Forense caso 00d: mudanças entre as edições

De Eriberto Wiki
Ir para navegação Ir para pesquisar
(Criou página com '{{cabeçalho forense|00d - Análise de e-mail conduzida|Brasília, DF, 17 de outubro de 2011|17 de outubro de 2011}} left|100pxNeste exercício será analisad…')
 
Sem resumo de edição
 
(14 revisões intermediárias pelo mesmo usuário não estão sendo mostradas)
Linha 1: Linha 1:
{{cabeçalho forense|00d - Análise de e-mail conduzida|Brasília, DF, 17 de outubro de 2011|17 de outubro de 2011}}
{{cabeçalho forense|00d - Análise de e-mail conduzida|Brasília, DF, 17 de outubro de 2011|21 de agosto de 2012}}


[[image:mail.jpg|left|100px]]Neste exercício será analisado um código-fonte de um e-mail.
[[image:msgmail.jpg|left|100px]]Uma pessoa enviou um e-mail. O código-fonte do mesmo, que inclui o cabeçalho completo, foi capturado no destino. Você deverá analisar tal mensagem de e-mail para descobrir dados relevantes.
 
Uma pessoa enviou um e-mail. O código-fonte do mesmo, que inclui o cabeçalho completo, foi capturado no destino. Você deverá analisar tal mensagem de e-mail para descobrir dados relevantes.
 
É importante ressaltar que a análise de cabeçalhos de e-mail devem ser feitas "de baixo par cima". Os anexos sempre estão em formato Base64.
 
Serão feitas várias perguntas. Por tratar-se de um exercício avançado, serão citadas ferramentas e técnicas que deverão ser empregadas para obter resultados.


É importante ressaltar que análises de cabeçalhos de e-mail devem ser feitas "de baixo para cima". Os anexos sempre estarão em formato Base64.
<br><br><br><br>
<br><br><br><br>
{{cabeçalho_forense2}}
{{cabeçalho_forense2}}
Exercício:  responda às perguntas a seguir, analisando os dados encontrados no arquivo [http://eriberto.pro.br/forense/caso_00d/mail.txt.gz mail.txt.gz] (162 KB comprimidos e 226 MB totalmente descomprimidos).
Exercício:  responda às perguntas a seguir, analisando os dados encontrados no arquivo [http://eriberto.pro.br/forense/caso_00d/mail.tar mail.tar].
 
O hash MD5 da imagem comprimida é 059634b269b5e3c060eb8d47639b0623.


Para descompactar a imagem, utilize o comando:
Para descompactar, utilize o comando:


  $ gunzip mail.txt.gz
  $ tar -xvf mail.tar
<br><br>
<br><br>
<big>'''Responda:'''</big>
<big>'''Responda:'''</big>


# Explique o que vem a ser Base64.
# Explique o que vem a ser Base64.
# Qual é o nome do anexo?
# Qual é o nome do anexo do e-mail?
# Explique o que vem a ser as siglas UTC e PDT.
# Explique o que vem a ser as siglas UTC, PDT e PST.
# Qual foi o SMTP de origem?
# Qual foi o SMTP de origem?
# Qual foi o SMTP de destino (SMTP final)?
# Qual foi o SMTP de destino (SMTP final)?
Linha 29: Linha 22:
# Qual foi a data e a hora de envio do e-mail por parte do SMTP de origem?
# Qual foi a data e a hora de envio do e-mail por parte do SMTP de origem?
# Qual foi a data e a hora de recebimento do e-mail no SMTP de destino?
# Qual foi a data e a hora de recebimento do e-mail no SMTP de destino?
# Podemos considerar que essas datas e horas como confiáveis? Explique.
# Podemos considerar essas datas e horas como confiáveis? Explique.
# Qual foi o assunto do e-mail?
# Qual foi o assunto do e-mail?
# Quem foi o remetente?
# Quem foi o remetente?
# Quem foi o destinatário?
# Quem foi o destinatário?
# Qual é o envelope da mensagem (identificação)?
# O que é e qual é a importância do envelope de uma mensagem?
# Cite o primeiro envelope de mensagem (identificação) encontrado.
# Qual é o endereço IP de origem?
# Qual é o endereço IP de origem?
# Utilizando o comando munpack (pacote mpack no Debian), extraia o anexo do e-mail.
# Utilizando o comando ''munpack'' (pacote mpack no Debian), extraia o anexo do e-mail.
# Utilize os comandos whois, nslookup (pacote dnsutils no Debian) e geoiplookup (pacote geoip-bin no Debian) para descobrir dados sobre o endereço IP de origem.
# Explique o que significa o ''X-'', que pode ser encontrado em campos de cabeçalhos de e-mail.

Edição atual tal como às 08h55min de 6 de dezembro de 2013

by (C) João Eriberto Mota Filho <eriberto (a) eriberto pro br>

Caso para estudo, ligado diretamente ao artigo perícia forense computacional, existente neste wiki.

Última atualização: veja o rodapé desta página.



Caso 00d - Análise de e-mail conduzida


Brasília, DF, 17 de outubro de 2011


Atualização em: 21 de agosto de 2012




Uma pessoa enviou um e-mail. O código-fonte do mesmo, que inclui o cabeçalho completo, foi capturado no destino. Você deverá analisar tal mensagem de e-mail para descobrir dados relevantes.

É importante ressaltar que análises de cabeçalhos de e-mail devem ser feitas "de baixo para cima". Os anexos sempre estarão em formato Base64.




Exercício de aplicação



Exercício: responda às perguntas a seguir, analisando os dados encontrados no arquivo mail.tar.

Para descompactar, utilize o comando: 

$ tar -xvf mail.tar



Responda:

  1. Explique o que vem a ser Base64.
  2. Qual é o nome do anexo do e-mail?
  3. Explique o que vem a ser as siglas UTC, PDT e PST.
  4. Qual foi o SMTP de origem?
  5. Qual foi o SMTP de destino (SMTP final)?
  6. Qual foi a data e a hora de envio do e-mail por parte do cliente?
  7. Qual foi a data e a hora de envio do e-mail por parte do SMTP de origem?
  8. Qual foi a data e a hora de recebimento do e-mail no SMTP de destino?
  9. Podemos considerar essas datas e horas como confiáveis? Explique.
  10. Qual foi o assunto do e-mail?
  11. Quem foi o remetente?
  12. Quem foi o destinatário?
  13. O que é e qual é a importância do envelope de uma mensagem?
  14. Cite o primeiro envelope de mensagem (identificação) encontrado.
  15. Qual é o endereço IP de origem?
  16. Utilizando o comando munpack (pacote mpack no Debian), extraia o anexo do e-mail.
  17. Utilize os comandos whois, nslookup (pacote dnsutils no Debian) e geoiplookup (pacote geoip-bin no Debian) para descobrir dados sobre o endereço IP de origem.
  18. Explique o que significa o X-, que pode ser encontrado em campos de cabeçalhos de e-mail.
Disponível em “https://eriberto.pro.br/wiki/index.php?title=Forense_caso_00d&oldid=2072