Your SlideShare is downloading. ×
Computação Forense 0800 Tony Rodrigues
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Computação Forense 0800 Tony Rodrigues

1,900
views

Published on

Uso de software livre em Computação Forense

Uso de software livre em Computação Forense

Published in: Technology, Education

0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
1,900
On Slideshare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
0
Comments
0
Likes
1
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. C o m p u ta ç ã o F o r e n s e 0 8 0 0 (o u q u a s e !) To n y R o d r ig u e s in v.fo r e n s e a r r o b a g m a il p o n to c o m
  • 2. Q uem sou ? • Tony Rodrigues, C IS S P , C F C P , S e c u r ity + • Gerente de Segurança de Informações em uma Seguradora no Rio de Janeiro • Perito/Investigador em Computação Forense • Blog: http://forcomp.blogspot.com Computação Forense 0800 (ou quase !)
  • 3. Agenda • Introdução • Laboratório do Perito em Computação Forense • Benefícios do Software Livre • Soluções • Live CDs • Utilitários • Comparativo • Faça o seu ! Computação Forense 0800 (ou quase !)
  • 4. Laboratório do Perito - $$$$ ! • Entre outras coisas: – Laptop – Servidor – Muita capacidade Custo alto !!! de storage – Write Blockers – Software Aqui podemos fazer algo: Software Livre Computação Forense 0800 (ou quase !)
  • 5. B e n e fí c io s d o S o ft w a r e L iv r e n a C o m p u ta ç ã o F o r e n s e • São realmente soluções de baixo orçamento; • Código fonte disponível para avaliação e customização; • Muitas ferramentas disponíveis para aquisição de análise de imagens forenses; • Muitos usuários em todo o mundo disponíveis para ajudar; • Comparação/Double Check dos resultados; • Não é afetado pelo problema qualidade x funcionalidades; • Melhores resultados em avaliação de custo x benefício; Computação Forense 0800 (ou quase !)
  • 6. S o lu ç õ e s d e S o ftw a r e L iv r e p a r a C o m p u ta ç ã o F o r e n s e • Utilitários Windows e Linux • Live CDs • Pacotes • Live DVDs • Appliances de máquinas virtuais Computação Forense 0800 (ou quase !)
  • 7. H elix 3 L ive C D • Era conhecido como o melhor live cd para Computação Forense – Versão 2009R1 só está disponível para Membros do Helix Forum ($$$) – Esta é a razão do “(ou quase)” no título da palestra  • Resposta a Incidentes em Windows • Baseada no Ubuntu e no GNome Desktop • Muitas ferramentas disponíveis • Talvez seja o mais usado live cd de Computação Forense Computação Forense 0800 (ou quase !)
  • 8. H elix 3 L ive C D Computação Forense 0800 (ou quase !)
  • 9. H elix 3 L ive C D – R es pos ta a I nc identes Computação Forense 0800 (ou quase !)
  • 10. H elix 3 L ive C D – R es pos ta a I nc identes Computação Forense 0800 (ou quase !)
  • 11. H elix 3 L ive C D – P rós e C ontra s • Prós – Resposta a Incidentes baseada em Windows – Quantidade e qualidade das ferramentas – Documentação – Kernel customizado • Contras – Faltam algumas ferramentas mais novas (PTK, p.ex.) – Poucos lançamentos por ano – 2008R1 é a última versão não-comercial Computação Forense 0800 (ou quase !)
  • 12. FC C U L ive C D • Live CD da Federal Computer Crime Unit (Polícia Federal Belga) Versão 12.1 • Baseada no Debian e no XFCE Desktop • É o campeão das ferramentas (quantidade e variedade) • Ferramentas Windows para aquisição de memória RAM • Ferramentas exclusivas – fuzzy hash – browser history viewer múltiplo – Análise de memória • O melhor candidato para assumir o lugar do Helix Computação Forense 0800 (ou quase !)
  • 13. FC C U L ive C D Computação Forense 0800 (ou quase !)
  • 14. FC C U L ive C D Computação Forense 0800 (ou quase !)
