FERRAMENTAS FORENSE EM SISTEMAS GNU LINUX E MICROSOFT WINDOWS

Transcrição

1 FERRAMENTAS FORENSE EM SISTEMAS GNU LINUX E MICROSOFT WINDOWS Bolsista: Eric Barbosa Jales de Carvalho Coordenador: Nathan Franklin Saraiva de Sousa Teresina Dezembro/2009

2 SUMÁRIO 1 INTRODUÇÃO JUSTIFICATIVA DE EXECUÇÃO DO PROJETO OBJETIVO E METAS COMPUTAÇÃO FORENSE PROCEDIMENTOS GNU LINUX Live Forense Memória Principal do sistema Tráfego da rede do sistema Informações sobre as tabelas de roteamento Informações sobre a tabela ARP Informações de processos ativos Informações de módulos do sistema Informações de registro do sistema Informações sobre o /proc e o boot Informações sobre o Disco Rígido Esterilizar as mídias para a cópia Gerar imagem do Disco Rígido Post Mortem Camada Física Camada de Dados Camada de Sistema de Arquivos Camada de Metadados Camada de Arquivos MICROSOFT WINDOWS Live Forense Memória Principal do sistema Sistema Operacional Usuários e Grupos do sistema Informações de processos ativos Serviços em execução Tráfego da rede do sistema Informações de registro do sistema Informações de registro de Eventos Analisando a Lixeira Analisando histórico de navegação Post Mortem Geração da Timeline Análise de arquivos com o HELIX MICROSOFT WINDOWS - GUI Informações sobre o sistema Informações sobre os dispositivos Informações gerais sobre o sistema Informações extras sobre o sistema Informações senhas e históricos de navegação CONCLUSÃO DIFICULDADES ENCONTRADAS BIBLIOGRAFIA ANEXOS... 67

3 ANEXO 1 ADQUIRIR IMAGEM FORENSE ATRAVÉS DO HELIX HELIX - DD HELIX FTK IMAGER ANEXO 2 RECUPERAÇÃO DE ARQUIVOS EXT2 E EXT Descobrir informações sobre o sistema de arquivo Recuperar arquivos que não foram sobrescritos Recuperar arquivos que foram sobrescritos Recuperar arquivos que foram parcialmente sobrescritos Recuperação de arquivos journaling ANEXO 3 FORENSE COM O AUTOPSY Iniciando o Autopsy Criando um novo Caso a ser periciado Adicionando um host ao caso Adicionando uma imagem ao caso Criação da Timeline Recuperando strings da imagem Verificar arquivos baseados em assinaturas Verificar os Metadados Verificar Integridade Abrir um caso ANEXO 4 USANDO A FERRAMENTA BMAP Criando um arquivo para testes Verificando conteúdo do arquivo Verificando o espaço ocupado pelo arquivo Verificando informações do slack space Verificando informações do arquivo Colocando informação no slack space do arquivo Verificando novamente informações do slack space Verificando informações do arquivo Checando novamente o conteúdo do arquivo Verificando novamente o espaço ocupado pelo arquivo ANEXO 5 ALTERNATE DATA STREAMS Criando um arquivo para testes Verificando tamanho do arquivo Verificando o conteúdo do arquivo Adicionando um ADS ao arquivo Verificando novamente tamanho do arquivo Verificando novamente o conteúdo do arquivo Verificando o conteúdo de um ADS no arquivo

