido (79 bytes) para FAT32: NTFS - Formato de BPB Estendido para NTFS (73 bytes):
Deslocamento do setor Compensação do PIB Deslocamento do setor Compensação do PIB Comprimento do campo Descrição
Comprimento do campo Descrição
0x00B 0x00 25 BYTEs DOS 3.31 BPB 0x00B 0x00 25 BYTEs DOS 3.31 BPB
0x024 0x19 DWORD Setores lógicos por FAT 0x024 0x19 BYTE Número da unidade física (idêntico ao DOS 3.4 EBPB)
0x028 0x1D PALAVRA Espelhamento de bandeiras etc. 0x025 0x1A BYTE Sinalizadores etc. (idêntico ao DOS 3.4 EBPB)
0x02A 0x1F PALAVRA Versão
Assinatura de inicialização estendida (0x80 também
0x026 0x1B BYTE
0x02C 0x21 Cluster do diretório raiz DWORD conhecido como "8.0") (semelhante ao DOS 3.4 EBPB e DOS 4.0 EBPB)
0x030 0x25 PALAVRA Localização do setor de informações do sistema de arquivos 0x027 0x1C BYTE Reservado
0x032 0x27 PALAVRA Localização do(s) setor(es) de backup 0x028 0x1D QWORD Setores em volume
0x034 0x29 12 BYTEs Reservado (nome do arquivo de inicialização)
0x030 0x25 QWORD Primeiro número de cluster da MFT (mestre tabela de arquivos)
0x040 0x35 BYTE Sinalizadores de número de
0x038 0x2D QWORD Primeiro número de cluster do espelho MFT
0x041 0x36 BYTE unidade física, etc.
0x040 0x35 DWORD tamanho do registro MFT
0x042 0x37 BYTE Assinatura de inicialização estendida (0x29)
0x044 0x39 DWORD Tamanho do bloco de índice
0x043 0x38 Número de série do volume DWORD
0x047 0x3C 11 BYTEs Rótulo de volume 0x048 0x3D QWORD Número de série do volume
O bloco de parâmetros do BIOS (BPB) é uma estrutura de dados situada no setor 1 no registro de inicialização
de volume (VBR) de um disco rígido e explica o layout físico de um volume de disco. Em dispositivos
particionados, como discos rígidos, descreve a partição do volume, enquanto em dispositivos não particionados,
descreve todo o meio. Qualquer partição que inclua disquetes pode usar o BPB, que também descreve a
arquitetura básica do sistema de arquivos. O comprimento do BPB varia entre os sistemas de arquivos listados
(ou seja, FAT16, FAT32 e NTFS) porque diferentes sistemas de arquivos armazenam diferentes volumes de
dados e mantêm diferentes tipos de campos no BPB. O BPB auxilia os investigadores a localizar a tabela de
arquivos no disco rígido.
Formato do bloco de parâmetros do BIOS completo DOS 7.1 estendido (79 bytes) para FAT32:
Módulo 03 Página 118 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Módulo 03 Página 119 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Usos Comuns:
Nas tabelas do banco de dados, os GUIDs são usados como valores de chave primária
O Globally Unique Identifier (GUID) é um número exclusivo de 128 bits gerado pelo sistema operacional Windows para
identificar um dispositivo específico, um documento, uma entrada de banco de dados e/ou o usuário. Em geral, os GUIDs
são exibidos como 32 dígitos hexadecimais com grupos separados por hifens. Por exemplo, ao navegar em um site, um
GUID é gerado e atribuído ao navegador, o que ajuda a rastrear e registrar a sessão de navegação do usuário. O sistema
operacional Windows atribui um GUID ao registro para reconhecer bibliotecas de vínculo dinâmico (DLLs) do Component
Object Model (COM), bem como para contas de usuário por nome de usuário (domínio).
Usos Comuns:
ÿ
No Registro do Windows, GUIDs são usados para identificar DLLs COM (Component Object Model) (bibliotecas
de vínculo dinâmico)
ÿ
Nas tabelas do banco de dados, os GUIDs são usados como valores de chave primária
ÿ
Em alguns casos, um site pode atribuir um GUID ao navegador de um usuário para registrar e rastrear a sessão
Módulo 03 Página 120 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Módulo 03 Página 121 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Ele usa um sistema de partição conhecido como GUID Partition Table (GPT), que substitui o LBA 1 Cabeçalho GPT Primário principal
GPT
LBA 3
Entradas 5-128
Vantagens do layout de disco GPT:
LBA 34
Partição 1
Suporta até 128 partições e usa endereços
de bloco lógico (LBAs) de 64 bits
Partição 2
secundário
GPT
Entradas 5-128
Fornece tabelas de partições primárias e LBA-2
O GUID é um esquema de particionamento padrão para discos rígidos e uma parte da Unified Extensible Firmware
Interface (UEFI), que substitui as interfaces de firmware BIOS herdadas. A UEFI usa sistemas de interface de
partição que superam as limitações do esquema de particionamento MBR.
O esquema de partição MBR usa 32 bits para armazenar endereços de bloco lógico (LBAs) e as informações de
tamanho em setores de 512 bytes. Semelhante aos MBRs modernos, os GPTs usam o endereçamento de bloco
lógico (LBA) em vez do endereçamento do setor da cabeça do cilindro (CHS). Na tabela de partição GUID (GPT),
cada bloco lógico é de 512 bytes e cada entrada de partição é de 128 bytes; o endereçamento negativo dos blocos
lógicos começa no final do volume, com -1 endereçando o último bloco endereçável.
LBA 0 armazena o MBR protetor, LBA 1 contém o cabeçalho GPT e o cabeçalho GPT compreende um ponteiro para
a tabela de partições ou Partition Entry Array no LBA 2.
A UEFI atribui 16.384 bytes para o Partition Entry Array. Como o disco possui setores de 512 bytes com uma matriz
de entrada de partição de 16.384 bytes e um tamanho mínimo de 128 bytes para cada entrada de partição, o LBA
34 é o primeiro setor utilizável.
ÿ A partição GPT e os dados de inicialização são mais seguros que o MBR porque o GPT armazena dados em
vários locais em um disco
ÿ Usa somas de verificação CRC32 que detectam erros no cabeçalho e na tabela de partições
Módulo 03 Página 122 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Módulo 03 Página 123 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Fluxo do módulo
Explique o lógico
Estrutura de um disco
Entenda o processo de
inicialização do Windows, Linux e
Sistemas operacionais Mac Entenda Vários Arquivos
Sistemas de Windows,
Linux e Mac
Examine o arquivo Sistemas operacionais
Sistema
Módulo 03 Página 124 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Qual é o
processo de inicialização?
Tipos de Inicialização
ÿ A inicialização refere-se ao processo de iniciar ou
reiniciar o sistema operacional quando o usuário Inicialização fria (inicialização rígida)
liga um sistema de computador
ÿ É o processo de iniciar um computador a partir de um
ou fora do estado
ÿ Carrega o SO (armazenado no disco rígido) para a
RAM (memória de trabalho) Inicialização a quente (inicialização suave)
A inicialização refere-se ao processo de iniciar ou reiniciar o sistema operacional quando o usuário liga um sistema de
computador. O processo inclui a inicialização do hardware e do software.
ÿ Cold boot (Boot rígido): Este processo ocorre quando o usuário liga o computador pela primeira vez.
Também chamado de hard boot, é necessário depois que o usuário corta completamente a fonte de alimentação
do sistema.
ÿ Warm boot (Soft boot): É o processo de reinicialização de um computador que já está ligado. Uma inicialização a
quente pode ocorrer quando o sistema encontra um erro de programa ou requer uma reinicialização para fazer
determinadas alterações após a instalação de um programa, etc.
Durante o processo de inicialização, o computador carrega o sistema operacional em sua memória ou RAM e o prepara
para uso. Durante a inicialização, o sistema liga o BIOS e o carrega na RAM. O BIOS armazena a primeira instrução, que
é o comando para realizar o autoteste de inicialização (POST).
No POST, o sistema verifica o chip do BIOS e a RAM do semicondutor de óxido de metal complementar (CMOS).
Se o POST não detectar nenhuma falha na bateria, ele continuará a iniciar outras partes do sistema verificando os
dispositivos de hardware e os dispositivos de armazenamento secundário.
Módulo 03 Página 125 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Kernel32.dll
Advapi32.dll
Arquivos DLL do subsistema Win32
User32.dll
Gdi32.dll
Após a instalação de um sistema operacional, o programa de instalação cria pastas e os arquivos necessários na
unidade do sistema.
Ntkrnlpa.exe Executive e kernel com suporte para Physical Address Extension (PAE)
Kernel32.dll
Advapi32.dll
Arquivos DLL do subsistema Win32
User32.dll
Gdi32.dll
Módulo 03 Página 126 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Os sistemas operacionais Windows XP, Vista e 7 ligam e inicializam usando o método BIOS-MBR tradicional
ÿ Os sistemas operacionais a partir do Windows 8 e superior usam o método BIOS-MBR tradicional ou mais recente
Método UEFI-GPT de acordo com a escolha do usuário
BCD
HAL.DLL WIN32K.SYS WINRESUME.EXE Configuração de inicialização
Dados
NTOSKRNL.EXE NTOSKRNL.EXE
(Fase 1)
NTOSKRNL.EXE (Fase 0) (Descarte de Inicialização da Fase 1) SMSS.EXE WINLOGON.EXE LSASS.EXE
(HallnitializeBios) (Hallnit System)
(KillnitializeKernel) (OblnitSystem)
Os sistemas operacionais Windows XP, Vista e 7 ligam e inicializam usando o método BIOS-MBR convencional,
enquanto o Windows 8 e versões posteriores usam o método BIOS-MBR convencional ou o
método UEFI-GPT mais recente de acordo com a escolha do usuário.
Abaixo está detalhado o processo que ocorre dentro do sistema quando ele é ligado.
1. Quando o usuário liga o sistema, a CPU envia um sinal de potência boa para o
placa-mãe e verifica o firmware do BIOS do computador
2. O BIOS inicia um autoteste de inicialização (POST), que verifica se todo o hardware necessário para a
inicialização do sistema está disponível e carrega todas as configurações de firmware da memória não volátil
na placa-mãe
Módulo 03 Página 127 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
3. Se o POST for bem-sucedido, os adaptadores complementares executam um autoteste para integração com o sistema
4. O processo de pré-inicialização é concluído com POST, detectando um disco de inicialização do sistema válido
5. Após o POST, o firmware do computador verifica o disco de inicialização e carrega o registro mestre de inicialização (MBR), que
procura informações básicas de inicialização em Boot Configuration Data (BCD)
8. Depois que o Kernel começa a ser executado, o carregador do Windows carrega hal.dll, drivers de dispositivo de classe de inicialização
marcado como BOOT_START e a seção de registro do SISTEMA na memória
9. O kernel passa o controle do processo de inicialização para o Session Manager Process (SMSS.exe), que carrega todas as outras
seções de registro e drivers necessários para configurar o ambiente de execução do subsistema Win32
10. O Session Manager Process aciona o Winlogon.exe, que apresenta a tela de login do usuário
para autorização do usuário
11. O Processo do Gerenciador de Sessão inicia o Gerenciador de Controle de Serviço, que inicia todos os serviços, o restante dos
drivers de dispositivo não essenciais, o subsistema de segurança LSASS.EXE e os scripts de Diretiva de Grupo
12. Depois que o usuário faz login, o Windows cria uma sessão para o usuário
13. O Service Control Manager inicia o explorer.exe e inicia o processo Desktop Window Manager (DMW), que inicializa a área de
trabalho para o usuário
Módulo 03 Página 128 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Módulo 03 Página 129 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
UEFI-GPT
Inicializar
Carregar e Full OS
Inicializar GPT / Bota
Kernel do sistema
Modo de usuário
nível baixo executar operacional inicial núcleo
MBR carregador
processar
firmware aquecer aquecer
drivers EFI
hardware
Serviços do Kernel
Serviços UEFI
hardware
O gerenciador de inicialização EFI controla o processo de inicialização UEFI. Começa com a inicialização do firmware da plataforma; o
gerenciador de inicialização carrega drivers UEFI e aplicativos UEFI (incluindo carregadores de inicialização UEFI OS) para inicializar as
funções da plataforma.
O sistema carrega o carregador do sistema operacional no estágio final, após o qual o sistema operacional inicia a inicialização. Depois que o
sistema operacional recebe os controles, ele interrompe o serviço de inicialização UEFI.
Módulo 03 Página 130 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
O processo de inicialização UEFI tem as cinco fases a seguir, cada uma com sua própria função.
ÿ Fase de segurança
A fase de segurança ou SEC do EFI consiste no código de inicialização que o sistema executa após ligar
o sistema EFI. Ele gerencia eventos de reinicialização da plataforma e configura o sistema para que ele
possa localizar, validar, instalar e executar a inicialização pré-EFI (PEI).
A fase PEI inicializa a CPU, a memória permanente e o volume do firmware de inicialização (BFV).
Ele localiza e executa os módulos de pré-inicialização (PEIMs) presentes no BFV para inicializar todo o
hardware encontrado no sistema. Por fim, cria uma Hand-Off Block List (HOBL) com todos os recursos
encontrados e descritores de interface e passa para a próxima fase, ou seja, a fase DXE.
A maior parte da inicialização ocorre nesta fase. Ao usar o HOBL, o Driver Execution Environment (DXE)
inicializa toda a memória física do sistema, E/S e recursos de E/S mapeados por memória (MIMO) e,
finalmente, começa a despachar os drivers DXE presentes nos volumes de firmware do sistema (dados
em o HOBL). O núcleo DXE produz um conjunto de serviços de inicialização EFI e serviços de tempo de
execução EFI. Os serviços de inicialização EFI alocam memória e carregam imagens executáveis. Os
serviços de tempo de execução da EFI convertem os endereços de memória de físicos para virtuais,
entregam-nos ao kernel e redefinem a CPU para o código em execução no ambiente EFI ou no kernel do
sistema operacional, assim que a CPU assume o controle do sistema.
Nesta fase, o Boot Device Selection (BDS) interpreta os dados de configuração de inicialização e seleciona
a política de inicialização para implementação posterior. Esta fase trabalha com o DXE para verificar se os
drivers de dispositivo requerem verificação de assinatura.
Nesta fase, o sistema carrega o código de inicialização MBR na memória para uma inicialização BIOS
herdada ou carrega o programa bootloader da partição EFI para uma inicialização UEFI. Ele também
oferece uma opção para o usuário escolher o shell EFI ou um aplicativo UEFI como dispositivo de
inicialização na configuração.
ÿ Fase de execução
Nesse ponto, o sistema limpa o programa UEFI da memória e o transfere para o sistema operacional.
Durante a atualização do UEFI BIOS, o sistema operacional chama o serviço de tempo de execução usando uma pequena parte
da memória.
Módulo 03 Página 131 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Get-GPT
ÿ Analisa a estrutura de dados GPT contida nos primeiros setores do
dispositivo especificado
Método alternativo:
ÿ Abra o aplicativo “Gerenciamento do computador” e clique em “Gerenciamento de disco” no painel esquerdo. Clique com o botão direito do mouse no disco principal (aqui, Disco 0)
e, em seguida, clique em Propriedades.
ÿ Na janela Propriedades do dispositivo, clique na guia “Volumes” para visualizar o estilo de partição
http:// www.invoke-ir.com
http:// www.invoke-ir.com
Módulo 03 Página 132 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Get-PartitionTable
ÿ Determina o tipo de setor de inicialização (MBR ou GPT) e retorna a partição correta
objeto (PartitionEntry ou GuidPartitionTableEntry)
http:// www.invoke-ir.com
O comando Get-GPT ajuda o investigador a analisar a estrutura de dados GPT do disco rígido. Requer
o uso do parâmetro -path, que usa o namespace do dispositivo Win32 (por exemplo, \\.
\PHYSICALDRIVE1) para o dispositivo do qual deve analisar o GPT.
Caso o investigador use o cmdlet Get-GPT em um disco formatado com um MBR, uma mensagem de
erro será exibida, solicitando que o usuário execute o cmdlet Get-MBR.
Módulo 03 Página 133 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Método alternativo
Get-BootSector
O cmdlet Get-BootSector pode ajudar o investigador a analisar GPTs de ambos os tipos de discos rígidos, incluindo
aqueles formatados com UEFI ou MBR. Este comando atua como um substituto para Get MBR e Get-GPT. Get-
BootSector analisa o primeiro setor do disco rígido, determina o tipo de formatação usado e analisa o GPT.
Get-PartitionTable
Este cmdlet analisa a tabela de partição GUID para localizar o tipo exato de setor de inicialização (MBR ou GPT) e
exibe o objeto de partição.
Módulo 03 Página 134 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Módulo 03 Página 135 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Exemplo: ferramenta DiskPart (Windows), utilitário OS X Disk (Mac), ferramenta GNU Parted (Linux)
Sleuthkit (comando mmls) pode ser usado para visualizar o layout de partição detalhado para um disco GPT
Como alternativa, detalhes sobre o cabeçalho GPT e as entradas de partição podem ser obtidos por meio de análise manual usando um editor hexadecimal
A maioria dos sistemas operacionais que suportam acesso ao disco GPT tem uma ferramenta de particionamento básica,
que exibe detalhes sobre as tabelas de partição GPT. No Windows, ferramentas como a ferramenta DiskPart exibem
detalhes da partição, enquanto os sistemas Mac usam o utilitário OS X Disk e o Linux usa a ferramenta GNU Parted.
Módulo 03 Página 136 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
O comando Sleuth Kit mmls pode ajudar os investigadores a visualizar o layout detalhado da partição para o disco
GPT, juntamente com os detalhes do MBR. Como alternativa, os investigadores podem coletar detalhes sobre o
cabeçalho GPT e as entradas de partição por meio da análise manual da unidade de disco usando um cálculo
hexadecimal ou uma ferramenta de edição chamada editor hexadecimal.
Módulo 03 Página 137 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Artefatos GPT
Partições GUID excluídas e substituídas
Caso 1:
ÿ Se o disco MBR for reparticionado ou convertido em GPT, o setor zero será geralmente substituído por um MBR protetor
ÿ Para recuperar dados de volumes previamente particionados por MBR, os investigadores podem usar métodos forenses padrão usados para realizar uma extensa
procurar por sistemas de arquivos
Caso 2:
ÿ Se o disco GPT for reparticionado ou convertido em MBR, o cabeçalho GPT e as tabelas podem permanecer intactos com base na ferramenta usada
ÿ A implementação de ferramentas gerais de exclusão de partição em um disco GPT pode excluir apenas o MBR protetor, que pode ser recriado simplesmente
reconstruindo o disco
De acordo com as especificações UEFI, se todos os campos em uma entrada de partição forem zerados, isso significa que a entrada não está em uso. Nesse caso, a recuperação de
dados de entradas de partição GUID excluídas não é possível
Identificadores GUID
ÿ O esquema GPT fornece GUIDs de valor investigativo, pois são únicos e contêm informações potencialmente úteis
ÿ Os investigadores podem usar ferramentas como uuid para decodificar várias versões de GUID/UUID
ÿ Intrusos podem ocultar dados em discos GPT como fazem em discos MBR tradicionais
ÿ Os locais nos discos GPT onde os dados podem estar ocultos são lacunas entre partições, espaço não particionado próximo ao final do disco, cabeçalho GPT e
áreas reservadas
ÿ Os métodos e ferramentas forenses atuais para realizar a análise GPT são insatisfatórios
Artefatos GPT
Caso 1: Em discos rígidos, a conversão ou repartição de MBR para GPT geralmente substitui o setor zero por um MBR
protetor, que exclui todas as informações sobre a tabela de partição antiga.
Os investigadores devem seguir os métodos forenses padrão de pesquisa nos sistemas de arquivos para recuperar dados
sobre os volumes particionados por MBR anteriores.
Caso 2: Quando ocorre uma conversão ou repartição de GPT para MBR, o cabeçalho GPT e as tabelas podem permanecer
intactos com base na ferramenta usada. Os investigadores podem facilmente recuperar ou analisar os dados dessas
partições de disco.
A implementação de ferramentas gerais de exclusão de partição para a exclusão de uma partição em um disco GPT pode
excluir apenas o MBR protetor, que os investigadores podem recriar facilmente simplesmente reconstruindo o disco.
De acordo com a especificação UEFI, se todos os campos em uma entrada de partição tiverem valores zerados, a entrada
não estará em uso. Nesse caso, a recuperação de dados de entradas de partição GUID excluídas não é possível.
GUIDs
ÿ O esquema GPT fornece GUIDs de valor investigativo, pois são únicos e potencialmente
retém informações sobre todo o disco e cada partição dentro dele
ÿ Os investigadores podem usar ferramentas como o identificador único universal (UUID) para decodificar
várias versões de GUID/UUID
Módulo 03 Página 138 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Intrusos podem ocultar dados em discos GPT da mesma forma que fazem em discos MBR convencionais usando
esquemas de particionamento de disco flexíveis e extensíveis. Os locais nos discos GPT onde os dados podem estar
ocultos são lacunas entre partições, espaço não particionado no final do disco, cabeçalho GPT e áreas reservadas.
Outros artefatos podem incluir cabeçalhos GPT manipulados que criam locais para ocultar dados, LBAs iniciais e finais
mal colocados, bem como áreas com tags reservadas. Os métodos e ferramentas forenses atuais para realizar a
análise GPT são insatisfatórios.
Módulo 03 Página 139 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Lenda
Inicialize a partir da lista ordenada de
Código de Inicialização
Binários EFI
Os carregadores EFI OS são executados
Gerenciador de Inicialização
API - Especificado
ÿ O processo de inicialização do Macintosh começa com a ativação do BootROM, que inicializa o hardware do sistema e
seleciona um sistema operacional para executar
ÿ Uma vez que o sistema Macintosh é ligado, o BootROM executa o POST para testar algumas interfaces de hardware
necessárias para a inicialização
ÿ Em computadores Macintosh baseados em PowerPC, o Open Firmware inicializa o restante das interfaces de hardware
Módulo 03 Página 140 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Em computadores Macintosh baseados em Intel, o EFI inicializa o restante das interfaces de hardware
ÿ Uma vez concluída a operação do BootROM, o controle passa para o boot loader BootX (PowerPC) ou boot.efi (Intel), que
está localizado no diretório /System/Library/CoreServices
ÿ
Se o arquivo de cache mkext também estiver ausente, o carregador de inicialização procurará drivers no
Diretório /Sistema/Biblioteca/Extensões
ÿ O kit I/O usa a árvore de dispositivos para vincular os drivers carregados ao kernel
Módulo 03 Página 141 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Corre
BIOS PUBLICAR
Bem sucedido
Procura por
teste
estágio do BIOS
Estágio do bootloader
Aponta para
Initrd arquivos
sistema
Prepara
para
real
de
o
Aquecer
imagem processar
Corre
raiz virtual daemons
LinuxrcComment
FS do sistema
O fluxo do processo de inicialização do Linux começa com o BIOS, que procura por dispositivos ativos e inicializáveis.
O sistema inicializa o Linux a partir do dispositivo de armazenamento primário no qual o MBR contém o carregador de inicialização primário.
Módulo 03 Página 142 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Estágio BIOS
O primeiro estágio do processo de inicialização do Linux é o estágio do BIOS. Ele inicializa o hardware do
sistema durante o processo de inicialização. O BIOS recupera as informações armazenadas no chip de
semicondutor de óxido de metal complementar (CMOS), que é um chip de memória operado por bateria
na placa-mãe que contém informações sobre a configuração de hardware do sistema. Durante o processo
de inicialização, o BIOS executa um POST para garantir que todos os componentes de hardware do
sistema estejam operacionais. Após um POST bem-sucedido, o BIOS começa a procurar a unidade ou
disco que contém o sistema operacional em uma sequência padrão. Se o primeiro dispositivo listado não
estiver disponível ou não estiver funcionando, ele verifica o próximo e assim por diante. Uma unidade é
inicializável apenas se tiver o MBR em seu primeiro setor, conhecido como setor de inicialização. O disco
rígido do sistema atua como o disco de inicialização principal, e a unidade óptica funciona como o disco
de inicialização secundário para inicializar o sistema operacional caso o disco de inicialização principal falhe.
ÿ Estágio do Bootloader
O estágio bootloader inclui a tarefa de carregar o kernel do Linux e o disco RAM inicial opcional. O kernel
permite que a CPU acesse a RAM e o disco. O segundo software precursor é uma imagem de um sistema
de arquivo virtual temporário chamado imagem initrd ou RAMdisk inicial. Agora, o sistema se prepara para
implantar o sistema de arquivos raiz real. Em seguida, ele detecta o dispositivo que contém o sistema de
arquivos e carrega os módulos necessários. A última etapa do estágio do bootloader é carregar o kernel
na memória.
ÿ Fase do Kernel
Uma vez que o controle muda do estágio do carregador de inicialização para o estágio do kernel, o sistema
de arquivos raiz virtual criado pela imagem initrd executa o programa Linuxrc. Este programa gera o
sistema de arquivos real para o kernel e depois remove a imagem initrd. O kernel então procura por um
novo hardware e carrega qualquer driver de dispositivo adequado encontrado. Posteriormente, ele monta
o sistema de arquivos raiz real e executa o processo init. O init lê o arquivo “/etc/inittab” e usa este arquivo
para carregar o restante dos daemons do sistema. Isso prepara o sistema e o usuário pode fazer login e
começar a usá-lo. Bootloaders típicos para Linux são Linux Loader (LILO) e Grand Unified Bootloader
(GRUB). Esses gerenciadores de inicialização permitem que o usuário selecione qual kernel do sistema
operacional carregar durante o tempo de inicialização.
Módulo 03 Página 143 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Fluxo do módulo
Explique o lógico
Estrutura de um disco
Entenda o processo de
inicialização do Windows, Linux e
Sistemas operacionais Mac Entenda Vários Arquivos
Sistemas de Windows,
Linux e Mac
Examine o arquivo Sistemas operacionais
Sistema
Módulo 03 Página 144 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
O sistema operacional Windows usa sistemas de arquivos como FAT, FAT32, NTFS, etc. O NTFS armazena metadados
de arquivos e pastas em um arquivo de sistema chamado Master File Table (MFT). Examinar o arquivo $MFT fornece
informações como tempos de MAC, nome do arquivo, localização do arquivo, etc., que são de interesse forense. Os
investigadores forenses também devem possuir conhecimento sobre alocação e exclusão de arquivos que os ajude a
recuperar dados perdidos durante a investigação.
Módulo 03 Página 145 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
O sistema de arquivos FAT é usado com DOS e foi o primeiro sistema de arquivos usado com o sistema operacional Windows
É nomeado por seu método de organização, a tabela de alocação de arquivos, que reside no início do volume
O FAT possui três versões (FAT12, FAT16 e FAT32), que diferem quanto ao tamanho das entradas na estrutura do FAT
35
FAT12 1,5 Menos de 4087 clusters EOF
Grupo 35
Entre 65.526 e
FAT32 4 Relação entre as estruturas de entrada de
268.435.456 clusters, inclusive diretório, clusters e estrutura FAT
A File Allocation Table (FAT), projetada em 1976, é um sistema de arquivos para muitos sistemas operacionais,
como DOS, Windows e OpenDOS. Projetado para pequenos discos rígidos e uma estrutura de pastas simples, o
sistema de arquivos FAT recebe esse nome devido à forma como organiza as pastas e uma tabela de alocação
de arquivos, que armazena todos os arquivos e fica no início do volume. O FAT possui três versões (FAT12,
FAT16 e FAT32), que diferem quanto ao tamanho das entradas na estrutura do FAT.
Grupo 34
Arquivo1.dat 4.000 bytes Grupo 34
35
EOF
Grupo 35
Figura 3.27: Relação entre as estruturas de entrada de diretório, clusters e estrutura FAT
O FAT cria duas cópias da tabela de alocação de arquivos para proteger o volume contra danos. A tabela de
alocação de arquivos e a pasta raiz são armazenadas em um local permanente. O volume formatado usando o
sistema de arquivos FAT forma um cluster e o tamanho do volume formatado determina o tamanho do cluster. O
sistema ajusta o número do cluster para o sistema de arquivos FAT em 16 bits e o número do cluster
Módulo 03 Página 146 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
está na potência de dois. Dispositivos que implementam FAT incluem memória flash, câmeras digitais e outros dispositivos
portáteis. Quase todos os sistemas operacionais instalados em computadores pessoais implementam o sistema de
arquivos FAT.
Módulo 03 Página 147 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
O New Technology File System (NTFS) é um dos sistemas de arquivos mais recentes suportados pelo Windows. É um
sistema de arquivos de alto desempenho que se repara sozinho; ele oferece suporte a vários recursos avançados, como
segurança em nível de arquivo, compactação e auditoria. Ele também oferece suporte a soluções de armazenamento de
grandes e poderosos volumes, como discos de auto-recuperação.
O NTFS fornece segurança de dados, pois tem a capacidade de criptografar ou descriptografar dados, arquivos ou pastas.
Ele usa um método de nomenclatura de conjunto de caracteres Unicode de 16 bits para arquivos e pastas. Este atributo do
NTFS permite que usuários em todo o mundo gerenciem seus arquivos em seus idiomas nativos. Além disso, tem tolerância
a falhas para o sistema de arquivos. Se o usuário fizer alguma modificação ou alteração nos arquivos, o NTFS anota todas as
alterações em arquivos de log específicos. Se o sistema travar, o NTFS usa esses arquivos de log para restaurar o disco
rígido a uma condição confiável com perda mínima de dados. O NTFS também utiliza o conceito de metadados e tabelas de
arquivos principais. Os metadados contêm informações sobre os dados armazenados no
computador. Uma tabela de arquivo mestre também contém as mesmas informações de forma tabular, mas em comparação com os
metadados, essa tabela tem menos capacidade de armazenamento de dados.
O NTFS usa o formato de dados Unicode. A seguir estão as diferentes versões do NTFS:
ÿ v1.0 (encontrado no Windows NT 3.1), v1.1 (Windows NT 3.5) e v1.2 (Windows NT 3.51 e
WindowsNT 4)
ÿ v3.1 (encontrado no Windows XP, Windows Server 2003, Windows Vista e Windows 7)
Módulo 03 Página 148 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ NTFS usa o esquema de diretório b-tree para armazenar informações sobre clusters de arquivos
ÿ O NTFS armazena as informações sobre os clusters de um arquivo e outros dados dentro do cluster
ÿ Uma lista de controle de acesso (ACL) permite que o administrador do servidor acesse arquivos específicos
Módulo 03 Página 149 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Arquitetura NTFS
NTFS.sys Por
OS Inscrição
Arquitetura NTFS
No momento da formatação do volume do sistema de arquivos, o sistema cria Master Boot Record.
Ele contém algum código executável chamado código mestre de inicialização e informações sobre a tabela de
partições do disco rígido. Quando um novo volume é montado, o registro mestre de inicialização executa o código
de inicialização mestre executável. NO NTFS, todos os arquivos são armazenados em clusters e possuem seus
atributos individuais. Componentes como nome, tamanho ou dados armazenados em um arquivo são considerados
atributos. Assim, a estrutura interna do NTFS é semelhante à de um banco de dados em que todos os arquivos são
tratados como objetos pelo sistema operacional.
ÿ Master Boot Record: Contém código executável de inicialização mestre que o sistema do computador
BIOS carrega na memória; este código é usado para escanear o Master Boot Record para localizar a tabela
de partições para descobrir qual partição está ativa/inicializável
Módulo 03 Página 150 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Setor de inicialização: Também conhecido como registro de inicialização de volume (VBR), é o primeiro setor encontrado em um
Sistema de arquivos NTFS que armazena o código de inicialização e outras informações, como o tipo, localização e tamanho
dos dados no sistema de arquivos NTFS
ÿ Ntldlr.dll: Como gerenciador de inicialização, ele acessa o sistema de arquivos NTFS e carrega o conteúdo do
arquivo boot.ini
ÿ Modo Kernel: É o modo de processamento que permite que o código executável tenha acesso direto
acesso a todos os componentes do sistema
Módulo 03 Página 151 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
$attrref Contém definições de todos os atributos do volume definidos pelo sistema e pelo usuário
Muitos arquivos de sistema são armazenados no diretório raiz de um volume NTFS; esses arquivos contêm metadados
do sistema de arquivos.
Módulo 03 Página 152 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
O Encrypting File System (EFS) foi introduzido pela primeira vez na versão 3.0 do NTFS e
oferece criptografia no nível do sistema de arquivos
Descriptografia
Essa tecnologia de criptografia mantém um nível de transparência para o usuário que Criptografado com a chave pública do
Campo
proprietário do arquivo
de recuperação 1
Cabeçalho
Chave de Criptografia de Arquivo
Dados
Depois que um usuário termina com o arquivo, a política de criptografia Criptografado com a chave pública do agente
Recuperação
•A
• .
•C
•c
Quando qualquer usuário não autorizado tenta acessar um arquivo criptografado, o acesso
é negado
Dados criptografados
Para proteger os arquivos contra manuseio incorreto e garantir sua segurança, o sistema deve criptografá-los.
Para essa finalidade, o NTFS possui o Sistema de Arquivos com Criptografia (EFS) como um recurso integrado. A criptografia
em sistemas de arquivos usa tecnologia de criptografia de chave simétrica com tecnologia de chave pública para criptografia.
O usuário obtém um certificado digital com um par de chaves composto por uma chave pública e uma chave privada. Uma
chave privada não é aplicável para usuários logados em sistemas locais; em vez disso, o sistema usa EFS para definir uma
chave para usuários locais.
Essa tecnologia de criptografia mantém um nível de transparência para os usuários que criptografaram um arquivo.
Os usuários não precisam descriptografar um arquivo quando o acessam para fazer alterações. Além disso, após o usuário
concluir o trabalho em um arquivo, o sistema salva as alterações e restaura automaticamente a política de criptografia.
Quando qualquer usuário não autorizado tenta acessar um arquivo criptografado, ele recebe uma mensagem de “Acesso
negado”. Para ativar os recursos de criptografia e descriptografia em um sistema operacional baseado no Windows NT, o
usuário deve definir atributos de criptografia para arquivos e pastas que deseja criptografar ou descriptografar. O sistema
criptografa automaticamente todos os arquivos e subpastas em uma pasta. Para aproveitar ao máximo o recurso de
criptografia, os especialistas recomendam que o sistema tenha criptografia no nível da pasta. Isso implica que uma pasta não
deve conter arquivos criptografados simultaneamente com arquivos não criptografados.
Os usuários podem criptografar manualmente um arquivo ou pasta usando a interface gráfica do usuário (GUI) do Windows,
usando uma ferramenta de linha de comando como o Cipher ou por meio do Windows Explorer selecionando as opções
apropriadas no menu.
A criptografia é importante para arquivos confidenciais em um sistema, e o NTFS usa criptografia para proteger os arquivos
contra acesso não autorizado e garantir um alto nível de segurança. O sistema emite uma criptografia de arquivo
Módulo 03 Página 153 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
certificado sempre que um usuário criptografa um arquivo. Se o usuário perder esse certificado e a chave privada
relacionada (através de um disco ou qualquer outro motivo), ele poderá executar a recuperação de dados por meio do
agente de chave de recuperação. Em redes baseadas no Windows 2000 Server, que mantêm o serviço Active Directory,
o administrador de domínio é o agente de recuperação por padrão. A preparação para a recuperação dos arquivos
ocorre com antecedência, antes mesmo que o usuário ou o sistema os criptografe. O agente de recuperação possui
um certificado especial e uma chave privada relacionada, que ajudam na recuperação de dados.
Descriptografia
Criptografado com a chave pública do
Campo
proprietário do arquivo
de recuperação 1
Cabeçalho
Chave de Criptografia de Arquivo
Dados
Criptografado com a chave pública do agente
Recuperação
de recuperação 2 (opcional)
Campos
•A
• .
•C
• c
Dados criptografados
Componentes do EFS
Módulo 03 Página 154 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Serviço EFS
O serviço EFS, que faz parte do subsistema de segurança, atua como uma interface com o driver EFS usando a porta
de comunicação de chamada de procedimento local (LPC) entre a Autoridade de Segurança Local (LSA) e o monitor
de referência de segurança do modo kernel.
Ele também atua como uma interface com CryptoAPI no modo de usuário para derivar chaves de criptografia de
arquivo para gerar campos de descriptografia de dados (DDFs) e campos de recuperação de dados (DRFs).
Este serviço também oferece suporte a interfaces de programação de aplicativos (APIs) Win32.
O serviço EFS usa CryptoAPI para extrair a chave de criptografia de arquivo (FEK) para um arquivo de dados e a usa
para codificar a FEK e produzir o DDF.
ÿ Controlador EFS
O driver EFS é um driver de filtro do sistema de arquivos empilhado sobre o NTFS. Ele se conecta ao serviço EFS
para obter chaves de criptografia de arquivos, DDFs, DRFs e outros serviços de gerenciamento de chaves.
Ele envia essas informações para a biblioteca de tempo de execução do sistema de arquivos EFS (FSRTL) para
executar funções do sistema de arquivos, como abrir, ler, gravar e anexar.
ÿ CriptoAPI
CryptoAPI contém um conjunto de funções que permitem aos desenvolvedores de aplicativos criptografar seus
aplicativos Win32; essas funções permitem que os aplicativos criptografem ou assinem dados digitalmente e ofereçam
segurança para dados de chave privada.
Ele oferece suporte a operações de chave pública e chave simétrica, como geração, gerenciamento e armazenamento
seguro, troca, criptografia, descriptografia, hash, assinaturas digitais e verificação de assinatura.
ÿ EFS FSRTL
O EFS FSRTL faz parte do driver EFS que implementa chamadas NTFS para lidar com várias operações do sistema
de arquivos, como leituras, gravações e aberturas em arquivos e diretórios criptografados, bem como operações para
criptografar, descriptografar e recuperar dados de arquivo quando o o sistema o grava ou o lê do disco.
O driver EFS e o FSRTL atuam como um único componente, mas nunca se comunicam diretamente. Eles se
comunicam entre si usando o mecanismo de chamada de controle de arquivo NTFS.
ÿ API Win32
O EFS fornece um conjunto de APIs para fornecer acesso a seus recursos; o conjunto API também fornece uma
interface de programação para operações como criptografia de arquivos de texto simples, descriptografia ou
recuperação de arquivos de texto cifrado e importação e exportação de arquivos criptografados sem descriptografia.
Módulo 03 Página 155 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Arquivos Esparsos
ÿ Arquivos esparsos fornecem um método ÿ Se o NTFS marcar um arquivo como esparso, ele ÿ Dados não definidos do arquivo são representados
de economizar espaço em disco para atribui um cluster de disco rígido apenas para os por espaço não alocado no disco
arquivos, permitindo que o subsistema de E/ dados definidos pelo aplicativo
S aloque apenas dados significativos
(diferentes de zero)
Sem conjunto de atributos de arquivo esparso Com conjunto de atributos de arquivo esparso
Dados esparsos
Dados esparsos (zeros)
(zeros) 10
10 gigabytes
gigabytes
Espaço em
disco usado Espaço em disco
Dados significativos
Dados significativos
7 gigabytes
7 gigabytes
Arquivos Esparsos
Um arquivo esparso é um tipo de arquivo de computador que tenta usar o espaço do sistema de arquivos com mais
eficiência quando os blocos alocados para o arquivo estão quase vazios. Para melhorar a eficiência, o sistema de arquivos
grava informações resumidas (metadados) sobre o arquivo nos blocos vazios para preencher o bloco usando uma pequena
quantidade de espaço em disco.
Os arquivos esparsos oferecem uma técnica de economia de espaço em disco, permitindo que o subsistema de E/S aloque
apenas dados significativos (diferentes de zero). Em um arquivo NFTS esparso, os clusters são designados para os dados
que um aplicativo define; no caso de dados não definidos, o sistema de arquivos marca o espaço como não alocado.
Módulo 03 Página 156 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Módulo 03 Página 157 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
O sistema operacional Linux usa diferentes sistemas de arquivos para armazenar dados. Como os investigadores podem
encontrar fontes de ataque ou sistemas de vítimas executando o Linux, eles devem ter conhecimento abrangente sobre os
métodos de armazenamento que ele emprega. A próxima seção fornece informações detalhadas sobre os vários sistemas de
arquivos do Linux e seus mecanismos de armazenamento.
Módulo 03 Página 158 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Aplicativos de usuário
Espaço do usuário
Biblioteca GNU C
cache Cache do
de inode Sistema de arquivos virtuais
diretório
Cache de buffer
Drivers de dispositivos
1. Espaço do usuário
É a área de memória protegida onde os processos do usuário são executados, e esta área contém a memória disponível.
Módulo 03 Página 159 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
2. Espaço do kernel
É o espaço de memória onde o sistema fornece todos os serviços do kernel através dos processos do kernel. Os
usuários podem acessar esse espaço apenas por meio de uma chamada do sistema. Um processo de usuário se
transforma em um processo de kernel somente quando executa uma chamada de sistema.
A GNU C Library (glibc) fica entre o espaço do usuário e o espaço do kernel e fornece a interface de chamada do sistema que
conecta o kernel aos aplicativos do espaço do usuário.
O sistema de arquivos virtual (VFS) é uma camada abstrata sobre um sistema de arquivos completo. Ele permite que aplicativos
cliente acessem vários sistemas de arquivos. Sua arquitetura interna consiste em uma camada de despacho, que fornece abstração
do sistema de arquivos e vários caches para aprimorar o desempenho das operações do sistema de arquivos.
Os principais objetos gerenciados dinamicamente no VFS são os objetos dentry e inode; esses objetos são gerenciados em cache
para aumentar a velocidade de acesso ao sistema de arquivos. Depois que um usuário abre um arquivo, o cache dentry é
preenchido com entradas que representam os níveis de diretório, que por sua vez representam o caminho. O sistema também cria
um inode para o objeto que representa o arquivo. O sistema desenvolve um cache dentry usando uma tabela hash e aloca as
entradas do cache dentry do alocador de slab dentry_cache. O sistema usa um algoritmo menos usado recentemente (LRU) para
remover as entradas quando a memória é escassa.
O cache inode atua como duas listas e uma tabela hash para pesquisa rápida. A primeira lista define os inodes usados, e os não
usados são posicionados na segunda lista. A tabela de hash também armazena os inodes usados.
Drivers de dispositivo são trechos de código vinculados a todos os dispositivos físicos ou virtuais e ajudam o sistema operacional
a gerenciar o hardware do dispositivo. As funções dos drivers de dispositivo incluem configurar o hardware, obter os dispositivos
relacionados dentro e fora dos serviços, obter dados do hardware e fornecê-los ao kernel, transferir dados do kernel para o
dispositivo e identificar e lidar com erros do dispositivo.
Módulo 03 Página 160 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Diretório Descrição
/bin Binários de comando essenciais; por exemplo, gato, ls, cp
/casa Os diretórios pessoais dos usuários, que contêm arquivos salvos, configurações pessoais, etc.
/proc Sistema de arquivos virtual que fornece informações de processo e kernel como arquivos
Informações sobre processos em execução; por exemplo, daemons em execução, atualmente logados
O Filesystem Hierarchy Standard (FHS) define a estrutura de /corre
Em usuários
diretórios e seu conteúdo em sistemas operacionais Linux e Unix-like /sbin Contém os arquivos binários necessários para trabalhar
O Linux possui uma única estrutura de árvore hierárquica que representa o sistema de arquivos como uma única
entidade. Ele suporta muitos sistemas de arquivos diferentes e implementa um conjunto básico de conceitos comuns,
que foram originalmente desenvolvidos para UNIX.
Alguns tipos de sistema de arquivos Linux são Minix, Filesystem Hierarchy Standard (FHS), ext, ext2, ext3, xia, MS-
DOS, UMSDOS, VFAT, /proc, NFS, ISO 9660, HPFS, SysV, SMB e NCPFS. O Minix foi o primeiro sistema de arquivos
do Linux.
ÿ O Filesystem Hierarchy Standard (FHS) define a estrutura de diretórios e seu conteúdo em sistemas operacionais
Linux e Unix-like
ÿ
No FHS, todos os arquivos e diretórios estão presentes no diretório raiz (representado por /)
Diretório Descrição
Os diretórios pessoais dos usuários, que contêm arquivos salvos, configurações pessoais,
/casa
etc.
Módulo 03 Página 161 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Tabela 3.8: Tabela de apresentação de diretórios e sua descrição específica para ESF
Módulo 03 Página 162 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
O sistema de arquivos estendido (ext) é o primeiro sistema Tem um tamanho máximo de partição de
de arquivos para o sistema operacional Linux a superar 1 2 2 GB e um tamanho máximo de nome
certas limitações do sistema de arquivos Minix de arquivo de 255 caracteres
O sistema de arquivo estendido (ext), ou o primeiro sistema de arquivo estendido, lançado em abril de 1992, foi o
primeiro sistema de arquivo a superar as limitações impostas pelo sistema de arquivo Minix. Ele foi originalmente
desenvolvido como uma extensão do sistema de arquivos Minix para superar algumas de suas limitações, como
tamanho máximo de partição de 64 MB e nomes de arquivos curtos. O sistema de arquivos ext fornece um tamanho
máximo de partição de 2 GB e um tamanho máximo de nome de arquivo de 255 caracteres. A principal limitação
desse sistema de arquivos é que ele não oferece suporte para acesso separado, modificação de inode e registros
de data e hora de modificação de dados. Ele mantém uma lista não classificada de blocos e inodes livres e
fragmentou o sistema de arquivos.
O sistema de arquivos ext possui uma estrutura de metadados inspirada no UNIX File System (UFS). Outras
desvantagens desse sistema de arquivos incluem a presença de apenas um registro de data e hora e listas
vinculadas para espaço livre, o que resultou em fragmentação e baixo desempenho. Ele foi substituído pelo segundo
sistema de arquivos estendido (ext2).
Módulo 03 Página 163 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Remy Card desenvolveu o segundo sistema de arquivos estendido (ext2) como um sistema de arquivos extensível e
poderoso para Linux. Sendo o sistema de arquivos de maior sucesso até agora na comunidade Linux, o Ext2 é a
base para todas as distribuições Linux atualmente disponíveis.
O sistema de arquivos ext2 foi desenvolvido com base no princípio de armazenamento de dados na forma de blocos
de dados do mesmo tamanho. Embora o comprimento possa variar entre diferentes sistemas de arquivos ext2, o
tamanho do bloco de um sistema de arquivos ext2 é definido durante sua criação. Suas principais deficiências são o
risco de corrupção do sistema de arquivos ao gravar no ext2 e a falta de registro no diário.
O sistema arredonda cada tamanho de arquivo para um número inteiro de blocos. Se o tamanho do bloco for de 1024
bytes, um arquivo de 1025 bytes ocupará dois blocos de 1024 bytes. Nem todos os blocos no sistema de arquivos
contêm dados; alguns devem conter informações que descrevam a estrutura do sistema de arquivos. O sistema de
arquivos ext2 define a topologia do sistema de arquivos descrevendo cada arquivo no sistema com uma estrutura de
dados inode.
Um inode descreve os blocos ocupados pelos dados dentro de um arquivo, bem como os direitos de acesso do
arquivo, os tempos de modificação do arquivo e o tipo de arquivo. Um único inode descreve cada arquivo no sistema
de arquivos ext2 e cada inode possui um único número exclusivo que o identifica.
As tabelas de inodes armazenam todos os inodes para o sistema de arquivos. Além disso, os diretórios ext2 são
simplesmente arquivos especiais (eles mesmos descritos por inodes) que contêm ponteiros para os inodes de suas
entradas de diretório.
Módulo 03 Página 164 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Superblocos
Um superbloco armazena informações sobre o tamanho e a forma do sistema de arquivos ext2. Essas informações
permitem que o gerenciador do sistema de arquivos use e gerencie o sistema de arquivos. Geralmente, o sistema lê
apenas o superbloco no grupo de blocos 0 quando o usuário monta o sistema de arquivos. No entanto, cada grupo de
blocos possui uma cópia duplicada se o sistema de arquivos for corrompido.
ÿ Número Mágico: Permite ao software de montagem verificar o Superblock para o arquivo ext2
sistema. Para a atual versão ext2, é 0xEF53.
ÿ Nível de revisão: Os níveis de revisão principais e secundários permitem que o código de montagem determine se
um sistema de arquivos oferece suporte a recursos que estão disponíveis apenas em revisões específicas do
sistema de arquivos. Há também campos de compatibilidade de recursos que ajudam o código de montagem a
determinar quais novos recursos podem ser usados com segurança no sistema de arquivos.
ÿ Contagem de montagens e contagem máxima de montagens: juntas, elas permitem que o sistema determine se
precisa verificar totalmente o sistema de arquivos. A contagem de montagem é incrementada cada vez que o
sistema monta o sistema de arquivos. Quando a contagem de montagens atinge a contagem máxima de
montagens, a mensagem de aviso “contagem máxima de montagens atingida, a execução de e2fsck é
recomendada” é exibida.
ÿ Número do grupo de blocos: É o número do grupo de blocos que contém a cópia do superbloco
ÿ Tamanho do bloco: Contém informações sobre o tamanho de um bloco para o sistema de arquivos em bytes
Módulo 03 Página 165 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Descritor de grupo
ÿ Bloco de bitmap
É o número de bloco do bitmap de alocação de bloco para o grupo de blocos. É usado na alocação e desalocação de
blocos.
É o número do bloco do bitmap de alocação de inode para o grupo de blocos. É usado na alocação e desalocação de
inodes.
ÿ Tabela de inodes
Todos os descritores de grupo juntos constituem a tabela de descritores de grupo. Cada grupo de blocos tem toda a
tabela de descritores de grupo.
Módulo 03 Página 166 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Recursos do ext3
Desenvolvido por Stephen Tweedie em 2001, o terceiro sistema de arquivos estendidos (ext3) é um sistema de arquivos
com diário usado no sistema operacional GNU/Linux. É a versão aprimorada do sistema de arquivos ext2. A principal
vantagem desse sistema de arquivos é o registro no diário, que melhora a confiabilidade do sistema do computador.
Ele pode ser montado e usado como um sistema de arquivos ext2 e pode fazer uso de todos os programas desenvolvidos
no sistema de arquivos ext2.
O tamanho máximo de um único arquivo ext3 varia de 16 GB a 2 TB, e o tamanho máximo de todo o sistema de arquivos
ext3 varia de 2 TB a 32 TB. O sistema de arquivos ext3 também oferece melhor integridade de dados. Ele garante que os
dados sejam consistentes com o estado do sistema de arquivos. Além disso, o ext3 é mais rápido que o ext2 porque o
recurso de diário otimiza o movimento do cabeçote dos HDDs. Ele também oferece uma escolha de três modos de diário,
que fornecem compensações entre maximizar a integridade dos dados e otimizar a velocidade.
O sistema de arquivos ext3 também é altamente confiável e tem a capacidade de converter partições ext2 em ext3 e vice-
versa sem a necessidade de reparticionamento e backup de dados.
Por exemplo, para converter um sistema de arquivos ext2 localizado na partição /dev/hda5 em um sistema de arquivos
ext3, o seguinte comando pode ser usado:
# /sbin/tune2fs -j /dev/hda5
Módulo 03 Página 167 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Características do Ext3
ÿ Integridade dos dados: fornece integridade de dados mais forte para eventos que ocorrem devido a desligamentos do sistema
de computador. Permite ao usuário escolher o tipo e nível de proteção dos dados recebidos.
ÿ Velocidade: Como o sistema de arquivos ext3 é um sistema de arquivos com registro em diário, ele tem uma taxa de
transferência mais alta na maioria dos casos do que o ext2. O usuário pode escolher a velocidade otimizada entre três modos
diferentes de registro no diário.
ÿ Transição fácil: O usuário pode alterar facilmente o sistema de arquivos de ext2 para ext3 e aumentar o desempenho do sistema
usando o sistema de arquivos de registro sem reformatação.
Módulo 03 Página 168 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Esses sistemas de arquivos consistem em um diário que registra todas as informações sobre as atualizações que estão prontas para serem
2 aplicadas ao sistema de arquivos antes de serem aplicadas. Esse mecanismo é conhecido como registro no diário.
O registro no diário evita a corrupção de dados restaurando os dados no disco rígido para o estado em que existiam antes da ocorrência de uma
3 falha no sistema ou falha de energia. Isso ajuda o sistema a retomar a conclusão de tarefas ou atualizações que foram interrompidas por um evento
inesperado.
ext3, ext4, ZFS e XFS são alguns dos exemplos de sistemas de arquivos de registro no Linux. Devido à sua
4 estabilidade, o ext4 é o sistema de arquivos mais comumente implementado em sistemas Linux.
Um sistema de arquivos com registro em diário refere-se a um sistema de arquivos que protege contra corrupção
de dados no caso de perda de energia ou falha do sistema. Ele mantém um diário, que é um arquivo especial onde
as alterações/atualizações são registradas antes de serem gravadas no sistema de arquivos para evitar a corrupção
dos metadados. Caso o sistema falhe ou perca energia durante as atualizações do sistema de arquivos, as
atualizações permanecem seguras porque são registradas no diário. Quando a fonte de alimentação do sistema é
restaurada ou quando o sistema retorna a um estado normal após uma falha do sistema, as atualizações que ainda
devem ser gravadas no sistema de arquivos são lidas do diário e gravadas no sistema de arquivos.
Um sistema de arquivos com registro em diário também restaura os dados no disco rígido para sua configuração
anterior à falha. Portanto, o mecanismo de diário elimina a possibilidade de perda de dados. ext3, ext4, ZFS e XFS
são alguns dos exemplos de sistemas de arquivos de registro no Linux. Devido à sua estabilidade, o ext4 é o
sistema de arquivos mais comumente implementado em sistemas Linux.
Módulo 03 Página 169 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ ext4 é um sistema de arquivos journaling desenvolvido como substituto do sistema de arquivos ext3 comumente usado
ÿ Com a incorporação de novos recursos, o ext4 tem vantagens significativas sobre os sistemas de arquivos ext3 e ext2 ,
particularmente em termos de desempenho, escalabilidade e confiabilidade
Características principais
,,
,,
Grupo 0 Grupo 63
,,
super Bloco de Desc Bloquear bloco Bloco de bitmap
Grupo 0 bloco do Grupo de bitmap inode
Tabela de inodes Bloco de dados
O quarto sistema de arquivo estendido (ext4) é um sistema de arquivo journaling desenvolvido como o sucessor do sistema
de arquivo ext3 comumente usado. Ele oferece melhor escalabilidade e confiabilidade do que o ext3 para suportar grandes
sistemas de arquivos de máquinas de 64 bits para atender às crescentes demandas de capacidade de disco.
O sistema de arquivos ext4 habilita barreiras de gravação por padrão e permite que os usuários montem um sistema de
arquivos ext3 como um sistema de arquivos ext4. O sistema de arquivos suporta Linux Kernel v2.6.19 em diante.
Módulo 03 Página 170 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Características principais
ÿ Tamanho do sistema de arquivos: Ext4 suporta tamanhos máximos de arquivos individuais de até 16 TB e tamanhos
máximos de volumes de cerca de 1 EiB (exbibyte)
ÿ Extensões: Substitui o esquema de mapeamento de bloco encontrado em ext2 e ext3 para aumentar o desempenho e
reduzir a fragmentação
ÿ Alocação atrasada: Melhora o desempenho e reduz a fragmentação, alocando efetivamente grandes quantidades de
dados por vez, atrasando a alocação até que o sistema libere os dados para o disco
ÿ Maior velocidade de verificação do sistema de arquivos (fsck): marca grupos e seções de blocos não alocados e pula
os elementos marcados durante a execução das verificações. Assim, ele suporta verificação mais rápida do sistema de
arquivos.
ÿ Soma de verificação do diário : usa somas de verificação no diário para melhorar a confiabilidade
ÿ Pré-alocação persistente: O sistema de arquivos pode pré-alocar o espaço em disco para um arquivo
escrevendo zeros para ele durante a criação
ÿ Carimbos de data e hora aprimorados: fornece carimbos de data e hora medidos em nanossegundos e tem suporte
para carimbos de data e hora criados
ÿ Compatibilidade com versões anteriores: O sistema de arquivos é compatível com versões anteriores e permite ao usuário
montar ext3 e ext2 como ext4
,,
Grupo de metablocos 0 Meta grupo de blocos n
,,
,,
Grupo 0 Grupo 63
,,
Módulo 03 Página 171 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
O macOS da Apple é um sistema operacional baseado em UNIX e usa uma abordagem diferente no armazenamento
de dados quando comparado ao Windows e Linux. Portanto, as técnicas forenses geralmente usadas para Windows
e Linux não podem ser aplicadas ao macOS. Os investigadores forenses devem possuir um conhecimento profundo
dos sistemas baseados em UNIX para realizar exames forenses em sistemas de arquivos macOS.
Esta seção discute os sistemas de arquivos usados por diferentes versões do macOS.
Módulo 03 Página 172 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ UFS é derivado do Berkeley Fast File System (FFS) que foi originalmente desenvolvido na Bell
Laboratórios da primeira versão do UNIX FS
Arquivo UNIX
Sistema (UFS) ÿ Todos os derivados BSD UNIX, incluindo FreeBSD, NetBSD, OpenBSD, NeXTStep e Solaris usam um
variante de UFS
Arquivo Hierárquico
ÿ Desenvolvido pela Apple Computer, Inc. para suportar macOS
Sistema (HFS)
HFS Plus ÿ HFS Plus (HFS+) é o sucessor do HFS e é usado como sistema de arquivos principal no Macintosh
Arquivo Apple
ÿ É um sistema de arquivos proprietário desenvolvido pela Apple Inc. para macOS 10.13 e versões posteriores
Sistema (APFS)
UNIX File System (UFS) é um sistema de arquivos utilizado por muitos sistemas operacionais UNIX e semelhantes a
UNIX. Derivado do Berkeley Fast File System, foi usado na primeira versão do UNIX desenvolvida no Bell Labs. Todos
os derivados do BSD UNIX, incluindo FreeBSD, NetBSD, OpenBSD, NeXTStep e Solaris, usam uma variante do UFS.
ÿ Desenho
o Alguns blocos no início da partição reservados para os blocos de inicialização, que devem ser inicializados
separadamente do sistema de arquivos
o Um superbloco, incluindo um número mágico que identifica o sistema de arquivos como UFS e alguns outros
números vitais que descrevem a geometria, as estatísticas e os parâmetros de ajuste comportamental
desse sistema de arquivos
Módulo 03 Página 173 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
A Apple desenvolveu o Hierarchical File System (HFS) em setembro de 1985 para oferecer suporte ao macOS em seu sistema
proprietário Macintosh e como um substituto para o Macintosh File System (MFS). O HFS divide um volume em blocos lógicos
de 512 bytes cada e agrupa esses blocos lógicos em blocos de alocação. Cada bloco de alocação pode armazenar um ou mais
blocos lógicos dependendo do tamanho total do volume.
O sistema de arquivos usa um valor de 16 bits para endereçar blocos de alocação, o que restringe o número de blocos de
alocação a 65.535.
1. Os blocos lógicos 0 e 1 do volume são os blocos de inicialização, que incluem informações de inicialização do sistema,
como nomes do sistema e arquivos shell, que são carregados na inicialização.
2. O bloco lógico 2 contém o Master Directory Block (MDB). O MDB contém uma ampla variedade de dados sobre o próprio
volume, como a data e os carimbos de data/hora da criação do volume; a localização de outras estruturas de volume,
como o bitmap de volume; e o tamanho das estruturas lógicas, como blocos de alocação. Uma duplicata do MDB
chamada Bloco de Diretório Mestre Alternativo (Alternate MDB) está localizada na extremidade oposta do volume no
penúltimo bloco lógico. O MDB alternativo destina-se principalmente ao uso por utilitários de disco e só é atualizado
quando o arquivo de catálogo ou o arquivo de estouro de extensões aumenta de tamanho.
3. O bloco lógico 3 é o bloco inicial do mapa de bits do volume, que controla os blocos de alocação em uso e os que estão
livres. Um bit no mapa representa cada bloco de alocação no volume. Se o bit estiver definido, o bloco está em uso;
caso contrário, o bloco está livre.
4. O Arquivo Overflow de Extensões é uma árvore B* que inclui extensões extras que armazenam informações sobre os
arquivos e os blocos de alocação a eles alocados, após o sistema utilizar as três extensões iniciais no Arquivo
Catálogo. As versões posteriores também adicionaram a capacidade do Extents Overflow File para armazenar
extensões que registram blocos defeituosos para evitar que uma máquina tente gravar neles.
5. O Arquivo de Catálogo é outra árvore B* que contém registros para todos os arquivos e diretórios armazenados no
volume. Ele armazena quatro tipos de registros. Cada arquivo consiste em um registro de encadeamento de arquivo
e um registro de arquivo, enquanto cada diretório contém um registro de encadeamento de diretório e um registro de
diretório. Um ID de nó de catálogo exclusivo ajuda a localizar os arquivos e diretórios no arquivo de catálogo.
HFS Plus
O Apple File System (APFS) substitui o HFS+ como o sistema de arquivos padrão para iOS 10.3 e versões posteriores. Este
sistema de arquivos atualizado inclui vários recursos, como clonagem (sem usar espaço em disco adicional), instantâneos,
compartilhamento de espaço livre entre volumes, suporte para esparso
Módulo 03 Página 174 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
arquivos, primitivos de salvamento seguro atômico e dimensionamento de diretório rápido. Ele é usado em todos os sistemas operacionais da
Apple, incluindo watchOS, tvOS, macOS e iOS.
Este sistema de arquivos de última geração foi projetado para aproveitar os dispositivos de armazenamento flash/SSD e o suporte nativo à
criptografia.
O APFS supera as principais desvantagens do sistema de arquivos mais antigo, HFS+, que são falta de funcionalidade, baixos níveis de
segurança, capacidade limitada e incompatibilidade com SSDs.
Módulo 03 Página 175 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
O HFS Plus (HFS+) é o sucessor do HFS e é um sistema de arquivos primário no Macintosh. Também é chamado de Mac OS Extended (HFS Extended)
e é um dos formatos usados no iPod da Apple. Ele suporta arquivos grandes e usa Unicode para nomear arquivos e pastas.
ÿ
Ele suporta arquivos de 64 bits de comprimento
ÿ
Ele permite nomes de arquivos com 255 caracteres de comprimento
ÿ
Ele usa uma tabela de alocação de 32 bits para a tabela de mapeamento, ao contrário da tabela de alocação de 16 bits no HFS
Também chamado de Mac OS Extended (HFS Extended), o HFS+ também é o sistema de arquivos usado em alguns iPods da Apple.
Módulo 03 Página 176 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
APFS (Apple File System), é um sistema de arquivos desenvolvido e introduzido pela Apple para macOS High Sierra e
versões posteriores, bem como iOS 10.3 e versões posteriores no ano de 2017. Ele substituiu todos os sistemas de arquivos
usados pela Apple e é adequado para todos Sistemas operacionais da Apple, incluindo iOS, watchOS, tvOS e macOS.
ÿ A camada do sistema de arquivos: consiste em estruturas de dados que armazenam informações como
metadados, conteúdo de arquivo e estruturas de diretório
O sistema de arquivos APFS oferece suporte a operações TRIM, atributos de arquivo estendidos, arquivos esparsos,
dimensionamento rápido de diretório, instantâneos, clonagem, alta granularidade de registro de data e hora e o recurso de
metadados copy-on-write. Ele supera as desvantagens do sistema de arquivos mais antigo, HFS+, que incluem falta de
funcionalidade, baixos níveis de segurança, capacidade limitada e incompatibilidade com SSDs.
Desvantagens
Unidades formatadas em APFS não são compatíveis com OS X 10.11 Yosemite e versões anteriores, o que torna difícil
para o usuário transferir arquivos de uma unidade APFS para versões mais antigas de dispositivos Mac.
Devido ao recurso “copy-on-write” e “fragmentação” dos arquivos copiados, o sistema de arquivos APFS não pode ser
usado em HDDs. Outras desvantagens do APFS incluem a falta de suporte a RAM não volátil (NVRAM) e a falta de
compactação e suporte para Apple Fusion Drives.
Módulo 03 Página 177 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Fluxo do módulo
Explique o lógico
Estrutura de um disco
Entenda o processo de
inicialização do Windows, Linux e
Sistemas operacionais Mac Entenda Vários Arquivos
Sistemas de Windows,
Linux e Mac
Examine o arquivo Sistemas operacionais
Sistema
Módulo 03 Página 178 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Sistema de arquivo
Análise usando
Autópsia
https:// www.sleuthkit.org
Autópsia é uma plataforma forense digital e interface gráfica para The Sleuth Kit® (TSK) e outras ferramentas forenses
digitais. Os examinadores de aplicação da lei, militares e corporativos o usam para investigar atividades em um computador.
Pode até ser usado para recuperar fotos do cartão de memória da câmera.
O Autopsy é uma plataforma de ponta a ponta com módulos integrados e de terceiros. Alguns dos módulos fornecem as
seguintes funções:
ÿ Análise da linha do tempo: interface gráfica avançada de visualização de eventos (tutorial em vídeo incluído)
ÿ Filtragem de hash: Sinaliza arquivos ruins conhecidos e ignora arquivos bons conhecidos
ÿ Pesquisa por palavra-chave : pesquisa por palavra-chave indexada para localizar arquivos que mencionam termos relevantes
ÿ Escultura de dados: Recupera arquivos excluídos de espaço não alocado usando PhotoRec
Módulo 03 Página 179 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Módulo 03 Página 180 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
O Sleuth Kit (TSK) é uma biblioteca e uma coleção de ferramentas de linha de comando que permitem a investigação de volume e dados do sistema
01 de arquivos
02 As ferramentas do sistema de arquivos permitem que você examine os sistemas de arquivos de um computador suspeito de maneira não intrusiva
Ele suporta partições DOS, partições BSD (rótulos de disco), partições Mac, fatias Sun (tabela de conteúdo de volume) e discos GPT
03
04 Ele analisa sistemas de arquivos raw (ou seja, dd), Expert Witness (ou seja, EnCase) e AFF e imagens de disco
05 Ele suporta os sistemas de arquivos NTFS, FAT, ExFAT, UFS 1, UFS 2, ext2, ext3, ext4, HFS, ISO 9660 e YAFFS2
Nota: Para realizar a análise, crie uma imagem forense .dd ou .E01 de um disco rígido ou pen drive usando ferramentas de imagem de disco. Aqui, criamos
uma imagem forense de um pen drive no formato .E01 usando o AccessData FTK Imager.
O Sleuth Kit® (TSK) é uma biblioteca e coleção de ferramentas de linha de comando que auxiliam na investigação de
imagens de disco. A funcionalidade principal do TSK permite ao usuário analisar dados de volume e sistema de arquivos.
As ferramentas do sistema de arquivos permitem que você examine os sistemas de arquivos de um computador suspeito
de maneira não intrusiva. As ferramentas do sistema de volume (gerenciamento de mídia) permitem examinar o layout dos
discos e outras mídias.
A estrutura do plug-in permite ao usuário incorporar módulos adicionais para analisar o conteúdo do arquivo e construir
sistemas automatizados. A biblioteca pode ser incorporada a ferramentas forenses digitais maiores, e as ferramentas de
linha de comando podem ser usadas diretamente para encontrar evidências. Ele suporta partições DOS, partições BSD
(rótulos de disco), partições Mac, fatias Sun (tabela de conteúdo de volume) e discos GPT. Ele analisa sistemas de arquivos
raw (ou seja, dd), Expert Witness (ou seja, EnCase) e AFF e imagens de disco.
Ele suporta os sistemas de arquivos NTFS, FAT, ExFAT, UFS 1, UFS 2, ext2, ext3, ext4, HFS, ISO 9660 e YAFFS2.
Nota: Para realizar a análise, crie uma imagem forense .dd ou .E01 de um disco rígido ou pen drive usando ferramentas de
imagem de disco. Aqui, criamos uma imagem forense de um pen drive no formato .E01 usando o AccessData FTK Imager.
ÿ Baixar ÿ Licenças
Módulo 03 Página 181 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
https:// x-ways.net
WinHex é um editor hexadecimal usado para computação forense, recuperação de dados, processamento de dados de
baixo nível e segurança de TI. É usado principalmente para inspecionar e editar todos os tipos de arquivos e para
recuperar arquivos excluídos ou dados perdidos de discos rígidos com sistemas de arquivos corrompidos ou de cartões
de memória de câmeras digitais.
Recursos:
ÿ Editor de disco para discos rígidos, disquetes, CD-ROMs, DVDs, arquivos ZIP, cartões SmartMedia, etc.
ÿ Suporte nativo para FAT12/16/32, exFAT, NTFS, Ext2/3/4, Next3®, CDFS e UDF
ÿ Editor de RAM, fornecendo acesso à RAM física e à memória virtual de outros processos
ÿ Interpretador de Dados
ÿ Clonagem de disco
Módulo 03 Página 182 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Criptografia AES de 256 bits, somas de verificação, CRC32, hashes (MD5, SHA-1, etc.)
Módulo 03 Página 183 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Resumo do Módulo
Este módulo discutiu os diferentes tipos de unidades de armazenamento e suas
características
Ele também discutiu o processo de inicialização dos sistemas operacionais Windows, Linux e Mac
Por fim, este módulo terminou com uma discussão detalhada sobre como examinar sistemas de
arquivos usando Autopsy e The Sleuth Kit
Resumo do Módulo
Este módulo discutiu os diferentes tipos de unidades de armazenamento e suas características.
Explicou a estrutura lógica de um disco. Ele também discutiu o processo de inicialização do Windows,
Linux e Mac OS. Além disso, este módulo discutiu os vários sistemas de arquivos do Windows, Linux
e Mac OS. Por fim, este módulo apresentou uma discussão detalhada sobre o exame de sistemas de
arquivos usando Autopsy e The Sleuth Kit.
Módulo 03 Página 184 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
MT
EC-Council
CE-Conselho
D FE
Digital
Digital
Forensics Essentials
Princípios Forenses
Módulo 04
Aquisição e Duplicação de Dados
Machine Translated by Google
Objetivos do módulo
Objetivos do módulo
A aquisição de dados é a primeira etapa proativa no processo de investigação forense. A aquisição de dados
forenses não envolve apenas a cópia de arquivos de um dispositivo para outro. Por meio da aquisição de dados
forenses, os investigadores visam extrair cada bit de informação presente na memória e no armazenamento do
sistema da vítima, a fim de criar uma cópia forense dessas informações.
Além disso, essa cópia forense deve ser criada de forma que a integridade dos dados seja preservada de forma
verificável e possa ser usada como prova no tribunal. Este módulo discute os conceitos fundamentais de
aquisição de dados e as várias etapas envolvidas na metodologia de aquisição de dados.
Ao concluir este módulo, o aluno deverá ter cumprido os seguintes objetivos de aprendizagem:
Fluxo do módulo
01 03
Entenda os dados Determinar os dados
Fundamentos de Aquisição Formato de Aquisição
04
02 Entenda os dados
Discutir diferentes tipos Metodologia de Aquisição
de aquisição de dados
Esta seção discute conceitos fundamentais na aquisição de dados e elabora a aquisição ativa e inativa.
Dados
Aquisição
ÿ Aquisição de dados é o uso de métodos estabelecidos para extrair informações armazenadas eletronicamente (ESI) de suspeitos
computador ou mídia de armazenamento para obter informações sobre um crime ou incidente
ÿ Os investigadores devem ser capazes de verificar a precisão dos dados adquiridos e o processo completo deve ser auditável
e aceitável no tribunal
Aquisição de dados
A aquisição de dados forenses é um processo de geração de imagens ou coleta de informações usando métodos
estabelecidos de várias mídias de acordo com certos padrões para seu valor forense. É o uso de métodos
estabelecidos para extrair informações armazenadas eletronicamente (ESI) de computadores suspeitos ou mídias
de armazenamento para obter informações sobre um crime ou incidente. Com o avanço da tecnologia, o processo
de aquisição de dados está se tornando cada vez mais preciso, simples e versátil. No entanto, os investigadores
precisam garantir que a metodologia de aquisição usada seja forense. Especificamente, a metodologia de aquisição
adotada deve ser verificável e repetível. Isso aumenta a admissibilidade dos dados ou evidências adquiridos no
tribunal.
Um fator fundamental a considerar na aquisição de dados forenses é o tempo. Embora os dados em algumas
fontes, como discos rígidos, permaneçam inalterados e possam ser coletados mesmo após o desligamento do
sistema, os dados em algumas fontes, como a RAM, são altamente voláteis e dinâmicos e, portanto, devem ser
coletados em tempo real. A partir dessa perspectiva, a aquisição de dados pode ser categorizada como aquisição
de dados ao vivo ou aquisição de dados mortos.
Na aquisição de dados ao vivo, os dados são adquiridos de um computador que já está ligado (travado ou em modo
de hibernação). Isso permite a coleta de dados voláteis que são frágeis e perdidos quando o sistema perde energia
ou é desligado. Esses dados residem em registros, caches e RAM. Além disso, dados voláteis como os da RAM
são dinâmicos e mudam rapidamente e, portanto, devem ser coletados em tempo real. Na aquisição de dados
mortos ou estáticos, são coletados dados não voláteis que permanecem inalterados no sistema mesmo após o
desligamento. Os investigadores podem recuperar esses dados de discos rígidos, bem como de espaço livre,
arquivos de troca e espaço em disco não alocado. Outras fontes de dados não voláteis incluem CD-ROMs, pen
drives USB, smartphones e PDAs.
Em seguida, nos aprofundaremos em mais detalhes dessas duas categorias de aquisição de dados, juntamente
com as fontes de dados que elas capturam.
Aquisição ao vivo
ÿ A aquisição de dados ao vivo envolve a coleta de dados voláteis de um sistema ativo ÿ As
informações voláteis ajudam a determinar a linha do tempo lógica do incidente de segurança e o possível
usuários responsáveis
ÿ A aquisição ao vivo pode então ser seguida pela aquisição estática/morta, onde um investigador desliga a máquina suspeita, remove
o disco rígido e então adquire sua imagem forense
ÿ Tempo de atividade atual do sistema ÿ Troque arquivos e arquivos temporários ÿ Conexões de rede
Aquisição ao vivo
O processo de aquisição de dados ao vivo envolve a coleta de dados voláteis de dispositivos quando eles estão ativos
ou ligados. As informações voláteis, como as presentes no conteúdo da memória RAM, cache, DLLs, etc., são
dinâmicas e podem ser perdidas caso o dispositivo a ser investigado seja desligado. Portanto, deve ser adquirido em
tempo real. O exame de informações voláteis ajuda a determinar o cronograma lógico de um incidente de segurança e
os usuários que provavelmente serão responsáveis por ele.
A aquisição ao vivo pode então ser seguida pela aquisição estática/morta, onde o investigador desliga a máquina
suspeita, remove o disco rígido e então adquire sua imagem forense.
A aquisição de dados ao vivo pode ajudar os investigadores a obter informações, mesmo que os dados de valor
probatório sejam armazenados na nuvem usando um serviço como Dropbox ou Google Drive.
Os investigadores também podem adquirir dados de contêineres ou discos não criptografados que estão abertos no
sistema e são criptografados automaticamente quando o sistema é desligado. Se o suspeito tentou sobrescrever os
dados no disco rígido físico para evitar a detecção, existe a possibilidade de que os investigadores encontrem vestígios
desses dados sobrescritos examinando o conteúdo da RAM.
Dependendo da fonte de onde são obtidos, os dados voláteis são de dois tipos:
ÿ Dados do sistema
Informações do sistema são as informações relacionadas a um sistema, que podem servir como evidência
em um incidente de segurança. Essas informações incluem a configuração atual e o estado de execução do
computador suspeito. As informações voláteis do sistema incluem perfil do sistema (detalhes sobre
configuração), atividade de login, data e hora atuais do sistema, histórico de comandos, tempo de atividade
atual do sistema, processos em execução, arquivos abertos, arquivos de inicialização, dados da área de
transferência, usuários conectados, DLLs e bibliotecas compartilhadas. As informações do sistema também
incluem dados críticos armazenados nos espaços vazios da unidade de disco rígido.
ÿ Dados de rede
As informações de rede são as informações relacionadas à rede armazenadas no sistema suspeito e nos
dispositivos de rede conectados. As informações de rede voláteis incluem conexões e portas abertas,
informações de roteamento e configuração, cache ARP, arquivos compartilhados e serviços acessados.
Além dos dados acima, a aquisição ao vivo pode ajudar os investigadores a obter o seguinte.
ÿ Dados de contêineres ou discos não criptografados que estão abertos no sistema, que são
criptografado automaticamente quando o sistema é desligado
ÿ Histórico de navegação privada e dados de serviços de armazenamento remoto, como Dropbox (serviço de
nuvem), examinando a memória de acesso aleatório (RAM)
01 Registros e cache
07 Mídia de arquivo
https:// tools.ietf.org
Ordem de Volatilidade
Ao realizar a aquisição de dados ao vivo, os investigadores precisam coletar dados considerando sua volatilidade
potencial e o impacto da coleta no sistema suspeito. Como nem todos os dados têm o mesmo nível de volatilidade,
os investigadores devem coletar primeiro os dados mais voláteis e depois proceder à coleta dos dados menos
voláteis.