  • 15. FC C U L ive C D – P ró s e C ontra s • Prós – A existência de ferramentas Windows para aquisição da RAM indica a estratégia de disponibilizar ferramentas Windows para Resposta a Incidentes – Quantidade, qualidade e variedade das ferramentas – Documentação – Atualizações freqüentes – Ligado nas tendências do mercado • Contras – Ausência do Firefox – Teclado Belga como default – Precisa melhorar o menu Computação Forense 0800 (ou quase !)
  • 16. FD T K L ive C D • Forense Digital ToolKit - Live CD Brasileiro - Versão 2.01 • Baseado no Ubuntu e Gnome Desktop • Muitas ferramentas disponíveis, semelhante ao FCCU • Menu detalhado • Ferramentas exclusivas – Dc3dd GUI • Usado em aulas de Computação Forense da Unisinos Computação Forense 0800 (ou quase !)
  • 17. FD T K L ive C D Computação Forense 0800 (ou quase !)
  • 18. FD T K L ive C D Computação Forense 0800 (ou quase !)
  • 19. FD T K L ive C D – P rós e C ontra s • Prós – Atualizado freqüentemente – Praticamente tem todas as ferramentas acessíveis pelo menu – Excelente opção para países de língua Portuguesa • Contras – Faltam ferramentas de Network Forensics – Teclado brasileiro (ABNT2) como default – Documentação precisa melhorar Computação Forense 0800 (ou quase !)
  • 20. C A I N E L ive C D • Live CD Computer Aided Investigative Environment - Versão 0.4 • Baseado no Ubuntu e no Gnome Desktop • Projeto da Universidade de Modena (Itália) • Baseado na interface Caine • Ferramentas exclusivas – SFDumper (dump de arquivos pelo tipo) – Fundl (Undelete de arquivos) • Gera relatórios automaticamente Computação Forense 0800 (ou quase !)
  • 21. C A I N E L ive C D Computação Forense 0800 (ou quase !)
  • 22. C A I N E L ive C D Computação Forense 0800 (ou quase !)
  • 23. C A I N E L ive C D – C a ine I nterfa c e Computação Forense 0800 (ou quase !)
  • 24. C A I N E L ive C D – P rós e C ontra s • Prós – Atualizado freqüentemente – A interface CAINE auxilia nos passos da investigação – Documentação e relatórios semi- automatizados – Excelente ferramenta para iniciantes • Contras – Poucas ferramentas disponíveis – Teclado Italiano como default – Documentação precisa de melhorias Computação Forense 0800 (ou quase !)
  • 25. P la inS ig ht L ive C D • Live CD PlainSight Versão 0.1 – Ferramenta produzida para uma tese de Mestrado • Baseado no Knoppix e no KDE Desktop • A base é a interface PlainSight • Ferramentas exclusivas – Spider – RegRipper • Ferramentas de Análise de Memória Computação Forense 0800 (ou quase !)
  • 26. P la inS ig ht L ive C D Computação Forense 0800 (ou quase !)
  • 27. P la inS ig ht L ive C D – P la inS ig ht I nterfa c e Computação Forense 0800 (ou quase !)
  • 28. P la inS ig ht L ive C D – P la inS ig ht I nterfa c e Computação Forense 0800 (ou quase !)
  • 29. P la inS ig ht L ive C D – P rós e C ontra s • Prós – Possui importantes ferramentas de análise (Memória/Registry) – A interface PlainSight auxilia os passos da investigação – A interface PlainSight beneficia a criação de relatórios • Contras – Não possui ferramentas necessárias para uma investigação completa – Não aparenta continuidade – Precisa melhorar a documentação Computação Forense 0800 (ou quase !)
  • 30. D E FT L ive C D • Live CD Italiano Digital Evidence and Forensic Toolkit - Versão 4.1 • Baseado no Xubuntu e no xfce4 desktop • Ferramentas exclusivas – Dhash (hash) – XPlico (decodificador de tráfico de internet) – Catfish (buscador de arquivos) • Não é para novatos • Outro forte candidato a ser o melhor live cd de Computação Forense Computação Forense 0800 (ou quase !)
  • 31. D E FT L ive C D Computação Forense 0800 (ou quase !)
  • 32. D E FT L ive C D – X plic o tool Computação Forense 0800 (ou quase !)
