Pgina4

5.Oquebuscarnaanlise(continuao)EmcasosdeinvasoporredeoucomprometimentolocaldoSO

Analisediretriosrelevantes. Busquerastrosdooponenteemoutrosdiretrios. Busqueporrootkitsebackdoors. Verifiqueseosistemaoperacionalestavaatualizado.

Inicieaverificaopelospacotesmaisrelevantes.Exemplo:Apache,PHPeJavaemumdefacement.

6.Algunscomandoseferramentas InstaleoSleuthKit. lslta:mostraadataeahoradecriaooumodificao

dearquivosediretrios.

lslua:mostraadataeahoradeacessoaarquivosediretrios.

stat:mostradadosgeraisdeumarquivo.Ex:MACtimes. strings+grep:fazchovernoNordeste. chkrootkiterkhunter:procuramporrootkits.Exemplos:

#chkrootkitr/mnt#rkhunterupdate;rkhuntercr/mnt

clamav:procuraporwormsevrus.Exemplo:#freshclam;clamscanr/mnt

fls+mactime:estabeleceumalinhadetempo(timeline). find:dentreoutrascoisas,podeprocurarporarquivos

emdiversassituaes.Exemplodebuscaparaarquivosmodificadosnosltimos2dias:#find/mnt/mtime2print

foremost:buscaporarquivos,apagadosouno,emimagensdediscoememria.interessanteutilizlocomousuriocomumparapoderabrirarquivosencontrados.Ouusesuxparasetornarroot.Exemplo:$foremostTmemoria.dd

Comarecuperaarq.danificadosmasdfalsospositivos.

Pgina5

magicrescue:idnticoaoforemost.Noentanto,podeproduzirresultadosdiferentes.Usarecipes.Vejaosem/usr/share/magicrescue/recipes.Exemplo:$mkdirmr;magicrescuermsofficedmrimagem.dd

hexedit:mostraeeditacontedosemhexadecimaleASCII.umambiente.Paralinhadecomandosimplesutilizehexdump.

mcview:mostraeeditacontedosemASCII. file:mostracaractersticasdearquivos.tilcom

imagens,fotos,documentosofficeeexecutveis.

okular(KDE)eevince(Gnome)paracontedosdiversos. gwenview,pornviewegimppodemserutilizadospara

verfotos(inclusivedanificadas).

mmlsoufdisklu:mostradadossobreaarquiteturadeumdiscoapartirdaanlisedeumaimagem.

metacam:mostradadosexifdeimagensJPG. Mais?aptcachesearchforensicouhttp://bit.ly/forense

(vejaoitem"Pginascomferramentasetutoriais").

7.Laudo Olaudodeperciaforense,em3vias,deverconter:

nome,CPFecontatosdoperito; perododerealizaodaforense; breverelatodoocorrido(incluinotciasiniciais); dadosgeraissobreohardwarepericiado; detalhamentodosprocedimentosrealizados(um

segundoperitodevertercondiesderefazertodososprocedimentos,casoalgumaautoridaderequeira);

dados,fatoseindciosrelevantesencontrados; conclusoerecomendaes; apndices(incluicertificadodeintegridade)eanexos.

Obs:apndicescontmmaterialproduzidopeloperito.Anexoscontmmaterialcolhidopeloperito.

"Guiaderefernciarpida"

percia Linux COMDebian GNU/Linux

ParteParte22::AnlisedeevidnciaselaudoAnlisedeevidnciaselaudo

Verso1.103desetembrode2010

2010byJooEribertoMotaFilho

http://www.eriberto.pro.br/forenseeriberto@eriberto.pro.br

2048R/2DF0491F:1D75E212B34CF4BFA9E0D0D8DE6DE039C1CFC265

Pgina1

1.PrembuloEsteguiaderefernciafoicriadocomointuitodeservircomoorientaoechecklistparaprofissionaisquerealizamperciasforensescomputacionais.

Assim,estedocumentoresumeecomplementaapalestraForensecomputacionalemLinuxfordummies,disponvelemhttp://www.eriberto.pro.br/palestraseoartigodewikiForensecomputacional,disponvelnoendereohttp://www.eriberto.pro.br/forense.

