Forense caso 00f: mudanças entre as edições

De Eriberto Wiki
Ir para navegação Ir para pesquisar
(Criou página com '{{cabeçalho forense|00f - Partições perdidas|Brasília, DF, 14 de novembro de 2014|14 de novembro de 2014}} left|150pxUm pendrive, que aqui represen...')
 
Sem resumo de edição
Linha 1: Linha 1:
{{cabeçalho forense|00f - Partições perdidas|Brasília, DF, 14 de novembro de 2014|14 de novembro de 2014}}
{{cabeçalho forense|00f - Partições perdidas|Brasília, DF, 14 de novembro de 2014|14 de novembro de 2014}}


[[image:disco-hd.jpg|left|150px]]Um pendrive, que aqui representa uma mídia qualquer, como um HD, teve toda a sua tabela de partições perdida.
[[image:disco-hd.jpg|left|200px]]Um pendrive, que aqui representa uma mídia qualquer, como um HD, teve toda a sua tabela de partições perdida.


O objetivo deste exercício será recuperar a citada tabela.
O objetivo deste exercício será recuperar a citada tabela.
Linha 7: Linha 7:
<br><br><br><br>
<br><br><br><br>
{{cabeçalho_forense2}}
{{cabeçalho_forense2}}
Responda às perguntas a seguir, analisando a [http://eriberto.pro.br/forense/caso_00e/caso_00e.dd.bz2 imagem de pendrive] (58 MB comprimidos, 64 MB descomprimidos) disponibilizada.
Execute os exercícios a seguir, utilizando a [http://eriberto.pro.br/forense/caso_00f/caso_00f.dd.bz2 imagem de pendrive] disponibilizada (3.2 MB comprimidos, 31 MB descomprimidos).


O hash MD5 da imagem comprimida é 9c8c5569f4600c9b6c61c0a38c9c21ca.
O hash MD5 da imagem comprimida é b5325e9be9e9f7c1e2fd7f6b4cff85b5.


Para descompactar a imagem, utilize o comando:
Para descompactar a imagem, utilize o comando:
Linha 15: Linha 15:
  $ bunzip2 pen.dd.bz2
  $ bunzip2 pen.dd.bz2
<br><br>
<br><br>
<big>'''Responda:'''</big>
<big>'''Exercícios:'''</big>


# Utilizando uma linha do tempo, descubra se houve atuação de algum malware ou não e, se for o caso, quais operações o mesmo realizou no filesystem. (fls -rm + mactime -z BRT)
# Utilizando um loop ''for'' e o comando ''fsstat'', descubra o início de cada partição e o seu tamanho. (ver dica abaixo)
# Utilizando o antivírus Clamav, descubra qual malware afetou o pendrive. (freshclam + clamscan -ri)
# Utilizando um loop ''for'' e o comando ''mount'', descubra o início de cada partição e o seu tamanho. (processo mais lento)
# Submeta o malware ao site [https://www.virustotal.com VirusTotal].
# Descreva as vantagens e desvantagens de utilização do ''fsstat'' ou do ''mount'' no processo de busca de partições.
# Utilizando o comando ''fdisk'' ou similar, reescreva as partições no MBR do disco.
# Utilizando o comando ''testdisk'' restaure as partições no disco.
<br><br>
<br><br>
'''Observação final:''' o Clamav também pode remover o malware, se utilizado com a opção --remove=yes ou --move=diretório. No entanto, isso nunca será feito em uma análise pericial.
'''Dicas:'''
 
* No loop ''for'' teste a presença do início de um filesystem em cada setor, utilizando o ''fsstat''.
* No loop ''for'' teste a possibilidade de montagem de um filesystem usando cada setor como offset.
* Em loops ''for'' o comando ''break'' interrompe a execução. Exemplo:
 
$ for i in 1 2 3; do echo $i && break; done
 
No comando anterior, se o comando ''echo'' obtiver sucesso, o loop será interrompido.
<br>
<br>

Edição das 06h07min de 14 de novembro de 2014

by (C) João Eriberto Mota Filho <eriberto (a) eriberto pro br>

Caso para estudo, ligado diretamente ao artigo perícia forense computacional, existente neste wiki.

Última atualização: veja o rodapé desta página.



Caso 00f - Partições perdidas


Brasília, DF, 14 de novembro de 2014


Atualização em: 14 de novembro de 2014




Um pendrive, que aqui representa uma mídia qualquer, como um HD, teve toda a sua tabela de partições perdida.

O objetivo deste exercício será recuperar a citada tabela.






Exercício de aplicação



Execute os exercícios a seguir, utilizando a imagem de pendrive disponibilizada (3.2 MB comprimidos, 31 MB descomprimidos).

O hash MD5 da imagem comprimida é b5325e9be9e9f7c1e2fd7f6b4cff85b5.

Para descompactar a imagem, utilize o comando: 

$ bunzip2 pen.dd.bz2



Exercícios:

  1. Utilizando um loop for e o comando fsstat, descubra o início de cada partição e o seu tamanho. (ver dica abaixo)
  2. Utilizando um loop for e o comando mount, descubra o início de cada partição e o seu tamanho. (processo mais lento)
  3. Descreva as vantagens e desvantagens de utilização do fsstat ou do mount no processo de busca de partições.
  4. Utilizando o comando fdisk ou similar, reescreva as partições no MBR do disco.
  5. Utilizando o comando testdisk restaure as partições no disco.



Dicas:

  • No loop for teste a presença do início de um filesystem em cada setor, utilizando o fsstat.
  • No loop for teste a possibilidade de montagem de um filesystem usando cada setor como offset.
  • Em loops for o comando break interrompe a execução. Exemplo:
$ for i in 1 2 3; do echo $i && break; done

No comando anterior, se o comando echo obtiver sucesso, o loop será interrompido.

Disponível em “https://eriberto.pro.br/wiki/index.php?title=Forense_caso_00f&oldid=2197