Escolar Documentos
Profissional Documentos
Cultura Documentos
Autores revisores
GUSTAVO P. VILAR DEIVISON P. FRANCO
Autores colaboradores
ALEXANDRE VRUBEL LUIZ F. DOS SANTOS
Organizador
}ESUS ANTONIO VELHO
CAMPINAS/SP
®
2016
Sumjrio
Análise de sites ... .... .. . . . . . . .. ......... . . .. ... .. .......... . ............. .. . .... 129
Comunicações instantâneas ...... .. ..... .. ............................. ... ..... .. . . ... 133
Salas de bate-papo web ...... . ............. . ... . . .. . . .. ... . .. .. ...... .. .. .. . . . .. .. .134
Anonimizadores da navegação e a Deep Web .................... . ... . ....... . ..... . ..... 135
Proxy .... . . ..... .. . . ... . .... .. ... .... .............. . . .......... . ... . ....... .. . .. 135
Virtua l Private Networks (VPNs) ....... . . ... . . . . . . . . . . . . . . . . . . ... . . . . .. . .. ... .. . . .. .. 136
A Rede TOR .............................................. . ..... . . . .... . ......... 136
A Deep Web ... ... ....... ........ . . . . . .. ... .. . ... .. . .. . ... . . . . . .. ... ... ....... .. . 139
Redes sociais .... . ... . ............ . .... . .. . ............ . ... . .. . .. . . .... . .. .... ... . .140
Crimes cometidos com o uso de redes sociais .......................................... 140
As redes sociais Facebook e Twitter e suas fontes de vestígios cibernéticos para a perícia
Forense Computacional . . ... . .. .. . , ............................................... 141
Características importantes para a perícia .. . .. .. .. .. ... . ... . .. . .. . ... . . . . .. ........... 142
Identificação do ID de um perfil ....................... . . . ... . . . ... . ........ ..... . . .. . 143
Vestígios cibernéticos em redes socia is ................ . ... . .......................... 145
Ferramentas para Perícia Forense Computacional de redes sociais . .............. .. ....... .153
Navegadores .. . .. .. . . ...... . ... . .. . . .. . ... ...................... . ............. ..... 154
Histórico de navegação e cookies . ...... . . .. .. .. . . . . . . . ... . ........ ......... . . .... ... 155
Arquivos de histórico e de cache e sua localização em disco ..................... . : . . . . . ... 158
Considerações finais . .............. . ............ ... ... . .... .. . . .. ........... . . 167
Questões para análise .. . ..... . . . .... . ... . ..... . .. . .. ......... .... . . . .. .... .. . 168
Referências bibliográficas .. . .. . ... .. .. . . .. ... . . . .. ...... . .. . ... .. . . . ...... . ... . 168
Servidores de Autenticação .. .. . ... ....... . . ..... .. .... ..... . .. . . . . . . . .. .. ..... . .... 177
Servidores de proxy . ........ . ... . ...... .. ...................... . . .. . .... .. ... . ... . 178
Servidores de DHCP ................................. . ... . ...... . ..... . . . ... . ..... 179
Sistemas de Detecção/Prevenção de Intrusão (IDS/IPS) ........ ... ... .. .. ... ... . .. . ...... 179
Servidores de DNS (Domain Name System) . .... . .. . . .. . ........... ... . . . .... . .... . .... 180
Firewalls ..... ................ ........... .. .. . ... . . . . . ... . ... .. . . ....... .. ... .... 180
Servidores de Aplicação ............ . . .. .. .. .. .. .. .. ...... . . ..... ... . .. .. .... . . ... .180
Análise de registro de logs e tráfego de redes de computadores ... .. . .. . ...... ... .. . . . ... .. 181
PCAP .... ... .. . ...... . ....... .. .... .... . . .. ... .......... . ....... ...... .. . . . . .. .182
Wireshark .. . .. . . .. . . . . . . .. . ... . ... . ... .. ... . .. ... .. . . . .. . .. . .. . . . ... .. .... . ..... 182
TCPDump . . ... ... .. ... . .. ............. . . . . . . .. . . .... .. .. . . . . ..... ..... . .. . . ..... 183
NetworkMiner .. . . . . .. .. .. . . ... . .. ...... .. .. .. ... . ... .. . . . .. ... . . .. . . .. .. . ........ 183
XPiico ............ . ................ . . .. . .. .. ... . .. . . ... . .... . . ... ... . ... . .. . .... 184
DSniff . ... . ........ ...... . ... . .. . ... . .. . . . ..... . .. . . .. ...... .. ...... .. . ... .. .. .. 185
Cenários de ataques com registro de logs e tráfego de redes de computadores .. . ...... . ..... ... 187
Análise dos vestígios de um ataque de negação de serviço (DoS/DDoS) .. . . .. ..... ....... . .. 187
