Investigação Digital

Documentos relacionados
Computação Forense, investigação em ambiente computacional

TÓPICOS ESPECIAIS II

Forense computacional em Linux for dummies

Introdução à Informática

Forense em Rede com Wireshark.

NOÇÕES DE INFORMÁTICA

AGT0001 Algoritmos Aula 01 O Computador

Backup. É um cópia de segurança de dados de um dispositivo para outro, para que possam ser restaurados em caso de perda acidental.

PROVA 03/07 Segunda-feira (semana que vem)

LINUX. Uma visão geral

Lista de Exercícios sobre Conceitos de Informática. Exercício 1: Correspondência

Manual de instalação

1. Após o boot se completar, será exibida a tela de inicial do Redo exibida abaixo, onde o usuário deverá escolher a opção Start Redo Backup.

INFORMÁTICA Professor: Daniel Garcia

Librix...3. Manual Eletrônico...3. Opções de Suporte...3. Dicas para a Instalação...4. Configuração de Dispositivos Básicos...6

UNIVERSIDADE ESTADUAL DO PARÁ UEPA LISTA DE EXERCÍCIOS DE INTRODUÇÃO A COMPUTAÇÃO. 2. O que diferencia os computadores de 1ª geração dos da 2ª.

Puca Huachi Vaz Penna

Manual de Instalação Condomínio21 Operacional Corporate

Manual de Instalação Flex

Pedro Monteiro da Silva Eleutério Marcio Pereira Machado. Novatec

FUNDAMENTOS DE HARDWARE INSTALAÇÃO DO WINDOWS 7. Professor Carlos Muniz

Professor: Lau Cheuk Lung

Profa. Leda G. F. Bueno

CPU. Memória. Periféricos, dispositivos de entrada, saída 07/04/2017

MANUAL DE INSTRUÇÕES PARA INSTALAÇÃO DE PROGRAMAS PARA MANUSEIO DOS SISTEMAS DE PROCESSO ELETRÔNICO DO ESTADO DE MINAS GERAIS

Prof. Alessandro Introdução a Computação Aula 2 Curso Técnico Módulo I. do computador. A placa-mãe é a maior placa encontrada no gabinete.

Manual de instalação Condomínio21 Operacional Standard

NOÇÕES DE INFORMÁTICA

Manual de instalação

Manual de Instalação Corporate

Lista de Exercícios sobre Conceitos de Informática. Exercício 1: Correspondência

FUNDAMENTOS DE ARQUITETURAS DE COMPUTADORES SISTEMAS DE COMPUTAÇÃO. Cristina Boeres

CURSO DE TÉCNICO EM TELECOM DISCIPLINA: INFORMÁTICA APLICADA

Introdução à Programação. Apresentação da Disciplina e Conceitos Básicos de Computadores

Guia do Google Cloud Print

MEMÓRIA INTRODUÇÃO A INFORMÁTICA VINÍCIUS PÁDUA

Administração Central Cetec Capacitações Capacitação Sistema Operacional Linux Semana III

DEFINIÇÃO É TODO AQUELE DISPOSITIVO CAPAZ DE ARMAZENAR INFORMAÇÃO. A

Conceitos sobre Computadores

Perícia Computacional Forense.

Projeto Integrador. <Projeto Integrador> Documento Visão. Versão <1.0>

Programação Aplicada a Redes de Computadores Shell Script

SISTEMAS DE ARQUIVOS. Uma das funções de um sistema operacional, é organizar as informações nas memórias de um computador ou dispositivo móvel.

Computação L. Apresentação da Disciplina e Conceitos Básicos de Computadores

Hardware - Processador

Sidicom S4. Tutorial Backup Automático + Backup na nuvem

Introdução à Computação MAC0110

PERÍCIA DIGITAL: ESTRATÉGIAS PARA ANALISAR E MANTER EVIDÊNCIAS ÍNTEGRAS EM FORENSE COMPUTACIONAL

Informática Educativa 2012

Manual de Instalação

Estrutura do Sistema Operacional

Introdução ao Windows Server 2008

ADMINISTRAÇÃO DE BANCOS DE DADOS DO MICROSOFT SQL SERVER

Objetivo: Praticar a aplicação de acesso remoto via protocolo RDP (Remote Desktop) em ambientes Microsoft Windows.

