Escolar Documentos
Profissional Documentos
Cultura Documentos
Kit de Ferramentas Forense - Ambiente Microsoft - Andrey Rodrigues de Freitas
Kit de Ferramentas Forense - Ambiente Microsoft - Andrey Rodrigues de Freitas
Ambiente Microsoft
Kit de Ferramentas
Iniciando uma Investigação
Criando o Arquivo de Hash do Kit de Ferramentas
Usando um Prompt de Comando Confiável
Capturando a Data e a Hora do Início da Investigação
Investigando o Sistema
Descobrindo o Nome do Computador
Descobrindo a Versão do Windows
Descobrindo o MAC Address da Placa de Rede
Descobrindo Conexões ao Sistema
Descobrindo Quais Portas estão Abertas no Sistema
Descobrindo Quais Processos estão em Execução
Analisando as Atividades do SO em Tempo-Real
Procurando por Logs de Aplicativos
Investigando os Logs de Evento
Investigando os Logs de Evento com o Utilitário PsLogList
Investigando os Logs de Evento com a Ferramenta Dumpel
Investigando os Logs de Evento com o Utilitário Event Viewer
Investigando o Registro do Sistema
Analisando o Registro através do Prompt de Comando
Descobrindo Arquivos com Inicialização Automática
Identificando Rootkits no Sistema
Investigando Discagem Automática
Decifrando Senhas do Sistema Operacional
Descobrindo Serviços de Controle e Acesso Remoto
Procurando por Recursos Compartilhados
Descobrindo Tarefas Agendadas
Detectando Sniffer na Rede
Investigando os Usuários
Descobrindo Quem está Conectado ao Sistema
Detectando Quais Usuários Logaram ou Tentaram Logar no Computador
Descobrindo Contas e Grupos de Usuários
Descobrindo a Primeira vez que o Usuário Logou no Sistema
Descobrindo a Última vez que o Usuário Logou no Sistema
Investigando os Arquivos
Analisando as Horas de Modificação, Criação e Acesso de Todos os
Arquivos
Descobrindo Informações através de Buscas por Palavras-Chave
Descobrindo o Tipo do Arquivo e suas Associações
Descobrindo Quem tem Acesso ao Arquivo
Comparando Arquivos
Descobrindo se o Arquivo está Criptografado
Recuperando Arquivos Excluídos
Investigando Arquivos na Lixeira
Investigando Arquivos Temporários
Investigando Links de Atalhos
Descobrindo Arquivos Incomuns
Descobrindo Arquivos Ocultos
Descobrindo Quais Arquivos Foram Acessados
Descobrindo Buscas Realizadas no Sistema
Procurando por Arquivos Impressos
Procurando Vírus em Arquivos Suspeitos
Procurando por Arquivos Usados Recentemente
Investigando os Vestígios de Acesso à Internet
Investigando Arquivos Temporários do Browser
Investigando o Histórico do Browser
Investigando a Barra de Endereços do Browser
Investigando o Menu Favoritos do Browser
Descobrindo Informações em Cookies
Finalizando uma Investigação
Capturando a Data e a Hora do Final da Investigação
Documentando os Comandos Usados na Investigação
Garantindo a Integridade do Kit e das Provas
Apêndices
Apêndice I – Kit de Ferramentas
Apêndice II - Eventos de Auditoria
Apêndice III - Security Identifier (SID)
Apêndice IV - Portas e Serviços
Apêndice V - Determinando a Origem dos Ataques
Introdução
Por onde começar uma investigação forense? O que
procurar em um Sistema Operacional invadido? Ou
melhor, onde procurar? Para responder a estas
perguntas dividi este livro em sete tópicos:
Kit de Ferramentas
Conjunto de softwares confiáveis usados na
investigação.
Iniciando uma Investigação
Neste tópico estão os passos iniciais de toda
investigação.
Investigando o Sistema
Será através deste tópico que você aprenderá a
identificar quais processos estão em execução e quais
portas estão abertas no SO, a analisar arquivos de logs,
a investigar o registro do Windows, compartilhamentos
etc.
Investigando os Usuários
Quem está conectado ao sistema neste momento?
Quem logou ou tentou logar no computador
recentemente? Descubra quem são os usuários que
utilizam ou utilizaram o equipamento.
Investigando os Arquivos
Recupere arquivos excluídos, investigue arquivos na
lixeira, descubra arquivos temporários, ocultos e
impressos.
