Mudanças entre as edições de "Perícia forense computacional"

De Eriberto Wiki
Ir para: navegação, pesquisa
(Criou página com 'center <br><br> <big><big><center><font face="serif">'''Nesta página, algumas coisas sobre forense...'''</font></center></big></big> <br><br> {{cabe…')
 
(Casos para estudo (criados por mim))
 
(58 revisões intermediárias pelo mesmo usuário não estão sendo mostradas)
Linha 5: Linha 5:
 
{{cabeçalho|29 de julho de 2010|http://bit.ly/forense}}
 
{{cabeçalho|29 de julho de 2010|http://bit.ly/forense}}
 
<br>
 
<br>
'''O objetivo deste artigo é reunir alguns elementos interessantes para o ensino e a prática da forense computacional, desenvolvidos por mim ou encontrados na Internet.'''
+
'''O objetivo deste artigo é reunir alguns elementos interessantes para o ensino e a prática da forense computacional, desenvolvidos por mim ou encontrados na Internet. Não pretendo "encher" a página com milhões de links. Quero algo mais direcionado, para que alunos e entusiastas possam aperfeiçoar facilmente os seus conhecimentos.'''
 
<br><br>
 
<br><br>
 
== O que eu preciso para aprender forense? ==
 
== O que eu preciso para aprender forense? ==
Linha 16: Linha 16:
 
* Estudar muito.
 
* Estudar muito.
 
* Conhecer ferramentas.
 
* Conhecer ferramentas.
 +
* Conhecer expressões regulares. (em http://aurelio.net/er você encontrará tudo o que precisa)
 +
* Conhecer a [http://www.pathname.com/fhs/ FHS].
 
* Treinar.
 
* Treinar.
 
* Ser um mestre em sistemas operacionais e filesystems.
 
* Ser um mestre em sistemas operacionais e filesystems.
Linha 21: Linha 23:
 
* Ter a vontade de vencer o seu oponente.
 
* Ter a vontade de vencer o seu oponente.
 
* Atualizar-se sempre.
 
* Atualizar-se sempre.
 +
* Usar Linux.
 
<br><br>
 
<br><br>
 +
 
== Palestra sobre Perícia Forense Computacional ==
 
== Palestra sobre Perícia Forense Computacional ==
  
 
Este é um grande pontapé para que você inicie os seus estudos. Disponível em http://eriberto.pro.br/palestras.
 
Este é um grande pontapé para que você inicie os seus estudos. Disponível em http://eriberto.pro.br/palestras.
 
<br><br>
 
<br><br>
== Guia de Perícia Forense Computacional ==
+
== Guias de Referência de Perícia Forense Computacional ==
  
*Pocket no formato A4, frente e verso, com 6 páginas.
+
*Pockets no formato A4, frente e verso, com 6 páginas.
 
*Formato: PDF.
 
*Formato: PDF.
*Versão: será disponibilizado em breve...
+
 
 +
==== Criados por Eriberto ====
 +
 
 +
*'''Guia Perícia Linux com Debian GNU/Linux - Parte 1: Procedimentos iniciais e coletas'''
 +
**Guia voltado para a coleta inicial de dados, com a máquina ainda viva ou não. Contém várias orientações importantes para gerentes de rede, autoridades policiais ou interessados e peritos.
 +
**Acesse clicando [http://eriberto.pro.br/forense/guia_forense_1.1_parte_1.pdf aqui]. (atualização em 03 set. 2010)
 +
 
 +
*'''Guia Perícia Linux com Debian GNU/Linux - Parte 2: Análise de evidências e laudo'''
 +
**Guia voltado para a análise de conteúdo, já trabalhando com as imagens obtidas. Contém comandos e procedimentos básicos de análise. Também possui orientações para a confecção do laudo pericial.
 +
**Acesse clicando [http://eriberto.pro.br/forense/guia_forense_1.1_parte_2.pdf aqui]. (atualização em 03 set. 2010)
 +
 
