prática de forense computacional · 2020. 6. 8. · atribuição-semderivações-semderivados cc...
Post on 20-Feb-2021
10 Views
Preview:
TRANSCRIPT
ezyo@lamarca.eng.br
Prática de Forense Computacional
Versão 3.0
Abril de 2020
Atribuição-SemDerivações-SemDerivados
CC BY-NC-ND
Atribuição-SemDerivações-SemDerivados
CC BY-NC-ND
ezyo@lamarca.eng.br
Sobre o Autor
Engenheiro Eletricista (UFPA) com 26 anos de experiência na área de TIC, 19 anos atuando na área de Segurança da Informação e com mais de 17 anos de trabalho em Administração de Redes Windows, Linux e Novell nas maiores empresas públicas do Brasil (ECT, SERPRO, PRODEPA), certificado em Linux (LPIC-1) e Forense Computacional (DSFE), com especialização em Gestão de Segurança da Informação (UNISUL) e aperfeiçoamento em Gestão da Inovação (UFSC); professor universitário na graduação nos cursos de Sistemas de Informação (FEAPA) e Redes de Computadores (UNAMA), tendo ministrado aulas nas especializações em Redes Linux e Segurança Computacional (IESAM), além de também já ter ministrado aulas de Gerenciamento de Serviços de TIC, Gestão de Riscos e Forense Computacional como instrutor e monitor em grandes instituições nacionais (ESR/RNP), atuando em Forense Computacional Corporativa, Análise de Vulnerabilidades e Pentest no setor público (SERPRO). Vencedor do Prêmio Infosec Competence Leaders Brazil 2018/2019 na categoria “Application Security”.
Fonte: https://infosec.competenceleaders.com/.
Contatos: ezyo@lamarca.eng.br / http://www.lamarca.eng.br.
2/82
Atribuição-SemDerivações-SemDerivados
CC BY-NC-ND
ezyo@lamarca.eng.br
SSUMÁRIOUMÁRIO
1. Introdução......................................................................................................................................... 41.1. Fases da Perícia Forense Computacional.................................................................................4
2. Preparação do ambiente da prática de laboratório............................................................................5
3. Aquisição Forense utilizando o Deft Zero..........................................................................................63.1. Requisitos..................................................................................................................................63.2. Ferramenta................................................................................................................................63.3. Procedimentos..........................................................................................................................63.4. Aquisição Forense utilizando distribuição Linux Deft Zero ........................................................7
4. Exame Forense Post-mortem utilizando comandos Linux e TSK....................................................174.1. Requisitos................................................................................................................................174.2. Ferramentas............................................................................................................................174.3. Procedimentos........................................................................................................................174.4. Copiar Imagem Forense para disco local da Estação Forense...............................................184.5. Checar hashes da Imagem Forense........................................................................................194.6. Montar Imagem Forense no sistema de arquivos....................................................................204.7. Comandos strings e grep........................................................................................................214.8. The Sleuth Kit (TSK)................................................................................................................22
5. Exame Forense Post-mortem utilizando Autopsy............................................................................255.1. Requisitos................................................................................................................................255.2. Ferramentas............................................................................................................................255.3. Procedimentos........................................................................................................................255.4. Exame Forense Post-mortem utilizando o Autopsy na distribuição Linux Caine.....................26
6. Exame Forense Post-mortem utilizando IPED................................................................................386.1. Requisitos................................................................................................................................386.2. Ferramenta..............................................................................................................................386.3. Procedimentos........................................................................................................................396.4. Exame Forense Post-mortem utilizando o IPED no Windows.................................................40
7. Exame Live Forensics utilizando VirtualBox....................................................................................457.1. Requisitos................................................................................................................................457.2. Ferramenta..............................................................................................................................457.3. Procedimentos........................................................................................................................457.4. Gerar .vmdk para criar MV para Live Forensics......................................................................467.5. Criação de MV para Live Forensics.........................................................................................47
8. Exame Live Forensics de Sistema Operacional Windows...............................................................528.1. Requisitos................................................................................................................................528.2. Ferramentas............................................................................................................................528.3. Procedimentos........................................................................................................................528.4. Criação de disco rígido virtual adicional e vinculação de imagem ISO com ferramentas forenses no VirtualBox...................................................................................................................538.5. Preparação do disco rígido virtual no Windows.......................................................................588.6. Aquisição Live Forensics de memória RAM com FTK Imager.................................................628.7. Exame de memória RAM com Volatility no Caine...................................................................658.8. Exame Live Forensics com WinAudit......................................................................................678.9. Exame Live Forensics com Win-UFO......................................................................................698.10. Exame Live Forensics com ferramentas forenses da NirSoft................................................73
9. Referências.....................................................................................................................................82
3/82
Atribuição-SemDerivações-SemDerivados
CC BY-NC-ND
ezyo@lamarca.eng.br1. 1. IINTRODUÇÃONTRODUÇÃO
A Forense Computacional é uma ramificação da Ciência da Computação, podendo, entretanto, também ser considerada como um ramo da Criminalística, compondo uma área de conhecimento comum entre ambas (MELO, 2008).
Segundo Patrícia Peck (PINHEIRO, 2007), a Computação Forense (Computer Forensics) compreende a aquisição, preservação, restauração e análise de evidências computacionais, quer sejam componentes físicos ou dados que foram processados eletronicamente e armazenados em mídias computacionais.
1.1. 1.1. FFASESASES DADA P PERÍCIAERÍCIA F FORENSEORENSE C COMPUTACIONALOMPUTACIONAL
No processo de Perícia Forense Computacional toda a informação relevante deve ser coletada para análise e, conforme as evidências digitais são encontradas, serem extraídas, restauradas (caso as evidências estejam danificadas ou cifradas), documentadas e devidamente preservadas (REIS, GEUS).
Este processo, segundo Cagnani (CAGNANI, SANTOS), pode ser dividido em quatro fases bem distintas, sendo elas: identificação das evidências, preservação das evidências, análise das evidências, e apresentação das evidências.
FFIGURAIGURA 01: 01: FFASESASES DODO PROCESSOPROCESSO DEDE P PERÍCIAERÍCIA F FORENSEORENSE C COMPUTACIONALOMPUTACIONAL..
4/82
Atribuição-SemDerivações-SemDerivados
CC BY-NC-ND
ezyo@lamarca.eng.br2. 2. PPREPARAÇÃOREPARAÇÃO DODO AMBIENTEAMBIENTE DADA PRÁTICAPRÁTICA DEDE LABORATÓRIOLABORATÓRIO
Os arquivos para a prática de laboratório dos procedimentos apresentados devem ser baixados a partir do link:
https://drive.google.com/drive/folders/1v3kmxG8P6v2FTTERAe22Vww1VeW2OEwz?usp=sharing
São 3 arquivos:
Forense_Coleta.dd – Imagem Forense;
Forense_Coleta.info – arquivo de metadados da Imagem Forense;
Forense_Coleta.ova – máquina virtual da aquisição da Imagem Forense.
É necessária a instalação do software de virtualização VirtualBox que pode ser baixado a partir do link:
https://www.virtualbox.org/wiki/Downloads
Além disso, é preciso baixar as imagens ISO das distribuições Linux Deft Zero 2018.2 e Caine 10.0, nos respectivos links:
http://na.mirror.garr.it/mirrors/deft/zero/deftZ-2018-2.iso
(MD5: cd410c27ac580f0efd1d7eab408b4edb)
https://mirror.parrotsec.org/parrot/iso/caine/caine10.0.iso
(MD5: 02aee7d40404190dcddcaa78ed20f505)
(SHA256: 93adeca6695042d22b5189557db6d09f3ab21fda7e991e296e7764476f59982e)
Também é preciso fazer o download do IPED a partir do link:
https://servicos.dpf.gov.br/ferramentas/IPED/3.15.6/IPED-3.15.6-with-extra-tools.zip
Por último, o Java 64 bits faz-se necessário para o funcionamento do IPED:
https://www.java.com/pt_BR/download/manual.jsp
https://javadl.oracle.com/webapps/download/AutoDL?BundleId=238729_478a62b7d4e34b78b671c754eaaf38ab
5/82
Atribuição-SemDerivações-SemDerivados
CC BY-NC-ND
ezyo@lamarca.eng.br3. 3. AAQUISIÇÃOQUISIÇÃO F FORENSEORENSE UTILIZANDOUTILIZANDO OO D DEFTEFT Z ZEROERO
Fazendo parte do Processo Forense Computacional, a Fase de Coleta é a primeira a ser executada e é o início do Cadeia de Custódia das evidências.