Investigando os Vestígios de Acesso à Internet
Descubra quais sites foram acessados pelo suspeito,
identifique os arquivos temporários da Internet, analise o
histórico e o item favoritos do browser.
Finalizando uma Investigação
Neste último grupo estão os passos finais de uma
investigação. Capture a data e hora do final da perícia,
documente os comandos utilizados e garanta a
integridade das evidências.
Kit de Ferramentas
O Kit de Ferramentas é um conjunto de softwares
confiáveis usados na investigação. O Kit é um
componente fundamental da perícia forense, pois será
através dele que você obterá as evidências do crime.
No Windows existem dois tipos de aplicativos: os
gráficos e os de linha de comando. Neste livro,
demonstrarei a utilização dos dois tipos, sendo que o
mais aconselhável em uma análise ao vivo é o de linha
de comando.
Para criar o Kit, você deverá copiar as ferramentas que
utilizará na investigação para um CD-ROM ou armazená-
las em disquete ou em um dispositivo USB, sendo que
um dos itens do Kit deverá ser um arquivo de texto
contendo o hash de todas as ferramentas. Este arquivo
de hash será utilizado para garantir a integridade do Kit
no final da perícia.
Iniciando uma Investigação
1.
Figura 1
Figura 2
Figura 3
Capturando a Data e a Hora do Início da
Investigação
Ao capturar a data e a hora do sistema, você estará
comprovando oficialmente o momento em que deu início
ao processo de investigação. Execute o comando date
redirecionando a saída para um arquivo texto em um
disquete ou para um dispositivo USB, conforme mostra a
Figura 4. Execute depois o comando time adicionando a
resposta também ao arquivo.
Figura 4
DICA
Use o comando type para exibir um arquivo de texto
sem modificá-lo. Se o nome do arquivo tiver espaços, ele
deverá ser colocado entre aspas.
Investigando o Sistema
Descobrindo o Nome do Computador
O comando utilizado para identificar o nome do
computador é o hostname. Observe o comando sendo
executado na Figura 5.
Figura 5
Figura 6
Figura 7
Figura 9
Figura 10
Onde:
Figura 11
Figura 12
Figura 13
Figura 15
Figura 16
Figura 17
Figura 18
Figura 19
Descobrindo Conexões ao Sistema
Para descobrir se há algum sistema remoto tentando se
conectar, conectado ou que se conectou recentemente
ao computador investigado, você deverá utilizar os
comandos arp, nbtstat e netstat.
O comando arp exibe a tabela de conversão que mapeia
o endereço IP (Internet Protocol) para o endereço MAC
Address dos sistemas que se comunicaram
recentemente. Veja um exemplo da sintaxe “arp –a” na
Figura 20.
Figura 20
Figura 21
Os cabeçalhos das colunas gerados pelo comando
nbtstat possuem os seguintes significados:
Figura 22
Figura 23
Os cabeçalhos das colunas gerados pelo comando
netstat possuem os seguintes significados:
Figura 24
Figura 25
Figura 26
Figura 27
parada de serviços.
Figura 30
A Figura 31 mostra um relatório criado pelo psloglist.
Figura 31
Figura 32
Investigando os Logs de Evento com o
Utilitário Event Viewer
Os Sistemas Operacionais Windows NT, 2000, XP e 2003
fornecem um utilitário chamado “Event Viewer”
(Visualizar Eventos) para acessar os logs de auditoria em
um computador local ou remoto. Para analisar uma
entrada específica, clique em uma linha do log, observe
a Figura 33.
Os itens mais interessantes do “Event Viewer” são os IDs
da coluna Evento. Cada evento possui um número e um
significado, para mais informações consulte o Apêndice
II.
Figura 33
DICA
Os logs do aplicativo e do sistema podem ser
visualizados por todos os usuários, mas os logs de
segurança poderão ser acessados apenas por
administradores.
Figura 34
Figura 35
Figura 36
Figura 38
Identificando Rootkits no Sistema
O termo rootkit é usado para descrever os mecanismos e
técnicas usadas por vírus, malware, spyware e trojans na
tentativa de esconder sua presença de antivírus,
antispyware e utilitários. Para tentar identificar um
rootkit em um Sistema Operacional Windows pode-se
utilizar o utilitário de detecção chamado
RootkitRevealer. O RootkitRevealer possui uma versão
para linha de comando e uma versão gráfica que pode
ser vista na Figura 39.
