Forense caso 00: mudanças entre as edições

De Eriberto Wiki
Ir para navegação Ir para pesquisar
Sem resumo de edição
Sem resumo de edição
 
(30 revisões intermediárias pelo mesmo usuário não estão sendo mostradas)
Linha 1: Linha 1:
{{cabeçalho forense|00 - Análise conduzida|Brasília, DF, 14 de agosto de 2010|12 de julho de 2011}}
{{cabeçalho forense|00 - Análise conduzida|Brasília, DF, 14 de agosto de 2010|14 de maio de 2017}}


[[image:forense_hdmini.png|left]] Perícia forense computacional é a arte de investigar meios de armazenamento digital, como HDs, memórias, celulares etc. Deveremos sempre tomar todo o cuidado para preservarmos as informações, o que inclui não alterar datas e horas de arquivos e diretórios por acessos de forma errada. Outro fato é que arquivos apagados podem ser recuperados, mesmo depois de uma formatação.
[[image:forense_hdmini.png|left]] Perícia forense computacional é a arte de investigar meios de armazenamento digital, como HDs, memórias, celulares etc. Deveremos sempre tomar todo o cuidado para preservarmos as informações, o que inclui não alterar datas e horas de arquivos e diretórios por acessos de forma errada. Outro fato é que arquivos apagados podem ser recuperados, mesmo depois de uma formatação.
Linha 6: Linha 6:
<br><br><br><br>
<br><br><br><br>
{{cabeçalho_forense2}}
{{cabeçalho_forense2}}
Responda às perguntas a seguir, analisando a [http://eriberto.pro.br/forense/caso_00/caso_00.dd.bz2 imagem de pendrive] (5.7 MB comprimidos, 980 MB descomprimidos) disponibilizada.
Responda às perguntas a seguir, analisando a [http://eriberto.pro.br/forense/caso_00/caso_00.dd.bz2 imagem de pendrive] (5.9 MB comprimidos, 980 MB descomprimidos) disponibilizada.


O hash MD5 da imagem comprimida é a093f2e85a7674ae873b555f31f6def5.
O hash MD5 da imagem comprimida é 7306b2d44269aa0190c934d46c168374.


Caso necessite, tome o cuidado de montar a imagem como read-only. Isso poderá ser feito com o comando:
Para descomprimir a imagem, utilize os comandos:


  # mount -o loop,ro caso_00.dd /mnt
  # apt-get install bzip2
# bunzip2 caso_00.dd.bz2


Algumas sugestões de comandos e programas que poderão ser utilizados (incluindo a suíte The Sleuth Kit - TSK):
Caso necessite, tome o cuidado de montar a imagem como read-only. Isso poderá ser feito com o comando:
 
* md5sum, sha1sum, sha224sum, sha256sum, sha384sum e sha512sum.
* evince (Gnome)
* file
* find
* fls (TSK)
* foremost
* fsstat (TSK)
* hexedit
* icat (TSK)
* istat (TSK)
* ls (-lua e -lta)
* mactime (TSK)
* metacam
* okular (KDE)
* ooffice (BrOffice.Org)
* pdfinfo (poppler-utils)
* pornview
* sorter (TSK)
* stat
* strings (binutils)


