Forense caso 00d: mudanças entre as edições

De Eriberto Wiki
Ir para navegação Ir para pesquisar
Sem resumo de edição
Sem resumo de edição
 
(11 revisões intermediárias pelo mesmo usuário não estão sendo mostradas)
Linha 1: Linha 1:
{{cabeçalho forense|00d - Análise de e-mail conduzida|Brasília, DF, 17 de outubro de 2011|17 de outubro de 2011}}
{{cabeçalho forense|00d - Análise de e-mail conduzida|Brasília, DF, 17 de outubro de 2011|21 de agosto de 2012}}


[[image:mail.jpg|left|100px]]Uma pessoa enviou um e-mail. O código-fonte do mesmo, que inclui o cabeçalho completo, foi capturado no destino. Você deverá analisar tal mensagem de e-mail para descobrir dados relevantes.
[[image:msgmail.jpg|left|100px]]Uma pessoa enviou um e-mail. O código-fonte do mesmo, que inclui o cabeçalho completo, foi capturado no destino. Você deverá analisar tal mensagem de e-mail para descobrir dados relevantes.


É importante ressaltar que análises de cabeçalhos de e-mail devem ser feitas "de baixo para cima". Os anexos sempre estarão em formato Base64.
É importante ressaltar que análises de cabeçalhos de e-mail devem ser feitas "de baixo para cima". Os anexos sempre estarão em formato Base64.
<br><br><br><br>
<br><br><br><br>
{{cabeçalho_forense2}}
{{cabeçalho_forense2}}
Exercício:  responda às perguntas a seguir, analisando os dados encontrados no arquivo [http://eriberto.pro.br/forense/caso_00d/mail.txt.gz mail.txt.gz] (162 KB comprimidos e 226 KB totalmente descomprimidos).
Exercício:  responda às perguntas a seguir, analisando os dados encontrados no arquivo [http://eriberto.pro.br/forense/caso_00d/mail.tar mail.tar].


O hash MD5 da imagem comprimida é 059634b269b5e3c060eb8d47639b0623.
Para descompactar, utilize o comando:


Para descompactar a imagem, utilize o comando:
  $ tar -xvf mail.tar
 
  $ gunzip mail.txt.gz
<br><br>
<br><br>
<big>'''Responda:'''</big>
<big>'''Responda:'''</big>
Linha 18: Linha 16:
# Explique o que vem a ser Base64.
# Explique o que vem a ser Base64.
# Qual é o nome do anexo do e-mail?
# Qual é o nome do anexo do e-mail?
# Explique o que vem a ser as siglas UTC e PDT.
# Explique o que vem a ser as siglas UTC, PDT e PST.
# Qual foi o SMTP de origem?
# Qual foi o SMTP de origem?
# Qual foi o SMTP de destino (SMTP final)?
# Qual foi o SMTP de destino (SMTP final)?
Linha 24: Linha 22:
# Qual foi a data e a hora de envio do e-mail por parte do SMTP de origem?
# Qual foi a data e a hora de envio do e-mail por parte do SMTP de origem?
# Qual foi a data e a hora de recebimento do e-mail no SMTP de destino?
# Qual foi a data e a hora de recebimento do e-mail no SMTP de destino?
# Podemos considerar que essas datas e horas como confiáveis? Explique.
# Podemos considerar essas datas e horas como confiáveis? Explique.
# Qual foi o assunto do e-mail?
# Qual foi o assunto do e-mail?
# Quem foi o remetente?
# Quem foi o remetente?
# Quem foi o destinatário?
# Quem foi o destinatário?
# Qual é o envelope da mensagem (identificação)?
# O que é e qual é a importância do envelope de uma mensagem?
# Qual é a importância do envelope de uma mensagem?
# Cite o primeiro envelope de mensagem (identificação) encontrado.
# Qual é o endereço IP de origem?
# Qual é o endereço IP de origem?
# Utilizando o comando munpack (pacote mpack no Debian), extraia o anexo do e-mail.
# Utilizando o comando ''munpack'' (pacote mpack no Debian), extraia o anexo do e-mail.
# Utilize os comandos whois, nslookup (pacote dnsutils no Debian) e geoiplookup (pacote geoip-bin no Debian) para descobrir dados sobre o endereço IP de origem.
# Explique o que significa o ''X-'', que pode ser encontrado em campos de cabeçalhos de e-mail.

Edição atual tal como às 07h55min de 6 de dezembro de 2013

by (C) João Eriberto Mota Filho <eriberto (a) eriberto pro br>

Caso para estudo, ligado diretamente ao artigo perícia forense computacional, existente neste wiki.

Última atualização: veja o rodapé desta página.




Caso 00d - Análise de e-mail conduzida


Brasília, DF, 17 de outubro de 2011


Atualização em: 21 de agosto de 2012




Uma pessoa enviou um e-mail. O código-fonte do mesmo, que inclui o cabeçalho completo, foi capturado no destino. Você deverá analisar tal mensagem de e-mail para descobrir dados relevantes.

É importante ressaltar que análises de cabeçalhos de e-mail devem ser feitas "de baixo para cima". Os anexos sempre estarão em formato Base64.





Exercício de aplicação



Exercício: responda às perguntas a seguir, analisando os dados encontrados no arquivo mail.tar.

Para descompactar, utilize o comando:

$ tar -xvf mail.tar



Responda:

  1. Explique o que vem a ser Base64.
  2. Qual é o nome do anexo do e-mail?
  3. Explique o que vem a ser as siglas UTC, PDT e PST.
  4. Qual foi o SMTP de origem?
  5. Qual foi o SMTP de destino (SMTP final)?
  6. Qual foi a data e a hora de envio do e-mail por parte do cliente?
  7. Qual foi a data e a hora de envio do e-mail por parte do SMTP de origem?
  8. Qual foi a data e a hora de recebimento do e-mail no SMTP de destino?
  9. Podemos considerar essas datas e horas como confiáveis? Explique.
  10. Qual foi o assunto do e-mail?
  11. Quem foi o remetente?
  12. Quem foi o destinatário?
  13. O que é e qual é a importância do envelope de uma mensagem?
  14. Cite o primeiro envelope de mensagem (identificação) encontrado.
  15. Qual é o endereço IP de origem?
  16. Utilizando o comando munpack (pacote mpack no Debian), extraia o anexo do e-mail.
  17. Utilize os comandos whois, nslookup (pacote dnsutils no Debian) e geoiplookup (pacote geoip-bin no Debian) para descobrir dados sobre o endereço IP de origem.
  18. Explique o que significa o X-, que pode ser encontrado em campos de cabeçalhos de e-mail.