Montando Pen-Drive no Windows como Read-Only

Opa, e aí galera?

Tudo beleza?
Hoje nós vamos falar sobre como montar uma pendrive no windows no formato RO (Read-Only).
Assim, o usuário não poderá gravar nenhum tipo de informação na pendrive.
É necessário configurar o registro do sistema.

A primeira coisa a fazer é executar o prompt de comando como administrador do sistema. Pra isso, clique com o botão direito do mouse em cima do ícone do prompt de comando e vá em: executar como administrador
Depois, digite o comando: REG ADD HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies /v WriteProtect /t Reg_DWord /d 1.
O parâmetro /v cria uma chave
O parâmetro /t determina o tipo da chave. Neste caso, ela é do tipo DWORD
O parâmetro /d é o valor da chave

O registro ficará assim:

A imagem a seguir mostra o usuário tentando gravar algum dado no pendrive

Para o usuário voltar para o modo antigo (RW - Read Write) basta mudar o valor do parâmetro /d 1 para /d 0


Bom, é isso galera
Um abraço!
Postado por às 2 comentários:
Marcadores: ,

Jobs, um dos maiores gurus da tecnologia, está morto

Na semana passada, no dia 05 de outubro, morreu um dos maiores gurus da tecnologia. Guru porque ele entendia como a tecnologia funciona e qual o seu papel para a sociedade.

Um dos momentos mais marcantes foi o seu discurso na Universidade de Stanford para uma turma de formandos. Este momento foi tão importante para a universidade e para os alunos, que sempre que novos candidatos ingressam em Stanford, eles re-passam o discurso de Jobs com o intuito de motivá-los a sempre superar seus limites, tanto na vida acadêmica como em sua vida pessoal.

É um belo momento de reflexão para todos nós. Refletir o sentido da vida e qual o nosso papel diante dela.

Vale a nossa homenagem ao jobs.
Vai com Deus, mestre!


Postado por às Nenhum comentário:

Metadados em arquivos do Office 2007

Opa, e aí galera

Tudo bem?
Eu já falei aqui sobre metadados em arquivos PDF e em imagens. Mas hoje nós vamos falar sobre metadados em arquivos do Microsoft Office 2007.

Em 2009, o Kristinn Gudjonsson (autor da ferramenta log2timeline), criou um script em PERL chamado read_open_xml.pl. Essa ferramenta faz o parsing de metadados do Office 2007. Pra quem não sabe, o Office 2007 utiliza um formato denominado OpenXML. Resumindo, um documento no formato OpenXML é um arquivo "comprimido" e que faz uso do formato ZIP, podendo ser aberto por qualquer ferramenta de descompactação ZIP (é só renomear o arquivo docx para .zip e então utilizar um descompactador ZIP, por exemplo winzip ou até mesmo o winrar).

Assim, o Kristinn começou a estudar este formato ZIP e descobriu que internamente ao arquivo ZIP existem estruturas pré-definidas, em sua maioria são estruturas XML que descrevem o próprio arquivo e seu conteúdo. Portanto, pode-se usar bibliotecas escritas na linguagem PERL para ler estas estruturas. Depois de estudar o assunto o Kristinn escreveu este script que eu citei no começo do post. Para exemplificar o uso deste script, a figura1 mostra um exemplo que eu rodei em cima de um documento do Word:











Este post é um resumo do artigo Office 2007 Metadata, do próprio autor da ferramenta em uso aqui. Neste artigo, o autor demonstra com mais detalhes como foi o processo de desenvolvimento do read_open_xml. Espero que esse post sirvam para vocês

Bom, é isso!
Abração!
Postado por às 6 comentários:
Marcadores: , , , ,

Analisador de Vírus Gratuito na Internet

Opa, e aí galera

Tudo beleza?
Dando uma passeada pela internet, encontrei alguns scanners gratuitos na internet. Essas ferramentas online são de grande importância para o perito.
Os links são:

Abração!

Postado por às Nenhum comentário:
Marcadores: ,

File Carving com o Foremost

Opa, e aí galera.

Tudo bem?
Uma técnica muito importante para o perito é a chamada "carving". o termo Carving de arquivos (File Carving) consiste em acessar um arquivo independentemente da sua tabela de endereçamento (alocação). Nós podemos entender melhor essa técnica acessando este POST do Tony Rodrigues.

