Forense caso 00d

De Eriberto Wiki
Revisão de 15h22min de 28 de outubro de 2011 por Eriberto (discussão | contribs)
Ir para navegação Ir para pesquisar

by (C) João Eriberto Mota Filho <eriberto (a) eriberto pro br>

Caso para estudo, ligado diretamente ao artigo perícia forense computacional, existente neste wiki.

Última atualização: veja o rodapé desta página.




Caso 00d - Análise de e-mail conduzida


Brasília, DF, 17 de outubro de 2011


Atualização em: 17 de outubro de 2011




Erro ao criar miniatura: arquivo não encontrado

Uma pessoa enviou um e-mail. O código-fonte do mesmo, que inclui o cabeçalho completo, foi capturado no destino. Você deverá analisar tal mensagem de e-mail para descobrir dados relevantes.

É importante ressaltar que análises de cabeçalhos de e-mail devem ser feitas "de baixo para cima". Os anexos sempre estarão em formato Base64.





Exercício de aplicação



Exercício: responda às perguntas a seguir, analisando os dados encontrados no arquivo mail.txt.gz (162 KB comprimidos e 226 KB totalmente descomprimidos).

O hash MD5 da imagem comprimida é 059634b269b5e3c060eb8d47639b0623.

Para descompactar a imagem, utilize o comando:

$ gunzip mail.txt.gz



Responda:

  1. Explique o que vem a ser Base64.
  2. Qual é o nome do anexo do e-mail?
  3. Explique o que vem a ser as siglas UTC e PDT.
  4. Qual foi o SMTP de origem?
  5. Qual foi o SMTP de destino (SMTP final)?
  6. Qual foi a data e a hora de envio do e-mail por parte do cliente?
  7. Qual foi a data e a hora de envio do e-mail por parte do SMTP de origem?
  8. Qual foi a data e a hora de recebimento do e-mail no SMTP de destino?
  9. Podemos considerar que essas datas e horas como confiáveis? Explique.
  10. Qual foi o assunto do e-mail?
  11. Quem foi o remetente?
  12. Quem foi o destinatário?
  13. Qual é o envelope da mensagem (identificação)?
  14. Qual é a importância do envelope de uma mensagem?
  15. Qual é o endereço IP de origem?
  16. Utilizando o comando munpack (pacote mpack no Debian), extraia o anexo do e-mail.