INVESTIGAÇÃO E PERÍCIA FORENSE EM COMPUTAÇÃO_materia

Prévia do material em texto

Unidade I – 
-U: 01 - Vídeo: 1/4 - CONCEITO SOBRE COMPUTAÇÃO FORENSE. 
 
APLICAÇÔES: 
• Em ocorrências do meio eletrônico, em sua maioria via internet, para: 
o Provar fatos. 
o Combater pedofilia. 
o Combater fraudes financeiras. 
o Identificar espionagem industrial. 
o Sustentar atos de demissão ou quebra de contrato. 
o Comprovar violação de políticas da corporação. 
o Comprovar auditoria de invasão de privacidade. 
o Ajudar na recuperação de dados. 
o Suporte a resposta a incidente em ambientes corporativos. 
PRINCIPIOS DE LOCARD: 
• “Qualquer indivíduo ou coisa que entra no cenário de um crime, ao sair do mesmo, leva ou deixa alguma coisa no 
local”. 
ETAPAS DA COMPUTAÇÃO FORENSE: 
 
• Forense Post Mortem: 
o Pega-se o PC ou mídia e duplica-se, é analisado essa duplicata. 
• Forense in Vivo: 
o É coletado dados, verificado o estado da máquina em momento de uso. 
o É mais usado extração do que a análise. 
• Forense de Rede: 
o 1ª. Parte - Analise de dados da rede naquele momento. 
o 2ª. Parte – coletar dados e analisar todas as comunicações com outros dispositivos que o equipamento em 
questão está se comunicando. 
• Forense de memória: 
o Reconstrução de dados a partir de arquivos de memória, para achar como estava naquele momento. 
 
 
PROCESSO DE PERÍCIA FORENSE: 
• Conceituando. 
• Podemos dividir a partir de um ponto de vista macro o processo de perícia forense em quatro etapas: 
o Aquisição: 
▪ Quais ferramentas utilizar e quais informações quero retirar. 
▪ Consiste em reunir o máximo possível de provas (artefatos a serem analisados). 
▪ É a fase inicial do processo. 
▪ O perito tem que ter uma metodologia claro e objetiva de coleta de dados. 
 
o Identificação: 
▪ Classificar o que é cada um. 
▪ Consiste na análise pericial dos artefatos encontrados. 
▪ Ser claro e metódico durante o processo de identificação de cada artefato digital (trojan, backdoors, 
rootkits). 
▪ A documentação clara de cada artefato identificado será crucial para a elaboração do laudo pericial. 
 
o Avaliação: 
▪ Analise em si. 
▪ Esse ponto é o objetivo principal de um perito computacional. 
▪ Será a análise de artefatos e enumeração de eventos de dentro de uma linha de tempo. 
▪ Tarefa difícil de dimensionar em horas pois cada pericia forense embora possa ser executado 
utilizando um ferramental e metodologia em comum, é única Diante do contexto de como ocorreu o 
incidente. 
 
o Apresentação: 
▪ Apresentar um relatório de tudo que foi encontrado, e se possível tentar identificar o “Modus 
Operandi” do potencial atacante. 
▪ Enumera possível origem do ataque. 
▪ Não cabe ao perito Computacional, definir o culpado, mas as informações por ele enumeradas, serão 
ferramentas para esse propósito. 
 
PROFISSIONAL DOS NOVOS TEMPOS: 
• O mercado atualmente procura um professional que: 
o Tenha competências na implementação e administração de controles e ferramentas de segurança. 
o Que seja capaz de testar a segurança (Pentest). 
o E quando tudo mais falhar, que seja capaz de responder a incidentes usando ferramentas e metodologias de 
computação forense. 
CONSLUSÃO: 
• Existem mais ferramentas FOSS (Free and Open Source Software) e comerciais interessantes para realização de uma 
Perícia Forense Computacional. 
• As principais metodologias (PCI) e normas de segurança de informação dedicam atenção as recomendações para 
tratamento de incidente. A própria PCI tem um documento adicional dedicado a orientar a questão da Perícia Digital, 
este documento é PCI Forense Investigador (PFI). 
• Diante disso as ferramentas e metodologias do universo da computação forense já algum tempo migraram para o 
contexto corporativo, para suportar respostas a incidentes de Segurança. 
 
-U: 01 - Vídeo: 2/4 - FORENSE IN VIVO. 
 
