Analisador de Vírus Gratuito na Internet

Opa, e aí galera

Tudo beleza?
Dando uma passeada pela internet, encontrei alguns scanners gratuitos na internet. Essas ferramentas online são de grande importância para o perito.
Os links são:

Abração!

File Carving com o Foremost

Opa, e aí galera.

Tudo bem?
Uma técnica muito importante para o perito é a chamada "carving". o termo Carving de arquivos (File Carving) consiste em acessar um arquivo independentemente da sua tabela de endereçamento (alocação). Nós podemos entender melhor essa técnica acessando este POST do Tony Rodrigues.

Existe um programa de file carving chamado Foremost.
O Foremost é um programa que roda em console (terminal) voltado para recuperação de arquivos baseando-se em seus headers, footers e suas estruturas de dados. Os headers são assinaturas ou "impressões" cujo propósito é identificar um formato de arquivo específico. Ou seja, os headers são metadados armazenados na própria estrutura interna do arquivo e são escritos em locais específicos dentro do mesmo. Como o lugar mais fácil para armazenar estes metadados são justamente os primeiros bytes do arquivo, o termo file header é usado quando os metadados possuem mais do que alguns bytes de tamanho; ou então é usado o termo magic numbers quando são somente alguns bytes de tamanho.

Para ilustrar como são visualizados os headers de arquivos, eu criei um PDF e o renomiei como teste.pdf. O conteúdo deste arquivo é o meu nome: anderson. Agora vamos abrir o arquivo teste.pdf em um editor hexadecimal e assim veremos que os primeiros bytes são a confirmação de que o arquivo teste.pdf se trata realmente de arquivo cuja extensão é .PDF:




Notem que na imagem acima o meu offset é 0000, ou seja, eu estou analisando o início do arquivo.


Porque é necessário que o perito realize essa investigação a nível de bytes? Os criminosos normalmente mudam a extensão de um arquivo com o intuito de atrapalhar a detecção de arquivos maliciosos no sistema. Por exemplo, um criminoso de posse de uma imagem pedófila cujo nome seja menininha.jpg. Ele pode então renomear para win23.dll, e assim, esconder pistas de que seja uma imagem comprometedora, dificultando a detecção de crime de exploração sexual de menores. Neste exemplo, o perito poderia utilizar técnicas de data carving para examinar e verificar que o arquivo win32.dll é na verdade uma imagem e não um arquivo interno do sistema operacional Windows, e assim poderia recuperá-la, chegando à conclusão de que se trata de um caso envolvendo exploração sexual de menores. Com esta técnica é mais difícil criminosos esconder seus rastros em sistemas computacionais.



Portanto, File Carving é o processo de analisar headers e footers de arquivos para depois extraí-los e recuperá-los.



Como eu disse anteriormente, o Foremost é um exemplo de software que se utiliza de técnicas de file carving podendo rodar diretamente em uma imagem de disco, por exemplo, as imagens geradas pelo DCFLDD. Além disso, pode ser usado para recuperar arquivos em imagens do EnCase, ou então, pode ser usado diretamente em um drive.

Para instalar o Foremost no Debian ou Ubuntu, pode-se digitar:
# apt-get install foremost

Podemos especificar os headers e footers editando o seu arquivo de configuração (/etc/foremost.conf). Ou então, podemos usar alguns parâmetros na linha de comando para especificar quais dados queremos recuperar.

Para visualizar o help do foremost basta digitar no terminal:
# foremost -h

No primeiro exemplo, eu tenho uma imagem de uma pendrive (imagem.dd). Eu rodei o foremost contra essa imagem digitando o comando (Figura 1):
# foremost imagem.dd -o /home/anderson/Desktop/recuperado











No exemplo acima eu consegui recuperar arquivos de várias extensões. Isso acontece porque não especifiquei nenhum header, então ele recupera tudo o que encontrar. A opção -o especifica qual será o meu diretório de saída, onde vou armazenar os arquivos recuperados. Neste exemplo, eu vou armazenar os arquivos de saída no diretório "recuperado".

OBS: Vale ressaltar aqui que o foremost se baseia em assinaturas de arquivos, denominadas "magic numbers".

