Your SlideShare is downloading. ×
Forense Remota utilizando ferramentas Open Source
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Forense Remota utilizando ferramentas Open Source

582
views

Published on

Apresentacao no II Congresso de Computacao Forense realizado pela Universidade Presbiteriana Mackenzie. …

Apresentacao no II Congresso de Computacao Forense realizado pela Universidade Presbiteriana Mackenzie.
Profissionais envolvidos no estudo de caso
Julio Cesar R. Benatto
Jose Francci Netto

Published in: Technology

0 Comments
2 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
582
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
40
Comments
0
Likes
2
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. José Francci Neto Júlio César R. Benatto
  • 2. AGENDA - Introdução - Forense Computacional Preparação Aquisição Análise Relatórios - Estudo de Caso - Cenário Engage the Target Mestasploit Aquisição remota Passo a passo Comandos Enumerando drivers Bloqueador de escrita Mapeando drive remotamente Montando drive / Bloqueador de escrita Realizando aquisição remota Análise da imagem coletada Comparação / Conversão - Conclusão - Open Source x Software Pago
  • 3. Forense Computacional Processo Macro. PREPARAÇÃO > AQUISIÇÃO > ANÁLISE Atividade suspeita > RELATÓRIO
  • 4. O que é necessário para execução da atividade • Pessoas; • Processos; • Infra. Preparação
  • 5. Aquisição Realizar uma cópia bit a bit da origem que será submetida à análise. • Criação de imagem forense; • 1 source > 2 targets • Bloqueador de escrita; • Geração hash; • Cadeia de custódia; • Ata notarial.
  • 6. Análise Durante uma análise forense são analisados diversos artefatos que podem conter informações relevantes sobre comportamentos do(s) usuário(s) do computador ou sistema investigado. Excluídos – É possível realizar recuperação de arquivos deletados no disco que esta em análise (Data Carving) e verificar e acessar os dados que estão marcados como excluídos na MFT (Master File Table). Download – É possível determinar arquivos que o usuário tenha feito download. Skype – É possível remontar conversas de Skype (chat), entre outras ferramentas de mensagens instantâneas. Execução de programas – Pode-se determinar programas executados no ambiente em análise. Uso de dispositivos móveis – É possível determinar dispositivos móveis conectados no computados analisado.
  • 7. Relatórios Tem a finalidade de relatar os resultados obtidos durante a análise, de forma imparcial. • Resposta aos quesitos; • Análise imparcial; • Remontar os passos adotados durante a análise; • Linguagem de adequada ao interlocutor; • Relatório técnico • Laudo pericial • Conclusivo e sem opiniões.
  • 8. Aquisição remota através metasploit. Estudo de Caso
  • 9. Cenário • Kali Linux • Metasploit • Psexec • EnunDrives • NBD-Server • NBD-Client • Mount • dcfldd • Autopsy • Windows XP SP3 • Equipe de TI (empresa) • FTK Imager • EnCase V7.08
  • 10. Engage the Target Windows Credenciais Administrativas Válidas Sem Exploração de Vulnerabilidades
  • 11. METASPLOIT Framework para Pentest Desenvolvido em ruby Constante atualização Ambiente de pesquisa para exploração de vulnerabilidades • Forense • • • •
  • 12. Aquisição Remota Metodologia Forense utilizando Software Livre
  • 13. Passo a passo psexec > use exploit/windows/smb/psexec
  • 14. Comandos PAYLOAD > set PAYLOAD /windows/meterpreter/reverse_tcp
  • 15. Comandos SESSION Background Session 1...
  • 16. Enumerando os Drives enum_drives > use post/windows/gather/forensics/enum_drives
  • 17. Bloqueador de Escrita nbdserver > use post/windows/gather/forensics/nbdserver
  • 18. Mapeando Drive Remotamente nbd-client :~# nbd-client localhost 10005 /dev/nbd0p1
  • 19. Montando Drive/Bloqueador de Escrita mount :~#mount -r /dev/nbd0p1 /diretorio
  • 20. Realizando Aquisição Remota dcfldd (dcfldd.sourceforge.net) :~#dcfldd if=/dev/nbd0p1 of=/root/pericia/imgforense15.dd hash=md5
  • 21. Análise da Imagem coletada Autopsy Forensic Browser www.sleuthkit.org/autopsy
  • 22. Análise da Imagem coletada Autopsy Forensic Browser www.sleuthkit.org/autopsy
  • 23. Análise da Imagem coletada Autopsy Forensic Browser www.sleuthkit.org/autopsy
  • 24. Comparação/Conversão FTK IMAGER www.accessdata.com
  • 25. Comparação/Conversão ENCASE V7.08 www.guidance.com
  • 26. Análise da Imagem coletada Autopsy Forensic Browser www.sleuthkit.org/autopsy
  • 27. Análise da Imagem coletada Autopsy Forensic Browser www.sleuthkit.org/autopsy
  • 28. Análise da Imagem coletada Autopsy Forensic Browser www.sleuthkit.org/autopsy
  • 29. Análise da Imagem coletada Autopsy Forensic Browser www.sleuthkit.org/autopsy
  • 30. Análise da Imagem coletada Autopsy Forensic Browser www.sleuthkit.org/autopsy
  • 31. Análise da Imagem coletada Autopsy Forensic Browser www.sleuthkit.org/autopsy
  • 32. Open Source x Software Pago Aprendizado x Tempo x Facilidade de uso x Cenário
  • 33. Aquisição remota de Memória RAM DumpIt http://www.moonsols.com/windows-memory-toolkit/ Próximos passos...
  • 34. José Francci Neto neto@francci.net http://br.linkedin.com/pub/jos%C3%A9-francci-neto/10/899/187 Júlio César Roque Benatto jcbenatto@gmail.com http://br.linkedin.com/pub/julio-cesar-roque-benatto/13/b57/740 Muito Obrigado!

×