INTRODUÇÃO: 
: 
 
COLETA DE EVIDÊNCIAS: 
• Segue uma metodologia clara e objetiva. O perito deve ser expertise no sistema em questão. 
• Visão macro das ações: 
o Seguir política da Segurança e contratar o pessoal devido: 
▪ “Fotografar” o sistema, Evitar filmagens, anotar detalhadamente tudo. 
o Quanto ao sistema operacional: 
▪ Horário do Sistema. 
▪ Preservar o sistema. 
▪ Isolar o sistema. 
▪ Coletar primeiro e analisar depois. 
▪ Procedimento para cada dispositivo. 
▪ Do volátil ao permanente. 
▪ Cópia bit-a-bit. 
COLETA DE DADOS: 
• Procedimentos: 
o Devem ser executados durante uma (Incident Response & Computer Forense) na coleta dos sistemas vivos. 
▪ Executar duplicação dos dados. 
▪ Coletar evidências da rede. 
▪ Manusear as evidências corretamente. 
▪ Coleta de informações do trafégo de rede. 
▪ Tentar identificar e coletar as ferramentas de potenciais invasores (scriptkiddie, insiders, crackers). 
▪ Coletar dados dos roteadores. 
• Considere estar trabalhando em um sistema não confiável. Objetivos: 
o Confirmar que ocorreu um incidente de segurança. 
o Coletar informações que são volatéis. 
o Minimizar informações no sistema. 
o Precisa-se: ter expertise para realização da Live Analysis; Ter um “response toolkit” para sistema alvo. 
INFORMAÇÃO VOLÁTIL: 
• Data e Hora. 
• Lista dos usuários logados. 
• Processos que estão rodando. 
• Conexões abertas. 
• Aplicações que estão escutando nas conexões. 
 
ARMAZENANDO INFORMAÇÕES: 
• Evidentemente salvar os dados no HD de sistema remoto ou salvar em disquete ou outra mídia removível. 
• Assim torna-se uma regra de sobrevivência ter disco ou USB memory como parte do kit. 
• Salvar em um sistema “forense” usando o netcat ou clone como: Cryptcat, NSSL, SBD. 
 
TOOLKITS 
• Possibilita a automação da tarefa de coleta de evidências durante a Live Analysis. 
• Acaba por simplificar tarefas complexas uma vez que o planejamento para uma resposta a incidente já deve ter sido 
previamente definido e as ferramentas a utilizar também. 
• Ferramentas confiáveis garantem a qualidade das evidências. 
• Provê dados geralmente escondidos e/ou apagados dos sistemas operacionais. 
TIPOS DE TOOLKTIS: 
• Existem duas categorias de toolkits para forense: Coleta de Dados e Análise de Dados. 
• Live Analysis (Coleta de dados): salva dados de um sistema antes de seu desligamento, para posterior analise em 
laboratório. 
• Portem Mortem (Análise de Dados): analise os dados em busca de evidência. 
• Dados gerados pelas ferramentas de coleta de dados. 
• Analise de potenciais artefatos. 
 
 
METODOLOGIA: 
• Executar um binário confiável a partir de uma mídia externa. 
• Gravar hora e data do sistema. 
• Determinar quem esta logado. 
• Gravar mac time dos arquivos. 
• Determinar portas abertas. 
• Listar as aplicações com as portas. 
• Processos ativos. 
• Dados conexões de rede. 
• Gravar os “cheksums”. 
COLHENDO INFORMAÇÕES VOLATEIS: 
• Para A Realização Da Coleta de evidências de informações voláteis, o Perito Forense deve ter em mente a possibilidade 
do comprometimento do sistema ao ponto de qualquer “system call” que venha a ser executada poderia ser 
interceptada e manipulada. 
• Todavia existe a possibilidade do comprometimento ser somente na Userland ou mesmo na Kernel Space de forma 
amadora. 
 
BINÁRIOS FORJADOS: 
• Ou mesmo deve ter em mente que em um sistema comprometido é comumente forjado comandos importantes pelo 
invasor, muitas vezes através de Rootkits. 
• Exemplos de comando normalmente forjados : ps, ls, login, netstat, passwd, syslogd, inetd, find, ifconfig. 
• Devido a possibilidade dos comandos serem “forjados” em quaisquer dos cenários demanda-se o uso de ferramental 
“compilado estaticamente” para realização da tarefa. 
• Alguns comandos importantes: netcat(nc), bash, date, cat, less, more, pcat, Hunter,.... 
ENVIANDO AS INFORMAÇÕES PARA OUTRA MÁQUINA: 
• Exemplificando o uso do NETCAT em um sistema comprometido, enviando informações para outra máquina destinada 
a coleta e informações: 
#/cdrom/cat[arquivo].in | /cdrom/nc 10.0.0.1 5555 
• Recebendo dados do sistema comprometido:-U: 01 - Vídeo: 3/4 - POST MORTEN FORENSE ANALYSIS. 
 
 
 
THE WHOLE 5-LAYER PROCESS: 
 
 
• 4ª. Etapa - A análise de dados realmente começa na etapa 4 (MetaData), pois antes é a identificação do que é a mídia. 
• 5ª. Etapa – analise de arquivos das áreas locadas e não alocadas, podendo recuperar os arquivos. 
 
