Baixe o app para aproveitar ainda mais
Prévia do material em texto
Análise forense Segurança Análise forense Escola Superior de Redes RNP Copyright © 2009, Escola Superior de Redes RNP Autor Guilherme Venere Revisor Pierre Lavelle Supervisão técnica Jacomo Piccolini Coordenação acadêmica Derlinéa Miranda Revisão final Pedro Sangirardi Design Tecnodesign Coordenação geral Luiz Coelho Versão 2.0.2 Todos os direitos reservados, no Brasil, por Escola Superior de Redes RNP http://www.esr.rnp.br A Escola Superior de Redes da Rede Nacional de Ensino e Pesquisa (RNP) oferece cursos em tecnologia da informação e da comunicação para quem busca formação essencialmente prática. As atividades são situações-problema semelhantes às que são encontradas na prática do profissional de TI. Estas atividades exigem análise, síntese e construção de hipóteses para a superação do problema. A aprendizagem torna-se mais efetiva se contextualizada à realidade profissional. Os cursos propostos possuem 40 (quarenta) horas de duração divididas em 10 (dez) sessões de aprendizagem. Os participantes trabalham em grupo ou em duplas e cada um pode dispor de sua própria estação de trabalho. O material de ensino é composto de apostilas contendo slides comentados e roteiro de atividades práticas em laboratório. Conhecimentos prévios Principais ataques, mecanismos e ferramentas de segurança (como firewall, \\ IDS, VPN) e autenticação ou o curso Segurança de redes e sistemas. Objetivos Obter uma visão geral e conceitos de análise forense\\ Apresentar os principais procedimentos que devem ser seguidos pelo \\ investigador Compreender as particularidades do processo de análise forense em Linux e \\ Windows e as informações que devem ser coletadas em cada situação enfrentada Aprender a coletar evidências em uma imagem de disco de um sistema \\ comprometido Recuperar evidências que possam fornecer pistas dos invasores\\ Análise forense Apresentação Escola Superior de Redes RNP Ao final do curso o aluno terá aprendido a Criar um CD de ferramentas forenses que poderá ser utilizado durante uma \\ investigação Elaborar uma cronologia, descrevendo o que aconteceu e quando ocorreu cada \\ evento do comprometimento investigado Conhecer a coleta de informações relacionadas aos programas executados, às \\ bibliotecas do sistema e portas relacionadas Identificar o tipo de auditoria a ser realizada\\ Sumário Sessão de aprendizagem 1 Princípios de análise forense . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .7 Sessão de aprendizagem 2 Ambiente e ferramentas de análise forense . . . . . . . . . . . . . . . . . . . . . . . . . . .19 Sessão de aprendizagem 3 Ambiente e ferramentas de análise forense (parte 2). . . . . . . . . . . . . . . . . . . . .43 Sessão de aprendizagem 4 Coleta de evidências . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .71 Sessão de aprendizagem 5 Recuperação e análise de evidências . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .85 Sessão de aprendizagem 6 Recuperação e análise de evidências (parte 2) . . . . . . . . . . . . . . . . . . . . . . . . .99 Sessão de aprendizagem 7 Linha de tempo e reconstrução do ataque . . . . . . . . . . . . . . . . . . . . . . . . . . .115 Sessão de aprendizagem 8 Análise forense em Windows . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .123 Sessão de aprendizagem 9 Análise forense avançada em Windows . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .135 Sessão de aprendizagem 10 Análise forense avançada em Windows (parte 2) . . . . . . . . . . . . . . . . . . . . . . .155 Bibliografia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .181 Escola Superior de Redes RNP 1 Sessão de aprendizagem 1 Princípios de análise forense Sumário da sessão Princípios de análise forense . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .8 Motivações para investigar um incidente . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .9 Modo de ação dos atacantes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .10 Detecção de ataques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .11 Tipos de sistemas comprometidos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .11 Procedimentos para análise forense . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .12 Cadeia de custódia de evidências . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .14 Metodologia para análise forense . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .14 Conclusões . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .15 Roteiro de atividades . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .17 Atividade 1 – Preparando um checklist . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .18 Atividade 2 – Funcionamento de um rootkit . . . . . . . . . . . . . . . . . . . . . . . . . . .18 Atividade 3 – Investigando um computador . . . . . . . . . . . . . . . . . . . . . . . . . . . .18 8 Análise forense – Sessão de aprendizagem 1 Escola Superior de Redes RNP Princípios de análise forense A resposta a um incidente de segurança está dividida em seis passos: Preparação – A empresa define os ativos que \\ deseja proteger, e as medidas cabíveis em caso de incidente. Identificação – São utilizados mecanismos e \\ técnicas para identificar a ocorrência de um incidente, e definir a extensão do ataque. Contenção – Deve-se conter o ataque, impedindo \\ que o invasor consiga acesso a outros sistemas e minimizando a atividade do atacante. Erradicação – As ações do atacante devem ser erradicadas, com a aplicação \\ de filtros e impedimento de qualquer atividade do invasor na rede. Recuperação – Os sistemas invadidos devem ser recuperados e reinstalados.\\ Acompanhamento – As técnicas e vulnerabilidades utilizadas pelo atacante devem \\ ser estudadas, e medidas devem ser aplicadas para impedir que elas funcionem. Incidentes de segurança podem ser causados por qualquer tipo de ataque realizado à infra-estrutura de informação de uma empresa, seja ele um ataque lógico ou um ataque físico. Os tipos mais comuns são ataques lógicos como invasões de servidores e ataques de negação de serviços, comprometimento ou perda de dados e infecção por vírus. É necessário criar procedimentos que descrevam ações a tomar no caso da ocorrência de um incidente de segurança, inclusive no caso de incidentes inespera- dos. Deve-se gerar documentos que descrevam os pro- cedimentos de resposta a incidentes, os responsáveis pelas ações, a ação legal que a empresa está disposta a executar e principalmente um checklist de ação para o profissional que vai responder ao incidente. O analista forense deve se preocupar em tentar recu- perar as evidências da forma mais confiável possível, evitando contaminar ou destruir evidências. Registrando e documentando tudo o que foi feito, o analista não precisará confiar na memória mais tarde, no momento de reconstruir os passos que foram executados durante a coleta de dados ou apresentar resultados aos superiores. Princípios de análise forensep R t i id t d Resposta a incidentes de segurança Preparação Identificação ContençãoContenção Erradicação R ãRecuperação Acompanhamento Princípios de análise forensep A d d fi i é i id t d A empresa deve definir o que é um incidente de segurança de acordo com os ativos que deseja tproteger. Incidentes de segurança são eventos que interrompem o procedimento normalde operação de uma empresa e causam algum tipo de crise. Podem ser ataques à infra-estrutura de informação de uma empresa.p A prevenção dos incidentes é crucial. Princípios de análise forensep Análise forense é o segundo passo no processo de Análise forense é o segundo passo no processo de resposta a incidentes. Existe uma sobreposição com o primeiro e com o terceiro passo: o analista forense deve participar do é éprocesso de preparação pré-incidente, e também do processo de contenção pós-incidente. Recuperar e analisar dados da maneira mais imparcial e livre de distorções possível, para reconstruir os dados ou o que aconteceu a um sistema no passado. 