A ordem de volatilidade para um sistema de computação típico de acordo com as Diretrizes RFC 3227 para
A coleta e arquivamento de evidências é a seguinte:
3. Arquivos de sistema temporários: Arquivos de sistema temporários tendem a persistir por mais tempo no
computador em comparação com tabelas de roteamento e caches ARP. Esses sistemas são eventualmente
substituídos ou alterados, às vezes em segundos ou minutos depois.
4. Disco ou outra mídia de armazenamento: Qualquer coisa armazenada em um disco permanece por um
tempo. No entanto, às vezes, devido a imprevistos, esses dados podem ser apagados ou substituídos.
Portanto, os dados do disco também podem ser considerados um tanto voláteis, com uma vida útil de
alguns minutos.
6. Configuração física e topologia de rede: A configuração física e a topologia de rede são menos
voláteis e têm uma vida útil mais longa do que alguns outros logs
7. Mídia de arquivo: Um DVD-ROM, um CD-ROM ou uma fita contém os dados menos voláteis
porque as informações digitais não mudam nessas fontes de dados automaticamente, a menos
que sejam danificadas por força física
Aquisição morta
01 02 03
A aquisição morta é definida como a A aquisição morta geralmente envolve a Exemplos de dados estáticos: e- mails,
aquisição de dados de uma máquina aquisição de dados de dispositivos de documentos do Word, atividades na Web,
suspeita que está desligada armazenamento, como discos rígidos, DVD planilhas, espaço livre, espaço em disco
ROMs, unidades USB, cartões não alocado e vários arquivos excluídos
flash e smartphones
Aquisição morta
Dados estáticos referem-se a dados não voláteis, que não mudam de estado mesmo após o desligamento do sistema.
A aquisição morta refere-se ao processo de extração e coleta desses dados de maneira inalterada a partir da mídia de
armazenamento. As fontes de dados não voláteis incluem discos rígidos, DVD-ROMs, unidades USB, flashcards, smartphones
e discos rígidos externos. Esse tipo de dados existe na forma de e-mails, documentos de processamento de texto, atividades
na web, planilhas, espaço livre, arquivos de troca, espaço em disco não alocado e vários arquivos excluídos. Os investigadores
podem repetir o processo de aquisição de mortos em evidências de disco bem preservadas.
ÿ Registos do sistema
ÿ Registros de eventos/sistema
ÿ Setores de inicialização
ÿ Não trabalhe em evidências digitais ÿ Produzir duas ou mais cópias da mídia original
originais. Crie um fluxo de bits/ ÿ A primeira é a cópia de trabalho a ser
imagem lógica de uma unidade/
arquivo suspeito para funcionar usado para análise
sobre.
ÿ As outras cópias atuam como as
cópias de biblioteca/controle que são
armazenadas para fins de divulgação ou
no caso de a cópia de trabalho ser
corrompida
Uma regra prática é uma prática recomendada que ajuda a garantir um resultado favorável quando aplicada. No caso de
uma investigação forense digital, quanto melhor for a qualidade das evidências, melhor será o resultado da análise e a
probabilidade de solucionar o crime em geral.
Os investigadores nunca devem realizar uma investigação forense ou qualquer outro processo na evidência original ou
fonte de evidência, pois isso pode alterar os dados e tornar a evidência inadmissível no tribunal.
Em vez disso, os investigadores podem criar uma imagem de fluxo de bits duplicada de uma unidade ou arquivo suspeito
para visualizar os dados estáticos e analisá-los. Essa prática não apenas preserva a evidência original, mas também
oferece a opção de recriar uma duplicata se algo der errado.
ÿ A segunda cópia é a biblioteca/cópia de controle armazenada para fins de divulgação ou, para ser usada se a cópia
de trabalho for corrompida
Se os investigadores precisarem realizar imagens drive-to-drive, eles podem usar mídia em branco para copiar em novas
unidades embrulhadas.
Depois de duplicar a mídia original, os investigadores devem verificar a integridade das cópias comparando-as com o
original usando valores de hash como MD5.
Fluxo do módulo
01 03
Entenda os dados Determinar os dados
Fundamentos de Aquisição Formato de Aquisição
04
02 Entenda os dados
Discutir diferentes tipos Metodologia de Aquisição
de aquisição de dados
Arquivo de disco para imagem de fluxo de bits Fluxo de bits de disco para disco
ÿ É o método mais comum usado por investigadores forenses ÿ A cópia de disco para imagem não é possível em situações em que
ÿ Ferramentas utilizadas: ProDiscover, EnCase, FTK, The Sleuth Kit, X-Ways ÿ Para superar essa situação, os investigadores podem criar uma cópia de
Forense, etc fluxo de bits de disco para disco da mídia de destino
ÿ Aquisição Lógica
Em uma situação com restrições de tempo e onde o investigador está ciente de quais arquivos precisam ser
adquiridos, a aquisição lógica pode ser considerada ideal. A aquisição lógica reúne apenas os arquivos
necessários para a investigação do caso.
Por exemplo:
ÿ Aquisição Esparsa
A aquisição esparsa é semelhante à aquisição lógica. Por meio desse método, os investigadores podem
coletar fragmentos de dados não alocados (excluídos). Este método é útil quando não é necessário
inspecionar toda a unidade.
Uma imagem de fluxo de bits é uma cópia bit a bit de qualquer mídia de armazenamento que contém uma
cópia clonada de toda a mídia, incluindo todos os seus setores e clusters. Essa cópia clonada da mídia de
armazenamento contém todos os dados latentes que permitem aos investigadores recuperar arquivos e
pastas excluídos. Os investigadores costumam usar imagens de fluxo de bits da mídia suspeita para evitar
a contaminação da mídia original. Além disso, a maioria das ferramentas forenses de computador, como
FTK Imager e EnCase, pode ler imagens de fluxo de bits, o que facilita ainda mais o processo de
investigação. Existem dois tipos de procedimentos de geração de imagens de fluxo de bits — disco para
arquivo de imagem de fluxo de bits e disco para disco de fluxo de bits.
o Bit-stream disk-to-image-file
Investigadores forenses geralmente usam esse método de aquisição de dados. É um método flexível
que permite a criação de uma ou mais cópias da unidade suspeita. Ferramentas como ProDiscover,
EnCase, FTK, The Sleuth Kit, X-Ways Forensics, etc., podem ser usadas para criar arquivos de imagem.
Os investigadores não podem criar um arquivo de disco para imagem de fluxo de bits nas seguintes
situações:
Nesses casos, uma cópia de disco para disco de fluxo de bits do disco ou unidade original pode ser
executada. Ao criar uma cópia de disco para disco, a geometria do disco de destino, incluindo seu
cabeçote, cilindro e configuração de trilha, pode ser modificada para se alinhar com a unidade suspeita.
Isso resulta em um processo de aquisição de dados suave. Ferramentas como EnCase, SafeBack e
Tableau Forensic Imager podem ajudar a criar uma cópia de fluxo de bits de disco para disco da
unidade suspeita.
Fluxo do módulo
01 03
Entenda os dados Determinar os dados
Fundamentos de Aquisição Formato de Aquisição
04
02 Entenda os dados
Discutir diferentes tipos Metodologia de Aquisição
de aquisição de dados
Formato bruto ÿ O formato bruto cria uma cópia bit a bit da unidade suspeita. As imagens
neste formato geralmente são obtidas usando o comando dd .
Vantagens Desvantagens
Formato proprietário
ÿ Capacidade de dividir uma imagem em vários segmentos, a fim de ÿ Formato de arquivo de imagem criado por uma
salvá -los em mídias de destino menores, como CD/DVD, mantendo ferramenta pode não ser suportado por outra(s) ferramenta(s)
sua integridade
Determinar os dados
Formato de Aquisição
(continua)
ÿ Sem limitação de tamanho para arquivos de disco para imagem ÿ Design simples e personalizável
Perícia Forense Avançada ÿ Opção para compactar os arquivos de imagem ÿ Acessível por meio de várias plataformas de computação e
ÿ As extensões de arquivo incluem .afm para metadados AFF e .afd para arquivos de imagem segmentados
1 2 3
Redesenho e revisão de Tipos básicos de objetos Informações abstratas
AFF para gerenciar e usar grandes AFF4: volumes, fluxos e modelo que permite o armazenamento
quantidades de imagens de gráficos. de dados de imagem de disco em
disco, reduzindo o tempo de Eles são referenciados um ou mais locais enquanto as
aquisição e os requisitos de universalmente por meio de um informações sobre os dados são
4 5
Armazena mais tipos de Oferece modelo de dados unificado
O formato bruto cria uma cópia bit a bit da unidade suspeita. As imagens neste formato geralmente são
obtidas usando o comando dd .
Vantagens
Desvantagens
ÿ Ferramentas (principalmente de código aberto) podem não reconhecer/coletar setores marginais (ruins) de
a unidade suspeita
As ferramentas freeware têm um limite baixo de novas tentativas de leitura em pontos de mídia fracos em uma unidade, enquanto as
ferramentas de aquisição comercial usam mais tentativas para garantir que todos os dados sejam coletados
Formato proprietário
Ferramentas forenses comerciais adquirem dados da unidade suspeita e salvam os arquivos de imagem em seus próprios
formatos. Eles oferecem certos recursos que incluem o seguinte:
ÿ Opção para compactar os arquivos de imagem do disco/drive de provas para economizar espaço
a mídia de destino
ÿ Capacidade de dividir uma imagem em vários segmentos, a fim de salvá-los em mídias de destino menores, como CD/
DVD, mantendo sua integridade
ÿ Capacidade de incorporar metadados no arquivo de imagem, que inclui data e hora de aquisição, valores de hash
dos arquivos, detalhes do caso, etc.
Desvantagens
ÿ Formato de arquivo de imagem criado por uma ferramenta pode não ser suportado por outra(s) ferramenta(s)
AFF é um formato de aquisição de dados de código aberto que armazena imagens de disco e metadados relacionados.
O objetivo por trás do desenvolvimento do formato era criar um formato de imagem de disco aberto que fornecesse aos usuários
uma alternativa a um formato proprietário.
As extensões de arquivo AFF são .afm para metadados AFF e .afd para arquivos de imagem segmentados. Não há restrições de
implementação impostas pelo AFF aos investigadores forenses, pois é um formato de código aberto.
O AFF tem um design simples e é acessível por meio de várias plataformas de computação e sistemas operacionais. Ele fornece a
opção de compactar os arquivos de imagem e aloca espaço para gravar metadados dos arquivos de imagem ou arquivos
segmentados. Ele fornece verificações de consistência interna para auto-autenticação.
A imagem de disco real no AFF é um único arquivo, composto de segmentos com dados de unidade e metadados. O
conteúdo do arquivo AFF pode ser compactado e descompactado. O AFFv3 oferece suporte às extensões de arquivo AFF,
AFD e AFM.
Michael Cohen, Simson Garfinkel e Bradly Schatz criaram o Advanced Forensic Framework 4 (AFF4) como uma versão
redesenhada e renovada do formato AFF, projetado para suportar mídia de armazenamento com grandes capacidades. Os
criadores se referiram ao seu design como sendo orientado a objetos, pois o formato consiste em objetos genéricos
(volumes, fluxos e gráficos) com comportamento acessível externamente. Esses objetos podem ser endereçados por seus
nomes dentro do universo AFF4.
Eles são referenciados universalmente por meio de um URL exclusivo. É um modelo de informação abstrato que permite o
armazenamento de dados de imagem de disco em um ou mais locais, enquanto as informações sobre os dados são
armazenadas em outro lugar. Ele armazena mais tipos de informações organizadas no arquivo de evidências. Oferece
modelo de dados unificado e esquema de nomenclatura.
O formato pode suportar um grande número de imagens e oferece uma seleção de formatos de contêiner, como Zip e Zip64
para arquivos binários e diretórios simples. Ele também suporta armazenamento da rede e o uso de WebDAV (uma extensão
do protocolo HTTP) que permite a criação de imagens diretamente para um servidor HTTP central.
Esse formato também oferece suporte a mapas, que são transformações de dados de cópia zero. As transformações de
cópia zero poupam a CPU de ter que executar a tarefa de copiar dados de uma área de memória para outra, aumentando
assim sua eficiência.
Por exemplo, sem armazenar uma nova cópia de um arquivo esculpido (arquivo sendo extraído), apenas um mapa dos
blocos alocados para este arquivo pode ser armazenado. AFF4 suporta assinatura de imagem e criptografia.
Este formato também oferece transparência de imagem aos clientes.
O design AFF4 adota um esquema de identificadores exclusivos globalmente para identificar e referir-se a todas as
evidências. Os tipos básicos de objeto AFF4 incluem o seguinte:
ÿ Streams: São objetos de dados que podem auxiliar na leitura ou escrita, por exemplo,
segmentos, imagens e mapas
Fluxo do módulo
01 03
Entenda os dados Determinar os dados
Fundamentos de Aquisição Formato de Aquisição
04
02 Entenda os dados
Discutir diferentes tipos Metodologia de Aquisição
de aquisição de dados
Desligar o computador
Não
Determinar os dados
Remova o disco rígido
Método de Aquisição
Plano de Contingência
A seguir estão as etapas envolvidas na metodologia de aquisição de dados forenses. Eles são discutidos detalhadamente
no restante desta seção.
ÿ Exemplo:
O método de aquisição de dados que deve ser adotado depende da situação que se apresenta ao investigador.
A seguir estão alguns fatores-chave que devem ser considerados na determinação do método de aquisição de
dados.
1. Tamanho da unidade suspeita: Se a unidade suspeita for grande, o investigador deve optar pela cópia
de disco para imagem. Além disso, se o tamanho do disco de destino for significativamente menor que
o da unidade suspeita, os investigadores precisam adotar métodos para reduzir o tamanho dos dados,
como os seguintes:
o Usando métodos de compactação que usam um algoritmo para reduzir o tamanho do arquivo. Ferramentas de
arquivamento como PKZip, WinZip e WinRAR podem ajudar a compactar arquivos.
o Teste de compactação sem perdas aplicando um hash MD5, SHA-2 ou SHA-3 em um arquivo antes e depois da
compactação. A compactação é bem-sucedida somente se os valores de hash corresponderem.
Em alguns casos, quando a unidade suspeita é muito grande, os investigadores forenses podem utilizar as seguintes
técnicas:
ÿ Use sistemas de backup de fita como Super Digital Linear Tape (SDLT) ou Áudio Digital
Armazenamento de dados digitais/fita (DAT/DDS)
ÿ Use SnapBack e SafeBack, que possuem drivers de software para gravar dados em uma fita
sistema de backup de uma unidade suspeita através do padrão PCI/SCSI
2. Tempo necessário para adquirir a imagem: O tempo necessário para aquisição de dados aumenta com o aumento do
tamanho das unidades suspeitas. Por exemplo, uma unidade suspeita de 1 TB pode exigir mais de 11 horas para a
conclusão do processo de aquisição de dados. Nesses casos, os investigadores precisam priorizar e adquirir apenas
os dados que são de valor probatório.
Ao adquirir apenas os dados necessários para a investigação, os investigadores podem reduzir o tempo e o esforço.
o Se o investigador não puder reter o impulso original, como em uma demanda de descoberta para um caso de litígio
civil, ele deve verificar se a aquisição lógica é aceitável em
quadra.
o Se os investigadores puderem manter a unidade, eles devem criar uma cópia dela usando uma ferramenta de
aquisição de dados confiável, já que a maioria das demandas de descoberta fornece apenas uma oportunidade
para capturar dados.
É de suma importância escolher a ferramenta certa no processo de aquisição de dados forenses, e isso depende do
tipo de técnica de aquisição utilizada pelo investigador forense.
As ferramentas de imagem devem ser validadas e testadas para garantir que produzam resultados precisos e repetíveis.
Essas ferramentas devem atender a certos requisitos, alguns dos quais são obrigatórios (recursos e tarefas que a
ferramenta deve possuir ou executar), enquanto outros são opcionais (recursos que são desejáveis que a ferramenta
possua).
Requisitos obrigatórios
A seguir estão os requisitos obrigatórios para cada ferramenta usada para o processo de criação de imagens de disco:
ÿ A ferramenta deve registrar erros de E/S de forma acessível e legível, incluindo o tipo e localização do erro
ÿ A ferramenta deve ter a capacidade de passar pela revisão científica e por pares. Os resultados devem ser
repetível e verificável por terceiros, se necessário
ÿ A ferramenta deve adquirir completamente todos os setores de dados visíveis e ocultos do digital
fonte
ÿ A ferramenta deve criar uma cópia bit-stream do conteúdo original quando não houver erros
ao acessar a mídia de origem
ÿ A ferramenta deve criar uma cópia de fluxo de bits qualificada (uma cópia de fluxo de bits qualificada é definida como uma
duplicata, exceto em áreas identificadas do fluxo de bits) quando ocorrerem erros de E/S ao acessar a mídia de origem
ÿ A ferramenta deve copiar um arquivo somente quando o destino for maior ou igual ao tamanho da fonte, e documentar o
conteúdo no destino que não faz parte da cópia
ÿ A documentação da ferramenta deve estar correta, ou seja, o usuário deve obter os resultados esperados
executá-lo de acordo com os procedimentos documentados da ferramenta
Requisitos opcionais
A seguir estão os requisitos opcionais que são desejáveis para ferramentas usadas na geração de imagens de disco
processar:
ÿ A ferramenta deve calcular um valor de hash para a cópia completa do fluxo de bits gerada a partir de um arquivo de imagem
de origem, compará-lo com o valor de hash de origem calculado no momento da criação da imagem e exibir o resultado em
um arquivo de disco
ÿ A ferramenta deve dividir a cópia do fluxo de bits em blocos, calcular valores de hash para cada bloco, compará-los com o valor
de hash dos dados do bloco original calculado no momento da criação da imagem e exibir o resultado em um arquivo de
disco
ÿ A ferramenta deve registrar um ou mais itens em um arquivo de disco (os itens incluem versão da ferramenta, identificação do
disco do assunto, quaisquer erros encontrados, ações da ferramenta, tempos de início e término da execução, configurações
da ferramenta e comentários do usuário)
ÿ A ferramenta deve criar uma duplicata de fluxo de bits qualificada e ajustar o alinhamento dos cilindros aos limites do cilindro
das partições do disco quando o destino for de uma geometria física diferente
ÿ A ferramenta deve criar uma cópia de fluxo de bits de partições individuais de acordo com as instruções do usuário
ÿ A ferramenta deve tornar a tabela de partição do disco de origem visível para os usuários e registrar
conteúdo
ÿ A ferramenta deverá criar um arquivo de imagem em um suporte magnético ou eletrônico fixo ou removível
mídia que é usada para criar uma cópia bit-stream do original
ÿ A ferramenta deve criar uma cópia bit-stream em uma plataforma conectada por meio de um
link de comunicação para uma plataforma diferente contendo o disco de origem
ÿ Alemão: VSITR
ÿ NIST SP 800-88
Antes da aquisição e duplicação de dados, um método apropriado de sanitização de dados deve ser usado para
apagar permanentemente qualquer informação anterior armazenada na mídia de destino. A destruição de dados
usando métodos de destruição de dados padrão do setor é essencial para dados confidenciais que não se deseja
que caiam em mãos erradas. Esses padrões dependem dos níveis de sensibilidade. A exclusão e descarte de
dados em dispositivos eletrônicos é apenas virtual, mas permanece fisicamente, representando uma ameaça à
segurança.
Métodos como formatação do disco rígido ou exclusão de partições não podem excluir completamente os dados
do arquivo. No entanto, é importante destruir os dados e protegê-los de recuperação, após a coleta de evidências
do computador. Portanto, a única maneira de apagar completamente os dados e protegê-los da recuperação é
sobrescrever os dados aplicando um código de zeros sequenciais ou
uns.
Além disso, uma vez que os dados de destino são coletados e analisados, a mídia deve ser descartada
adequadamente para evitar a recuperação de dados e proteger sua confidencialidade.
Os investigadores podem seguir diferentes padrões conforme abaixo ao higienizar a mídia de destino:
ÿ Padrão Russo, GOST P50739-95 (6 passes): É um método de limpeza que escreve zeros em
a primeira passagem e, em seguida, bytes aleatórios na próxima passagem
ÿ (Alemão) VSITR (7 passagens): Este método sobrescreve em 6 passagens com sequências alternativas
de 0x00 e 0xFF, e com 00xAA na última (7ª) passagem
ÿ (Americano) DoD 5220.22-M (7 passagens): Este padrão destrói os dados na área necessária da unidade
substituindo por 010101 na primeira passagem, 101010 na segunda passagem e repetindo esse processo
três vezes. Esse método substitui essa área com caracteres aleatórios, que é a 7ª passagem.
ÿ (Americano) NAVSO P-5239-26 (RLL) (3 passagens): Este é um algoritmo de substituição de três passagens
que verifica na última passagem
NIST SP 800-88: A orientação NIST SP 800-88 proposta explica três métodos de sanitização-
ÿ Limpar: Técnicas lógicas aplicadas para limpar dados em todas as áreas de armazenamento usando os
comandos padrão de leitura e gravação
ÿ Expurgo: Envolve técnicas físicas ou lógicas para inviabilizar a recuperação dos dados de destino, usando
técnicas laboratoriais de ponta
ÿ Destroy: Possibilita a inviabilização da recuperação dos dados do alvo com o uso de técnicas laboratoriais de
ponta, o que resulta na impossibilidade de utilização da mídia para armazenamento de dados
O Instituto Nacional de Padrões e Tecnologia emitiu um conjunto de diretrizes conforme abaixo para ajudar as
organizações a sanear os dados para preservar a confidencialidade das informações.
ÿ A aplicação de controles de acesso complexos e criptografia pode reduzir as chances de um invasor obter
acesso direto a informações confidenciais
ÿ Uma organização pode dispor dos dados de mídia não tão úteis por meio interno ou externo
transferência ou por reciclagem para cumprir a sanitização de dados
ÿ Técnicas eficazes de higienização e rastreamento de mídia de armazenamento são cruciais para garantir
proteção de dados confidenciais por organizações contra invasores
A destruição física da mídia envolve técnicas, como a trituração cruzada. Os departamentos podem destruir a mídia
no local ou por meio de terceiros que atendam aos padrões de confidencialidade.
Os investigadores devem considerar o tipo de mídia de destino que estão usando para copiar ou duplicar os dados e
selecionar um método de sanitização apropriado para garantir que nenhuma parte dos dados anteriores permaneça
na mídia de destino que armazenará os arquivos de evidência. A mídia anterior pode alterar as propriedades ou alterar
os dados e sua estrutura.
ÿ Esses dados geralmente correspondem a processos em execução, usuários logados, registros, DLLs, dados da área de transferência, arquivos abertos, etc.
Como o conteúdo da RAM e outros dados voláteis são dinâmicos, os investigadores precisam ter cuidado ao
adquirir esses dados. Trabalhar em um sistema ativo pode alterar o conteúdo da RAM ou os processos em
execução no sistema. Qualquer ação involuntária pode alterar datas e horários de acesso a arquivos, usar
bibliotecas compartilhadas ou DLLs, acionar a execução de malware ou, no pior dos casos, forçar uma
reinicialização, tornando o sistema inacessível. Portanto, o exame de um sistema ativo e a aquisição de dados
voláteis devem ser conduzidos com cuidado. Enquanto a maioria dos dados voláteis são recuperados examinando
o sistema ativo, aproximadamente a mesma quantidade de dados pode ser obtida examinando a imagem
adquirida da memória do sistema. As seções a seguir descrevem como adquirir dados voláteis de sistemas
Windows, Linux e Mac.
Ferramentas forenses como o Belkasoft Live RAM Capturer podem ser usadas para extrair todo o conteúdo da
memória volátil do computador. Esta ferramenta salva os arquivos de imagem no formato .mem.
O Belkasoft Live RAM Capturer é uma ferramenta forense de código aberto que permite a extração confiável de
todo o conteúdo da memória volátil do computador, mesmo se protegida por um sistema anti-depuração ou anti-
dumping ativo. Compilações separadas de 32 bits e 64 bits estão disponíveis para minimizar a pegada da
ferramenta. Despejos de memória capturados com Belkasoft Live RAM Capturer podem ser analisados com Live
RAM Analysis usando o software Belkasoft Evidence Center. O Belkasoft Live RAM Capturer é compatível com
todas as versões e edições do Windows, incluindo XP, Vista, Windows 7, 8 e 10, 2003 e 2008 Server.
Observação: ao realizar a aquisição ao vivo, o investigador deve estar ciente do fato de que
trabalhar em um sistema ativo pode alterar o conteúdo da RAM ou os processos em execução
no sistema. Qualquer ação involuntária executada no sistema pode tornar o sistema inacessível.
A proteção contra gravação refere-se a uma ou mais medidas que impedem que uma mídia de armazenamento seja
gravada ou modificada. Ele pode ser implementado por um dispositivo de hardware ou por um programa de software no
computador que acessa a mídia de armazenamento. A ativação da proteção contra gravação permite que os dados sejam
lidos, mas proíbe a gravação ou modificação.
No contexto da aquisição de dados forenses, a mídia de evidência - que se refere ao armazenamento no dispositivo
original do qual os dados devem ser copiados para um dispositivo de armazenamento separado - deve ser protegida
contra gravação para protegê-la de modificações.
A proteção contra gravação é importante porque os investigadores forenses devem estar confiantes sobre a integridade
das evidências que obtêm durante a aquisição, análise e gerenciamento. As provas devem ser legítimas para serem
aceitas pelas autoridades do tribunal.
Portanto, o investigador precisa implementar um conjunto de procedimentos para impedir a execução de qualquer
programa que possa alterar o conteúdo do disco.
ÿ Use sistema operacional e software que não podem gravar no disco, a menos que instruído
ÿ Empregar uma ferramenta de bloco de gravação de disco rígido para proteger contra gravações de disco
Ferramentas de bloqueio de gravação de hardware e software fornecem acesso somente leitura a discos rígidos e outros dispositivos de
armazenamento sem comprometer sua segurança. As principais diferenças entre essas soluções surgem durante as etapas de instalação e uso.
ÿ
Se o bloqueador de gravação de hardware for usado:
o Exemplos de dispositivos de hardware: CRU® WiebeTech® USB WriteBlocker™, Tableau Forensic USB Bridge, etc.
ÿ
Se o bloqueador de gravação de software for usado:
Os dados não voláteis podem ser adquiridos de um disco rígido durante os processos de aquisição ativos e inativos.
Os investigadores podem usar ferramentas de aquisição remota, como Netcat, ou CDs ou USBs inicializáveis por meio de
ferramentas como CAINE para realizar a aquisição ao vivo de um disco rígido.
O processo de aquisição de mortos pode ser realizado através das seguintes etapas:
ÿ Bloqueie o disco rígido para garantir que ele forneça apenas acesso somente leitura ao disco rígido e evite qualquer
modificação ou adulteração de seu conteúdo
ÿ Executar qualquer ferramenta de aquisição forense adequada para fins de aquisição/coleta de dados
estação de trabalho ÿ AccessData FTK Imager é um programa de imagem de disco que pode visualizar dados recuperáveis de um disco de qualquer tipo e também
criar cópias, chamadas imagens forenses, desses dados
http:// accessdata.com
Etapa 6: Adquirir dados não voláteis (usando uma estação de trabalho forense do Windows)
Para adquirir uma imagem forense de um disco rígido durante a aquisição inoperante, os investigadores precisam remover
o disco rígido, conectá-lo a uma estação de trabalho forense, habilitar um bloqueador de gravação e executar uma
ferramenta de imagem forense como o AccessData FTK Imager na estação de trabalho.
FTK Imager é uma ferramenta de visualização e imagem de dados. Ele também pode criar cópias perfeitas (imagens
forenses) de dados de computador sem fazer alterações na evidência original.
Recursos
ÿ Crie imagens forenses de discos rígidos locais, CDs e DVDs, pen drives ou outros dispositivos USB, pastas inteiras
ou arquivos individuais de vários locais na mídia
ÿ Permite visualizar arquivos e pastas em discos rígidos locais, unidades de rede, CDs e DVDs,
pen drives ou outros dispositivos USB
ÿ Permite montar uma imagem para uma exibição somente leitura que aproveita o Windows Internet
Explorer para exibir o conteúdo da imagem exatamente como o usuário a viu na unidade original
ÿ Recupera arquivos que foram excluídos da Lixeira, mas ainda não foram
substituído na unidade
ÿ Cria hashes de arquivos para verificar a integridade dos dados usando uma das duas funções de
hash disponíveis no FTK Imager: Message Digest 5 (MD5) e Secure Hash Algorithm
(SHA-1)
Ferramentas de imagem
Evidência de imagem Primeira cópia de
Se você possui mais de uma ferramenta de imagem, como Pro
Evidências Digitais
DiscoverForensics ou AccessData FTK Imager, é recomendável
criar a primeira imagem com uma ferramenta e a segunda imagem com
a outra ferramenta. Caso possua apenas uma ferramenta, faça duas ou mais
Segunda cópia de
imagens do drive utilizando a mesma ferramenta. Evidências Digitais Evidência de imagem Evidências Digitais
Considere o uso de uma ferramenta de aquisição de Esteja preparado para lidar com unidades criptografadas
hardware (como UFED Ultimate ou IM SOLO-4 G3 IT que precisam que o usuário forneça a chave de
RUGGEDIZED) que pode acessar a unidade descriptografia para descriptografar. A Microsoft inclui
no nível do BIOS para copiar dados no Host um recurso de criptografia de disco completo (BitLocker)
Área Protegida (HPA) com edições selecionadas do Windows Vista e posteriores.
Acessando o Drive
no nível do BIOS
Chave de descriptografia
hardware
Disco rígido
Ferramenta de Aquisição
Unidade Criptografada Unidade descriptografada
concluir o processo de investigação, fornecendo soluções alternativas para as ferramentas de software ou hardware com falha.
Os investigadores devem criar pelo menos duas imagens das evidências digitais coletadas, a fim de preservá-las.
Se uma cópia da evidência digital recuperada for corrompida, os investigadores poderão usar a outra cópia.
ÿ Ferramentas de Imagem
Se você possui mais de uma ferramenta de imagem, como Pro-DiscoverForensics ou AccessData FTK Imager, é
recomendável criar a primeira imagem com uma ferramenta e a segunda imagem com a outra ferramenta. Caso
possua apenas uma ferramenta, faça duas ou mais imagens do drive utilizando a mesma ferramenta.
Considere o uso de uma ferramenta de aquisição de hardware (como UFED Ultimate ou IM SOLO-4 G3 IT
RUGGEDIZED) que pode acessar a unidade no nível do BIOS para copiar dados no Host
Área Protegida (HPA)
ÿ Descriptografia de Unidade
Esteja preparado para lidar com unidades criptografadas que precisam que o usuário forneça a chave de descriptografia
para descriptografar. A Microsoft inclui um recurso de criptografia de disco completo (BitLocker) com edições selecionadas
do Windows Vista e posteriores.
Um aspecto importante da computação forense é a validação de evidências digitais. Isso é essencial para verificar a
integridade dos dados. A validação da aquisição de dados envolve calcular o valor de hash da mídia de destino e compará-
la com sua contraparte forense para garantir que os dados foram completamente adquiridos.
O número exclusivo (valor de hash) é chamado de impressão digital, que representa a exclusividade de um arquivo ou
unidade de disco. Quando dois arquivos têm os mesmos valores de hash, eles são considerados idênticos, mesmo que
tenham nomes de arquivo diferentes, pois os valores de hash são gerados com base em seu conteúdo real. Mesmo uma
pequena modificação no conteúdo de um arquivo altera completamente seu valor de hash. Além disso, um hash é uma
função unidirecional, o que implica que a descriptografia é impossível sem uma chave.
A seguir estão alguns algoritmos de hash que podem ser usados para validar os dados adquiridos:
ÿ CRC-32: O algoritmo de código de redundância cíclica-32 é uma função hash baseada na ideia de divisão polinomial.
O número 32 indica que o tamanho do valor de hash ou soma de verificação resultante é de 32 bits. A soma de
verificação identifica erros após a transmissão ou armazenamento de dados.
ÿ MD5: Este é um algoritmo usado para verificar a integridade dos dados criando um resumo de mensagem de 128 bits
a partir da entrada de dados de qualquer tamanho. Cada valor de hash MD5 é exclusivo para essa entrada de
dados específica.
ÿ SHA-1: Secure Hash Algorithm-1 é uma função hash criptográfica desenvolvida pela Agência de Segurança Nacional
dos Estados Unidos e é um Padrão de Processamento de Informações Federais dos EUA emitido pelo NIST. Ele
cria um valor de hash de 160 bits (20 bytes) chamado resumo de mensagem. Esse valor de hash é um número
hexadecimal de 40 dígitos.
ÿ SHA-256: Este é um algoritmo de hash criptográfico que cria um hash único e de tamanho
fixo de 256 bits (32 bytes). Portanto, é ideal para tecnologias anti-adulteração, validação
de senha, assinaturas digitais e autenticação de hash de desafio.
cmdlet Get-FileHash calcula o valor de hash para um arquivo de evidência usando o algoritmo de hash especificado ÿ Esse valor de hash é
usado em toda a investigação para validar a integridade do evidência ÿ Os investigadores também podem usar programas forenses comerciais
ÿ Por exemplo:
Observação: na maioria das ferramentas forenses de computador, os arquivos de imagem em formato bruto não contêm metadados. Para aquisições brutas, portanto,
uma validação manual separada é recomendada durante a análise.
ÿ Os computadores Windows vêm com o utilitário PowerShell, que tem a capacidade de executar o cmdlet
ÿ Este valor de hash é usado durante toda a investigação para validar a integridade do
evidência
ÿ Os investigadores também podem usar programas forenses comerciais de computador, que possuem recursos de
validação integrados que podem ser usados para validar os arquivos de evidências
ÿ Por exemplo:
o Quando você carrega a imagem no ProDiscover, ele compara o valor de hash desta imagem com o valor de
hash da mídia original
o Se os hashes não coincidirem, a ferramenta notifica que a imagem está corrompida, dando a entender que
a evidência não pode ser considerada confiável
Observação: na maioria das ferramentas forenses de computador, os arquivos de imagem em formato bruto não
contêm metadados. Para aquisições brutas, portanto, uma validação manual separada é recomendada durante a análise.
Resumo do Módulo
Este módulo discutiu os fundamentos de aquisição de dados
Resumo do Módulo
Este módulo discutiu os fundamentos da aquisição de dados. Explicou os diferentes tipos de aquisição
de dados e discutiu em detalhes os formatos de aquisição de dados. Finalmente, este módulo
apresentou uma discussão detalhada sobre a metodologia de aquisição de dados.
No próximo módulo, discutiremos em detalhes as contramedidas para derrotar as técnicas anti-forenses.
MT
EC-Council
CE-Conselho
D FE
Digital
Digital
Forensics Essentials
Princípios Forenses
Módulo 05
Derrotando Técnicas Anti-Forenses
Machine Translated by Google
Objetivos do módulo
1 Compreendendo as técnicas anti-forenses
Objetivos do módulo
Depois de comprometer um sistema, os invasores geralmente tentam destruir ou ocultar todos os vestígios de suas
atividades; isso torna a investigação forense extremamente desafiadora para os investigadores. O uso de várias
técnicas por cibercriminosos para destruir ou ocultar vestígios de atividades ilegais e dificultar os processos de
investigação forense é chamado de antiforense. Os investigadores forenses precisam superar/derrotar os anti-forenses
para que uma investigação produza evidências concretas e precisas que ajudem a identificar e processar os
perpetradores.
Este módulo descreve os fundamentos das técnicas anti-forenses e discute detalhadamente como os investigadores
forenses podem derrotá-los usando várias ferramentas.
Fluxo do módulo
1 2
Entenda o Anti-Forense e Discutir Anti-forense
suas Técnicas Contramedidas
Esta seção apresenta uma visão geral do anti-forense e lista várias técnicas anti-forenses usadas pelos
invasores.
O que é Anti-forense?
Anti-forense (também conhecido como contra-forense) é um termo comum para um conjunto de técnicas destinadas a
complicar ou impedir um processo de investigação forense adequado
Objetivos da Anti-forense
O que é Anti-forense?
Anti-forense, também conhecido como contra-forense, é um conjunto de técnicas que invasores ou perpetradores usam
para evitar ou desviar o processo de investigação forense ou tentar torná-lo muito mais difícil. Essas técnicas afetam
negativamente a quantidade e a qualidade das evidências da cena do crime, dificultando o processo de investigação
forense.
Portanto, o investigador pode ter que executar etapas adicionais para buscar os dados, causando um atraso no
processo de investigação.
Técnicas Anti-Forenses
1 Exclusão de dados/arquivos 7 Sobrescrevendo Dados/Metadados
Técnicas Anti-Forenses
Técnicas anti-forenses são as ações e métodos que impedem o processo de investigação forense, a fim de proteger os atacantes
e perpetradores de processos judiciais em um tribunal.
Essas técnicas agem contra o processo de investigação, como detecção, coleta e análise de arquivos de evidências e desviam os
investigadores forenses. Essas técnicas impactam na qualidade e quantidade das evidências de uma cena de crime, dificultando
assim a análise e investigação. Técnicas anti-forenses, que incluem processos de exclusão e substituição, também ajudam a
garantir a confidencialidade dos dados, reduzindo a capacidade de lê-los.
Os invasores usam essas técnicas para se defender contra a revelação de suas ações durante atividades criminosas. Funcionários
fraudulentos podem usar ferramentas anti-forenses para a destruição de dados que podem causar grandes prejuízos à organização.
Técnica anti-forense:
Exclusão de dados/arquivos
Quando um arquivo é excluído do disco rígido, o ponteiro para o arquivo é removido pelo sistema operacional e os
setores que contêm os dados excluídos são marcados como disponíveis, o que significa que o conteúdo dos
dados excluídos permanece no disco rígido até que sejam substituídos por novos dados. Os investigadores
forenses usam ferramentas de recuperação de dados, como Autopsy, Recover My Files, EaseUS Data Recovery
Wizard Pro, R-Studio, etc., para escanear o disco rígido e analisar o sistema de arquivos para uma recuperação
de dados bem-sucedida.
FAT é marcado como não utilizado, agrupa e aproveita esse espaço para armazenar um
embora continue a conter as informações até novo arquivo
Nota: Em um sistema Windows, executar a operação normal de exclusão envia os arquivos para a Lixeira. Considerando que
executar a operação Shift+Delete ignora a Lixeira.
Quando qualquer usuário exclui um arquivo, o sistema operacional na verdade não exclui o arquivo, mas marca a entrada do
arquivo como não alocada na tabela mestre de arquivos (MFT) e aloca um caractere especial. Este caractere indica que o
espaço agora está pronto para uso.
No sistema de arquivos FAT, o sistema operacional substitui a primeira letra de um nome de arquivo excluído por um código de
byte hexadecimal, E5h. E5h é uma tag especial que indica um arquivo excluído. O sistema de arquivos FAT marca os clusters
correspondentes desse arquivo como não utilizados, embora não estejam vazios.
No sistema de arquivos NTFS, quando um usuário exclui um arquivo, o sistema operacional apenas marca a entrada do arquivo
como não alocada, mas não exclui o conteúdo real do arquivo. Os clusters alocados para o arquivo excluído são marcados
como livres no $BitMap (o arquivo $BitMap é um registro de todos os clusters usados e não usados). O computador agora
percebe esses clusters vazios e aproveita esse espaço para armazenar um novo arquivo. O arquivo excluído pode ser
recuperado se o espaço não for alocado para nenhum outro arquivo. Em um sistema Windows, executar a operação normal de
exclusão envia os arquivos para a Lixeira. Considerando que executar a operação Shift+Delete ignora a Lixeira.
Lixeira no Windows
A Lixeira é um local de armazenamento temporário para
01 arquivos excluídos
Nota: Excluir um arquivo ou pasta de uma unidade de rede ou de uma unidade USB pode excluí-los permanentemente em vez de serem armazenados na Lixeira
• No Windows Vista e versões posteriores, ele está localizado em Drive:\$Recycle.Bin\<SID> https:// www.copyright.gov
Lixeira no Windows
(continua)
Exemplo:
Lixeira no Windows
A Lixeira armazena temporariamente os arquivos excluídos. Quando um usuário exclui um item, ele é enviado
para a Lixeira. No entanto, ele não armazena itens excluídos de mídia removível, como uma unidade USB ou
unidade de rede.
Os itens presentes na Lixeira ainda consomem espaço no disco rígido e são fáceis de restaurar. Os usuários podem usar a opção de
restauração na Lixeira para recuperar arquivos excluídos e enviá-los de volta ao local original.
Mesmo que os arquivos sejam excluídos da Lixeira, eles continuam a consumir espaço no disco rígido até que os locais sejam substituídos
pelo sistema operacional com novos dados.
Quando a Lixeira fica cheia, o Windows exclui automaticamente os itens mais antigos. O sistema operacional Windows atribui um espaço
específico em cada partição do disco rígido para armazenar arquivos na Lixeira. O sistema não armazena itens maiores na Lixeira; em vez
disso, ele os exclui permanentemente.
1. Na área de trabalho, clique com o botão direito do mouse no ícone da Lixeira e selecione “Propriedades”
3. Clique em “Tamanho personalizado” e insira um tamanho máximo de armazenamento (em MB) para a Lixeira na caixa “ Tamanho
máximo (MB)”
4. Clique em OK
1. Para restaurar um arquivo, clique com o botão direito do mouse no ícone do arquivo e selecione Restaurar
2. Para restaurar todos os arquivos, selecione Todos, vá para Gerenciar e clique em Restaurar os itens selecionados
3. Para excluir um arquivo, clique com o botão direito do mouse no ícone do arquivo e selecione Excluir
ÿ Selecione Todos, clique com o botão direito do mouse e selecione a opção Excluir
o Ambos os métodos mostram uma janela pop-up para confirmar a exclusão permanente dos itens.
Clique em Sim.
Local de armazenamento da Lixeira no sistema de arquivos FAT: O sistema de arquivos FAT mais antigo, usado no Windows
98 e versões anteriores, armazenava os arquivos excluídos na pasta Drive:\RECYCLED .
Não há limite de tamanho para a Lixeira no Vista e versões posteriores do Windows, enquanto as versões mais antigas
tinham um limite máximo de 3,99 GB. A Lixeira não pode armazenar itens maiores que sua capacidade de armazenamento.
Quando um usuário exclui um arquivo ou pasta, o Windows armazena todos os detalhes do arquivo, como seu nome e o
caminho onde foi armazenado, no INFO2, que é um arquivo oculto encontrado na Lixeira.
O sistema operacional usa essas informações para restaurar o arquivo excluído ao seu local original. A pasta oculta Recycled
contém arquivos excluídos de uma máquina Windows.
Nas versões anteriores do Windows, os arquivos excluídos eram renomeados pelo sistema operacional usando o
seguinte formato:
No Windows Vista e versões posteriores, os arquivos excluídos são renomeados pelo sistema operacional usando
o seguinte formato:
$I<#>.<extensão original>, onde <#> representa um conjunto de letras e números aleatórios igual
ao usado para $R
Nas versões do Windows mais recentes que o Vista e XP, o sistema operacional armazena o caminho completo e o nome
do arquivo ou pasta em um arquivo oculto chamado INFO2. Este arquivo permanece dentro da pasta Reciclado ou Reciclador
e armazena informações sobre os arquivos excluídos.
INFO2 é o arquivo de banco de dados mestre e é muito crucial para a recuperação de dados. Ele contém vários detalhes
de arquivos excluídos, como nome do arquivo original, tamanho do arquivo original, data e hora da exclusão, número de
identificação exclusivo e o número da unidade na qual o arquivo foi armazenado.
4 dados recuperados
ÿ
Se os arquivos de metadados relacionados aos arquivos originais não estiverem presentes na pasta, o
investigador pode usar o comando 'copiar' para recuperar os arquivos excluídos (arquivos $R)
Comando:
ÿ
Caso os metadados da Lixeira sejam perdidos ou os dados sejam ocultados intencionalmente pelo
criminoso, o investigador pode seguir as etapas acima para recuperar os arquivos excluídos do
Lixeira para análise posterior
arquivo de escultura
ÿ É uma técnica para recuperar arquivos e fragmentos de arquivos do disco rígido na ausência de metadados do sistema de arquivos
ÿ Nesta técnica, a identificação e extração do arquivo é baseada em certas características , como cabeçalho ou rodapé do arquivo
em vez da extensão do arquivo ou metadados
ÿ Um cabeçalho de arquivo é uma assinatura (também conhecida como número mágico), que é um valor numérico ou de texto constante que
determina um formato de arquivo
Exemplo: ÿ
Um suspeito pode tentar impedir que uma imagem seja detectada pelos investigadores alterando a extensão do arquivo de .jpg para .dll ÿ No
entanto, alterar a extensão do arquivo não altera o cabeçalho do arquivo e a análise informa o formato real do arquivo Exemplo: ÿ Um formato
de arquivo é confirmado como .jpg se mostrar “JFIF” no cabeçalho do arquivo e a assinatura hexadecimal como “4A 46 49 46“
ÿ Os investigadores podem dar uma olhada nos cabeçalhos dos arquivos para verificar o formato do arquivo usando ferramentas como 010 Editor, CI Hex Viewer,
Hexinator, Hex Editor Neo, Qiew, WinHex, etc.
arquivo de escultura
File carving refere-se a uma técnica usada para recuperar arquivos excluídos/perdidos e fragmentos de arquivos do disco rígido
quando os metadados do sistema de arquivos estão ausentes. Ao permitir que os investigadores forenses recuperem arquivos
que foram excluídos/perdidos de um disco rígido, o file carving ajuda a extrair artefatos valiosos relacionados a um caso de
crime cibernético para exame mais aprofundado. Um perpetrador também pode tentar excluir uma partição inteira do disco rígido
e, em seguida, mesclar o espaço não alocado da partição excluída com a partição primária do sistema para evitar que um
investigador identifique a partição perdida.
ÿ Conforme discutido anteriormente, o file carving é o processo de recuperação de arquivos de seus fragmentos e partes
do espaço não alocado do disco rígido na ausência de metadados do sistema de arquivos.
Na computação forense, ajuda os investigadores a extrair dados de um meio de armazenamento sem qualquer
suporte do sistema de arquivos usado na criação do arquivo.
ÿ Espaço não alocado refere-se ao espaço no disco rígido que não contém nenhuma informação de arquivo, mas armazena
dados de arquivo sem os detalhes de sua localização. Os investigadores podem identificar os arquivos usando certas
características, como cabeçalho do arquivo (os primeiros bytes) e rodapé (os últimos bytes).
ÿ Por exemplo, um suspeito pode tentar ocultar uma imagem da detecção pelos investigadores, alterando a extensão do
arquivo de .jpg para .dll. No entanto, alterar a extensão do arquivo não altera o cabeçalho do arquivo, o que pode
revelar o formato real do arquivo. Um formato de arquivo é confirmado como .jpg se mostrar “JFIF” no cabeçalho do
arquivo e a assinatura hexadecimal como “4A 46 49 46“.
ÿ
Os métodos de gravação de arquivos podem variar com base em diferentes elementos, como fragmentos de dados
presentes, técnica de exclusão usada, tipo de mídia de armazenamento etc. Esse processo depende de informações
sobre o formato dos arquivos de interesse existentes. Os investigadores podem analisar
os cabeçalhos do arquivo para verificar o formato do arquivo usando ferramentas como 010 Editor, CI Hex Viewer,
Hexinator, Hex Editor Neo, Qiew, WinHex, etc.
ÿ
A escultura de arquivos não requer estrutura do sistema de arquivos para recuperar dados do disco, enquanto a
recuperação de arquivos requer conhecimento da estrutura do sistema de arquivos para recuperar dados excluídos.
Isso permite que ferramentas forenses, como Autopsy, Recall My Files, EaseUS Data Recovery Wizard Pro e
R-Studio for Windows, recuperem esses arquivos/pastas excluídos do disco rígido. Em SSDs, a recuperação
de arquivos excluídos torna-se difícil, pois o TRIM é ativado por padrão.
recuperação de dados do disco rígido para recuperar dados perdidos do PC, laptop Recuperar meus
ou outra mídia de armazenamento devido a exclusão, formatação, perda de partição, arquivos https:// getdata.com
travamento do sistema operacional, ataques de vírus, etc.
DiskDigger
https:// diskdigger.org
Handy Recovery
https:// www.handyrecovery.com
Recuperação rápida
https:// www.recoveryourdata.com
Recuperação
https:// www.stellarinfo.com
https:// www.easeus.com
EaseUS Data Recovery Wizard é usado para executar a recuperação de formato e desformatar e recuperar arquivos excluídos
esvaziados da Lixeira ou dados perdidos devido a perda ou dano de partição, falha de software, infecção por vírus, desligamento
inesperado , ou qualquer outro motivo desconhecido no Windows 10, 8, 7, 2000/XP/Vista/2003/2008 R2 SP1/Windows 7 SP1. Este
software suporta RAID de hardware e disco rígido, unidade USB, cartão SD, cartão de memória, etc.
Recursos
o Especifica os tipos de arquivo antes da recuperação do arquivo para encontrar arquivos perdidos rapidamente
Figura 5.7: Recuperando arquivos excluídos usando o assistente de recuperação de dados EaseUS
3
4
ÿ É necessário observar que, se um executável apaga a ÿ Ferramentas de terceiros, como Stellar Phoenix
si mesmo, seu conteúdo pode ser recuperado de uma Recuperação de Dados Linux, R-Studio para Linux,
imagem de memória /proc . O comando cp /proc/$PID/ TestDisk, PhotoRec e Kernel para Linux
exe/tmp/file cria uma cópia de um arquivo em /tmp Data Recovery pode ser usado para recuperar
arquivos excluídos do Linux
No Linux, os usuários podem excluir arquivos usando o comando /bin/rm/ , em que o inode apontando para o arquivo é
excluído, mas o arquivo permanece no disco.
Portanto, o investigador forense pode usar ferramentas de terceiros, como Stellar Phoenix Linux Data Recovery, R-Studio
for Linux, TestDisk, PhotoRec, Kernel for Linux Data Recovery, etc., para recuperar dados excluídos do disco.
Se um usuário remover um arquivo que está sendo usado por qualquer processo em execução, o conteúdo do arquivo
ocupará um espaço em disco que não pode ser recuperado por nenhum outro arquivo ou programa.
O segundo sistema de arquivos estendido (ext2) foi projetado de forma a mostrar vários locais onde os dados podem ser
ocultados.
Vale ressaltar que se um executável apagar a si mesmo, seu conteúdo pode ser recuperado de uma imagem de memória /
proc . O comando cp/proc/$PID/exe/tmp/file cria uma cópia de um arquivo em /tmp.
Ao contrário do Windows, o Linux pode acessar e recuperar dados de uma variedade de máquinas. O kernel do Linux
oferece suporte a um grande número de sistemas de arquivos, incluindo sistemas de arquivos VxFS, UFS, HFS, NTFS e FAT.
Alguns sistemas de arquivos não são legíveis em um ambiente Windows, e os usuários podem facilmente recuperar esses
arquivos usando uma distribuição inicializável do Linux, como o Knoppix. Ferramentas de terceiros, como Stellar Phoenix
Linux Data Recovery, R-Studio for Linux, TestDisk, PhotoRec e Kernel for Linux Data Recovery, podem ser usadas para
recuperar arquivos excluídos do Linux.
ÿ A imagem adquirida forense do SSD desativado por TRIM deve ser examinada usando ferramentas de escultura
de arquivo, como Autopsy, R-Studio, etc.
ÿ
Na autópsia, os dados esculpidos do arquivo de evidências forenses são exibidos na fonte de dados apropriada
com o título “$CarvedFiles”
Quando uma partição é excluída de um disco, as entradas com a respectiva partição excluída
são removidas pelo computador da tabela de partições MBR
Os investigadores usam ferramentas como R-Studio e EaseUS Data Recovery Wizard para
escanear o disco em busca de partições perdidas e recuperá-las
Quando um usuário exclui uma partição do disco, os dados alocados para a partição são perdidos e a partição
excluída é convertida em espaço não alocado no disco.
A tabela de partições MBR armazena os registros das partições primárias e estendidas disponíveis no disco.
Portanto, sempre que uma partição é excluída do disco, as entradas pertencentes às partições são removidas
da tabela de partições MBR.
Um invasor/interno com intenção maliciosa pode excluir uma partição e mesclá-la com a partição primária.
Quando uma partição não alocada é encontrada durante a investigação forense, o investigador usa ferramentas automatizadas,
como o EaseUS Data Recovery Wizard, para descobrir a partição perdida e recuperar os dados dela
A ferramenta EaseUS Data Recovery Wizard recupera dados das partições do sistema de arquivos baseadas em FAT e NTFS
Quando uma partição não alocada é encontrada durante a investigação forense, o investigador usa ferramentas
automatizadas, como o EaseUS Data Recovery Wizard, para descobrir a partição perdida e recuperar os dados
dela.
A ferramenta EaseUS Data Recovery Wizard recupera dados das partições do sistema de arquivos baseadas em
FAT e NTFS.
Figura 5.10: Partição não alocada detectada usando o EaseUS Data Recovery
Anti-
forense
Técnica:
Senha Ao conduzir uma investigação forense no computador do suspeito,
acessar recursos protegidos por senha é um dos desafios
Proteção
enfrentados pelo investigador
Os invasores e intrusos usam essas técnicas de proteção para ocultar dados de evidência, impedir a
engenharia reversa de aplicativos, dificultar a extração de informações de dispositivos de rede e
impedir o acesso ao sistema e ao disco rígido. Isso pode dificultar o trabalho dos investigadores
forenses. A criptografia é uma técnica preferida para dissuadir a análise forense. Nesses casos, os
investigadores podem usar ferramentas de quebra de senha, como ophcrack e RainbowCrack, para
burlar a proteção por senha.
Tipos de senha
Tipos de senha
Os dispositivos de computação podem armazenar e transmitir senhas como senhas de texto não criptografado,
ofuscadas e com hash, das quais apenas as senhas com hash precisam ser quebradas, enquanto os outros tipos de
senha podem ajudar na fase de quebra.
o Exemplo: o Registro do Windows armazena a senha de logon automático em texto não criptografado no
registro, HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
o Os investigadores podem usar ferramentas como Cain e Ettercap para detectar senhas de texto não criptografado
ÿ Senhas ofuscadas
o Quando a transformação é reversível, a senha torna-se ilegível quando o usuário aplica um algoritmo e na
aplicação do algoritmo reverso, ele retorna ao formato de texto não criptografado
ÿ Hashes de senha
o Hashes de senha são uma assinatura da senha original gerada usando um algoritmo unidirecional. As
senhas são hash usando algoritmos de hash (MD5, SHA, etc.), que não são reversíveis
Quebra de senha
Técnicas
Ataque de dicionário
Existem três técnicas populares para quebra de senha e elas são discutidas abaixo:
ÿ Ataques de Dicionário
o Na análise de criptografia, ajuda a descobrir a chave de descriptografia para obter o texto simples de
o texto cifrado
Algoritmos criptográficos devem ser fortes o suficiente para impedir um ataque de força bruta. A RSA define o ataque
de força bruta como “[uma] técnica básica para tentar todas as chaves possíveis em turnos até que a chave correta
seja identificada”.
Um ataque de força bruta é essencialmente um ataque criptoanalítico usado para descriptografar qualquer dado
criptografado (que pode ser chamado de cifra).
Em outras palavras, envolve testar todas as chaves possíveis na tentativa de recuperar o texto simples, que é a
base para a produção de um determinado texto cifrado.
Os ataques de força bruta precisam de mais poder de processamento em comparação com outros ataques. A
detecção de chaves ou texto simples em um ritmo rápido em um ataque de força bruta resulta na quebra da cifra.
Uma cifra é segura se não existir nenhum método para quebrá-la além de um ataque de força bruta. Principalmente,
todas as cifras carecem de prova matemática de segurança.
o É um processo demorado
o Um ataque contra hash de tecnologia de rede (NT) é muito mais difícil contra LAN
Gerenciador (LM) hash
Os invasores usam um ataque baseado em regras quando conhecem algumas informações confiáveis sobre a
senha, como regras para definir a senha, algoritmos envolvidos ou as strings e caracteres usados em sua criação.
Por exemplo, se os invasores souberem que a senha contém um número de dois ou três dígitos, eles usarão
algumas técnicas específicas para extração mais rápida da senha.
Ao obter informações úteis, como uso de números, comprimento da senha e caracteres especiais, o invasor pode
aprimorar o desempenho da ferramenta de cracking e, assim, reduzir o tempo necessário para recuperar a senha.
Esta técnica envolve ataques de força bruta, de dicionário e de sílaba (um ataque de sílaba combina tanto um ataque
de força bruta como um ataque de dicionário eéfrequentemente usado para quebrar as senhas que não consistem
numa palavra real mas numa mistura de caracteres e sílabas ).
Os invasores podem usar vários dicionários, técnicas de força bruta ou simplesmente tentar adivinhar a senha.
L0phtCrack
https:// www.l0phtcrack.com
ophcrack
https:// ophcrack.sourceforge.io
Caim e Abel
https:// www.oxid.it
RainbowCrack
https:// project-rainbowcrack.com
https:// www.passware.com
O Passware Kit Forensic é a solução completa de descoberta de evidências eletrônicas criptografadas que
relata e descriptografa todos os itens protegidos por senha em um computador. Ele suporta MS Office, PDF,
Zip e RAR, QuickBooks, FileMaker, Lotus Notes, carteiras Bitcoin, Apple iTunes Backup, Mac OS X Keychain,
gerenciadores de senhas, etc. Ele analisa imagens de memória ao vivo e arquivos de hibernação e extrai
chaves de criptografia para APFS, FileVault2, TrueCrypt, VeraCrypt, BitLocker e logins para contas Windows
e Mac de imagens de memória e arquivos de hibernação. O Passware Bootable Memory Imager adquire
memória de computadores Windows, Linux e Mac.
Esteganografia é uma técnica de ocultar O invasor pode usar a esteganografia para O investigador forense examina o Stego-
uma mensagem secreta dentro de uma ocultar mensagens como uma lista de Object para extrair as informações ocultas
mensagem comum e extraí-la no destino servidores comprometidos, código-fonte
para manter da ferramenta de hacking e planos para
confidencialidade dos dados ataques futuros
Função de função de
incorporação extração
Uma das deficiências de vários programas de detecção é seu foco principal na transmissão de dados de
texto. E se um invasor contornar as técnicas normais de vigilância e ainda conseguir roubar ou transmitir
dados confidenciais? Em uma situação típica, depois que um invasor consegue entrar em uma empresa
como funcionário temporário ou contratado, ele/ela procura informações sigilosas sub-repticiamente. Embora
a organização possa ter uma política que não permita equipamentos eletrônicos removíveis nas instalações,
um invasor determinado ainda pode encontrar maneiras de fazer isso usando técnicas como a esteganografia.
A esteganografia refere-se à arte de ocultar dados “atrás” de outros dados sem o conhecimento do alvo,
ocultando assim a existência da própria mensagem. Ele substitui bits de dados não utilizados em arquivos
comuns, como gráfico, som, texto, áudio, vídeo, etc., por alguns outros bits sub-reptícios. Os dados ocultos
podem ser texto simples ou texto cifrado, ou podem ser uma imagem. Utilizar uma imagem gráfica como
capa é o método mais popular para ocultar dados em arquivos. A esteganografia é preferida pelos invasores
porque, ao contrário da criptografia, não é fácil de detectar.
Por exemplo, os invasores podem ocultar um keylogger dentro de uma imagem legítima; portanto, quando
a vítima clica na imagem, o keylogger captura as teclas digitadas pela vítima.
Os invasores também usam a esteganografia para ocultar informações quando a criptografia não é viável.
Em termos de segurança, ele oculta o arquivo em um formato criptografado para que, mesmo que o invasor
o descriptografe, a mensagem permaneça oculta. Os invasores podem inserir informações como código-
fonte de uma ferramenta de hacking, lista de servidores comprometidos, planos para ataques futuros, canal
de comunicação e coordenação, etc. O investigador forense examina o Stego-Object para extrair as
informações ocultas.
Função de função de
incorporação extração
OpenStegoGenericName StegSpy
ÿ O OpenStego fornece duas funcionalidades principais: ocultação de ÿ StegSpy identifica um arquivo “esteganizado”
dados e marca d'água. Ele permite que os investigadores extraiam e detecta esteganografia e o programa
dados ocultos para análise. usado para ocultar a mensagem
ÿ Estego Aberto
o Ocultação de dados: Pode ocultar quaisquer dados dentro de um arquivo de capa (por exemplo, imagens).
o Marca d'água (beta): Arquivos de marca d'água (por exemplo, imagens) com uma assinatura invisível. Isto
pode ser usado para detectar a cópia de arquivo não autorizada.
ÿ StegSpy
o Hiderman o JPEG
o mascarado
ADS, ou um fluxo de dados alternativo, é um recurso do sistema de arquivos NTFS que ajuda os usuários a localizar um
arquivo usando informações de metadados alternativos, como o título do autor. Ele permite que os arquivos tenham mais
de um fluxo de dados, que são invisíveis para o Windows Explorer e requerem ferramentas especiais para visualização.
Assim, o ADS torna mais fácil para os criminosos ocultar dados em arquivos e acessá-los quando necessário. Os
invasores também podem armazenar arquivos executáveis no ADS e executá-los usando o utilitário de linha de comando.
O ADS permite que o invasor oculte qualquer número de fluxos em um único arquivo sem modificar o tamanho do
arquivo, a funcionalidade etc., exceto a data do arquivo. No entanto, a data do arquivo pode ser modificada usando
ferramentas anti-forenses como TimeStomp. Em alguns casos, esses ADS ocultos podem ser usados para explorar
remotamente um servidor da web.
Um ADS contém metadados, como registros de data e hora de acesso, atributos de arquivo, etc. Os investigadores
precisam encontrar o ADS e extrair as informações presentes nele. Como o sistema não pode modificar os dados do
ADS, recuperá-los pode oferecer detalhes brutos do arquivo e a execução do malware.
Além de usar os métodos mencionados acima, os investigadores também podem usar ferramentas de software para
identificar arquivos ADS e extrair os fluxos adicionais.
Técnica anti-forense:
Ofuscação de trilha
ÿ Comandos de Tróia
Os invasores podem fazer isso usando várias ferramentas e técnicas, como as listadas abaixo:
ÿ Limpadores de toras
ÿ Contas Zumbi
ÿ Falsificação
ÿ Comandos de Tróia
ÿ Desinformação
A ofuscação do conteúdo do tráfego pode ser obtida por meio de VPNs e tunelamento SSH.
Nesse processo, os invasores excluem ou modificam os metadados de alguns arquivos importantes para confundir os
investigadores. Eles modificam informações de cabeçalho e extensões de arquivo usando várias ferramentas.
Timestomp, que faz parte do Metasploit Framework, é uma ferramenta de ofuscação de trilha que os invasores usam
para modificar, editar e excluir os metadados de data e hora em um arquivo e torná-lo inútil para os investigadores.
Transmogrify é outro exemplo de tal ferramenta.
ÿ Temporização
Timestomp é uma das ferramentas de ofuscação de trilha mais amplamente usadas que permitem a exclusão
ou modificação de informações relacionadas a carimbo de data/hora em arquivos. O procedimento para
contornar essa técnica é abordado na seção “Detectando dados/metadados sobrescritos”.
ÿ A desmagnetização do disco é um processo pelo qual um forte ÿ A formatação de um disco rígido não apaga os dados
campo magnético é aplicado ao dispositivo de armazenamento, presentes no disco, mas limpa suas tabelas de
resultando em um dispositivo totalmente limpo de quaisquer dados endereços e desvincula todos os arquivos do sistema de
armazenados anteriormente arquivos
Observação: é difícil recuperar dados que foram eliminados usando essas técnicas. Portanto, é recomendável que as organizações façam
backup dos dados regularmente.
A limpeza de artefato refere-se ao processo de exclusão ou destruição permanente dos arquivos de evidências
usando utilitários de limpeza de arquivos e de disco e técnicas de desmagnetização/destruição de disco. O
invasor elimina permanentemente determinados arquivos ou o próprio sistema de arquivos.
A limpeza de disco envolve o apagamento de dados do disco, excluindo seus links para blocos de memória e
substituindo o conteúdo da memória. Nesse processo, o aplicativo substitui o conteúdo do MBR, tabela de partição e
outros setores do disco rígido com caracteres como caractere nulo ou qualquer caractere aleatório várias vezes
(usando padrões de limpeza de dados). Nesse caso, o investigador forense acha difícil recuperar os dados do
dispositivo de armazenamento.
Alguns dos utilitários de limpeza de disco comumente usados incluem BCWipe Total WipeOut, CyberScrub cyberCide,
DriveScrubber, ShredIt, etc.
Esses utilitários excluem arquivos individuais de um sistema operacional em um curto espaço de tempo e deixam
uma assinatura muito menor quando comparada com os utilitários de limpeza de disco. No entanto, alguns
especialistas acreditam que muitas dessas ferramentas não são eficazes, pois não eliminam os dados com precisão
ou completamente e também exigem o envolvimento do usuário. Os utilitários de limpeza de arquivos comumente
usados são BCWipe, R-Wipe & Clean, CyberScrub Privacy Suite, etc.
A desmagnetização do disco é um processo pelo qual um forte campo magnético é aplicado ao dispositivo de
armazenamento, resultando em um dispositivo totalmente limpo de quaisquer dados armazenados anteriormente. A
destruição física do dispositivo é uma das técnicas mais utilizadas para garantir a limpeza dos dados.
O NIST recomenda uma variedade de métodos para realizar a destruição física da mídia digital, que inclui
desintegração, incineração, pulverização, trituração e derretimento.
Intrusos usam técnicas de desmagnetização/destruição de disco para tornar os dados probatórios indisponíveis para
investigadores forenses.
ÿ Formatação de Disco
A formatação de um disco rígido não apaga os dados presentes no disco, mas limpa suas tabelas de endereços e
desvincula todos os arquivos do sistema de arquivos. Posteriormente, uma nova árvore de arquivos é configurada
para uso com o sistema operacional. Depois de formatar um disco rígido, o investigador forense pode recuperar
dados de uma unidade formatada.
Observação: é difícil recuperar dados que foram eliminados usando essas técnicas. Portanto, é recomendável que as
organizações façam backup dos dados regularmente.
Sobrescrevendo Metadados
ÿ Os investigadores usam metadados para criar uma linha do tempo das ações do perpetrador, organizando todos os dados do computador
timestamps em uma sequência
ÿ Embora os invasores possam usar ferramentas para limpar o conteúdo da mídia, essa ação em si pode chamar a atenção de
investigadores. Portanto, os invasores encobrem seus rastros sobrescrevendo os metadados (ou seja, tempos de acesso), dificultando a construção
da linha do tempo.
ÿ Ex: Timestomp (parte do Metasploit Framework) é usado para alterar MACE (Modified-Accessed-Created-Entry)
atributos do arquivo
diferentes técnicas para sobrescrever dados ou metadados (ou ambos) em uma mídia de armazenamento, representando um
desafio para os investigadores durante a recuperação de dados.
Sobrescrevendo Metadados
ÿ Os investigadores usam metadados para criar uma linha do tempo das ações do perpetrador, organizando
todos os timestamps do computador em uma sequência
ÿ Embora os invasores possam usar ferramentas para limpar o conteúdo da mídia, essa ação em si pode chamar a atenção
dos investigadores. Portanto, os invasores encobrem seus rastros sobrescrevendo os metadados (ou seja, tempos de
acesso), dificultando a construção da linha do tempo. ÿ Ex: Timestomp (parte do Metasploit Framework) é usado para
ÿ Outra forma de confundir o investigador é aceder ao computador de forma a que não sejam gerados metadados
o Exemplos: Montar uma partição como somente leitura ou acessá-la por meio do dispositivo bruto,
impede que os metadados do arquivo sejam atualizados
Anti-forense
Técnica:
Criptografia
ÿ A criptografia de dados é uma ÿ Intrusos usam fortes ÿ Além disso, a maioria dos programas de ÿ A criptoanálise pode ser usada
das técnicas comumente algoritmos de criptografia para criptografia é capaz de executar funções para descriptografar dados
usadas para derrotar a criptografar dados de valor adicionais, incluindo o uso de um arquivo criptografados
investigação forense investigativo, o que os torna de chave, criptografia de volume total
• Exemplo: CryptoTool
processar praticamente ilegíveis sem o e negação plausível; que torna o trabalho
do investigador mais difícil
chave designada
A criptografia é uma maneira eficaz de proteger os dados que envolve o processo de tradução de dados em um
código secreto que somente o pessoal autorizado pode acessar.
Para ler o arquivo criptografado, os usuários precisam de uma chave secreta ou senha que possa descriptografar o
arquivo. Devido à sua eficácia e facilidade de uso, a maioria dos invasores prefere usar técnicas de criptografia para
análise forense.
Os invasores usam algoritmos de criptografia fortes para criptografar dados de valor investigativo, o que os torna
praticamente ilegíveis sem a chave designada. Alguns algoritmos são capazes de evitar os processos de
investigação executando funções adicionais, incluindo o uso de um arquivo de chave, criptografia de volume total e
negação plausível.
Listados abaixo estão os utilitários de criptografia integrados fornecidos pela Microsoft para Windows 7 e posterior:
ÿ Exemplo: CryptoTool
Fluxo do módulo
1 2
Entenda o Anti-Forense e Discutir Anti-forense
suas Técnicas Contramedidas
Contramedidas anti-forenses
Contramedidas anti-forenses
Os investigadores podem superar as técnicas anti-forenses discutidas neste módulo por meio de monitoramento
aprimorado de dispositivos e uso de CFTs atualizados. Algumas das contramedidas importantes contra técnicas anti-
forenses estão listadas abaixo:
Observação: é melhor não depender totalmente de ferramentas específicas, pois as próprias ferramentas não são
imunes a ataques.
Ferramentas anti-forenses
http:// stegstudio.sourceforge.net
Ferramentas anti-forense
Algumas ferramentas anti-forenses estão listadas a seguir:
Resumo do Módulo
Este módulo discutiu as técnicas anti-forenses
Ele também discutiu como detectar esteganografia, dados ocultos em estruturas do sistema
de arquivos e ofuscação de trilha
Finalmente, este módulo terminou com uma discussão detalhada sobre as contramedidas
e ferramentas anti-forenses
Resumo do Módulo
Este módulo discutiu várias técnicas anti-forenses. Ele explicava a exclusão de dados e a análise forense da Lixeira. Ele
também discutiu em detalhes técnicas e métodos de gravação de arquivos para recuperar evidências de partições
excluídas. Além disso, este módulo discutiu técnicas de cracking/bypass de senha. Ele também discutiu como detectar
esteganografia, dados ocultos em estruturas do sistema de arquivos e ofuscação de trilhas. Além disso, explicou as técnicas
de limpeza de artefatos, detecção de dados/metadados sobrescritos e criptografia. Por fim, este módulo apresentou uma
discussão detalhada sobre contramedidas e ferramentas antiforenses.
MT
CE-Conselho
EC-Council
D FE
Digital
Digital
Forensics Essentials
Princípios Forenses
Módulo 06
W i n d ow s F o r e n s e
Machine Translated by Google
Objetivos do módulo
Objetivos do módulo
A análise forense do Windows refere-se à investigação de crimes cibernéticos envolvendo máquinas Windows. Envolve
a coleta de evidências de uma máquina Windows para que o(s) autor(es) de um crime cibernético possam ser
identificados e processados. O Windows é um dos sistemas operacionais mais usados; portanto, a possibilidade de uma
máquina Windows estar envolvida em um incidente é alta. Portanto, os investigadores devem ter uma compreensão
completa dos vários componentes de um sistema operacional Windows, como sistema de arquivos, registros, arquivos
de sistema e logs de eventos, onde podem encontrar dados de valor probatório.
Este módulo discute como coletar e examinar evidências forenses relacionadas a incidentes de crimes cibernéticos em
máquinas Windows.
Módulo 06 Página 274 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Fluxo do módulo
Colete voláteis e
1 Informações não voláteis
Informações voláteis são perdidas quando um sistema é desligado; normalmente reside na RAM do sistema.
Do ponto de vista forense, produz artefatos valiosos, como usuários logados, histórico de comandos, recursos
compartilhados, informações relacionadas à rede, informações relacionadas a processos, informações sobre
arquivos abertos, etc.
Informações não voláteis referem-se a dados persistentes que não são perdidos quando um sistema falha ou é
desligado. Essas informações geralmente residem no disco rígido interno, unidade flash ou disco rígido externo
do sistema. Do ponto de vista forense, revela artefatos valiosos, como informações contidas no registro do
Windows, sistemas de arquivos, arquivos de banco de dados, dispositivos externos conectados ao sistema,
informações de partições ocultas, etc.
Esta seção discute como os investigadores forenses podem coletar informações voláteis e não voláteis dos
sistemas Windows.
Módulo 06 Página 275 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
A “análise forense do sistema operacional” envolve o exame forense do sistema operacional do computador. Os
sistemas operacionais mais usados são Windows, MacOS e Linux. É altamente provável que os investigadores
forenses encontrem um desses sistemas operacionais durante a investigação na cena do crime. Assim, é
imprescindível que eles tenham um conhecimento aprofundado desses sistemas operacionais, suas funcionalidades,
métodos de processamento, armazenamento e recuperação de dados, além de outras características.
Os investigadores também devem ter conhecimento profundo dos comandos ou metodologias utilizadas, conceitos
técnicos chave, processo de coleta de dados voláteis e não voláteis, análise de memória, análise de registro do
Windows, cache, cookie e análise de histórico, etc. uma investigação forense digital bem-sucedida.
Módulo 06 Página 276 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ A coleta de informações voláteis ajuda a determinar uma linha do tempo lógica do incidente de
segurança e dos usuários responsáveis
Informações voláteis podem ser adquiridas durante a aquisição de dados ao vivo. As informações obtidas de dados
voláteis podem ajudar o investigador forense a realizar análises de malware, examinar arquivos de log e arquivos
de cache, determinar senhas, etc. Tudo isso pode servir como fonte potencial de evidências durante a investigação
forense.
Conforme mencionado anteriormente, as informações voláteis referem-se aos dados armazenados nos registros,
cache e RAM dos dispositivos digitais. Essas informações geralmente são perdidas ou apagadas sempre que o
sistema é desligado ou reinicializado. A informação volátil é dinâmica por natureza e muda com o tempo; assim, os
investigadores devem ser capazes de coletar os dados em tempo real.
Dados voláteis existem na memória física ou RAM e consistem em informações de processo, mapeamento de
processo para porta, memória de processo, conexões de rede, conteúdo da área de transferência, estado do
sistema, etc. Os investigadores devem coletar esses dados durante o processo de aquisição de dados ao vivo.
Além disso, eles devem seguir o princípio de troca de Locard e coletar o conteúdo da RAM logo no início da
investigação para minimizar o impacto de etapas posteriores na integridade do conteúdo da RAM.
Os investigadores precisam estar bem cientes do fato de que as ferramentas que estão executando para coletar
outras informações voláteis podem modificar o conteúdo da memória. Com base nas informações voláteis coletadas,
os investigadores podem determinar o(s) usuário(s) conectado(s), cronograma de um incidente de segurança,
programas e bibliotecas envolvidos, arquivos acessados e compartilhados durante um ataque suspeito, bem como
outros detalhes, como informações de rede, rede conexões, status de rede, arquivos abertos, mapeamento de
processo para porta, unidades mapeadas, histórico de comandos, informações de processo, memória de processo,
compartilhamentos, conteúdo da área de transferência, etc.
Módulo 06 Página 277 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ O tempo de atividade do sistema fornece uma ideia de quando uma tentativa de exploração pode ter sido
bem sucedido
Nota: Adquira ou duplique a memória do sistema de destino antes de extrair dados voláteis,
pois os comandos usados no processo podem alterar o conteúdo da mídia e tornar a prova
legalmente inválida
Copyright © por EC-Council. Todos os direitos reservados. A reprodução é estritamente proibida.
Módulo 06 Página 278 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Comando:
data /t & hora /t
Nota: Adquira ou duplique a memória do sistema de destino antes de extrair dados voláteis, pois os
comandos usados no processo podem alterar o conteúdo da mídia e tornar a prova legalmente inválida.
Módulo 06 Página 279 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Sintaxe:
psloggedon [- ] [-l] [-x] [\\computername | nome do usuário]
Sintaxe:
sessões de rede
[\\<Nomedocomputador>]
[/delete] [/lista]
Módulo 06 Página 280 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Ferramenta LogonSessions
Sintaxe:
sessões de logon [-c[t]] [-p]
Durante uma investigação, um investigador deve coletar detalhes de todos os usuários conectados ao sistema
suspeito. Isso inclui não apenas informações sobre pessoas conectadas localmente (através do console ou teclado),
mas também aquelas que tiveram acesso remoto ao sistema (por exemplo, através do comando net use ou através
de um compartilhamento mapeado). Essas informações permitem que um investigador adicione contexto a outras
informações coletadas do sistema, como o contexto do usuário de um processo em execução, o proprietário de um
arquivo e os últimos horários de acesso aos arquivos.
