Forense caso 00: mudanças entre as edições

De Eriberto Wiki
Ir para navegação Ir para pesquisar
Sem resumo de edição
Sem resumo de edição
 
(2 revisões intermediárias pelo mesmo usuário não estão sendo mostradas)
Linha 1: Linha 1:
{{cabeçalho forense|00 - Análise conduzida|Brasília, DF, 14 de agosto de 2010|24 de abril de 2015}}
{{cabeçalho forense|00 - Análise conduzida|Brasília, DF, 14 de agosto de 2010|14 de maio de 2017}}


[[image:forense_hdmini.png|left]] Perícia forense computacional é a arte de investigar meios de armazenamento digital, como HDs, memórias, celulares etc. Deveremos sempre tomar todo o cuidado para preservarmos as informações, o que inclui não alterar datas e horas de arquivos e diretórios por acessos de forma errada. Outro fato é que arquivos apagados podem ser recuperados, mesmo depois de uma formatação.
[[image:forense_hdmini.png|left]] Perícia forense computacional é a arte de investigar meios de armazenamento digital, como HDs, memórias, celulares etc. Deveremos sempre tomar todo o cuidado para preservarmos as informações, o que inclui não alterar datas e horas de arquivos e diretórios por acessos de forma errada. Outro fato é que arquivos apagados podem ser recuperados, mesmo depois de uma formatação.
Linha 22: Linha 22:


#Defina Unix Epoch.
#Defina Unix Epoch.
#Defina hardlink.
#Confira o hash MD5 da imagem comprimida. Sempre faça isso. Depois, calcule os hashes SHA1, SHA224, SHA256, SHA384 e SHA512 da imagem descomprimida, colocando os resultados dentro de um arquivo.
#Confira o hash MD5 da imagem comprimida. Sempre faça isso. Depois, calcule os hashes SHA1, SHA224, SHA256, SHA384 e SHA512 da imagem descomprimida, colocando os resultados dentro de um arquivo.
#Qual filesystem foi utilizado no pendrive? (file / fsstat / disktype)
#Qual filesystem foi utilizado no pendrive? (file / fsstat / disktype)
Linha 52: Linha 53:


#Qual é o conteúdo da foto? (fls -rdF + istat + icat ou fls -rdFl + icat)
#Qual é o conteúdo da foto? (fls -rdF + istat + icat ou fls -rdFl + icat)
#Cite um site na Internet que contenha a mesma figura, de preferência com a mesma resolução.


Obs: há fotos definitivamente danificadas e inacessíveis na superfície do disco.
Obs: há fotos definitivamente danificadas e inacessíveis na superfície do disco.

Edição atual tal como às 14h17min de 14 de maio de 2017

by (C) João Eriberto Mota Filho <eriberto (a) eriberto pro br>

Caso para estudo, ligado diretamente ao artigo perícia forense computacional, existente neste wiki.

Última atualização: veja o rodapé desta página.




Caso 00 - Análise conduzida


Brasília, DF, 14 de agosto de 2010


Atualização em: 14 de maio de 2017




Perícia forense computacional é a arte de investigar meios de armazenamento digital, como HDs, memórias, celulares etc. Deveremos sempre tomar todo o cuidado para preservarmos as informações, o que inclui não alterar datas e horas de arquivos e diretórios por acessos de forma errada. Outro fato é que arquivos apagados podem ser recuperados, mesmo depois de uma formatação.

O objetivo deste caso básico será conduzir o iniciante na descoberta de fatos, por meio de perguntas diretas sobre uma imagem de pendrive de 1 GB disponibilizada. Para facilitar a tarefa, inicialmente, foram escritos caracteres "0" sobre toda a superfície do referido pendrive. Ainda, a imagem foi comprimida com bzip2 para diminuir a quantidade de dados para download.





Exercício de aplicação



Responda às perguntas a seguir, analisando a imagem de pendrive (5.9 MB comprimidos, 980 MB descomprimidos) disponibilizada.

O hash MD5 da imagem comprimida é 7306b2d44269aa0190c934d46c168374.