  • 33. D E FT L ive C D – X plic o tool Computação Forense 0800 (ou quase !)
  • 34. D E FT L ive C D – X plic o tool Computação Forense 0800 (ou quase !)
  • 35. D E FT L ive C D – X plic o tool Computação Forense 0800 (ou quase !)
  • 36. D E FT L ive C D – P rós e C o ntra s • Prós – Atualizado freqüentemente – Possui um roadmap publicado do que será implementado nas novas versões – Boot rápido – Disponível para USB em breve – Só pelo Xplico já vale • Contras – Não tem programa GUI para configuração de rede – Faltam algumas ferramentas importantes para análise (memória, browser, registry, etc) Computação Forense 0800 (ou quase !)
  • 37. ForL ex L ive C D • Live CD Italiano Informatica Forense Versão 1.5.0 • Baseado no Knoppix • Ferramentas exclusivas – All in 1 (interface para o TSK) Computação Forense 0800 (ou quase !)
  • 38. ForL ex L ive C D Computação Forense 0800 (ou quase !)
  • 39. ForL ex L ive C D – A ll in 1 Computação Forense 0800 (ou quase !)
  • 40. ForL ex L ive C D – P rós e C ontra s • Prós – All in 1 – Boot rápido • Contras – Website somente em italiano – Faltam algumas ferramentas importantes para análise (memória, browser, registry, etc) – A versão 1.5.0 foi distribuída com alguns utilitários desatualizados – Teclado Italiano como default Computação Forense 0800 (ou quase !)
  • 41. U tilitá rio s – A quis iç ã o de I m a g ens Fo rens es - G U I PlainSight FDTK FCCU Helix ForLex 0.1 Caine 0.4 DEFT4.1 2.01 12.1 2.0 1.5.0           Linen Linen           Adepto     Air   Air Air   Air       dc3dd GUI         GuyMager GuyMager   GuyMager   GuyMager Computação Forense 0800 (ou quase !)
  • 42. U tilitá rio s – A quis iç ã o de I m a g ens Forens es - C LI PlainSight Caine FDTK FCCU ForLex 0.1 0.4 DEFT4.1 2.01 12.1 Helix 2.0 1.5.0       sdd sdd   sdd dd dd dd dd dd dd dd   dcfldd dcfldd dcfldd dcfldd dcfldd dcfldd       rdd rdd     dd_rescu dd_rescue   dd_rescue dd_rescue dd_rescue e dd_rescue         dd_rhelp dd_rhelp     ddrescue   ddrescue   ddrescue ddrescue       rddi rddi         dc3dd dc3dd dc3dd dc3dd           cstream     dds2tar     dds2tar dds2tar   dds2tar Computação Forense 0800 (ou quase !)
  • 43. U tilitá rios – A ná lis es PlainSight Caine DEFT4. FDTK Helix ForLex 0.1 0.4 1 2.01 FCCU 12.1 2.0 1.5.0 SleuthK Sleuthkit Sleuthkit Sleuthkit Sleuthkit SleuthKit it SleuthKit                 Autopsy Autopsy Autopsy Autopsy Autopsy Autopsy           allin1.py allin1.py Computação Forense 0800 (ou quase !)
  • 44. U tilitá rios – C ria ç ã o de L inha do T em po PlainSight Caine DEFT4. FCCU ForLex 0.1 0.4 1 FDTK 2.01 12.1 Helix 2.0 1.5.0       mac-robber         mactime mactime mactime mactime mactime mactime mac_gra           b.pl   Computação Forense 0800 (ou quase !)
  • 45. U tilitá rios – D eleç ã o s eg ura PlainSight Caine DEFT FDTK FCCU Helix ForLex 0.1 0.4 4.1 2.01 12.1 2.0 1.5.0         shread   shread wipe   wipe wipe wipe   wipe Computação Forense 0800 (ou quase !)
  • 46. U tilitá rios – C a rving PlainSigh Caine ForLex t 0.1 0.4 DEFT4.1 FDTK 2.01 FCCU 12.1 Helix 2.0 1.5.0 foremost foremost foremost foremost foremost foremost foremost   Scalpel Scalpel Scalpel Scalpel Scalpel Scalpel   photorec photorec photorec photorec             revit             foregone.pl             grepj-fat           magicrescue magicrescue   magicrescue Computação Forense 0800 (ou quase !)
