Forense caso 00: mudanças entre as edições
Sem resumo de edição |
Sem resumo de edição |
||
(19 revisões intermediárias pelo mesmo usuário não estão sendo mostradas) | |||
Linha 1: | Linha 1: | ||
{{cabeçalho forense|00 - Análise conduzida|Brasília, DF, 14 de agosto de 2010| | {{cabeçalho forense|00 - Análise conduzida|Brasília, DF, 14 de agosto de 2010|14 de maio de 2017}} | ||
[[image:forense_hdmini.png|left]] Perícia forense computacional é a arte de investigar meios de armazenamento digital, como HDs, memórias, celulares etc. Deveremos sempre tomar todo o cuidado para preservarmos as informações, o que inclui não alterar datas e horas de arquivos e diretórios por acessos de forma errada. Outro fato é que arquivos apagados podem ser recuperados, mesmo depois de uma formatação. | [[image:forense_hdmini.png|left]] Perícia forense computacional é a arte de investigar meios de armazenamento digital, como HDs, memórias, celulares etc. Deveremos sempre tomar todo o cuidado para preservarmos as informações, o que inclui não alterar datas e horas de arquivos e diretórios por acessos de forma errada. Outro fato é que arquivos apagados podem ser recuperados, mesmo depois de uma formatação. | ||
Linha 6: | Linha 6: | ||
<br><br><br><br> | <br><br><br><br> | ||
{{cabeçalho_forense2}} | {{cabeçalho_forense2}} | ||
Responda às perguntas a seguir, analisando a [http://eriberto.pro.br/forense/caso_00/caso_00.dd.bz2 imagem de pendrive] (5. | Responda às perguntas a seguir, analisando a [http://eriberto.pro.br/forense/caso_00/caso_00.dd.bz2 imagem de pendrive] (5.9 MB comprimidos, 980 MB descomprimidos) disponibilizada. | ||
O hash MD5 da imagem comprimida é | O hash MD5 da imagem comprimida é 7306b2d44269aa0190c934d46c168374. | ||
Para descomprimir a imagem, utilize os comandos: | Para descomprimir a imagem, utilize os comandos: | ||
Linha 17: | Linha 17: | ||
Caso necessite, tome o cuidado de montar a imagem como read-only. Isso poderá ser feito com o comando: | Caso necessite, tome o cuidado de montar a imagem como read-only. Isso poderá ser feito com o comando: | ||
# mount -o | # mount -o ro caso_00.dd /mnt | ||
<big>'''Perguntas básicas:'''</big> | <big>'''Perguntas básicas:'''</big> | ||
#Defina Unix Epoch. | #Defina Unix Epoch. | ||
#Defina hardlink. | |||
#Confira o hash MD5 da imagem comprimida. Sempre faça isso. Depois, calcule os hashes SHA1, SHA224, SHA256, SHA384 e SHA512 da imagem descomprimida, colocando os resultados dentro de um arquivo. | #Confira o hash MD5 da imagem comprimida. Sempre faça isso. Depois, calcule os hashes SHA1, SHA224, SHA256, SHA384 e SHA512 da imagem descomprimida, colocando os resultados dentro de um arquivo. | ||
#Qual filesystem foi utilizado no pendrive? (file / | #Qual filesystem foi utilizado no pendrive? (file / fsstat / disktype) | ||
#Quantos setores possui o pendrive? (file / fsstat / fdisk - | #Quantos setores possui o pendrive? (file / fsstat / fdisk -l) | ||
#Quais são os três últimos bytes da imagem? | |||
#Quantos arquivos estão acessíveis para usuários? (fls -ruF + grep -v + wc -l / find + wc -l no ponto de montagem) | #Quantos arquivos estão acessíveis para usuários? (fls -ruF + grep -v + wc -l / find + wc -l no ponto de montagem) | ||
#Quais tipos de arquivos estão acessíveis para usuários? ( | #Quais tipos de arquivos estão acessíveis para usuários? (find -type f + egrep -o + sort -u) | ||
#Calcule os hashes MD5, SHA1 e SHA256 de todos os arquivos acessíveis por usuários. (hashdeep / hashrat / find) | |||
#Qual é o inode do arquivo "Literary Review.doc" dentro da imagem original? (fls -rF) | #Qual é o inode do arquivo "Literary Review.doc" dentro da imagem original? (fls -rF) | ||
#Qual é o inode do arquivo "Literary Review.doc" no ponto de montagem, dentro do filesystem do seu HD? (ls -li / stat) | #Qual é o inode do arquivo "Literary Review.doc" no ponto de montagem, dentro do filesystem do seu HD? (ls -li / stat) | ||