Para descomprimir a imagem, utilize os comandos:

# apt-get install bzip2
# bunzip2 caso_00.dd.bz2

Caso necessite, tome o cuidado de montar a imagem como read-only. Isso poderá ser feito com o comando:

# mount -o ro caso_00.dd /mnt

Perguntas básicas:

  1. Defina Unix Epoch.
  2. Defina hardlink.
  3. Confira o hash MD5 da imagem comprimida. Sempre faça isso. Depois, calcule os hashes SHA1, SHA224, SHA256, SHA384 e SHA512 da imagem descomprimida, colocando os resultados dentro de um arquivo.
  4. Qual filesystem foi utilizado no pendrive? (file / fsstat / disktype)
  5. Quantos setores possui o pendrive? (file / fsstat / fdisk -l)
  6. Quais são os três últimos bytes da imagem?
  7. Quantos arquivos estão acessíveis para usuários? (fls -ruF + grep -v + wc -l / find + wc -l no ponto de montagem)
  8. Quais tipos de arquivos estão acessíveis para usuários? (find -type f + egrep -o + sort -u)
  9. Calcule os hashes MD5, SHA1 e SHA256 de todos os arquivos acessíveis por usuários. (hashdeep / hashrat / find)
  10. Qual é o inode do arquivo "Literary Review.doc" dentro da imagem original? (fls -rF)
  11. Qual é o inode do arquivo "Literary Review.doc" no ponto de montagem, dentro do filesystem do seu HD? (ls -li / stat)
  12. Explique porque há uma diferença no número dos inodes encontrados nos dois itens anteriores e cite qual deles é o correto para referenciar o arquivo em questão.
  13. Qual é a data da criação ou última modificação do arquivo "Literary Review.doc" no filesystem? (fls -rF ou find + grep para encontrar o arquivo) (ls -l / stat / istat para ver a data)
  14. Qual é a data do último acesso ao arquivo "Literary Review.doc" no filesystem? (fls ou find para encontrar o arquivo) (ls / stat / fls + istat)
  15. Quais são as datas de criação e última modificação do conteúdo arquivo "Literary Review.doc"? (dados no próprio arquivo) (file / libreoffice / exiftool)*
  16. Quem é o criador do conteúdo do arquivo "Fernando_Porcella.xls"? (dados no próprio arquivo) (libreoffice / file / exiftool)
  17. Quem foi a última pessoa que modificou conteúdo do arquivo "Fernando_Porcella.xls"? (dados no próprio arquivo) (libreoffice / file / exiftool)
  18. Quando se deu a última impressão do conteúdo do arquivo "Fernando_Porcella.xls"? (dados no próprio arquivo) (file / libreoffice / exiftool)*
  19. Qual foi a data da última modificação do conteúdo da foto "paola-carvalho.jpg"? (dados no próprio arquivo) (strings + grep / hexedit / exiftool)
  20. Qual foi o software utilizado para fazer a modificação do conteúdo da foto "paola-carvalho.jpg"? (dados no próprio arquivo) (strings + grep / hexedit / exiftool)
  21. Qual foi o software utilizado para produzir o documento "sec-us-networkbasedfirewallservice.pdf"? (evince / okular / strings / strings + grep / hexedit / pdfinfo / exiftool)
  22. Qual foi a data de modificação do conteúdo do documento "1632-1640.pdf"? (dados no próprio arquivo) (evince / okular / strings + grep / hexedit / pdfinfo / exiftool)
  23. Quem criou o conteúdo do documento "1632-1640.pdf"? (dados no próprio arquivo) (evince / okular / strings + grep / hexedit / pdfinfo / exiftool)
  24. Pode-se afirmar que todas as datas levantadas nas perguntas anteriores são verídicas? Por quê?
  25. Dentro dos arquivos "sec-us-networkbasedfirewallservice.pdf" e "1632-1640.pdf" existem figuras JPG. Extraia as mesmas. (foremost -Tat jpg arquivo)

* O comando file mostra datas em UTC e ainda não tem suporte para documento .*x (docx, xlsx etc). O LibreOffice descarta os segundos.


Na imagem do pendrive, existem arquivos apagados. Um desses arquivos é a foto de alguns animais. Com base nisso, responda:

  1. Qual é o conteúdo da foto? (fls -rdF + istat + icat ou fls -rdFl + icat)
  2. Cite um site na Internet que contenha a mesma figura, de preferência com a mesma resolução.

Obs: há fotos definitivamente danificadas e inacessíveis na superfície do disco.

Dados EXIF

  1. Qual máquina fotográfica digital, incluindo o modelo, foi utilizada para produzir a foto disponível em http://bit.ly/cfeiN8? (metacam / exif / exiftags / exifprobe / exiftool)
  2. Explique como se deu a utilização de flash.

Timeline

  1. Utilizando os comandos fls e mactime, crie uma linha do tempo de todo o conteúdo da imagem. Sugestão: fls -rm / caso_00.dd | mactime -z BRT. Há outras formas.
  2. Exiba somente os eventos ocorridos entre 01 de junho de 2009 e 01 de janeiro de 2010.


PDF com senha

  1. O PDF "documentos/diversos/manualrv9a.pdf" possui como senha uma palavra de dicionário em portugues. Descubra qual é tal senha. (pdfcrack -w, usando o dicionário /usr/share/dict/brazilian)
  2. Tente descobrir a senha do arquivo anterior, usando o método de força bruta do pdfcrack.