Baixe o app para aproveitar ainda mais
Leia os materiais offline, sem usar a internet. Além de vários outros recursos!
Perícia Forense Computacional - GSEC
Compartilhar
Prévia do material em texto
http://www.gsec.com.br/ Gustavo C. Pereira 29/05/07
Perícia Forense Computacional
http://www.gsec.com.br/
Agenda
● O que é Análise Forense Computacional
● O que é AntiForense
● Perícia Forense
● Técnicas AntiForense
● Referências
● Perguntas
O que é Análise Forense
Computacional
“Inspeção sistemática de um sistema computacional em
busca de evidências ou supostas evidências de um crime ou
outra atividade que precise ser inspecionada.”
Wikipedia
● Quem?
● O que?
● Quando?
● Como?
O que é Análise Forense
Computacional
O que é AntiForense
São métodos de remoção, ocultação e subversão de
evidências com o objetivo de mitigar os resultados de uma
análise forense computacional.
Perícia Forense
● Identificação
● Preservação
● Análise
● Apresentação das Evidências
Identificação
Levantamento de informações relevantes em
relação ao ocorrido: nomes, datas, empresas,
enfim, tudo que possa ajudar na análise das
informações.
Preservação
Toda informação deve ser legítima e
confiávelmente intocada. Deve se garantir que
nada foi alterado desde a identificação ou
apreenção da mídia a ser análisada.
Análise Física
Análise de mídias danificadas ou de conteúdo
desconhecido, assim como arquivos apagados.
Análise Lógica
Análise das partições num sistema que seja
capaz de entender o sistema de arquivos em
questão. E que seja montado obrigatóriamente
como somente leitura.
Análise da memória e dos processos em
execução com dumps previamente realizados.
Análise
É neste passo que as informações realmente
interessantes e que tem relação com o caso
serão levantadas. Os arquivos de prova serão
coletados assim como, datas, trilha, segmento,
entre outros.
Apresentação
É o passo em que se apresenta as evidências em
um formato jurídico ou não, visto que nem toda
perícia forense tem o objetivo criminal.
Técnicas AntiForense
● Criptografia
● Esteganografia
● Wipe
● Data Hiding
● Colisão de MD5
Criptografia
● Criptografia de Partições
● Criptografia de Dispositivos USB
● Criptografia de Arquivos
Estegnografia
“Esteganografia é o estudo e uso das técnicas
para ocultar a existência de uma mensagem
dentro de outra.”
Wikipedia
Wipe
É conhecido como uma forma de deleção segura,
não apenas o marcando como “unlinked”, mas
sobreescrevendo várias vezes o mesmo bloco do
disco com lixo.
struct ext3_inode {
__le16 i_mode; /* File mode */
__le16 i_uid; /* Low 16 bits of Owner Uid */
__le32 i_size; /* Size in bytes */
__le32 i_atime; /* Access time */
__le32 i_ctime; /* Creation time */
__le32 i_mtime; /* Modification time */
__le32 i_dtime; /* Deletion Time */
__le16 i_gid; /* Low 16 bits of Group Id */
__le16 i_links_count; /* Links count */
__le32 i_blocks; /* Blocks count */
__le32 i_flags; /* File flags */
Wipe
Data Hiding
Talvez uns dos métodos mais utilizados hoje em
dia. Consiste em esconder arquivos em lugares
não convencionais do sistema.
● Swap
● BadBlocks
● Imagens / Audio
● Espaços não alocados entre partições
● Arquivos texto
Data Hiding
Colisão de MD5
MD5 é utilizado em várias partes do sistema,
desde checagem de integridade de pacotes, até
ferramentas de integridade do sistema. Mas é
possível ter 2 informações diferentes com o
mesmo MD5.
Referências
http://en.wikipedia.org/wiki/Digital_Forensic_Tools
http://www.tucofs.com/tucofs/tucofs.asp?mode=mainmenu
http://www.guiatecnico.com.br/evidenciadigital/
http://en.wikipedia.org/wiki/Digital_Forensic_Tools
http://www.tucofs.com/tucofs/tucofs.asp?mode=mainmenu
http://www.guiatecnico.com.br/evidenciadigital/
Perguntas?
Mais Informações:
http://www.gsec.com.br
gustavo@gsec.com.br
http://www.gsec.com.br/
Continue navegando
Materiais relacionados
6 pág.
4 pág.
Perguntas relacionadas
Compartilhar