ANALISE INICIAL DO SISTEMA: 
• È possível realizar vários tipos de testes com o objetivo de buscar evidências e artefatos relacionados ao incidente de 
segurança que está sendo investigado. 
• Ter o conhecimento do Modus Operandi do invasor, auxilia ao perito Forense Computacional em sua atividade, formas 
diferentes e furtivas de agir sempre serão um desafio. 
• Pesando o Modus Operandi tradicional de invasores com conhecimento técnico não tão arrojados após ganhar acesso, 
normalmente consiste em ações que motivam a geração de evidências. 
POST MORTEM – CORRELACIONAMENTO 
 
 
ANÁLISE EM 5 CAMDAS: 
• 1ª. CAMADA FÍSICA: 
o Momento onde o perito deve reunir e documentar informações sobre os dispositivos de armazenamento de 
dados relacionados, como: 
o Disco rígido: (Modelo / fabricante / Serial). 
o Mídias removíveis: (Floppy, Pen, Zip). 
• 2ª. Camada de Dados: 
o Qual o tipo de particionamento é a mídia. 
• 3ª. Camada de Arquivos: 
o Ferramentas para o sistema de arquivos: 
fsstat: informações estáticas de como está organizada a partição. 
Jcat: informações de um sistema de arquivos journaling. 
Jls: lista informações da estrutura do journaling. 
• 4ª. Camada Metadados: 
o Uma vez que tenhamos acesso ao sistema de arquivos, inicia a busca por informações de arquivos já acessados 
ou mesmo inseridos no sistema. Buscando evidências relacionadas ao incidente. 
o Tratar informações de metadados é uma ação importante para buscar estas informações. 
o Ferramentas: 
Ils: informações gerais de Inode. 
Icat: permite a cópia de arquivos a partir do endereçamento de Inode. 
Istat: possibilita mostrar informações estruturais de Inode. 
Ifind: busca informações de estrutura de Inode. 
Mactime: permite gerar timeline a partir da informação de Metadados (inode). 
Dstat: mostra informações estáticas de blocos de dados. 
Dls: permite listar informações de áreas alocadas, não alocadas e slackspace. 
Dcat: lista informações de blocos de dados. 
Dcalc: trata informações de área não alocadas. 
o TIMELINE – LINHA DO TEMPO DA IMAGEM: 
▪ Realizar uma análise dos horários dos arquivos. 
▪ MACtime – modified, accessed, created/changed. 
▪ Quando o SO foi instalado. 
▪ Quando a maioria das atualizações foram realizadas. 
▪ Quando o sistema foi utilizado pela última vez. 
▪ Incluir qualquer outro detalhe que possa estar relacionado com a utilização do sistema. 
o Gerando Timeline com SLEUTHKIT 
▪ Criando uma linha do tempo da imagem 
▪ Criando uma timeline de um período definido. 
▪ Criando uma linha do tempo da imagem montada. 
▪ Criando uma linha do tempo da imagem de um intervalo de tempo definido. 
▪ Fls: consulta informações de arquivos e diretórios em uma imagem. 
▪ Ffind: possibilita consultar informações de arquivos e diretórios em uma imagem a partir de endereço 
de inode. 
▪ Soter: ordena arquivos de acordo com o tipo. 
o Busca Artefatos com o FIND: 
▪ Identificar arquivos sem dono ou grupo definido, que poderão ser arquivos instalados no sistema de 
forma arbitrária: 
▪ Identificar arquivos que estejam com seu tempo de acesso dentro de uma determinada janela de 
tempo também é um tipo de pesquisa útil para identificação de artefatos, neste caso é interessante 
pesquisa por atime e mtime. 
o Buscando Malware: 
▪ Utilizar ferramentas que buscam por arquivos que identifique a instalação de rootkits no sistema. 
Uma ferramenta interessante para esta tarefa utilizar ferramentas como: 
Chkrootkit.... para identificar sinais de compromentimento da máquina. 
o Recuperação de artefatos: 
▪ Também é uma tarefa importante na camada de arquivos, dependerá da ferramentas que sejam 
capazes de analisar as áreas não alocadas do sistema de arquivo em uso. 
 
 
 
 
-U: 01 - Vídeo: 4/4 - EXTRAÇÃO DE DADOS PARA ANÁLISE. 
 
EXTRAÇÃO E ANALISE DE STRINGS: 
• A geração de um arquivo de strings do Dump de memória é um passo inicial importante que pode permitir identificar 
informações relevantes: 
# strings -a Dump_de_memoria > string_dump.txt 
• O uso do Regex será um mecanismo fundamental para o tratamento do arquivo de strings, dessa forma o uso de 
ferramentas como: GREP, EGREP, GLACK. 
• Exemplo uso regex para extração de informações relevantes a partir das strings do arquivo de dump de memória: 
#grep -i “Vexploit\/” DUMP.img.str 
 
BULK_EXTRACTOR – EXTRAÇÃO DE DADOS 
• Outra forma que possibilita a extração de artefatos é a utilização de ferramentas como Bulk_extrator/ , originalmente 
desenvolvida pelo Prof. Simson L. da escola naval Americana, que facilita a extração de dados como: 
“numero IP, n. de cartões de crédito, e-mails, urls, n. de telefones”. 
• O Bulk_extrator pode ser utilizado para analisar um arquivo RAW, um arquivo PCAP, um dump de memória. 
• Extração de informações genéricas de rede: 
Linha comando. 
• Extração de informações de e-mails: 
Linha comando. 
• Exemplificação de extração de informações de e-mails baseadas em uma palavra chave, diretamente de um dispositivo: 
Linha comando. 
 