9 Princípios de análise forense Por este mesmo motivo é bom sempre realizar análises dos dados em cópias, mantendo os originais seguros contra modificações e permitindo que seus passos sejam repetidos posteriormente. Durante o processo de análise forense, é comum aparecerem informações indicando comprometi- mento de outros sistemas da empresa ou mesmo de outras empresas. É importante que o analista forense reporte frequentemente o andamento das investigações e os fatos relevantes descobertos, para que a empresa possa tomar as medidas necessárias. É preciso que se mantenha total imparcialidade durante a investigação. Antes de apontar o culpado, tenha certeza de que ele não é inocente. Motivações para investigar um incidente Identificar sinais de ataque – Em muitas situações, \\ quando uma máquina está comprometida, ela começa a perder desempenho, pois está sendo utilizada pelo hacker ou vírus para fins diferentes daqueles aos quais se destina. Um dos passos de uma análise forense é tentar identificar sinais de comprometimento. Isto pode ajudar a empresa a descobrir se outros servidores que apresentam o mesmo comportamento estão comprometidos ou não. Determinar a extensão do comprometimento – \\ Como foi dito, durante o processo de análise forense é comum aparecerem informações sobre o comprometimento de outros sistemas dentro ou fora da empresa. Descobrir as máquinas que foram comprometidas é importante para manter a integridade da informação a ser protegida. Reconstruir a ordem dos eventos – Com \\ isso é possível descobrir o que o invasor fez durante o período em que teve acesso ao sistema da empresa. A correlação de eventos pode ajudar a empresa a determinar o que foi comprometido, e principalmente quando ocorreu o comprometimento. É muito comum descobrir, por exemplo, que a empresa já estava invadida há meses, e que só por algum descuido do invasor é que tudo foi descoberto. Princípios de análise forensep Mi i i d d d dMinimizar perda de dados Evitar contaminação dos dados Registrar e documentar todas as ações Analisar, impreterivelmente, dados em cópiasAnalisar, impreterivelmente, dados em cópias Reportar as informações coletadas P i i l t t i i lPrincipalmente: manter-se imparcial “É um erro capital teorizar antes de obter todas as evidências.” Sherlock Holmes Motivações para investigar um incidenteç p g R õ ã i ti i id tRazões para não investigar um incidente: Custo Demora Falta de objetividadeFalta de objetividade Disponibilização de recursos importantes P d d t Processo que demanda tempo e recursos, nem sempre útil para a empresa. ÉÉ mais fácil reinstalar um computador do que realizar uma investigação. Motivações para investigar um incidenteç p g E tã i ti ?Então, por que investigar? Identificar sinais de ataque Determinar a extensão do comprometimento Reconstruir a ordem dos eventosReconstruir a ordem dos eventos Entender o modus operandi do atacante R d Responder: O quê? Quando? Onde? Onde? Como? 10 Análise forense – Sessão de aprendizagem 1 Escola Superior de Redes RNP Entender o \\ modus operandi do atacante – Este item faz da análise forense uma poderosa ferramenta de proteção contra ataques. Sabendo como o atacante agiu da primeira vez, a empresa vai poder tomar ações bem fundamentadas para se proteger contra novos ataques. Modo de ação dos atacantes É claro que nem todos os hackers agem do mesmo modo, mas pode-se dizer que uma grande parte deles segue um padrão de ação comum. Conhecer esse padrão já é um bom começo para analisar um sistema que provavelmente foi comprometido. Normalmente, os ataques se iniciam algum tempo antes da invasão propriamente dita: o invasor precisa conhecer sua rede, saber como vai conseguir com- prometer seu sistema. Portanto, as atividades de reconhecimento podem ser o primeiro indício de que algo está para acontecer. Um tipo de teste difícil de detectar é um reconhecimento que utiliza técnicas de engenharia social. Um simples telefonema pode ser mais eficiente para entregar os pontos fracos de sua rede do que uma ferramenta poderosa. Neste caso, a prote- ção fica mais difícil, e só um treinamento adequado poderá proteger a empresa. Depois de coletar informações sobre o sistema que vai invadir, o hacker parte para a invasão. Nesta hora, já se torna mais difícil detectar as atividades do invasor. Muitas vezes são utilizadas ferramentas que simulam uma conexão válida, ou então técnicas para esconder o ataque, como criptografia ou túneis de protocolos. Mecanismos de detecção de intrusão são muito úteis. Posteriormente, estes mesmos mecanismos poderão ser atualizados com as informações coleta- das após um ataque. Analisando a técnica utilizada pelo invasor, a empresa poderá criar mecanismos mais eficientes para se defender. Após comprometer o sistema, o invasor normalmente tenta tomar o controle do sistema. O invasor precisa então tentar adquirir privilégios de administrador. Ferramentas que monitorem a integridade do sistema podem auxiliar a detectar uma invasão antes que ela se torne mais séria. Programas como Tripwire permi- tem monitorar a integridade dos arquivos de uma máquina. Modo de ação dos atacantesç I f ã é i Informação é a sua maior arma. Conhecendo o modo de operação dos invasores, você pode melhorar suas defesas; facilita o trabalho de investigação, porque você já sabe o que procurar. Técnicas de engenharia social são difíceis de combater: somente um treinamento adequado pode q p diminuir esse risco. A maior parte dos ataques segue um mesmo padrão.A maior parte dos ataques segue um mesmo padrão. Modo de ação dos atacantesç Id tifi ã d lIdentificação do alvo Coleta de informações Identificação de vulnerabilidades Comprometimento do sistemaComprometimento do sistema Controle do sistema I t l ã d f tInstalação de ferramentas Remoção de rastros Manutenção do sistema comprometido 11 Princípios de análise forense Após conseguir o acesso privilegiado ao sistema, o invasor tenta apagar os rastros de sua existência, para impedir que ele seja detectado enquanto estiver realizando suas ações maldosas. Neste momento, é comum o invasor instalar um rootkit, um pacote de ferramentas que modifica o sistema para esconder qualquer traço da existência do hacker na máquina. Ao instalar uma ferramenta como esta, o hacker praticamente passa a controlar a máquina. Pode-se utilizar uma ferramenta de detecção de rootkits, tal como o Chkrootkit, para tentar detectar a presença dessas ferramentas. Outra alternativa é monitorar a rede para descobrir se a máquina está comprometida. Hoje em dia, sistemas comprometidos têm um alto valor de troca no submundo da inter- net. Ferramentas de negação de serviço podem ser instaladas em diversos sistemas comprometidos, e o poder somado desses sistemas pode ser trocado no submundo por informação ou mesmo por dinheiro. Como podemos ver, a invasão de sistemas não é só uma diversão para alguns invasores, podendo ser um negócio bem rentável. Uma característica do comportamento de invasores é a manutenção do sistemacompro- metido. É muito comum ver máquinas comprometidas atualizadas pelo hacker, corrigindo as falhas de segurança que permitiram a sua entrada. Para garantir que poderão voltar no futuro, os invasores costumam instalar back-doors, serviços clandestinos que permitem ao invasor se conectar mais tarde com as permissões privilegiadas que conseguiu. Detecção de ataques Tipos de sistemas comprometidos Neste caso, a coleta de evidências fica mais fácil: as informações voláteis presentes na memória do com- putador ou na tela foram perdidas. O sistema agora contém apenas os arquivos que foram gravados no disco rígido, evidências que deverão ser coletadas. Detecção de ataquesç q P d ã d t t i f il t t Padrão para detectar mais facilmente um ataque : Monitoramento da rede Detecção de assinaturas de ataques e modificações no sistema Utilização de ferramentas de auditoria Principalmente conhecimento de seus sistemas e de Principalmente, conhecimento de seus sistemas e de sua rede Tipos de sistemas comprometidos p p Si t d li dSistema desligado: Sem atividade no disco rígido Evidências voláteis perdidas Sem atividade do invasorSem atividade do invasor Sem necessidade de contenção do ataque P i l t l idê i f difi dPossivelmente algumas evidências foram modificadas 12 Análise forense – Sessão de aprendizagem 1 Escola Superior de Redes RNP A ação do analista forense tem que ser muito cuida- dosa, para não despertar a atenção do invasor, não comprometer evidências, mas também para impedir que mais dano seja causado. Por outro lado, em um sistema ligado, o analista forense tem a possibilidade de coletar informações que não estariam disponíveis em um sistema desligado. Por exemplo, é possível coletar informações de rede, permitindo identificar com mais segurança se o sistema está comprometido ou não, e também identificar outras máquinas na rede da empresa que também possam estar comprometidas. Tudo o que for feito poderá alterar as evidências, inclusive não fazer nada. Portanto, as ações do ana- lista forense têm que ser bem pensadas, e é muito importante que todas as ações sejam documentadas. A primeira coisa a fazer é tentar identificar, da forma menos intrusiva possível, se o sistema suspeito está ou não comprometido. Algumas técnicas, como realizar um scan por portas abertas no sistema, ou procurar por arquivos suspeitos no espaço de disco, devem ser evitadas a todo custo. Estas ações podem disparar alarmes que alertariam o invasor de que ele foi descoberto, além de comprometer evidências. Dependendo da criticidade do sistema, muitas vezes não será possível simplesmente desligar a máquina da energia. Um servidor de banco de dados teria informações corrompidas se fosse desligado da tomada. Ou então, ao tentar executar uma parada do sistema, mecanismos de proteção instalados pelo invasor poderiam apagar todo o disco, provocando o desaparecimento de evidências e dados importantes. Procedimentos para análise forense A primeira fase de uma investigação forense é a pre- paração, como foi dito anteriormente: saber o que pode e o que não pode ser desligado, elaborar um checklist de ações que devem ser tomadas, e princi- palmente preparar as ferramentas necessárias. É importante também esterilizar as mídias onde serão gravadas as evidências, para evitar a contaminação com dados previamente gravados nas mesmas. Tipos de sistemas comprometidos p p Si t li dSistema ligado: Verificar se o sistema está comprometido Não comprometer as evidências Conter o ataqueConter o ataque Coletar evidências P ff h td ?Power-off ou shutdown? Power-off: não modifica evidências, mas pode corromper os dadosdados Shutdown: garante integridade dos dados, mas pode modificar evidências Tipos de sistemas comprometidos p p Si t li dSistema ligado: Atividade no disco rígido