INTRODUÇÃO À MICROINFORMÁTICA

Sistemas Operacionais

Técnicas Anti-Forenses

INTRODUÇÃO AOS SISTEMAS LÓGICOS INTRODUÇÃO

Librix...3. Software Livre...3. Manual Eletrônico...3. Opções de Suporte...3. Dicas para a Instalação...4. Configuração de Dispositivos Básicos...

ATIVIDADE EXTRA COMPONENTE CURRICULAR (AEC)

Download e Upload. De forma muito objetiva podemos dizer que um arquivo possui pelo menos três características que os definem:

LISTA DE EXERCÍCIOS 01 INTRODUÇÃO À INFORMÁTICA

Informática Sistemas Operacionais Aula 5. Cleverton Hentz

Multimídia. Conceitos Básicos (Parte I)

Forense em RAM Identificando Malware

INF1007 Programação II

Introdução à Informática. Professor: Francisco Ary

CURSO BÁSICO DE PROGRAMAÇÃO AULA 16. Manipulação de arquivos.

Informática. Backup do Windows. Professor Márcio Hunecke.

Computador (arquitetura básica): b

FundamentosemInformática

Instalador e Operador de Sistemas de Telefonia e Comunicação de Dados

Organização de Computadores I

Computação forense: uma aplicação de softwares livres para recuperação de dados digitais

Aula de Arquivos. Jesimar da Silva Arantes. Instituto de Ciências Matemáticas e de Computação Universidade de São Paulo - São Carlos, SP

Guia de Instalação UEG Linux LTS

Unidades de Armazenamento Para que os dados não se percam, precisam ser gravados num dispositivo de armazenamento chamado memória auxiliar; esta,

Virtualizando Sistema Operacional

ETAPAS DO PROCESSO DE COMPUTAÇÃO FORENSE: UMA REVISÃO STAGES OF THE FORENSIC COMPUTATION PROCESS: A REVIEW

Engenharia Civil. Representação da Informação. Introdução à Computação

Introdução à Informática. Professor: Francisco Ary

Informática I. Aula 2. Ementa

Comandos de Verificação. Alberto Felipe Friderichs Barros

Cloud Computing. Prof. Marcio R. G. de Vazzi Analista De sistemas Especialista em Gestão Mestrando em Educação

Transcrição:

Universidade Federal do Espírito Santo CCENS UFES Universidade Federal do Espírito Santo Centro de Ciências Agrárias CCA UFES Departamento de Computação Investigação Digital Computação Forense Site: http://jeiks.net E-mail: jacsonrcsilva@gmail.com

Tópicos Processo de investigação Digital: Coleta de Dados; Exame de Dados; Análise das Informações; Interpretação dos resultados; Obs.: futuramente esses tópicos serão novamente discutidos, porém com mais detalhes e com casos de estudo. Metodologias de Análise Forense: Live Forensics; Post Mortem Forensics. Desenvolvimento de ferramentas para a análise forense. 2

Processo de Investigação Digital Basicamente, possui quatro etapas: Coleta dos dados: Obter os dados mantendo sua integridade. Armazenar de forma segura os dados e os equipamentos coletados e identificá-los. Exame dos dados: Seleção e utilização das ferramentas e técnicas apropriadas para cada tipo de dado coletado. Análise das informações: Analisar os dados filtrados na etapa de Exame, com intuito de obter informações úteis e relevantes para o caso. Interpretação dos resultados: Criação de um relatório com a descrição dos procedimentos realizados e os resultados obtidos. 3

Processo de Investigação Digital Mídias Dados Informações Evidências Coleta Exame Análise Resultados Obtidos Isolar a área; Coletar as evidências; Garantir a integridade; Identificar os equipamentos; Embalar evidências; Etiquetar evidências; Cadeia de custódia. Identificar; Extrair; Filtrar; Documentar. Identificar as pessoas, os locais e os eventos; Correlacionar as pessoas, os locais e os eventos; Reconstruir a cena; Documentar. Redigir o laudo; Anexar evidências e demais documentos. 4