Portanto, os procedimentos relativos a Fase de Coleta são extremamente importantes no âmbito de uma Análise Forense Computacional, devendo ser executados com todo o rigor e atenção para evitar possíveis contestações e até mesmo a anulação de toda a Análise Forense ora em curso.
Objetivando descrever os procedimentos adotados para a referida fase do Processo Forense Computacional, o presente documento apresenta os passos necessários para a Coleta Forense a ser realizada.
3.1. 3.1. RREQUISITOSEQUISITOS
Para a execução dos procedimentos devem ser providenciados os seguintes materiais:
• 1 HD USB externo maior que o HD original;
• Lacres para acondicionar os equipamentos;
• 1 pendrive (mínimo de 1 GB);
3.2. 3.2. FFERRAMENTAERRAMENTA
Para efetuar a Aquisição Forense, utilizar-se-á a distribuição Linux forense Deft Zero 2018.2 (live CD) (http://www.deftlinux.net/) ou posterior, disponível em:
http://na.mirror.garr.it/mirrors/deft/zero/deftZ-2018-2.iso
(MD5: cd410c27ac580f0efd1d7eab408b4edb)
3.3. 3.3. PPROCEDIMENTOSROCEDIMENTOS
Fluxo de aquisição forense via Deft Linux para HD USB externo:
• Ligar a estação de trabalho retida;
• Abrir SETUP, configurar para boot via pendrive e desabilitar boot via HD;
• Conectar HD USB externo (receptor da Imagem Forense);
• Inicializar boot via pendrive da distribuição Linux forense Deft Zero;
• Gerar cópia forense para HD USB externo (receptor).
6/82
Atribuição-SemDerivações-SemDerivados
CC BY-NC-ND
ezyo@lamarca.eng.br3.4. 3.4. AAQUISIÇÃOQUISIÇÃO F FORENSEORENSE UTILIZANDOUTILIZANDO DISTRIBUIÇÃODISTRIBUIÇÃO L LINUXINUX D DEFTEFT Z ZEROERO
Seguem abaixo imagens contendo os passos da Aquisição Forense utilizando a distribuição Linux live Deft Zero:
FFIGURAIGURA ORENSEORENSE..
FFIGURAIGURA 03: 03: SSELECIONARELECIONAR EE EXECUTAREXECUTAR OO PROGRAMAPROGRAMA F FILEILE M MANAGERANAGER PCM PCMANANFM.FM.
7/82
Atribuição-SemDerivações-SemDerivados
CC BY-NC-ND
ezyo@lamarca.eng.br
FFIGURAIGURA 04: 04: IIDENTIFICARDENTIFICAR OO HD HD INTERNOINTERNO ( (ORIGEMORIGEM DADA A AQUISIÇÃOQUISIÇÃO F FORENSEORENSE) ) EE OO HD USB HD USB EXTERNOEXTERNO ( (DESTINODESTINO DADA A AQUISIÇÃOQUISIÇÃO F FORENSEORENSE).).
FFIGURAIGURA 05: 05: SSELECIONARELECIONAR OO HD USB HD USB EXTERNOEXTERNO..
8/82
Atribuição-SemDerivações-SemDerivados
CC BY-NC-ND
ezyo@lamarca.eng.br
FFIGURAIGURA 06: 06: MMONTARONTAR OO HD USB HD USB EXTERNOEXTERNO EMEM M MODOODO DEDE E ESCRITASCRITA (WRITE MODE). (WRITE MODE).
FFIGURAIGURA 07: 07: IIDENTIFICARDENTIFICAR OO CAMINHOCAMINHO DEDE MONTAGEMMONTAGEM DODO HD USB HD USB EXTERNOEXTERNO: /: /MEDIAMEDIA//ROOTROOT/</<NOMENOME DADA MÍDIAMÍDIA>.>.
9/82
Atribuição-SemDerivações-SemDerivados
CC BY-NC-ND
ezyo@lamarca.eng.br
FFIGURAIGURA 08: 08: SSELECIONARELECIONAR EE EXECUTAREXECUTAR G GUYMAGERUYMAGER..
FFIGURAIGURA 09: 09: SSELECIONARELECIONAR OO HD HD INTERNOINTERNO ( (ORIGEMORIGEM DADA A AQUISIÇÃOQUISIÇÃO F FORENSEORENSE).).
10/82
Atribuição-SemDerivações-SemDerivados
CC BY-NC-ND
ezyo@lamarca.eng.br
FFIGURAIGURA 10: 10: CCLICARLICAR COMCOM OO BOTÃOBOTÃO DIREITODIREITO DODO MOUSEMOUSE EMEM CIMACIMA DODO HD HD INTERNOINTERNO EE SELECIONARSELECIONAR AA OPÇÃOOPÇÃO A ADQUIRIRDQUIRIR I IMAGEMMAGEM (A(ACQUIRECQUIRE IMAGEIMAGE).).
FFIGURAIGURA 11: 11: MMODIFICARODIFICAR ASAS OPÇÕESOPÇÕES DODO G GUYMAGERUYMAGER CONFORMECONFORME PRÓXIMASPRÓXIMAS FIGURASFIGURAS..
11/82
Atribuição-SemDerivações-SemDerivados
CC BY-NC-ND
ezyo@lamarca.eng.br
FFIGURAIGURA 12: 12: SSELECIONARELECIONAR AA OPÇÃOOPÇÃO “L “LINUXINUX DDDD RAWRAW IMAGEIMAGE ( (FILEFILE EXTENSIONEXTENSION . .DDDD OROR . .XXXXXX)”.)”.
FFIGURAIGURA 13: 13: DDESMARCARESMARCAR AA OPÇÃOOPÇÃO “S “SPLITPLIT IMAGEIMAGE FILESFILES”.”.
12/82
Atribuição-SemDerivações-SemDerivados
CC BY-NC-ND
ezyo@lamarca.eng.br
FFIGURAIGURA 14: 14: SSELECIONARELECIONAR AA OPÇÃOOPÇÃO “I “IMAGEMAGE DIRECTORYDIRECTORY”.”.
FFIGURAIGURA 15: 15: SSELECIONARELECIONAR OO CAMINHOCAMINHO PARAPARA OO HD USB HD USB EXTERNOEXTERNO ( (DESTINODESTINO DADA A AQUISIÇÃOQUISIÇÃO F FORENSEORENSE).).
13/82
Atribuição-SemDerivações-SemDerivados
CC BY-NC-ND
ezyo@lamarca.eng.br
FFIGURAIGURA 16: 16: CCAMINHOAMINHO PARAPARA OO HD USB HD USB EXTERNOEXTERNO ( (DESTINODESTINO DADA A AQUISIÇÃOQUISIÇÃO FORENSEFORENSE): /): /MEDIAMEDIA//ROOTROOT/</<NOMENOME DADA MÍDIAMÍDIA>.>.
FFIGURAIGURA 17: 17: MMARCARARCAR OPÇÃOOPÇÃO “C “CALCULATEALCULATE SHA-1”. SHA-1”.