Atividade de rede Evidências voláteisEvidências voláteis Possibilidade de atividade do invasor N id d d t tNecessidade de conter o ataque Modificação das evidências Procedimentos para análise forense p A reação precisa ser rápida por isso esteja preparadoA reação precisa ser rápida, por isso esteja preparado Tenha em mãos um checklist de ações e todas as ferramentas necessáriasferramentas necessárias Esterilize as mídias antes de coletar evidências C l t i i idê i i lát iColete primeiro as evidências mais voláteis Crie e utilize uma dirt list: uma lista de palavras, termos e d i di ti tnomes que podem indicar um comprometimento Esta lista deve ser utilizada em todo o processo de in estigação e at ali ada constantementeinvestigação e atualizada constantemente Crie um registro para cada evidência e faça um relatório da sua investigaçãosua investigação 13 Princípios de análise forense Esterilizar as mídias significa eliminar quaisquer dados que possam existir nos discos e dispositivos utilizados para gravar suas evidências. Normalmente, basta executar um procedimento de gravação de zeros (byte 00) em todos estes dispositivos, sobrescrevendo qualquer dado que exista ali, antes de gravar qualquer evidência. Evidências voláteis são aquelas que se perdem mais facilmente, caso o sistema seja desligado ou ações executadas pelo hacker ou pelo analista sobrescrevam informações. Exemplos: dados na memória RAM, processos em execução, cone- xões estabelecidas, entre outros. Uma maneira de ajudar o analista forense a procurar evidências é utilizando uma dirt list, ou lista maliciosa, que deve conter palavras, termos, nomes de ferramentas e pessoas que tenham ligação com ataques, grupos de hackers, atividades crimi- nosas, entre outros. Com isso, o analista poderá realizar pesquisas nas evidências procurando pela presença dessas palavras-chave. Esta lista deve ser atualizada constantemente para incluir palavras e nomes encontrados durante a investigação. Toda informação coletada durante a avaliação inicial e durante a investigação deve ser documentada e autenticada. Esta autenticação pode ser feita utili- zando algum algoritmo de hash de dados, tal como MD5, SHA1, SHA256 ou outro algoritmo de hash equivalente. Tenha sempre em mãos um checklist que indique o que fazer e quando. O checklist deve ser o mais minucioso possível, não deixando dúvidas sobre as ações a serem tomadas. Se possível, ele deve incluir os comandos e argumentos que precisam ser usados em cada etapa. Na coleta de evidências, devemos seguir a ordem de volatilidade das informações: informações voláteis são aquelas que se perdem com mais facilidade. Há poucos anos, utilizava-se o algoritmo MD5 como padrão, mas devido a pesquisas recentes sobre ataques contra a segurança desse algoritmo e do próprio SHA1, a comunidade internacional começou a desenvolver novos algoritmos para substituí-los. Teoricamente, estes algoritmos têm um baixo índice de colisão, isto é, dificilmente geram uma mesma chave criptográfica a partir de dados diferentes. Entretanto, pesquisas detectaram uma possibilidade de gerar colisões com taxas de probabilidade bem menores do que deveriam ocorrer naturalmente com estes algoritmos. Por isso, recomenda-se a utilização de algoritmos melhores e mais atuais. Procedimentos para análise forense p C i i t d idê iCriar registro para cada evidência Criar assinatura das evidências: MD5 SHA1 SHA256 Evitar comprometer evidênciasEvitar comprometer evidências Criar relatório detalhado da investigação: Comandos executadosComandos executados Pessoas entrevistadas E idê i l t dEvidências coletadas Procedimentos para análise forense p O d d l t d idê iOrdem de coleta de evidências: Informações sobre o ambiente (ambiente operacional, f t d l d t l d t d )fotos da sala e da tela do computador) Cópia binária da memória RAM Informações sobreprocessos em execução, conexões de rede, registros, cache etc. Informações sobre o tráfego de rede Cópias dos discos rígidosp g Possíveis mídias removíveis (fitas, disquetes, CD-ROM) Material impresso (adesivos folhas impressas)Material impresso (adesivos, folhas impressas) 14 Análise forense – Sessão de aprendizagem 1 Escola Superior de Redes RNP Cadeia de custódia de evidências Este registro visa garantir que as evidências não foram modificadas ou comprometidas, acidental- mente ou propositalmente, durante o processo de análise forense. Isto é importante principalmente se o caso vai ser tratado judicialmente. Em juízo, será necessário comprovar que as evidências são válidas legalmente, e um registro mal feito pode colocar a perder um caso inteiro. Um cuidado especial deve ser dado às evidências digitais, pois elas são mais facilmente modificadas ou destruídas. Metodologia para análise forense Independentemente do sistema invadido ou do método utilizado na invasão, os procedimentos segui- dos pelo analista forense não variam. Uma metodolo- gia bem definida facilita o trabalho do investigador e ajuda a mantê-lo focado. Os passos que devem ser seguidos em uma investi- gação são cíclicos: cada passo alimenta o conjunto de evidências e fornece novas bases para o inves- tigador procurar por mais evidências na próxima fase. Os passos devem ser repetidos até que se consiga chegar a uma conclusão, ou até decidir que não há mais informações úteis a serem encontradas. O primeiro passo da investigação das evidências é tentar estabelecer uma linha de tempo para o ataque e para as evidências encontradas durante a fase inicial de análise. Com a linha de tempo, o investigador pode ter uma base para procurar por novas evidências, arquivos e dados que possam ter relação com o caso. Cadeia de custódia de evidências R i t d t lh d d d idê i Registro detalhado do modo como as evidências foram tratadas durante a análise forense, desde a l t té lt d fi i coleta até os resultados finais. Este registro deve conter informações sobre quem teve acesso às evidências ou às cópias utilizadas. Durante um processo judicial, este registro vai p j g garantir que as provas não foram comprometidas. Cada evidência coletada deve ter um registro de Cada evidência coletada deve ter um registro de custódia associada a ela. Cadeia de custódia de evidências Um registro de custódia deve conter pelo menos os Um registro de custódia deve conter pelo menos os seguintes itens: Data e hora de coleta da evidênciaData e hora de coleta da evidência De quem a evidência foi apreendida Informações sobre o hardware como fabricante modelo Informações sobre o hardware, como fabricante, modelo, números de série etc. Nome da pessoa que coletou a evidênciaNome da pessoa que coletou a evidência Descrição detalhada da evidência Nome e assinatura das pessoas envolvidasNome e assinatura das pessoas envolvidas Identificação do caso e da evidência (tags) Assinaturas MD5/SHA1 das evidências se possívelAssinaturas MD5/SHA1 das evidências, se possível Informações técnicas pertinentes Metodologia para análise forenseg p Procedimentos do analista forense são invariáveisProcedimentos do analista forense são invariáveis Utilidade de metodologia bem definida Os passos de uma investigação são cíclicos: Cada passo alimenta o conjunto de evidências e p j fornece novas bases para o investigador procurar por mais evidências na próxima fase. p p Os passos devem ser repetidos até que: Chegue se a uma conclusãoChegue-se a uma conclusão Não existam mais informações úteis a encontrar 15 Princípios de análise forense O passo seguinte é analisar esses arquivos e dados para identificar sua relação com o caso, funcionalidades e informações importantes que possam conter. A seguir, o investigador deve realizar uma análise no nível de dados do sistema operacional, procurando por strings e bytes que possam ser importantes para a investigação. Deve-se voltar à linha de tempo do incidente, pra inserir os novos dados coletados e associar essas informações com o caso. Com essas novas informações, o investigador terá uma nova base para procurar por mais evidên- cias, e assim o processo se repete até que o caso seja solucionado ou se decida que o esforço e o custo da investigação já não valem mais a pena. Finalmente, quando já tiver sido realizada uma análise o mais completa possível, deve-se gerar um relatório com os resultados encontrados e técnicas utilizadas, e uma conclusão para o caso alcançada, com base nas evidências coletadas durante a investigação. Conclusões A seguir prepararemos o ambiente de análise forense e conheceremos as ferramentas necessárias para a investigação. Conclusões O sucesso da investigação depende de uma preparação prévia Informação é a melhor arma contra os invasores Tenha em mãos: Todas as informações sobre o sistema comprometido Todas as ferramentas necessárias Não comprometa as evidências A cadeia de custódia de evidências garante uma representação fiel dos dados originais Adote uma metodologia e seja imparcial e preciso em suas ações 16 Análise forense – Sessão de aprendizagem 1 Escola Superior de Redes RNP 1 Sessão de aprendizagem 1 Princípios de análise forense Roteiro de atividades Tópicos e conceitos Preparação para uma investigação e identificação de formas de ataque.\\ Competências técnicas desenvolvidas Elaboração de um checklist, atualização em relação às formas de ataque \\ rootkit; Investigação do comprometimento de computadores. \\ Outras competências desenvolvidas Capacidade de investigação e pesquisa.