Perícia forense computacional: mudanças entre as edições

De Eriberto Wiki
Ir para navegação Ir para pesquisar
Sem resumo de edição
 
(34 revisões intermediárias pelo mesmo usuário não estão sendo mostradas)
Linha 23: Linha 23:
* Ter a vontade de vencer o seu oponente.
* Ter a vontade de vencer o seu oponente.
* Atualizar-se sempre.
* Atualizar-se sempre.
* Usar Linux.
<br><br>
<br><br>


Linha 59: Linha 60:


*[[Forense_caso_00|'''Caso 00''']]:  <tt>'''(I)'''</tt> Análise conduzida.
*[[Forense_caso_00|'''Caso 00''']]:  <tt>'''(I)'''</tt> Análise conduzida.
*[[Forense_caso_00a|'''Caso 00a''']]: <tt>'''(M)'''</tt> Análise avançada conduzida.
*[[Forense_caso_00a|'''Caso 00a''']]:<tt>'''(M)'''</tt> Análise avançada conduzida.
*[http://eriberto.pro.br/forense/caso_00b '''Caso 00b''']: <tt>'''(M)'''</tt> Análise avançada de filesystems.
*[[Forense_caso_00b|'''Caso 00b''']]:<tt>'''(M)'''</tt> Análise avançada de filesystems.
*[[Forense_caso_00c|'''Caso 00c''']]: <tt>'''(M)'''</tt> Análise avançada específica para MS Windows (memória).
*[[Forense_caso_00c|'''Caso 00c''']]:<tt>'''(A)'''</tt> Análise avançada específica para MS Windows (memória).
*[http://eriberto.pro.br/forense/caso_01 '''Caso 01''']: <tt>'''(M)'''</tt> Descubra o que puder...
*[[Forense_caso_00d|'''Caso 00d''']]:<tt>'''(M)'''</tt> Análise de e-mail conduzida.
*[http://eriberto.pro.br/forense/caso_02 '''Caso 02''']: <tt>'''(M)'''</tt> O pendrive de um estelionatário.
*[[Forense_caso_00e|'''Caso 00e''']]:<tt>'''(I)'''</tt> Análise de pendrive contaminado.
*[http://eriberto.pro.br/forense/caso_03 '''Caso 03''']:  <tt>'''(A)'''</tt> Internet + SSH + senha 123456.
*[[Forense_caso_00f|'''Caso 00f''']]:<tt>'''(M)'''</tt> Partições perdidas.
*[http://eriberto.pro.br/forense/caso_04 '''Caso 04''']:  <tt>'''(I)'''</tt> Pendrive com arquivos apagados.
*[[Forense_caso_01|'''Caso 01''']]: <tt>'''(M)'''</tt> Descubra o que puder...
*[[Forense_caso_02|'''Caso 02''']]:  <tt>'''(M)'''</tt> O pendrive de um estelionatário.
*[[Forense_caso_03|'''Caso 03''']]:  <tt>'''(A)'''</tt> Internet + SSH + senha 123456.


