Mudanças entre as edições de "Forense caso 00"

De Eriberto Wiki
Ir para navegação Ir para pesquisar
 
(32 revisões intermediárias pelo mesmo usuário não estão sendo mostradas)
Linha 1: Linha 1:
{{cabeçalho forense|00 - Análise conduzida|Brasília, DF, 14 de agosto de 2010|12 de julho de 2011}}
{{cabeçalho forense|00 - Análise conduzida|Brasília, DF, 14 de agosto de 2010|14 de maio de 2017}}


[[image:forense_hdmini.png|left]] Perícia forense computacional é a arte de investigar meios de armazenamento digital, como HDs, memórias, celulares etc. Deveremos sempre tomar todo o cuidado para preservarmos as informações, o que inclui não alterar datas e horas de arquivos e diretórios por acessos de forma errada. Outro fato é que arquivos apagados podem ser recuperados, mesmo depois de uma formatação.
[[image:forense_hdmini.png|left]] Perícia forense computacional é a arte de investigar meios de armazenamento digital, como HDs, memórias, celulares etc. Deveremos sempre tomar todo o cuidado para preservarmos as informações, o que inclui não alterar datas e horas de arquivos e diretórios por acessos de forma errada. Outro fato é que arquivos apagados podem ser recuperados, mesmo depois de uma formatação.
Linha 6: Linha 6:
<br><br><br><br>
<br><br><br><br>
{{cabeçalho_forense2}}
{{cabeçalho_forense2}}
Responda às perguntas a seguir, analisando a [http://eriberto.pro.br/forense/caso_00/caso_00.dd.bz2 imagem de pendrive] (5.7 MB comprimidos, 980 MB descomprimidos) disponibilizada.
Responda às perguntas a seguir, analisando a [http://eriberto.pro.br/forense/caso_00/caso_00.dd.bz2 imagem de pendrive] (5.9 MB comprimidos, 980 MB descomprimidos) disponibilizada.


O hash MD5 da imagem comprimida é a093f2e85a7674ae873b555f31f6def5.
O hash MD5 da imagem comprimida é 7306b2d44269aa0190c934d46c168374.


Caso necessite, tome o cuidado de montar a imagem como read-only. Isso poderá ser feito com o comando:
Para descomprimir a imagem, utilize os comandos:


  # mount -o loop,ro caso_00.dd /mnt
  # apt-get install bzip2
# bunzip2 caso_00.dd.bz2


Algumas sugestões de comandos e programas que poderão ser utilizados (incluindo a suíte The Sleuth Kit - TSK):
Caso necessite, tome o cuidado de montar a imagem como read-only. Isso poderá ser feito com o comando:
 
* md5sum, sha1sum, sha224sum, sha256sum, sha384sum e sha512sum.
* evince (Gnome)
* file
* find
* fls (TSK)
* foremost
* fsstat (TSK)
* hexedit
* icat (TSK)
* istat (TSK)
* ls (-lua e -lta)
* mactime (TSK)
* metacam
* okular (KDE)
* ooffice (BrOffice.Org)
* pdfinfo (poppler-utils)
* pornview
* sorter (TSK)
* stat
* strings (binutils)