\\ Tempo previsto para as atividades 90-120 minutos\\ 18 Análise forense – Sessão de aprendizagem 1 Escola Superior de Redes RNP Atividade 1 – Preparando um checklist 1. Este exercício deve ser feito em dupla. Suponha que em sua empresa existe um servidor web considerado crítico, que hospeda todo o sistema de gerenciamento de projetos da empresa e não pode ficar parado. Um backup diário dos dados é realizado constantemente. Deve-se supor que os integrantes da dupla fazem parte da comissão que está definindo os procedimentos a adotar quando ocorrer um incidente de segurança envolvendo a máquina do servidor. Pensando em todas as implicações destas ações, defina o que deve ser feito no caso de: Ataque de negação de serviço;1. Comprometimento da máquina por ação hacker.2. Discuta com seu parceiro os procedimentos e monte um checklist das ações que devem ser tomadas. Procure ser o mais objetivo possível, de modo que uma pes- soa que siga o checklist não precise tomar nenhuma decisão. Pense que em um momento de crise, a pessoa referida não pode perder tempo tomando decisões. Atividade 2 – Funcionamento de um rootkit Junto com um colega, pesquise na internet informações sobre rootkits que os invasores usam para tomar controle de um servidor, tanto em servidores Unix quanto Windows. Procure informações sobre um rootkit da sua escolha para saber suas funcionalidades, e os modos para detectar a presença dele em uma máquina. Elabore um documento sobre este rootkit, descrevendo o modus operandi do mesmo, funcionalidades, dificuldade de detecção e, se possível, formas de detectá-lo e removê-lo do sistema. O instrutor vai escolher alguns alunos para apresentar este documento aos demais. Atividade 3 – Investigando um computador (Para fazer em dupla) Você deve verificar se a máquina de seu companheiro está comprometida. Lembre-se dos passos necessários para garantir a integridade das evidências. Usando as ferramentas do sistema, você deve descobrir todos os serviços TCP ativos na máquina. Para este exercício, vamos considerar como comprometido o serviçoBootp (porta 68) no Linux, ou o serviço Netbios (porta 445) no Windows. Se o serviço estiver sendo executado, a máquina está comprometida. Faça um relatório de todas as ações tomadas durante a investigação, bem como um registro de custódia de qualquer evidência coletada. Como sugestão, utilize o roteiro criado na Atividade 1; ele facilita a investigação? Quais foram os problemas encontrados ao seguir o roteiro? Sugira modificações ao roteiro. 2 Sessão de aprendizagem 2 Ambiente e ferramentas de análise forense Sumário da sessão Pré-requisitos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .20 Hardware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .20 Sistema operacional . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .21 Live CD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .22 Hardware forense . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23 Pacote forense . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .24 Programas específicos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .27 Preparação da investigação . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .29 Preparação do ambiente . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .29 Coletando informações dos processos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .31 Preservação do disco . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .35 Outras formas de preservação do disco . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .37 Conclusões . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .39 Roteiro de atividades . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .41 Atividade 1 – Kit do investigador . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .42 Atividade 2 – Coleta de informações voláteis . . . . . . . . . . . . . . . . . . . . . . . . . .42 20 Análise forense – Sessão de aprendizagem 2 Escola Superior de Redes RNP Pré-requisitos Durante o atendimento inicial ao incidente, o inves- tigador vai precisar da recuperação de arquivos em memória, coleta de cópias fiéis dos discos rígidos e dispositivos de armazenagem presentes na máquina investigada, cópia da memória RAM, coleta de infor- mações de conexões de rede, entre outros. Em alguns incidentes, onde ocorre o envolvimento de autoridades policiais, é necessário manter sob guarda o disco original da máquina envolvida no inci- dente. No Brasil, somente um perito autorizado pode coletar, de forma legal, evidências na cena de um incidente. A empresa ou responsável pela máquina deve garantir apenas armazenamento e custódia seguros do equipamento. A utilização de hashes MD5/SHA1 garante que as evi- dências coletadas durante uma investigação possam ser comparadas posteriormente, caso seja necessário refazer os passos da análise forense. Duas evidências coletadas com a mesma técnica e que tenham os mesmos hashes são garantidamente iguais. Em um sistema invadido, o hacker pode ter modifi- cado arquivos, kernel, bibliotecas compartilhadas, módulos carregados. Portanto, nenhum arquivo existente na máquina é confiável. Se existir um rootkit e o investigador utilizar os comandos do sistema para listar processos ou arquivos, não verá as informações escondidas pelo rootkit. O inves- tigador deve sempre utilizar suas próprias ferramentas e bibliotecas. Hardware O sistema deve ter baias para conectar os discos de evidências. De preferência, as baias devem ser configuradas para jamais iniciarem o sistema a partir dos discos contidos nelas. Um notebook é imprescindível quando não for pos- sível remover o disco de evidência. Este notebook deve conter as mesmas ferramentas da estação forense. Além disso, o investigador deve dispor de equipamentos de rede diversos: hubs, cabos cross- over e normais, placas de rede normais e wireless, disco rígido externo (USB e paralelo), bem como um equipamento para realizar cópias de disco automaticamente. Pré-requisitos A primeira ação do investigador é coletar evidências no local onde ocorreu a invasão. Após isso, entra em cena a análise de mídias. O investigador precisará analisar dezenas de gigabytes de dados, e por isso deve contar com um ambiente propício, com ferramentas que facilitem seu trabalho. Hardware Quanto mais memória RAM e mais processamento houver, melhor. O espaço livre em disco deve ser generoso, algumas vezes podendo analisar centenas de gigabytes. O sistema deve ter baias para conectar os discos de evidências. Um notebook é imprescindível quando não for possível remover o disco de evidência. Além disso, o investigador deve dispor de equipamentos de rede diversos. Pré-requisitos O objetivo da análise de mídias é coletar evidências que comprovem ou refutem a invasão. As evidências originais devem ser preservadas, por isso a análise deve ser feita em cópias das mídias. O analista deve evitar comprometer as evidências, e garantir que todos os resultados possam ser reproduzidos, o que envolve a criação e manipulação de dezenas de gigabytes de dados. Além disso, o sistema invadido não é confiável, portanto o investigador precisa dispor de um ambiente confiável e controlado para realizar a investigação. 21 Ambiente e ferramentas de análise forense Sistema operacional Deve-se levar em conta que às vezes vai ser neces- sário investigar um sistema sem dispositivos padrão, como os presentes em um computador comum. Por exemplo, como investigar incidentes envolvendo um PDA, ou uma estação RISC/Solaris? Os dispositivos de disco são diferentes, e o sistema operacional da estação forense precisa reconhecer esses equipa- mentos. Alguns softwares para Windows, como o EnCase, têm um suporte melhor para imagens de partições variadas. Entretanto, um suporte nativo no sistema operacional pode ser muito útil e poupar tempo do investigador. Além disso, o sistema operacional precisa ser seguro o suficiente para não ser comprometido com alguma ferramenta investigada. Imagine se o investigador está analisando um arquivo desconhecido e sua estação forense é comprometida por este arquivo? Além disso, existem outras vantagens no uso do Linux, como o sistema da estação forense e das ferramentas. O sistema permite a criação de CDs inicializáveis que rodam em praticamente qualquer configuração de hardware sem a necessidade de instalação de drivers; rodam com pouca memória e contam com diversos mecanismos de segurança embutidos no próprio sistema. Existem diversas opções para resolver o problema de análise de binários de outros sistemas operacio- nais. No caso do Windows, em alguns casos é possí- vel executar o binário com emuladores por software como o Wine, ou utilizar o próprio VMWare com um sistema Windows rodando na máquina virtual. Além disso, dependendo do tipo de análise que vai ser feita, existem debuggers para Linux que têm suporte a diversos formatos de binários e processa- dores, como por exemplo o IDA-Pro. Sistema operacional Entre os pontos que devem ser levados em consideração na hora de escolher o sistema operacional, podemos citar os seguintes: Familiaridade do investigador com o sistema operacional Disponibilidade de ferramentas Capacidade do sistema operacional de reconhecer diversos tipos de mídias ou sistemas de arquivos diferentes Mecanismos de segurança disponíveis no sistema operacionalSistema operacional Durante o curso, usaremos o Linux, por causa de algumas características deste sistema: Não é necessário adquirir licenças para uso Existe uma gama completa de ferramentas de análise forense de uso livre Capacidade de acessar qualquer tipo de sistema de arquivos ou partições a partir de configuração no kernel Capacidade de acessar diversos tipos de dispositivos (USB, discos etc) Firewall embutido no kernel e possibilidade de utilizar diversas modificações no kernel para aumentar a segurança da máquina Disponibilidade de diversas distribuições prontas para análise forense, facilitando o trabalho de reunir diferentes ferramentas Sistema operacional Apesar disso, existem limitações na utilização do sistema Linux. Se for necessário analisar algum executável para Windows, precisaremos de uma maneira de emular o Windows. A melhor opção é utilizar o VMWare ou outro sistema de emulação, como o Wine. Apesar da escolha pelo Linux, existem ótimas ferramentas de análise forense para Windows, tal como o software EnCase. 