Computação Forense 0800 Tony Rodrigues

C o m p u ta ç ã o F o r e n s e 0 8 0 0 (o u q u a s e !)
To n y R o d r ig u e s
in v.fo r e n s e a r r o b a g m a il p o n to c o m

Q uem sou ?

• Tony Rodrigues, C IS S P , C F C P , S e c u r ity +
• Gerente de Segurança de Informações em uma
Seguradora no Rio de Janeiro
• Perito/Investigador em Computação Forense
• Blog: http://forcomp.blogspot.com

Computação Forense 0800 (ou quase !)

Agenda
• Introdução
• Laboratório do Perito em Computação
Forense
• Benefícios do Software Livre
• Soluções
• Live CDs
• Utilitários
• Comparativo
• Faça o seu !


Laboratório do Perito - $$$$ !

• Entre outras coisas:
– Laptop
– Servidor
– Muita capacidade
Custo alto !!!
de storage
– Write Blockers
– Software

Aqui podemos fazer algo: Software
Livre


B e n e fí c io s d o S o ft w a r e L iv r e n a C o m p u ta ç ã o F o r e n s e

• São realmente soluções de baixo orçamento;
• Código fonte disponível para avaliação e
customização;
• Muitas ferramentas disponíveis para
aquisição de análise de imagens forenses;
• Muitos usuários em todo o mundo disponíveis
para ajudar;
• Comparação/Double Check dos resultados;
• Não é afetado pelo problema qualidade x
funcionalidades;
• Melhores resultados em avaliação de custo x
benefício;


S o lu ç õ e s d e S o ftw a r e L iv r e p a r a C o m p u ta ç ã o F o r e n s e

• Utilitários Windows e Linux
• Live CDs
• Pacotes
• Live DVDs
• Appliances de máquinas virtuais


H elix 3 L ive C D
• Era conhecido como o melhor live cd
para Computação Forense
– Versão 2009R1 só está disponível para
Membros do Helix Forum ($$$)
– Esta é a razão do “(ou quase)” no título
da palestra 
• Resposta a Incidentes em Windows
• Baseada no Ubuntu e no GNome
Desktop
• Muitas ferramentas disponíveis
• Talvez seja o mais usado live cd de
Computação Forense

H elix 3 L ive C D


H elix 3 L ive C D – R es pos ta a
I nc identes


H elix 3 L ive C D – P rós e C ontra s
• Prós
– Resposta a Incidentes baseada em
Windows
– Quantidade e qualidade das ferramentas
– Documentação
– Kernel customizado
• Contras
– Faltam algumas ferramentas mais novas
(PTK, p.ex.)
– Poucos lançamentos por ano
– 2008R1 é a última versão não-comercial

FC C U L ive C D
• Live CD da Federal Computer Crime Unit
(Polícia Federal Belga) Versão 12.1
• Baseada no Debian e no XFCE Desktop
• É o campeão das ferramentas (quantidade e
variedade)
• Ferramentas Windows para aquisição de
memória RAM
• Ferramentas exclusivas
– fuzzy hash
– browser history viewer múltiplo
– Análise de memória
• O melhor candidato para assumir o lugar do
Helix


FC C U L ive C D


FC C U L ive C D – P ró s e C ontra s
• Prós
– A existência de ferramentas Windows para aquisição da
RAM indica a estratégia de disponibilizar ferramentas
Windows para Resposta a Incidentes
– Quantidade, qualidade e variedade das ferramentas
– Documentação
– Atualizações freqüentes
– Ligado nas tendências do mercado
• Contras
– Ausência do Firefox
– Teclado Belga como default
– Precisa melhorar o menu

FD T K L ive C D
• Forense Digital ToolKit - Live CD
Brasileiro - Versão 2.01
• Baseado no Ubuntu e Gnome Desktop
• Muitas ferramentas disponíveis,
semelhante ao FCCU
• Menu detalhado
– Dc3dd GUI
• Usado em aulas de Computação Forense
da Unisinos