Figura 39
Figura 40
Decifrando Senhas do Sistema Operacional
Um dos softwares mais utilizados para decifrar senhas
em Sistemas Operacionais Windows é o L0phtcrack da
@stake. Com o L0phtcrack é possível examinar as
senhas do banco de dados SAM (Security Access
Manager) que é o banco de dados de contas de
segurança local do Windows, localizado em
“<Drive>:\WINNT\system32\config”. Observe na figura a
seguir o L0phtcrack utilizando ataque de dicionário para
tentar quebrar as senhas de um Windows 2000.
Figura 41
Figura 42
Figura 43
Através do utilitário gráfico “Gerenciamento do
Computador”, que se encontra dentro de “Ferramentas
Administrativas”, também é possível visualizar os
recursos compartilhados, conforme mostra a Figura 44.
Figura 44
Compartilhamentos Administrativos
Os Sistemas Operacionais Windows NT, 2000, XP, Vista,
2003, 2008 e 7 possuem compartilhamentos ocultos
chamados de administrativos (compartilhamentos
usados pelo Sistema Operacional). Estes
compartilhamentos são automaticamente carregados
depois de cada processo de inicialização e todos
possuem o caractere $ em seus nomes. Observe a seguir
a descrição de cada compartilhamento administrativo.
Descobrindo Tarefas Agendadas
Nunca se esqueça de procurar por eventos agendados
em um computador. Por ser uma ação simples e rápida,
muitos invasores depois de acessarem indevidamente
um sistema, deixam agendados eventos que possam
facilitar uma nova invasão, como por exemplo iniciar um
backdoor, ou agendar que determinado programa limpe
as pistas deixadas na invasão.
Para procurar por eventos agendados, utilize o comando
at ou o próprio utilitário “Tarefas Agendadas” do
Windows.
Observe na Figura 45 a utilização do comando at. Sem
argumentos o comando mostrará todas as tarefas
agendadas.
Figura 45
Figura 46
Figura 49
Figura 50
Investigando os Usuários
Descobrindo Quem Está Conectado ao
Sistema
A ferramenta que identifica qual usuário está conectado
localmente na máquina é o whoami. Observe na figura a
seguir que o comando whoami informa que o usuário
que está conectado na máquina é o Administrador.
Figura 51
Figura 52
Figura 54
Observe na Figura 54 que a linha “AuditCategoryLogon”
que é a “Auditoria de Eventos de Logon” está definida
como “No” (ou o computador não havia sido configurado
ou o invasor desabilitou esta auditoria), porém, para
detectar quem está logando ou tentando logar no
computador é preciso que esta Auditoria esteja
configurada como “Success and Failure”.
Para configurar esta Auditoria, vá ao botão “Iniciar ->
Configurações -> Painel de Controle -> Ferramentas
Administrativas -> Diretiva de Segurança Local ->
Diretivas Locais -> Diretiva de Auditoria” e dê dois
cliques no item “Auditoria de eventos de logon”, ao
aparecer a tela “Configuração da diretiva da segurança
local” escolha os itens Sucesso e Falha. Pronto, agora
todos que logarem ou tentarem logar na máquina ficarão
registrados no log da Auditoria.
Veja na Figura 55 o processo de configuração da
Auditoria de Eventos de Logon em ambiente gráfico.
Para configurar via prompt digite o seguinte comando:
auditpol /enable /logon:all.
Figura 55
Figura 56
Figura 58
Atenção
O ntlast só conseguirá monitorar as tentativas de logins
se a auditoria estiver ativada.
Figura 59
O comando net user (Figura 60) sem parâmetros informa
todos os usuários existentes no sistema, mas se informar
um usuário em específico o comando mostrará todos os
dados deste usuário, como por exemplo: o nome do
usuário, última alteração de senha, último logon, a qual
grupo o usuário pertence etc.
Para descobrir quais são os grupos existentes no
sistema, poderá utilizar novamente o utilitário
“Gerenciamento do Computador” (Figura 59) ou o
comando net localgroup. Este comando sem parâmetros
mostrará todos os grupos existentes, mas se informar
um grupo específico o comando net localgroup mostrará
todos os membros que pertencem a este grupo,
conforme Figura 61.
Investigue os diretórios existentes dentro de
“<Drive>:\Documents and Settings” (veja a Figura 62).
Se por acaso existir o diretório e não mais a conta de
usuário no “Gerenciamento do Computador” (Figura 59),
quer dizer que o usuário existiu em algum momento.
