Please enable JavaScript.
Coggle requires JavaScript to display documents.
Perícia Forense Computacional - Coggle Diagram
Perícia Forense Computacional
Introdução
Lei Carolina Dickman -- crimes em ambientes digitais
Qualquer tipo de interação deixa algum tipo de rastro
Estamos cada vez mais dependentes do mundo digital
Não existe anonimato, existe sensação de anonimato
Princípio de troca do Locard
Inclusive a análise forense
Principio da incerteza de Heinserberg
É impossível determinar todas as informações de um sistema, pois ao determinar uma informação, outra é alterada
Professores
Osmany Arruda
Vinicius Vieira
Forense = servir ao forum
Buscar elementos comprobatórios válidos para um fórum
Embasamento jurídico
Analista forense não interpreta a lei, ele serve a quem interpreta a lei
Ordem de volatilidade
Registradores, cache, buffers, etc....
RAM
Estado da rede
Processos
Mídias (HDD, SSD)
Mídias read-only (CD-ROM, DVD-ROM)
Mídias físicas (Impressos, livros, saída da impressora)
Exemplo usuários
Verificou que um usuário estava logado remotamente
Desconectou o cabo para impedir que o hacker fizesse mais alterações na máquina, atrapalhando a análise
Finalizou o processo do shell do usuário, para que o histórico fosse registrado no disco
Abriu o histórico e analisou os comandos realizados
Frameworks
Ata notorial (cartório de notas)
Cadeia de custórida
Desconectar de rede (tirar cabo, modo avião)
RFC 3227
A evidência tem que ser admissível (não pode haver quebra de lei
A evidência tem que ser autêntica (verdadeira)
A evidência tem que ser completa (não pode haver lacunas)
A evidência tem que ser relatada por uma metodologia confiável
A evidência tem que ser crível
NIST-SP800-86
Collection
Examination
Analysis
Report
EDRM
Information governace -- gestão dos dados antes da coleta
Identification -- garatir que o material analisado é mesmo que foi coletado (cadeia de custódia)
Preservation -- Preservar o estado inicial do sistema, trabalhando em cima de cópias idênticas
Collection -- Coletar os dados
Proccessing -- Filtrar os dados úteis para a análise
Review -- Garantir que os dados selecionados para análise pordem ser analisado (jurídico)
Analysis -- Aplicação de técnicas e ferramentas para extrair informações relevantes (respondar quisitação)
Production -- Produção do parecer técnico
Presentation -- Formatação do parecer técnico de acordo com a necessidade (relatório, apresentação de sliedes, pdf, etc...
Análise IN VIVO
Análise do sistema ligado (memória RAM)
Por que fazer análise in vivo?
Alguns dados não são gravados em disco
Dados na RAM não são criptografados
Dados na RAM não podem ser subvertidos por códigos maliciosos
Ex: documentos abertos para leitura e/ou edição, área de transferência, chaves de registro, estado da rede, etc
Como acessar os dados da RAM?
O sistemas operacionais proíbem que um processo interfira na faixa de memória de outro processo, ou seja, um processo não consegue enxergar o outro
Alguns drivers/módulos conseguem se comunicar com todos os processos (ex: impressora)
Alguns módulos do Linux podem ser carregados na memória e mapear as faixas de memórias dos outros processos
Como fazer a análise in vivo sem contaminar o sistema?
Lembra que qualquer interação deixa rastro, inclusive a análise?
Avaliar o método que contamina menos, dependendo do caso
Grava dados via rede
Gravar dados no próprio HD
Gravar dados num pendrive (pode alterar muito o sistema)
Exemplo
Faz o dump da memória via scp e com o lime
Tira 2 hashes do dump
Criar cópias e confere as hashs
Filtra os dados que são do interesse, como processos, strings, módulos, etc...
Análise POST-MORTEM
Acessibilidade de arquivos
Arquivos visíveis
Arquivos ocultos
Arquivos temporários
Fragmentos
Dados de arquivos
Tipo de arquivo
Abrir o código hexa do arquivo (ou strings direto) e ver cabeçalho
Último acesso
ls - lu
Última modificação
ls -l
Último alteração
ls - lc
Diferença entre modificação (modification) e alteração (change): modificar é adicionar ou retirar dados, enquanto alterar é apenas adicionar dados
Ferramentas sugeridas
Autopsy
Ferramentar básicas visuais
Recomendado para iniciantes
Sleuth kit
Kit completo de ferrametas forenses
Volatility
Análise de memória RAM
Caine
Distribuição forense do Linux
ExifTool
Análise de metadados
Análise de sistemas de arquivos
Discos, partições, subpartiçoes, etc...
Inodes
índices dos blocos de arquivos
Data carving (recuperação de arquivos)
Análise do tráfego da rede
Ferramentas
Captura
Wireshark
TCPDump
Análise -- sempre usar pelo menos duas e comparar os resultados
Networkminer
Xplico
Wireshark
O que buscar?
IPs
Portas
Arquivos trafegados (imagens, documentos, etc..)
Datas e horários
DNSs (sites)
Protocolos (HTTP, TCP, USP, FTP, SMB, etc...