https://eriberto.pro.br/wiki/index.php?title=Forense_caso_00b&feed=atom&action=historyForense caso 00b - Histórico de revisão2024-03-29T11:31:02ZHistórico de revisões para esta página neste wikiMediaWiki 1.40.0https://eriberto.pro.br/wiki/index.php?title=Forense_caso_00b&diff=1417&oldid=prevEriberto em 22h36min de 26 de outubro de 20112011-10-26T22:36:37Z<p></p>
<table style="background-color: #fff; color: #202122;" data-mw="interface">
<col class="diff-marker" />
<col class="diff-content" />
<col class="diff-marker" />
<col class="diff-content" />
<tr class="diff-title" lang="pt-BR">
<td colspan="2" style="background-color: #fff; color: #202122; text-align: center;">← Edição anterior</td>
<td colspan="2" style="background-color: #fff; color: #202122; text-align: center;">Edição das 15h36min de 26 de outubro de 2011</td>
</tr><tr><td colspan="2" class="diff-lineno" id="mw-diff-left-l21">Linha 21:</td>
<td colspan="2" class="diff-lineno">Linha 21:</td></tr>
<tr><td class="diff-marker"></td><td style="background-color: #f8f9fa; color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #eaecf0; vertical-align: top; white-space: pre-wrap;"><div>Responda as proposições a seguir, utilizando as orientações impostas, analisando cada um dos filesystems das fases 1 e 2.</div></td><td class="diff-marker"></td><td style="background-color: #f8f9fa; color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #eaecf0; vertical-align: top; white-space: pre-wrap;"><div>Responda as proposições a seguir, utilizando as orientações impostas, analisando cada um dos filesystems das fases 1 e 2.</div></td></tr>
<tr><td class="diff-marker"></td><td style="background-color: #f8f9fa; color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #eaecf0; vertical-align: top; white-space: pre-wrap;"><br/></td><td class="diff-marker"></td><td style="background-color: #f8f9fa; color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #eaecf0; vertical-align: top; white-space: pre-wrap;"><br/></td></tr>
<tr><td class="diff-marker" data-marker="−"></td><td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #ffe49c; vertical-align: top; white-space: pre-wrap;"><div>#Utilizando o comando fls, tente descobrir quais são os arquivos exitentes e deletados em cada filesystem.</div></td><td class="diff-marker" data-marker="+"></td><td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #a3d3ff; vertical-align: top; white-space: pre-wrap;"><div>#Utilizando o comando fls <ins style="font-weight: bold; text-decoration: none;">-r</ins>, tente descobrir quais são os arquivos exitentes e deletados em cada filesystem.</div></td></tr>
<tr><td class="diff-marker" data-marker="−"></td><td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #ffe49c; vertical-align: top; white-space: pre-wrap;"><div>#Utilizando os comandos fls e icat, tente recuperar os arquivos apagados.</div></td><td class="diff-marker" data-marker="+"></td><td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #a3d3ff; vertical-align: top; white-space: pre-wrap;"><div>#Utilizando os comandos fls <ins style="font-weight: bold; text-decoration: none;">-rFd </ins>e icat, tente recuperar os arquivos apagados.</div></td></tr>
<tr><td class="diff-marker"></td><td style="background-color: #f8f9fa; color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #eaecf0; vertical-align: top; white-space: pre-wrap;"><div>#Utilizando o comando foremost -Tq, tente recuperar os arquivos apagados.</div></td><td class="diff-marker"></td><td style="background-color: #f8f9fa; color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #eaecf0; vertical-align: top; white-space: pre-wrap;"><div>#Utilizando o comando foremost -Tq, tente recuperar os arquivos apagados.</div></td></tr>
<tr><td class="diff-marker" data-marker="−"></td><td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #ffe49c; vertical-align: top; white-space: pre-wrap;"><div>#Utilize o comando sorter para fazer um levantamento do conteúdo dos filesystems.</div></td><td class="diff-marker" data-marker="+"></td><td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #a3d3ff; vertical-align: top; white-space: pre-wrap;"><div>#Utilize o comando sorter <ins style="font-weight: bold; text-decoration: none;">-d </ins>para fazer um levantamento do conteúdo dos filesystems.</div></td></tr>
<tr><td class="diff-marker" data-marker="−"></td><td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #ffe49c; vertical-align: top; white-space: pre-wrap;"><div>#Faça uma linha do tempo dos dados. (comandos fls e mactime ou [http://www.sleuthkit.org/mac-robber mac-robber] e mactime)</div></td><td class="diff-marker" data-marker="+"></td><td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #a3d3ff; vertical-align: top; white-space: pre-wrap;"><div>#Faça uma linha do tempo dos dados. (comandos fls <ins style="font-weight: bold; text-decoration: none;">-rm / </ins>e mactime <ins style="font-weight: bold; text-decoration: none;">-z brt </ins>ou [http://www.sleuthkit.org/mac-robber mac-robber] e mactime <ins style="font-weight: bold; text-decoration: none;">-z brt</ins>)</div></td></tr>
