Forense caso 00d: mudanças entre as edições

De Eriberto Wiki
Ir para navegação Ir para pesquisar
Sem resumo de edição
Sem resumo de edição
 
(Uma revisão intermediária pelo mesmo usuário não está sendo mostrada)
Linha 16: Linha 16:
# Explique o que vem a ser Base64.
# Explique o que vem a ser Base64.
# Qual é o nome do anexo do e-mail?
# Qual é o nome do anexo do e-mail?
# Explique o que vem a ser as siglas UTC e PDT.
# Explique o que vem a ser as siglas UTC, PDT e PST.
# Qual foi o SMTP de origem?
# Qual foi o SMTP de origem?
# Qual foi o SMTP de destino (SMTP final)?
# Qual foi o SMTP de destino (SMTP final)?
Linha 31: Linha 31:
# Utilizando o comando ''munpack'' (pacote mpack no Debian), extraia o anexo do e-mail.
# Utilizando o comando ''munpack'' (pacote mpack no Debian), extraia o anexo do e-mail.
# Utilize os comandos whois, nslookup (pacote dnsutils no Debian) e geoiplookup (pacote geoip-bin no Debian) para descobrir dados sobre o endereço IP de origem.
# Utilize os comandos whois, nslookup (pacote dnsutils no Debian) e geoiplookup (pacote geoip-bin no Debian) para descobrir dados sobre o endereço IP de origem.
# Explique o que significa o ''X-'', que pode ser encontrado em campos de cabeçalhos de e-mail.

Edição atual tal como às 07h55min de 6 de dezembro de 2013

by (C) João Eriberto Mota Filho <eriberto (a) eriberto pro br>

Caso para estudo, ligado diretamente ao artigo perícia forense computacional, existente neste wiki.

Última atualização: veja o rodapé desta página.




Caso 00d - Análise de e-mail conduzida


Brasília, DF, 17 de outubro de 2011


Atualização em: 21 de agosto de 2012




Uma pessoa enviou um e-mail. O código-fonte do mesmo, que inclui o cabeçalho completo, foi capturado no destino. Você deverá analisar tal mensagem de e-mail para descobrir dados relevantes.

É importante ressaltar que análises de cabeçalhos de e-mail devem ser feitas "de baixo para cima". Os anexos sempre estarão em formato Base64.





Exercício de aplicação



Exercício: responda às perguntas a seguir, analisando os dados encontrados no arquivo mail.tar.

Para descompactar, utilize o comando:

$ tar -xvf mail.tar



Responda:

  1. Explique o que vem a ser Base64.
  2. Qual é o nome do anexo do e-mail?
  3. Explique o que vem a ser as siglas UTC, PDT e PST.
  4. Qual foi o SMTP de origem?
  5. Qual foi o SMTP de destino (SMTP final)?
  6. Qual foi a data e a hora de envio do e-mail por parte do cliente?
  7. Qual foi a data e a hora de envio do e-mail por parte do SMTP de origem?
  8. Qual foi a data e a hora de recebimento do e-mail no SMTP de destino?
  9. Podemos considerar essas datas e horas como confiáveis? Explique.
  10. Qual foi o assunto do e-mail?
  11. Quem foi o remetente?
  12. Quem foi o destinatário?
  13. O que é e qual é a importância do envelope de uma mensagem?
  14. Cite o primeiro envelope de mensagem (identificação) encontrado.
  15. Qual é o endereço IP de origem?
  16. Utilizando o comando munpack (pacote mpack no Debian), extraia o anexo do e-mail.
  17. Utilize os comandos whois, nslookup (pacote dnsutils no Debian) e geoiplookup (pacote geoip-bin no Debian) para descobrir dados sobre o endereço IP de origem.
  18. Explique o que significa o X-, que pode ser encontrado em campos de cabeçalhos de e-mail.