Forense caso 00c
by (C) João Eriberto Mota Filho <eriberto (a) eriberto pro br>
Caso para estudo, ligado diretamente ao artigo perícia forense computacional, existente neste wiki.
Última atualização: veja o rodapé desta página.
Neste exercício serão utilizadas alguma ferramentas GNU/Linux específicas para investigação de dados em ambiente MS Windows.
Um determinado usuário, chamado Sávio, baixou algumas imagens no seu computador mas, depois, apagou usando uma ferramenta chamada Eraser, que é um Software Livre que realiza uma ação de wipe. No entando, o arquivo thumbs.db permaneceu na máquina. Além disso, ele navegou em alguns sites via Internet Explorer. Um deles foi o do próprio Eraser, pois Sávio teve que baixá-lo para poder instalar.
Uma outra ação de Sávio foi enviar um e-mail para uma amiga.
Serão feitas várias perguntas. Por tratar-se de um exercício avançado, serão citadas ferramentas e técnicas que deverão ser empregadas para obter resultados.
Exercício: responda às perguntas a seguir, analisando o ambiente de usuário fornecido e a imagem de memória, ambos encontrados no arquivo caso_00c.tar.bz2 (22 MB comprimidos, 980 MB descomprimidos).
O hash MD5 da imagem comprimida é 59888d317634cd4b134e66333bf8d37a.
Para descompactar a imagem, utilize o comando:
$ tar -xvjf caso_00c.tar.bz2
Perguntas básicas:
- Qual é o tamanho da memória RAM do computador do Sávio? Justifique. (ls -lh)
- Qual é a versão do MS Windows utilizado? (Dica completa: $ cat ram.dd.strings |egrep '(KB[0-9]{6})'| grep -i windows)
- Explique a lógica do comando utilizado na questão anterior.
- Há um e-mail criado por Sávio gravado na memória. Encontre o conteúdo desse e-mail. (strings + grep)
cat txt|lynx -dump -|sed 's/
/\n/g'
url do eraser senha do sávio conteúdo de mail