'''Legenda:'''
'''Legenda:'''
Linha 80: Linha 83:
*[http://forensicscontest.com Network Forensics Puzzle Contest]
*[http://forensicscontest.com Network Forensics Puzzle Contest]
*[http://computer-forensics.sans.org/challenges SANS Computer Forensics Challeges] (SANS)
*[http://computer-forensics.sans.org/challenges SANS Computer Forensics Challeges] (SANS)
*[http://code.google.com/p/volatility/wiki/SampleMemoryImages Volatility: sample memory images.]
*[http://www.cfreds.nist.gov The CFReDS Project] (NIST)
*[http://www.cfreds.nist.gov The CFReDS Project] (NIST)
<br><br>
<br><br>
Linha 90: Linha 94:
* [http://www.caine-live.net Distribuição CAINE] (CD)
* [http://www.caine-live.net Distribuição CAINE] (CD)
* [http://www.deftlinux.net Distribuição DEFT Linux] (CD)
* [http://www.deftlinux.net Distribuição DEFT Linux] (CD)
* [http://www.kali.org Distribuição Kali] (DVD)
* [http://www.caine-live.net Pacote para Windows WinTaylor] (Zip)
* [http://www.caine-live.net Pacote para Windows WinTaylor] (Zip)
* [http://computer-forensics.sans.org/community/downloads SANS Investigate Forensic Toolkit (SIFT) Workstation] (Imagem para VMWare)
* [http://computer-forensics.sans.org/community/downloads SANS Investigate Forensic Toolkit (SIFT) Workstation] (Imagem para VMWare)
Linha 101: Linha 106:
*[http://www.e-evidence.info/other.html The Electronic Evidence Information Center]
*[http://www.e-evidence.info/other.html The Electronic Evidence Information Center]
*[http://www.e-evidence.info/thiefs_page.html The Security Portal for Information System Security Professionals] (coleta de documentos até o ano de 2006)
*[http://www.e-evidence.info/thiefs_page.html The Security Portal for Information System Security Professionals] (coleta de documentos até o ano de 2006)
<br><br>
== Publicações ==
* Em breve...
<br><br>
== Suíte WinTaylor para MS Windows ==
O WinTaylor é uma suíte de ferramentas voltadas para a perícia forense em máquinas MS Windows. O seu download é feito a partir de um arquivo ''.zip'' que pode ser descompactado dentro de um pendrive. Todas as ferramentas aqui descritas foram testadas em um MS Windows 7 Home. Muitas delas precisaram ser executadas pelo usuário administrador.
A execução de comando via Prompt do MS-DOS em modo administrador requer ações especiais. Para tanto, vá em ''Iniciar > Todos os Programas > Acessórios'' (Windows 7) e clique com o botão direito do mouse sobre ''Prompt de Comando''. Escolha a opção ''Executar como administrador''. Se estiver utilizando outra versão de Windows, utilize a navegação correta para chegar no ''Prompt de Comando''.
=== Ferramentas para dump de memória em ambiente shell ===
As ferramentas mostradas a seguir operam em ambiente MS-DOS (prompt de comando) e estão disponíveis no botão ''RAM Dump'' do WinTaylor.
==== Win32DD e Win64DD ====
Os aplicativos ''Win32DD'' e ''Win64DD'' executam um dump completo de memória. Utilize a versão específica para o Windows a ser periciado.
Exemplo de linha de comando, considerando um pendrive em E: para receber os dados:
win32dd /f e:\ram.dd
==== mdd ====
O ''mdd'' é outra alternativa para realizar o dump de memória. Exemplo, considerando um pendrive em E: para receber os dados:
mdd -o e:\ram.dd
<br><br>
<br><br>
{{rodapé|http://www2.clustrmaps.com/user/0c9bd23d|http://www2.clustrmaps.com/stats/maps-no_clusters/eriberto.pro.br-forense-thumb.jpg|29 jul. 10}}
{{rodapé|http://www2.clustrmaps.com/user/0c9bd23d|http://www2.clustrmaps.com/stats/maps-no_clusters/eriberto.pro.br-forense-thumb.jpg|29 jul. 10}}

Edição atual tal como às 06h09min de 14 de novembro de 2014



Nesta página, algumas coisas sobre forense...



by (C) João Eriberto Mota Filho <eriberto (a) eriberto pro br>

Artigo criado em: 29 de julho de 2010.

Última atualização: veja o rodapé desta página.

Tiny URL ou bit.ly: http://bit.ly/forense




O objetivo deste artigo é reunir alguns elementos interessantes para o ensino e a prática da forense computacional, desenvolvidos por mim ou encontrados na Internet. Não pretendo "encher" a página com milhões de links. Quero algo mais direcionado, para que alunos e entusiastas possam aperfeiçoar facilmente os seus conhecimentos.

