Este documento apresenta as informações sobre o Desafio Forense ICCyber 2012, incluindo ferramentas digitais como Sleuthkit, Volatility e Wireshark que podem ser úteis para resolver o desafio. O objetivo é descobrir uma frase final respondendo às etapas do desafio.
4. Sobre o Desafio:
• As informações do Desafio estão no endereço
http://www.iccyber.org/2012/avisos/347_desafio-forense-na-iccyber-2012
• Lembre-se:
• Diversão e conhecimento acima de tudo!
• Respeito a todos os participantes!
• Ética!
• Novidades serão publicadas nos endereços
• http://www.apura.com.br/
• http://blog.suffert.com
4
5. Este desafio vai abranger a Investigação em vários meios digitais
+ d a d o s + c o m p l e x i d a d e
HD: Bit Byte Setor Cluster Arquivo
1 8bits 512B 8 setores / 4kb 1-n clusters
Memória: Bit Byte Página Thread Processo
1 8bits 4kB n páginas n threads
Rede: Bit Byte Pacote Stream Sessão
1 8bits n bytes n pacotes n streams
6. Sobre o Desafio Forense ICCYBER 2012
O desafio se iniciará após esta palestra quando serão informadas
as credenciais de acesso à VM e a senha do arquivo /home/user/ desafio.zip
O desafio é composto de etapas, cada etapa tem uma dica
que leva ao próximo passo. Os ganhadores precisam
indicar todas as etapas. Não será aceita uma resposta final
sem que seja possível demonstrar que passou pelas etapas.
As principais informações necessárias para a solução deste desafio
serão apresentadas nesta palestra. Preste atenção, veja os comandos,
anote as dicas! O uso da internet esta liberado, na duvida, Google it.
7. Sobre o Desafio
• O desafio termina com uma frase. O primeiro que descobrir
a frase deve chamar algum dos responsáveis pelo desafio e
dizer a frase e as etapas que foram feitas para descobri-la.
• Ao participar do desafio você concorda automaticamente com as regras.
• Boa Sorte!!!!
7
8. Sleuthkit
• O Sleuthkit é um conjunto de ferramentas forenses, open source
e disponível para diversos sistemas operacionais.
• http://www.sleuthkit.org/ - Sucessor do TCT de Farmer e Venema
• Para o Desafio temos uma máquina virtual (Ubuntu) configurada
com diversas ferramentas, entre elas o sleuthkit.
• Vamos agora ver alguns dos comandos que podem ser necessários
durante o Desafio.
• Lembre-se existem MUITOS outros comandos e ferramentas!!!
8
9. Sleuthkit
• Comando fsstat – fornece informações sobre uma partição
• Uso # fsstat /dev/sdb1
9
10. Sleuthkit
• Comando fls – lista informações sobre arquivos e diretórios
• Uso # fls –arp –f fat32 /dev/sdb1
10
11. Sleuthkit
• Comando istat – fornece informações sobre um Inode
• Uso # istat <partição> <número do inode>
8 x 512 = 4096 =
4k
11
12. Sleuthkit
• Comando icat – mostra o conteúdo de um Inode
• Uso # icat /dev/sdb1 <número do Inode>
12
13. Sleuthkit
• Comando dcat – mostra o conteúdo de um setor/bloco
• Uso # dcat /dev/sdb1 <número do setor>
13
14. Volatility
Volatility – identificar um dump de memória e listar os processos presentes
$ volatility ident –f <dump>
$ volatility pslist –f <dump>
17. Volatility
Volatility – fazer o dump de espaço de memória utilizado por um um processo específico
$ volatility procdump –f <dump> -p <pid>
Verificação preliminar de conteúdo de arquivos binários:
$ hexdump –C <file.exe>
$ strings –a <file.exe>
18. Wireshark
Abrindo um arquivo .pcap no wireshark:
$ wireshark file.pcap
Decodificando base64:
$ echo "dXN1YXJpbzpzZW5oYQ==" | base64 -d
usuario:senha
21. Vamos iniciar o Desafio!
Premiação para o 1º lugar:
Tablet Google Nexus 7 com Android 4.1
Premiação do 2º ao 3º lugar:
Brindes + Convite ICCyber 2013
Premiacao do 4º e 5o: Brindes