Coleta dos Dados Identificar as possíveis fontes de dados, como: Computadores pessoais; Laptops; Celulares; Dispositivos de armazenamento em geral. O armazenamento também pode ser externo: Servidores FTP; Servidores de E-mail; Servidores corporativos; Servidores de armazenamento de dados (Dropbox). O acesso aos dados deve ser realizado sob ordem judicial. 5

Coleta dos Dados Após identificar, deve-se adquirir os dados. As etapas da aquisição dos dados: 1. Prioridade da coleta dos dados: Volatilidade: tomar cuidado com a preservação dos dados mediante seu meio de armazenamento, como dados de rede e da memória virtual. Esforço: verificar a dificuldade de coletar dados e também o tempo necessário, o custo do equipamento e serviços de terceiros, se necessários. Valor estimado: estimar um valor relativo para os dados que podem ser encontrados em cada provável fonte de dados. 6

Coleta dos Dados As etapas da aquisição dos dados: 2. Copiar dados: Utilizar as ferramentas adequadas para obter e duplicar os dados da mídia de armazenamento, tanto voláteis quanto não-voláteis. 3. Garantir e preservar a integridade dos dados: Após a coleta dos dados, deve-se preservar a integridade dos mesmos. A integridade de um dado permite que o mesmo seja utilizado perante a justiça. Para garantir em um laudo a integridade dos dados, pode-se realizar um hash sobre os arquivos ou mídias obtidas na investigação. Trabalhando Trabalhando com com hashes... hashes... 7

Exame dos Dados Tem como finalidade analisar e extrair informações relevantes à investigação: Analisar os arquivos e seu conteúdo para encontrar as evidências do evento. Filtrar as informações dentre os dados coletados: Tentativas de invasão em um arquivo de log; Arquivos apagados em um sistema de arquivos; Imagens com conteúdos implícitos; etc. grep grep n n conteúdo conteúdo arquivos arquivos strings strings arquivo arquivo hexdump hexdump C C arquivo arquivo wxhexeditor wxhexeditor Ideal utilizar ferramentas que permitam a pesquisa por termos chave e por determinados tipos de arquivos. 8

Obs.: tipos de arquivos Determinados por extensões: exe, arj, doc, rar, zip, Determinados por Assinaturas: Chamado de File Signatures, mais especificamente: Magic Numbers São os primeiros bytes de um arquivo, podendo variar de 1 a 4 bytes; Um banco de dados de assinaturas conhecidas encontrase em: <http://www.filesignatures.net>. file file -Lks -Lks arquivo arquivo python3 python3 -c -c "print( "print( open('arquivo', 'rb').read(4).hex() )" )" 9

Análise das Informações Momento de analisar as informações: Identificar pessoas, locais e eventos relacionados à investigação; Alguns exemplos: IP do invasor; Imagem da cena do crime; E-mails apagados; Softwares piratas instalados/removidos; Dependem da experiência e do conhecimento do perito, pois não existem ferramentas para isso. Demandam então muito tempo. who who last last ps ps faux faux 10

Interpretação dos Resultados Etapa conclusiva da investigação; Momento da construção do Laudo pericial, que deve: Ser claro e de fácil interpretação por qualquer pessoa; Pode ser jurídico ou técnico; Deve ser organizado em seções, como: introdução; objetivos; metodologia; evidências analisadas e detalhes; conclusão; e anexos. Se necessário, adicione referências. Lembre-se de responder tudo que foi pedido de forma direta e clara. 11

Interpretação dos Resultados O Laudo deve apresentar uma conclusão imparcial e final sobre a investigação. Qualquer item escrito que possa causar dúvidas ou não ser claro, servirá para atrasar o tempo do processo e para você não ser mais nomeado como perito. Cite tudo que foi realizado para encontrar as evidências: Metodologia e técnicas utilizadas; Ferramentas e softwares utilizados; Qual a licença do software utilizado; TUDO necessário para que as fases de investigação possam ser reproduzidas. 12