RECUPERAÇÃO DE ARTEFATOS: 
• Conceitos de Recuperação: 
o Partem do principio da existência de dados no disco não sobrescrito, considerando que as informações de 
metadados do arquivo estão preservada na tabela metadados do sistema de arquivo nem que seja 
parcialmente. 
o O que nos remete a situação que esta conceito de recuperação é limitado ao sistema de arquivos, que 
preservam metadados dos arquivos após serem apagados e até que aquela área da tabela de metadados seja 
reescrita. 
o Outro ponto, é que se ocorrer uma formatação, é criada uma nova tabela de metadados de particionamento, 
ou seja, nesse caso talvez ainda possa se recuperar a tabela anterior com uma ferramenta do tipo Testdisk, 
mas ainda sim de uma forma geral a recuperação de dados a partir de informações de tabela de metadados 
(alocação de arquivos) é limitada. 
FILE CARVING (DATA CARVING): 
• Recuperação de arquivos sem o metadados, pois o sistema de arquivo do dispositivo pode não manter o índice. 
QUANDO NÃO TEM METADADOS? 
• Sistemas de arquivos quando ocorre uma exclusão de arquivos em um partição com ext2, FAT as informações não de 
metadados não são preservadas canceladas. 
• No caso ext3, ext4, na deleção de um arquivo realizar um “wipe” na referência de inode, ou seja escreve zeros, mas isto 
não ocorre com entradas de diretório, dessa forma técnicas de recuperação tradicional de arquivos não funcionam. 
CONCEITO FILE CARVING: 
• Muitas vezes chamado de Carving, é o processo de identificação e recuperação de dados que é independente de 
informações de metadados do sistema de arquivos. 
• O termo Carving original pode ser traduzido do inglês como “talhar ou exculpir” e de uma certa forma é justamente 
essa ideia que se deseja passar. 
• Para uso de uma técnica básica de File Carving, assume três hipóteses: 
o O inicio deles, ou seja, seus cabeçalhos não estão sobre escritos . 
o Não estão fragmentados. 
o E não estão compactados ou criptografados. 
• As técnicas de File Carving, possibilitam a recuperação de dados até mesmo em situações mais críticas quando: 
o Ocorre uma corrupção do sistema de arquivos. 
o Ocorre uma formatação de um disco. 
o Os dados em formato proprietário ou desconhecido. 
o Os arquivos removidos /apagados (intencionalmente ou não). 
FILE CARVING COM SLEUTHKIT: 
• Processo de recuperação de um arquivo a partir de uma imagem utilizando as ferramentas do sleuthkit. 
• Faz a extração das informações de arquivos e identifique os endereços (inodes). 
Linha comando. 
• Na lista extraída com o FLS, identifica-se o inode do arquivo que se deseja recuperar com o comandoICAT, faz a 
extração de bytes do inode indicado. 
Linha comando. 
• Essa forma de recuperação baseou-se exclusivamente no endereço de inode do arquivo escolhido. 
FOREMOST – FILE CARVING (AUTOMATIZADO): 
• Caso não exista a assinatura correspondente para um determinado tipo de arquivo, pode-se criar uma e adiciona-la ao 
arquivo foremost.conf, considerando o cabeçalho do arquivo em questão. 
FILE CARVING EM TRAFEGO DE REDE 
• Quando é demandado a recuperação de arquivos a partir de uma captura de rede, é possível a partir de um arquivo 
PCAP, cuja a captura foi realizada considerando a captura completa do payload. 
• O perito pode e deve fazer uso de ferramentas clássicas para recuperação de outros tipos de dados como, instant 
messages, email. Exemplo é o velho kit de ferramentas do DSNIF. 
SLACKSPACE – RECUPERAÇÃO 
 
 
 
 
Unidade II – 
-U: 02 - Vídeo: 1/4 - Forense de REDE. 
 
INTRODUÇÃO: 
Se a rede estiver criptografada, não existe muito a se fazer nesta fase. 
 
1. Coleta da evidência – Network Forensic Analysis. 
2. Informações de atividade de rede levantadas na Live Forensic. 
3. Levantamento de informações de outros ativos de rede. 
4. Analise de LOGS e correlação. 
5. Análise de arquivos PCAP (IDS/HoneyPot). 
6. Recuperação de artefatos. 
7. Encaminhamento dos artefatos e informações para Post Mortem Forensic. 
UTILIZANDO SNIFFERS: 
• Um administrador de rede tem que ter em seu arsenal de ferramentas bons sniffers para auxilia-lo na administração da 
mesma. Sniffers são uteis para ações de grande importância: 
o Análise de comunicação se serviços de rede. 
o Prova de conceito para vulnerabilidade de comunicações PlainText; 
o Captura de dados (evidenciais) durante uma live Análise Forense. 
o Para execução do processo de uma Network Forense. 
• No universo FOSS encontramos ferramentas interessantes como: 
 
Snort (é mais que um sniffer, é um NDIS). 
 