#Explique porque há uma diferença no número dos inodes encontrados nos dois itens anteriores e cite qual deles é o correto para referenciar o arquivo em questão. | #Explique porque há uma diferença no número dos inodes encontrados nos dois itens anteriores e cite qual deles é o correto para referenciar o arquivo em questão. | ||
#Qual é a data da criação ou última modificação do arquivo "Literary Review.doc" no filesystem? (fls -rF ou find + grep para encontrar o arquivo) (ls -l / stat / | #Qual é a data da criação ou última modificação do arquivo "Literary Review.doc" no filesystem? (fls -rF ou find + grep para encontrar o arquivo) (ls -l / stat / istat para ver a data) | ||
#Qual é a data do último acesso ao arquivo "Literary Review.doc" no filesystem? (fls ou find para encontrar o arquivo) (ls / stat / fls + istat) | #Qual é a data do último acesso ao arquivo "Literary Review.doc" no filesystem? (fls ou find para encontrar o arquivo) (ls / stat / fls + istat) | ||
#Quais são as datas de criação e última modificação do '''conteúdo''' arquivo "Literary Review.doc"? (dados no próprio arquivo) ( | #Quais são as datas de criação e última modificação do '''conteúdo''' arquivo "Literary Review.doc"? (dados no próprio arquivo) (file / libreoffice / exiftool)'''*''' | ||
#Quem é o criador do '''conteúdo''' do arquivo "Fernando_Porcella.xls"? (dados no próprio arquivo) ( | #Quem é o criador do '''conteúdo''' do arquivo "Fernando_Porcella.xls"? (dados no próprio arquivo) (libreoffice / file / exiftool) | ||
#Quem foi a última pessoa que modificou '''conteúdo''' do arquivo "Fernando_Porcella.xls"? (dados no próprio arquivo) ( | #Quem foi a última pessoa que modificou '''conteúdo''' do arquivo "Fernando_Porcella.xls"? (dados no próprio arquivo) (libreoffice / file / exiftool) | ||
#Quando se deu a última impressão do '''conteúdo''' do arquivo "Fernando_Porcella.xls"? (dados no próprio arquivo) ( | #Quando se deu a última impressão do '''conteúdo''' do arquivo "Fernando_Porcella.xls"? (dados no próprio arquivo) (file / libreoffice / exiftool)'''*''' | ||
#Qual foi a data da última modificação do '''conteúdo''' da foto "paola-carvalho.jpg"? (dados no próprio arquivo) (strings + grep / hexedit) | #Qual foi a data da última modificação do '''conteúdo''' da foto "paola-carvalho.jpg"? (dados no próprio arquivo) (strings + grep / hexedit / exiftool) | ||
#Qual foi o software utilizado para fazer a modificação do '''conteúdo''' da foto "paola-carvalho.jpg"? (dados no próprio arquivo) (strings + grep / hexedit) | #Qual foi o software utilizado para fazer a modificação do '''conteúdo''' da foto "paola-carvalho.jpg"? (dados no próprio arquivo) (strings + grep / hexedit / exiftool) | ||
#Qual foi o software utilizado para produzir o documento "sec-us-networkbasedfirewallservice.pdf"? (evince / okular / strings / strings + grep / hexedit) | #Qual foi o software utilizado para produzir o documento "sec-us-networkbasedfirewallservice.pdf"? (evince / okular / strings / strings + grep / hexedit / pdfinfo / exiftool) | ||
#Qual foi a data de modificação do '''conteúdo''' do documento "1632-1640.pdf"? (dados no próprio arquivo) (evince / okular / strings + grep / hexedit) | #Qual foi a data de modificação do '''conteúdo''' do documento "1632-1640.pdf"? (dados no próprio arquivo) (evince / okular / strings + grep / hexedit / pdfinfo / exiftool) | ||
#Quem criou o '''conteúdo''' do documento "1632-1640.pdf"? (dados no próprio arquivo) (evince / okular / strings + grep / hexedit) | #Quem criou o '''conteúdo''' do documento "1632-1640.pdf"? (dados no próprio arquivo) (evince / okular / strings + grep / hexedit / pdfinfo / exiftool) | ||
#Pode-se afirmar que todas as datas levantadas nas perguntas anteriores são verídicas? Por quê? | #Pode-se afirmar que todas as datas levantadas nas perguntas anteriores são verídicas? Por quê? | ||
