Análise Forense

Prévia do material em texto

Análise forense
Segurança
Análise forense
Escola Superior de Redes RNP
Copyright © 2009, Escola Superior de Redes RNP
Autor
Guilherme Venere
Revisor
Pierre Lavelle
Supervisão técnica
Jacomo Piccolini 
Coordenação acadêmica
Derlinéa Miranda
Revisão final
Pedro Sangirardi
Design
Tecnodesign
Coordenação geral
Luiz Coelho
Versão
2.0.2
Todos os direitos reservados, no Brasil, por
Escola Superior de Redes RNP
http://www.esr.rnp.br
A Escola Superior de Redes da Rede Nacional de Ensino e Pesquisa (RNP) oferece 
cursos em tecnologia da informação e da comunicação para quem busca formação 
essencialmente prática. As atividades são situações-problema semelhantes às que 
são encontradas na prática do profissional de TI. Estas atividades exigem análise, 
síntese e construção de hipóteses para a superação do problema. A aprendizagem 
torna-se mais efetiva se contextualizada à realidade profissional.
Os cursos propostos possuem 40 (quarenta) horas de duração divididas em 10 
(dez) sessões de aprendizagem. Os participantes trabalham em grupo ou em 
duplas e cada um pode dispor de sua própria estação de trabalho. O material de 
ensino é composto de apostilas contendo slides comentados e roteiro de 
atividades práticas em laboratório.
Conhecimentos prévios
Principais ataques, mecanismos e ferramentas de segurança (como firewall, \\
IDS, VPN) e autenticação ou o curso Segurança de redes e sistemas.
Objetivos
Obter uma visão geral e conceitos de análise forense\\
Apresentar os principais procedimentos que devem ser seguidos pelo \\
investigador
Compreender as particularidades do processo de análise forense em Linux e \\
Windows e as informações que devem ser coletadas em cada situação enfrentada
Aprender a coletar evidências em uma imagem de disco de um sistema \\
comprometido
Recuperar evidências que possam fornecer pistas dos invasores\\
Análise forense
Apresentação
Escola Superior de Redes RNP
Ao final do curso o aluno terá aprendido a
Criar um CD de ferramentas forenses que poderá ser utilizado durante uma \\
investigação
Elaborar uma cronologia, descrevendo o que aconteceu e quando ocorreu cada \\
evento do comprometimento investigado
Conhecer a coleta de informações relacionadas aos programas executados, às \\
bibliotecas do sistema e portas relacionadas
Identificar o tipo de auditoria a ser realizada\\
Sumário
Sessão de aprendizagem 1
Princípios de análise forense . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .7
Sessão de aprendizagem 2
Ambiente e ferramentas de análise forense . . . . . . . . . . . . . . . . . . . . . . . . . . .19
Sessão de aprendizagem 3
Ambiente e ferramentas de análise forense (parte 2). . . . . . . . . . . . . . . . . . . . .43
Sessão de aprendizagem 4
Coleta de evidências . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .71
Sessão de aprendizagem 5
Recuperação e análise de evidências . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .85
Sessão de aprendizagem 6
Recuperação e análise de evidências (parte 2) . . . . . . . . . . . . . . . . . . . . . . . . .99
Sessão de aprendizagem 7
Linha de tempo e reconstrução do ataque . . . . . . . . . . . . . . . . . . . . . . . . . . .115
Sessão de aprendizagem 8
Análise forense em Windows . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .123
Sessão de aprendizagem 9
Análise forense avançada em Windows . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .135
Sessão de aprendizagem 10
Análise forense avançada em Windows (parte 2) . . . . . . . . . . . . . . . . . . . . . . .155
 
Bibliografia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .181
Escola Superior de Redes RNP
1
Sessão de aprendizagem 1
Princípios de análise forense
Sumário da sessão
Princípios de análise forense . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .8
Motivações para investigar um incidente . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .9
Modo de ação dos atacantes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .10
Detecção de ataques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .11
Tipos de sistemas comprometidos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .11
Procedimentos para análise forense . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .12
Cadeia de custódia de evidências . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .14
Metodologia para análise forense . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .14
Conclusões . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .15
Roteiro de atividades . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .17
Atividade 1 – Preparando um checklist . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .18
Atividade 2 – Funcionamento de um rootkit . . . . . . . . . . . . . . . . . . . . . . . . . . .18
Atividade 3 – Investigando um computador . . . . . . . . . . . . . . . . . . . . . . . . . . . .18
8
Análise forense – Sessão de aprendizagem 1
Escola Superior de Redes RNP
Princípios de análise forense 
A resposta a um incidente de segurança está dividida 
em seis passos: 
Preparação – A empresa define os ativos que \\
deseja proteger, e as medidas cabíveis em caso 
de incidente.
Identificação – São utilizados mecanismos e \\
técnicas para identificar a ocorrência de um 
incidente, e definir a extensão do ataque.
Contenção – Deve-se conter o ataque, impedindo \\
que o invasor consiga acesso a outros sistemas 
e minimizando a atividade do atacante.
Erradicação – As ações do atacante devem ser erradicadas, com a aplicação \\
de filtros e impedimento de qualquer atividade do invasor na rede. 
Recuperação – Os sistemas invadidos devem ser recuperados e reinstalados.\\
Acompanhamento – As técnicas e vulnerabilidades utilizadas pelo atacante devem \\
ser estudadas, e medidas devem ser aplicadas para impedir que elas funcionem.
Incidentes de segurança podem ser causados por 
qualquer tipo de ataque realizado à infra-estrutura 
de informação de uma empresa, seja ele um ataque 
lógico ou um ataque físico. Os tipos mais comuns 
são ataques lógicos como invasões de servidores e 
ataques de negação de serviços, comprometimento 
ou perda de dados e infecção por vírus. 
É necessário criar procedimentos que descrevam 
ações a tomar no caso da ocorrência de um incidente 
de segurança, inclusive no caso de incidentes inespera-
dos. Deve-se gerar documentos que descrevam os pro-
cedimentos de resposta a incidentes, os responsáveis 
pelas ações, a ação legal que a empresa está disposta 
a executar e principalmente um checklist de ação para 
o profissional que vai responder ao incidente.
O analista forense deve se preocupar em tentar recu-
perar as evidências da forma mais confiável possível, 
evitando contaminar ou destruir evidências.
Registrando e documentando tudo o que foi feito, 
o analista não precisará confiar na memória mais 
tarde, no momento de reconstruir os passos que 
foram executados durante a coleta de dados ou 
apresentar resultados aos superiores. 
Princípios de análise forensep
R t i id t d Resposta a incidentes de segurança
Preparação
Identificação
ContençãoContenção
Erradicação
R ãRecuperação
Acompanhamento
Princípios de análise forensep
A d d fi i é i id t d A empresa deve definir o que é um incidente de 
segurança de acordo com os ativos que deseja 
tproteger.
Incidentes de segurança são eventos que interrompem 
o procedimento normalde operação de uma empresa 
e causam algum tipo de crise.
Podem ser ataques à infra-estrutura de informação de 
uma empresa.p
A prevenção dos incidentes é crucial.
Princípios de análise forensep
Análise forense é o segundo passo no processo de Análise forense é o segundo passo no processo de 
resposta a incidentes.
Existe uma sobreposição com o primeiro e com o 
terceiro passo: o analista forense deve participar do 
é éprocesso de preparação pré-incidente, e também do 
processo de contenção pós-incidente.
Recuperar e analisar dados da maneira mais imparcial 
e livre de distorções possível, para reconstruir os 
dados ou o que aconteceu a um sistema no passado.
9
Princípios de análise forense
Por este mesmo motivo é bom sempre realizar análises dos dados em cópias, 
mantendo os originais seguros contra modificações e permitindo que seus passos 
sejam repetidos posteriormente.
Durante o processo de análise forense, é comum 
aparecerem informações indicando comprometi-
mento de outros sistemas da empresa ou mesmo 
de outras empresas. É importante que o analista 
forense reporte frequentemente o andamento das 
investigações e os fatos relevantes descobertos, 
para que a empresa possa tomar as medidas 
necessárias.
É preciso que se mantenha total imparcialidade 
durante a investigação. Antes de apontar o culpado, 
tenha certeza de que ele não é inocente. 
Motivações para investigar um incidente 
Identificar sinais de ataque – Em muitas situações, \\
quando uma máquina está comprometida, ela 
começa a perder desempenho, pois está sendo 
utilizada pelo hacker ou vírus para fins diferentes 
daqueles aos quais se destina. Um dos passos 
de uma análise forense é tentar identificar sinais 
de comprometimento. Isto pode ajudar a empresa 
a descobrir se outros servidores que apresentam 
o mesmo comportamento estão comprometidos 
ou não.
Determinar a extensão do comprometimento – \\
Como foi dito, durante o processo de análise 
forense é comum aparecerem informações sobre 
o comprometimento de outros sistemas dentro 
ou fora da empresa. Descobrir as máquinas que 
foram comprometidas é importante para manter 
a integridade da informação a ser protegida. 
Reconstruir a ordem dos eventos – Com \\
isso é possível descobrir o que o invasor fez 
durante o período em que teve acesso ao 
sistema da empresa. A correlação de eventos 
pode ajudar a empresa a determinar o que foi 
comprometido, e principalmente quando ocorreu 
o comprometimento. É muito comum descobrir, 
por exemplo, que a empresa já estava invadida 
há meses, e que só por algum descuido do 
invasor é que tudo foi descoberto. 
Princípios de análise forensep
Mi i i d d d dMinimizar perda de dados
Evitar contaminação dos dados
Registrar e documentar todas as ações
Analisar, impreterivelmente, dados em cópiasAnalisar, impreterivelmente, dados em cópias
Reportar as informações coletadas
P i i l t t i i lPrincipalmente: manter-se imparcial
“É um erro capital teorizar antes de obter todas as evidências.” 