FD T K L ive C D


FD T K L ive C D – P rós e C ontra s
• Prós
– Atualizado freqüentemente
– Praticamente tem todas as ferramentas
acessíveis pelo menu
– Excelente opção para países de língua
Portuguesa
• Contras
– Faltam ferramentas de Network Forensics
– Teclado brasileiro (ABNT2) como default
– Documentação precisa melhorar


C A I N E L ive C D
• Live CD Computer Aided Investigative
Environment - Versão 0.4
• Baseado no Ubuntu e no Gnome Desktop
• Projeto da Universidade de Modena (Itália)
• Baseado na interface Caine
– SFDumper (dump de arquivos pelo tipo)
– Fundl (Undelete de arquivos)
• Gera relatórios automaticamente


C A I N E L ive C D


C A I N E L ive C D – C a ine I nterfa c e


C A I N E L ive C D – P rós e C ontra s
• Prós
– A interface CAINE auxilia nos passos da
investigação
– Documentação e relatórios semi-
automatizados
– Excelente ferramenta para iniciantes
• Contras
– Poucas ferramentas disponíveis
– Teclado Italiano como default
– Documentação precisa de melhorias


P la inS ig ht L ive C D
• Live CD PlainSight Versão 0.1
– Ferramenta produzida para uma tese de
Mestrado
• Baseado no Knoppix e no KDE Desktop
• A base é a interface PlainSight
– Spider
– RegRipper
• Ferramentas de Análise de Memória


P la inS ig ht L ive C D


P la inS ig ht L ive C D – P la inS ig ht
I nterfa c e


P la inS ig ht L ive C D – P rós e C ontra s
• Prós
– Possui importantes ferramentas de análise
(Memória/Registry)
– A interface PlainSight auxilia os passos da
investigação
– A interface PlainSight beneficia a criação de
relatórios
• Contras
– Não possui ferramentas necessárias para
uma investigação completa
– Não aparenta continuidade
– Precisa melhorar a documentação


D E FT L ive C D
• Live CD Italiano Digital Evidence and
Forensic Toolkit - Versão 4.1
• Baseado no Xubuntu e no xfce4 desktop
– Dhash (hash)
– XPlico (decodificador de tráfico de
internet)
– Catfish (buscador de arquivos)
• Não é para novatos
• Outro forte candidato a ser o melhor live
cd de Computação Forense


D E FT L ive C D


D E FT L ive C D – X plic o tool


D E FT L ive C D – P rós e C o ntra s
• Prós
– Possui um roadmap publicado do que será
implementado nas novas versões
– Boot rápido
– Disponível para USB em breve
– Só pelo Xplico já vale
• Contras
– Não tem programa GUI para configuração de
rede
– Faltam algumas ferramentas importantes para
análise (memória, browser, registry, etc)

ForL ex L ive C D
• Live CD Italiano Informatica Forense
Versão 1.5.0
• Baseado no Knoppix
– All in 1 (interface para o TSK)


ForL ex L ive C D


ForL ex L ive C D – A ll in 1


ForL ex L ive C D – P rós e C ontra s
• Prós
– All in 1
– Boot rápido
• Contras
– Website somente em italiano
– Faltam algumas ferramentas importantes
para análise (memória, browser, registry, etc)
– A versão 1.5.0 foi distribuída com alguns
utilitários desatualizados
– Teclado Italiano como default


U tilitá rio s – A quis iç ã o de I m a g ens
Fo rens es - G U I
PlainSight FDTK FCCU Helix ForLex
0.1 Caine 0.4 DEFT4.1 2.01 12.1 2.0 1.5.0
Linen Linen
Adepto
Air Air Air Air
dc3dd GUI
GuyMager GuyMager GuyMager GuyMager


U tilitá rio s – A quis iç ã o de I m a g ens Forens es
- C LI
PlainSight Caine FDTK FCCU ForLex
0.1 0.4 DEFT4.1 2.01 12.1 Helix 2.0 1.5.0
sdd sdd sdd
dd dd dd dd dd dd dd
dcfldd dcfldd dcfldd dcfldd dcfldd dcfldd
rdd rdd
dd_rescu
dd_rescue dd_rescue dd_rescue dd_rescue e dd_rescue
dd_rhelp dd_rhelp
ddrescue ddrescue ddrescue ddrescue
rddi rddi
dc3dd dc3dd dc3dd dc3dd
cstream
dds2tar dds2tar dds2tar dds2tar


