SlideShare ist ein Scribd-Unternehmen logo

Iccyber2012 sandro suffert apura - jacomo picolini teamcymru - desafio forense -publico

Sandro Suffert
Sandro Suffert

Este documento apresenta as informações sobre o Desafio Forense ICCyber 2012, incluindo ferramentas digitais como Sleuthkit, Volatility e Wireshark que podem ser úteis para resolver o desafio. O objetivo é descobrir uma frase final respondendo às etapas do desafio.

1 von 21
Downloaden Sie, um offline zu lesen
http://apura.com.br
Desafio Forense ICCyber 2012 Sandro Süffert, CTO Jacomo Picolini http://apura.com.br http://team-cymru.com http://blog.suffert.com @teamcymru @suffert @Apura_Oficial @dimmit
Agradecimentos: • Jacomo Piccolini – Team Cymru • Organização do evento (ABEAT/DPF) • Marcos Vinícius • Tiago, Itamar, Ruback • Guilherme Venere (desafio.exe) • Rodrigo, Ronaldo, Fernando, Breno, Helder (APURA) • Você!
Sobre o Desafio: • As informações do Desafio estão no endereço http://www.iccyber.org/2012/avisos/347_desafio-forense-na-iccyber-2012 • Lembre-se: • Diversão e conhecimento acima de tudo! • Respeito a todos os participantes! • Ética! • Novidades serão publicadas nos endereços • http://www.apura.com.br/ • http://blog.suffert.com 4
Este desafio vai abranger a Investigação em vários meios digitais + d a d o s + c o m p l e x i d a d e HD: Bit Byte Setor Cluster Arquivo 1 8bits 512B 8 setores / 4kb 1-n clusters Memória: Bit Byte Página Thread Processo 1 8bits 4kB n páginas n threads Rede: Bit Byte Pacote Stream Sessão 1 8bits n bytes n pacotes n streams
Sobre o Desafio Forense ICCYBER 2012 O desafio se iniciará após esta palestra quando serão informadas as credenciais de acesso à VM e a senha do arquivo /home/user/ desafio.zip O desafio é composto de etapas, cada etapa tem uma dica que leva ao próximo passo. Os ganhadores precisam indicar todas as etapas. Não será aceita uma resposta final sem que seja possível demonstrar que passou pelas etapas. As principais informações necessárias para a solução deste desafio serão apresentadas nesta palestra. Preste atenção, veja os comandos, anote as dicas! O uso da internet esta liberado, na duvida, Google it.
Sobre o Desafio • O desafio termina com uma frase. O primeiro que descobrir a frase deve chamar algum dos responsáveis pelo desafio e dizer a frase e as etapas que foram feitas para descobri-la. • Ao participar do desafio você concorda automaticamente com as regras. • Boa Sorte!!!! 7
Sleuthkit • O Sleuthkit é um conjunto de ferramentas forenses, open source e disponível para diversos sistemas operacionais. • http://www.sleuthkit.org/ - Sucessor do TCT de Farmer e Venema • Para o Desafio temos uma máquina virtual (Ubuntu) configurada com diversas ferramentas, entre elas o sleuthkit. • Vamos agora ver alguns dos comandos que podem ser necessários durante o Desafio. • Lembre-se existem MUITOS outros comandos e ferramentas!!! 8
Sleuthkit • Comando fsstat – fornece informações sobre uma partição • Uso # fsstat /dev/sdb1 9
Sleuthkit • Comando fls – lista informações sobre arquivos e diretórios • Uso # fls –arp –f fat32 /dev/sdb1 10
Sleuthkit • Comando istat – fornece informações sobre um Inode • Uso # istat <partição> <número do inode> 8 x 512 = 4096 = 4k 11
Sleuthkit • Comando icat – mostra o conteúdo de um Inode • Uso # icat /dev/sdb1 <número do Inode> 12
Sleuthkit • Comando dcat – mostra o conteúdo de um setor/bloco • Uso # dcat /dev/sdb1 <número do setor> 13
Volatility Volatility – identificar um dump de memória e listar os processos presentes $ volatility ident –f <dump> $ volatility pslist –f <dump>
Volatility Volatility – listar as conexões estabelecidas $ volatility connscan –f <memory-image.bin>
Volatility python volatility sockscan –f <memory-image.bin>
Volatility Volatility – fazer o dump de espaço de memória utilizado por um um processo específico $ volatility procdump –f <dump> -p <pid> Verificação preliminar de conteúdo de arquivos binários: $ hexdump –C <file.exe> $ strings –a <file.exe>
Wireshark Abrindo um arquivo .pcap no wireshark: $ wireshark file.pcap Decodificando base64: $ echo "dXN1YXJpbzpzZW5oYQ==" | base64 -d usuario:senha
Wireshark Extraindo arquivos transmitidos com o wireshark: Analyze > Follow TCP Stream..
Steghide - esteganografia $ steghide --embed -ef <arq_steg> -cf <imagem_base> -p $ steghide --extract -sf <imagem>
Vamos iniciar o Desafio! Premiação para o 1º lugar: Tablet Google Nexus 7 com Android 4.1 Premiação do 2º ao 3º lugar: Brindes + Convite ICCyber 2013 Premiacao do 4º e 5o: Brindes

