Forense Computacional com Software Livre



Documentos relacionados
Forense Computacional com Software Livre

Aula 05 Forense Computacional. Ferramentas Open Source

Forense Computacional com Software Livre

Distribuições em Software Livre para Forense Computacional.

Minicurso Forense Digital Paulo A. Neukamp

Auditoria e Segurança da Informação GSI536. Prof. Rodrigo Sanches Miani FACOM/UFU

Criptografia on-the-fly: segurança em tempo real

Políticas de Segurança de Sistemas

Sistema Operacional Unidade 12 Comandos de Rede e Acesso Remoto

RECUPERAÇÃO DE DADOS EM PEN-DRIVE UTILIZANDO AS FERRAMENTAS AUTOPSY E FOREMOST: FASES PARA O PROCESSAMENTO DE EVIDÊNCIAS

Roteiro 3: Sistemas Linux arquivos e diretórios

Uc-Redes Técnico em Informática André Luiz Silva de Moraes

Para funcionamento do Netz, alguns programas devem ser instalados e alguns procedimentos devem ser seguidos. São eles:

CONCEITOS INICIAIS. Agenda A diferença entre páginas Web, Home Page e apresentação Web;

Protocolos de Internet (família TCP/IP e WWW) Primeiro Técnico. Prof. Cesar

ZoneMinder. Instalação/Configuração com Câmeras IP e DVRs HDL

Introdução a Informática - 1º semestre AULA 02 Prof. André Moraes

Dicas para a prova do MPU (cargos Analista e Técnico) NOÇÕES DE INFORMÁTICA: (comentário por tópico do edital visando o CESPE/UnB)

Análise de Vulnerabilidades em Aplicações WEB

Manual de backup do banco de dados PostgreSQL - Versão 2. Setembro-2011

Metasploit Framework: Software Livre para PoC de Vulnerabilidades

IPTABLES. Helder Nunes

Para a prova de conceito utilizamos o kit de ferramentas do Backtrack 5 r3 (SET + ETTERCAP). Demostraremos a seguir o processo utilizado.

Perícia forense computacional aplicada a dispositivos de armazenamento e smartphones android

Sniffers de Rede e Kismet

Comunicação via interface SNMP

ESTUDOS REALIZADOS. Camada Física. Redes de Computadores AULA 13 CAMADA DE REDE. Camada Física Camada de Enlace Subcamada de Acesso ao Meio AGORA:

Um Driver NDIS Para Interceptação de Datagramas IP

REDES DE COMPUTADORES Prof. Ricardo Rodrigues Barcelar

TRANSMISSÃO DE DADOS Prof. Ricardo Rodrigues Barcelar

Sistemas Operacionais

Curso Firewall. Sobre o Curso de Firewall. Conteúdo do Curso

Software de segurança em redes para monitoração de pacotes em uma conexão TCP/IP

Curso de extensão em Administração de sistemas GNU/Linux: redes e serviços

Redes de Computadores II INF-3A

Configurando o Sistema Operacional TC-OS

Nome do Curso: Técnico em Informática. Nome da Disciplina: Redes de Computadores. Número da Semana: 2. Nome do Professor: Dailson Fernandes

Segurança de redes com Linux. Everson Scherrer Borges Willen Borges de Deus

Objetivo. Este documento tem como objetivo demonstrar o conceito, o processo de instalação e o funcionamento do SITEF (Tef dedicado).

Manual para Exportação e Importação de Certificados Digitais

SISTEMAS OPERACIONAIS

Na Figura a seguir apresento um exemplo de uma "mini-tabela" de roteamento:

Configuração do Linux Educacional 5 para melhor uso do MonitorINFO-V4

GUIA DE INÍCIO RÁPIDO NHS NOBREAK MANAGER 4.0 TOPOLOGIA MÍNIMA DE REDE PARA A INSTALAÇÃO E USO DO SOFTWARE COM GPRS

FTIN Formação Técnica em Informática Módulo Sistema Proprietário Windows AULA 02. Prof. André Lucio

Ferramentas de Acesso Remoto

Administração de Redes Redes e Sub-redes

Comunicando através da rede

Administração de Sistemas GNU/Linux

Classe A: Apenas o primeiro octeto identifica a rede e os três últimos identificam os Hosts.