4 ÍNDICE DE FIGURAS Figura 1 Executar o prompt do DOS Figura 2 Configurar variável PATH Figura 3 Prompt do DOS alterado Figura 4 Tela inicial do HELIX Figura 5 Selecionar o opção pelo menu Figura 6 Tela de confirmação do visualizador do sistema Figura 7 Módulos Disponíveis Figura 8 Exportando um relatório Figura 9 Gerar relatório I Figura 10 Gerar relatório II Figura 11 Gerar relatório III Figura 12 Relatório em HTML Figura 13 Selecionar o opção pelo menu Figura 14 Tela de confirmação do Drive Manager Figura 15 Tela inicial do Drive Manager Figura 16 Verificando a opção Disk Info Figura 17 Selecionar o opção pelo menu Figura 18 Tela de confirmação do Drive Manager Figura 19 Tela inicial do WinAudit Figura 20 Relatório finalizado Figura 21 Exportar relatório Figura 22 Segunda tela do menu de Respostas a Incidentes de Segurança Figura 23 Tela de confirmação do RootkitRevealer Figura 24 Tela do RootkiteRevealer Figura 25 - Tela de confirmação do PC On/Off Figura 26 Tela de exibição do PC On/Off Figura 27 Terceira tela do menu de respostas a incidentes de segurança Figura 28 Aquisição da imagem pelo DD Figura 29 Confirmação do comando DD Figura 30 FTK Imager Figura 31 Menu de opções do FTK Figura 32 Tipo evidência a ser periciada Figura 33 Dispositivo a ser duplicado Figura 34 Tela de criação de imagem I Figura 35 Tipo de imagem Figura 36 Informações para o relatório Figura 37 Tela de criação de imagem II Figura 38 Tela de criação de imagem III Figura 39 Confirmação da integridade da imagem Figura 40 Relatório gerado pelo FTK... 73

5 Figura 41 Página inicial do Autopsy Figura 42 Criação de um novo caso Figura 43 Confirmação de criação de um novo caso Figura 44 Adicionar um novo host Figura 45 Confirmação da adição de um novo host Figura 46 Adicionar uma nova imagem I Figura 47 Adicionar uma nova imagem II Figura 48 Confirmação da adição da imagem Figura 49 Imagens adicionadas ao caso Figura 50 Criação da Timeline I Figura 51 Criação da Timeline II Figura 52 Criação da Timeline III Figura 53 Criação da Timeline IV Figura 54 Confirmação da criação da Timeline Figura 55 Visualização da Timeline Figura 56 Janela de análise de Imagens Figura 57 Detalhes da Imagem I Figura 58 Confirmação da extração de strings da imagem Figura 59 Detalhes da Imagem II Figura 60 Confirmação da extração de fragmentos não alocados Figura 61 Detalhes da Imagem III Figura 62 Confirmação da extração das strings de fragmentos não alocados Figura 63 Detalhes da Imagem IV Figura 64 Informações gerais sobre a imagem Figura 65 Análise de arquivos baseados em assinaturas I Figura 66 Análise de arquivos baseados em assinaturas II Figura 67 Análise de arquivos baseados em assinaturas III Figura 68 Link para visualização dos arquivos Figura 69 Arquivos listados baseados em assinaturas Figura 70 Informações sobre os metadados I Figura 71 Informações sobre os metadados II Figura 72 Análise da Imagem Figura 73 Validação de algum item Figura 74 Abrir um caso Figura 75 Opções de casos a serem abertos Figura 76 Opções de hosts a serem abertos... 98

6 1 INTRODUÇÃO Com a popularização da Internet, as barreiras físicas foram eliminadas e a falsa idéia do anonimato que esta proporciona, gerou um grande problema para as empresas e/ou instituições. Os crimes cibernéticos passaram a ser realizados independentes da localização geográfica (cidades, estados, países) e, recentemente, do nível de conhecimento do atacante. Já foi o tempo em que as ameaças aos servidores de uma instituição ou empresa seja ela de pequena, média ou grande porte estavam confinadas aos limites da LAN. As ameaças contavam com o limitador físico e para tanto era necessário estar fisicamente presentes na rede interna. Dessa forma, surge no mundo da segurança digital a forense computacional: um campo de pesquisa da Ciência da Computação que apóia a área Criminal, onde a preservação, coleta e análise dos dados periciais, juntamente com a apresentação de vestígios e a produção de um laudo técnico têm valor jurídico, desde que estas provas eletrônicas não sejam manipuladas sem padrões pré-estabelecidos, pois assim não haveria possíveis contestações. 6