14/82
Atribuição-SemDerivações-SemDerivados
CC BY-NC-ND
ezyo@lamarca.eng.br
FFIGURAIGURA 18: 18: NNOMEAROMEAR ARQUIVOARQUIVO DADA I IMAGEMMAGEM F FORENSEORENSE (I (IMAGEMAGE FILENAMEFILENAME) ) EE ARQUIVOARQUIVO DEDE INFORMAÇÕESINFORMAÇÕES (I (INFONFO FILENAMEFILENAME).).
FFIGURAIGURA 19: 19: A APERTARPERTAR OO BOTÃOBOTÃO “ “SSTARTTART"" PARAPARA INICIARINICIAR AA A AQUISIÇÃOQUISIÇÃO F FORENSEORENSE..
15/82
Atribuição-SemDerivações-SemDerivados
CC BY-NC-ND
ezyo@lamarca.eng.br
FFIGURAIGURA 20: 20: E ESPERARSPERAR AA FINALIZAÇÃOFINALIZAÇÃO DADA A AQUISIÇÃOQUISIÇÃO F FORENSEORENSE..
FFIGURAIGURA 21: 21: V VERIFICARERIFICAR SESE FORAMFORAM CRIADOSCRIADOS OSOS ARQUIVOSARQUIVOS < <NOMENOME DADA IMAGEMIMAGEM FORENSEFORENSE>.>.DDDD EE < <NOMENOME DADA IMAGEMIMAGEM FORENSEFORENSE>.>.INFOINFO NONO PONTOPONTO DEDE MONTAGEMMONTAGEM DODO HD USB HD USB EXTERNOEXTERNO ( (DESTINODESTINO DADA A AQUISIÇÃOQUISIÇÃO FORENSEFORENSE).).
Desligar a estação de trabalho e desconectar as mídias USB (pendrive e HD USB externo).
Referência: https://youtu.be/4T1i9b7KU-k
16/82
Atribuição-SemDerivações-SemDerivados
CC BY-NC-ND
ezyo@lamarca.eng.br4. 4. EEXAMEXAME F FORENSEORENSE PPOSTOST--MORTEMMORTEM UTILIZANDOUTILIZANDO COMANDOSCOMANDOS L LINUXINUX EE TSK TSK
4.1. 4.1. RREQUISITOSEQUISITOS
Para a execução dos procedimentos devem ser providenciados os seguintes materiais:
• Um computador com poder computacional adequado à realização do processamento;
• 1 HD USB externo contendo a Imagem Forense coletada na fase anterior de Coleta Forense.
4.2. 4.2. FFERRAMENTASERRAMENTAS
Para efetuar o Exame Forense, utilizar-se-á a distribuição Linux forense Caine 10.0 (https://www.caine-live.net) ou posterior, disponível em:
https://mirror.parrotsec.org/parrot/iso/caine/caine10.0.iso
(MD5: 02aee7d40404190dcddcaa78ed20f505)
(SHA256: 93adeca6695042d22b5189557db6d09f3ab21fda7e991e296e7764476f59982e)
O The Sleuth Kit (https://sleuthkit.org) vem instalado por padrão no Caine.
4.3. 4.3. PPROCEDIMENTOSROCEDIMENTOS
Inicializar a estação forense com o Caine 10.0, anexar o HD contendo a imagem forense e iniciar o exame com os comandos nativos do Linux e do The Sleuth Kit.
17/82
Atribuição-SemDerivações-SemDerivados
CC BY-NC-ND
ezyo@lamarca.eng.br4.4. 4.4. CCOPIAROPIAR I IMAGEMMAGEM F FORENSEORENSE PARAPARA DISCODISCO LOCALLOCAL DADA E ESTAÇÃOSTAÇÃO F FORENSEORENSE
$ mkdir Perda_Total
$ cd Perda_Total
$ time cp /media/sdb1/Forense_Coleta.* .
FFIGURAIGURA 22: C 22: CRIAÇÃORIAÇÃO DODO DIRETÓRIODIRETÓRIO DEDE TRABALHOTRABALHO EE CÓPIACÓPIA DADA I IMAGEMMAGEM F FORENSEORENSE..
Referência: https://youtu.be/n-S0dkxVAnQ
18/82
Atribuição-SemDerivações-SemDerivados
CC BY-NC-ND
ezyo@lamarca.eng.br4.5. 4.5. CCHECARHECAR HASHESHASHES DADA I IMAGEMMAGEM F FORENSEORENSE
$ time md5sum Forense_Coleta.dd && time shasum Forense_Coleta.dd
$ cat Forense_Coleta.info
FFIGURAIGURA 24: V 24: VISUALIZAÇÃOISUALIZAÇÃO DOSDOS HASHESHASHES DODO ARQUIVOARQUIVO . .INFOINFO..
19/82
Atribuição-SemDerivações-SemDerivados
CC BY-NC-ND
ezyo@lamarca.eng.br4.6. 4.6. MMONTARONTAR I IMAGEMMAGEM F FORENSEORENSE NONO SISTEMASISTEMA DEDE ARQUIVOSARQUIVOS
$ sudo mkdir /mnt/Perda_Total
$ fdisk -l Forense_Coleta.dd
$ echo '512 * 63' | bc
$ sudo mount -o ro,loop,offset=32256 Forense_Coleta.dd /mnt/Perda_Total
$ ls /mnt/Perda_Total
FFIGURAIGURA 25: C 25: CRIAÇÃORIAÇÃO DODO DIRETÓRIODIRETÓRIO PARAPARA OO PONTOPONTO DEDE MONTAGEMMONTAGEM, , MONTAGEMMONTAGEM DADA I IMAGEMMAGEM F FORENSEORENSE EE LISTAGEMLISTAGEM DODO CONTEÚDOCONTEÚDO NONO DIRETÓRIODIRETÓRIO MONTADOMONTADO..
Referência: https://youtu.be/p87sY2mQvIc
20/82
Atribuição-SemDerivações-SemDerivados
CC BY-NC-ND
ezyo@lamarca.eng.br4.7. 4.7. CCOMANDOSOMANDOS STRINGSSTRINGS EE GREPGREP
$ time strings Forense_Coleta.dd > Perda_Total.dd.strings
$ grep -i rootkit --color Perda_Total.dd.strings
$ grep -i backdoor --color Perda_Total.dd.strings
$ grep -i portscan --color Perda_Total.dd.strings
$ grep -i keylog --color Perda_Total.dd.strings
$ grep -i exploit --color Perda_Total.dd.strings
$ grep -i scan --color Perda_Total.dd.strings
FFIGURAIGURA 26: C 26: CRIAÇÃORIAÇÃO DODO ARQUIVOARQUIVO DEDE STRINGSSTRINGS EE PESQUISAPESQUISA COMCOM OO GREPGREP..
Referência: https://youtu.be/5gEynZvyMV8
21/82
Atribuição-SemDerivações-SemDerivados
CC BY-NC-ND
ezyo@lamarca.eng.br4.8. 4.8. TTHEHE S SLEUTHLEUTH K KITIT (TSK) (TSK)
$ mmstat Forense_Coleta.dd
$ mmls Forense_Coleta.dd
$ fsstat -o 63 Forense_Coleta.dd | more
$ fls -o 63 Forense_Coleta.dd
$ fls -r -m '/' -o 63 Forense_Coleta.dd > bodyfile.txt
$ mactime -b bodyfile.txt -d > timeline.csv
$ libreoffice timeline.csv
FFIGURAIGURA 27: T 27: TIPOIPO DODO VOLUMEVOLUME EE INFORMAÇÕESINFORMAÇÕES SOBRESOBRE ASAS PARTIÇÕESPARTIÇÕES..
22/82
Atribuição-SemDerivações-SemDerivados
CC BY-NC-ND
ezyo@lamarca.eng.br
FFIGURAIGURA 28: U 28: USOSO DODO OFFSETOFFSET PARAPARA OBTEROBTER MAISMAIS INFORMAÇÕESINFORMAÇÕES SOBRESOBRE AA PARTIÇÃOPARTIÇÃO..
