UNIVERSIDADE FEDERAL DO RIO DE JANEIRO NCLEO DE COMPUTAO ELETRNICA (NCE)

FERRAMENTAS PARA ANLISE FORENSE COMPUTACIONAL

AUTOR: EMANUEL FERREIRA JESUS PROFESSOR: FBIO DAVID CONCEITOS GERAIS DE REDE E TCP/IP

RIO DE JANEIRO 2012

Ferramentas para Anlise Forense Computacional Forense Computacional Disciplina autnoma, integrada pelos diferentes ramos do conhecimento tcnico-cientfico, auxiliante e informativa das atividades policiais e judicirias de investigao criminal, tendo por objeto o estudo dos vestgios materiais extrnsecos pessoa fsica, no que tiver de til elucidao e prova das infraes penais e, ainda, identificao dos seus respectivos autores (Domingos Tochetto, Helvetio Galante Filho, Jos Lopes Zarzuela, Tratado de Percias Criminalsticas) Atualmente o uso de computadores uma realidade presente nas mais diversas atividades dirias. Conversas com computadores, telefonia, pagamentos de compras, seja pela internet em uma loja fsica e etc... Todas estas aes esto sujeitas a prtica de ilcitos, que no se restringem aos mtodos comumente vistos nas investigaes criminais. Assim faz-se necessrio utilizar tcnicas de cincia forense para investigar esses crimes cometidos com sistemas computacionais, quer crimes digitais, quer para prtica de crimes cometidos atravs deles. Existem vrios tipos de crimes digitais, tais como, obter informaes, danificar os ativos de informtica ou utilizar recursos de forma no autorizada. Fazer prova deste tipo de ocorrncia e atestar sua fidedignidade funo da forense computacional, de uma forma que no haja dvidas quanto aos dados obtidos. Para isso h que se garantir vrias caractersticas dos dados, como autenticidade, no-repdio, integridade e confiabilidade. No direito penal, a evidncia qualquer prova documental, testemunhal ou pericial que se destine a firmar a convico do juiz sobre a verdade dos fatos alegados pelas partes. Na investigao criminal, a reunio de evidncias criminais visa determinar o verdadeiro responsvel por um ato criminoso. Precisamos nos ater aqui que evidncia, informaes em formato digital capazes de determinar se um sistema computacional sofreu uma violao, ou que provem uma ligao com a vtima ou com o atacante pode ser pericial, neste ponto entra a forense computacional. A evidncia tem algumas caractersticas prprias: ela pode ser duplicada com exatido, permitindo a preservao da evidncia original durante a anlise; com os mtodos apropriados relativamente fcil determinar se uma evidncia digital foi modificada; por outro lado, a evidncia digital extremamente voltil, podendo ser facilmente alterada durante o processo de anlise. (Marcelo Abdala dos Reis e Paulo Lcio de Geus) As principais fontes para anlise de evidncias de um sistema computacional so: CPU; Memria Principal; Memria de perifricos; Rede; e Dispositivos de armazenamento.

Os mtodos para a forense computacional devem ser genricos o suficiente para acomodar todas as mudanas que ocorrem em virtude da falta de padronizao de hardware, heterogeneidade de softwares e da alta rate de mudana de ambos. Os principais autores do tema elencam a seguinte metodologia para percia: Coleta; Exame; Anlise; e Resultados Obtidos. Para examinarmos cada uma das etapas acima elencadas dispomos de inmeras ferramentas, no pretendo neste trabalho pormenorizar o assunto, mas to somente dar uma leve ideia das ferramentas usadas.

2-6

Ferramentas para Anlise Forense Computacional Distribuies Linux para Forense: FDTK ; Helix; CAINE; DEFT; REMnux; e Backtrack Toolkits: Autopsy; Framework Volatility; Sleuth Kit; PTK; DFF. Ferramentas: foremost; dcfldd; john the ripper; shred; pasco; etc...