Empfohlen

Treinamento com SphinxTrain
Treinamento com SphinxTrainTreinamento com SphinxTrain
Treinamento com SphinxTrain
Gabriel Araujo
 
Web m
Web mWeb m
Web m
Easy Communication & Technology
 
Coroner's toolkit
Coroner's toolkitCoroner's toolkit
Coroner's toolkit
Rodolfo Fonseca
 
KDC Spoofing com Kerberos MIT
KDC Spoofing com Kerberos MITKDC Spoofing com Kerberos MIT
KDC Spoofing com Kerberos MIT
Diego Santos
 
Kdc spoofing com kerberos mit
Kdc spoofing com kerberos mitKdc spoofing com kerberos mit
Kdc spoofing com kerberos mit
Marcelo Fleury
 
Imergindo jvm[Apresentação ]
Imergindo jvm[Apresentação ]Imergindo jvm[Apresentação ]
Imergindo jvm[Apresentação ]
Otávio Santana
 
Plataforma java: detalhes da JVM
Plataforma java: detalhes da JVMPlataforma java: detalhes da JVM
Plataforma java: detalhes da JVM
Caelum
 
Imergindo na JVM
Imergindo na JVMImergindo na JVM
Imergindo na JVM
Otávio Santana
 

Empfohlen

Treinamento com SphinxTrain
Treinamento com SphinxTrainTreinamento com SphinxTrain
Treinamento com SphinxTrain
Gabriel Araujo
 
Web m
Web mWeb m
Web m
Easy Communication & Technology
 
Coroner's toolkit
Coroner's toolkitCoroner's toolkit
Coroner's toolkit
Rodolfo Fonseca
 
KDC Spoofing com Kerberos MIT
KDC Spoofing com Kerberos MITKDC Spoofing com Kerberos MIT
KDC Spoofing com Kerberos MIT
Diego Santos
 
Kdc spoofing com kerberos mit
Kdc spoofing com kerberos mitKdc spoofing com kerberos mit
Kdc spoofing com kerberos mit
Marcelo Fleury
 
Imergindo jvm[Apresentação ]
Imergindo jvm[Apresentação ]Imergindo jvm[Apresentação ]
Imergindo jvm[Apresentação ]
Otávio Santana
 
Plataforma java: detalhes da JVM
Plataforma java: detalhes da JVMPlataforma java: detalhes da JVM
Plataforma java: detalhes da JVM
Caelum
 
Imergindo na JVM
Imergindo na JVMImergindo na JVM
Imergindo na JVM
Otávio Santana
 
Lab so-abertos-unidade8
Lab so-abertos-unidade8Lab so-abertos-unidade8
Lab so-abertos-unidade8
Leandro Almeida
 
Talk no Meetup LaravelSP #3
Talk no Meetup LaravelSP #3Talk no Meetup LaravelSP #3
Talk no Meetup LaravelSP #3
Wellington Silva
 
Sistemas Distribuídos - Computação Paralela - Introdução
Sistemas Distribuídos - Computação Paralela - IntroduçãoSistemas Distribuídos - Computação Paralela - Introdução
Sistemas Distribuídos - Computação Paralela - Introdução
Adriano Teixeira de Souza
 