FFIGURAIGURA 29: L 29: LISTAGEMISTAGEM DOSDOS ARQUIVOSARQUIVOS ALOCADOSALOCADOS EE DELETADOSDELETADOS, , CRIAÇÃOCRIAÇÃO DEDE TIMELINETIMELINE DADA ATIVIDADEATIVIDADE DOSDOS ARQUIVOSARQUIVOS..
23/82
Atribuição-SemDerivações-SemDerivados
CC BY-NC-ND
ezyo@lamarca.eng.br
FFIGURAIGURA 30: V 30: VISUALIZAÇÃOISUALIZAÇÃO DODO ARQUIVOARQUIVO CSVCSV DEDE TIMELINETIMELINE..
Referência: https://youtu.be/aMf8V1B7jbg
24/82
Atribuição-SemDerivações-SemDerivados
CC BY-NC-ND
ezyo@lamarca.eng.br5. 5. EEXAMEXAME F FORENSEORENSE PPOSTOST--MORTEMMORTEM UTILIZANDOUTILIZANDO A AUTOPSYUTOPSY
Fazendo parte do Processo Forense Computacional, a Fase de Exame é a segunda a ser executada e é o início da busca por evidências.
Portanto, os procedimentos relativos a Fase de Exame lidam, geralmente, com uma massa enorme de dados que serão processados para posterior análise em fase subsequente da Análise Forense Computacional.
Objetivando descrever os procedimentos adotados para a referida fase do Processo Forense Computacional, o presente documento apresenta os passos necessários para o Exame Forense a ser realizado.
5.1. 5.1. RREQUISITOSEQUISITOS
Para a execução dos procedimentos devem ser providenciados os seguintes materiais:
• Um computador com poder computacional adequado à realização do processamento;
• 1 HD USB externo contendo a Imagem Forense coletada na fase anterior de Coleta Forense.
5.2. 5.2. FFERRAMENTASERRAMENTAS
Para efetuar o Exame Forense, utilizar-se-á a distribuição Linux forense Caine 10.0 (https://www.caine-live.net) ou posterior, disponível em:
https://mirror.parrotsec.org/parrot/iso/caine/caine10.0.iso
(MD5: 02aee7d40404190dcddcaa78ed20f505)
(SHA256: 93adeca6695042d22b5189557db6d09f3ab21fda7e991e296e7764476f59982e)
O software utilizado para processar a imagem forense será o Autopsy 4.9.1 (https://www.sleuthkit.org/autopsy/), já pré-instalado no Caine 10.0.
5.3. 5.3. PPROCEDIMENTOSROCEDIMENTOS
Inicializar a estação forense com o Caine 10.0, anexar o HD contendo a imagem forense e iniciar o a execução do Autopsy.
25/82
Atribuição-SemDerivações-SemDerivados
CC BY-NC-ND
ezyo@lamarca.eng.br5.4. 5.4. EEXAMEXAME F FORENSEORENSE PPOSTOST--MORTEMMORTEM UTILIZANDOUTILIZANDO OO A AUTOPSYUTOPSY NANA DISTRIBUIÇÃODISTRIBUIÇÃO L LINUXINUX C CAINEAINE
Seguem abaixo imagens contendo os passos do Exame Forense post-mortem:
FFIGURAIGURA 31: 31: IINICIARNICIAR OO A AUTOPSYUTOPSY..
26/82
Atribuição-SemDerivações-SemDerivados
CC BY-NC-ND
ezyo@lamarca.eng.br
FFIGURAIGURA 32: 32: SSELECIONARELECIONAR “ “NNEWEW C CASEASE”.”.
FFIGURAIGURA 33: 33: DDEFINIREFINIR “ “CCASEASE N NAMEAME” ” EE “ “BBASEASE D DIRECTORYIRECTORY”.”.
27/82
Atribuição-SemDerivações-SemDerivados
CC BY-NC-ND
ezyo@lamarca.eng.br
FFIGURAIGURA 34: 34: CCLICARLICAR NONO BOTÃOBOTÃO “ “NNEXTEXT”.”.
FFIGURAIGURA 35: 35: DDEFINIREFINIR “ “CCASEASE / N / NUMBERUMBER” ” EE “ “EEXAMINERXAMINER”.”.
28/82
Atribuição-SemDerivações-SemDerivados
CC BY-NC-ND
ezyo@lamarca.eng.br
FFIGURAIGURA 36: 36: CCLICARLICAR NONO BOTÃOBOTÃO “ “FFINISHINISH”.”.
FFIGURAIGURA 37: 37: SSELECIONARELECIONAR “ “DDISKISK I IMAGEMAGE OROR VM F VM FILEILE” ” EE CLICARCLICAR NONO BOTÃOBOTÃO “ “NNEXTEXT”.”.
29/82
Atribuição-SemDerivações-SemDerivados
CC BY-NC-ND
ezyo@lamarca.eng.br
FFIGURAIGURA 38: 38: SSELECIONARELECIONAR AA FONTEFONTE DEDE DADOSDADOS: : SELECIONARSELECIONAR AA TIMEZONETIMEZONE GMT-3:00 A GMT-3:00 AMERICAMERICA/B/BELEMELEM..
FFIGURAIGURA 39: 39: CCLICARLICAR NONO BOTÃOBOTÃO “ “BBROWSEROWSE”.”.
30/82
Atribuição-SemDerivações-SemDerivados
CC BY-NC-ND
ezyo@lamarca.eng.br
FFIGURAIGURA 40: 40: PPROCURARROCURAR NONO SISTEMASSISTEMAS DEDE ARQUIVOSARQUIVOS AA I IMAGEMMAGEM F FORENSEORENSE..
FFIGURAIGURA 41: 41: SSELECIONARELECIONAR OO DIRETÓRIODIRETÓRIO “ “MEDIAMEDIA” ” EE CLICARCLICAR EMEM “ “OOPENPEN”.”.
31/82
Atribuição-SemDerivações-SemDerivados
CC BY-NC-ND
ezyo@lamarca.eng.br
FFIGURAIGURA 42: 42: SSELECIONARELECIONAR OO CAMINHOCAMINHO PARAPARA OO HD USB HD USB EXTERNOEXTERNO ( (QUEQUE CONTÊMCONTÊM AA I IMAGEMMAGEM F FORENSEORENSE).).
FFIGURAIGURA 43: 43: SSELECIONARELECIONAR DIRETÓRIODIRETÓRIO ( (SESE EXISTIREXISTIR) ) ONDEONDE ESTÁESTÁ AA I IMAGEMMAGEM F FORENSEORENSE..
32/82
Atribuição-SemDerivações-SemDerivados
CC BY-NC-ND
ezyo@lamarca.eng.br
FFIGURAIGURA 44: 44: SSELECIONARELECIONAR OO ARQUIVOARQUIVO DADA I IMAGEMMAGEM F FORENSEORENSE..
FFIGURAIGURA 45: 45: CCLICARLICAR NONO BOTÃOBOTÃO “ “OOPENPEN”.”.
33/82
Atribuição-SemDerivações-SemDerivados
CC BY-NC-ND
ezyo@lamarca.eng.br
FFIGURAIGURA 46: 46: C CLICARLICAR NONO BOTÃOBOTÃO “ “NNEXTEXT”.”.
FFIGURAIGURA 47: 47: S SELECIONARELECIONAR OSOS MÓDULOSMÓDULOS QUEQUE SERÃOSERÃO EXECUTADOSEXECUTADOS NONO IINGESTNGEST EE CLICARCLICAR NONO BOTÃOBOTÃO “ “NNEXTEXT””..
34/82
Atribuição-SemDerivações-SemDerivados
CC BY-NC-ND
ezyo@lamarca.eng.br
FFIGURAIGURA 48: 48: A AGUARDARGUARDAR TÉRMINOTÉRMINO DADA ADIÇÃOADIÇÃO DADA FONTEFONTE DEDE DADOSDADOS..
