Forense caso 00c: mudanças entre as edições
(Criou página com '{{cabeçalho forense|00c - Análise avançada específica para MS Windows|Brasília, DF, 29 de setembro de 2011|29 de setembro de 2011}} left|150pxNeste …') |
Sem resumo de edição |
||
| Linha 3: | Linha 3: | ||
[[image:Mswindows.jpg|left|150px]]Neste exercício serão utilizadas alguma ferramentas GNU/Linux específicas para investigação de dados em ambiente MS Windows. | [[image:Mswindows.jpg|left|150px]]Neste exercício serão utilizadas alguma ferramentas GNU/Linux específicas para investigação de dados em ambiente MS Windows. | ||
Um determinado usuário, chamado Sávio, baixou algumas imagens no seu computador mas depois apagou usando uma ferramenta chamada [http://eraser.heidi.ie Eraser], que é um Software Livre que realiza uma ação de wipe. No entando, o arquivo ''thumbs.db'' permaneceu na máquina. Além disso, ele navegou em alguns sites via Internet Explorer. | Um determinado usuário, chamado Sávio, baixou algumas imagens no seu computador mas, depois, apagou usando uma ferramenta chamada [http://eraser.heidi.ie Eraser], que é um Software Livre que realiza uma ação de wipe. No entando, o arquivo ''thumbs.db'' permaneceu na máquina. Além disso, ele navegou em alguns sites via Internet Explorer. Um deles foi o do próprio Eraser, pois Sávio teve que baixá-lo para poder instalar. | ||
Uma outra ação de Sávio foi enviar um e-mail para uma amiga. | |||
Serão feitas várias perguntas. Por tratar-se de um exercício avançado, serão citadas ferramentas e técnicas que deverão ser empregadas para obter resultados. | Serão feitas várias perguntas. Por tratar-se de um exercício avançado, serão citadas ferramentas e técnicas que deverão ser empregadas para obter resultados. | ||
<br><br><br><br> | <br><br><br><br> | ||
{{cabeçalho_forense2}} | {{cabeçalho_forense2}} | ||
Exercício: responda às perguntas a seguir, analisando o ambiente de usuário fornecido e a imagem de memória, ambos encontrados no | Exercício: responda às perguntas a seguir, analisando o ambiente de usuário fornecido e a imagem de memória, ambos encontrados no arquivo [http://eriberto.pro.br/forense/caso_00c/caso_00c.tar.bz2 caso_00c.tar.bz2] (22 MB comprimidos, 980 MB descomprimidos). | ||
O hash MD5 da imagem comprimida é 59888d317634cd4b134e66333bf8d37a. | O hash MD5 da imagem comprimida é 59888d317634cd4b134e66333bf8d37a. | ||
| Linha 15: | Linha 17: | ||
$ tar -xvjf caso_00c.tar.bz2 | $ tar -xvjf caso_00c.tar.bz2 | ||
<br><br> | |||
<big>'''Perguntas básicas:'''</big> | |||
# Qual é o tamanho da memória RAM do computador do Sávio? Justifique. (ls -lh) | |||
# Qual é a versão do MS Windows utilizado? (Dica completa: $ cat ram.dd.strings |egrep '(KB[0-9]{6})'| grep -i windows) | |||
# Explique a lógica do comando utilizado na questão anterior. | |||
# Há um e-mail criado por Sávio gravado na memória. Encontre o conteúdo desse e-mail. (strings + grep) | |||
cat txt|lynx -dump -|sed 's/<br \/>/\n/g' | |||
url do eraser | |||
senha do sávio | senha do sávio | ||
conteúdo de mail | |||
Edição das 06h07min de 30 de setembro de 2011
by (C) João Eriberto Mota Filho <eriberto (a) eriberto pro br>
Caso para estudo, ligado diretamente ao artigo perícia forense computacional, existente neste wiki.
Última atualização: veja o rodapé desta página.
Neste exercício serão utilizadas alguma ferramentas GNU/Linux específicas para investigação de dados em ambiente MS Windows.
Um determinado usuário, chamado Sávio, baixou algumas imagens no seu computador mas, depois, apagou usando uma ferramenta chamada Eraser, que é um Software Livre que realiza uma ação de wipe. No entando, o arquivo thumbs.db permaneceu na máquina. Além disso, ele navegou em alguns sites via Internet Explorer. Um deles foi o do próprio Eraser, pois Sávio teve que baixá-lo para poder instalar.
Uma outra ação de Sávio foi enviar um e-mail para uma amiga.
Serão feitas várias perguntas. Por tratar-se de um exercício avançado, serão citadas ferramentas e técnicas que deverão ser empregadas para obter resultados.
Exercício: responda às perguntas a seguir, analisando o ambiente de usuário fornecido e a imagem de memória, ambos encontrados no arquivo caso_00c.tar.bz2 (22 MB comprimidos, 980 MB descomprimidos).
O hash MD5 da imagem comprimida é 59888d317634cd4b134e66333bf8d37a.
Para descompactar a imagem, utilize o comando:
$ tar -xvjf caso_00c.tar.bz2
Perguntas básicas:
- Qual é o tamanho da memória RAM do computador do Sávio? Justifique. (ls -lh)
- Qual é a versão do MS Windows utilizado? (Dica completa: $ cat ram.dd.strings |egrep '(KB[0-9]{6})'| grep -i windows)
- Explique a lógica do comando utilizado na questão anterior.
- Há um e-mail criado por Sávio gravado na memória. Encontre o conteúdo desse e-mail. (strings + grep)
cat txt|lynx -dump -|sed 's/
/\n/g'
url do eraser senha do sávio conteúdo de mail