U tilitá rios – A ná lis es
PlainSight Caine DEFT4. FDTK Helix ForLex
0.1 0.4 1 2.01 FCCU 12.1 2.0 1.5.0
SleuthK
Sleuthkit Sleuthkit Sleuthkit Sleuthkit SleuthKit it SleuthKit

Autopsy Autopsy Autopsy Autopsy Autopsy Autopsy
allin1.py allin1.py


U tilitá rios – C ria ç ã o de L inha do
T em po
PlainSight Caine DEFT4. FCCU ForLex
0.1 0.4 1 FDTK 2.01 12.1 Helix 2.0 1.5.0
mac-robber
mactime mactime mactime mactime mactime mactime
mac_gra
b.pl


U tilitá rios – D eleç ã o s eg ura
PlainSight Caine DEFT FDTK FCCU Helix ForLex
0.1 0.4 4.1 2.01 12.1 2.0 1.5.0
shread shread
wipe wipe wipe wipe wipe


U tilitá rios – C a rving
PlainSigh Caine ForLex
t 0.1 0.4 DEFT4.1 FDTK 2.01 FCCU 12.1 Helix 2.0 1.5.0
foremost foremost foremost foremost foremost foremost foremost
Scalpel Scalpel Scalpel Scalpel Scalpel Scalpel
photorec photorec photorec photorec
revit
foregone.pl
grepj-fat
magicrescue magicrescue magicrescue


U tilitá rio s – R ec upera ç ã o de S is tem a de
A rquivos
PlainSight Caine
0.1 0.4 DEFT4.1 FDTK 2.01 FCCU 12.1 Helix 2.0 ForLex 1.5.0
fatback fatback

testdisk testdisk testdisk testdisk
NTFS Tools NTFS Tools
Scrounge-NTFS Scrounge-NTFS Scrounge-NTFS
e2undel e2undel
recover recover recover
e2retrieve
myrescue
recoverdm
safecopy
ntfsundel
ntfsundelete ntfsundelete ete ntfsundelete
setmax setmax
sshfs
jfsutils jfsutils jfsutils
disktype disktype disktype disktype disktype disktype


U tilitá rios – H a s h
PlainSight Caine FCCU ForLex
0.1 0.4 DEFT4.1 FDTK 2.01 12.1 Helix 2.0 1.5.0
md5sum md5sum md5sum md5sum/md5deep md5deep md5deep md5sum
sha1deep/sha1su sha1dee
sha1sum sha1sum sha1sum m sha1deep p sha1sum

Dhash
Gtkhash
ssdeep ssdeep


U tilitá rios – A ná lis e de a tivida de de
I nternet
PlainSight Caine DEFT Helix ForLex
0.1 0.4 4.1 FDTK 2.01 FCCU 12.1 2.0 1.5.0
Pasco Pasco Pasco Pasco Pasco
Galleta Galleta Galleta
mork.p
mork.pl mork.pl mork.pl l
cookie_cruncher.pl cookie_cruncher.pl
dumpAutocomplete.py
bhv


U tilitá rios – A ná lis e de A rquivos
W indow s
PlainSight Caine DEFT Helix ForLex
0.1 0.4 4.1 FDTK 2.01 FCCU 12.1 2.0 1.5.0
Rifiuti Rifiuti
GrokEvt GrokEvt
dumpster_dive.pl dumpster_dive.pl
antiword antiword
Wvtools
mdbtools mdbtools
catdoc
tnef tnef tnef
opentnef
fccu-docprop fccu-docprop
fccu.evtreader fccu.evtreader
pdftk pdftk
yim2text
evtviewer
ppsei
clit


U tilitá rios – A ntivírus
PlainSight 0.1 Caine 0.4 DEFT4.1 FDTK 2.01 FCCU 12.1 Helix 2.0 ForLex 1.5.0

chkrootkit chkrootkit chkrootkit chkrootkit chkrootkit chkrootkit
rkhunter rkhunter

missidentify
F-Prot

Clamav
Clamav Clamav Clamav (clamscan)