FFIGURAIGURA 49: 49: C CLICARLICAR NONO BOTÃOBOTÃO “ “FFINISHINISH”.”.
35/82
Atribuição-SemDerivações-SemDerivados
CC BY-NC-ND
ezyo@lamarca.eng.br
FFIGURAIGURA 50: 50: A ACOMPANHARCOMPANHAR PROGRESSOPROGRESSO DODO IINGESTNGEST..
FFIGURAIGURA 51: 51: C CLICARLICAR NONO BOTÃOBOTÃO “ “CCLOSELOSE”.”.
36/82
Atribuição-SemDerivações-SemDerivados
CC BY-NC-ND
ezyo@lamarca.eng.br
FFIGURAIGURA 52: 52: A AGUARDARGUARDAR OO TÉRMINOTÉRMINO DEDE “ “AANALYZINGNALYZING FILESFILES FROMFROM < <IMAGEMIMAGEM..DDDD>>”.”.
Referência: https://youtu.be/gasM2YwA-lk
37/82
Atribuição-SemDerivações-SemDerivados
CC BY-NC-ND
ezyo@lamarca.eng.br6. 6. EEXAMEXAME F FORENSEORENSE PPOSTOST--MORTEMMORTEM UTILIZANDOUTILIZANDO IPED IPED
6.1. 6.1. RREQUISITOSEQUISITOS
Para a execução dos procedimentos devem ser providenciados os seguintes materiais:
• Um computador com poder computacional adequado à realização do processamento;
• 1 HD USB externo contendo a Imagem Forense coletada na fase anterior de Coleta Forense.
6.2. 6.2. FFERRAMENTAERRAMENTA
Para efetuar o Exame Forense, utilizar-se-á o IPED (Indexador e Processador de Evidências Digitais), disponível em:
https://servicos.dpf.gov.br/ferramentas/IPED/3.15.6/IPED-3.15.6-with-extra-tools.zip
É necessária a instalação do Java 64 bits:
https://www.java.com/pt_BR/download/manual.jsp
https://javadl.oracle.com/webapps/download/AutoDL?BundleId=238729_478a62b7d4e34b78b671c754eaaf38ab
38/82
Atribuição-SemDerivações-SemDerivados
CC BY-NC-ND
ezyo@lamarca.eng.br6.3. 6.3. PPROCEDIMENTOSROCEDIMENTOS
Configurar o Java, anexar o HD contendo a Imagem Forense e iniciar a execução do IPED.
FFIGURAIGURA 53: 53: L LIMITARIMITAR HEAPHEAP DODO J JAVAAVA AA METADEMETADE DADA MEMÓRIAMEMÓRIA RAM. RAM.
39/82
Atribuição-SemDerivações-SemDerivados
CC BY-NC-ND
ezyo@lamarca.eng.br6.4. 6.4. EEXAMEXAME F FORENSEORENSE P POSTOST--MORTEMMORTEM UTILIZANDOUTILIZANDO OO IPED IPED NONO W WINDOWSINDOWS
Seguem abaixo imagens contendo os passos do Exame Forense post-mortem:
FFIGURAIGURA 54: 54: CCONFIGURARONFIGURAR ARQUIVOARQUIVO “ “IPEDCIPEDCONFIGONFIG..TXTTXT”.”.
FFIGURAIGURA 55: 55: CCONFIGURARONFIGURAR ARQUIVOARQUIVO “ “LLOCALOCALCCONFIGONFIG..TXTTXT”.”.
40/82
Atribuição-SemDerivações-SemDerivados
CC BY-NC-ND
ezyo@lamarca.eng.brC:\IPED\iped-3.15.6>java -jar iped.jar -d <E:\nome da imagem forense.dd> -o C:\IPED\<nome do caso>
FFIGURAIGURA 56: 56: EEXECUTARXECUTAR OO . .JARJAR DODO IPED IPED INFORMANDOINFORMANDO CAMINHOCAMINHO PARAPARA I IMAGEMMAGEM F FORENSEORENSE ( (PARÂMETROPARÂMETRO - -DD) ) EE DESTINODESTINO DODO RELATÓRIORELATÓRIO ( (PARÂMETROPARÂMETRO - -OO).).
FFIGURAIGURA 57: 57: AAGUARDARGUARDAR INICIALIZAÇÃOINICIALIZAÇÃO DODO IPED. IPED.
41/82
Atribuição-SemDerivações-SemDerivados
CC BY-NC-ND
ezyo@lamarca.eng.br
FFIGURAIGURA 58: 58: AAGUARDARGUARDAR AA INDEXAÇÃOINDEXAÇÃO EE PROCESSAMENTOPROCESSAMENTO DADA I IMAGEMMAGEM F FORENSEORENSE..
FFIGURAIGURA 59: 59: AAGUARDARGUARDAR OO FIMFIM DADA INDEXAÇÃOINDEXAÇÃO EE DODO PROCESSAMENTOPROCESSAMENTO DADA I IMAGEMMAGEM F FORENSEORENSE..
42/82
Atribuição-SemDerivações-SemDerivados
CC BY-NC-ND
ezyo@lamarca.eng.br
FFIGURAIGURA 60: 60: FIMFIM DADA INDEXAÇÃOINDEXAÇÃO EE DODO PROCESSAMENTOPROCESSAMENTO DADA I IMAGEMMAGEM F FORENSEORENSE..
FFIGURAIGURA 61: 61: EEXECUTARXECUTAR OO PROGRAMAPROGRAMA “ “IPED-SIPED-SEARCHEARCHAAPPPP..EXEEXE”.”.
43/82
Atribuição-SemDerivações-SemDerivados
CC BY-NC-ND
ezyo@lamarca.eng.br
FFIGURAIGURA 62: 62: UUTILIZARTILIZAR OO PROGRAMAPROGRAMA “ “IPED-SIPED-SEARCHEARCHAAPPPP..EXEEXE”.”.
Referência: https://youtu.be/Fcjcdddg-pY
44/82
Atribuição-SemDerivações-SemDerivados
CC BY-NC-ND
ezyo@lamarca.eng.br7. 7. EEXAMEXAME LLIVEIVE FFORENSICSORENSICS UTILIZANDOUTILIZANDO V VIRTUALIRTUALBBOXOX
7.1. 7.1. RREQUISITOSEQUISITOS
Para a execução dos procedimentos devem ser providenciados os seguintes materiais:
• Um computador com poder computacional adequado à realização do processamento;
• 1 HD USB externo contendo a Imagem Forense coletada na fase anterior de Coleta Forense.
7.2. 7.2. FFERRAMENTAERRAMENTA
Para efetuar o Exame Live Forensics, utilizar-se-á o VirtualBox disponível em:
https://www.virtualbox.org/wiki/Downloads
7.3. 7.3. PPROCEDIMENTOSROCEDIMENTOS
Gerar uma segunda Imagem Forense, mapeá-la no sistema de arquivos, criar arquivo de disco rígido virtual apontando para este mapeamento e executar o VirtualBox para criar uma máquina virtual (MV) utilizando o disco criado.
45/82
Atribuição-SemDerivações-SemDerivados
CC BY-NC-ND
ezyo@lamarca.eng.br7.4. 7.4. GGERARERAR . .VMDKVMDK PARAPARA CRIARCRIAR MV MV PARAPARA LLIVEIVE FFORENSICSORENSICS
$ time cp Forense_Coleta.dd Perda_Total.dd
$ sudo losetup /dev/loop1 Perda_Total.dd
$ sudo VBoxManage internalcommands createrawvmdk -filename Perda_Total.vmdk -rawdisk /dev/loop1
$ sudo virtualbox &
FFIGURAIGURA 63: 63: SSEGUNDAEGUNDA CÓPIACÓPIA DADA I IMAGEMMAGEM F FORENSEORENSE, , MAPEAMENTOMAPEAMENTO DODO I IMAGEMMAGEM F FORENSEORENSE COMOCOMO UMUM DISPOSITIVODISPOSITIVO DEDE BLOCOBLOCO,, CRIAÇÃOCRIAÇÃO DEDE DISCODISCO VIRTUALVIRTUAL AA PARTIRPARTIR DESTEDESTE DISPOSITIVODISPOSITIVO PARAPARA UTILIZAÇÃOUTILIZAÇÃO NONO V VIRTUALIRTUALBBOXOX..