# mount -o ro caso_00.dd /mnt


<big>'''Perguntas básicas:'''</big>
<big>'''Perguntas básicas:'''</big>


#Defina Unix Epoch.
#Defina Unix Epoch.
#Inicialmente, calcule os hashes SHA1, SHA224, SHA256, SHA384 e SHA512 da imagem descomprimida, colocando os resultados dentro de um arquivo.
#Defina hardlink.
#Qual filesystem foi utilizado no pendrive? (file / hexedit / fsstat)
#Confira o hash MD5 da imagem comprimida. Sempre faça isso. Depois, calcule os hashes SHA1, SHA224, SHA256, SHA384 e SHA512 da imagem descomprimida, colocando os resultados dentro de um arquivo.
#Quantos setores possui o pendrive? (file / fsstat)
#Qual filesystem foi utilizado no pendrive? (file / fsstat / disktype)
#Quantos arquivos estão acessíveis para usuários? (fls + grep -v / find + wc -l no ponto de montagem)
#Quantos setores possui o pendrive? (file / fsstat / fdisk -l)
#Quais tipos de arquivos estão acessíveis para usuários? (sorter / find + egrep + sort)
#Quais são os três últimos bytes da imagem?
#Qual é a data da criação ou última modificação do arquivo "Literary Review.doc" no filesystem? (fls ou find para encontrar o arquivo) (ls / stat / fls + istat)
#Quantos arquivos estão acessíveis para usuários? (fls -ruF + grep -v + wc -l / find + wc -l no ponto de montagem)
#Qual é o inode do arquivo "Literary Review.doc" dentro da imagem original? (fls)
#Quais tipos de arquivos estão acessíveis para usuários? (find -type f + egrep -o + sort -u)
#Qual é o inode do arquivo "Literary Review.doc" no ponto de montagem, dentro do filesystem do seu HD? (ls / stat)
#Calcule os hashes MD5, SHA1 e SHA256 de todos os arquivos acessíveis por usuários. (hashdeep / hashrat / find)
#Qual é o inode do arquivo "Literary Review.doc" dentro da imagem original? (fls -rF)
#Qual é o inode do arquivo "Literary Review.doc" no ponto de montagem, dentro do filesystem do seu HD? (ls -li / stat)
#Explique porque há uma diferença no número dos inodes encontrados nos dois itens anteriores e cite qual deles é o correto para referenciar o arquivo em questão.
#Qual é a data da criação ou última modificação do arquivo "Literary Review.doc" no filesystem? (fls -rF ou find + grep para encontrar o arquivo) (ls -l / stat / istat para ver a data)
#Qual é a data do último acesso ao arquivo "Literary Review.doc" no filesystem? (fls ou find para encontrar o arquivo) (ls / stat / fls + istat)
#Qual é a data do último acesso ao arquivo "Literary Review.doc" no filesystem? (fls ou find para encontrar o arquivo) (ls / stat / fls + istat)
#Quais são as datas de criação e última modificação do conteúdo arquivo "Literary Review.doc"? (dados do próprio arquivo) (ooffice)'''*'''
#Quais são as datas de criação e última modificação do '''conteúdo''' arquivo "Literary Review.doc"? (dados no próprio arquivo) (file / libreoffice / exiftool)'''*'''
#Quem é o criador do conteúdo do arquivo "Fernando_Porcella.xls"? (dados do próprio arquivo) (ooffice / file)
#Quem é o criador do '''conteúdo''' do arquivo "Fernando_Porcella.xls"? (dados no próprio arquivo) (libreoffice / file / exiftool)
#Quem foi a última pessoa que modificou conteúdo do arquivo "Fernando_Porcella.xls"? (dados do próprio arquivo) (ooffice / file)
#Quem foi a última pessoa que modificou '''conteúdo''' do arquivo "Fernando_Porcella.xls"? (dados no próprio arquivo) (libreoffice / file / exiftool)
#Quando se deu a última impressão do conteúdo do arquivo "Fernando_Porcella.xls"? (dados do próprio arquivo) (ooffice)'''*'''
#Quando se deu a última impressão do '''conteúdo''' do arquivo "Fernando_Porcella.xls"? (dados no próprio arquivo) (file / libreoffice / exiftool)'''*'''
#Qual foi a data da última modificação do conteúdo da foto "paola-carvalho.jpg"? (dados do próprio arquivo) (strings / strings + grep / hexedit)
#Qual foi a data da última modificação do '''conteúdo''' da foto "paola-carvalho.jpg"? (dados no próprio arquivo) (strings + grep / hexedit / exiftool)
#Qual foi o software utilizado para fazer a modificação do conteúdo da foto "paola-carvalho.jpg"? (dados do próprio arquivo) (strings / strings + grep / hexedit)
#Qual foi o software utilizado para fazer a modificação do '''conteúdo''' da foto "paola-carvalho.jpg"? (dados no próprio arquivo) (strings + grep / hexedit / exiftool)
#Qual foi o software utilizado para produzir o documento "sec-us-networkbasedfirewallservice.pdf"? (evince / okular / strings / strings + grep / hexedit)
#Qual foi o software utilizado para produzir o documento "sec-us-networkbasedfirewallservice.pdf"? (evince / okular / strings / strings + grep / hexedit / pdfinfo / exiftool)
#Qual foi a data de modificação do conteúdo do documento "1632-1640.pdf"? (dados do próprio arquivo) (evince / okular / strings / strings + grep / hexedit)
#Qual foi a data de modificação do '''conteúdo''' do documento "1632-1640.pdf"? (dados no próprio arquivo) (evince / okular / strings + grep / hexedit / pdfinfo / exiftool)
#Quem criou o conteúdo do documento "1632-1640.pdf"? (dados do próprio arquivo) (evince / okular / strings / strings + grep / hexedit)
#Quem criou o '''conteúdo''' do documento "1632-1640.pdf"? (dados no próprio arquivo) (evince / okular / strings + grep / hexedit / pdfinfo / exiftool)
#Pode-se afirmar que todas as datas levantadas nas perguntas anteriores são verídicas? Por quê?
#Pode-se afirmar que todas as datas levantadas nas perguntas anteriores são verídicas? Por quê?
#Dentro dos arquivos "sec-us-networkbasedfirewallservice.pdf" e "1632-1640.pdf" existem figuras JPG. Extraia as mesmas. (foremost -Tat jpg ''arquivo'')
'''<nowiki>*</nowiki>''' O comando ''file'' mostra datas em UTC e ainda não tem suporte para documento .*x (docx, xlsx etc). O LibreOffice descarta os segundos.