7 2 JUSTIFICATIVA DE EXECUÇÃO DO PROJETO No Brasil, e não muito diferente no nosso estado, existem poucos profissionais que trabalham com Forense Computacional. Existem algumas empresas com a função de investigar crimes digitais, mas a grande maioria desses profissionais se encontra na Polícia Civil e na Polícia Federal. As utilizações de procedimentos Forenses na área da computação são de suma importância para a identificação de uma possível invasão em um computador. Através das técnicas Forenses podemos descobrir a forma como ocorreu à invasão, se houve alterações nos dados, que tipo de informação foi acessado e, como uma invasão corresponde a um crime eletrônico, podem-se tomar medidas legais contra o invasor. 7

8 3 OBJETIVO E METAS Esse projeto tem como objetivo o estudo de ferramentas FOSS (Free and Open Source Software) de Forenses aplicadas à Computação. As ferramentas utilizadas e os métodos aqui especificados não podem ser considerados como uma base para referência definitiva em Forense Computacional. As bibliografias indicadas servem de base para uma formação completa em uma pesquisa mais elaborada. As principais metas são investigar, preservar os dados periciados, coletar informações (inclusive artefatos), analisar e identificar as ações de um potencial invasor. Vale à pena lembrar que nem sempre a Forense Computacional serve para provar que certa pessoa cometeu um crime cibernético. Às vezes, ela funciona também para provar a inocência do acusado. 8

9 4 COMPUTAÇÃO FORENSE A Computação Forense pode ser dividia em três etapas: Forense In Vivo ou Live Forensic: Corresponde a forense realizada pelo perito quando o mesmo encontra a máquina a ser investigada ainda ligada. Usando ferramentas e boas práticas o perito poderá realizar a coleta e armazenar os dados coletados em outro local. Forense de Rede ou Network Forensic: Corresponde a forense realizada pelo perito nos ativos de rede envolvidos com a máquina alvo. Como a grande maioria dos ativos de rede registra suas ações, o perito poderá colher os artefatos, reconstruir comunicações de rede interceptada, verificar log s gerados, entre outras ações. Forense Post Mortem ou Post Mortem Forensic: Corresponde a forense realizada pelo perito em todos os dados periciais coletados na máquina já desligada. Tarefa essa realizada na máquina do perito utilizando ferramentas com esse propósito. O perito busca cruzar as informações adquiridas nas três etapas da Forense. O intuito é adquirir um bom entendimento do caso estudado e elaborar do laudo pericial. 4.1 PROCEDIMENTOS Durante a elaboração desse material, grande parte das ferramentas utilizadas era encontrada na distribuição HELIX da empresa E-FENSE. A distribuição HELIX ainda era assegurada pela licença GPL e, com o decorrer do tempo, passou a ser cobrado um valor para se ter uma nova versão da sua distribuição. Isso não quer dizer que não iremos mais usufruir das ferramentas que se encontram na distribuição paga ou mesmo que é uma exclusividade da distribuição possuir tais ferramentas. Existem outras distribuições como CAINE, FCCU, FDTK que se não possuem as mesmas ferramentas da distribuição HELIX, possuem similares. As distribuições servem para eliminar o tempo que o perito ia perder montando o seu CD/DVD de ferramentas Forenses. Entre outras palavras, basta que o perito tenha as ferramentas compiladas estaticamente em um CD/DVD com as devidas permissões atribuídas. A metodologia que segue a Computação Forense serve para qualquer plataforma, se diferenciando apenas em alguns detalhes. A forma como uma máquina 9