TCP DUMP 
• Ferramenta que nasceu no mundo *NIX baseado como a maioria das boas ferramentas de análise de rede na PCAP 
(Libpcap), tendo uma para Microsoft Windows que foi portado por um grupo da Politécnica da Universidade de Torino. 
• Ferramentas mais usadas para capturar tráfego de rede: 
o Usado em IDS, tais como SNORT e Shadow 
o Tcpdump.com.br 
• No comando anterior foram usadas a opção -l e -v para melhor coleta de dados, mas o diferencial -e a -s definido 1518, 
onde -s defini o tamanho em bytes para coleta, o padrão do TCPdump são 68 bytes. 
• Lembrando que com 1518 bytes é capturado o cabeçalho do quadro ethernet de 18 bytes mais a extensão de unidade 
de transmissão máxima, que para o padrão ethernet são 1500 bytes. 
WIRESHARK 
• Ferramenta utilizada para capturar pacotes, sendo um excelente sniff de rede. Possibilita gravar os pacotes capturados 
em arquivo no formato pcap. 
• Utilizada para analisar as sessões de comandos realizadas em uma comunicação que foram capturar por um sniff com 
TCPdump ou Ethereal. 
TCPTRACE 
• Utilizada para analisar as sessões de comandos realizadas em um comunicação que foram capturar por um sniff como 
TCPDump ou Ethereal. Uma visão estatíca. 
IDENTIFICAR ASSINATURA DE ATAQUE: 
• Snort 
o Utilzando o snort como sniff, ex. de captura no diretório corrente a sintexe de uso seria: 
• DSniff 
o Pode ser muito útil em uma perícia para análise de um ataque de bruteforce em serviços como telnet, pop3, 
smtp. 
• TCPReplay 
o Uso em terminal. 
o Em terminal podemos por exemplo usar o dsniff para interpretar as informações de um ataque de bruteforce. 
o Outro exemplo é tentar recuperar os artefatos (arquivos) transferidos. 
o Identificar o sistema operacional dos computadores que participaram do incidente. 
o Recuperar imagem e arquivos de som. 
• ChaosReader: 
o Poderoso script desenvolvido em PERL que possibilita uma analise de um arquivo PCAP muito prática e 
objetiva. 
• TCPxtract 
o Durante uma ação de um invasor podem ocorrer transferência de arquivos, esses arquivos poderão ser 
evidências que ajudaram ao Perito classificar o nível do incidente, esses arquivos são chamados de Artefatos. 
o Semelhante a recuperação de arquivos do Foremost baseando-se em assinaturas de headers de arquivos. 
 
-U: 02 - Vídeo: 2/4 - Forense de MEMÓRIA. 
 
