Live-CD Para Forense Computacional

Marcus Vinicius Ferreira dos Santos

marcus@redescomputadores.com.br

www.forensetec.com.br

Rodrigo Teles Nunes

rodrigo@redescomputadores.com.br

DEFINIES
O que Forense Computacional?
a cincia que estuda e analisa metodologias adequadas de levantamento de informaes tentando enquadrar atos maliciosos em provas circunstanciais relacionada a atual legislao.

O que Live-CD?
uma mdia que contem um S.O que executado diretamente da mdia e da memria RAM.

Por que utilizar Live-CD na Forense Computacional?

Para manter a integridade dos dados.

OCORRNCIAS MAIS COMUNS

Calnia, difamao, injria via e-mail; Roubo de informaes confidenciais; Remoo de arquivos; Pedofilia; Fraudes; Trfico de drogas via Internet.

ETAPAS DE UMA INVESTIGAO

Para serem consideradas provas vlidas, muito importante que o perito realize o processo de investigao de maneira cuidadosa e sistemtica.

ETAPAS DE UMA INVESTIGAO

Cadeia de Custdia

Os Live-CDs em Forense Computacional so importantes no momento de realizar as percias em computadores ou em dispositivos computacionais, eles contm um conjunto de ferramentas especificas para cada anlise. Nas prximas subsees, apresentaremos os principais Live-CDs utilizados no mundo para realizar a

PRINCIPAIS LIVE-CDS PARA FORENSE

Federal Computer Crime Unit(FCCU)

FCCU um LiveCD baseado no Debian Live Project, atualmente est na sua verso 12.1. Ele possui diversas ferramentas para anlise forense dos dados em HD, memria principal, scanner de rede, crack de senhas, deteco de malware dentre outras.

Forense Digital ToolKit (FDTK)

FDTK um Live-CD Desenvolvido na Distribuio Ubuntu, atualmente est na sua verso 3.0. Oferece a possibilidade de ser utilizada como Live-CD e tambm ser instalada em um equipamento.

PlainSight
PlainSight um Live-CD Desenvolvido na Distribuio Knoppix, atualmente est na sua verso 0.1. Apesar da aplicao oferecer vrios recursos para anlise forense, a quantidade de ferramentas voltadas para uso em Forense Computacional e muito pouco se comparado com os outros Live-CDs.

Sans Sift
Sans Sift um LiveCD Desenvolvido na Distribuio Ubuntu, atualmente est na sua verso 2.1. necessrio ter o Vmware instalado para poder executar essa mquina virtual.

Professional Hacker Linux Assault kit(PHLAK)

PHLAK um Live-

CD Desenvolvido na Distribuio Morphix, atualmente est na sua verso 0.3. Suas Ferramentas focada na rea de segurana de rede.

CAINE
CAINE um LiveCD Desenvolvido na Distribuio Ubuntu, atualmente est na sua verso 2.5. As ferramentas contidas no Live-CD, so openSource, fazendo com que o usurio possa verificar seu cdigo e alter-lo.

FORLEX
um Live-CD Desenvolvido na Distribuio Knoppix, atualmente est na sua verso 1.5.5. FORLEX tem como principais ferramentas a Forense Air, Ewf, LinEn, Scalpel, Wipe, Autopsy.

FORLEX

HELIX
HELIX um LiveCD dividido em 3 verses que so pagas. Voltado para empresas que necessitam visualizar toda a rede delas para se protegerem contra comportamentos maliciosos, violao de privacidade e hacking.

DEFT
DEFT um LiveCD Baseado na distribuio Ubuntu e NFCE4 Desktop. Atualmente na verso 6.1. Suas principais ferramentas Forense so: Autopsy, Guymager, Photorec, e xplico. Existe tambm o DEFT EXTRA voltado para Windows.

PERI-BR
um Live-CD Baseado na distribuio Ubuntu com a interface do Gnome. Atualmente na verso 1.0. Desenvolvido com um trabalho de psgraduao pela Universidade Catlica de Braslia.

PERI-BR

3AP-BR
um Live-CD Baseado na distribuio Debian. Atualmente na verso 1.0. Desenvolvido com um trabalho de Concluso de Curso de Graduao pela Faculdade de Tecnologia Senai de Desenvolvimento Gerencial no ano de 2009.

3AP-BR

FERRAMENTAS FORENSE
Nas prximas subsees, apresentaremos as ferramentas para Forense Computacional que utilizamos para implementar o Live-CD. Todas ferramentas para forense computacional instaladas so ferramentas livres.

ANLISE DE DADOS
Autopsy uma interface grfica para o comando de linha digital de instrumentos de investigao em anlise Sleuth Kit. Juntos eles podem analisar o Windows e Unix, discos e sistemas de arquivos(NTFS, FAT, UFS1/2, Ext2/3.) O Autopsy opensource executados em plataformas UNIX, como ele baseado em HTML, o usurio pode se conectar ao servidor

ANLISE DE DADOS
PTK - uma interface grfica para o comando de linha digital de instrumentos de investigao em anlise Sleuth Kit. O PTK foi desenvolvido com o intuito de melhorar as caractersticas j presentes no Autopsy. Baseado em Ajax e outras tecnologias avanadas, que oferece inmeros recursos como pesquisa, anlise e gesto de casos

ANLISE DE REDE
IPtraf uma ferramenta que, a partir de uma infraestrutura montada para a coleta de dados efetuada na RedeRio, disponibiliza atravs de uma interface web amigvel dados e estatsticas sobre trfego em backbones IP. Ela serve como fonte de consulta comunidade cientfica e s

ANALISE DE REDE
NetWhistler uma ferramenta open-source de mapeamento de rede e software de monitoramento SNMP, que oferece culpa integrada e funcionalidade de gerenciamento de desempenho.