22 Análise forense – Sessão de aprendizagem 2 Escola Superior de Redes RNP Live CD Há grupos especializados em reunir as melhores ferramentas para análise forense. Existem diversos CDs inicializáveis com sistemas Linux, prontos para serem utilizados em um atendimento inicial a um incidente. Eles não precisam ser instalados, e normalmente não causam modificações no sistema instalado. Podem ser utilizados em um sistema ligado, ou como dispositivo de boot em um sistema desligado. Contendo uma ampla gama de ferramen- tas, sua atualização é mantida pelos responsáveis. Um grande problema para o investigador é manter atualizadas todas as suas fer- ramentas, medida importante em um processo de análise forense. Por exemplo, investigadores da polícia técnica ou peritos criminais em informática têm como parte dessas atividades manter suas ferramentas atualizadas. A recomendação de utilizar um Live CD, ou um pacote pronto de ferramentas, vale para aqueles profissionais que não têm como atividade principal a realização de análise forense, desempenhando a atividade apenas em casos isolados. Nestes casos, quando existir a necessidade de realizar uma análise forense, basta baixar a última versão da distribuição definida como padrão, e todas as ferramentas estarão atualizadas. Em nosso curso utilizaremos o Helix, uma distribui- ção específica para análise forense, baseada em uma versão altamente modificada do Knoppix Linux. Além de conter ferramentas para análise e resposta a incidentes em ambientes Linux, o Helix contém um pacote de ferramentas para análise em sistemas Windows que ainda estejam ligados. Ele foi modifi- cado para garantir que nenhuma alteração seja feita ao sistema analisado. Pode ser utilizado como um CD de boot em sistemas desligados, ou montado em um sistema ligado para servir como fonte de ferramentas para uma resposta inicial ao incidente. É utilizado por diversas instituições e grupos de análise forense e de resposta a incidentes, o que garante que esteja sempre atualizado. Além das ferramentas que serão discutidas durante o curso, existem muitas outras presentes no CD que o aluno poderá utilizar, incluindo interfaces gráficas para algumas das ferramentas discutidas. No curso, examinaremos as ferramen- tas de comando de linha que permitem trabalhar em um nível mais baixo de opera- ção, e entender o real funcionamento de cada uma. Live CD Importante manter as ferramentas atualizadas Existem diversos CDs inicializáveis com sistemas Linux: Não precisam ser instalados Normalmente não modificam o sistema instalado Podem ser utilizados em um sistema ligado ou como dispositivo de boot em um sistema desligado São atualizados pelos responsáveis Contêm uma ampla gama de ferramentas Live CD Helix é uma distribuição específica para análise forense Contém ferramentas para análise e resposta a incidentes em ambientes Linux, e um pacote de ferramentas para análise em sistemas Windows que ainda estejam ligados. Pode ser utilizado como um CD de boot em sistemas desligados, ou montado em um sistema ligado para servir como fonte de ferramentas para uma resposta inicial ao incidente. Utilizado por diversas instituições e grupos de análise forense e de resposta a incidentes. 23 Ambiente e ferramentas de análise forense É importante deixar claro que o ambiente escolhido para resposta ao incidente ou para a investigação forense não deve de maneira nenhuma modificar qualquer dado no sistema suspeito sem o conheci- mento e controle do investigador. Por exemplo, uma distribuição Linux normal, ao ser iniciada, vai tentar montar qualquer dispositivo de disco presente na máquina, e isso deve ser evitado a todo custo. Esta é a vantagem de utilizar uma distribuição específica para análise forense. Hardware forense Há no mercado diversas soluções de hardware que podemos utilizar para realizar a duplicação e análise pericial. Estas ferramentas são mais completas e realizam cópias perfeitas das informações em uma imagem. Através da imagem, o perito realiza sua análise sem danificar as provas originais. Permitem a duplicação em alta velocidade, com bloqueio físico de escrita, cálculo de hash MD5, SHA1, SHA2, emis- são de logs de operação etc. Em plataformas integradas de processamento, estes sistemas estão disponíveis em configurações móveis, estacionárias ou de laboratório, projetados para aquisição e exames de evidências. Possibilitam duplicar as evidências diretamente do HD IDE/SCSI/ SATA, disquetes, CD, DVD, ZIP driver, fita DAT 4MM e PCCARD, SmartMedia, SD-MMC, Memory Stick, Compact Flash. Duplicadores de HDs com suporte às principais interfaces, tais como: IDE, Enhanced IDE, Narrow SCSI, Wide SCSI, Ultra SCSI e SCA. Podem transferir dados de diferentes interfaces. Duplicação em larga escala substitui com inúmeras vantagens os atuais processos de clonagem de discos via software. Ideal para operações de deploy- ment e fábricas de PCs. Live CD Além do Live CD, em nosso curso utilizaremos o VMWare, ambiente virtual que simula um computador real, permitindo a execução de praticamente qualquer sistema operacional. Utilizaremos uma imagem do CD do Helix associada ao CD-ROM da máquina virtual. Configurações da máquina virtual: 256 MB de RAM Disco rígido de 8 GB, para armazenar dados dos exercícios e servir como exemplo Imagem do Helix associada ao CD-ROM Placa de rede host-only (só se conecta ao computador local) Com o VMWare, podemos reverter o estado da máquina virtual para estados anteriores, evitando assim a perda de dados proveniente de comandos errados. Estações e servidores para computação forense Duplicadores de HDs e equipamentos para bloqueio de escrita em mídias digitais 24 Análise forense – Sessão de aprendizagem 2 Escola Superior de Redes RNP Redes Wi-Fi Equipamento dedicado para análise de sinal WLAN 802.11 e ciências forenses. O foco do produto é a facilidade de uso e automação. É capaz de capturar todo o tráfego Wi-Fi num raio de 4 km fazendo uso simultâneo dos 14 canais de comunicação 802.11. Completamente invisível na rede, permite o armazenamento dos pacotes em padrões que podem ser usados por qualquer ferramenta de análise forense de rede. Realiza a decriptografia simultânea de WEP e WPA. Celulares XRY – A análise forense de aparelhos celulares ganha outra dimensão com o \\ uso do .XRY. Incrivelmente rápido, seguro e prático de usar. O visualizador de dados é gratuito, permitindo a análise distribuída por uma equipe maior e o compartilhamento de informações. SIM ID Cloner – Permite análise em celulares com chip bloqueado ou danificado. \\ Pacote forense Helix Este software oferece aos profissionaisda área a possibilidade de executar vários processos de análise forense computacional. Suporta diversos sistemas operacionais. Pode ser executado através de um sistema operacional ou antes do início do sistema operacional. Suas principais características são: Suporte aos sistemas operacionais das \\ plataformas Windows, Linux e Solaris; Mostra informações do sistema, como: versão do \\ sistema operacional, rede, discos, partições e o sistema de arquivos, além do tamanho; Realiza cópia perfeita de disco e memória \\ física, em outra área, como a rede ou em mídia removível; Disponibiliza o acesso a vinte ferramentas de \\ perícia forense computacional; Pacote forense Helix The Coroner's Toolkit Flag-Knoppix SMART Linux Comerciais FTK Forensic Toolkit EnCase Celulares Helix Wireless Wi-Fi 25 Ambiente e ferramentas de análise forense Possui algumas documentações a respeito de perícia forense computacional \\ que podem ajudar o perito a desenvolver o seu trabalho; Possui um navegador que possibilita expandir os discos e verificar algumas \\ propriedades dos arquivos e pastas; Contém uma ferramenta de procura rápida por imagens de diversos formatos \\ no computador; Possui um editor de texto para realizar anotações importantes sobre o que \\ está sendo analisado. FTK Forensic Toolkit Oferece aos profissionais da área a habilidade de executar perícias completas nos computadores. Com esta ferramenta é possível customizar filtros que permitem a pesquisa em milhares de arquivos e encontrar a evidência rapidamente. O FTK é conhecido no mercado como uma das principais ferramentas de análise forense de e-mail. Suas principais características são: Recuperação de e-mails excluídos;\\ Visualização de registros;\\ Gera auditoria de logs e relatórios de casos\\ ; Recupera automaticamente arquivos excluídos e partições;\\ Visualiza mais de 270 formatos diferentes de arquivos;\\ O FTK Explorer permite que se navegue rapidamente pelas imagens encontradas;\\ FTK Forensic Toolkit 26 Análise forense – Sessão de aprendizagem 2 Escola Superior de Redes RNP Suporta vários sistemas de arquivos, como NTFS, FAT12, FAT16, FAT32, Linux \\ Ext2 e Ext3; Suporta os formatos de imagens de outros programas, como o EnCase;\\ É suportado por vários clientes de e-mail, como o Outlook, Outlook Express, \\ Yahoo, Hotmail etc. Pesquisa, visualiza, imprime e exporta mensagens de e-mails e anexos; \\ Extrai informações da maioria dos arquivos compactados.