U tilitá rios – N etw ork Forens ic s
Tcpxtract tcpxtract
Ngrep
Netwox
Tcpick
Tcptrack
Tcpflow
Netdude
dsniff Dsniff dsniff dsniff
hunt Hunt
Snifit
Ethercap
Driftnet
Karpski
Nast
Scapy
Chatsniff
msn-capture


U tilitá rios – N etw ork Forens ic s (2)
Imsniff
Nbtscan
P0f
Arping arping
Knocker
Nmap nmap
Weplab
Darkstat
Xplico
wireshark Wireshark wireshark
tcpreplay
Prismstumbler


U tilitá rios – E num era ç ã o de
H a rdw a re
PlainSight Caine DEFT FDTK FCCU Helix ForLex
0.1 0.4 4.1 2.01 12.1 2.0 1.5.0
lshw lshw lshw lshw lshw
discover discover discover
scsitools scsitools
scsiadd scsiadd
x86info
lspci lspci lspci
lsusb lsusb lsusb
lsscsi lsscsi
cpuid
blktool blktool


U tilitá rios – B us c a de pa la vra s -
c ha ve
PlainSight Caine DEFT FCCU Helix ForLex
0.1 0.4 4.1 FDTK 2.01 12.1 2.0 1.5.0

glark glark
Spider
fccu-infile-search
fccu-search-files
sgrep


U tilitá rios – E s teg a no g ra fia
PlainSight FDTK FCCU ForLex
0.1 Caine 0.4 DEFT4.1 2.01 12.1 Helix 2.0 1.5.0

Outguess Outguess Outguess Outguess Outguess
stegdetect stegdetect stegdetect stegdetect


U tilitá rios – A ná lis e de R eg is try
regviewer
RegRipper regripper
regtool regtool
regp regp
userassist.pl
Reglookup Reglookup Reglookup


U tilitá rios – Q uebra de S enha s
Chntpw Chntpw Chntpw
cmospwd
pwl
john the ripper john the ripper john the ripper
lcrack
crack

samdump samdump2
bkhive bkhive bkhive bkhive bkhive bkhive
pgpcrack
nasty
ophcrack ophcrack ophcrack ophcrack ophcrack
fcrackzip fcrackzip
medussa medussa
qcrack

bioskbsnarf
pdfcrack
hydra


U tilitá rios – A ná lis e de E m a ils
PlainSight Caine ForLex
0.1 0.4 DEFT4.1 FDTK 2.01 FCCU 12.1 Helix 2.0 1.5.0
grepmail
readpst readpst readpst readpst
ripole
eindeutig eindeutig


U tilitá rios – A ná lis e de Fotos e
I m a g ens
PlainSight Caine DEFT ForLex
0.1 0.4 4.1 FDTK 2.01 FCCU 12.1 Helix 2.0 1.5.0

Retriever
Vinetto Vinetto Vinetto
recoverjpeg recoverjpeg
FBI FBI
exiftags exiftags
exifgrep exifgrep
exif exif
metacam
jhead jhead
dcraw dcraw dcraw dcraw dcraw dcraw
jpeginfo jpeginfo
RecoverPhotos
extract
exifprobe exifprobe


U tilitá rios – C riptog ra fia
PlainSight Caine DEFT FDTK ForLex
0.1 0.4 4.1 2.01 FCCU 12.1 Helix 2.0 1.5.0
cryptcat cryptcat cryptcat cryptcat cryptcat cryptcat
bcrypt bcrypt
ccrypt ccrypt


U tilitá rios – C om pa c ta dores
Caine
PlainSight 0.1 0.4 DEFT4.1 FDTK 2.01 FCCU 12.1 Helix 2.0 ForLex 1.5.0
lzop lzop lzop lzop
gzrecover gzrecover
zoo zoo
arj arj
cabextract cabextract cabextract
p7zip p7zip p7zip
orange orange
spantape
unshield unshield
unrar unrar unrar unrar
unace unace unace

mscompress/msexpan mscompress/msexpan mscompress/msexpan mscompress/msexpan
d d d d
star star star star
nomarch


