Perícia forense computacional: mudanças entre as edições
Sem resumo de edição |
|||
(34 revisões intermediárias pelo mesmo usuário não estão sendo mostradas) | |||
Linha 23: | Linha 23: | ||
* Ter a vontade de vencer o seu oponente. | * Ter a vontade de vencer o seu oponente. | ||
* Atualizar-se sempre. | * Atualizar-se sempre. | ||
* Usar Linux. | |||
<br><br> | <br><br> | ||
Linha 59: | Linha 60: | ||
*[[Forense_caso_00|'''Caso 00''']]: <tt>'''(I)'''</tt> Análise conduzida. | *[[Forense_caso_00|'''Caso 00''']]: <tt>'''(I)'''</tt> Análise conduzida. | ||
*[[Forense_caso_00a|'''Caso 00a''']]: <tt>'''(M)'''</tt> Análise avançada conduzida. | *[[Forense_caso_00a|'''Caso 00a''']]:<tt>'''(M)'''</tt> Análise avançada conduzida. | ||
*[ | *[[Forense_caso_00b|'''Caso 00b''']]:<tt>'''(M)'''</tt> Análise avançada de filesystems. | ||
*[[Forense_caso_00c|'''Caso 00c''']]: <tt>'''( | *[[Forense_caso_00c|'''Caso 00c''']]:<tt>'''(A)'''</tt> Análise avançada específica para MS Windows (memória). | ||
*[ | *[[Forense_caso_00d|'''Caso 00d''']]:<tt>'''(M)'''</tt> Análise de e-mail conduzida. | ||
*[ | *[[Forense_caso_00e|'''Caso 00e''']]:<tt>'''(I)'''</tt> Análise de pendrive contaminado. | ||
*[ | *[[Forense_caso_00f|'''Caso 00f''']]:<tt>'''(M)'''</tt> Partições perdidas. | ||
*[ | *[[Forense_caso_01|'''Caso 01''']]: <tt>'''(M)'''</tt> Descubra o que puder... | ||
*[[Forense_caso_02|'''Caso 02''']]: <tt>'''(M)'''</tt> O pendrive de um estelionatário. | |||
*[[Forense_caso_03|'''Caso 03''']]: <tt>'''(A)'''</tt> Internet + SSH + senha 123456. | |||
'''Legenda:''' | '''Legenda:''' | ||
Linha 80: | Linha 83: | ||
*[http://forensicscontest.com Network Forensics Puzzle Contest] | *[http://forensicscontest.com Network Forensics Puzzle Contest] | ||
*[http://computer-forensics.sans.org/challenges SANS Computer Forensics Challeges] (SANS) | *[http://computer-forensics.sans.org/challenges SANS Computer Forensics Challeges] (SANS) | ||
*[http://code.google.com/p/volatility/wiki/SampleMemoryImages Volatility: sample memory images.] | |||
*[http://www.cfreds.nist.gov The CFReDS Project] (NIST) | *[http://www.cfreds.nist.gov The CFReDS Project] (NIST) | ||
<br><br> | <br><br> | ||
Linha 90: | Linha 94: | ||
* [http://www.caine-live.net Distribuição CAINE] (CD) | * [http://www.caine-live.net Distribuição CAINE] (CD) | ||
* [http://www.deftlinux.net Distribuição DEFT Linux] (CD) | * [http://www.deftlinux.net Distribuição DEFT Linux] (CD) | ||
* [http://www.kali.org Distribuição Kali] (DVD) | |||
* [http://www.caine-live.net Pacote para Windows WinTaylor] (Zip) | * [http://www.caine-live.net Pacote para Windows WinTaylor] (Zip) | ||
* [http://computer-forensics.sans.org/community/downloads SANS Investigate Forensic Toolkit (SIFT) Workstation] (Imagem para VMWare) | * [http://computer-forensics.sans.org/community/downloads SANS Investigate Forensic Toolkit (SIFT) Workstation] (Imagem para VMWare) | ||
Linha 101: | Linha 106: | ||
*[http://www.e-evidence.info/other.html The Electronic Evidence Information Center] | *[http://www.e-evidence.info/other.html The Electronic Evidence Information Center] | ||
*[http://www.e-evidence.info/thiefs_page.html The Security Portal for Information System Security Professionals] (coleta de documentos até o ano de 2006) | *[http://www.e-evidence.info/thiefs_page.html The Security Portal for Information System Security Professionals] (coleta de documentos até o ano de 2006) | ||
<br><br> | <br><br> | ||
{{rodapé|http://www2.clustrmaps.com/user/0c9bd23d|http://www2.clustrmaps.com/stats/maps-no_clusters/eriberto.pro.br-forense-thumb.jpg|29 jul. 10}} | {{rodapé|http://www2.clustrmaps.com/user/0c9bd23d|http://www2.clustrmaps.com/stats/maps-no_clusters/eriberto.pro.br-forense-thumb.jpg|29 jul. 10}} |
Edição atual tal como às 06h09min de 14 de novembro de 2014
by (C) João Eriberto Mota Filho <eriberto (a) eriberto pro br>
Artigo criado em: 29 de julho de 2010.