\\ EnCase Forensics Ferramenta gráfica do setor de tecnologia da investigação forense de computado- res. Com uma interface de uso intuitivo, auxilia o perito na análise e aquisição dos dados, realiza busca em diversas mídias e gera documentação. O programa foi desenvolvido para atender a necessidade dos peritos em buscar informações no formato eletrônico, tais como e-mails e internet. Suas principais características são: Investigação reativa;\\ Provas não repudiáveis;\\ Reforça metodologia internacional;\\ Acesso a informações escondidas;\\ Automatização de pesquisas;\\ Resposta a incidentes e combate a fraudes;\\ Investigação pró-ativa;\\ Resposta a incidentes após a última linha de defesa;\\ Documentação de incidentes;\\ Discrição;\\ Assertividade no processo de recuperação.\\ EnCase Forensics 27 Ambiente e ferramentas de análise forense NetWitness Ferramenta capaz de analisar o tráfego que flui na rede. Anos de colaboração com o departamento de inteligência dos EUA fizeram com que o NetWitness seja capaz de analisar grande volume de informação dinâmica, respondendo imediata- mente a ataques: quem fez o quê, onde, quando, como e por quê. Programas específicos O processamento de imagens está integrado aos sistemas de investigação mais avançados do mundo. O resultado dessa combinação é o enorme aumento de produtividade e expansão dos limites humanos, quando for necessário o processa- mento de grande quantidade de imagens. Net Witness Software para reconhecimento visual de imagens 28 Análise forense – Sessão de aprendizagem 2 Escola Superior de Redes RNP Para exemplificar, veja as imagens da capa da revista Time. A da esquerda é a original; a da direita contém uma informação secreta, que só poderá ser descoberta por quem tiver a senha e o programa apropriado. Gargoyle Investigator Forensic Busca a identificação de armas digitais em sistemas isolados. Compatível com imagens capturadas por EnCase, DD, FTK e outros. Expande a funcionalidade para busca em rede por toda a corporação, incluindo: Anti Forensics, Binary Editors, BotNets, Credit Card Fraud Tools, Denial of Service Tools, Encryption, Steganography, Exploit Scanners, File Splitters, Gaming Tools, Keyloggers, Spyware, Peer to Peer Communications, Password Crackers, Remote Access Tools, Trojans, Worms, Rootkits, Wired and Wireless Surveillance. Stego realiza a detecção de esteganografia em imagens ou arquivos de áudio diretamente no sistema de arquivos, em HDs capturados ou pela internet. Realiza a análise detalhada e a busca dos arquivos altamente supeitos. Realiza ataques de dicionário e força bruta contra algoritmos conhecidos de esteganografia. Ultimate Toolkit contém várias ferramentas necessárias para investigação e perícia de computadores e outras evidências digitais. Dentre as principais, desta- camos: Forensic Toolkit, Registry Viewer, Password Recovery Toolkit e Distributed Network Attack. Rainbow Tables é uma ferramenta de ataque pré-computado de força bruta que reduz o tempo de quebra de chaves de criptografia de 40 bits para segundos. Um ataque de força bruta sobre uma chave de 4 bits deve processar 1 trilhão de possibilidades, e um Pentium IV processando 500.000 combinações por segundo levaria 25 dias para completá-lo. Com Rainbow Tables você pode decriptografar um documento de Word em segundos ou minutos, ao invés de dias. Mercury encontra as evidências de maneira rápida. Integrado ao EnCase Forensics, indexa o arquivo de evidências e permite buscas avançadas por pala- vras-chaves, proximidade, combinações etc. Pode ser distribuído para pessoas que não possuem conhecimento técnico, aumentando a produtividade da equipe de investigação. Esteganografia 29 Ambiente e ferramentas de análise forense Preparação da investigação A primeira ação é preparar as ferramentas e disposi- tivos para a coleta das evidências. Ao investigar um sistema possivelmente compro- metido que esteja ligado, o investigador deve se preocupar em coletar primeiro as informações mais voláteis, como memória RAM, informações de rede, processos em execução, cópia do disco rígido, logs e históricos. Normalmente, o investigador vai ter a sua disposição equipamentos de armazenagem e de rede para se comunicar com o sistema suspeito. Durante o curso, utilizaremos o Live CD do Helix em um sistema virtual, como por exemplo no atendi- mento a incidentes em sistemas ligados. Preparação do ambiente # fdisk -l8 Disk /dev/sda: 8589 MB, 8589934592 bytes 255 heads, 63 sectors/track, 1044 cylinders Units = cylinders of 16065 * 512 = 8225280 bytes Device Boot Start End Blocks Id System /dev/sda1 1 32 257008+ 82 Linuxswap /dev/sda2 33 64 257040 83 Linux /dev/sda3 65 1044 7871850 5 Extended /dev/sda5 65 1044 7871818+ 83 Linux # mkdir /data8 # mount /dev/sda5 /data8 Preparação da investigação No atendimento inicial a um incidente, o investigador deve: Coletar o máximo possível de evidências Comprovar o incidente Conter possíveis ataques originados no sistema comprometido Como fazer tudo isso, minimizando a perda de dados? Nesta hora, a utilização de um checklist pode ajudar, principalmentese o sistema ainda estiver ligado. A resposta precisa ser rápida e precisa. Preparação da investigação Primeira ação: preparar as ferramentas e dispositivos para a coleta das evidências. Coletar primeiro as informações mais voláteis: Memória RAM, informações de rede, processos em execução, cópia do disco rígido, logs, históricos; Possuir equipamentos de armazenagem e de rede para comunicação com o sistema suspeito. Durante o curso, vamos utilizar o Live CD do Helix em um sistema virtual, como por exemplo no atendimento a incidentes em sistemas ligados. Preparação do ambiente Inicialmente, preparemos o ambiente que vamos utilizar durante o atendimento ao incidente: # fdisk –l� Disk /dev/sda: 8589 MB, 8589934592 bytes 255 heads, 63 sectors/track, 1044 cylinders Units = cylinders of 16065 * 512 = 8225280 bytes Device Boot Start End Blocks Id System /dev/sda1 1 32 257008+ 82 Linuxswap /dev/sda2 33 64 257040 83 Linux /dev/sda3 65 1044 7871850 5 Extended /dev/sda5 65 1044 7871818+ 83 Linux # mkdir /data� # mount /dev/sda5 /data� 30 Análise forense – Sessão de aprendizagem 2 Escola Superior de Redes RNP Neste exemplo, vamos copiar a memória RAM do sis- tema virtual para um arquivo, e gravá-lo no diretório mon- tado previamente. Pode acontecer de algum aluno não ter montado a partição do disco conforme mostrado, e acontecer um erro por falta de espaço. Consulte o slide anterior para montar a partição do disco corretamente. O comando netcat (nc) é muito importante para o analista forense. Ele permite criar conexões de rede TCP ou UDP com outras máquinas, além de criar listeners, permitindo simular a existência de um serviço, ou, como no exemplo, permitir a cópia de arquivos pela rede sem utilização de software específico para isso. O instrutor deve tomar algum tempo para mostrar o funcionamento do netcat, especificamente no exemplo dado. No exemplo, o aluno vai utilizar o netcat para criar um listener na máquina, na porta 4000, redirecionando a saída dele para um arquivo. A seguir, em outro terminal, o aluno vai executar o memdump, redirecionando a saída dele para o netcat, que vai criar uma conexão com a máquina local, na porta 4000, e enviar toda a saída do memdump para essa conexão. Com isso, a saída do comando memdump vai ser transmitida pela rede (neste caso, localmente, mas normalmente através da rede física) para o arquivo especi- ficado no primeiro redirecionamento. É possível redirecionar para uma conexão de rede, e coletar remotamente o arquivo em nossa estação forense: Na estação forense: # nc -l -p 4000 > /data/phys_memory.img8 Na máquina suspeita: # memdump | nc 127.0.0.1 40008 Durante a fase de análise das evidências, o inves- tigador vai precisar correlacionar as evidências encontradas na máquina invadida com evidências externas, como logs de firewall, roteadores, IDS etc. O sincronismo de tempo e a coerência entre os time- zones dessas evidências é importante para garantir a validade das conclusões encontradas através das evidências. Por isso é importante descobrir essa informação o quanto antes, durante o atendimento inicial do incidente. Preparação do ambiente A memória RAM é a informação mais volátil que existe no sistema. No Helix, temos uma ferramenta chamada memdump, que faz uma cópia da memória RAM, que podemos redirecionar para um arquivo em disco: # memdump > /data/phys_memory.img� Além disso, podemos redirecionar para uma conexão de rede, e coletar remotamente o arquivo em nossa estação forense: Na estação forense: # nc -l -p 4000 > /data/phys_memory.img� Na máquina suspeita: # memdump | nc 127.0.0.1 4000� Preparação do ambiente Passos importantes durante o atendimento a um incidente: Manter um registro preciso de todas as ações executadas, registrando todos os comandos executados, com os respectivos tempos de execução. Descobrir se as informações de tempo disponíveis em suas evidências são coerentes. O timezone de logs e da máquina é um dado muito importante. Por isso, após recuperar a memória da máquina, é importante descobrir essas informações: # date� Sun Jan 6 01:34:46 MST 2008 # uptime� 01:35:16 up 7:55, 5 users, load average: 0.13, 0.26, 0.18 Nota: O memdump tem um parâmetro para copiar a memória do kernel do Linux, além de copiar a memória física. Este parâmetro não funciona dentro do sistema virtual. 