Discos Rígidos e Unidades de Estado Sólido
Discos Rígidos e Unidades de Estado SólidoDiscos Rígidos e Unidades de Estado Sólido
Discos Rígidos e Unidades de Estado Sólido
Henrique Lima
 
Webinar: Conheça o RTOS NuttX
Webinar: Conheça o RTOS NuttXWebinar: Conheça o RTOS NuttX
Webinar: Conheça o RTOS NuttX
Embarcados
 
Vagrant vs docker? Melhor vagrant + docker
Vagrant vs docker? Melhor vagrant + dockerVagrant vs docker? Melhor vagrant + docker
Vagrant vs docker? Melhor vagrant + docker
Wellington Silva
 
Docker na vida real
Docker na vida realDocker na vida real
Docker na vida real
Fernando Ike
 
Linux de A a Z
Linux de A a ZLinux de A a Z
Linux de A a Z
flisolmaringa
 
Primeiros passos com o Docker
Primeiros passos com o DockerPrimeiros passos com o Docker
Primeiros passos com o Docker
WebSix
 
Soa#cap4.1 gestor de pacotes
Soa#cap4.1 gestor de pacotesSoa#cap4.1 gestor de pacotes
Soa#cap4.1 gestor de pacotes
portal_Do_estudante
 
Introdução ao Linux - aula 05
Introdução ao Linux - aula 05Introdução ao Linux - aula 05
Introdução ao Linux - aula 05
Renan Aryel
 
Vagrant & Docker: carregue seus ambientes no bolso
Vagrant & Docker: carregue seus ambientes no bolsoVagrant & Docker: carregue seus ambientes no bolso
Vagrant & Docker: carregue seus ambientes no bolso
Diogo Lucas
 
Apresentação docker
Apresentação dockerApresentação docker
Apresentação docker
Marcelo Fleury
 
Docker, facilitando a vida do desenvolvimento
Docker, facilitando a vida do desenvolvimentoDocker, facilitando a vida do desenvolvimento
Docker, facilitando a vida do desenvolvimento
Sérgio Lima
 
Comandos Linux Parte 1
Comandos Linux Parte 1Comandos Linux Parte 1
Comandos Linux Parte 1
Leo Amorim
 
Iniciando com docker
Iniciando com dockerIniciando com docker
Iniciando com docker
Marcelo Santos
 
Fedora - Config
Fedora - ConfigFedora - Config
Fedora - Config
Leonor Pina
 
Cap1 exercicios comandos linux resolucao part i
Cap1 exercicios comandos linux resolucao part iCap1 exercicios comandos linux resolucao part i
Cap1 exercicios comandos linux resolucao part i
portal_Do_estudante
 
3 FunçòEs Inorganicas
3 FunçòEs Inorganicas3 FunçòEs Inorganicas
3 FunçòEs Inorganicas
Raquel Gastao Daniel
 
17 sérgio zimmermann2
17 sérgio zimmermann217 sérgio zimmermann2
17 sérgio zimmermann2
BIONOV BIOPRODUTOS
 
Demonstração de como é formada a chuva ácida
Demonstração de como é formada a chuva ácidaDemonstração de como é formada a chuva ácida
Demonstração de como é formada a chuva ácida
Aline Vasconcelos
 
Funções inorgânicas - Nomenclatura de ácidos e bases
Funções inorgânicas - Nomenclatura de ácidos e basesFunções inorgânicas - Nomenclatura de ácidos e bases
Funções inorgânicas - Nomenclatura de ácidos e bases
Matheus Von Sohsten Tavares
 

Weitere ähnliche Inhalte

Was ist angesagt?