Sherlock Holmes
Motivações para investigar um incidenteç p g
R õ ã i ti i id tRazões para não investigar um incidente:
Custo
Demora
Falta de objetividadeFalta de objetividade
Disponibilização de recursos importantes
P d d t Processo que demanda tempo e recursos, nem 
sempre útil para a empresa. 
ÉÉ mais fácil reinstalar um computador do que realizar 
uma investigação.
Motivações para investigar um incidenteç p g
E tã i ti ?Então, por que investigar?
Identificar sinais de ataque
Determinar a extensão do comprometimento
Reconstruir a ordem dos eventosReconstruir a ordem dos eventos
Entender o modus operandi do atacante
R d Responder: 
O quê? 
Quando? 
Onde? Onde? 
Como?
10
Análise forense – Sessão de aprendizagem 1
Escola Superior de Redes RNP
Entender o \\ modus operandi do atacante – Este item faz da análise forense 
uma poderosa ferramenta de proteção contra ataques. Sabendo como 
o atacante agiu da primeira vez, a empresa vai poder tomar ações bem 
fundamentadas para se proteger contra novos ataques.
Modo de ação dos atacantes 
É claro que nem todos os hackers agem do mesmo 
modo, mas pode-se dizer que uma grande parte 
deles segue um padrão de ação comum. Conhecer 
esse padrão já é um bom começo para analisar um 
sistema que provavelmente foi comprometido. 
Normalmente, os ataques se iniciam algum tempo 
antes da invasão propriamente dita: o invasor precisa 
conhecer sua rede, saber como vai conseguir com-
prometer seu sistema. Portanto, as atividades de 
reconhecimento podem ser o primeiro indício de que 
algo está para acontecer. 
Um tipo de teste difícil de detectar é um reconhecimento que utiliza técnicas de 
engenharia social. Um simples telefonema pode ser mais eficiente para entregar os 
pontos fracos de sua rede do que uma ferramenta poderosa. Neste caso, a prote-
ção fica mais difícil, e só um treinamento adequado poderá proteger a empresa.
Depois de coletar informações sobre o sistema que 
vai invadir, o hacker parte para a invasão. Nesta 
hora, já se torna mais difícil detectar as atividades 
do invasor. Muitas vezes são utilizadas ferramentas 
que simulam uma conexão válida, ou então técnicas 
para esconder o ataque, como criptografia ou túneis 
de protocolos. 
Mecanismos de detecção de intrusão são muito 
úteis. Posteriormente, estes mesmos mecanismos 
poderão ser atualizados com as informações coleta-
das após um ataque. Analisando a técnica utilizada 
pelo invasor, a empresa poderá criar mecanismos 
mais eficientes para se defender. 
Após comprometer o sistema, o invasor normalmente tenta tomar o controle 
do sistema. O invasor precisa então tentar adquirir privilégios de administrador. 
Ferramentas que monitorem a integridade do sistema podem auxiliar a detectar 
uma invasão antes que ela se torne mais séria. Programas como Tripwire permi-
tem monitorar a integridade dos arquivos de uma máquina. 
Modo de ação dos atacantesç
I f ã é i Informação é a sua maior arma.
Conhecendo o modo de operação dos invasores, você 
pode melhorar suas defesas; facilita o trabalho de 
investigação, porque você já sabe o que procurar.
Técnicas de engenharia social são difíceis de 
combater: somente um treinamento adequado pode q p
diminuir esse risco.
A maior parte dos ataques segue um mesmo padrão.A maior parte dos ataques segue um mesmo padrão.
Modo de ação dos atacantesç
Id tifi ã d lIdentificação do alvo
Coleta de informações
Identificação de vulnerabilidades
Comprometimento do sistemaComprometimento do sistema
Controle do sistema
I t l ã d f tInstalação de ferramentas
Remoção de rastros
Manutenção do sistema comprometido
11
Princípios de análise forense
Após conseguir o acesso privilegiado ao sistema, o invasor tenta apagar os rastros de 
sua existência, para impedir que ele seja detectado enquanto estiver realizando suas 
ações maldosas. Neste momento, é comum o invasor instalar um rootkit, um pacote 
de ferramentas que modifica o sistema para esconder qualquer traço da existência 
do hacker na máquina. Ao instalar uma ferramenta como esta, o hacker praticamente 
passa a controlar a máquina. Pode-se utilizar uma ferramenta de detecção de rootkits, 
tal como o Chkrootkit, para tentar detectar a presença dessas ferramentas. Outra 
alternativa é monitorar a rede para descobrir se a máquina está comprometida. 
Hoje em dia, sistemas comprometidos têm um alto valor de troca no submundo da inter-
net. Ferramentas de negação de serviço podem ser instaladas em diversos sistemas 
comprometidos, e o poder somado desses sistemas pode ser trocado no submundo 
por informação ou mesmo por dinheiro. Como podemos ver, a invasão de sistemas não 
é só uma diversão para alguns invasores, podendo ser um negócio bem rentável. 
Uma característica do comportamento de invasores é a manutenção do sistemacompro-
metido. É muito comum ver máquinas comprometidas atualizadas pelo hacker, corrigindo 
as falhas de segurança que permitiram a sua entrada. Para garantir que poderão voltar no 
futuro, os invasores costumam instalar back-doors, serviços clandestinos que permitem ao 
invasor se conectar mais tarde com as permissões privilegiadas que conseguiu. 
Detecção de ataques 
 
Tipos de sistemas comprometidos 
Neste caso, a coleta de evidências fica mais fácil: as 
informações voláteis presentes na memória do com-
putador ou na tela foram perdidas. O sistema agora 
contém apenas os arquivos que foram gravados no 
disco rígido, evidências que deverão ser coletadas.
Detecção de ataquesç q
P d ã d t t i f il t t Padrão para detectar mais facilmente um ataque :
Monitoramento da rede
Detecção de assinaturas de ataques e modificações 
no sistema
Utilização de ferramentas de auditoria
Principalmente conhecimento de seus sistemas e de Principalmente, conhecimento de seus sistemas e de 
sua rede
Tipos de sistemas comprometidos p p
Si t d li dSistema desligado:
Sem atividade no disco rígido
Evidências voláteis perdidas
Sem atividade do invasorSem atividade do invasor
Sem necessidade de contenção do ataque
P i l t l idê i f difi dPossivelmente algumas evidências foram modificadas
12
Análise forense – Sessão de aprendizagem 1
Escola Superior de Redes RNP
A ação do analista forense tem que ser muito cuida-
dosa, para não despertar a atenção do invasor, não 
comprometer evidências, mas também para impedir 
que mais dano seja causado. Por outro lado, em um 
sistema ligado, o analista forense tem a possibilidade 
de coletar informações que não estariam disponíveis 
em um sistema desligado. 
Por exemplo, é possível coletar informações de 
rede, permitindo identificar com mais segurança se 
o sistema está comprometido ou não, e também 
identificar outras máquinas na rede da empresa que 
também possam estar comprometidas.
Tudo o que for feito poderá alterar as evidências, 
inclusive não fazer nada. Portanto, as ações do ana-
lista forense têm que ser bem pensadas, e é muito 
importante que todas as ações sejam documentadas. 
A primeira coisa a fazer é tentar identificar, da forma 
menos intrusiva possível, se o sistema suspeito está 
ou não comprometido. Algumas técnicas, como 
realizar um scan por portas abertas no sistema, ou 
procurar por arquivos suspeitos no espaço de disco, 
devem ser evitadas a todo custo. Estas ações podem 
disparar alarmes que alertariam o invasor de que ele 
foi descoberto, além de comprometer evidências. 
Dependendo da criticidade do sistema, muitas vezes não será possível simplesmente 
desligar a máquina da energia. Um servidor de banco de dados teria informações 
corrompidas se fosse desligado da tomada. Ou então, ao tentar executar uma parada 
do sistema, mecanismos de proteção instalados pelo invasor poderiam apagar todo o 
disco, provocando o desaparecimento de evidências e dados importantes. 
Procedimentos para análise forense 
A primeira fase de uma investigação forense é a pre-
paração, como foi dito anteriormente: saber o que 
pode e o que não pode ser desligado, elaborar um 
checklist de ações que devem ser tomadas, e princi-
palmente preparar as ferramentas necessárias. 
É importante também esterilizar as mídias onde serão 
gravadas as evidências, para evitar a contaminação 
com dados previamente gravados nas mesmas. 
Tipos de sistemas comprometidos p p
Si t li dSistema ligado:
Verificar se o sistema está comprometido
Não comprometer as evidências
Conter o ataqueConter o ataque
Coletar evidências
P ff h td ?Power-off ou shutdown?
Power-off: não modifica evidências, mas pode corromper os 
dadosdados
Shutdown: garante integridade dos dados, mas pode 
modificar evidências
Tipos de sistemas comprometidos p p
Si t li dSistema ligado:
Atividade no disco rígido
Atividade de rede
Evidências voláteisEvidências voláteis
Possibilidade de atividade do invasor
N id d d t tNecessidade de conter o ataque
Modificação das evidências
Procedimentos para análise forense p
A reação precisa ser rápida por isso esteja preparadoA reação precisa ser rápida, por isso esteja preparado
Tenha em mãos um checklist de ações e todas as 
ferramentas necessáriasferramentas necessárias
Esterilize as mídias antes de coletar evidências
C l t i i idê i i lát iColete primeiro as evidências mais voláteis
Crie e utilize uma dirt list: uma lista de palavras, termos e 
 d i di ti tnomes que podem indicar um comprometimento
Esta lista deve ser utilizada em todo o processo de 
in estigação e at ali ada constantementeinvestigação e atualizada constantemente
Crie um registro para cada evidência e faça um relatório da 
sua investigaçãosua investigação
13
Princípios de análise forense
Esterilizar as mídias significa eliminar quaisquer dados que possam existir nos discos 
e dispositivos utilizados para gravar suas evidências. Normalmente, basta executar 
um procedimento de gravação de zeros (byte 00) em todos estes dispositivos, 
sobrescrevendo qualquer dado que exista ali, antes de gravar qualquer evidência.