Análise dos vestígios de um ataque de injeção SQL (SOL lnjection) ...... . ..... . . .... . . . . . .. 192
Análise dos vestígios de um ataque de inclusão de arquivo local (LFI) .. . . .. . .... .. . . .. ...... 195
Análise dos vestígios de um ataque de inclusão de arquivo remoto (RFI) . .. . .. . . .. . ..... . . . .. 196
Extração de arquivos com o Wireshark ............ . . ... .. ............ . .. . . ....... ..... 196
Extração manual de arquivos com o Wireshark ..... ... ... . . .. .. .... .. .. .. .. . .. .. .. .. ... 198
Extração manual de arquivos com o Network Miner .. .. . .... ....... .. . . . .. .. ... . . ... .. . . 200
Captura de tráfego em redes comutadas ... . ........ . . . .. .. . .. .. . ... . . .. . . . . . .. .. . . . .. 200
Detecção de ataques com o Snort. .............. . . ... . .......... . ... . .. . ... . . .... ... .201
Visualização de atividades de usuários via DNS ... . ...... .... . ... . .. .. . . .. .. .... . ....... 202
Recuperação de e-mails com o XPiico ............ . .......... ... . . ... ... . .... . ... .. .. .203
Recuperação de chamadas VoiP com o Wireshark .. ... . .. . .. .. ....... . .... . .. ....... .. 204
Considerações finais . ..... ... ..... ...... ....... . . . . ........ .. ...... .. ......... 205
Questões para análise .. ............................. . ....... .. ... ..... ....... 206
Referências bibliográficas ............................ . . .. .... . ........ ... ..... . 206
Fotogrametria . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 236
Considerações finais ....... . .......... .. ..................................... . 242
Questões para análise .......... . ........ . .... . ............... . .. . ..... .. ..... 243
Referências bibliográficas ...................................................... 243
Gravadores de Dados de Eventos (EDR) ........ . ... . ............ . . .. ....... ........ . 305
Captura de dados contidos no EDR. . .. .. .... . . .. .. . .... .... . . . .. . ... . ..... . ........ . 306
Valor probatório dos dados do EDR ......... ... . . ... .. .. .... . .... .. ... . .... ........... 307
Especialização profissional . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 308
Considerações finais ..... . . .. . . .. . .. . . .. . . . . . . . . . .... . . ... .. ... ...... ... ..... . 309
Questões para análise ... . ... . .. . . . . . . .. .. . ... . . . . . . ... ... ... . .... . ...... . . . .. 31 O
Referências bibliográficas ....... .. .. . .. . . . ............. . .. . .... . ........ . . ... .. 311
Exames em computação na nuvem ..... . .... . ... .. ..... ... . ...... .... . ... . . . .... . .... .. 361
Modelos para exames periciais em computação na nuvem ........... . .............. .. .... 361
Forense como um serviço em computação na nuvem (Forensic-as-a-Service - FaaS) .... . .... 366
Exames em computação na nuvem X MapReduce I Hadoop . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 368
Casos recentes envolvendo ambientes de Computação na Nuvem ...... . ... . .. . .............. 370
Considerações finais ..... .. ... . . ..... .. . . .. ... .. . ... . . .. . ..................... 371
Questões para análise .. ... . . ....... .. . .... .. .. ...... .. . .. .... . .... . . .. ....... 372
Referências bibliográficas .. ....... . .. ... . . ........ . . . . ........ . .. . ......... . .. 372
Backdoor. . .... . .......... . ... ... .. . ........ . ........... .. ... .... . . .. . . .. .. . .... .412
Worm .... . . . .. .. ... . . .. ... ..... ........ . . .. . .. . .. . . . . . . ..... . .. ... .... .. . .. .... 413
Bot .. ... .... . .... . .... . ..... . . ... . ........ . ...... . ..... .. .. . ..... . ....... . .... .413
Cavalo de tróia . .. . . .. . . . . ... ..... .. ... ... . . . .. .... . . . ... ..... .. . . . ......... . . .. . .413
Rootkit. ...... . .... .. . . . .. .... . ..... . . . .......... . .. . .. . ... ... ..... ... .. .. ..... .. 413
Virus .............. . .. . .... ..... . . ...... . ..... . . . . . . ... . ...... . ... . . . . . ........ .413
Objetivos da análise de malware no contexto pericial ... . ...... . . .... . ....... ..... ... .. . .... 414
Software suspeito .... . ............ . . . ........ . . ..... . . .... ... .. . .. . . . ............ .414