ÿ PsLoggedOn
PsLoggedOn é um applet que exibe tanto os usuários conectados localmente quanto os usuários conectados
remotamente. Se você especificar um nome de usuário em vez de um computador. PsLoggedOn pesquisa
os computadores na vizinhança da rede e mostra se o usuário está conectado no momento.
Sintaxe:
o -: Este parâmetro exibe as opções suportadas e as unidades de medida usadas para valores de saída
o -l: Este parâmetro é usado para mostrar apenas logons locais em vez de locais e de rede
logons de recursos
o -x: Este parâmetro informa ao comando para não mostrar os horários de logon
Módulo 06 Página 281 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Figura 6.2: Usando PsLoggedOn para coletar informações sobre usuários conectados
ÿ sessões net
O comando net sessions é usado para gerenciar as conexões do computador servidor. Quando usado sem
parâmetros, exibe informações sobre todas as sessões de login do computador local. Este comando exibe os
nomes de computador e nomes de usuários em um servidor. Ele pode ajudar os investigadores a determinar se
os usuários têm algum arquivo aberto e há quanto tempo cada sessão do usuário está no modo ocioso.
Sintaxe:
net sessões [\\<ComputerName>] [/delete] [/list]
Parâmetros:
o /delete: Este parâmetro encerra a sessão com o computador cliente especificado e fecha todos os arquivos
abertos no computador local para a sessão. Se você omitir \\<ComputerName>, todas as sessões no
computador local serão canceladas.
o /list: Este parâmetro exibe informações em uma lista em vez de uma tabela.
Módulo 06 Página 282 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Figura 6.3: Executando o comando net sessions para coletar informações sobre as sessões de login de um computador local
ÿ LogonSessions
A ferramenta LogonSessions, quando executada sem nenhuma opção, lista as sessões conectadas atualmente
ativas. Se a opção -p for usada, ela fornecerá informações sobre os processos em execução em cada sessão.
Sintaxe:
o -ct: Este parâmetro imprime a saída como valores delimitados por tabulações
Figura 6.4: Executando LogonSessions para exibir as sessões de logon ativas no momento
Módulo 06 Página 283 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Exibe detalhes de arquivos compartilhados abertos em um servidor, como nome, ID e o número de bloqueios de
cada arquivo, se houver. Ele também fecha arquivos compartilhados individualmente e remove bloqueios de arquivos.
comando de arquivo net
ÿ A sintaxe do comando net file:
net file [ID [/close]]
Colete informações sobre os arquivos abertos pelo invasor usando o login remoto. O comando net file reflete os nomes
de todos os arquivos abertos no servidor e o número de bloqueios de arquivo em cada arquivo, se houver. Este
comando também pode fechar arquivos compartilhados individualmente e remover bloqueios de arquivos.
Quando usado sem parâmetros, a ferramenta listará os arquivos abertos e ajudará a controlar os arquivos
compartilhados em uma rede.
Sintaxe:
Módulo 06 Página 284 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Exibe o nome do arquivo, computador e nome de usuário, informações de permissão (leitura/gravação/criação), bloqueios
Investigadores forenses podem usar a ferramenta NetworkOpenedFiles para coletar informações sobre todos os
arquivos que foram abertos no sistema host por meio de login remoto.
ÿ NetworkOpenedFiles
NetworkOpenedFiles é uma ferramenta simples para Windows que exibe a lista de todos os arquivos que
foram abertos por outros computadores na rede.
Para cada arquivo aberto, as seguintes informações são exibidas: nome do arquivo, nome de usuário, nome
do computador (no Windows 7/2008 e posterior), informações sobre permissões (leitura/gravação/criação),
contagem de bloqueios, proprietário do arquivo, tamanho do arquivo, atributos do arquivo e mais.
Módulo 06 Página 285 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Módulo 06 Página 286 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Sintaxe:
Frequentemente, quando invasores obtêm acesso remoto a um sistema, eles tentam encontrar outros sistemas
conectados à rede e visíveis ao sistema comprometido. Para conseguir isso, os invasores criam e executam arquivos
em lote no sistema e lançam comandos net view via injeção SQL (usando um navegador para enviar comandos ao
sistema por meio dos servidores web e de banco de dados).
Quando os usuários estabelecem conexões com outros sistemas usando a rede NetBIOS, os sistemas mantêm uma
lista de outros sistemas visíveis. Ao visualizar o conteúdo da tabela de nomes em cache, o investigador pode determinar
os outros sistemas afetados na rede.
Um investigador deve coletar vários tipos de informações de rede para encontrar evidências do incidente suspeito. As
informações de rede úteis para investigação incluem o seguinte:
ÿ Pacotes de rede
Módulo 06 Página 287 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
O cache da tabela de nomes NetBIOS mantém uma lista de conexões feitas com outros sistemas usando a rede
NetBIOS. Ele contém o nome do sistema remoto e o endereço IP. O utilitário de linha de comando nbtstat no
Windows mostra o cache da tabela de nomes NetBIOS.
ÿ nbtstat
nbtstat ajuda a solucionar problemas de resolução de nomes NetBIOS. Quando uma rede está funcionando
normalmente, NetBIOS sobre TCP/IP (NetBT) resolve nomes NetBIOS para endereços IP.
Sintaxe:
nbtstat [-a RemoteName] [-A endereço IP] [-c] [-n] [-r] [-R] [-RR] [-s] [-
S] [intervalo]
Parâmetros:
o -c: Mostra o conteúdo da tabela de cache de nome remoto NetBIOS, que contém
Mapeamentos de nome-para-endereço IP NetBIOS
o -n: Exibe os nomes que foram registrados localmente no sistema pelo NetBIOS
aplicativos como o servidor e o redirecionador
o -r: Exibe a contagem de todos os nomes NetBIOS resolvidos por transmissão e consultando um
Servidor Windows Internet Naming Service (WINS)
Módulo 06 Página 288 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Módulo 06 Página 289 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Netstat com opção –ano exibe detalhes das conexões de rede TCP e UDP, incluindo portas de escuta e
os identificadores
Sintaxe:
netstat [-a] [-e] [-n] [-o] [-p <Protocolo>] [-r] [-s] [<Intervalo>]
O investigador deve coletar informações sobre conexões de rede de e para o sistema afetado imediatamente após o
relato de qualquer incidente, caso contrário, as informações podem expirar com o tempo.
Os investigadores devem procurar imediatamente por outros sistemas infectados e colocá-los offline para evitar a
propagação de malware.
ÿ netstat
A ferramenta Netstat ajuda na coleta de informações sobre conexões de rede operativas em um sistema
Windows. Esta ferramenta CLI fornece uma visão simples das conexões TCP e UDP, seu estado e
estatísticas de tráfego de rede. Netstat.exe vem como uma ferramenta integrada com o sistema operacional Windows.
A maneira mais comum de executar o netstat é com a opção -ano . Essa opção informa ao programa para
exibir as conexões de rede TCP e UDP, as portas de escuta e os identificadores dos processos (PIDs).
Usar netstat com a opção -r exibirá a tabela de roteamento e mostrará se alguma rota persistente está
habilitada no sistema. Isso pode fornecer algumas informações úteis para um investigador ou simplesmente
para um administrador para solucionar problemas de um sistema.
Sintaxe:
netstat [-a] [-e] [-n] [-o] [-p <Protocolo>] [-r] [-s] [<Intervalo>]
Módulo 06 Página 290 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Parâmetros:
o -a: Exibe todas as conexões TCP ativas, bem como as portas TCP e UDP nas quais o
computador está ouvindo
o -n: Exibe conexões TCP ativas. No entanto, os endereços e números de porta são
expressa numericamente sem nomes especificados.
o -o: Exibe as conexões TCP ativas e inclui o ID do processo (PID) para cada conexão. Usando o PID, o
aplicativo pode ser encontrado na guia Processos no Gerenciador de Tarefas do Windows. Esse
parâmetro pode ser combinado com -a, -n e -p.
o -p Protocol: Mostra conexões para o protocolo especificado. Nesse caso, o protocolo pode ser TCP,
UDP, ICMP, IP, ICMPv6, IPv6, TCPv6 ou UDPv6. O uso desse parâmetro com -s exibirá estatísticas
baseadas em protocolo.
o -s: Exibe estatísticas por protocolo. Por padrão, ele mostrará as estatísticas dos protocolos TCP, UDP,
ICMP e IP. Caso o protocolo IPv6 esteja instalado, a ferramenta exibe estatísticas para os protocolos
TCP sobre IPv6, UDP sobre IPv6, ICMPv6 e IPv6. O uso do parâmetro -p pode especificar um conjunto
de protocolos.
o -r: Exibe o conteúdo da tabela de roteamento IP. Isso é equivalente à impressão de rota
comando.
Módulo 06 Página 291 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Módulo 06 Página 292 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Processo de informação
Lista de tarefas
remoto
Módulo 06 Página 293 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Processo de informação
Os investigadores devem coletar informações sobre todos os processos em execução no sistema. Eles podem usar o
Gerenciador de Tarefas para visualizar informações sobre cada processo. No entanto, o Gerenciador de Tarefas não exibe
todas as informações necessárias prontamente. Um Investigador pode recuperar todas as informações do processo procurando
os detalhes listados abaixo:
Módulo 06 Página 294 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Portanto, os investigadores devem aprender a adotar certas fontes ou ferramentas e comandos para coletar os
detalhes completos ou informações pertencentes a um processo. Algumas ferramentas e comandos importantes
usados para coletar informações detalhadas do processo estão listados abaixo:
ÿ Lista de Tarefas
Tasklist.exe é um utilitário nativo incluído no Windows XP Pro e versões posteriores como substituto do
tlist.exe. As diferenças entre as duas ferramentas são muito pequenas, principalmente relacionadas ao
nome e à implementação das opções. Ele fornece opções para formatação de saída, com opções entre os
formatos de tabela, CSV e lista. O investigador pode usar a opção /svc para listar as informações de serviço
para cada processo.
A ferramenta Tasklist exibe a lista de aplicativos e serviços junto com as IDs de processo (PID) para todas
as tarefas que estão sendo executadas em um computador conectado local ou remotamente.
Sintaxe:
lista de tarefas[.exe] [/s computador] [/u domínio\usuário [/p senha]] [/fo {TABLE|LIST|
CSV}] [/nh] [/fi FilterName [/fi FilterName2 [ ... ] ]] [/m [ModuleName] | /svc | /v]
Parâmetros:
Módulo 06 Página 295 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
o /u Domínio \ Usuário: Executa o comando com as permissões de conta do usuário especificado por Usuário
ou Domínio\Usuário
o /svc: Lista todas as informações de serviço para cada processo sem truncamento
o /v: Especifica que as informações detalhadas da tarefa sejam exibidas na saída; não deve ser usado com o
parâmetro /svc ou /m
Observação: a opção /v (ou detalhada) fornece a maioria das informações sobre os processos listados, incluindo
o nome da imagem (mas não o caminho completo), PID, nome e número da sessão do processo, o status do
processo, o nome de usuário do contexto em que o processo é executado e o título da janela (se o processo tiver
uma GUI).
ÿ PsList
pslist.exe exibe informações básicas sobre os processos já em execução em um sistema, incluindo a quantidade
de tempo que cada processo está em execução (nos modos kernel e usuário).
Parâmetros:
Módulo 06 Página 296 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Adicione um nome de usuário com o parâmetro -u e uma senha com -p para fornecer o nome de usuário e a senha de
um sistema remoto para fazer login nele.
o Pid: Em vez de listar todos os processos em execução no sistema, este parâmetro restringe
para baixo a varredura PsList para o PID especificado
Módulo 06 Página 297 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ O mapeamento de processo para porta rastreia a porta usada por um processo e o protocolo conectado ao IP
Sintaxe:
netstat -a -n -o
Quando há uma conexão de rede aberta em um sistema, alguns processos devem estar usando essa conexão, o que
significa que cada conexão de rede e porta aberta está associada a um
processar.
Existem várias ferramentas disponíveis, que o investigador pode usar para recuperar o mapeamento do processo para a
porta. O comando netstat , por exemplo, pode recuperar informações sobre o mapeamento do processo para a porta.
ÿ Comando netstat
Conforme discutido anteriormente, o netstat.exe oferece a opção -o, que pode exibir as IDs dos processos
responsáveis pelo estabelecimento de uma conexão de rede.
Depois que as informações são coletadas, elas precisam ser correlacionadas com a saída de uma ferramenta
como tlist.exe ou tasklist.exe para determinar o nome dos processos que usam essa conexão de rede específica.
Sintaxe:
netstat -a -n -o
Módulo 06 Página 298 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Módulo 06 Página 299 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Os processos em execução podem ser suspeitos ou maliciosos por natureza. Os investigadores devem usar ferramentas como
o Process Explorer para verificar se o processo é malicioso/suspeito. A ferramenta vem com suporte integrado ao VirusTotal
para verificar se o processo em execução é malicioso.
Algumas das ferramentas que podem ajudar os investigadores a examinar os processos em execução são brevemente discutidas
abaixo.
ÿ Explorador de Processos
O Process Explorer mostra informações sobre os handles e DLLs dos processos que foram abertos ou carregados.
A exibição do Process Explorer consiste em duas subjanelas. A janela superior sempre mostra uma lista de processos
atualmente ativos, incluindo os nomes de suas próprias contas, enquanto as informações exibidas na janela inferior
dependem do modo do Process Explorer.
Se estiver no modo handle, são mostrados os handles que são abertos pelo processo selecionado na janela superior.
Se o Process Explorer estiver no modo DLL, as DLLs e os arquivos mapeados na memória carregados pelo processo
selecionado serão exibidos.
Módulo 06 Página 300 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ ProcDump
ProcDump é um utilitário de linha de comando. Seu objetivo principal é monitorar os aplicativos em busca
de picos de CPU e gerar despejos de memória durante um pico para que um administrador ou desenvolvedor
possa determinar a causa do pico. O ProcDump também inclui monitoramento de janela travada,
monitoramento de exceção não tratada e geração de despejos com base nos valores dos contadores de
desempenho do sistema.
ÿ Descarregador de Processo
Process Dumper despeja forense a memória de um processo em execução. É uma ferramenta de interface
de linha de comando que despeja todo o espaço do processo, usa metainformações para descrever os
diferentes mapeamentos e estados e salva o ambiente do processo.
Figura 6.18: Usando o Process Dumper para despejar a memória de um processo em execução
Módulo 06 Página 301 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ comando ipconfig
ÿ Ferramenta PromiscDetect
ÿ Ferramenta Promqry
ÿ O PromiscDetect verifica se o(s) adaptador(es) de rede está(ão) sendo executado(s) em modo promíscuo, o que
pode ser um sinal de que um sniffer está rodando no computador
Os investigadores devem extrair informações sobre o status das placas de interface de rede (NICs) que
conectam um sistema à rede disponível. Atualmente, muitos laptops e desktops vêm com NICs sem fio
integradas, de modo que as informações sobre o tipo de conexão que um dispositivo está usando ou o
endereço IP que ele está usando permaneçam ocultas. Os investigadores devem coletar informações
sobre o status dos NICs antes de adquirir o sistema para ter uma melhor visão dos resultados da investigação.
Módulo 06 Página 302 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Comando ipconfig
ipconfig.exe é um utilitário de linha de comando que os investigadores podem usar para obter
informações sobre NICs e a configuração TCP/IP atual. O Ipconfig também aceita vários
comandos DHCP (Dynamic Host Configuration Protocol), permitindo assim que um sistema
atualize ou libere sua configuração de rede TCP/IP.
Os investigadores devem usar o comando ipconfig /all para visualizar todos os valores de
configuração TCP/IP atuais, incluindo o endereço IP, máscara de sub-rede, gateway padrão e
configuração de WINS e DNS. As informações geradas por esse comando também incluem o
estado da NIC e do DHCP. A coleta dessas informações ajudará os investigadores a examinar
os logs de tráfego de rede e o endereço IP dos sistemas envolvidos em um incidente de segurança.
Módulo 06 Página 303 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Um administrador ou investigador não poderá descobrir diretamente se o NIC está em modo promíscuo ou não, porque
os sistemas Windows não possuem nenhum botão ou ícone especial para indicar o modo NIC. Além disso, os sistemas
Windows não possuem nenhum ícone na bandeja ou configuração do Painel de controle que possa indicar diretamente
se alguém está detectando o tráfego da rede.
Portanto, os investigadores precisam usar ferramentas especiais para detectar esses incidentes e programas que podem
estar sendo executados em um sistema. Ferramentas como o PromiscDetect podem ajudar na análise do status da NIC
do sistema.
ÿ PromiscDetect
O PromiscDetect verifica se o(s) adaptador(es) de rede está(ão) sendo executado(s) em modo promíscuo, o que
pode ser um sinal de que há um sniffer em execução no computador.
Módulo 06 Página 304 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
1 Os dados não voláteis permanecem inalterados mesmo depois que o sistema é desligado ou desligado
3 Esses dados geralmente residem no disco rígido (arquivo de troca, espaço livre, espaço em disco não alocado, etc.)
4 Outras fontes de dados não voláteis incluem DVDs, pen drives USB, memória de smartphones, etc.
Informações não voláteis podem ser adquiridas durante a aquisição de dados estáticos. As informações obtidas de
dados não voláteis podem ajudar o investigador a recuperar dados perdidos/excluídos, informações do navegador,
informações de dispositivos conectados, etc., que podem ser úteis durante a investigação forense.
Os dados não voláteis permanecem inalterados quando um sistema desliga ou perde energia. Alguns exemplos de
dados não voláteis incluem e-mails, documentos de processamento de texto, planilhas e vários arquivos “excluídos”.
O investigador pode decidir quais informações precisam ser extraídas do registro ou quais informações sobre (ou de)
arquivos devem ser coletadas para análise adicional.
Também existe a possibilidade de o invasor estar ativamente conectado ao sistema e acessando os dados. Nesses
casos, o investigador pode até decidir rastrear o invasor. É importante que o investigador mantenha certas informações
importantes intactas sem qualquer modificação ou exclusão. Depois que o usuário inicia o sistema, alguns dados
podem ser modificados, como unidades mapeadas de ou para o sistema, serviços iniciados ou aplicativos instalados.
Essas modificações podem não ser persistentes durante uma reinicialização e, portanto, o investigador deve registrá-
las e documentá-las.
Os dados não voláteis geralmente residem em discos rígidos; ele também existe em arquivos de troca, espaço livre e
espaço de unidade não alocado. Outras fontes de dados não voláteis incluem CD-ROMs, unidades de armazenamento
USB e smartphones.
Módulo 06 Página 305 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ A hora e a data do SO
instalação
Ter uma compreensão completa do sistema de arquivos do Windows é fundamental para um investigador forense ao tentar acessar dados
do sistema de arquivos e reconstruir eventos do sistema de arquivos. Os sistemas de arquivos compreendem cinco seções, ou seja, dados
do sistema de arquivos, dados de conteúdo, metadados, nome do arquivo e dados do aplicativo do sistema de arquivos.
ÿ Dados do sistema de arquivos: Os dados do sistema de arquivos fornecem detalhes sobre a estrutura do sistema de arquivos,
como sistema de arquivos e tamanho do bloco do sistema de arquivos, número de blocos alocados, etc.
ÿ Dados de conteúdo: Esses dados contêm a maior parte das informações do sistema de arquivos. Consiste no conteúdo do sistema
de arquivos.
ÿ Metadados: Os metadados geralmente fornecem informações sobre locais de conteúdo, tamanho de arquivo,
e carimbos de data/hora MAC.
ÿ Dados do aplicativo : os dados do aplicativo fornecem informações sobre a cota de diário do sistema de arquivos
Estatisticas.
O exame dessas seções de um sistema de arquivos permite que o investigador colete uma variedade de dados que podem conter evidências
potenciais para resolver o caso. Um investigador deve executar o comando dir /o:d no prompt de comando. Isso permitirá que eles examinem
a hora e a data da instalação do sistema operacional, os service packs, patches e subdiretórios que se atualizam automaticamente com
frequência (por exemplo: drivers, etc.).
Módulo 06 Página 306 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Nota: Os investigadores devem dar prioridade aos arquivos com data recente.
Módulo 06 Página 307 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Extensible Storage Engine (ESE) é uma tecnologia de armazenamento de dados usada por vários softwares gerenciados pela Microsoft, como Active
Diretório, Windows Mail, Windows Search e Windows Update Client
ÿ A extensão do arquivo de banco de dados ESE é .edb. A seguir estão os exemplos de arquivos de banco de dados ESE:
ÿ Mailbox Database.edb e Public Folder Database.edb - Armazena dados de correio no Microsoft Exchange Server
ÿ Windows.edb - Armazena informações de índice (para pesquisa do Windows) pelo sistema operacional Windows
Muitos aplicativos da Microsoft no sistema operacional Windows usam a tecnologia de armazenamento de dados conhecida
como Extensible Storage Engine (ESE). O ESE é usado por vários softwares gerenciados pela Microsoft, como Active Directory,
Windows Mail, Windows Search e Windows Update Client. Do ponto de vista forense, o banco de dados ESE é importante
porque armazena e gerencia os principais registros pertencentes a sistemas e usuários no sistema operacional Windows. O
ESE também é conhecido como JET Blue. Os arquivos de banco de dados ESE são indicados pela extensão .edb.
Servidor Exchange
ÿ Windows.edb: Armazena informações de índice (para pesquisa do Windows) pelo sistema operacional Windows
Módulo 06 Página 308 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Os dados extraídos de
ESEDatabaseView pode ser exportado para um
arquivo HTML
Investigadores forenses podem usar a ferramenta ESEDatabaseView para extrair evidências valiosas de arquivos .edb.
A ferramenta exibe os dados armazenados em arquivos .edb em um formato bem estruturado, fácil de ler e analisar.
ÿ ESEDatabaseView
ESEDatabaseView é um utilitário simples que lê e exibe os dados armazenados no banco de dados ESE. Ele
exibe uma lista de todas as tabelas disponíveis no arquivo de banco de dados aberto, permite escolher a
tabela desejada para visualizar e visualizar todos os registros encontrados na tabela selecionada.
ESEDatabaseView também permite escolher facilmente um ou mais registros e, em seguida, exportá-los para
um arquivo delimitado por vírgulas/delimitado por tabulações/html/xml ou copiar os registros para a área de
transferência (Ctrl+C) e colá-los no Excel ou em outra planilha inscrição.
Módulo 06 Página 309 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Módulo 06 Página 310 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
C:
\ProgramData\Microsoft\Search\Data\Applications\Windows
O sistema operacional Windows usa um banco de dados de índice chamado Windows Search Index, que permite a
indexação de arquivos e outros conteúdos e permite uma pesquisa mais rápida e precisa de dados no sistema. Ele
armazena informações indexadas para todo o conteúdo pesquisado pelos usuários. O índice de pesquisa do
Windows é armazenado no arquivo Windows.edb, localizado no seguinte diretório:
C:\ProgramData\Microsoft\Search\Data\Applications\Windows
Investigadores forenses podem extrair evidências valiosas referentes a dados excluídos, discos danificados, arquivos
criptografados, delimitação de eventos etc. do arquivo windows.edb. Para extrair evidências do arquivo Windows.edb
para sua investigação, os investigadores devem analisar os dados armazenados nesse arquivo.
Na captura de tela abaixo, ESEDatabaseView é usado para analisar o arquivo Windows.edb e extrair os detalhes
dos dados excluídos do sistema.
Módulo 06 Página 311 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Módulo 06 Página 312 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Como parte da investigação forense, identificar os dispositivos conectados ao sistema ajuda o investigador a determinar se
qualquer mídia externa é usada pelo suspeito
ÿ Mais tarde, o investigador pode obter a mídia externa específica do suspeito de maneira legal para análise posterior ÿ O utilitário,
DriveLetterView, lista todas as unidades no sistema, mesmo que não estejam conectadas no momento
Detectar os dispositivos conectados a um sistema é uma parte importante da investigação forense, pois ajuda os
investigadores forenses a determinar se alguma mídia externa foi usada pelo suspeito para cometer crimes cibernéticos.
Os investigadores podem usar a ferramenta DriveLetterView para listar todos os dispositivos/unidades no sistema, mesmo
que não estejam conectados no momento.
ÿ DriveLetterView
DriveLetterView é um utilitário simples que permite visualizar a lista de todas as atribuições de letra de unidade no
sistema, incluindo unidades locais, unidades de rede remotas, unidades de CD/DVD e unidades USB - mesmo que
não estejam conectadas no momento.
Ele também permite alterar facilmente uma letra de unidade de dispositivos USB e compartilhamentos de rede
remota, bem como excluir uma letra de unidade de dispositivo USB que não esteja conectado. Também é possível
usar o DriveLetterView para exportar a lista de todas as unidades para o arquivo text/csv/html/xml.
Módulo 06 Página 313 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Figura 6.24: Usando o DriveLetterView para detectar uma mídia externa conectada a uma máquina
Figura 6.25: Usando o DriveLetterView para detectar uma mídia externa conectada a uma máquina
Módulo 06 Página 314 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Espaço livre
Etapas na coleta de informações de espaço slack
Espaço livre
Espaço livre, também chamado de espaço livre de arquivo, refere-se às partes de um disco rígido que podem conter
dados de um arquivo excluído anteriormente ou espaço não utilizado pelo arquivo alocado atualmente. É o espaço
gerado entre o final de um arquivo armazenado e o final do agrupamento de discos. Isso acontece quando o
tamanho do arquivo atualmente gravado é menor que o do arquivo gravado anteriormente no mesmo cluster. Nesses
casos, os dados residuais permanecem como estão e podem conter informações significativas quando examinados
forense. A alocação de arquivos não contíguos deixa mais clusters à direita, deixando mais espaço livre. O resíduo
de dados no espaço slack é recuperado lendo o cluster completo.
Pode ser possível usar espaço livre para armazenar dados que se deseja ocultar sem ter conhecimento do sistema
de arquivos subjacente. Para fazer isso, crie um arquivo menor que o espaço disponível e use o restante do espaço
para armazenar os dados ocultos. Esses dados serão invisíveis para o sistema de arquivos e permanecerão os
mesmos até serem alterados manualmente. No entanto, criar novos arquivos que resultam em espaço livre não é a
maneira mais segura de ocultar dados. A ferramenta DriveSpy coleta todo o espaço disponível em uma partição
inteira em um arquivo.
Módulo 06 Página 315 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Módulo 06 Página 316 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Fluxo do módulo
Colete voláteis e
1 Informações não voláteis
Esta seção discute como analisar a memória (RAM) em uma máquina Windows. Ele também apresenta uma
visão geral da análise forense do registro do Windows.
Módulo 06 Página 317 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
janelas
Memória
Análise
ÿ A análise de memória do Windows envolve a aquisição de memória física ou despejos de RAM do Windows
máquina
ÿ Examinar esses despejos de memória ajuda os investigadores a detectar rootkits ocultos, encontrar objetos ocultos,
determinar qualquer processo suspeito, etc.
A análise de memória do Windows é parte integrante da análise forense e envolve a aquisição de memória
física ou despejos de RAM da máquina Windows. Examinar esses despejos de memória ajuda os
investigadores a detectar rootkits ocultos, encontrar objetos ocultos, determinar qualquer processo suspeito, etc.
Módulo 06 Página 318 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Despejo de memória ou despejo de memória é um espaço de armazenamento onde o sistema armazena um backup de
memória em caso de falha do sistema. O sistema também cria um despejo de memória quando não possui memória suficiente
para a operação do sistema. Os despejos de memória ajudam a diagnosticar e identificar bugs em um programa que levou à
falha do sistema. Inclui todas as informações sobre mensagens de parada, uma lista de drivers carregados e informações sobre
o processador que parou. As informações nos despejos de memória estão no formato binário, octal ou hexadecimal. Esse
backup permite que os usuários examinem a causa da falha do sistema e identifiquem quaisquer erros nos aplicativos ou no
sistema operacional. Nos sistemas Windows, é popularmente conhecido como tela azul da morte (BSOD). O dump principal
inclui o estado do sistema, localizações de memória, status de aplicativo ou programa, contadores de programa, etc. antes da
falha do sistema. O sistema precisa ser reinicializado para ficar acessível após o despejo de memória.
Essa memória também mantém um arquivo de log do sistema para referência futura.
Examinar os despejos de memória às vezes pode ajudar um investigador forense a descobrir se a falha foi causada por um
erro interno ou por um invasor remoto, que conseguiu explorar um bug no sistema operacional ou um aplicativo de terceiros
instalado no sistema operacional . Os investigadores podem usar ferramentas como DumpChk para analisar o despejo de
memória nesses casos.
Módulo 06 Página 319 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ DumpChk
Sintaxe:
DumpChk [-y SymbolPath] DumpFile
Parâmetros:
Módulo 06 Página 320 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Process Dumper (pd.exe) despeja todo o espaço do processo junto com os metadados
adicionais e o ambiente do processo no console; ele redireciona a saída para um arquivo
ou um soquete
Uma vez concluído o processo de despejo, use as ferramentas de depuração para analisar os
arquivos de despejo
Durante uma investigação, o investigador geralmente está interessado apenas em processos específicos em
vez de uma lista de todos os processos e prefere reunir mais do que apenas o conteúdo da memória do
processo disponível no arquivo de despejo de RAM. Por exemplo, o investigador pode ter identificado
rapidamente processos de interesse que não exigiam nenhuma investigação adicional extensa. Existem
maneiras de coletar toda a memória usada por um processo - não apenas o que está presente na memória
física, mas também o que está na memória virtual ou no arquivo de paginação. A ferramenta Process Dumper
despeja todo o espaço do processo, juntamente com metadados adicionais e o ambiente do processo, no
console (STDOUT) para que a saída possa ser redirecionada para um arquivo ou soquete.
Userdump.exe permite descarregar qualquer processo, sem anexar um depurador e sem encerrar o processo
uma vez que o despejo tenha sido concluído. Além disso, o arquivo de despejo gerado pelo userdump.exe
pode ser lido pelas ferramentas de depuração do MS. No entanto, requer a instalação de seu driver específico.
Outro método de despejar um processo é usar o script adplus.vbs. Uma vez concluído o processo de despejo,
os investigadores podem usar ferramentas de depuração, como Handle.exe e ListDLLs.exe, para analisar os
arquivos de despejo.
Módulo 06 Página 321 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Examinar a memória volátil é tão importante quanto a memória não volátil. Do ponto de vista forense, examinar
os despejos de RAM fornece artefatos do sistema, como serviços em execução, arquivos e mídia acessados,
processos do sistema, informações de rede e atividade de malware.
Durante a aquisição ao vivo, os investigadores usam ferramentas como Belkasoft RAM Capturer e AccessData
FTK Imager para realizar despejos de RAM.
Módulo 06 Página 322 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
https:// www.fireeye.com
Investigadores forenses podem usar ferramentas como Redline para analisar a memória e detectar atividades maliciosas que
ocorreram em um sistema.
Essa ferramenta ajuda os investigadores a construir a linha do tempo e o escopo de um incidente de crime cibernético.
ÿ Na guia 'Dados de análise', você pode encontrar todos os processos em execução no sistema quando o
despejo de RAM foi adquirido, conforme indicado na figura abaixo.
Módulo 06 Página 324 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Clique em 'Portas' na aba 'Processos' para que você possa encontrar todas as conexões disponíveis
quando o despejo de RAM foi adquirido
ÿ Pela figura abaixo, observa-se que o Processo 'rundll32.exe', com o PID 1896, está fazendo conexão
com Endereço IP Remoto 172.20.20.21 pela Porta 4444, o que parece suspeito
Módulo 06 Página 325 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Módulo 06 Página 326 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Registro do Windows
ÿ Toda ação realizada pelo usuário na máquina é registrada no Registro do Windows; Conseqüentemente,
é uma boa fonte de evidência durante a investigação forense
ÿ Com relação à persistência de dados, as seções do Registro do Windows são divididas em:
HKEY_LOCAL_MACHIN HKEY_CLASSES_ROOT
HKEY_USERS HKEY_CURRENT_USER
HKEY_CURRENT_CONFIG
ÿ As colmeias voláteis são capturadas durante a análise ao vivo do sistema enquanto as colmeias não voláteis são
armazenado no disco rígido
HKEY_USERS Ele contém todos os perfis de usuário carregados ativamente para esse sistema
HKEY_CURRENT_CONFIG Esta seção contém o perfil de hardware que o sistema usa na inicialização
Esta seção contém uma vasta gama de informações de configuração para o sistema,
HKEY_LOCAL_MACHINE
incluindo configurações de hardware e configurações de software
Registro do Windows
O registro do Windows serve como um banco de dados de todas as atividades que um usuário executa em um
sistema Windows e, portanto, serve como uma fonte valiosa de evidência em uma investigação forense. No registro,
os dados são armazenados em pastas em estruturas semelhantes a árvores, chamadas de colmeias.
Módulo 06 Página 327 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ HKEY_CLASSES_ROOT
ÿ HKEY_CURRENT_USER
ÿ HKEY_CURRENT_CONFIG
ÿ HKEY_LOCAL_MACHINE
ÿ HKEY_USERS
Com relação à persistência de dados, as seções do Registro do Windows são divididas em dois tipos:
As colmeias voláteis são capturadas durante a análise ao vivo do sistema, enquanto as colmeias não voláteis são armazenadas
no disco rígido. As colmeias desempenham um papel fundamental no funcionamento do sistema.
1. HKEY_USERS
HKEY_USERS, abreviado como HKU, contém informações sobre todos os perfis de usuário atualmente ativos no
computador. Cada chave de registro na seção HKEY_USERS está relacionada a um usuário no computador, cujo
nome é o identificador de segurança do usuário (SID). As chaves de registro e os valores de registro em cada SID
controlam as unidades mapeadas específicas do usuário, impressoras instaladas, variáveis ambientais e assim por
diante.
2. HKEY_CLASSES_ROOT
abreviado
HKEY_CLASSES_ROOT, de HKEY_LOCAL_MACHINE\Software.
Como HKCR,
Ele é
contém informações de associação
unge-mede extensão uma
de arquivo e dados de identificador programático (ProgID), ID de classe (CLSID) e ID de interface (IID). Essa seção
armazena as informações necessárias para garantir que o programa correto seja aberto quando o usuário abrir um
arquivo por meio do Windows Explorer. As informações de registro de classe e extensão de nome de arquivo
armazenadas em HKEY_CLASSES_ROOT são encontradas em HKEY_LOCAL_MACHINE e HKEY_CURRENT_USER.
3. HKEY_CURRENT_CONFIG
HKEY_CURRENT_CONFIG, abreviado como HKCC, armazena informações sobre o perfil de hardware atual do
sistema. As informações armazenadas nesta seção explicam as diferenças entre a configuração de hardware atual e
a configuração padrão.
Módulo 06 Página 328 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
4. HKEY_LOCAL_MACHINE
5. HKEY_CURRENT_USER
Módulo 06 Página 329 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Tipos de células:
para a chave
É essencial para um investigador forense ter uma boa compreensão dos componentes básicos do registro. Isso os ajudará a
obter informações extras por meio de pesquisas de palavras-chave de outros locais e fontes que incluem o arquivo de
paginação, memória física ou até mesmo espaços não alocados.
Ao obter mais informações sobre a estrutura do registro, o investigador forense pode entender melhor o que é possível e
como proceder. As células componentes do registro têm uma estrutura específica e contêm tipos específicos de informações.
Os diferentes tipos de células estão listados abaixo:
1. Célula de chave: contém informações de chave de registro e inclui deslocamentos para outras células, bem como
o tempo LastWrite para a chave.
3. Célula da lista de subchaves: É composta por uma série de índices que apontam para células-chave, todas elas são
subchaves da célula-chave pai
4. Célula lista de valores: É composta por uma série de índices que apontam para células de valores, todos eles
valores de uma célula-chave comum
5. Célula do descritor de segurança: Contém informações do descritor de segurança para uma célula-chave
Módulo 06 Página 330 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Módulo 06 Página 331 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Observação: o investigador forense pode examinar esses arquivos de registro usando ferramentas como o Hex Workshop para extrair informações úteis
A análise forense do registro do Windows ajuda o investigador a extrair artefatos forenses, como contas de usuário, arquivos
acessados recentemente, atividade USB, últimos programas executados e aplicativos instalados.
ÿ Análise Estática: Neste método, os investigadores devem examinar os arquivos de registro contidos
no arquivo de evidência capturado.
ÿ Análise ao vivo: neste método, os investigadores usam o editor de registro integrado para examinar o registro e
ferramentas como o FTK Imager para capturar arquivos de registro do sistema ativo para análise forense.
Para capturar arquivos de registro do Windows no sistema Live usando o FTK Imager:
ÿ Selecione Recuperação de senha e todos os arquivos de registro (conforme mostrado na captura de tela abaixo) e
forneça o diretório de destino para extrair os arquivos
Módulo 06 Página 332 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ SAM (Security Account Manager): Esta subchave armazena informações sobre usuários, contas de administrador,
contas de convidados, hashes criptográficos de cada senha de usuário, etc.
ÿ Segurança: Esta subchave armazena informações sobre a política de segurança do usuário atual
Módulo 06 Página 333 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Software: Esta subchave contém informações sobre os aplicativos de software instalados e seus
definições de configuração no sistema
ÿ Sistema: Esta subchave armazena informações sobre as definições de configuração dos drivers de hardware
e serviços
ÿ Padrão: esta subchave armazena informações sobre as configurações padrão do usuário. No entanto, o arquivo
NTUSER.dat pertencente ao usuário conectado no momento substitui as configurações padrão do usuário.
Observação: os investigadores forenses também podem usar ferramentas como o Hex Workshop para recuperar artefatos
relacionados a crimes cibernéticos dos arquivos de registro capturados.
ÿ Oficina Hexa
O Hex Workshop Hex Editor é um conjunto de ferramentas de desenvolvimento hexadecimal para Microsoft
Windows. Ele integra edição binária avançada e interpretação e visualização de dados com a facilidade e
flexibilidade de um processador de texto moderno.
Com o Hex Workshop, pode-se editar, cortar, copiar, colar, inserir, preencher e excluir dados binários.
Também é possível trabalhar com dados em sua estrutura nativa e tipos de dados usando o visualizador de
estrutura integrado do aplicativo e marcadores inteligentes.
Módulo 06 Página 334 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Fluxo do módulo
Colete voláteis e
1 Informações não voláteis
Esta seção discute como examinar e analisar as informações registradas em caches, cookies e histórico
do navegador de diferentes navegadores da web.
Módulo 06 Página 335 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
O exame de navegadores da web, como Microsoft Edge, Google Chrome, Mozilla Firefox, etc., fornece
dados comprobatórios cruciais, como histórico da web, cookies e informações de cache pertencentes à
atividade de navegação do usuário.
Módulo 06 Página 336 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
C:\Usuários\{usuário}\AppData\Local\Google\
Chrome\Dados do usuário\Padrão
Localização da Cache:
C:\Usuários\{usuário}\AppData\Local\Google\
Chrome\Dados do usuário\Padrão\Cache
C:\Users\{username}\AppData\Local\Google\Chrome\User
Dados\Padrão\Cache
Módulo 06 Página 337 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Módulo 06 Página 338 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
1
ChromeCacheView é um pequeno
utilitário que lê a pasta de cache do Google
Chrome e exibe a lista de todos os arquivos
atualmente armazenados no cache
2
Ele exibe informações como
URL, tipo de conteúdo, tamanho do arquivo, último
Tempo de Acesso, Tempo de Expiração,
Nome do servidor e resposta do servidor
http:// www.nirsoft.net
Módulo 06 Página 339 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Ferramenta de análise:
ChromeCookiesView
Módulo 06 Página 340 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ ChromeHistoryView lê o arquivo de
dados do histórico do Google
Chrome e exibe a lista de todas as páginas
da Web visitadas nos últimos dias
http:// www.nirsoft.net
ÿ ChromeHistoryView
Você pode selecionar um ou mais itens do histórico e exportá-los para um arquivo html/xml/csv/texto
ou copiar as informações para a área de transferência e colá-las no Excel.
Módulo 06 Página 341 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Módulo 06 Página 342 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Módulo 06 Página 343 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Cache
Localização:
C:\Users\Admin\AppData\Local\Microsoft\Windows\WebCache
Biscoitos C:\Users\Admin\AppData\Local\Packages\Microsoft.MicrosoftEdge_
Localização: xxxxxxxxxx\AC\MicrosoftEdge\Cookies
História
C:\Users\Admin\AppData\Local\Microsoft\Windows\History
Localização:
o IECacheView
http:// www.nirsoft.net
o EdgeCookiesView
Ferramentas de análise:
http:// www.nirsoft.net
o BrowsingHistoryView
http:// www.nirsoft.net
Microsoft Edge - Cache, cookies e histórico são armazenados nos seguintes locais do sistema:
ÿ Localização da Cache:
C:\Users\Admin\AppData\Local\Microsoft\Windows\WebCache
ÿ Localização dos Cookies:
C:\Users\Admin\AppData\Local\Packages\Microsoft.MicrosoftEdge_xxx
xxxxxxx\AC\MicrosoftEdge\Cookies
ÿ Histórico Localização:
C:\Users\Admin\AppData\Local\Microsoft\Windows\History
Ferramentas de análise:
Módulo 06 Página 344 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Fluxo do módulo
Colete voláteis e
1 Informações não voláteis
Ao investigar um sistema Windows, os investigadores geralmente precisam detectar quaisquer alterações que os
invasores possam ter feito nos arquivos do aplicativo no sistema.
ÿ Arquivos de pré-busca: examinar o diretório de pré-busca ajuda a determinar os aplicativos que foram
executados em um sistema.
ÿ Arquivos de imagem e dados EXIF: Examinar arquivos de imagem JPEG e os dados EXIF armazenados neles
ajuda a determinar os metadados associados a essas imagens JPEG.
Esta seção discute como examinar esses arquivos do Windows e os metadados associados.
Módulo 06 Página 345 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ O exame forense de arquivos de log do ponto de restauração e arquivos de pré-busca fornecem informações
como registros de data e hora MAC, nome do arquivo, tamanho do arquivo, número de vezes que o
aplicativo foi executado, nome do processo, etc., relacionados aos aplicativos instalados/desinstalados
O exame forense dos arquivos de log do ponto de restauração e dos arquivos de pré-busca fornecem informações como
carimbos de data/hora do MAC, nome do arquivo, tamanho do arquivo, número de vezes que o aplicativo foi executado, nome
do processo, etc., relacionadas aos aplicativos instalados/desinstalados.
Módulo 06 Página 346 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Inclui valor indicando o tipo do ponto de restauração; um nome descritivo para o evento
de criação do ponto de restauração e o objeto FILETIME de 64 bits indicando quando o
ponto de restauração foi criado
Rp.log é o arquivo de log do ponto de restauração localizado no diretório do ponto de restauração (RPxx). Inclui
valor indicando o tipo do ponto de restauração; um nome descritivo para o evento de criação do ponto de
restauração e o objeto FILETIME de 64 bits indicando quando o ponto de restauração foi criado. A descrição do
ponto de restauração pode ser útil para obter informações sobre a instalação ou remoção de um aplicativo. Os
pontos de restauração do sistema são criados quando aplicativos e drivers não assinados são instalados, quando
uma instalação de atualização automática e uma operação de restauração são executadas. A descrição do evento
que causou a criação do ponto de restauração é gravada no arquivo rp.log e esse arquivo de log ajuda o
investigador a observar a data em que o aplicativo foi instalado ou removido
Módulo 06 Página 347 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
As alterações de arquivo são registradas nos arquivos change.log, que estão localizados
1 nos diretórios do ponto de restauração
Os principais arquivos do sistema e do aplicativo são monitorados continuamente para restaurar o sistema a um
estado específico. As alterações de arquivo são registradas nos arquivos change.log, que estão localizados nos
diretórios do ponto de restauração. As alterações nos arquivos monitorados são detectadas pelo driver do sistema
de arquivos do ponto de restauração, o nome do arquivo original é inserido no arquivo change.log junto com o
número de sequência, o tipo de alteração ocorrida, etc. O arquivo monitorado é preservado e copiado para o
diretório do ponto de restauração e renomeado no formato Axxxxxx.ext, onde x representa um número de
seqüência e .ext é a extensão original do arquivo. O primeiro arquivo change.log é anexado com um número de
sequência e um novo arquivo change.log é criado quando o sistema é reiniciado.
Módulo 06 Página 348 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Pré-buscar arquivos
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet0
0x\Control\SessionManager\MemoryManag
ement\PrefetchParameters
Pré-buscar arquivos
Os arquivos de pré-busca armazenam informações sobre aplicativos que foram executados no sistema. Os arquivos
de pré-busca podem servir como uma fonte valiosa de evidências forenses para os investigadores porque, mesmo
que os aplicativos executados em um sistema sejam excluídos ou desinstalados posteriormente, os arquivos de pré-
busca pertencentes a esses aplicativos ainda residem na pasta de pré-busca em C:\Windows\Prefetch .
Módulo 06 Página 349 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
O valor DWORD no deslocamento 144 dentro do arquivo corresponde ao número de vezes que o aplicativo é iniciado.
O valor DWORD no deslocamento 120 dentro do arquivo corresponde à última vez em que o aplicativo foi executado,
esse valor é armazenado no formato UTC. As informações do arquivo .pf podem ser correlacionadas com as informações
do registro ou do log de eventos para determinar quem estava conectado ao sistema, quem estava executando quais
aplicativos, etc.
Pré-busca
A pré-busca é usada pelo sistema operacional Windows para acelerar o processo de inicialização do sistema e o
lançamento de aplicativos. Os dados são registrados até os primeiros 10 segundos após o início do processo de inscrição.
Depois que os dados são processados, eles são gravados em um arquivo .pf no diretório Windows\Prefetch . O
investigador forense deve identificar se o sistema da vítima habilitou o processo de pré-busca, antes de realizar o
exame. A pré-busca é controlada pela chave do Registro:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet00x\Control\SessionManager\MemoryM anagement\PrefetchParameters.
Os dados associados ao valor de EnablePrefetcher (destacado na figura acima) informam qual forma de pré-busca o
sistema utiliza:
Módulo 06 Página 350 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Arquivos de imagem
Por exemplo, câmeras digitais incorporam informações de formato de arquivo de imagem intercambiável
(EXIF) em imagens, que podem incluir o modelo e o fabricante da câmera e até mesmo armazenar
miniaturas ou informações de áudio
Você pode usar ferramentas como Exiv2, IrfanView e o módulo Perl Image::MetaData::JPEG
para visualizar, recuperar e, em alguns casos, modificar os metadados incorporados em
arquivos de imagem JPEG
Ferramentas como ExifReader, EXIF Library e ExifTool exibem dados EXIF encontrados em
uma imagem JPEG
Arquivos de imagem
Os metadados presentes em um arquivo de imagem JPEG dependem muito do aplicativo que o criou ou modificou. Por exemplo, as
câmeras digitais incorporam informações EXIF (Exchangeable Image File Format) nas imagens, que podem incluir o modelo e o
fabricante da câmera e até mesmo armazenar miniaturas ou informações de áudio.
Você pode usar ferramentas como Exiv2, IrfanView e o módulo Perl Image::MetaData::JPEG para visualizar, recuperar e, em alguns
casos, modificar os metadados incorporados em arquivos de imagem JPEG. Ferramentas como ExifReader, EXIF Library e ExifTool
exibem dados EXIF encontrados em uma imagem JPEG.
Módulo 06 Página 351 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Investigação de Metadados
ÿ Os metadados incluem nome do arquivo, tamanho do arquivo, carimbos de data/hora do MAC, dados do GPS, etc.
Investigação de Metadados
Na computação forense, os metadados obtidos dos bancos de dados, arquivos de imagem, arquivos de texto, navegadores
da web, etc., contêm dados probatórios de valor forense. Os metadados incluem nome do arquivo, tamanho do arquivo,
carimbos de data/hora MAC, dados de GPS, etc.
Módulo 06 Página 352 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Exemplos de metadados:
ÿ Nome da organização ÿ Versões de documentos
Metadados são dados estruturados que fornecem informações sobre certas características dos dados eletrônicos, incluindo
a hora e a pessoa que criou, acessou e modificou os dados. Ele não pode ser visto sem o uso de aplicativos especiais, e
os usuários podem compartilhar inadvertidamente informações confidenciais ao enviar ou fornecer arquivos em formulários
eletrônicos.
ÿ Nome da organização
ÿ Nome do autor
ÿ Nome do computador
ÿ Nome da rede
ÿ Versões de documentos
ÿ Informações do modelo
ÿ Vistas personalizadas
ÿ Partes não visíveis de objetos incorporados Object Linking and Embedding (OLE)
É importante coletar esses dados, pois eles fornecem informações sobre o seguinte:
ÿ Dados ocultos sobre o documento
O investigador pode usar ferramentas como Metadata Assistant, Paraben P2 Commander e Metashield Analyzer para
analisar metadados.
Módulo 06 Página 353 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Os metadados mais comumente conhecidos sobre arquivos em sistemas Windows são os tempos MAC dos
arquivos; MAC significa modificado, acessado e criado
ÿ As horas MAC são carimbos de hora que se referem à hora em que o arquivo foi
última modificação, último acesso e originalmente criado
ÿ Os tempos MAC são gerenciados pelo sistema operacional, dependendo do sistema de arquivos usado
ÿ No sistema de arquivos FAT, os horários são armazenados com base no horário local do computador
sistema
ÿ O sistema de arquivos NTFS armazena horários MAC no formato Tempo Universal Coordenado (UTC)
ÿ Copie myfile.txt de C:\ para C:\subdir no mesmo sistema de arquivos ÿ Copie myfile.txt de C:\ para C:\subdir no mesmo sistema
(FAT 16) de arquivos (NTFS)
ÿ Myfile.txt mantém a mesma data de modificação, mas a criação
data é atualizada para a data e hora atuais ÿ Myfile.txt retém a mesma data de modificação, mas a data de
criação é atualizada para a data e hora atuais
ÿ Mova myfile.txt de C:\ para C:\subdir no mesmo sistema de arquivos
(FAT 16)
ÿ Mova myfile.txt de C:\ para C:\subdir no mesmo sistema
ÿ Myfile.txt mantém as mesmas datas de modificação e criação de arquivos (NTFS)
ÿ Copie myfile.txt de uma partição FAT16 para uma partição NTFS
ÿ Myfile.txt mantém as mesmas datas de modificação e criação
Os metadados mais conhecidos sobre arquivos em sistemas Windows são os tempos de MAC do arquivo.
MAC significa modificado, acessado e criado. Os horários do MAC são carimbos de data/hora que se referem
ao horário em que o arquivo foi modificado pela última vez de alguma forma (os dados foram adicionados ao
arquivo ou removidos dele), o horário do último acesso (quando o arquivo foi aberto pela última vez), e quando
o arquivo foi originalmente criado.
Módulo 06 Página 354 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
No sistema de arquivos FAT, esses horários são registrados com base na hora local do sistema do computador,
enquanto o sistema de arquivos NTFS armazena horários MAC no formato Coordinated Universal Time (UTC), que é
análogo ao Greenwich Mean Time (GMT).
Outro aspecto dos horários MAC de arquivos e diretórios que interessam a um investigador é a maneira como os
carimbos de data e hora são exibidos, com base em várias ações de movimentação e cópia.
ÿ Copie myfile.txt de C:\ para C:\subdir no mesmo sistema de arquivos (FAT 16)
o Myfile.txt retém a mesma data de modificação, mas a data de criação é atualizada para o
data e hora atuais
ÿ Mova myfile.txt de C:\ para C:\subdir no mesmo sistema de arquivos (FAT 16)
o Myfile.txt retém a mesma data de modificação, mas a data de criação é atualizada para o
data e hora atuais
o Myfile.txt retém a mesma data de modificação, mas a data de criação é atualizada para o
data e hora atuais
Módulo 06 Página 355 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Você pode usar os scripts Perl pdfmeta.pl e pdfdmp.pl para extrair metadados de arquivos PDF
Acrobat Reader
ÿ
No menu Arquivo ,
clique em Propriedades…
Os arquivos Portable Document Format (PDF) podem conter metadados, como o nome do autor, a data em que
o arquivo foi criado e o aplicativo usado para criá-lo. Os metadados mostram que o arquivo PDF foi criado no
MacOS ou foi criado convertendo um documento do Word para o formato PDF. Os scripts pdfmeta.pl e pdfdmp.pl
podem ser usados para extrair metadados de arquivos PDF.
Outra maneira de recuperar metadados é abrir o arquivo no Adobe Reader e clicar em Arquivo ÿ Propriedades.
A guia Descrição da caixa de diálogo Propriedades contém todos os metadados disponíveis.
Módulo 06 Página 356 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Módulo 06 Página 357 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Documentos do Word são documentos compostos, baseados na tecnologia OLE que define uma “estrutura de arquivo
dentro de um arquivo”. Além das informações de formatação, os documentos do Word podem conter muitas informações
adicionais que não são visíveis para o usuário, dependendo da visão do usuário do documento.
Os documentos do Word podem manter não apenas as revisões anteriores, mas também uma lista dos últimos 10
autores que editaram um arquivo. Isso representa um risco de divulgação de informações para indivíduos e organizações.
Os scripts Perl wmd.pl e oledmp.pl são usados para listar os fluxos OLE e as lixeiras incorporadas em um documento
do Word.
Os metadados no MSWord 2010 podem ser visualizados seguindo as etapas mencionadas abaixo:
Módulo 06 Página 358 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Módulo 06 Página 359 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
https:// www.elevenpaths.com
Metashield Analyzer é uma ferramenta online para analisar os metadados contidos em um arquivo. Esta
ferramenta revela os detalhes como data de criação e modificação, usuários encontrados e o nome do aplicativo
em que trabalharam, número de vezes editado e os caminhos encontrados. Um arquivo pode ser analisado
usando o seguinte procedimento:
Módulo 06 Página 360 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Módulo 06 Página 361 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Resumo do Módulo
Este módulo discutiu a coleta de informações voláteis e não voláteis
1
Por fim, este módulo terminou com uma discussão detalhada sobre
4 como examinar arquivos e metadados do Windows
Resumo do Módulo
Este módulo discutiu a coleta de informações voláteis e não voláteis. Também discutiu
a análise da memória e do Registro do Windows. Além disso, explicou em detalhes o processo de examinar o cache, o
cookie e o histórico registrado nos navegadores da web. Por fim, este módulo terminou com uma discussão detalhada
sobre o exame de arquivos e metadados do Windows.
Módulo 06 Página 362 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
MT
EC-Council
CE-Conselho
D FE
Digital
Digital
Forensics Essentials
Princípios Forenses
Módulo 07
Linux e Mac F or ens ics
Machine Translated by Google
Objetivos do módulo
Compreendendo o volátil e
1 Dados não voláteis no Linux
Objetivos do módulo
O Windows pode ser a plataforma mais comumente usada para análise forense devido à sua popularidade em sistemas
corporativos. Existem várias ferramentas forenses digitais para sistemas que operam no Windows.
No entanto, quando se trata de conduzir investigações forenses em sistemas Linux e Mac, os investigadores se deparam com
um tipo diferente de desafio. Embora as técnicas forenses sejam as mesmas, as ferramentas usadas podem diferir.
Linux and MacOS Forensics refere-se à investigação de crimes cibernéticos envolvendo sistemas baseados em Linux e
MacOS. Para obter artefatos pertencentes ao crime cibernético nesses sistemas, os investigadores precisam estar cientes de
seus sistemas de arquivos e diretórios. Eles também devem ter um bom entendimento das ferramentas e comandos forenses
que podem ser usados para encontrar dados probatórios desses sistemas operacionais.
Este módulo discute como coletar e examinar evidências relacionadas a incidentes de crimes cibernéticos em máquinas
baseadas em Linux e MacOS. Ao final deste módulo, você será capaz de:
Fluxo do módulo
Esta seção explorará vários métodos de coleta de dados, os diferentes arquivos de log armazenados no Linux e
métodos para rastrear eventos por meio de arquivos graváveis em máquinas Linux.
O Linux é um sistema operacional de código aberto amplamente utilizado em organizações. Com o aumento do crime
cibernético, também se torna importante que os investigadores forenses estejam bem equipados com o conhecimento
necessário para coletar artefatos de máquinas Linux de maneira forense.
A análise forense do Linux envolve o uso de vários comandos/ferramentas para recuperar, examinar e analisar
artefatos valiosos pertencentes a incidentes de crimes cibernéticos envolvendo máquinas Linux.
O uso de estações de trabalho forenses Linux, por outro lado, serve como uma plataforma muito eficaz para investigar
incidentes de segurança envolvendo sistemas Linux, pois oferecem amplo suporte para vários sistemas de arquivos e
fácil acesso a ferramentas forenses digitais avançadas.
ÿ No entanto, durante a investigação forense, os investigadores precisam coletar esses dados para construir uma linha do tempo
análise do incidente ocorrido
Nome do host, data e hora Tempo de atividade Informações de rede portas abertas
e fuso horário
arquivos montado
partição de disco
Os dados voláteis são perdidos quando uma máquina é desligada/desligada. No entanto, durante a investigação forense, os
investigadores precisam coletar esses dados para construir uma análise cronológica do incidente ocorrido.
ÿ Tempo de atividade
ÿ Informações de rede
ÿ Portas abertas
ÿ Abrir arquivos
ÿ Eventos do usuário
ÿ Processos em execução
ÿ Mensagens do kernel
ÿ Identifique o nome do computador usando o ÿ Verifique a data e a hora da máquina para criar uma
comando hostname linha do tempo adequada dos eventos
Comando: Comando:
nome de anfitrião encontro
data +%s
Nota: O timestamp da época do Unix começa em 1º de janeiro de 1970 00:00:00 UTC (em segundos),
enquanto os timestamps da época para HFS+ e Cocoa na Apple começam em 1º de janeiro de 1904
00:00:00 UTC (em segundos) e 1º Janeiro de 2001 00:00:00 UTC (em segundos), respectivamente.
ÿ Ao obter o registro de data e hora da época, você pode usar conversores online
ou offline para converter a hora da época para a hora original.
Aqui, estamos fazendo a conversão em www.epochconverter.com
ÿ Data e Hora
O comando date , quando executado, lista a data e a hora de acordo com o fuso horário em que o sistema
operacional Linux foi configurado.
O comando cat/etc/timezone pode ser usado para coletar informações sobre o continente e fuso horário
do sistema Linux. Essas informações podem permitir que os investigadores construam um cronograma
apropriado do caso que está sendo investigado.
Os investigadores também podem calcular o horário da máquina Linux suspeita e convertê-lo em seu
próprio fuso horário usando conversores de horário online.
Comando:
data +%s
Nota: O timestamp da época do Unix começa em 1º de janeiro de 1970 00:00:00 UTC (em segundos), enquanto
os timestamps da época para HFS+ e Cocoa na Apple começam em 1º de janeiro de 1904 00:00:00 UTC (em
segundos) e 1º de janeiro 2001 00:00:00 UTC (em segundos), respectivamente.
Ao obter o registro de data e hora da época, você pode usar conversores online ou offline para converter a
hora da época para a hora original.
tempo de atividade
O comando também pode ser executado com várias opções, como -p, -s, -h e -v. O uso da opção -p filtrará
os resultados e retornará informações apenas sobre quanto tempo o sistema está em execução, enquanto
o uso da opção -s recupera a data e a hora desde que o sistema foi ativado.
Da mesma forma, usar a opção -h busca resultados em qualquer ajuda que você possa precisar com várias
opções ao executar o comando uptime , enquanto a opção -v recuperará as informações de versão do
utilitário uptime.
Comando:
tempo de atividade
Figura 7.5: Resultado obtido ao executar o comando uptime sem nenhuma opção
show de endereço ip
Observação:
ÿ
lo, ens33 são NICs
O dispositivo está
em modo
promíscuo
A coleta de informações de rede ajuda os investigadores forenses a obter detalhes relativos aos controladores de
interface de rede (NIC), os endereços IP vinculados a eles e as informações de rota. Para recuperar informações
de rede, os investigadores devem usar o comando ip .
Sintaxe:
show de endereço ip
Na figura acima,
ÿ estado DESCONHECIDO significa que a NIC está operacional, mas não há conexão
Modo promíscuo
Quando um NIC está no modo normal, ele aceita apenas pacotes que são endereçados exclusivamente a ele.
No entanto, quando definido para o modo promíscuo, ele aceita todos os pacotes de rede recebidos, o que
não é seguro para o sistema host.
Os invasores usam o modo promíscuo para bisbilhotar maliciosamente uma rede e monitorar sua atividade.
Portanto, se ocorrer ou houver suspeita de uma invasão do sistema, os investigadores forenses devem verificar
se uma interface de rede foi configurada para o modo promíscuo. Eles podem fazer isso executando o
comando ifconfig .
Sintaxe:
ifconfig <interface>
Se a interface de rede tiver sido configurada para o modo promíscuo, os investigadores devem desativá-la
imediatamente para segurança do sistema. Eles podem fazer isso usando o sinalizador -promisc no comando
ifconfig .
Sintaxe:
comando netstat
No caso de invasão de rede, os investigadores forenses precisam determinar vários detalhes relacionados às
conexões de rede no sistema host.
Para coletar informações sobre conexões de rede, os investigadores devem executar o comando netstat , que
permite a recuperação de informações relacionadas a todas as portas TCP e UDP abertas para conexão,
tabelas de roteamento, associações multicast, estatísticas de interferência, conexões mascaradas, etc. um
número de interface de rede (controlador de interface de rede ou interface de rede definida por software) e
estatísticas de protocolo de rede.
Para visualizar a lista de interfaces de rede em um sistema, os investigadores podem usar a opção -i
com o comando netstat .
Comando:
netstat -i
Comando:
netstat -rn
-r exibe a tabela de roteamento IP do
kernel -n exibe os endereços numéricos
O roteamento refere-se ao processo de transmissão de um pacote IP de um local para outro pela Internet. A estrutura do
kernel em sistemas Linux que armazena informações sobre como encaminhar pacotes IP é chamada de tabela de
roteamento.
Os investigadores forenses devem usar o comando netstat -rn para visualizar as informações da tabela de roteamento.
No comando especificado, o sinalizador -r é fornecido para listar as tabelas de roteamento do kernel, enquanto o sinalizador
-n é fornecido para listar seus endereços numéricos.
No Linux, a tabela de roteamento fornece informações sobre o processo de encaminhamento de pacotes de dados TCP/IP.
Para visualizar essas informações, execute o comando ip r.
Para coletar informações sobre portas abertas do sistema, use os seguintes nmap –sU localhost
comandos:
Uma porta aberta é uma porta TCP ou UDP configurada para receber pacotes de rede. Os invasores examinam
a rede em busca de portas abertas para instalar serviços maliciosos que permitem que eles se infiltrem na
rede e obtenham acesso não autorizado a dados confidenciais.
A execução do comando nmap ajuda os investigadores forenses a identificar as portas que estão abertas e a
obter informações sobre elas, o que pode ajudar a proteger os dispositivos de rede. O comando é executado
com diferentes opções/sinalizadores para conexões de porta TCP e UDP, que são especificadas
respectivamente por meio das sintaxes e figuras de amostra fornecidas abaixo.
Sintaxe:
nmap –sT localhost
Figura 7.12: Execução do comando nmap para verificar conexões de porta TCP
Sintaxe:
nmap –sU localhost
Figura 7.13: Execução do comando nmap para verificar conexões de porta UDP
netstat –tulpn
Os investigadores forenses precisam identificar os aplicativos/programas que estão sendo executados em várias
portas para que programas maliciosos (se houver) possam ser detectados. A execução do comando netstat pode
ajudar os investigadores a determinar os aplicativos/programas/processos em execução em uma máquina e as portas
específicas associadas a eles.
Comando:
netstat –tulpn
Parâmetros:
Figura 7.14: Execução do comando netstat com as opções -t, -u, -l, -p e -n
ÿ
Na figura acima, cupsd é o processo com PID 11806, rodando na porta 631.
ÿ Os investigadores também podem executar o comando lsof para listar os processos em execução nas portas abertas.
Se os investigadores quiserem obter informações filtradas sobre portas no estado 'LISTEN' , eles devem adicionar
o comando grep junto com a opção 'LISTEN' no comando lsof .
Comando:
Figura 7.15: Execução do comando lsof para verificar o processo em execução em portas abertas
Comando:
lsof
lsof -u <user_name>
A coleta de dados de arquivos abertos é uma parte importante da análise forense do Linux, pois ajuda os investigadores
a detectar a presença de arquivos/programas suspeitos em execução em um sistema.
Os investigadores devem executar o comando lsof sem nenhuma opção para recuperar informações sobre todos os
processos ativos e arquivos abertos.
Comando:
lsof
Observação: como a saída gerada por esse comando pode incluir uma grande quantidade de informações, o comando
pode ser combinado com a barra vertical (|) e o sinalizador 'more' , que permitem que a saída seja visualizada página
por página.
Figura 7.16: Execução do comando lsof para verificar dados em arquivos abertos
Para listar os arquivos abertos para o usuário atualmente conectado ao sistema, um investigador pode
executar o comando lsof da seguinte maneira:
Sintaxe:
lsof -u <user_name>
ÿ Ele fornece um instantâneo dos processos atuais junto com informações detalhadas, como o usuário
id, uso da CPU, uso da memória e nome do comando
ÿ Verifique a árvore do processo para determinar quaisquer processos filhos e dependências suspeitos
Processar
Investigadores forenses devem executar o comando ps para recuperar detalhes pertencentes aos processos
atualmente em execução no sistema. A saída retornada por este comando também fornece aos investigadores
informações sobre os números de identificação do processo (PIDs) correspondentes aos processos em
execução.
O comando também exibe detalhes, como uso da unidade de processamento central (CPU), uso de memória
e nomes dos comandos em execução. Os investigadores devem examinar a árvore do processo para verificar
quaisquer processos filhos e dependências suspeitos.
Quando o comando ps é executado sem nenhuma opção, ele exibe apenas os processos atualmente em
execução na conta do usuário conectado. Se os investigadores quiserem obter informações sobre os
processos em execução para todas as contas de usuário, eles devem emitir o comando ps seguido do sinalizador
auxww.
ÿ Durante a investigação forense, os investigadores devem coletar informações não voláteis , como informações do sistema,
histórico de login, logs do sistema e arquivos ocultos para construir a análise da linha do tempo do incidente que ocorreu
O estado dos dados não voláteis não muda quando a máquina é desligada. Durante a investigação forense, os investigadores
devem coletar informações não voláteis, como informações do sistema, histórico de login do usuário, logs do sistema e arquivos
ocultos para construir a análise da linha do tempo do incidente ocorrido.
ÿ Informações do sistema
ÿ Informação do Kernel
ÿ Contas de utilizador
ÿ Registros do sistema
ÿ Informação Suspeita
ÿ
Assinaturas de arquivo
ÿ
Informações de arquivo obtidas usando o comando file and strings
Os investigadores podem executar o comando cat /proc/cpuinfo para visualizar detalhes sobre a CPU em
uma máquina
Os investigadores devem executar o comando cat /proc/self/mounts para visualizar os pontos de montagem e
os dispositivos externos montados
Coletando Kernel
Em formação
ÿ Use os seguintes comandos para verificar a versão do kernel do Linux
em um sistema:
uname -r
O kernel do Linux é o componente central do sistema operacional Linux. Ele gerencia os recursos do
sistema e facilita as trocas de comunicação entre os componentes de hardware e software. O kernel
também é responsável por manter a segurança do sistema. Portanto, é importante determinar a versão do
kernel para atualizá-lo com patches de segurança, se necessário. Um investigador pode executar os
seguintes comandos para verificar a versão do kernel do Linux em um sistema:
uname -r
(ou)
cat /proc/versão
(ou)
hostnamectl | Kernel grep
Em sistemas Linux, as informações do usuário local são salvas no arquivo /etc/passwd . Cada linha
individual neste arquivo contém informações de login que correspondem a um único usuário. Durante a
investigação forense, examinar o arquivo /etc/passwd ajuda os investigadores a determinar os detalhes
pertencentes a todas as contas de usuário presentes no sistema.
Para examinar o arquivo, os investigadores devem executar o comando cat /etc/passwd . Se eles
quiserem listar apenas nomes de usuários na saída, eles devem executar o comando cut -d: -f1 /etc/passwd
Figura 7.21: Executando o comando cat /etc/passwd para coletar informações da conta do usuário
Cada linha na saída obtida ao executar o comando cat /etc/passwd representa as informações de login de um
único usuário e inclui sete campos separados por dois pontos (:).
Você pode observar o seguinte sobre o formato de saída do arquivo /etc/passwd analisando a primeira entrada na
figura acima:
ÿ
x – Senha ('x' denota criptografado)
ÿ 0 – ID do grupo
Comando:
load -f /var/log/wtmp
É importante que os investigadores forenses saibam como coletar informações sobre os usuários que estão
conectados a um sistema. Os investigadores devem executar o comando w para obter informações sobre os
usuários conectados.
Os investigadores também devem verificar o conteúdo do arquivo /var/log/wtmp para obter informações sobre o tempo
de inicialização do sistema, histórico de login do usuário, etc. Eles podem usar o último comando para visualizar o histórico
de login do usuário e outros detalhes relacionados.
load -f /var/log/wtmp
Para obter informações relativas à autenticação do usuário e eventos de autorização, logins de usuários remotos e o
histórico da execução de comandos sudo , os investigadores forenses devem examinar os detalhes do arquivo /var/log/
auth.log .
As figuras a seguir destacam a execução dos comandos que os investigadores podem usar
para recuperar informações do arquivo /var/log/auth.log (a segunda figura abaixo refere-se
ao uso do comando grep para filtrar e recuperar logs pertencentes à execução de comandos
sudo ). cat /var/log/auth.log grep sudo /var/log/auth.log
Figura 7.25: Examinando o arquivo /var/log/auth.log usando o comando grep para filtrar os logs relacionados aos comandos sudo
Nos sistemas Linux, o arquivo syslog registra as mensagens do sistema, bem como as mensagens de erro e
status do aplicativo. Este arquivo também coleta e armazena o log de dados do kernel. Os investigadores devem
recuperar detalhes do diretório /var/log/syslog para examinar as informações armazenadas nos arquivos syslog.
O comando a ser usado para exibir os detalhes em /var/log/syslog é cat /var/log/syslog
Arquivos de log são registros de todas as atividades executadas em um sistema. Os arquivos de log do Linux armazenam informações sobre o kernel
No ambiente Linux, diferentes arquivos de log contêm diferentes tipos de informações. Isso ajuda os investigadores a analisar vários problemas
durante um incidente de segurança. Compreender o conteúdo de vários arquivos de log pode ajudar os investigadores forenses a localizar possíveis
Abaixo estão alguns endereços de arquivo de log do Linux que podem ser úteis para os investigadores durante a realização de exames forenses de
uma máquina Linux:
Fluxo do módulo
Sistema de arquivo
Análise usando
O Kit Detetive:
fsstat
Comando:
Em sistemas Linux, o comando fsstat fornece informações associadas ao sistema de arquivos fornecido.
A saída desse comando é específica do sistema de arquivos e consiste em várias informações, como tipo
de sistema de arquivos, ID do volume, carimbos de data/hora da última montagem e último diretório montado.
Comando:
Execute o comando fls para listar os arquivos e diretórios disponíveis em um arquivo de imagem. Este comando também
é útil para visualizar arquivos excluídos recentemente.
Comando:
fls -i <image_type> <imagefile_name>
Comando Estadual
Use o comando istat para exibir os metadados de um arquivo, como tempos MAC, tamanho do arquivo e permissões
de acesso ao arquivo, especificando um número de inode específico.
Comando:
Fluxo do módulo
Nota: O investigador deve prosseguir com o exame forense com base nas informações/eventos registrados pela equipe de resposta a incidentes
A análise forense de memória refere-se ao exame de dados voláteis obtidos de um arquivo de imagem de
memória/despejo de memória de um sistema. Um despejo de memória (despejo de RAM) refere-se aos dados
voláteis capturados da RAM de um sistema quando o sistema está em execução. Os dados da RAM contêm
informações valiosas relacionadas a incidentes como ataque de malware, travamento do sistema e
comprometimento do sistema. As soluções de segurança de rede, como firewalls e ferramentas antivírus, não
podem detectar scripts maliciosos gravados na RAM do sistema. Os investigadores forenses devem realizar
análises forenses de memória para examinar vários artefatos e identificar atividades maliciosas que ocorrem em
um sistema. A análise forense de memória também ajuda a detectar e analisar malware residente na memória
que, de outra forma, pode passar despercebido no disco rígido. A análise forense do despejo de RAM fornece
informações sobre processos em execução na memória, informações de rede, acesso não autorizado ao sistema,
módulos carregados, comandos executados recentemente, fragmentos de código injetados, etc.
Em uma máquina Linux, os dumps de RAM são adquiridos usando ferramentas/softwares especializados. O
LiME é uma das ferramentas mais conhecidas usadas na aquisição de dumps de RAM. Em muitos casos de
crimes cibernéticos, o exame e a análise de despejos de memória podem levar à coleta de evidências críticas
que podem ser usadas para identificar e processar os perpetradores em um tribunal. Ferramentas como o
Volatility Framework são amplamente usadas para executar análise forense de memória em máquinas Linux.
Nota: O investigador deve prosseguir com o exame forense com base nas informações/eventos registrados pela
equipe de resposta a incidentes.
Comando:
ÿ Use o plug-in netstat para procurar ÿ O plug-in pstree exibe os processos pai e filho associados
comunicação de rede maliciosa na máquina gerados usando um backdoor malicioso
ÿ Na captura de tela abaixo, pode-se observar que o
Comando:
processo apache2 com PID 1279 iniciou outro processo
python vol.py --file=<file_name> -- apache2 com PID 1332
profile=<Linux_profile_name> linux_netstat
ÿ Isso indica que o processo com PID 1332 está estabelecendo
comunicação maliciosa
Comando:
python vol.py --file=<file_name> --
profile=<Linux_profile_name> linux_pstree
ÿ Comando:
O Volatility Framework é uma ferramenta que ajuda os investigadores a analisar a memória volátil. Depois de
adquirir os dumps de RAM da máquina de destino, o investigador deve analisar esses dumps usando ferramentas
como Volatility para identificar a ocorrência de atividade maliciosa.
Antes de analisar o arquivo de imagem RAM usando a ferramenta de volatilidade, um investigador deve criar um
perfil Linux para definir o sistema/kernel ao qual o arquivo de imagem de memória pertence.
Os investigadores forenses devem usar o plug-in pslist da ferramenta de volatilidade para recuperar informações
sobre todos os processos/programas que estavam em execução no sistema no momento em que o despejo de
memória foi coletado.
Comando:
Investigadores forenses devem usar o plug-in netstat para recuperar detalhes relacionados a conexões de
rede em um sistema host. A saída retornada pelo plug-in netstat fornece informações sobre todas as
conexões de porta TCP e UDP, o que pode ajudar a detectar qualquer comunicação de rede maliciosa em
execução no sistema.
Comando:
Os investigadores devem usar o plug-in pstree para exibir informações sobre os processos em execução junto com
seus processos pai na forma de uma árvore em vez de exibi-los como uma lista. Devido ao seu formato de árvore, é
mais simples e conveniente visualizar a hierarquia do processo através da saída gerada por este plugin. A partir da
saída obtida, os investigadores podem detectar os processos maliciosos em execução, bem como seus processos pai.
Comando:
A execução do plug-in malfind ajuda os investigadores forenses a detectar arquivos ocultos ou injetados, que
geralmente são arquivos de biblioteca de vínculo dinâmico (DLL), na memória. Se a saída do plug-in pstree indicar
que um determinado PID é suspeito, os investigadores devem executar o plug-in malfind nesse PID para
determinar sua legitimidade. Por exemplo, a partir da saída do plug-in pstree mostrada na figura anterior, o
processo com PID 1332 é identificado como malicioso. Você pode usar o plugin malfind para verificar se o PID
1332 é um processo legítimo.
A figura abaixo mostra que quando o plugin malfind é executado com PID 1332, o parâmetro 'Protection' mostra
que o processo está marcado com as permissões Read, Write e Execute. Isso indica que algum código malicioso
foi injetado no processo.
Comando:
PhotoRec é uma ferramenta de código Despejos de memória contêm dados voláteis Identificar e extrair esses
aberto que usa técnicas de gravação pertencentes a usuários conectados, arquivos arquivos permite a
de dados para recuperar arquivos compartilhados, arquivos de mídia acessados investigadores forenses
excluídos/dados perdidos de uma recentemente e bate-papos via redes sociais para realizar uma
unidade ou arquivo de imagem redes, páginas web acedidas, etc. investigação mais detalhada
ÿ Use ferramentas anti-malware para verificar se há vírus nos dados extraídos dos despejos de
memória ÿ Isso permite a detecção de quaisquer dados maliciosos nos despejos de memória que podem ser úteis durante
uma investigação
Extraindo dados de despejos de memória usando PhotoRec Dados recuperados do arquivo de imagem
Os investigadores forenses podem recuperar arquivos excluídos/perdidos do disco rígido ou um arquivo de imagem
de memória usando a ferramenta PhotoRec. Depois de recuperar os arquivos excluídos, os investigadores devem
examiná-los com ferramentas antimalware para verificar a presença de dados maliciosos.