# mount -o ro caso_00.dd /mnt


<big>'''Perguntas básicas:'''</big>
<big>'''Perguntas básicas:'''</big>


#Defina Unix Epoch.
#Defina Unix Epoch.
#Inicialmente, calcule os hashes SHA1, SHA224, SHA256, SHA384 e SHA512 da imagem descomprimida, colocando os resultados dentro de um arquivo.
#Defina hardlink.
#Qual filesystem foi utilizado no pendrive? (file / hexedit / fsstat)
#Confira o hash MD5 da imagem comprimida. Sempre faça isso. Depois, calcule os hashes SHA1, SHA224, SHA256, SHA384 e SHA512 da imagem descomprimida, colocando os resultados dentro de um arquivo.
#Quantos setores possui o pendrive? (file / fsstat)
#Qual filesystem foi utilizado no pendrive? (file / fsstat / disktype)
#Quantos arquivos estão acessíveis para usuários? (fls + grep -v / find + wc -l no ponto de montagem)
#Quantos setores possui o pendrive? (file / fsstat / fdisk -l)
#Quais tipos de arquivos estão acessíveis para usuários? (sorter / find + egrep + sort)
#Quais são os três últimos bytes da imagem?
#Qual é a data da criação ou última modificação do arquivo "Literary Review.doc" no filesystem? (fls ou find para encontrar o arquivo) (ls / stat / fls + istat)
#Quantos arquivos estão acessíveis para usuários? (fls -ruF + grep -v + wc -l / find + wc -l no ponto de montagem)
#Qual é o inode do arquivo "Literary Review.doc" dentro da imagem original? (fls)
#Quais tipos de arquivos estão acessíveis para usuários? (find -type f + egrep -o + sort -u)
#Qual é o inode do arquivo "Literary Review.doc" no ponto de montagem, dentro do filesystem do seu HD? (ls / stat)
#Calcule os hashes MD5, SHA1 e SHA256 de todos os arquivos acessíveis por usuários. (hashdeep / hashrat / find)
#Qual é o inode do arquivo "Literary Review.doc" dentro da imagem original? (fls -rF)
#Qual é o inode do arquivo "Literary Review.doc" no ponto de montagem, dentro do filesystem do seu HD? (ls -li / stat)
#Explique porque há uma diferença no número dos inodes encontrados nos dois itens anteriores e cite qual deles é o correto para referenciar o arquivo em questão.
#Qual é a data da criação ou última modificação do arquivo "Literary Review.doc" no filesystem? (fls -rF ou find + grep para encontrar o arquivo) (ls -l / stat / istat para ver a data)
#Qual é a data do último acesso ao arquivo "Literary Review.doc" no filesystem? (fls ou find para encontrar o arquivo) (ls / stat / fls + istat)
#Qual é a data do último acesso ao arquivo "Literary Review.doc" no filesystem? (fls ou find para encontrar o arquivo) (ls / stat / fls + istat)
#Quais são as datas de criação e última modificação do conteúdo arquivo "Literary Review.doc"? (dados do próprio arquivo) (ooffice)'''*'''
#Quais são as datas de criação e última modificação do '''conteúdo''' arquivo "Literary Review.doc"? (dados no próprio arquivo) (file / libreoffice / exiftool)'''*'''
#Quem é o criador do conteúdo do arquivo "Fernando_Porcella.xls"? (dados do próprio arquivo) (ooffice / file)
#Quem é o criador do '''conteúdo''' do arquivo "Fernando_Porcella.xls"? (dados no próprio arquivo) (libreoffice / file / exiftool)
#Quem foi a última pessoa que modificou conteúdo do arquivo "Fernando_Porcella.xls"? (dados do próprio arquivo) (ooffice / file)
#Quem foi a última pessoa que modificou '''conteúdo''' do arquivo "Fernando_Porcella.xls"? (dados no próprio arquivo) (libreoffice / file / exiftool)
#Quando se deu a última impressão do conteúdo do arquivo "Fernando_Porcella.xls"? (dados do próprio arquivo) (ooffice)'''*'''
#Quando se deu a última impressão do '''conteúdo''' do arquivo "Fernando_Porcella.xls"? (dados no próprio arquivo) (file / libreoffice / exiftool)'''*'''
#Qual foi a data da última modificação do conteúdo da foto "paola-carvalho.jpg"? (dados do próprio arquivo) (strings / strings + grep / hexedit)
#Qual foi a data da última modificação do '''conteúdo''' da foto "paola-carvalho.jpg"? (dados no próprio arquivo) (strings + grep / hexedit / exiftool)
#Qual foi o software utilizado para fazer a modificação do conteúdo da foto "paola-carvalho.jpg"? (dados do próprio arquivo) (strings / strings + grep / hexedit)
#Qual foi o software utilizado para fazer a modificação do '''conteúdo''' da foto "paola-carvalho.jpg"? (dados no próprio arquivo) (strings + grep / hexedit / exiftool)
#Qual foi o software utilizado para produzir o documento "sec-us-networkbasedfirewallservice.pdf"? (evince / okular / strings / strings + grep / hexedit)
#Qual foi o software utilizado para produzir o documento "sec-us-networkbasedfirewallservice.pdf"? (evince / okular / strings / strings + grep / hexedit / pdfinfo / exiftool)
#Qual foi a data de modificação do conteúdo do documento "1632-1640.pdf"? (dados do próprio arquivo) (evince / okular / strings / strings + grep / hexedit)
#Qual foi a data de modificação do '''conteúdo''' do documento "1632-1640.pdf"? (dados no próprio arquivo) (evince / okular / strings + grep / hexedit / pdfinfo / exiftool)
#Quem criou o conteúdo do documento "1632-1640.pdf"? (dados do próprio arquivo) (evince / okular / strings / strings + grep / hexedit)
#Quem criou o '''conteúdo''' do documento "1632-1640.pdf"? (dados no próprio arquivo) (evince / okular / strings + grep / hexedit / pdfinfo / exiftool)
#Pode-se afirmar que todas as datas levantadas nas perguntas anteriores são verídicas? Por quê?
#Pode-se afirmar que todas as datas levantadas nas perguntas anteriores são verídicas? Por quê?
#Dentro dos arquivos "sec-us-networkbasedfirewallservice.pdf" e "1632-1640.pdf" existem figuras JPG. Extraia as mesmas. (foremost -Tat jpg ''arquivo'')
'''<nowiki>*</nowiki>''' O comando ''file'' mostra datas em UTC e ainda não tem suporte para documento .*x (docx, xlsx etc). O LibreOffice descarta os segundos.




