Forense caso 00e: mudanças entre as edições
Sem resumo de edição |
mSem resumo de edição |
||
| (3 revisões intermediárias pelo mesmo usuário não estão sendo mostradas) | |||
| Linha 1: | Linha 1: | ||
{{cabeçalho forense|00e - Pendrive no cyber café|Brasília, DF, 22 de agosto de 2012|16 de março de 2014}} | {{cabeçalho forense|00e - Pendrive no cyber café|Brasília, DF, 22 de agosto de 2012|16 de março de 2014}} | ||
[[image:cybercafe.png|left|100px]]Jair, pai de Carolina, foi a um cyber café imprimir um trabalho de escola para a filha, uma vez que a tinta da impressora de casa havia acabado. No entanto, ficou com receio de ter o seu pendrive contaminado com algum vírus ou coisa do tipo e, logo após inserir tal pendrive no computador do cyber, retirou-o e resolveu levá-lo à casa de um amigo que possuía impressora. Mas será que, somente pela simples inserção do pendrive na máquina, já seria tarde? | [[image:cybercafe.png|left|100px]]No dia 20 de agosto de 2012, Jair, pai de Carolina, foi a um cyber café imprimir um trabalho de escola para a filha, uma vez que a tinta da impressora de casa havia acabado. No entanto, ficou com receio de ter o seu pendrive contaminado com algum vírus ou coisa do tipo e, logo após inserir tal pendrive no computador do cyber, retirou-o e resolveu levá-lo à casa de um amigo que possuía impressora. Mas será que, somente pela simples inserção do pendrive na máquina, já seria tarde? | ||
<br><br><br><br> | <br><br><br><br> | ||
{{cabeçalho_forense2}} | {{cabeçalho_forense2}} | ||
Resolva as questões a seguir, analisando a [http://eriberto.pro.br/forense/caso_00e/caso_00e.dd.bz2 imagem de pendrive] (58 MB comprimidos, 64 MB descomprimidos) disponibilizada. | |||
O hash MD5 da imagem comprimida é 9c8c5569f4600c9b6c61c0a38c9c21ca. | O hash MD5 da imagem comprimida é 9c8c5569f4600c9b6c61c0a38c9c21ca. | ||
| Linha 13: | Linha 13: | ||
$ bunzip2 pen.dd.bz2 | $ bunzip2 pen.dd.bz2 | ||
<br><br> | <br><br> | ||
<big>''' | <big>'''Questões:'''</big> | ||
# Utilizando uma linha do tempo, descubra se houve atuação de algum malware ou não e, se for o caso, quais operações o mesmo realizou no filesystem. (fls -rm + mactime -z BRT) | # Utilizando uma linha do tempo, descubra se houve atuação de algum malware ou não e, se for o caso, quais operações o mesmo realizou no filesystem. (fls -rm + mactime -z BRT) | ||
# Utilizando o antivírus Clamav, descubra qual malware afetou o pendrive. (freshclam + clamscan -ri) | # Utilizando o antivírus Clamav, descubra qual malware afetou o pendrive. (freshclam + clamscan -ri) | ||
# Submeta o malware ao site [https://www.virustotal.com VirusTotal]. | # Submeta o malware ao site [https://www.virustotal.com VirusTotal]. | ||
# Com o comando ''cat'', analize o conteúdo dos arquivos ''.lnk'', criados pelo vírus. | |||
<br><br> | <br><br> | ||
'''Observação final:''' o Clamav também pode remover o malware, se utilizado com a opção --remove=yes ou --move=diretório. No entanto, isso nunca será feito em uma análise pericial. | '''Observação final:''' o Clamav também pode remover o malware, se utilizado com a opção --remove=yes ou --move=diretório. No entanto, isso nunca será feito em uma análise pericial. | ||
<br> | <br> | ||
Edição atual tal como às 17h55min de 5 de junho de 2015
by (C) João Eriberto Mota Filho <eriberto (a) eriberto pro br>
Caso para estudo, ligado diretamente ao artigo perícia forense computacional, existente neste wiki.
Última atualização: veja o rodapé desta página.
No dia 20 de agosto de 2012, Jair, pai de Carolina, foi a um cyber café imprimir um trabalho de escola para a filha, uma vez que a tinta da impressora de casa havia acabado. No entanto, ficou com receio de ter o seu pendrive contaminado com algum vírus ou coisa do tipo e, logo após inserir tal pendrive no computador do cyber, retirou-o e resolveu levá-lo à casa de um amigo que possuía impressora. Mas será que, somente pela simples inserção do pendrive na máquina, já seria tarde?
Resolva as questões a seguir, analisando a imagem de pendrive (58 MB comprimidos, 64 MB descomprimidos) disponibilizada.
O hash MD5 da imagem comprimida é 9c8c5569f4600c9b6c61c0a38c9c21ca.
Para descompactar a imagem, utilize o comando:
$ bunzip2 pen.dd.bz2
Questões:
- Utilizando uma linha do tempo, descubra se houve atuação de algum malware ou não e, se for o caso, quais operações o mesmo realizou no filesystem. (fls -rm + mactime -z BRT)
- Utilizando o antivírus Clamav, descubra qual malware afetou o pendrive. (freshclam + clamscan -ri)
- Submeta o malware ao site VirusTotal.
- Com o comando cat, analize o conteúdo dos arquivos .lnk, criados pelo vírus.
Observação final: o Clamav também pode remover o malware, se utilizado com a opção --remove=yes ou --move=diretório. No entanto, isso nunca será feito em uma análise pericial.