Evidências voláteis são aquelas que se perdem mais facilmente, caso o sistema 
seja desligado ou ações executadas pelo hacker ou pelo analista sobrescrevam 
informações. Exemplos: dados na memória RAM, processos em execução, cone-
xões estabelecidas, entre outros.
Uma maneira de ajudar o analista forense a procurar evidências é utilizando uma 
dirt list, ou lista maliciosa, que deve conter palavras, termos, nomes de ferramentas 
e pessoas que tenham ligação com ataques, grupos de hackers, atividades crimi-
nosas, entre outros. Com isso, o analista poderá realizar pesquisas nas evidências 
procurando pela presença dessas palavras-chave. Esta lista deve ser atualizada 
constantemente para incluir palavras e nomes encontrados durante a investigação.
Toda informação coletada durante a avaliação inicial 
e durante a investigação deve ser documentada e 
autenticada. Esta autenticação pode ser feita utili-
zando algum algoritmo de hash de dados, tal como 
MD5, SHA1, SHA256 ou outro algoritmo de hash 
equivalente. 
Tenha sempre em mãos um checklist que indique o que 
fazer e quando. O checklist deve ser o mais minucioso 
possível, não deixando dúvidas sobre as ações a serem 
tomadas. Se possível, ele deve incluir os comandos e 
argumentos que precisam ser usados em cada etapa.
Na coleta de evidências, devemos seguir a ordem de 
volatilidade das informações: informações voláteis 
são aquelas que se perdem com mais facilidade. 
Há poucos anos, utilizava-se o algoritmo MD5 como 
padrão, mas devido a pesquisas recentes sobre 
ataques contra a segurança desse algoritmo e do 
próprio SHA1, a comunidade internacional começou a 
desenvolver novos algoritmos para substituí-los. 
Teoricamente, estes algoritmos têm um baixo índice 
de colisão, isto é, dificilmente geram uma mesma 
chave criptográfica a partir de dados diferentes. 
Entretanto, pesquisas detectaram uma possibilidade 
de gerar colisões com taxas de probabilidade bem menores do que deveriam 
ocorrer naturalmente com estes algoritmos. Por isso, recomenda-se a utilização 
de algoritmos melhores e mais atuais.
Procedimentos para análise forense p
C i i t d idê iCriar registro para cada evidência
Criar assinatura das evidências:
MD5
SHA1
SHA256
Evitar comprometer evidênciasEvitar comprometer evidências
Criar relatório detalhado da investigação:
Comandos executadosComandos executados
Pessoas entrevistadas
E idê i l t dEvidências coletadas
Procedimentos para análise forense p
O d d l t d idê iOrdem de coleta de evidências:
Informações sobre o ambiente (ambiente operacional, 
f t d l d t l d t d )fotos da sala e da tela do computador)
Cópia binária da memória RAM
Informações sobreprocessos em execução, conexões de 
rede, registros, cache etc.
Informações sobre o tráfego de rede
Cópias dos discos rígidosp g
Possíveis mídias removíveis (fitas, disquetes, CD-ROM)
Material impresso (adesivos folhas impressas)Material impresso (adesivos, folhas impressas)
14
Análise forense – Sessão de aprendizagem 1
Escola Superior de Redes RNP
Cadeia de custódia de evidências 
Este registro visa garantir que as evidências não 
foram modificadas ou comprometidas, acidental-
mente ou propositalmente, durante o processo de 
análise forense. Isto é importante principalmente se 
o caso vai ser tratado judicialmente. Em juízo, será 
necessário comprovar que as evidências são válidas 
legalmente, e um registro mal feito pode colocar a 
perder um caso inteiro. Um cuidado especial deve 
ser dado às evidências digitais, pois elas são mais 
facilmente modificadas ou destruídas.
 
 
Metodologia para análise forense 
Independentemente do sistema invadido ou do 
método utilizado na invasão, os procedimentos segui-
dos pelo analista forense não variam. Uma metodolo-
gia bem definida facilita o trabalho do investigador e 
ajuda a mantê-lo focado.
Os passos que devem ser seguidos em uma investi-
gação são cíclicos: cada passo alimenta o conjunto 
de evidências e fornece novas bases para o inves-
tigador procurar por mais evidências na próxima 
fase. Os passos devem ser repetidos até que se 
consiga chegar a uma conclusão, ou até decidir que não há mais informações 
úteis a serem encontradas.
O primeiro passo da investigação das evidências é tentar estabelecer uma linha 
de tempo para o ataque e para as evidências encontradas durante a fase inicial de 
análise. Com a linha de tempo, o investigador pode ter uma base para procurar 
por novas evidências, arquivos e dados que possam ter relação com o caso. 
Cadeia de custódia de evidências
R i t d t lh d d d idê i Registro detalhado do modo como as evidências 
foram tratadas durante a análise forense, desde a 
l t té lt d fi i coleta até os resultados finais. 
Este registro deve conter informações sobre quem 
teve acesso às evidências ou às cópias utilizadas. 
Durante um processo judicial, este registro vai p j g
garantir que as provas não foram comprometidas.
Cada evidência coletada deve ter um registro de Cada evidência coletada deve ter um registro de 
custódia associada a ela. 
Cadeia de custódia de evidências
Um registro de custódia deve conter pelo menos os Um registro de custódia deve conter pelo menos os 
seguintes itens:
Data e hora de coleta da evidênciaData e hora de coleta da evidência
De quem a evidência foi apreendida
Informações sobre o hardware como fabricante modelo Informações sobre o hardware, como fabricante, modelo, 
números de série etc.
Nome da pessoa que coletou a evidênciaNome da pessoa que coletou a evidência
Descrição detalhada da evidência
Nome e assinatura das pessoas envolvidasNome e assinatura das pessoas envolvidas
Identificação do caso e da evidência (tags)
Assinaturas MD5/SHA1 das evidências se possívelAssinaturas MD5/SHA1 das evidências, se possível
Informações técnicas pertinentes
Metodologia para análise forenseg p
Procedimentos do analista forense são invariáveisProcedimentos do analista forense são invariáveis
Utilidade de metodologia bem definida
Os passos de uma investigação são cíclicos: 
Cada passo alimenta o conjunto de evidências e p j
fornece novas bases para o investigador procurar 
por mais evidências na próxima fase. p p
Os passos devem ser repetidos até que: 
Chegue se a uma conclusãoChegue-se a uma conclusão
Não existam mais informações úteis a encontrar
15
Princípios de análise forense
O passo seguinte é analisar esses arquivos e dados para identificar sua relação 
com o caso, funcionalidades e informações importantes que possam conter. 
A seguir, o investigador deve realizar uma análise no nível de dados do sistema 
operacional, procurando por strings e bytes que possam ser importantes para a 
investigação. Deve-se voltar à linha de tempo do incidente, pra inserir os novos 
dados coletados e associar essas informações com o caso. Com essas novas 
informações, o investigador terá uma nova base para procurar por mais evidên-
cias, e assim o processo se repete até que o caso seja solucionado ou se decida 
que o esforço e o custo da investigação já não valem mais a pena.
Finalmente, quando já tiver sido realizada uma análise o mais completa possível, 
deve-se gerar um relatório com os resultados encontrados e técnicas utilizadas, 
e uma conclusão para o caso alcançada, com base nas evidências coletadas 
durante a investigação. 
 
Conclusões 
A seguir prepararemos o ambiente de análise forense 
e conheceremos as ferramentas necessárias para a 
investigação.
Conclusões
O sucesso da investigação depende de uma preparação 
prévia
Informação é a melhor arma contra os invasores
Tenha em mãos:
Todas as informações sobre o sistema comprometido
Todas as ferramentas necessárias
Não comprometa as evidências
A cadeia de custódia de evidências garante uma 
representação fiel dos dados originais
Adote uma metodologia e seja imparcial e preciso em suas 
ações
16
Análise forense – Sessão de aprendizagem 1
Escola Superior de Redes RNP
1
Sessão de aprendizagem 1
Princípios de análise forense
Roteiro de atividades
Tópicos e conceitos
Preparação para uma investigação e identificação de formas de ataque.\\
Competências técnicas desenvolvidas
Elaboração de um checklist, atualização em relação às formas de ataque \\
rootkit; 
Investigação do comprometimento de computadores. \\
Outras competências desenvolvidas 
Capacidade de investigação e pesquisa.\\
Tempo previsto para as atividades
90-120 minutos\\
18
Análise forense – Sessão de aprendizagem 1
Escola Superior de Redes RNP
Atividade 1 – Preparando um checklist 
1. Este exercício deve ser feito em dupla. Suponha que em sua empresa 
existe um servidor web considerado crítico, que hospeda todo o sistema 
de gerenciamento de projetos da empresa e não pode ficar parado. Um 
backup diário dos dados é realizado constantemente. Deve-se supor que 
os integrantes da dupla fazem parte da comissão que está definindo os 
procedimentos a adotar quando ocorrer um incidente de segurança 
envolvendo a máquina do servidor. Pensando em todas as implicações 
destas ações, defina o que deve ser feito no caso de:
Ataque de negação de serviço;1. 
Comprometimento da máquina por ação hacker.2. 
Discuta com seu parceiro os procedimentos e monte um checklist das ações que 
devem ser tomadas. Procure ser o mais objetivo possível, de modo que uma pes-
soa que siga o checklist não precise tomar nenhuma decisão. Pense que em um 
momento de crise, a pessoa referida não pode perder tempo tomando decisões. 