10 com o sistema Microsoft Windows foi invadida, bem como o objetivo que o invasor busca, se difere e muito, por exemplo, de uma máquina invadida com o sistema GNU Debian, mas a metodologia aplicada nas máquinas permanece a mesma. O projeto faz um estudo em cima de duas plataformas mais utilizadas: GNU Debian e Microsoft Windows XP. Devido às diferenças e peculiaridades de cada plataforma existem ferramentas forenses específicas para cada uma delas. As técnicas do Modus Operandi do invasor, cadeia de custódia, assim como o procedimento de registro visual (fotos) e preservação do local fogem ao escopo desse projeto que visa apenas o estudo das ferramentas forense. 10

11 5 GNU LINUX 5.1 Live Forense Segundo a RFC 3227, o perito deve fazer a coleta das provas a partir do mais volátil para o menos volátil. Dentre a ordem de volatilidade podemos destacar: Registos, cache ; Memória de Periféricos ; Memória Principal do sistema ; Roteamento na tabela, arp cache, processo tabela, estatísticas kernel Sistemas de arquivos temporários ; Disco ; Log de dados de controle remoto que seja relevante para o sistema em causa; Configuração física, topologia ; Mídia (cd, dvd, pen drive, fitas magnéticas, etc). No cenário de teste foi usado um cd contento todas as ferramentas utilizadas nos testes e uma máquina com ip como estação forense Memória Principal do sistema Na memória principal estão contidas todas as informações dos processos em execução, senhas em texto claro, dados e informações manipuladas antes mesmo da escrita no disco rígido. Essas informações só são obtidas através de dumps de memória, seja na captura de arquivos core ou pela interface virtual criada no diretório /proc. A ferramenta memdump faz uma cópia da memória RAM em uma imagem do tipo RAW. Por padrão ela realiza a cópia da memória física (/dev/mem), mas, através do parâmetro -k, é possível realizar o dump da memória do kernel (/dev/kmem). Enviando informações sobre a memória principal na máquina suspeita # /media/cdrom/memdump /media/cdrom/nc # /media/cdrom/memdump -k /media/cdrom/nc Recebendo informações sobre a memória principal na estação forense # nc -l -p 3232 tee mem_princ md5sum $1 > mem_princ.md5 # nc -l -p 3232 tee mem_kernel md5sum $1 > mem_kernel.md5 11

12 Obs.: O comando tee recebe como seu stdin o stdout do comando pipe ( ). Joga o resultado para a saída padrão, no caso a tela do computador, e salva em um arquivo definido pelo usuário. Sendo assim o comando md5sum gera o hash do arquivo gerado pelo comando tee e o salva. Apesar da comunidade acadêmica ter provado que o hash MD5 pode ter colisões e ser descoberto, o perito pode optar por tirar mais um hash com um comando sha1sum e acrescentar juntamente com o hash gerado do comando md5sum, ou simplesmente usar hash s mais robustos como sha224sum, sha256sum, sha384sum ou sha512sum. Outras formas de coletas de informações voláteis da memória RAM é através do comando dd. Este realiza bit-a-bit um copia de dados binários, que podem ser arquivos ou mesmos dispositivos físicos ou, dependendo da situação, virtuais. Enviando informações de memória da área de kernel na máquina suspeita # /media/cdrom/dd if=/dev/mem /media/cdrom/nc # /media/cdrom/dd if=/dev/kmem /media/cdrom/nc # /media/cdrom/dd if=/dev/rswap /media/cdrom/nc # /media/cdrom/dd if=/proc/kcore /media/cdrom/nc Recebendo informações de memória da área de kernel na estação forense # nc -l -p 3232 tee mem_pric md5sum $1 > mem_princ.md5 # nc -l -p 3232 tee mem_kernel md5sum $1 > mem_kernel.md5 # nc -l -p 3232 tee rswap md5sum $1 > rswap.md5 # nc -l -p 3232 tee kcore md5sum $1 > kcore.md5 Obs.: Se a máquina suspeita tiver 2 GB de RAM, o dump da memória deverá ter o mesmo tamanho. Isso não ocorre em algumas distribuições que utilizam o SELINUX devido à proteção este faz no /dev/mem. Vale salientar que é importante ter coerência nas informações de tempo que as evidências trazem. Por isso, após o dump de memória, é importante colher informações sobre o tempo da máquina suspeita. Enviando informações sobre a data da máquina suspeita # /media/cdrom/date /media/cdrom/nc

