Forense caso 00c: mudanças entre as edições

De Eriberto Wiki
Ir para navegação Ir para pesquisar
Sem resumo de edição
mSem resumo de edição
 
(8 revisões intermediárias pelo mesmo usuário não estão sendo mostradas)
Linha 1: Linha 1:
{{cabeçalho forense|00c - Análise avançada conduzida (memória RAM)|Brasília, DF, 29 de setembro de 2011|30 de setembro de 2011}}
{{cabeçalho forense|00c - Análise avançada conduzida (memória RAM)|Brasília, DF, 29 de setembro de 2011|04 de abril de 2014}}


[[image:Mswindows.jpg|left|150px]]Neste exercício serão realizadas análises de memória coletada em ambiente MS Windows.  
[[image:Mswindows.jpg|left|150px]]Neste exercício serão realizadas análises de memória coletada em ambiente MS Windows.  
Linha 12: Linha 12:
<br><br><br><br>
<br><br><br><br>
{{cabeçalho_forense2}}
{{cabeçalho_forense2}}
Exercício: responda às perguntas a seguir, analisando o ambiente de usuário fornecido e a imagem de memória, ambos encontrados no arquivo [http://eriberto.pro.br/forense/caso_00c/ram.dd.strings.bz2 ram.dd.strings.bz2] (52 MB comprimidos e 143 MB totalmente descomprimidos).
Exercício: responda às perguntas a seguir, analisando os dados encontrados no arquivo [http://eriberto.pro.br/forense/caso_00c/ram.dd.strings.bz2 ram.dd.strings.bz2] (52 MB comprimidos e 143 MB totalmente descomprimidos).


O hash MD5 da imagem comprimida é 606da3c813731275bee86ce5e1ec912e.
O hash MD5 da imagem comprimida é 606da3c813731275bee86ce5e1ec912e.
Linha 25: Linha 25:
# Explique a lógica do comando utilizado na questão anterior.
# Explique a lógica do comando utilizado na questão anterior.
# Há um e-mail criado por Sávio gravado na memória. Encontre o conteúdo desse e-mail, que é destinado a uma moça de nome Cristina. Observe que, na memória, vários caracteres são armazenados em ''unicode HTML''.'''*''' (strings + grep)
# Há um e-mail criado por Sávio gravado na memória. Encontre o conteúdo desse e-mail, que é destinado a uma moça de nome Cristina. Observe que, na memória, vários caracteres são armazenados em ''unicode HTML''.'''*''' (strings + grep)
# Depois de encontrar a mensagem citada no item anterior, copie e cole o conteúdo original dentro de um arquivo chamado ''msg.txt''. A seguir, execute o seguinte comando para "limpá-la":<br><br><nowiki>$ cat msg.txt | echo -e $(sed 's/%/\\x/g') | sed 's/<br \/>/\n/g'</nowiki><br><br>
# Explique a lógica do comando utilizado na questão anterior.
# Descubra o endereço e a senha de e-mail do Sávio. (strings + grep)
# Descubra o endereço de e-mail da Cristina. (strings + grep, podendo ser que o caractere @ esteja no formato unicode'''*''' %40).
# Descubra o endereço de e-mail da Cristina. (strings + grep, podendo ser que o caractere @ esteja no formato unicode'''*''' %40).
# Depois de encontrar a mensagem citada em item anterior, copie e cole o conteúdo original dentro de um arquivo chamado ''msg.txt''. A seguir, execute o seguinte comando para "limpá-la":<br><br><nowiki>$ cat msg.txt | echo -e $(sed 's/%/\\x/g') | sed 's/<br \/>/\n/g'</nowiki><br><br>Outra alternativa é o comando ascii2uni, provido pelo pacote uni2ascii:<br><br><nowiki>$ ascii2uni -a J msg.txt | sed 's/<br \/>/\n/g'</nowiki><br><br>
# Explique a lógica dos comandos utilizados na questão anterior.
# Converta por completo o arquivo fornecido, utilizando o comando ascii2uni.
# Descubra o endereço e a senha de e-mail do Sávio. (strings + grep [Pp]ass)
# Analisando a memória, cite uma URL de download do programa Eraser. (strings + grep)
# Analisando a memória, cite uma URL de download do programa Eraser. (strings + grep)