Referência: https://youtu.be/d7oJ8rSIAcI
46/82
Atribuição-SemDerivações-SemDerivados
CC BY-NC-ND
ezyo@lamarca.eng.br7.5. 7.5. CCRIAÇÃORIAÇÃO DEDE MV MV PARAPARA LLIVEIVE FFORENSICSORENSICS
FFIGURAIGURA 64: 64: CCRIAÇÃORIAÇÃO DEDE NOVANOVA MV. MV.
FFIGURAIGURA 65: 65: DDEFINIÇÃOEFINIÇÃO DODO NOMENOME EE TIPOTIPO DADA MV. MV.
47/82
Atribuição-SemDerivações-SemDerivados
CC BY-NC-ND
ezyo@lamarca.eng.br
FFIGURAIGURA 66: 66: EESCOLHASCOLHA DODO DISCODISCO RÍGIDORÍGIDO VIRTUALVIRTUAL CRIADOCRIADO..
FFIGURAIGURA 67: 67: AACRESCENTARCRESCENTAR DISCODISCO RÍGIDORÍGIDO VIRTUALVIRTUAL CRIADOCRIADO..
48/82
Atribuição-SemDerivações-SemDerivados
CC BY-NC-ND
ezyo@lamarca.eng.br
FFIGURAIGURA 68: 68: SSELEÇÃOELEÇÃO DODO ARQUIVOARQUIVO DODO DISCODISCO RÍGIDORÍGIDO VIRTUALVIRTUAL CRIADOCRIADO..
FFIGURAIGURA 69: 69: EESCOLHASCOLHA DODO DISCODISCO RÍGIDORÍGIDO VIRTUALVIRTUAL CRIADOCRIADO..
49/82
Atribuição-SemDerivações-SemDerivados
CC BY-NC-ND
ezyo@lamarca.eng.br
FFIGURAIGURA 70: 70: FFINALIZAÇÃOINALIZAÇÃO DADA CRIAÇÃOCRIAÇÃO DADA MV. MV.
FFIGURAIGURA 71: 71: IINICIARNICIAR MV. MV.
50/82
Atribuição-SemDerivações-SemDerivados
CC BY-NC-ND
ezyo@lamarca.eng.br
FFIGURAIGURA 72: 72: MV MV RODANDORODANDO..
Referência: https://youtu.be/qhoKbI7tCzM
51/82
Atribuição-SemDerivações-SemDerivados
CC BY-NC-ND
ezyo@lamarca.eng.br8. 8. EEXAMEXAME LLIVEIVE FFORENSICSORENSICS DEDE S SISTEMAISTEMA O OPERACIONALPERACIONAL W WINDOWSINDOWS
8.1. 8.1. RREQUISITOSEQUISITOS
Para a execução dos procedimentos devem ser providenciados os seguintes materiais:
• Um computador com poder computacional adequado à realização do processamento;
• 1 HD USB externo contendo a Imagem Forense duplicada na item anterior.
8.2. 8.2. FFERRAMENTASERRAMENTAS
Para efetuar o Exame Live Forensics o download uma máquina virtual com Windows 7 deverá ser feito a partir do link:
https://developer.microsoft.com/en-us/microsoft-edge/tools/vms/
Além disso, os seguintes softwares forenses deverão ser baixados:
Access FTK Imager 3.2.0:
https://accessdata.com/product-download/ftk-imager-version-3.2.0
WinAudit:
Pode ser baixado também junto com o imagem do Caine 10.0:
https://mirror.parrotsec.org/parrot/iso/caine/caine10.0.iso
Win-UFO:
https://www.tiforense.com.br/download-win-ufo-ultimate-forensics-outflow/https://drive.google.com/file/d/17ECdOM7DrhWCP_nYf2FHz5yFOCP6nxec/view?usp=sharing
OBS.: pode ser baixado também junto com o imagem do Caine 8.0:
https://caine.mirror.garr.it/mirrors/caine/caine8.0.iso
NirSoft:
https://www.nirsoft.net/computer_forensic_software.html
OBS.: pode ser baixado também junto com o imagem do Caine 10.0:
https://mirror.parrotsec.org/parrot/iso/caine/caine10.0.iso
Ou baixar a imagem ISO “Live_Forensics_Tools.iso” diretamente no link:
https://drive.google.com/drive/folders/1j8db06M36Wwe_Pnl5TxL5U-HlAql-cuL?usp=sharing
8.3. 8.3. PPROCEDIMENTOSROCEDIMENTOS
Importar a MV, criar um novo disco rígido virtual, vincular imagem ISO com ferramentas forenses e executar os softwares conforme a seguir.
52/82
Atribuição-SemDerivações-SemDerivados
CC BY-NC-ND
ezyo@lamarca.eng.br8.4. 8.4. CCRIAÇÃORIAÇÃO DEDE DISCODISCO RÍGIDORÍGIDO VIRTUALVIRTUAL ADICIONALADICIONAL EE VINCULAÇÃOVINCULAÇÃO DEDE IMAGEMIMAGEM ISO ISO COMCOM FERRAMENTASFERRAMENTAS FORENSESFORENSES NONO V VIRTUALIRTUALBBOXOX
FFIGURAIGURA 73: 73: A ABRIRBRIR “C “CONFIGURAÇÕESONFIGURAÇÕES” ” DADA MV. MV.
FFIGURAIGURA 74: 74: A ABRIRBRIR “A “ARMAZENAMENTORMAZENAMENTO” ” DADA MV. MV.
53/82
Atribuição-SemDerivações-SemDerivados
CC BY-NC-ND
ezyo@lamarca.eng.br
FFIGURAIGURA 75: 75: A ACRESCENTARCRESCENTAR DISCODISCO RÍGIDORÍGIDO VIRTUALVIRTUAL AA “C “CONTROLADORAONTROLADORA: IDE”.: IDE”.
FFIGURAIGURA 76: 76: C CLICARLICAR EMEM “C “CRIARRIAR NOVONOVO DISCODISCO”.”.
54/82
Atribuição-SemDerivações-SemDerivados
CC BY-NC-ND
ezyo@lamarca.eng.br
FFIGURAIGURA 77: 77: M MARCARARCAR “ “VMDK (VVMDK (VIRTUALIRTUAL M MACHINEACHINE D DISKISK))” ” EE CLICARCLICAR EMEM “C “CONTINUARONTINUAR”.”.
FFIGURAIGURA 78: 78: M MANTERANTER “D “DINAMICAMENTEINAMICAMENTE ALOCADOALOCADO” ” EE CLICARCLICAR EMEM “C “CONTINUARONTINUAR”.”.
55/82
Atribuição-SemDerivações-SemDerivados
CC BY-NC-ND
ezyo@lamarca.eng.br
FFIGURAIGURA 79: 79: N NOMEAROMEAR DISCODISCO RÍGIDORÍGIDO VIRTUALVIRTUAL, , DEFINIRDEFINIR TAMANHOTAMANHO EE CLICARCLICAR EMEM “C “CRIARRIAR”.”.
FFIGURAIGURA 80: 80: C CLICARLICAR EMEM “V “VAZIOAZIO” ” EE SELECIONARSELECIONAR AA IMAGEMIMAGEM ISO “ ISO “LLIVEIVE_F_FORENSICSORENSICS_T_TOOLOOL..ISOISO”.”.