31 Ambiente e ferramentas de análise forense Este passo normalmente é o primeiro a ser realizado, mas como tentamos evitar ao máximo o comprometimento de evidências, executamos estes comandos somente após a coleta da memória, pois a execução destes comandos poderia sobrescrever alguma evidência em memória. O instrutor pode comentar sobre a necessidade de manter dispositivos sincroniza- dos, de preferência com servidores NTP confiáveis, e sobre o funcionamento do timezone e do relógio do sistema, que está sempre em UTC. A configuração de timezone é utilizada somente para mostrar a hora no valor local. No início da investigação, um passo importante durante o atendimento a um inci- dente é manter um registro preciso de todas as ações executadas; para isso, é necessário registrar todos os comandos executados, com os respectivos tempos de execução. Além disso, é importante descobrir se as informações de tempo disponíveis em suas evidências são coerentes. O timezone de logs e da máquina é um dado muito importante. Por isso, após recuperar a memória da máquina, é importante descobrir essas informações: # date8 Sun Jan 6 01:34:46 MST 2008 # uptime8 01:35:16 up 7:55, 5 users, load average: 0.13, 0.26, 0.18 Coletando informações dos processos LSOF é um comando importante para a coleta de informações sobre processos e conexões de rede, porque integra a funcionalidade de diversas ferra- mentas diferentes. Pode funcionar como o netstat ou como o ps, por exemplo, além de ter a capacidade de listar arquivos abertos. Neste slide e no próximo, o instrutor pode dedicar algum tempo a testar os parâmetros do LSOF com mais profundidade, além dos parâmetros apresentados aqui. # lsof –l8 Lista todos os arquivos abertos. A saída pode ser grande, por isso use algum tipo de controle de saída. Use os comandos more ou less, por exemplo, ou redirecione a saída através do netcat. # lsof -i8 Lista todos os arquivos de rede abertos. Com isso é possível descobrir os programas que estão mantendo conexões abertas. Tem a mesma função do comando netstat –nap. Coletando informações dos processos # lsof –l� Lista todos os arquivos abertos. Use os comandos more ou less ou redirecione a saída através do netcat # lsof -i� Lista todos os arquivos de rede abertos, para descobrir os programas que estão mantendo conexões abertas. Tem a mesma função do comando netstat –nap. COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME Xorg 2252 root 1u IPv4 9383 TCP *:x11 (LISTEN) sshd 2792 root 3u IPv4 10359 TCP *:ssh (LISTEN) pump 2870 root 0u IPv4 10612 TCP *:bootpc (LISTEN) sshd 2872 root 3u IPv4 10647 TCP 192.168.47.129:ssh- >192.168.47.1:4944 (ESTABLISHED) 32 Análise forense – Sessão de aprendizagem 2 Escola Superior de Redes RNP COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME Xorg 2252 root 1u IPv4 9383 TCP *:x11 (LISTEN) sshd 2792 root 3u IPv4 10359 TCP *:ssh (LISTEN) pump 2870 root 0u IPv4 10612 TCP *:bootpc (LISTEN) sshd 2872 root 3u IPv4 10647 TCP 192.168.47.129:ssh->192.168.47.1:4944 (ESTABLISHED) Uma maneira de utilizar o LSOF é em conjunto com o comando grep. Podemos limitar o que o LSOF mostra, para listar todos os arquivos abertos por um determinadocomando (lsof –l | grep netscape) ou todos os programas que mantêm um listener aberto. # lsof -l | grep LISTEN8 Xorg 2252 0 1u IPv4 9383 TCP *:x11 (LISTEN) sshd 2792 0 3u IPv4 10359 TCP *:ssh (LISTEN) pump 2870 0 0u IPv4 10612 TCP *:bootpc (LISTEN) Este comando mostra todos os processos que mantêm um socket Unix aberto. Pode ser importante para descobrir processos escondidos que estão mantendo conexões abertas e pipes que podem indi- car a presença de trojans e rootkits. # lsof -U8 COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME udevd 517 root 3u unix 0xce957e00 4060 socket dbus-daem 1485 messagebus 3u unix 0xce957c80 7524 /var/run/dbus/system_bus_socket dbus-daem 1485 messagebus 5u unix 0xce957b00 7526 socket Outra forma de recuperar informações sobre pro- cessos é através do diretório /proc. Este diretório é criado virtualmente pelo kernel do sistema operacio- nal para armazenar informações sobre o hardware e software básicos do sistema. Para cada processo, um diretório é criado com diversos dados sobre ele: # ls /proc/28778 attr auxv cmdline cwd environ exe fd maps mem mounts mountstats oom_adj oom_sco re root seccomp smaps stat statm status task wchan É importante perceber que, como este diretório é vir- tual, isto é, não existe fisicamente no disco, qualquer modificação feita nele não vai comprometer as evidências em disco. Contudo, é importante notar que é preciso ter muito cuidado para não modificar nada mais além deste diretório. Como podemos ver, para cada processo existem diversas informações disponíveis. Alguns destes arquivos contêm dados importantes sobre o processo em execução. Coletando informações dos processos Utilização de LSOF em conjunto com o comando grep: # lsof -l | grep LISTEN� Xorg 2252 0 1u IPv4 9383 TCP *:x11 (LISTEN) sshd 2792 0 3u IPv4 10359 TCP *:ssh (LISTEN) pump 2870 0 0u IPv4 10612 TCP *:bootpc (LISTEN) Este comando mostra todos os processos que mantêm um socket Unix aberto: # lsof -U� COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME udevd 517 root 3u unix 0xce957e00 4060 socket dbus-daem 1485 messagebus 3u unix 0xce957c80 7524 /var/run/dbus/system_bus_socket dbus-daem 1485 messagebus 5u unix 0xce957b00 7526 socket Coletando informações dos processos Recuperação de informações sobre processos através do diretório /proc: # ls /proc/2877� attr auxv cmdline cwd environ exe fd maps mem mounts mountstats oom_adj oom_score root seccomp smaps stat statm status task wchan Para cada processo existem diversas informações disponíveis. Alguns destes arquivos contêm dados importantes sobre o processo em execução. 33 Ambiente e ferramentas de análise forense Muitas vezes, ao invadir uma máquina e instalar alguma ferramenta, o hacker costuma modificar o nome dos arquivos para nomes comuns em um sistema, como por exemplo sshd ou httpd. É impor- tante descobrir o diretório onde esses arquivos estão, sem comprometer evidências no disco, para comprovar o comprometimento da máquina. Análise de conteúdo de alguns arquivos O arquivo abaixo é na verdade um link para o diretório corrente do processo. Pode ser importante para des- cobrir se algum processo com um nome comum (por exemplo httpd) está sendo executado a partir de um diretório que não seja padrão. # ls -l /proc/2877/cwd8 lrwxrwxrwx 1 root root 0 Jan 5 18:50 /proc/2877/cwd -> /data O arquivo abaixo contém a linha de comando utilizada para iniciar o processo. Da mesma forma que o arquivo anterior, pode ser importante para descobrir proces- sos estranhos. # cat /proc/2877/cmdline8 -bash Outra forma de comprometer um sistema é através da instalação de bibliotecas compartilhadas modificadas. Neste caso, o hacker pode carregá-las de diversas maneiras, mas um meio comum é através da modi- ficação da variável de ambiente LD_PRELOAD, que define as bibliotecas compartilhadas que devem ser carregadas antes da execução de um binário qualquer. A existência desta variável apontando para um arquivo suspeito pode indicar o comprometimento da máquina. O arquivo abaixo contém as variáveis de ambiente utilizadas no momento da execução do programa. Repare que as variáveis de ambiente criadas pelo SSH aparecem aqui, o que pode ser importante para identificar algum programa que tenha sido executado remotamente. # cat /proc/2877/environ8 USER=rootLOGNAME=rootHOME=/rootPATH=/sbin:/bin:/usr/sbin:/usr/bin:/usr/local/sb in:/usr/local/bin:/usr/X11R6/binMAIL=/var/mail/root SHELL=/bin/bashSSH_CLIENT=192.168.47.1 4944 22SSH_CONNECTION=192.168.47.1 4944 192.168.47.129 22SSH_TTY=/dev/pts/2TERM=vt100 Coletando informações dos processos Conteúdo de alguns arquivos: O arquivo abaixo é na verdade um link para o diretório corrente do processo: # ls -l /proc/2877/cwd� lrwxrwxrwx 1 root root 0 Jan 5 18:50 /proc/2877/cwd -> /data O arquivo abaixo contém a linha de comando utilizada para iniciar o processo, servindo para identificar processos estranhos: # cat /proc/2877/cmdline� -bash Coletando informações dos processos O arquivo abaixo contém as variáveis de ambiente utilizadas no momento da execução do programa. # cat /proc/2877/environ� USER=rootLOGNAME=rootHOME=/rootPATH=/sbin:/bin:/u sr/sbin:/usr/bin:/usr/local/sbin:/usr/local/bin:/ usr/X11R6/binMAIL=/var/mail/rootSHELL=/bin/bashSS H_CLIENT=192.168.47.1 4944 22SSH_CONNECTION=192.168.47.1 4944 192.168.47.129 22SSH_TTY=/dev/pts/2TERM=vt100 34 Análise forense – Sessão de aprendizagem 2 Escola Superior de Redes RNP Este arquivo mostra informações de status do pro- cesso. Podemos ver informações sobre usuário/ grupo que executou o processo, memória e CPU utilizados, entre outras informações. # cat /proc/2877/status8 