Sistemas Distribuídos - Computação Paralela - Introdução
Sistemas Distribuídos - Computação Paralela - IntroduçãoSistemas Distribuídos - Computação Paralela - Introdução
Sistemas Distribuídos - Computação Paralela - Introdução
Adriano Teixeira de Souza
 
Cap1 exercicios comandos linux resolucao part i
Cap1 exercicios comandos linux resolucao part iCap1 exercicios comandos linux resolucao part i
Cap1 exercicios comandos linux resolucao part i
portal_Do_estudante
 

Was ist angesagt? (18)

Lab so-abertos-unidade8
Lab so-abertos-unidade8Lab so-abertos-unidade8
Lab so-abertos-unidade8
 
Talk no Meetup LaravelSP #3
Talk no Meetup LaravelSP #3Talk no Meetup LaravelSP #3
Talk no Meetup LaravelSP #3
 
Sistemas Distribuídos - Computação Paralela - Introdução
Sistemas Distribuídos - Computação Paralela - IntroduçãoSistemas Distribuídos - Computação Paralela - Introdução
Sistemas Distribuídos - Computação Paralela - Introdução
 
Discos Rígidos e Unidades de Estado Sólido
Discos Rígidos e Unidades de Estado SólidoDiscos Rígidos e Unidades de Estado Sólido
Discos Rígidos e Unidades de Estado Sólido
 
Webinar: Conheça o RTOS NuttX
Webinar: Conheça o RTOS NuttXWebinar: Conheça o RTOS NuttX
Webinar: Conheça o RTOS NuttX
 
Vagrant vs docker? Melhor vagrant + docker
Vagrant vs docker? Melhor vagrant + dockerVagrant vs docker? Melhor vagrant + docker
Vagrant vs docker? Melhor vagrant + docker
 
Docker na vida real
Docker na vida realDocker na vida real
Docker na vida real
 
Linux de A a Z
Linux de A a ZLinux de A a Z
Linux de A a Z
 
Primeiros passos com o Docker
Primeiros passos com o DockerPrimeiros passos com o Docker
Primeiros passos com o Docker
 
Soa#cap4.1 gestor de pacotes
Soa#cap4.1 gestor de pacotesSoa#cap4.1 gestor de pacotes
Soa#cap4.1 gestor de pacotes
 
Introdução ao Linux - aula 05
Introdução ao Linux - aula 05Introdução ao Linux - aula 05
Introdução ao Linux - aula 05
 
Vagrant & Docker: carregue seus ambientes no bolso
Vagrant & Docker: carregue seus ambientes no bolsoVagrant & Docker: carregue seus ambientes no bolso
Vagrant & Docker: carregue seus ambientes no bolso
 
Apresentação docker
Apresentação dockerApresentação docker
Apresentação docker
 
Docker, facilitando a vida do desenvolvimento
Docker, facilitando a vida do desenvolvimentoDocker, facilitando a vida do desenvolvimento
Docker, facilitando a vida do desenvolvimento
 
Comandos Linux Parte 1
Comandos Linux Parte 1Comandos Linux Parte 1
Comandos Linux Parte 1
 
Iniciando com docker
Iniciando com dockerIniciando com docker
Iniciando com docker
 
Fedora - Config
Fedora - ConfigFedora - Config
Fedora - Config
 
Cap1 exercicios comandos linux resolucao part i
Cap1 exercicios comandos linux resolucao part iCap1 exercicios comandos linux resolucao part i
Cap1 exercicios comandos linux resolucao part i
 

Andere mochten auch

DU Homeo
DU HomeoDU Homeo
DU Homeo
Yrda77
 
La tinta dels nervis (estudi de l’efecte de les tintes de tatuatge sobre els ...
La tinta dels nervis (estudi de l’efecte de les tintes de tatuatge sobre els ...La tinta dels nervis (estudi de l’efecte de les tintes de tatuatge sobre els ...
La tinta dels nervis (estudi de l’efecte de les tintes de tatuatge sobre els ...
CRP del Tarragonès
 
Fitxa formulació tots els composts
Fitxa formulació tots els compostsFitxa formulació tots els composts
Fitxa formulació tots els composts
Rafael Alvarez Alonso
 
Rappels de nomenclature en chimie p12
Rappels de nomenclature en chimie p12Rappels de nomenclature en chimie p12
Rappels de nomenclature en chimie p12
verchier
 
Clase nomenclatura inorganica 2011
Clase nomenclatura inorganica 2011Clase nomenclatura inorganica 2011
Clase nomenclatura inorganica 2011
Segundo Medio
 