Atividade 2 – Funcionamento de um rootkit 
 Junto com um colega, pesquise na internet informações sobre rootkits que 
os invasores usam para tomar controle de um servidor, tanto em servidores 
Unix quanto Windows. Procure informações sobre um rootkit da sua escolha 
para saber suas funcionalidades, e os modos para detectar a presença dele 
em uma máquina. Elabore um documento sobre este rootkit, descrevendo o 
modus operandi do mesmo, funcionalidades, dificuldade de detecção e, se 
possível, formas de detectá-lo e removê-lo do sistema. O instrutor vai 
escolher alguns alunos para apresentar este documento aos demais. 
Atividade 3 – Investigando um computador 
 (Para fazer em dupla) Você deve verificar se a máquina de seu companheiro 
está comprometida. Lembre-se dos passos necessários para garantir a 
integridade das evidências. Usando as ferramentas do sistema, você deve 
descobrir todos os serviços TCP ativos na máquina. Para este exercício, 
vamos considerar como comprometido o serviçoBootp (porta 68) no Linux, 
ou o serviço Netbios (porta 445) no Windows. Se o serviço estiver sendo 
executado, a máquina está comprometida. Faça um relatório de todas as 
ações tomadas durante a investigação, bem como um registro de custódia 
de qualquer evidência coletada.
Como sugestão, utilize o roteiro criado na Atividade 1; ele facilita a investigação? 
Quais foram os problemas encontrados ao seguir o roteiro? Sugira modificações ao 
roteiro.
2
Sessão de aprendizagem 2
Ambiente e ferramentas de análise forense
Sumário da sessão
Pré-requisitos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .20
Hardware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .20
Sistema operacional . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .21
Live CD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .22
Hardware forense . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
Pacote forense . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .24
Programas específicos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .27
Preparação da investigação . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .29
Preparação do ambiente . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .29
Coletando informações dos processos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .31
Preservação do disco . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .35
Outras formas de preservação do disco . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .37
Conclusões . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .39
Roteiro de atividades . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .41
Atividade 1 – Kit do investigador . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .42
Atividade 2 – Coleta de informações voláteis . . . . . . . . . . . . . . . . . . . . . . . . . .42
20
Análise forense – Sessão de aprendizagem 2
Escola Superior de Redes RNP
Pré-requisitos 
Durante o atendimento inicial ao incidente, o inves-
tigador vai precisar da recuperação de arquivos em 
memória, coleta de cópias fiéis dos discos rígidos e 
dispositivos de armazenagem presentes na máquina 
investigada, cópia da memória RAM, coleta de infor-
mações de conexões de rede, entre outros. 
Em alguns incidentes, onde ocorre o envolvimento 
de autoridades policiais, é necessário manter sob 
guarda o disco original da máquina envolvida no inci-
dente. No Brasil, somente um perito autorizado pode 
coletar, de forma legal, evidências na cena de um 
incidente. A empresa ou responsável pela máquina 
deve garantir apenas armazenamento e custódia 
seguros do equipamento.
A utilização de hashes MD5/SHA1 garante que as evi-
dências coletadas durante uma investigação possam 
ser comparadas posteriormente, caso seja necessário 
refazer os passos da análise forense. Duas evidências 
coletadas com a mesma técnica e que tenham os 
mesmos hashes são garantidamente iguais.
Em um sistema invadido, o hacker pode ter modifi-
cado arquivos, kernel, bibliotecas compartilhadas, 
módulos carregados. Portanto, nenhum arquivo existente na máquina é confiável. 
Se existir um rootkit e o investigador utilizar os comandos do sistema para listar 
processos ou arquivos, não verá as informações escondidas pelo rootkit. O inves-
tigador deve sempre utilizar suas próprias ferramentas e bibliotecas. 
 
Hardware 
O sistema deve ter baias para conectar os discos 
de evidências. De preferência, as baias devem ser 
configuradas para jamais iniciarem o sistema a partir 
dos discos contidos nelas.
Um notebook é imprescindível quando não for pos-
sível remover o disco de evidência. Este notebook 
deve conter as mesmas ferramentas da estação 
forense. Além disso, o investigador deve dispor de 
equipamentos de rede diversos: hubs, cabos cross-
over e normais, placas de rede normais e wireless, 
disco rígido externo (USB e paralelo), bem como um equipamento para realizar 
cópias de disco automaticamente.
Pré-requisitos
A primeira ação do investigador é coletar evidências 
no local onde ocorreu a invasão.
Após isso, entra em cena a análise de mídias.
O investigador precisará analisar dezenas de 
gigabytes de dados, e por isso deve contar com um 
ambiente propício, com ferramentas que facilitem seu 
trabalho.
Hardware
Quanto mais memória RAM e mais processamento 
houver, melhor.
O espaço livre em disco deve ser generoso, algumas 
vezes podendo analisar centenas de gigabytes.
O sistema deve ter baias para conectar os discos de 
evidências. 
Um notebook é imprescindível quando não for 
possível remover o disco de evidência. 
Além disso, o investigador deve dispor de 
equipamentos de rede diversos.
Pré-requisitos
O objetivo da análise de mídias é coletar evidências que 
comprovem ou refutem a invasão.
As evidências originais devem ser preservadas, por isso a 
análise deve ser feita em cópias das mídias.
O analista deve evitar comprometer as evidências, e 
garantir que todos os resultados possam ser 
reproduzidos, o que envolve a criação e manipulação de 
dezenas de gigabytes de dados.
Além disso, o sistema invadido não é confiável, portanto o 
investigador precisa dispor de um ambiente confiável e 
controlado para realizar a investigação.
21
Ambiente e ferramentas de análise forense
Sistema operacional 
Deve-se levar em conta que às vezes vai ser neces-
sário investigar um sistema sem dispositivos padrão, 
como os presentes em um computador comum. Por 
exemplo, como investigar incidentes envolvendo um 
PDA, ou uma estação RISC/Solaris? Os dispositivos 
de disco são diferentes, e o sistema operacional da 
estação forense precisa reconhecer esses equipa-
mentos. Alguns softwares para Windows, como o 
EnCase, têm um suporte melhor para imagens de 
partições variadas. Entretanto, um suporte nativo 
no sistema operacional pode ser muito útil e poupar 
tempo do investigador.
Além disso, o sistema operacional precisa ser seguro 
o suficiente para não ser comprometido com alguma 
ferramenta investigada. Imagine se o investigador está 
analisando um arquivo desconhecido e sua estação 
forense é comprometida por este arquivo?
Além disso, existem outras vantagens no uso do 
Linux, como o sistema da estação forense e das 
ferramentas. O sistema permite a criação de CDs 
inicializáveis que rodam em praticamente qualquer 
configuração de hardware sem a necessidade de 
instalação de drivers; rodam com pouca memória 
e contam com diversos mecanismos de segurança 
embutidos no próprio sistema.
Existem diversas opções para resolver o problema 
de análise de binários de outros sistemas operacio-
nais. No caso do Windows, em alguns casos é possí-
vel executar o binário com emuladores por software 
como o Wine, ou utilizar o próprio VMWare com um 
sistema Windows rodando na máquina virtual. 
Além disso, dependendo do tipo de análise que vai 
ser feita, existem debuggers para Linux que têm 
suporte a diversos formatos de binários e processa-
dores, como por exemplo o IDA-Pro.
Sistema operacional
Entre os pontos que devem ser levados em 
consideração na hora de escolher o sistema 
operacional, podemos citar os seguintes:
Familiaridade do investigador com o sistema 
operacional
Disponibilidade de ferramentas
Capacidade do sistema operacional de reconhecer 
diversos tipos de mídias ou sistemas de arquivos 
diferentes
Mecanismos de segurança disponíveis no sistema 
operacionalSistema operacional
Durante o curso, usaremos o Linux, por causa de 
algumas características deste sistema:
Não é necessário adquirir licenças para uso
Existe uma gama completa de ferramentas de análise forense de uso 
livre
Capacidade de acessar qualquer tipo de sistema de arquivos ou 
partições a partir de configuração no kernel
Capacidade de acessar diversos tipos de dispositivos (USB, discos 
etc)
Firewall embutido no kernel e possibilidade de utilizar diversas 
modificações no kernel para aumentar a segurança da máquina
Disponibilidade de diversas distribuições prontas para análise 
forense, facilitando o trabalho de reunir diferentes ferramentas
Sistema operacional
Apesar disso, existem limitações na utilização do 
sistema Linux.
Se for necessário analisar algum executável para 
Windows, precisaremos de uma maneira de emular o 
Windows. A melhor opção é utilizar o VMWare ou 
outro sistema de emulação, como o Wine.
Apesar da escolha pelo Linux, existem ótimas 
ferramentas de análise forense para Windows, tal 
como o software EnCase.
22
Análise forense – Sessão de aprendizagem 2
Escola Superior de Redes RNP
Live CD 
Há grupos especializados em reunir as melhores 
ferramentas para análise forense. Existem diversos 
CDs inicializáveis com sistemas Linux, prontos 
para serem utilizados em um atendimento inicial a 
um incidente. Eles não precisam ser instalados, e 
normalmente não causam modificações no sistema 
instalado. Podem ser utilizados em um sistema 
ligado, ou como dispositivo de boot em um sistema 
desligado. Contendo uma ampla gama de ferramen-
tas, sua atualização é mantida pelos responsáveis. 
Um grande problema para o investigador é manter atualizadas todas as suas fer-
ramentas, medida importante em um processo de análise forense. Por exemplo, 
investigadores da polícia técnica ou peritos criminais em informática têm como 
parte dessas atividades manter suas ferramentas atualizadas. 
A recomendação de utilizar um Live CD, ou um pacote pronto de ferramentas, vale 
para aqueles profissionais que não têm como atividade principal a realização de 
análise forense, desempenhando a atividade apenas em casos isolados. Nestes 
casos, quando existir a necessidade de realizar uma análise forense, basta baixar 
a última versão da distribuição definida como padrão, e todas as ferramentas 
estarão atualizadas.