Comando:
fotorrec <Imagefile_name>
Ao executar o comando PhotoRec conforme mostrado acima, o progresso da recuperação dos dados do despejo de
memória pode ser visto na janela do terminal, conforme mostrado na figura abaixo.
Fluxo do módulo
A adoção cada vez maior de sistemas Mac os tornou um alvo primário para ataques maliciosos
1
O avanço das ferramentas de malware e a menor disponibilidade de ferramentas de segurança para sistemas
2 baseados em MacOS aceleraram ainda mais essas ameaças
Os sistemas Mac armazenam todos esses dados de evidência em arquivos de log, diretórios, configurações,
4 histórico de aplicativos, etc. e os investigadores precisam extrair esses dados e usá-los para criar uma linha do tempo
para descobrir o que aconteceu
Portanto, para realizar uma investigação eficaz, os investigadores devem possuir conhecimento profundo do
OPÇÃO 01
MacOS é um sistema operacional baseado em Unix usado pela Apple em seus sistemas de computação Macintosh. O
sistema operacional depende das camadas do kernel Mach e Berkeley Software Distribution (BSD). O uso de produtos da
Apple, como computadores Mac, iPods, iPads e iPhones aumentou drasticamente nos últimos anos. Com o tempo, eles
também se tornaram o principal alvo de ataques cibernéticos. O número crescente de ataques contra sistemas Mac pode
ser atribuído ao avanço das ferramentas de malware e à falta de ferramentas de segurança suficientes desenvolvidas para
defender esses sistemas contra ataques. Para identificar um ataque ou provar a culpa, os investigadores exigem evidências
como a presença de malware, tentativas de registro não autorizadas e conectividade com servidores e sites maliciosos.
A análise forense do Mac refere-se à investigação de um crime ocorrido em ou usando um dispositivo baseado em MacOS.
Os sistemas Mac armazenam todos esses dados de evidência em arquivos de log, diretórios, configurações, histórico de
aplicativos, etc. e os investigadores precisam extrair esses dados e usá-los para criar uma linha do tempo para descobrir o
que aconteceu. Portanto, para realizar uma investigação eficaz, os investigadores devem possuir conhecimento profundo
do MacOS, seu sistema de arquivos, bibliotecas e diretórios
• Visualize o arquivo SystemVersion.plist localizado em • É o aplicativo padrão do Mac que ajuda a encontrar
/System/Library/CoreServices/SystemVersion.plist arquivos e pastas específicos
ÿ Carimbo de data/hora:
• Use a estatística de entrada da linha de comando para encontrar o registro de data e hora de
qualquer arquivo
ÿ Pacotes de aplicativos:
ÿ Os dados da conta do usuário são armazenados em ÿ A camada do sistema de arquivos ÿ O token representa dados específicos, como
a pasta da biblioteca do usuário - armazena informações como metadados de argumentos de programa , valor de
/Usuários/nome de usuário/Biblioteca arquivo, conteúdo de arquivo e estruturas de retorno, dados de texto, soquete,
diretório execução e ação em um arquivo
ÿ Colete informações como horários de
Holofote ÿ Use um holofote para pesquisar palavras-chave específicas que representam atividades maliciosas
Diretório inicial ÿ Ajuda o investigador a determinar todas as tentativas feitas para contornar a segurança
medidas junto com os timestamps relevantes
o e-mail no formato emlx, onde cada e-mail é armazenado como um arquivo no formato ASCII ÿ
Use extratores de e-mail como o Email Extractor 7 e o Data Extractor para analisar os dados do e-mail
Safári
ÿ Dados como histórico de navegação, histórico de download e favoritos podem ser usados como evidência e são armazenados como
History.plist, Downloads.plist e Bookmarks.plist respectivamente no local /Users//Library/Safari
eu converso
$tail .bash_history para visualizar os comandos mais recentes que foram executados na máquina suspeita
A análise de todas essas fontes, conforme discutido abaixo, pode fornecer dados forenses cruciais que podem ajudar
os investigadores a rastrear ciberataques. Além disso, os investigadores podem obter todos os detalhes da conta do
usuário na pasta da biblioteca e coletar informações relacionadas aos horários de modificação, acesso e criação da
conta.
ÿ Arquivo SystemVersion.plist
Figura 7.38: Verificando os detalhes da versão do sistema no sistema Mac por meio do arquivo SystemVersion.plist
Isso ajuda a correlacionar eventos de log e criar uma linha do tempo lógica dos eventos que ocorreram em
uma máquina. Ele fornece informações importantes, como tempos de MAC de qualquer arquivo. Também
ajuda a recuperar registros de data e hora de aplicativos, serviços, eventos e logs do sistema. Um investigador
pode usar a estatística de entrada da linha de comando para recuperar o registro de data e hora de qualquer arquivo.
Comando:
Figura 7.39: Verificando os metadados associados a um arquivo em um sistema Mac usando o comando stat
ÿ Pacotes de Aplicativos
Esses são diretórios especiais que armazenam dados do aplicativo e ficam ocultos do usuário.
Os investigadores devem analisar esses pacotes para identificar malware ou outros dados suspeitos.
Avalie os códigos executáveis para verificar se algo está errado com o aplicativo.
ÿ Localizador
Este é o aplicativo padrão do Mac que ajuda a encontrar arquivos e pastas específicos e também ajuda a classificá-
ÿ Conta de Utilizador
Os dados da conta do usuário armazenam informações relacionadas a todas as contas de usuário, como IDs de
usuário e opção de política de senha. Também ajuda a identificar os usuários convidados e administradores.
Os dados da conta do usuário são armazenados na pasta da biblioteca do usuário - /Users/username/Library.
Colete informações como horários de modificação, acesso e criação de cada conta
ÿ Sistema de
Arquivos O MacOS usa o Sistema de Arquivos Apple (APFS) que compreende duas camadas, a camada do
contêiner e a camada do sistema de arquivos. A camada de contêiner contém dados como metadados de volume,
estado de criptografia e instantâneos do volume. A camada do sistema de arquivos armazena informações como
metadados de arquivo, conteúdo de arquivo e estruturas de diretório
ÿ Spotlight O
Spotlight é um recurso de pesquisa integrado do MAC OS, que indexa os arquivos por tipo e, assim, facilita a
pesquisa. Essa tecnologia é particularmente útil para os investigadores rastrearem arquivos e aplicativos suspeitos.
Use um holofote para pesquisar palavras-chave específicas nos arquivos que representam atividades maliciosas.
ÿ Home Directory No
macOS, a pasta Home armazena todos os arquivos, documentos, aplicativos, pastas de biblioteca, etc. pertencentes
a um determinado usuário. Ele armazena os dados de autenticação, como tentativas de logon (sucesso e falha) de
todos os usuários, juntamente com as pastas de aplicativos e de instalação.
O sistema operacional cria um diretório inicial separado para cada usuário do sistema com seu nome de usuário.
Portanto, os investigadores podem analisar facilmente o diretório Home e recuperar dados cruciais, como senhas,
arquivos de log, pastas de biblioteca, tentativas de logon e outras informações forenses significativas. O exame da
pasta pessoal também pode ajudar a determinar todas as tentativas feitas para contornar as medidas de segurança
junto com os carimbos de data/hora relevantes. Outros arquivos incluem área de trabalho, documentos, biblioteca e
revistas.
ÿ Máquina do Tempo
Time machine é uma ferramenta de backup que armazena o conteúdo do disco rígido. Isso inclui um arquivo
BackupAlias contendo as informações binárias relacionadas ao disco rígido usado para armazenar os backups.
ÿ Kexts
O MacOS pode incorporar recursos adicionais carregando extensões do kernel. Analise o sistema
para extensões do kernel.
ÿ Apple Mail
O MacOS tem um cliente de e-mail autônomo padrão chamado Apple Mail, que oferece suporte a
várias contas POP3 e IMAP e filtragem avançada. Ele armazena todas as mensagens de e-mail no
computador host no diretório /Users//Library/Mail . Ele salva e-mail no formato emlx , onde cada e-
mail é armazenado como um arquivo no formato ASCII. Essas mensagens de e-mail podem atuar
como uma fonte crucial de evidência forense. Use extratores de e-mail como o Email Extractor 7
e Data Extractor para analisar dados de e-mail.
ÿ Safári
O Safari é o navegador da Web padrão para MacOS. Ele armazena informações sobre o histórico de
navegação, histórico de download, etc. como arquivos plist na pasta Biblioteca. Dados como histórico
de navegação, histórico de download e favoritos podem ser usados como evidência e são
armazenados como History.plist, Downloads.plist e Bookmarks.plist , respectivamente, no local /
Users//Library/Safari .
ÿ iChat
O MacOS vem com o aplicativo de mensagens instantâneas padrão chamado iChat. Não armazena
conversas anteriores automaticamente; mas os usuários podem optar por salvá-los manualmente.
Verifique a localização
para padrão dossalvou
individuais chats:
são armazenados como no a
qualquer /Users/<username>/Documents/iChats. Aplicativos
~/Library/Logs/
informações de conexão do iChat
iChatConnectionErrors
Listados abaixo estão os diretórios para arquivos de log importantes em sistemas Linux:
~/Library/Logs/
informações de conexão do iChat
iChatConnectionErrors
Diretórios Mac
Nome do arquivo Localização
Diretórios Mac
Listados abaixo estão os diretórios importantes em sistemas Mac que podem servir como repositórios de evidências durante uma
investigação forense:
/Library/Preferences/SystemConfiguration/com.apple.airport.preferences.plist
redes sem fio
Configurações de preferência do
%%users.homedir%%/Library/Preferences/*
usuário para aplicativos e utilitários
%%users.homedir%%/Library/Application Support/
navegador Google Chrome
Google/Chrome/*
• Ele identifica todas as partições disponíveis nos discos conectados e arquivos de imagem
• O arquivo de relatório no formato CSV permite que você examine os metadados de cada arquivo/pasta no sistema de arquivos
Relatório sobre metadados extraídos do sistema de arquivos Partições disponíveis no arquivo de imagem
O arquivo de relatório SQLite fornece todos os metadados APFS de maneira organizada, pois está no
Diretório APFS
Análise APFS:
Ele também fornece acesso individual a cada chave nomeada, inode, xattr e registro de extensão,
Biskus APFS incluindo CNIDs e números de bloco
Captura (continuação)
Isso permite que os investigadores pesquisem hardlinks, conteúdo de arquivo clonado, etc., e usem essas
informações para acessar todos os arquivos no disco
A ferramenta Biskus APFS Capture foi projetada para recuperar informações de discos formatados em APFS.
Esta ferramenta identifica todas as partições disponíveis nos discos conectados e arquivos de imagem. O arquivo
de relatório gerado pela ferramenta no formato CSV permite examinar os metadados de cada arquivo/pasta no
sistema de arquivos.
Figura 7.41: Relatório sobre os metadados extraídos do sistema de arquivos usando o Biskus APFS Capture
O arquivo de relatório SQLite fornece todos os metadados APFS de maneira organizada, pois está no diretório
APFS. Ele também fornece acesso individual a cada chave nomeada, inode, xattr e registro de extensão,
incluindo CNIDs e números de bloco. Isso permite que os investigadores pesquisem hardlinks, conteúdo de
arquivo clonado, etc., e usem essas informações para acessar todos os arquivos no disco.
Figura 7.42: Visualizando o sistema de arquivos da imagem mac.dd usando o Biskus APFS Capture
/.Spotlight-V100/Store-V2/<UUID> pasta
Sintaxe:
python spotlight_parser.py <path_to_database> <path_to_output_folder>
Um é um arquivo de texto contendo um despejo de banco de dados de todas as entradas, enquanto o outro é um arquivo
CSV que consiste em diretórios de cada arquivo/pasta na partição especificada
Metadados analisados do Spotlight no formato CSV Saída de metadados de arquivo jpg analisados do banco de dados
O Spotlight no MacOS permite que os usuários pesquisem arquivos/pastas consultando bancos de dados
ocupados com atributos do sistema de arquivos, metadados e conteúdo textual indexado. Ele cria um índice de
todos os arquivos/pastas no sistema e armazena os metadados de todos os arquivos/pastas no disco. No MacOS,
o Spotlight pode ser acessado pressionando as teclas Command + barra de espaço.
O arquivo de banco de dados store.db no repositório central do Spotlight é de grande valor forense. Isso ocorre
porque a análise desse arquivo fornece ao investigador detalhes como tempos de MAC, arquivos abertos
recentemente, número de vezes que um aplicativo ou arquivo é aberto e metadados associados.
Sintaxe:
A saída do spotlight_parser inclui dois arquivos: um arquivo de texto contendo um despejo de banco de
dados de todos os arquivos/pastas no disco e um arquivo CSV contendo diretórios de cada arquivo/pasta
na partição específica. As figuras a seguir mostram o exemplo de um arquivo de texto e um arquivo CSV
obtidos como saída, respectivamente, ao executar o analisador Spotlight.
OS X Auditor F-Response
https:// github.com https:// www.f-response.com
Resumo do Módulo
Este módulo discutiu a coleta de dados voláteis e não voláteis
no Linux
Por fim, este módulo terminou com uma discussão detalhada sobre
análise forense do Mac
Resumo do Módulo
Este módulo discutiu a coleta de dados voláteis e não voláteis no Linux. Ele discutiu a análise de imagem do sistema
de arquivos usando o Sleuth Kit. Além disso, explicou detalhadamente a análise forense de memória usando Volatility
e PhotoRec. Por fim, este módulo apresentou uma discussão detalhada sobre análise forense do Mac.
MT
CE-Conselho
EC-Council
D FE
Digital
Digital
Forensics Essentials
Princípios Forenses
Módulo 08
Análise for ense de red e
Machine Translated by Google
Objetivos do módulo
Compreendendo a análise forense da rede
1 Fundamentos
Objetivos do módulo
Uma das maneiras pelas quais os invasores podem violar a estrutura de segurança de qualquer organização e obter
acesso não autorizado a seus dados confidenciais/sensíveis é por meio da infiltração na rede. Embora os mecanismos
convencionais de defesa de rede sejam importantes e, até certo ponto, possam deter os invasores, eles não são
infalíveis. É, portanto, essencial que as empresas reconheçam os sinais de um ataque à rede, identifiquem as defesas
ou políticas de segurança que foram violadas e adotem medidas para proteger seus recursos de rede. A investigação
forense de rede refere-se à análise de eventos de segurança de rede (que incluem ataques de rede e outros eventos
indesejáveis que prejudicam a segurança da rede) para dois propósitos amplos - determinar as causas dos eventos de
segurança de rede para que as proteções e contramedidas apropriadas possam ser adotado, e reunir provas contra
os perpetradores do ataque para apresentação no tribunal.
Este módulo primeiro discute a importância da análise forense de rede. Em seguida, expõe os métodos de investigação
do tráfego de rede para localizar pacotes suspeitos e identificar indicadores de comprometimento (IoCs) a partir da
análise de vários arquivos de log.
Módulo 08 Página 430 Digital Forensics Essentials Copyright © por EC-Council Todos os
direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Fluxo do módulo
1 2
Entenda a rede Entenda o evento
forense Conceitos e tipos de
Fundamentos correlação
3 4
Identificar Indicadores de Investigar rede
Comprometimento Tráfego
Esta seção discute os fundamentos da análise forense de rede, a natureza dos ataques de rede, bem
como vários tipos e fontes de evidência encontradas na rede. Ele também explica como identificar IoCs no
nível da rede.
Módulo 08 Página 431 Digital Forensics Essentials Copyright © por EC-Council Todos os
direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Introdução a
Análise forense de rede
ÿ O caminho da intrusão
ÿ Rastros e evidências
A análise forense de rede envolve a implementação de detecção, captura e análise de tráfego de rede e logs de
eventos para investigar um incidente de segurança de rede. A análise forense de rede é necessária para determinar o
tipo de ataque em uma rede e rastrear os perpetradores. Além disso, é necessário um processo de investigação
adequado para produzir as evidências recuperadas durante a investigação no tribunal.
ÿ O caminho da intrusão
ÿ Rastreios e Provas
A análise forense de rede, no entanto, é um empreendimento desafiador devido a muitos fatores. Em primeiro lugar,
embora a captura do tráfego de rede em uma rede seja simples em teoria, é relativamente complexa na prática devido
a muitos fatores inerentes, como a grande quantidade de fluxo de dados e a natureza complexa dos protocolos da
Internet. Portanto, registrar o tráfego de rede requer muitos recursos. Muitas vezes não é possível registrar todos os
dados que trafegam pela rede devido aos grandes volumes. Novamente, esses dados gravados precisam ser copiados
em mídia de gravação gratuita para análise futura.
Além disso, a análise dos dados registrados é a tarefa mais crítica e demorada. Existem muitas ferramentas de análise
automatizada para fins forenses, mas elas são insuficientes, pois não há um método infalível para reconhecer o tráfego
malicioso gerado por um invasor a partir de um pool de tráfego genuíno. O julgamento humano também é crítico
porque, com ferramentas automatizadas de análise de tráfego, sempre há uma chance de obter resultados falsos
positivos.
Módulo 08 Página 432 Digital Forensics Essentials Copyright © por EC-Council Todos os
direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
No entanto, medidas podem ser tomadas com antecedência para garantir a prontidão forense da rede, como
estabelecer registros de eventos adequados e mecanismos de coleta de dados que possam fornecer artefatos
importantes para análise durante a investigação forense.
Módulo 08 Página 433 Digital Forensics Essentials Copyright © por EC-Council Todos os
direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
O exame forense de toras pode ser dividido em duas categorias, conforme indicado abaixo:
1. Post-mortem
Os investigadores realizam uma análise post mortem de logs para detectar e estudar um incidente
que já pode ter ocorrido em uma rede ou dispositivo. e Isso ajuda os investigadores a determinar o
que exatamente ocorreu e a identificar a origem do evento.
Aqui, um investigador pode examinar os arquivos de log várias vezes para analisar e verificar a
sequência de eventos que levaram ao incidente. Quando comparado à análise em tempo real, é um
processo exaustivo, pois os investigadores precisam examinar o ataque em detalhes e fornecer um
relatório final.
Uma análise em tempo real é realizada durante um ataque em andamento e seus resultados também
são gerados simultaneamente. Assim, fica mais fácil responder aos ataques imediatamente.
Módulo 08 Página 434 Digital Forensics Essentials Copyright © por EC-Council Todos os
direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Ataques de rede
Ataques mais comuns em redes Ataques específicos para redes sem fio
ÿ Ataque de Jamming
ÿ Packet Sniffing ÿ Ataques de roteador
Ataques de rede
ÿ Espionagem
A espionagem é uma técnica usada para interceptar conexões não seguras para roubar informações pessoais.
ÿ Modificação de Dados
Quando um invasor obtém acesso a informações confidenciais, ele também pode alterar ou excluir os dados.
Isso é comumente chamado de ataque de modificação de dados.
ÿ Falsificação de endereço IP
Essa técnica é usada por um invasor para acessar qualquer computador sem a devida autorização. Aqui, o
invasor envia mensagens para o computador com um endereço IP que indica que as mensagens vêm de um
host confiável.
Em um ataque DoS, o invasor inunda o alvo com grandes quantidades de tráfego inválido, esgotando assim
os recursos disponíveis no alvo. O alvo então para de responder a novas solicitações recebidas, levando a
uma negação de serviço (DoS) para usuários legítimos.
Módulo 08 Página 435 Digital Forensics Essentials Copyright © por EC-Council Todos os
direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Ataque Man-in-the-Middle
Nos ataques man-in-the-middle, o invasor estabelece conexões independentes com os usuários e retransmite
as mensagens que estão sendo transferidas entre eles, enganando-os, fazendo-os presumir que a conversa é
direta.
ÿ Packet Sniffing
Sniffing refere-se ao processo de captura de tráfego que flui por uma rede, com o objetivo de obter informações
confidenciais, como nomes de usuário e senhas, e usá-los para fins ilegítimos. Em uma rede de computadores,
um sniffer de pacotes captura os pacotes de rede. Ferramentas de software como Cain & Abel são usadas para
essa finalidade.
ÿ Enumeração
A enumeração é o processo de coleta de informações sobre uma rede, que pode ser usada posteriormente para
atacar a rede. Os invasores geralmente realizam enumerações pela Internet. Durante a enumeração, as
seguintes informações são coletadas:
o Topologia da rede
ÿ Sequestro de sessão
ÿ Estouro de Buffer
Os buffers têm uma certa capacidade de armazenamento de dados. Se a contagem de dados exceder a
capacidade original de um buffer, ocorrerá estouro de buffer. Para manter dados finitos, é necessário desenvolver
buffers que possam direcionar informações adicionais quando necessário. As informações extras podem
transbordar em buffers vizinhos, destruindo ou sobrescrevendo dados legítimos.
ÿ Infecção de E-mail
Este ataque usa e-mails como meio de atacar uma rede. Spamming de e-mail e outros meios são usados para
inundar uma rede e causar um ataque DoS.
ÿ Ataques de Malware
Malware é um tipo de código ou software malicioso projetado para infectar sistemas e afetar seu desempenho.
Os invasores tentam enganar os usuários para que instalem malware em seus sistemas. Uma vez instalado, o
malware danifica o sistema.
Módulo 08 Página 436 Digital Forensics Essentials Copyright © por EC-Council Todos os
direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Um ataque baseado em senha é um processo em que o invasor realiza várias tentativas de login em um sistema ou
aplicativo para duplicar um login válido e obter acesso a ele.
ÿ Ataques de roteador
Um ponto de acesso sem fio pode ser considerado não autorizado se tiver sido instalado em uma WLAN sem a
autorização do administrador da rede. Esses APs são configurados por internos e externos com intenção maliciosa e
podem ser usados para exfiltração de dados ou lançamento de outros tipos de ataques.
Um ataque de associação incorreta de cliente começa quando um cliente se conecta a um ponto de acesso que não
está em sua própria rede. Devido à maneira como os sinais sem fio se propagam através de paredes e outras
estruturas, um sistema cliente pode detectar um ponto de acesso pertencente a outra rede e conectar-se a ela,
acidental ou intencionalmente. Em ambos os casos, o cliente pode se conectar a uma rede insegura, talvez enquanto
ainda estiver conectado a uma rede segura. Este último cenário pode resultar em uma parte maliciosa obtendo acesso
a uma rede protegida.
Este ataque ocorre devido à configuração incorreta de um ponto de acesso sem fio. Essa é uma das vulnerabilidades
mais fáceis que um invasor pode explorar. Após uma exploração bem-sucedida, toda a rede pode ficar aberta a
vulnerabilidades e ataques.
Nesse ataque, um invasor explora pontos de acesso flexíveis, que são rádios WLAN presentes em alguns laptops. O
invasor pode ativar esses pontos de acesso no sistema da vítima por meio de um programa malicioso e obter acesso
à rede.
Em um ataque de conexão ad hoc, o invasor conduz o ataque usando um adaptador USB ou placa sem fio. Nesse
método, o host se conecta a uma estação não segura para atacar uma estação específica ou burlar a segurança do
ponto de acesso.
Se várias WLANs coexistirem na mesma área, um usuário poderá se conectar a qualquer rede disponível. Essas
WLANs são altamente vulneráveis a ataques. Normalmente, quando um cliente sem fio liga, ele sonda as redes sem
fio próximas em busca de um SSID específico. Um invasor explora esse comportamento de clientes sem fio
implantando uma rede sem fio não autorizada usando um AP não autorizado. Este AP possui antenas de alta potência
(alto ganho) e utiliza o mesmo SSID do
Módulo 08 Página 437 Digital Forensics Essentials Copyright © por EC-Council Todos os
direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
rede alvo. Os usuários que se conectam regularmente a várias WLANs podem se conectar ao AP não autorizado. Esses
APs montados pelo invasor são chamados de APs “honeypot”. Eles transmitem um sinal de farol mais forte do que os
APs legítimos. Os NICs que procuram o sinal mais forte disponível podem se conectar ao AP não autorizado. Se um
usuário autorizado se conectar a um honeypot AP, ele criará uma vulnerabilidade de segurança e revelará informações
confidenciais do usuário, como identidade, nome de usuário e senha, ao invasor.
Usando a técnica de falsificação de MAC, o invasor pode reconfigurar o endereço MAC para que pareça ser um ponto
de acesso autorizado a um host em uma rede confiável. Ferramentas como changemac.sh e SMAC são usadas para
conduzir esses ataques.
ÿ Ataque de Jamming
Um método particularmente interessante de atacar uma WLAN é recorrer a um simples ataque DoS. Embora existam
muitas maneiras de fazer isso, uma das mais fáceis é simplesmente bloquear a rede, evitando assim que ela seja usada.
É possível usar um jammer (transmissor de rádio) especialmente projetado que transmitirá sinais que podem
sobrecarregar e impedir o uso do ponto de acesso por clientes legítimos.
Módulo 08 Página 438 Digital Forensics Essentials Copyright © por EC-Council Todos os
direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Esses artefatos incluem logs relacionados a sistemas, aplicativos, redes, firewalls, etc.
Exemplos de IoCs:
Tráfego de rede
Recurso Uniforme passando por
Localizadores ou URLs Anomalias de login portas incomuns
Indicadores de comprometimento (IoCs) são artefatos forenses digitais que ajudam a detectar um incidente de segurança que
ocorreu (ou está em andamento) em um sistema host ou em uma rede. Esses artefatos incluem logs relacionados a sistemas,
aplicativos, redes, firewalls, etc.
O termo Indicadores de Comprometimento (IoCs) geralmente se refere a itens de evidência que apontam para qualquer
invasão de segurança que ocorreu em um sistema host ou rede. Quando ocorre um incidente de segurança, como um ataque
a componentes de rede, as atividades do invasor podem ser rastreadas examinando o sistema afetado e as entradas de log
armazenadas nele.
As invasões de segurança podem ocorrer de muitas formas diferentes e por meio de vários canais. Portanto, os investigadores
forenses precisam procurar sinais que indiquem uma violação, como um aumento repentino no tráfego de saída da rede e
atividades de login incomuns.
ÿ Tráfego de rede de saída incomum: aumento incomum no tráfego de saída pode ser um
ÿ Localizadores uniformes de recursos ou URLs: URLs maliciosos que geralmente são espalhados por phishing
e spam são considerados potenciais IoCs
ÿ Strings do agente do usuário: o agente do usuário informa o servidor sobre o sistema operacional do dispositivo
visitante, informações do navegador, etc.
ÿ Anomalias de login: Aumento do número de tentativas falhadas de login numa conta de utilizador
pode ser sinal de atividade maliciosa
Módulo 08 Página 439 Digital Forensics Essentials Copyright © por EC-Council Todos os
direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Tráfego de rede passando por portas incomuns: Programas usando portas incomuns e fingindo ser
legítimos
Módulo 08 Página 440 Digital Forensics Essentials Copyright © por EC-Council Todos os
direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Dispositivos de rede e
Funções Camadas do Modelo TCP/IP Protocolos
Registros de Aplicativos
Lida com protocolos de alto nível, Transferência de arquivos (TFTP, FTP, NFS), e-mail Servidores/desktops, antivírus,
questões de representação, Camada de aplicação (SMTP), gerenciamento de rede Aplicativos de negócios,
codificação e controle de diálogo (SNMP), gerenciamento de nomes (DNS) bancos de dados
Os logs contêm eventos associados às atividades executadas em um sistema ou rede. Portanto, a análise desses
registros ajuda os investigadores a rastrear os eventos que ocorreram. Os logs coletados nos dispositivos e
aplicativos de rede servem como evidência para os investigadores investigarem os incidentes de segurança da rede.
Para qualquer evento de segurança, é provável que esses rastros sejam encontrados em logs gerados em uma ou
mais camadas da rede. Portanto, a fim de saber onde procurar evidências, os investigadores devem entender as
várias camadas em uma rede categorizadas pelos dois modelos de rede amplamente usados - o modelo Protocolo
de Controle de Transmissão/Protocolo de Internet (TCP/IP) e a Interconexão de Sistemas Abertos (OSI).
TCP/IP é um protocolo de comunicação usado para conectar diferentes hosts na Internet. Todo sistema que envia e
recebe informações possui um programa TCP/IP, e o programa TCP/IP consiste em duas camadas:
1. Camada Superior: Esta camada gerencia as informações, enviadas e recebidas na forma de pequenos
pacotes de dados, transmitidos pela internet, e combina todos esses pacotes em uma mensagem principal.
2. Camada Inferior: Esta camada lida com o endereço de cada pacote para que todos cheguem ao
destino certo.
Módulo 08 Página 441 Digital Forensics Essentials Copyright © por EC-Council Todos os
direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
O modelo OSI de 7 camadas e o modelo TCP/IP de 4 camadas são ilustrados no diagrama acima. O modelo TCP/IP e os
modelos OSI de sete camadas são semelhantes em aparência. Conforme mostrado na figura acima, a Camada de Enlace
de Dados e a Camada Física do modelo OSI juntas formam a Camada de Acesso à Rede no modelo TCP/IP. A Camada de
Aplicação, a Camada de Apresentação e a Camada de Sessão juntas formam a Camada de Aplicação no Modelo TCP/IP.
Esta é a camada mais baixa no modelo TCP/IP. Esta camada define como usar a rede para transferir dados. Inclui
protocolos como Frame Relay, SMDS, Fast Ethernet, SLIP, PPP, FDDI, ATM, Ethernet e ARP. Isso permite que a
máquina entregue os dados desejados a outros hosts na mesma rede.
Esta é a camada acima da camada de acesso à rede. Ele lida com o movimento de um pacote de dados em uma
rede, desde sua origem até seu destino. Essa camada contém protocolos como o Protocolo da Internet (IP),
Protocolo de Mensagens de Controle da Internet (ICMP), Protocolo de Resolução de Endereços (ARP) e Protocolo
de Gerenciamento de Grupos da Internet (IGMP). O Internet Protocol é o protocolo mais utilizado nesta camada.
A camada de transporte é a camada acima da camada de Internet. Ele serve como backbone para o fluxo de
dados entre dois dispositivos em uma rede. A camada de transporte permite que entidades pares nos dispositivos
de origem e destino se comuniquem. Essa camada utiliza diversos protocolos, dentre os quais o Transmission
Control Protocol (TCP) e o User Datagram Protocol (UDP) são os mais utilizados.
Módulo 08 Página 442 Digital Forensics Essentials Copyright © por EC-Council Todos os
direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
O TCP é preferível para conexões confiáveis, enquanto o UDP pode ser usado para conexões não
confiáveis.
Como a camada superior do modelo TCP/IP, a camada de aplicação usa vários processos usados pela
camada 3 (camada de transporte), especialmente TCP e UDP, para entregar dados. Esta camada
contém muitos protocolos com HTTP, Telnet, FTP, SMTP, NFS, TFTP, SNMP e DNS sendo os mais
amplamente utilizados.
Figura 8.2: Evidência baseada em rede encontrada em cada camada do modelo TCP/IP
Módulo 08 Página 443 Digital Forensics Essentials Copyright © por EC-Council Todos os
direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Dados de conteúdo completo referem-se a pacotes reais que são ÿ Os dados da sessão referem-se a um resumo da conversa entre
coletados pelo armazenamento do tráfego de rede (conhecido duas entidades de rede
ÿ Dados de alerta são acionados por ferramentas como Snort IDS e ÿ Dados estatísticos fornecem perfil geral ou resumos do tráfego de rede
Suricata que são pré-programados para examinar o tráfego de rede
para IoCs e relatar as descobertas como alertas
ÿ A análise estatística de dados pode fornecer ao investigador informações
ÿ Os investigadores precisam ter cuidado ao examinar os dados de alerta, úteis, como registros de data e hora relacionados a conversas de
pois pode haver alertas falsos positivos rede, protocolos e serviços sendo usados, tamanho médio de
pacote e taxa média de pacote
Os dados de conteúdo completo são coletados capturando e armazenando todos os pacotes que fluem por uma rede sem
qualquer filtragem. Ele oferece uma quantidade significativa de granularidade e flexibilidade durante a análise de dados
baseada em rede. Ele ajuda os investigadores a realizar uma análise post mortem de um incidente de segurança e facilita
a reconstrução dos eventos ocorridos.
Os investigadores podem usar ferramentas como tcpdump e Wireshark para analisar qualquer subconjunto de dados de
conteúdo completo.
ÿ Dados da sessão
Os dados da sessão fornecem o resumo de uma conversa entre dois dispositivos de rede.
Embora não seja tão detalhado quanto os dados de conteúdo completo, inclui uma agregação de metadados do tráfego
de rede, como IP de destino e porta de destino, IP e porta de origem, hora de início da sessão e informações trocadas
durante a sessão.
ÿ Dados de alerta
Os dados de alerta são acionados por ferramentas como Snort IDS e Suricata, que inspecionam o fluxo de tráfego da rede
e relatam possíveis eventos de segurança como alertas. No entanto, os investigadores precisam ter cuidado ao analisar
dados de alerta. Como essas ferramentas dependem da detecção baseada em assinatura, também pode haver alertas
falsos positivos, o que significa relatar um incidente quando não há nenhum.
Módulo 08 Página 444 Digital Forensics Essentials Copyright © por EC-Council Todos os
direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Dados Estatísticos
Esse tipo de dado fornece um perfil geral ou resumo do tráfego de rede, que pode ser de valor investigativo
significativo. A análise de dados estatísticos pode fornecer informações como carimbos de data/hora
relacionados a conversas de rede, protocolos e serviços sendo usados, tamanho médio de pacote e taxa
média de pacote.
Módulo 08 Página 445 Digital Forensics Essentials Copyright © por EC-Council Todos os
direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Fluxo do módulo
1 2
Entenda a rede Entenda o evento
forense Conceitos e tipos de
Fundamentos correlação
3 4
Identificar Indicadores de Investigar rede
Comprometimento Tráfego
Esta seção define a correlação de eventos e discute vários tipos e abordagens relacionadas a ela.
Módulo 08 Página 446 Digital Forensics Essentials Copyright © por EC-Council Todos os
direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Evento
Correlação
1 2 3
Correlação de eventos é o processo de Inclui a análise de eventos Geralmente é realizado em uma
relacionar um conjunto de eventos que para determinar como plataforma de gerenciamento de
ocorreram em um intervalo de tempo pode somar para se tornar um logs, após a identificação de logs
predefinido evento maior com propriedades semelhantes
Agregação de eventos
Mascaramento de eventos
Etapas na
correlação de eventos:
Filtragem de eventos
Correlação de eventos
A correlação de eventos é uma técnica usada para atribuir um novo significado para relacionar um conjunto de eventos
que ocorrem em um período fixo de tempo. Nesta técnica, poucos eventos importantes são identificados entre o grande
número de eventos. Durante o processo de correlação de eventos, novos eventos podem ocorrer e substituir alguns
eventos existentes do fluxo de eventos.
Em geral, os investigadores podem realizar o processo de correlação de eventos em uma plataforma de gerenciamento de
logs.
Exemplo 1: Se um usuário receber 10 eventos de falha de login em 5 minutos, isso gera um ataque de segurança
evento.
Exemplo 2: Se as temperaturas externa e interna de um dispositivo excederem um limite e ocorrer o evento “o dispositivo
não está respondendo”, tudo em um intervalo de 5 segundos, substitua-os pelo evento “dispositivo inoperante devido a
superaquecimento”.
1. Agregação de eventos
A agregação de eventos também é chamada de eliminação de duplicação de eventos. Ele compila os eventos
repetidos em um único evento e evita a duplicação do mesmo evento.
Módulo 08 Página 447 Digital Forensics Essentials Copyright © por EC-Council Todos os
direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
2. Mascaramento de eventos
O mascaramento de eventos refere-se a eventos ausentes relacionados a sistemas que estão a jusante de um
sistema com falha. Evita os eventos que causam o travamento ou falha do sistema.
3. Filtragem de eventos
Por meio da filtragem de eventos, o correlacionador de eventos filtra ou descarta eventos irrelevantes.
A análise de causa raiz é a parte mais complexa da correlação de eventos. Durante uma análise de causa raiz, o
correlacionador de eventos identifica todos os dispositivos que ficaram inacessíveis devido a falhas de rede. Em
seguida, o correlacionador de eventos categoriza os eventos em eventos de sintoma e eventos de causa raiz. O
sistema considera os eventos associados aos dispositivos inacessíveis como eventos de sintoma e os outros
eventos não sintomáticos como eventos de causa raiz.
Módulo 08 Página 448 Digital Forensics Essentials Copyright © por EC-Council Todos os
direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Este método de correlação é usado quando um sistema operacional comum é usado em toda a rede em uma
organização
Exemplo: uma organização executando apenas o sistema operacional Microsoft Windows (qualquer versão) em seus
servidores pode coletar entradas de log de eventos e realizar análises de tendências diagonalmente
Este método de correlação é usado quando diferentes sistemas operacionais e plataformas de hardware de rede são
usados na rede de uma organização
Exemplo: os clientes podem usar o Microsoft Windows, mas usam um firewall e um gateway de e-mail baseados em
Linux
Módulo 08 Página 449 Digital Forensics Essentials Copyright © por EC-Council Todos os
direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Transmitir dados de log de um dispositivo de ÿ Depois que os dados são coletados, ÿ Depois de coletar os dados, os dados
segurança para outro até atingir um deve ser formatado novamente de repetidos devem ser removidos
diferentes formatos de log para um log para que os dados possam
ponto de consolidação no sistema único ou polimórfico que pode ser facilmente ser correlacionado de forma mais eficiente
automatizado inserido no banco de dados
ÿ A remoção de dados desnecessários pode
ÿ Para ter uma transmissão segura e ser feita compactando os dados,
reduzir o risco de exposição durante excluindo dados repetidos, filtrando
a transmissão, os dados devem ser ou combinando eventos semelhantes em
criptografados e autenticados um único evento e enviando-o para o
mecanismo de correlação
ÿ Transmissão de Dados
Transmitir dados de log de um dispositivo de segurança para outro até atingir um ponto de consolidação no
sistema automatizado. Para ter uma transmissão segura e reduzir o risco de exposição durante a transmissão,
os dados devem ser criptografados e autenticados.
ÿ Normalização
Depois que os dados são coletados, eles devem ser formatados novamente de diferentes formatos de log
para um único ou polimórfico log que pode ser facilmente inserido no banco de dados
ÿ Redução de Dados
Depois de coletar os dados, os dados repetidos devem ser removidos para que os dados possam ser
correlacionados com mais eficiência. A remoção de dados desnecessários pode ser feita compactando os
dados, excluindo dados repetidos, filtrando ou combinando eventos semelhantes em um único evento e
enviando-o ao mecanismo de correlação.
Módulo 08 Página 450 Digital Forensics Essentials Copyright © por EC-Council Todos os
direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Perfil/impressão digital
03 Abordagem Baseada em Codebook 08 13 Correlação de rota
abordagem baseada
Várias metodologias podem ser aplicadas para conduzir a correlação de eventos com base nos dados de log. A seguir
estão algumas abordagens amplamente utilizadas:
ÿ Abordagem baseada em gráficos: Na abordagem baseada em gráficos, várias dependências entre os componentes
do sistema, como dispositivos de rede, hosts e serviços, são identificadas primeiro.
Depois que essas dependências são identificadas, um grafo é construído com os componentes do sistema
como nós e as dependências entre eles como arestas. Quando ocorre um evento indesejado, como uma falha
ou falha, esse gráfico é usado para detectar as possíveis causas raiz do evento.
ÿ Abordagem baseada em rede neural: esta abordagem usa uma rede neural para detectar as anomalias no fluxo
de eventos, causas raiz de eventos de falha e correlacionar outros eventos relacionados a falhas e falhas.
ÿ Abordagem baseada em livro de códigos: A abordagem baseada em livro de códigos, que é semelhante à
abordagem baseada em regras descrita a seguir, agrupa todos os eventos. Ele usa um livro de códigos para
armazenar um conjunto de eventos e correlacioná-los. Essa abordagem é executada mais rapidamente do que
um sistema baseado em regras, pois há menos comparações para cada evento.
ÿ Abordagem Baseada em Regras: A abordagem baseada em regras correlaciona eventos de acordo com um
conjunto especificado de regras (condição ÿ ação). Dependendo do resultado de cada teste e da combinação
de eventos do sistema, o mecanismo de processamento de regras analisa os dados até atingir o estado final.
ÿ Abordagem Baseada em Campo: Esta é uma abordagem básica que compara eventos específicos com campos
únicos ou múltiplos nos dados normalizados.
Módulo 08 Página 451 Digital Forensics Essentials Copyright © por EC-Council Todos os
direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Correlação de Campo Automatizada: Este método verifica e compara todos os campos sistematicamente
para correlação positiva e negativa entre eles, para determinar correlações em um ou vários campos.
ÿ Parâmetro de pacote/correlação de carga útil para gerenciamento de rede: essa abordagem ajuda a
correlacionar pacotes específicos com outros pacotes. Também pode ser usado para produzir uma lista de
novos ataques em potencial, comparando pacotes com assinaturas de ataque.
ÿ Abordagem baseada em perfil/impressão digital: Este método ajuda os usuários a identificar se um sistema
serve como um retransmissor para um hacker ou se é um host anteriormente comprometido e/ou para
detectar o mesmo hacker de locais diferentes. A abordagem auxilia na coleta de uma série de conjuntos de
dados de dados de eventos forenses, como impressões digitais isoladas do sistema operacional, varreduras
de portas isoladas, informações de dedos e captura de banners, a fim de comparar dados de ataque de link
com perfis de invasores.
ÿ Abordagem Baseada em Vulnerabilidade: Esta abordagem ajuda a mapear eventos IDS que visam um host
vulnerável usando um scanner de vulnerabilidade. Ele deduz um ataque a um host específico com
antecedência e prioriza os dados do ataque para responder rapidamente aos pontos afetados.
ÿ Correlação baseada em porta aberta: A abordagem de correlação de porta aberta determina a chance de um
ataque bem-sucedido comparando a lista de portas abertas disponíveis no host com aquelas que estão sob
ataque.
ÿ Correlação Bayesiana: Esta é uma abordagem de correlação avançada que prevê o que um invasor pode
fazer depois do ataque, estudando as estatísticas e a teoria da probabilidade e usa apenas duas variáveis.
ÿ Abordagem de tempo (hora do relógio) ou baseada em função: essa abordagem aproveita dados sobre o
comportamento de computadores e seus usuários para acionar alertas quando anomalias são encontradas.
ÿ Correlação de rota: essa abordagem ajuda a extrair informações sobre a rota de ataque e usa essas
informações para identificar outros dados pertencentes ao ataque.
Módulo 08 Página 452 Digital Forensics Essentials Copyright © por EC-Council Todos os
direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Fluxo do módulo
1 2
Entenda a rede Entenda o evento
forense Conceitos e tipos de
Fundamentos correlação
3 4
Identificar Indicadores de Investigar rede
Comprometimento Tráfego
Esta seção explica detalhes relevantes sobre logs de vários dispositivos de rede e como analisá-los para
obter as informações necessárias e identificar IOCs.
Módulo 08 Página 453 Digital Forensics Essentials Copyright © por EC-Council Todos os
direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Os logs do firewall de rede coletam dados de tráfego de rede, como origem e destino da solicitação, portas usadas,
hora e data e prioridade. Esses detalhes ajudam os investigadores a correlacionar os dados com outros arquivos
suspeitos para identificar a origem e outros alvos de um ataque. Os firewalls de rede vêm com software de
gerenciamento que permite aos usuários monitorar logs, controlar configurações de segurança e executar outras
tarefas de manutenção pelo firewall. Durante a investigação, os investigadores precisam analisar esses logs
cuidadosamente com base nos horários e endereços IP suspeitos e examinar áreas como solicitações geradas por
aplicativos, consultas de DNS e URLs.
O log é um arquivo de texto simples e pode ser visualizado usando qualquer editor de texto. No Windows, o bloco
de notas é o editor de texto padrão para a maioria dos arquivos de log do firewall. O período até o qual os logs são
armazenados depende do limite de armazenamento definido para o arquivo, e os logs mais novos substituem os
mais antigos quando esse limite é excedido. Devido a essa restrição de memória, os administradores de banco de
dados devem coletar e armazenar periodicamente os dados nos arquivos de log separadamente. No caso de um
ataque de segurança, esses logs podem fornecer aos investigadores informações valiosas sobre a violação. Os
investigadores podem então correlacionar esses logs com outros arquivos suspeitos para detectar a origem e
outros alvos do ataque.
Módulo 08 Página 454 Digital Forensics Essentials Copyright © por EC-Council Todos os
direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
106001
4
2
IPS: string numérica de IP_address para IP_address na interface interface_name
Conexão TCP de entrada negada de IP_address/port para IP_address/port flags tcp_flags na interface interface_name
Cisco 106002
106006
2
2
protocolo Conexão negada pela lista de saída acl_ID src inside_address dest outside_address
106007 2 Negar UDP de entrada de outside_address/outside_port para inside_address/inside_port devido ao DNS {Response|Query}
106014 3 Negar entrada icmp src interface_name: IP_address dst interface_name: IP_address (tipo dec, código dec)
106015 6 Negar TCP (sem conexão) de IP_address/port para IP_address/port flags tcp_flags na interface interface_name
106018 2 Tipo de pacote ICMP ICMP_type negado pela lista de saída acl_ID src inside_address dest outside_address
106020 2 Negar fragmento de lágrima IP (tamanho = número, deslocamento = número) de IP_address para IP_address
106021 1 Negar verificação de caminho reverso do protocolo de source_address para dest_address na interface interface_name
106022 1 Negar falsificação de conexão de protocolo de source_address para dest_address na interface interface_name
ÿ Cisco Firewall usa mnemônicos
Negar protocolo src [interface_name:source_address/source_port] dst interface_name:dest_address/dest_port [tipo {string}, código
106023 4
{code}] por access_group acl_ID
como identificadores para representar
lista de acesso acl_ID {permitido | negado | est-allowed} protocolo interface_name/source_address(source_port) -> interface_name/
106100 4
a gravidade de um evento dest_address(dest_port) hit-cnt number ({first hit | intervalo número-segundo})
As mensagens de log são indispensáveis em uma investigação forense de rede. Na maioria dos casos, um
pequeno subconjunto de mensagens de log fornece inicialmente o maior benefício. Depois de examinar esses
eventos, os investigadores podem expandir o escopo de sua análise procurando detalhes adicionais.
Módulo 08 Página 455 Digital Forensics Essentials Copyright © por EC-Council Todos os
direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Mnemônicos
O Cisco Firewall usa mnemônicos como identificadores para representar a gravidade de um evento. A tabela
abaixo resume as mensagens de log mais comuns e seus níveis de gravidade associados. Os identificadores
auxiliam na identificação ao usar ferramentas de linha de comando.
Tipo de pacote ICMP ICMP_type negado pela lista de saída acl_ID src
106018 2
inside_address dest outside_address
Módulo 08 Página 456 Digital Forensics Essentials Copyright © por EC-Council Todos os
direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Os logs do firewall Cisco estão no formato mencionado acima. Os logs do firewall Cisco incluem os seguintes detalhes:
Todos esses campos são úteis para os investigadores que procuram IOCs. Com a ajuda de mnemônicos, a gravidade
do incidente também pode ser calculada.
Módulo 08 Página 457 Digital Forensics Essentials Copyright © por EC-Council Todos os
direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
tabela de log para representar diferentes Conexão caiu O firewall derrubou uma conexão
eventos de segurança e sua gravidade Conexão Criptografada O firewall criptografou uma conexão
detectado como suspeito, mas Potencial Spam Carimbado Um e-mail foi marcado como possível spam
aceito pelo firewall Spam potencial detectado Um e-mail foi rejeitado como possível spam
ÿ Verde é para o trânsito E-mail Permitido Um e-mail não spam foi registrado
Os investigadores podem usar o aplicativo Check Point Log viewer para visualizar os logs do firewall Check Point.
Módulo 08 Página 458 Digital Forensics Essentials Copyright © por EC-Council Todos os
direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
O aplicativo usa codificação de cores para diferenciar a gravidade do erro, conforme mencionado na tabela abaixo:
Mensagem de aviso: Significa tráfego detectado como suspeito, mas aceito pelo firewall
Laranja
Tabela 8.2: Codificação de cores do log de eventos no log do firewall Check Point
Os ícones representam todas as ações em um visualizador de log do firewall Checkpoint, conforme demonstrado na tabela
abaixo:
Módulo 08 Página 459 Digital Forensics Essentials Copyright © por EC-Council Todos os
direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
O registro do firewall do ponto de verificação, quando visualizado por meio do visualizador de registro do ponto de verificação, exibe o resultado da
seguinte forma:
Módulo 08 Página 460 Digital Forensics Essentials Copyright © por EC-Council Todos os
direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Alguns dos dispositivos e ferramentas IDS comuns incluem Juniper, Check Point e Snort
Solicitações direcionadas a
1 vulnerabilidades conhecidas Atividade de rede incomum repetida 4
Os logs do Sistema de Detecção de Intrusão (IDS) fornecem informações úteis para encontrar tipos de pacotes suspeitos,
determinar sondagens, gerar novas assinaturas de ataque e medir estatísticas de ataque.
Alguns dos dispositivos e ferramentas IDS comuns incluem Juniper, Check Point e Snort.
Além de monitorar e analisar eventos para identificar atividades indesejáveis, as tecnologias de sistema de detecção de
intrusão (IDS) geralmente executam as seguintes funções:
Um IDS geralmente registra informações localmente e transmite essas informações para sistemas separados,
como servidores de registro centralizados, soluções de gerenciamento de eventos e informações de segurança
(SIEM) e sistemas de gerenciamento corporativo.
Um IDS alerta os administradores de segurança de rede por meio de e-mails, páginas, mensagens na interface de
usuário do IDS, armadilhas do protocolo de gerenciamento de rede simples (SNMP), mensagens de log do sistema
e programas e scripts definidos pelo usuário.
ÿ Produção de relatórios
Um IDS oferece relatórios que resumem os eventos monitorados ou fornecem detalhes sobre eventos específicos
de interesse. A análise desses relatórios junto com os logs pode fornecer aos administradores uma ideia clara
sobre o evento ocorrido e ajudá-los a tomar as medidas apropriadas.
Módulo 08 Página 461 Digital Forensics Essentials Copyright © por EC-Council Todos os
direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Módulo 08 Página 462 Digital Forensics Essentials Copyright © por EC-Council Todos os
direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
O sistema de proteção contra intrusão Check Point (IPS) atua como um IDS e IPS e vem com um software
embutido que pode ser usado para gerenciar o dispositivo. Os usuários podem visualizar e analisar logs
usando este software.
Módulo 08 Página 463 Digital Forensics Essentials Copyright © por EC-Council Todos os
direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
A seguir estão as etapas para visualizar e acessar logs no Check Point IPS:
ÿ Selecione a guia Network & Endpoint, expanda Predefinido ÿ Network Security Blades ÿ
Lâmina IPS
O log de eventos exibe todos os eventos gerados pelo IPS Blade, incluindo informações sobre dados, proteção e a ação
tomada.
Os logs do Check Point fornecem informações sobre o tráfego de rede para permitir o ajuste da largura de banda. A análise
desses logs é essencial para a avaliação do risco do negócio. Para cada log, o Checkpoint IPS fornece detalhes, que
podem ser acessados acessando a lista de registros do SmartView Tracker e clicando duas vezes no evento.
Módulo 08 Página 464 Digital Forensics Essentials Copyright © por EC-Council Todos os
direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
carimbo de data/hora 01
Tipo de sessão 02
ID da sessão e endereço IP
03
de origem
Honeypots são dispositivos implantados para atrair invasores. Estes parecem conter informações muito úteis para atrair os
atacantes e descobrir seu paradeiro e técnicas. Os honeypots são os sistemas fictícios usados para entender as estratégias
dos invasores e proteger a organização dos ataques.
Kippo é um honeypot comumente usado para enganar os invasores e entender sua metodologia, a fim de minimizar os riscos
de ataques reais.
Módulo 08 Página 465 Digital Forensics Essentials Copyright © por EC-Council Todos os
direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Os logs do honeypot do Kippo estão no formato mencionado acima. O conteúdo dos logs do honeypot Kippo
inclui o seguinte:
1. Carimbo de data/hora
2. Tipo de sessão
3. ID da sessão e endereço IP de origem
Módulo 08 Página 466 Digital Forensics Essentials Copyright © por EC-Council Todos os
direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
3. Porta de origem
Os detalhes do log de
saída são os seguintes:
1 Encontro
2 Tempo
3 Endereço IP de origem
4 Porta de origem
5 URL acessado
6 URL endereço IP
7 Porta Usada
Os roteadores armazenam logs de conectividade de rede com detalhes como data, hora, IPs de origem e destino
e portas usadas. Essas informações podem ajudar os investigadores a verificar os registros de data e hora de um
ataque.
Em uma investigação forense de rede, um investigador coleta os logs de um roteador para correlacionar vários
eventos e determinar detalhes como IPs e protocolos de origem e destino. Para
Módulo 08 Página 467 Digital Forensics Essentials Copyright © por EC-Council Todos os
direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
realizar tal exame, os logs podem ser redirecionados para o servidor syslog no seguinte
maneiras:
No curso de um incidente de hacking de rede ou cenário de acesso não autorizado, todos os logs pertencentes ao
ataque são armazenados no dispositivo comprometido, que pode ser o roteador/switch, banco de dados, IDS, roteador
ISP ou servidor de aplicativos. Embora praticamente todos os dispositivos de rede profissionais permitam o registro de
eventos, esses dispositivos não podem armazenar os registros por longos períodos devido a restrições de memória.
Portanto, os administradores periodicamente coletam e armazenam esses logs separadamente. Um investigador pode
usar os logs coletados para identificar, coletar e salvar logs suspeitos junto com os protocolos de firewall para fins de
investigação. Este processo requer a análise de logs, que pode ser realizada manualmente ou com o auxílio de
ferramentas de análise de logs. Após a análise dos logs, são aplicados filtros para eliminar dados desnecessários.
Os roteadores seguem vários padrões para armazenar um log em uma rede, que pode variar entre diferentes
roteadores. A captura de tela abaixo mostra um arquivo de log recebido armazenado em um roteador:
O arquivo de log contém detalhes que podem ser úteis em uma investigação, como os seguintes:
3. Porta de origem
Nota: A sintaxe de um arquivo de log gerado por outro roteador pode ser diferente.
Módulo 08 Página 468 Digital Forensics Essentials Copyright © por EC-Council Todos os
direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
1. Data
2. Tempo
3. Endereço IP de origem
4. Porta de origem
5. URL acessado
6. URL endereço IP
7. Porta Usada
Módulo 08 Página 469 Digital Forensics Essentials Copyright © por EC-Council Todos os
direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
em um sistema operacional
%SEC-6-IPACESSLOGDP 6 Foi detectado um pacote que corresponde aos critérios de log para a lista de acesso fornecida.
%SEC-6-IPACESSLOGNP 6 Foi detectado um pacote que corresponde aos critérios de log para a lista de acesso fornecida.
%SEC-6-IPACESSLOGP 6 Um pacote correspondente aos critérios de log para a lista de acesso fornecida foi detectado (TCP ou UDP)
Alguns logs de correspondência de pacotes foram perdidos porque as mensagens de log da lista de acesso tinham uma taxa limitada ou nenhum
%SEC-6-IPACESSLOGRL 6
buffer de log da lista de acesso estava disponível.
%SEC-6-IPACESSLOGRP 6 Foi detectado um pacote que corresponde aos critérios de log para a lista de acesso fornecida.
%SEC-6-IPACCESLOGS 6 Foi detectado um pacote que corresponde aos critérios de log para a lista de acesso fornecida.
O sistema não conseguiu processar o pacote porque não havia espaço suficiente para todas as opções de cabeçalho IP desejadas. O pacote foi
%SEC-4-TOOMANY 4
descartado.
%IPV6-6-ACCESSLOGP 6 Foi detectado um pacote que corresponde aos critérios de log para a lista de acesso fornecida.
%IPV6-6-ACCESSLOGDP 6 Foi detectado um pacote que corresponde aos critérios de log para a lista de acesso fornecida.
%IPV6-6-ACCESSLOGNP 6 Foi detectado um pacote que corresponde aos critérios de log para a lista de acesso fornecida.
Módulo 08 Página 470 Digital Forensics Essentials Copyright © por EC-Council Todos os
direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
O Cisco Networking Software IOS é o software de rede usado nos roteadores Cisco. O sistema operacional
possui um gerenciador de segurança integrado que define políticas relacionadas aos parâmetros básicos de
registro. O IOS integra serviços críticos de negócios e suporte à plataforma de hardware. As tecnologias de
segurança do IOS atuam como um escudo para o processo de negócios contra ataques e interrupções e
protegem a privacidade, além de apoiar políticas e controles de conformidade regulatória.
Os dispositivos de rede de trânsito contêm mensagens syslog que fornecem informações e um breve contexto
de uma instância de segurança. Esse insight ajuda a determinar a validade e a extensão de um incidente. No
contexto de um incidente de segurança, os administradores podem usar mensagens syslog para entender as
relações de comunicação, o tempo e, em alguns casos, os motivos e as ferramentas do invasor. Os eventos
devem ser considerados complementares e devem ser usados em conjunto com outras formas de
monitoramento de rede que já existam.
Há oito níveis de gravidade de classificação de mensagens syslog em roteadores Cisco IOS. Existe um
número e um nome correspondente para cada nível de gravidade para identificação. Quanto menor o número,
maior a gravidade da mensagem, conforme tabela abaixo:
Módulo 08 Página 471 Digital Forensics Essentials Copyright © por EC-Council Todos os
direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Tabela 8.4: Códigos numéricos de log do Cisco IOS e níveis de gravidade correspondentes
O Cisco ASA fornece mensagens de log que são úteis no software CISCO IOS. As mensagens de log do roteador não contêm
identificadores numéricos que auxiliam na identificação das mensagens.
Os roteadores Cisco geram mensagens de log com descrição detalhada, que provavelmente serão úteis ao analisar incidentes
relacionados à segurança. No entanto, muitas organizações não fazem uso extensivo de log em roteadores porque o log de
roteador é um tanto limitado.
O Cisco IOS ajuda os usuários a classificar logs usando determinados identificadores ou mnemônicos predefinidos, conforme
indicado na tabela abaixo:
Foi detectado um pacote que corresponde aos critérios de log para a lista
%SEC-6-IPACESSLOGDP 6
de acesso fornecida.
Foi detectado um pacote que corresponde aos critérios de log para a lista
%SEC-6-IPACESSLOGNP 6
de acesso fornecida.
Foi detectado um pacote que corresponde aos critérios de log para a lista
%SEC-6-IPACESSLOGRP 6
de acesso fornecida.
Foi detectado um pacote que corresponde aos critérios de log para a lista
%SEC-6-IPACCESLOGS 6
de acesso fornecida.
Foi detectado um pacote que corresponde aos critérios de log para a lista
%IPV6-6-ACCESSLOGP 6
de acesso fornecida.
Foi detectado um pacote que corresponde aos critérios de log para a lista
%IPV6-6-ACCESSLOGDP 6
de acesso fornecida.
Foi detectado um pacote que corresponde aos critérios de log para a lista
%IPV6-6-ACCESSLOGNP 6
de acesso fornecida.
Módulo 08 Página 472 Digital Forensics Essentials Copyright © por EC-Council Todos os
direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
1. ID do evento
2. Data
3. Tempo
4. Identificador
5. Protocolos fornecidos
6. Endereço IP de origem
7. Endereço IP de destino
Com base no identificador que é (4) na folha de log, a gravidade do log é calculada no momento da análise dos incidentes
relacionados à segurança.
Módulo 08 Página 473 Digital Forensics Essentials Copyright © por EC-Council Todos os
direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Campo Descrição
Um servidor DHCP aloca um endereço IP para um computador em uma rede durante sua inicialização.
Portanto, os logs do servidor DHCP contêm informações sobre os sistemas aos quais foram atribuídos
endereços IP específicos pelo servidor, em qualquer instância. Os investigadores podem examinar esses
registros durante exames forenses. Os servidores DHCP armazenam logs DHCP na pasta C:
\Windows\System32\dhcp e um backup da pasta DHCP na pasta C:\Windows\system32\dhcp\backup .
As capturas de tela abaixo apresentam o formato de log do servidor DHCP e um exemplo de arquivo de log de auditoria DHCP.
Campo Descrição
O endereço de controle de acesso à mídia (MAC) usado pelo hardware do adaptador de rede do
Endereço MAC
cliente
Módulo 08 Página 474 Digital Forensics Essentials Copyright © por EC-Council Todos os
direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Módulo 08 Página 475 Digital Forensics Essentials Copyright © por EC-Council Todos os
direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Fluxo do módulo
1 2
Entenda a rede Entenda o evento
forense Conceitos e tipos de
Fundamentos correlação
3 4
Identificar Indicadores de Investigar rede
Tráfego
Comprometimento
(IoCs) de logs de rede
Esta seção discute a importância de investigar o tráfego de rede e o papel das ferramentas de detecção na
análise do tráfego de rede. Ele também descreve como monitorar e analisar o tráfego de rede para vários
tipos de ataques, como ataque DOS, tentativas de quebra de senha, ataques man-in-the-middle e atividade
de malware.
Módulo 08 Página 476 Digital Forensics Essentials Copyright © por EC-Council Todos os
direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Para detectar e examinar um ataque em andamento , monitorando os padrões de comunicação do tráfego de rede
ÿ Para saber quais hosts ou redes estão envolvidos em um incidente de segurança de rede
ÿ Para rastrear informações/pacotes relacionados a uma invasão de segurança e coletá-los como evidência
A análise do tráfego de rede envolve sondar conversas entre dois dispositivos, interceptando e investigando o
tráfego. Ele ajuda a detectar qualquer atividade suspeita ou uso indevido e auxilia na detecção de sinais de um
ataque em andamento na rede. Os investigadores podem identificar vários aspectos de um ataque investigando
o tráfego de rede, como o endereço IP do invasor, o dispositivo visado e os aplicativos e protocolos usados.
É eficaz na detecção de ataques, como DoS, atividades de malware e tentativas de verificação, e monitoramento
de eventos registrados no host, como tentativas/falhas de login e downloads de arquivos maliciosos. Pacotes
suspeitos ou outras informações podem ser identificados e coletados como evidência.
Monitorar o tráfego de rede durante a investigação forense de rede envolve os seguintes objetivos:
ÿ Para saber quais hosts ou redes estão envolvidos em um incidente de segurança de rede
Módulo 08 Página 477 Digital Forensics Essentials Copyright © por EC-Council Todos os
direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
A informação que passa por uma rede é uma valiosa fonte de evidência para invasões ou conexões anômalas. A
necessidade de capturar essas informações levou ao desenvolvimento dos sniffers de pacotes, também chamados
de sniffers de rede, que são ferramentas que podem interceptar e registrar o tráfego que passa pela rede.
Os sniffers colocam as NICs em modo promíscuo para permitir que escutem e capturem todos os dados
transmitidos pela rede. Portas estendidas, toques de hardware ajudam a farejar em uma rede comutada. Os
sniffers coletam o tráfego da rede e das camadas de transporte além da camada física e de enlace de dados.
Um sniffer de pacotes é usado na análise forense de rede por causa de seus recursos de monitoramento e análise,
que ajudam a detectar invasões, supervisionar componentes de rede, solucionar problemas de rede e controlar o
tráfego. Investigadores forenses usam sniffers para analisar o comportamento de qualquer aplicativo ou dispositivo
suspeito. Alguns exemplos de sniffers e suas funcionalidades são discutidos a seguir.
Módulo 08 Página 478 Digital Forensics Essentials Copyright © por EC-Council Todos os
direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Tcpdump é um sniffer de pacote de interface de linha de comando que roda em sistemas operacionais baseados em Unix
https:// www.tcpdump.org
Tcpdump imprime uma descrição do conteúdo dos pacotes em uma interface de rede que corresponde a uma
expressão booleana de entrada. Ele pode ser executado com o sinalizador -w , que faz com que ele salve os dados
do pacote em um arquivo para análise posterior, e com o sinalizador -r , que faz com que ele leia de um arquivo de
pacote salvo em vez de ler pacotes de uma interface de rede. Em todos os casos, o Tcpdump processa apenas os
pacotes que correspondem à expressão de entrada.
Tcpdump, se não for executado com o sinalizador -c , continua capturando pacotes até ser interrompido por um sinal
SIGINT (gerado, por exemplo, digitando o caractere de interrupção, normalmente control-C ou um sinal SIGTERM
(gerado com o comando kill(1) comando); se executado com o sinalizador -c , ele captura pacotes até ser interrompido
por um sinal SIGINT ou SIGTERM ou se o número especificado de pacotes tiver sido processado.
ÿ Pacotes “recebidos pelo filtro” – O significado disso depende do sistema operacional executando o Tcpdump,
e possivelmente na forma como o sistema operacional foi configurado
ÿ Pacotes “descartados pelo kernel” é o número de pacotes que foram descartados devido à falta de espaço no
buffer, pelo mecanismo de captura de pacotes no SO executando o Tcpdump, se o SO reportar essa
informação aos aplicativos; se a informação não for reportada, será reportada como 0
Módulo 08 Página 479 Digital Forensics Essentials Copyright © por EC-Council Todos os
direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Em plataformas que suportam o sinal SIGINFO , como a maioria dos BSDs (incluindo
macOS) e Digital/Tru64 UNIX, ele relatará essas contagens quando receber um sinal
SIGINFO (gerado, por exemplo, digitando o caractere “status”, normalmente controle -T,
embora em algumas plataformas, como macOS, o caractere “status” não seja definido por
padrão; então, o usuário deve configurá-lo com sty (1) para usá-lo)
A seguir está um exemplo da saída de um comando Tcpdump
tcpdump -i eth0
13:13:48.437836 10.20.21.03.roteador > RIP2-ROUTERS.MCAST.NET.roteador: RIPv2
Módulo 08 Página 480 Digital Forensics Essentials Copyright © por EC-Council Todos os
direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Wireshark é um analisador de protocolo de rede GUI. Ele permite que o investigador navegue interativamente pelos
dados do pacote de uma rede ao vivo ou de um arquivo de captura salvo anteriormente. O formato de arquivo de
captura nativo do Wireshark está no formato libpcap, que também é o formato usado pelo tcpdump e várias outras
ferramentas.
O Wireshark permite uma inspeção profunda de centenas de protocolos e oferece aos investigadores a oportunidade
de realizar capturas ao vivo e análises offline. É compatível com os sistemas operacionais Windows, Linux, macOS,
Solaris, FreeBSD, NetBSD e muitos outros.
O Wireshark não requer identificação do tipo de arquivo que o investigador está lendo; ele determinará o tipo de
arquivo por si só. O Wireshark também é capaz de ler qualquer formato de arquivo compactado usando gzip. O
Wireshark reconhece isso diretamente do arquivo; a extensão .gz não é necessária para esta finalidade. Como
outros analisadores de protocolo, a janela principal do Wireshark mostra três visualizações de um pacote. Ele mostra
uma linha de resumo, descrevendo brevemente o que é o pacote. Ele mostra uma árvore de protocolos que permite
ao investigador detalhar o protocolo exato, ou campo, no qual está interessado. Por fim, um despejo hexadecimal
mostra exatamente como o pacote se parece quando passa pela rede.
Além disso, o Wireshark possui outros recursos. Ele pode reunir todos os pacotes em uma conversa TCP e mostrar
ao investigador os dados ASCII (ou EBCDIC, ou hexadecimais) dessa conversa. Os filtros de exibição no Wireshark
são muito poderosos. A biblioteca pcap realiza a captura de pacotes. A sintaxe do filtro de captura segue as regras
da biblioteca pcap. Essa sintaxe é diferente da sintaxe do filtro de exibição.
O suporte a arquivos compactados usa a biblioteca zlib. Se a biblioteca zlib não estiver presente, o Wireshark irá
Módulo 08 Página 481 Digital Forensics Essentials Copyright © por EC-Council Todos os
direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
compilar, mas será incapaz de ler arquivos compactados. A opção -r pode ser usada para especificar o nome do
caminho para ler um arquivo capturado ou para especificar o nome do caminho como um argumento de linha de comando.
Componentes do Wireshark
ÿ Arquivo: Este menu contém itens para abrir e mesclar, capturar arquivos, salvar, imprimir, importar e exportar
arquivos de captura no todo ou em parte e para sair do aplicativo Wireshark
ÿ Editar: Este menu contém itens para localizar um pacote, referência de tempo ou marcar um ou mais pacotes.
Ele lida com os perfis de configuração e define as preferências
ÿ Exibir: Este menu controla a exibição dos dados capturados, incluindo colorização de pacotes, zoom de fonte,
mostrando um pacote em uma janela separada, expandindo e recolhendo os detalhes da árvore de pacotes
ÿ Ir: Este menu contém opções para navegar para um pacote específico, incluindo um
pacote, próximo pacote, pacote correspondente, primeiro pacote e último pacote
ÿ Captura: Este menu permite iniciar, parar e reiniciar a captura e editar os filtros de captura
ÿ Analisar: Este menu contém itens para manipular, exibir e aplicar filtros, ativar ou desativar a dissecação de
protocolos, configurar decodificações especificadas pelo usuário e seguir um fluxo diferente, incluindo TCP,
UDP e SSL
o Follow TCP Stream: Esta opção exibe todos os segmentos TCP capturados que estão
a mesma conexão TCP como um pacote selecionado
Módulo 08 Página 482 Digital Forensics Essentials Copyright © por EC-Council Todos os
direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
o Follow UDP Stream: Esta opção exibe todos os segmentos UDP capturados que estão no
a mesma conexão UDP como um pacote selecionado
o Follow SSL Stream: Esta opção exibe todos os segmentos SSL capturados que estão no
a mesma conexão SSL como um pacote selecionado
ÿ Estatísticas: Este menu contém opções para exibir várias janelas de estatísticas, incluindo um resumo dos pacotes
que foram capturados, exibir estatísticas de hierarquia de protocolo,
Gráficos IO, gráficos de fluxo e muito mais
ÿ Telefonia: Este menu contém opções para exibir várias janelas de estatísticas relacionadas à telefonia, incluindo uma
análise de mídia, diagramas de fluxo, exibição de estatísticas de hierarquia de protocolo e muito mais
ÿ Sem fio: Este menu mostra estatísticas sem fio Bluetooth e IEEE 802.11
ÿ Ferramentas: Este menu contém várias ferramentas disponíveis no Wireshark, incluindo a criação
regras ACL de firewall e usando o interpretador Lua
O Wireshark oferece a oportunidade de usar diferentes tipos de filtros para classificar o tráfego de rede. A ferramenta ajuda
a delimitar a busca e mostra apenas o tráfego desejado. Por padrão, o Wireshark fornece filtros de captura e filtros de exibição
para filtrar o tráfego.
Os investigadores podem definir filtros e dar-lhes rótulos para uso posterior. Isso economiza tempo ao recriar e redigitar os
filtros mais complexos usados com frequência.
Filtros de Captura
O Wireshark suporta limitar a captura de pacotes a pacotes que correspondem a um filtro de captura. Filtros de captura são
aplicados antes de iniciar uma captura do tráfego na interface de rede selecionada. O investigador/administrador não pode
aplicar filtros de captura diretamente no tráfego capturado. O Wireshark usa a linguagem de filtro libpcap para filtros de
captura.
Um filtro de captura só deve ser aplicado quando o administrador sabe o que está procurando.
Os administradores devem estar cientes de todos os filtros de captura disponíveis, para encontrar rapidamente anomalias na
rede.
Exemplo 1: Um filtro de captura assume a forma de uma série de expressões primitivas conectadas por conjunções (e/ou) e
opcionalmente precedidas por 'não' é: [não] primitivo [e|ou [não] primitivo ...]
Exemplo 2: Um filtro de captura para Telnet que captura o tráfego de e para um determinado host é: tcp porta 23 e host
10.0.0.5
Módulo 08 Página 483 Digital Forensics Essentials Copyright © por EC-Council Todos os
direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Módulo 08 Página 484 Digital Forensics Essentials Copyright © por EC-Council Todos os
direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Digite o protocolo como arp, http, tcp, udp, dns e ip, na caixa de filtro
1 Filtragem de exibição por protocolo
ÿ tcp.port==23
2 Monitorando Portas Específicas ÿ ip.addr==192.168.1.100 máquina
ip.addr==192.168.1.100 && tcp.port=23
ÿ ip.src==205.153.63.30 ou ip.dst==205.153.63.30
Copyright © por EC-Council. Todos os direitos reservados. A reprodução é estritamente proibida.
Filtros de exibição são usados em pacotes capturados. Eles são úteis quando a necessidade de aplicar filtros antes
de iniciar as capturas de pacotes não é necessária. Os investigadores podem capturar todos os pacotes que trafegam
na rede e, em seguida, classificar os itens capturados usando filtros de exibição. Eles permitem que os administradores/
investigadores se concentrem nos pacotes que mais lhes interessam, enquanto ocultam os desinteressantes. Eles
permitem que administradores/investigadores selecionem pacotes com base nos seguintes elementos:
ÿ Protocolo
ÿ A presença de um campo
ÿ O valor de um campo
Para definir um novo filtro ou editar um existente, selecione Capturar ÿ Capturar Filtros ou Analisar ÿ Exibir Filtros. Isso
abre uma caixa de diálogo com opções para definir novos filtros e editar filtros existentes.
Os mecanismos para definir e salvar filtros de captura e filtros de exibição são quase idênticos.
Os administradores podem usar o botão “+” (mais) para adicionar novos filtros e o botão “-” (menos) para remover
quaisquer filtros indesejados. O botão copiar é usado para copiar um filtro selecionado. Os administradores podem
editar os filtros existentes clicando duas vezes no filtro. Após criar um novo filtro ou editar um filtro existente, clique em
OK para salvar as alterações.
O Wireshark apresenta uma vasta gama de filtros de exibição. Eles permitem detalhar o tráfego exato necessário e
são a base de muitos recursos do Wireshark.
Módulo 08 Página 485 Digital Forensics Essentials Copyright © por EC-Council Todos os
direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Digite o protocolo na caixa Filtro, por exemplo: arp, http, tcp, udp, dns
o tcp.port==23
o ip.addr==192.168.1.100 máquina ip.addr==192.168.1.100
&&tcp.port=23
ÿ Filtragem por vários endereços IP
ip.addr == 10.0.0.4
ÿ Outros filtros
Módulo 08 Página 486 Digital Forensics Essentials Copyright © por EC-Council Todos os
direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
A inundação SYN é um tipo de ataque DoS no qual o invasor envia um grande número de pacotes SYN
repetidamente para o servidor de destino usando vários endereços IP falsificados. Em sua resposta aos
pacotes SYN, o servidor envia pacotes SYN-ACK, mas não recebe nenhum pacote ACK para completar
o processo de handshake TCP de três vias. O invasor pode, portanto, esgotar rapidamente as capacidades
de CPU e RAM do servidor de destino e torná-lo insensível, o que eventualmente resulta em DoS.
Como investigador forense, você precisa monitorar o fluxo de tráfego no Wireshark para detectar qualquer
anormalidade no tráfego TCP. Um dos sinais de um potencial ataque de inundação SYN é a presença de
grandes volumes de pacotes TCP SYN de tamanho semelhante no host de destino.
A captura de tela do pacote Wireshark abaixo mostra um grande número de pacotes TCP SYN (3) de
comprimento semelhante de 120 (5) sendo enviados de diferentes endereços IP (1) para o endereço IP
de destino 192.168.0.145 (2) pela porta HTTP 80 ( 4).
Módulo 08 Página 487 Digital Forensics Essentials Copyright © por EC-Council Todos os
direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Uma vez detectado um grande volume de pacotes TCP SYN, você deve navegar para Estatísticas ÿ Hierarquia
de protocolos para examinar o valor estatístico de cada protocolo. A captura de tela abaixo mostra um volume
excepcionalmente alto de pacotes TCP, indicando fortemente um ataque de inundação TCP SYN.
Figura 8.17: Estatísticas de hierarquia de protocolo mostrando alto volume de pacotes TCP
Módulo 08 Página 488 Digital Forensics Essentials Copyright © por EC-Council Todos os
direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
https:// kb.mazebolt.com
O sinalizador SYN estabelece uma conexão e o sinalizador FIN encerra a conexão. Em uma tentativa de
SYN/FIN DoS, o invasor inunda a rede definindo os sinalizadores SYN e FIN. Em uma comunicação
TCP típica, SYN e FIN não são definidos simultaneamente. Se um administrador detecta tráfego com os
sinalizadores SYN e FIN definidos, isso é um sinal de uma tentativa SYN/FIN DDoS. Uma tentativa SYN/
FIN DDoS pode esgotar o firewall no servidor enviando os pacotes repetidamente.
Para detectar esses ataques suspeitos, você deve usar o filtro tcp.flags==0X003 para descobrir se essas
entradas de tráfego estão no mesmo pacote. A captura de tela abaixo mostra um grande número de
pacotes TCP SYN-FIN (4) sendo transmitidos de um único endereço IP de origem 10.0.0.2 (1) para o
endereço IP de destino 10.128.0.2 (2) na porta HTTP 80 (4) ao aplicar o filtro fornecido.