ANLISE DE REDE
Ntop uma ferramenta para monitorar e gerenciar redes, alm de ter muitos recursos que demonstram tudo atravs de grficos e informaes detalhadas que permite com que haja interao entre usurios.

ANLISE DE REDE
Wireshark um programa que analisa o trfego de rede e o organiza por protocolos. possvel controlar o trfego de uma rede e saber tudo o que entra e sai do computador, em diferentes protocolos, ou da rede a qual o computador est ligado.

ANLISE DE REDE
Xplico uma excelente ferramenta de anlise forense, que capaz de interpretar quase todos os protocolos mais usados e captur-los de forma prtica e visual. Com ele possvel descobrir qual site, email, e at conversa VOIP que um computador trafegou.

BACKUP
Grsync um programa de transferncia de arquivos para sistemas UNIX. Ele utiliza um algoritmo de sincronizao que permite que apenas as partes alteradas dos arquivos sejam transferidas pelo link, poupando a banda do link e tornando a sincronizao

COLETA DE DADOS
Air uma interface grfica para os comandos dd/dcfldd. Ela gera e compara automaticamente hashes MD5 ou SHA. Produz um relatrio contendo todos os comandos utilizados durante a sua execuo. Ela tambm elimina o risco da utilizao de

COLETA DE DADOS
Guymanger um gerador de imagens livres para aquisio de meios de comunicao. Executado em Linux e uma interface fcil em diferentes lnguas, o Guymanger suporta clonagem de disco.

COLETA DE DADOS
Mount Manager uma ferramenta para coleta de dados que pode: montar e desmontar parties, mostrar todos os discos lgicos e fsicos, possui um sistema de restaurao, entre outras.

DETECO DE INTRUSO
Ossec uma ferramenta para deteco de intruso na rede, ele pode monitorar computadores clientes com os principais arquivos de sistema, como a pasta system32 do Windows ou a pasta /etc do Linux, fornecendo alertas por email e relatrios web,

CHECAGEM DE HASH
DHash uma interface grfica que permite obter o Hash de um arquivo ou de um dispositivo em trs opes diferentes: MD5, SHA-1 e SFV. O Dhash til para quem precisa de mais de um registro de Hash.

CHECAGEM DE HASH
GTKHash um utilitrio GTK+ para digests e checksum usando a biblioteca mhash. um software livre que pode redistribu-lo e modific-lo sob os termos da GNU e atualmente est na sua verso 2 da licena.

INFORMAES DO PC
Hardware Lister uma ferramenta que fornece informaes detalhadas da configurao do hardware instalado. Relata a exata configurao da memria cache, placa me, verso, velocidade da CPU, etc.

NTFS Undelete um software que permite recuperar arquivos apagados. O programa recupera os arquivos diretamente do disco rgido e funcionar mesmo se ocorrer a limpeza da lixeira.

RECUPERAO DE DADOS

Photorec uma ferramenta para recuperao de dados, atuando na recuperao principalmente de arquivos de foto e vdeo. No entanto, com ele possvel recuperar outros tipos de arquivos.

RECUPERAO DE DADOS

TestDisk um software open-source que foi desenhado principalmente para ajudar a recuperar parties perdidas, corrigir tabelas de parties, recuperar parties deletadas, reconstruir setor de inicializao, Recuperar setor de inicializao, entre outras.

RECUPERAO DE DADOS

Distribuio Utilizada;

CONSTRUO DO LIVECD

Classificao das Ferramentas no Menu do Sistema; Gerao do Live-CD.

Classificao das Ferramentas no Menu do Sistema:

CONSTRUO DO LIVECD

Para a criao do menu, seguiu-se uma linha de trabalho e funcionalidade para facilita a compreenso do usurio. O menu foi feito dividido por categorias. Foi modificado o arquivo gnomeapplications.menu dentro de

CONSTRUO DO LIVECD Clique para editar os estilos do texto mestre

Segundo nvel Terceiro nvel Quarto nvel Quinto nvel

Gerao do Live-CD:

CONSTRUO DO LIVECD

Foi usado o software remastersys, que uma ferramenta desenvolvida para Debian, Ubuntu e seus derivados e em principio, tem dois propsitos: fazer um backup completo do sistema e fazer uma cpia

Gerao do Live-CD:

CONSTRUO DO LIVECD

/home/remastersys/remastersys => onde ficar contido imagem ISO que ser recriada aps a customizao; /usr/share/livecdsh => contm os Shell Scripts utilizados no Live CD; /opt => contm os programas do Live CD;

www.forensetec.com.br

www.redescomputadores .com.br

Obrigado!
Marcus Vinicius Ferreira dos Santos
marcus@redescomputadores.com.br

Rodrigo Teles Nunes

rodrigo@redescomputadores.com.br

Prof. Antnio Pires de Castro Jnior

apcastrojr@gmail.com