  • 47. U tilitá rio s – R ec upera ç ã o de S is tem a de A rquivos PlainSight Caine 0.1 0.4 DEFT4.1 FDTK 2.01 FCCU 12.1 Helix 2.0 ForLex 1.5.0       fatback fatback                     testdisk testdisk testdisk testdisk           NTFS Tools NTFS Tools           Scrounge-NTFS Scrounge-NTFS   Scrounge-NTFS       e2undel e2undel           recover recover   recover         e2retrieve             myrescue             recoverdm             safecopy     ntfsundel     ntfsundelete ntfsundelete   ete ntfsundelete         setmax setmax           sshfs             jfsutils jfsutils jfsutils disktype disktype   disktype disktype disktype disktype Computação Forense 0800 (ou quase !)
  • 48. U tilitá rios – H a s h PlainSight Caine FCCU ForLex 0.1 0.4 DEFT4.1 FDTK 2.01 12.1 Helix 2.0 1.5.0 md5sum md5sum md5sum md5sum/md5deep md5deep md5deep md5sum sha1deep/sha1su sha1dee sha1sum sha1sum sha1sum m sha1deep p sha1sum                   Dhash                   Gtkhash           ssdeep ssdeep   Computação Forense 0800 (ou quase !)
  • 49. U tilitá rios – A ná lis e de a tivida de de I nternet PlainSight Caine DEFT Helix ForLex 0.1 0.4 4.1 FDTK 2.01 FCCU 12.1 2.0 1.5.0 Pasco     Pasco Pasco Pasco Pasco       Galleta Galleta Galleta   mork.p mork.pl     mork.pl mork.pl l         cookie_cruncher.pl cookie_cruncher.pl             dumpAutocomplete.py             bhv     Computação Forense 0800 (ou quase !)
  • 50. U tilitá rios – A ná lis e de A rquivos W indow s PlainSight Caine DEFT Helix ForLex 0.1 0.4 4.1 FDTK 2.01 FCCU 12.1 2.0 1.5.0       Rifiuti Rifiuti           GrokEvt GrokEvt           dumpster_dive.pl dumpster_dive.pl           antiword antiword             Wvtools           mdbtools mdbtools             catdoc           tnef tnef   tnef         opentnef           fccu-docprop fccu-docprop           fccu.evtreader fccu.evtreader           pdftk pdftk             yim2text             evtviewer             ppsei             clit     Computação Forense 0800 (ou quase !)
  • 51. U tilitá rios – A ntivírus PlainSight 0.1 Caine 0.4 DEFT4.1 FDTK 2.01 FCCU 12.1 Helix 2.0 ForLex 1.5.0 chkrootkit   chkrootkit chkrootkit chkrootkit chkrootkit chkrootkit       rkhunter rkhunter     missidentify           F-Prot   Clamav     Clamav Clamav Clamav (clamscan)   Computação Forense 0800 (ou quase !)
  • 52. U tilitá rios – N etw ork Forens ic s PlainSight 0.1 Caine 0.4 DEFT4.1 FDTK 2.01 FCCU 12.1 Helix 2.0 ForLex 1.5.0         Tcpxtract tcpxtract           Ngrep             Netwox             Tcpick             Tcptrack             Tcpflow             Netdude     dsniff       Dsniff dsniff dsniff hunt       Hunt             Snifit             Ethercap             Driftnet             Karpski             Nast             Scapy             Chatsniff             msn-capture     Computação Forense 0800 (ou quase !)
  • 53. U tilitá rios – N etw ork Forens ic s (2) PlainSight 0.1 Caine 0.4 DEFT4.1 FDTK 2.01 FCCU 12.1 Helix 2.0 ForLex 1.5.0         Imsniff             Nbtscan             P0f             Arping arping           Knocker             Nmap   nmap         Weplab             Darkstat         Xplico             wireshark   Wireshark wireshark             tcpreplay           Prismstumbler     Computação Forense 0800 (ou quase !)