Prof. Marcelo Cunha Parte 5

I N F O R M Á T I C A. Sistemas Operacionais Prof. Dr. Rogério Vargas Campus Itaqui-RS

Sumário INTRODUÇÃO... 4 PROTOCOLO ARP...5 ARP - ADDRESS RESOLUTION PROTOCOL...5 FUNCIONAMENTO DO PROTOCOLO ARP...5 CACHE ARP... 6

Aula 01 Visão Geral do Linux

INDICE 1. INTRODUÇÃO CONFIGURAÇÃO MÍNIMA INSTALAÇÃO INTERLIGAÇÃO DO SISTEMA ALGUNS RECURSOS SERVIDOR BAM...

SMTP, POP, IMAP, DHCP e SNMP. Professor Leonardo Larback

Descrição da atividade: elaborar um relatório sobre Prova de Conceito de ataque Man in the Middle (MITM) através do transbordamento da tabela MAC.

MÓDULO 8 Modelo de Referência TCP/IP

Introdução à Computação Forense

Linux Network Servers

Aplicativo da Manifestação do Destinatário. Manual

Instalação: permite baixar o pacote de instalação do agente de coleta do sistema.

Arquitetura de Redes: Camadas de Protocolos (Parte II)

Rede d s d e d Com o pu p t u ado d r o es Conceitos Básicos M d o e d los o de d Re R de d s:

Personata Recorder. Manual de Instalação e Configuração

O que é conexão de área de trabalho remoto?

6 programas para criar pendrives bootáveis

FundamentosemInformática

MINISTÉRIO DA EDUCAÇÃO

Guia Rápido LINKER SAT REV. 2.1 MAI / 2015

ALTERNATIVA PARA CONEXÃO VIA INTERNET DE IP MASCARADO A IP REAL

O que é Certificado Digital Tipos de Usuários O que é Token? Tipos de Token PUK & PIN Outros sistemas operacionais Principais problemas e soluções

BAIXA E INSTALAÇÃO DO CERTIFICADO DIGITAL

SIMARPE Sistema de Arquivo Permanente

Considerações a serem feitas antes da implantação.

CONHECIMENTOS ESPECÍFICOS TÉCNICO DE LABORATÓRIO / ÁREA INFORMÁTICA

Manual de Instalação do Sistema SGPV - Versão 7.1

APOSTILA LINUX EDUCACIONAL

CURSO BÁSICO DE PROGRAMAÇÃO AULA 8. Introdução ao Linux Introdução a linguagem C

Gerenciamento de Arquivos e Pastas. Professor: Jeferson Machado Cordini jmcordini@hotmail.com

UNIVERSIDADE FEDERAL DE SANTA CATARINA DEPARTAMENTO DE INFORMÁTICA E ESTÁTISTICA GRADUAÇÃO EM CIÊNCIAS DA COMPUTAÇÃO DISCIPLINA: COMUNICAÇÃO DE DADOS

Acesso Remoto Intelbras Internet Explorer

Sistemas Operacionais. Prof. M.Sc. Sérgio Teixeira. Aula 05 Estrutura e arquitetura do SO Parte 1. Cursos de Computação

Uc-Redes Técnico em Informática André Luiz Silva de Moraes

Forense Computacional com Sleuth Kit + The Autopsy Forensic Browser

ENDEREÇOS DE REDE PRIVADOS até até até Kernel

Instalando o Debian em modo texto

Cadastramento de Computadores. Manual do Usuário

1. DHCP a. Reserva de IP

USO GERAL DOS PROTOCOLOS SMTP, FTP, TCP, UDP E IP

INSTALAÇÃO PRINTERTUX Tutorial

Administração de Sistemas Operacionais

Informática. Aula 03 Sistema Operacional Linux. Instituto Federal de Educação, Ciência e Tecnologia do Rio Grande do Norte Campus Currais Novos

Arquitetura de Rede de Computadores

Segurança da Informação

1. Capturando pacotes a partir da execução do traceroute

Redes de Computadores

Transcrição:

Forense Computacional com Software Livre

Apresentação Luiz Vieira Construtor 4Linux Consultor de Segurança 16 anos de experiência em TI Pen-Tester, Perito Forense (CHFI) Articulista sobre Segurança de vários sites: VivaOLinux, SegurançaLinux, Imasters, HackProofing e etc Entusiasta do Software Livre Filósofo e Psicoterapeuta Blog: http://hackproofing.blogspot.com

Tópicos de hoje O que é Forense Computacional? Principais desafios da Forense Computacional Passos de uma Investigação Análise Viva e Post Mortem Distribuições Linux para Forense Ferramentas Livres e Toolkits para Forense Análise de memória física Demo: Análise de tráfego de rede com Xplico Demo: Recuperação de senhas Windows com Ophcrack

Introdução & Ferramentas

O que é Forense Computacional? Uma série metódica de técnicas e procedimentos para coletar evidências de um sistema computadorizado, de dispositivos de armazenamento ou de mídia digital, que podem ser apresentadas em um fôro de uma forma coerente e de formato inteligível. - Dr. H. B. Wolf

Principais desafios da Forense Computacional Ainda é mais uma arte do que ciência; Ainda está em seus estados iniciais de desenvolvimento; Há pouco conhecimento teórico sobre o qual as hipóteses empíricas são baseadas; Há falta de treinamento apropriado; Não há padronização de ferramentas.

