Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
21,23,24e25deJulhode2009 Unirio::RiodeJaneiro/RJ
www.ricardokleber.com.br
Contextualizao
reabastanteabrangente(tempoinsuficiente); Apresentaodeprincipaisconceitosenvolvidos; Listasnoexaustivasdetcnicaseferramentas; ScreenshotseLinks(materialcomplementar); Prticalimitadacomprincipaisferramentas; ObjetivoPrincipal:Apresentaroassuntoe estimularoestudonarea.
PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)
Definies
AnliseForense
Aaplicaodeprincpiosdascinciasfsicasaodireitonabusca daverdadeemquestescveis,criminaisedecomportamento socialparaquenosecometaminjustiascontraqualquer membrodasociedade
(ManualdePatologiaForensedoColgiodePatologistasAmericanos,1990).
Levantarevidnciasquecontamahistriadofato:
Quando? Como? Porque? Onde?
NormaseProcedimentos
PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)
Definies
AnliseForenseComputacional
Supreasnecessidadesdasinstituieslegais paramanipulaodeevidnciaseletrnicas; Estudaaaquisio,preservao,identificao, extrao,recuperaoeanlisededadosem formatoeletrnico; Produzinformaesdiretasenointerpretativas.
PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)
Definies
AnliseForenseComputacional
ComputaoForenseacinciaquetratado exame,anliseeinvestigaodeumincidente computacional,ouseja,queenvolvama computaocomomeio,sobaticaforense, sendoelacveloupenal. NacriminalsticaaComputaoForensetratao incidentecomputacionalnaesferapenal, determinandocausas,meios,autoriae conseqncias
PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)
Definies
AnliseForenseComputacional
Permiteorastreamento,identificaoe comprovaodaautoriadeaesnoautorizadas Auxiliaeminvestigaesqueapuramdesde violaesdenormasinternasacrimes eletrnicos.
PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)
Definies
AnliseForenseComputacional::AspectosLegais
Enquanto no existe uma padronizao das metolodologias de anlise forense, feito um paralelo com mtodos tradicionais, a fim de se garantir o valor judicial de uma prova eletrnica; fundamental ao perito a compreenso do Cdigo de Processo Penal - "Captulo II - Do Exame do Corpo de Delito, e das Percias em Geral.
PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)
Definies
AnliseForenseComputacional::AspectosLegais
Artigo 170: "Nas percias de laboratrio, os peritos guardaro material suficiente para a eventualidade de nova percia. Sempre que conveniente, os laudos sero ilustrados com provas fotogrficas, ou microfotogrficas, desenhos ou esquemas. Artigo 171: "Nos crimes cometidos com destruio ou rompimento de obstculo a subtrao da coisa, ou por meio de escalada, os peritos, alm de descrever os vestgios, indicaro com que instrumentos, por que meios e em que poca presumem ter sido o fato praticado".
PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)
Definies
AnliseForenseComputacional::AspectosLegais
Adaptao das normas da percia convencional (Cdigo de Processo Penal);
Exemplo: Os peritos devero guardar material suficiente para nova percia. (do Cdigo de Processo Penal - Artigo 170) Entende-se que deve-se fazer cpias com assinaturas digitais para anlise futura.
PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)
Primeiros Registros
PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)
Necessidade de Percia
PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)
CAVALODETRIANovembro/2003
CAVALODETRIAIIOutubro/2004
MATRIXMaro/2005
ANJODAGUARDAIJulho/2005
ANJODAGUARDAIIAgosto/2005
PEGASUSsetembro/2005
PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)
GALCTICOSagosto/06 Cercade65prises/Imperatriz/MA
REPLICANTEsetembro/06 CTRLALTDELdezembro/06
Cercade60prises/Goinia/GO Cerca39prisesnoPar
CARROSSELdezembro07aocontraapedofilia
Cercade14estadosnoBRe78pases
PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)
Onde Necessrio?
Defacementscomviolaodedadosdesites; Defacementscomdifamaoemsites; Ataquesaservidores; Emailsfalsos; Roubodedados(usandophishingscamp.ex.); Difamao; Ameaas; Retiradasetransfernciasdecontasbancrias; Investigaessobrepedofilia; Investigaessobrecrimescomunscomindciosde provasemcomputadorese/oumdias. Etcetcetc...
PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)
Caractersticas do Perito
Necessidade de profundos conhecimentos tcnicos; Conhecimento de ferramentas especficas; tica.
O perito no um policial nem juiz... No pode se envolver pessoalmente em prises ou julgar os praticantes dos delitos descobertos Caso do aluno homossexual Caso da professora separada
PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)
Tarefas do Perito
Preservar os dispositivos Cpia integral (e fiel) das mdias Hash (resumo criptogrfico) para garantir a integridade dos dados Preservao dos Logs Ata Notarial (constatao escrita, atestada por testemunhas, da ocorrncia de um fato)
PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)
PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)
Reconhecimento da Atividade
Legislao do Estado de So Paulo Decreto n 48.009, de 11 de agosto de 2003 Artigo 12 - O Ncleo de Percias de Informtica tem por atribuio realizar percias visando elaborao de laudos periciais de locais e peas envolvendo aparelhos computadorizados, "software", "hardware" e perifricos, relacionados com a prtica de infraes penais na rea de informtica.
PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)
Falta de Padronizao
Ausncia de normas possibilita uma margem de erro muito grande para evidncias despercebidas; Procedimentos... Ferramentas... qual deve/pode ser utilizada legalmente? Peritos x Advogados !!!
Ex.:BoazGuttman http://www.4law.co.il
PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)
Tentativas de Padronizao
Proposed Standards for the Exchange of Digital Evidence
Scientific Working Group on Digital Evidence (SWGDE)
PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)
Dificuldades Atuais
Omisses na legislao federal existente:
Obrigaes dos provedores e usurios Reteno de logs de acesso e dados cadastrais
Regulamentao de funcionamento:
Cyber-cafs Salas de bate-papo
Cooperao internacional s vezes lenta e ineficiente Aumento dos crimes cibernticos x Nmero de Peritos Aumento na capacidade de armazenamento Novas tcnicas (criptografia/anti-forense)
PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)
Definies
AnliseForenseComputacional
Aquisio Preservao Identificao Extrao Recuperao Anlise Apresentao(documentao)
PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)
Aquisio de Dados
OqueColetar?
Mdias Hds,pendrives,cds,dvds... Dadosemmemria Emanlisescomequipamentosligados Dadostrafegandonarede Eminvestigaesdetrfegodeinformaes Tambmcomequipamentosligados Dispositivosnoconvencionais Cmerasdigitais,culos/relgios/pulseiras...(com dispositivosdearmazenamento).
PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)
Aquisio de Dados
Interfacesexternas(baseadasemUSBe/ou firewire)soindicadasparaauxiliaresteprocesso.
PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)
Aquisio de Dados
SerialATA DriveLock DriveLock Firewire/USB DriveLock IDE
WriteProtect CardReader
PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)
Aquisio de Dados
Maletascomkitsotimizadosparaaquisiode dadosdevriasmdiasestodisponveis.
PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)
PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)
Aquisio de Dados
Dadosarmazenadosforadosequipamentos
Sistemasdearquivosremotos; Backupsemprovedoresdecontedo; Servidorescorporativosexternos; Datacentersinternacionais.
NecessriaaIntervenodoJuiz (OrdemJudicial)
PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)
Preservao de Dados
Comomanipulardadossemalteraroseu contedooriginal?
PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)
Preservao de Dados
Aalteraodedadospodesercomparadaa alteraodacenadeumcrimenomundoreal.
PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)
Preservao de Dados
Garantirbloqueiodedadosantesdacpia= Impediralteraodamdiaoriginalduranteos procedimentosdeaquisio; Somentedepoisdacpiafieldosdados(atestado porperitosetestemunhas)amdiaoriginalpode serdispensada. PeritoOficial(fpblica); PeritoConvidado(necessidadedetestemunhas).
PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)
Identificao de Dados
Todoomaterialapreendidoparaanlisedeveser detalhadamenterelacionadoemumdocumento (CadeiadeCustdia); Ousodeassinaturashash(MD5/SHA1/SHA256) fundamentalparagarantirqueosdadoscoletadose armazenadoscomoprovanoseromodificados futuramente.
PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)
Extrao/Recuperao de Dados
Apsacoleta,amanipulaodosdadosdas mdiaspodeserfeitapeloprprioperitoou posteriormenteporoutro(inclusiveporumperito contratadoporadvogadosquecontestaramos laudos); Extraooprocessoderetirardasmdias periciadasasinformaesdisponveis; Recuperaooprocessodebuscardados removidostotalouparcialmente,propositalmente ouno.
PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)
Anlise de Evidncias
umadasfasesmaisdemoradas,ondeoperito utilizaferramentasetcnicasparaextrair informaesdasmdiaspericiadas; Estafaseexigecuidadoespecialemproporo igualaovolumededadosanalisados,jquenem sempreasevidnciassoexplcitas(nomese formatosdearquivosp.ex.).
PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)
Apresentao de Resultados
(Laudos Periciais)
PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)
Apresentao de Resultados
(Laudos Periciais)
PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)
Resumindo...
PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)
PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)
PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)
PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)
SGZIP
UtilizadopelopyFlag(baseadonogzip) Compactadomascompossibilidadedemontagemepesquisainterna Cdigofonteaberto NomontaemWindows(necessrioconverterpararawantesdisso)
AdvancedForensicFormat(AFF)
Tentativadepadronizaoesoluodeproblemasdosanteriores Usacompactao,tratamentodeerroseoferecebibliotecasparaadaptao Emfasedetestesmascomfortetendnciadeconsolidao.
PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)
Ferramentas
Ferramentas Windows
Criadoem1996porMarkRussinovichandBryceCogswell CompradapelaMicrosoftemJulho/2006 Ferramentasavanadasparamanipulaoecoletade informaesdesistemasWindows Forunspermanentesparatirardvidasecompartilhar informaessobreasferramentas.
http://live.sysinternals.com http://technet.microsoft.com/enus/sysinternals/default.aspx
PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)
Fr e
WindowsSysinternals
ew ar e
Ferramentas Windows
PrincipaisFerramentas
ProcessExplorer ProcessMonitor Autoruns RootkitRevealer TcpView BgInfo Strings
PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)
Ferramentas Windows
ProcessExplorer
Listadetalhadadeprocessosemexecuo(eDLLs)
http://download.sysinternals.com/Files/ProcessExplorer.zip
PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)
Ferramentas Windows
ProcessExplorer
PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)
Ferramentas Windows
ProcessMonitor
http://download.sysinternals.com/Files/ProcessMonitor.zip
PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)
Ferramentas Windows
Autoruns
PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)
Ferramentas Windows
RootkitRevealer
PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)
Ferramentas Windows
TcpView
PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)
Ferramentas Windows
BgInfo
PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)
Ferramentas Windows
BgInfo
PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)
Ferramentas Windows
DuplicaoPericial::Hiren's
NortonGhost AcronisTrueImage DriveSnapShot
GhostImageExplorer DriveImageExplorer
PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)
Ferramentas Windows
RecuperaodeArquivosApagados
ActivePartitionRecovery ActiveUneraser OntrackEasyRecoveryPro WinternalsDiskCommander Lost&Found ProsoftMediaTools ActiveUndelete Restoration GetDataBackforFAT GetDataBackforNTFS Recuva
PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)
Ferramentas Windows
DuplicaoPericial
NortonGhost??
Imagem.GHOe.GHS(formatospropietrios) Imagem.VMDK(Vmware)
ImageCenter(DriveImage)??
Imagem.PQI(formatopropietrio)
AcronisTrueImage??
Imagem.TIB(formatopropietrio)
DriveSnapshot??
Imagem.SNA(formatopropietrio)
dd(forWindows)
Imagem.RAW(maisindicado!!!)
PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)
Ferramentas Windows
DuplicaoPericial::dd(forWindows)
http://www.chrysocome.net/dd ddlist
Listaasparties(origens)
ddif=origemof=destino
PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)
Ferramentas Windows
EnCase
DesenvolvidopelaGuidanceSoftware http://www.guidancesoftware.com VersesEnterpriseeForensicEdition +Versodeusorestrito(PolicyEnforcement) FerramentaComercialMaisConhecidaeRecomendada paraAnliseForenseapartirdeMquinasWindows RelatriosDetalhados,LinguagemdeScript(EnScript) EnCaseNeutrino(MobileDevices)
PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)
Ferramentas Windows
EnCaseForensicEdition
Tela Principal (Identificao de Componentes)
PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)
Ferramentas Windows
EnCaseForensicEdition
Criao de Filtros com a Linguagem de Programao EnScript
PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)
Ferramentas Windows
EnCaseForensicEdition
[LinEn] Ferramenta de Aquisio de Dados para Linux
PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)
Ferramentas Windows
EnCaseForensicEdition
Suporte a Unicode = Exibio de Dados em Vrias Lnguas
PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)
Ferramentas Windows
EnCaseForensicEdition
Suporte a vrios sistemas de arquivos como o JFS (IBM/AIX)
PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)
Ferramentas Windows
EnCaseForensicEdition
Visualizao de E-mails (Mensagens e Anexos)
PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)
Ferramentas Windows
EnCaseForensicEdition
Visualizao de Cabealhos de E-mails
PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)
Ferramentas Windows
EnCaseForensicEdition
Visualizao Detalhada de Anexos de E-mails
PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)
Ferramentas Windows
EnCaseForensicEdition
Histrico (Internet History) com suporte para Internet Explorer, Mozilla, Opera e Macintosh/Safari.
PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)
Ferramentas Windows
EnCaseForensicEdition
Web Cache com suporte para Internet Explorer, Mozilla, Opera e Macintosh/Safari.
PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)
Ferramentas Windows
FTK::ForensicToolKit
DesenvolvidopelaAccessData http://www.accessdata.com ConcorrentedoEnCase Maisfcildeoperar...MenosRecursos Comercial...Porm,maisbarato FTKMobilePhoneExaminer
PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)
Ferramentas Windows
FTK::ForensicToolKit
PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)
Ferramentas Windows
FTK::ForensicToolKit
PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)
Ferramentas Windows
FTK::ForensicToolKit
PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)
Ferramentas Windows
FTK::ForensicToolKit
PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)
Ferramentas Windows
FTK::ForensicToolKit
PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)
Ferramentas Windows
FTK::ForensicToolKit
PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)
Ferramentas Windows
FTK::ForensicToolKit
PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)
Ferramentas Windows
FTK::ForensicToolKit
PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)
Ferramentas Windows
FTK::ForensicToolKit
PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)
Ferramentas Windows
FTK::ForensicToolKit
PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)
Ferramentas Windows
FTK::ForensicToolKit
PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)
Ferramentas Windows
FTK::ForensicToolKit
PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)
Ferramentas Windows
FTK::ForensicToolKit
PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)
Ferramentas Unix/Linux
PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)
Ferramentas Unix/Linux
strings
Ferramentas Nativas
Extraimensagensdetexto(strings)dearquivos; Podeserutilizadaemarquivoscomunsoudispositivos
grep
Procuraporpadresemarquivos; UtilizadocomofiltroporvrioscomandosnoLinux.
file
Identificaotipodearquivo(independentedeextenses)
PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)
Ferramentas Unix/Linux
Coleta de informaes volteis
Conexes TCP # netstat natp | tee conexoes.tcp Conexes UDP # netstat naup | tee conexoes.udp Processos em Execuo # ps aux | tee processos
PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)
Ferramentas Unix/Linux
Coleta de informaes volteis
Trfego para determinado endereo:
Otrfegopodeserremontadoposteriormente utilizandoseumanalisadordepacotescomooWireshark Arquivos Abertos e Relacionamentos com Processos # lsof | tee arquivos
PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)
Ferramentas Unix/Linux
