Forense caso 00d: mudanças entre as edições

Edição atual tal como às 07h55min de 6 de dezembro de 2013

by (C) João Eriberto Mota Filho <eriberto (a) eriberto pro br>

Caso para estudo, ligado diretamente ao artigo perícia forense computacional, existente neste wiki.

Última atualização: veja o rodapé desta página.

Caso 00d - Análise de e-mail conduzida

Brasília, DF, 17 de outubro de 2011

Atualização em: 21 de agosto de 2012

Uma pessoa enviou um e-mail. O código-fonte do mesmo, que inclui o cabeçalho completo, foi capturado no destino. Você deverá analisar tal mensagem de e-mail para descobrir dados relevantes.

É importante ressaltar que análises de cabeçalhos de e-mail devem ser feitas "de baixo para cima". Os anexos sempre estarão em formato Base64.

Exercício de aplicação

Exercício: responda às perguntas a seguir, analisando os dados encontrados no arquivo mail.tar.

Para descompactar, utilize o comando:

$ tar -xvf mail.tar

Responda:

Explique o que vem a ser Base64.
Qual é o nome do anexo do e-mail?
Explique o que vem a ser as siglas UTC, PDT e PST.
Qual foi o SMTP de origem?
Qual foi o SMTP de destino (SMTP final)?
Qual foi a data e a hora de envio do e-mail por parte do cliente?
Qual foi a data e a hora de envio do e-mail por parte do SMTP de origem?
Qual foi a data e a hora de recebimento do e-mail no SMTP de destino?
Podemos considerar essas datas e horas como confiáveis? Explique.
Qual foi o assunto do e-mail?
Quem foi o remetente?
Quem foi o destinatário?
O que é e qual é a importância do envelope de uma mensagem?
Cite o primeiro envelope de mensagem (identificação) encontrado.
Qual é o endereço IP de origem?
Utilizando o comando munpack (pacote mpack no Debian), extraia o anexo do e-mail.
Utilize os comandos whois, nslookup (pacote dnsutils no Debian) e geoiplookup (pacote geoip-bin no Debian) para descobrir dados sobre o endereço IP de origem.
Explique o que significa o X-, que pode ser encontrado em campos de cabeçalhos de e-mail.

@@ Linha 1: / Linha 1: @@
-{{cabeçalho forense|00d - Análise de e-mail conduzida|Brasília, DF, 17 de outubro de 2011|01 de novembro de 2011}}
+{{cabeçalho forense|00d - Análise de e-mail conduzida|Brasília, DF, 17 de outubro de 2011|21 de agosto de 2012}}
 [[image:msgmail.jpg|left|100px]]Uma pessoa enviou um e-mail. O código-fonte do mesmo, que inclui o cabeçalho completo, foi capturado no destino. Você deverá analisar tal mensagem de e-mail para descobrir dados relevantes.
@@ Linha 8: / Linha 8: @@
 Exercício:  responda às perguntas a seguir, analisando os dados encontrados no arquivo [http://eriberto.pro.br/forense/caso_00d/mail.tar mail.tar].
-Para descompactar a imagem, utilize o comando:
+Para descompactar, utilize o comando:
   $ tar -xvf mail.tar
@@ Linha 16: / Linha 16: @@
 # Explique o que vem a ser Base64.
 # Qual é o nome do anexo do e-mail?
-# Explique o que vem a ser as siglas UTC e PDT.
+# Explique o que vem a ser as siglas UTC, PDT e PST.
 # Qual foi o SMTP de origem?
 # Qual foi o SMTP de destino (SMTP final)?
@@ Linha 26: / Linha 26: @@
 # Quem foi o remetente?
 # Quem foi o destinatário?
-# Qual é o envelope da mensagem (identificação)?
+# O que é e qual é a importância do envelope de uma mensagem?
-# Qual é a importância do envelope de uma mensagem?
+# Cite o primeiro envelope de mensagem (identificação) encontrado.
 # Qual é o endereço IP de origem?
-# Utilizando o comando munpack (pacote mpack no Debian), extraia o anexo do e-mail.
+# Utilizando o comando ''munpack'' (pacote mpack no Debian), extraia o anexo do e-mail.
 # Utilize os comandos whois, nslookup (pacote dnsutils no Debian) e geoiplookup (pacote geoip-bin no Debian) para descobrir dados sobre o endereço IP de origem.
+# Explique o que significa o ''X-'', que pode ser encontrado em campos de cabeçalhos de e-mail.

Forense caso 00d: mudanças entre as edições

Edição atual tal como às 07h55min de 6 de dezembro de 2013

Menu de navegação