Módulo 08 Página 489 Digital Forensics Essentials Copyright © por EC-Council Todos os
direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Uma vez encontrado, navegue até Estatísticas ÿ Propriedades do arquivo de captura para analisar o resumo dos
pacotes capturados. A captura de tela abaixo mostra que a janela de tempo de captura de pacotes é de 14 segundos
e o número médio de pacotes enviados por segundo é de 118 a uma velocidade de 51 Kbps, indicando um ataque
de inundação SYN FIN.
Figura 8.19: Propriedades do arquivo de captura mostrando a captura de pacotes e o tamanho médio dos pacotes
Módulo 08 Página 490 Digital Forensics Essentials Copyright © por EC-Council Todos os
direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
A quebra de senha é um processo de obtenção ou recuperação de senhas por meio de tentativa e erro
ou executando uma tentativa de adivinhação de senha usando um arquivo contendo senhas comumente
usadas. Essas técnicas são chamadas de ataques de força bruta e ataques de dicionário, respectivamente.
Um investigador pode detectar esse tipo de ataque monitorando o número de tentativas de login feitas
com o mesmo endereço IP ou nome de usuário.
O protocolo de transferência de arquivos (FTP) é um protocolo padrão para transmitir arquivos entre
sistemas pela Internet usando o conjunto TCP/IP. FTP é um protocolo cliente-servidor baseado em dois
canais de comunicação entre um cliente e um servidor. Um gerencia as conversas e o outro é responsável
pela própria transmissão do conteúdo. Um cliente inicia uma sessão com uma solicitação de download, à
qual o servidor responde com o arquivo específico solicitado. Uma sessão FTP requer que o usuário faça
login no servidor FTP com seu nome de usuário e senha. Em um ataque de senha de FTP, o invasor
tenta obter a senha de qualquer usuário autenticado.
Você pode usar o filtro ftp.request.command no Wireshark para detectar uma tentativa de quebra de
senha de FTP na rede. O filtro fornece todas as solicitações de FTP feitas na rede. Ele também exibe o
número de tentativas feitas pelo invasor para obter acesso ao servidor FTP.
Você deve verificar as tentativas de login malsucedidas e bem-sucedidas para determinar qualquer
tentativa de quebra de senha no servidor FTP. Aplique o filtro ftp.response.code == 530 para monitorar
todas as tentativas malsucedidas de login via FTP. A captura de tela abaixo mostra várias tentativas
malsucedidas de login do IP de origem 10.10.10.16 para o IP de destino 10.10.10.50 ao aplicar o filtro
fornecido, o que indica fortemente um ataque de força bruta.
Módulo 08 Página 491 Digital Forensics Essentials Copyright © por EC-Council Todos os
direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Figura 8.20: Múltiplas tentativas malsucedidas de login observadas no FTP via Wireshark
Para verificar todas as tentativas bem-sucedidas de login no FTP, aplique o filtro ftp.response.code
== 230. A captura de tela abaixo mostra dois logins bem-sucedidos do IP de origem 10.10.10.16, o
que indica que o invasor obteve as credenciais com sucesso.
Módulo 08 Página 492 Digital Forensics Essentials Copyright © por EC-Council Todos os
direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Figura 8.22: Várias tentativas de login com diferentes nomes de usuários observados no servidor SMB
Módulo 08 Página 493 Digital Forensics Essentials Copyright © por EC-Council Todos os
direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
O tráfego capturado via Wireshark revela vários nomes de usuários junto com a mensagem 'Error:
STATUS_LOGON_FAILURE' que indica fortemente uma tentativa de ataque de força bruta no protocolo
SMB.
Você deve examinar cuidadosamente todos os nomes de usuário para verificar se algum nome nos pacotes
capturados corresponde ao de um usuário autorizado no host de destino, pois isso é uma forte indicação
de que o ataque de quebra de senha foi bem-sucedido.
Você também pode coletar muitas outras informações na seção Transmission Control Protocol, como porta
de origem, porta de destino e contagem de bytes de pacote (3).
Módulo 08 Página 494 Digital Forensics Essentials Copyright © por EC-Council Todos os
direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Diferentes técnicas podem ser usadas para farejar o tráfego, dependendo do tipo de rede
2
O sniffing passivo é usado para farejar uma rede baseada em hub, enquanto o sniffing ativo é usado para
3 farejar uma rede baseada em switch
Um invasor usa inundação de MAC e envenenamento de ARP para farejar o tráfego de rede, que pode
4 servir como base para o lançamento de ataques man-in-the-middle (MiTM).
Identifique tentativas de sniffing detectando os sinais de inundação de MAC e envenenamento de ARP usando
5 o Wireshark
Sniffing e ataques man-in-the-middle são formas de espionagem em que um invasor captura pacotes colocando-se
entre um cliente e um servidor. Os invasores farejam o tráfego de rede em busca de informações confidenciais.
Diferentes técnicas podem ser usadas para farejar o tráfego, dependendo do tipo de rede.
O sniffing é tentado usando uma forma ativa ou uma forma passiva:
1. Farejamento Ativo
O sniffing realizado em uma rede comutada é chamado de sniffing ativo. O invasor injeta pacotes no tráfego
de rede para obter informações do switch, que mantém seu próprio cache ARP conhecido como memória
endereçável de conteúdo (CAM).
2. Farejamento Passivo
O sniffing realizado no hub é chamado de sniffing passivo. Como um hub transmite todos os pacotes, um
invasor precisa apenas iniciar a sessão e esperar que alguém envie pacotes no mesmo domínio de colisão.
Um invasor usa inundação de MAC e envenenamento de ARP para farejar o tráfego de rede, que pode
servir como base para o lançamento de ataques man-in-the-middle (MiTM).
Como um investigador forense de rede, você pode identificar tentativas de sniffing detectando os sinais de inundação
MAC e envenenamento ARP usando o Wireshark.
Módulo 08 Página 495 Digital Forensics Essentials Copyright © por EC-Council Todos os
direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
A inundação de MAC é um método de detecção ativa no qual o invasor se conecta a uma porta no switch.
Eles enviam uma enxurrada de quadros Ethernet com vários endereços MAC falsos. O switch mantém uma
tabela CAM (memória endereçável de conteúdo), à qual o invasor está tentando obter acesso. Portanto,
esse ataque também é conhecido como ataque de inundação de CAM.
O Wireshark considera os pacotes MAC flooded como pacotes malformados. Como investigador, você pode
detectar uma tentativa de inundação de MAC usando o Wireshark analisando cuidadosamente os endereços
de origem e destino do pacote junto com seu tempo de vida (TTL). Isso pode ser feito navegando até a guia
Analyze ÿ Expert Information e examinando os pacotes malformados.
Módulo 08 Página 496 Digital Forensics Essentials Copyright © por EC-Council Todos os
direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Pacotes malformados são gerados por vários motivos e nem sempre indicam um ataque de
inundação de MAC. Para detectar com precisão uma tentativa de inundação de MAC na rede, você
deve verificar se os pacotes são destinados à mesma máquina e contêm os mesmos valores de
TTL. A captura de tela abaixo mostra que os pacotes são originários de vários endereços IP (1) e
destinados ao mesmo endereço IP 192.168.20.1 (4) com os mesmos valores de TTL (2), o que
indica um ataque de inundação de MAC.
Figura 8.24: Os pacotes malformados capturados são destinados ao mesmo IP e refletem os mesmos valores de TTL
Módulo 08 Página 497 Digital Forensics Essentials Copyright © por EC-Council Todos os
direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ O Wireshark detecta endereços IP duplicados no protocolo ARP com a mensagem de aviso 'uso duplicado de <endereço IP> detectado'
ÿ A captura de tela mostra aqui que o endereço IP 192.168.0.54 tem dois endereços MAC diferentes, que foram detectados pelo Wireshark como
duplicação
O protocolo de resolução de endereço (ARP) mapeia o endereço MAC para um endereço IP. Em um
ataque de envenenamento ARP, um invasor altera seu próprio endereço MAC para o do sistema de destino.
Consequentemente, todos os pacotes destinados ao sistema de destino são redirecionados para a
máquina do invasor. Os invasores podem monitorar o fluxo de dados na rede, falsificar vários dispositivos
na rede e fazer com que todos os pacotes sejam direcionados para eles.
O Wireshark detecta endereços IP duplicados no protocolo ARP com a mensagem de aviso 'uso
duplicado de <endereço IP> detectado'. Você pode usar o filtro arp.duplicate-address detectado após
a captura dos pacotes, para detectar vestígios de um ataque de envenenamento ARP.
A captura de tela abaixo mostra que o endereço IP 192.168.0.54 tem dois endereços MAC diferentes,
que foram detectados pelo Wireshark como duplicados.
Módulo 08 Página 498 Digital Forensics Essentials Copyright © por EC-Council Todos os
direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Módulo 08 Página 499 Digital Forensics Essentials Copyright © por EC-Council Todos os
direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
https:// www.speedguide.net
Os vestígios de uma infecção por malware podem ser encontrados nos padrões de tráfego de rede em andamento.
Depois de instalado na máquina de destino, o malware geralmente tenta se conectar ao servidor de comando e
controle (C2) para exfiltração de dados ou instruções adicionais. Ele realiza essa tarefa conectando-se a
determinados endereços IP ou abrindo determinadas portas no sistema de destino, que podem ser rastreadas por
ferramentas como o Wireshark.
Execute o Wireshark no sistema suspeito de estar infectado por malware e inspecione os padrões de tráfego em
andamento para detectar quaisquer anomalias. Na captura de tela abaixo, a análise de tráfego no Wireshark
revela que o IP 10.10.10.12 (2) está tentando conectar o IP 10.10.10.16 (1) do host de destino usando a porta
1177 após a execução da amostra de malware que parece suspeita.
Módulo 08 Página 500 Digital Forensics Essentials Copyright © por EC-Council Todos os
direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Figura 8.26: Porta suspeita 1177 encontrada no Wireshark após a execução de malware
Depois que qualquer porta/endereço IP incomum/suspeito for encontrado, você deve navegar pelos
bancos de dados online para verificar se essas portas são vulneráveis ou usadas por algum malware.
Na captura de tela abaixo, uma investigação online realizada na porta suspeita (porta 1177) no banco
de dados de portas do speedguide.net revelou que ela é frequentemente usada como porta padrão pelo
trojan njRAT.
Módulo 08 Página 501 Digital Forensics Essentials Copyright © por EC-Council Todos os
direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Resumo do Módulo
Este módulo discutiu os fundamentos da análise forense
1 de rede, incluindo fundamentos de registro
Resumo do Módulo
Este módulo discutiu os fundamentos da análise forense de rede, incluindo fundamentos de log. Também discutiu
em detalhes os conceitos relacionados à correlação de eventos. Além disso, este módulo explicou a identificação
de indicadores de comprometimento (IoCs) de logs de rede.
Por fim, este módulo terminou com uma discussão detalhada sobre a investigação do tráfego de rede.
Módulo 08 Página 502 Digital Forensics Essentials Copyright © por EC-Council Todos os
direitos reservados. A reprodução é estritamente proibida.
Machine Translated by Google
MT
CE-Conselho
EC-Council
D FE
Digital
Digital
Forensics Essentials
Princípios Forenses
Módulo 09
Investigando ataques na Web
Machine Translated by Google
Objetivos do módulo
Objetivos do módulo
Os aplicativos da Web permitem que os usuários acessem seus recursos por meio de programas do lado do cliente, como
navegadores da Web. Alguns aplicativos da Web podem conter vulnerabilidades que permitem que criminosos cibernéticos
lancem ataques específicos de aplicativos, como SQL Injection, script entre sites, inclusão de arquivo local (LFI), injeção de
comando, etc., que causam danos parciais ou completos do subjacente
servidores.
Além disso, esses ataques contra aplicativos da Web podem levar a grandes danos financeiros e de reputação para as
organizações. Na maioria dos casos, as organizações não conseguem rastrear a causa raiz de um ataque, o que deixa brechas
de segurança para os invasores explorarem. É aqui que a análise forense de aplicativos da Web assume importância.
Este módulo discute o procedimento forense de aplicativos da web, vários tipos de ataques a servidores e aplicativos da web e
onde procurar evidências durante uma investigação.
Além disso, explica como detectar e investigar vários tipos de ataques baseados na web.
Fluxo do módulo
Detectar e Investigar
Entender Web
Análise forense de aplicativos
01 04 Vários ataques na Web
Formulários
Um ramo da análise forense digital, a análise forense de aplicativos da Web envolve a investigação de um incidente
de segurança baseado na Web para localizar sua origem, como ocorreu e quais sistemas/dispositivos de computação
estavam envolvidos.
Esta seção define a análise forense de aplicativos da web e descreve a metodologia padrão que os investigadores
devem seguir ao investigar ataques de aplicativos da web. Ele também discute vários tipos de ameaças de
aplicativos da web e os sinais que indicam ataques a aplicativos da web.
ÿ A análise forense de aplicativos da Web envolve o rastreamento de um ataque de segurança que ocorreu em qualquer aplicativo da Web
identificar sua origem, e como foi penetrado
Aplicativos da Web são programas existentes em um servidor central que permitem que um usuário, que
visita um site pela Internet, envie e recupere dados de e para um banco de dados. Um cliente faz uma
solicitação a um servidor da Web por meio de um aplicativo da Web. Quando o servidor responde à requisição,
a aplicação web gera documentos da resposta para melhor atendimento ao cliente/usuário.
Os documentos da web gerados por aplicativos da web estão em um formato padrão, como Hypertext Markup
Language (HTML) e Extensible Markup Language (XML), que é suportado por todos os tipos de navegadores.
Os aplicativos da Web realizam a tarefa solicitada, independentemente do sistema operacional e do navegador
implantados pelo usuário. Apesar das vantagens dos aplicativos da Web, eles tendem a ser vulneráveis a
ataques devido a práticas inadequadas de codificação ou monitoramento de segurança. Os invasores tentam
explorar vulnerabilidades no código e obter acesso ao conteúdo do banco de dados, obtendo acesso a
informações confidenciais, como credenciais de usuário e detalhes de contas bancárias. Alguns tipos de
ataques executados em aplicativos da Web incluem injeção de SQL, XSS, sequestro de sessão, inclusões de
arquivos locais e remotos e execução remota de código.
A análise forense de aplicativos da Web assume proeminência quando esses tipos de ataques ocorrem em
aplicativos da Web. Envolve o exame forense de aplicativos da web e seu conteúdo (como logs, diretório www
e arquivos de configuração) para rastrear e identificar a origem do ataque, determinar como o ataque foi
propagado, juntamente com os dispositivos usados (dispositivos móveis e computadores ) e pessoas
envolvidas no ataque. Os investigadores examinam os logs e os arquivos de configuração associados ao
servidor, à rede e à máquina host para obter informações sobre o ataque.
Devido à natureza distribuída dos aplicativos da Web, os rastros de atividades são registrados em vários
componentes de hardware e software. Os aplicativos da Web atendem a uma ampla variedade de serviços e
podem oferecer suporte a vários tipos de servidores, como IIS e Apache. Portanto, os investigadores forenses
devem ter um bom conhecimento de vários servidores para examinar os logs e entendê-los quando ocorrer um
incidente.
Os aplicativos da Web geralmente são críticos para os negócios. Portanto, é difícil para os investigadores criar
sua imagem forense, o que exige que o site fique fora do ar por algum tempo. Isso torna um desafio para os
investigadores capturar dados voláteis, incluindo processos, conexões de porta/rede, logs de dumps de memória
e logs de usuário no momento da análise do incidente. Por outro lado, à medida que o tráfego de sites aumenta,
os arquivos de log registrados no banco de dados continuam aumentando. Portanto, torna-se difícil para os
investigadores coletar e analisar esses logs.
Os investigadores devem ter uma boa compreensão de todos os tipos de servidores da Web e de aplicativos
para entender, analisar e correlacionar vários formatos de logs coletados de suas respectivas fontes. Quando
ocorre um ataque a um site, os investigadores devem coletar as impressões digitais deixadas pelo invasor. No
entanto, rastrear de volta se torna uma tarefa difícil, pois os invasores costumam usar proxies reversos e
anonimizadores. Os investigadores também precisam coletar os seguintes campos de dados associados a cada
solicitação HTTP feita ao site para entender como o ataque foi realizado:
ÿ Cabeçalhos HTTP
ÿ
Listagens de arquivos e carimbos de data/hora (dados não voláteis)
A maioria dos aplicativos da Web restringe o acesso às informações HTTP. Sem isso, as informações registradas nos logs seriam bastante
semelhantes, o que poderia impossibilitar os investigadores de diferenciar as solicitações HTTP válidas das maliciosas.
Existem diferentes componentes que indicam um ataque na web. Por exemplo, em um ataque DoS, é negado aos clientes
o acesso às informações ou serviços disponíveis no servidor web de destino. Nesses casos, os clientes relatam a
indisponibilidade de serviços online porque o invasor impede que usuários legítimos acessem sites e outros serviços que
dependem do servidor da Web visado.
Redirecionar um usuário em uma página da Web para um site desconhecido que hospeda um kit de exploração é outra
indicação de um ataque na Web. Quando um usuário insere a URL do site na barra de endereço, o servidor o redireciona
para um site desconhecido (muitas vezes malicioso), que instala spyware/malware na máquina do usuário.
O desempenho de rede excepcionalmente lento e a reinicialização frequente do servidor também podem indicar um
ataque na web. Anomalias encontradas nos arquivos de log também são uma indicação de ataques na web. A alteração
de uma senha e a criação de uma nova conta de usuário podem revelar as tentativas de ataque em sites.
Outros indicadores de ataques na web incluem vazamento de dados confidenciais e desfigurações de páginas da web.
Pode haver outros indicadores, como o retorno de mensagens de erro. Por exemplo, uma página de mensagem de erro
HTTP 500 pode indicar a ocorrência de um ataque de injeção SQL. Além disso, existem outras mensagens de erro, como
“um erro interno do servidor” e “problema ao processar sua solicitação”, que indicam um ataque na web.
Parâmetro/Forma
03 Falhas de Injeção 09 15 estouro de buffer
adulteração
Segurança
06 Entrada não validada 12 18 Registro de adulteração
Configuração incorreta
A maioria das violações de segurança ocorre em aplicativos da Web, e não em servidores da Web, pois os aplicativos
da Web podem conter bugs devido a problemas de codificação na fase de desenvolvimento. Consequentemente, os
aplicativos da Web estão sujeitos a vários tipos de ameaças, algumas das quais são descritas abaixo:
ÿ Injeção de SQL
Nesse tipo de ataque, o invasor injeta comandos SQL maliciosos ou consultas como dados de entrada. Isso
os ajuda a ignorar as medidas de segurança do aplicativo da web e recuperar conteúdo confidencial do
servidor de banco de dados.
ÿ Falhas de Injeção
As falhas de injeção são as vulnerabilidades de aplicativos mais comuns que permitem que dados não
confiáveis fornecidos pelo usuário sejam interpretados e executados como um comando ou consulta. Os
invasores injetam códigos, comandos ou scripts maliciosos nos portões de entrada de aplicativos da Web
defeituosos de forma que os aplicativos interpretem e executem com a entrada maliciosa recém-fornecida, o
que, por sua vez, permite que os invasores extraiam informações confidenciais.
Essas falhas de injeção são comumente encontradas em consultas SQL, NoSQL e LDAP, bem como em comandos
do sistema operacional. Falhas de injeção foram consideradas como a principal vulnerabilidade de segurança em
aplicativos da Web em 2017 pelo Open Web Application Security Project (OWASP).
Nesse método de ataque, um usuário autenticado é obrigado a executar determinadas tarefas no aplicativo da Web
escolhido por um invasor. Por exemplo, um invasor pode fazer um usuário clicar em um determinado link enviado por
e-mail ou chat.
ÿ Passagem de caminho/diretório
Quando os invasores exploram o HTTP usando passagem de diretório, eles obtêm acesso não autorizado aos
diretórios, após o que podem executar comandos fora do diretório raiz do servidor da web.
Nesse tipo de ataque, os invasores adulteram a URL, solicitações HTTP, cabeçalhos, campos ocultos, campos de
formulário, strings de consulta etc. para contornar as medidas de segurança em um sistema. IDs de login do usuário
e outros dados relacionados são armazenados em cookies, que se tornam uma fonte de ataques.
Exemplos de ataques que causam entrada não validada incluem injeção de SQL, script entre sites (XSS) e estouros
de buffer.
Nesse tipo de ataque, os invasores contornam os mecanismos de segurança do ID do cliente e obtêm privilégios de
acesso. Posteriormente, eles injetam os scripts maliciosos em campos específicos nas páginas da web. Esses scripts
XSS maliciosos podem reescrever o conteúdo HTML de um site, sequestrar sessões de usuários ou redirecionar
usuários para sites maliciosos e desfigurar sites. O XSS é uma das 10 principais vulnerabilidades de segurança de
aplicativos da web do OWASP para 2017.
Informações confidenciais, como registros de contas, números de cartão de crédito, senhas ou outras informações
autenticadas geralmente são armazenadas por aplicativos da Web em um banco de dados ou em um sistema de
arquivos.
Os dados confidenciais podem ser explorados e mal utilizados por pessoas de dentro e de fora para realizar roubo
de identidade, fraude de cartão de crédito e outros crimes cibernéticos. Essa ameaça está incluída nas 10 principais
vulnerabilidades de segurança do OWASP para 2017.
ÿ Tamperação de Parâmetros/Formas
Esse tipo de ataque de adulteração visa manipular os parâmetros de comunicação trocados entre um cliente e um
servidor para fazer alterações nos dados do aplicativo, como IDs de usuários e senhas com logs de eventos ou custo
e quantidade de produtos.
Para melhorar a funcionalidade e o controle do aplicativo, o sistema coleta essas informações e as armazena em
campos de formulário ocultos, cookies ou strings de consulta de URL.
Os hackers usam ferramentas como o proxy WebScarab e Paros para lançar esse tipo de ataque.
A exploração bem-sucedida pode levar a outros ataques, como inclusão de arquivo e XSS.
Um ataque de negação de serviço (DoS) visa encerrar as operações de um site ou servidor, tornando seus recursos
indisponíveis para os clientes.
Por exemplo, um ataque DoS pode interromper o funcionamento de um site relacionado a serviços bancários ou de
e-mail por algumas horas ou mesmo dias, resultando na perda de tempo e
dinheiro.
Este é um método no qual um invasor identifica uma falha nas políticas de controle de acesso e a explora para
contornar o mecanismo de autenticação. Isso permite que o invasor obtenha acesso a dados confidenciais, modifique
direitos de acesso ou opere contas de outros usuários. Esta é uma parte das 10 principais vulnerabilidades de
segurança do OWASP de 2017.
ÿ Má configuração de segurança
A falta de um processo de proteção de segurança repetível em qualquer camada da pilha de aplicativos, que inclui
servidores Web, bancos de dados, estruturas, sistemas operacionais host, servidores de aplicativos e dispositivos
de armazenamento, pode levar a uma vulnerabilidade de configuração incorreta de segurança.
O uso de configurações padrão, senhas ou software desatualizado pode aumentar o risco de um ataque. Isso está
incluído nas 10 principais vulnerabilidades de segurança do OWASP 2017.
ÿ Vazamento de Informações
O vazamento de informações refere-se a uma desvantagem em um aplicativo da Web em que o aplicativo revela
involuntariamente informações confidenciais a um usuário não autorizado. Tal vazamento de informações pode
trazer grandes prejuízos para uma empresa.
Portanto, a empresa precisa empregar mecanismos adequados de filtragem de conteúdo para proteger todas as
suas informações ou fontes de dados, como sistemas ou outros recursos de rede, contra vazamento de informações.
Essa ameaça surge quando um aplicativo da Web não consegue lidar com erros internos adequadamente. Nesses
casos, o site retorna informações, como despejos de banco de dados, rastreamentos de pilha e códigos de erro, na
forma de erros.
ÿ Estouro de Buffer
O estouro de buffer de um aplicativo da Web ocorre quando ele falha em proteger seu buffer adequadamente e
permite a gravação além de seu tamanho máximo. Assim, ele sobrescreve os locais de memória adjacentes. Existem
várias formas de estouro de buffer, incluindo estouros de buffer de heap
e formatar ataques de string. O objetivo desses ataques é corromper a pilha de execução do aplicativo da web.
Os arquivos de log mantêm registros das ações e eventos que ocorrem durante a execução de um aplicativo/
serviço. Essa vulnerabilidade ocorre quando os logs não registram eventos críticos de segurança ou fornecem
avisos ou mensagens de erro pouco claros.
A falta de monitoramento de log ou a manutenção de logs em locais inseguros aumenta muito a chance de um
grande incidente de segurança.
Além disso, práticas insuficientes de registro e monitoramento não deixam rastros de auditoria para análise
forense, tornando a detecção de qualquer comportamento malicioso extremamente difícil para os investigadores
forenses. É uma das 10 principais vulnerabilidades de segurança de aplicativos da Web do OWASP de 2017.
ÿ Autenticação quebrada
ÿ Adulteração de Registros
Os aplicativos da Web mantêm logs para rastrear os padrões de uso, como credenciais de login do
administrador e credenciais de login do usuário. Os invasores geralmente injetam, excluem ou adulteram os
logs de aplicativos da web para se envolver em atividades maliciosas ou ocultar suas identidades.
Uma referência de objeto direta insegura ocorre quando os desenvolvedores expõem vários objetos de
implementação interna, como arquivos, diretórios, registros de banco de dados e referências de chave. Por
exemplo, se o número de uma conta bancária for uma chave primária, existe a possibilidade de invasores
comprometerem o aplicativo e se aproveitarem dessas referências.
Os desenvolvedores precisam aplicar a tecnologia Secure Sockets Layer (SSL)/Transport Layer Security (TLS)
para autenticação de sites. Deixar de implementar essa tecnologia permite que invasores acessem cookies de
sessão monitorando o fluxo da rede. Vários ataques, como ataques de phishing, roubo de conta e
escalonamento de privilégios, podem ocorrer depois que os invasores obtêm acesso aos cookies.
Aqui, um invasor tenta contornar a segurança do site usando técnicas como navegação forçada e obtém acesso não
autorizado a páginas da Web específicas ou outros arquivos de dados que contêm informações confidenciais.
Os dados confidenciais armazenados em um banco de dados devem ser criptografados adequadamente usando criptografia.
No entanto, alguns métodos de criptografia criptográfica contêm vulnerabilidades inerentes.
Portanto, os desenvolvedores devem usar métodos de criptografia fortes para desenvolver aplicativos seguros.
Além disso, eles devem armazenar com segurança as chaves criptográficas para que os invasores não possam obtê-las
facilmente e descriptografar os dados confidenciais.
ÿ Desserialização Insegura
A serialização e a desserialização são processos eficazes que permitem que as estruturas de dados sejam armazenadas ou
transmitidas para outros locais, como redes ou sistemas, preservando o estado do objeto.
A vulnerabilidade de desserialização insegura surge quando aplicativos e interfaces de programação de aplicativos (APIs)
permitem a desserialização de entrada de usuário não confiável.
Os invasores injetam código malicioso em uma forma serializada de dados e, após a desserialização, os dados manipulados,
bem como o código malicioso, são executados, permitindo que os invasores obtenham acesso remoto a qualquer sistema e
executem outras atividades maliciosas. Este ataque é uma das 10 principais vulnerabilidades de segurança de aplicativos da
Web de 2017 da OWASP.
ÿ Bisbilhotice de Cookies
Ao usar um proxy local, um invasor pode decodificar ou quebrar as credenciais do usuário. Depois que o invasor obtém
essas credenciais de texto sem formatação, ele faz login no sistema como um usuário legítimo e obtém acesso a informações
não autorizadas.
Nesse ataque, o invasor fornece uma entrada XML maliciosa, incluindo uma referência de entidade externa ao aplicativo da
Web de destino. Quando essa entrada maliciosa é processada por um analisador XML mal configurado, os invasores podem
acessar arquivos de dados confidenciais e recursos de rede de servidores Web de destino e redes conectadas. Este ataque
é uma das 10 principais vulnerabilidades de segurança de aplicativos da web do OWASP para 2017.
Alguns invasores têm como alvo os sistemas de gerenciamento de segurança, seja em redes ou na camada de aplicativos,
para modificar ou desabilitar a aplicação da segurança. Um invasor que explora o gerenciamento de segurança pode
modificar diretamente as políticas de proteção, excluir políticas existentes, adicionar novas políticas e modificar aplicativos,
dados do sistema e recursos.
ÿ Sequestro de Autenticação
Todos os aplicativos da web dependem de informações como senhas e IDs de usuário para identificação do usuário. Nesse
tipo de ataque, os invasores tentam sequestrar essas credenciais usando
várias técnicas de ataque, como sniffing e engenharia social. Ao obter essas credenciais, eles executam vários atos
maliciosos, incluindo sequestro de sessão, roubo de serviço e representação de usuário.
Nesse tipo de ataque, os invasores atraem a vítima e a fazem clicar em links não validados que parecem legítimos. Esses
redirecionamentos podem levar à instalação de malware ou induzir as vítimas a compartilhar suas senhas ou outras
informações confidenciais.
Esses links inseguros podem levar ao desvio do controle de acesso, o que resulta ainda no seguinte:
Esse tipo de ataque auxilia o invasor a sequestrar uma sessão válida do usuário. O invasor sequestra a sessão validada
pelo usuário, com conhecimento prévio do ID do usuário para a sessão, autenticando com um ID de sessão conhecido.
Nesse tipo de ataque, o invasor engana o usuário para que ele acesse um servidor Web genuíno usando um valor de ID de
sessão explícito. Posteriormente, o invasor assume a identidade da vítima e explora essas credenciais no servidor.
3. O invasor envia um e-mail para a vítima contendo um link com um ID de sessão fixo
6. O invasor faz login no servidor usando as credenciais da vítima com a mesma sessão
EU IRIA
ÿ Ataques CAPTCHA
A implementação de CAPTCHAs evita que softwares automatizados executem ações que degradem a qualidade do serviço
de um determinado sistema por meio de abuso ou gasto excessivo de recursos. Os CAPTCHAs visam garantir que os
usuários dos aplicativos sejam humanos e, em última análise, ajudam a prevenir o acesso não autorizado e o abuso.
Cada implementação CAPTCHA obtém sua força aumentando a complexidade do sistema para realizar segmentação, pré-
processamento de imagem e classificação.
Realizar entrevistas individuais para obter Use criptografia e soma de verificação para
1 informações
5
verificar e proteger a integridade dos arquivos de log
Localize os servidores ou outros dispositivos envolvidos Analise as cópias de trabalho dos logs coletados
no ataque de segurança, coloque-os offline e execute para procurar entradas suspeitas e correlacionar
2 6 os dados para criar uma cadeia de eventos que
a apreensão de maneira forense
revela todo o cenário de ataque
adesão a uma metodologia de investigação completa e padrão desempenha um papel crucial na análise forense de
aplicativos da Web. Quando houver suspeita da ocorrência de um incidente de segurança em qualquer aplicativo da
web, os investigadores devem tentar coletar todos os arquivos de log disponíveis, como logs do servidor da web, logs
coletados pelo SIEM, logs do firewall de aplicativo da web (WAF) e logs de eventos, e analisá-los para rastrear as
assinaturas de ataque. Isso pode ajudar os investigadores a reconstruir a cadeia de eventos que levou ao ataque.
ÿ Realizar entrevistas individuais para obter informações sobre um ataque de segurança visando qualquer
aplicação web
ÿ Localize os servidores ou outros dispositivos que estão envolvidos no ataque de segurança, leve-os
offline e realizar a apreensão de maneira forense
logs do servidor web, servidor de aplicativos, servidor de banco de dados, firewall de aplicativos web, eventos do
sistema local, ferramenta SIEM e IDS, juntamente com arquivos de configuração de aplicativos e servidores
ÿ Use criptografia e soma de verificação para verificar e proteger a integridade dos arquivos de log
ÿ Analisar as cópias de trabalho dos logs coletados para procurar entradas suspeitas e correlacionar
os dados para construir uma cadeia de eventos desdobrando todo o cenário de ataque
ÿ Rastreie o IP do ataque para identificar o perpetrador do ataque. Essa tarefa geralmente é muito difícil, pois os
invasores costumam usar proxies e anonimizadores para ocultar sua identidade.
Fluxo do módulo
Detectar e Investigar
Entender Web
Análise forense de aplicativos
01 04 Vários ataques na Web
Formulários
Os logs do servidor web Apache, quando ativados, registram informações sobre cada solicitação HTTP (GET/
POST), bem como quaisquer erros/problemas encontrados pelo servidor web Apache.
Esta seção discute a arquitetura do servidor web IIS, o formato de log IIS e como analisar esses logs durante a
investigação. Esta seção também discute a arquitetura do servidor web Apache, tipos de logs Apache e como
os investigadores podem analisá-los no momento da investigação.
Informações da Internet
Cliente Pilha
Serviços (IIS) para Windows
Server é um servidor web flexível,
Pilha de
seguro e fácil de gerenciar para
Internet protocolo HTTP (HTTP.SYS)hospedar qualquer coisa na web
O Internet Information Services (IIS), um aplicativo desenvolvido pela Microsoft baseado no Visual Basic, é executado
em um servidor Web e responde a solicitações de um navegador. Ele suporta HTTP, HTTP Secure (HTTPS), File
Transfer Protocol (FTP), FTP Secure (FTPS), Simple Mail Transfer Protocol (SMTP) e Network News Transfer
Protocol (NNTP). Um aplicativo IIS usa HTML para apresentar sua interface de usuário e usa código Visual Basic
compilado para processar solicitações e responder a eventos no navegador. O servidor IIS para Windows é um
servidor da Web flexível e fácil de gerenciar para hospedagem na Web.
ÿ Gerenciamento de processos
ÿ Quando uma solicitação HTTP para um recurso é enviada do navegador do cliente para o servidor web, ela é interceptada
por HTTP.sys
ÿ O WAS gera uma solicitação de informações de configuração, como as do site e do pool de aplicativos, para
ApplicationHost.config, que é então passado para o Serviço WWW.
ÿ Um processo de trabalho é iniciado pelo WAS para o pool de aplicativos no qual a solicitação é
destinado a
O IIS depende principalmente de um grupo de bibliotecas de vínculo dinâmico (DLLs) que trabalham coletivamente com o
processo principal do servidor (inetinfo.exe) capturando diferentes funções, como indexação de conteúdo, scripts do lado do
servidor e impressão baseada na web.
A arquitetura aberta do IIS permite que um invasor explore a Web com conteúdo malicioso.
Sem service packs ou hot fixes no servidor da Web IIS, há várias maneiras pelas quais um invasor pode fazer com que o
inetinfo.exe, o processo do IIS, chame o shell de comando. Isso deve levantar suspeitas, pois não há necessidade inerente de
inetinfo.exe invocar o prompt de comando.
Registros do IIS
texto ASCII
%SystemDrive%
\inetpub\logs\LogFiles
Registros do IIS
O IIS registra todas as visitas do servidor em arquivos de log. Os logs do IIS fornecem informações úteis sobre a
atividade de vários aplicativos da Web, como endereço IP do cliente, nome de usuário, data e hora, tipo de solicitação e
destino da operação. O servidor IIS gera arquivos de log baseados em texto ASCII. O servidor IIS pode se tornar
vulnerável se houver algum problema de codificação ou configuração, o que pode permitir que invasores explorem o
servidor se não forem resolvidos a tempo. Na ocorrência de tais ataques, os investigadores forenses examinam os logs
do IIS para rastrear as tentativas feitas pelo invasor de explorar o servidor. Em sistemas operacionais Windows Server,
os arquivos de log são armazenados por padrão em %SystemDrive%\inetpub\logs\LogFiles.
Nota: O local de armazenamento dos logs pode variar caso o administrador tenha feito uma configuração para gravar e
armazenar os logs em outro local.
1 Data e hora 12/12/2019 06:11:41 A entrada do arquivo de log foi registrada às 6h11 em 12 de dezembro de 2019
5 cs-uri-query
- A consulta de URI não ocorreu
9 Mozilla/5.0+(Windows+NT+6.3;+WOW64)+AppleWebKit/537.3 6+(KHTML,
cs(User-Agent) O tipo de navegador que o cliente usou, conforme representado pelo navegador
+like+Gecko)+Chrome/48.0.2564.103+Safari/537.36
Para localizar os arquivos de log do IIS em uma máquina Windows Server 2016, vá para Ferramentas Administrativas no
menu Iniciar do Windows e clique em Gerenciador de Serviços de Informações da Internet (IIS).
Expanda a pasta correspondente ao nome do servidor. Selecione Logging no painel Features View para carregar as
configurações de Logging.
Navegue até a pasta LogFiles seguindo o caminho mostrado no campo Diretório. Para cada site configurado, a pasta
LogFiles contém uma subpasta com um nome, como W3SVC1 ou W3SVC2.
O último número no nome da pasta corresponde ao ID do site. Encontre a pasta que corresponde ao ID do site. Cada
site hospedado no IIS possui seu próprio subdiretório para arquivos de log, denominado W3SVCn, onde “n” representa
o número do site.
Os subdiretórios W3SVCn armazenam arquivos de log denominados u_exyymmdd.log, onde “yy” refere-se ao ano, “mm”
refere-se ao mês e “dd” refere-se ao dia.
Quando o IIS registra os logs no W3C Extended Log Format, o IIS armazena todos os eventos registrados no formato
GMT, em vez do formato do fuso horário local do sistema. Este ponto deve ser considerado durante o exame dos logs
porque o IIS cria um novo arquivo de log para o dia seguinte à meia-noite no GMT.
O IIS registra logs usando o Tempo Universal Coordenado (UTC), que ajuda na sincronização de servidores em vários
fusos horários. Para calcular o UTC, o Windows compensa o valor do relógio do sistema com o fuso horário do sistema.
Uma configuração precisa do fuso horário local deve ser assegurada pelo administrador da rede para validar o UTC.
Além disso, o administrador deve verificar o processo definido para o IIS rolar logs usando a hora local.
A configuração de fuso horário do servidor pode ser verificada visualizando as primeiras entradas no arquivo de log. Se
o fuso horário do servidor estiver definido como UTC -06:00, as primeiras entradas de log devem aparecer por volta das
18:00 (00:00 - 06:00 = 18:00).
Como o UTC não segue o horário de verão, o administrador também deve considerar a data. Por exemplo, UTC -6:00
será -5:00 durante metade do ano em fusos horários que seguem o horário de verão.
12/12/2019 06:11:41 192.168.0.10 GET / images/ content/ bg_body_1.jpg - 80 - 192.168.0.27 Mozilla/ 5.0+(Windows+NT+6.3;+WOW64)+AppleWebKit/ 537.36+
(KHTML, +like+Gecko)+Chrome / 48.0.2564.103+Safari/ 537.36 http:// www.moviescope.com/ css/ style.css 200 0 0 365
Na entrada acima:
ÿ 2019-12-12 06:11:41: Isso mostra a data e a hora em que a entrada do arquivo de log foi gravada
ÿ GET: Este é o campo cs-method indicando que o usuário emitiu uma solicitação GET ou download
comando
ÿ Mozilla/5.0+(Windows+NT+6.3;+WOW64)+AppleWebKit/537.36+(KHTML,+like+Gecko )+Chrome/
48.0.2564.103+Safari/537.36: Este é o campo cs(User-Agent) mostrando os detalhes do navegador usado
pelo cliente
ÿ 200: Isso denota o campo sc-status. O código de status 200 indica que a solicitação foi
cumprido sem erro
ÿ 365: Isso indica o campo de tomada de tempo. Na entrada de log de exemplo, a ação foi
concluído em 365 milissegundos
Componente /
Subcomponente
Núcleo Apache Módulo Dados
Chamadas/Usos
interage
HTTP_MAIN Controle de retorno/dados
(loop do servidor)
UM MÓDULO APACHE
Apache
Core
para
De/
Manipulador 2
HTTP_CORE
(funcionalidade principal)
Manipulador 3
ALOC
SERVIÇOS DE UTILIDADE PÚBLICA
encontro privado
(res. piscinas)
Os elementos do núcleo do Apache são http_protocol, http_main, http_request, http_core, alloc e http_config.
ÿ http_protocol: Este elemento é responsável por gerenciar as rotinas. Ele interage com o cliente e lida com toda a
troca de dados e conexões de soquete entre o cliente e
servidor.
ÿ http_main: Este elemento lida com inicializações e tempos limite do servidor. Também é composto pelos principais
loop do servidor que espera pelas conexões e as aceita.
ÿ http_request: Este elemento controla o procedimento passo a passo seguido entre os módulos para concluir uma
solicitação do cliente e é responsável pelo tratamento de erros
ÿ http_core: Este elemento inclui um arquivo de cabeçalho que não é exigido pelo aplicativo
módulo
ÿ http_config: Este elemento é responsável por ler e manipular arquivos de configuração. Uma das principais
tarefas do http_config é organizar todos os módulos, que o servidor chamará durante as várias fases do
tratamento da solicitação.
Conforme discutido, a arquitetura do servidor web Apache inclui vários módulos que se conectam ao núcleo Apache e
auxiliam no processamento de solicitações pelo núcleo. Para alterar ou estender a funcionalidade do servidor Apache e
atender ao propósito desejado, os desenvolvedores podem escrever novos módulos.
De acordo com o requisito de uma solicitação, determinados módulos serão chamados. Os módulos implementam a
funcionalidade desejada e encaminham a saída para o núcleo, que monta a saída usando o componente HTTP_REQUEST
para enviá-la a outro módulo para processamento ou devolvê-la ao cliente. Os módulos consistem em manipuladores,
que denotam funções específicas a serem executadas pelos módulos. Os módulos criam manipuladores específicos
sempre que uma solicitação é processada.
ÿ Apache HTTP Server é um servidor ÿ O servidor Apache gera dois ÿ Os logs do Apache fornecem informações
web que suporta muitos tipos de logs sobre atividades de aplicativos da
SOs, como Unix, GNU, web , como as seguintes:
FreeBSD, Linux, Solaris, ÿ Registro de acesso
ÿ Endereço IP do cliente
Novell NetWare, AmigaOS,
ÿ Log de erros
macOS, Microsoft ÿ Identificação da máquina cliente
Windows, OS/2 e TPF
ÿ ID do usuário do cliente
ÿ Tempo
ÿ Código de estado
Apache HTTP Server é um servidor web que suporta muitos sistemas operacionais, como Unix, GNU, FreeBSD, Linux,
Solaris, Novell NetWare, AmigaOS, macOS, Microsoft Windows, OS/2 e TPF. Atualmente, ele pode funcionar em diferentes
sistemas operacionais, como Mac e Windows. Como é uma web multi-threaded
servidor, ele pode executar várias funções solicitadas pelos navegadores da Web do cliente e implementar várias tarefas
simultaneamente. Apache HTTP Server utiliza módulos e extensões para suportar vários ambientes.
1. Log de acesso: geralmente registra todas as solicitações processadas pelo servidor web Apache
2. Log de erros: contém informações de diagnóstico e erros que o servidor enfrentou durante o processamento de
solicitações
A localização exata desses logs do Apache varia de acordo com o sistema operacional em uso. Os investigadores podem
verificar os seguintes locais para o arquivo de configuração do Apache para encontrar a localização exata dos arquivos de log:
ÿ FreeBSD: /etc/httpd/conf/httpd.conf
Durante auditorias e investigações forenses, os logs do Apache fornecem informações muito importantes sobre todas as operações
realizadas no servidor web. Essas informações incluem endereços IP do cliente, a identidade de uma máquina cliente, hora, ID do
usuário cliente, linha de solicitação de um cliente, código de status e o tamanho do objeto retornado ao cliente. Todas as informações
fornecidas pelos logs podem levar o investigador ao atacante.
Log de
Acesso ÿ Contém as requisições
processadas pelo servidor Apache
ÿ Os locais padrão dos logs de acesso
são os seguintes:
RHEL/Red Hat/CentOS/Fedora
Linux:
/var/log/httpd/access_log
Debian/Ubuntu Linux: /
var/log/apache2/access.log
FreeBSD Linux: /
var/log/httpd-access.log
Todas as requisições HTTP processadas pelo servidor Apache são registradas no log de acesso. Possui
um registro de cada requisição que passa pelo servidor. A diretiva LogFormat ajuda a selecionar o
conteúdo do log necessário.
A diretiva CustomLog define o local e o conteúdo do log de acesso. A diretiva CustomLog também
contém informações para configurar o servidor de forma que o servidor possa manter registros de log de
acesso. Os logs de acesso são armazenados no Common Log Format por padrão e são altamente
configuráveis.
Fragmento
Número aparecer como Descrição
Percentagem
Exemplo de uma entrada de arquivo de log de acesso do Apache no formato de log combinado conforme visualizado em um editor de texto:
Parâmetros
ÿ %l representa o nome do log remoto. O último retorna um traço, a menos que mod_ident esteja presente
e o IdentityCheck está ativado.
ÿ %u é o ID do usuário cliente.
ÿ \"%r\" indica os métodos usados para uma solicitação-resposta entre um cliente e um servidor, o recurso solicitado por
um cliente (apache_pb.gif) e o protocolo usado (HTTP/1.0).
10.10.10.10 - Jason [17/ ago/ 2019:00:12:34 +0300] "GET/ images/ content/ bg_body_1.jpg HTTP/ 1.0" 500 1458
Uma diretiva percent representa cada campo no log. Essas diretivas percentuais permitem que o servidor entenda quais
informações ele precisa registrar. Vamos mapear as diretivas percentuais com o formato de log real:
ÿ "GET /images/content/bg_body_1.jpg HTTP/1.0" (\"%r\"): O cliente usou o método de solicitação GET e solicitou o
recurso /images/content/bg_body_1.jpg. O cliente usou o protocolo HTTP/1.0
ÿ 1458 (%b): O servidor retornou o objeto de tamanho 1458 bytes para o cliente
Existem muitos campos de log em um log de acesso do Apache, conforme indicado na tabela abaixo:
%D – RequestTimeUs
%T – RequestTimeSeconds %(UNIQUE_ID)e - UniqueId
(microssegundos)
%(X-Encaminhado-Para)i -
%h - RemoteIPOrHost %u – RemoteUser
XForwardedFor
RemoteLogname %v - VirtualHost
Outra string de formato é comumente usada nos logs de acesso do Apache. É chamado de Formato de Log Combinado
e sua sintaxe é a seguinte:
10.10.10.10 - Jason [17/ ago/ 2019:00:12:34 +0300] “GET / images/ content/ bg_body_1.jpg HTTP/ 1.0” 500 1458 http://
www.abc.com/ login.php " Mozilla/ 5.0 (x11; Ubuntu; Linux x86_64; rv:73.0) Gecko/ 20100101 Firefox/ 73.0”
Este formato se assemelha exatamente ao Common Log Format de acesso Apache, exceto por dois campos adicionais:
(\"%{Referer}i\") e (\"%{User-agent}i\")
Aqui, no exemplo, “Mozilla/5.0” indica que o navegador é compatível com Mozilla. "x11; Ubuntu; Linux x86_64" indica que
a plataforma utilizada é o Ubuntu Linux e "rv:73.0" indica a versão do Firefox. "Gecko/20100101" indica que o navegador
é baseado em Gecko e "Firefox/73.0" indica o navegador e a versão.
Apache
Registros de erros
Registro de erros
FreeBSD: /var/log/httpd-error.log
O log de erros do Apache é o local onde o servidor registra todos os erros ocorridos durante o processamento da solicitação do
cliente. O arquivo de log de erros é denominado error.log em sistemas operacionais Windows e error_log em sistemas
operacionais baseados em Unix.
A diretiva ErrorLog define a localização do log de erros. O arquivo de log contém dados pertencentes aos
problemas na inicialização e operação do servidor. Ele também armazena informações relacionadas ao
motivo do problema e as etapas envolvidas para resolvê-lo. Os investigadores devem usar comandos
Linux como grep, cat, gedit e vi para ler esses arquivos de log.
ÿ FreeBSD: /var/log/httpd-error.log
[Qua 28 de agosto 13:35:38.878945 2020] [core:error] [pid 12356:tid 8689896234] [client 10.0.0.8] Arquivo não
encontrado: / images/ folder/ pic.jpg
ÿ Qua, 28 de agosto 13:35:38.878945 2020: Este é o primeiro elemento na entrada do log. Contém
o timestamp (dia, mês, data, hora e ano) do log.
ÿ cliente 10.0.0.8: O quarto elemento no log é o endereço do cliente a partir do qual o pedido
foi feito
ÿ Arquivo não encontrado: O quinto elemento do log mostra o estado do arquivo solicitado pelo cliente. Nesse
caso, o arquivo não foi encontrado. Portanto, o servidor exibiu uma mensagem de erro informando que o
arquivo não existe no servidor.
ÿ /images/folder/pic.jpg: O elemento final mostra o nome do arquivo e o caminho para o arquivo que
o cliente solicitou
Também pode haver outras mensagens geradas nos logs de erro do Apache, dependendo da gravidade dos erros,
conforme listado na tabela abaixo:
emergir Emergências – o sistema está inutilizável “A criança não consegue abrir o arquivo de bloqueio. Saindo”
Tabela 9.2: Mensagens de gravidade diferente geradas nos logs de erro do Apache
Deve-se notar aqui que o formato do arquivo de log de erros mostrado acima destina-se a servir como exemplo. Os
administradores podem alterar o formato dos arquivos de log de erros do Apache na configuração e especificar
quaisquer informações/valores adicionais a serem registrados.
Além disso, no caso de logs de erro, alguns itens de string de formato podem não gerar nenhuma saída.
Nesses casos, o log de erros do Apache omitiria todo o campo por padrão. Portanto, os investigadores devem examinar
cuidadosamente o arquivo de log de erros do Apache enquanto tentam entender qual conexão ou solicitação levou à
gravação de uma entrada de log de erro específica, qual campo ou campos foram omitidos e determinar os possíveis
motivos para tal omissão.
Fluxo do módulo
Detectar e Investigar
Entender Web
Análise forense de aplicativos
01 04 Vários ataques na Web
Formulários
C:\> eventvwr.msc
Verifique o uso do espaço de arquivo para encontrar qualquer diminuição repentina no espaço livre:
C:\> você
Esta seção discute quais arquivos de log e outros componentes do sistema os investigadores podem verificar enquanto
procuram por ataques em servidores baseados no Windows.
Os sistemas operacionais Microsoft Windows têm 77,64% da participação no mercado global, de acordo com https:// www.statista.com.
Consequentemente, os desenvolvedores podem preferir usar servidores baseados no Windows para implantar aplicativos da web.
Devido ao seu amplo uso, esses sistemas operacionais e os aplicativos da Web hospedados em alguns desses sistemas operacionais
são o principal alvo dos invasores. Os invasores podem tentar explorar as vulnerabilidades em servidores baseados no Windows ou
aplicativos da Web e obter acesso não autorizado aos recursos.
Quando ocorre um ataque em um aplicativo da web, os investigadores examinam o ataque no servidor que hospeda o aplicativo da
web usando algumas das ferramentas e aplicativos embutidos de máquinas baseadas no Windows.
Os investigadores podem executar as seguintes etapas para procurar sinais de ataques da Web em sistemas baseados no Windows
servidores:
C:\> eventvwr.msc
C:\> nbtstat -S
C:\>netstat –na
C:\> schtasks.exe
ÿ Verifique o uso do espaço de arquivo para encontrar qualquer diminuição repentina no espaço livre
C:\> você
Fluxo do módulo
Detectar e Investigar
Entender Web
Análise forense de aplicativos
01 04 Vários ataques na Web
Formulários
Esta seção discute como os investigadores podem detectar e analisar vários ataques a aplicativos da web.
codificação hexadecimal
ÿ Os invasores usam várias técnicas de Alternância entre maiúsculas e minúsculas
ÿ Os investigadores podem usar a pesquisa regex para encontrar tags HTML, outras palavras de assinatura XSS e seus equivalentes hexadecimais
em logs do servidor web, logs IDS, alertas de ferramentas SIEM, etc. para verificar ataques XSS
Nos ataques XSS, o invasor explora a vulnerabilidade em aplicativos da Web injetando scripts maliciosos, que são principalmente
JavaScript, HTML ou marcação CSS, nas páginas da Web exibidas no navegador do usuário. Ataques XSS comuns usam tags
HTML, como <script></script>, <IMG>, <INPUT> e <BODY>.
A implementação de firewalls, IDSs, IPSs, software antivírus etc. adequados dificulta a execução de ataques XSS pelos invasores,
pois eles precisam contornar esses mecanismos de segurança. Os invasores usam várias técnicas de ofuscação, conforme
indicado abaixo, para contornar esses mecanismos de segurança e realizar atividades maliciosas:
Para detectar sinais de ataques XSS, os investigadores podem procurar tags HTML, outras palavras de assinatura XSS ou seus
equivalentes hexadecimais; como alternativa, eles podem usar a pesquisa regex para encontrá-los em logs do servidor da web,
alertas de IDS, informações de segurança e alertas de ferramentas de gerenciamento de eventos (SIEM), etc.
A expressão regular abaixo verifica se há ataques que possam conter tags HTML de abertura e
fechamento (<>) com qualquer texto dentro, junto com seus equivalentes hexadecimais e duplos
ÿ /(javascript|vbscript|script|embed|object|iframe|fra
meset)/i
Quando um invasor executa um ataque XSS em uma página da Web dinâmica, ele pode criar um script que inclua tags
de formatação HTML, como <b> para negrito, <i> para itálico ou <u> para sublinhado.
Eles também podem usar tags de script, como <script>alert("OK")</script>.
Alguns invasores também podem usar mecanismos avançados para realizar um ataque XSS. Eles podem ocultar toda a
string emitindo seus equivalentes hexadecimais. Por exemplo, o equivalente hexadecimal de <script> é
%3C%73%63%72%69%70%74%3E.
A expressão regular a seguir pode ser usada para detectar ataques XSS simples. Ele verifica os
colchetes angulares de abertura e fechamento de tags HTML contendo texto para que possa
capturar facilmente tags como <b>, <i> e <script>:
/((\%3C)|<)((\%2F)|\/)*[a-ZA-Z0-9\%]+((\%3E)|(\%253E)|>)/ix
Nesta assinatura:
o ((\%2F)|\/)*: Procura a barra para uma tag de fechamento ou seu equivalente hexadecimal
Essa assinatura procura por tentativa de XSS baseada em "<img src". Nesta assinatura:
o (\%69)|i|(\%49))((\%6D)|m|(\%4D))((\%67)|g|(\%47): Procura o
letras "img" por meio de vários caracteres ASCII ou seus equivalentes hexadecimais
o [^\n]+: Procura qualquer caractere que não seja uma nova linha após o <img
/(javascript|vbscript|script|embed|object|iframe|frameset)/i
A assinatura acima procura por tags HTML, ataque XSS. Nessa assinatura, cada palavra-chave dentro dos
colchetes é separada por uma barra vertical ("|") representada por um OR.
/((\%3C)|<)[^\n]+((\%3E)|>)/I
Essa assinatura procura os colchetes angulares de abertura, ou seu equivalente hexadecimal, seguidos por um
ou mais caracteres (exceto qualquer nova linha) e seguidos pelo colchete angular de fechamento ou seu
equivalente hexadecimal.
%3C <
%3E >
% 28 (
% 29 )
%2F /
ÿ O script XSS malicioso %3Cscript%3Ealert%28XSS%29%3C%2Fscript%3E (4), que converte para <script>alert(XSS)</script> após a decodificação, foi injetado na página /
wordpress/wp- admin/admin.php?page=newsletters-subscribers (3) pelo atacante
ÿ Um código de status HTTP 200 (5) pode ser observado, indicando que o servidor de aplicativos da web processou a solicitação
ÿ A partir do exame de log, pode-se inferir que ocorreu um ataque XSS no aplicativo da web. Se este for um ataque XSS armazenado, este script obterá
armazenado no banco de dados de back-end e acionaria um pop-up de alerta com a mensagem “XSS” sempre que um usuário visitasse essa página da web.
Ao examinar as entradas do Apache access.log em busca de ataques XSS, os investigadores devem procurar tags
HTML maliciosas ou seus equivalentes hexadecimais em solicitações HTTP. É provável que o log de acesso do
Apache contenha várias solicitações registradas. Os investigadores, portanto, podem usar o comando grep para
filtrar logs de interesse. Depois que o ataque for confirmado, o investigador pode examinar outras partes do log para
coletar informações valiosas, como como e quando o ataque foi tentado, o site que foi alvo e se o ataque foi bem-
sucedido.
A entrada de log realçada no arquivo Apache access.log na figura abaixo mostra uma solicitação GET seguida por
alguns valores codificados em hexadecimal na string de consulta. Decodifique a string de consulta para determinar
se ela contém tags HTML maliciosas.
Figura 9.13: Examinando as entradas do log de acesso do Apache em busca de indicadores de ataque XSS
%3C <
%3E >
% 28 (
% 29 )
%2F /
A partir de uma análise detalhada da entrada de log mostrada acima, os seguintes detalhes podem ser obtidos:
ÿ Um código de status HTTP 200 (5) pode ser observado, implicando que o servidor de aplicativos da web
processou o pedido
O exame da entrada de log sugere que esta foi uma tentativa de ataque XSS armazenada. Isso implica que o script XSS
malicioso é salvo no banco de dados de back-end e acionaria um pop-up informando “XSS” se algum usuário visitasse
essa página da web.
Histórico
Aqui, o Snort IDS gerou um alerta para uma tentativa de ataque XSS com os seguintes detalhes:
O modo IDS do Snort usa métodos de inspeção baseados em regras para a detecção de ataques baseados na web.
Essas regras podem ser personalizadas de acordo com o ambiente operacional de qualquer empresa.
Os investigadores podem obter os seguintes detalhes de um alerta gerado pelo ataque Snort IDS para XSS:
ÿ Endereço IP do atacante/cliente
ÿ Porta de origem
ÿ Endereço IP do servidor
ÿ Porto de destino
Figura 9.14: Detectando uma tentativa de ataque XSS através do Snort IDS
Na figura acima, o Snort IDS gerou um alerta para uma tentativa de ataque XSS com os seguintes detalhes:
ÿ IP de Origem/Atacante: 192.168.0.233
ÿ IP de Destino/Alvo: 192.168.0.115
ÿ Porta de destino: 80
XSSName
Histórico
Ao investigar ataques baseados na Web, como XSS, uma ferramenta SIEM como Splunk geralmente oferece um
bom começo para os investigadores, pois pode extrair quaisquer dados de log gerados por aplicativos, firewalls e
host para um local central.
As ferramentas SIEM também geram alertas se houver um problema de segurança ou qualquer atividade detectada
que vá contra os conjuntos de regras definidos. Isso facilita a tarefa de análise e coleta de evidências para os
investigadores. Ao usar uma ferramenta SIEM, os investigadores podem coletar dados de várias fontes de log, como
IDS, IIS, Apache e WAF, e analisá-los para detectar sinais de qualquer invasão em aplicativos da web.
Figura 9.15: Examinando um alerta acionado pelo Splunk em busca de sinais de ataque XSS
Na figura acima, um alerta disparado pelo Splunk coletado do Snort IDS mostra uma tentativa de ataque XSS com
as seguintes informações:
Um investigador deve procurar incidentes de ataque de injeção de SQL nas seguintes fontes:
Os logs IDS permitem que os administradores do sistema identifiquem quaisquer invasões bem-sucedidas. Os
logs gerados podem ajudar a identificar tendências e padrões de ataque. A análise desses padrões pode
permitir que os investigadores encontrem vulnerabilidades de segurança e preparem um plano para mitigá-las.
Além disso, o exame dos logs de IDS fornece informações relacionadas a qualquer possível vulnerabilidade de
segurança, descuidos de política ou qualquer sistema host ou rede em que os controles de segurança
adequados não tenham sido implementados.
Os logs do servidor Web fornecem informações sobre como, por quem e quando as páginas e aplicativos de
um site estão sendo acessados. Cada servidor web gera arquivos de log que mantêm um registro de acesso a
uma página ou gráfico HTML específico.
Uma assinatura de ataque específica de injeção de SQL em um arquivo de log pode ter a seguinte aparência:
Os invasores usam vários métodos de ofuscação para contornar os mecanismos de segurança nos sites. Algumas das técnicas
são discutidas abaixo:
ÿ Comentário em linha: os invasores usam comentários em linha no meio das sequências de ataque para ignorar
mecanismos de segurança.
ÿ Codificação de caracteres /codificação dupla: Alguns WAFs decodificam entradas codificadas em hexadecimal e as filtram,
evitando um ataque. Para contorná-los, os invasores podem codificar duas vezes a entrada.
ÿ Alternância entre maiúsculas e minúsculas: alguns aplicativos bloqueiam palavras-chave SQL em minúsculas. Nesse caso, os atacantes
use o código escrito em maiúsculas e minúsculas alternadas para ignorar esse mecanismo de segurança.
Alguns firewalls contêm o filtro de expressão regular (regex) /union\select/g. Portanto, eles podem filtrar códigos
suspeitos escritos em letras minúsculas.
ÿ Palavras-chave substituídas: alguns aplicativos e WAFs usam preg_replace para remover todas as palavras-chave SQL.
Portanto, os invasores usam a seguinte técnica de codificação para ignorar os WAFs.
ÿ Manipulação de espaço em branco: Conforme explicado acima, quando os invasores substituem palavras-chave, alguns
WAFs podem substituir as palavras-chave por espaço em branco. Nesses casos, os invasores usam "%0b" para eliminar
o espaço e contornar os firewalls.
/(\%27)|(\')|(\-\-)|(\%23)|(#)/ix
/((\%3D)|(=))[^\n]*((\%27)|(\')|(\-\-)|(\%3B)|(;))/i
/\w*((\%27)|(\'))((\%6F)|o|(\%4F))((\%72)|r|(\%52))/ix
/((\%27)|(\'))união/ix
/exec(\s|\+)+(s|x)p\w+/ix
Os investigadores podem usar expressões regulares específicas para detectar ataques de injeção de SQL. Para
examinar com êxito um ataque de injeção de SQL, eles devem identificar todos os tipos de metacaracteres usados
em uma consulta SQL, como ponto-e-vírgula, traço duplo, aspas simples e sinal de menos duplo, bem como seus
equivalentes hexadecimais. Portanto, é necessário avaliar esses metacaracteres específicos do SQL ao compor
expressões regulares. Essas expressões regulares devem ser usadas para enquadrar as regras de assinatura do
Snort e definir alertas SIEM para a detecção de ataques de injeção de SQL.
As seguintes expressões regulares podem ser usadas para pesquisar metacaracteres específicos do SQL e seus
equivalentes hexadecimais:
Essa assinatura procura por metacaracteres SQL. Ele primeiro procura as aspas simples ('), seu equivalente
hexadecimal ou o traço duplo (--). Ele não procurará o equivalente hexadecimal do traço duplo, pois não
pertence ao metacaractere HTML e não pode ser codificado pelo navegador. No caso de bancos de dados
MySQL, esta assinatura também procura pelo caractere “#” ou seu equivalente hexadecimal.
Essa assinatura procura tentativas de injeção de SQL baseadas em erro. Ele primeiro procura o caractere
“=” ou seu equivalente hexadecimal (%3D). Posteriormente, ele procura por zero ou mais caracteres que
não sejam de nova linha e, finalmente, procura por aspas simples, hífens duplos ou ponto-e-vírgula.
/\w*((\%27)|(\'))((\%6F)|o|(\%4F))((\%72)|r|(\%52))/ix
Essa assinatura procura uma string que comece com um valor alfanumérico constante, seguido por aspas simples e,
em seguida, a palavra “ou”. Por exemplo, ele detecta a string “1'or2>1--.”.
o (\%27)|\': Procura pelo caractere (') ou aspas simples ou seu valor hexadecimal.
o (\%6F)|o|(\%4F))((\%72)|r|(\%52): Busca a palavra “ou” com várias combinações de seus valores hexadecimais
(ambos maiúsculos e combinações de letras minúsculas).
/((\%27)|(\'))união/ix
Esta assinatura procura por uma tentativa de injeção de SQL baseada em união onde:
o união: Busca pela palavra-chave “união”. Outras palavras-chave SQL, como “selecionar”, “inserir”, “atualizar” e
“excluir”, também podem ser usadas além de “união”: /((\%27)|(\'))(selecionar| união|inserir|atualizar|excluir|
substituir|truncar/dr op)/ix
/exec(\s|\+)+(s|x)p\w+/ix
Esta assinatura procura uma tentativa de injeção de SQL em um servidor MS SQL. Seus componentes são explicados
a seguir:
A solicitação GET na entrada de log do IIS destacada na figura abaixo contém alguns metacaracteres
SQL, alguns dos quais são codificados.
Figura 9.16: Examinando uma entrada de log do IIS em busca de indicadores de ataque de injeção de SQL
ÿ O ataque foi realizado a partir de uma máquina Linux (5) usando o IP 10.10.10.55 (4) em 13 de dezembro
de 2019 (1)
ÿ O invasor fez login no site www.luxurytreats.com hospedado no servidor IP 10.10.10.12 (2) com o nome
' (3)
de usuário bob e inseriu a consulta SQL maliciosa ou 1=1;-- na página de detalhes do pedido
ÿ Um código de status HTTP 200 (6) significa que o servidor de aplicativos da web processou essa
solicitação, permitindo que o invasor ignore a autenticação e acesse dados confidenciais relacionados
a pedidos do banco de dados
Definir regras no Snort IDS específicas para a vulnerabilidade de injeção de SQL geraria um alerta sempre que um ataque
fosse detectado. Uma vez localizado o IP de origem/ataque, os investigadores podem verificar outros arquivos de log e
ferramentas de segurança para reunir mais evidências sobre o ataque.
Figura 9.17: Examinando os logs de alerta do Snort em busca de indicadores de ataque de injeção de SQL
As entradas de log do Snort IDS na figura acima mostram três tentativas de injeção SQL do IP 192.168.0.233. Também inclui
outras informações, como as seguintes:
ÿ Porta de destino: 80
ÿ Aqui, um alerta acionado pelo Splunk proveniente do log do IIS mostra uma tentativa de ataque de injeção de SQL como
resultado da consulta de pesquisa (1) com os seguintes detalhes:
As ferramentas SIEM, como o Splunk, podem ajudar os investigadores a coletar e examinar dados que indicam
um ataque de injeção SQL de várias fontes de log, como logs IDS, IIS, WAF e Apache, e protegê-los como
evidência para usá-los posteriormente para análise posterior.
Figura 9.18: Examinando uma consulta de pesquisa SIEM e alerta para indicadores de ataque de injeção SQL
A figura acima mostra um evento acionado pelo Splunk que indica uma tentativa de injeção de SQL. A fonte de
log usada aqui é um log do IIS. Este resultado foi extraído em resposta a uma consulta de pesquisa que
especifica o tipo de origem, bem como a expressão regex para a detecção de ataques de injeção de SQL (1).
Resumo do Módulo
Este módulo discutiu os fundamentos forenses de aplicativos da web
Finalmente, este módulo terminou com uma discussão detalhada sobre detecção e
investigação de vários ataques em aplicativos da web
Resumo do Módulo
Este módulo discutiu os fundamentos da análise forense de aplicativos da web. Ele discutiu logs do Internet Information
Services (IIS) e logs do servidor web Apache. Além disso, discutiu em detalhes a investigação de ataques na web em
servidores baseados em Windows. Este módulo também detalhou a identificação de indicadores de comprometimento
(IoCs) de logs de rede. Finalmente, este módulo apresentou uma discussão detalhada sobre a detecção e investigação de
vários ataques em aplicativos da web.
MT
EC-Council
CE-Conselho
D FE
Digital
Digital
Forensics Essentials
Princípios Forenses
Módulo 10
Análise forense da Dark Web
Machine Translated by Google
Objetivos do módulo
Objetivos do módulo
A web como três camadas: a web superficial, a deep web e a dark web. Enquanto a web superficial e a deep web
são usadas para fins legítimos, a dark web é usada principalmente por criminosos cibernéticos para perpetrar
atividades nefastas/antissociais. O acesso à dark web requer o uso do navegador Tor, que fornece aos usuários um
alto nível de anonimato por meio de um mecanismo complexo, permitindo assim que os criminosos escondam suas
identidades.
Este módulo descreve os fundamentos da análise forense da dark web, descreve o funcionamento do navegador Tor
e discute as etapas para realizar a investigação forense do navegador Tor.
Fluxo do módulo
Esta seção descreve os fundamentos da dark web e discute as características da rede Tor.
É a parte visível da web e contém A deep web só pode ser acessada por um É uma parte invisível ou oculta da web
conteúdo que pode ser acessado por usuário autorizado com um nome de que requer navegadores específicos,
mecanismos de busca como Google e usuário válido , senha, etc. Inclui conteúdos como o navegador Tor para
Yahoo como documentos legais, registros Acesso; tais navegadores protegem o
financeiros, relatórios governamentais e anonimato dos usuários
informações de assinatura.
No que diz respeito à acessibilidade do conteúdo, a web é dividida nas três camadas a seguir:
1. Superfície Web
Como a camada superior, a superfície da Web armazena conteúdo que pode ser acessado e indexado por
mecanismos de pesquisa como Google, Yahoo e Bing. Sites públicos como Wikipedia, eBay, Facebook e
YouTube podem ser facilmente acessados a partir da superfície da web.
A banda de superfície compreende apenas 4% de toda a banda.
2. Deep Web
Esta camada da web não pode ser acessada por usuários normais porque seu conteúdo não é indexado
pelos mecanismos de busca. O conteúdo da deep web só pode ser acessado por um usuário com a devida
autorização. As informações contidas na deep web podem incluir dados militares, dados confidenciais de
organizações, dossiês legais, registros financeiros, registros médicos, registros de departamentos
governamentais e informações de assinatura
3. Web escura
Esta é a terceira e a camada mais profunda da web. É uma parte invisível ou oculta da web que requer
navegadores específicos, como o navegador Tor, para acessar; tais navegadores protegem o anonimato
dos usuários. É usado para realizar atividades ilegais e anti-sociais. A dark web não é indexada pelos
mecanismos de busca e permite total anonimato aos seus usuários por meio de criptografia. Criminosos
cibernéticos usam a dark web para realizar atividades nefastas, como tráfico de drogas, campanhas
antissociais e uso de criptomoedas para transações ilegais.
Relés Tor
ÿ Tor relays também são referidos como roteadores ou nós através dos quais o tráfego passa
Relés Tor
A rede Tor tem três relés: um relé de entrada/guarda, um relé intermediário e um relé de saída. Esses relés também
são chamados de nós ou roteadores e permitem que o tráfego de rede passe por eles.
1. Relé de entrada/guarda
Este relé fornece um ponto de entrada para a rede Tor. Ao tentar conectar através do relé de entrada, o
endereço IP do cliente pode ser lido. O relé de entrada/nó de guarda transmite os dados do cliente para o nó
do meio.
2. Relé do Meio
O relé intermediário é usado para a transmissão de dados em um formato criptografado. Ele recebe os dados
do cliente do relé de entrada e os passa para o relé de saída.
3. Relé de saída
Como o retransmissor final do circuito Tor, o retransmissor de saída recebe os dados do cliente do
retransmissor intermediário e os envia para o servidor do site de destino. O endereço IP do relé de saída é
diretamente visível para o destino. Portanto, no caso de transmissão de tráfego malicioso, o relé de saída é
suspeito de ser o culpado, pois é percebido como a origem desse tráfego malicioso. Assim, o retransmissor
de saída enfrenta maior exposição a questões legais, avisos de retirada, reclamações etc., mesmo quando
não é a origem do tráfego malicioso.
Nota: Todos os retransmissores acima da rede Tor estão listados na lista pública de retransmissores Tor.
ÿ No roteamento cebola, o tráfego é criptografado e passado por diferentes relés presentes no circuito Tor.
Essa conexão criptografada em várias camadas torna a identidade do usuário anônima.
Destino
relé de saída
Servidor
O servidor de destino percebe o último relé da rede Tor, ou seja, o relé de saída, como a origem dos
dados. Portanto, na rede Tor, é extremamente difícil identificar a origem dos dados por meio de qualquer
sistema de vigilância. Assim, o navegador Tor mantém os dados do usuário e informações sobre sites e
servidores seguros e anônimos.
O navegador Tor fornece acesso a sites .onion disponíveis na dark web. O protocolo de serviço oculto do
Tor permite que os usuários hospedem sites anonimamente com domínios .BIT e esses sites só podem
ser acessados por usuários na rede Tor.
ÿ Os nós de ponte atuam como um proxy para a rede Tor, o que implica que
Ponte Tor eles seguem diferentes configurações para encaminhar o tráfego para o nó
de entrada
Nó ÿ Isso torna difícil para organizações ou governos censurar
uso do Tor e listar os nós de ponte no diretório público de nós do Tor
Usuário/Origem Nó da Ponte
Tráfego criptografado
relé de entrada
Destino
relé de saída
Servidor
Nó da Ponte Tor
Os nós de retransmissão do Tor estão disponíveis publicamente na lista de diretórios, mas o nó de ponte é
diferente dos nós de retransmissão. Os nós de ponte são nós que não são publicados ou listados no diretório
público de nós do Tor.
Vários nós de entrada e saída da rede Tor são listados publicamente e acessíveis na Internet; conseqüentemente,
eles podem ser bloqueados por organizações/governos, caso desejem proibir o uso do Tor. Em muitos países
autoritários, governos, provedores de serviços de Internet (ISPs) e organizações corporativas proíbem o uso da
rede Tor. Em tais cenários, onde o uso da rede Tor é restrito, os nós de ponte ajudam a contornar as restrições
e permitem que os usuários acessem a rede Tor.
O uso de nós de ponte torna difícil para governos, organizações e ISPs censurar o uso da rede Tor.
Os nós de ponte existem como proxies na rede Tor, e nem todos eles são listados publicamente no diretório de
nós do Tor; vários nós de ponte estão ocultos/ocultos. Portanto, ISPs, organizações e governos não podem
detectar seus endereços IP ou bloqueá-los. Mesmo que os ISPs e as organizações detectem alguns dos nós de
ponte e os censurem, os usuários podem simplesmente mudar para outros nós de ponte.
Um usuário Tor transmite o tráfego para o nó de ponte, que o transmite para um nó de guarda conforme
selecionado pelo usuário. A comunicação com um servidor remoto ocorre normalmente; entretanto, um nó extra
de transmissão está envolvido, ou seja, o nó ponte. O uso de nós de ponte ocultos como proxies ajuda os
usuários a contornar as restrições impostas à rede Tor.
Fluxo do módulo
Esta seção explica como identificar os rastros do navegador Tor durante uma investigação forense.
ÿ Dark web forense envolve a identificação e investigação de atividades ilícitas na dark web realizadas
por invasores/usuários mal-intencionados
ÿ Para investigar as atividades maliciosas realizadas usando o navegador Tor, o investigador deve obter despejos de
memória da máquina suspeita e examiná-los para extrair informações valiosas, como sites visitados, e-mails acessados,
etc.
A análise forense da dark web refere-se à investigação de atividades ilegais e antissociais perpetradas na
dark web por usuários mal-intencionados. Exemplos de atividades ilegais e antissociais na dark web
incluem tráfico de drogas; fraude relacionada a cartões de crédito, informações bancárias e financeiras de
indivíduos e terrorismo.
A dark web é acessada por meio do navegador Tor, pois mantém os dados do usuário seguros e anônimos,
tornando a investigação de crimes na dark web uma tarefa extremamente desafiadora para os
investigadores forenses.
Para investigar crimes cibernéticos perpetrados usando o navegador Tor, os investigadores forenses
devem coletar despejos de RAM da máquina suspeita e estudá-los para determinar as atividades maliciosas
realizadas usando o navegador Tor, incluindo sites visitados, e-mails acessados e programas baixados.
ÿ Quando os investigadores testarem as conexões de rede ativas na máquina usando o comando netstat -ano, eles
poderão identificar se o Tor foi usado na máquina
O estado das conexões ativas é escuta/ O estado das conexões ativas é TIME_WAIT , o que
Estabelecido significa que o navegador está aberto significa que o navegador está fechado
Figura 10.3: O estado das conexões ativas está escutando/estabelecido, o que significa que o navegador Tor está aberto
Figura 10.4: O estado das conexões ativas é TIME_WAIT, o que significa que o navegador Tor está fechado
Registro
Chave do registro:
HKEY_USERS\<SID>\SOFTWA
RE\Mozilla\Firefox\Launcher
\Tor Browser\Browser\TorBrowser\Data\Tor\
ÿ Nome do arquivo
Quando o navegador Tor for desinstalado de uma máquina, ou se for instalado em um local diferente da área de trabalho (no
Windows), será difícil para os investigadores saber se foi usado ou o local onde está instalado. Examinar os arquivos de pré-busca
ajudará os investigadores a obter essas informações.