Coleta de informaes volteis
Informaes sobre porta especfica (TCP) # fuser v <porta>/tcp > porta.tcp Informaes sobre porta especfica (UDP) # fuser v <porta>/udp > porta.udp Mdulos Ativos # lsmod | tee a modulos.info # cat /proc/modules | tee a modulos.info
PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)
Ferramentas Unix/Linux
PerciacomEstaoPericialRemota
UsodoNetcat(nc) Enviodeinformaesparaamquinaremota:
#cat<arquivo>|nc<mquinaremota><portaremota>
Recebimentodedadosdamquinapericiada:
#nclp<porta>|tee<arquivo>
PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)
Ferramentas Unix/Linux
Aquisio (Coleta de Evidncias)
Imagemfsicaeimagemlgica
Umdispositivodearmazenamentooumdia(HD,CD,pendrive...)possuiuma tabelainternaqueindicacomoodispositivoestdivididonasparties; CDsependrives,namaioriadasvezes,possuemapenasumapartio; HDs,porm,comumentesoparticionadosdeformaaorganizarmelhoro armazenamentodearquivos. Umaimagemlgicaumaimagemforensedeumapartioapenas.Uma imagemfsicacontmtodasaspartiesdodispositivomaisatabelade parties.Porexemplo,setemosumHDcom3partiesemumamquina comLinux,carregandoesseHDcomoumdispositivo(device)hda,teramos:
Imagemfsica=>/dev/hda Imagemlgica=>/dev/hda1,/dev/hda2ou/dev/hda3
PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)
Ferramentas Unix/Linux
Aquisio (Coleta de Evidncias)
GeraodeImagemPericial
Usododd GeraodaImagem:
# dd if=/dev/hda1 of=imagem.dd
Montandoumaimagem:
# mount <imagem> <destino> -o ro,loop
PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)
Ferramentas Unix/Linux
GeraodeImagemPericialRemotamente
Usododd+ssh GerandoumaImagemdeformasegura(criptografia):
# dd if=/dev/hdb2 | ssh usuario@estacaopericial dd of=imagem.img
PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)
Ferramentas Unix/Linux
PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)
Ferramentas Unix/Linux
Aquisio (Coleta de Evidncias)
InformaesComplementares
Apesardeseramaneiramaissimples,outilitrioddnooferecealgumas funcionalidadesimportantes; Odd_rescueservepararealizaraquisiesdemdiascomproblemas(em algumassituaeoddinterrompidoaoencontrarerrosnamdia); Osddrealizaaquisiesmaisrpidodoqueodd,quandootamanhode blocodosdevicesdeorigemedestinosodiferentes; Odcflddpossuiumlogdetodaaoperao,fazdivisodaimagem(split)e permiteverificardiretamenteaintegridadedaoperaoatravsdevrios algoritmosdehash; OrddfoidesenvolvidopeloNetherlandsForensicInstitute(NFI)esua documentaoindicaqueelebemmaisrobustoemrelaoatratamentode erros,divisodearquivos(split)ehash.
PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)
Ferramentas Unix/Linux
Aquisio (Coleta de Evidncias)
InformaesComplementares
Asinterfacesgrficasso,emsuamaioria,mscarasparaasferramentas emlinhadecomando.Ousurioindicaasopesdaaquisio,queso passadasparaumdosutilitriosemlinhadecomando. OAdepto,oferecelogsobretodaaoperaoeapossibilidadedeseescolher entreusarodcfldd(formatoraw)ouaindaoAFF,paraoformatoAdvanced ForensicFormat.Nainterfacetambmindicamosqualalgoritmodehashser usadoparavalidaraoperaoesequeremosdividiroarquivodaimagemem poresmenores(split).Elepermitetambmfazeraaquisiotendocomo destinoumdispositivomontado(local),umdispositivoSMB(Sambaoumesmo umcompartilhamentoWindows)ouentovianetcat. OAir,presentenoHelix,notocompletoquantooAdeptoemtermosde log,eoferececaptaraimagematravsdoddoudodcfldd.possvel determinaroalgoritmodehash(md5eSHA1)eenviaraimagemcapturada atravsdaredecomnetcatoucryptcat(netcatencriptado).
PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)
Ferramentas Unix/Linux
Origem
6deagostode1999; DanFarmerandWietseVenema; IBMT.J.WatsonResearchCenter; Apresentaramapalestra:
UNIXComputerForensicsAnalysis,promovidapelaIBM. PrimeiraferramentaTheCoroner'sToolkit(TCT)
PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)
Ferramentas Unix/Linux
TCT::TheCoroner'sToolkit
ColeodescriptsPerl Ferramentasmaisconhecidas:
graverobber:capturadeinformaes ils/mactime:informaessobreacessoaarquivos findkey:recuperaodechavescriptogrficas unrm/lazarus:recuperaodearquivosapagados
PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)
Ferramentas Unix/Linux
TCT::TheCoroner'sToolkit
UsodoTCTemrecuperaodedadosapagados: unrm+lazarus
PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)
Ferramentas Unix/Linux
TCT::TheCoroner'sToolkit
Coletadedados(varreduradereasapagadas) unrm /dev/hdb1 >> imagem.out GeraodecdigoHTMLparaanlise
lazarus -h -D . H . -w . imagem.out
-h cria um documento HTML (visualizado por qualquer browser); -D <dir> direciona a escrita dos blocos para um diretrio especfico; -H <dir> direciona os principais arquivos HTML para um diretrio especfico; -w <dir> direciona outras sadas HTML para um diretrio especfico.
PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)
Ferramentas Unix/Linux
TCT::TheCoroner'sToolkit
PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)
Ferramentas Unix/Linux
TCT::TheCoroner'sToolkit
Limitaes: TipodePartioInvestigada
NoreconhecepartiesNTFS,FATeEXT3
Ferramentas Unix/Linux
SleuthKit
Coleodeferramentasparaanlisedesistemas
CapazdeanalisarsistemasdearquivosNTFS,FAT,UFS,
EXT2eEXT3
Ferramentas Unix/Linux
TheAutopsyForensicBrowser
Interfacegrfica(escritaemPerl)paraoSleuthKit
PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)
Ferramentas Unix/Linux
TheAutopsyForensicBrowser
Podeserexecutadodiretamentenosistemacomprometido (idealemcasosondenopossvelextrairimagensdosistema
dearquivos)
PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)
Ferramentas Unix/Linux
TheAutopsyForensicBrowser
root@estacaopericial:~# autopsy & [1] 1074 root@estacaopericial:~# ============================================================================ Autopsy Forensic Browser http://www.sleuthkit.org/autopsy/ ver 1.75 ============================================================================ Evidence Locker: /var/lib/autopsy/ Start Time: Sat Sep 04 09:59:26 2004 Remote Host: localhost Local Port: 9999 Open an HTML browser on the remote host and paste this URL in it: http://localhost:9999/34346426042338741437/autopsy
PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)
Ferramentas Unix/Linux
TheAutopsyForensicBrowser
Tela Inicial
PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)
Ferramentas Unix/Linux
TheAutopsyForensicBrowser
Galeria de Cases (Case Gallery)
PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)
Ferramentas Unix/Linux
TheAutopsyForensicBrowser
Galeria de Hosts (Host Gallery)
PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)
Ferramentas Unix/Linux
TheAutopsyForensicBrowser
Gerenciador de Hosts (Host Manager)
PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)
Ferramentas Unix/Linux
TheAutopsyForensicBrowser
Criando um Novo 'Case'
PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)
Ferramentas Unix/Linux
TheAutopsyForensicBrowser
Adicionando uma Nova Imagem
PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)
Ferramentas Unix/Linux
TheAutopsyForensicBrowser
Estudo de Caso (Scan do Ms 24 :: 10/2002) Desafio:
1. Quem so os fornecedores de maconha de Joe Jacobs e qual o endereo informado pelo fornecedor? 2. Que dados cruciais esto disponveis dentro do arquivo coverpage.jpg e porque estes dados so cruciais? 3. Quais (se existe alguma) outras escolas alm da Smith Hill Joe Jacobs frequenta? 4. Para cada arquivo, que procedimentos foram feitos pelo suspeito para mascar-los dentro de outros? 5. Que procedimentos voc (investigador) utilizou para examinar com sucesso o contedo de cada arquivo?
www.honeynet.org
Analisaraimagemrecuperadadeumdisqueteeresponderasquestespropostas.
PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)
Ferramentas Unix/Linux
TheAutopsyForensicBrowser
Exerccio: Exame de Contedo (File Analysis)
PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)
Ferramentas Unix/Linux
TheAutopsyForensicBrowser
Exerccio: Exame de Contedo do Arquivo Apagado
PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)
Ferramentas Unix/Linux
TheAutopsyForensicBrowser
Exerccio: Exame de Contedo do Arquivo Scheduled Visits.exe
PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)
Ferramentas Unix/Linux
TheAutopsyForensicBrowser
Exerccio: Exame de Contedo do Arquivo Scheduled Visits.exe
PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)
Ferramentas Unix/Linux
TheAutopsyForensicBrowser
Exerccio: Exame de Contedo do Arquivo coverpage.jpgc
PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)
Ferramentas Unix/Linux
TheAutopsyForensicBrowser
Exerccio: Exame de Contedo do Arquivo coverpage.jpgc
Ferramentas Unix/Linux
http://www.efense.com/helix/
http://mirrors.cmich.edu/helix/Helix2008R1.iso
PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)
Ferramentas Unix/Linux
OutrosConjuntosdeFerramentasemLiveCD
ProfessionalHackersLinuxAssaultKit(PHLAK) http://www.phlak.org Knoppixsecuritytoolsdistribution(Knoppixstd) http://www.knoppix-std.org PenguinSleuthKitBootableCD http://www.linux-forensics.com ForensicandIncidentResponseEnvironment(F.I.R.E) http://fire.dmzs.com/
PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)
Ferramentas Unix/Linux
OutrosConjuntosdeFerramentasemLiveCD
FdtkUbuntuBR http://www.fdtk.com.br
ForenseDigitalToolkit Projetolivrequeobjetivaproduziremanterumadistribuio paracoletaeanlisededadosemPerciaForenseComputacional
PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)
Fdtk Ubuntu-BR
ColetadeDados
Formulrio>FormulriodeCadeiadeCustdia air>Interfacegrficaparadd/dcfldd,paracriarfacilmenteimagensforense dcfldd>VersoaprimoradapeloDOD(DepartamentofDefense)dodd dd>Ferramentaparageraodeimagemdosdados ddrescue>Recuperardadosdehdscomsetoresdefeituosos(badblocks) sdd>VersodaferramentaddparaFitas(DAT,DLT...) memdump>DumpdememriaparasistemasUNIXlike md5sum>Gerarhashmd5 sha1sum>Gerahashsha(160bits) discover>InformaessobreHardware hardinfo>InformaeseTestesdoSistema lshwgrfico>ListaosdispositivosdehardwareemformatoHTML sysinfo>Mostrainformaesdocomputadoredosistema wipe>RemovertotalmenteosdadosdasMdias
PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)
Fdtk Ubuntu-BR
ExamedeDados(1/2)
cabextract>Acessarcontedodearquivos.cab orange>Ferramentaparamanipulararquivos.cab p7zip>Acessararquivoszip unshield>FerramentaparadescompactararquivosCABdaMS exif>LerinformaesEXIFdearquivosjpeg exifprobe>ExamedocontedoedaestruturadosarquivosdeJPEGeTIFF exiftags>Adquiririnformaessobreacmeraeasimagensporela produzidas jhead>Visualizaremanipularosdadosdecabealhosdeimagensjpeg jpeginfo>Ferramentaparacoletarinformaessobreimagensjpeg antiword>FerramentaparalerarquivosdoMSWord dumpster>AcessarosarquivosdalixeiradoWindows readpst>FerramentaparalerarquivosdoMSOutlook reglookup>UtilitrioparaleituraeresgatededadosdoregistrodoWindows
regp>Acessarocontedodearquivos.dat
PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)
Fdtk Ubuntu-BR
ExamedeDados(2/2)
gnomesearchtool>Ferramentagrficadelocalizaodearquivos slocate>Localizaarquivoseindexaosdisco ntfscat>ConcatenaarquivosevisualizaossemmontarapartioNTFS ntfsclone>ClonarumsistemadearquivosNTFSousomentepartedele ntfsinfo>ObterinformaessobrepartiesNTFS ntfsls>ListaocontedodediretriosempartiesNTFSsemmontlos atback>FerramentapararecuperardadosdesistemasdearquivosFAT foremost>Ferramentapararecuperaodeimagensapartirdoscabealhos gzrecover>Ferramentaparaextrairdadosdearquivosgzipcorrompidos ntfsundelete>RecuperararquivosdeletadosempartiesNTFS recoverjpg>Ferramentapararecuperarimagensjpg scroungentfs>FerramentapararecuperardadosdepartiesNTFS chkrookit>Ferramentaparaidentificarapresenaderootkitsnosistema rkhunter>Ferramentaparaidentificarapresenaderootkitsnosistema
imageindex>Geragaleriadeimagensemhtml
PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)
Questionamentos
PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)