The Analytical Methods And Technologies Of Cyanide Chemistry Training
The Analytical Methods And Technologies Of Cyanide Chemistry TrainingThe Analytical Methods And Technologies Of Cyanide Chemistry Training
The Analytical Methods And Technologies Of Cyanide Chemistry Training
wlipps
 

Andere mochten auch (20)

3 FunçòEs Inorganicas
3 FunçòEs Inorganicas3 FunçòEs Inorganicas
3 FunçòEs Inorganicas
 
17 sérgio zimmermann2
17 sérgio zimmermann217 sérgio zimmermann2
17 sérgio zimmermann2
 
Demonstração de como é formada a chuva ácida
Demonstração de como é formada a chuva ácidaDemonstração de como é formada a chuva ácida
Demonstração de como é formada a chuva ácida
 
Funções inorgânicas - Nomenclatura de ácidos e bases
Funções inorgânicas - Nomenclatura de ácidos e basesFunções inorgânicas - Nomenclatura de ácidos e bases
Funções inorgânicas - Nomenclatura de ácidos e bases
 
Ácidos del Azufre
Ácidos del AzufreÁcidos del Azufre
Ácidos del Azufre
 
Sulfur, gran aliado de la Homepatía
Sulfur, gran aliado de la HomepatíaSulfur, gran aliado de la Homepatía
Sulfur, gran aliado de la Homepatía
 
DU Homeo
DU HomeoDU Homeo
DU Homeo
 
La tinta dels nervis (estudi de l’efecte de les tintes de tatuatge sobre els ...
La tinta dels nervis (estudi de l’efecte de les tintes de tatuatge sobre els ...La tinta dels nervis (estudi de l’efecte de les tintes de tatuatge sobre els ...
La tinta dels nervis (estudi de l’efecte de les tintes de tatuatge sobre els ...
 
Fitxa formulació tots els composts
Fitxa formulació tots els compostsFitxa formulació tots els composts
Fitxa formulació tots els composts
 
Fitxa tasca 4.sals binaries
Fitxa tasca 4.sals binariesFitxa tasca 4.sals binaries
Fitxa tasca 4.sals binaries
 
Les reaccions químiques
Les reaccions químiquesLes reaccions químiques
Les reaccions químiques
 
Formulacioacids Sals Binaries
Formulacioacids Sals BinariesFormulacioacids Sals Binaries
Formulacioacids Sals Binaries
 
Rappels de nomenclature en chimie p12
Rappels de nomenclature en chimie p12Rappels de nomenclature en chimie p12
Rappels de nomenclature en chimie p12
 
Clase nomenclatura inorganica 2011
Clase nomenclatura inorganica 2011Clase nomenclatura inorganica 2011
Clase nomenclatura inorganica 2011
 
Technip Evolución del mercado de Refinación
Technip Evolución del mercado de RefinaciónTechnip Evolución del mercado de Refinación
Technip Evolución del mercado de Refinación
 
asm 2015 ad v3 52215
asm 2015 ad v3 52215asm 2015 ad v3 52215
asm 2015 ad v3 52215
 
L’Estany roger
L’Estany rogerL’Estany roger
L’Estany roger
 
Nitrogen and sulfur metabolism
Nitrogen and sulfur metabolismNitrogen and sulfur metabolism
Nitrogen and sulfur metabolism
 
The Analytical Methods And Technologies Of Cyanide Chemistry Training
The Analytical Methods And Technologies Of Cyanide Chemistry TrainingThe Analytical Methods And Technologies Of Cyanide Chemistry Training
The Analytical Methods And Technologies Of Cyanide Chemistry Training
 
Chemolithotrophy sulfur oxidation metabolism
Chemolithotrophy sulfur oxidation metabolismChemolithotrophy sulfur oxidation metabolism
Chemolithotrophy sulfur oxidation metabolism
 

Ähnlich wie Iccyber2012 sandro suffert apura - jacomo picolini teamcymru - desafio forense -publico

Como Colaborar no Desenvolvimento do Kernel Linux - Fábio Olivé Leite
Como Colaborar no Desenvolvimento do Kernel Linux - Fábio Olivé LeiteComo Colaborar no Desenvolvimento do Kernel Linux - Fábio Olivé Leite
Como Colaborar no Desenvolvimento do Kernel Linux - Fábio Olivé Leite
Tchelinux
 