Figura 10.7: Examinando um arquivo de pré-busca criado pelo navegador Tor no WinPrefetchView
Figura 10.8: Detalhes recuperados do arquivo de pré-busca selecionado criado pelo navegador Tor
redes criptografadas
2
Rastrear a localização física dos perpetradores é difícil
3 Quando o navegador Tor é desinstalado em uma máquina suspeita, o investigador fica com um número
limitado de artefatos, o que dificulta o processo de investigação
ÿ Alto nível de anonimato: A dark web permite que criminosos realizem atividades ilegais
ao esconder sua identidade
ÿ Número limitado de vestígios: Quando o navegador Tor é desinstalado em uma máquina suspeita, o
investigador fica com um número limitado de artefatos, o que dificulta o processo de investigação.
Fluxo do módulo
O método e o resultado da análise forense do navegador Tor diferem com base no status do
navegador Tor na máquina suspeita. Esta seção discute os conceitos forenses do navegador
Tor, incluindo aquisição de memória, coleta e análise de despejos de memória.
ÿ Examinar dumps de RAM pode fornecer insights profundos sobre as ações que ocorreram no sistema
ÿ Investigadores forenses podem examinar esses despejos na tentativa de extrair vários navegadores Tor
artefatos que ajudam na reconstrução do incidente
ÿ Os resultados obtidos ao examinar esses artefatos diferem com base nas seguintes condições:
ÿ Um despejo de memória feito enquanto o navegador está aberto coleta o maior número de artefatos,
enquanto um despejo obtido após a desinstalação do navegador coleta o mínimo
ÿ Despejos de memória feitos enquanto o navegador está fechado contêm a maioria das informações
encontrado em despejos de memória coletados, enquanto o navegador é deixado aberto
A RAM contém informações voláteis pertencentes a vários processos e aplicativos em execução em um sistema.
Examinar os despejos de RAM pode fornecer insights profundos sobre as ações que ocorreram no sistema. Os
investigadores forenses podem examinar esses despejos na tentativa de extrair vários artefatos do navegador Tor que
ajudam a reconstruir o incidente.
Os resultados obtidos ao examinar os artefatos do navegador Tor diferem com base nas seguintes condições:
Um despejo de memória feito enquanto o navegador está aberto coleta o maior número de artefatos, enquanto um
despejo feito após a desinstalação do navegador coleta o mínimo. Os despejos de memória obtidos enquanto o
navegador está fechado contêm a maioria das informações encontradas nos despejos de memória coletados quando
o navegador é deixado aberto.
Os investigadores precisam adquirir um despejo de memória da máquina suspeita para iniciar o exame
forense. Ferramentas como Belkasoft LIVE RAM Capturer e AccessData FTK Imager podem ajudar a
capturar RAM.
O despejo de memória coletado da máquina suspeita não contém apenas artefatos relacionados ao
navegador, mas também relacionados a todas as atividades que ocorreram nele.
Figura 10.9: Obtendo o dump de RAM de uma máquina suspeita usando o capturador de RAM Belkasoft Live
Figura 10.10: Obtendo RAM dump de uma máquina suspeita usando AccessData FTK Imager
ÿ Ferramentas como o Bulk Extractor ajudam no processamento desses despejos e fornecem informações úteis , como URLs navegados,
IDs de e-mail usados e informações de identificação pessoal inseridas nos sites
https:// digitalcorpora.org
O despejo de memória adquirido da máquina deve ser examinado na estação de trabalho forense para descobrir
artefatos que podem ser úteis durante a investigação. Ferramentas como o Bulk Extractor ajudam no processamento
desses despejos e fornecem informações úteis, como URLs navegados, IDs de e-mail usados e informações de
identificação pessoal inseridas nos sites.
ÿ Extrator de Granéis
Bulk Extractor é um programa que extrai recursos como endereços de e-mail, números de cartão de crédito,
URLs e outros tipos de informações de arquivos de evidências digitais. O Bulk Extractor Viewer é uma
interface do usuário para recursos de navegação que foram extraídos por meio da ferramenta de extração de
recursos do Bulk Extractor. O BEViewer oferece suporte à navegação de várias imagens e aos recursos de
marcação e exportação. O BEViewer também fornece uma interface de usuário para iniciar o Bulk
Escaneamentos do extrator.
Figura 10.11: Importe a imagem do disco a ser analisada e forneça o diretório de saída
Figura 10.12: Lista de arquivos de recursos extraídos do arquivo de imagem no Bulk Extractor
Resumo do Módulo
Resumo do Módulo
Este módulo discutiu conceitos relacionados à dark web. Ele discutiu como identificar vestígios do navegador
Tor durante uma investigação. Além disso, explicou em detalhes como executar a análise forense do
navegador Tor. Finalmente, este módulo apresentou uma discussão detalhada sobre a coleta e análise de
despejos de memória.
MT
EC-Council
CE-Conselho
D FE
Digital
Digital
Forensics Essentials
Princípios Forenses
Módulo 11
Investigando crimes por e-mail
Machine Translated by Google
Objetivos do módulo
Nas últimas décadas, os serviços de e-mail têm sido amplamente utilizados para comunicação em todo o mundo para
troca de textos e mensagens multimídia. No entanto, isso também tornou o e-mail uma ferramenta poderosa para os
cibercriminosos espalharem mensagens maliciosas e realizarem atividades ilegais. O módulo atual pretende familiarizá-lo
com o assunto de crimes de e-mail e como eles ocorrem.
Ele se concentra principalmente nas etapas que um investigador precisa seguir em uma investigação de crime por e-mail.
Fluxo do módulo
1 2
Entenda o e-mail Entenda o crime por e-mail
Fundamentos Investigação e suas etapas
Um número crescente de empresas está usando o e-mail como seu principal meio de comunicação.
A crescente dependência de e-mails também deu origem a crimes de e-mail. Portanto, os investigadores
forenses precisam ter um entendimento completo de um sistema de e-mail e sua arquitetura interna,
juntamente com os componentes que trabalham juntos para entregar um e-mail de um remetente aos
destinatários. Esta seção discute os fundamentos de um sistema de e-mail.
E-mail é uma abreviação de “correio eletrônico”, que é usado para enviar, receber e salvar mensagens em
sistemas de comunicação eletrônica. Com a crescente dependência da tecnologia, o e-mail se tornou um dos
modos de comunicação mais populares.
Um sistema de e-mail funciona na arquitetura básica cliente-servidor. Ele permite que os clientes enviem/
recebam e-mails por meio de servidores de e-mail que se comunicam entre si. A maioria dos sistemas de e-
mail possui editores de texto com opções básicas de formatação que permitem aos clientes redigir mensagens
de texto e enviá-las a um ou mais destinatários. Depois de enviada, a mensagem passa por vários servidores
e fica guardada na caixa de correio do destinatário até que este a recupere.
Agente de usuário de correio (MUA) Agente de Transferência de Correio (MTA) Agente de entrega de correspondência (MDA)
ÿ Também conhecido como cliente de e-mail, ÿ O MTA também é conhecido como ÿ MDA é um aplicativo
MUA é um aplicativo que servidor de correio que responsável por receber uma
permite aos usuários ler, redigir aceita as mensagens de e- mensagem de e-mail do MTA e
e enviar e- mails de seus mail do remetente e as armazená -la na caixa postal do
endereços de e-mail configurados encaminha para o seu destino destinatário
ÿ Existem dois clientes de e-mail ÿ Exemplos incluem Sendmail, ÿ Exemplo inclui pombal
comumente usados: Exim e Postfix
ÿ SMTP (Simple Mail Transfer ÿ POP3 (Protocolo Post Office ÿ Protocolo de Acesso a Mensagens da Internet
Protocol) é um servidor de e-mail de versão 3) é um protocolo de Internet (IMAP) é um protocolo de internet
saída que permite ao usuário enviar e- usado para recuperar e-mails de um projetado para acessar e-mail em um
mails para um endereço de e-mail válido servidor de correio servidor de e-mail
Existem vários componentes da comunicação por e-mail que desempenham funções específicas quando uma
mensagem de e-mail é transmitida de um remetente para um destinatário.
ÿ Agente do usuário de correio: Também conhecido como cliente de e-mail, o agente do usuário de e-mail (MUA)
é um aplicativo de desktop para leitura, envio e organização de e-mails. Ele fornece uma interface para os
usuários receberem, redigirem ou enviarem emails de seus endereços de email configurados.
Um usuário precisa definir e configurar seu endereço de e-mail antes de usar o cliente de e-mail.
A configuração inclui a emissão de IDs de e-mail, senhas, endereço Post Office Protocol versão 3 (POP3)/Internet
Message Access Protocol (IMAP) e Simple Mail Transfer Protocol (SMTP), um número de porta e outras
preferências relacionadas. Existem muitos clientes de e-mail autônomos e baseados na Web, como Claws Mail,
Thunderbird, Mailbird, Zimbra Desktop, Gmail e Outlook.com. O cliente de e-mail se torna ativo somente quando o
usuário o executa.
Todos os servidores MTA conversam entre si através do protocolo SMTP. Alguns exemplos de MTA incluem
Sendmail, Exim e Postflix.
ÿ Agente de entrega de correspondência: O agente de entrega de correspondência (MDA) é o servidor que recebe a
mensagem de e-mail do último MTA e a mantém na caixa de correio do destinatário. Dovecot é um exemplo de
MDA.
ÿ Servidor SMTP: O SMTP é um servidor de e-mail de saída que permite ao usuário enviar e-mails para um endereço
de e-mail válido. Os usuários não podem usar o servidor SMTP para receber e-mails; no entanto, em conjunto com
o Post Office Protocol (POP) ou IMAP, eles podem usar o SMTP para receber e-mails com configuração adequada.
Qualquer servidor SMTP recebe um endereço do cliente de e-mail do usuário no seguinte formato:
smtp.serveraddress.com (por exemplo, o endereço do servidor SMTP do Gmail seria smtp.gmail.com).
Quando um usuário envia um e-mail para um destinatário específico, ele primeiro chega ao servidor SMTP que
processa a mensagem para determinar o endereço do destinatário e, em seguida, o retransmite para o servidor
específico. Todos os servidores SMTP geralmente escutam a porta 25. No entanto, os servidores SMTP de saída
usam a porta 587 para conexões de segurança da camada de transporte e a porta 465 para conexões SSL (Secure
Sockets Layer).
ÿ Servidor POP3: POP3 é um protocolo simples para recuperar e-mails de um servidor de e-mail. Quando o servidor
POP recebe e-mails, eles são armazenados no servidor até e a menos que o usuário solicite.
O servidor POP3 não permite o conceito de pastas; ele considera a caixa de correio no servidor como seu único
repositório. Uma vez que o usuário se conecta ao servidor de correio para recuperar seus e-mails usando o cliente
de e-mail, os e-mails são baixados automaticamente do servidor de e-mail para o disco rígido do usuário e não são
mais armazenados no servidor, a menos que o usuário especifique para manter uma cópia dele.
Como os clientes de e-mail implementados em POP3 baixam e-mails no sistema, um usuário pode ler e-mails
mesmo quando não há conectividade com a Internet. No entanto, como os e-mails são armazenados no disco
rígido, os usuários não podem acessá-los de máquinas remotas.
ÿ Servidor IMAP: Os servidores IMAP são semelhantes aos servidores POP3. Como o POP3, o IMAP lida com o e-mail
recebido. Por padrão, o servidor IMAP escuta na porta 143 e o IMAPS (IMAP sobre SSL) escuta na porta 993.
O IMAP armazena e-mails no servidor de e-mail e permite que os usuários visualizem e trabalhem em seus e-
mails, como se os e-mails estivessem armazenados em seus sistemas locais. Isso permite que os usuários
organizem todos os e-mails, dependendo de suas necessidades. Ao contrário do POP3, o IMAP não move o
servidor de correio para a caixa de correio do usuário.
Ele atua como um servidor remoto que armazena todos os e-mails do usuário no servidor de e-mail. IMAP permite
clientes de e-mail para recuperar partes de extensões de correio da Internet multiuso (MIME) na forma de uma
mensagem inteira ou em vários bits, permitindo que os clientes recuperem apenas a parte de texto do e-mail sem
baixar o anexo. Este protocolo armazena uma cópia de todos os e-mails no servidor, mesmo que o usuário os
baixe em seu sistema. Como resultado, os usuários podem acessá-los de qualquer sistema ou dispositivo de
computação.
Fluxo Típico de um
E-mail
SMTP
POP3/
IMAP
SMTP SMTP
Quando um usuário envia uma mensagem de e-mail para qualquer destinatário, ela passa por vários estágios antes
de chegar ao seu destino. Um cenário é apresentado a seguir para elaborar essas etapas:
ÿ Considere que um usuário de e-mail chamado Bob deseja enviar uma mensagem de e-mail para outro usuário
de e-mail chamado Alice. Ele compõe uma mensagem usando seu cliente de e-mail ou MUA ou um e-mail
baseado na web como o Yahoo!, especifica o endereço de e-mail de Alice e pressiona o botão enviar.
ÿ A mensagem de e-mail é recebida por um servidor MTA via SMTP que descriptografa as informações do
cabeçalho e procura o nome de domínio no endereço de e-mail de Alice. Este método
permite que o servidor MTA determine o servidor de e-mail de destino e passe a mensagem para o MTA
correspondente.
ÿ Cada vez que um servidor MTA recebe uma mensagem durante o processo de entrega de correspondência, ele
modifica suas informações de cabeçalho. Quando chega ao último MTA, é transferido para o MDA, que
guarda a mensagem na caixa postal de Alice.
ÿ O MUA de Alice então recupera a mensagem usando POP3 ou IMAP, e Alice finalmente consegue ler a
mensagem.
Compreendendo as partes de
uma mensagem de e-mail
abril de 2020 19:52 Para: ford90hen@outlook.com Os cabeçalhos de e-mail contêm informações sobre
Assunto: Quando podemos nos encontrar a origem do e-mail , como o endereço de onde veio,
novamente?
o roteamento, a hora da mensagem e a linha de
assunto
Olá Henry,
Os exemplos incluem Para, Cc, Bcc, De, Mensagem
Quando podemos nos reunir para trabalhar em
nosso projeto? Estou disponível a qualquer hora
Id, Responder a, Remetente, Assunto, Versão MIME
esta semana após as 17:00. Mas eu tenho alguns e Prioridade
outros compromissos na próxima semana. Eu
gostaria de me encontrar antes de nossa próxima
Corpo
aula, então envie-me um e-mail e deixe-me saber o
Esta parte contém a mensagem real enviada por
que funcionaria para você.
e-mail em HTML ou texto sem formatação
Obrigado!
Pode incluir imagens e hiperlinks
Cumprimentos,
A mensagem de e-mail é um texto breve e informal enviado ou recebido através de uma rede. As mensagens de e-mail são
mensagens de texto simples que também podem incluir anexos, como arquivos de imagem e planilhas.
Vários destinatários podem receber mensagens de e-mail ao mesmo tempo.
No momento, o RFC 5322 define o formato de mensagem de e-mail da Internet e o RFC 2045 até o RFC 2049 define os anexos de
conteúdo multimídia — juntos, eles são chamados de extensões de correio da Internet multiuso (MIME).
1. Cabeçalho da mensagem
o Para especifica a quem a mensagem é endereçada. Observe que o cabeçalho “Para” nem sempre contém o endereço
do destinatário.
o Cc significa “cópia carbono”. Este cabeçalho especifica destinatários adicionais além daqueles listados no cabeçalho
“Para”. A diferença entre “To” e “Cc” é essencialmente conotativa; alguns remetentes também lidam com eles de
maneira diferente ao gerar respostas.
o Cco significa “cópia oculta”. Este cabeçalho envia cópias de e-mails para pessoas que podem não querer receber
respostas ou aparecer nos cabeçalhos. As cópias ocultas são populares entre os spammers porque confundem
muitos usuários inexperientes que recebem um e-mail que não tem seu endereço ou não parece ser para eles.
o Reply-To especifica um endereço para enviar respostas. Embora esse cabeçalho tenha muitos usos legítimos,
também é amplamente usado por spammers para desviar críticas. Ocasionalmente, um spammer nativo
solicitará respostas por e-mail e usará o cabeçalho "Responder para" para coletá-las, mas, com mais
frequência, o endereço especificado no lixo eletrônico é inválido ou é de uma vítima inocente.
o Remetente é incomum em e-mail (“X-Sender” é geralmente usado em seu lugar), mas aparece ocasionalmente,
especialmente em cópias de postagens da Usenet. Deve identificar o remetente; no caso de postagens da
Usenet, é um identificador mais confiável do que a linha “De”.
o Assunto é um campo totalmente livre especificado pelo remetente para descrever o assunto
da mensagem
o Data especifica a data de criação e envio do e-mail. Se o computador do remetente omitir esse cabeçalho, um
servidor de correio ou alguma outra máquina pode adicioná-lo, mesmo ao longo da rota.
o Prioridade é um cabeçalho essencialmente de formato livre que atribui uma prioridade ao e-mail. A maioria
dos softwares o ignora. Os spammers costumam usá-lo na tentativa de fazer com que suas mensagens
sejam lidas.
2. Corpo da mensagem
O corpo do e-mail transmite a mensagem e às vezes inclui um bloco de assinatura no final. Uma linha em branco
separa o cabeçalho e o corpo. Em um e-mail, o corpo ou texto sempre vem após as linhas do cabeçalho.
O corpo do e-mail é a mensagem principal do e-mail que contém texto, imagens, hiperlinks e outros dados (como
anexos). O corpo do e-mail exibe anexos separados que aparecem alinhados com o texto. O padrão de e-mail
da Internet não estabeleceu nenhuma limitação no tamanho do corpo de um e-mail. No entanto, servidores de
correio individuais têm limites de tamanho de mensagem.
3. Assinatura
Uma assinatura de e-mail é uma pequena quantidade de informações adicionais anexadas no final da mensagem
de e-mail que consiste no nome e detalhes de contato do remetente do e-mail. Pode conter texto simples ou
imagens.
Fluxo do módulo
1 2
Entenda o e-mail Entenda o crime por e-mail
Fundamentos Investigação e suas etapas
A investigação de crimes por e-mail envolve o exame da origem e do conteúdo das mensagens de e-mail como prova
Isso permite que os investigadores identifiquem o tipo de fraude por e-mail realizada, o criminoso e sua intenção maliciosa
A investigação de crimes por e-mail envolve a extração, aquisição, análise e recuperação de mensagens de e-mail
relacionadas a qualquer cibercrime. A análise detalhada das mensagens de e-mail ajuda os investigadores a reunir
evidências úteis, como a data e a hora em que a mensagem de e-mail foi enviada, o endereço IP real do remetente
e do destinatário e qual mecanismo de falsificação foi usado. Os investigadores precisam usar muitas ferramentas
forenses para extrair metadados de cabeçalhos de e-mail. Isso os ajuda a localizar o criminoso por trás do crime e
relatar as descobertas para processá-los no tribunal.
ÿ Spamming de E-mail
O spam não é solicitado por e-mail comercial ou lixo eletrônico. O correio de spam envolve o envio do
mesmo conteúdo para um grande número de endereços ao mesmo tempo. O spam ou lixo eletrônico
preenche as caixas de correio e impede que os usuários acessem seus emails regulares. Esses e-mails
regulares começam a ser devolvidos porque o servidor excedeu seu limite de capacidade. Spammers
escondem suas identidades falsificando o cabeçalho do e-mail. Para evitar a obtenção de respostas de
destinatários irritados, os spammers fornecem informações enganosas nos campos FROM e REPLY-TO e
as publicam em uma lista de discussão ou grupo de notícias.
ÿ Phishing
O phishing surgiu como um método eficaz para roubar dados pessoais e confidenciais dos usuários. É um golpe
da Internet que engana os usuários para que divulguem suas informações pessoais e confidenciais, fazendo
declarações e ofertas interessantes. Os phishers podem atacar os usuários enviando mensagens em massa para
milhões de endereços de e-mail em todo o mundo.
O ataque de phishing engana e convence o usuário com conteúdo técnico falso junto com práticas de engenharia
social. A principal tarefa dos phishers é fazer com que as vítimas acreditem que os sites de phishing são legítimos.
As fontes que podem ser personificadas incluem páginas da web, mensagens instantâneas, e-mails e Internet
Relay Chat. A maioria dos ataques de phishing é feita por e-mail, onde o usuário recebe um e-mail que o engana
para seguir o link fornecido, levando-o a um site de phishing. O e-mail pode conter uma mensagem informando
que uma determinada transação ocorreu na conta do usuário e pode ter um link para verificar seu saldo ou pode
conter um link para realizar uma verificação de segurança da conta do usuário.
o Spear Phishing ocorre quando, em vez de enviar milhares de e-mails, alguns invasores usam conteúdo
especializado de engenharia social direcionado a um funcionário específico ou a um pequeno grupo de
funcionários de uma organização específica para roubar dados confidenciais, como informações financeiras e
segredos comerciais. As mensagens de spear phishing parecem ser de uma fonte confiável com um site de
aparência oficial. O e-mail também parece ser de um indivíduo da empresa do destinatário, geralmente alguém
em posição de autoridade.
No entanto, a mensagem é realmente enviada por um invasor que tenta obter informações críticas sobre um
destinatário específico e sua organização, como credenciais de login, detalhes de cartão de crédito, números
de contas bancárias, senhas, documentos confidenciais, informações financeiras e segredos comerciais.
Spear phishing gera uma taxa de resposta mais alta em comparação com um ataque de phishing normal, pois
parece ser de um confiável
fonte da empresa.
o Whaling é um tipo de ataque de phishing que visa executivos de alto nível, como CEOs, CFOs, políticos e celebridades
que têm acesso total a informações confidenciais e altamente valiosas. É um truque de engenharia social no qual o
invasor engana a vítima para revelar informações corporativas e pessoais críticas (como detalhes de contas bancárias,
detalhes de funcionários, informações de clientes e detalhes de cartão de crédito), geralmente por e-mail ou falsificação
de site. Whaling é diferente de um ataque de phishing; nesse caso, o e-mail ou site usado para o ataque é
cuidadosamente projetado para atingir alguém da liderança executiva em particular.
o Pharming é uma técnica de engenharia social na qual um invasor executa programas maliciosos no computador ou
servidor da vítima. Quando a vítima insere qualquer URL ou nome de domínio, ela redireciona automaticamente o
tráfego da vítima para um site controlado pelo invasor. Esse ataque também é conhecido como “Phishing sem isca”: o
invasor rouba informações confidenciais, como credenciais, dados bancários e outras informações relacionadas a
serviços baseados na web. Os ataques de pharming podem ser executados de duas maneiras, ou seja, envenenamento
de cache do Sistema de Nomes de Domínio (DNS) e modificação do arquivo do host.
o Spimming ou “spam sobre mensagens instantâneas” (SPIM) explora plataformas de mensagens instantâneas e usa
mensagens instantâneas como uma ferramenta para espalhar spam. Uma pessoa que gera spam por meio de
mensagens instantâneas é chamada de spimmer. Um spimmer geralmente usa bots (um aplicativo que executa tarefas
automatizadas pela rede) para coletar IDs de mensagens instantâneas e encaminhar a mensagem de spam para eles.
As mensagens SPIM, semelhantes aos spams de e-mail, geralmente incluem anúncios e malware como anexo ou
hiperlink incorporado. Um usuário que clica no anexo é redirecionado para um site malicioso, que coleta informações
financeiras e pessoais, como credenciais, contas bancárias e detalhes de cartão de crédito.
ÿ Bombardeio de Correio
O bombardeio por e-mail refere-se ao processo de envio repetido de uma mensagem de e-mail para um endereço específico
no site de uma vítima específica. Em muitos casos, as mensagens serão preenchidas com dados inúteis destinados a
consumir mais capacidade do sistema e da rede.
Várias contas no site de destino podem sofrer abuso, aumentando o impacto da negação de serviço. Mail bombing é um ato
intencional de enviar várias cópias de conteúdo idêntico para o mesmo destinatário. O principal objetivo por trás disso é
sobrecarregar o servidor de e-mail e degradar o sistema de comunicação, tornando-o inutilizável. Normalmente, um homem-
bomba e a vítima se conhecem. Postagens em grupos de notícias que não concordam com a opinião do destinatário também
resultam em bombardeio de e-mail. O alvo em tais casos pode ser uma máquina específica ou uma pessoa em particular. O
bombardeio de e-mails é mais abusivo do que o spam porque não apenas envia e-mails em quantidades excessivas para
um indivíduo, mas também impede que outros usuários acessem seus e-mails usando o mesmo servidor.
ÿ Tempestades de Correio
Uma tempestade de correio ocorre quando os computadores começam a se comunicar sem intervenção humana.
A enxurrada de correspondências indesejadas enviadas por acidente é uma tempestade de correspondências. Uso de listas
de e-mail, encaminhamento automático de e-mails, resposta automática e presença de mais de um e-mail
endereço são as várias causas de uma tempestade de correio. O código de software malicioso também é escrito
para criar tempestades de e-mail, como a mensagem “Melissa, I-Care-For-U”. As tempestades de correio
atrapalham os sistemas de comunicação e os tornam inoperáveis.
ÿ Fraude de Identidade
Fraude de identidade é a recuperação ilegítima e uso de dados pessoais de outras pessoas para ganhos maliciosos
e monetários. O roubo de identidade é um crime que está rapidamente ganhando popularidade. É o ato intencional
de roubar a identidade de alguém para obter benefícios monetários. Os criminosos obtêm informações pessoais
sobre uma pessoa e as usam indevidamente, causando grandes perdas financeiras à vítima.
Sites de compras on-line com representações falsas e e-mails de spam com ofertas irresistíveis são os meios mais
comuns usados para obter os números do cartão de crédito da vítima.
Depois que o usuário faz um pedido online, os criminosos podem interceptar a mensagem de e-mail e usá-la. Os
criminosos não apenas retiram grandes quantias de dinheiro das contas das vítimas, mas também podem levá-las
à falência.
ÿ Ciberperseguição
Cyberstalking é um crime em que os invasores perseguem um indivíduo, um grupo ou uma organização usando e-
mails ou mensagens instantâneas. Os invasores tentam ameaçar, fazer acusações falsas, difamar, caluniar,
caluniar ou roubar a identidade da(s) vítima(s) como parte do cyberstalking. O perseguidor pode ser alguém
associado a uma vítima ou a um estranho.
ÿ Rapto de Criança
O sequestro de crianças é o crime de remover ou reter, deter ou ocultar indevidamente uma criança ou bebê. O
rapto é definido como tirar uma pessoa por persuasão, fraude ou força aberta ou violência. Existem dois tipos de
rapto de crianças: o rapto parental e o rapto por um estranho. Os sequestros de crianças pelos pais são o tipo mais
comum, enquanto o sequestro por um estranho será classificado como sequestro.
Para encontrar, extrair e analisar evidências relacionadas a e-mails, um investigador deve seguir uma série de etapas definidas
e praticadas. Isso não apenas facilitará o processo de coleta de evidências, mas também ajudará o investigador a manter a
conformidade e a integridade.
Algumas das etapas vitais a serem seguidas durante a condução de uma investigação de crime por e-mail são as seguintes:
Se a vítima for uma organização corporativa, o investigador deve obter permissão das autoridades
envolvidas e colaborar com a rede interna e os administradores do sistema para entender suas
políticas e cumprir seus regulamentos de segurança de dados.
Uma vez que o computador e as contas de e-mail foram apreendidos, o próximo passo é adquirir os dados de e-mail para
análise forense. A aquisição de dados de e-mail depende dos seguintes cenários:
ÿ O suspeito tem acedido a e-mails através de clientes de e-mail baseados no ambiente de trabalho, como o Outlook
e Mozilla Thunderbird
ÿ O suspeito tem uma conta de e-mail baseada na web a que acedeu através do navegador
O investigador precisa escolher o processo de aquisição de acordo com a situação na cena do crime.
Quando um crime de e-mail é suspeito de ter ocorrido na máquina de um usuário usando clientes de e-mail, as
principais fontes de evidência são as pastas locais e arquivos arquivados armazenados por esses programas que
contêm informações sobre todas as atividades de e-mail.
Muitos usuários preferem clientes de e-mail baseados em desktop, como Microsoft Outlook, Mozilla Thunderbird
e Apple Mail, para enviar/receber e-mails. Quando um crime de e-mail é suspeito de ter ocorrido na máquina de
um usuário usando clientes de e-mail, as principais fontes de evidência são as pastas locais e arquivos
armazenados por esses programas que contêm informações sobre todas as atividades de e-mail. O trabalho do
investigador forense é localizar as pastas locais e extrair todas as mensagens de e-mail usando a ferramenta
forense correta e armazenar as cópias em um local seguro.
Arquivos/bancos de dados de e-mail locais criados por clientes de e-mail podem ser salvos em vários locais no
computador do suspeito. O investigador precisa identificar cuidadosamente todos os arquivos de e-mail locais e
adquirir as mensagens de e-mail relevantes relacionadas ao crime.
ÿ Quando os usuários configuram suas contas de e-mail no Outlook, ele cria uma cópia local
de todas as informações de e-mail em dois tipos de formatos de arquivo:
ÿ Certos tipos de contas POP usam o arquivo .pst para salvar as informações da
caixa de correio no computador local
Para saber a localização dos dados do Outlook 2016 Auto Archive na máquina
do suspeito, navegue até Arquivo > Opções > Avançado >
Configurações de arquivamento automático
Quando uma conta de e-mail é sincronizada com o aplicativo da área de trabalho do Microsoft Outlook, ela cria uma cópia
local de todas as pastas de e-mail nos dois formatos a seguir:
Geralmente, as contas pop armazenam todas as informações de e-mail em um formato de arquivo .pst no Outlook.
As mensagens de e-mail, contato, calendário e outros dados de tarefas são baixados automaticamente
do servidor de correio e salvo localmente no disco rígido. No Outlook 2013 e versões anteriores, os arquivos .pst
eram usados por contas IMAP. No entanto, no Outlook 2016, as mensagens de email de todas as contas IMAP são
salvas no formato de arquivo .ost . A localização padrão dos arquivos .pst no Outlook 2016 é C:\Users\%USERNAME%
\Documents\Outlook Files
Tipos de conta como Outlook.com, Outlook para Office 365, Microsoft Exchange e IMAP copiam todos os componentes
da caixa de correio no formato de arquivo .ost . Como e-mails, contatos, calendário e outros dados não são retirados
do servidor, como contas pop, os usuários podem acessar seus e-mails mesmo quando não possuem conexão com
a Internet. Todas as informações da caixa de correio são atualizadas quando a conexão é reativada. Por padrão, o
arquivo .ost no Outlook 2016 é salvo no seguinte local: C:\Users\%USERNAME%\AppData\Local\Microsoft\Outlook.
Figura 11.4: Arquivo .ost e sua localização conforme criado pelo Microsoft Outlook
O investigador também pode extrair artefatos relacionados a e-mail de arquivos, uma pasta padrão criada pelo aplicativo
Outlook que permite aos usuários salvar e-mails antigos. Os recursos de AutoArquivar estão disponíveis nas versões do
Outlook 2013, 2016 e 2019 e permitem que os usuários arquivem emails automaticamente em intervalos regulares. Esses
arquivos compactados são armazenados no formato .pst .
Para determinar a localização do arquivo do Outlook, o investigador precisa obter as credenciais do suspeito, abrir o aplicativo
Outlook e navegar até Arquivo ÿ Opções ÿ Avançado ÿ Configurações de autoarquivamento.
https:// www.systoolsgroup.com
ÿ Você pode selecionar o tipo de arquivo exportado e o formato do nome e coletar as mensagens de
e-mail selecionadas na pasta de destino escolhida
https:// www.systoolsgroup.com
Como investigador forense, você pode usar ferramentas como SysTools MailPro+ para adquirir dados de
arquivos de e-mail locais armazenados pelo Thunderbird. Eles podem selecionar um ou mais arquivos mbox ou
pastas de e-mail locais específicas para aquisição e análise forense. As figuras abaixo mostram a aquisição da
pasta Lixeira de uma conta de e-mail suspeita usando o SysTools MailPro+
Figura 11.7: Analisando e-mails recuperados da pasta Lixeira de uma conta de e-mail suspeita
Figura 11.8: Examinando a visualização HTML de uma mensagem de e-mail recuperada de uma conta de e-mail suspeita
Figura 11.9: Recuperando o anexo de uma mensagem de e-mail recuperada de uma conta de e-mail suspeita
Selecione todas as mensagens de e-mail de valor comprobatório e clique no botão 'Exportar' para adquiri-las. Você
pode selecionar o tipo de arquivo exportado e o formato do nome e coletar as mensagens de e-mail selecionadas
na pasta de destino escolhida.
Figura 11.10: Selecionando formato de saída, destino e convenção de nomenclatura ao exportar mensagens de e-mail recuperadas
SysTools Mailpro+
É um utilitário versátil e completo para visualizar, pesquisar e exportar e-mails de vários clientes de e-mail.
Recursos
ÿ Pesquise e-mails nos arquivos de e-mail de origem com apenas alguns cliques
ÿ Exporte e-mails para os tipos de arquivo .pst, .pdf, .msg, .html, .eml, .tiff e .csv
Visualizando e-mails
Esta ferramenta fornece uma visualização de e-mails em vários modos, como mostrado abaixo:
Ele mostra e-mails junto com atributos como Para, CC, BCC, Assunto, Data e Hora
ÿ Visão Hexadecimal
ÿ Visualização de Propriedades
Ele exibe propriedades associadas a e-mails, como sinalizadores de mensagem, destinatários e remetentes
Ele fornece detalhes de visualização, como X-Priority, ID da mensagem, Thread-Index, Content-Type e outras informações
ÿ Visualização MIME
ÿ Visualização HTML
ÿ Visualização RTF
ÿ Visualização de Anexos
ÿ Visão Hierárquica
Corpo do e-mail
3 Um corpo de e-mail falsificado pode conter links/hiperlinks diretos
projetados para induzir os usuários a fornecer detalhes confidenciais
Anexo do email
Os invasores podem incorporar arquivos javascript, VBScript
4 ou .exe maliciosos nos documentos e arquivos PDF enviados como
anexos. Você precisa examinar esses anexos
dentro de um ambiente forense controlado.
Os investigadores forenses devem examinar de perto as seguintes áreas ao inspecionar as mensagens de e-mail
adquiridas:
1. Assunto
Este campo de um e-mail informa o destinatário sobre a mensagem que o e-mail pretende transmitir. A
maioria dos e-mails falsificados é projetada para criar uma sensação de pânico/urgência que induz a vítima
a abrir o e-mail e examinar seu conteúdo.
Os invasores enganam os usuários-alvo fazendo com que os e-mails suspeitos pareçam autênticos. Por
exemplo, um e-mail que aparece em nome de um banco, mas que usa uma conta do Gmail em vez do
domínio do respectivo banco, é um forte indicador de falsificação.
3. Corpo do e-mail
O corpo do e-mail contém a mensagem principal do e-mail. Um corpo de e-mail falsificado pode incluir links/
hiperlinks diretos que induzem os usuários a fornecer detalhes confidenciais. O corpo de um e-mail falsificado
geralmente tem linguagem/frases mal estruturadas que não parecem profissionais.
4. Anexo de e-mail
Os invasores geralmente enviam documentos ou cópias em PDF com extensões como .exe, .vbs, .js, .wsf
e .zip como anexos em e-mails. Esses anexos são projetados para executar programas ocultos, como
spyware e malware, no sistema de computação do usuário, que podem comprometer dados confidenciais.
3
As informações do cabeçalho do e-mail podem ser recuperadas após a aquisição
das mensagens de e-mail
Os cabeçalhos de e-mail são um componente vital de um e-mail que pode ajudar os investigadores a rastrear
a origem de um e-mail. Esses cabeçalhos fornecem informações sobre o remetente e o destinatário do e-
mail. Esses detalhes sobre a fonte e o(s) destinatário(s) são fornecidos usando os cabeçalhos “De” e “Para”,
respectivamente.
Os cabeçalhos também contêm informações sobre o caminho percorrido por um e-mail durante o trânsito.
Cada MTA que recebe a mensagem de e-mail, à medida que ela viaja de sua origem para o destino, altera a
seção do cabeçalho do e-mail. Portanto, os investigadores devem examinar a seção do cabeçalho do e-mail
e, assim, obter dados cruciais de valor probatório e rastrear o perpetrador.
Os investigadores podem recuperar informações de cabeçalho de qualquer mensagem de e-mail após sua
aquisição. Caso tenham acesso físico ao sistema do suspeito, podem usar o mesmo programa de e-mail
usado pelo suspeito para visualizar os e-mails. O procedimento para recuperar cabeçalhos de e-mail difere
em cada programa de e-mail.
ícone de propriedades
2. Revise todas as mensagens de e-mail da conta de e-mail do suspeito e clique duas vezes no e-mail
mensagem que deseja salvar
3. Clique no botão Arquivo localizado no canto superior esquerdo e depois no ícone Propriedades.
4. Quando a janela Propriedades for aberta, selecione o texto do cabeçalho da mensagem da Internet
caixa de cabeçalhos
Assim, você pode salvar o texto dos cabeçalhos de todas as mensagens de e-mail necessárias para conduzir uma
investigação mais aprofundada sobre elas.
Recuperando
cabeçalhos de e-mail
no Microsoft Outlook.com
3. Clique no botão suspenso Mais ações, navegue até a opção Exibir detalhes da mensagem
e clique nele
4. Selecione o texto do cabeçalho da mensagem na caixa Detalhes da mensagem, copie e cole o texto em
qualquer editor de texto e salve o arquivo
Figura 11.15: Texto do cabeçalho da mensagem conforme encontrado na caixa Detalhes da mensagem
Recuperando
Cabeçalhos de e-
mail no Gmail
4. Selecione o texto do cabeçalho da mensagem, copie e cole o texto em qualquer editor de texto e salve o
Arquivo
ÿ O número de cabeçalhos recebidos encontrados em uma mensagem de e-mail depende dos servidores de e-mail que processaram a mensagem conforme ela foi
viajou da origem ao destino
ÿ Os investigadores devem começar com o cabeçalho recebido mais abaixo (B), pois é o mais próximo da fonte e, em seguida, mover-se em direção ao topo
cabeçalhos (A)
ÿ Aqui, o cabeçalho B mostra o nome de domínio do qual a mensagem de e-mail se originou (sonic302-
19.consmr.mail.sg3.yahoo.com), o endereço IP associado (106.10.242.139) e a data e hora em PDT
08 Return-Path
endereço de e-mail do remetente e o endereço do caminho de retorno forem diferentes, isso geralmente indica falsificação de e-mail
09 Recebido-SPF
ÿ Sender Policy Framework ou SPF refere-se ao processo que permite às organizações mencionar servidores que podem
enviar e-mails em nome de seus domínios
ÿ Um cabeçalho de e-mail mostrando uma falha na verificação de SPF pode ajudar a detectar mensagens de spam
O campo "b=" inclui a assinatura DKIM que deve ser calculada de acordo com o campo de cabeçalho
mencionado no campo "h="
A análise de cabeçalhos de e-mail é um aspecto crucial das investigações de crimes por e-mail, pois eles armazenam
metadados de e-mail e outras informações. Os seguintes detalhes estão contidos nos cabeçalhos do e-mail:
1. Carimbo de data/hora
2. De
Este cabeçalho exibe o ID de e-mail do remetente conforme visto no final do destinatário. O cabeçalho “De” pode
ser falsificado no caso de e-mails de spam.
3. Para
4. ID da mensagem
Cada mensagem de e-mail tem um ID exclusivo associado a ela. Dois e-mails, mesmo na mesma cadeia de e-
mail, não podem ter o mesmo ID de mensagem. Esses IDs de mensagem são gerados pelo servidor MTA/mail
globalmente exclusivo do sistema de envio de email. O ID de mensagem exclusivo globalmente de uma mensagem
de e-mail é um indicador de sua autenticidade. A parte antes do “@” em um ID de mensagem denota o carimbo
de data/hora associado a essa mensagem de e-mail específica. A parte do ID da mensagem após “@” denota o
nome de domínio totalmente qualificado (FQDN), que mostra o nome de domínio completo de um host/servidor na
Internet.
5. Assunto
6. MIME
O Multi-Purpose Internet Mail Extension (MIME) permite que os usuários de e-mail enviem arquivos de mídia como
áudio, vídeo e imagens como parte da mensagem de e-mail
o MIME-Version: Este cabeçalho mostra que a mensagem está no formato MIME. Por padrão,
este cabeçalho é definido com um valor de 1,0.
o Content-Type: Este cabeçalho especifica o tipo de conteúdo e subtipo em uma mensagem como
como o seguinte:
o Disposição de Conteúdo: Este cabeçalho especifica como uma mensagem, ou parte de seu corpo, deve ser
apresentado
7. Cabeçalho Recebido
O cabeçalho recebido contém detalhes de todos os servidores de correio através dos quais uma mensagem de
e-mail passa enquanto está em trânsito. Esses cabeçalhos são gerados sempre que um e-mail é transmitido
por meio de um servidor de e-mail/MTA em sua rota para o destinatário.
Sempre que qualquer servidor SMTP recebe uma mensagem de e-mail, um cabeçalho recebido é adicionado
ao e-mail. No cabeçalho do e-mail, os cabeçalhos recebidos são colocados na ordem inversa, de modo que o
cabeçalho recebido mais recente ou o último gerado apareça primeiro (no topo marcado por A na figura abaixo)
e o cabeçalho recebido que foi gerado primeiro apareça por último (no fundo marcado por B na figura abaixo).
Portanto, os investigadores precisam começar a examinar o cabeçalho recebido mais abaixo, pois ele reflete
informações sobre o servidor de correio do remetente. Em seguida, eles podem prosseguir para o topo, que
fornecerá dados sobre o servidor de correio e o endereço IP associado ao destinatário.
Na figura abaixo, o cabeçalho B mostra o nome de domínio do qual a mensagem de e-mail se originou
(sonic302-19.consmr.mail.sg3.yahoo.com), o endereço IP associado (106.10.242.139) e a data e hora no
PDT.
8. Caminho de Retorno
Este cabeçalho é usado para especificar o endereço de e-mail para o qual uma mensagem de e-mail será
enviada/devolvida se não chegar ao destinatário pretendido. Quando um e-mail não chega ao destinatário
pretendido, ele é devolvido. Ou seja, ele é devolvido ao remetente do e-mail, a menos que o remetente
especifique um endereço de e-mail diferente para onde os e-mails devolvidos devem ser enviados. Se o
endereço do caminho de retorno e o endereço de e-mail do remetente forem diferentes, isso é um indicador
de spam/spoofing.
9. Recebido-SPF
O Sender Policy Framework (SPF) impede a falsificação do endereço do remetente. O SPF permite que as
organizações designem servidores que podem enviar e-mails em nome de seus domínios. A estrutura
implementa um registro SPF, que se refere a um registro DNS adicionado à zona DNS do domínio de uma
organização. Dentro do registro SPF, uma organização pode definir os nomes de host e/ou endereços IP
autorizados a enviar e-mails de seu domínio.
Por meio da implementação do SPF, os resultados das trocas de e-mail podem ser os seguintes.
o Received-SPF: None: significa que nenhum registro SPF foi encontrado para o domínio.
o Received-SPF: Neutro: significa que o endereço IP do remetente não está autorizado nem restrito a enviar
e-mails em nome do domínio da organização. Um resultado neutro é tratado da mesma maneira que um
resultado “Nenhum”.
o Received-SPF: Pass: Isso significa que o endereço IP do remetente está autorizado a enviar e-mails do
domínio.
o Received-SPF - fail, or hard fail: Isso significa que o e-mail foi rejeitado pelo trocador de e-mails do
destinatário porque o endereço IP do remetente não está autorizado a enviar e-mails do domínio. A falha
grave do SPF é executada adicionando um mecanismo “-all” a um registro SPF.
No exemplo acima, “-all' significa que os remetentes que não estão listados no registro DNS mencionado
(ou seja, 207.84.200.37) devem ser tratados como não autorizados e os e-mails deles devem ser rejeitados.
Apenas o endereço IP 207.84.200.37 está autorizado a enviar e-mails.
o Received-SPF: Softfail: Isso significa que existe a possibilidade de que os endereços IP possam ou não ter
autorização para enviar e-mails em nome do domínio mencionado.
No exemplo acima, o símbolo “~” indica que os e-mails provenientes de qualquer servidor não mencionado
aqui serão entregues, mas tratados como um softfail. Nesse caso, o provedor de caixa de correio marca a
mensagem como spam ou lixo eletrônico. Somente emails provenientes do Microsoft Office 365 serão
marcados como SPF PASS.
DomainKeys Identified Mail (DKIM) refere-se a um método de autenticação de e-mail que ajuda a proteger os
remetentes e destinatários de e-mails contra phishing, spoofing e spam.
A técnica verifica se a mensagem de e-mail recebida pelo destinatário foi enviada de um servidor de e-mail
legítimo. Esse método de autenticação de e-mail usa criptografia de chave pública para detectar e impedir a
entrega de e-mails maliciosos. Essa assinatura digital/DKIM é protegida por criptografia. O DKIM também
garante que os e-mails e seus conteúdos não sejam alterados durante o trânsito entre os servidores do
remetente e do destinatário. A maioria dos provedores de serviços de e-mail procura assinaturas DKIM em e-
mails.
O servidor de correio que recebe o e-mail pode validar a assinatura DKIM do remetente com a ajuda da chave
criptográfica pública registrada no DNS. O servidor de entrada usa essa chave pública para descriptografar a
assinatura (um valor de hash) e verificá-la com um valor de hash recém-calculado. Se os valores de dois hash
corresponderem, a mensagem será considerada autêntica e inalterada.
d=gmail.com; s=20161025pm;
h=mime-version:from:date:message-id:assunto:para;
bh=RqIJ8naev02DhEPJtlFAsdUqiGR7RyzmJ9cSxw5KzCY=;
b=BYQQZk7S77sJJef1WEXGyTmfb8sUF6S7W8wi93lhh7WthcGjc2lk/ NfpgqVpeXrhHP
Ujuv36G1DVe6TBzdHsjdDLzs4b3sATMSAZNZAEdA44Tm5ooGJbhBQ8iNjRgD7eYWeEPL
cF0U/ eBBU1Nteh9MOqxIBJYJ1ZHGB+dz9zyfsyQAiHik3Db1GLhXCvfYdkEWydjGN2CH
7/ IdO3IJccF5z5sVwPYDz69dCKmyl3IWckXU/ KU+xRVX4NjffZoWHBoxOK47H7YcJZye
lDIQ=
o v=1: Mostra a versão DKIM utilizada pelo servidor de envio, cujo valor é 1
o a=rsa-sha256: O campo “a=” indica o algoritmo hash utilizado para a geração da chave privada ou
pública. rsa-sha1 e rsa-sha256 são os dois algoritmos de assinatura oficialmente suportados para
gerar valores de hash para a chave privada/pública
o s=20161025pm: O campo “s=” refere-se ao seletor para identificar a chave DKIM pública
o b=: Contém a assinatura DKIM que deve ser calculada de acordo com o cabeçalho
campo fornecido no campo “h=”
https:// tools.verifyemailaddress.io
Um endereço de e-mail válido é aquele para o qual os e-mails podem ser enviados com sucesso. Pode autenticar a identidade
de uma pessoa ou entidade/organização. Se os investigadores forenses encontrarem um endereço de e-mail suspeito durante
a investigação do cabeçalho do e-mail, eles devem usar ferramentas online como “Dossiê de e-mail” para verificar a autenticidade
do endereço de e-mail.
ÿ Pasta de E-mail
Esta ferramenta fornece um campo para inserir um endereço de e-mail para que sua legitimidade possa ser verificada.
A ferramenta fornece informações sobre endereços de e-mail, que incluem registros de troca de correspondência. O
Dossiê de e-mail inicia sessões SMTP para verificar a aceitação de um endereço de e-mail, mas na verdade não envia
um e-mail. Quando um endereço de e-mail é válido/autêntico, a ferramenta fornece o resultado “3 – SMTP” no campo
“taxa de confiança”.
Algumas outras ferramentas para verificar a autenticidade dos endereços de e-mail são as seguintes:
ÿ Você pode ver que o campo SPF recebido abaixo está mostrando um softfail
que indica que o domínio de jose.regan@gmail.com ou o remetente não
permite que o IP do servidor 93.99.104.210 envie e-mails em seu nome
ÿ Esta falha de validação é um sinal de que a mensagem pode ter sido falsificada
Se um e-mail for identificado como suspeito, suas partes principais, incluindo o campo de assunto, o
corpo do e-mail, os cabeçalhos de e-mail, como os cabeçalhos recebidos, o Received-SPF e a ID da
mensagem, devem ser examinados minuciosamente para investigar e determinar se o e-mail for
malicioso ou forjado/falsificado.
Abaixo são apresentados alguns dos componentes que os investigadores devem examinar para entender
se uma mensagem de e-mail é genuína ou falsificada:
Ao examinar uma mensagem de e-mail suspeita, os investigadores devem seguir de perto o assunto,
o conteúdo do corpo e o anexo do e-mail para extrair dados de valor probatório. A captura de tela
abaixo mostra uma mensagem de e-mail cuja linha de assunto é escrita de maneira a criar um senso
de urgência no destinatário e, assim, manipular o leitor a clicar no e-mail para ler a mensagem.
Além disso, o corpo do e-mail contém um link para a página de login do Twitter. No entanto, passar
o ponteiro do mouse sobre o link fornecido revela um endereço IP (10.0.0.32) na parte inferior
esquerda da janela do e-mail que parece suspeito porque parece um endereço IP privado.
2. Verificando o link
Se algum link suspeito for encontrado no corpo do e-mail, o investigador pode examinar o link
abrindo-o em um ambiente forense controlado. A captura de tela abaixo mostra que o link,
uma vez clicado, redireciona para uma página da Web onde o navegador mostra “10.0.0.32/
explore” no espaço da URL, em vez da URL da página de login do Twitter.
A página aberta, no entanto, contém campos para nomes de usuário e senhas do Twitter. Se
o usuário de destino fornecer suas credenciais por engano, o invasor obterá uma impressão
em sua máquina de ataque.
Para encontrar informações sobre o servidor de correio, o endereço IP e o nome do host usado pelo
invasor/remetente, o investigador precisa examinar as entradas de cabeçalho recebidas no cabeçalho
do email. Detalhes sobre o nome do host, servidor de e-mail e endereço IP usados pelo invasor são
revelados no cabeçalho recebido na parte inferior.
A captura de tela acima reflete o conteúdo do cabeçalho recebido na parte inferior, que revela que a
mensagem de e-mail se originou de um site chamado emkei.cz com um endereço IP de 93.99.104.210.
O nome do site e o endereço IP mostrados devem levantar suspeitas, pois essas descobertas são fortes
indicadores de falsificação de e-mail.
Os investigadores podem estudar ainda mais o endereço IP obtido da entrada do cabeçalho recebido
no site whatismyipaddress.com. A captura de tela abaixo reconfirma que o endereço IP pertence ao
nome do host emkei.cz. Está associado a uma organização chamada Liberty Global, localizada na
República Tcheca, na Europa. Essas descobertas apontam ainda para falsificação de e-mail.
Os investigadores também devem examinar o campo de cabeçalho Received-SPF para verificar qualquer
falha de autenticação SPF.
A captura de tela abaixo mostra que o campo Received-SPF está exibindo um resultado “softfail”, o que
significa que o domínio de jose.regan@gmail.com (ID de e-mail do remetente conforme mostrado no e-
mail) não autorizou o endereço IP 93.99 .104.210 para enviar e-mails em seu nome.
Essa falha de autenticação é outro indicador de falsificação de uma mensagem de e-mail.
Assim que o ID do e-mail do remetente for obtido, o investigador deve usar o Dossiê de e-mail para verificar
se o endereço de e-mail do remetente mostrado na mensagem é autêntico.
A captura de tela abaixo foi tirada do Dossiê de e-mail, que mostra o endereço de e-mail válido. Com essa
descoberta, o investigador pode determinar que a conta de e-mail do usuário chamado Jose Regan pode
ter sido comprometida pelo invasor ou o ID foi obtido por meio de técnicas de engenharia social.
7. Examinando o ID da mensagem
A captura de tela abaixo destacando o ID da mensagem mostra que o nome de domínio totalmente
qualificado (FQDN) é refletido como "localhost" em vez de mail.gmail.com (que é o FQDN do Gmail).
Esta descoberta confirma a possibilidade de uma mensagem de e-mail ter sido falsificada/falsificada.
A recuperação de mensagens de e-mail excluídas depende do cliente de e-mail usado para enviar o e-mail
ÿ As mensagens excluídas da caixa de correio residem na ÿ Quando as mensagens de e-mail são excluídas no Outlook, elas
pasta Lixeira, até que a pasta Lixeira seja limpa são movidas para a pasta 'Itens Excluídos'
ÿ Algumas ferramentas forenses podem recuperar essas ÿ Se os e-mails forem excluídos dos Itens Excluídos
mensagens excluídas , dependendo de quanto tempo a pasta, eles irão para o espaço não alocado da unidade
recuperação é tentada
ÿ As mensagens de e-mail excluídas da seção Lixeira das ÿ As mensagens de e-mail excluídas podem ser recuperadas
Pastas locais podem ser completamente recuperadas se esse espaço não alocado não for substituído por
novos dados
Use a ferramenta Electronic Evidence Examiner da Paraben para recuperar e coletar mensagens de e-mail excluídas do Outlook e
Clientes de e-mail Thunderbird
O processo de recuperação de uma mensagem de e-mail excluída difere com base no cliente de e-mail usado para
enviar o e-mail:
No Outlook, as mensagens de e-mail, uma vez excluídas, são movidas para a pasta “Itens Excluídos”. Os e-
mails excluídos são armazenados na pasta “Itens Excluídos” por 14 dias (um período de retenção padrão que
pode ser modificado), após o qual as mensagens são excluídas automaticamente dessa pasta. Caso esses e-
mails excluídos também sejam removidos desta pasta, eles se tornam invisíveis para o usuário. No entanto,
eles não são totalmente excluídos, mas movidos para o espaço não alocado da unidade. As mensagens de e-
mail excluídas podem ser recuperadas se esse espaço não alocado não for substituído por novos dados.
Esses e-mails podem ser recuperados com ferramentas forenses, como o Electronic Evidence Examiner (E3)
da Paraben, caso ainda não tenham sido substituídos.
O Thunderbird armazena as mensagens de e-mail deletadas pelo usuário na pasta “Lixeira”. A pasta “Lixeira”
armazena as mensagens de e-mail excluídas até que sejam limpas. Ferramentas forenses, como o Electronic
Evidence Examiner (E3) da Paraben, podem recuperar essas mensagens de e-mail excluídas, dependendo
de quanto tempo a recuperação é tentada. Se qualquer mensagem de e-mail armazenada na pasta Lixeira
local do Thunderbird for excluída, sua recuperação completa é possível.
Investigadores forenses podem recuperar dados de e-mail excluídos permanentemente de arquivos .pst do Outlook e
Thunderbird usando ferramentas como o Electronic Evidence Examiner da Paraben. Aqui, dados de e-mail excluídos
permanentemente referem-se a mensagens de e-mail excluídas que foram excluídas ou perdidas do
Pasta “Itens Excluídos” no contexto do Outlook e para aqueles que foram excluídos ou perdidos da pasta “Lixeira”,
bem como da pasta “Lixeira Local” do Thunderbird.
O E3 é uma ferramenta abrangente de análise forense digital projetada para lidar com dados com mais
eficiência, ao mesmo tempo em que adere ao paradigma P2 da Paraben de foco especializado de todo o
processo de exame forense. A plataforma E3 usa a arquitetura de plug-in avançada da Paraben para criar
mecanismos especializados que examinam elementos como e-mail, e-mail de rede, logs de bate-papo, dados
móveis, sistemas de arquivos e análise de arquivos da Internet - ao mesmo tempo em que aumenta a
quantidade de dados que podem ser processados e utilizando recursos através de multi-threading e
agendamento de tarefas. O Electronic Evidence Examiner não é apenas acessível, mas também funciona de
forma eficaz com requisitos de hardware mais baixos.
Você pode ver o corpo do e-mail recuperado, os anexos e seus cabeçalhos RFC e usar as informações para análise
posterior
A captura de tela abaixo mostra a recuperação de duas mensagens de e-mail pelo Electronic Email
Examiner da Paraben que foram excluídas dos arquivos .pst locais do Outlook. Você pode ver o corpo do
e-mail recuperado, os anexos e seus cabeçalhos RFC e usar as informações para análise posterior.
Figura 11.31: Recuperação de mensagens de e-mail excluídas de arquivos .pst do Outlook no E3 da Paraben
Resumo do Módulo
Este módulo discutiu o sistema de e-mail
Por fim, este módulo terminou com uma discussão detalhada sobre a investigação de
crimes por e-mail e suas etapas
Resumo do Módulo
Este módulo discutiu o sistema de e-mail e os componentes envolvidos na comunicação por e-mail.
Além disso, discutiu em detalhes as partes de uma mensagem de e-mail. Por fim, este módulo apresentou uma discussão
detalhada sobre a investigação de crimes por e-mail e suas etapas.
MT
CE-Conselho
EC-Council
D FEDigital
Digital
Forensics Essentials
Princípios Forenses
Módulo 12
A n á l i s e F o r en s e d e M a l w a r e
Machine Translated by Google
Objetivos do módulo
Compreendendo o malware e as técnicas comuns que os invasores usam para
1 Espalhar malware
Objetivos do módulo
Atualmente, o software malicioso, comumente chamado de malware, é a ferramenta mais eficiente para comprometer a
segurança de um computador ou qualquer outro dispositivo eletrônico conectado à internet. Isso se tornou uma ameaça devido
ao rápido progresso em tecnologias como criptografia fácil e técnicas de ocultação de dados. O malware é a principal fonte de
vários ataques cibernéticos e ameaças à segurança da Internet; portanto, os analistas forenses de computador precisam ter
experiência para lidar com eles.
Este módulo discute detalhadamente os diferentes tipos de malware, como eles podem entrar no sistema e as diferentes
técnicas usadas pelos invasores para espalhar malware. Ele também descreve os fundamentos forenses de malware e
diferentes tipos de análise de malware que os investigadores podem realizar para examinar o código malicioso e determinar
como o malware interage com os recursos do sistema e a rede durante o tempo de execução. Este módulo inclui a análise de
documentos do Word suspeitos.
ÿ Definir malware e identificar as técnicas comuns que os invasores usam para espalhar malware
Módulo 12 Página 646 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Fluxo do módulo
01 02 03 04
Entenda o malware, seus Entenda o malware Executar Estático Analisar suspeito
componentes e Fundamentos Forenses e Análise de Malware Documentos do Word
Métodos de distribuição Reconhecer Tipos de
Análise de Malware
05 06 07
Desempenho Dinâmico Executar sistema Executar rede
Análise de Malware Análise do Comportamento Análise do Comportamento
Módulo 12 Página 647 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
02 Dispositivos removíveis
Introdução ao malware
Malware, uma forma abreviada de software malicioso, é um programa capaz de alterar as propriedades de um dispositivo ou
aplicativo de destino para fornecer controle limitado ou total do dispositivo ao seu criador. Um malware é útil quando uma
pessoa não autorizada deseja acessar ilegalmente um dispositivo bloqueado ou seguro.
Os programas de malware incluem vírus, worms, trojans, rootkits, adware, spyware, etc., que podem excluir arquivos, tornar
computadores lentos, roubar informações pessoais, enviar spam e cometer fraudes.
O malware pode executar várias atividades maliciosas, desde simples publicidade por e-mail até roubo complexo de identidade
e roubo de senha. Os programadores de malware desenvolvem e usam-no para:
Os invasores usam malware para quebrar a segurança cibernética. Portanto, é crucial que os analistas forenses tenham um
conhecimento sólido dos diferentes programas de malware: seu funcionamento, propagação, local de impacto, saída, juntamente
com diferentes métodos de detecção e análise.
Módulo 12 Página 648 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
As formas mais comuns de um invasor enviar um malware para um sistema são as seguintes:
Aplicativos de mensagens instantâneas (IM), como ICQ ou Yahoo Messenger, permitem a transferência de mensagens
de texto e arquivos. O malware pode se dispersar em um sistema por meio de arquivos recebidos durante a
transferência usando mensagens instantâneas. Os arquivos recebidos podem conter códigos ou programas altamente
maliciosos, pois os aplicativos de mensagens instantâneas não possuem um mecanismo de verificação adequado
para os arquivos transferidos.
O Internet Relay Chat (IRC), por outro lado, é um serviço de bate-papo que permite que vários usuários se
conectem e troquem dados e arquivos pela Internet. Malware, como trojans, usam o IRC como meio de
propagação. Os invasores renomeiam os arquivos Trojan como algo diferente para enganar a vítima e enviá-
los pelo IRC. Quando o usuário do IRC baixa e clica no arquivo, o Trojan executa e instala um programa
malicioso no sistema.
ÿ Dispositivos Removíveis
O malware pode se propagar por meio de mídia removível corrompida, como pen drives e CD-ROMs.
Quando um usuário conecta dispositivos de mídia corrompidos a um sistema de computador, o malware
também se espalha automaticamente para o sistema. CDs, DVDs e dispositivos de armazenamento USB,
como unidades flash ou discos rígidos externos, vêm com suporte para Autorun, que aciona certas ações
predeterminadas em um sistema ao conectar esses dispositivos. Os invasores exploram esse recurso para
executar malware junto com programas genuínos, colocando um arquivo Autorun.inf com o malware em um
CD/DVD ou USB.
ÿ E-mail e Anexos
Os invasores adotam uma técnica de envio em massa para enviar um grande número de mensagens de e-
mail, com o malware anexado como um arquivo ou embutido no próprio e-mail. Quando o usuário abre o e-
mail, o malware incorporado é instalado automaticamente no sistema e começa a se espalhar. Por outro lado,
um malware enviado como anexo exige que o usuário baixe e abra o arquivo anexado para que ele se torne
ativo e corrompa o sistema.
Alguns clientes de e-mail, como o Outlook Express, executam arquivos anexados automaticamente.
Os invasores também colocam links para sites maliciosos nos e-mails, juntamente com mensagens atraentes
que induzem a vítima a clicar no link. A maioria dos clientes da web detecta essas mensagens e as classifica
em categorias nocivas. Se o usuário clicar nesses links, o navegador navegará para um site prejudicial, que
pode baixar o malware no sistema sem o consentimento do usuário.
Os usuários não atualizam o software e os aplicativos instalados em seu sistema. Esses elementos de um
sistema vêm com várias vulnerabilidades, que os invasores aproveitam para corromper o sistema usando um
malware.
Um navegador desatualizado pode não ser capaz de identificar se um usuário mal-intencionado está visitando
um site malicioso e não pode impedir que o site copie ou instale programas no site do usuário
Módulo 12 Página 649 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
computador. Às vezes, uma visita a um site malicioso pode infectar automaticamente a máquina sem baixar
ou executar qualquer programa.
Os invasores usam redes Bluetooth e Wi-Fi abertas para atrair usuários para se conectar a ela. Essas redes
abertas têm dispositivos de software e hardware instalados no nível do roteador que podem capturar o
tráfego de rede e os pacotes de dados e encontrar outros detalhes da conta, incluindo nomes de usuário e
senhas.
ÿ Downloads de Arquivos
Os invasores mascaram arquivos e aplicativos maliciosos com ícones e nomes de aplicativos caros ou
famosos. Eles colocam esses aplicativos em sites e os tornam disponíveis para download gratuitamente para
atrair vítimas. Além disso, eles criam os sites de forma que o programa gratuito afirma ter recursos como um
catálogo de endereços, acesso para verificar várias contas POP3 e outras funções para atrair muitos usuários.
Se um usuário baixar esses programas, rotulá-los como confiáveis e executá-los, um software de proteção
pode não verificar o novo software em busca de conteúdo malicioso. Esse malware pode solicitar e-mail,
senhas de contas POP3, senhas em cache e pressionamentos de tecla para os invasores por e-mail
secretamente.
Às vezes, funcionários insatisfeitos de uma empresa criam um pacote de software aparentemente legítimo
com malware e o colocam na rede interna da empresa.
Quando outros funcionários acessam esses arquivos e tentam baixá-los e executá-los, o malware compromete
o sistema e também pode causar perdas intelectuais e financeiras.
Além do software falso, o intruso também pode construir outros arquivos falsos, como tocadores de música,
arquivos, filmes, jogos, cartões comemorativos, protetores de tela, etc.
Se os usuários compartilharem uma rede comum com portas abertas, o malware poderá se propagar de um
sistema corrompido para outros sistemas por meio de arquivos e pastas compartilhados.
Módulo 12 Página 650 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Componentes de malware
Os componentes de um software malicioso dependem dos requisitos do autor do malware, que o projeta para um
alvo específico para executar as tarefas pretendidas
criptografar Um tipo de software que disfarça o malware como um produto legítimo por meio de criptografia ou ofuscação, protegendo-o assim da detecção por programas de segurança
Um tipo de Trojan que baixa outro malware da Internet para o PC. Normalmente, os invasores instalam o software downloader quando obtêm acesso a um sistema pela primeira vez
Downloader
conta-gotas Um tipo de cavalo de Tróia que instala outros arquivos de malware no sistema a partir do pacote de malware ou da Internet
Explorar Um código malicioso que viola a segurança do sistema por meio de vulnerabilidades de software para acessar informações ou instalar malware
injetor Um programa que injeta seu código em outros processos em execução vulneráveis e altera a forma de execução para ocultar ou impedir sua remoção
Obfuscator Um programa que oculta seu código e a finalidade pretendida por meio de várias técnicas, tornando difícil para os mecanismos de segurança detectá-lo ou removê-lo
embalador Um programa que permite agrupar todos os arquivos em um único arquivo executável por meio de compactação para contornar a detecção de software de segurança
Carga útil Um pedaço de software que permite controlar um sistema de computador depois de ter sido explorado
Código malicioso Um comando que define as funcionalidades básicas do malware, como roubar dados e criar um backdoor
Um grupo de malware que não grava nenhum arquivo no disco e usa apenas ferramentas aprovadas do Windows para instalação e execução, contornando programas de segurança e
Malware sem arquivo
processos de lista branca de aplicativos
Componentes de malware
Os autores e invasores de malware criam malware usando os componentes que podem ajudá-los a atingir seus objetivos.
Eles podem usar malware para roubar informações, excluir dados, alterar configurações do sistema, fornecer acesso ou
simplesmente multiplicar e ocupar espaço. O malware é capaz de se propagar e funcionar secretamente. Alguns
componentes básicos da maioria dos programas de malware são os seguintes:
ÿ Criptografar
Refere-se a um programa de software que pode ocultar a existência de um malware. Os invasores usam esse
software para iludir a detecção de antivírus. O criptografador criptografa o arquivo malicioso em um malware ou
o próprio malware inteiro para evitar a detecção.
ÿ Descarregador
É um tipo de Trojan que baixa outro malware (ou) código malicioso e arquivos da Internet para o PC.
Normalmente, os invasores instalam um downloader quando obtêm acesso a um sistema pela primeira vez.
ÿ Conta- gotas
Os invasores precisam instalar o programa de malware ou código no sistema para executá-lo, e esse programa
pode executar a tarefa de instalação de forma oculta. O conta-gotas pode conter código de malware não
identificável que os scanners antivírus não podem detectar e pode baixar arquivos adicionais
necessários para executar o malware em um sistema de destino.
ÿ Explorar
É uma parte do malware que contém um código ou sequência de comandos para tirar proveito de um bug ou
vulnerabilidade em um sistema ou dispositivo digital.
Módulo 12 Página 651 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Os invasores usam esse código para violar a segurança do sistema por meio de vulnerabilidades de software
para acessar informações ou instalar malware. Com base no tipo de vulnerabilidade de que abusam, os exploits
têm diferentes categorias, incluindo exploits locais e exploits remotos.
ÿ Injector
É um programa que injeta as explorações ou códigos maliciosos disponíveis no malware em outros processos
vulneráveis em execução e altera a forma de execução para ocultar ou impedir sua remoção.
ÿ Obfuscador
É um programa que oculta o código malicioso de um malware por meio de várias técnicas, dificultando a
detecção ou remoção pelos mecanismos de segurança.
ÿ Empacotador
É um software que comprime o arquivo de malware para converter o código e os dados do malware em um
formato ilegível. Os empacotadores utilizam técnicas de compactação para compactar o malware.
ÿ Carga útil
É uma parte do malware que executa uma atividade desejada quando ativado. O Payload pode ter a tendência
de excluir ou modificar arquivos, afetando assim o desempenho do sistema, abrindo portas, alterando
configurações etc. como parte do comprometimento da segurança.
ÿ Código Malicioso
É um trecho de código que define a funcionalidade básica do malware e compreende comandos que resultam
em brechas de segurança. Pode assumir várias formas como:
o Miniaplicativos Java
o Controles ActiveX
o Plug-ins do navegador
o Conteúdo enviado
Como o nome sugere, esse tipo de malware não usa nenhum arquivo para infectar um sistema. Existem
diferentes variantes deste grupo de malware. Alguns malwares sem arquivo podem vir empacotados como
firmware do dispositivo e residir na memória, o que os ajuda a serem executados mesmo após a formatação
do disco, reinstalação do sistema operacional e reinicialização do sistema.
Os invasores também usam recursos integrados do Windows e aplicativos autorizados, como PowerShell,
prompt de comando e Windows Management Instrumentation, para instalar e executar esse malware em
qualquer sistema. Assim, esse ataque malicioso sem arquivo pode facilmente ignorar os processos de lista
branca de aplicativos, pois usa apenas aplicativos aprovados. A ausência de qualquer arquivo físico também
permite que os invasores escapem dos programas de segurança e continuem o ataque.
Módulo 12 Página 652 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
comprometido
ÿ Hospedagem de sites de malware embutidos que se espalham para visitantes desavisados
Sites legítimos
ÿ Roubar credenciais de conta de domínio por meio de phishing para criar vários subdomínios
Sombreamento de domínio
que direcionam o tráfego para páginas de destino que hospedam um kit de exploração
Engenharia social
ÿ Enganar os usuários para que cliquem em páginas da Web de aparência inocente
roubo de cliques
Sites de Spear Phishing ÿ Imitar instituições legítimas na tentativa de roubar credenciais de login
ÿ Vírus que exploram falhas em um software de navegador para instalar malware apenas
Transferências automáticas
visitando uma página da web
ÿ Malware sendo executado automaticamente quando o usuário passa o ponteiro do mouse sobre
Mouse pairando
qualquer texto ou imagem com hiperlink em uma apresentação de slides maliciosa do PowerPoint
http:// www.sophos.com
Técnicas comuns que os invasores usam para distribuir malware pela Web
Algumas das técnicas comuns usadas para distribuir malware na web são as seguintes:
O Blackhat SEO (também conhecido como SEO antiético) usa táticas agressivas de SEO, como preenchimento de
palavras-chave, páginas de entrada, troca de páginas e adição de palavras-chave não relacionadas para obter uma
classificação mais alta do mecanismo de pesquisa para suas páginas de malware.
Os invasores injetam malware em sites de aparência legítima para induzir os usuários a clicar neles.
Quando clicado, o malware embutido no link é executado sem o conhecimento do usuário
ou consentimento.
A técnica ajuda o invasor a imitar instituições legítimas, como bancos, para roubar senhas, dados
de cartões de crédito e contas bancárias e outras informações confidenciais.
ÿ Malvertising
Frequentemente, os invasores usam sites comprometidos para infectar sistemas com malware.
Quando um usuário não suspeito visita o site comprometido, o malware se instala secretamente no
sistema do usuário e, posteriormente, realiza atividades maliciosas.
Módulo 12 Página 653 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Downloads Drive-by
Refere-se ao download não intencional de software pela Internet. Aqui, um invasor explora as falhas em um
software de navegador para instalar malware simplesmente visitando uma página da web.
ÿ Sombreamento de Domínio
Isso se refere a uma técnica na qual os invasores obtêm acesso às credenciais da conta do domínio por meio
de phishing e criam várias camadas de subdomínios para realizar atividades maliciosas, como redirecionar os
usuários para páginas de destino que oferecem explorações. Esses subdomínios, que direcionam o tráfego
para servidores maliciosos, estão associados a domínios confiáveis e não afetam de forma alguma o
funcionamento de seus domínios pais. Além disso, os subdomínios vinculados a um único domínio são
rapidamente rotacionados pelos invasores, o que dificulta bastante sua detecção.
ÿ Mouse pairando
Essa é uma técnica relativamente nova e exclusiva usada por invasores para infectar sistemas com malware.
Os invasores enviam e-mails de spam para os usuários-alvo, juntamente com um anexo de arquivo do Microsoft
PowerPoint com extensão .PPSX ou .PPS. Quando os usuários baixam e abrem o arquivo malicioso, eles, sem
saber, permitem que o malware seja executado em seus sistemas. O malware é executado automaticamente
com a simples ação de os usuários passarem o ponteiro do mouse sobre qualquer texto ou foto com hiperlink
dentro do arquivo malicioso.
Módulo 12 Página 654 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Fluxo do módulo
01 02 03 04
Entenda o malware, seus Entenda o malware Executar Estático Analisar suspeito
componentes e Fundamentos Forenses e Análise de Malware Documentos do Word
Métodos de distribuição Reconhecer Tipos de
Análise de Malware
05 06 07
Desempenho Dinâmico Executar sistema Executar rede
Análise de Malware Análise do Comportamento Análise do Comportamento
Módulo 12 Página 655 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Você pode usar um conjunto de ferramentas e técnicas para realizar análises estáticas e
análises dinâmicas (em tempo de execução) do código malicioso
Frequentemente, os invasores usam malware como vírus, worm, trojan, spyware e ransomware para cometer um
crime no sistema de destino pretendido. Um malware pode infligir perdas intelectuais e financeiras ao alvo, que pode
ser um indivíduo, um grupo de pessoas ou uma organização. A pior parte é que ele se espalha de um sistema para
outro com facilidade e discrição.
A análise forense de malware é o método de encontrar, analisar e investigar várias propriedades de malware para
encontrar os culpados e o motivo por trás do ataque. O processo também inclui tarefas como encontrar o código
malicioso e determinar sua entrada, método de propagação, impacto no sistema, portas que ele tenta usar, etc. Os
investigadores forenses usam um conjunto de ferramentas e técnicas para realizar análises estáticas e dinâmicas
(executar -time) análise do código malicioso.
Módulo 12 Página 656 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Alguns dos objetivos básicos por trás da análise de um programa malicioso incluem:
Algumas das perguntas de negócios mais comuns respondidas pela análise de malware são as seguintes:
ÿ Qual é a intenção do malware?
ÿ Como passou?
Módulo 12 Página 657 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Módulo 12 Página 658 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Você pode usar ferramentas, como Balbuzard e Cryptam Malware Document Detection Suite, para extrair padrões de arquivos maliciosos para investigação
Você pode realizar análises estáticas e dinâmicas juntas para identificar a intenção e os recursos do malware
Quando os investigadores obtêm relatórios de atividades suspeitas das vítimas, eles devem realizar um exame completo
dos sistemas suspeitos, redes e outros dispositivos conectados para encontrar vestígios de malware. Os investigadores
devem examinar as seguintes áreas do sistema comprometido para encontrar vestígios de instalação de malware:
Os programas de malware exibem propriedades específicas, que podem ajudar os investigadores a identificá-los ou
distingui-los dos programas de software normais. Os investigadores podem usar ferramentas de software e hardware,
bem como ferramentas online e bancos de dados para identificar o malware.
Os investigadores podem usar ferramentas como Balbuzard, Cryptam Malware Document Detection Suite, etc., para
extrair padrões de interesse investigativo de arquivos maliciosos. Essas ferramentas oferecem varredura automatizada
do sistema em busca de vestígios de malware para facilitar a identificação. Os investigadores podem realizar análises
estáticas e dinâmicas em conjunto para identificar a intenção e os recursos do malware. A análise estática é o processo
de procurar vestígios e valores conhecidos que indiquem a presença de um malware. Esses vestígios incluem a presença
de códigos maliciosos, strings, executáveis, etc. no programa de software. A análise dinâmica usa uma abordagem
diferente, como a verificação do comportamento do programa de software durante sua execução em um ambiente
controlado.
Módulo 12 Página 659 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Proeminência do cenário
Subir um Controlado
Laboratório de Análise de Malware
ÿ Geralmente, a análise de malware é realizada infectando um sistema com um código malicioso e, em seguida, avaliando seu comportamento usando um conjunto de
ferramentas de monitoramento
ÿ Portanto, é necessário um sistema de laboratório dedicado que possa ser infectado enquanto mantém o ambiente de produção seguro ÿ A melhor maneira de
ÿ Usando um sistema físico isolado da rede de produção para evitar a propagação de malware ÿ Usando software de virtualização
como Virtualbox, VMware, Parallels, etc. (para configurar um único sistema físico com várias VMs instaladas nele, cada
executando um sistema operacional diferente)
Fácil de analisar a interação de malware com outros sistemas Capacidade de tirar instantâneos do sistema de laboratório, que podem
2 4 ser usados para reverter facilmente para um estado anterior do sistema
Um laboratório controlado de análise de malware é fundamental para avaliar o padrão comportamental de um malware,
pois os programas de malware são dinâmicos por natureza e interagirão com várias partes do sistema, bem como com
a rede, quando executados. Os investigadores devem criar um ambiente onde possam executar o malware sem
interromper ou corromper outros dispositivos.