Existe um programa de file carving chamado Foremost.
O Foremost é um programa que roda em console (terminal) voltado para recuperação de arquivos baseando-se em seus headers, footers e suas estruturas de dados. Os headers são assinaturas ou "impressões" cujo propósito é identificar um formato de arquivo específico. Ou seja, os headers são metadados armazenados na própria estrutura interna do arquivo e são escritos em locais específicos dentro do mesmo. Como o lugar mais fácil para armazenar estes metadados são justamente os primeiros bytes do arquivo, o termo file header é usado quando os metadados possuem mais do que alguns bytes de tamanho; ou então é usado o termo magic numbers quando são somente alguns bytes de tamanho.

Para ilustrar como são visualizados os headers de arquivos, eu criei um PDF e o renomiei como teste.pdf. O conteúdo deste arquivo é o meu nome: anderson. Agora vamos abrir o arquivo teste.pdf em um editor hexadecimal e assim veremos que os primeiros bytes são a confirmação de que o arquivo teste.pdf se trata realmente de arquivo cuja extensão é .PDF:




Notem que na imagem acima o meu offset é 0000, ou seja, eu estou analisando o início do arquivo.


Porque é necessário que o perito realize essa investigação a nível de bytes? Os criminosos normalmente mudam a extensão de um arquivo com o intuito de atrapalhar a detecção de arquivos maliciosos no sistema. Por exemplo, um criminoso de posse de uma imagem pedófila cujo nome seja menininha.jpg. Ele pode então renomear para win23.dll, e assim, esconder pistas de que seja uma imagem comprometedora, dificultando a detecção de crime de exploração sexual de menores. Neste exemplo, o perito poderia utilizar técnicas de data carving para examinar e verificar que o arquivo win32.dll é na verdade uma imagem e não um arquivo interno do sistema operacional Windows, e assim poderia recuperá-la, chegando à conclusão de que se trata de um caso envolvendo exploração sexual de menores. Com esta técnica é mais difícil criminosos esconder seus rastros em sistemas computacionais.



Portanto, File Carving é o processo de analisar headers e footers de arquivos para depois extraí-los e recuperá-los.



Como eu disse anteriormente, o Foremost é um exemplo de software que se utiliza de técnicas de file carving podendo rodar diretamente em uma imagem de disco, por exemplo, as imagens geradas pelo DCFLDD. Além disso, pode ser usado para recuperar arquivos em imagens do EnCase, ou então, pode ser usado diretamente em um drive.

Para instalar o Foremost no Debian ou Ubuntu, pode-se digitar:
# apt-get install foremost

Podemos especificar os headers e footers editando o seu arquivo de configuração (/etc/foremost.conf). Ou então, podemos usar alguns parâmetros na linha de comando para especificar quais dados queremos recuperar.

Para visualizar o help do foremost basta digitar no terminal:
# foremost -h

No primeiro exemplo, eu tenho uma imagem de uma pendrive (imagem.dd). Eu rodei o foremost contra essa imagem digitando o comando (Figura 1):
# foremost imagem.dd -o /home/anderson/Desktop/recuperado











No exemplo acima eu consegui recuperar arquivos de várias extensões. Isso acontece porque não especifiquei nenhum header, então ele recupera tudo o que encontrar. A opção -o especifica qual será o meu diretório de saída, onde vou armazenar os arquivos recuperados. Neste exemplo, eu vou armazenar os arquivos de saída no diretório "recuperado".

OBS: Vale ressaltar aqui que o foremost se baseia em assinaturas de arquivos, denominadas "magic numbers".

No segundo exemplo, eu usei a opção "-T" (Figura 2):











Essa opção vai criar um diretório cujo nome vai ser o horário exato, o dia e o mês (Time Stamp) em que o foremost está sendo utilizado. Por exemplo, se eu rodar o foremost nesse momento com a opção "-T", eu vou ter uma pasta nom eu desktop renomeada como: output_Thu_Apr_28_10_44_54_2011. Isso significa que eu rodei o foremost numa Quinta-feira, do mês de Abril, 28, às 10:44:54, do ano de 2011.

Um site onde vocês podem adquirir maiores informações é a matéria Data Carving with Foremost. Se vocês quiserem aprofundar um pouco mais no assunto, podem acessar os sites Magic Number e File Format.




Outro site que pode ser útil é um site aonde encontramos as assinaturas de arquivos (File Signatures).

Bom, é isso galera.
Abração!
Postado por às 8 comentários:
Marcadores: ,

Criando Imagens Forense com o DCFLDD

Opa, e aí galera?