Porém se existir a conta de usuário no “Gerenciamento
do Computador” e não for encontrado o diretório
correspondente, isso significa que a conta de usuário
ainda não foi utilizada para se conectar ao sistema.
Figura 60
Figura 61
Figura 63
Informações Adicionais
Eventos de Auditoria: Consulte o Apêndice II.
SID (Security Identifier): Consulte o Apêndice III.
Descobrindo a Primeira vez que o Usuário
Logou no Sistema
Você poderá determinar a primeira vez que um usuário
logou no sistema visualizando a data de criação do seu
diretório.
Observe na Figura 64 a coluna “Nome”, onde estão
todos os usuários que já se logaram neste computador, e
a coluna “Criado em” que informa a data em que se
conectaram pela primeira vez. Quando for investigar um
computador que possui o Sistema Operacional Windows
9x procure pelo diretório “<Drive>:\Windows\profile” e
quando for o Windows NT, 2000, XP ou 2003 procure
pelo diretório “<Drive>:\Documents and Settings”.
Figura 64
Figura 65
Figura 66
Investigando os Arquivos
Analisando as Horas de Modificação, Criação
e Acesso de Todos os Arquivos
Através do comando dir é possível obter uma listagem
de todos os arquivos suspeitos, registrando o tamanho e
as horas de acesso, modificação e criação.
Se o perito souber o intervalo de horas em que o
incidente ocorreu, será através dessa listagem que
poderá identificar quais arquivos o invasor criou, alterou
ou executou no sistema.
A seguir alguns exemplos de como usar o comando dir
para obter as horas de acesso, modificação e criação dos
arquivos:
dir /t:a /a /s /o:d a:
Oferece uma listagem de todas as horas de acesso no
drive A. Observe a listagem 01.
dir /t:w /a /s /o:d a:
Oferece uma listagem de todas as horas de modificação
no drive A. Observe a listagem 02.
Figura 67
Figura 68
Figura 69
Figura 71
Figura 73
Figura 74
Onde:
Comparando Arquivos
Ao investigar um computador é possível que desconfie
que um determinado arquivo do sistema possa ter sido
alterado pelo invasor. Se por acaso você tiver no Kit de
Ferramentas o arquivo original poderá comparar os dois
para saber exatamente se o arquivo suspeito se
encontra alterado. Para comparar o conteúdo de dois
arquivos, utilize o comando comp ou fc.
Observe nas Figuras 75 e 76 a comparação de dois
arquivos iguais.
Figura 75
Figura 76
Figura 77
Figura 78
Figura 79
Figura 80
Figura 81
Figura 82
Figura 83
Para visualizarmos os nomes verdadeiros dos arquivos
que foram excluídos e que estão na Lixeira utilizaremos
um utilitário chamado rifiuti. Através do comando rifiuti é
possível analisar o arquivo binário INFO2, já que é este
arquivo que mapeia o nome e a data/hora do arquivo
que foi excluído com os arquivos que estão no diretório
Recycler. Veja o comando sendo executado na Figura 84.
Figura 84
Figura 85
Figura 86
Descobrindo Arquivos Incomuns
Com o comando sfind é possível descobrir dados
escondidos dentro de arquivos (também conhecido como
stream de arquivos). Observe a sintaxe do comando
sfind na figura a seguir.
Figura 87
Figura 88
Figura 89
Figura 90
Figura 91
Figura 93
Procurando por Arquivos Usados
Recentemente
Um lugar que sempre deverá ser verificado em uma
investigação é o item Documentos (veja a Figura 94).
Figura 94
Figura 95
Investigando os Vestígios de Acesso
à Internet
Investigando Arquivos Temporários do
Browser
Quando se acessa a internet, o browser armazena os
conteúdos das páginas Web em um determinado
diretório. As páginas e os arquivos (imagens) são
armazenados à medida que são visualizados (processo
conhecido como cache de páginas). Os arquivos da
Internet também são armazenados no computador
quando o usuário decide tornar a página disponível para
navegação off-line, podendo visualizar o conteúdo da
página sem estar conectado à Internet. Este conteúdo
armazenado permanece no computador por um tempo
indeterminado.
