Forense caso 00f

De Eriberto Wiki
Revisão de 05h30min de 14 de novembro de 2014 por Eriberto (discussão | contribs) (Criou página com '{{cabeçalho forense|00f - Partições perdidas|Brasília, DF, 14 de novembro de 2014|14 de novembro de 2014}} left|150pxUm pendrive, que aqui represen...')
(dif) ← Edição anterior | Revisão atual (dif) | Versão posterior → (dif)
Ir para navegação Ir para pesquisar

by (C) João Eriberto Mota Filho <eriberto (a) eriberto pro br>

Caso para estudo, ligado diretamente ao artigo perícia forense computacional, existente neste wiki.

Última atualização: veja o rodapé desta página.




Caso 00f - Partições perdidas


Brasília, DF, 14 de novembro de 2014


Atualização em: 14 de novembro de 2014




Um pendrive, que aqui representa uma mídia qualquer, como um HD, teve toda a sua tabela de partições perdida.

O objetivo deste exercício será recuperar a citada tabela.







Exercício de aplicação



Responda às perguntas a seguir, analisando a imagem de pendrive (58 MB comprimidos, 64 MB descomprimidos) disponibilizada.

O hash MD5 da imagem comprimida é 9c8c5569f4600c9b6c61c0a38c9c21ca.

Para descompactar a imagem, utilize o comando:

$ bunzip2 pen.dd.bz2



Responda:

  1. Utilizando uma linha do tempo, descubra se houve atuação de algum malware ou não e, se for o caso, quais operações o mesmo realizou no filesystem. (fls -rm + mactime -z BRT)
  2. Utilizando o antivírus Clamav, descubra qual malware afetou o pendrive. (freshclam + clamscan -ri)
  3. Submeta o malware ao site VirusTotal.



Observação final: o Clamav também pode remover o malware, se utilizado com a opção --remove=yes ou --move=diretório. No entanto, isso nunca será feito em uma análise pericial.