'''<nowiki>*</nowiki>''' O comando file poderia ser utilizado. No entanto, por bugs, os resultados mostrados nas datas são inconsistentes (bug [http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=631440 #631440] no Debian). Ainda, em se tratando de documentos do tipo XML (docx, xlsx etc), o OpenOffice (agora LibreOffice) considera todos os horários como UTC. Em qualquer caso, o OpenOffice descarta os segundos.
<big>'''Na imagem do pendrive, existem arquivos apagados. Um desses arquivos é a foto de alguns animais. Com base nisso, responda:'''</big>


#Qual é o conteúdo da foto? (fls -rdF + istat + icat ou fls -rdFl + icat)
#Cite um site na Internet que contenha a mesma figura, de preferência com a mesma resolução.


<big>'''Na imagem do pendrive, existem arquivos apagados. Um desses arquivos é a foto de um animal. Com base nisso, responda:'''</big>
Obs: há fotos definitivamente danificadas e inacessíveis na superfície do disco.


#Qual é o referido animal? (fls + istat + icat)
<big>'''Dados EXIF'''</big>
#Qual foi a provável data da última modificação do conteúdo da foto? (strings + grep)
#Em relação às duas fotos, qual a diferença entre a utilização de flash?


#Qual máquina fotográfica digital, incluindo o modelo, foi utilizada para produzir a foto disponível em http://bit.ly/cfeiN8? (metacam / exif / exiftags / exifprobe / exiftool)
#Explique como se deu a utilização de flash.


<big>'''Dados EXIF'''</big>
<big>'''Timeline'''</big>


*Qual máquina fotográfica digital, incluindo o modelo, foi utilizada para produzir a foto disponível em http://bit.ly/cD7loL? (metacam/pornview)
#Utilizando os comandos fls e mactime, crie uma linha do tempo de todo o conteúdo da imagem. Sugestão: fls -rm / caso_00.dd | mactime -z BRT. Há outras formas.
*E no caso da foto http://bit.ly/cfeiN8? (metacam / pornview)
#Exiba somente os eventos ocorridos entre 01 de junho de 2009 e 01 de janeiro de 2010.