U tilitá rios – Form a tos de I m a g em
Forens e
0.1 0.4 4.1 FDTK 2.01 FCCU 12.1 Helix 2.0 1.5.0
libewf libewf libewf libewf
afflib afflib afflib afflib afflib


U tilitá rios – A ná lis e de M em ória
0.1 0.4 4.1 FDTK 2.01 FCCU 12.1 Helix 2.0 1.5.0
ptfinder
(ptfinder_w2k.pl,
ptfinder_xp.pl,
ptfinder_xpsp2.pl,
ptfinder_w2003.pl
Volatility Volatility Volatility
aeskeyfinder/rsakeyfinder
MetlStorm firewire.py MetlStorm firewire.py


U tilitá rio s – H o neypo ts e A ná lis e de M a lw a re
0.1 0.4 4.1 FDTK 2.01 FCCU 12.1 Helix 2.0 1.5.0
Amun
nephentes nephentes
mwcollect


U tilitá rios – B us c a de
V ulnera bilida des
PlainSight Caine
0.1 0.4 DEFT4.1 FDTK 2.01 FCCU 12.1 Helix 2.0 ForLex 1.5.0
nikto
Nessus Nessus


A lterna tiva s
• PTK
– Interface alternativa para o TSK
– Indexação de palavras-chave
– Análise de Memória
• PyFLAG
– Correlação de múltiplas fontes forenses
– Indexação de palavras-chave
– Análise de Memória
– Network Forensics
– Versão Windows disponibilizada recentemente


A lterna tiva s
• Multi Live DVDs
– Um Live DVD, muitos ISOs dentro
• MultiISO Live DVD (BackTrack, OphCrack ...)
• SUMO Linux (Helix, BackTrack ...)
– Nenhum completamente dedicado à
Computação Forense (O que você está
esperando ??)
• SANS SIFT
– Máquina Virtual VMWare
– PTK
– Análise de Memória (Volatility)


Faça você mesmo !
• Escolha a base Linux (Ubuntu preferencialmente)
• Retire o automount dos drives
• Cuidado com swap e Journaling File Systems
• Escolha pelo menos 2 utilitários para cada tarefa
• Dê suporte ao máximo de Formatos de Imagens Forenses
• Dê suporte ao máximo de hardwares conhecidos
• Dê suporte ao máximo de Sistemas de Arquivos
• Crie um esquema parecido com o do SIFT de permitir acesso às ferramentas
do Windows
• Ferramentas praticamente obrigatórias:
– TSK
– PTK
– Xplico
– Linen and GuyMager
– Ddrescue
– Foremost
– Wireshark
– Regripper
– Volatility
– John the ripper and OphCrack
– Extract
– Perl and Python support

R eferênc ia s

• Helix
– www.e-fense.com/helix
• FCCU
– www.lnx4n6.be/
• FDTK
– www.fdtk.com
• Caine
– www.caine-live.net/en
• PlainSight
– www.plainsight.info
• DEFT
– www.deftlinux.net


R eferênc ia s

• ForLex
– www.forlex.it/
• PTK
– ptk.dflabs.com/index.html
• PyFLAG
– www.pyflag.net/
• SANS SIFT
– forensics.sans.org/community/downloads/
• MultiISO Live DVD
– www.badfoo.net/
• Sumo Linux
– sumolinux.suntzudata.com/


S u g e s tõ e s d e L e itu r a

http://forcomp.blogspot.com

http://www.e-evidence.info


O b r ig a d o !

inv.forense arroba gmail
ponto com
(Tony Rodrigues)


Computação Forense 0800 Tony Rodrigues

Empfohlen

Empfohlen

Weitere ähnliche Inhalte

Ähnlich wie Computação Forense 0800 Tony Rodrigues

Ähnlich wie Computação Forense 0800 Tony Rodrigues (20)

Kürzlich hochgeladen

Kürzlich hochgeladen (6)

Computação Forense 0800 Tony Rodrigues