No segundo exemplo, eu usei a opção "-T" (Figura 2):











Essa opção vai criar um diretório cujo nome vai ser o horário exato, o dia e o mês (Time Stamp) em que o foremost está sendo utilizado. Por exemplo, se eu rodar o foremost nesse momento com a opção "-T", eu vou ter uma pasta nom eu desktop renomeada como: output_Thu_Apr_28_10_44_54_2011. Isso significa que eu rodei o foremost numa Quinta-feira, do mês de Abril, 28, às 10:44:54, do ano de 2011.

Um site onde vocês podem adquirir maiores informações é a matéria Data Carving with Foremost. Se vocês quiserem aprofundar um pouco mais no assunto, podem acessar os sites Magic Number e File Format.




Outro site que pode ser útil é um site aonde encontramos as assinaturas de arquivos (File Signatures).

Bom, é isso galera.
Abração!

Criando Imagens Forense com o DCFLDD

Opa, e aí galera?

Tudo beleza?
Hoje nós vamos falar sobre como criar uma imagem forense usando o programa DCFLDD.
Primeiramente, gostaria de falar que este post é um complemento a um outro, cujo o autor é o professor Eriberto. Vocês podem encontrar no link: www.eriberto.pro.br/blog/?p=284

A aquisição de uma imagem forense é tarefa rotineira e imprescindível para uma investigação. Muitas vezes o trabalho do perito começa a partir da aquisição de uma imagem forense.

Mas o que é uma imagem forense?
É pura e simplesmente uma cópia (clone) do dispositivo original que se vai investigar. Ela recebe esse nome porque é um cópia fiel do disco. A imagem forense possui todos os dados do HD original, incluindo os dados deletados e espaços não alocados.

Existem vários dispositivos (software e até mesmo hardware) para se obter uma imagem forense. A maioria destes dispositivos implementam o mesmo formato, conhecido como formato RAW. Este formato é uma cópia fiel do HD, e é implementado pela ferramenta DD e DCFLDD.

O DCFLDD foi criado no Laboratório de Forense Computacional do Departamento de Defesa dos EUA e é uma versão melhorada do comando DD pelo fato de já implementar algumas funcionalidades importantes. Por exemplo, ele já implementa funções de cálculo de hash, faz a divisão de uma imagem forense (split), além de possuir um log de toda a operação. Tudo isso facilita o trabalho do perito.

Tomando como exemplo de que vou realizar uma imagem forense de uma pendrive, primeiramente, eu digito o comando "df -h" para ver qual diretório ela está montada. No exemplo abaixo, minha pendrive (/dev/sdb) está montada no diretório /media/1E64-95FA:














O próximo passo agora é realizar a aquisição da imagem forense da pendrive. Para isso, eu digito o comando dcfldd if=/dev/sdb of=/home/anderson/Desktop/pendrive/imagem.dd hashwindow=0 hashlog=/home/anderson/Desktop/pendrive/imagem.md5 (figura 2):













O que eu fiz foi o seguinte: eu criei um diretório na minha área de trabalho chamado "pendrive". E aí eu joguei a imagem forense pra dentro deste diretório e a chamei de "imagem.dd". Este comando ainda possui alguns parâmetros interessantes. O parâmetro hashwindow especifica a quantidade de dados que devem ser copiados para se gerar um hash deste pedaço. Para esclarecer, um exemplo seria se, na linha de comando tivesséssemos hashwindow=100M, significaria que a cada 100 Mega Bytes copiados, criaria-se um hash para este bloco de 100MB. No exemplo acima, a linha de comando especifica o valor 0 (zero) para o parâmetro hashwindow. Isto significa que o hash só vai ser calculado ao fim do processo de aquisição da imagem. O parâmetro hashlog especifica qual diretório o hash da imagem vai ser armazenado; neste caso será em /home/anderson/Desktop/pendrive e o hash vai estar armazenado no arquivo chamado imagem.md5.

Espero que vocês tenham entendido.
Qualquer coisa, é só me contactar.

Abração!

Revisão de Timelines com Excel e Calc

Opa, e aí galera

Tudo beleza?
O Corey Harrell, autor do blog Journey Into Incident Response, colocou uma matéria muito legal no blog dele, falando sobre revisão de timelines fazendo o uso de Excel e do Calc.
Aproveitem para dar uma lida. Parece estar muito interessante

Abração em todos vocês!