 +
==== Outros ====
 +
*'''SANS Cheat Sheet (ou Forensics Analysis Cheat Sheet)'''
 +
**Guia criado pelo SANS Institute e focado no uso do The Sleuth Kit.
 +
**Download no site oficial, mediante registro gratuito. Clique [https://computer-forensics2.sans.org/community/siftkit/ aqui].
 +
**Download em site paralelo e sem registro (pode estar desatualizado). Clique [http://www.iu.hio.no/teaching/materials/MS004A/html/handout.pdf aqui].
 +
*'''The Forensic-Cheat-Sheet for Linux and TSK'''
 +
**Guia criado por Jens Vieweg e baseado no SANS Cheat Sheet.
 +
**Acesse clicando [http://blog.jensvieweg.de/wp-content/uploads/2009/10/forensic_cheatsheet.pdf aqui]
 
<br><br>
 
<br><br>
 +
 
== Casos para estudo (criados por mim) ==
 
== Casos para estudo (criados por mim) ==
  
*[http://eriberto.pro.br/forense/caso_01 '''Caso 1''']: descubra o que puder...
+
Nesta parte serão disponibilizados casos diversos para o estudo da forense computacional. De tempos em tempos, novos casos serão adicionados. Isso não quer dizer que os casos ficarão cada vez mais difíceis. Assim sendo, para saber sobre a dificuldade de cada caso, consulte a legenda.
*[http://eriberto.pro.br/forense/caso_01 '''Caso 2''']: o pendrive de um estelionatário.
+
 
 +
*[[Forense_caso_00|'''Caso 00''']]: <tt>'''(I)'''</tt> Análise conduzida.
 +
*[[Forense_caso_00a|'''Caso 00a''']]:<tt>'''(M)'''</tt> Análise avançada conduzida.
 +
*[[Forense_caso_00b|'''Caso 00b''']]:<tt>'''(M)'''</tt> Análise avançada de filesystems.
 +
*[[Forense_caso_00c|'''Caso 00c''']]:<tt>'''(A)'''</tt> Análise avançada específica para MS Windows (memória).
 +
*[[Forense_caso_00d|'''Caso 00d''']]:<tt>'''(M)'''</tt> Análise de e-mail conduzida.
 +
*[[Forense_caso_00e|'''Caso 00e''']]:<tt>'''(I)'''</tt> Análise de pendrive contaminado.
 +
*[[Forense_caso_00f|'''Caso 00f''']]:<tt>'''(M)'''</tt> Partições perdidas.
 +
*[[Forense_caso_01|'''Caso 01''']]: <tt>'''(M)'''</tt> Descubra o que puder...
 +
*[[Forense_caso_02|'''Caso 02''']]: <tt>'''(M)'''</tt> O pendrive de um estelionatário.
 +
*[[Forense_caso_03|'''Caso 03''']]:  <tt>'''(A)'''</tt> Internet + SSH + senha 123456.
 +
 
 +
'''Legenda:'''
 +
 
 +
*<tt>'''(I)'''</tt> - ''iniciante''. Casos com soluções mais simples. Utilizados para ensinar os primeiros passos da investigação forense ou de uma ferramenta específica.
 +
*<tt>'''(M)'''</tt> - ''médio''. Casos que não são complexos mas exigem um pouco mais de espírito investigativo e completo conhecimento de ferramentas e métodos forenses.
 +
*<tt>'''(A)'''</tt> - ''avançado''. Casos mais complexos e, muitas vezes, reais. Necessitam de uma perícia realizada por quem domina o assunto forense computacional e sabe o que está fazendo.
 +
 
 
<br><br>
 
<br><br>
 +
 
== Sites com casos para estudo ou testes de ferramentas (criados por outros) ==
 
== Sites com casos para estudo ou testes de ferramentas (criados por outros) ==
  
Linha 42: Linha 83:
 
*[http://forensicscontest.com Network Forensics Puzzle Contest]
 
*[http://forensicscontest.com Network Forensics Puzzle Contest]
 
*[http://computer-forensics.sans.org/challenges SANS Computer Forensics Challeges] (SANS)
 
*[http://computer-forensics.sans.org/challenges SANS Computer Forensics Challeges] (SANS)
 +
*[http://code.google.com/p/volatility/wiki/SampleMemoryImages Volatility: sample memory images.]
 