Ataques utilizando malwares ... . .. . . . . .. .. . . ... ...... . . . . ... .. .. . ................... 414
Malware como elemento secundário ..... . . . ..... . ...... . ..... . ........ . ..... .. . . . .. . .415
Tipos de análise .. .. ..................... ..... . . ... . . .. ......... ...... . ...... . . . ... .415
Análise estática .... . ... ...... .. . .. . ..... .. . .. ... . . . . . ..... .. . ... ........ . . . .. . .. .415
Análise dinâmica ....... . . .... .. .. . . . .... . .. . .. . . . . . .... . . . ........ . ..... . .. . ..... 416
Análise post-mortem (de malware) .... . . ..... . . .. .. .. .. .. . .... .. ...... . .. ............ 417
Antianálise . .... ..... ..... ........ .. . .. . . .. . . ... . . .. . ....... .. ... . . .. . ... . .. .. ... 417
Como identificar um malware .......... .... .............. . ................... .. ....... .421
VirusTotal .. . . ..... .. . . ..... . .... .. .. . ..... . . ........ .. . . ...... . . .......... . . ... .421
Autoruns . .. . . . ....... . ............ . ... .. ..... ..... . .. ....... . ... . . . ..... . .. . ... .423
Arquivos de prefetch .... .. .. .. ... . . . . . . . . . ....... .. . .. . . ... . ..... . .. . . .... . . .. . . .. .425
Análise estática ........................ ..... . .. ...... . . ...... .. .. .... .. .. . ... . ..... .427
Strings ..... . ............. . ..... .. . ... . . . . ....... .. .. . . .......... ... .. . . .. ... .. .427
Formato PE (Portable Executab/e) . .... .. . ·.. .. . . ................. . ..... . . ... .. .... .. . .428
PEview ....... .... .. . .... .. .. . . . . .... . . . . . . . .. . . ........ .. . . . . . . .......... . . . .. .429
Dependency walker .. . . .. .. .. ... . . . . . . .. . .... . . . .. .' . . . . . . . . . .. ... .. ... ... . .... .. . 430
Resource Hacker ........... . ... . .... . .... . . . , ...... . .. . ....... . .......... . ...... .432
Análise dinâmica ................... . .. ...... . ... ... . . . . ..... ... .. . . ... ... .. . . .. .. .. 434
Procedimentos recomendados em ambiente virtuais .... . . .. . ......... .. . .... . .... .. .. . . 434
Process Explorer .................. . . . ... ... .... ... .. . .. . .. ....... . .... . . . .. . .... 436
Process monitor .... . ........... . . .. . . ... .. .. . . ..... .. . . ... . .. . .. . . . .... . . . .. . ... .437
Network Monitor .. .. .. .. .. . . . . .. .. . . . . . . . .... . ... .. ... . . ...... . .......... ...... .. 439
TCPView ... . ...... . ................ . .. . ........... . ........ . ........ . . ...... ... .441
Análise avançada ..... .. ... . .. . . .. . ........ .. . . . . . .... .... ... . . .. .. . .. . .. . .. . .. .....442
IDA .... ..... .. ....... . . . . . ........ . . . . .. .. ....... .. ...... .. . .... . ..... . .. ..... 443
OllyDbg ...... . . . .. . .. . . . . . ......... . .. . . . . .. .... .. . . .. . ... . .... . ........ . .... .. 443
Considerações finais ..... ..... ................. . ....... .. .. .... . . .. . .. . . . . . ... 444
Questões para análise . . . .. .. ..... .... . ...... . ... . .. . ..... ... ... .. ....... . .. . . 444
Referências bibliográficas .... ................................................. 445
Coleta de informações ... . . .. ..... .. ..... . ..... .. . . . ... . . ...... . ..... ........ . ..... 528
Segurança e defesa cibernética na Computação Forense .. . . ... .. .. . . .. . . ... ... . . . ... . . ... 530
Normatização ... .. .. . ............................... . ....... . .... . .......... . .. . 530
Laboratório .. ... .. . .. .... .. ..... ... . .... . ..... . .. ... ........ . ..... . ... . ......... .531
Capacitação ....... . . . ... . ... . . . . . ...... . ... . ... . ... . ... .. ... . ........ . ... . ...... 531
Desafios ... . .. ... . .. . ......... ... . . ........ . ....... . ... . .... . ... . ............. . .531
Considerações finais .. ... . . . . .. .. . . . .. . .. . .... . . . .. ... . .. . . . . . .. .. ... . . . . . .. .. 533
Questões para análise ..... .. . . . . . . . . .. . .... .. ..... . ... . .. . . . .. .. ... . ...... ... 533
Referências bibliográficas ........... . . .. .. . .. . . . . .. .. . . ... . . .. . . . . . ... . .... . .. . 533