Um estudo sobre a Computação Forense – Parte 6

Chegamos na última parte dessa etapa de comandos. Minha dica para você que tem acompanhado estes artigos é que é importante que você realize essas etapas na pratica, criando uma maquina virtual como ensinado na parte 4 e executando cada comando, isso ira te levar a ter uma imersão, ao invés de apenas ler, porém fica ao critério de cada um.

Ferramentas Forense (Comandos) – Final

# icat –o 62 dump.dd 1035

Este comando consegue retornar o conteúdo de um arquivo pelo inode.

O arquivo é mostrado da forma como o terminal o reconhece, ele não converte bits em pixel.

Agora digitando o seguinte comando:

# icat –o 62 dump.dd 1035 > imagem.jpg

O ‘> imagem.jpg’ transfere o arquivo do dump para o seu HD externo.

# sigfind –o 62 –l D8FF dump.dd

Este comando encontra a assinatura binaria de um arquivo

O parâmetro –l D8FF ira restringir a procurar a arquivos com a assinatura de uma imagem jpg. Com a descoberta que no dump possui um arquivo jpg e que ele se encontra no bloco 29906 com os outros comandos aqui já estudados dá para saber que imagem é esta que está ocupando este bloco, como mostrado na imagem abaixo.

# ils –o 62 dump.dd

Lista a informação dos inodes contidos no meu dump, mas apenas de inodes excluídos.

Legenda:

st_ino: inode

st_alloc: status de alocação no disco – a=atribuído a algum bloco – f=livre

st_uid: id de usuário – 0=root

st_gid: id do grupo

st_mtime: tempos em segundos da ultima modificação

st_atime: tempos em segundos da ultima acesso

st_ctime: tempos em segundos da ultima alteração do status

st_crtime:

st_mode: tipo de arquivo permissão

st_nlink: quantos links rígidos esse inode tinha no sistema

st_size: tamanho

# ils –eo 62 dump.dd

Faz a listagem de todos os inodes, os excluídos e não excluídos.

# ils –m –f fat –o 62 –e –r dump.dd > pedro.ils

-m mctime (organiza os dados de acordo com o mctime)

-e de todos os arquivos

-r recursivo

# img_stat dump.dd      

Mostra estatísticas da imagem do disco. Neste exemplo do dump.

# img_cat dump.dd | strings –a > jessica.str

Retorna o conteúdo de uma imagem do disco

Apenas com o comando img_cat não consegue ler o conteúdo, mas ao usar o comando | strings –a o conteúdo fica mais legível. O conteúdo pode ser colocado dentro de um arquivo através do comando > jessica.str. Todo o conteúdo ira para este arquivo dentro do HD externo para que possa ser lido com mais calma depois.

# tsk_gettimes dump.dd

Coleta os MAC times (os tempos de modificação, criação e acesso) de uma imagem de disco para um arquivo.

# tsk_loaddb

Popula um banco de dados SQLite com os metadados de uma imagem de disco.

O arquivo dump.dd.db foi montado como mostrado na figura acima pelo comado ls. É so importar este arquivo para o SQLite e analisar.

# tsk_recober –o 62 dump.dd . Exporta os arquivos de uma imagem para um diretório local. Esses arquivos exportados são os que anteriormente tínhamos descoberto que estavam excluídos da imagem.

# srch_strings –a dump.dd

O comando strigs tem a função de extrair mensagens de texto de um arquivo, isto é muito útil para detectar se existe algum conteúdo comprometido no dispositivo. Porém ele reconhece apenas o padrão ASCII, então usamos o comando srch para suprir esse problema, fazendo com que o strings reconheça caracteres com outras codificações.

# srch_strings –a –e l foto dump.dd

O ‘l’ é uma codificação.

# hfind

Hash é uma identificação que é gerado aparti de um método de criptografia, de compressão para identificar integridade de informação, para saber se um dado é verossímil.

# md5sum 882961.jpg

Esse comando mostra o hash deste arquivo, e esse hash deve ser igual em qualquer outro lugar que esse arquivo for copiado ou upado, caso não seja então ele foi alterado e nesse caso não é verossímil.

# md5sum /bin/* > bin.md5

Este comando pega o hash de todos os meus binários e joga para o arquivo bin.md5

# cat bin.md5

Este comando mostra os hash que foram pegos do binário e compara através do comando hfind, se algum não bater com uma outra base de informação então este que não bateu não é verossímil, ou seja, não é autentico. Pode ser um malware ou algum que não esta em conformidade.

# hfind –i md5sum bin.md5

Este comando indexa todos os index

# hfind bin.md5 8c23ffe217449017a390f15a059206e1

Este comando é o usado para bater o index criado com outra base de informação que se quer comparar.

# blkls –f fat –o 62 dump.dd > dump.dd > dump.dd.blkls

Lista as unidades de dados do sistema de blocos. É uma outra forma de fazer análise de disco só que neste caso é em cima de bloco.

# strings –t d dump.dd.blkls > dump.dd.blkls.str

Este comando mostra as strings do disco, so que nesse caso ele ta mostrando as strings dos blocos, pois esta mostrando de dump.dd.blkls

# cat dump.dd.blkls.str

Percebe-se que junto com os dados mostrados tem o inode de cada bloco, posição na imagem de disco, no dump.dd, então ao encontrar um nome suspeito é só encontra-lo pelo inode.

MACtimes – muitas vezes durante uma investigação forense não conseguimos nenhuma informação sobre o fato ocorrido dos dados brutos, então utilizamos o comando ils para criar uma base de dados previamente para que através do comando mactime possa ser dado a informação sobre por exemplo o último acesso ao arquivo, quando ocorreu (atime), o último momento que no arquivo foi modificado o dono do arquivo (ctime), o momento em que o arquivo teve seu conteúdo modificado (mtime). Então este comando cria como uma linha do tempo possuindo informações muito importante para um perito coletar.

# ils –m –f fat –o 62 –e –r dump.dd > Pedro.ils

# mactime –b Pedro.ils

Foremost – é uma ferramenta de recuperação de arquivos.

# foremost dump.dd

Este comando vai varrer toda a imagem de disco, o arquivo dump e recuperar todos os arquivos contidos nele e organiza-los por extensão.

Caso o foremost não esteja instalado como no exemplo a abaixo use o comando:

# aptitude install foremost

Após a instalação execute o comando de recuperação novamente. Os arquivos recuperados são colocados dentro da pasta output no diretório local.

# cat audit.txt

Como na imagem acima este arquivo .txt detalha os arquivos que foram recuperados da imagem de disco. Mostra a quantidade de pastas criadas, a quantidade de arquivos recuperados, o nome, tamanho, em qual bloco está alocado e comentários como por exemplo no caso das imagens a sua resolução.

Um estudo sobre a Computação Forense – Parte 1

Um estudo sobre a Computação Forense – Parte 2

Um estudo sobre a Computação Forense – Parte 3

Um estudo sobre a Computação Forense – Parte 4

Um estudo sobre a Computação Forense – Parte 5

Um estudo sobre a Computação Forense – Final

Junte-se a nós e esteja sempre atualizado com as últimas novidades e dicas