Análise de malware com software livre
Análise de malware com software livreAnálise de malware com software livre
Análise de malware com software livre
Diego Santos
 
Debian 6: Instalação e Hardening
Debian 6: Instalação e HardeningDebian 6: Instalação e Hardening
Debian 6: Instalação e Hardening
Bruna Griebeler
 
Novidades no OpenBSD 4.3 - Leonardo Menezes Vaz
Novidades no OpenBSD 4.3 - Leonardo Menezes VazNovidades no OpenBSD 4.3 - Leonardo Menezes Vaz
Novidades no OpenBSD 4.3 - Leonardo Menezes Vaz
Tchelinux
 
Desenvolvendo Sistemas de Linux Embarcado - Marcelo Veiga Neves
Desenvolvendo Sistemas de Linux Embarcado - Marcelo Veiga NevesDesenvolvendo Sistemas de Linux Embarcado - Marcelo Veiga Neves
Desenvolvendo Sistemas de Linux Embarcado - Marcelo Veiga Neves
Tchelinux
 

Ähnlich wie Iccyber2012 sandro suffert apura - jacomo picolini teamcymru - desafio forense -publico (20)

SNMP - Rafael Rodriques
SNMP - Rafael RodriquesSNMP - Rafael Rodriques
SNMP - Rafael Rodriques
 
Como Colaborar no Desenvolvimento do Kernel Linux - Fábio Olivé Leite
Como Colaborar no Desenvolvimento do Kernel Linux - Fábio Olivé LeiteComo Colaborar no Desenvolvimento do Kernel Linux - Fábio Olivé Leite
Como Colaborar no Desenvolvimento do Kernel Linux - Fábio Olivé Leite
 
Hackeando um SmartBOX (com android) e instalando Linux & JAVA & OpenDevice
Hackeando um SmartBOX (com android) e instalando Linux & JAVA & OpenDeviceHackeando um SmartBOX (com android) e instalando Linux & JAVA & OpenDevice
Hackeando um SmartBOX (com android) e instalando Linux & JAVA & OpenDevice
 
Análise de malware com software livre
Análise de malware com software livreAnálise de malware com software livre
Análise de malware com software livre
 
C Sharp - Gerenciamento de Memória
C Sharp - Gerenciamento de MemóriaC Sharp - Gerenciamento de Memória
C Sharp - Gerenciamento de Memória
 
Mini-curso CUDA
Mini-curso CUDAMini-curso CUDA
Mini-curso CUDA
 
Minicurso GNU/Linux
Minicurso GNU/LinuxMinicurso GNU/Linux
Minicurso GNU/Linux
 
Debian 6: Instalação e Hardening
Debian 6: Instalação e HardeningDebian 6: Instalação e Hardening
Debian 6: Instalação e Hardening
 
Instalando o MySQL em menos de 10 minutos
Instalando o MySQL em menos de 10 minutosInstalando o MySQL em menos de 10 minutos
Instalando o MySQL em menos de 10 minutos
 
OpenSolaris a Céu Aberto
OpenSolaris a Céu AbertoOpenSolaris a Céu Aberto
OpenSolaris a Céu Aberto
 
Novidades no OpenBSD 4.3 - Leonardo Menezes Vaz
Novidades no OpenBSD 4.3 - Leonardo Menezes VazNovidades no OpenBSD 4.3 - Leonardo Menezes Vaz
Novidades no OpenBSD 4.3 - Leonardo Menezes Vaz
 
Forense Computacional com Software Livre
Forense Computacional com Software LivreForense Computacional com Software Livre
Forense Computacional com Software Livre
 
Beers & Bytes - O Futuro da virtualização
Beers & Bytes - O Futuro da virtualizaçãoBeers & Bytes - O Futuro da virtualização
Beers & Bytes - O Futuro da virtualização
 
Android forensics the hard work
Android forensics the hard workAndroid forensics the hard work
Android forensics the hard work
 
TDC2017 | São Paulo - Trilha Containers How we figured out we had a SRE team ...
TDC2017 | São Paulo - Trilha Containers How we figured out we had a SRE team ...TDC2017 | São Paulo - Trilha Containers How we figured out we had a SRE team ...
TDC2017 | São Paulo - Trilha Containers How we figured out we had a SRE team ...
 
