Forense caso 00: mudanças entre as edições

by (C) João Eriberto Mota Filho <eriberto (a) eriberto pro br>

Caso para estudo, ligado diretamente ao artigo perícia forense computacional, existente neste wiki.

Última atualização: veja o rodapé desta página.

Perícia forense computacional é a arte de investigar meios de armazenamento digital, como HDs, memórias, celulares etc. Deveremos sempre tomar todo o cuidado para preservarmos as informações, o que inclui não alterar datas e horas de arquivos e diretórios por acessos de forma errada. Outro fato é que arquivos apagados podem ser recuperados, mesmo depois de uma formatação.

O objetivo deste caso básico será conduzir o iniciante na descoberta de fatos, por meio de perguntas diretas sobre uma imagem de pendrive de 1 GB disponibilizada. Para facilitar a tarefa, inicialmente, foram escritos caracteres "0" sobre toda a superfície do referido pendrive. Ainda, a imagem foi comprimida com bzip2 para diminuir a quantidade de dados para download.

Responda às perguntas a seguir, analisando a imagem de pendrive (5.9 MB comprimidos, 980 MB descomprimidos) disponibilizada.

O hash MD5 da imagem comprimida é 7306b2d44269aa0190c934d46c168374.

Para descomprimir a imagem, utilize os comandos:

# apt-get install bzip2
# bunzip2 caso_00.dd.bz2

Caso necessite, tome o cuidado de montar a imagem como read-only. Isso poderá ser feito com o comando:

# mount -o ro caso_00.dd /mnt

Perguntas básicas:

1. Defina Unix Epoch.
2. Defina hardlink.
3. Confira o hash MD5 da imagem comprimida. Sempre faça isso. Depois, calcule os hashes SHA1, SHA224, SHA256, SHA384 e SHA512 da imagem descomprimida, colocando os resultados dentro de um arquivo.
4. Qual filesystem foi utilizado no pendrive? (file / fsstat / disktype)
5. Quantos setores possui o pendrive? (file / fsstat / fdisk -l)
6. Quais são os três últimos bytes da imagem?
7. Quantos arquivos estão acessíveis para usuários? (fls -ruF + grep -v + wc -l / find + wc -l no ponto de montagem)
8. Quais tipos de arquivos estão acessíveis para usuários? (find -type f + egrep -o + sort -u)
9. Calcule os hashes MD5, SHA1 e SHA256 de todos os arquivos acessíveis por usuários. (hashdeep / hashrat / find)
10. Qual é o inode do arquivo "Literary Review.doc" dentro da imagem original? (fls -rF)
11. Qual é o inode do arquivo "Literary Review.doc" no ponto de montagem, dentro do filesystem do seu HD? (ls -li / stat)
12. Explique porque há uma diferença no número dos inodes encontrados nos dois itens anteriores e cite qual deles é o correto para referenciar o arquivo em questão.
13. Qual é a data da criação ou última modificação do arquivo "Literary Review.doc" no filesystem? (fls -rF ou find + grep para encontrar o arquivo) (ls -l / stat / istat para ver a data)
14. Qual é a data do último acesso ao arquivo "Literary Review.doc" no filesystem? (fls ou find para encontrar o arquivo) (ls / stat / fls + istat)
15. Quais são as datas de criação e última modificação do conteúdo arquivo "Literary Review.doc"? (dados no próprio arquivo) (file / libreoffice / exiftool)*
16. Quem é o criador do conteúdo do arquivo "Fernando_Porcella.xls"? (dados no próprio arquivo) (libreoffice / file / exiftool)
17. Quem foi a última pessoa que modificou conteúdo do arquivo "Fernando_Porcella.xls"? (dados no próprio arquivo) (libreoffice / file / exiftool)
18. Quando se deu a última impressão do conteúdo do arquivo "Fernando_Porcella.xls"? (dados no próprio arquivo) (file / libreoffice / exiftool)*
19. Qual foi a data da última modificação do conteúdo da foto "paola-carvalho.jpg"? (dados no próprio arquivo) (strings + grep / hexedit / exiftool)
20. Qual foi o software utilizado para fazer a modificação do conteúdo da foto "paola-carvalho.jpg"? (dados no próprio arquivo) (strings + grep / hexedit / exiftool)
21. Qual foi o software utilizado para produzir o documento "sec-us-networkbasedfirewallservice.pdf"? (evince / okular / strings / strings + grep / hexedit / pdfinfo / exiftool)
22. Qual foi a data de modificação do conteúdo do documento "1632-1640.pdf"? (dados no próprio arquivo) (evince / okular / strings + grep / hexedit / pdfinfo / exiftool)
23. Quem criou o conteúdo do documento "1632-1640.pdf"? (dados no próprio arquivo) (evince / okular / strings + grep / hexedit / pdfinfo / exiftool)
24. Pode-se afirmar que todas as datas levantadas nas perguntas anteriores são verídicas? Por quê?
25. Dentro dos arquivos "sec-us-networkbasedfirewallservice.pdf" e "1632-1640.pdf" existem figuras JPG. Extraia as mesmas. (foremost -Tat jpg arquivo)

* O comando file mostra datas em UTC e ainda não tem suporte para documento .*x (docx, xlsx etc). O LibreOffice descarta os segundos.

Na imagem do pendrive, existem arquivos apagados. Um desses arquivos é a foto de alguns animais. Com base nisso, responda:

1. Qual é o conteúdo da foto? (fls -rdF + istat + icat ou fls -rdFl + icat)
2. Cite um site na Internet que contenha a mesma figura, de preferência com a mesma resolução.

Obs: há fotos definitivamente danificadas e inacessíveis na superfície do disco.

Dados EXIF

1. Qual máquina fotográfica digital, incluindo o modelo, foi utilizada para produzir a foto disponível em http://bit.ly/cfeiN8? (metacam / exif / exiftags / exifprobe / exiftool)
2. Explique como se deu a utilização de flash.

Timeline

1. Utilizando os comandos fls e mactime, crie uma linha do tempo de todo o conteúdo da imagem. Sugestão: fls -rm / caso_00.dd | mactime -z BRT. Há outras formas.
2. Exiba somente os eventos ocorridos entre 01 de junho de 2009 e 01 de janeiro de 2010.

PDF com senha

1. O PDF "documentos/diversos/manualrv9a.pdf" possui como senha uma palavra de dicionário em portugues. Descubra qual é tal senha. (pdfcrack -w, usando o dicionário /usr/share/dict/brazilian)
2. Tente descobrir a senha do arquivo anterior, usando o método de força bruta do pdfcrack.