Name: bash State: S (sleeping) SleepAVG: 98% Tgid: 2877 Pid: 2877 PPid: 2872 TracerPid: 0 Uid: 0 0 0 0 Gid: 0 0 0 0 Este exemplo mostra como recuperar um processo em memória, sem precisar encontrar o arquivo corres- pondente em disco. É comum os hackers removerem do disco as ferramentas que instalam na máquina após executá-las, pois, dessa forma, se o sistema é reiniciado, não há mais traços de suas atividades. Por isso é importante tomar cuidado ao começar a investi- gar um sistema suspeito, pois simplesmente desligá-lo pode comprometer todas as evidências que o investi- gador teria para encontrar o responsável. Quando for necessário recuperar algum processo em memória, e o arquivo não existir mais em disco, ou você não quiser correr o risco de modificar evidências no disco, é possível recuperá-lo através do /proc. Vejamos um exemplo: # ps ax | grep sshd8 2792 ? Ss 0:00 /usr/sbin/sshd 2872 ? Ss 0:07 sshd: root@pts/2,pts/3 # cat /proc/2792/exe > /data/proc_2792_sshd.dat8 # sha1sum /data/proc_2792_sshd.dat /usr/sbin/sshd8 415b2c34037fad7d2cf54a55e35a3892bf03ebd6 /data/proc_2792_sshd.dat 415b2c34037fad7d2cf54a55e35a3892bf03ebd6 /usr/sbin/sshd Coletando informações dos processos Este arquivo mostra informações de status do processo: # cat /proc/2877/status� Name: bash State: S (sleeping) SleepAVG: 98% Tgid: 2877 Pid: 2877 PPid: 2872 TracerPid: 0 Uid: 0 0 0 0 Gid: 0 0 0 0 Coletando informações dos processos É possível recuperar processos através do /proc. Exemplo: # ps ax | grep sshd� 2792 ? Ss 0:00 /usr/sbin/sshd 2872 ? Ss 0:07 sshd: root@pts/2,pts/3 # cat /proc/2792/exe > /data/proc_2792_sshd.dat� # sha1sum /data/proc_2792_sshd.dat /usr/sbin/sshd� 415b2c34037fad7d2cf54a55e35a3892bf03ebd6 /data/proc_2792_sshd.dat 415b2c34037fad7d2cf54a55e35a3892bf03ebd6 /usr/sbin/sshd35 Ambiente e ferramentas de análise forense Preservação do disco Agora que já coletamos as informações mais voláteis, podemos nos preocupar em salvar as evidências menos voláteis. Precisamos coletar uma cópia de quaisquer dispositivos de armazenagem conectados ao equipamento. A coleta deste tipo de evidência é importante, pois será através dos dados armazenados nos discos que poderemos identificar processos executados pelo hacker, instalação de ferramentas, modificação de arquivos, enfim, poderemos criar uma linha do tempo das atividades da máquina. Para coletar uma cópia dos discos, existem diversas metodologias e ferramentas dis- poníveis, tais como equipamentos específicos para cópia de discos, ferramentas para cópia disco a disco, e o mais comum, a criação de uma “imagem de disco bit a bit”. Uma imagem “bit a bit” é uma cópia fiel do conteúdo do dispositivo de armazenagem, garantindo que todos os dados presentes no dispositivo estejam presentes na imagem. Existem diversos formatos de imagem, alguns por ferramentas específicas, como o software comercial EnCase, outros mais difundidos, como o formato DD. Neste curso vamos utilizar o formato DD, por ser mais difundido e mais facilmente manipulado dentro de um ambiente Linux. Para coletar uma imagem de um dispositivo de disco, utilizaremos a ferramenta dd (daí o nome do formato DD). Esta ferramenta, dispo- nível por padrão em qualquer sistema Linux, permite que se realizem cópias bit a bit entre dispositivos, ou então entre dispositivos e arquivos e vice-versa. A necessidade de zerar o conteúdo do disco que vai armazenar as evidências existe mais no caso de ser feita uma cópia de disco a disco. Como o disco novo geralmente não é exatamente igual ao disco copiado, em termos de tamanho, geometria etc, pode ser que existam algumas partes dele que não sejam sobres- critas pelo conteúdo do disco copiado. Com isso, dados que possam existir no disco novo vão continuar gravados nessas áreas, podendo confundir o investi- gador posteriormente. Mesmo assim, a ação de zerar o conteúdo dos discos de armazenagem é uma boa prática que deve ser sempre seguida. Preservação do disco Após a coleta de informações mais voláteis, é preciso salvar as evidências menos voláteis A coleta deste tipo de evidência é importante, pois será através dos dados armazenados nos discos que poderemos identificar processos executados pelo hacker, como instalação de ferramentas e modificação de arquivos Há diversas metodologias e ferramentas disponíveis para coletar uma cópia dos discos: Equipamentos específicos para cópia de discos Ferramentas para cópia disco a disco Criação de uma “imagem de disco bit a bit” (mais comum) Preservação do disco Neste curso vamos utilizar o formato DD, por ser mais difundido e mais facilmente manipulado dentro de um ambiente Linux. Para coletar uma imagem de um dispositivo de disco, utilizaremos a ferramenta dd (daí o nome do formato DD). Ferramenta disponível por padrão em qualquer sistema Linux, permite que se realizem cópias “bit a bit” entre dispositivos, ou então entre dispositivos e arquivos e vice-versa. Preservação do disco Antes de copiar as evidências, é necessário garantir que nosso dispositivo de armazenagem está limpo. Para isso, zerar o conteúdo do disco (antes de gravar qualquer evidência) com o seguinte comando: # dd if=/dev/zero of=/dev/<dispositivo> bs=512 conv=noerror� dd: writing `/dev/<dispositivo>': No space left on device 514018+0 records in 514017+0 records out 263176704 bytes (263 MB) copied, 4.17215 seconds, 63.1 MB/s 36 Análise forense – Sessão de aprendizagem 2 Escola Superior de Redes RNP Como não temos um dispositivo que possa ser zerado, é importante notar que não executaremos esse comando com um dispositivo. A execução desse comando pode ser feita em um arquivo comum, por exemplo, copiando um arquivo qualquer do diretório /data e executando os comandos abaixo: # strings –a <arquivo.dat>8 # dd if=/dev/zero of=<arquivo.dat> conv=noerror bs=1024 count=40968 # strings –a <arquivo.dat>8 Este comando copia 4 MB de zeros sobre o conteúdo do arquivo. Caso não seja especificado o tamanho, o DD continuaria copiando zeros até preencher o disco. No exemplo, mostramos que o conteúdo que existia no arquivo foi zerado (com os dois comandos strings, antes e depois do DD). Antes de copiar as evidências, é necessário garantir que nosso dispositivo de armazenagem está limpo. Uma maneira de garantir isso é zerando o conteúdo do disco antes de gravar qualquer evidência. Fazemos isso com o seguinte comando: # dd if=/dev/zero of=/dev/<dispositivo> bs=512 conv=noerror8 dd: writing `/dev/<dispositivo>’: No space left on device 514018+0 records in 514017+0 records out 263176704 bytes (263 MB) copied, 4.17215 seconds, 63.1 MB/s Aqui mostramos como realizar a cópia do disco de uma máquina suspeita. Este procedimento vale para qualquer tipo de partição, mas em alguns casos, onde o dispositivo de disco não tem uma partição DOS válida (disco da Sun ou Risc, por exemplo) a especificação do dispositivo é diferente. No entanto, como utilizamos Linux, provavelmente seria possível copiá-lo também. Estes são os passos para copiar uma partição de um disco para um arquivo de imagem: # dd if=/dev/sda1 of=/data/dev_sda1_swap.img bs=512 conv=noerror8 514017+0 records in 514017+0 records out 263176704 bytes (263 MB) copied, 36.8564 seconds, 7.1 MB/s # dd if=/dev/sda2 of=/data/dev_sda2.img_root.img bs=512 conv=noerror8 514080+0 records in 514080+0 records out 263208960 bytes (263 MB) copied, 36.4338 seconds, 7.2 MB/s Assim deve ser feito sucessivamente para todas as partições existentes no disco. Este método é ideal para copiar uma partição hospedada em dispositivos RAID. No caso de ser necessário copiar todo o disco, a única modificação a ser feita no comando é especificar o dispositivo completo no parâmetro if=<dev>. Preservação do disco Passos para copiar uma partição de um disco para um arquivo de imagem: # dd if=/dev/sda1 of=/data/dev_sda1_swap.img bs=512 conv=noerror� 514017+0 records in 514017+0 records out 263176704 bytes (263 MB) copied, 36.8564 seconds, 7.1 MB/s # dd if=/dev/sda2 of=/data/dev_sda2.img_root.img bs=512 conv=noerror� 514080+0 records in 514080+0 records out 263208960 bytes (263 MB) copied, 36.4338 seconds, 7.2 MB/s 37 Ambiente e ferramentas de análise forense Veja o exemplo abaixo: # dd if=/dev/sda of=/data/dev_sda.img bs=512 conv=noerror8 Outras formas de preservação do disco Voltaremos ao Sleuth Kit na próxima sessão. Por enquanto, é importante mostrar como as partições estão divididas no disco, e que é possível existirem espaços vazios entre as partições, que podem ser utilizados pelo hacker para armazenar dados invisíveis ao sistema operacional. Por exemplo, a tabela de partição fica armazenada no setor 0, e nor- malmente tem tamanho de um bloco. Os outros 62 blocos até o início da primeira partição estão livres. Ao copiar a estrutura completa do disco, teremos as partições do sistema, tabelas e estruturas do sistema de arquivos. Para ter acesso às partições e seus conteúdos, precisamos separar as partições. Uma ferramenta do pacote forense Sleuth Kit pode ser útil para identificar a estrutura do disco ou imagem: # /usr/local/sleuthkit-2.09/bin/mmls /dev/sda8 DOS Partition Table Offset Sector: 0 Units are in 512-byte sectors Slot Start End Length Description 00: ----- 0000000000 0000000000 0000000001 Primary Table (#0) 01: ----- 0000000001 0000000062 0000000062 Unallocated 02: 00:00 0000000063 0000514079 0000514017 Linux Swap (0x82) 03: 00:01 0000514080 0001028159 0000514080 Linux (0x83) 04: 00:02
Compartilhar