Em nosso curso utilizaremos o Helix, uma distribui-
ção específica para análise forense, baseada em 
uma versão altamente modificada do Knoppix Linux. 
Além de conter ferramentas para análise e resposta 
a incidentes em ambientes Linux, o Helix contém um 
pacote de ferramentas para análise em sistemas 
Windows que ainda estejam ligados. Ele foi modifi-
cado para garantir que nenhuma alteração seja feita 
ao sistema analisado. Pode ser utilizado como um 
CD de boot em sistemas desligados, ou montado 
em um sistema ligado para servir como fonte de 
ferramentas para uma resposta inicial ao incidente. É 
utilizado por diversas instituições e grupos de análise 
forense e de resposta a incidentes, o que garante 
que esteja sempre atualizado. 
Além das ferramentas que serão discutidas durante o curso, existem muitas 
outras presentes no CD que o aluno poderá utilizar, incluindo interfaces gráficas 
para algumas das ferramentas discutidas. No curso, examinaremos as ferramen-
tas de comando de linha que permitem trabalhar em um nível mais baixo de opera-
ção, e entender o real funcionamento de cada uma.
Live CD
Importante manter as ferramentas atualizadas
Existem diversos CDs inicializáveis com sistemas 
Linux:
Não precisam ser instalados 
Normalmente não modificam o sistema instalado
Podem ser utilizados em um sistema ligado ou como 
dispositivo de boot em um sistema desligado
São atualizados pelos responsáveis 
Contêm uma ampla gama de ferramentas
Live CD
Helix é uma distribuição específica para análise forense
Contém ferramentas para análise e resposta a incidentes 
em ambientes Linux, e um pacote de ferramentas para 
análise em sistemas Windows que ainda estejam ligados.
Pode ser utilizado como um CD de boot em sistemas 
desligados, ou montado em um sistema ligado para servir 
como fonte de ferramentas para uma resposta inicial ao 
incidente.
Utilizado por diversas instituições e grupos de análise 
forense e de resposta a incidentes.
23
Ambiente e ferramentas de análise forense
É importante deixar claro que o ambiente escolhido 
para resposta ao incidente ou para a investigação 
forense não deve de maneira nenhuma modificar 
qualquer dado no sistema suspeito sem o conheci-
mento e controle do investigador. Por exemplo, uma 
distribuição Linux normal, ao ser iniciada, vai tentar 
montar qualquer dispositivo de disco presente na 
máquina, e isso deve ser evitado a todo custo. Esta 
é a vantagem de utilizar uma distribuição específica 
para análise forense. 
 
Hardware forense 
Há no mercado diversas soluções de hardware que 
podemos utilizar para realizar a duplicação e análise 
pericial. Estas ferramentas são mais completas e 
realizam cópias perfeitas das informações em uma 
imagem. Através da imagem, o perito realiza sua 
análise sem danificar as provas originais. Permitem 
a duplicação em alta velocidade, com bloqueio físico 
de escrita, cálculo de hash MD5, SHA1, SHA2, emis-
são de logs de operação etc.
Em plataformas integradas de processamento, 
estes sistemas estão disponíveis em configurações 
móveis, estacionárias ou de laboratório, projetados 
para aquisição e exames de evidências. Possibilitam 
duplicar as evidências diretamente do HD IDE/SCSI/
SATA, disquetes, CD, DVD, ZIP driver, fita DAT 4MM 
e PCCARD, SmartMedia, SD-MMC, Memory Stick, 
Compact Flash.
Duplicadores de HDs com suporte às principais 
interfaces, tais como: IDE, Enhanced IDE, Narrow 
SCSI, Wide SCSI, Ultra SCSI e SCA. Podem transferir 
dados de diferentes interfaces. 
Duplicação em larga escala substitui com inúmeras 
vantagens os atuais processos de clonagem de 
discos via software. Ideal para operações de deploy-
ment e fábricas de PCs.
Live CD
Além do Live CD, em nosso curso utilizaremos o VMWare, ambiente 
virtual que simula um computador real, permitindo a execução de 
praticamente qualquer sistema operacional.
Utilizaremos uma imagem do CD do Helix associada ao CD-ROM da 
máquina virtual.
Configurações da máquina virtual:
256 MB de RAM
Disco rígido de 8 GB, para armazenar dados dos exercícios e servir 
como exemplo
Imagem do Helix associada ao CD-ROM
Placa de rede host-only (só se conecta ao computador local)
Com o VMWare, podemos reverter o estado da máquina virtual para 
estados anteriores, evitando assim a perda de dados proveniente de 
comandos errados.
Estações e servidores 
para computação 
forense
Duplicadores de HDs 
e equipamentos para 
bloqueio de escrita em 
mídias digitais
24
Análise forense – Sessão de aprendizagem 2
Escola Superior de Redes RNP
Redes Wi-Fi
Equipamento dedicado para análise de sinal WLAN 
802.11 e ciências forenses. O foco do produto é a 
facilidade de uso e automação. É capaz de capturar 
todo o tráfego Wi-Fi num raio de 4 km fazendo uso 
simultâneo dos 14 canais de comunicação 802.11.
Completamente invisível na rede, permite o armazenamento dos pacotes em 
padrões que podem ser usados por qualquer ferramenta de análise forense de 
rede. Realiza a decriptografia simultânea de WEP e WPA.
Celulares
XRY – A análise forense de aparelhos celulares ganha outra dimensão com o \\
uso do .XRY. Incrivelmente rápido, seguro e prático de usar. O visualizador de 
dados é gratuito, permitindo a análise distribuída por uma equipe maior e o 
compartilhamento de informações.
SIM ID Cloner – Permite análise em celulares com chip bloqueado ou danificado. \\
 
Pacote forense 
Helix
Este software oferece aos profissionaisda área 
a possibilidade de executar vários processos de 
análise forense computacional. Suporta diversos 
sistemas operacionais. Pode ser executado através 
de um sistema operacional ou antes do início do 
sistema operacional. Suas principais características 
são:
Suporte aos sistemas operacionais das \\
plataformas Windows, Linux e Solaris;
Mostra informações do sistema, como: versão do \\
sistema operacional, rede, discos, partições e o 
sistema de arquivos, além do tamanho;
Realiza cópia perfeita de disco e memória \\
física, em outra área, como a rede ou em mídia 
removível;
Disponibiliza o acesso a vinte ferramentas de \\
perícia forense computacional;
Pacote forense
Helix
The Coroner's Toolkit 
Flag-Knoppix
SMART Linux
Comerciais
FTK Forensic Toolkit 
EnCase
Celulares
Helix
Wireless Wi-Fi
25
Ambiente e ferramentas de análise forense
Possui algumas documentações a respeito de perícia forense computacional \\
que podem ajudar o perito a desenvolver o seu trabalho;
Possui um navegador que possibilita expandir os discos e verificar algumas \\
propriedades dos arquivos e pastas;
Contém uma ferramenta de procura rápida por imagens de diversos formatos \\
no computador;
Possui um editor de texto para realizar anotações importantes sobre o que \\
está sendo analisado.
FTK Forensic Toolkit 
Oferece aos profissionais da área a habilidade de executar perícias completas nos 
computadores. Com esta ferramenta é possível customizar filtros que permitem a 
pesquisa em milhares de arquivos e encontrar a evidência rapidamente. O FTK é 
conhecido no mercado como uma das principais ferramentas de análise forense 
de e-mail. Suas principais características são:
Recuperação de e-mails excluídos;\\
Visualização de registros;\\
Gera auditoria de logs e relatórios de casos\\ ;
Recupera automaticamente arquivos excluídos e partições;\\
Visualiza mais de 270 formatos diferentes de arquivos;\\
O FTK Explorer permite que se navegue rapidamente pelas imagens encontradas;\\
FTK Forensic Toolkit
26
Análise forense – Sessão de aprendizagem 2
Escola Superior de Redes RNP
Suporta vários sistemas de arquivos, como NTFS, FAT12, FAT16, FAT32, Linux \\
Ext2 e Ext3;
Suporta os formatos de imagens de outros programas, como o EnCase;\\
É suportado por vários clientes de e-mail, como o Outlook, Outlook Express, \\
Yahoo, Hotmail etc.
Pesquisa, visualiza, imprime e exporta mensagens de e-mails e anexos; \\
Extrai informações da maioria dos arquivos compactados.\\
EnCase Forensics
Ferramenta gráfica do setor de tecnologia da investigação forense de computado-
res. Com uma interface de uso intuitivo, auxilia o perito na análise e aquisição dos 
dados, realiza busca em diversas mídias e gera documentação. O programa foi 
desenvolvido para atender a necessidade dos peritos em buscar informações no 
formato eletrônico, tais como e-mails e internet. Suas principais características são:
 
Investigação reativa;\\
Provas não repudiáveis;\\
Reforça metodologia internacional;\\
Acesso a informações escondidas;\\
Automatização de pesquisas;\\
Resposta a incidentes e combate a fraudes;\\
Investigação pró-ativa;\\
Resposta a incidentes após a última linha de defesa;\\
Documentação de incidentes;\\
Discrição;\\
Assertividade no processo de recuperação.\\
EnCase Forensics
27
Ambiente e ferramentas de análise forense
NetWitness 
Ferramenta capaz de analisar o tráfego que flui na rede. Anos de colaboração 
com o departamento de inteligência dos EUA fizeram com que o NetWitness seja 
capaz de analisar grande volume de informação dinâmica, respondendo imediata-
mente a ataques: quem fez o quê, onde, quando, como e por quê. 
Programas específicos 
O processamento de imagens está integrado aos sistemas de investigação mais 
avançados do mundo. O resultado dessa combinação é o enorme aumento de 
produtividade e expansão dos limites humanos, quando for necessário o processa-
mento de grande quantidade de imagens.
