ICCyber 2004 I Conferência Internacional de Perícias em Crimes Cibernéticos Forense Computacional com Sleuth Kit + The Autopsy Forensic Browser Ricardo Kléber Martins Galvão Universidade Federal do Rio Grande do Norte Superintendência de Informática Gerência de Redes NARIS Núcleo de Atendimento e Resposta a Incidentes de Segurança
TCT The Coroner s Toolkit Coleção de ferramentas (scripts Perl) para análise post-mortem de sistemas UNIX Dan Farmer (Earthlink) e Wietse Venema (IBM) 08/1999 Ferramentas mais conhecidas: grave-robber: captura de informações ils / mactime: informações sobre acesso a arquivos findkey: recuperação de chaves criptográficas unrm / lazarus: recuperação de arquivos apagados
TCT The Coroner s Toolkit Conjunto de ferramentas largamente utilizadas em atividades periciais (recuperação de dados apagados p.ex.) unrm + lazarus Visualização via browser Identificação de tipo (provável) de dado recuperado baseado em legenda
TCT The Coroner s Toolkit Coleta de dados (varredura de áreas apagadas ) unrm /dev/hdb1 >> imagem.out Geração de código HTML para análise lazarus -h -D. H. -w. imagem.out -h cria um documento HTML (visualizado por qualquer browser); -D <dir> direciona a escrita dos blocos para um diretório específico; -H <dir> direciona os principais arquivos HTML para um diretório específico; -w <dir> direciona outras saídas HTML para um diretório específico.
TCT The Coroner s Toolkit
TCT The Coroner s Toolkit Limitações do TCT : Tipo de Partição Investigada Não reconhece partições NTFS, FAT e EXT3 Interface Pouco Amigável Necessário conhecimento de legendas Ausência de mecanismo de catalogação de perícias realizadas Framework???
Sleuth Kit Coleção de ferramentas para análise de sistemas Capaz de analisar sistemas de arquivos NTFS, FAT, UFS, EXT2 e EXT3 Brian Carrier 2002 Inicialmente chamado T@SK - The @stake Sleuth Kit Baseado no TCT Brian Carrier desenvolveu, antes do T@SK um conjunto de ferramentas que utilizam funções e estruturas do TCT provendo funcionalidades extras. A estas ferramentas deu o nome de TCTUTILS
Ferramentas do Sleuth Kit Ferramentas para Sistemas de Arquivos fstat Exibe detalhes do sistema de arquivos como layout, tamanho e nome do volume. Ferramentas para Nomes de Arquivos ffind Busca nomes de arquivos alocados e não-alocados. fls Lista nomes de arquivos e diretórios em uma imagem.
Ferramentas do Sleuth Kit Ferramentas para Manipulação de i-nodes icat Extrai as unidades de dados de um arquivo, especificado por um número de i-node ifind Realiza buscas por i-nodes ils Lista a estrutura de i-nodes e seus conteúdos delimitados por pipes istat Exibe detalhes sobre a estrutura dos i-nodes
Ferramentas do Sleuth Kit Ferramentas para Unidades de Dados dcat Extrai o conteúdo de uma unidade de dados dls Lista detalhes sobre unidades de dados, inclusive espaços não alocados de um sistema de arquivos dstat Estatísticas sobre um determinado bloco de dados dcalc Calcula onde os dados em uma imagem de espaços não alocados (geradas a partir de um dls) estão localizados na imagem original
Ferramentas do Sleuth Kit Ferramentas para Gerenciamento de Mídias mmls Exibe o layout de um disco, incluindo espaços não alocados (identificando, por exemplo, o tipo de de partição e o tamanho)
The Autopsy Forensic Browser Interface gráfica (escrita em Perl) para o Sleuth Kit Baseada em HTML, semelhante a um gerenciador de arquivos Permite analisar arquivos, diretórios, blocos de dados e i-nodes (alocados ou apagados) em uma imagem de sistema de arquivos ou em um arquivo gerado pelo dls. Permite a busca por palavras-chave ou expressões regulares.
