Forense caso 00d: mudanças entre as edições
(Criou página com '{{cabeçalho forense|00d - Análise de e-mail conduzida|Brasília, DF, 17 de outubro de 2011|17 de outubro de 2011}} left|100pxNeste exercício será analisad…') |
Sem resumo de edição |
||
| Linha 1: | Linha 1: | ||
{{cabeçalho forense|00d - Análise de e-mail conduzida|Brasília, DF, 17 de outubro de 2011|17 de outubro de 2011}} | {{cabeçalho forense|00d - Análise de e-mail conduzida|Brasília, DF, 17 de outubro de 2011|17 de outubro de 2011}} | ||
[[image:mail.jpg|left|100px]] | [[image:mail.jpg|left|100px]]Uma pessoa enviou um e-mail. O código-fonte do mesmo, que inclui o cabeçalho completo, foi capturado no destino. Você deverá analisar tal mensagem de e-mail para descobrir dados relevantes. | ||
Uma pessoa enviou um e-mail. O código-fonte do mesmo, que inclui o cabeçalho completo, foi capturado no destino. Você deverá analisar tal mensagem de e-mail para descobrir dados relevantes. | |||
É importante ressaltar que a análise de cabeçalhos de e-mail devem ser feitas "de baixo par cima". Os anexos sempre estão em formato Base64. | É importante ressaltar que a análise de cabeçalhos de e-mail devem ser feitas "de baixo par cima". Os anexos sempre estão em formato Base64. | ||
<br><br><br><br> | <br><br><br><br> | ||
{{cabeçalho_forense2}} | {{cabeçalho_forense2}} | ||
| Linha 22: | Linha 17: | ||
# Explique o que vem a ser Base64. | # Explique o que vem a ser Base64. | ||
# Qual é o nome do anexo? | # Qual é o nome do anexo do e-mail? | ||
# Explique o que vem a ser as siglas UTC e PDT. | # Explique o que vem a ser as siglas UTC e PDT. | ||
# Qual foi o SMTP de origem? | # Qual foi o SMTP de origem? | ||
| Linha 34: | Linha 29: | ||
# Quem foi o destinatário? | # Quem foi o destinatário? | ||
# Qual é o envelope da mensagem (identificação)? | # Qual é o envelope da mensagem (identificação)? | ||
# Qual é a importância do envelope de uma mensagem? | |||
# Qual é o endereço IP de origem? | # Qual é o endereço IP de origem? | ||
# Utilizando o comando munpack (pacote mpack no Debian), extraia o anexo do e-mail. | # Utilizando o comando munpack (pacote mpack no Debian), extraia o anexo do e-mail. | ||
Edição das 10h24min de 17 de outubro de 2011
by (C) João Eriberto Mota Filho <eriberto (a) eriberto pro br>
Caso para estudo, ligado diretamente ao artigo perícia forense computacional, existente neste wiki.
Última atualização: veja o rodapé desta página.
Uma pessoa enviou um e-mail. O código-fonte do mesmo, que inclui o cabeçalho completo, foi capturado no destino. Você deverá analisar tal mensagem de e-mail para descobrir dados relevantes.
É importante ressaltar que a análise de cabeçalhos de e-mail devem ser feitas "de baixo par cima". Os anexos sempre estão em formato Base64.
Exercício: responda às perguntas a seguir, analisando os dados encontrados no arquivo mail.txt.gz (162 KB comprimidos e 226 MB totalmente descomprimidos).
O hash MD5 da imagem comprimida é 059634b269b5e3c060eb8d47639b0623.
Para descompactar a imagem, utilize o comando:
$ gunzip mail.txt.gz
Responda:
- Explique o que vem a ser Base64.
- Qual é o nome do anexo do e-mail?
- Explique o que vem a ser as siglas UTC e PDT.
- Qual foi o SMTP de origem?
- Qual foi o SMTP de destino (SMTP final)?
- Qual foi a data e a hora de envio do e-mail por parte do cliente?
- Qual foi a data e a hora de envio do e-mail por parte do SMTP de origem?
- Qual foi a data e a hora de recebimento do e-mail no SMTP de destino?
- Podemos considerar que essas datas e horas como confiáveis? Explique.
- Qual foi o assunto do e-mail?
- Quem foi o remetente?
- Quem foi o destinatário?
- Qual é o envelope da mensagem (identificação)?
- Qual é a importância do envelope de uma mensagem?
- Qual é o endereço IP de origem?
- Utilizando o comando munpack (pacote mpack no Debian), extraia o anexo do e-mail.