Isso requer um sistema de laboratório para que o ambiente de produção seja seguro. A maneira mais eficaz de
configurar esse laboratório envolve o uso de software de virtualização, que permite aos investigadores hospedar vários
sistemas virtuais executando diferentes sistemas operacionais em um único computador. Alguns softwares comumente
usados para simular sistemas em tempo real em um ambiente virtual incluem:
ÿ VirtualBox
Um malware se conecta a redes e outros sistemas para roubar dados, obter instruções do invasor ou copiar a si mesmo.
Os pesquisadores podem usar várias máquinas virtuais interconectadas em um único computador físico para analisar o
comportamento do malware em sistemas conectados e aprender sobre seus métodos de propagação, bem como outras
características.
Os investigadores devem tomar precauções, como isolar o laboratório de análise de malware da rede de produção
usando um firewall para inibir a propagação de malware. Pode-se usar mídia removível, principalmente DVDs, para
instalar ferramentas e malware. Os DVDs suportam principalmente o formato somente leitura de transferência de dados
e impedem que softwares mal-intencionados gravem ou se copiem no DVD.
Módulo 12 Página 660 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Os investigadores também podem usar uma chave USB protegida contra gravação. O uso de um laboratório de análise de
malware também permite que os investigadores realizem a captura de tela durante a análise. Além disso, permite que eles
tirem instantâneos do sistema de laboratório, que podem ser usados para reverter facilmente a um estado anterior do sistema.
Módulo 12 Página 661 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Instalar máquina virtual (VMware, Hyper-V, Simular serviços de internet usando Gerar valor de hash de cada sistema operacional
2 etc.) no sistema
5 ferramentas como INetSim 8 e ferramenta
A análise de malware fornece uma compreensão aprofundada de cada amostra individual e identifica tendências técnicas emergentes de
uma grande coleção de amostras de malware. As amostras de malware são em sua maioria compatíveis com executáveis binários do
Windows. Existem diferentes objetivos por trás da realização de uma análise de malware.
É muito perigoso analisar malware em dispositivos de produção conectados a redes de produção. Portanto, deve-se sempre analisar
amostras de malware em um ambiente de teste.
ÿ Instalação de sistemas operacionais convidados nas máquinas virtuais, como Windows e Linux (Ubuntu), que
servir como estações de trabalho forenses
ÿ Isolar o sistema da rede, garantindo que a placa NIC esteja no modo “somente host”
ÿ Copiar o malware recolhido das máquinas suspeitas para as estações de trabalho forenses
Módulo 12 Página 662 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Ferramenta de imagem: Para obter uma imagem limpa para forense e acusação
ÿ Analisadores de log: Os dispositivos sob ataque registram as atividades de malware e geram log
arquivos. Analisadores de log são usados para extrair arquivos de log
Módulo 12 Página 663 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Hipervisores
ÿ Caixa Virtual
O VirtualBox é um poderoso produto de virtualização x86 e AMD64/Intel64 para uso corporativo e doméstico.
Atualmente, o VirtualBox é executado em hosts Windows, Linux, Macintosh e Solaris e oferece suporte a um
grande número de sistemas operacionais convidados, incluindo, entre outros, Windows (NT 4.0, 2000, XP,
Server 2003, Vista, Windows 7, Windows 8, Windows 10 ), DOS/Windows 3.x, Linux (2.4, 2.6, 3.xe 4.x),
Solaris e OpenSolaris, OS/2 e OpenBSD.
ÿ Parallels Desktop 16
Ele ajuda a desenvolver e testar em vários sistemas operacionais em uma máquina virtual para Mac. Ele
também permite acessar o Microsoft Office para Windows e o Internet Explorer de um sistema MAC e importar
arquivos, aplicativos e muito mais de um PC para um Mac.
Sphere Hypervisor é um hypervisor bare-metal que virtualiza servidores. Ele vem com gerenciamento de VM
integrado, alocação de armazenamento escalável e recursos de proteção de driver.
Módulo 12 Página 664 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ NetSim
O NetSim é um simulador e emulador de rede de ponta a ponta, pilha completa e nível de pacote. Ele vem com
um ambiente de desenvolvimento de tecnologia para modelagem de protocolo, P&D de rede e comunicações
militares.
ÿ ns-3
O ns-3 é um simulador de rede de eventos discretos para sistemas de Internet, voltado principalmente para
pesquisa e uso educacional. ns-3 é um software livre, licenciado sob a licença GNU GPLv2, e está disponível
publicamente para pesquisa, desenvolvimento e uso.
ÿ Modelador Riverbed
O Riverbed Modeler fornece um ambiente de desenvolvimento para modelar e analisar redes de comunicação e
sistemas distribuídos. Ele ajuda a simular todos os tipos e tecnologias de rede (incluindo VoIP, TCP, OSPFv3,
MPLS, LTE, WLAN, protocolos IoT, IPv6 e mais) para analisar e comparar os impactos de diferentes designs de
tecnologia no comportamento de ponta a ponta.
ÿ QualNet
O software de simulação de rede QualNet® (QualNet) é uma ferramenta de planejamento, teste e treinamento
que “imita” o comportamento de redes de comunicação reais. Ele permite que os usuários simulem o
comportamento de redes de comunicação complexas e de grande escala.
ÿ Snagit
É um software de captura e gravação de tela que permite aos usuários capturar a tela rapidamente, adicionar
contexto adicional e compartilhá-los como imagem, vídeo ou GIF. Ele pode ser usado para marcar capturas de
tela, aparar vídeos ou para modelos que ajudam a criar instruções e guias visuais.
ÿ Camtasia
É um gravador de tela e editor de vídeo que ajuda a gravar qualquer coisa na tela do computador – sites,
software, videochamadas ou apresentações em PowerPoint. Possui um editor de arrastar e soltar que permite
adicionar, remover, recortar ou mover seções de vídeo ou áudio.
Módulo 12 Página 665 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Ezvid
Ezvid é um editor de vídeo e gravador de tela completo que vem com recursos de gravação de voz, facecam,
síntese de voz, desenho de tela e controle de velocidade. Permite desenhar diretamente na tela ou gravar
uma região da tela conforme os requisitos. Está disponível para Windows XP3, 7, 8 e 10.
Essa ferramenta usa quatro tipos de backups: completo, incremental, diferencial e espelhado. O backup pode
ser feito em qualquer mídia, como local, externo, FTP/FTPS, Amazon S3, rede, CD, DVD e Blu-ray. Esta
ferramenta está disponível para Windows XP, Vista, 7, 8 e 10.
O Macrium Reflect Server Edition vem com um conjunto completo de recursos que fornece restaurações
completas de imagens ou arquivos e pastas. Ele é projetado para backup de endpoint de servidores críticos
para os negócios em um ambiente comercial.
ÿ Imagem R-Drive
R-Drive Image é um utilitário que facilita a criação de arquivos de imagem de disco para backup ou duplicação
propósitos.
ÿ O&O DiskImage 16
O&O DiskImage 16 permite fazer backup de um computador inteiro ou de arquivos individuais, mesmo enquanto o
computador está sendo usado. Ele permite que os usuários executem uma restauração do sistema e dupliquem ou
clonem um PC ou disco rígido inteiro.
Módulo 12 Página 666 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Durante a análise de malware, os investigadores devem prestar mais atenção aos principais recursos de um malware
e não devem tentar observar todos os detalhes, pois o malware é dinâmico e pode alterar suas propriedades. Em
seções difíceis e complexas, os investigadores devem tentar obter uma visão geral.
Os investigadores devem experimentar ferramentas e abordagens diferentes, pois elas produzem resultados diferentes
em situações diferentes. Embora várias ferramentas e técnicas tenham funcionalidades semelhantes, uma abordagem
diferente ou um ângulo diferente pode fornecer um resultado diferente.
À medida que os investigadores adotam novas técnicas de análise de malware, os autores e invasores de malware
também tentam encontrar novas técnicas de evasão para impedir a análise. Os investigadores devem ser capazes de
identificar, entender e derrotar essas técnicas de aversão.
Módulo 12 Página 667 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Tipos de malware
Análise
A análise de malware pode ser categorizada em dois tipos: análise estática ou análise dinâmica. Ambas as
abordagens demonstram a funcionalidade do malware suspeito que está sendo examinado; no entanto, as
ferramentas, o tempo e as habilidades necessárias para realizar a análise são diferentes.
1. Análise estática: É uma análise básica do código binário e compreensão do malware que explica suas
funções. A análise comportamental ou análise dinâmica lida com o estudo do comportamento do malware
durante a instalação, na execução e durante a execução.
Um escrutínio estático geral envolve a análise de um malware sem executar o código ou as instruções. O
processo inclui o uso de diferentes ferramentas e técnicas para determinar a parte maliciosa do programa
ou arquivo. Ele também reúne informações sobre a funcionalidade do malware e coleta indicadores técnicos
ou assinaturas simples que gera.
Esses ponteiros incluem nomes de arquivo, somas de verificação MD5 ou hashes, tipos de arquivo e tamanhos de arquivo.
Desmontadores como o IDA Pro podem ser usados para desmontar o arquivo binário.
2. Análise dinâmica: envolve a execução de um malware para examinar sua conduta e impacto nos recursos
do sistema e na rede. Ele identifica assinaturas técnicas que confirmam uma intenção maliciosa e revela
várias informações úteis, como nomes de domínio, locais de caminho de arquivo, chaves de registro
criadas, endereços IP, arquivos adicionais, arquivos de instalação, DLLs e arquivos vinculados localizados
no sistema ou na rede.
Esse tipo de análise requer máquinas virtuais e sandboxes para impedir a disseminação de malware.
Depuradores como GDB, OllyDbg, WinDbg, etc., são usados para depurar um malware no momento de
sua execução para estudar seu comportamento.
Ambas as técnicas são recomendadas para entender melhor a funcionalidade de um malware, mas diferem nas
ferramentas usadas, no tempo e nas habilidades necessárias para realizar a análise.
Módulo 12 Página 668 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Fluxo do módulo
01 02 03 04
Entenda o malware, seus Entenda o malware Executar Estático Analisar suspeito
componentes e Fundamentos Forenses e Análise de Malware Documentos do Word
Métodos de distribuição Reconhecer Tipos de
Análise de Malware
05 06 07
Desempenho Dinâmico Executar sistema Executar rede
Análise de Malware Análise do Comportamento Análise do Comportamento
Módulo 12 Página 669 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Carregue o código binário no sistema de teste (de preferência o sistema operacional no qual o malware não foi projetado para ser executado) para analisar suas propriedades estáticas
ÿ Algumas das propriedades estáticas do código binário a serem examinadas incluem strings embutidas no arquivo, detalhes do cabeçalho, hashes, recursos embutidos, assinaturas
do empacotador, metadados, etc.
Desmontagem de malware
A análise estática envolve o processo de acessar o código-fonte ou o código binário para encontrar as estruturas de
dados, chamadas de função, gráficos de chamada, etc. que podem representar malícia. Os investigadores podem
usar várias ferramentas para analisar o código binário para entender sua arquitetura de arquivo e impacto no sistema.
Compilar o código-fonte de um sistema em um executável binário resultará em perdas de dados, dificultando a análise
do código.
O procedimento para examinar um determinado binário sem sua execução é principalmente manual e requer a
extração de dados intrigantes, como estruturas de dados, funções utilizadas e gráficos de chamada do arquivo
malicioso. Algumas das propriedades estáticas do código binário a serem examinadas incluem strings incorporadas
ao arquivo, detalhes de cabeçalho, hashes, recursos incorporados, assinaturas de empacotador, metadados, etc.
Ele examina os elementos evidentes do código binário, que inclui processos em nível de documento. Este
processo inclui o cálculo de hashes criptográficos do código binário para reconhecer sua função e compará-
lo com outros códigos binários e programas de cenários anteriores.
Depois que o valor de hash de um arquivo suspeito é gerado, os investigadores podem compará-lo com
bancos de dados de malware on-line para encontrar o código malicioso reconhecido. Esse processo simplifica
uma investigação mais aprofundada, oferecendo uma visão melhor do código, sua funcionalidade e outros
detalhes importantes.
Módulo 12 Página 670 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Os programas de software incluem algumas strings que são comandos para executar funções específicas.
Várias strings existentes podem representar a intenção maliciosa de um programa, como ler a memória interna
ou dados de cookies, etc. embutidos no código binário compilado. Os investigadores podem procurar essas
sequências incorporadas para tirar conclusões sobre o arquivo suspeito.
Os invasores usam empacotamento e ofuscação usando uma estrutura confusa ou um empacotador para
evitar a detecção. Os investigadores devem descobrir se o arquivo inclui elementos compactados e localizar a
ferramenta ou método usado para compactar.
O formato PE armazena as informações exigidas por um sistema Windows para gerenciar o código executável.
O PE armazena metadados sobre o programa, o que ajuda a encontrar os detalhes adicionais do arquivo,
como o número exclusivo em sistemas UNIX para localizar o tipo de arquivo e dividir as informações do formato
do arquivo.
Por exemplo, o binário do Windows está no formato PE e consiste em informações como tempo de criação e
modificação, funções de importação e exportação, tempo de compilação, DLLs, arquivos vinculados, juntamente
com strings, menus e símbolos.
Qualquer programa de software depende de várias bibliotecas embutidas de um sistema operacional para
executar ações específicas em um sistema. Os investigadores precisam encontrar as bibliotecas e dependências
de arquivo, pois elas contêm informações sobre os requisitos de tempo de execução de um aplicativo.
ÿ Desmontagem de Malware
A análise estática também inclui a desmontagem de um determinado executável em formato binário para
estudar suas funcionalidades e recursos. Esse processo ajudará os investigadores a encontrar a linguagem
usada para programar o malware, procurar APIs que revelem sua função etc. Esse processo usa ferramentas
de depuração como OllyDbg e IDAPro.
Módulo 12 Página 671 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
1 Recomenda-se calcular o valor de hash para um determinado código binário antes de realizar a investigação
2 Calculadoras de hash comuns incluem HashTab, HashMyFiles, HashCalc, md5sum, md5deep, etc.
3 Você pode usar o valor de hash calculado para verificar periodicamente se alguma alteração é feita no código binário
durante a análise
https:// www.nirsoft.net
impressão digital de arquivos é um método de prevenção contra perda de dados usado para identificar e rastrear
dados em uma rede. O processo envolve a criação de cadeias de texto mais curtas para os arquivos chamados
valores de hash. Valores de hash exclusivos ou impressões digitais são desenvolvidos usando vários algoritmos
criptográficos que utilizam dados como strings, metadados, tamanho e outras informações.
Essas impressões digitais ajudam os investigadores a reconhecer arquivos sensíveis ao rastreamento e a identificar
programas semelhantes em um banco de dados. A impressão digital geralmente não funciona para determinados
tipos de registro, incluindo arquivos criptografados ou protegidos por senha, imagens, áudio e vídeo, que têm conteúdo
diferente de uma impressão digital predefinida. O Message-Digest Algorithm 5 (MD5) é a função de hash mais
comumente usada para análise de malware. Os investigadores podem usar ferramentas como HashTab, HashMyFiles,
HashCalc, md5sum, md5deep, etc. para criar uma impressão digital do arquivo suspeito como parte da análise
estática.
ÿ HashMyFiles
Módulo 12 Página 672 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
https:// www.virustotal.com
Os investigadores podem escanear o código binário usando ferramentas de análise de malware online. Se o código
em análise for um componente de um malware conhecido, ele já pode ter sido descoberto e documentado por muitos
fornecedores de antivírus. A documentação desse malware pode fornecer informações importantes, como recursos
de código e modus operandi dos ataques que ele realizou.
O VirusTotal é um desses sites que possui os recursos mencionados acima.
ÿ VirusTotal
O VirusTotal gera um relatório que fornece o número total de mecanismos que marcaram o arquivo como
malicioso, o nome do malware e informações adicionais sobre o malware, se disponível. Ele também
oferece detalhes importantes da análise de arquivos online, como a máquina de destino, registro de data e
hora de compilação, tipo de arquivo, processadores compatíveis, ponto de entrada, seções PE, bibliotecas
de links de dados (DLLs), recursos PE usados, valores de hash diferentes, IP endereços acessados ou
contidos no arquivo, código do programa e tipos de conexões estabelecidas.
Módulo 12 Página 673 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Módulo 12 Página 674 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Observação: as strings podem ser enganosas ou fazer com que você ative uma espécie de pote de mel reverso https:// www.nirsoft.net
Strings comunicam informações do programa para seu usuário. Pesquisar nas strings pode fornecer informações sobre
a funcionalidade básica de qualquer programa.
Durante a análise de malware, os investigadores procuram a string maliciosa comum que pode determinar ações
prejudiciais que um programa pode executar. Por exemplo, se o programa acessar uma URL, ele terá essa string de
URL armazenada nela. Os investigadores devem estar atentos ao procurar strings e também procurar as strings
incorporadas e criptografadas no arquivo suspeito, como strings de atualização de status e strings de erro.
Como investigador forense, você pode usar ferramentas como Strings, ResourcesExtract, Bintext e Hex Workshop para
extrair todos os tipos de strings de arquivos executáveis. Certifique-se de que a ferramenta também pode digitalizar e
exibir strings ASCII e Unicode.
Algumas ferramentas têm a capacidade de extrair todas as strings e copiá-las para um arquivo de texto ou documento.
Use essas ferramentas e copie as strings para um arquivo de texto para facilitar a pesquisa de strings maliciosas.
ÿ Extrato de Recursos
ResourcesExtract é um pequeno utilitário que verifica arquivos dll/ocx/exe e extrai todos os recursos (bitmaps,
ícones, cursores, filmes AVI, arquivos HTML e mais...) armazenados neles na pasta que você especificar.
Você pode usar essa ferramenta no modo de interface do usuário ou, como alternativa, pode executá-la no
modo de linha de comando sem exibir nenhuma interface do usuário.
O ResourcesExtract não requer nenhum processo de instalação ou arquivos DLL adicionais. Na janela principal
da ferramenta, você pode escolher um único nome de arquivo para verificar ou vários nomes de arquivo
usando curinga. Na 'Pasta de destino', digite a pasta que você deseja extrair o
Módulo 12 Página 675 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
arquivos de recursos em. Depois de selecionar todas as outras opções, clique no botão 'Iniciar'
para extrair os recursos.
Módulo 12 Página 676 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Os invasores geralmente usam compactadores para compactar, criptografar ou modificar um arquivo executável de malware.
Isso complica a tarefa dos engenheiros reversos em encontrar a lógica real do programa e outros metadados por meio de
análise estática. A ofuscação também oculta a execução dos programas. Quando o usuário executa um programa
compactado, ele também executa um pequeno programa wrapper para descompactar o arquivo compactado e, em seguida,
executar o arquivo descompactado.
Os investigadores podem usar ferramentas como o PEiD para descobrir se o arquivo contém programas compactados ou código ofuscado.
Esta ferramenta também exibe o tipo de empacotador usado no empacotamento do programa. Detalhes adicionais exibidos
por ele incluem ponto de entrada, deslocamento de arquivo, seção EP e subsistema usado para empacotamento. Encontrar
o compactador facilitará a tarefa de selecionar uma ferramenta para descompactar o código.
ÿ PEiD
O PEiD detecta os empacotadores, criptografadores e compiladores mais comuns para arquivos PE. Atualmente,
ele pode detectar mais de 600 assinaturas diferentes em arquivos PE. Existem 3 modos de digitalização diferentes
e únicos no PEiD:
o Normal Mode
Como qualquer outro identificador, este modo varre os arquivos PE em seu ponto de entrada para todas as
assinaturas documentadas.
o Modo Profundo
Este modo verifica a seção contendo o ponto de entrada do arquivo PE para todas as assinaturas
documentadas. Isso garante a detecção de cerca de 80% dos arquivos modificados e embaralhados.
Módulo 12 Página 677 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
o Modo Hardcore
Isso faz uma verificação completa de todo o arquivo PE para as assinaturas documentadas. Você deve usar
este modo como uma última opção, pois as assinaturas pequenas tendem a ocorrer muito em muitos
arquivos e, portanto, saídas errôneas podem resultar.
Recursos
o Plugin Interface com plugins como Generic OEP Finder e Krypto ANALyzer.
Módulo 12 Página 678 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Bibliotecas vinculadas
O formato Portable Executable (PE) armazena as informações necessárias para instalar e executar qualquer programa
executável em um sistema operacional Windows.
O formato PE contém um cabeçalho e seções, que armazenam metadados sobre o arquivo e o mapeamento de código
em um sistema operacional. Os investigadores podem usar as informações do cabeçalho para coletar detalhes adicionais
de um arquivo ou programa. PE de um arquivo contém as seguintes seções:
ÿ .rdata: Contém informações de importação e exportação, bem como outros dados somente leitura usados por
o programa
ÿ .data: Contém os dados globais do programa, que o sistema pode acessar de qualquer lugar
Os investigadores podem usar ferramentas de análise de PE, como Pestudio, PEview, PE Explorer, Dependency Walker,
etc., para coletar as seguintes informações:
ÿ Exportações: denotam funções no malware que outros programas ou bibliotecas chamam enquanto
corrida
Módulo 12 Página 679 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Seções: Mostra os nomes de todas as seções em um arquivo junto com seus tamanhos em disco e em
memória
Lavandaria
O objetivo do pestudio é detectar artefatos de arquivos executáveis para facilitar e acelerar a avaliação inicial de
malware. A ferramenta é usada por equipes de Resposta a Emergências de Computadores (CERT), Centros de
Operações de Segurança (SOC) e Laboratórios em todo o mundo.
Recursos
Módulo 12 Página 680 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Você pode usar ferramentas como Dependency Walker, que lista todos os
módulos dependentes dentro do arquivo executável
http:// www.dependencywalker.com
As dependências de arquivos contêm informações sobre os arquivos internos do sistema de que o programa precisa para
funcionar corretamente, o processo de registro e a localização na máquina. Os investigadores precisam verificar se
podem encontrar e examinar esses arquivos, pois eles podem fornecer informações sobre malware em um arquivo. As
dependências de arquivo incluem bibliotecas vinculadas, funções e chamadas de função.
Um investigador deve conhecer as várias DLLs usadas para carregar e executar um programa, pois elas podem permitir
que eles adivinhem o que um malware pode fazer após a execução. Por exemplo, os programas armazenam as funções
de importação e exportação no arquivo kernel32.dll.
Módulo 12 Página 681 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Os investigadores devem procurar DLLs com nomes diferentes ou com erros ortográficos, ou funções das DLLs para
identificar DLLs maliciosas. Os investigadores podem usar ferramentas como o Dependency Walker para esse
propósito.
ÿ Andador de Dependência
Esta ferramenta lista todos os módulos dependentes dentro de um arquivo executável e constrói um diagrama
de árvore hierárquico. Também registra todas as funções exportadas e chamadas por cada módulo. A
ferramenta GUI também pode detectar muitos problemas comuns de aplicativos, como os seguintes:
o Incompatibilidades de importação/exportação
Ele pode processar qualquer módulo Windows de 32 ou 64 bits, incluindo os projetados para Windows CE.
Ele pode ser executado como um aplicativo gráfico ou como um aplicativo de console.
Dependency Walker lida com todos os tipos de dependências de módulo, incluindo implícito, explícito
(dinâmico/tempo de execução), encaminhado, carregado com atraso e injetado.
Módulo 12 Página 682 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Desmontar um malware é uma parte importante da análise estática de malware. Nesse processo, os investigadores usam
uma variedade de ferramentas, como o IDA Pro, para analisar as instruções do código de montagem para entender o que o
malware foi projetado para fazer e as vulnerabilidades que ele pode explorar. Isso permite que os investigadores formulem
soluções destinadas a impedir a propagação de malware.
Ferramentas de dublagem como OllyDbg podem ajudar os investigadores a revisar todas as strings incorporadas em um
arquivo PE e examinar as funções importadas.
ÿ OllyDbg
OllyDbg é um depurador de análise de nível de montador de 32 bits para Microsoft Windows. A ênfase na análise
de código binário o torna particularmente útil nos casos em que a fonte não está disponível.
Depois que a amostra de malware suspeito for carregada no OllyDbg, ela mostrará mnemônicos do montador,
opcodes e endereços virtuais. Os investigadores podem definir pontos de interrupção e executar o código para ver
como o malware funciona. Também é possível modificar o fluxo de execução de um arquivo de malware com
OllyDbg.
Recursos
o Análise de código - rastreia registros, reconhece procedimentos, loops, chamadas de API, switches,
tabelas, constantes e strings
Módulo 12 Página 683 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Módulo 12 Página 684 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Fluxo do módulo
01 02 03 04
Entenda o malware, seus Entenda o malware Executar Estático Analisar suspeito
componentes e Fundamentos Forenses e Análise de Malware Documentos do Word
Métodos de distribuição Reconhecer Tipos de
Análise de Malware
05 06 07
Desempenho Dinâmico Executar sistema Executar rede
Análise de Malware Análise do Comportamento Análise do Comportamento
Módulo 12 Página 685 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Para usar o oleid, abra um novo terminal na estação de trabalho linux (Ubuntu)
e digite oleid '<caminho para o documento suspeito>'
ÿ Aqui, a análise revelou que o documento do Word chamado infect_doc contém macros VBA
Módulo 12 Página 686 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Analisando EM Suspeita
Documento de escritório (continuação)
Despejando Fluxos de Macro
Módulo 12 Página 687 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Como primeira etapa, você deve analisar o documento suspeito do Office com uma ferramenta baseada em
python chamada oleid para revisar todos os componentes que podem ser rotulados como suspeitos/maliciosos.
É uma ferramenta usada para examinar arquivos OLE.
Para usar oleid, execute o comando oleid '<caminho para o documento suspeito>' na estação de trabalho
Linux. A captura de tela abaixo mostra que o documento do Word suspeito chamado infectado_doc contém
macros VBA.
Módulo 12 Página 688 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
A próxima etapa é analisar o documento suspeito do Office com oledump para identificar os fluxos que
contêm macros. Execute o comando python oledump.py '<caminho para o documento suspeito>'.
Isso solicitaria que a ferramenta mostrasse a estrutura do documento suspeito, incluindo todos os fluxos.
Se algum fluxo no documento contiver macros, o oledump colocará um M maiúsculo ao lado dele para
identificação. Neste documento do Word, conforme ilustrado na captura de tela abaixo, o fluxo 8 foi
identificado para armazenar códigos de macro maliciosos.
Figura 12.10: Usando a ferramenta oledump para procurar fluxos de macro suspeitos
Módulo 12 Página 689 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Agora, extraia o conteúdo de qualquer fluxo de macro específico com oledump executando o
seguinte comando: python oledump.py -s <número do fluxo> <caminho para o documento
suspeito>.
Aqui, o argumento -s define o número do stream que você deseja visualizar. A captura de tela
abaixo mostra o código de macro armazenado no fluxo 8 do documento do Word.
Figura 12.11: Usando a ferramenta oledump para despejar o conteúdo de fluxos de macro suspeitos
Para usar olevba, execute o seguinte comando: olevba '<caminho para o documento suspeito>'.
Isso os ajudará a revisar os códigos-fonte de todas as macros VBA, detectar se o documento
contém macros autoexecutáveis/strings ofuscadas e identificar quaisquer indicadores de
comprometimento (IOCs), como nomes de arquivos, endereços IP e URLs.
As capturas de tela abaixo mostram a análise do arquivo infectado_doc por olevba, que mostra
que ele contém macros autoexecutáveis que possuem shellcode e strings ofuscadas com Base64
e dridex.
Após a execução, essas macros podem baixar arquivos maliciosos denominados test.exe e
sfjozjero.exe da Internet e armazená-los no diretório temporário do sistema comprometido.
Módulo 12 Página 690 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Figura 12.12: Usando a ferramenta olevba para identificar palavras-chave VBA suspeitas
Figura 12.13: Usando a ferramenta olevba para identificar palavras-chave VBA suspeitas
Módulo 12 Página 691 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Fluxo do módulo
01 02 03 04
Entenda o malware, seus Entenda o malware Executar Estático Analisar suspeito
componentes e Fundamentos Forenses e Análise de Malware Documentos do Word
Métodos de distribuição Reconhecer Tipos de
Análise de Malware
05 06 07
Desempenho Dinâmico Executar sistema Executar rede
Análise de Malware Análise do Comportamento Análise do Comportamento
Módulo 12 Página 692 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Os investigadores usam a análise dinâmica para coletar informações valiosas sobre atividades de malware, incluindo arquivos
e pastas criados, portas e URLs acessados, chamadas de funções e bibliotecas, aplicativos e ferramentas acessados,
informações transferidas, configurações modificadas e processos e serviços iniciados pelo malware. Um investigador deve
projetar e configurar o ambiente para realizar a análise dinâmica de forma que o malware não possa se propagar para a rede de
produção e o sistema de teste possa retornar a um período de tempo previamente definido caso algo dê errado durante o teste.
A análise dinâmica de malware pode ser realizada de duas maneiras:
Nessa abordagem, os investigadores monitoram as atividades maliciosas do espécime enquanto ele é executado no
sistema. Observar o malware em um ambiente de tempo de execução permite que os investigadores vejam como ele
interage com o sistema e a rede em tempo real, o que os ajuda a detectar sua funcionalidade e finalidade reais.
Módulo 12 Página 693 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Instale ferramentas que irão capturar as alterações realizadas pelo malware nos recursos do sistema,
4 como registro, sistema de arquivos, processos, etc., bem como nas propriedades da rede
Como a análise dinâmica de malware requer a execução de um malware, você precisa criar um ambiente de teste
adequado mais adequado para essa finalidade. O procedimento para preparar um testbed para análise dinâmica de
malware é fornecido abaixo:
ÿ Crie uma nova linha de base de estações de trabalho Windows e Linux, que deve incluir
detalhes do sistema de arquivos, registro, processos em execução, arquivos de log de eventos, etc.
ÿ Você pode comparar esse estado de linha de base com o estado do sistema após a execução do malware.
Isso ajudará a entender as alterações que o malware fez no sistema.
ÿ
Liste todos os drivers de dispositivo, serviços do Windows e programas de inicialização
ÿ Instalar as ferramentas que seriam usadas para capturar as alterações realizadas pelo malware nas propriedades
de rede e outros recursos do sistema, como sistema de arquivos, registro e
processos
ÿ Execute o malware que foi coletado das máquinas suspeitas nas estações de trabalho forenses e inicie o
monitoramento
Módulo 12 Página 694 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Para monitorar a integridade do host, os investigadores devem obter um instantâneo do estado de linha de base da
estação de trabalho forense antes da execução do malware.
Após o estabelecimento da linha de base, que já foi feita para a estação de trabalho Windows como parte da preparação
de pré-execução, os investigadores precisam fazer o seguinte:
ÿ Execute o malware na estação de trabalho do Windows por um determinado período e leve um segundo
instantâneo da estação de trabalho
ÿ Compare o segundo instantâneo com a linha de base para detectar as alterações feitas no
propriedades do sistema pelo malware, como sistemas de arquivos e chaves de registro
Os investigadores podem usar ferramentas como o WhatChanged Portable que permite a captura e comparação dos
estados do sistema antes e depois da execução do malware. Ele procura por arquivos modificados e entradas de
registro e os lista em formato de arquivo de texto. A ferramenta deve ser executada em segundo plano enquanto o
malware está sendo executado na estação de trabalho para registrar as alterações no sistema de arquivos e no registro.
ÿ WhatChanged Portátil
WhatChanged é um utilitário de sistema que procura arquivos modificados e entradas de registro. É útil para
verificar as instalações do programa. O WhatChanged Portable pode ser executado a partir de uma pasta na
nuvem, unidade externa ou pasta local sem instalar no Windows. WhatChanged usa o 'método de força bruta'
para verificar arquivos e o registro.
Módulo 12 Página 695 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Módulo 12 Página 696 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Refere-se à execução do malware na estação de trabalho forense e observação de suas operações em tempo real para
entender sua intenção e funcionalidade
ÿ Você pode aprender sobre as características comportamentais do malware monitorando suas atividades no sistema e o
rede
ÿ A análise do comportamento do malware em tempo de execução pode ser feita de duas maneiras: análise do comportamento do sistema e análise do comportamento da rede
ÿ Envolve o monitoramento das alterações nos recursos do ÿ Envolve o rastreamento das atividades de nível de rede do
sistema operacional durante a execução do malware. malware . A análise do comportamento da rede inclui:
A análise do comportamento do sistema inclui:
A observação do comportamento em tempo de execução de uma amostra de malware refere-se à execução do malware na estação de trabalho
forense e à observação de suas operações em tempo real para entender sua intenção e funcionalidade.
A execução do malware nas estações de trabalho forenses permite que os investigadores observem em tempo real como o malware se
descompacta, as operações maliciosas que executa no registro, nos arquivos do sistema e nos recursos do kernel e se tenta estabelecer qualquer
Isso permite que os investigadores detectem e entendam as características comportamentais do malware sob exame. Eles podem registrar e
coletar informações em tempo real sobre o comportamento dinâmico de diferentes tipos de amostras de malware, o que pode ser muito útil na
Envolve monitorar as alterações nos recursos do sistema operacional após a execução do malware. A análise do comportamento do
sistema inclui o monitoramento das alterações nos seguintes componentes do sistema após a execução do malware:
o Processos de monitoramento
Módulo 12 Página 697 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Envolve o rastreamento das atividades de nível de rede do malware. A análise do comportamento da rede inclui o monitoramento
das seguintes propriedades de rede:
o Monitoramento de Endereços IP
Módulo 12 Página 698 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Fluxo do módulo
01 02 03 04
Entenda o malware, seus Entenda o malware Executar Estático Analisar suspeito
componentes e Fundamentos Forenses e Análise de Malware Documentos do Word
Métodos de distribuição Reconhecer Tipos de
Análise de Malware
05 06 07
Desempenho Dinâmico Executar sistema Executar rede
Análise de Malware Análise do Comportamento Análise do Comportamento
Esta seção descreve como analisar vários componentes do sistema e rastrear alterações maliciosas durante a
análise dinâmica de malware.
Módulo 12 Página 699 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
O registro do Windows armazena os detalhes de configuração do sistema operacional e do programa, como configurações e
opções. Se o malware for um programa, o registro armazena sua funcionalidade. O malware manipula o registro para garantir
que ele seja executado automaticamente sempre que um computador ou dispositivo for inicializado ou um usuário fizer login.
Os investigadores forenses podem executar o malware em uma estação de trabalho forense do Windows e observar como ele
interage com os arquivos de registro do sistema, particularmente as chaves e valores do registro que são criados, modificados
ou excluídos por ele.
Os investigadores podem examinar locais de registro específicos enquanto realizam uma análise de tempo de execução do
malware para saber mais sobre sua funcionalidade. O monitoramento das chaves de registro do AutoStart pode ser bastante
útil, pois esses são os locais mais comuns visados por malware.
Módulo 12 Página 700 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Executar/Executar uma vez
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
Chaves
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
As chaves AutoStart no registro do Windows, que permitem que os programas sejam executados automaticamente na
reinicialização do sistema ou no login do usuário, são os locais mais comuns visados por malware para obter persistência em
qualquer máquina comprometida.
Algumas das chaves de registro do Windows AutoStart visadas por programas maliciosos são discutidas abaixo:
ÿ Teclas Run/RunOnce
O malware geralmente modifica as chaves de registro mencionadas abaixo para continuar em execução no sistema
sempre que o usuário fizer login:
o HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
o HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
Um programa malicioso também pode modificar as seguintes chaves relacionadas ao sistema:
o HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
o HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
o HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policie
s\Explorer\Run
ÿ Teclas de Inicialização
Os autores de malware também tentam colocar seu arquivo executável malicioso no diretório de inicialização do
sistema comprometido e criar uma entrada de atalho no local apontado pela subchave Startup, que é definida para
executar o serviço automaticamente em cada logon/reinicialização.
Módulo 12 Página 701 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
o HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
\Pastas do shell do usuário, inicialização
Módulo 12 Página 702 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Depois que o malware é executado em uma estação de trabalho forense do Windows, os investigadores podem examinar os
locais de registro do AutoStart por meio de ferramentas como o Regripper para ver se ele segue algum mecanismo de persistência.
A captura de tela abaixo mostra o comando usado para analisar o conteúdo da chave de registro AutoStart do arquivo
NTUSER.dat de um usuário específico (neste cenário, Robert) para um arquivo de texto chamado Output.txt via Regripper após
a execução do malware. O NTUSER.dat é um arquivo de log de registro que armazena configurações e preferências específicas
para qualquer conta de usuário.
Figura 12.16: Comando usado para analisar o arquivo NTUSER.dat de um usuário específico usando o Regripper
A análise dos valores da chave de registro AutoStart mostra uma entrada adicionada à chave Run na seção
HKEY_CURRENT_USER pelo malware em tempo de execução. O malware anexou um arquivo de script VB persistente na
chave Run para ser executado automaticamente no login do usuário:
Módulo 12 Página 703 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ RegRipper
RegRipper é uma ferramenta de código aberto, escrita em Perl, para extrair/analisar informações (chaves,
valores, dados) do Registro e apresentá-las para análise.
O RegRipper consiste em duas ferramentas básicas, ambas com recursos semelhantes. A GUI do RegRipper
permite que o analista selecione um hive para analisar, um arquivo de saída para os resultados e um perfil
(lista de plug-ins) para executar no hive. Ele também inclui uma ferramenta de linha de comando (CLI) chamada
rip. Rip pode ser apontado para uma seção e pode executar um perfil (uma lista de plug-ins) ou um plug-in
individual nessa seção, com os resultados sendo enviados para STDOUT.
Essa ferramenta é executada por meio de plug-ins que são scripts Perl individuais, cada um executando uma
função específica. Os plug-ins podem localizar chaves específicas e listar todas as subchaves, bem como
valores e dados, ou podem localizar valores específicos.
Módulo 12 Página 704 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Alguns malwares também usam PEs Process Monitor mostra o sistema de arquivos em tempo real,
Monitor de processo
Registro e atividade de processo/thread
(Executável Portátil) para se
injetar em vários processos (como
explorer.exe ou navegadores da
web)
https:// docs.microsoft.com
Alguns malwares também usam PEs (Portable Executable) para se injetar em vários processos (como explorer.exe ou
navegadores da web). Os investigadores devem realizar o monitoramento do processo, pois isso os ajudará a entender
os processos iniciados e controlados por um malware após a execução.
Eles também devem observar os processos filho, identificadores associados, bibliotecas carregadas e funções para
definir a natureza de um arquivo ou programa, coletar informações sobre os processos em execução antes da execução
do malware e compará-los com os processos em execução após a execução. Este método reduzirá o tempo necessário
para analisar os processos e facilitará a identificação de todos os processos iniciados pelo malware.
ÿ Monitor de Processos
Process Monitor é uma ferramenta de monitoramento para Windows que mostra sistema de arquivos em
tempo real, registro e atividade de processo/thread. Ele combina os recursos de dois utilitários Sysinternals,
Filemon e Regmon, e adiciona aprimoramentos, incluindo filtragem avançada e não destrutiva, propriedades
abrangentes de eventos, como IDs de sessão e nomes de usuário, informações confiáveis sobre o processo,
pilhas completas de threads com suporte a símbolos integrados para cada operação, registrar em um arquivo
e muito mais. Seus recursos exclusivos e poderosos farão do Process Monitor um utilitário essencial no kit de
ferramentas de solução de problemas e caça a malware do sistema.
o Filtros não destrutivos permitem que você defina filtros sem perder dados
Módulo 12 Página 705 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
o Captura de pilhas de threads para cada operação torna possível em muitos casos identificar
a causa raiz de uma operação
o Captura confiável de detalhes do processo, incluindo caminho da imagem, linha de comando e usuário e
IDs de sessão
o Os filtros podem ser definidos para qualquer campo de dados, incluindo campos não configurados como colunas
o Ferramenta de árvore de processo mostra a relação entre todos os processos referenciados em um rastreamento
o O formato de log nativo preserva todos os dados para carregamento em uma instância diferente do Process Monitor
o Dica de ferramenta do processo para facilitar a visualização das informações da imagem do processo
o A dica de ferramenta de detalhes permite acesso conveniente a dados formatados que não cabem no
coluna
o Pesquisa cancelável
Módulo 12 Página 706 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Esta ferramenta pode ajudar a rastrear serviços maliciosos iniciados pelo Serviço do Windows
malware. Ele pode criar serviços sem reiniciar o Windows, excluir serviços Gerente
existentes e alterar a configuração do serviço. (SrvMan)
Os invasores projetam malware e outros códigos maliciosos de forma a serem instalados e executados em um dispositivo de
computador na forma de um serviço. Um malware pode gerar serviços do Windows que permitem que os invasores controlem
remotamente a máquina da vítima e passem instruções maliciosas ou apliquem técnicas de rootkit para manipular as chaves de
registro HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services e evitar a detecção.
Como muitos serviços do Windows são executados em segundo plano para dar suporte a processos e aplicativos, os serviços
mal-intencionados ficam invisíveis mesmo quando executam atividades nocivas no sistema e podem funcionar mesmo sem
qualquer intervenção ou entrada.
Esses serviços maliciosos são executados como uma conta SYSTEM ou outras contas privilegiadas, que fornecem mais acesso
do que as contas de usuário. Isso os torna mais perigosos do que um malware comum e código executável. Os invasores também
tentam enganar os usuários e os investigadores, nomeando os serviços maliciosos com nomes semelhantes aos dos serviços
genuínos do Windows para evitar a detecção.
Os investigadores precisam rastrear os serviços maliciosos iniciados por um malware durante a análise de tempo de execução
usando ferramentas que podem detectar alterações nos serviços. Os investigadores podem usar ferramentas como o Windows
Service Manager para essa finalidade.
Windows Service Manager é uma pequena ferramenta que simplifica todas as tarefas comuns relacionadas aos serviços
do Windows. Ele pode criar serviços (Win32 e Legacy Driver) sem reiniciar o Windows, excluir serviços existentes e
alterar a configuração do serviço.
Módulo 12 Página 707 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Possui modos GUI e linha de comando. Ele também pode ser usado para executar aplicativos Win32 arbitrários
como serviços (quando esse serviço é interrompido, a janela principal do aplicativo é fechada automaticamente).
Recursos:
o Permite instalar e executar serviços de driver herdados em uma única chamada de linha de comando
Você pode usar a interface de linha de comando do SrvMan para executar as seguintes tarefas:
o Criação de serviços
Use a seguinte linha de comando para criar serviços usando SrvMan (os parâmetros entre colchetes são
opcionais):
o Excluindo serviços
o Iniciar/parar/reiniciar serviços
Normalmente, SrvMan aguarda o início do serviço. No entanto, se você especificar o parâmetro /nowait,
SrvMan retornará o controle imediatamente após a emissão da solicitação de início/parada. A seguir estão
alguns comandos para iniciar/parar/reiniciar serviços usando SrvMan:
Módulo 12 Página 708 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Módulo 12 Página 709 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
O malware pode alterar as configurações do sistema e se adicionar ao menu de inicialização para realizar atividades maliciosas
sempre que o sistema for iniciado
carregados automaticamente
ÿ C:\Windows\System32\drivers
ÿ C:\ProgramData\Microsoft\Windows\Menu Iniciar\Programas\Inicialização
ÿ C:\Users\<UserName>\AppData\Roaming\Microsoft\Windows\Start
Menu\Programas\Inicialização
Vários cavalos de Tróia e malware podem alterar as configurações do sistema e se adicionar ao menu de inicialização
para executar atividades maliciosas continuamente sempre que o sistema é iniciado. Portanto, os investigadores devem
monitorar minuciosamente os programas de inicialização enquanto detectam cavalos de Tróia. Abaixo estão as maneiras
de detectar cavalos de Tróia ocultos em um sistema suspeito:
Verifique boot.ini
Verifique as entradas boot.ini ou bcd (bootmgr) usando o prompt de comando. Abra o prompt de comando como
administrador, digite bcdedit e pressione o botão enter para visualizar todas as entradas do gerenciador de inicialização.
Módulo 12 Página 710 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Para encontrar o processo de inicialização, os investigadores podem verificar a lista de serviços do Windows para ver os
serviços que iniciam automaticamente quando o sistema inicializa. Para verificar os serviços do Windows, os investigadores
podem navegar até Executar ÿ Digite services.msc ÿ Classificar por tipo de inicialização
Figura 12.21: Janela Serviços mostrando informações sobre serviços em um sistema local
As pastas de inicialização armazenam os aplicativos ou atalhos de aplicativos que iniciam automaticamente quando o
sistema inicializa. Para verificar os aplicativos de inicialização, pesquise os seguintes locais no Windows 10:
ÿ C:\ProgramData\Microsoft\Windows\Menu Iniciar\Programas\Inicialização
ÿ C:\Users\(UserName)\AppData\Roaming\Microsoft\Windows\StartMenu\P rograms\Startup
2. Digite shell:startup na caixa e clique no botão OK para navegar até a pasta de inicialização
Módulo 12 Página 711 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Autoruns para Windows exibe programas configurados para serem executados automaticamente durante o login
do usuário ou inicialização do sistema e pode ajudar a detectar programas e processos de inicialização suspeitos
https:// docs.microsoft.com
Este utilitário mostra quais programas estão configurados para serem executados durante a inicialização ou login do
sistema e quando você inicia vários aplicativos integrados do Windows, como Internet Explorer, Explorer e reprodutores
de mídia. Esses programas e drivers incluem aqueles na pasta de inicialização e em Run, RunOnce e outras chaves
de registro. Autoruns relata extensões de shell do Explorer, barras de ferramentas, objetos auxiliares do navegador,
notificações de Winlogon, serviços AutoStart e muito mais.
Execute o Autoruns e ele mostra os aplicativos AutoStart atualmente configurados, bem como toda a lista de locais de
registro e sistema de arquivos disponíveis para configuração do AutoStart. Os locais de início automático exibidos pelo
Autoruns incluem entradas de logon, complementos do Explorer, complementos do Internet Explorer, incluindo objetos
auxiliares do navegador (BHOs), Appinit DLLs, seqüestros de imagem, imagens de execução de inicialização,
notificação de Winlogon DLLs, Windows Services e Winsock Layered Service Providers, codecs de mídia e muito
mais . Alterne as guias para ver os inícios automáticos de diferentes categorias.
Uso do Autorunsc
Sintaxe:
autorunsc [-a <*|bdeghiklmoprsw>] [-c|-ct] [-h] [-m] [-s] [-u] [-vt] [[- z ] | [do utilizador]]]
Módulo 12 Página 712 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Parâmetros:
-uma
Seleção de entrada de início automático
*
Todo
B Executar inicialização
D DLLs do Appinit
E
Extras do Explorer
H Sequestros de imagem
EU
k DLLs conhecidas
eu
Inicializações de logon (este é o padrão)
M entradas WMI
O codecs
T Tarefas agendadas
No Entradas de logon
Se a verificação do VirusTotal estiver ativada, mostra os arquivos que são desconhecidos pelo VirusTotal ou têm
-no
detecção diferente de zero, caso contrário, mostra apenas os arquivos não assinados
Consulte o VirusTotal em busca de malware com base no hash do arquivo. Adicione 'r' para abrir relatórios de
arquivos com detecção diferente de zero. Os arquivos relatados como não verificados anteriormente serão carregados
-v[rs]
no VirusTotal se a opção 's' for especificada. Nota Os resultados da varredura podem não estar disponíveis por cinco
ou mais minutos.
Antes de usar os recursos do VirusTotal, você deve aceitar os termos de serviço do VirusTotal. Se você não aceitou
-vt os termos e omitiu esta opção, você será questionado interativamente.
-com
Especifica o sistema Windows offline a ser verificado.
Especifica o nome da conta de usuário para a qual os itens de execução automática serão exibidos. Especificamos
Do utilizador
“*”
para verificar todos os perfis de usuário
Módulo 12 Página 713 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Figura 12.23: Autoruns para Windows mostrando modificações na chave de registro de inicialização automática e na pasta de inicialização por malware
Módulo 12 Página 714 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Execute o malware no
Estação de trabalho forense do Windows e
monitorar os eventos desencadeados por
sua execução e operações
A análise dos logs de eventos, que armazenam um registro detalhado de todas as atividades realizadas no sistema operacional
Windows com base nas políticas de auditoria executadas, pode fornecer aos investigadores forenses informações valiosas
enquanto procuram sinais de um ataque de malware em um sistema específico.
Os logs de eventos podem ser encontrados na pasta C:\Windows\System32\winevt\Logs em todas as edições do sistema
operacional Windows e são armazenados com a extensão.etvx.
Depois de executar o malware na estação de trabalho forense do Windows, os investigadores podem monitorar os eventos
acionados por suas atividades por meio do utilitário integrado Visualizador de eventos do Windows. Eles podem examinar esses
eventos em tempo real com base em detalhes específicos, como ID do evento, nome do evento, descrição do evento etc., para
extrair dados sobre como o malware está interagindo com os recursos do sistema e usá-los para análise posterior.
Módulo 12 Página 715 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Módulo 12 Página 716 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
http:// www.rohitab.com
ÿ evan.html
ÿ avril.html
ÿ nemo.html
Interfaces de programação de aplicativos (APIs) são partes do sistema operacional Windows que permitem que aplicativos
externos acessem informações do sistema operacional, como sistemas de arquivos, threads, erros, registro, kernel, botões,
ponteiro do mouse, serviços de rede, web e internet. Os programas de malware também usam essas APIs para acessar as
informações do sistema operacional.
Módulo 12 Página 717 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Os investigadores precisam reunir as APIs relacionadas a programas de malware e analisá-las para revelar sua
interação com o sistema operacional, bem como as atividades que estão realizando no sistema. Eles podem
usar ferramentas como API Monitor para realizar a análise.
O exame das chamadas de API, conforme mostrado nas capturas de tela abaixo, feitas por uma amostra de malware
durante a execução por meio da ferramenta API Monitor revela o seguinte:
ou evan.html
o avril.html
o nemo.html
Módulo 12 Página 718 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Monitor de API
O API Monitor é um software gratuito que permite monitorar e controlar chamadas de API feitas por aplicativos e
serviços. Essa ferramenta ajuda a visualizar como os aplicativos e serviços funcionam ou a rastrear problemas nos
aplicativos.
Recursos
ÿ Suporte de 64 bits
O API Monitor oferece suporte ao monitoramento de aplicativos e serviços de 64 bits. A versão de 64 bits só
pode ser usada para monitorar aplicativos de 64 bits e a versão de 32 bits só pode ser usada para monitorar
aplicativos de 32 bits. Para monitorar um aplicativo de 32 bits no Windows de 64 bits, você deve usar a versão
de 32 bits. Observe que o instalador de 64 bits do API Monitor inclui ambos
Versões de 64 bits e 32 bits.
A janela Resumo exibe informações sobre a chamada de API. Isso inclui o ID do encadeamento e o nome da
DLL que fez a chamada de API, a chamada de API realçada pela sintaxe com todos os parâmetros e o valor
de retorno. Se a chamada da API falhar, as informações sobre o erro também serão exibidas.
O API Monitor vem com definições de API para mais de 13.000 APIs de quase 200 DLLs e mais de 17.000
métodos de mais de 1.300 interfaces COM (Shell, navegador da web, DirectShow, DirectSound, DirectX,
Direct2D, DirectWrite, Windows Imaging Component, Debugger Engine, MAPI, etc.) . As APIs são organizadas
em categorias e subcategorias (conforme especificado no MSDN). O filtro API Capture permite selecionar APIs
para monitoramento.
O API Monitor pode decodificar e exibir 2.000 estruturas e uniões diferentes, mais de 1.000 tipos de dados
enumerados e mais de 800 sinalizadores. Buffers e arrays dentro de estruturas também podem ser visualizados.
ÿ Visualização do Buffer
API Monitor pode exibir buffers de entrada e saída. A quantidade de dados exibidos é calculada automaticamente
a partir de outros argumentos para a API ou do valor de retorno da API.
A quantidade máxima de dados a serem capturados é configurável.
ÿ Árvore de Chamadas
O API Monitor exibe uma árvore de chamadas que mostra a hierarquia das chamadas de API. A captura de
tela a seguir exibe uma árvore de chamadas para uma chamada CoGetClassObject feita por um aplicativo VB que
Módulo 12 Página 719 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
carrega o controle Microsoft Winsock ActiveX. O controle ActiveX MSWINSCK.OCX faz chamadas para
WSAStartup e CreateWindowExA de DllMain.
Ambos os parâmetros e valores de retorno podem ser exibidos em um formato amigável. A primeira captura
de tela abaixo mostra a exibição normal com os valores de parâmetro exibidos como estão. Para dwShareMode,
o API Monitor exibe FILE_SHARE_DELETE | FILE_SHARE_READ em vez de 5 quando a opção Decode
Parameter Values está habilitada. Essa opção está disponível no painel de parâmetros e no painel de resumo.
Módulo 12 Página 720 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
O malware é instalado junto com os drivers de dispositivo baixados de fontes não confiáveis e os usa como um escudo
para evitar a detecção. Você deve procurar drivers de dispositivo suspeitos e verificar se eles são genuínos e baixados
do site original do editor. Para visualizar os drivers de dispositivo em uma máquina Windows, navegue até Executar ÿ
Digite msinfo32 ÿ Ambiente de software ÿ Drivers do sistema.
Módulo 12 Página 721 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
O utilitário DriverView exibe uma lista de todos os drivers de dispositivo atualmente carregados no sistema. Para
cada driver na lista, são exibidas informações adicionais, como o endereço de carregamento do driver, descrição,
versão, nome do produto e a empresa que criou o driver.
https:// www.nirsoft.net
O utilitário DriverView exibe uma lista de todos os drivers de dispositivo atualmente carregados no sistema. Para cada
driver na lista, são exibidas informações adicionais, como o endereço de carregamento do driver, descrição, versão,
nome do produto e a empresa que criou o driver.
Módulo 12 Página 722 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Você pode usar arquivos e ferramentas de monitoramento de integridade de pastas para examinar o sistema de arquivos e a atividade de pastas
em tempo real em um sistema infectado
ÿ Verifica a integridade de arquivos críticos ÿ É um utilitário de linha de comando que ÿ É um verificador de integridade do sistema
assinados digitalmente pela Microsoft calcula hashes criptográficos MD5 ou de classe empresarial que verifica e
SHA1 para arquivos relata alterações em arquivos críticos
do sistema
ÿ Para iniciar o SIGVERIF, vá para Iniciar ÿ Você pode baixar o FCIV em
ÿ Executar, digite sigverif e pressione https:// docs.microsoft.com
Digitar
O malware também pode modificar os arquivos e pastas do sistema para salvar algumas informações neles.
Os investigadores devem ser capazes de encontrar os arquivos e pastas que um malware cria e analisá-los para coletar
qualquer informação importante armazenada neles. Esses arquivos e pastas também podem conter código de programa oculto
ou sequências maliciosas que o malware agendará para execução em um horário específico.
ÿ Visibilidade
ÿ FCIV
O File Checksum Integrity Verifier (FCIV) é um utilitário de prompt de comando que gera e verifica valores de hash
de arquivos usando algoritmos MD5 ou SHA-1.
o Pode enviar valores de hash para o console ou armazenar o valor de hash e o nome do arquivo em um
arquivo XML
o Pode gerar valores de hash recursivamente para todos os arquivos em um diretório e em todos os subdiretórios
(por exemplo, fciv.exe c:\ -r)
Módulo 12 Página 723 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
o Fornece uma lista de exceções para especificar arquivos ou diretórios para hash
o Pode armazenar valores de hash para um arquivo com ou sem o caminho completo do arquivo
ÿ Tripwire Enterprise
O Tripwire Enterprise é uma ferramenta para avaliar configurações de TI e detectar, analisar e relatar qualquer
atividade de mudança na infraestrutura de TI. O Tripwire Enterprise pode monitorar servidores, desktops, servidores
de diretório, hipervisores, bancos de dados, aplicativos de middleware e dispositivos de rede.
O Tripwire Enterprise captura uma linha de base de sistemas de arquivos de servidor, sistemas de arquivos de
desktop, servidores de diretório, bancos de dados, sistemas virtuais, aplicativos de middleware e configurações de
dispositivos de rede em bom estado. Ele realiza verificações de integridade contínuas e, em seguida, compara os
estados atuais com essas linhas de base para detectar alterações. Ao fazer isso, ele coleta informações essenciais
para a reconciliação das alterações detectadas.
O Tripware Enterprise pode verificar as alterações detectadas com políticas de conformidade de TI definidas (filtragem
baseada em políticas); alterações documentadas em tickets em um sistema CCM ou uma lista de alterações
aprovadas; listas geradas automaticamente por ferramentas de gerenciamento de patches e provisionamento de
software; e contra recursos adicionais do ChangeIQ™. Isso permite que ele reconheça as alterações desejadas e
exponha as alterações indesejadas automaticamente.
Módulo 12 Página 724 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
https:// www.poweradmin.com
O PA File Sight é um software de monitoramento de arquivos e auditoria de acesso que rastreia quem está excluindo arquivos,
movendo arquivos ou lendo arquivos; detecta usuários copiando arquivos; e, opcionalmente, bloqueia o acesso.
Com seus recursos de monitoramento de arquivos, ele pode determinar coisas como as seguintes:
ÿ observe as modificações do arquivo de log, o que é útil para o monitoramento da integridade do arquivo PCI DSS (FIM)
ÿ Monitoramento de Arquivos
o Monitoramento em tempo real que não requer ativação de eventos de auditoria do sistema
Módulo 12 Página 725 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
o Prova que os arquivos de log são apenas anexados e não alterados no meio
ÿ Detalhes do Alerta
ÿ Relatórios
o Relatório sobre usuários, arquivos ou atividades específicas (por exemplo, exclusão de arquivo)
Muitos mandatos de conformidade exigem acesso a arquivos de auditoria e garantia de integridade de arquivos. O PA
File Sight pode ajudar a atender a esses requisitos, incluindo os listados abaixo:
ÿ HIPAA 164.312(b)
Módulo 12 Página 726 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Módulo 12 Página 727 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Módulo 12 Página 728 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ WinMD5
WinMD5Free é um utilitário para calcular valores de hash MD5 para arquivos. Funciona com Microsoft
Windows 98, 2000, XP, 2003, Vista, 7 e versões posteriores.
Como um padrão da Internet (RFC 1321), o MD5 tem sido usado em uma ampla variedade de aplicativos de
segurança e também é comumente usado para verificar a integridade do arquivo e verificar o download.
Para usar esta ferramenta, é necessário baixar o arquivo EXE, descompactá-lo e colocá-lo em qualquer lugar
do disco rígido.
o Suporta quase todas as plataformas Windows, incluindo Microsoft Windows 95, 98, 2000,
Eu, XP, 2003, Vista e Windows 7
o Não requer tempo de execução .NET pré-instalado na máquina para ser executado
Módulo 12 Página 729 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Fluxo do módulo
01 02 03 04
Entenda o malware, seus Entenda o malware Executar Estático Analisar suspeito
componentes e Fundamentos Forenses e Análise de Malware Documentos do Word
Métodos de distribuição Reconhecer Tipos de
Análise de Malware
05 06 07
Desempenho Dinâmico Executar sistema Executar rede
Análise de Malware Análise do Comportamento Análise do Comportamento
Módulo 12 Página 730 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
O malware depende da rede para várias atividades, como propagação, download de conteúdo malicioso, transmissão
de arquivos e informações confidenciais, oferta de controle remoto para invasores, etc. Alguns grupos de malware,
como trojans, worms e bots, também manipulam a configuração da rede do computador de destino para chamar um
URL, endereço IP ou nome de domínio específico e aguardar mais instruções do invasor. Portanto, os investigadores
devem adotar técnicas que possam detectar os artefatos de malware nas redes.
Para monitorar a atividade da rede, os investigadores podem executar o malware na estação de trabalho forense e
monitorar os seguintes aspectos:
ÿ
Endereços IP indo e conectando-se à estação de trabalho
Analisar os dados coletados dessas áreas pode ajudar os investigadores a entender os artefatos de rede, assinaturas,
funções e outros elementos do malware.
A análise de rede é o processo de capturar o tráfego de rede e investigá-lo cuidadosamente para determinar a atividade
do malware. Ajuda a encontrar o tipo de pacotes de tráfego/rede ou dados transmitidos pela rede.
Módulo 12 Página 731 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Monitorando Endereços IP
https:// scanner.pcrisk.com
Monitorando Endereços IP
Para determinar se um arquivo suspeito de ser um malware está tentando chamar algum endereço IP remoto/mal-
intencionado, os investigadores precisam fazer o seguinte:
1. Eles precisam executar a ferramenta Wireshark na estação de trabalho forense do Windows que irá
exibir todo o tráfego sendo transmitido pela rede.
2. Com o Wireshark em execução em segundo plano, eles devem executar o arquivo suspeito
para ser um malware na estação de trabalho.
3. Em seguida, eles devem monitorar o tráfego de rede ao vivo para ver se há algum suspeito
Atividades.
4. Se eles encontrarem algum endereço IP remoto/desconhecido ao qual a estação de trabalho está tentando se
conectar, ele deve ser marcado como incomum.
5. Por fim, eles devem examinar o endereço IP obtido por meio de ferramentas de verificação de malware on-line
para determinar se é malicioso.
As capturas de tela apresentadas abaixo mostram a detecção de um endereço IP incomum 192.185.72.225 na estação
de trabalho forense via Wireshark após a execução de um arquivo suspeito, e o resultado da análise fornecido pelo PC
Risk, uma ferramenta de verificação de malware online, revela que ele é suspeito.
Módulo 12 Página 732 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Módulo 12 Página 733 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Comportamento da rede
Análise: porta de monitoramento
ÿ Programas maliciosos abrem portas do sistema ÿ Revisão da atividade portuária em tempo real ÿ Use a ferramenta de linha de comando como
para estabelecer uma conexão com sistemas, tempo na estação de trabalho forense Netstat para monitorar todos os ativos
redes ou servidores remotos e realizar várias após a execução do malware ajuda a entender portas e seus status na estação de
tarefas maliciosas seus recursos de rede trabalho
Programas maliciosos abrem portas do sistema para estabelecer uma conexão com sistemas remotos, redes ou
servidores para realizar várias tarefas maliciosas. Essas portas abertas também podem fornecer um backdoor
para outros malwares e programas nocivos. Os investigadores podem descobrir se o malware está tentando
acessar uma porta específica durante a análise de tempo de execução usando um utilitário de linha de comando
chamado netstat. A revisão da atividade de porta aberta em tempo real na estação de trabalho forense pode
ajudar a entender os recursos de rede do malware. Por exemplo, se o malware chamar qualquer sistema remoto
pela porta 25, que é a porta padrão do Simple Mail Transfer Protocol (SMTP), ele pode estar tentando estabelecer
uma conexão com um servidor de e-mail. Os investigadores também podem usar ferramentas de monitoramento
de portas que oferecem detalhes, como protocolo usado, endereço local, endereço remoto e estado da conexão.
Recursos adicionais podem incluir nome do processo, ID do processo, protocolo de conexão remota, etc.
ÿ Netstat
É um utilitário de linha de comando que exibe conexões TCP ativas, portas nas quais o computador está
escutando, estatísticas Ethernet, tabela de roteamento IP, estatísticas IPv4 (para protocolos IP, ICMP,
TCP e UDP) e estatísticas IPv6 (para IPv6, protocolos ICMPv6, TCP sobre IPv6 e UDP sobre IPv6).
Quando usado sem parâmetros, netstat exibe conexões TCP ativas.
Sintaxe
netstat [-a] [-e] [-n] [-o] [-p Protocolo] [-r] [-s] [Intervalo]
Módulo 12 Página 734 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Parâmetros
o -a: Exibe todas as conexões TCP ativas e as portas TCP e UDP nas quais o
computador está ouvindo.
o -n: Exibe conexões TCP ativas. No entanto, endereços e números de porta são expressos numericamente
e nenhuma tentativa é feita para determinar nomes.
o -o: Exibe as conexões TCP ativas e inclui o ID do processo (PID) para cada conexão. Você pode
encontrar o aplicativo com base no PID na guia Processos no Gerenciador de Tarefas do Windows.
Esse parâmetro pode ser combinado com -a, -n e -p.
o -p Protocol: Mostra conexões para o protocolo especificado por Protocol. Nesse caso, o protocolo pode
ser tcp, udp, tcpv6 ou udpv6. Se este parâmetro for usado com -s para exibir estatísticas por protocolo,
o protocolo pode ser tcp, udp, icmp, ip, tcpv6, udpv6, icmpv6 ou ipv6.
o -s: Exibe estatísticas por protocolo. Por padrão, as estatísticas são mostradas para os protocolos TCP,
UDP, ICMP e IP. Se o protocolo IPv6 para Windows XP estiver instalado, as estatísticas serão
mostradas para os protocolos TCP sobre IPv6, UDP sobre IPv6, ICMPv6 e IPv6. O parâmetro -p pode
ser usado para especificar um conjunto de protocolos.
o -r: Exibe o conteúdo da tabela de roteamento IP. Isso é equivalente à impressão de rota
comando.
Módulo 12 Página 735 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
TCPViewName Correntes
TCPView mostra uma lista detalhada de todos os TCP e CurrPorts é um software de monitoramento de rede que
Endpoints UDP em seu sistema, incluindo endereços exibe a lista de todas as portas TCP/IP e UDP atualmente
locais e remotos e estado das conexões TCP abertas em seu computador local
ÿ TCPView
TCPView é um programa do Windows que mostra listagens detalhadas de todos os terminais TCP e UDP em
seu sistema, incluindo os endereços locais e remotos e o estado das conexões TCP.
No Windows Server 2008, Vista e XP, o TCPView também relata o nome do processo que possui o endpoint. O
TCPView fornece um subconjunto mais informativo e convenientemente apresentado do programa Netstat
fornecido com o Windows. O download do TCPView inclui Tcpvcon, uma versão de linha de comando com a
mesma funcionalidade.
Módulo 12 Página 736 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Correntes
CurrPorts é um software de monitoramento de rede que exibe a lista de todas as portas TCP/IP e
UDP atualmente abertas em seu computador local. Para cada porta da lista, também são exibidas
informações sobre o processo que abriu a porta, incluindo o nome do processo, caminho completo
do processo, informações sobre a versão do processo (nome do produto, descrição do arquivo e
assim por diante), a hora em que o processo foi criado e o usuário que o criou.
Além disso, o CurrPorts permite que você feche conexões TCP indesejadas, elimine o processo que
abriu as portas e salve as informações das portas TCP/UDP em arquivo HTML, arquivo XML ou
arquivo de texto delimitado por tabulações. Os CurrPorts também marcam automaticamente com a
cor rosa as portas TCP/UDP suspeitas pertencentes a aplicativos não identificados (aplicativos sem
informações de versão e ícones).
Módulo 12 Página 737 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Módulo 12 Página 738 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Programas maliciosos usam Domain Name System (DNS) para se comunicar com o Comando e Controle (C&C)
servidor
Após a execução do malware, revise os registros DNS armazenados na estação de trabalho para entender se ele está tentando
chamar um nome de domínio específico
Observação: antes de executar o malware, limpe o cache DNS existente na estação de trabalho digitando o comando “ipconfig /
flushdns” no prompt de comando
Programas maliciosos usam DNS para se comunicar com o servidor C2, configurado pelo criminoso.
O malware usa um algoritmo de geração de domínio ou técnicas DGA para evitar a detecção por engenheiros
reversos e envia várias consultas de DNS para diferentes domínios em um curto período de tempo para se conectar
com seu C2.
Um software malicioso chamado DNSChanger também é capaz de alterar as configurações do servidor DNS do
sistema e fornecer aos atacantes o controle dos servidores DNS das vítimas. Usando esse controle, os invasores
podem controlar os sites aos quais o usuário tenta se conectar na Internet, fazer com que a vítima se conecte a um
site fraudulento ou interferir na navegação online na web.
Portanto, durante a análise do tempo de execução, os investigadores devem verificar as entradas DNS registradas
na estação de trabalho (também conhecidas como cache DNS) para entender se o malware está tentando entrar
em contato com um nome de domínio específico. Eles precisam limpar as entradas do cache DNS da estação de
trabalho digitando ipconfig /flushdns no prompt de comando e pressionando Enter e, em seguida, execute o
malware para identificar o nome de domínio mal-intencionado.
Módulo 12 Página 739 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
DNSQuerySniffer
https:// www.nirsoft.net
DNSQuerySniffer é um utilitário sniffer de rede que mostra as consultas DNS enviadas em seu sistema. Para cada
consulta DNS, as seguintes informações são exibidas: Nome do host, Número da porta, ID da consulta, Tipo de
solicitação (A, AAAA, NS, MX e assim por diante), Tempo da solicitação, Tempo de resposta, Duração, Código de
resposta, Número de registros , e o conteúdo dos registros DNS retornados.
Você pode exportar facilmente as informações das consultas DNS para o arquivo csv/delimitado por tabulações/
xml/html ou copiar as consultas DNS para a área de transferência e colá-las no Excel ou em outro aplicativo de
planilha.
Módulo 12 Página 740 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Módulo 12 Página 741 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Resumo do Módulo
Este módulo discutiu malware e as técnicas comuns que os invasores usam
para espalhar malware
Por fim, este módulo terminou com uma discussão detalhada sobre a
análise do comportamento do malware em tempo real em relação às
propriedades do sistema e à rede
Resumo do Módulo
Este módulo discutiu malware e as técnicas comuns que os invasores usam para espalhar malware.
Ele cobriu os fundamentos da análise forense de malware e tipos de análise de malware, incluindo
uma discussão detalhada sobre a análise estática de malware. Além disso, este módulo examinou a
análise de documentos do Word suspeitos e discutiu os fundamentos e as abordagens da análise
dinâmica de malware. Por fim, este módulo terminou com uma discussão detalhada sobre a análise
do comportamento do malware em tempo real em relação às propriedades do sistema e da rede.
Módulo 12 Página 742 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
UMA
Glossário
ÿ Advogado: O advogado fornece aconselhamento jurídico sobre como conduzir a investigação e abordar as questões legais envolvidas no processo
de investigação forense.
ÿ Densidade Areal: É definida como o número de bits por polegada quadrada em um prato.
ÿ ATA/PATA (IDE/EIDE): ATA (Advanced Technology Attachment) é o nome ANSI (American National Standards Institute) oficial da Integrated Drive
Electronics (IDE), uma interface padrão entre o barramento de dados da placa-mãe e os discos de armazenamento.
ÿ Apple File System (APFS): É um sistema de arquivos proprietário desenvolvido pela Apple Inc. para macOS 10.13 e posterior
versões.
ÿ Advanced Forensics Format (AFF): AFF é um formato de aquisição de dados de código aberto que armazena imagens de disco e metadados
relacionados.
ÿ Advanced Forensic Framework 4 (AFF4): versão redesenhada e renovada do formato AFF, que é
projetado para suportar mídia de armazenamento com grandes capacidades.
ÿ (Americano) NAVSO P-5239-26 (MFM) (3 passes): Este é um algoritmo de substituição de três passos que verifica em
a última passagem.
ÿ (Americano) DoD 5220.22-M (7 passagens): Este padrão destrói os dados na área necessária da unidade substituindo por 010101 na primeira
passagem, 101010 na segunda passagem e repetindo esse processo três vezes.
ÿ (Americano) NAVSO P-5239-26 (RLL) (3 passes): Este é um algoritmo de substituição de três passos que verifica no
Última passagem.
ÿ Correlação de Campo Automatizada: Este método verifica e compara todos os campos sistematicamente para correlação positiva e negativa entre
eles, para determinar correlações em um ou vários campos.
ÿ Envenenamento ARP: Em um ataque de envenenamento ARP, o endereço MAC do invasor é associado ao endereço IP do
o host de destino ou vários hosts na rede de destino.
ÿ Sequestro de Autenticação: Nesse tipo de ataque, os invasores tentam seqüestrar essas credenciais usando
várias técnicas de ataque, como sniffing e engenharia social.
ÿ Apache HTTP Server: Apache HTTP Server é um servidor web que suporta muitos sistemas operacionais, como Unix, GNU, FreeBSD, Linux,
Solaris, Novell NetWare, AmigaOS, Mac OS X, Microsoft Windows, OS/2 e TPF.
ÿ Log de Acesso: Geralmente registra todas as requisições processadas pelo servidor web Apache.
ÿ Apple Mail: o MacOS possui um cliente de e-mail autônomo padrão chamado Apple Mail, que oferece suporte a várias contas POP3 e IMAP e
filtragem avançada.
ÿ Ataque de conexão ad-hoc: em um ataque de conexão ad-hoc, o invasor conduz o ataque usando um adaptador USB ou placa sem fio.
ÿ Falsificação de MAC do ponto de acesso: usando a técnica de falsificação de MAC, o invasor pode reconfigurar o endereço MAC para que pareça
ser um ponto de acesso autorizado a um host em uma rede confiável.
ÿ Camada de Aplicação: Como a camada superior do modelo TCP/IP, a camada de aplicação usa múltiplos processos
usado pela camada 3 (camada de transporte), especialmente TCP e UDP, para entregar dados.
ÿ Anti-forense: Anti-forense (também conhecido como contra-forense) é um termo comum para um conjunto de técnicas
destinadas a complicar ou impedir um processo de investigação forense adequado.
ÿ Fluxos de dados alternativos (ADS): ADS, ou um fluxo de dados alternativo, é um recurso do sistema de arquivos NTFS que ajuda
os usuários encontram um arquivo usando informações de metadados alternativos, como o título do autor.
ÿ Limpeza de Artefatos: A limpeza de artefatos envolve vários métodos destinados à exclusão permanente de arquivos específicos
ou sistemas de arquivos inteiros.
ÿ Dados de alerta: Os dados de alerta são acionados por ferramentas como Snort IDS e Suricata que são pré-programadas para
examine o tráfego de rede em busca de IoCs e relate as descobertas como alertas.
B
ÿ
Densidade de Bits: São os bits por unidade de comprimento da trilha.
ÿ Bloco de parâmetros do BIOS (BPB): O bloco de parâmetros do BIOS (BPB) é uma estrutura de dados no setor de inicialização da partição.
Ele descreve o layout físico de um volume de armazenamento de dados, como o número de cabeçotes e o tamanho das trilhas na unidade.
ÿ Processo de inicialização: A inicialização refere-se ao processo de iniciar ou reiniciar o sistema operacional quando o usuário liga um
sistema de computador.
ÿ Ataques de Força Bruta: O programa tenta todas as combinações de caracteres até que a senha seja quebrada.
ÿ Buffer Overflow: O buffer overflow de uma aplicação web ocorre quando ela falha em proteger seu buffer adequadamente e permite escrever além de seu
tamanho máximo.
ÿ Correlação Bayesiana: Esta é uma abordagem de correlação avançada que prevê o que um invasor pode fazer depois do ataque, estudando as estatísticas
e a teoria da probabilidade e usa apenas duas variáveis.
ÿ Controle de Acesso Quebrado: Este é um método no qual um invasor identifica uma falha nas políticas de controle de acesso e a explora para contornar o
mecanismo de autenticação.
ÿ Basic Security Module (BSM): o BSM salva as informações do arquivo e eventos relacionados usando um token, que possui um
estrutura binária.
ÿ Imagem de fluxo de bits: Uma imagem de fluxo de bits é uma cópia bit a bit de qualquer mídia de armazenamento que contenha um
cópia de toda a mídia, incluindo todos os seus setores e clusters.
ÿ Blackhat Search Engine Optimization (SEO): O Blackhat SEO (também conhecido como SEO antiético) usa táticas agressivas de SEO, como preenchimento
de palavras-chave, páginas de entrada, troca de páginas e adição de palavras-chave não relacionadas para obter uma classificação mais alta do
mecanismo de pesquisa para suas páginas de malware.
C
ÿ Perícia Computacional : Perícia Computacional é uma parte da perícia forense digital que lida com crimes cometidos
através de dispositivos de computação, como redes, computadores e mídia de armazenamento digital.
ÿ Cibercrime: Cibercrime é definido como qualquer ato ilegal envolvendo um dispositivo de computação, rede, seus sistemas ou
suas aplicações.
ÿ Ciberdifamação: É uma atividade ofensiva em que um computador ou dispositivo conectado à web é empregado
como uma ferramenta ou ponto de origem para prejudicar a reputação de uma organização ou indivíduo.
ÿ Ciberterrorismo: envolve o uso da Internet ou recursos da web para ameaçar, intimidar ou realizar atividades violentas para obter vantagens ideológicas ou
políticas sobre indivíduos ou grupos.
ÿ Ciberguerra: Libicki define a ciberguerra como o uso de sistemas de informação contra as personas virtuais de indivíduos ou grupos.
ÿ Laboratório de Computação Forense: Um Laboratório de Computação Forense (CFL) é um local que abriga instrumentos, ferramentas de software
e hardware e estações de trabalho forenses necessárias para conduzir uma investigação baseada em computador com relação às evidências
coletadas.
ÿ Análise de Caso: A análise de caso é o processo de relacionar os dados probatórios obtidos ao caso, a fim de entender como ocorreu o incidente
completo.