13 Obs.: Caso o perito opte por coletar a data usando o formato (UTC) deve-se fazer o uso do parâmetro -u no comando date. Recebendo informações sobre a data da máquina alvo na estação forense: # nc -l -p 3232 tee data md5sum $1 > data.md5 Enviando informações sobre o tempo em que a máquina suspeita está no ar # /media/cdrom/uptime /media/cdrom/nc Recebendo informações sobre o tempo ativo da máquina alvo na estação forense # nc -l -p 3232 tee uptime md5sum $1 > uptime.md5 Enviando informações sobre o horário da BIOS da máquina suspeita # /media/cdrom/hwclock /media/cdrom/nc Recebendo informações sobre o horário da BIOS da máquina alvo na estação forense # nc -l -p 3232 tee bios md5sum $1 > bios.md Tráfego da rede do sistema Com a utilização de sniffers, o perito tem a possibilidade de capturar os datagramas que trafegam na rede. Assim, é possível reconstruir a troca de informações entre a máquina atacante e a máquina alvo. Nesse tipo de procedimento, a máquina forense tem que estar no mesmo enlace da máquina alvo e conectada em uma porta do switch que faz espelhamento com a porta da máquina alvo. Isso se diz respeito a um ambiente tipicamente projetado para dar suporte à resposta a Incidente de Segurança. Na máquina alvo podemos levantar informações sobre os estados das conexões, tabelas de roteamento, processos ativos, entre outros. Enviando informações sobre as interfaces de rede da máquina suspeita # /media/cdrom/ifconfig -a /media/cdrom/nc

14 Obs.: O comando ifconfig juntamente com o parâmetro a exibe as configurações da interfaces ativas ou não. Recebendo informações sobre as interfaces de rede na estação forense # nc -l -p 3232 tee interfaces md5sum $1 > interfaces.md5 Enviando informações sobre Conexões de Redes TCP ativas da máquina suspeita # /media/cdrom/netstat -natp /media/cdrom/tee conexoes.tcp /media/cdrom/nc Obs.: O comando netstat pode descobrir rapidamente a existência de portas abertas, conexões estabelecidas e rotas estáticas inseridas manualmente. Recebendo informações sobre as Conexões TCP ativas na estação forense # nc -l -p 3232 tee conexoes.tcp md5sum $1 > conexoes.tcp.md5 Enviando informações sobre Conexões de Redes UDP ativas da máquina suspeita # /cdrom/netstat -naup tee conexoes.udp /cdrom/nc Recebendo informações sobre as Conexões UDP ativas na estação forense # nc -l -p 3232 tee conexoes.udp md5sum $1 > conexoes.udp.md5 Enviando informações sobre Conexões de Redes RAW ativas da máquina suspeita # /media/cdrom/netstat -nawp /media/cdrom/tee conexoes.raw /media/cdrom/nc Recebendo informações sobre as Conexões RAW ativas na estação forense # nc -l -p 3232 tee conexoes.raw md5sum $1 > conexoes.raw.md5 14