Net Witness
Software para 
reconhecimento visual 
de imagens
28
Análise forense – Sessão de aprendizagem 2
Escola Superior de Redes RNP
Para exemplificar, veja as imagens da capa da 
revista Time. A da esquerda é a original; a da direita 
contém uma informação secreta, que só poderá ser 
descoberta por quem tiver a senha e o programa 
apropriado. 
Gargoyle Investigator Forensic 
Busca a identificação de armas digitais em sistemas isolados. Compatível com 
imagens capturadas por EnCase, DD, FTK e outros. Expande a funcionalidade 
para busca em rede por toda a corporação, incluindo: Anti Forensics, Binary 
Editors, BotNets, Credit Card Fraud Tools, Denial of Service Tools, Encryption, 
Steganography, Exploit Scanners, File Splitters, Gaming Tools, Keyloggers, 
Spyware, Peer to Peer Communications, Password Crackers, Remote Access 
Tools, Trojans, Worms, Rootkits, Wired and Wireless Surveillance.
Stego realiza a detecção de esteganografia em imagens ou arquivos de áudio 
diretamente no sistema de arquivos, em HDs capturados ou pela internet. Realiza 
a análise detalhada e a busca dos arquivos altamente supeitos. Realiza ataques de 
dicionário e força bruta contra algoritmos conhecidos de esteganografia.
Ultimate Toolkit contém várias ferramentas necessárias para investigação e 
perícia de computadores e outras evidências digitais. Dentre as principais, desta-
camos: Forensic Toolkit, Registry Viewer, Password Recovery Toolkit e Distributed 
Network Attack. Rainbow Tables é uma ferramenta de ataque pré-computado 
de força bruta que reduz o tempo de quebra de chaves de criptografia de 40 
bits para segundos. Um ataque de força bruta sobre uma chave de 4 bits deve 
processar 1 trilhão de possibilidades, e um Pentium IV processando 500.000 
combinações por segundo levaria 25 dias para completá-lo. Com Rainbow Tables 
você pode decriptografar um documento de Word em segundos ou minutos, ao 
invés de dias.
Mercury encontra as evidências de maneira rápida. Integrado ao EnCase 
Forensics, indexa o arquivo de evidências e permite buscas avançadas por pala-
vras-chaves, proximidade, combinações etc. Pode ser distribuído para pessoas 
que não possuem conhecimento técnico, aumentando a produtividade da equipe 
de investigação. 
Esteganografia
29
Ambiente e ferramentas de análise forense
Preparação da investigação 
A primeira ação é preparar as ferramentas e disposi-
tivos para a coleta das evidências. 
Ao investigar um sistema possivelmente compro-
metido que esteja ligado, o investigador deve se 
preocupar em coletar primeiro as informações mais 
voláteis, como memória RAM, informações de rede, 
processos em execução, cópia do disco rígido, logs 
e históricos.
Normalmente, o investigador vai ter a sua disposição 
equipamentos de armazenagem e de rede para se 
comunicar com o sistema suspeito. 
Durante o curso, utilizaremos o Live CD do Helix em 
um sistema virtual, como por exemplo no atendi-
mento a incidentes em sistemas ligados.
 
Preparação do ambiente 
# fdisk -l8
Disk /dev/sda: 8589 MB, 8589934592 bytes
255 heads, 63 sectors/track, 1044 cylinders
Units = cylinders of 16065 * 512 = 8225280 bytes
 Device Boot Start End Blocks Id System
/dev/sda1 1 32 257008+ 82 Linuxswap
/dev/sda2 33 64 257040 83 Linux
/dev/sda3 65 1044 7871850 5 Extended
/dev/sda5 65 1044 7871818+ 83 Linux
# mkdir /data8
# mount /dev/sda5 /data8
Preparação da investigação
No atendimento inicial a um incidente, o investigador 
deve:
Coletar o máximo possível de evidências
Comprovar o incidente
Conter possíveis ataques originados no sistema 
comprometido
Como fazer tudo isso, minimizando a perda de dados?
Nesta hora, a utilização de um checklist pode ajudar, 
principalmentese o sistema ainda estiver ligado. 
A resposta precisa ser rápida e precisa.
Preparação da investigação
Primeira ação: preparar as ferramentas e dispositivos 
para a coleta das evidências. 
Coletar primeiro as informações mais voláteis:
Memória RAM, informações de rede, processos em 
execução, cópia do disco rígido, logs, históricos;
Possuir equipamentos de armazenagem e de rede 
para comunicação com o sistema suspeito. 
Durante o curso, vamos utilizar o Live CD do Helix em 
um sistema virtual, como por exemplo no atendimento 
a incidentes em sistemas ligados.
Preparação do ambiente
Inicialmente, preparemos o ambiente que vamos 
utilizar durante o atendimento ao incidente:
# fdisk –l�
Disk /dev/sda: 8589 MB, 8589934592 bytes
255 heads, 63 sectors/track, 1044 cylinders
Units = cylinders of 16065 * 512 = 8225280 bytes
Device Boot Start End Blocks Id System
/dev/sda1 1 32 257008+ 82 Linuxswap
/dev/sda2 33 64 257040 83 Linux
/dev/sda3 65 1044 7871850 5 Extended
/dev/sda5 65 1044 7871818+ 83 Linux
# mkdir /data�
# mount /dev/sda5 /data�
30
Análise forense – Sessão de aprendizagem 2
Escola Superior de Redes RNP
Neste exemplo, vamos copiar a memória RAM do sis-
tema virtual para um arquivo, e gravá-lo no diretório mon-
tado previamente. Pode acontecer de algum aluno não 
ter montado a partição do disco conforme mostrado, e 
acontecer um erro por falta de espaço. Consulte o slide 
anterior para montar a partição do disco corretamente.
 
 
O comando netcat (nc) é muito importante para o analista forense. Ele permite criar 
conexões de rede TCP ou UDP com outras máquinas, além de criar listeners, permitindo 
simular a existência de um serviço, ou, como no exemplo, permitir a cópia de arquivos 
pela rede sem utilização de software específico para isso. O instrutor deve tomar algum 
tempo para mostrar o funcionamento do netcat, especificamente no exemplo dado.
No exemplo, o aluno vai utilizar o netcat para criar um listener na máquina, na 
porta 4000, redirecionando a saída dele para um arquivo. A seguir, em outro 
terminal, o aluno vai executar o memdump, redirecionando a saída dele para o 
netcat, que vai criar uma conexão com a máquina local, na porta 4000, e enviar 
toda a saída do memdump para essa conexão.
Com isso, a saída do comando memdump vai ser transmitida pela rede (neste 
caso, localmente, mas normalmente através da rede física) para o arquivo especi-
ficado no primeiro redirecionamento. É possível redirecionar para uma conexão de 
rede, e coletar remotamente o arquivo em nossa estação forense:
Na estação forense:
# nc -l -p 4000 > /data/phys_memory.img8
Na máquina suspeita:
# memdump | nc 127.0.0.1 40008
Durante a fase de análise das evidências, o inves-
tigador vai precisar correlacionar as evidências 
encontradas na máquina invadida com evidências 
externas, como logs de firewall, roteadores, IDS etc. 
O sincronismo de tempo e a coerência entre os time-
zones dessas evidências é importante para garantir 
a validade das conclusões encontradas através das 
evidências. Por isso é importante descobrir essa informação o quanto antes, 
durante o atendimento inicial do incidente.
Preparação do ambiente
A memória RAM é a informação mais volátil que existe no 
sistema.
No Helix, temos uma ferramenta chamada memdump, que faz 
uma cópia da memória RAM, que podemos redirecionar para 
um arquivo em disco:
# memdump > /data/phys_memory.img�
Além disso, podemos redirecionar para uma conexão de rede, 
e coletar remotamente o arquivo em nossa estação forense:
Na estação forense:
# nc -l -p 4000 > /data/phys_memory.img�
Na máquina suspeita:
# memdump | nc 127.0.0.1 4000�
Preparação do ambiente
Passos importantes durante o atendimento a um incidente: 
Manter um registro preciso de todas as ações executadas, registrando 
todos os comandos executados, com os respectivos tempos de 
execução.
Descobrir se as informações de tempo disponíveis em suas evidências 
são coerentes. 
O timezone de logs e da máquina é um dado muito importante. 
Por isso, após recuperar a memória da máquina, é importante 
descobrir essas informações:
# date�
Sun Jan 6 01:34:46 MST 2008 
# uptime�
01:35:16 up 7:55, 5 users, load average: 0.13, 0.26, 0.18
Nota: O memdump tem um parâmetro para copiar a memória 
do kernel do Linux, além de copiar a memória física. Este 
parâmetro não funciona dentro do sistema virtual.
31
Ambiente e ferramentas de análise forense
Este passo normalmente é o primeiro a ser realizado, mas como tentamos evitar 
ao máximo o comprometimento de evidências, executamos estes comandos 
somente após a coleta da memória, pois a execução destes comandos poderia 
sobrescrever alguma evidência em memória.
O instrutor pode comentar sobre a necessidade de manter dispositivos sincroniza-
dos, de preferência com servidores NTP confiáveis, e sobre o funcionamento do 
timezone e do relógio do sistema, que está sempre em UTC. A configuração de 
timezone é utilizada somente para mostrar a hora no valor local.
No início da investigação, um passo importante durante o atendimento a um inci-
dente é manter um registro preciso de todas as ações executadas; para isso, é 
necessário registrar todos os comandos executados, com os respectivos tempos 
de execução.
Além disso, é importante descobrir se as informações de tempo disponíveis em 
suas evidências são coerentes. O timezone de logs e da máquina é um dado 
muito importante. Por isso, após recuperar a memória da máquina, é importante 
descobrir essas informações:
# date8
Sun Jan 6 01:34:46 MST 2008
# uptime8
01:35:16 up 7:55, 5 users, load average: 0.13, 0.26, 0.18 
Coletando informações dos processos 
LSOF é um comando importante para a coleta de 
informações sobre processos e conexões de rede, 
porque integra a funcionalidade de diversas ferra-
mentas diferentes. Pode funcionar como o netstat ou 
como o ps, por exemplo, além de ter a capacidade 
de listar arquivos abertos. Neste slide e no próximo, 
o instrutor pode dedicar algum tempo a testar os 
parâmetros do LSOF com mais profundidade, além 
dos parâmetros apresentados aqui.