  • 54. U tilitá rios – E num era ç ã o de H a rdw a re PlainSight Caine DEFT FDTK FCCU Helix ForLex 0.1 0.4 4.1 2.01 12.1 2.0 1.5.0   lshw lshw lshw lshw lshw     discover   discover discover             scsitools   scsitools         scsiadd   scsiadd         x86info             lspci lspci lspci         lsusb lsusb lsusb         lsscsi   lsscsi         cpuid           blktool blktool     Computação Forense 0800 (ou quase !)
  • 55. U tilitá rios – B us c a de pa la vra s - c ha ve PlainSight Caine DEFT FCCU Helix ForLex 0.1 0.4 4.1 FDTK 2.01 12.1 2.0 1.5.0                     glark glark     Spider                   fccu-infile-search             fccu-search-files               sgrep     Computação Forense 0800 (ou quase !)
  • 56. U tilitá rios – E s teg a no g ra fia PlainSight FDTK FCCU ForLex 0.1 Caine 0.4 DEFT4.1 2.01 12.1 Helix 2.0 1.5.0 Outguess   Outguess Outguess Outguess Outguess     stegdetect   stegdetect stegdetect stegdetect   Computação Forense 0800 (ou quase !)
  • 57. U tilitá rios – A ná lis e de R eg is try PlainSight 0.1 Caine 0.4 DEFT4.1 FDTK 2.01 FCCU 12.1 Helix 2.0 ForLex 1.5.0           regviewer   RegRipper       regripper           regtool   regtool         regp regp             userassist.pl           Reglookup Reglookup Reglookup   Computação Forense 0800 (ou quase !)
  • 58. U tilitá rios – Q uebra de S enha s PlainSight 0.1 Caine 0.4 DEFT4.1 FDTK 2.01 FCCU 12.1 Helix 2.0 ForLex 1.5.0       Chntpw Chntpw Chntpw           cmospwd             pwl         john the ripper john the ripper john the ripper             lcrack             crack             samdump samdump2   bkhive bkhive bkhive bkhive bkhive bkhive           pgpcrack             nasty       ophcrack ophcrack ophcrack ophcrack ophcrack         fcrackzip fcrackzip           medussa medussa             qcrack               bioskbsnarf           pdfcrack             hydra     Computação Forense 0800 (ou quase !)
  • 59. U tilitá rios – A ná lis e de E m a ils PlainSight Caine ForLex 0.1 0.4 DEFT4.1 FDTK 2.01 FCCU 12.1 Helix 2.0 1.5.0           grepmail       readpst readpst readpst readpst           ripole           eindeutig eindeutig     Computação Forense 0800 (ou quase !)
  • 60. U tilitá rios – A ná lis e de Fotos e I m a g ens PlainSight Caine DEFT ForLex 0.1 0.4 4.1 FDTK 2.01 FCCU 12.1 Helix 2.0 1.5.0           Retriever       Vinetto   Vinetto Vinetto         recoverjpeg recoverjpeg     FBI       FBI           exiftags exiftags           exifgrep exifgrep           exif exif             metacam           jhead jhead     dcraw dcraw   dcraw dcraw dcraw dcraw       jpeginfo jpeginfo             RecoverPhotos             extract           exifprobe exifprobe     Computação Forense 0800 (ou quase !)
  • 61. U tilitá rios – C riptog ra fia PlainSight Caine DEFT FDTK ForLex 0.1 0.4 4.1 2.01 FCCU 12.1 Helix 2.0 1.5.0 cryptcat cryptcat   cryptcat cryptcat cryptcat cryptcat       bcrypt bcrypt           ccrypt ccrypt     Computação Forense 0800 (ou quase !)
  • 62. U tilitá rios – C om pa c ta dores Caine PlainSight 0.1 0.4 DEFT4.1 FDTK 2.01 FCCU 12.1 Helix 2.0 ForLex 1.5.0 lzop     lzop lzop   lzop       gzrecover gzrecover           zoo zoo           arj arj           cabextract cabextract   cabextract     p7zip p7zip p7zip           orange orange             spantape           unshield unshield       unrar   unrar unrar   unrar       unace unace   unace mscompress/msexpan mscompress/msexpan mscompress/msexpan mscompress/msexpan     d d d d   star     star star   star         nomarch     Computação Forense 0800 (ou quase !)