Protegendo Docker
Protegendo DockerProtegendo Docker
Protegendo Docker
 
Desenvolvendo Sistemas de Linux Embarcado - Marcelo Veiga Neves
Desenvolvendo Sistemas de Linux Embarcado - Marcelo Veiga NevesDesenvolvendo Sistemas de Linux Embarcado - Marcelo Veiga Neves
Desenvolvendo Sistemas de Linux Embarcado - Marcelo Veiga Neves
 
Desenvolvendo Sistemas de Linux Embarcado - Tchelinux 2009
Desenvolvendo Sistemas de Linux Embarcado - Tchelinux 2009Desenvolvendo Sistemas de Linux Embarcado - Tchelinux 2009
Desenvolvendo Sistemas de Linux Embarcado - Tchelinux 2009
 
MEO Cloud - Python Lisbon Meetup
MEO Cloud - Python Lisbon MeetupMEO Cloud - Python Lisbon Meetup
MEO Cloud - Python Lisbon Meetup
 
Gerenciamento de Memória
Gerenciamento de MemóriaGerenciamento de Memória
Gerenciamento de Memória
 

Mehr von Sandro Suffert

Forense windows registro_sandro_suffert
Forense windows registro_sandro_suffertForense windows registro_sandro_suffert
Forense windows registro_sandro_suffert
Sandro Suffert
 

Mehr von Sandro Suffert (7)

2010 2013 sandro suffert memory forensics introdutory work shop - public
2010 2013 sandro suffert memory forensics introdutory work shop - public2010 2013 sandro suffert memory forensics introdutory work shop - public
2010 2013 sandro suffert memory forensics introdutory work shop - public
 
Desafios para a Cibersegurança em 2014 e 2016
Desafios para a Cibersegurança em 2014 e 2016Desafios para a Cibersegurança em 2014 e 2016
Desafios para a Cibersegurança em 2014 e 2016
 
Iccyber 2012 sandro suffert - apura - evolucao das tecnicas de investigacao...
Iccyber 2012 sandro suffert - apura - evolucao das tecnicas de investigacao...Iccyber 2012 sandro suffert - apura - evolucao das tecnicas de investigacao...
Iccyber 2012 sandro suffert - apura - evolucao das tecnicas de investigacao...
 
Forense windows registro_sandro_suffert
Forense windows registro_sandro_suffertForense windows registro_sandro_suffert
Forense windows registro_sandro_suffert
 
201108 sandro süffert - desafios em forense computacional e resposta a incide...
201108 sandro süffert - desafios em forense computacional e resposta a incide...201108 sandro süffert - desafios em forense computacional e resposta a incide...
201108 sandro süffert - desafios em forense computacional e resposta a incide...
 
Forense memoria windows_sandro_suffert_2009_2010
Forense memoria windows_sandro_suffert_2009_2010Forense memoria windows_sandro_suffert_2009_2010
Forense memoria windows_sandro_suffert_2009_2010
 
Iccyber 2010 - Sandro Süffert Avanços Tecnológicos
Iccyber 2010 - Sandro Süffert Avanços TecnológicosIccyber 2010 - Sandro Süffert Avanços Tecnológicos
Iccyber 2010 - Sandro Süffert Avanços Tecnológicos
 

Iccyber2012 sandro suffert apura - jacomo picolini teamcymru - desafio forense -publico