# lsof –l8
Lista todos os arquivos abertos. A saída pode ser grande, por isso use algum tipo 
de controle de saída. Use os comandos more ou less, por exemplo, ou redirecione 
a saída através do netcat.
# lsof -i8
Lista todos os arquivos de rede abertos. Com isso é possível descobrir os programas 
que estão mantendo conexões abertas. Tem a mesma função do comando netstat –nap.
Coletando informações dos processos
# lsof –l�
Lista todos os arquivos abertos. 
Use os comandos more ou less ou redirecione a saída através 
do netcat
# lsof -i�
Lista todos os arquivos de rede abertos, para descobrir os 
programas que estão mantendo conexões abertas. 
Tem a mesma função do comando netstat –nap.
COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
Xorg 2252 root 1u IPv4 9383 TCP *:x11 (LISTEN)
sshd 2792 root 3u IPv4 10359 TCP *:ssh (LISTEN)
pump 2870 root 0u IPv4 10612 TCP *:bootpc (LISTEN)
sshd 2872 root 3u IPv4 10647 TCP 192.168.47.129:ssh-
>192.168.47.1:4944 (ESTABLISHED) 
32
Análise forense – Sessão de aprendizagem 2
Escola Superior de Redes RNP
COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
Xorg 2252 root 1u IPv4 9383 TCP *:x11 (LISTEN)
sshd 2792 root 3u IPv4 10359 TCP *:ssh (LISTEN)
pump 2870 root 0u IPv4 10612 TCP *:bootpc (LISTEN)
sshd 2872 root 3u IPv4 10647 TCP 192.168.47.129:ssh->192.168.47.1:4944 
(ESTABLISHED)
Uma maneira de utilizar o LSOF é em conjunto com 
o comando grep. Podemos limitar o que o LSOF 
mostra, para listar todos os arquivos abertos por um 
determinadocomando (lsof –l | grep netscape) ou 
todos os programas que mantêm um listener aberto.
# lsof -l | grep LISTEN8
Xorg 2252 0 1u IPv4 9383 TCP *:x11 (LISTEN)
sshd 2792 0 3u IPv4 10359 TCP *:ssh (LISTEN)
pump 2870 0 0u IPv4 10612 TCP *:bootpc (LISTEN)
Este comando mostra todos os processos que 
mantêm um socket Unix aberto. Pode ser importante 
para descobrir processos escondidos que estão 
mantendo conexões abertas e pipes que podem indi-
car a presença de trojans e rootkits.
# lsof -U8
COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
udevd 517 root 3u unix 0xce957e00 4060 socket
dbus-daem 1485 messagebus 3u unix 0xce957c80 7524 /var/run/dbus/system_bus_socket
dbus-daem 1485 messagebus 5u unix 0xce957b00 7526 socket
Outra forma de recuperar informações sobre pro-
cessos é através do diretório /proc. Este diretório é 
criado virtualmente pelo kernel do sistema operacio-
nal para armazenar informações sobre o hardware e 
software básicos do sistema. Para cada processo, 
um diretório é criado com diversos dados sobre ele: 
 
 # ls /proc/28778
attr auxv cmdline cwd environ exe fd maps mem 
mounts mountstats oom_adj oom_sco 
re root seccomp smaps stat statm status task wchan
É importante perceber que, como este diretório é vir-
tual, isto é, não existe fisicamente no disco, qualquer 
modificação feita nele não vai comprometer as evidências em disco. Contudo, é 
importante notar que é preciso ter muito cuidado para não modificar nada mais 
além deste diretório.
Como podemos ver, para cada processo existem diversas informações disponíveis. 
Alguns destes arquivos contêm dados importantes sobre o processo em execução.
Coletando informações dos processos
Utilização de LSOF em conjunto com o comando grep:
# lsof -l | grep LISTEN�
Xorg 2252 0 1u IPv4 9383 TCP *:x11 (LISTEN)
sshd 2792 0 3u IPv4 10359 TCP *:ssh (LISTEN)
pump 2870 0 0u IPv4 10612 TCP *:bootpc (LISTEN)
Este comando mostra todos os processos que mantêm 
um socket Unix aberto: 
# lsof -U�
COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
udevd 517 root 3u unix 0xce957e00 4060 socket
dbus-daem 1485 messagebus 3u unix 0xce957c80 7524 
/var/run/dbus/system_bus_socket
dbus-daem 1485 messagebus 5u unix 0xce957b00 7526 socket
Coletando informações dos processos
Recuperação de informações sobre processos através 
do diretório /proc:
# ls /proc/2877�
attr auxv cmdline cwd environ exe fd maps 
mem mounts mountstats oom_adj oom_score root 
seccomp smaps stat statm status task wchan
Para cada processo existem diversas informações 
disponíveis. 
Alguns destes arquivos contêm dados importantes 
sobre o processo em execução.
33
Ambiente e ferramentas de análise forense
Muitas vezes, ao invadir uma máquina e instalar 
alguma ferramenta, o hacker costuma modificar 
o nome dos arquivos para nomes comuns em um 
sistema, como por exemplo sshd ou httpd. É impor-
tante descobrir o diretório onde esses arquivos 
estão, sem comprometer evidências no disco, para 
comprovar o comprometimento da máquina.
Análise de conteúdo de alguns arquivos
O arquivo abaixo é na verdade um link para o diretório 
corrente do processo. Pode ser importante para des-
cobrir se algum processo com um nome comum (por 
exemplo httpd) está sendo executado a partir de um diretório que não seja padrão.
# ls -l /proc/2877/cwd8
lrwxrwxrwx 1 root root 0 Jan 5 18:50 /proc/2877/cwd -> /data
O arquivo abaixo contém a linha de comando utilizada para iniciar o processo. Da 
mesma forma que o arquivo anterior, pode ser importante para descobrir proces-
sos estranhos. 
# cat /proc/2877/cmdline8
-bash
Outra forma de comprometer um sistema é através da 
instalação de bibliotecas compartilhadas modificadas. 
Neste caso, o hacker pode carregá-las de diversas 
maneiras, mas um meio comum é através da modi-
ficação da variável de ambiente LD_PRELOAD, que 
define as bibliotecas compartilhadas que devem ser 
carregadas antes da execução de um binário qualquer. 
A existência desta variável apontando para um arquivo 
suspeito pode indicar o comprometimento da máquina.
O arquivo abaixo contém as variáveis de ambiente 
utilizadas no momento da execução do programa. 
Repare que as variáveis de ambiente criadas pelo 
SSH aparecem aqui, o que pode ser importante para identificar algum programa 
que tenha sido executado remotamente. 
# cat /proc/2877/environ8
USER=rootLOGNAME=rootHOME=/rootPATH=/sbin:/bin:/usr/sbin:/usr/bin:/usr/local/sb 
in:/usr/local/bin:/usr/X11R6/binMAIL=/var/mail/root 
SHELL=/bin/bashSSH_CLIENT=192.168.47.1 4944 
22SSH_CONNECTION=192.168.47.1 4944 192.168.47.129 
22SSH_TTY=/dev/pts/2TERM=vt100
Coletando informações dos processos
Conteúdo de alguns arquivos:
O arquivo abaixo é na verdade um link para o diretório 
corrente do processo:
# ls -l /proc/2877/cwd�
lrwxrwxrwx 1 root root 0 Jan 5 18:50 /proc/2877/cwd 
-> /data
O arquivo abaixo contém a linha de comando utilizada para 
iniciar o processo, servindo para identificar processos 
estranhos:
# cat /proc/2877/cmdline�
-bash
Coletando informações dos processos
O arquivo abaixo contém as variáveis de ambiente 
utilizadas no momento da execução do programa. 
# cat /proc/2877/environ�
USER=rootLOGNAME=rootHOME=/rootPATH=/sbin:/bin:/u
sr/sbin:/usr/bin:/usr/local/sbin:/usr/local/bin:/
usr/X11R6/binMAIL=/var/mail/rootSHELL=/bin/bashSS
H_CLIENT=192.168.47.1 4944 
22SSH_CONNECTION=192.168.47.1 4944 192.168.47.129 
22SSH_TTY=/dev/pts/2TERM=vt100
34
Análise forense – Sessão de aprendizagem 2
Escola Superior de Redes RNP
Este arquivo mostra informações de status do pro-
cesso. Podemos ver informações sobre usuário/
grupo que executou o processo, memória e CPU 
utilizados, entre outras informações.
# cat /proc/2877/status8
Name: bash
State: S (sleeping)
SleepAVG: 98%
Tgid: 2877
Pid: 2877
PPid: 2872
TracerPid: 0
Uid: 0 0 0 0
Gid: 0 0 0 0
Este exemplo mostra como recuperar um processo 
em memória, sem precisar encontrar o arquivo corres-
pondente em disco. É comum os hackers removerem 
do disco as ferramentas que instalam na máquina 
após executá-las, pois, dessa forma, se o sistema é 
reiniciado, não há mais traços de suas atividades. Por 
isso é importante tomar cuidado ao começar a investi-
gar um sistema suspeito, pois simplesmente desligá-lo 
pode comprometer todas as evidências que o investi-
gador teria para encontrar o responsável.