15 5.1.3 Informações sobre as tabelas de roteamento Enviando atividades sobre as rotas estáticas da máquina suspeita # /media/cdrom/route -n /media/cdrom/tee rotas_estaticas /media/cdrom/nc # /media/cdrom/cat /proc/net/route /media/cdrom/tee rotas_estaticas_proc /media/cdrom/nc Obs.: O comando route exibe e manipula a tabela de roteamento IP. O diretório virtual /proc/net/route contém as informações sobre os roteamentos IP realizados pelo kernel. Recebendo informações sobre as rotas estáticas na estação forense # nc -l -p 3232 tee rotas_estaticas md5sum $1 > rotas_estaticas.md5 # nc -l -p 3232 tee rotas_estaticas_proc md5sum $1 > rotas_estaticas_proc.md5 Enviando informações em cache de rotas estáticas da máquina suspeita # /media/cdrom/route -n -C /media/cdrom/tee cache_rotas_estaticas /media/cdrom/nc # /media/cdrom/cat /proc/net/rt_cache /media/cdrom/tee rotas_rt_cache /media/cdrom/nc Recebendo informações sobre o cache das rotas estáticas da máquina suspeita na estação forense # nc -l -p 3232 tee cache_rotas_estaticas md5sum $1 > cache_rotas_estaticas.md5 # nc -l -p 3232 tee rotas_rt_cache md5sum $1 > rotas_rt_cache.md5 15

16 5.1.4 Informações sobre a tabela ARP Enviando informações sobre a tabela ARP da máquina suspeita # /media/cdrom/arp -an /media/cdrom/nc Obs.: O comando arp exibe e manipula o cachê ARP do sistema. Recebendo informações sobre a tabela ARP na estação forense # nc -l -p 3232 tee tabela_arp md5sum $1 > tabela_arp.md Informações de processos ativos As informações dos processos podem ser coletadas pelos comandos ps, pstree e lsof. O primeiro, utilizando alguns parâmetros, mostra o estado dos processos naquele momento. O segundo tem a função de exibir a árvore de processos. E o terceiro, mas não menos importante, consegue integrar funcionalidades de diversas ferramentas como netstat, ps e ainda listar todos os arquivos abertos (parâmetro -l), listar todos os arquivos de rede abertos (parâmetro -i), listar todos os processos com socket Unix aberto (parâmetro -U), entre outros. Enviando informações sobre os processos ativos na máquina suspeita # /media/cdrom/ps -aufex /cdrom/nc # /media/cdrom/pstree /cdrom/nc # /media/cdrom/lsof -l /cdrom/nc # /media/cdrom/lsof -i /cdrom/nc # /media/cdrom/lsof -U /cdrom/nc Recebendo informações sobre os processos ativos da máquina suspeita na estação forense # nc -l -p 3232 tee psaufex md5sum $1 > psaufex.md5 # nc -l -p 3232 tee pstree md5sum $1 > pstree.md5 # nc -l -p 3232 tee lsof_todos md5sum $1 > lsof_todos.md5 16

17 # nc -l -p 3232 tee lsof_rede_aberto md5sum $1 > lsof_rede_aberto.md5 # nc -l -p 3232 tee lsof_socket_aberto md5sum $1 > lsof_socket_aberto.md5 Obs.: É importante, em alguns momentos, capturar possíveis processos excluídos. Esses processos podem ter sido gerados por algum Malware e para não ser identificado, foi apagado. Enviando informações sobre os processos excluídos na máquina suspeita # /media/cdrom/lsof grep -i DEL /cdrom/nc Recebendo informações sobre os processos excluídos da máquina suspeita na estação forense # nc -l -p 3232 tee lsof_del md5sum $1 > lsof_del.md5 Caso o perito desconfie de algum processo e queira obter mais informações poderá realizar alguns procedimentos. De forma simples, uma verificação com o comando fuser. Esse comando identifica através do diretório /proc, os arquivos ou sockets que estão sendo usados como processo. # fuser -v [porta]/tcp ou fuser -v [porta]/udp # /media/cdrom/fuser -v 2261/udp /cdrom/nc Outra forma de recuperar informações sobre os processos é mexendo diretamente com o diretório /proc. Para cada processo, é criado um diretório dentro do /proc contendo diversos dados sobre ele. # /media/cdrom/ls /proc/