Última atualização: veja o rodapé desta página.
Tiny URL ou bit.ly: http://bit.ly/forense
O objetivo deste artigo é reunir alguns elementos interessantes para o ensino e a prática da forense computacional, desenvolvidos por mim ou encontrados na Internet. Não pretendo "encher" a página com milhões de links. Quero algo mais direcionado, para que alunos e entusiastas possam aperfeiçoar facilmente os seus conhecimentos.
O que eu preciso para aprender forense?
Sendo direto, você precisará de:
- Gosto pela atividade.
- Paciência.
- Ser detalhista.
- Estudar muito.
- Conhecer ferramentas.
- Conhecer expressões regulares. (em http://aurelio.net/er você encontrará tudo o que precisa)
- Conhecer a FHS.
- Treinar.
- Ser um mestre em sistemas operacionais e filesystems.
- Ser criativo.
- Ter a vontade de vencer o seu oponente.
- Atualizar-se sempre.
- Usar Linux.
Palestra sobre Perícia Forense Computacional
Este é um grande pontapé para que você inicie os seus estudos. Disponível em http://eriberto.pro.br/palestras.
Guias de Referência de Perícia Forense Computacional
- Pockets no formato A4, frente e verso, com 6 páginas.
- Formato: PDF.
Criados por Eriberto
- Guia Perícia Linux com Debian GNU/Linux - Parte 1: Procedimentos iniciais e coletas
- Guia voltado para a coleta inicial de dados, com a máquina ainda viva ou não. Contém várias orientações importantes para gerentes de rede, autoridades policiais ou interessados e peritos.
- Acesse clicando aqui. (atualização em 03 set. 2010)
- Guia Perícia Linux com Debian GNU/Linux - Parte 2: Análise de evidências e laudo
- Guia voltado para a análise de conteúdo, já trabalhando com as imagens obtidas. Contém comandos e procedimentos básicos de análise. Também possui orientações para a confecção do laudo pericial.
- Acesse clicando aqui. (atualização em 03 set. 2010)
Outros
- SANS Cheat Sheet (ou Forensics Analysis Cheat Sheet)
- The Forensic-Cheat-Sheet for Linux and TSK
- Guia criado por Jens Vieweg e baseado no SANS Cheat Sheet.
- Acesse clicando aqui
Casos para estudo (criados por mim)
Nesta parte serão disponibilizados casos diversos para o estudo da forense computacional. De tempos em tempos, novos casos serão adicionados. Isso não quer dizer que os casos ficarão cada vez mais difíceis. Assim sendo, para saber sobre a dificuldade de cada caso, consulte a legenda.
- Caso 00: (I) Análise conduzida.
- Caso 00a:(M) Análise avançada conduzida.
- Caso 00b:(M) Análise avançada de filesystems.
- Caso 00c:(A) Análise avançada específica para MS Windows (memória).
- Caso 00d:(M) Análise de e-mail conduzida.
- Caso 00e:(I) Análise de pendrive contaminado.
- Caso 00f:(M) Partições perdidas.
- Caso 01: (M) Descubra o que puder...
- Caso 02: (M) O pendrive de um estelionatário.
- Caso 03: (A) Internet + SSH + senha 123456.
Legenda:
- (I) - iniciante. Casos com soluções mais simples. Utilizados para ensinar os primeiros passos da investigação forense ou de uma ferramenta específica.
- (M) - médio. Casos que não são complexos mas exigem um pouco mais de espírito investigativo e completo conhecimento de ferramentas e métodos forenses.
- (A) - avançado. Casos mais complexos e, muitas vezes, reais. Necessitam de uma perícia realizada por quem domina o assunto forense computacional e sabe o que está fazendo.
Sites com casos para estudo ou testes de ferramentas (criados por outros)
- Digital forensics tool testing images (SF.net)
- Network Forensics Puzzle Contest
- SANS Computer Forensics Challeges (SANS)
- Volatility: sample memory images.
- The CFReDS Project (NIST)
Algumas distribuições para forense
Baseadas em Debian e derivados
- Pendrive de boot com Debian Lenny customizado (neste wiki)
- Distribuição BackTrack (DVD)
- Distribuição CAINE (CD)
- Distribuição DEFT Linux (CD)
- Distribuição Kali (DVD)
- Pacote para Windows WinTaylor (Zip)
- SANS Investigate Forensic Toolkit (SIFT) Workstation (Imagem para VMWare)
Páginas com ferramentas e tutoriais sobre forense
- Computer forensic resources
- Forensics Wiki (atualizado constantemente)
- Open Source Forensic Tools (atualizado constantemente)
- The Electronic Evidence Information Center
- The Security Portal for Information System Security Professionals (coleta de documentos até o ano de 2006)
Redes sociais
- Twitter: Para novidades sobre artigos, livros e palestras, siga-me em eribertomota.