Tudo beleza?
Hoje nós vamos falar sobre como criar uma imagem forense usando o programa DCFLDD.
Primeiramente, gostaria de falar que este post é um complemento a um outro, cujo o autor é o professor Eriberto. Vocês podem encontrar no link: www.eriberto.pro.br/blog/?p=284

A aquisição de uma imagem forense é tarefa rotineira e imprescindível para uma investigação. Muitas vezes o trabalho do perito começa a partir da aquisição de uma imagem forense.

Mas o que é uma imagem forense?
É pura e simplesmente uma cópia (clone) do dispositivo original que se vai investigar. Ela recebe esse nome porque é um cópia fiel do disco. A imagem forense possui todos os dados do HD original, incluindo os dados deletados e espaços não alocados.

Existem vários dispositivos (software e até mesmo hardware) para se obter uma imagem forense. A maioria destes dispositivos implementam o mesmo formato, conhecido como formato RAW. Este formato é uma cópia fiel do HD, e é implementado pela ferramenta DD e DCFLDD.

O DCFLDD foi criado no Laboratório de Forense Computacional do Departamento de Defesa dos EUA e é uma versão melhorada do comando DD pelo fato de já implementar algumas funcionalidades importantes. Por exemplo, ele já implementa funções de cálculo de hash, faz a divisão de uma imagem forense (split), além de possuir um log de toda a operação. Tudo isso facilita o trabalho do perito.

Tomando como exemplo de que vou realizar uma imagem forense de uma pendrive, primeiramente, eu digito o comando "df -h" para ver qual diretório ela está montada. No exemplo abaixo, minha pendrive (/dev/sdb) está montada no diretório /media/1E64-95FA:














O próximo passo agora é realizar a aquisição da imagem forense da pendrive. Para isso, eu digito o comando dcfldd if=/dev/sdb of=/home/anderson/Desktop/pendrive/imagem.dd hashwindow=0 hashlog=/home/anderson/Desktop/pendrive/imagem.md5 (figura 2):













O que eu fiz foi o seguinte: eu criei um diretório na minha área de trabalho chamado "pendrive". E aí eu joguei a imagem forense pra dentro deste diretório e a chamei de "imagem.dd". Este comando ainda possui alguns parâmetros interessantes. O parâmetro hashwindow especifica a quantidade de dados que devem ser copiados para se gerar um hash deste pedaço. Para esclarecer, um exemplo seria se, na linha de comando tivesséssemos hashwindow=100M, significaria que a cada 100 Mega Bytes copiados, criaria-se um hash para este bloco de 100MB. No exemplo acima, a linha de comando especifica o valor 0 (zero) para o parâmetro hashwindow. Isto significa que o hash só vai ser calculado ao fim do processo de aquisição da imagem. O parâmetro hashlog especifica qual diretório o hash da imagem vai ser armazenado; neste caso será em /home/anderson/Desktop/pendrive e o hash vai estar armazenado no arquivo chamado imagem.md5.

Espero que vocês tenham entendido.
Qualquer coisa, é só me contactar.

Abração!
Postado por às 3 comentários:
Marcadores: , ,

Revisão de Timelines com Excel e Calc

Opa, e aí galera

Tudo beleza?
O Corey Harrell, autor do blog Journey Into Incident Response, colocou uma matéria muito legal no blog dele, falando sobre revisão de timelines fazendo o uso de Excel e do Calc.
Aproveitem para dar uma lida. Parece estar muito interessante

Abração em todos vocês!
Postado por às Nenhum comentário:
Marcadores:

Análise forense de Instant Messengers

Opa, e aí galera? Tudo beleza?

hoje eu estava dando uma passeada pela internet e vi alguns programas bacanas e que podem ajudar o nosso trabalho de análise forense.
São programas voltados para análise de artefatos, especificamente voltados para análise forense de instant messengers (IM).
O primeiro link é o Internet Evidence Finder, da empresa Jadsoftware.
O segundo link é o Belkasoft Forensic IM Analyser, da empresa Belkasoft.
O terceiro link é um post do Sandro Süffert, aonde ele mostra uma ferramenta para fazer análise de artefatos produzidos pelo Skype.

Bom, é isso.
Abração em vocês!
Postado por às Um comentário:
Marcadores: , , , ,

Acessar Volume Shadow Copies

Opa, e aí galera. Tudo beleza?

Hoje eu estava lendo um post bem legal no blog do Harlan Carvey. E nesse post, ele fala sobre o programa robocopy. Nós podemos achar um tutorial da microsoft deste programa neste link.

Vale a pena dar uma olhada nesses textos.