O browser Internet Explorer, também conhecido como IE,
é o web browser padrão dos Sistemas Operacionais
Windows desde a versão 95. Veja a seguir o local onde o
IE armazena os arquivos temporários da Internet nos
diversos Sistemas Operacionais Windows:
Windows 98
<Drive>:\WINDOWS\Temporary Internet Files
Windows NT
<Drive>:\WINNT\Profiles\<usuário>\Temporary Internet
Files
Windows 2000, XP e 2003
<Drive>:\Documents and Settings\
<usuário>\Configurações locais\Temporary Internet Files
Em casos de pornografia infantil ou acesso não
autorizado a sites específicos, por exemplo, o cache
pode estar guardando cópias das imagens e das páginas
dos sites visitados, resultando em valiosas provas contra
o suspeito. Veja a seguir um exemplo de visualização dos
arquivos temporários da Internet.
Figura 96
Figura 99
O arquivo index.dat é um arquivo binário, portanto,
deve-se usar um utilitário especial para visualizar o seu
conteúdo.
O utilitário IEHistoryView permite visualizar a maioria
dos arquivos binários mantidos pelo Internet Explorer.
Veja a utilização do IEHistoryView na Figura 100 a seguir.
Figura 100
Figura 101
Figura 103
Figura 105
Figura 106
Onde:
Figura 108
Figura 110
Apêndices
Apêndice I – Kit de Ferramentas
Iniciando uma Investigação
Md5Sum
http://downloads.activestate.com/TDK/Windows/5.2/
http://md5.rednoize.com
Date, Time e Type
Estas ferramentas fazem parte do prompt de comando
do Sistema Operacional Windows.
Investigando o Sistema
Hostname
Ferramenta nativa do Windows
NT/2000/XP/2003/2008/Vista e 7. Porém este comando
estará disponível no Sistema Operacional apenas se o
protocolo TCP/IP tiver sido instalado no computador.
PsInfo
http://technet.microsoft.com/pt-br/bb897550
Recurso Informações sobre o Sistema
<Drive>:\Arquivos de programas\Arquivos comuns\
Microsoft Shared\MSInfo
Ipconfig
Ferramenta nativa a partir do Windows 98.
Getmac
http://technet.microsoft.com/pt-
br/library/ff961509(WS.10).aspx
Arp, Nbtstat e Netstat
Ferramentas nativas do Sistema Operacional a partir do
Windows 98, porém estarão disponíveis apenas se o
protocolo TCP/IP tiver sido instalado na máquina
investigada.
Mac Find
http://www.coffer.com/mac_find
Fport
http://www.mcafee.com/us/downloads/free-
tools/fport.aspx
Kill
http://www.dynawell.com/download/reskit/microsoft/win2000/kill.zip
PsList
http://technet.microsoft.com/pt-
br/sysinternals/bb896682
Filemon
http://www.microsoft.com/brasil/technet/sysinternals/syst
eminformation/filemon.mspx
PsLogList
http://technet.microsoft.com/pt-
br/sysinternals/bb897544
Dumpel
http://download.microsoft.com/download/win2000platfor
m/webpacks/1.00.0.1/nt5/en-us/dumpel.exe
Reg Query
http://www.dynawell.com/download/reskit/microsoft/win2000/reg.zip
DuReg
http://download.microsoft.com/download/win2000platfor
m/webpacks/1.00.0.1/nt5/en-us/dureg.exe
Autoruns
http://technet.microsoft.com/en-us/bb963902
RootkitRevealer
http://technet.microsoft.com/pt-
br/sysinternals/bb897445
Rasautou
Ferramenta nativa do Windows NT/2000/XP e 2003.
L0phtcrack
http://www.l0phtcrack.com/
RASUsers
http://www.dynawell.com/download/reskit/microsoft/win2
000/rasusers.zip
Net Start
Ferramenta nativa do SO a partir do Windows NT.
Net Share
Ferramenta nativa do SO a partir do Windows 98.
At
Ferramenta nativa do SO a partir do Windows 98.
Promqry
http://www.microsoft.com/downloads/en/details.aspx?
FamilyId=4DF8EB90-83BE-45AA-BB7D-
1327D06FE6F5&displaylang=en
PromqryUI
http://www.microsoft.com/downloads/en/details.aspx?
FamilyId=1A10D27A-4AA5-4E96-9645-
AA121053E083&displaylang=en
Investigando os Usuários
Whoami
http://technet.microsoft.com/pt-
br/library/cc773267(WS.10).aspx
PsLoggedOn
http://technet.microsoft.com/pt-
br/sysinternals/bb897545
AuditPol
http://www.dynawell.com/download/reskit/microsoft/win2
000/auditpol.zip
NTLast
http://www.mcafee.com/us/downloads/free-
tools/ntlast.aspx
Net User e Net Localgroup
Ferramentas nativas do SO a partir do Windows NT.
