Forense caso 00a: mudanças entre as edições

by (C) João Eriberto Mota Filho <eriberto (a) eriberto pro br>

Caso para estudo, ligado diretamente ao artigo perícia forense computacional, existente neste wiki.

Última atualização: veja o rodapé desta página.

Este caso consiste em um exercício conduzido com o objetivo de utilizar algumas técnicas avançadas de manipulação de filesystems. O cenário está em torno de um pendrive apreendido. Tal pendrive pertencia a um pedófilo, que mantinha fotos eróticas e textos especializados armazenados. O objetivo de manter textos especializados era aprender como atrair crianças na Internet e entender como a polícia poderia rastreá-lo. Este objetivo foi levantado em interrogatório após a sua prisão.

Serão feitas várias perguntas. Por tratar-se de um exercício avançado, serão citadas ferramentas e técnicas que deverão ser empregadas para obter resultados.

ALERTA: ESTE EXERCÍCIO CONTÉM FIGURAS ERÓTICAS.

Exercício: responda às perguntas a seguir, analisando a imagem de pendrive (22 MB comprimidos, 980 MB descomprimidos) disponibilizada. Antes de tudo, leia o conteúdo da página http://bit.ly/tsk-commands.

O hash MD5 da imagem comprimida é 59888d317634cd4b134e66333bf8d37a.

Responda as perguntas a seguir, utilizando as orientações impostas.

Perguntas básicas:

1. Qual é o esquema de particionamento do pendrive? (utilize os comandos fdisk, mmls e file para obter resultados)
2. Sem montar as partições existentes e utilizando o comando fls, descubra qual é o inode referente à figura pic_1.jpg, existente na primeira partição. (comandos mmls ou fdisk e fls)
3. Analisando os dados no inode levantado no item 2, descubra o tamanho, o mactime e o primeiro setor do arquivo no disco. (comando istat)
4. Utilize o comando sorter para fazer um levantamento prévio do conteúdo da primeira partição.
5. Monte cada partição do pendrive, em modo read-only, e verifique os conteúdos. (comando mount com as opções loop, ro e offset)
6. Faça uma linha do tempo das partições existentes. (comandos fls e mactime)
7. Procure, na superfície do disco, por uma mensagem, criada pelo pedófilo, contendo um número de telefone. (1ª técnica: comandos strings e egrep / 2ª técnica: comando mcview / ambos utilizando expressões regulares)
8. Recupere o trecho exato que contém a mensagem citada no item 7. (comandos strings ou hexedit, egrep e dd ou dcfldd)
9. Recupere as figuras apagadas no filesystem da primeira partição. (comandos fls e icat)
10. Escolha uma das figuras recuperadas com êxito no item 9, procure-as na imagem utilizando uma assinatura e recupere-as com o comando dd ou dcfldd. (comandos hexdump, hexedit e dd ou dcfldd + calculadora)
11. Corrija, se for o caso, o tamanho da figura recuperada no item 10, utilizando o GIMP.
12. Procure por arquivos existentes na superfície do disco e que não perteçam ao filesystem atual (comando foremost ou magicrescue)
13. Como base no relatório do comando foremost (audit.txt), recupere uma das figuras utilizando o comando dd ou dcfldd.
14. Tente obter dados EXIF das figuras existentes. (comando metacam)
15. Verifique dados extras interessantes que possam existir no início de cada figura. (comando hexdump ou hexedit ou mcview)
16. Verifique os dados referentes às propriedades dos arquivos .doc e .pdf existentes na segunda partição. (comandos file e evince ou okular)
17. Tente entender o esquema de MBR do HD do pedófilo. (comando file)
18. Relacione todas as URLs citadas na superfície do disco. (comandos strings e grep com expressões regulares e outros)

Questões complementares:

1. Crie um arquivo que contenha todos os blocos não alocados e os slack spaces existentes na partição FAT. (comando blkls -o)