Supondo Supondo que que você você seja seja um um perito perito e que que deva deva investigar investigar por por contratos contratos realizados realizados entre entre a empresa empresa EMP EMP e o cliente cliente José. José. Faça: Faça: 1. 1. Descreva Descreva como como seriam seriam suas suas ações ações no no trabalho trabalho de de perito. perito. 2. 2. Descreva Descreva como como seria seria seu seu Laudo. Laudo. 13

Metodologias de Análise Forense Live Forensics: Investigação do equipamento ainda em funcionamento (antes de ser desligado). Post Mortem Forensics: Investigação do equipamento após o desligamento do equipamento. 14

Live Forensics Caracteriza-se pela investigação do equipamento ainda em funcionamento. Único método que permite a aquisição de informações voláteis, como por exemplo: processos que estão executando no computador; tabelas de roteamento; conexões estabelecidas entre conexões de rede; arquivos temporários; dados da memória principal; etc. É necessário cuidado para não atrapalhar as evidências com as ferramentas forenses utilizadas. Os dados nessa análise são voláteis e podem ser corrompidos ou perdidos facilmente. 15

Windows: Windows: - - CTRL+ALT+DEL - - tasklist tasklist /svc /svc (no (no cmd) cmd) - - Programa Programa Autoruns Autoruns da da Microsoft: Microsoft: https://technet.microsoft.com/en-us/sysinternals/bb963902.aspx - - Despejo Despejo de de memória: memória: Configurar Configurar em: em: Computador->Propriedades->Avançado->Despejo de de memória... memória... Pressionar: Pressionar: CTRL CTRL + SCROOL SCROOL LOCK LOCK + SCROOL SCROOL LOCK LOCK http://support.microsoft.com/kb/927069/pt-br GNU/Linux: - - ps ps fax, fax, pidof pidof e /proc /proc - - /dev/mem /dev/mem - - strings strings -a -a - - hexdump hexdump 16

Post Mortem Forensics Caracteriza-se pela investigação realizada após o desligamento do equipamento. Deve-se verificar se o equipamento não perderá informações ao ser desligado. Nunca inicie o sistema do investigado (dê boot no HD dele) após desligar o equipamento. Utilize um sistema secundário para a análise. É recomendado: Criar uma cópia fiel (duplicação forense) do material questionado para uma posterior análise; Efetuar um hash da cópia criada e da cópia original e colher assinaturas dos responsáveis. Isso garantirá que a imagem entregue a justiça era a original; Isso garantirá que ninguém questione sobre a cópia de trabalho do perito. 17

No No Linux: Linux: Insira Insira um um pendrive pendrive no no seu seu computador. Após Após isso, isso, crie crie uma uma imagem imagem do do mesmo mesmo com com a ferramenta: ferramenta: dcfldd dcfldd Exemplo: Exemplo: mkdir mkdir copia copia && && cd cd copia copia dmesg dmesg tail tail dcfldd dcfldd if=/dev/sdb if=/dev/sdb of=sdb.dd of=sdb.dd hash=md5,sha256 hash=md5,sha256 \ md5log=sda.dd.md5 md5log=sda.dd.md5 sha256log=sda.dd.sha256 sha256log=sda.dd.sha256 Na Na máquina máquina virtual: virtual: Inicie Inicie os os Lives Lives Forenses Forensese verifique verifique quais quais são são as as ferramentas que que podem podem ser ser utilizadas utilizadas nos nos tópicos tópicos da da aula aula de de hoje. hoje. Crie Crie sua sua lista lista de de ferramentas ferramentas para para possíveis possíveis investigações futuras. futuras. 18

Como desenvolver ferramentas para análise forense? 19

Desenvolvendo ferramentas forenses Necessário: Conhecer como os dados são armazenados em mídias de armazenamento; Compreender o funcionamento do dispositivo; Conhecer os sistemas de arquivos. Dominar uma linguagem de programação rápida e eficaz para trabalhar bit a bit; Dominar o trabalho com arquivos e operações entre diferentes bases; Dominar a tabela de codificação ASCII e UNICODE; 20

2026 © DocPlayer.com.br Política de Privacidade | Termos de serviço | Feedback