Investigando os Arquivos
Dir
Esta ferramenta faz parte do prompt de comando do
Windows.
Find
Ferramenta nativa do SO a partir do Windows 98.
Qgrep
http://www.microsoft.com/download/en/details.aspx?
displaylang=en&id=17657
dtSearch
http://www.dtsearch.com
EnCase
http://www.guidancesoftware.com
Assoc e Ftype
Ferramentas nativas do SO a partir do Windows NT.
Cacls
Ferramenta nativa do SO a partir do Windows NT.
Comp e Fc
Ferramentas nativas do SO a partir do Windows 98.
Cipher
Ferramenta nativa do SO a partir do Windows 2000.
File Scavenger
http://www.quetek.com
Rifiuti
http://www.mcafee.com/us/downloads/free-
tools/rifiuti.aspx
Chklnks
Pode ser encontrado no diretório
\TOOLS\RESKIT\DESKTOP do CD do Windows 98 e no
Resource Kit do Windows NT/2000/XP e 2003.
SID Descrição
S-1-5-32-549 Server Operators
S-1-5-32-550 Print Operators
S-1-5-32-551 Backup Operators
S-1-5-32-552 Replicators
S-1-5-32-554 BUILTIN\Pre-Windows 2000 Compatible Access
S-1-5-32-555 BUILTIN\Remote Desktop Users
S-1-5-32-556 BUILTIN\Network Configuration Operators
S-1-5-32-557 BUILTIN\Incoming Forest Trust Builders
S-1-5-32-558 BUILTIN\Performance Monitor Users
S-1-5-32-559 BUILTIN\Performance Log Users
S-1-5-32-560 BUILTIN\Windows Authorization Access Group
S-1-5-32-561 BUILTIN\Terminal Server License Servers
Apêndice IV - Portas e Serviços
Porta Protocolo Descrição
0 TCP, UDP Reserved
2 TCP TROJAN death
7 TCP, UDP Echo
9 TCP, UDP Discard
13 TCP, UDP Daytime
19 TCP, UDP Chargen
20 TCP FTP (default data channel)
21 TCP FTP (control channel)
22 TCP SSH (Secure Shell)
23 TCP Telnet
25 TCP SMTP
30 TCP TROJAN agent-40421
43 TCP Whois
48 TCP TROJAN drat
TACACS (Terminal Access Controller Access
49 UDP
Control System)
50 TCP TROJAN drat
53 TCP, UDP Domain Name System
58 TCP TROJAN dmsetup
59 TCP TROJAN dmsetup
66 TCP Oracle SQLNET
67 TCP, UDP Bootp server
68 TCP, UDP Bootp client
69 UDP Trivial FTP
70 TCP, UDP Gopher
79 TCP, UDP Finger
80 TCP HTTP
81 TCP HTTP (alternate, sometimes admin)
88 TCP Kerberos
99 TCP TROJAN hidden port
109 TCP POP-2 (Post Office Protocol)
110 TCP POP-3
111 TCP Sun RPC Portmapper
113 TCP Ident
119 TCP NNTP (Network News Transfer Protocol)
123 TCP, UDP NTP (Network Time Protocol)
133 TCP TROJAN farnaz
135 TCP UDP NT RPC endpoint mapper
137 TCP, UDP NetBIOS Name Service
138 UDP NetBIOS Datagram Service
139 TCP NetBIOS Session Service
143 TCP, UDP IMAP (Internet Message Access Protocol)
161 UDP SNMP
162 UDP SNMP Trap
170 TCP Network PostScript print server / TROJAN a-trojan
177 TCP, UDP X Display Manager
179 TCP, UDP BGP (Border Gateway Protocol)
194 TCP IRC (Internet Relay Chat)
216 TCP, UDP Computer Associates License Server
Figura 111
Figura 113
Figura 114
WWW
VisualRoute: http://www.visualware.com
Registro.br: http://registro.br/cgi-bin/nicbr/trt
Investigando Informações Sobre um Domínio
Através dos bancos de dados Whois é possível identificar
a quem pertence um determinado domínio (empresa,
companhia ou universidade), o responsável pelo
domínio, endereço, telefone e e-mail de contato,
servidores DNS, etc.
Na Internet são mantidas diversas bases de dados. No
Brasil, o servidor que mantém estas informações é o
http://registro.br (Figura 114).