18 A saída desse comando demonstra as diversas informações disponíveis sobre o processo de pid Alguns desses arquivos contêm dados importantes sobre o processo em execução. Análise de conteúdo de alguns arquivos do processo no diretório /proc. Caso algum processo com um nome comum não esteja sendo executado a partir do seu diretório comum, basta verificar no arquivo cwd. Esse arquivo é um link para o diretório corrente do processo. # /media/cdrom/ls -l /proc/1883/cwd Caso se deseja verificar a linha de comando que foi utilizada para dar início ao processo, devido a uma diferença ou não no comando acima, basta verificar o conteúdo do arquivo cmdline. # /media/cdrom/cat /proc/1883/cmdline As variáveis de ambiente utilizadas no momento da execução do programa se encontram no arquivo environ. # /media/cdrom/cat /proc/1883/environ O status do processo como: usuário que executou, grupo que pertence, quantidade de memória e processador utilizados, entre outras informações se encontram no arquivo status. # /media/cdrom/cat /proc/1883/status Pelo /proc também é possível recuperar um processo que está em memória sem precisar do arquivo correspondente em disco realizando apenas alguns passos. Descobrir o número do processo ao qual aquele serviço está vinculado # /media/cdrom/ps aux /media/cdrom/grep telnet Com o número do processo, salvar o binário do serviço # /media/cdrom/cat /proc/1596/exe /media/cdrom/nc

19 5.1.6 Informações de módulos do sistema Os módulos no sistema servem para diversas funcionalidades. Dentre elas podemos destacar a ativação de um novo recurso ao kernel, reconhecimento de um novo dispositivo adicionado a máquina, reconhecimento de uma nova linguagem ao sistema e também manipular as chamadas do sistema operacional. Esta última funcionalidade é uma característica presente nos rootkit s LKM (Loadable Kernel Modules). Enviando informações sobre os módulos ativos da máquina suspeita: # /media/cdrom/lsmod /media/cdrom/nc Obs.: O comando lsmod exibe os módulos ativados do sistema. # /media/cdrom/cat /proc/modules /media/cdrom/nc Recebendo informações sobre os módulos ativos da máquina suspeita na estação forense # nc -l -p 3232 tee modulos md5sum $1 > modulos.md5 # nc -l -p 3232 tee proc_modulos md5sum $1 > proc_modulos.md Informações de registro do sistema Por mais que existam técnicas anti-forense com o intuito de não deixar vestígios e por conseqüência apagar os logs do sistema, os logs têm papeis relevantes para uma análise forense. Enviando informações sobre os registros do sistema da máquina suspeita # /media/cdrom/w /media/cdrom/nc # /media/cdrom/who -a /media/cdrom/nc Obs.: O comando w mostra quem está logado no sistema e o que este usuário está fazendo. Já o comando who exibe quem está conectado no sistema. Ambos recorrem às informações contidas no arquivo /var/run/utmp. 19

20 # /media/cdrom/last /media/cdrom/nc # /media/cdrom/lastb /media/cdrom/nc # /media/cdrom/lastlog /media/cdrom/nc Obs.: O comando last recorre das informações contidas no arquivo /var/log/wtmp para exibir uma lista dos usuários que entraram e saíram do sistema. Em confronto com o comando last usa-se o comando lastb. O comando lastb informa baseado no arquivo /var/log/btmp, as informações sobre as ultimas entradas malsucedidas no sistema. O comando lastlog levanta as informações das ultimas entradas e saídas de todos os usuários cadastrados no sistema. # /media/cdrom/cat /var/log/syslog /media/cdrom/nc # /media/cdrom/cat /var/log/messages /media/cdrom/nc # /media/cdrom/cat /root/.bash_history /media/cdrom/nc Obs.: As informações contidas no syslog, no messages e o histórico dos usuários acrescentam mais riqueza na coleta das informações sobre no registro. No exemplo acima foi coletado apenas o histórico do usuário root. Recebendo informações sobre os registros do sistema da máquina suspeita na estação forense # nc -l -p 3232 tee last md5sum $1 > last.md5 # nc -l -p 3232 tee lastb md5sum $1 > lastb.md5 # nc -l -p 3232 tee lastlog md5sum $1 > lastlog.md5 # nc -l -p 3232 tee syslog md5sum $1 > syslog.md5 # nc -l -p 3232 tee messages md5sum $1 > messages.md5 # nc -l -p 3232 tee root_history md5sum $1 > root_history.md5 20

