Forense caso 00e: mudanças entre as edições

De Eriberto Wiki
Ir para navegação Ir para pesquisar
Sem resumo de edição
mSem resumo de edição
 
(Uma revisão intermediária pelo mesmo usuário não está sendo mostrada)
Linha 18: Linha 18:
# Utilizando o antivírus Clamav, descubra qual malware afetou o pendrive. (freshclam + clamscan -ri)
# Utilizando o antivírus Clamav, descubra qual malware afetou o pendrive. (freshclam + clamscan -ri)
# Submeta o malware ao site [https://www.virustotal.com VirusTotal].
# Submeta o malware ao site [https://www.virustotal.com VirusTotal].
# Com o comando ''cat'', analize o conteúdo dos arquivos ''.lnk'', criados pelo vírus.
<br><br>
<br><br>
'''Observação final:''' o Clamav também pode remover o malware, se utilizado com a opção --remove=yes ou --move=diretório. No entanto, isso nunca será feito em uma análise pericial.
'''Observação final:''' o Clamav também pode remover o malware, se utilizado com a opção --remove=yes ou --move=diretório. No entanto, isso nunca será feito em uma análise pericial.
<br>
<br>

Edição atual tal como às 18h55min de 5 de junho de 2015

by (C) João Eriberto Mota Filho <eriberto (a) eriberto pro br>

Caso para estudo, ligado diretamente ao artigo perícia forense computacional, existente neste wiki.

Última atualização: veja o rodapé desta página.




Caso 00e - Pendrive no cyber café


Brasília, DF, 22 de agosto de 2012


Atualização em: 16 de março de 2014




No dia 20 de agosto de 2012, Jair, pai de Carolina, foi a um cyber café imprimir um trabalho de escola para a filha, uma vez que a tinta da impressora de casa havia acabado. No entanto, ficou com receio de ter o seu pendrive contaminado com algum vírus ou coisa do tipo e, logo após inserir tal pendrive no computador do cyber, retirou-o e resolveu levá-lo à casa de um amigo que possuía impressora. Mas será que, somente pela simples inserção do pendrive na máquina, já seria tarde?







Exercício de aplicação



Resolva as questões a seguir, analisando a imagem de pendrive (58 MB comprimidos, 64 MB descomprimidos) disponibilizada.

O hash MD5 da imagem comprimida é 9c8c5569f4600c9b6c61c0a38c9c21ca.

Para descompactar a imagem, utilize o comando:

$ bunzip2 pen.dd.bz2



Questões:

  1. Utilizando uma linha do tempo, descubra se houve atuação de algum malware ou não e, se for o caso, quais operações o mesmo realizou no filesystem. (fls -rm + mactime -z BRT)
  2. Utilizando o antivírus Clamav, descubra qual malware afetou o pendrive. (freshclam + clamscan -ri)
  3. Submeta o malware ao site VirusTotal.
  4. Com o comando cat, analize o conteúdo dos arquivos .lnk, criados pelo vírus.



Observação final: o Clamav também pode remover o malware, se utilizado com a opção --remove=yes ou --move=diretório. No entanto, isso nunca será feito em uma análise pericial.