Perícia Forense com FDTK

Perícia Forense com FDTK
Prof Alcyon Junior

24/04/2010
Prof. Alcyon Junior - alcyon.junior@gmail.com
http://wwwportaltic.com/ 2
Quem é Alcyon Junior?
Alcyon Junior é Administrador de Redes do Estado-Maior do
Exército e Professor de Tecnologia na Faculdade UNISABER.
Apaixonado pro tecnologia e software livre. Graduado em 3
diferentes cursos de Tecnologia de Informação, com ênfase em
redes de computador.
Possui também certificação internacional CNAP e o título de
Especialista em Redes de Computador pela CISCO e MBA em
Governança de TI.

24/04/2010
Portal TIC
http://portaltic.com/

24/04/2010
Tudo que for considerado de útil para a
investigação deve ser isolado e preservado
para que tenha aceitação como verídico para
um caso.
Veremos mais adiante o que torna uma
investigação tão difícil de ser realizada.
O QUE É FORENSE COMPUTACIONAL?

http://wwwportaltic.com/
●Coletar
●Custodiar
●Preservar
●Analisar
Forense Computacional

24/04/2010
Técnicas de Forense Computacional
 Podemos citar alguns dos passos para uma análise perícial:
 Coleta de informações (Information Gathering);
 Reconhecimento das evidências;
 Coleta, restauração, documentação e preservação
das evidência encontradas;
 Correlação das evidências;
 Reconstrução dos eventos.

24/04/2010
Níveis de Modus Operandi
O nível em que o invasor consegue executar o
modus operandi é essencial para a perícia
forense:
 Clueless
 Script kiddie
 Guru
 Wizard

COMO É O TRABALHO DO PERITO DIGITAL?
O que ele faz?
Onde ele trabalha?
Grupos de Peritos:
Criminais
Judicial

●Problemas existentes.
●Laudo Pericial.
“Uma prova mal feita é um processo perdido”
“Não existe crime perfeito”
COMO É O TRABALHO DO PERITO DIGITAL?

●ANTI-FORENSE
O que é Anti-Forense?

●ANTI-FORENSE
● Encriptação;
● Esteganografia;
● Self Split Files + Encryption;
● Wipe;
● Data Hiding;

VOCÊ MONITORA OS SEUS EMPREGADOS?
● É certo fazer o monitoramento?
● De onde vem a ameaça?
● Dados encontrados na empresa;
● Mais porque tudo isso?

FDTK (Forense Digital ToolKit)

FDTK (Forense Digital ToolKit)
Baseada no Ubuntu Linux;
Desenvolvida para Forense Computacional;
Idioma Português do Brasil (pt_BR);
Possui softwares utilizados em várias distribuições existentes;
Possui menus organizados;
Pode ter utilização profissional;
E muito útil no estudo da forense computacional;

Etapas e suas ferramentas
A metodologia da forense computacional é
dividida em fases, resumidas em:
1. Preparação/Chegada ao local;
2. Coleta de dados;
3. Exame dos dados;
4. Análise das Evidências.
5. Laudo.

Preparação
Planejar e definir politicas para lidar com o cenário do
crime;
Consiste em:
● Esterilizar mídias;
● Avaliar condições do cenário;
● Adotar coleção de ferramentas necessárias.

Preparação
ETAPAS

Coleta de dados
Etapa primordial é a copia
(Backup):

Lógica (pastas e arquivos);

Imagem (toda unidade).

Dados voláteis: pesquisa
dentro do sistema “vivo”;

Dados não-voláteis:
arquivos de fácil acesso, não
somem, mesmo com o
sistema “morto”.
Situações:

“Vivo” (ligado):
análise da memória ram;
Processos em execução
no momento.

“Morto” (desligado):
Investigar só a cópia;
Desligar diretamente da
energia; (efetuar cópia).

Análise de evidências
Diferentes perfis;
Grande variedade de
extensões e atualmente
diferentes estruturas
Windows 98/XP, Vista &
Linux;
Quantidade de arquivos
elevada;
Variedade de softwares;
Encontrar atividades
suspeitas
Ferramentas:

Cookie-cruncher (análise
de cookies)

Xtraceroute (verificar
localidade por ip)

Galetta (análise do
Outlook)

Pasco (histórico I.E.)

Rifiuti (verifica a lixeira)

Mork (histórico do firefox)

Autopsy (Toolkit)

24/04/2010
Preparação para a coleta dos dados
Limpar (wipe) e formatar a mídia para garantir
que as provas não sejam contaminadas por
antigos dados existentes na mesma.
 Wipe – Utilitário que efetua uma sobrescrita no
disco inteiro ou na área de um arquivo com
números aleatórios ou zeros e uns
(extremamente demorado, mas confiável).

24/04/2010
Como proceder
# wipe -f -i -Q 3
# wipe -kq /dev/hda
# wipe -kq /dev/hda1
Também pode ser usado para arquivos para
removê-los sem a possibilidade de
recuperação.
# wipe -rfi >wipe.log /var/log/*

24/04/2010
dcfldd
Versão aprimorada pelo Departamento de
Defesa Amerino do DD.
É aconselhado pelos desenvolvedores que
esta tarefa seja efetuada pelo menos 3 vezes
sendo que existem estudos que apontam que
na verdade o número de interações deve ser
de pelo menos 7 vezes.

24/04/2010
foremost
 É uma ferramenta open source de recuperação
de dados baseado nos headers, footers e
estrutura interna de dados.
 Originalmente desenvolvida pelo United States
Air Force Office of Special Investigations and
The Center for Information Systems Security
Studies and Research, depois seu código foi
aberto para GNU.

24/04/2010
Foremost - Laboratório
 #sudo foremost /dev/device
 Ele vai criar uma pasta chamada output

24/04/2010
Perguntas
 Dúvidas?
 Dívidas?
 Choro?
 Reclamações?
 Lamentações?
?

24/04/2010
http://wwwportaltic.com/ 26FIMFIM
Alcyon JuniorAlcyon Junior
http://portaltic.com/http://portaltic.com/
alcyon.junior@gmail.comalcyon.junior@gmail.com

Perícia Forense com FDTK

Empfohlen

Empfohlen

Weitere ähnliche Inhalte

Ähnlich wie Perícia Forense com FDTK

Ähnlich wie Perícia Forense com FDTK (20)

Mehr von Alcyon Ferreira de Souza Junior, MSc

Mehr von Alcyon Ferreira de Souza Junior, MSc (20)

Perícia Forense com FDTK