Distribuições Linux para Forense FDTK Forensic Digital Toolkit Helix REMnux CAINE - Computer Aided INvestigative Environment DEFT Linux PeriBR Backtrack

Ferramentas Livres e Toolkits para Toolkits Forense Autopsy Framework Volatility Sleuth Kit The Coroner's Toolkit Ferramentas Centenas delas: Foremost Scalpel memdump shred Pasco etc, etc, etc...

Análise de Memória

Análise Viva e Post Mortem Dados Voláteis São informações que ficam armazenados na memória principal do computador. Isso quer dizer que elas possuem um ciclo de vida curto. Esse tipo de análise é chamada de Análise Viva. Dados não-voláteis Dados não voláteis, são dados que podem permanecer na máquina durante longos períodos de tempo e podem ser recuperados mesmo após a mesma ser desligada. As análises baseadas em dados armazenados em mídia de backup, pendrives, CDs, ou memória auxiliar como um HD, são chamadas de Análise Post-Mortem.

Análise de memória física A análise de memória física baseia-se em fazer um dump da memória física e virtual de um sistema. O que podemos conseguir através da memória física? Arquivos com senhas em texto puro Arquivos com variáveis de ambiente ($HISTFILE) O mapas de todos os serviços que se encontram em execução. Aplicações de terminal: memdump (posix) - http://www.porcupine.org/forensics/memdump- 1.0.tar.gz (solaris/bsd/linux) Configuração de memory dump do windows (windows)

Dump da memória Dump da memória é nome do processo de capturar as informações da memória, e pode ser feito através do comando dd: #dd < /dev/mem > mem.dump #dd < /dev/kmem > kmem.dump O investigador pode realizar buscas por palavras-chave através dos comandos grep e strings: #strings -a mem.dump grep palavra-chave

Diretório /proc O diretório /proc é um pseudo-sistema de arquivos usado como uma interface para as estruturas de dados do kernel do sistema operacional. A memória pode ser acessada pelo pseudo-arquivo /proc/kcore, que representa a memória física do sistema no formato de um core file. Buscando processos vinculados ao firefox: # strings -a /proc/kcore grep firefox > kcore_firefox.dump

Investigando Tráfego de Rede

Ferramentas de coleta de informações de rede Ferramentas de coleta de informações em redes são softwares que podem ser usados para obter dados da rede para análise forense. Estas ferramentas geralmente oferecem a funcionalidade de um sniffer e um sistema de detecção de intrusão combinadas. Sniffers Os sniffers operam na camada de enlace do modelo OSI. Isso significa que eles não têm que jogar pelas mesmas regras que as aplicações e serviços que residem nas camadas mais acima. Os sniffers podem capturar tudo e gravar para posterior análise. Eles permitem que o usuário analise todos os dados que estão contidos no pacote.

Análise de tráfego de redes A partir do tráfego de rede é possível analisar toda a comunicação entre atacante e máquina invadida, estabelecendo uma seqüência de eventos e comparando com as outras evidências encontradas. Um dos programas desse gênero mais popular é o tcpdump. # tcpdump -i eth0 host 10.10.0.1 O parâmetro -w do tcpdump permite armazenar os datagramas capturados em um arquivo binário para posterior análise: # tcpdump -w trafego.dump

Análise de tráfego de redes Com a análise dos datagramas pode-se encontrar evidências como: endereço IP inválido ou suspeito; tráfego em portas desconhecidas; tráfego em serviços ou portas que não deveria estar ocorrendo; datagramas com opções, flags ou tamanhos que não respeitam os padrões do protocolo (Request for Comment - RFC); flood de datagramas na rede; tráfego TCP em portas incomuns.

Captura de tráfego de rede com Xplico

Recuperação de senhas de Windows com Ophcrack

Obrigado!!!! Luiz Vieira luiz.vieira@4linux.com.br luizwt@gmail.com https://groups.google.com/group/exploits-brasil hackproofing.blogspot.com www.4linux.com.br Tel: 55-11-6429-0505

2026 © DocPlayer.com.br Política de Privacidade | Termos de serviço | Feedback