Forense caso 00e: mudanças entre as edições

De Eriberto Wiki
Ir para navegação Ir para pesquisar
Sem resumo de edição
mSem resumo de edição
Linha 5: Linha 5:
<br><br><br><br>
<br><br><br><br>
{{cabeçalho_forense2}}
{{cabeçalho_forense2}}
Responda às perguntas a seguir, analisando a [http://eriberto.pro.br/forense/caso_00e/caso_00e.dd.bz2 imagem de pendrive] (58 MB comprimidos, 64 MB descomprimidos) disponibilizada.
Resolva as questões a seguir, analisando a [http://eriberto.pro.br/forense/caso_00e/caso_00e.dd.bz2 imagem de pendrive] (58 MB comprimidos, 64 MB descomprimidos) disponibilizada.


O hash MD5 da imagem comprimida é 9c8c5569f4600c9b6c61c0a38c9c21ca.
O hash MD5 da imagem comprimida é 9c8c5569f4600c9b6c61c0a38c9c21ca.
Linha 13: Linha 13:
  $ bunzip2 pen.dd.bz2
  $ bunzip2 pen.dd.bz2
<br><br>
<br><br>
<big>'''Responda:'''</big>
<big>'''Questões:'''</big>


# Utilizando uma linha do tempo, descubra se houve atuação de algum malware ou não e, se for o caso, quais operações o mesmo realizou no filesystem. (fls -rm + mactime -z BRT)
# Utilizando uma linha do tempo, descubra se houve atuação de algum malware ou não e, se for o caso, quais operações o mesmo realizou no filesystem. (fls -rm + mactime -z BRT)

Edição das 05h24min de 14 de novembro de 2014

by (C) João Eriberto Mota Filho <eriberto (a) eriberto pro br>

Caso para estudo, ligado diretamente ao artigo perícia forense computacional, existente neste wiki.

Última atualização: veja o rodapé desta página.



Caso 00e - Pendrive no cyber café


Brasília, DF, 22 de agosto de 2012


Atualização em: 16 de março de 2014




Jair, pai de Carolina, foi a um cyber café imprimir um trabalho de escola para a filha, uma vez que a tinta da impressora de casa havia acabado. No entanto, ficou com receio de ter o seu pendrive contaminado com algum vírus ou coisa do tipo e, logo após inserir tal pendrive no computador do cyber, retirou-o e resolveu levá-lo à casa de um amigo que possuía impressora. Mas será que, somente pela simples inserção do pendrive na máquina, já seria tarde?






Exercício de aplicação



Resolva as questões a seguir, analisando a imagem de pendrive (58 MB comprimidos, 64 MB descomprimidos) disponibilizada.

O hash MD5 da imagem comprimida é 9c8c5569f4600c9b6c61c0a38c9c21ca.

Para descompactar a imagem, utilize o comando: 

$ bunzip2 pen.dd.bz2



Questões:

  1. Utilizando uma linha do tempo, descubra se houve atuação de algum malware ou não e, se for o caso, quais operações o mesmo realizou no filesystem. (fls -rm + mactime -z BRT)
  2. Utilizando o antivírus Clamav, descubra qual malware afetou o pendrive. (freshclam + clamscan -ri)
  3. Submeta o malware ao site VirusTotal.



Observação final: o Clamav também pode remover o malware, se utilizado com a opção --remove=yes ou --move=diretório. No entanto, isso nunca será feito em uma análise pericial.

Disponível em “https://eriberto.pro.br/wiki/index.php?title=Forense_caso_00e&oldid=2195