Autopsy Consiste em um servidor web que usa ferramentas de forma intuitiva e automatizada para permitir atividades periciais em sistemas de arquivos, baseado no Sleuth Kit. Tem vrios modos de operao que devem ser empregados de acordo com a necessidade da percia: - Anlise de Arquivos: Neste modo de operao, mostra a estrutura de diretrios e os respectivos arquivos com metados intactos e inclusive os deletados; e - Anlise de Metadados: O perito pode ter acesso a detalhes da estrutura em que se baseia o sistema de arquivos, funciona como ponto de partida para a anlise das Unidades de Dados. Permite a extrao do contedo do arquivo envolvido, para anlise externa O Framework Volatility O Framework Volatility uma coleo de ferramentas open source implementadas em Python, sob a licena GPL, para a extrao de artefatos digitais de amostras de memria RAM. Permite, com base em imagens de memria determinar: data e hora da imagem; os processos em execuo; os sockets de rede abertos; as conexes de rede estabelecidas; as DLLs carregadas para cada processo; os arquivos abertos para cada processo; os tratadores de registro abertos para cada processo; o espao de endereamento de cada processo; os mdulos do Kernel; e informaes sobre o Virtual Address Descriptor (VAD). Alm disso suporta: mapeamento de endereos fsicos para endereos virtuais; a extrao de executveis de amostras da memria voltil; a anlise de amostras em diversos formatos (Crash dump, Hibernation, DD); e converso automatizada entre formatos. Forense Digital ToolKit (FDTK) um projeto livre que com o intuito de produzir e manter uma distribuio para coleta e anlise de dados em Percias de Forense Computacional. Criada a partir do Ubuntu rene dezenas de ferramentas que atedem a todas as etapas de uma investigao em Forense Computacional. Lista das ferramentas contidas na distribuio, separadas por etapas: Coleta de Dados Formulrio: Formulrio de Cadeia de Custdia gnome-screenshot: Salvar imagens da rea de trabalho ou de janelas individuais aimage: Gerao de imagem dos dados das mdias utilizando o padro aff air: Interface grfica para dd/dcfldd, para criar facilmente imagens forense dc3ddgui: Interface grfica para O DC3DD, para criar imagens forense dcfldd: Verso aprimorada pelo DOD-Departament of Defense do dd dd: Ferramenta para gerao de imagem dos dados ddrescue: Recuperar dados de hds com setores defeituosos (bad blocks) mondoarquive: Copiar dados de fitas, cd's, nsf ou hd's mondorestore: Restaurar dados de fitas, cd's, nsf ou hd's rdd: Verso mais robusta do dd rddi: Prompt interativo do rdd sdd: Verso da ferramenta dd para Fitas (DAT, DLT...) 3-6

Ferramentas para Anlise Forense Computacional memdump: Dumper de memria para sistemas UNIX-like md5sum: Gerar hash md5 sha1sum: Gera hash sha 160bits discover: Informaes sobre Hardware hardinfo: Informaes e Testes do Sistema lshw-grfico: Lista os dispositivos de hardware em formato HTML sysinfo: Mostra informaes do computador e do sistema wipe: Remover totalmente os dados das Mdias Exame dos Dados cabextract: Acessar contedo de arquivos .cab orange: Ferramenta para manipular arquivos .cab p7zip: Acessar arquivos zip unace: Ferramenta para descompactar extenses .ace unrar-free: Ferramenta para descompactar arquivos rar unshield: Ferramenta para descompactar arquivos CAB da MS xarchiver: Criar, modificar e visualizar arquivos compactados zoo: Acessar arquivos compactados .zoo dcraw: Acessar imagens cruas de cmeras digitais exif: Ler informaes EXIF de arquivos jpeg exifprobe: Exame do contedo e da estrutura dos arquivos de imagens JPEG e TIFF exiftran: Transformar imagens raw de cmeras digitais exiftags: Adquirir informaes sobre a cmera e as imagens por ela produzidas exiv2: Manipular metadados de imagens jhead: Visualizar e manipular os dados de cabealhos de imagens jpeg jpeginfo: Ferramenta para coletar informaes sobre imagens jpeg antiword: Ferramenta para ler arquivos do MS-Word dumpster: Acessar os arquivos da lixeira do Windows fccu-docprob: Ferramenta para visualizar as propriedades de arquivos OLE mdb-hexdump: Ferramenta para manipulao de arquivos MDB readpst: Ferramenta para ler arquivos do MS-Outlook reglookup: Utilitrio para leitura e resgate de dados do registro do Windows regp: Acessar o contedo de arquivos .dat tnef: Acessar anexos de email's MS bcrypt: Encriptar e decriptar arquivos usando o algoritmo blowfish ccrypt: Encriptar e decriptar arquivos e streams outguess: Detectar dados ocultos em imagens JPG stegcompare: Comparar imagens jpeg e detectar a existncia de steganografia stegdimage: Detectar a existncia de steganografia em imagens jpeg stegdetect: Detectar a existncia de steganografia em imagens jpeg xsteg: Ferramenta gr fica para detectar steganografia em imagens jpeg ghex2: Visualizar arquivos em formato HEX hexcat: Visualizar arquivos em formato HEX ghexdump: Visualizar arquivos em formato HEX affcat: Verificar contedo de arquivos .aff sem montar afcompare: Comparar dois arquivos .aff afconvert: Converte aff -> raw, raw -> aff, aff -> aff recompactando-o afinfo: Visualizar estatsticas sobre um ou mais arquivos aff afstats: Visualizar estatsticas sobre um ou mais arquivos aff afxml: Exportar metadados de arquivos aff para um arquivo xml dcat: Localizar dados dentro de arquivos dd, aff, ewf 4-6

