Forense caso 00d
by (C) João Eriberto Mota Filho <eriberto (a) eriberto pro br>
Caso para estudo, ligado diretamente ao artigo perícia forense computacional, existente neste wiki.
Última atualização: veja o rodapé desta página.
Uma pessoa enviou um e-mail. O código-fonte do mesmo, que inclui o cabeçalho completo, foi capturado no destino. Você deverá analisar tal mensagem de e-mail para descobrir dados relevantes.
É importante ressaltar que análises de cabeçalhos de e-mail devem ser feitas "de baixo para cima". Os anexos sempre estarão em formato Base64.
Exercício: responda às perguntas a seguir, analisando os dados encontrados no arquivo mail.tar.
Para descompactar a imagem, utilize o comando:
$ tar -xvf mail.tar
Responda:
- Explique o que vem a ser Base64.
- Qual é o nome do anexo do e-mail?
- Explique o que vem a ser as siglas UTC e PDT.
- Qual foi o SMTP de origem?
- Qual foi o SMTP de destino (SMTP final)?
- Qual foi a data e a hora de envio do e-mail por parte do cliente?
- Qual foi a data e a hora de envio do e-mail por parte do SMTP de origem?
- Qual foi a data e a hora de recebimento do e-mail no SMTP de destino?
- Podemos considerar essas datas e horas como confiáveis? Explique.
- Qual foi o assunto do e-mail?
- Quem foi o remetente?
- Quem foi o destinatário?
- Qual é o envelope da mensagem (identificação)?
- Qual é a importância do envelope de uma mensagem?
- Qual é o endereço IP de origem?
- Utilizando o comando munpack (pacote mpack no Debian), extraia o anexo do e-mail.
- Utilize os comandos whois, nslookup (pacote dnsutils no Debian) e geoiplookup (pacote geoip-bin no Debian) para descobrir dados sobre o endereço IP de origem.