*[http://www.cfreds.nist.gov The CFReDS Project] (NIST)
 
*[http://www.cfreds.nist.gov The CFReDS Project] (NIST)
 
<br><br>
 
<br><br>
== Boas distribuições para forense ==
+
== Algumas distribuições para forense ==
* [[Pendrive de boot com Debian Lenny customizado]]
+
 
* [http://www.deftlinux.net DEFT Linux]
+
==== Baseadas em Debian e derivados ====
 +
 
 +
* [[Pendrive de boot com Debian Lenny customizado]] (neste wiki)
 +
* [http://www.backtrack-linux.org Distribuição BackTrack] (DVD)
 +
* [http://www.caine-live.net Distribuição CAINE] (CD)
 +
* [http://www.deftlinux.net Distribuição DEFT Linux] (CD)
 +
* [http://www.kali.org Distribuição Kali] (DVD)
 +
* [http://www.caine-live.net Pacote para Windows WinTaylor] (Zip)
 +
* [http://computer-forensics.sans.org/community/downloads SANS Investigate Forensic Toolkit (SIFT) Workstation] (Imagem para VMWare)
 
<br><br>
 
<br><br>
== Páginas que citam ferramentas para forense ==
+
 
 +
== Páginas com ferramentas e tutoriais sobre forense ==
  
 
*[http://www.evestigate.com/COMPUTER%20FORENSIC%20RESOURCES.htm Computer forensic resources]
 
*[http://www.evestigate.com/COMPUTER%20FORENSIC%20RESOURCES.htm Computer forensic resources]
*[http://www.opensourceforensics.org/tools/index.html Open Source Forensic Tools]
+
*[http://www.forensicswiki.org Forensics Wiki] (atualizado constantemente)
<br><br>
+
*[http://www.opensourceforensics.org/tools/index.html Open Source Forensic Tools] (atualizado constantemente)
== Publicações ==
+
*[http://www.e-evidence.info/other.html The Electronic Evidence Information Center]
* Em breve...
+
*[http://www.e-evidence.info/thiefs_page.html The Security Portal for Information System Security Professionals] (coleta de documentos até o ano de 2006)
 
<br><br>
 
<br><br>
 
{{rodapé|http://www2.clustrmaps.com/user/0c9bd23d|http://www2.clustrmaps.com/stats/maps-no_clusters/eriberto.pro.br-forense-thumb.jpg|29 jul. 10}}
 
{{rodapé|http://www2.clustrmaps.com/user/0c9bd23d|http://www2.clustrmaps.com/stats/maps-no_clusters/eriberto.pro.br-forense-thumb.jpg|29 jul. 10}}

Edição atual tal como às 07h09min de 14 de novembro de 2014

Topo eriberto.png



Nesta página, algumas coisas sobre forense...



Twitter.png

by (C) João Eriberto Mota Filho <eriberto (a) eriberto pro br>

Artigo criado em: 29 de julho de 2010.

Última atualização: veja o rodapé desta página.

Tiny URL ou bit.ly: http://bit.ly/forense




O objetivo deste artigo é reunir alguns elementos interessantes para o ensino e a prática da forense computacional, desenvolvidos por mim ou encontrados na Internet. Não pretendo "encher" a página com milhões de links. Quero algo mais direcionado, para que alunos e entusiastas possam aperfeiçoar facilmente os seus conhecimentos.

O que eu preciso para aprender forense?