The Autopsy Forensic Browser Pode ser executado diretamente no sistema comprometido (ideal em casos onde não é possível extrair imagens do sistema de arquivos) Monta um framework com possibilidade de armazenamento de casos (Cases) periciais para eventual análise posterior.
The Autopsy Forensic Browser Inicialização do Autopsy (referência do link para abrir via browser) root@estacaopericia:~# autopsy & [1] 1074 root@estacaopericia:~# ============================================================================ Autopsy Forensic Browser http://www.sleuthkit.org/autopsy/ ver 1.75 ============================================================================ Evidence Locker: /var/lib/autopsy/ Start Time: Sat Sep 04 09:59:26 2004 Remote Host: localhost Local Port: 9999 Open an HTML browser on the remote host and paste this URL in it: http://localhost:9999/34346426042338741437/autopsy Keep this process running and use <ctrl-c> to exit
The Autopsy Forensic Browser Tela Principal do Autopsy
The Autopsy Forensic Browser Galeria de Cases (Case Gallery)
The Autopsy Forensic Browser Galeria de Hosts (Host Gallery)
The Autopsy Forensic Browser Gerenciador de Hosts (Host Manager)
The Autopsy Forensic Browser Criando um Novo Case
The Autopsy Forensic Browser Adicionando uma Nova Imagem
Ferramentas do Sleuth Kit Estudo de Caso: Scan do Mês 24 (Outubro/2002) Desafio: Analisar a imagem recuperada de um disquete e responder as questões propostas. 1. Quem são os fornecedores de maconha de Joe Jacobs e qual o endereço informado pelo fornecedor? 2. Que dados cruciais estão disponíveis dentro do arquivo coverpage.jpg e porque estes dados são cruciais? 3. Quais (se existe alguma) outras escolas além da Smith Hill Joe Jacobs frequenta? 4. Para cada arquivo, que procedimentos foram feitos pelo suspeito para mascará-los dentro de outros? 5. Que procedimentos você (investigador) utilizou para examinar com sucesso o conteúdo de cada arquivo? http://www.honeynet.org/scans/scan24/
Ferramentas do Sleuth Kit Estudo de Caso Scan do Mês 24 (Outubro/2002) Exame de Conteúdo (File Analysis)
Ferramentas do Sleuth Kit Estudo de Caso Scan do Mês 24 (Outubro/2002) Exame de Conteúdo do arquivo apagado
Ferramentas do Sleuth Kit Estudo de Caso Scan do Mês 24 (Outubro/2002) Exame de Conteúdo do arquivo Scheduled Visits.exe
Ferramentas do Sleuth Kit Estudo de Caso Scan do Mês 24 (Outubro/2002) Arquivo.XLS exportado solicitou senha Exame de Conteúdo do arquivo Scheduled Visits.exe
Ferramentas do Sleuth Kit Estudo de Caso Scan do Mês 24 (Outubro/2002) Exame de Conteúdo do arquivo cover page.jpgc
Ferramentas do Sleuth Kit Estudo de Caso Scan do Mês 24 (Outubro/2002) Senha da Planilha??? A planilha contém a lista solicitada pelo Desafio Exame de Conteúdo do arquivo cover page.jpgc
Ferramentas em Live-CD Professional Hackers Linux Assault Kit (PHLAK) http://www.phlak.org Knoppix security tools distribution (Knoppix-std) http://www.knoppix-std.org Penguin Sleuth Kit Bootable CD http://www.linux-forensics.com Forensic and Incident Response Environment Bootable CD (F.I.R.E) http://fire.dmzs.com/
ICCyber 2004 I Conferência Internacional de Perícias em Crimes Cibernéticos Forense Computacional com Sleuth Kit + The Autopsy Forensic Browser Ricardo Kléber Martins Galvão Universidade Federal do Rio Grande do Norte Superintendência de Informática Gerência de Redes NARIS Núcleo de Atendimento e Resposta a Incidentes de Segurança