INTRODUÇÃO: 
• Parte Da Computação Forense que consiste em um processo de captura dos dados da Memória RAM, através da 
criação de um arquivo de DUMP da memória., sua posterior analise que se baseia na extração de dados do arquivo 
DUMP criado. 
• Esse arquivo será uma replica de todas as analises dos dados armazenados em memória volátil até a intervenção do 
Analista de segurança/Perito. 
• Passou a ter uma maior importância recentemente, a Forense Memória torna-se cada vez mais estratégica, diante de 
um cenário de sistemas computacionais com grande capacidade de armazenamento, virtualização e computação nas 
nuvens. 
• Estações de trabalho e servidores convencionais. 
• Máquinas virtuais. 
• Análise de malware. 
• A Forense in VIVO é um processo onde o perito busca coletar dados periciais do sistema durante o seu funcionamento, 
para posterior analise e classificação desses dados como pistas, evidências ou mesmo em provas que possa sustentar 
um indício e/ou hipótese. 
• A coleta que constituem de informações na Forense in Vivo consiste em um processo que utiliza boas práticas para 
tentar coletar os dados da melhor forma possível, as vezes encaminhando pela rede ou copiando para uma mídia 
removível, evitando ao máximo alterar o estado do sistema operacional. 
• Entre os tipos de dados coletados também se encontram a duplicação das informações da memória RAM, denominado 
de Dump de Memória. 
• A Forense de memória é justamente a perícia que é realizado nos dados extraídos do Dump de Memória. 
• A Forense de memória trás uma nova dinâmica para a computação Forense, pois a evolução das ferramentas 
possibilitam a extração de dados periciais que dependendo do incidente de segurança ou investigação que esta sendo 
feita, podem possibilitar a identificação de evidências e provas que poderão ser relevantes e capazes de elucidar como 
um determinado incidente aconteceu, a partir do contexto do estado do SO. 
GERAÇÃO DO DUMP DE MEMÓRIA 
• É possível dividir a partir de um ponto de vista macro em duas partes, o momento da geração do Fump de memória e 
analise do mesmo. 
• Similar a duplicação de imagens (disco, pen-drive), o Dump de memória é um procedimento de duplicação de todo o 
conteúdo da memória RAM, ou seja, uma copia bit á bit. Essa cópia pode ser feita a partir de hardware e ou software 
especializado. 
• Embora não seja de uso universal a possibilidade de realização de Dump de memória via hardware, pode ser um 
recurso interessante para ambientes críticos onde não pode desligar os servidores. Entretanto demanda-se que uma 
placa de expansão com essa capacidade seja instalada previamente, um bom exemplo é a placa PCI Tribble card. 
• A forma mais comum é via a realização do Dump de memória é via software, escrevendo em uma mídia externa 
(removível). Existem algumas opções de software para realizar esse procedimento, no caso de sistemas GNU Linux 
podemos citar: Mendump, dd, Lime, crash. 
• Protecção de acesso ao /dev/mem comim nas distribuições Linux pode ser um problema durante a Forense in Vivo. 
Dessa forma é recomendável ao sysadmin preparar antecipadamente sua Linux Box com alguma forma que possibilite a 
criação de um Dump de memória contornando a proteção do /devm/mem . 
• O modulo Lime foi a primeira ferramenta que permitiu a captura completa de dados da memória RAM em dispositivos 
moveis baseados em Android. Segundo sua documentação original ele foi desenvolvido para minimizar a interação 
entre os processos do usuário e espaço do kernel durante a aquisição, o que lhe permite produzir Dumps de memória 
com o máximo informação. 
EXTRAÇÃO DE STRINGS E USO DO REGEX 
• A geração de um arquivo de strings do Dumpde memória é um passo inicial importante que pode permitir identificar 
informações relevantes. 
• O uso do Regex será um mecanismo fundamental para o tratamento do arquivo de strings, dessa forma o uso de 
ferramentas como: GREP, EGREP, GLARK. 
• Ex. de uso de Regex para extração de inormações relevantes a partir das strings do arquivo de dump de memória. 
Linhas de comando. 
EXTRAÇÃO DE INFORMAÇÕES DO ESTADO DO S.O. 
• Nos últimos anos ocorreu uma evolução considerada de ferramentas para suportar o processo de Forense de memória. 
• Atualmente existem ferramentas que conseguem extrair de forma legível e organizada, exemplos de ferrametnas: 
Secondlook 
Bulk_extractor 
Volafox 
 
• O VOLATILITY foi uma ferramenta que surgiu em um evento DFRWS, inicialmente utilizadas em uma solução de um 
desafio forense. 
• Atualmente o Voletility é uma das melhores ferramentas para análise de forense de memória e seu desenvolvimento 
constante tem trazido novos recursos para os peritos forenses, embora seja ainda uma área nova da computação 
forense. 
• Existe um grande espaço para melhorias nas ferramentas já existentes. 
• Com o uso do Volatility é possível extrair informações interessantes do estado do SO a partir de um Dump de memória. 
o Informação de processos que estavam ativos. 
o Informações de conexões/sockets de rede. 
o Informações de bibliotecas dinâmicas (ou Libs) em sistema Like Unix (Linux, MacOS) e DLL (Windows) que 
estavam carregadas. 
o Informações de arquivos independentes que estavam vinculadas aos processos. 
ACESSO A MEMÓRIA ENDEREÇAVEL. 
• Módulos de Kernel específicos para a ferramenta. 
• Mapeamento físico para endereços virtuais (strings de processos). 
• Digitalização de processos: threads, sockets, conexões, módulos. 
 
• A recuperação de artefatos da memória é uma ação necessária e que com certeza ajuda todo o processo da perícia, 
dessa forma ela deve ser feita. Outra forma que pode possibilitar a extração de artefatos é a utilização de ferrametnas 
como: 
Foremost e Bulk_extractor 
linhas de comando. 
 
• Em toda análise deseja-se ter como resultado um relatório onde seja elencado as informações que o Perito considerou 
relevante, vinculando dados periciais que sustente sua argumentação. 
 
 
-U: 02 - Vídeo: 3/4 - ESTAÇÃO FORENSE: 
 
INTRODUÇÃO: 
• Para suporte A: 
o Forense de rede. 
o PostMortem 
o Forense de memória 
o Mobile Forense 
o Análise de Malware 
• O mercado oferece soluções espetaculares para estação forense, a proposta dessa aula é construir uma estação forense 
para suporte e análise a resposta a incidente. 
• Obviamente, seria pretensão do ponto de vista de hardware a concepção de uma estação forense de baixo custo, pois a 
limitação para acoleta de diferentes tipos de dispositivos é um grande desafio. 
• Todavia ser suporte “universal” e velocidade, demanda hardware especializado o que motiva o alto custo de muitas 
estações forense convencionais. 
 