'''<nowiki>*</nowiki>''' O comando file poderia ser utilizado. No entanto, por bugs, os resultados mostrados nas datas são inconsistentes (bug [http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=631440 #631440] no Debian). Ainda, em se tratando de documentos do tipo XML (docx, xlsx etc), o OpenOffice (agora LibreOffice) considera todos os horários como UTC. Em qualquer caso, o OpenOffice descarta os segundos.
<big>'''Na imagem do pendrive, existem arquivos apagados. Um desses arquivos é a foto de alguns animais. Com base nisso, responda:'''</big>


#Qual é o conteúdo da foto? (fls -rdF + istat + icat ou fls -rdFl + icat)
#Cite um site na Internet que contenha a mesma figura, de preferência com a mesma resolução.


<big>'''Na imagem do pendrive, existem arquivos apagados. Um desses arquivos é a foto de um animal. Com base nisso, responda:'''</big>
Obs: há fotos definitivamente danificadas e inacessíveis na superfície do disco.


#Qual é o referido animal? (fls + istat + icat)
<big>'''Dados EXIF'''</big>
#Qual foi a provável data da última modificação do conteúdo da foto? (strings + grep)


#Qual máquina fotográfica digital, incluindo o modelo, foi utilizada para produzir a foto disponível em http://bit.ly/cfeiN8? (metacam / exif / exiftags / exifprobe / exiftool)
#Explique como se deu a utilização de flash.


<big>'''Dados EXIF'''</big>
<big>'''Timeline'''</big>


#Qual máquina fotográfica digital, incluindo o modelo, foi utilizada para produzir a foto disponível em http://bit.ly/cD7loL? (metacam/pornview)
#Utilizando os comandos fls e mactime, crie uma linha do tempo de todo o conteúdo da imagem. Sugestão: fls -rm / caso_00.dd | mactime -z BRT. Há outras formas.
#E no caso da foto http://bit.ly/cfeiN8? (metacam / pornview)
#Exiba somente os eventos ocorridos entre 01 de junho de 2009 e 01 de janeiro de 2010.
#Em relação às duas fotos, qual a diferença entre a utilização de flash?