<tr><td class="diff-marker"></td><td style="background-color: #f8f9fa; color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #eaecf0; vertical-align: top; white-space: pre-wrap;"><div>#Com o comando strings, levante algum dado relevante, na superfície do disco, sobre as figuras existentes (pedaços de dados exif, por exemplo). Use algo como strings -n 20.</div></td><td class="diff-marker"></td><td style="background-color: #f8f9fa; color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #eaecf0; vertical-align: top; white-space: pre-wrap;"><div>#Com o comando strings, levante algum dado relevante, na superfície do disco, sobre as figuras existentes (pedaços de dados exif, por exemplo). Use algo como strings -n 20.</div></td></tr>
<tr><td colspan="2" class="diff-side-deleted"></td><td class="diff-marker" data-marker="+"></td><td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #a3d3ff; vertical-align: top; white-space: pre-wrap;"><div><ins style="font-weight: bold; text-decoration: none;">#Explique a diferença entre o mac-robber e o fls -rm.</ins></div></td></tr>
</table>Eribertohttps://eriberto.pro.br/wiki/index.php?title=Forense_caso_00b&diff=1415&oldid=prevEriberto: Criou página com '{{cabeçalho forense|00b - Análise avançada de filesystems|Brasília, DF, 20 de junho de 2011|26 de outubro de 2011}} rightEste é um exercício conduz…'2011-10-26T20:10:52Z<p>Criou página com '{{cabeçalho forense|00b - Análise avançada de filesystems|Brasília, DF, 20 de junho de 2011|26 de outubro de 2011}} <a href="/wiki/index.php?title=Arquivo:Disquetes.jpg" title="Arquivo:Disquetes.jpg">right</a>Este é um exercício conduz…'</p>
<p><b>Página nova</b></p><div>{{cabeçalho forense|00b - Análise avançada de filesystems|Brasília, DF, 20 de junho de 2011|26 de outubro de 2011}}<br />
<br />
[[image:disquetes.jpg|right]]Este é um exercício conduzido com o objetivo familiarizar o executante com diversos filesystems.<br />
<br />
Várias imagens do mesmo tamanho estão disponíveis dentro de dois arquivos: [http://eriberto.pro.br/forense/caso_00b/caso_00b_fase1.tar.bz2 caso_00b_fase1.tar.bz2] (41 MB comprimidos e 801 MB descomprimidos) e [http://eriberto.pro.br/forense/caso_00b/caso_00b_fase2.tar.bz2 caso_00b_fase2.tar.bz2] (45 MB comprimidos e 801 MB descomprimidos). Os hashes MD5 dos arquivos comprimidos são, respectivamente, c285ace1e6afb826f2442cecec7f6e55 e 389dad2b1877c4dce7094061bd33102f.<br />
<br />
Foi criado um script shell para realizar as seguintes operações em cada filesystem:<br />
<br />
*Cada um recebeu as figuras denominadas ''natureza1.jpg'', ''natureza2.jpg'', ''natureza3.jpg'' e ''natureza4.jpg''.<br />
* A seguir, foi criado um diretório chamado outras e, dentro dele, foram colocadas as figuras ''natureza5.jpg'', ''natureza6.jpg'' e ''natureza7.jpg''.<br />
* Depois, as figuras ''natureza3.jpg'' e ''natureza6.jpg'' foram apagadas. Neste ponto foi criado o arquivo "fase1".<br />
* Por último, a figura ''natureza8.jpg'' foi copiada para a raiz do filesystem e a figura ''natureza9.jpg'' para o diretório outros. Neste ponto foi criado o arquivo "fase2".<br />
<br />
Os filesystems utilizados foram: Ext2, Ext3, Ext4, FAT32, JFS, NTFS, ReiserFS e XFS.<br />
<br />
Obs: caso seja do seu interesse, baixe o arquivo [http://eriberto.pro.br/forense/caso_00b/caso_00b.src.tar.bz2 caso_00b.src.tar.bz2], que contém todos os elementos fonte utilizados para criar o caso.<br />
<br><br><br><br><br />
{{cabeçalho_forense2}}<br />
Exercício: execute os procedimentos a seguir, observando o funcionamento de cada filesystem. Este exercício é um guia para forçar a familiarização com diversos filesystems (os mais comuns) e ferramentas. Atente ao fato de que o TSK (The Sleuth Kit) atual (3.2.2) só possui suporte pleno para Ext2, Ext3, FAT32 e NTFS, além de outros filesystems que não foram utilizados. Assim sendo, tente perceber como ele se comporta com os outros filesystems. Observe também que, na "fase2", os novos arquivos, em alguns filesystems, ocuparam os mesmos inodes dos arquivos apagados.<br />
<br />
Responda as proposições a seguir, utilizando as orientações impostas, analisando cada um dos filesystems das fases 1 e 2.<br />
<br />
#Utilizando o comando fls, tente descobrir quais são os arquivos exitentes e deletados em cada filesystem.<br />
#Utilizando os comandos fls e icat, tente recuperar os arquivos apagados.<br />
#Utilizando o comando foremost -Tq, tente recuperar os arquivos apagados.<br />
#Utilize o comando sorter para fazer um levantamento do conteúdo dos filesystems.<br />
#Faça uma linha do tempo dos dados. (comandos fls e mactime ou [http://www.sleuthkit.org/mac-robber mac-robber] e mactime)<br />
#Com o comando strings, levante algum dado relevante, na superfície do disco, sobre as figuras existentes (pedaços de dados exif, por exemplo). Use algo como strings -n 20.</div>Eriberto