Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
em Memoria
Ricardo Klber Martins Galvo
www.ricardokleber.com
ricardokleber@ricardokleber.com
SecurityDay :: 23/11/2013
Anlise Forense
Definindo e Contextualizando...
A aplicao de princpios das cincias fsicas ao direito
na busca da verdade em questes cveis, criminais
e de comportamento social
para que no se cometam injustias
contra qualquer membro da sociedade
(Manual de Patologia Forense do Colgio de Patologistas Americanos, 1990).
Quando?
Como?
Porque?
Onde?
Normas e Procedimentos
Computao Forense
Definindo e Contextualizando...
Supre as necessidades das instituies legais para
manipulao de evidncias eletrnicas;
Estuda a aquisio, preservao, identificao, extrao,
recuperao e anlise de dados em formato eletrnico;
Produz informaes diretas e no interpretativas.
Computao Forense
Lei 12.737/2012
Art. 154-A Invadir dispositivo informtico alheio, conectado ou no rede de
computadores, mediante violao indevida de mecanismo de segurana e com
o fim de obter, adulterar ou destruir dados ou informaes sem autorizao
expressa ou tcita do titular do dispositivo ou instalar vulnerabilidades para
obter vantagem ilcita:
Pena deteno, de 03 (trs) meses a 01 (um) ano, e multa.
1o Na mesma pena incorre quem produz, oferece, distribui, vende ou difunde
dispositivo ou programa de computador com o intuito de permitir a prtica da
conduta definida no caput.
2o Aumenta-se a pena de um sexto a um tero se da invaso resulta
prejuzo econmico.
Computao Forense
necessrio se especializar...
A contestao de tcnicas periciais
utilizadas (quando provada tecnicamente) pode inviabilizar todo o esforo
pericial...
Computao Forense
Contextualizando...
Conceitos Importantes
Evidncias
No-Volteis x Volteis
Tipos de Anlise:
In Loco
Post mortem
Recuperao
Extrao
Computao Forense
Contextualizando...
O que Coletar/Analisar ?
Mdias
Hds, pendrives, cds, dvds...
Dispositivos no convencionais
Cmeras digitais, culos/relgios/pulseiras...
(com dispositivos de armazenamento).
Dados trafegando na rede
Grampos digitais para interceptar dados
trafegando entre equipamentos
Dados em memria
O que est (ou estava) na memria voltil
Mdias
Redes
Captura de trfego e realizao da
Extrao (com ferramentas apropriadas)
Memria
Malwares !!!
Possibilidade de:
Contaminao de dados
Destruio de evidncias
Sysinternals
http://technet.microsoft.com/en-us/sysinternals/default.aspx
Process Explorer
Autoruns
DiskMon
NTFSInfo
PortMon
PsExec
PsFile
PsInfo
PsList
PsLogList
PsService
PsSuspend
RAMMap
Registry Usage
RootKitRevealer
Strings
TCPView
(...)