2.Ambientedeanliseforense Umavezcolhidososdadosiniciaiseimagens(vejao

guiaquecontmaparte1),aperciadeverserrealizadaemambienteprprio.

Oambientedeverter,porexemplo,oTheSleuthKit(TSK)instalado(noDebian,#aptgetinstallsleuthkit).

OTSKosucessordoTCT(TheCoroner'sToolkit). OAutopsyumfrontendwebparaoSleuthKit. HferramentasprontasemLiveCD/DVD,casovoc

noqueiraconstruirumambientemanualmente.Vejahttp://eriberto.pro.br/forense.

3.AesiniciaisnaperciaAhistriaeosfatos

Aprimeiraaoserouvirahistriacontadaporquemsolicitouaperciadeumadeterminadamquina.

Operitodeveanotarahistriaefazerperguntasqueesclareampontosobscuros.

Dasanotaessurgirumalinhadeinvestigaoepalavraschaveaseremutilizadasnaanlise.

Buscardadoscomplementaresusandoengenhariasocialououtrosmtodos.

Criarumalistadepalavraschavecombasenahistriacontadaenosdadoslevantadoscomengenhariasocial.

Pgina2

Ordenaocronolgica(timeline) Utilizadaemmquinasinvadidasremotamenteou

quandosequerbuscarmanipulaesemarquivos,ocorridasdentrodeumadeterminadafaixadetempo.

Nemsempresernecessriotrabalharcomtimelines. FeitasobreosMACtimes(Modify/readAccess/status

Change). TimelinedefilesystemcomSleuthKit(aindano

suportaplenamenteoExt4):#flsrm/imagem.dd>imagem.dd.timeline#mactimebimagem.dd.timeline

Casosejanecessriovereventosdesde10ago.2010:#mactimebimagem.dd.timeline20100810

Casosejanecessriovereventosentre10ago.2010e15ago.2010:#mactimebimagem.dd.timeline20100810..20100815

Criaodelistadestrings Alistadestringsdevesercriadaparadiminuiro

espaoaservarridoduranteabuscaporumapalavraouexpresso.

Pordefault,ocomandostringsconsideraqualquersequnciade4caracteresimprimveis.Issopodesermudadocomaopon.

Criaralistaapartirdasimagensdediscoememria.#stringsmemoria.dd>memoria.dd.strings

Parafazerumabusca,usegrep,egrepoufgrep.Exemplo:#catmemoria.dd.strings|grepibras.lia

Nocasoanterior,comogrepentendeexpressesregulares,ocaracterepontofoiutilizadonolugardeumpossvel"i"acentuado.

Sevocprecisadeumguiarpidosobreexpressesregulares,consultehttp://bit.ly/wper.Paradiversosguias,consultehttp://aurelio.net/er.

Pgina3

4.Cuidadoscomasimagens Casohajaanecessidadedemontaralgumaimagemde

disco,faaosomentenomodoreadonly.Exemplos:#mountoloop,roimagem.dd/mnt#mountoloop,ro,offset=32256imagem.dd/mnt

LembresequessepodemontarimagensdepartiesdeHDoumdiasremovveis.Imagensdememria(incluindooswap)devemseranalisadasdiretamente.

Sempretrabalheemumacpiadecadaimagem.Issopermitirquevoctenhaumaimagemoriginalcasoocorraalgumacidenteouoperaoindevida.

5.OquebuscarnaanliseEmqualquercaso

Verifiqueosarquivosmodificadosdentrodedeterminadafaixadetempo(timeline).

Busqueporpalavraschaverelevantesnasimagens. Analiselogs(dentrodamemriaounofilesystemcom

strings,porexemplo).

Analiseamemriaeoswap.Busque,dentreoutrascoisas,porsenhasearquivos.Parasenhas,utilizepalavraschaveedicionrios.

Sepudermontaralgumaimagemdedisco,analise: /tmp /var/tmp /home outrosdiretriosdeinteresse.

Analiseaspropriedadesdearquivosdotipooffice,PDF,imagensJPG(dadosexif)eoutros.

Figuraspodemconteresteganografia. Arquivoscriptografadospossuemsenhaeamesma

podeestarnamemria.

Continua...