  • 63. U tilitá rios – Form a tos de I m a g em Forens e PlainSight Caine DEFT ForLex 0.1 0.4 4.1 FDTK 2.01 FCCU 12.1 Helix 2.0 1.5.0     libewf   libewf libewf libewf   afflib afflib afflib afflib afflib   Computação Forense 0800 (ou quase !)
  • 64. U tilitá rios – A ná lis e de M em ória PlainSight Caine DEFT ForLex 0.1 0.4 4.1 FDTK 2.01 FCCU 12.1 Helix 2.0 1.5.0 ptfinder (ptfinder_w2k.pl, ptfinder_xp.pl, ptfinder_xpsp2.pl,           ptfinder_w2003.pl   Volatility       Volatility Volatility           aeskeyfinder/rsakeyfinder             MetlStorm firewire.py MetlStorm firewire.py   Computação Forense 0800 (ou quase !)
  • 65. U tilitá rio s – H o neypo ts e A ná lis e de M a lw a re PlainSight Caine DEFT ForLex 0.1 0.4 4.1 FDTK 2.01 FCCU 12.1 Helix 2.0 1.5.0         Amun           nephentes nephentes             mwcollect     Computação Forense 0800 (ou quase !)
  • 66. U tilitá rios – B us c a de V ulnera bilida des PlainSight Caine 0.1 0.4 DEFT4.1 FDTK 2.01 FCCU 12.1 Helix 2.0 ForLex 1.5.0         nikto         Nessus       Nessus Computação Forense 0800 (ou quase !)
  • 67. A lterna tiva s • PTK – Interface alternativa para o TSK – Indexação de palavras-chave – Análise de Memória • PyFLAG – Correlação de múltiplas fontes forenses – Indexação de palavras-chave – Análise de Memória – Network Forensics – Versão Windows disponibilizada recentemente Computação Forense 0800 (ou quase !)
  • 68. A lterna tiva s • Multi Live DVDs – Um Live DVD, muitos ISOs dentro • MultiISO Live DVD (BackTrack, OphCrack ...) • SUMO Linux (Helix, BackTrack ...) – Nenhum completamente dedicado à Computação Forense (O que você está esperando ??) • SANS SIFT – Máquina Virtual VMWare – PTK – Análise de Memória (Volatility) Computação Forense 0800 (ou quase !)
  • 69. Faça você mesmo ! • Escolha a base Linux (Ubuntu preferencialmente) • Retire o automount dos drives • Cuidado com swap e Journaling File Systems • Escolha pelo menos 2 utilitários para cada tarefa • Dê suporte ao máximo de Formatos de Imagens Forenses • Dê suporte ao máximo de hardwares conhecidos • Dê suporte ao máximo de Sistemas de Arquivos • Crie um esquema parecido com o do SIFT de permitir acesso às ferramentas do Windows • Ferramentas praticamente obrigatórias: – TSK – PTK – Xplico – Linen and GuyMager – Ddrescue – Foremost – Wireshark – Regripper – Volatility – John the ripper and OphCrack – Extract – Perl and Python support Computação Forense 0800 (ou quase !)
  • 70. R eferênc ia s • Helix – www.e-fense.com/helix • FCCU – www.lnx4n6.be/ • FDTK – www.fdtk.com • Caine – www.caine-live.net/en • PlainSight – www.plainsight.info • DEFT – www.deftlinux.net Computação Forense 0800 (ou quase !)
  • 71. R eferênc ia s • ForLex – www.forlex.it/ • PTK – ptk.dflabs.com/index.html • PyFLAG – www.pyflag.net/ • SANS SIFT – forensics.sans.org/community/downloads/ • MultiISO Live DVD – www.badfoo.net/ • Sumo Linux – sumolinux.suntzudata.com/ Computação Forense 0800 (ou quase !)
  • 72. S u g e s tõ e s d e L e itu r a http://forcomp.blogspot.com http://www.e-evidence.info Computação Forense 0800 (ou quase !)
  • 73. O b r ig a d o ! inv.forense arroba gmail ponto com (Tony Rodrigues) Computação Forense 0800 (ou quase !)

×