Forense caso 00b

De Eriberto Wiki
Ir para navegação Ir para pesquisar

by (C) João Eriberto Mota Filho <eriberto (a) eriberto pro br>

Caso para estudo, ligado diretamente ao artigo perícia forense computacional, existente neste wiki.

Última atualização: veja o rodapé desta página.




Caso 00b - Análise avançada de filesystems


Brasília, DF, 20 de junho de 2011


Atualização em: 26 de outubro de 2011




Este é um exercício conduzido com o objetivo familiarizar o executante com diversos filesystems.

Várias imagens do mesmo tamanho estão disponíveis dentro de dois arquivos: caso_00b_fase1.tar.bz2 (41 MB comprimidos e 801 MB descomprimidos) e caso_00b_fase2.tar.bz2 (45 MB comprimidos e 801 MB descomprimidos). Os hashes MD5 dos arquivos comprimidos são, respectivamente, c285ace1e6afb826f2442cecec7f6e55 e 389dad2b1877c4dce7094061bd33102f.

Foi criado um script shell para realizar as seguintes operações em cada filesystem:

  • Cada um recebeu as figuras denominadas natureza1.jpg, natureza2.jpg, natureza3.jpg e natureza4.jpg.
  • A seguir, foi criado um diretório chamado outras e, dentro dele, foram colocadas as figuras natureza5.jpg, natureza6.jpg e natureza7.jpg.
  • Depois, as figuras natureza3.jpg e natureza6.jpg foram apagadas. Neste ponto foi criado o arquivo "fase1".
  • Por último, a figura natureza8.jpg foi copiada para a raiz do filesystem e a figura natureza9.jpg para o diretório outros. Neste ponto foi criado o arquivo "fase2".

Os filesystems utilizados foram: Ext2, Ext3, Ext4, FAT32, JFS, NTFS, ReiserFS e XFS.

Obs: caso seja do seu interesse, baixe o arquivo caso_00b.src.tar.bz2, que contém todos os elementos fonte utilizados para criar o caso.





Exercício de aplicação



Exercício: execute os procedimentos a seguir, observando o funcionamento de cada filesystem. Este exercício é um guia para forçar a familiarização com diversos filesystems (os mais comuns) e ferramentas. Atente ao fato de que o TSK (The Sleuth Kit) atual (3.2.2) só possui suporte pleno para Ext2, Ext3, FAT32 e NTFS, além de outros filesystems que não foram utilizados. Assim sendo, tente perceber como ele se comporta com os outros filesystems. Observe também que, na "fase2", os novos arquivos, em alguns filesystems, ocuparam os mesmos inodes dos arquivos apagados.

Responda as proposições a seguir, utilizando as orientações impostas, analisando cada um dos filesystems das fases 1 e 2.

  1. Utilizando o comando fls -r, tente descobrir quais são os arquivos exitentes e deletados em cada filesystem.
  2. Utilizando os comandos fls -rFd e icat, tente recuperar os arquivos apagados.
  3. Utilizando o comando foremost -Tq, tente recuperar os arquivos apagados.
  4. Utilize o comando sorter -d para fazer um levantamento do conteúdo dos filesystems.
  5. Faça uma linha do tempo dos dados. (comandos fls -rm / e mactime -z brt ou mac-robber e mactime -z brt)
  6. Com o comando strings, levante algum dado relevante, na superfície do disco, sobre as figuras existentes (pedaços de dados exif, por exemplo). Use algo como strings -n 20.
  7. Explique a diferença entre o mac-robber e o fls -rm.