<big>'''Timeline'''</big>
<big>'''PDF com senha'''</big>


Utilizando os comandos fls e mactime, crie uma linha do tempo de todo o conteúdo da imagem.
#O PDF "documentos/diversos/manualrv9a.pdf" possui como senha uma palavra de dicionário em portugues. Descubra qual é tal senha. (pdfcrack -w, usando o dicionário /usr/share/dict/brazilian)
#Tente descobrir a senha do arquivo anterior, usando o método de força bruta do pdfcrack.

Edição atual tal como às 14h17min de 14 de maio de 2017

Twitter.png

by (C) João Eriberto Mota Filho <eriberto (a) eriberto pro br>

Caso para estudo, ligado diretamente ao artigo perícia forense computacional, existente neste wiki.

Última atualização: veja o rodapé desta página.




Caso 00 - Análise conduzida


Brasília, DF, 14 de agosto de 2010


Atualização em: 14 de maio de 2017




Forense hdmini.png

Perícia forense computacional é a arte de investigar meios de armazenamento digital, como HDs, memórias, celulares etc. Deveremos sempre tomar todo o cuidado para preservarmos as informações, o que inclui não alterar datas e horas de arquivos e diretórios por acessos de forma errada. Outro fato é que arquivos apagados podem ser recuperados, mesmo depois de uma formatação.

O objetivo deste caso básico será conduzir o iniciante na descoberta de fatos, por meio de perguntas diretas sobre uma imagem de pendrive de 1 GB disponibilizada. Para facilitar a tarefa, inicialmente, foram escritos caracteres "0" sobre toda a superfície do referido pendrive. Ainda, a imagem foi comprimida com bzip2 para diminuir a quantidade de dados para download.





Exercício de aplicação



Responda às perguntas a seguir, analisando a imagem de pendrive (5.9 MB comprimidos, 980 MB descomprimidos) disponibilizada.

O hash MD5 da imagem comprimida é 7306b2d44269aa0190c934d46c168374.

Para descomprimir a imagem, utilize os comandos:

# apt-get install bzip2
# bunzip2 caso_00.dd.bz2

Caso necessite, tome o cuidado de montar a imagem como read-only. Isso poderá ser feito com o comando:

# mount -o ro caso_00.dd /mnt

Perguntas básicas:

  1. Defina Unix Epoch.
  2. Defina hardlink.
  3. Confira o hash MD5 da imagem comprimida. Sempre faça isso. Depois, calcule os hashes SHA1, SHA224, SHA256, SHA384 e SHA512 da imagem descomprimida, colocando os resultados dentro de um arquivo.
  4. Qual filesystem foi utilizado no pendrive? (file / fsstat / disktype)
  5. Quantos setores possui o pendrive? (file / fsstat / fdisk -l)
  6. Quais são os três últimos bytes da imagem?
  7. Quantos arquivos estão acessíveis para usuários? (fls -ruF + grep -v + wc -l / find + wc -l no ponto de montagem)
  8. Quais tipos de arquivos estão acessíveis para usuários? (find -type f + egrep -o + sort -u)
  9. Calcule os hashes MD5, SHA1 e SHA256 de todos os arquivos acessíveis por usuários. (hashdeep / hashrat / find)
  10. Qual é o inode do arquivo "Literary Review.doc" dentro da imagem original? (fls -rF)
  11. Qual é o inode do arquivo "Literary Review.doc" no ponto de montagem, dentro do filesystem do seu HD? (ls -li / stat)
  12. Explique porque há uma diferença no número dos inodes encontrados nos dois itens anteriores e cite qual deles é o correto para referenciar o arquivo em questão.
  13. Qual é a data da criação ou última modificação do arquivo "Literary Review.doc" no filesystem? (fls -rF ou find + grep para encontrar o arquivo) (ls -l / stat / istat para ver a data)
  14. Qual é a data do último acesso ao arquivo "Literary Review.doc" no filesystem? (fls ou find para encontrar o arquivo) (ls / stat / fls + istat)
  15. Quais são as datas de criação e última modificação do conteúdo arquivo "Literary Review.doc"? (dados no próprio arquivo) (file / libreoffice / exiftool)*
  16. Quem é o criador do conteúdo do arquivo "Fernando_Porcella.xls"? (dados no próprio arquivo) (libreoffice / file / exiftool)
  17. Quem foi a última pessoa que modificou conteúdo do arquivo "Fernando_Porcella.xls"? (dados no próprio arquivo) (libreoffice / file / exiftool)
  18. Quando se deu a última impressão do conteúdo do arquivo "Fernando_Porcella.xls"? (dados no próprio arquivo) (file / libreoffice / exiftool)*
  19. Qual foi a data da última modificação do conteúdo da foto "paola-carvalho.jpg"? (dados no próprio arquivo) (strings + grep / hexedit / exiftool)
  20. Qual foi o software utilizado para fazer a modificação do conteúdo da foto "paola-carvalho.jpg"? (dados no próprio arquivo) (strings + grep / hexedit / exiftool)
  21. Qual foi o software utilizado para produzir o documento "sec-us-networkbasedfirewallservice.pdf"? (evince / okular / strings / strings + grep / hexedit / pdfinfo / exiftool)
  22. Qual foi a data de modificação do conteúdo do documento "1632-1640.pdf"? (dados no próprio arquivo) (evince / okular / strings + grep / hexedit / pdfinfo / exiftool)
  23. Quem criou o conteúdo do documento "1632-1640.pdf"? (dados no próprio arquivo) (evince / okular / strings + grep / hexedit / pdfinfo / exiftool)
  24. Pode-se afirmar que todas as datas levantadas nas perguntas anteriores são verídicas? Por quê?
  25. Dentro dos arquivos "sec-us-networkbasedfirewallservice.pdf" e "1632-1640.pdf" existem figuras JPG. Extraia as mesmas. (foremost -Tat jpg arquivo)

* O comando file mostra datas em UTC e ainda não tem suporte para documento .*x (docx, xlsx etc). O LibreOffice descarta os segundos.


Na imagem do pendrive, existem arquivos apagados. Um desses arquivos é a foto de alguns animais. Com base nisso, responda:

  1. Qual é o conteúdo da foto? (fls -rdF + istat + icat ou fls -rdFl + icat)
  2. Cite um site na Internet que contenha a mesma figura, de preferência com a mesma resolução.

Obs: há fotos definitivamente danificadas e inacessíveis na superfície do disco.

Dados EXIF

  1. Qual máquina fotográfica digital, incluindo o modelo, foi utilizada para produzir a foto disponível em http://bit.ly/cfeiN8? (metacam / exif / exiftags / exifprobe / exiftool)
  2. Explique como se deu a utilização de flash.

Timeline

  1. Utilizando os comandos fls e mactime, crie uma linha do tempo de todo o conteúdo da imagem. Sugestão: fls -rm / caso_00.dd | mactime -z BRT. Há outras formas.
  2. Exiba somente os eventos ocorridos entre 01 de junho de 2009 e 01 de janeiro de 2010.


PDF com senha

  1. O PDF "documentos/diversos/manualrv9a.pdf" possui como senha uma palavra de dicionário em portugues. Descubra qual é tal senha. (pdfcrack -w, usando o dicionário /usr/share/dict/brazilian)
  2. Tente descobrir a senha do arquivo anterior, usando o método de força bruta do pdfcrack.