Sendo direto, você precisará de:

  • Gosto pela atividade.
  • Paciência.
  • Ser detalhista.
  • Estudar muito.
  • Conhecer ferramentas.
  • Conhecer expressões regulares. (em http://aurelio.net/er você encontrará tudo o que precisa)
  • Conhecer a FHS.
  • Treinar.
  • Ser um mestre em sistemas operacionais e filesystems.
  • Ser criativo.
  • Ter a vontade de vencer o seu oponente.
  • Atualizar-se sempre.
  • Usar Linux.



Palestra sobre Perícia Forense Computacional

Este é um grande pontapé para que você inicie os seus estudos. Disponível em http://eriberto.pro.br/palestras.

Guias de Referência de Perícia Forense Computacional

  • Pockets no formato A4, frente e verso, com 6 páginas.
  • Formato: PDF.

Criados por Eriberto

  • Guia Perícia Linux com Debian GNU/Linux - Parte 1: Procedimentos iniciais e coletas
    • Guia voltado para a coleta inicial de dados, com a máquina ainda viva ou não. Contém várias orientações importantes para gerentes de rede, autoridades policiais ou interessados e peritos.
    • Acesse clicando aqui. (atualização em 03 set. 2010)
  • Guia Perícia Linux com Debian GNU/Linux - Parte 2: Análise de evidências e laudo
    • Guia voltado para a análise de conteúdo, já trabalhando com as imagens obtidas. Contém comandos e procedimentos básicos de análise. Também possui orientações para a confecção do laudo pericial.
    • Acesse clicando aqui. (atualização em 03 set. 2010)

Outros

  • SANS Cheat Sheet (ou Forensics Analysis Cheat Sheet)
    • Guia criado pelo SANS Institute e focado no uso do The Sleuth Kit.
    • Download no site oficial, mediante registro gratuito. Clique aqui.
    • Download em site paralelo e sem registro (pode estar desatualizado). Clique aqui.
  • The Forensic-Cheat-Sheet for Linux and TSK
    • Guia criado por Jens Vieweg e baseado no SANS Cheat Sheet.
    • Acesse clicando aqui



Casos para estudo (criados por mim)

Nesta parte serão disponibilizados casos diversos para o estudo da forense computacional. De tempos em tempos, novos casos serão adicionados. Isso não quer dizer que os casos ficarão cada vez mais difíceis. Assim sendo, para saber sobre a dificuldade de cada caso, consulte a legenda.

  • Caso 00: (I) Análise conduzida.
  • Caso 00a:(M) Análise avançada conduzida.
  • Caso 00b:(M) Análise avançada de filesystems.
  • Caso 00c:(A) Análise avançada específica para MS Windows (memória).
  • Caso 00d:(M) Análise de e-mail conduzida.
  • Caso 00e:(I) Análise de pendrive contaminado.
  • Caso 00f:(M) Partições perdidas.
  • Caso 01: (M) Descubra o que puder...
  • Caso 02: (M) O pendrive de um estelionatário.
  • Caso 03: (A) Internet + SSH + senha 123456.

Legenda:

  • (I) - iniciante. Casos com soluções mais simples. Utilizados para ensinar os primeiros passos da investigação forense ou de uma ferramenta específica.
  • (M) - médio. Casos que não são complexos mas exigem um pouco mais de espírito investigativo e completo conhecimento de ferramentas e métodos forenses.
  • (A) - avançado. Casos mais complexos e, muitas vezes, reais. Necessitam de uma perícia realizada por quem domina o assunto forense computacional e sabe o que está fazendo.



Sites com casos para estudo ou testes de ferramentas (criados por outros)



Algumas distribuições para forense

Baseadas em Debian e derivados



Páginas com ferramentas e tutoriais sobre forense



Comentários, sugestões e controle de acessos

Por favor, deixe os seus comentários e sugestões sobre este artigo no meu Blog Técnico. Para isto, clique aqui.


eriberto.pro.br-forense-thumb.jpg

Consulte também o contador abaixo, iniciado em 29 jul. 10.
Twitter: Para novidades sobre artigos, livros e palestras, siga-me em eribertomota.