Ferramentas para Anlise Forense Computacional glark: Ferramenta semelhante ao grep para localizar dados gnome-search-tool: Ferramenta grfica de localizao de arquivos slocate: Localiza arquivos e indexa os disco mac-robber: Coletar dados de arquivos para criar a linha de tempo (timeline) mactime: Cria uma linha do tempo ASCII das atividades dos arquivos ntfscat: Concatenar arquivos e visualiz-los sem montar a partio NTFS ntfsclone: Clonar um sistema de arquivos NTFS ou somente parte dele ntfscluster: Localizar arquivo dentro de cluster ou de v rios clusters NTFS ntfsinfo: Obter informaes sobre parties NTFS ntfslabel: Verificar ou alterar a descrio de parties NTFS ntfsls: Lista o contedo de diretrios em parties NTFS sem mont-los fcrackzip: Ferramenta para quebrar as senhas de arquivos compactados em ZIP john the ripper: Ferramenta para localizar senhas de usurios medussa: Crack de senhas ophcrack: Crack de senhas do Windows e2undel: Ferramenta para recuperar arquivos em parties ext2 fatback: Ferramenta para recuperar dados de sistemas de arquivos FAT foremost: Ferramenta para recuperao de imagens a partir dos cabealhos gzrecover: Ferramenta para extrair dados de arquivos gzip corrompidos magicrescue: Recuperao de imagens RAW, baseando-se nos cabealhos ntfsundelete: Recuperar arquivos deletados em parties NTFS recover: Ferramenta para recuperar todos inodes deletados de um disco recoverjpg: Ferramenta para recuperar imagens jpg scrounge-ntfs: Ferramenta para recuperar dados de parties NTFS chkrookit: Ferramenta para identificar a presena de rootkits no sistema rkhunter: Ferramenta para identificar a presena de rootkits no sistema fspot: Organizador de imagens fotos gthumb: Visualizar e organizar imagens imageindex: Gera galeria de imagens em html Anlise das Evidncias coockie_cruncher: Analisar coockies eindeutig: Analisar arquivos .dbx fccu-evtreader: Script perl para visualizar arquivos de eventos da MS (EVT) galleta: Analisar coockies do Windows GrocEVT: Coleo de scripts construdos para ler arquivos de eventos do Windows mork: Script perl para visualizar arquivos history.dat do firefox pasco: Analisar cache do IExplorer rifiuti: Analisar arquivos INF2 da MS xtraceroute: Tracerouter grfico

5-6

Ferramentas para Anlise Forense Computacional BIBLIOGRAFIA: Tese mestrado: Forense computacional e sua aplicao em segurana, Marcelo Abdalla dos Reis ftp://ftp.registro.br/pub/gts/gts0205/05-tech-tools-forensics.pdf de Arnaldo Candido Junior e Almir Moreira Sade http://fdtk.com.br/www/ferramentas/ http://www.fdtk.com.br/files/Minicurso_Forense-2012-1.pdf http://fdtk.com.br/www/sobre/

6-6