Quando for necessário recuperar algum processo 
em memória, e o arquivo não existir mais em disco, 
ou você não quiser correr o risco de modificar evidências no disco, é possível 
recuperá-lo através do /proc. Vejamos um exemplo: 
# ps ax | grep sshd8
2792 ? Ss 0:00 /usr/sbin/sshd
2872 ? Ss 0:07 sshd: root@pts/2,pts/3
# cat /proc/2792/exe > /data/proc_2792_sshd.dat8
# sha1sum /data/proc_2792_sshd.dat /usr/sbin/sshd8
415b2c34037fad7d2cf54a55e35a3892bf03ebd6 /data/proc_2792_sshd.dat
415b2c34037fad7d2cf54a55e35a3892bf03ebd6 /usr/sbin/sshd
Coletando informações dos processos
Este arquivo mostra informações de status do 
processo:
# cat /proc/2877/status�
Name: bash
State: S (sleeping)
SleepAVG: 98%
Tgid: 2877
Pid: 2877
PPid: 2872
TracerPid: 0
Uid: 0 0 0 0
Gid: 0 0 0 0
Coletando informações dos processos
É possível recuperar processos através do /proc. Exemplo:
# ps ax | grep sshd�
2792 ? Ss 0:00 /usr/sbin/sshd
2872 ? Ss 0:07 sshd: root@pts/2,pts/3
# cat /proc/2792/exe > /data/proc_2792_sshd.dat�
# sha1sum /data/proc_2792_sshd.dat /usr/sbin/sshd�
415b2c34037fad7d2cf54a55e35a3892bf03ebd6 
/data/proc_2792_sshd.dat
415b2c34037fad7d2cf54a55e35a3892bf03ebd6 
/usr/sbin/sshd35
Ambiente e ferramentas de análise forense
Preservação do disco 
Agora que já coletamos as informações mais voláteis, 
podemos nos preocupar em salvar as evidências 
menos voláteis. Precisamos coletar uma cópia de 
quaisquer dispositivos de armazenagem conectados 
ao equipamento. 
A coleta deste tipo de evidência é importante, pois 
será através dos dados armazenados nos discos que 
poderemos identificar processos executados pelo 
hacker, instalação de ferramentas, modificação de 
arquivos, enfim, poderemos criar uma linha do tempo 
das atividades da máquina.
Para coletar uma cópia dos discos, existem diversas metodologias e ferramentas dis-
poníveis, tais como equipamentos específicos para cópia de discos, ferramentas para 
cópia disco a disco, e o mais comum, a criação de uma “imagem de disco bit a bit”. 
Uma imagem “bit a bit” é uma cópia fiel do conteúdo do dispositivo de armazenagem, 
garantindo que todos os dados presentes no dispositivo estejam presentes na imagem.
Existem diversos formatos de imagem, alguns por 
ferramentas específicas, como o software comercial 
EnCase, outros mais difundidos, como o formato DD. 
Neste curso vamos utilizar o formato DD, por ser 
mais difundido e mais facilmente manipulado dentro 
de um ambiente Linux. Para coletar uma imagem de 
um dispositivo de disco, utilizaremos a ferramenta dd 
(daí o nome do formato DD). Esta ferramenta, dispo-
nível por padrão em qualquer sistema Linux, permite 
que se realizem cópias bit a bit entre dispositivos, ou 
então entre dispositivos e arquivos e vice-versa. 
A necessidade de zerar o conteúdo do disco que vai 
armazenar as evidências existe mais no caso de ser 
feita uma cópia de disco a disco. Como o disco novo 
geralmente não é exatamente igual ao disco copiado, 
em termos de tamanho, geometria etc, pode ser que 
existam algumas partes dele que não sejam sobres-
critas pelo conteúdo do disco copiado. Com isso, 
dados que possam existir no disco novo vão continuar 
gravados nessas áreas, podendo confundir o investi-
gador posteriormente. Mesmo assim, a ação de zerar 
o conteúdo dos discos de armazenagem é uma boa 
prática que deve ser sempre seguida.
Preservação do disco
Após a coleta de informações mais voláteis, é preciso 
salvar as evidências menos voláteis
A coleta deste tipo de evidência é importante, pois será
através dos dados armazenados nos discos que 
poderemos identificar processos executados pelo hacker, 
como instalação de ferramentas e modificação de arquivos
Há diversas metodologias e ferramentas disponíveis para 
coletar uma cópia dos discos: 
Equipamentos específicos para cópia de discos 
Ferramentas para cópia disco a disco 
Criação de uma “imagem de disco bit a bit” (mais comum)
Preservação do disco
Neste curso vamos utilizar o formato DD, por ser mais 
difundido e mais facilmente manipulado dentro de um 
ambiente Linux.
Para coletar uma imagem de um dispositivo de disco, 
utilizaremos a ferramenta dd (daí o nome do formato DD). 
Ferramenta disponível por padrão em qualquer sistema 
Linux, permite que se realizem cópias “bit a bit” entre 
dispositivos, ou então entre dispositivos e arquivos e 
vice-versa. 
Preservação do disco
Antes de copiar as evidências, é necessário garantir que 
nosso dispositivo de armazenagem está limpo.
Para isso, zerar o conteúdo do disco (antes de gravar 
qualquer evidência) com o seguinte comando:
# dd if=/dev/zero of=/dev/<dispositivo> bs=512 
conv=noerror�
dd: writing `/dev/<dispositivo>': No space left on device
514018+0 records in
514017+0 records out
263176704 bytes (263 MB) copied, 4.17215 seconds, 63.1 
MB/s
36
Análise forense – Sessão de aprendizagem 2
Escola Superior de Redes RNP
Como não temos um dispositivo que possa ser zerado, é importante notar 
que não executaremos esse comando com um dispositivo. A execução desse 
comando pode ser feita em um arquivo comum, por exemplo, copiando um 
arquivo qualquer do diretório /data e executando os comandos abaixo:
# strings –a <arquivo.dat>8
# dd if=/dev/zero of=<arquivo.dat> conv=noerror bs=1024 count=40968
# strings –a <arquivo.dat>8
Este comando copia 4 MB de zeros sobre o conteúdo do arquivo. Caso não seja 
especificado o tamanho, o DD continuaria copiando zeros até preencher o disco. 
No exemplo, mostramos que o conteúdo que existia no arquivo foi zerado (com os 
dois comandos strings, antes e depois do DD).
Antes de copiar as evidências, é necessário garantir que nosso dispositivo de 
armazenagem está limpo. Uma maneira de garantir isso é zerando o conteúdo do 
disco antes de gravar qualquer evidência. Fazemos isso com o seguinte comando: 
# dd if=/dev/zero of=/dev/<dispositivo> bs=512 conv=noerror8
dd: writing `/dev/<dispositivo>’: No space left on device
514018+0 records in
514017+0 records out
263176704 bytes (263 MB) copied, 4.17215 seconds, 63.1 MB/s
Aqui mostramos como realizar a cópia do disco de 
uma máquina suspeita. Este procedimento vale para 
qualquer tipo de partição, mas em alguns casos, onde 
o dispositivo de disco não tem uma partição DOS válida 
(disco da Sun ou Risc, por exemplo) a especificação 
do dispositivo é diferente. No entanto, como utilizamos 
Linux, provavelmente seria possível copiá-lo também.
Estes são os passos para copiar uma partição de 
um disco para um arquivo de imagem:
# dd if=/dev/sda1 of=/data/dev_sda1_swap.img bs=512 
conv=noerror8
514017+0 records in
514017+0 records out
263176704 bytes (263 MB) copied, 36.8564 seconds, 
7.1 MB/s
# dd if=/dev/sda2 of=/data/dev_sda2.img_root.img bs=512 conv=noerror8
514080+0 records in
514080+0 records out
263208960 bytes (263 MB) copied, 36.4338 seconds, 7.2 MB/s
Assim deve ser feito sucessivamente para todas as partições existentes no disco. 
Este método é ideal para copiar uma partição hospedada em dispositivos RAID.
No caso de ser necessário copiar todo o disco, a única modificação a ser feita no 
comando é especificar o dispositivo completo no parâmetro if=<dev>.
Preservação do disco
Passos para copiar uma partição de um disco para um 
arquivo de imagem:
# dd if=/dev/sda1 of=/data/dev_sda1_swap.img bs=512 
conv=noerror�
514017+0 records in
514017+0 records out
263176704 bytes (263 MB) copied, 36.8564 seconds, 7.1 MB/s
# dd if=/dev/sda2 of=/data/dev_sda2.img_root.img bs=512 
conv=noerror�
514080+0 records in
514080+0 records out
263208960 bytes (263 MB) copied, 36.4338 seconds, 7.2 MB/s
37
Ambiente e ferramentas de análise forense
 Veja o exemplo abaixo:
# dd if=/dev/sda of=/data/dev_sda.img bs=512 conv=noerror8
Outras formas de preservação do disco 
Voltaremos ao Sleuth Kit na próxima sessão. Por 
enquanto, é importante mostrar como as partições 
estão divididas no disco, e que é possível existirem 
espaços vazios entre as partições, que podem 
ser utilizados pelo hacker para armazenar dados 
invisíveis ao sistema operacional. Por exemplo, a 
tabela de partição fica armazenada no setor 0, e nor-
malmente tem tamanho de um bloco. Os outros 62 
blocos até o início da primeira partição estão livres.
Ao copiar a estrutura completa do disco, teremos 
as partições do sistema, tabelas e estruturas do sistema de arquivos. Para ter 
acesso às partições e seus conteúdos, precisamos separar as partições. 
Uma ferramenta do pacote forense Sleuth Kit pode ser útil para identificar a estrutura 
do disco ou imagem:
# /usr/local/sleuthkit-2.09/bin/mmls /dev/sda8
DOS Partition Table
Offset Sector: 0
Units are in 512-byte sectors
 Slot Start End Length Description
00: ----- 0000000000 0000000000 0000000001 Primary Table (#0)
01: ----- 0000000001 0000000062 0000000062 Unallocated
02: 00:00 0000000063 0000514079 0000514017 Linux Swap (0x82)
03: 00:01 0000514080 0001028159 0000514080 Linux (0x83)
04: 00:02