56/82
Atribuição-SemDerivações-SemDerivados
CC BY-NC-ND
ezyo@lamarca.eng.br
FFIGURAIGURA 81: 81: C CLICARLICAR EMEM “O “OKK”.”.
FFIGURAIGURA 82: 82: I INICIARNICIAR MV. MV.
57/82
Atribuição-SemDerivações-SemDerivados
CC BY-NC-ND
ezyo@lamarca.eng.br8.5. 8.5. PPREPARAÇÃOREPARAÇÃO DODO DISCODISCO RÍGIDORÍGIDO VIRTUALVIRTUAL NONO W WINDOWSINDOWS
FFIGURAIGURA 83: 83: E EXECUTARXECUTAR “ “DDISKISK M MANAGEMENTANAGEMENT”.”.
FFIGURAIGURA 84: 84: C CLICARLICAR OO DISCODISCO RÍGIDORÍGIDO VIRTUALVIRTUAL ( (DDISKISK11) ) EE SELECIONARSELECIONAR “ “NNEWEW S SIMPLEIMPLE V VOLUMEOLUME”.”.
58/82
Atribuição-SemDerivações-SemDerivados
CC BY-NC-ND
ezyo@lamarca.eng.br
FFIGURAIGURA 85: 85: C CLICARLICAR EMEM “ “NNEXTEXT”.”.
FFIGURAIGURA 86: 86: C CLICARLICAR EMEM “ “NNEXTEXT”.”.
59/82
Atribuição-SemDerivações-SemDerivados
CC BY-NC-ND
ezyo@lamarca.eng.br
FFIGURAIGURA 87: 87: C CLICARLICAR EMEM “ “NNEXTEXT”.”.
FFIGURAIGURA 88: 88: D DEFINIREFINIR “ “VVOLUMEOLUME LABELLABEL” ” EE CLICARCLICAR EMEM “ “NNEXTEXT”.”.
60/82
Atribuição-SemDerivações-SemDerivados
CC BY-NC-ND
ezyo@lamarca.eng.br
FFIGURAIGURA 89: 89: C CLICARLICAR EMEM “ “FFINISHINISH”.”.
FFIGURAIGURA 90: 90: D DISCOISCO RÍGIDORÍGIDO VIRTUALVIRTUAL PRONTOPRONTO PARAPARA USOUSO..
61/82
Atribuição-SemDerivações-SemDerivados
CC BY-NC-ND
ezyo@lamarca.eng.br8.6. 8.6. AAQUISIÇÃOQUISIÇÃO LLIVEIVE FFORENSICSORENSICS DEDE MEMÓRIAMEMÓRIA RAM RAM COMCOM FTK I FTK IMAGERMAGER
FFIGURAIGURA 91: 91: E EXECUTARXECUTAR “ “AACCESSCCESSDDATAATA FTK I FTK IMAGERMAGER3-2-03-2-0” ” AA PARTIRPARTIR DADA IMAGEMIMAGEM ISO “ ISO “LLIVEIVE_F_FORENSICSORENSICS_T_TOOLSOOLS”.”.
FFIGURAIGURA 92: 92: C CLICARLICAR NONO ÍCONEÍCONE DEDE MEMÓRIAMEMÓRIA RAM. RAM.
62/82
Atribuição-SemDerivações-SemDerivados
CC BY-NC-ND
ezyo@lamarca.eng.br
FFIGURAIGURA 93: 93: C CLICARLICAR EMEM “ “BBROWSEROWSE” ” PARAPARA DEFINIRDEFINIR OO “ “DDESTINATIONESTINATION PATHPATH”.”.
FFIGURAIGURA 94: 94: S SELECIONARELECIONAR OO DIRETÓRIODIRETÓRIO DEDE DESTINODESTINO DODO DUMPDUMP DEDE MEMÓRIAMEMÓRIA..
63/82
Atribuição-SemDerivações-SemDerivados
CC BY-NC-ND
ezyo@lamarca.eng.br
FFIGURAIGURA 95: 95: C CLICARLICAR EMEM “ “CCAPTUREAPTURE M MEMORYEMORY”.”.
FFIGURAIGURA 96: 96: C CLICARLICAR EMEM “ “CCLOSELOSE”.”.
Referência: https://youtu.be/MVlJanALqFw
64/82
Atribuição-SemDerivações-SemDerivados
CC BY-NC-ND
ezyo@lamarca.eng.br8.7. 8.7. EEXAMEXAME DEDE MEMÓRIAMEMÓRIA RAM RAM COMCOM V VOLATILITYOLATILITY NONO C CAINEAINE
$ VBoxManage c lonemedium disk /home/per i to /V i r tua lBox\ VMs/ IE11\ - \ W i n 7 / P e r d a _ T o t a l _ L i v e . v m d k / h o m e / p e r i t o / V i r t u a l B o x \ V M s / I E 1 1 \ - \ Win7/Perda_Total_Live.raw --format RAW
$ sudo mkdir /mnt/Perda_Total_Live
$ fdisk -l /home/perito/VirtualBox\ VMs/IE11\ -\ Win7/Perda_Total_Live.raw
$ echo '512 * 128' | bc
$ sudo mount -o ro,loop,offset=65536 /home/perito/VirtualBox\ VMs/IE11\ -\ Win7/Perda_Total_Live.raw /mnt/Perda_Total_Live
$ mkdir /home/perito/Perda_Total-Live_Forensics
$ cp -r /mnt/Perda_Total_Live/Perda_Total/* /home/perito/Perda_Total-Live_Forensics
$ cd /home/perito/Perda_Total-Live_Forensics
FFIGURAIGURA 97: 97: C COMANDOSOMANDOS PARAPARA CONVERSÃOCONVERSÃO DEDE VMDKVMDK EMEM RAW, RAW, MONTAGEMMONTAGEM DADA IMAGEMIMAGEM DODO DISCODISCO RÍGIDORÍGIDO VIRTUALVIRTUAL NONO SISTEMASISTEMA DEDE ARQUIVOSARQUIVOS EE CÓPIACÓPIA DODO DIRETÓRIODIRETÓRIO ONDEONDE ESTÁESTÁ OO DUMPDUMP DEDE MEMÓRIAMEMÓRIA..
65/82
Atribuição-SemDerivações-SemDerivados
CC BY-NC-ND
ezyo@lamarca.eng.br$ volatility -f memdump.mem imageinfo > imageinfo.txt
$ volatility -f memdump.mem --profile=Win7SP0x86 pslist > pslist.txt
$ volatility -f memdump.mem --profile=Win7SP0x86 filescan > filescan.txt
$ volatility -f memdump.mem --profile=Win7SP0x86 dlllist > dlllist.txt
$ volatility -f memdump.mem --profile=Win7SP0x86 consoles > consoles.txt
FFIGURAIGURA 98: 98: CCOMANDOSOMANDOS DODO V VOLATILITYOLATILITY PARAPARA EXAMEEXAME DEDE DUMPDUMP DEDE MEMÓRIAMEMÓRIA RAM. RAM.
66/82
Atribuição-SemDerivações-SemDerivados
CC BY-NC-ND
ezyo@lamarca.eng.br8.8. 8.8. EEXAMEXAME LLIVEIVE FFORENSICSORENSICS COMCOM W WININAAUDITUDIT
FFIGURAIGURA 99: 99: EEXECUTARXECUTAR OO PROGRAMAPROGRAMA “ “WWININAAUDITUDIT”.”.
FFIGURAIGURA 100: 100: PROGRAMAPROGRAMA W WININAAUDITUDIT EMEM EXECUÇÃOEXECUÇÃO..
67/82
Atribuição-SemDerivações-SemDerivados
CC BY-NC-ND
ezyo@lamarca.eng.br
FFIGURAIGURA 101: 101: E ESCOLHERSCOLHER OO DIRETÓRIODIRETÓRIO PARAPARA SALVARSALVAR OO RELATÓRIORELATÓRIO DODO W WININAAUDITUDIT..