Outros
Desenvolvedores:
NirSoft
Foundstone
https://cofee.nw3c.org/
http://www.microsoft.com/enus/news/press/2009/oct09/10-13cofeepr.aspx
https://wikileaks.org/wiki/Microsoft_COFEE_(Com
puter_Online_Forensics_Evidence_Extractor)_tool
_and_documentation,_Sep_2009
http://decafme.org
Desabilita CD/DVD-ROM
Desabilita portas Seriais e Paralelas
Apaga arquivos e pastas
Apaga logs do Event Viewer
Remove clientes torrent
Apaga cache, cookies e
histrico do browser
Mtodo manual
Recuperar evidncias
Anlise Independe do sistema de arquivos analisado
Suspenso do processador
dd/dcfldd (/dev/fmem)
Mandiant Memoryze
Mantech Memory DD
http://www.mantech.com/msma/MDD.asp
Winen32/64 (Guidance)
http://www.mandiant.com/software/memoryze.htm
http://www.guidancesoftware.com
FastDump (HBGary)
http://www.hbgary.com/download_fastdump.html
http://www.forensicswiki.org/
wiki/Tools:Memory_Imaging
Carving Manual
FATKit
EnCase (Guidance)
WMFT
Procenum
F-Response
Idetect
HBGary Responder
VAD Tools
KnTTools
FlyPaper
WinDbg
Memoryze (Mandiant)
PTK (Framework)
http://code.google.com/p/volatility
Blog (alternativo):
http://www.forensicswiki.org/wiki/Volatility_Framework
Plugins:
http://www.forensicswiki.org/wiki/List_of_Volatility_Plugins
help da ferramenta
arquivo de configurao (default)
modo de depurao (debug)
diretrio para plugins extras
informaes sobre todos os objetos
:
:
:
:
:
WinXPSP2x86, WinXPSP3x86
1
3
2011-04-10 21:29:25 UTC+0000
2011-04-10 14:29:25 -0700
Name
PID
PPID Thds
Hnds
Sess Wow64
-------------------- ----- ----- ------ ------ ------ -----System
4
0
55
246
-0
SMSS.EXE
368
4
3
19
-0
CSRSS.EXE
600
368
10
362
0
0
WINLOGON.EXE
624
368
23
522
0
0
SERVICES.EXE
668
624
16
252
0
0
LSASS.EXE
680
624
22
331
0
0
SVCHOST.EXE
844
668
18
164
0
0
SVCHOST.EXE
1056
668
6
76
0
0
SVCHOST.EXE
1104
668
14
194
0
0
EXPLORER.EXE
1956 1932
16
427
0
0
ALG.EXE
840
668
6
101
0
0
WORDPAD.EXE
320 1204
2
98
0
0
cmd.exe
972 1956
1
33
0
0
win32dd.exe
1120
972
1
22
0
0
Start
Exit
------------ -----------------------------2011-04-10
2011-04-10
2011-04-10
2011-04-10
2011-04-10
2011-04-10
2011-04-10
2011-04-10
2011-04-10
2011-04-10
2011-04-10
2011-04-10
2011-04-10
21:05:13
21:05:16
21:05:16
21:05:16
21:05:16
21:05:16
21:05:17
21:05:18
21:05:29
21:05:33
21:08:40
21:28:24
21:29:24
UTC+0000
UTC+0000
UTC+0000
UTC+0000
UTC+0000
UTC+0000
UTC+0000
UTC+0000
UTC+0000
UTC+0000
UTC+0000
UTC+0000
UTC+0000
Local Address
---------------------192.168.1.32:1044
192.168.1.32:1047
Remote Address
------------------------91.199.75.77:80
192.168.1.150:139
Pid
--1204
4
kdbgscan
pslist
pstree
psscan
dlllist
dlldump
pedump
handles
getsids
cmdscan
consoles
procinfo
memmap
procexedump
vadinfo
vadwalk
vadtree
vaddump
evtlogs
modules
modscan
moddump
driverscan
filescan
mutantscan
symlinkscan
thrdscan
connections
connscan
sockets
sockscan
netscan
hivescan
hivelist
printkey
hivedump
hashdump
lsadump
userassist
shimcache
getservicesids
crashinfo
hibinfo
imagecopy
raw2dmp
malfind
yarascan
svcscan
ldrmodules
impscan
apihooks
idt
gdt
threads
callbacks
driverirp
devicetree
psxview
timers
WinPMEM
/usr/share/volatility-3.0-tp2/tools/windows/winpmem
Verso 1.1
http://www.cfreds.nist.gov/mem/memory-images.rar
Distribuies Especficas
www.deftlinux.net
Distribuies Especficas
www.kali.org
www.ricardokleber.com
Palestras:
www.ricardokleber.com/palestras
Vdeos:
www.ricardokleber.com/videos
Twitter:
www.twitter.com/ricardokleber