ÿ Crash Dump: Memory dump ou crash dump é um espaço de armazenamento onde o sistema armazena um backup de memória
em caso de falha do sistema.
ÿ Cookie Poisoning: Cookie poisoning refere-se à modificação de um cookie para burlar medidas de segurança ou obter acesso não autorizado a
informações.
ÿ Cross Site Request Forgery: Neste método de ataque, um usuário autenticado é feito para executar determinadas tarefas
no aplicativo da Web escolhido por um invasor.
ÿ Cross Site Scripting (XSS): Neste tipo de ataque, os invasores contornam os mecanismos de segurança do ID do cliente
e obter privilégios de acesso.
ÿ Cyberstalking: Cyberstalking é um crime em que os invasores perseguem um indivíduo, um grupo ou uma organização
usando e-mails ou mensagens instantâneas.
ÿ Associação incorreta do cliente: um ataque de associação incorreta do cliente começa quando um cliente se conecta a um ponto de acesso que
não está em sua própria rede.
ÿ Correlação entre plataformas: Este método de correlação é usado quando diferentes sistemas operacionais e hardware de rede
ÿ Abordagem baseada em livro de código: A abordagem baseada em livro de código, que é semelhante à abordagem baseada em regras
descrito a seguir, agrupa todos os eventos.
ÿ CHS (Cylinder-Head-Sector): O processo Cylinder-Head-Sector (CHS) identifica setores individuais em um disco rígido de acordo com suas
posições em uma trilha, e os números da cabeça e do cilindro determinam essas trilhas.
ÿ Controlador: É um processador que atua como uma ponte entre os componentes da memória flash e o computador
(host) executando o software de nível de firmware.
ÿ Cold boot (Boot rígido): É o processo de iniciar um computador a partir de um estado desligado ou desligado.
ÿ Senhas de texto não criptografado: As senhas de texto não criptografado são transmitidas ou armazenadas na mídia sem nenhuma criptografia.
ÿ Crypter: Um tipo de software que disfarça o malware como um produto legítimo por meio de criptografia ou ofuscação,
protegendo-o assim da detecção por programas de segurança.
D
ÿ
Evidência digital: A evidência digital é definida como “qualquer informação de valor probatório que seja armazenada ou transmitida em formato
digital”.
ÿ Manipulação de Dados: É uma atividade maliciosa na qual os invasores modificam, alteram ou alteram conteúdo digital valioso ou dados
confidenciais durante a transmissão.
ÿ Ataque de negação de serviço: um ataque DoS é um ataque a um computador ou rede que reduz, restringe ou
impede o acesso aos recursos do sistema para usuários legítimos.
ÿ Aquisição de Dados: A aquisição de dados forenses é um processo de geração de imagens ou coleta de informações de vários
mídia de acordo com certos padrões para analisar seu valor forense.
ÿ Análise de Dados: A análise de dados refere-se ao processo de examinar, identificar, separar, converter e
dados de modelagem para isolar informações úteis.
ÿ Data Rate: É a relação entre o número de bytes por segundo que o disco rígido envia para a CPU.
ÿ DRAM: É uma memória volátil que fornece desempenho de leitura/gravação mais rápido.
ÿ Assinatura de Disco: Localiza-se no final do MBR e contém apenas 2 bytes de dados. É exigido pela BIOS
durante a inicialização.
ÿ Particionamento de disco: O particionamento de disco é a criação de divisões lógicas em um dispositivo de armazenamento (HDD/SSD) para permitir que o
usuário aplique a formatação lógica específica do sistema operacional.
ÿ Aquisição Morta: A aquisição morta é definida como a aquisição de dados de uma máquina suspeita que é
Desligado.
ÿ Ataque de Dicionário: Em um ataque de dicionário, um arquivo de dicionário é carregado no aplicativo de cracking executado
contra contas de usuário.
ÿ Desmagnetização/Destruição de Disco: A desmagnetização de disco é um processo pelo qual um forte campo magnético é aplicado a
dispositivo de armazenamento, resultando em um dispositivo totalmente limpo de quaisquer dados armazenados anteriormente.
ÿ Formatação de disco: A formatação de um disco rígido não apaga os dados presentes no disco, mas limpa
tabelas de endereços e desvincula todos os arquivos no sistema de arquivos.
ÿ Logs DHCP: Um servidor DHCP aloca um endereço IP para um computador em uma rede durante sua inicialização. Portanto, os logs do
servidor DHCP contêm informações sobre os sistemas aos quais foram atribuídos endereços IP específicos pelo servidor, em qualquer
instância.
ÿ Deep Web: A deep web só pode ser acessada por um usuário autorizado com um nome de usuário válido, senha, etc. Inclui conteúdos
como documentos legais, registros financeiros, relatórios governamentais e informações de assinatura.
ÿ Dark Web: É uma parte invisível ou oculta da web que requer navegadores específicos, como o navegador Tor, para acessar; tais
navegadores protegem o anonimato dos usuários.
ÿ Forense na Dark Web: Forense na Dark Web refere-se à investigação de atividades ilegais e antissociais perpetradas na Dark Web por
usuários mal-intencionados.
ÿ Assinatura DomainKeys Identified Mail (DKIM): DomainKeys Identified Mail (DKIM) refere-se a um método de autenticação de e-mail
que ajuda a proteger os remetentes e destinatários de e-mails contra phishing, spoofing e spam.
ÿ Domain Shadowing: roubo de credenciais de conta de domínio por meio de phishing para criar vários subdomínios que direcionam o
tráfego para páginas de destino que hospedam um kit de exploração.
ÿ Análise Dinâmica de Malware: Também conhecida como análise comportamental, envolve a execução do código do malware para
saiba como ele interage com o sistema host e a rede.
ÿ Downloader: Um tipo de Trojan que baixa outros malwares da Internet para o PC. Normalmente, os invasores instalam o software de
download quando obtêm acesso a um sistema pela primeira vez.
ÿ Dropper: Um tipo de cavalo de Tróia que instala outros arquivos de malware no sistema a partir do malware
pacote ou internet.
ÿ Ataque Externo: Este tipo de ataque ocorre quando um invasor de fora da organização tenta obter acesso não autorizado a seus sistemas de
computação ou ativos informacionais.
ÿ Espionagem: A espionagem corporativa é uma ameaça central para as organizações, já que os concorrentes geralmente tentam proteger
dados confidenciais por meio da coleta de inteligência de código aberto.
ÿ Examinador/Investigador de Evidência: O examinador de evidência examina a evidência adquirida e a classifica com base na utilidade e
relevância em uma hierarquia que indica a prioridade da evidência.
ÿ Gerenciador de evidências: O gerenciador de evidências gerencia as evidências. Eles têm todas as informações sobre o
evidência, por exemplo, nome da evidência, tipo de evidência, hora e fonte da evidência.
ÿ Partição Estendida: É uma unidade lógica que contém as informações referentes aos dados e arquivos armazenados no disco.
ÿ Espionagem: Espionagem é uma técnica usada para interceptar conexões não seguras para roubar
informação pessoal.
ÿ Enumeração: Enumeração é o processo de coleta de informações sobre uma rede, que pode ser usada posteriormente para atacar a rede.
ÿ Infecção de e-mail: este ataque usa e-mails como meio de atacar uma rede. Spamming de e-mail e outros meios são usados para inundar uma
rede e causar um ataque DoS.
ÿ Spamming de e-mail: Spamming ou lixo eletrônico preenche as caixas de correio e impede que os usuários acessem seus
e-mails.
ÿ Registro de data e hora do e- mail: Isso reflete a data e a hora em que um e-mail foi enviado.
ÿ Log de Erros: Contém informações de diagnóstico e erros que o servidor enfrentou durante o processamento de solicitações.
ÿ Entry/Guard Relay: Este relé fornece um ponto de entrada para a rede Tor.
ÿ
Relé de Saída: Como o relé final do circuito Tor, o relé de saída recebe os dados do cliente do relé do meio e envia os dados para o
servidor do site de destino.
ÿ Encrypting File Systems (EFS): O Encrypting File System (EFS) foi introduzido pela primeira vez na versão 3.0 do NTFS e
oferece criptografia no nível do sistema de arquivos.
ÿ Sistema de arquivos estendido (ext): O sistema de arquivos estendido (ext) é o primeiro sistema de arquivos para o sistema operacional Linux a
superar certas limitações do sistema de arquivos do Minix.
ÿ Criptografia: a criptografia é uma maneira eficaz de proteger os dados que envolvem o processo de conversão de dados em
um código secreto que somente o pessoal autorizado pode acessar.
ÿ Arquivo de banco de dados ESE: Extensible Storage Engine (ESE) é uma tecnologia de armazenamento de dados usada por vários
softwares gerenciados pela Microsoft, como Active Directory, Windows Mail, Windows Search e Windows Update Client.
ÿ Logs de eventos: que armazenam um registro detalhado de todas as atividades realizadas no sistema operacional com base em políticas de auditoria
executado.
ÿ Correlação de eventos: A correlação de eventos é o processo de relacionar um conjunto de eventos que ocorreram em um
intervalo de tempo predefinido.
ÿ E-mail: E- mail é uma abreviação de “correio eletrônico”, que é usado para enviar, receber e salvar mensagens em sistemas de comunicação eletrônica.
ÿ Sistema de Email: Um sistema de email engloba servidores que enviam e recebem emails na rede, juntamente
com os clientes de e-mail que permitem aos usuários visualizar e compor mensagens.
ÿ Assinatura de e- mail: Uma assinatura de e-mail é uma pequena quantidade de informações adicionais anexadas no final do
mensagem de e-mail que consiste no nome e detalhes de contato do remetente do e-mail.
ÿ Cabeçalhos de e-mail : Os cabeçalhos de e-mail contêm informações sobre a origem do e-mail, como o endereço de onde
chegou, o encaminhamento, a hora da mensagem e a linha de assunto.
ÿ
Exploit: Um código malicioso que viola a segurança do sistema por meio de vulnerabilidades de software para acessar informações ou instalar
malware.
F
ÿ Processo de Investigação Forense: Uma abordagem metodológica para investigar, apreender e analisar evidências digitais e, em seguida, gerenciar o
caso desde o momento da busca e apreensão até o relatório do resultado da investigação.
ÿ Regras Federais de Provas: Estas regras devem ser interpretadas para garantir justiça na administração, eliminação de despesas e atrasos injustificáveis
e promoção do crescimento e desenvolvimento da lei de provas.
ÿ Prontidão Forense: A prontidão forense refere-se à capacidade de uma organização de usar evidências digitais de maneira otimizada
em um período de tempo limitado e com custos mínimos de investigação.
ÿ Planejamento de prontidão forense: O planejamento de prontidão forense refere-se a um conjunto de processos a serem seguidos para
alcançar e manter a prontidão forense.
ÿ Investigador Forense: Um investigador forense de computador ajuda organizações e agências de aplicação da lei a identificar, investigar e processar os
perpetradores de crimes cibernéticos.
ÿ Modelo de Relatório de Investigação Forense: Um Modelo de Relatório Investigativo é um conjunto de estilos predefinidos que permite aos
investigadores adicionar diferentes seções de um relatório, como o número do caso, nomes e números de previdência social.
ÿ
Sistema de arquivos: a camada do sistema de arquivos armazena informações como metadados de arquivo, conteúdo de arquivo e diretório
estruturas.
ÿ Abordagem Baseada em Campo: Esta é uma abordagem básica que compara eventos específicos com campos únicos ou múltiplos nos dados
normalizados.
ÿ
File Allocation Table (FAT): A File Allocation Table (FAT), projetada em 1976, é um sistema de arquivos para muitos sistemas operacionais, como
DOS, Windows e OpenDOS. Projetado para pequenos discos rígidos e uma estrutura de pastas simples.
ÿ Filesystem Hierarchy Standard (FHS): O Filesystem Hierarchy Standard (FHS) define o diretório
estrutura e seu conteúdo em sistemas operacionais Linux e Unix-like.
ÿ Quarto Sistema de Arquivo Estendido (ext4): O quarto sistema de arquivo estendido (ext4) é um sistema de arquivo journaling desenvolvido como o
sucessor do sistema de arquivo ext3 comumente usado. Ele oferece melhor escalabilidade e confiabilidade do que o ext3 para suportar grandes
sistemas de arquivos de máquinas de 64 bits para atender às crescentes demandas de capacidade de disco.
ÿ
File Carving: É uma técnica para recuperar arquivos e fragmentos de arquivos do disco rígido na ausência de metadados do sistema de arquivos.
ÿ
Dados de conteúdo completo: Os dados de conteúdo completo referem-se a pacotes reais que são coletados pelo armazenamento do tráfego de
rede (conhecido como captura de pacote ou arquivos PCAP).
ÿ Firewall: Um firewall é um software ou hardware que armazena detalhes de todos os pacotes de dados que entram e saem
a rede.
ÿ Logs de firewall: os logs de firewall de rede coletam dados de tráfego de rede, como origem e destino da solicitação,
portas usadas, hora e data e prioridade.
ÿ
Impressão digital de arquivo : a impressão digital de arquivo é um método de prevenção de perda de dados usado para identificar e
rastrear dados em uma rede.
ÿ
Fileless Malware: um grupo de malware que não grava nenhum arquivo no disco e usa apenas ferramentas aprovadas do Windows para
instalação e execução, contornando assim os programas de segurança e a lista de permissões de aplicativos
processos.
G
ÿ Globally Unique Identifier (GUID): O Globally Unique Identifier (GUID) é um número de referência exclusivo de 128 bits usado como
identificador em software de computador.
ÿ GUID Partition Table (GPT): GUID é um esquema de particionamento padrão para discos rígidos e uma parte do Unified
Extensible Firmware Interface (UEFI), que substitui as interfaces de firmware BIOS herdadas.
ÿ (Alemão) VSITR (7 passagens): Este método sobrescreve em 6 passagens com sequências alternativas de 0x00 e 0xFF,
e com 00xAA no último (7º) passe.
ÿ Abordagem baseada em gráficos: Na abordagem baseada em gráficos, várias dependências entre os componentes do sistema
como dispositivos de rede, hosts e serviços são identificados primeiro.
H
ÿ Unidade de Disco Rígido: HDD é um dispositivo de armazenamento de dados digitais não voláteis que grava dados magneticamente em um
prato metálico.
ÿ Interface de host: um SSD se conecta à máquina host usando uma interface. As interfaces SSD comumente usadas
são SATA, PCIe, SCSI, etc.
ÿ Hierarchical File System (HFS): A Apple desenvolveu o Hierarchical File System (HFS) em setembro de 1985 para oferecer suporte ao Mac
OS em seu sistema proprietário Macintosh e como um substituto para o Macintosh File System (MFS).
ÿ HFS Plus: O HFS Plus (HFS+) é o sucessor do HFS e é usado como o sistema de arquivos primário no Macintosh. Isto
suporta arquivos grandes e usa Unicode para nomear itens (arquivos e pastas).
ÿ Diretório inicial: Armazena os dados de autenticação, como tentativas de logon (sucesso e falha) de todos
usuários.
ÿ Honeypots: Honeypots são dispositivos implantados para atrair invasores. Estes parecem conter informações muito úteis para atrair os
atacantes e encontrar seu paradeiro e técnicas.
EU
ÿ Ataque Interno/Insider: É um ataque realizado em uma rede corporativa ou em um único computador por uma pessoa de confiança (insider)
que tenha acesso autorizado à rede.
ÿ Roubo de Propriedade Intelectual: É o processo de roubo de segredos comerciais, direitos autorais ou direitos de patente de um bem ou
material pertencente a pessoas físicas ou jurídicas.
ÿ Respondente do Incidente: O respondente do incidente é responsável pelas medidas tomadas quando ocorre um incidente.
ÿ Indicadores de Comprometimento (IOCs): Indicadores de Comprometimento (IoCs) são artefatos forenses digitais que ajudam a detectar um incidente de
segurança que ocorreu (ou está em andamento) em um sistema host ou em uma rede.
ÿ Logs IDS: Os logs do Sistema de Detecção de Intrusão (IDS) fornecem informações úteis para encontrar tipos de pacotes suspeitos, determinar sondagens,
gerar novas assinaturas de ataque e medir estatísticas de ataque.
ÿ
Logs do IIS: o IIS registra todas as visitas do servidor em arquivos de log. Os logs do IIS fornecem informações úteis sobre a atividade de vários
aplicativos da Web, como endereço IP do cliente, nome de usuário, data e hora, tipo de solicitação e destino da operação.
ÿ
Spoofing de Endereço IP: Esta técnica é usada por um invasor para acessar qualquer computador sem a devida autorização.
ÿ Camada Internet: Esta é a camada acima da camada de acesso à rede. Ele lida com o movimento de um pacote de dados em uma rede, desde sua origem
até seu destino.
ÿ Falhas de injeção: Falhas de injeção são as vulnerabilidades de aplicativos mais comuns que permitem que usuários não confiáveis
dados fornecidos para serem interpretados e executados como um comando ou consulta.
ÿ Vazamento de informações: O vazamento de informações refere-se a uma desvantagem em um aplicativo da Web em que o aplicativo revela
involuntariamente informações confidenciais a um usuário não autorizado.
ÿ Tratamento de erros impróprios: essa ameaça surge quando um aplicativo da Web não consegue lidar com erros internos
devidamente.
ÿ Fraude de identidade: Fraude de identidade é a recuperação ilegítima e uso de dados pessoais de terceiros para fins maliciosos e
ganhos monetários.
ÿ Referências de objeto diretas inseguras: Uma referência de objeto direto insegura ocorre quando os desenvolvedores expõem vários objetos de
implementação interna, como arquivos, diretórios, registros de banco de dados e referências de chave.
ÿ Desserialização insegura: a vulnerabilidade de desserialização insegura surge quando aplicativos e interfaces de programação de aplicativos (APIs)
permitem a desserialização de entrada de usuário não confiável.
ÿ Internet Information Services (IIS): Um aplicativo desenvolvido pela Microsoft baseado em Visual Basic, executado em um servidor Web e responde a
solicitações de um navegador.
ÿ Servidor IMAP: Internet Message Access Protocol (IMAP) é um protocolo de internet projetado para acessar e
mail em um servidor de correio.
ÿ
Injetor: Um programa que injeta seu código em outros processos vulneráveis em execução e altera a forma de execução para ocultar ou impedir sua
remoção.
J
ÿ Sistema de Arquivos com Diário: Os sistemas de arquivos com diário garantem a integridade dos dados em um computador.
k
ÿ Célula Chave: Contém informações de chave do Registro e inclui deslocamentos para outras células, bem como o LastWrite
hora da chave.
eu
ÿ Conformidade Legal: A conformidade legal em computação forense garante que qualquer evidência coletada e
analisado é admissível em tribunal.
ÿ Clusters perdidos: um cluster perdido é um erro do sistema de arquivos FAT resultante da maneira como o sistema de arquivos FAT aloca espaço e
encadeia arquivos.
ÿ Estrutura Lógica de Discos: A estrutura lógica de um disco rígido é o sistema de arquivos e o software utilizado para
controlar o acesso ao armazenamento no disco.
ÿ Aquisição ao Vivo: A aquisição de dados ao vivo envolve a coleta de dados voláteis de um sistema ativo.
ÿ Aquisição Lógica: A aquisição lógica reúne apenas os arquivos necessários para a investigação do caso.
ÿ Análise ao vivo: neste método, os investigadores usam o editor de registro integrado para examinar o registro e as ferramentas
como o FTK Imager para capturar arquivos de registro do sistema ativo para análise forense.
ÿ Linux Forense: Linux forense refere-se à realização de investigações forenses em um dispositivo baseado em Linux.
ÿ Arquivos de log do Linux: Os arquivos de log são registros de todas as atividades executadas em um sistema. Os arquivos de log do Linux
armazenam informações sobre o kernel do sistema e os serviços em execução no sistema.
ÿ Adulteração de logs: injete, exclua ou adultere os logs de aplicativos da web para se envolver em atividades maliciosas.
ÿ Anomalias de login: aumento no número de tentativas de login com falha em uma conta de usuário pode ser sinal de
atividade maliciosa.
M
ÿ Master Boot Record (MBR): Um registro mestre de inicialização (MBR) é o primeiro setor ("setor zero") de um armazenamento de dados
dispositivo como um disco rígido.
ÿ Master Boot Code ou Boot Strap: É um código executável e responsável por carregar o SO na memória do computador. Consiste em uma
estrutura de dados de 446 bytes.
ÿ Metadados: Metadados são dados sobre dados. Descreve várias características dos dados, incluindo quando e por quem foram criados,
acessados ou modificados.
ÿ Análise Forense de Memória: A análise forense de memória envolve análise forense de despejos de RAM capturados de um
máquina.
ÿ Mac Forensics: Mac forensics refere-se à investigação de um crime que ocorre em ou usando um computador baseado em MacOS
dispositivo.
ÿ Ataque Man-in-the-Middle: Nos ataques man-in-the-middle, o invasor estabelece conexões independentes com os usuários e retransmite as
mensagens que estão sendo transferidas entre eles, enganando-os, fazendo-os supor que a conversa é direta.
ÿ Ataques de Malware: Malware é um tipo de código ou software malicioso projetado para infectar sistemas e afetar
A perfomance deles.
ÿ Ataque de ponto de acesso mal configurado: Este ataque ocorre devido à configuração incorreta de um acesso sem fio
apontar. Essa é uma das vulnerabilidades mais fáceis que um invasor pode explorar.
ÿ Inundação de MAC: Em um ataque de inundação de MAC, o invasor se conecta a uma porta no switch e inunda sua interface enviando um
grande volume de quadros ethernet de vários endereços MAC falsos.
ÿ Retransmissão intermediária: A retransmissão intermediária é usada para a transmissão de dados em formato criptografado.
ÿ Mail User Agent (MUA): Também conhecido como cliente de e-mail, o MUA é um aplicativo que permite aos usuários ler, redigir
e enviar e-mails de seus endereços de e-mail configurados.
ÿ Agente de transferência de correio (MTA): o MTA também é conhecido como um servidor de correio que aceita as mensagens de e-mail do
remetente e as encaminha para seu destino.
ÿ Mail Delivery Agent (MDA): MDA é uma aplicação responsável por receber uma mensagem de e-mail do MTA e armazená-la na caixa postal
do destinatário.
ÿ Mail Bombing: Email bombing refere-se ao processo de envio repetido de uma mensagem de e-mail para um determinado endereço no site de
uma vítima específica.
ÿ Tempestades de correio: Uma tempestade de correio ocorre quando os computadores começam a se comunicar sem intervenção humana.
ÿ MIME: Multi-Purpose Internet Mail Extension (MIME) permite que usuários de e-mail enviem arquivos de mídia como áudio, vídeo e imagens como
parte da mensagem de e-mail.
ÿ ID da mensagem: Esses IDs de mensagem são gerados pelo servidor MTA/mail globalmente exclusivo do email de envio
sistema.
ÿ Laboratório de Análise de Malware: Um laboratório de análise de malware é fundamental para avaliar o padrão comportamental de um
malware.
ÿ Desmontagem do Malware: Este processo ajudará os investigadores a encontrar a linguagem usada para programar o malware, procurar APIs que
revelem sua função, etc.
ÿ Monitoramento da integridade do host: envolve tirar instantâneos do estado do sistema usando as mesmas ferramentas antes e depois da análise
para detectar alterações feitas nas entidades residentes no sistema.
ÿ Malvertising: Incorporação de malware em redes de anúncios exibidas em centenas de sites legítimos de alto tráfego
sites.
ÿ Mouse Hovering: Esta é uma técnica relativamente nova e única usada por invasores para infectar sistemas com malware. Os invasores enviam e-
mails de spam para os usuários-alvo, juntamente com um anexo de arquivo do Microsoft PowerPoint com extensão .PPSX ou .PPS.
ÿ Malware: Malware é um software malicioso que danifica ou desativa os sistemas de computador e dá acesso limitado ou
controle total dos sistemas ao criador do malware para fins de roubo ou fraude.
ÿ Análise forense de malware: A análise forense de malware lida com a identificação e a contenção de códigos maliciosos e examina
seu comportamento em um ambiente controlado.
ÿ Código Malicioso: Um comando que define as funcionalidades básicas do malware, como roubar dados e criar
uma porta dos fundos.
N
ÿ Dados não voláteis: Dados permanentes armazenados em dispositivos de armazenamento secundário, como discos rígidos e memória
cartões.
ÿ Memória Flash NAND: É a principal unidade de armazenamento de dados composta por transistores de porta flutuante que
estado de carga mesmo sem energia.
ÿ Dados de rede: Informações de rede são as informações relacionadas à rede armazenadas no sistema suspeito e
dispositivos de rede conectados.
ÿ Camada de Acesso à Rede: Esta é a camada mais baixa no modelo TCP/IP. Esta camada define como usar o
rede para transferir dados.
ÿ Abordagem baseada em rede neural: esta abordagem usa uma rede neural para detectar as anomalias no fluxo de eventos, causas raiz de
eventos de falha e correlacionar outros eventos relacionados a falhas e falhas.
ÿ Análise de tráfego de rede: A análise de tráfego de rede envolve sondar conversas entre dois dispositivos
interceptando e investigando o tráfego.
ÿ New Technology File System (NTFS): O New Technology File System (NTFS) é um dos mais recentes sistemas de arquivos suportados pelo
Windows. É um sistema de arquivos de alto desempenho que se repara sozinho.
ÿ Análise forense de rede : A análise forense de rede envolve a implementação de sniffing, captura e análise de
tráfego de rede e logs de eventos para investigar um incidente de segurança de rede.
ÿ Análise de comportamento de rede: envolve o rastreamento das atividades de nível de rede do malware.
ÿ Senhas ofuscadas: senhas ofuscadas são criptografadas usando um algoritmo e podem ser descriptografadas por
aplicando um algoritmo reverso.
ÿ Análise forense do sistema operacional: “análise forense do sistema operacional” envolve exame forense do sistema operacional do computador.
ÿ Obfuscator: Um programa que oculta seu código e finalidade pretendida por meio de várias técnicas, tornando-o
difícil para os mecanismos de segurança detectá-lo ou removê-lo.
ÿ Porta Aberta: Uma porta aberta é uma porta TCP ou UDP configurada para receber pacotes de rede.
ÿ Correlação baseada em porta aberta: A abordagem de correlação de porta aberta determina a chance de um ataque bem-sucedido
comparando a lista de portas abertas disponíveis no host com aquelas que estão sob ataque.
ÿ Observando o comportamento do tempo de execução: envolve o monitoramento ao vivo do comportamento do malware escolhido conforme ele é executado
o sistema.
P
ÿ Fotógrafo: O fotógrafo fotografa a cena do crime e as provas recolhidas.
ÿ SSD PCIe: Um SSD PCIe (Peripheral Component Interconnect Express) é uma placa de expansão serial de alta velocidade que integra
o flash diretamente na placa-mãe.
ÿ Phishing/Spoofing: Phishing é uma técnica na qual um invasor envia um e-mail ou fornece um link alegando falsamente ser de um site
legítimo para obter as informações pessoais ou da conta de um usuário.
ÿ
Parallel ATA: Parallel ATA (PATA), baseado na tecnologia de sinalização paralela, oferece um controlador na própria unidade de
disco e, assim, elimina a necessidade de uma placa adaptadora separada.
ÿ Tabela de Partições: Mantém os dados de todas as partições do disco rígido e consiste em uma estrutura de dados de 64 bytes.
ÿ Partição Primária: É uma unidade que contém as informações sobre o sistema operacional, área do sistema e outras
informações necessárias para inicializar.
ÿ Packet Sniffing: Sniffing refere-se ao processo de captura do tráfego que flui através de uma rede, com o objetivo
de obtenção de informações sensíveis.
ÿ Ataques baseados em senha: Um ataque baseado em senha é um processo em que o invasor realiza vários logs
em tentativas em um sistema ou aplicativo de duplicar um login válido e obter acesso a ele.
ÿ Parâmetro de pacote/correlação de carga útil para gerenciamento de rede: essa abordagem ajuda na correlação
pacotes particulares com outros pacotes.
ÿ Abordagem baseada em perfil/impressão digital: Este método ajuda os usuários a identificar se um sistema serve como um
retransmissor para um hacker ou se é um host anteriormente comprometido e/ou para detectar o mesmo hacker de locais diferentes.
ÿ Plano de Contingência: Refere-se a um programa de backup que um investigador deve ter no caso de determinado hardware
ou o software não funcionam ou ocorre uma falha durante uma aquisição.
ÿ Hashes de senha: Hashes de senha são assinaturas da senha original, geradas usando um
algoritmo.
ÿ Ataque de quebra de senha: Em um ataque de quebra de senha, o invasor tenta obter acesso às credenciais de um usuário autenticado
por meio de várias técnicas, como força bruta ou ataques de dicionário.
ÿ Passagem de caminho/diretório: quando invasores exploram HTTP usando passagem de diretório, eles obtêm acesso não autorizado
a diretórios, após o que podem executar comandos fora do diretório raiz do servidor da web.
ÿ Mapeamento de processo para porta: O mapeamento de processo para porta rastreia a porta usada por um processo e protocolo
conectado ao IP.
ÿ Pharming: Pharming é uma técnica de engenharia social na qual um invasor executa programas maliciosos no computador ou servidor da
vítima.
ÿ Arquivos de pré-busca : Arquivos de pré- busca armazenam informações sobre aplicativos que foram executados no sistema.
ÿ Post-mortem : A análise post-mortem dos logs é conduzida para investigar um incidente que já
ocorrido.
ÿ Servidor POP3: POP3 (Post Office Protocol versão 3) é um protocolo da Internet usado para recuperar e-mails
de um servidor de correio.
ÿ Portable Executable (PE): O formato PE armazena as informações exigidas por um sistema Windows para gerenciar
o código executável.
ÿ Packer: Um programa que permite agrupar todos os arquivos juntos em um único arquivo executável por meio de compactação em
para ignorar a detecção de software de segurança.
ÿ Payload: Um pedaço de software que permite controlar um sistema de computador depois de ter sido explorado.
R
ÿ Formato bruto: O formato bruto cria uma cópia bit a bit da unidade suspeita. As imagens neste formato geralmente são obtidas usando o
comando dd.
ÿ Padrão Russo, GOST P50739-95 (6 passagens): É um método de limpeza que escreve zeros na primeira passagem e
então bytes aleatórios na próxima passagem.
ÿ Ataque baseado em regras: Este ataque é usado quando alguma informação sobre a senha é conhecida.
ÿ RAM: RAM contém informações voláteis pertencentes a vários processos e aplicativos em execução em um
sistema.
ÿ Análise em tempo real: Uma análise em tempo real é realizada durante um ataque em andamento e seus resultados também são
gerados simultaneamente.
ÿ Roteamento: Roteamento refere-se ao processo de transmissão de um pacote IP de um local para outro pelo
Internet.
ÿ Correlação de Rota: Esta abordagem ajuda a extrair informações sobre a rota de ataque e usa isso
informações para identificar mais dados pertencentes ao ataque.
ÿ Ataques de roteador: Nesses ataques, um invasor tenta comprometer um roteador e obter acesso a ele.
ÿ Cabeçalho Recebido: O cabeçalho recebido contém detalhes de todos os servidores de e-mail pelos quais uma mensagem de e-mail passa
enquanto está em trânsito.
ÿ Return-Path: Este cabeçalho é usado para especificar o endereço de e-mail para o qual uma mensagem de e-mail será
enviado/devolvido se não chegar ao destinatário pretendido.
ÿ Received-SPF: O Sender Policy Framework (SPF) impede a falsificação do endereço do remetente. SPF permite
organizações para designar servidores que podem enviar e-mails em nome de seus domínios.
ÿ Abordagem Baseada em Regras: A abordagem baseada em regras correlaciona eventos de acordo com um conjunto especificado de regras
(ação de condição).
ÿ Logs do roteador: os roteadores armazenam logs de conectividade de rede com detalhes como data, hora, origem e destino
IPs e portas usadas.
ÿ Setores 4K: A tecnologia de setor 4K remove áreas de cabeçalho redundantes entre os setores.
ÿ Ataque de linguagem de consulta estruturada: injeção/ataque de SQL é uma técnica usada para aproveitar vulnerabilidades de entrada não
sanitizadas para passar comandos SQL por meio de um aplicativo da Web para execução por um banco de dados de back-end.
ÿ Tempo de Busca: É o tempo necessário para enviar o primeiro byte do arquivo para a UCP, quando esta solicita
o arquivo.
ÿ Procedimentos Operacionais Padrão (SOPs): Procedimentos Operacionais Padrão (SOPs) são diretrizes de controle de qualidade
documentadas que devem ser apoiadas por registros de casos adequados e procedimentos, equipamentos e materiais amplamente aceitos.
ÿ
Serial ATA/ SATA (AHCI): É um avanço do ATA e usa sinalização serial, ao contrário da sinalização paralela do IDE.
ÿ Solid-State Drive (SSD): SSD é um dispositivo de armazenamento não volátil que usa chips de memória flash NAND para armazenar
dados digitais.
ÿ
Serial Attached SCSI: SAS (Serial Attached SCSI) é o sucessor e uma alternativa avançada ao SCSI paralelo em ambientes corporativos.
ÿ Célula de Lista de Subchaves: É composta por uma série de índices que apontam para células-chave, todas elas são subchaves para o pai
célula chave.
ÿ SQL Injection: Nesse tipo de ataque, o invasor injeta comandos SQL maliciosos ou consultas como dados de entrada.
ÿ Configuração incorreta de segurança: a falta de um processo de proteção de segurança repetível em qualquer camada do
pilha de aplicativos.
ÿ Ataque de Fixação de Sessão: Este tipo de ataque auxilia o invasor a sequestrar uma sessão de usuário válida com
conhecimento do ID do usuário para a sessão autenticando com um ID de sessão conhecido.
ÿ SIEM Logs: Dados gerados por aplicativos, firewalls e host para um local central.
ÿ Análise Estática: Neste método, os investigadores devem examinar os arquivos de registro contidos no
arquivo de provas.
ÿ SAM (Security Account Manager): É um banco de dados de segurança local e as subchaves do SAM contém configurações de dados de
usuários e grupos de trabalho.
ÿ Pontos de restauração do sistema (arquivos Rp.log): Rp.log é o arquivo de log do ponto de restauração localizado dentro do ponto de restauração
(RPxx).
ÿ SYN Flooding: SYN flooding é um tipo de ataque de negação de serviço (DoS) no qual o invasor envia um grande número de pacotes SYN
repetidamente para o servidor de destino usando vários endereços IP falsificados que nunca retornam um pacote ACK.
ÿ Ataque SYN-FIN Flood DoS: Em uma tentativa SYN/FIN DoS, o invasor inunda a rede definindo os dois
Sinalizadores SYN e FIN.
ÿ Célula Descritora de Segurança: Contém informações do descritor de segurança para uma célula-chave.
ÿ
Sniffers: Sniffer é um software ou hardware de computador que pode interceptar e registrar o tráfego que passa por uma rede.
ÿ Spimming: Spimming ou “spam sobre mensagens instantâneas” (SPIM) explora plataformas de mensagens instantâneas e usa mensagens
instantâneas como uma ferramenta para espalhar spam.
ÿ Spear Phishing: Em vez de enviar milhares de e-mails, alguns invasores usam conteúdo especializado de engenharia social direcionado a um
funcionário específico ou a um pequeno grupo de funcionários de uma organização específica.
ÿ Campo Assunto do E-mail: Este campo de um e-mail informa o destinatário sobre a mensagem que o e-mail pretende
transmitir.
ÿ SCSI: SCSI (Small Computer System Interface) refere-se a um conjunto de interfaces padrão ANSI baseadas no
estrutura de barramento paralelo e projetado para conectar vários periféricos a um computador.
ÿ Sequestro de sessão: Um ataque de sequestro de sessão refere-se à exploração de um mecanismo de geração de token de sessão ou
controles de segurança de token, de modo que o invasor possa estabelecer uma conexão não autorizada com um servidor de destino.
ÿ Correlação da mesma plataforma: Este método de correlação é usado quando um sistema operacional comum é usado em todo o
rede em uma organização.
ÿ Análise de Comportamento do Sistema: Envolve o monitoramento das alterações nos recursos do sistema operacional em caso de malware
execução.
ÿ Slack Space: Slack space é a área de armazenamento de um disco entre o final de um arquivo e o final de um cluster.
ÿ Arquivos Esparsos: Um arquivo esparso é um tipo de arquivo de computador que tenta usar o espaço do sistema de arquivos com mais
eficiência quando os blocos alocados para o arquivo estão quase vazios.
ÿ Segundo sistema de arquivos estendido (ext2): ext2 é um sistema de arquivos padrão que usa algoritmos aprimorados em comparação
para ext, o que aumenta muito sua velocidade; além disso, ele mantém carimbos de data/hora adicionais.
ÿ Aquisição Esparsa: A aquisição esparsa é semelhante à aquisição lógica, que também coleta fragmentos
de dados não alocados, permitindo que os investigadores adquiram arquivos excluídos.
ÿ Dados do sistema: Informações do sistema são as informações relacionadas a um sistema, que podem servir como evidência em um
incidente de segurança.
ÿ Arquivo Syslog: O arquivo Syslog registra mensagens do sistema, bem como mensagens de erro e status do aplicativo.
ÿ Esteganografia: Esteganografia é uma técnica de esconder uma mensagem secreta dentro de uma mensagem comum e
extraindo-o no destino para manter a confidencialidade dos dados.
ÿ Spotlight: Spotlight é um recurso de pesquisa integrado do MAC OS, que indexa os arquivos por seus tipos
e assim facilitar a busca.
ÿ Dados da sessão: Os dados da sessão referem-se a um resumo da conversa entre duas entidades de rede.
ÿ
Dados estatísticos: esse tipo de dado fornece um perfil geral ou resumo do tráfego de rede, que pode ser de valor investigativo significativo.
ÿ Surface Web: É a parte visível da web e contém conteúdo que pode ser acessado pelos mecanismos de busca
como Google e Yahoo.
ÿ Servidor SMTP: SMTP (Simple Mail Transfer Protocol) é um servidor de e-mail de saída que permite ao usuário enviar e-mails para um
endereço de e-mail válido.
ÿ Clickjacking de engenharia social: enganar os usuários para que cliquem em páginas da Web de aparência inocente.
ÿ Análise estática de malware: também conhecida como análise de código, envolve passar pelo código binário executável sem sua execução
real para entender melhor o malware e sua finalidade.
T
ÿ Faixas: Faixas são os círculos concêntricos em pratos onde todas as informações são armazenadas.
ÿ Ataque de Cavalo de Tróia: Um cavalo de Tróia de computador é um programa no qual um código malicioso ou prejudicial está contido em um
programa ou dados aparentemente inofensivos, que podem posteriormente obter controle e causar danos, como arruinar a tabela de
alocação de arquivos em seu disco rígido.
ÿ Numeração da faixa: A numeração da faixa em um disco rígido começa em 0 da borda externa e se move em direção ao
Centro.
ÿ Terceiro Sistema de Arquivo Estendido (ext3): ext3 é uma versão com registro em diário do sistema de arquivo ext2 e é muito usado em
o sistema operacional Linux.
ÿ
Ofuscação de trilha: O objetivo da ofuscação de trilha é confundir e enganar o processo de investigação forense.
ÿ Time Machine: Uma ferramenta de backup que armazena o conteúdo do disco rígido.
ÿ Camada de Transporte: A camada de transporte é a camada acima da camada de Internet. Ele serve como a espinha dorsal dos dados
fluxo entre dois dispositivos em uma rede.
ÿ Tempo (Clock Time) ou Abordagem Baseada em Função: Esta abordagem aproveita os dados sobre o comportamento dos computadores
e seus usuários para disparar alertas quando anomalias são encontradas.
ÿ
Lista de tarefas : a lista de tarefas exibe uma lista de aplicativos e serviços com seu ID de processo (PID) para todas as tarefas em execução
em um computador local ou remoto.
ÿ Tor Relays: Tor relays também são referidos como roteadores ou nós através dos quais o tráfego passa.
ÿ Navegador Tor: O navegador Tor é baseado no navegador Firefox da Mozilla e funciona com o conceito de cebola
roteamento.
ÿ Thunderbird: Thunderbird armazena as mensagens de e-mail deletadas pelo usuário na pasta “Lixeira”.
ÿ Nó de ponte Tor: os nós de ponte atuam como um proxy para a rede Tor, o que implica que eles seguem diferentes
definições de configuração para encaminhar o tráfego para o nó de entrada.
NO
ÿ Sistema de arquivos UNIX (UFS): O sistema de arquivos UNIX (UFS) é um sistema de arquivos utilizado por muitos sistemas operacionais UNIX e semelhantes a UNIX.
Derivado do Berkeley Fast File System, foi usado na primeira versão do UNIX desenvolvida no Bell Labs.
ÿ Dados da conta do usuário: os dados da conta do usuário armazenam informações relacionadas a todas as contas do usuário, como IDs de usuário
e opção de política de senha.
ÿ Associação não autorizada: neste ataque, um invasor explora pontos de acesso flexíveis, que são rádios WLAN presentes em alguns laptops.
ÿ Entrada não validada: neste tipo de ataque, os invasores adulteram a URL, solicitações HTTP, cabeçalhos, campos ocultos, campos de formulário,
strings de consulta, etc. para contornar as medidas de segurança em um sistema.
ÿ Redirecionamentos e encaminhamentos não validados: Nesse tipo de ataque, os invasores atraem a vítima e a fazem clicar em links não
validados que parecem legítimos.
NO
ÿ Dados Voláteis: Dados que são perdidos assim que o dispositivo é desligado.
ÿ Aquisição de dados voláteis: A aquisição de dados voláteis envolve a coleta de dados que são perdidos quando o computador
é desligado ou reiniciado.
ÿ Validar aquisição de dados: Validar aquisição de dados envolve calcular o valor de hash da mídia de destino e compará-lo com sua contraparte
forense para garantir que os dados sejam completamente adquiridos.
ÿ Célula Lista de Valores: É composta por uma série de índices que apontam para células de valores, todos são valores de um mesmo
célula chave.
ÿ Abordagem Baseada em Vulnerabilidade: Esta abordagem ajuda a mapear eventos IDS que visam um host vulnerável usando um scanner de
vulnerabilidade.
No
ÿ Warm boot (Soft boot): É o processo de reinicialização de um computador que já está ligado. Uma inicialização a quente pode ocorrer quando
o sistema encontra um erro de programa ou requer uma reinicialização para fazer determinadas alterações após a instalação de um
programa, etc.
ÿ Análise forense de aplicativos da Web: A análise forense de aplicativos da Web envolve o rastreamento de um ataque de segurança que ocorreu
em qualquer aplicativo da web para identificar sua origem e como foi invadido.
ÿ Documentos do Word : Documentos do Word são documentos compostos, baseados na tecnologia Object Linking and Embedding (OLE) que
define a estrutura do arquivo.
ÿ Windows Forensics: Windows forensics refere-se à investigação de crimes cibernéticos envolvendo o Windows
máquinas.
ÿ Whaling: Whaling é um tipo de ataque de phishing que visa executivos de alto nível, como CEOs, CFOs,
políticos e celebridades.
ÿ Registro do Windows: armazena detalhes de configuração do sistema operacional e do programa, como configurações e opções.
ÿ Chaves de registro do Windows AutoStart: permitem que os programas sejam executados automaticamente na reinicialização do sistema ou
login de usuário.
x
ÿ Entidades Externas XML: Nesse ataque, o invasor fornece uma entrada XML maliciosa, incluindo uma referência de entidade externa ao
aplicativo da Web de destino.
Referências
Módulo 01: Fundamentos da Computação Forense
1. Cyber Investigation, de https://niccs.us-cert.gov/workforce-development/cyber-security-workforce-framework/cyber research.
3. Ashiq JA, (2015), Insider vs. Outsider Threats: Identificar e Prevenir, em https://resources.infosecinstitute.com/insider-vs outsider-threats-
identify-and-prevent/#gref.
8. Willian Brown, (2018). Cyber: O impacto da falha e como evitá-la, em https://www.controlrisks.com/our thinking/insights/newsletters/
middle-east-risk-watch-issue-9-march-2018/cyber-the- impacto da falha e como evitá-la.
20. Declan McCullagh, (2010), hacker TJMaxx condenado a 20 anos de prisão, de https://www.cnet.com/news/tj-maxx
hacker condenado a 20 anos de prisão /.
23. (2021), Regra 801- Definições que se aplicam a este artigo; Exclusões de Boatos, de https://
www.rulesofevidence.org/article-viii/rule-801/.
26. Ashiq JA, (2015), Insider vs. Outsider Threats: Identificar e prevenir, em https://
resources.infosecinstitute.com/topic/insider-vs-outsider-threats-identify-and-prevent/.
27. (2010), Quais são as diferenças entre o sistema de justiça civil e criminal?, de
https://law.lclark.edu/live/news/5497-what-are-the-differences-between-the-civil-and.
28. M. Sai Krupa Khurana e Khurana, (2018), Índia: Cyber Theft Of Intellectual Property, de
https://www.mondaq.com/india/trademark/682548/cyber-theft-of-intellectual
property#:~:text=Cyber%20theft%20of%20Intellectual%20Property(IP)%20is%20one%20of%20them ,IP%20que%20é%20fr equentemente%20roubado.
.
29. Roderick A. Nettles, Charlie Merulla, Steve Warzala, (2019), Data Manipulation, de https://www.csiac.org/csiac
relatório/manipulação de dados/.
30. SS Rana & Co, Meril Mathew Joy e Shubham Raj , (2019), Difamation on Social Media- O que você pode fazer sobre isso?, em https://
www.lexology.com/library/detail.aspx?g= d3075f4d-afb5-4920-bf59-
26cf5d054ab8#:~:text=Cyber%20defamation%20occurs%20when%20a,a%20person%20or%20an%20entity..
34. E. Spafford, Brian D. Carrier, (2006), Uma abordagem baseada em hipóteses para investigações forenses digitais, de https://
www.semanticscholar.org/paper/A-hypothesis-based-approach-to-digital- forense-Spafford Carrier/
6ae97c5ff3c7f141e8d082f631ae33c459167152?p2df.
35. (2019), Computer Forensics Tool Testing Program (CFTT), de https://www.nist.gov/itl/ssd/software-quality group/computer-forensics-
tool-testing-program-cftt.
36. David Lilburn Watson, Andrew Jones, (2013). Processamento e Procedimentos Forenses Digitais, de
https://learning.oreilly.com/library/view/Digital+Forensics+Processing+and+Procedures/9781597497428/xhtml/CHP008.ht ml#S0105.
38. Yunus Yusoff, Roslan Ismail e Zainuddin Hassan, (2011), Common Phases of Computer Forensics Investigation Models, de http://airccse.org/
journal/jcsit/0611csit02.pdf.
39. Karen Kent, Suzanne Chevalier, Tim Grance, Hung Dang, (2006), Guide to Integrating Forensic Techniques into Incident Response, de https://
nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-86.pdf.
40. (2017), ISO/IEC 17025 Requisitos gerais para a competência de laboratórios de ensaio e calibração, de
https://www.iso.org/files/live/sites/isoorg/files/store/en/PUB100424.pdf
41. ISO/IEC 17025:2017(en) Requisitos gerais para a competência de laboratórios de ensaio e calibração, de
https://www.iso.org/obp/ui/#iso:std:iso-iec:17025:ed-3:v1:en".
48. Jennifer Richter, Nicolai Kuntze, Carsten Rudolph, Securing Digital Evidence, de https://www.vogue
project.de/cms/upload/pdf/EvidentialIntegrity.pdf.
50. Danielle Smyth, (2018), How to Write a Crime Scene Report, em http://www.ehow.com/how_4894831_write-crime
cena-relatório.html.
51. Regra 612. Escrita usada para atualizar uma testemunha, de https://www.law.cornell.edu/rules/fre/rule_612.
54. Brian Evans, (2015), Seu laboratório forense de computador foi projetado apropriadamente?, de
https://securityintelligence.com/is-your-computer-forensic-laboratory-designed-appropriately/.
56. Bill Nelson, Amelia Phillips, Christopher Steuart, (2016). Guia para Computação Forense e Investigações, CENGAGE
Aprendendo, de
https://books.google.co.in/books?id=PUh9AwAAQBAJ&printsec=frontcover&source=gbs_ge_summary_r&cad=0#v=onepag e&q&f=false.
62. Kim Kruglick, Beginner's Primer on the Investigation of Forensic Evidence, de http://www.scientific.org/
tutorials/articles/kruglick/kruglick.html#case.
65. Manual de redação de relatórios investigativos para policiais e pessoal de segurança, em http://hiredbypolice.com/repbk.pdf.
70. Thomas V. Alonzo, (2011), Como testemunhar em tribunal criminal quando você é o réu, de
http://thomasvalonzo.com/blog/2011/10/how-to-testify-in-criminal-court-when-you-are-the-defendant/.
73. Gerry Brannigan, (2015), Peritos Técnicos não precisam de Experiência Judicial, de
https://www.linkedin.com/pulse/technical-expert-witnesses-dont-need-court-experience-gerry brannigan?
trkSplashRedir=true&forceNoSplash=true.
76. Phil Goodwin, (2012). SSD DRAM vs. SSD NAND: Que comece o FUD, em https://searchstorage.techtarget.com/tip/DRAM
SSD-vs-NAND-SSD-Deixe-o-FUD-começar.
77. Tudo o que você precisa saber sobre unidade de estado sólido (SSD) - Guia [MiniTool Wiki], em https://
www.minitool.com/lib/ssd.html.
78. Tim Fisher, (2019), What Does a Hard Drive's Seek Time Mean?, Referenciado em https://www.lifewire.com/what-does
busca-tempo-média-2626007.
80. Kent Smith, (2011), Key Challenges in SSD Controller Development, em https://www.electronicdesign.com/memory/key
desafios-ssd-controlador-desenvolvimento.
82. Kristoffer Bonheur, (2018), SSD: Advantages and Disadvantages of Solid-State Drive, em https://
www.profolus.com/topics/ssd-pros-and-cons-of-solid-state-drive/.
84. Garry Kranz, (2016), Serial ATA (Serial Advanced Technology Attachment ou SATA), de
https://searchstorage.techtarget.com/definition/Serial-ATA.
86. Garry Kranz, (2019), PCIe SSD (unidade de estado sólido PCIe), em https://searchstorage.techtarget.com/definition/PCIe-SSD-PCIe
Disco de Estado Sólido.
88. Siobhan Climer, (2018), NVMe Vs SATA SSDs: A Saga of Solid State Storage, em https://
www.gomindsight.com/blog/nvme-vs-sata-ssds-storage-comparison/.
89. Alexander S. Gillis, Rich Castagna, Carol Silwa, (2020), NVMe (não volátil memória expressa), de
https://searchstorage.techtarget.com/definition/NVMe-non-volatile-memory-express.
92. Justin Garrison, (2017), Qual sistema de arquivos do Linux você deve usar?, em https://www.howtogeek.com/howto/33552/htg
explica-qual-linux-file-system-should-you-choose/.
93. (2020), Como escolher seu sistema de arquivos Red Hat Enterprise Linux, em https://access.redhat.com/articles/3129891.
97. Vivek Gite, (2005), Understanding UNIX / Linux filesystem Superblock, em https://www.cyberciti.biz/tips/understanding
unixlinux-filesystem-superblock.html.
100. David Trounce, (2020), What Are Inodes in Linux and How Are They Used?, de https://helpdeskgeek.com/linux
dicas/o que são inodes-no-linux-e-como-eles-são-usados/.
101. Bobbin Zachariah, (2020), Detailed Understanding of Linux Inodes with Example, em https://linoxide.com/linux command/linux-inode/.
103. Sarath Pillai, (2015), Understanding File System Superblock in Linux, em https://www.slashroot.in/understanding-file system-
superblock-linux.
105. Kurt H. Hansen, FergusToolan, Decoding the APFS file system, from
https://www.sciencedirect.com/science/article/pii/S1742287617301408.
108. NTFS — Novo sistema de arquivos de tecnologia para Windows 10, 8, 7, Vista, XP, 2000, NT e Windows Server 2019, 2016, 2012,
2008, 2003, 2000, NT, de https://www.ntfs.com/index.html.
109. Tracy King, (2021), FAT32 Structure Information - MBR, FAT32 Boot Sector Introduction, de
https://www.easeus.com/resource/fat32-disk-structure.htm.
112. Conhecimento elementar de disco rígido - Estrutura física do disco rígido, em https://www.easeus.com/data-recovery
ebook/physics-structure-of-hard-disk.htm.
119. David Nield, The Four Major Components of a Hard Drive, em https://smallbusiness.chron.com/four-major-components
disco rígido-70821.html.
121. Edwin Liu, (2013), Os componentes de um disco rígido e o tipo de disco rígido, de http://drm-assistant.com/others/the
componentes-de-um-disco-rígido-e-o-tipo-de-disco-rígido.html.
126. Sushovon Sinha, (2013), UEFI Secure Boot in Windows 8.1, em https://answers.microsoft.com/en
us/windows/forum/windows8_1-security/uefi-secure-boot-in-windows-81/65d74e19-9572-4a91-85aa-57fa783f0759.
130. (2015), On the Forensic Trail - Guid Partition Table (GPT), de http://www.invoke-ir.com/2015/06/ontheforensictrail
part3.html.
136. Tom Brant, (2020), SSD vs. HDD: Qual é a diferença?, de http://in.pcmag.com/storage/42372/feature/ssd-vs-hdd
qual é a diferença.
143. Analisi Allievi, (2012), tecnologia UEFI: diga olá ao Windows 8 bootkit!, de
https://news.saferbytes.it/analisi/2012/09/uefi-technology-say-hello-to-the-windows-8-bootkit/.
145. Ramesh Natarajan, (2011), 6 Stages of Linux Boot Process (Startup Sequence), em https://
www.thegeekstuff.com/2011/02/linux-boot-process/.
155. Desempenho do disco rígido (disco rígido) – taxas de transferência, latência e tempos de busca, em https://www.pctechguide.com/hard
disks/hard-disk-hard-drive-performance-transfer-rates-latência-e-tempos-de-busca.
156. (2020), Primary Partition, Logical Partition and Extended Partition (Disk Partition Basic), em https://
www.diskpart.com/resource/disk-partition-basic-understanding.html.
165. Ramesh Natarajan, (2011), Linux File Systems: Ext2 vs Ext3 vs Ext4, de https://www.thegeekstuff.com/2011/05/ext2-
ext3-ext4/.
175. Dr. Gordon Russell, Robert Ludwiniak, Digital Forensics Lecture 6: Acquisition, de https://grussell.org/df/slides/wk6.pdf.
177. Erhan Akbal, Sengul Dogan, (2018), Forensics Image Acquisition Process of Digital Evidence, de http://www.mecs
press.org/ijcnis/ijcnis-v10-n5/IJCNIS-V10-N5-1.pdf.
178. Martin Novak, Jonathan Grier, Daniel Gonzales, (2021), New Approaches to Digital Evidence Acquisition and Analysis, from
https://nij.ojp.gov/topics/articles/new-approaches-digital-evidence-acquisition-and-analysis.
186. Resposta ao vivo: Coletando dados voláteis (Análise forense do Windows) Parte 1, de http://what-when-how.com/windows
forensic-analysis/live-response-collecting-volatile-data-windows-forensic-analysis-part-1/.
190. (2020), Garantindo a integridade dos dados com códigos hash, em https://docs.microsoft.com/
en us/dotnet/standard/security/ensuring-data-integrity-with-hash-codes.
193. (2013), Encontre todos os arquivos com fluxos de dados alternativos NTFS usando o PowerShell, de
https://obligatorymoniker.wordpress.com/2013/02/11/find-all-files-with-alternate-data-streams/.
194. Poonia AS, (2014), Data Wiping and Anti Forensic Techniques, de https://
ijact.in/index.php/iact/article/download/136/109.
196. Tejpal Sharma, Manjot Kaur, (2015), Time Rules for NTFS File System for Digital Investigation, de http://ijarcet.org/wp content/
uploads/IJARCET-VOL-4-ISSUE-4-1146-1151. pdf.
197. (2016), Compreendendo artefatos críticos do Windows e sua relevância durante a investigação: NTFS Timestamps, de https://
resources.infosecinstitute.com/understanding-critical-windows-artifacts-and-their-relevance-during research/#gref.
199. Yashwanth Reddy Kambalapalli, (2018), Diferentes ferramentas forenses em um único SSD e HDD, suas diferenças e desvantagens,
de
https://repository.stcloudstate.edu/cgi/viewcontent.cgi?referer=https://www.google.com/&httpsredir=1&article=1077&c ontext=msia_etds.
204. Arvind Kumar, km. Pooja, (2010), Steganography- A Data Hiding Technique, de http://
www.ijcaonline.org/volume9/number7/pxc3871887.pdf.
207. Gary C. Kessler, (2015), An Overview of Steganography for the Computer Forensics Examiner, de
https://www.garykessler.net/library/fsc_stego.html.
211. Timothy R. Leschke, (2010), Cyber Dumpster-Diving: $Recycle.Bin Forensics for Windows 7 and Windows Vista, from
https://www.csee.umbc.edu/courses/undergraduate/FYS102D/Recycle.Bin.Forensics.for.Windows7.and.Windows.Vista.pd f.
212. Raymond, What is INFO2 File Hidden in Recycled or Recycler Folder?, em https://www.raymond.cc/blog/what-is-info2-
file-hidden-in-recycled-or-recycler-folder/.
214. Woo Yong Choi, Sung Kyong Un, (2012), Abordagem anti-forense para proteção por senha usando cofre de impressão digital difusa. IEEE,
de
https://ieeexplore.ieee.org/document/6530413?reload=true&tp=&arnumber=6530413&url=http:%2F%2Fieeexplore.ieee.o
rg%2Fxpls%2Fabs_all.jsp%3Farnumber%3D6530413.
219. (2014), Anti Forensics Techniques, Detection And Countermeasures, de https://eforensicsmag.com/download/anti forensics-techniques-detection-
and-countermeasures/.
221. Katie Moss Jefcoat, (2017), A Comprehensive List of Data Wiping and Erasure Standards, em https://
www.blancco.com/blog-comprehensive-list-data-wiping-erasure-standards/.
224. Quick, D., Tassone, C & Choo, KR, (2014), Forensic Analysis of Windows Thumbcache files, de https://
www.semanticscholar.org/paper/Forensic-Analysis-of-Windows-Thumbcache-files -Quick Tassone/
5adb96a51a78d47058a864a25f813ef94175ebc8?p2df.
225. (2019), Primeiros passos para análise de memória volátil, de https://medium.com/@zemelusa/first-steps-to-volatile-memory analysis-
dcbd4d2d56a1.
232. Jeonghyeon Kim, Aran Park, Sangjin Lee, (2016), Método de recuperação de registros e tabelas excluídos do banco de dados ESE, de
https://www.sciencedirect.com/science/article/pii/S1742287616300342.
236. Jenn Riley, (2017), Understanding Metadata: What is Metadata, and What is it For?: A Primer, from
http://www.niso.org/publications/understanding-metadata-2017.
237. Como excluir cookies, cache e histórico em todos os principais navegadores, em https://catonmat.net/clear-privacy-ie-firefox-opera
cromo-safari.
240. James Okolica, Gilbert L. Peterson, (2011), Extraindo a área de transferência do Windows da memória física, de
https://dl.acm.org/doi/10.1016/j.diin.2011.05.014.
241. Ganesh N. Nadargi, Zakir M. Shaikh, (2015), Identificando e extraindo dados da área de transferência, em http://
www.ijcsit.com/docs/Volume%206/vol6issue03/ijcsit2015060334.pdf.
242. Solução de problemas de falhas do Windows Server 2012 R2. Análise de arquivos e opções de despejo. Forçando travamento do servidor do sistema
(Físico/Virtual), em http://www.firewall.cx/microsoft-knowledgebase/windows-2012/1099-windows-server-2012- troubleshooting-server-crashes-
memory-dumps-debug.html.
249. Tim Fisher, (2020), What Is HKEY_LOCAL_MACHINE (HKLM Registry Hive), de https://www.lifewire.com/hkey-local
máquina-2625902.
253. Aaron Kili, (2018), 5 'hostname' Command Example for Linux Newbies, em https://www.tecmint.com/hostname command-examples-
for-linux/.
256. Dave McKay, (2020), How to Use the ip Command on Linux, em https://www.howtogeek.com/657911/how-to-use-the-ip
command-on-linux/.
258. Ravi Saive, (2016), 15 Comandos “ifconfig” úteis para configurar a interface de rede no Linux, em https://
www.tecmint.com/ifconfig-command-examples/.
261. Karim Buzdar, (2018), Como visualizar a tabela de roteamento de rede no Ubuntu,0rom https://vitux.com/how-to-view-the
rede-routing-table-in-ubuntu/.
262. David Both, (2016), Uma introdução ao roteamento de rede Linux, em https://opensource.com/business/16/8/introduction
linux-network-routing.
263. Abi Tyas Tunggal, (2021), O que é uma porta aberta e eles são perigosos?, de https://www.upguard.com/blog/open-port.
264. (2020), How to Check (Scan) for Open Ports in Linux, em https://linuxize.com/post/check-open-ports-linux/.
266. Vivek Gite, (2020), Linux Descubra qual processo está escutando uma porta, em https://www.cyberciti.biz/faq/what
process-has-open-linux-port/.
267. Karim Buzdar, (2018), Linux: Descubra em qual número de porta um processo está escutando, em https://vitux.com/find-out-which port-number-
a-process-is-listening-on- usando-linux/.
268. Pradeep Kumar, (2020), 18 exemplos de comandos 'lsof' rápidos para Linux Geeks, em https://www.linuxtechi.com/lsof command-
examples-linux-geeks/.
269. Vivek Gite, (2021), Como verificar se a porta está em uso no Linux ou Unix, em https://www.cyberciti.biz/faq/unix-linux-check-if port-is-in-use-
comando/.
270. Vivek Gite, (2021), Como descobrir qual versão do kernel do Linux está instalada no meu sistema, em
https://www.cyberciti.biz/faq/find-print-linux-unix-kernel-version/.
271. Magesh Maruthamuthu, (2020), Easy Ways to Find Linux System/Server Uptime, em https://www.2daygeek.com/linux
verificação de tempo de atividade do servidor do sistema/.
278. Alexandra Altvater, (2017), O que são logs do Linux? Como visualizá-los, os diretórios mais importantes e mais, em https://
stackify.com/linux-logs/.
280. Dave McKay, (2019), Como determinar a conta de usuário atual no Linux, de
https://www.howtogeek.com/410423/how-to-determine-the-current-user-account-in-linux/.
282. Tho Le, (2019), Linux Forensics — Some Useful Artifacts, de https://tho-le.medium.com/linux-forensics-some-useful artefatos-74497dca1ab2.
286. Aaron Kili, 2017), Como monitorar comandos Linux executados por usuários do sistema em tempo real, em
https://www.tecmint.com/monitor-linux-commands-executed-by-system-users-in-real -Tempo/.
287. Steve Morris, (2020), Como usar o comando history no Linux, em https://opensource.com/article/18/6/history
comando.
288. Vivek Gite, (2021), Linux / Unix – Encontre e liste todos os arquivos ocultos recursivamente, em https://www.cyberciti.biz/faq/unix-linux
centos-ubuntu-find-hidden-files-recursivamente/.
289. Nate Lord, (2020), What Are Memory Forensics? Uma definição de memória forense, de
https://digitalguardian.com/blog/what-are-memory-forensics-definition-memory-forensics.
292. Anand, VN, Ahmad, R (2016). Aquisição de dados voláteis do sistema Linux, de https://ijartet.com/
883/v3s5heeramech/conference#:~:text=Various%20shell%20commands%20are%20present,access%2 0to%20the%20physical%20memory.
293. Rai Chandel, (2020), Memory Forensics: Using Volatility Framework, em https://www.hackingarticles.in/memory forensics-investigation-
using-volatility-part-1/.
294. Ellen Zhang, (2017), O que é análise de malware? Definindo e descrevendo o processo de análise de malware, em https://
digitalguardian.com/blog/what-malware-analysis-defining-and-outlining-process-malware-analysis.
298. Tajvinder Singh Atwal, Mark Scanlon, Nhien-An Le-Khac, (2019), Iluminando o Spotlight: aproveitando o utilitário de pesquisa de desktop
da Apple para recuperar metadados de arquivos excluídos no macOS, em https://arxiv.org/ftp/ arxiv/papers/1903/1903.07053.pdf.
299. Jennifer Allen, (2020), How to Use Spotlight on Your Mac, em https://www.lifewire.com/use-spotlight-mac-4586951.
303. Narad Shrestha, (2016), The Power of Linux “History Command” in Bash Shell, de http://www.tecmint.com/history
exemplos de comandos/.
304. Ramesh Natarajan, (2011), 20 Arquivos de log do Linux localizados no diretório /var/log, de
https://www.thegeekstuff.com/2011/08/linux-var-log-files/.
312. Chris Sanders e Jason Smith, (2014), Monitoramento de Segurança de Rede Aplicada. Elsevier Inc., de http://index of.es/Varios/
Chris%20Sanders%20and%20Jason%20Smith%20(Auth.)- Applied%20Network%20Security%20Monitoring.%20Collection,
%20Detection,%20and%20Analysis %20(2014).pdf.
314. Alexandra Altvater, (2017), Tutorial Syslog: Como Funciona, Exemplos, Melhores Práticas e Mais, de
https://stackify.com/syslog-101/.
315. Karen Kent, Murugiah Souppaya, (2006), Guide to Computer Security Log Management, de
https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-92.pdf.
318. Como executar um ataque TCP SYN Flood DoS e detectá-lo com Wireshark - Kali Linux hping3, de
http://www.firewall.cx/general-topics-reviews/network-protocol-analyzers/1224-performing-tcp-syn-flood-attack-and-detecting-it-with-
wireshark.html.
321. Como detectar o ataque de força bruta SMB do Nmap usando o Wireshark, em https://www.1337pwn.com/how-to-detect-nmap
smb-brute-force-attack-using-wireshark/.
323. Yong Sheng, Keren Tan, Guanling Chen, David Kotz, Andrew Campbell, Detecting 802.11 MAC Layer Spoofing Using Received Signal Strength,
de http://citeseerx.ist.psu.edu/viewdoc/download?doi=10.1.1.111. 7055&rep=rep1&type=pdf.
324. Vaarandi, Event Correlation and data mining for event logs, de http://cs.ioc.ee/~tarmo/tday-viinistu/vaarandi-slides.ppt.
326. (2011), LogLogic Juniper Networks Intrusion Detection and Prevention (IDP) Log Configuration Guide, de
http://docplayer.net/12540908-Loglogic-juniper-networks-intrusion-detection-and-prevention-idp-log-configuration guide.html.
329. Identificando incidentes usando firewall e eventos syslog do roteador Cisco IOS, de
https://tools.cisco.com/security/center/resources/identify_incidents_via_syslog.
334. Daniel Blazquez, (2020) Insecure Deserialization: Attack exemplos, Mitigation and Prevention, em https://hdivsecurity.com/
bornsecure/insecure-deserialization-attack-examples-mitigation/.
343. Agathoklis Prodromou, (2017), Using Logs to Investigate a Web Application Attack, em https://dzone.com/articles/using
logs-para-investigar-um-ataque-de-aplicativo-da-web.
344. Chris Riley, Intrusion Detection with the Snort IDS, em https://www.linux
magazine.com/index.php/layout/set/print/Issues/2008/96/Snort/(tagID)/154.
355. Tom Gallagher, Finding and Preventing Cross-Site Request Forgery, em https://www.blackhat.com/presentations/bh-usa
06/BH-US-06-Gallagher.pdf#search=%22Cross-Site%20Request%20Forgery%20(CSRF)%20web%20attack%22.
357. Amor Lazzez, Thabet Slimani, (2015), Forensics Investigation of Web Application Security Attacks, de http://www.mecs press.org/ijcnis/ijcnis-v7-n3/
IJCNIS-V7-N3-2.pdf.
360. Mario Heiderich, Eduardo Alberto Vela Nava, Gareth Heyes, David Lindsay, (2010), Web Application Obfuscation, de https://www.elsevier.com/
books/web-application-obfuscation/heiderich/978-1-59749 -604-9.
367. The Layers of the Web – Surface Web, Deep Web e Dark Web, de https://ifflab.org/the-layers-of-the-web-surface web-deep-web-and-dark-
web/.
370. Aditya Tiwari, (2021), Tor explicou: O que é Tor? Como funciona? É ilegal?, de https://fossbytes.com/everything
tor-tor-tor-works/.
373. Penny Hoelscher, (2018), Qual é a diferença entre a Surface Web, a Deep Web e a Dark Web?, em https://resources.infosecinstitute.com/
what-is-the-difference-between-the -surface-web-the-deep-web-and-the-dark web/#gref.
374. (2018), What is Surface Web, Deep Web and Dark Web?, de https://medium.com/@hackersleaguebooks/what-is surface-web-deep-web-
and-dark-web-cdbaf71b30d5.
376. J. M Porup, (2019), O que é o Navegador Tor? E como isso pode ajudar a proteger sua identidade, de
https://www.csoonline.com/article/3287653/what-is-the-tor-browser-how-it-works-and-how-it-can-help-you-protect your-identity-online.html .
377. Mihnea Mirea, Victoria Wang e Jeyong Jung, (2019), O lado não tão escuro da darknet: um estudo qualitativo. Security Journal, em https://
link.springer.com/article/10.1057/s41284-018-0150-5.
379. Balduzzi M., Ciancaglini V., (2015), Cybercrime in the Deep Web, em https://www.blackhat.com/docs/eu
15/materials/eu-15-Balduzzi-Cybercrmine-In-The-Deep-Web-wp.pdf.
380. Abid Khan Jadoon, Waseem Iqbal, Muhammad Amjad, Hammad Afzal, (2019) Forensic Analysis of Tor Browser: A Case Study for Privacy
and Anonymity on the Web, from https://www.researchgate.net/profile/Waseem_Iqbal10/ publicação/
332004753_Forensic_Analysis_of_Tor_Browser_A_Ca se_Study_for_Privacy_and_Anonymity_on_the_Web/links/5d46dd2a92851cd046a06d36/
Forensic-Analysis-of-Tor Browser-A-Case-Study-for-Privacy-and-tailAnonymity-on-orithe-Web.pdf?
384. Como uma mensagem de e-mail flui desde o envio até a entrega?, em https://www.sparkpost.com/resources/email
explicado/email-message-flow-sending-delivery/.
386. Ljubomir Lazic, (2018), E-Mail Forensics: Techniques And Tools For Forensic Investigation, em https://
www.researchgate.net/publication/328738532_E
MAIL_FORENSICS_TECHNIQUES_AND_TOOLS_FOR_FORENSIC_INVESTIGATION.
389. Perfis - Onde o Thunderbird armazena suas mensagens e outros dados do usuário, em https://support.mozilla.org/en
US/kb/profiles-where-thunderbird-stores-user-data#w_backing-up-a-profile.
394. (2020), Lidando com anexos de e-mail inesperados ou suspeitos, em https://it.stonybrook.edu/help/kb/handling Unexpected-or-suspicious-
email-attachments.
396. Joey Tanny, (2018), Como identificar anexos de e-mail maliciosos, em https://www.vircom.com/blog/how-to-identify
anexos de e-mail maliciosos/.
400. Jonathan Yarden, (2004), Dica técnica: Examine os cabeçalhos de e-mail para determinar a falsificação, de
https://www.techrepublic.com/article/tech-tip-examine-e-mail-headers-to-determine-forgery/.
402. Ivan Kovachev, (2021), SPF Hard Fail vs SPF Soft Fail, de https://knowledge.ondmarc.redsift.com/en/articles/1148885-
spf-hard-fail-vs-spf-soft-fail.
403. Gabriela Gavrailova, (2019), What Is the Return-Path and Why You Need to Customize It?, em https://www.mailjet.com/
blog/news/return-path-customization-explained/.
407. Arman Gungor, (2019), Aproveitando o DKIM na análise forense de e-mail. de https://www.metaspike.com/leveraging-dkim-email
forense/.
408. Shane Rice, (2021), DKIM: O que é e por que é importante?, de https://postmarkapp.com/guides/dkim.
410. Siddharth Rawat, (2021), Como recuperar e-mails excluídos de um arquivo PST?, de
https://www.nucleustechnologies.com/blog/recover-deleted-emails-from-pst-file/.
412. Como ver cabeçalhos de e-mail no Gmail, Hotmail, AOL Mail e Yahoo, em http://www.johnru.com/active-whois/headers
yahoo-hotmail.html.
413. Diane Poremsky, 2020), Mover um arquivo Outlook Personal Folders.pst, de https://www.slipstick.com/outlook/config/to
move-an-outlook-personal-folders-pst-file/.
421. Heinz Tschabitscher, (2020), Differences Between the Email Body and the Header, em https://www.lifewire.com/what-is the-difference-between-
email-body-and-header-1171115.
424. (2020), Top 6 Digital Forensic Investigation Techniques For Effortless Investigation, em https://
www.mailxaminer.com/blog/digital-forensic-investigation-techniques/.
425. Ellen Zhang, (2018), O que é malware sem arquivo (ou um ataque sem malware)? Definição e melhores práticas para proteção contra malware
sem arquivo, em https://digitalguardian.com/blog/what-fileless-malware-or-non-malware-attack-definition-and-best practices-fileless-malware.
426. Dor Zvi, (2019), Ofuscated Fileless Malware In Cyberattackers' Toolkits: A Closer Look, from
https://www.mimecast.com/blog/2019/06/obfuscated-fileless-malware-in-cyberattackers-toolkits-a-closer-look/.
427. Kelly Sheridan, (2017), New Attack Method Delivers Malware Via Mouse Hover, em https://
www.darkreading.com/endpoint/new-attack-method-delivers-malware-via-mouse-hover-/d/ d-id/1329105.
429. Nick Biasini, (2015), Threat Spotlight: Angler Lurking in the Domain Shadows, em https://
blogs.cisco.com/security/talos/angler-domain-shadowing#shadowing.
430. M. Moon, (2017), Malware downloader infecta seu PC sem um clique do mouse, de
https://www.engadget.com/2017/06/11/malware-downloader-infects-your-pc-without-a-mouse-click/.
432. Josh Stroschein, (2019), analisando documentos maliciosos do Office com OLEDUMP, em https://0xevilc0de.com/analyzing
documentos de escritório maliciosos com oledump/.
433. Cameron H. Malin, Eoghan Casey, James M. Aquilina, (2012), Malware Forensics Field Guide For Windows Systems, de
http://index-of.es/Varios-2/Malware%20Forensics%20Field%20Guide%20for%20Windows%20Systems.pdf.
434. Navroop Kaur, Dr. Amit Kumar Bindal, (2016), A Complete Dynamic Malware Analysis, de
https://www.researchgate.net/publication/295256150_A_Complete_Dynamic_Malware_Analysis.
439. Arpa Sainju, Travis Atkison, (2017), An Experimental Analysis of Windows Log Events Triggered by Malware, from
https://www.researchgate.net/publication/316850238_An_Experimental_Analysis_of_Windows_Log_Events_Triggered_by
_Malware.
446. (2017), 5156(S): A plataforma de filtragem do Windows permitiu uma conexão, em https://docs.microsoft.com/en
us/windows/security/threat-protection/auditing/event-5156.
448. (2017), 4663(S): Foi feita uma tentativa de acessar um objeto, em https://docs.microsoft.com/en us/
windows/security/threat-protection/auditing/event-4663.
451. Sameul Alonso, (2016), The top 10 windows logs event's used to catch hackers, de https://cyber-ir.com/2016/09/23/the top-10-
windows-logs-events-used- para-pegar-hackers/.
453. Danny Murphy, Track File Deletions and Permission Changes on Windows File Servers, em https://www.lepide.com/how
to/track-file-deletions-and-permission-changes-on-file-servers.html.
455. Han Weijie, Xue Jingfeng, Wang Yong, Huang Lu, Kong Zixiao, Mao Limin, (2019), MalDAE: Detectando e explicando
malware com base na correlação e fusão de características estáticas e dinâmicas, de https://www.sciencedirect. com/
science/article/pii/S016740481831246X.
456. (2018), Trust, But Verify: Evaluating DNS-Based Malware Detectors, de https://www.microfocus.com/media/white
paper/trust_but_verify_evaluating_dns_based_malware_detectors_wp.pdf.
464. Corey Harrell, (2014), Improving Your Malware Forensics Skills, de http://journeyintoir.blogspot.in/2014/06/improving your-
malware-forensics-skills.html.
467. Cameron H. Malin, Eoghan Casey, James M., Malware Forensics: Investigating and Analyzing Malicious Code, de
https://books.google.co.in/books?id=lRjO8opcPzIC&pg=PA65&lpg=PA65&dq=how+to+collect+Malware+from+Live+system
&source=bl&ots=aW
Jnkpu0i&sig=tCpCgPI_3PbDj0TA6gfrv3ktqyg&hl=en&sa=X&ved=0ahUKEwjFjouB97rKAhXXxI4KHcm0AtUQ6AEIIDAB#v=onep
age&q=host%20integrity&f=false.
EC-Council
CE-Conselho
D EF
Digital Princípios Forenses
ec-council
currículos oficiais do ec-conselho