FFIGURAIGURA 102: 102: R RELATÓRIOELATÓRIO DODO W WININAAUDITUDIT..
Referência: https://youtu.be/0gRqtcOmwIY
68/82
Atribuição-SemDerivações-SemDerivados
CC BY-NC-ND
ezyo@lamarca.eng.br8.9. 8.9. EEXAMEXAME LLIVEIVE FFORENSICSORENSICS COMCOM W WININ-UFO-UFO
FFIGURAIGURA 103: 103: E EXECUTARXECUTAR OO PROGRAMAPROGRAMA " "WWININ-UFO-UFO”.”.
FFIGURAIGURA 104: 104: C CLICARLICAR EMEM “ “AACCEPTCCEPT”.”.
69/82
Atribuição-SemDerivações-SemDerivados
CC BY-NC-ND
ezyo@lamarca.eng.br
FFIGURAIGURA 105: 105: C CLICARLICAR EMEM “ “YYESES” ” PARAPARA CRIARCRIAR RELATÓRIORELATÓRIO..
FFIGURAIGURA 106: 106: C CLICARLICAR EMEM “ “YYESES” ” PARAPARA CONTINUARCONTINUAR..
70/82
Atribuição-SemDerivações-SemDerivados
CC BY-NC-ND
ezyo@lamarca.eng.br
FFIGURAIGURA 107: 107: S SELECIONARELECIONAR DIRETÓRIODIRETÓRIO PARAPARA SALVARSALVAR OO RELATÓRIORELATÓRIO (OBS.: (OBS.: TEMTEM QUEQUE SERSER OBRIGATORIAMENTEOBRIGATORIAMENTE EMEM OUTRAOUTRA UNIDADEUNIDADE).).
FFIGURAIGURA 108: 108: D DEFINIREFINIR INFORMAÇÕESINFORMAÇÕES DODO CASOCASO..
71/82
Atribuição-SemDerivações-SemDerivados
CC BY-NC-ND
ezyo@lamarca.eng.br
FFIGURAIGURA 109: 109: A AGUARDARGUARDAR TÉRMINOTÉRMINO DADA GERAÇÃOGERAÇÃO DODO RELATÓRIORELATÓRIO..
FFIGURAIGURA 110: 110: R RELATÓRIOELATÓRIO DODO W WININ-UFO.-UFO.
Referência: https://youtu.be/N-g5rSvVPQY
72/82
Atribuição-SemDerivações-SemDerivados
CC BY-NC-ND
ezyo@lamarca.eng.br8.10. 8.10. EEXAMEXAME LLIVEIVE FFORENSICSORENSICS COMCOM FERRAMENTASFERRAMENTAS FORENSESFORENSES DADA N NIRIRSSOFTOFT
FFIGURAIGURA 111: 111: F FERRAMENTASERRAMENTAS FORENSESFORENSES DADA N NIRIRSSOFTOFT..
FFIGURAIGURA 112: 112: “ “CCURRURRPPORTSORTS””..
73/82
Atribuição-SemDerivações-SemDerivados
CC BY-NC-ND
ezyo@lamarca.eng.br
FFIGURAIGURA 113: 113: “ “CCURRURRPPROCESSROCESS””..
FFIGURAIGURA 114: 114: “ “EEVENTVENTLLOGOGCCHANNELSHANNELSVVIEWIEW””..
74/82
Atribuição-SemDerivações-SemDerivados
CC BY-NC-ND
ezyo@lamarca.eng.br
FFIGURAIGURA 115: 115: “ “EEVENTVENTLLOGOGSSOURCESOURCESVVIEWIEW””..
FFIGURAIGURA 116: 116: “ “EEXECUTEDXECUTEDPPROGRAMSROGRAMSLLISTIST””..
75/82
Atribuição-SemDerivações-SemDerivados
CC BY-NC-ND
ezyo@lamarca.eng.br
FFIGURAIGURA 117: 117: “ “FFULLULLEEVENTVENTLLOGOGVVIEWIEW””..
FFIGURAIGURA 118: 118: “ “IECIECACHEACHEVVIEWIEW””..
76/82
Atribuição-SemDerivações-SemDerivados
CC BY-NC-ND
ezyo@lamarca.eng.br
FFIGURAIGURA 119: 119: “ “LLASTASTAACTIVITYCTIVITYVVIEWIEW””..
FFIGURAIGURA 120: 120: “ “MMYYEEVENTVENTVVIEWERIEWER””..
77/82
Atribuição-SemDerivações-SemDerivados
CC BY-NC-ND
ezyo@lamarca.eng.br
FFIGURAIGURA 121: 121: “ “OOPENEDPENEDFFILESILESVVIEWIEW””..
FFIGURAIGURA 122: 122: “ “RRECENTECENTFFILESILESVVIEWIEW””..
78/82
Atribuição-SemDerivações-SemDerivados
CC BY-NC-ND
ezyo@lamarca.eng.br
FFIGURAIGURA 123: 123: “ “UUNINSTALLNINSTALLVVIEWIEW””..
FFIGURAIGURA 124: 124: “ “USBDUSBDEVIEWEVIEW””..
79/82
Atribuição-SemDerivações-SemDerivados
CC BY-NC-ND
ezyo@lamarca.eng.br
FFIGURAIGURA 125: 125: “ “UUSERSERPPROFILESROFILESVVIEWIEW””..
FFIGURAIGURA 126: 126: “ “WWININLLOGOGOONNVVIEWIEW””..
80/82
Atribuição-SemDerivações-SemDerivados
CC BY-NC-ND
ezyo@lamarca.eng.br
FFIGURAIGURA 127: 127: AARQUIVOSRQUIVOS DEDE DUMPDUMP, , LOGLOG EE RELATÓRIOSRELATÓRIOS GERADOSGERADOS PELOPELO FTK I FTK IMAGERMAGER, W, WININAAUDITUDIT, W, WININ-UFO -UFO EE PELOSPELOS PROGRAMASPROGRAMAS DADA N NIRIRSSOFTOFT..
81/82
Atribuição-SemDerivações-SemDerivados
CC BY-NC-ND
ezyo@lamarca.eng.br9. 9. RREFERÊNCIASEFERÊNCIAS
Carvey, Harlan – Windows Forensic Analysis Toolkit: Advanced Analysis Techniques for Windows 3E
Skulkin, Oleg / de Courcier, Scar – Windows Forensics Cookbook
https://sleuthkit.org
https://www.sleuthkit.org/autopsy/
https://sleuthkit.org/autopsy/docs/user-docs/3.1/
https://www.caine-live.net
http://www.deftlinux.net
https://www.virtualbox.org
https://servicos.dpf.gov.br/ferramentas/IPED/3.15.6/
https://www.marcosmonteiro.com.br/index.php/dicas/dicas/735-indexador-da-policia-federal-iped
https://serverfault.com/questions/174909/mount-block-file-on-osx
https://ss64.com/osx/hdiutil.html
http://commandlinemac.blogspot.com/2008/12/using-hdiutil.html
http://osxdaily.com/2007/03/28/easily-convert-dmg-images-to-iso/
https://sobrelinux.info/questions/2789/how-to-use-a-real-partition-with-windows-7-installed-in-a-virtualbox-vm
https://accessdata.com/product-download/ftk-imager-version-3.2.0
https://www.nirsoft.net/computer_forensic_software.html
https://www.tiforense.com.br/download-win-ufo-ultimate-forensics-outflow/
https://developer.microsoft.com/en-us/microsoft-edge/tools/vms/
https://www.volatilityfoundation.org
https://www.marcosmonteiro.com.br/index.php/dicas/dicas/728-forense-na-memoria-ram
http://periciadigitaldf.blogspot.com/2016/07/imagens-e01ewf.html
http://periciadigitaldf.blogspot.com/2016/07/imagens-aff.html
http://periciadigitaldf.blogspot.com/2016/08/conversao-de-imagens.html
82/82
top related