'''*''' Há vários sites sitando esses caracteres. O espaço, por exemplo, é representado por %20. Uma referência: http://www.blooberry.com/indexdot/html/topics/urlencoding.htm.
'''*''' Há vários sites citando esses caracteres. O espaço, por exemplo, é representado por %20. Trata-se da codificação para URI, descrita na RFC 2396. Uma referência com resumo: http://www.blooberry.com/indexdot/html/topics/urlencoding.htm.

Edição atual tal como às 17h53min de 5 de junho de 2015

by (C) João Eriberto Mota Filho <eriberto (a) eriberto pro br>

Caso para estudo, ligado diretamente ao artigo perícia forense computacional, existente neste wiki.

Última atualização: veja o rodapé desta página.




Caso 00c - Análise avançada conduzida (memória RAM)


Brasília, DF, 29 de setembro de 2011


Atualização em: 04 de abril de 2014




Neste exercício serão realizadas análises de memória coletada em ambiente MS Windows.

Um determinado usuário, chamado Sávio, baixou algumas imagens no seu computador mas, depois, apagou usando uma ferramenta chamada Eraser, que é um Software Livre que realiza uma ação de wipe. Além disso, ele navegou em alguns sites via Internet Explorer. Um deles foi o do próprio Eraser, pois Sávio teve que baixá-lo para poder instalar.

Uma outra ação de Sávio foi enviar um e-mail para uma amiga.

Serão feitas várias perguntas. Por tratar-se de um exercício avançado, serão citadas ferramentas e técnicas que deverão ser empregadas para obter resultados.

Cabe ressaltar que não foi fornecido o dump de memória completo e sim um arquivo strings, uma vez que o referido dump, compactado, ocuparia cerca de 1 GB de espaço, tornando inviável, para muitos, o seu download.





Exercício de aplicação



Exercício: responda às perguntas a seguir, analisando os dados encontrados no arquivo ram.dd.strings.bz2 (52 MB comprimidos e 143 MB totalmente descomprimidos).

O hash MD5 da imagem comprimida é 606da3c813731275bee86ce5e1ec912e.

Para descompactar a imagem, utilize o comando:

$ bunzip2 ram.dd.strings.bz2



Responda:

  1. Qual é a versão do MS Windows utilizado? (Dica completa: $ cat ram.dd.strings |egrep '(KB[0-9]{6})'| grep -i windows)
  2. Explique a lógica do comando utilizado na questão anterior.
  3. Há um e-mail criado por Sávio gravado na memória. Encontre o conteúdo desse e-mail, que é destinado a uma moça de nome Cristina. Observe que, na memória, vários caracteres são armazenados em unicode HTML.* (strings + grep)
  4. Descubra o endereço de e-mail da Cristina. (strings + grep, podendo ser que o caractere @ esteja no formato unicode* %40).
  5. Depois de encontrar a mensagem citada em item anterior, copie e cole o conteúdo original dentro de um arquivo chamado msg.txt. A seguir, execute o seguinte comando para "limpá-la":

    $ cat msg.txt | echo -e $(sed 's/%/\\x/g') | sed 's/<br \/>/\n/g'

    Outra alternativa é o comando ascii2uni, provido pelo pacote uni2ascii:

    $ ascii2uni -a J msg.txt | sed 's/<br \/>/\n/g'

  6. Explique a lógica dos comandos utilizados na questão anterior.
  7. Converta por completo o arquivo fornecido, utilizando o comando ascii2uni.
  8. Descubra o endereço e a senha de e-mail do Sávio. (strings + grep [Pp]ass)
  9. Analisando a memória, cite uma URL de download do programa Eraser. (strings + grep)

* Há vários sites citando esses caracteres. O espaço, por exemplo, é representado por %20. Trata-se da codificação para URI, descrita na RFC 2396. Uma referência com resumo: http://www.blooberry.com/indexdot/html/topics/urlencoding.htm.