#Dentro dos arquivos "sec-us-networkbasedfirewallservice.pdf" e "1632-1640.pdf" existem figuras JPG. Extraia as mesmas. (foremost -Tat jpg ''arquivo'') | #Dentro dos arquivos "sec-us-networkbasedfirewallservice.pdf" e "1632-1640.pdf" existem figuras JPG. Extraia as mesmas. (foremost -Tat jpg ''arquivo'') | ||
'''<nowiki>*</nowiki>''' O comando ''file'' | '''<nowiki>*</nowiki>''' O comando ''file'' mostra datas em UTC e ainda não tem suporte para documento .*x (docx, xlsx etc). O LibreOffice descarta os segundos. | ||
<big>'''Na imagem do pendrive, existem arquivos apagados. Um desses arquivos é a foto de | <big>'''Na imagem do pendrive, existem arquivos apagados. Um desses arquivos é a foto de alguns animais. Com base nisso, responda:'''</big> | ||
#Qual é o | #Qual é o conteúdo da foto? (fls -rdF + istat + icat ou fls -rdFl + icat) | ||
# | #Cite um site na Internet que contenha a mesma figura, de preferência com a mesma resolução. | ||
Obs: há fotos definitivamente danificadas e inacessíveis na superfície do disco. | |||
<big>'''Dados EXIF'''</big> | <big>'''Dados EXIF'''</big> | ||
#Qual máquina fotográfica digital, incluindo o modelo, foi utilizada para produzir a foto disponível em http://bit.ly/ | #Qual máquina fotográfica digital, incluindo o modelo, foi utilizada para produzir a foto disponível em http://bit.ly/cfeiN8? (metacam / exif / exiftags / exifprobe / exiftool) | ||
#Explique como se deu a utilização de flash. | |||
# | |||
<big>'''Timeline'''</big> | <big>'''Timeline'''</big> | ||
Linha 93: | Linha 66: | ||
#Utilizando os comandos fls e mactime, crie uma linha do tempo de todo o conteúdo da imagem. Sugestão: fls -rm / caso_00.dd | mactime -z BRT. Há outras formas. | #Utilizando os comandos fls e mactime, crie uma linha do tempo de todo o conteúdo da imagem. Sugestão: fls -rm / caso_00.dd | mactime -z BRT. Há outras formas. | ||
#Exiba somente os eventos ocorridos entre 01 de junho de 2009 e 01 de janeiro de 2010. | #Exiba somente os eventos ocorridos entre 01 de junho de 2009 e 01 de janeiro de 2010. | ||
<big>'''PDF com senha'''</big> | |||
#O PDF "documentos/diversos/manualrv9a.pdf" possui como senha uma palavra de dicionário em portugues. Descubra qual é tal senha. (pdfcrack -w, usando o dicionário /usr/share/dict/brazilian) | |||
#Tente descobrir a senha do arquivo anterior, usando o método de força bruta do pdfcrack. |
Edição atual tal como às 13h17min de 14 de maio de 2017
by (C) João Eriberto Mota Filho <eriberto (a) eriberto pro br>
Caso para estudo, ligado diretamente ao artigo perícia forense computacional, existente neste wiki.
Última atualização: veja o rodapé desta página.
Perícia forense computacional é a arte de investigar meios de armazenamento digital, como HDs, memórias, celulares etc. Deveremos sempre tomar todo o cuidado para preservarmos as informações, o que inclui não alterar datas e horas de arquivos e diretórios por acessos de forma errada. Outro fato é que arquivos apagados podem ser recuperados, mesmo depois de uma formatação.
O objetivo deste caso básico será conduzir o iniciante na descoberta de fatos, por meio de perguntas diretas sobre uma imagem de pendrive de 1 GB disponibilizada. Para facilitar a tarefa, inicialmente, foram escritos caracteres "0" sobre toda a superfície do referido pendrive. Ainda, a imagem foi comprimida com bzip2 para diminuir a quantidade de dados para download.
Responda às perguntas a seguir, analisando a imagem de pendrive (5.9 MB comprimidos, 980 MB descomprimidos) disponibilizada.
O hash MD5 da imagem comprimida é 7306b2d44269aa0190c934d46c168374.
Para descomprimir a imagem, utilize os comandos:
# apt-get install bzip2 # bunzip2 caso_00.dd.bz2
Caso necessite, tome o cuidado de montar a imagem como read-only. Isso poderá ser feito com o comando:
# mount -o ro caso_00.dd /mnt
Perguntas básicas:
- Defina Unix Epoch.
- Defina hardlink.
- Confira o hash MD5 da imagem comprimida. Sempre faça isso. Depois, calcule os hashes SHA1, SHA224, SHA256, SHA384 e SHA512 da imagem descomprimida, colocando os resultados dentro de um arquivo.