21 5.1.8 Informações sobre o /proc e o boot Algumas informações sobre o sistema ainda podem ser coletadas no /boot. Informações como versão do kernel, do processador, partição SWAP e outras partições, informações do boot, entre outras. Enviando informações sobre o diretório virtual do sistema da máquina suspeita # /media/cdrom/cat /proc/version /media/cdrom/nc # /media/cdrom/cat /proc/sys/kernel/domainname /media/cdrom/nc # /media/cdrom/cat /proc/cpuinfo /media/cdrom/nc # /media/cdrom/cat /proc/swaps /media/cdrom/nc # /media/cdrom/cat /proc/partitions /media/cdrom/nc # /media/cdrom/cat /proc/self/mounts /media/cdrom/nc # /media/cdrom/cat /proc/uptime /media/cdrom/nc # /media/cdrom/dmesg /media/cdrom/nc Recebendo informações sobre o diretório virtual do sistema da máquina suspeita na estação forense # nc -l -p 3232 tee kernel_versao md5sum $1 > kernel_versao.md5 # nc -l -p 3232 tee dominio md5sum $1 > dominio.md5 # nc -l -p 3232 tee cpuinfo md5sum $1 > cpuinfo.md5 # nc -l -p 3232 tee swap md5sum $1 > swap.md5 # nc -l -p 3232 tee particoes md5sum $1 > particoes.md5 # nc -l -p 3232 tee mout_proc md5sum $1 > mount_proc.md5 # nc -l -p 3232 tee uptime_proc md5sum $1 > uptime_proc.md5 # nc -l -p 3232 tee dmesg md5sum $1 > dmesg.md Informações sobre o Disco Rígido Informações sobre o que estão montadas ou não no disco também são relevantes. 21

22 Enviando informações sobre a montagem do HD da máquina suspeita # /media/cdrom/cat /etc/fstab /media/cdrom/nc # /media/cdrom/cat /etc/mtab /media/cdrom/nc Recebendo informações sobre a montagem do HD da máquina suspeita # nc -l -p 3232 tee fstab md5sum $1 > fstab.md5 # nc -l -p 3232 tee mtab md5sum $1 > mtab.md5 Enviando informações sobre as partições do HD da máquina suspeita # /media/cdrom/fdisk -l /dev/sda /media/cdrom/nc # /media/cdrom/file -s /dev/sda{1,2,4,5,6,7,8,9} /cdrom/nc Recebendo informações sobre as partições do HD da máquina suspeita # nc -l -p 3232 tee fdisk md5sum $1 > fdisk.md5 # nc -l -p 3232 tee file_hd md5sum $1 > file_hd.md Esterilizar as mídias para a cópia As informações voláteis já foram coletadas. O próximo passo seria realizar uma cópia de qualquer dispositivo conectado a máquina suspeita. A análise desses dispositivos é processo mais demorado. Nessa análise a busca por vestígios, instalação de ferramentas, análise de binários, análise de slack space, logs e outros dados pertinentes se torna um pouco cansativa. O projeto da ênfase na cópia do Disco Rígido da máquina suspeita, mas não quer dizer que não precise realizar a coleta dos dados do pen-drive, CDs, DVDs e outros dispositivos de armazenamento. As cópias devem ser realizadas em mídias esterilizadas e, portanto o procedimento abaixo deve ser realizado para zerar o conteúdo que irá armazenar a imagem do disco. # dd if=/dev/zero of=/dev/<dispositivo> bs=512 conv=noerror 22