• Entretanto pelo ponto de vista do software é justo assumir que a quantidade de ferramentas FLOSS (Free/Libre Open 
Source Software) disponíveis, possibilita sim a concepção de um servidor para perícia com igual capacidade de recursos 
de muitas estações forense para suporte: 
o Suporte a resposta a incidentes. 
o Analise Post Mortem de mídias. 
o Analise de dados periciais de rede. 
o Analise Forense de dispositivos Móveis. 
o Analise de Dump de memória. 
o Analise dinâmica de malware. 
o Analise estática de malware. 
• Diante disto, para customização de uma estação de análise para suporte a resposta a incidentes, o SO Linux torna-se 
uma opção pela qualidade e pela pluralidade de sistemas de arquivos suportados, entre eles: 
o NTFS, FAT, HFS+, UFS1, UFS2, Ext2/3/4, XFS, JFS. 
• Tudo isso combinado com um número considerável de ferramentas livres, desenvolvidas para diferentes tipos de 
analise e etapas da computação forense. 
SANS SIFT 
• SANS – Investigative Forensics Toolkit (SIFT), é uma distribuição Linux desenvolvida atualmente em Ubuntu. Seu 
propósito original é ser uma distribuição para suporte a cursos, e com todas as ferramentas necessárias para realizar 
um detalhado exame digital forense. 
• Devido ao conjunto de ferramentas que originalmente fazem parte dessa distribuição, ela é fortemente recomendada 
para suporte a perícia de redes, Post Mortem e Forense de memória, tanto de sistema Windows, Linux e Unix. Suporta 
diferentes formatos de arquivos de imagem de mídia como expert Witness (E01), advanced format forense (AFF) e 
evidência raw (dd). 
 
SANTUKO: 
• É uma distribuição Linux, baseada atualmente em Ubuntu desenvolvida para suporte a analise forense de dispositivos 
móveis (smart phones e tablets) e analise de malware. Composta de ferramentas para diferentes propósitos, tais como 
adquirir e analisar dados, examinar malwares, detectar softwares maliciosos e avaliar a segurança em dispositivos 
móveis. 
• Diferentes categorias de ferramentas estão disponíveis, exemplos, emuladores de dispositivos móveis, utilitários para 
simular serviços de rede para analise dinâmica, scripts para detectar problemas comuns em aplicações móveis, 
descriptografar binários, entre outros. 
REMNUX E OUTRAS DISTRIBUIÇÕES LINUX 
• REMNUX em segurança da informaç~~ao e computação forense, que também foi desenvolvida para dar suporte a 
cursos da SANS Security. 
• Reúne uma quantidade muito grande de ferramentas e scripts customizados para realização de analise “Dinâmica” e 
“Estática” de diferentes tipos/formatos de malware, forense de mamória e também ações específicas de engenharia 
reversa. 
• Esta proposta considera 3 interessantes projetos: 
o SIFT Forensics 
o Santoku Forensics 
o REmnux Forensics 
• O processo de configuração pode ser dividido em 4 etapas. 
o Instalação do Ubuntu 
o Configuração do SIFT 
o Configuração do Santoku 
o Configuração do Remnux 
 
 
• Outras distribuições Linux. 
o HELIX 
o BackBox DEFT 
o CAINE 
o FDTK 
o RAPTOR 
o KALI 
 
CONSLUSÃO: 
• Uma estação forense que reúne a qualidade de três distribuições Linux dedicada a forense computacional (Sift, Santoku 
e Remnux). 
• O fato de usar repositórios de três projetos distintos pode trazer alguns conflitos de pacotes ou outro pequenos 
desafios, mas nada que um especialista em computação forense que utiliza Linux não seja capax de resolver. 
 
-U: 02 - Vídeo: 4/4 - ANTI-FORENSE : 
 
O QUE O PERITO FORENSE PROCURA? 
• Os “bad guys” tem necessidade de esconder informações que podem ser através das mais variadas formas, como o uso 
de ferramentas do tipo: 
o Rootkits 
o Atividade sniffer 
o Arsenal (ferramentas de um invasor) 
o Backdoors 
TÉCNIAS ANTI-FORENSE 
• Os invasores em sua maioria até poderão ser script Kiddie mas não devemos subestimar o inimigo. Muito criatividade 
poderá ser usada: 
• Marcação de BadBlock para esconder ferramentas. 
• Falsificação e binários do sistema. 
• Backdoor na camada Kernel (LKM) 
• Interceptação de camadas de sistema (System Call) 
• Uso de criptografia e ou Esteganografia. 
APLICABILIDADE E OJETIVIDADE DA TÉCNICA FORENSE 
• O perito ao realizar a Live anaálise tem por objetivo realizar o levantamento de informações mais completa possível, do 
estado do SO. 
• Arquivo chaves serão fontes de informações valiosas. E cabe o perito colher essas informações como: 
o /dev/mem 
o /dev/kmem 
o /proc/kcore 
TÉCNICAS ANTI-FORENSE CLÁSSICAS 
• Forjar Binários: Muito usada por atacantes de conhecimento técnico básico e é a sabe de rootkits de 1ª. 
 Geração. 
• Execution Redirection: Redirecionamento ou interceptação de chamadas de sistemas (ex. execv) através de 
 manipulação particularidades do sistema. Normalmente desviando a chamada para outro 
 binário! Técnica comum em rootkits arrojados baseados em LKM. 
• File Hiding: Exemplo de manipulação de system calls, para forja a saída de comandos como LS e ECHO. 
• Module and Symbol Hiding:Comuns em rootkits de LKM, consistem em interceptar systems calls e manipular 
 dados do /proc. 
• Process Hiding: Ocultação de processos através de interceptação de system call, manipulando a saída de 
 comandos com OS, LSOF, FUSER. Ou em alguns casos manipulando “argc” e ou “argv” em 
 binários forjados. 
• Network hiding: Forjando a saída de comandos como, netstat, isof ou manipulação de binários ou 
 interceptando system calls. 
• Sniffer Hiding: Modificando saídas de informações sobre “modo promiscuo” da interface de rede. Comum 
 em rootkits baseados em LKM. 
 