Abração!
Postado por às Nenhum comentário:
Marcadores: , ,

Importar arquivos XML para o Excel 2007

Opa, e aí galera,

Tudo beleza?
Eu já escrevi aqui um post mostrando como usar o memoryze para fazer dump de memória. Pois bem, depois de fazer um dump de memória com o memoryze, ele gera um arquivo XML. Para abrirmos este XML no excel 2007, basta acessar o tutorial da Microsoft.

Bom, é isso.
Abração em vocês!
Postado por às Nenhum comentário:
Marcadores: , ,

Dicas Para Criar um CSIRT

Opa, e aí galera. Tudo beleza?

Não sei se vocês viram, mas nesse link do blog do Lenny Zeltser, ele dá algumas dicas de como montar um CSIRT. O lenny mostra neste post alguns documentos necessários para criar e administrar um CSIRT, além de colocar links valiosos sobre vários documentos do CERT abordando o assunto.

Bom, é isso!
Abração!
Postado por às Nenhum comentário:
Marcadores: , ,

Novo Framework na Computação Forense - Digital Forensics Framework (DFF)

Opa, e aí galera? Beleza?

Não sei se vocês conhecem, mas existe um framework de computação forense bem legal chamado DFF - Digital Forensics Framework.
Nós podemos fazer o download neste site. Podemos acessar a documentação neste site.
Por último, podemos acessar algumas informações sobre o DFF neste link: http://lists.digital-forensic.org/pipermail/dff-announce/2011-January/000000.html

Bom, é isso!
Abração!
Postado por às Um comentário:
Marcadores: , , ,

Metadados em arquivos PDF

Opa, e aí galera? Beleza?



Alguns posts atrás nós falamos sobre metadados em arquivos EXIF. Hoje nós vamos falar sobre metadados em arquivos PDF. Eu vou utilizar o comando pdfinfo (pacote xpdf-utils). E como eu faço pra procurar este pacote na internet? A figura 1 mostra na tela como fazer isso.











Depois de procurar o pdfinfo na internet, nós vamos instalar o xpdf-utils. A figura 2 mostra na tela como instalar.











Por fim, podemos rodar o comando pdfinfo para extrair informações do arquivo PDF. A figura 3 mostra na tela um exemplo.












Nós podemos acessar alguns links para obter programas e informações adicionais sobre como obter metadados de arquivos acessando o link: Extração de Metadados.

Existem outros links para programas de extração de metadados free.

E por último, quem tem o livro de forense do Harlan Carvey, ele mostra como extrair metadados de arquivos usando um script que ele criou em PERL.


Bom, é isso.
Abração!
Postado por às 2 comentários:
Marcadores: , , ,

Como sanitizar um arquivo PCAP

Opa, e aí galera? Beleza?

Uma matéria muito legal que eu li hoje foi no link do blog do Chris Sanders. Nesta matéria ele mostra uma ferramenta para sanitizar arquivos PCAP. Mas por que fazer isso?

Às vezes nós queremos publicar algum arquivo PCAP para mostrar alguma técnica de forense ou de segurança de redes. Mas, ao mesmo tempo, queremos preservar os endereços IP's internos da empresa que está servindo como exemplo. Então, usamos essa técnica de sanitização para mostrar Endereços IP fictícios, preservando assim, as empresas e seus endereços de internet.
Postado por às 2 comentários:
Marcadores: ,

Fórum do PTK Forensics

Opa, e aí galera. Tudo beleza?

Hoje achei um fórum muito legal.
É um fórum do PTK
Pra quem não conhece, o PTK é um front-end para o sleuthkit, feito em PHP

O link do fórum é: http://sourceforge.net/projects/ptk-forensics/forums/forum/800995

Bom, é isso.
Abração em todos vocês!
Postado por às Um comentário:
Marcadores: , ,

Material para CSIRTS

É com grande prazer que começo o primeiro post de 2011.
Que esse ano seja muito produtivo para todos nós.

Vou iniciar 2011 falando sobre material de estudo para equipes de resposta a incidentes de segurança. O Sandro Suffert em seu blog colocou alguns links muito interessantes. É um material para estudar computação forense.

O link é: http://sseguranca.blogspot.com/2009/03/material-de-treinamento-para-equipes-de.html

Aconselho a todos darem uma olhada nesse material e estudar.
Um grande Abraço a todos!
Feliz 2011!
Postado por às Nenhum comentário:
Marcadores: , ,
Assinar: Postagens (Atom)