- Qual filesystem foi utilizado no pendrive? (file / fsstat / disktype)
- Quantos setores possui o pendrive? (file / fsstat / fdisk -l)
- Quais são os três últimos bytes da imagem?
- Quantos arquivos estão acessíveis para usuários? (fls -ruF + grep -v + wc -l / find + wc -l no ponto de montagem)
- Quais tipos de arquivos estão acessíveis para usuários? (find -type f + egrep -o + sort -u)
- Calcule os hashes MD5, SHA1 e SHA256 de todos os arquivos acessíveis por usuários. (hashdeep / hashrat / find)
- Qual é o inode do arquivo "Literary Review.doc" dentro da imagem original? (fls -rF)
- Qual é o inode do arquivo "Literary Review.doc" no ponto de montagem, dentro do filesystem do seu HD? (ls -li / stat)
- Explique porque há uma diferença no número dos inodes encontrados nos dois itens anteriores e cite qual deles é o correto para referenciar o arquivo em questão.
- Qual é a data da criação ou última modificação do arquivo "Literary Review.doc" no filesystem? (fls -rF ou find + grep para encontrar o arquivo) (ls -l / stat / istat para ver a data)
- Qual é a data do último acesso ao arquivo "Literary Review.doc" no filesystem? (fls ou find para encontrar o arquivo) (ls / stat / fls + istat)
- Quais são as datas de criação e última modificação do conteúdo arquivo "Literary Review.doc"? (dados no próprio arquivo) (file / libreoffice / exiftool)*
- Quem é o criador do conteúdo do arquivo "Fernando_Porcella.xls"? (dados no próprio arquivo) (libreoffice / file / exiftool)
- Quem foi a última pessoa que modificou conteúdo do arquivo "Fernando_Porcella.xls"? (dados no próprio arquivo) (libreoffice / file / exiftool)
- Quando se deu a última impressão do conteúdo do arquivo "Fernando_Porcella.xls"? (dados no próprio arquivo) (file / libreoffice / exiftool)*
- Qual foi a data da última modificação do conteúdo da foto "paola-carvalho.jpg"? (dados no próprio arquivo) (strings + grep / hexedit / exiftool)
- Qual foi o software utilizado para fazer a modificação do conteúdo da foto "paola-carvalho.jpg"? (dados no próprio arquivo) (strings + grep / hexedit / exiftool)
- Qual foi o software utilizado para produzir o documento "sec-us-networkbasedfirewallservice.pdf"? (evince / okular / strings / strings + grep / hexedit / pdfinfo / exiftool)
- Qual foi a data de modificação do conteúdo do documento "1632-1640.pdf"? (dados no próprio arquivo) (evince / okular / strings + grep / hexedit / pdfinfo / exiftool)
- Quem criou o conteúdo do documento "1632-1640.pdf"? (dados no próprio arquivo) (evince / okular / strings + grep / hexedit / pdfinfo / exiftool)
- Pode-se afirmar que todas as datas levantadas nas perguntas anteriores são verídicas? Por quê?
- Dentro dos arquivos "sec-us-networkbasedfirewallservice.pdf" e "1632-1640.pdf" existem figuras JPG. Extraia as mesmas. (foremost -Tat jpg arquivo)
* O comando file mostra datas em UTC e ainda não tem suporte para documento .*x (docx, xlsx etc). O LibreOffice descarta os segundos.
Na imagem do pendrive, existem arquivos apagados. Um desses arquivos é a foto de alguns animais. Com base nisso, responda:
- Qual é o conteúdo da foto? (fls -rdF + istat + icat ou fls -rdFl + icat)
- Cite um site na Internet que contenha a mesma figura, de preferência com a mesma resolução.
Obs: há fotos definitivamente danificadas e inacessíveis na superfície do disco.
Dados EXIF
- Qual máquina fotográfica digital, incluindo o modelo, foi utilizada para produzir a foto disponível em http://bit.ly/cfeiN8? (metacam / exif / exiftags / exifprobe / exiftool)
- Explique como se deu a utilização de flash.
Timeline
- Utilizando os comandos fls e mactime, crie uma linha do tempo de todo o conteúdo da imagem. Sugestão: fls -rm / caso_00.dd | mactime -z BRT. Há outras formas.
- Exiba somente os eventos ocorridos entre 01 de junho de 2009 e 01 de janeiro de 2010.
PDF com senha
- O PDF "documentos/diversos/manualrv9a.pdf" possui como senha uma palavra de dicionário em portugues. Descubra qual é tal senha. (pdfcrack -w, usando o dicionário /usr/share/dict/brazilian)
- Tente descobrir a senha do arquivo anterior, usando o método de força bruta do pdfcrack.