O que eu preciso para aprender forense?

Sendo direto, você precisará de:

  • Gosto pela atividade.
  • Paciência.
  • Ser detalhista.
  • Estudar muito.
  • Conhecer ferramentas.
  • Conhecer expressões regulares. (em http://aurelio.net/er você encontrará tudo o que precisa)
  • Conhecer a FHS.
  • Treinar.
  • Ser um mestre em sistemas operacionais e filesystems.
  • Ser criativo.
  • Ter a vontade de vencer o seu oponente.
  • Atualizar-se sempre.
  • Usar Linux.



Palestra sobre Perícia Forense Computacional

Este é um grande pontapé para que você inicie os seus estudos. Disponível em http://eriberto.pro.br/palestras.

Guias de Referência de Perícia Forense Computacional

  • Pockets no formato A4, frente e verso, com 6 páginas.
  • Formato: PDF.

Criados por Eriberto

  • Guia Perícia Linux com Debian GNU/Linux - Parte 1: Procedimentos iniciais e coletas
    • Guia voltado para a coleta inicial de dados, com a máquina ainda viva ou não. Contém várias orientações importantes para gerentes de rede, autoridades policiais ou interessados e peritos.
    • Acesse clicando aqui. (atualização em 03 set. 2010)
  • Guia Perícia Linux com Debian GNU/Linux - Parte 2: Análise de evidências e laudo
    • Guia voltado para a análise de conteúdo, já trabalhando com as imagens obtidas. Contém comandos e procedimentos básicos de análise. Também possui orientações para a confecção do laudo pericial.
    • Acesse clicando aqui. (atualização em 03 set. 2010)

Outros

  • SANS Cheat Sheet (ou Forensics Analysis Cheat Sheet)
    • Guia criado pelo SANS Institute e focado no uso do The Sleuth Kit.
    • Download no site oficial, mediante registro gratuito. Clique aqui.
    • Download em site paralelo e sem registro (pode estar desatualizado). Clique aqui.
  • The Forensic-Cheat-Sheet for Linux and TSK
    • Guia criado por Jens Vieweg e baseado no SANS Cheat Sheet.
    • Acesse clicando aqui



Casos para estudo (criados por mim)

Nesta parte serão disponibilizados casos diversos para o estudo da forense computacional. De tempos em tempos, novos casos serão adicionados. Isso não quer dizer que os casos ficarão cada vez mais difíceis. Assim sendo, para saber sobre a dificuldade de cada caso, consulte a legenda.

  • Caso 00: (I) Análise conduzida.
  • Caso 00a:(M) Análise avançada conduzida.
  • Caso 00b:(M) Análise avançada de filesystems.
  • Caso 00c:(A) Análise avançada específica para MS Windows (memória).
  • Caso 00d:(M) Análise de e-mail conduzida.
  • Caso 00e:(I) Análise de pendrive contaminado.
  • Caso 00f:(M) Partições perdidas.
  • Caso 01: (M) Descubra o que puder...
  • Caso 02: (M) O pendrive de um estelionatário.
  • Caso 03: (A) Internet + SSH + senha 123456.

Legenda:

  • (I) - iniciante. Casos com soluções mais simples. Utilizados para ensinar os primeiros passos da investigação forense ou de uma ferramenta específica.
  • (M) - médio. Casos que não são complexos mas exigem um pouco mais de espírito investigativo e completo conhecimento de ferramentas e métodos forenses.
  • (A) - avançado. Casos mais complexos e, muitas vezes, reais. Necessitam de uma perícia realizada por quem domina o assunto forense computacional e sabe o que está fazendo.



Sites com casos para estudo ou testes de ferramentas (criados por outros)



Algumas distribuições para forense

Baseadas em Debian e derivados



Páginas com ferramentas e tutoriais sobre forense



Redes sociais

  • Twitter: Para novidades sobre artigos, livros e palestras, siga-me em eribertomota.