  • 2. Desafio Forense ICCyber 2012 Sandro Süffert, CTO Jacomo Picolini http://apura.com.br http://team-cymru.com http://blog.suffert.com @teamcymru @suffert @Apura_Oficial @dimmit
  • 3. Agradecimentos: • Jacomo Piccolini – Team Cymru • Organização do evento (ABEAT/DPF) • Marcos Vinícius • Tiago, Itamar, Ruback • Guilherme Venere (desafio.exe) • Rodrigo, Ronaldo, Fernando, Breno, Helder (APURA) • Você!
  • 4. Sobre o Desafio: • As informações do Desafio estão no endereço http://www.iccyber.org/2012/avisos/347_desafio-forense-na-iccyber-2012 • Lembre-se: • Diversão e conhecimento acima de tudo! • Respeito a todos os participantes! • Ética! • Novidades serão publicadas nos endereços • http://www.apura.com.br/ • http://blog.suffert.com 4
  • 5. Este desafio vai abranger a Investigação em vários meios digitais + d a d o s + c o m p l e x i d a d e HD: Bit Byte Setor Cluster Arquivo 1 8bits 512B 8 setores / 4kb 1-n clusters Memória: Bit Byte Página Thread Processo 1 8bits 4kB n páginas n threads Rede: Bit Byte Pacote Stream Sessão 1 8bits n bytes n pacotes n streams
  • 6. Sobre o Desafio Forense ICCYBER 2012 O desafio se iniciará após esta palestra quando serão informadas as credenciais de acesso à VM e a senha do arquivo /home/user/ desafio.zip O desafio é composto de etapas, cada etapa tem uma dica que leva ao próximo passo. Os ganhadores precisam indicar todas as etapas. Não será aceita uma resposta final sem que seja possível demonstrar que passou pelas etapas. As principais informações necessárias para a solução deste desafio serão apresentadas nesta palestra. Preste atenção, veja os comandos, anote as dicas! O uso da internet esta liberado, na duvida, Google it.
  • 7. Sobre o Desafio • O desafio termina com uma frase. O primeiro que descobrir a frase deve chamar algum dos responsáveis pelo desafio e dizer a frase e as etapas que foram feitas para descobri-la. • Ao participar do desafio você concorda automaticamente com as regras. • Boa Sorte!!!! 7
  • 8. Sleuthkit • O Sleuthkit é um conjunto de ferramentas forenses, open source e disponível para diversos sistemas operacionais. • http://www.sleuthkit.org/ - Sucessor do TCT de Farmer e Venema • Para o Desafio temos uma máquina virtual (Ubuntu) configurada com diversas ferramentas, entre elas o sleuthkit. • Vamos agora ver alguns dos comandos que podem ser necessários durante o Desafio. • Lembre-se existem MUITOS outros comandos e ferramentas!!! 8
  • 9. Sleuthkit • Comando fsstat – fornece informações sobre uma partição • Uso # fsstat /dev/sdb1 9
  • 10. Sleuthkit • Comando fls – lista informações sobre arquivos e diretórios • Uso # fls –arp –f fat32 /dev/sdb1 10
  • 11. Sleuthkit • Comando istat – fornece informações sobre um Inode • Uso # istat <partição> <número do inode> 8 x 512 = 4096 = 4k 11
  • 12. Sleuthkit • Comando icat – mostra o conteúdo de um Inode • Uso # icat /dev/sdb1 <número do Inode> 12
  • 13. Sleuthkit • Comando dcat – mostra o conteúdo de um setor/bloco • Uso # dcat /dev/sdb1 <número do setor> 13
  • 14. Volatility Volatility – identificar um dump de memória e listar os processos presentes $ volatility ident –f <dump> $ volatility pslist –f <dump>
  • 15. Volatility Volatility – listar as conexões estabelecidas $ volatility connscan –f <memory-image.bin>
  • 16. Volatility python volatility sockscan –f <memory-image.bin>
  • 17. Volatility Volatility – fazer o dump de espaço de memória utilizado por um um processo específico $ volatility procdump –f <dump> -p <pid> Verificação preliminar de conteúdo de arquivos binários: $ hexdump –C <file.exe> $ strings –a <file.exe>
  • 18. Wireshark Abrindo um arquivo .pcap no wireshark: $ wireshark file.pcap Decodificando base64: $ echo "dXN1YXJpbzpzZW5oYQ==" | base64 -d usuario:senha
  • 19. Wireshark Extraindo arquivos transmitidos com o wireshark: Analyze > Follow TCP Stream..
  • 20. Steghide - esteganografia $ steghide --embed -ef <arq_steg> -cf <imagem_base> -p $ steghide --extract -sf <imagem>
  • 21. Vamos iniciar o Desafio! Premiação para o 1º lugar: Tablet Google Nexus 7 com Android 4.1 Premiação do 2º ao 3º lugar: Brindes + Convite ICCyber 2013 Premiacao do 4º e 5o: Brindes