• ON-THE FLY KERNEL PATCHING WITHOUT LKM 
 
o Técnica arrojada que modifica funções do kernel do Linux em tempo real sem a necessidade de carregamento 
de módulos. 
o Consiste na criação de uma segunda tabela de system calls e na manipulação arbitrária do /dev/kmem. A 
prova de conceito foi publicada na revista PHRACK em 2001 no rootkit Suckit. 
• Utilização de Backdoors cifradas. 
o (NETcat com suporte SSL) e ferramentas que ficam residente em memória e seu auto deletam de forma 
segura. 
 
• CONCLUSÃO PONTUAL: 
o Em muitos momentos dependendo do nível de comprometimento do sistema, muitas das informações 
levantadas durante a Live Análise não serão confiáveis. 
o Mas mesmo assim, serão uteis no confrontamento com as informações levantadas na PostMortem análise. 
 
TÉCNICA FORENSE: 
• Análise de MACTIME. 
o Durante a análise do Post Mortem a linha de tempo (Tecnicamente conhecida como Timestamps ou Timeline), 
baseada no Mactime, que possibilita ao perito buscar uma visão cronológica das informações da sequencia de 
eventos de como ocorreu. 
• O invasor pode facilmente, modificar os Mactimes dos arquivos. Esse conceito é provado através do comando touch!. 
• Modificar entradas de logs (e não apaga-las). 
• No caso das entradas de logs para um perito é muito mais interessante quando um Script Kid deleta os arquivos do que 
quando os dados são manipulados de forma sutil. 
• Localização de artefatos: 
o E “modus operante” dos invasores armazenar ou manter ferramentas durante sua ação em diretórios clássicos 
como /tmp ou diretório clássicos como: 
o Mkdir “” 
o Instalação de backdoors, manipulação de binários, instalação de rootkits clássicos. 
TÉCNICA ANTI-FORENSE: HIDING DATA 
• Evitar o uso de repositórios clássicos e executar deleção de arquivos com técnicas Wipe. 
• Escondendo arquivos de formas discretas, normalmente em SlackSpace. 
• Esteganografia. 
PROVA DE CONCEITO: HIDIGN DATA 
• Inserindo dados em um SlackSpace: 
o Linha comando 
• Consultando informações sobre SlackSpace: 
o Linhas comando 
• Apagando dados de SlackSpace: 
o Linha comando 
TÉCNICA ANTI-FORENSE: 
• Técnicas de Deleção Segura: 
o Classicamente a deleção segura que quase sempre significa reescrever na área de metadados do respectivo 
artefato “0 zero e 1 um”. Usando /dev/zero, em alguns casos varias vezes ou ainda utilizar cadeia de caracteres 
randômicas usando /dev/random. Essas técnicas podem ser usadas em: 
o Deleção usando técnica Wipe dos SlackSpace. 
o Deleção usando técnicas Wipe das áreas não alocadas (unallocated space). 
 
TÉCNICA FORENSE: 
• Recuperação de dados e garimpagem: 
o A recuperação de arquivos deletados consiste na análise de dados a partir de uma imagem feita bit a bit do 
sistema violado, normalmente com o comando DD. 
o Ferramentas de recuperação: 
o Foremost / UNRM / Testdisk / Lazarus 
TÉCNICA FORENSE: ANÁLISE DE HASHING 
• Comparar MD5 ou SHA1 dos binários originais dos sistemas através das próprias ferramentas de pacotes, ou utilizar 
algum mecanismo de HIDS (Tripware, Aide, Osiiri). 
 
PROVA DE CONCEITO 
• Buscar por bases MD5 e tentar forta-las. 
• Manipula um byte (de uma string) de todos os arquivos, para gerar trabalho ao perito, uma vez que normalmente é 
regra períciar cada arquivo suspeito. 
KIT ANTI-FORENSE 
• Kit anti-forense desenhado inicialmente para Ext2 como prova de conceito de publicado na revista eletronica Phack por 
um programador que se autodenomina GRUGP. 
• Exemplificação de elimininação de evidenticas com o TDT: 
o TDT – The Defilers Toolkit 
o Necrofile 
o Klismafile