<big>'''Timeline'''</big>
<big>'''PDF com senha'''</big>


Utilizando os comandos fls e mactime, crie uma linha do tempo de todo o conteúdo da imagem.
#O PDF "documentos/diversos/manualrv9a.pdf" possui como senha uma palavra de dicionário em portugues. Descubra qual é tal senha. (pdfcrack -w, usando o dicionário /usr/share/dict/brazilian)
#Tente descobrir a senha do arquivo anterior, usando o método de força bruta do pdfcrack.

Edição atual tal como às 13h17min de 14 de maio de 2017

by (C) João Eriberto Mota Filho <eriberto (a) eriberto pro br>

Caso para estudo, ligado diretamente ao artigo perícia forense computacional, existente neste wiki.

Última atualização: veja o rodapé desta página.




Caso 00 - Análise conduzida


Brasília, DF, 14 de agosto de 2010


Atualização em: 14 de maio de 2017




Perícia forense computacional é a arte de investigar meios de armazenamento digital, como HDs, memórias, celulares etc. Deveremos sempre tomar todo o cuidado para preservarmos as informações, o que inclui não alterar datas e horas de arquivos e diretórios por acessos de forma errada. Outro fato é que arquivos apagados podem ser recuperados, mesmo depois de uma formatação.

O objetivo deste caso básico será conduzir o iniciante na descoberta de fatos, por meio de perguntas diretas sobre uma imagem de pendrive de 1 GB disponibilizada. Para facilitar a tarefa, inicialmente, foram escritos caracteres "0" sobre toda a superfície do referido pendrive. Ainda, a imagem foi comprimida com bzip2 para diminuir a quantidade de dados para download.





Exercício de aplicação



Responda às perguntas a seguir, analisando a imagem de pendrive (5.9 MB comprimidos, 980 MB descomprimidos) disponibilizada.

O hash MD5 da imagem comprimida é 7306b2d44269aa0190c934d46c168374.

Para descomprimir a imagem, utilize os comandos:

# apt-get install bzip2
# bunzip2 caso_00.dd.bz2

Caso necessite, tome o cuidado de montar a imagem como read-only. Isso poderá ser feito com o comando:

# mount -o ro caso_00.dd /mnt

Perguntas básicas:

  1. Defina Unix Epoch.
  2. Defina hardlink.
  3. Confira o hash MD5 da imagem comprimida. Sempre faça isso. Depois, calcule os hashes SHA1, SHA224, SHA256, SHA384 e SHA512 da imagem descomprimida, colocando os resultados dentro de um arquivo.
  4. Qual filesystem foi utilizado no pendrive? (file / fsstat / disktype)
  5. Quantos setores possui o pendrive? (file / fsstat / fdisk -l)
  6. Quais são os três últimos bytes da imagem?
  7. Quantos arquivos estão acessíveis para usuários? (fls -ruF + grep -v + wc -l / find + wc -l no ponto de montagem)
  8. Quais tipos de arquivos estão acessíveis para usuários? (find -type f + egrep -o + sort -u)
  9. Calcule os hashes MD5, SHA1 e SHA256 de todos os arquivos acessíveis por usuários. (hashdeep / hashrat / find)
  10. Qual é o inode do arquivo "Literary Review.doc" dentro da imagem original? (fls -rF)
  11. Qual é o inode do arquivo "Literary Review.doc" no ponto de montagem, dentro do filesystem do seu HD? (ls -li / stat)
  12. Explique porque há uma diferença no número dos inodes encontrados nos dois itens anteriores e cite qual deles é o correto para referenciar o arquivo em questão.
  13. Qual é a data da criação ou última modificação do arquivo "Literary Review.doc" no filesystem? (fls -rF ou find + grep para encontrar o arquivo) (ls -l / stat / istat para ver a data)
  14. Qual é a data do último acesso ao arquivo "Literary Review.doc" no filesystem? (fls ou find para encontrar o arquivo) (ls / stat / fls + istat)
  15. Quais são as datas de criação e última modificação do conteúdo arquivo "Literary Review.doc"? (dados no próprio arquivo) (file / libreoffice / exiftool)*
  16. Quem é o criador do conteúdo do arquivo "Fernando_Porcella.xls"? (dados no próprio arquivo) (libreoffice / file / exiftool)
  17. Quem foi a última pessoa que modificou conteúdo do arquivo "Fernando_Porcella.xls"? (dados no próprio arquivo) (libreoffice / file / exiftool)
  18. Quando se deu a última impressão do conteúdo do arquivo "Fernando_Porcella.xls"? (dados no próprio arquivo) (file / libreoffice / exiftool)*
  19. Qual foi a data da última modificação do conteúdo da foto "paola-carvalho.jpg"? (dados no próprio arquivo) (strings + grep / hexedit / exiftool)
  20. Qual foi o software utilizado para fazer a modificação do conteúdo da foto "paola-carvalho.jpg"? (dados no próprio arquivo) (strings + grep / hexedit / exiftool)
  21. Qual foi o software utilizado para produzir o documento "sec-us-networkbasedfirewallservice.pdf"? (evince / okular / strings / strings + grep / hexedit / pdfinfo / exiftool)
  22. Qual foi a data de modificação do conteúdo do documento "1632-1640.pdf"? (dados no próprio arquivo) (evince / okular / strings + grep / hexedit / pdfinfo / exiftool)
  23. Quem criou o conteúdo do documento "1632-1640.pdf"? (dados no próprio arquivo) (evince / okular / strings + grep / hexedit / pdfinfo / exiftool)
  24. Pode-se afirmar que todas as datas levantadas nas perguntas anteriores são verídicas? Por quê?
  25. Dentro dos arquivos "sec-us-networkbasedfirewallservice.pdf" e "1632-1640.pdf" existem figuras JPG. Extraia as mesmas. (foremost -Tat jpg arquivo)

* O comando file mostra datas em UTC e ainda não tem suporte para documento .*x (docx, xlsx etc). O LibreOffice descarta os segundos.


Na imagem do pendrive, existem arquivos apagados. Um desses arquivos é a foto de alguns animais. Com base nisso, responda:

  1. Qual é o conteúdo da foto? (fls -rdF + istat + icat ou fls -rdFl + icat)
  2. Cite um site na Internet que contenha a mesma figura, de preferência com a mesma resolução.

Obs: há fotos definitivamente danificadas e inacessíveis na superfície do disco.

Dados EXIF

  1. Qual máquina fotográfica digital, incluindo o modelo, foi utilizada para produzir a foto disponível em http://bit.ly/cfeiN8? (metacam / exif / exiftags / exifprobe / exiftool)
  2. Explique como se deu a utilização de flash.

Timeline

  1. Utilizando os comandos fls e mactime, crie uma linha do tempo de todo o conteúdo da imagem. Sugestão: fls -rm / caso_00.dd | mactime -z BRT. Há outras formas.
  2. Exiba somente os eventos ocorridos entre 01 de junho de 2009 e 01 de janeiro de 2010.


PDF com senha

  1. O PDF "documentos/diversos/manualrv9a.pdf" possui como senha uma palavra de dicionário em portugues. Descubra qual é tal senha. (pdfcrack -w, usando o dicionário /usr/share/dict/brazilian)
  2. Tente descobrir a senha do arquivo anterior, usando o método de força bruta do pdfcrack.