07
jan
Autor: Paulo Neukamp // Categoria:
Dicas,
Scripts
Uma das primeiras ações do perito ao chegar no local da investigação é a coleta dos dados voláteis, pois os mesmos serão perdidos caso o equipamento seja desligado. Pensando nisso e numa forma de agilizar este processo que é composto de uma série de comandos, segue um script para amenizar este tarefa.
O script abaixo, necessita do pacote zenity para ser executado (# apt-get install zenity) e trabalha de forma interativa, sendo assim, leia com atenção o que lhe é solicitado para que o mesmo funcione corretamente.
07
jan
Autor: Paulo Neukamp // Categoria:
Scripts
Antes mesmo de pensar em adquirir uma cópia dos das evidências, o perito precisa sanitizar as mídias que serão uilizadas para armazená-las, uma vez que fragmentos antigos de dados que possam estar nestas mídias, poderiam atrapalhar na análise dos mesmos. Para sanitizar as mídias a serem utilizadas segue mais um script.
O script abaixo, necessita do pacote zenity para ser executado (# apt-get install zenity), e trabalha de forma interativa, sendo assim, leia com atenção o que lhe é solicitado para que o mesmo funcione corretamente.
CUIDADO AO UTILIZAR ESTE SCRIPT!!!
07
jan
Autor: Paulo Neukamp // Categoria:
Scripts
O script abaixo, necessita do pacote zenity para ser executado (# apt-get install zenity), e trabalha de forma interativa, sendo assim, leia com atenção o que lhe é solicitado para que o mesmo funcione corretamente.
## Paulo Neukamp
## Em 16 nov 2008
## A função deste script é criar um arquivo de imagem da mídia
## Tela de Aviso
zenity --info --title "Aviso de Cuidado" --text " Este é um script que pode danificar o sistema, portanto, tome muito cuidado com os parametros que serão informados nas próximas etapas"
## Mostrando os dispositivos conectados
sudo fdisk -l | zenity --list --title "Lista de Dispositivos" --text "n Tela de CheckList:n Abaixo estão listados todos os Dispositivos atualmente conectados a este equipamento... n Verifique com muito cuidado qual sera o Dispositivo que deseja zerar, pois voce deverá informá-lo na próxima janelan" --column "Dispositivos" --width=700 --height=400
## Tela solicitando qual o disco (device) ou partição que será copiado (origem)
origem=`zenity --entry --title "ORIGEM DOS DADOS" --text " Informe qual será a origem dos dados. Ex.:hda, sdb1...." --entry-text "sda" --width=200 --height=100`
## Tela solicitando qual em qual pasta a imagem .dd deve ser salva
destino=`zenity --entry --title "DESTINO DOS DADOS" --text " Informe a pasta na qual a imagem deve ser salva" --entry-text "/home/fdtk/caso1" --width=200 --height=100`
arq=`zenity --entry --title "NOME DO ARQUIVO" --text " Informe o nome a ser dado ao arquivo da imagem dos dados" --entry-text "img-caso1-hd1.dd" --width=200 --height=100`
## Escolha qual hash utilizar ( 256-bits ou 512-bits)
hashopt=`zenity --list --radiolist --column="Opção" --column "Tipos de hash" TRUE 256-bits FALSE 512-bits `
if [ $hashopt != 512-bits ];then
sudo date >> $destino/hash-origem.txt; sudo sha256sum -b /dev/$origem >> $destino/hash-origem.txt | zenity --progress --title "HASH" --text="Gerando hash..." --pulsate --auto-close
else
sudo date >> $destino/hash-origem.txt; sudo sha512sum -b /dev/$origem >> $destino/hash-origem.txt | zenity --progress --title "HASH" --text="Gerando hash..." --pulsate --auto-close
fi
## CÓPIA DOS DADOS
## Tela de Status do processo da copia
sudo dcfldd if=/dev/$origem of=$destino/$arq | zenity --progress --title "Copiando..." --text="Copiando dados..." --pulsate --auto-close
## Gerando hash da cópia
if [ $hashopt != 512-bits ];then
sudo date >> $destino/hash-copia.txt; sudo sha256sum -b $destino/$arq >> $destino/hash-copia.txt | zenity --progress --title "HASH" --text="Gerando hash..." --pulsate --auto-close
else
sudo date >> $destino/hash-copia.txt; sudo sha512sum -b $destino/$arq >> $destino/hash-copia.txt | zenity --progress --title "HASH" --text="Gerando hash..." --pulsate --auto-close
fi
## Gera arquivo com dados dos discos
sudo fdisk -l /dev/$origem >> $destino/dados-discos.txt
## Confere Hashs
cat $destino/hash-copia.txt >> $destino/2hashs.txt | cat $destino/hash-origem.txt >> $destino/2hashs.txt
zenity --title="Analise dos Hash's gerados" --text-info --filename="$destino/2hashs.txt" --width=800 --height=200
# Tela de Aviso final
zenity --info --title "Final de operação" --text " A copia e os hash's foram gerados, você já pode remover as mídias"
07
jan
Autor: Paulo Neukamp // Categoria:
Scripts
Montando Imagens para Exame e Análise das evidências.
Uma imagem bit a bit de um disco é chamada de imagem raw. As imagens raw podem ser geradas de um disco inteiro com + de 1 partição chamadas de imagens raw físicas, pois geram uma imagem fiel do disco, não importando qual é o seu conteúdo. O outro tipo de imagem raw é chamado de imagem raw lógica, esta é gerada a partir de uma partição do disco físico (HD). Neste momento surge um problema pois o loopback do linux não monta imagens raw físicas (HD's) somente imagens raw lógicas, pois o loopback possui uma limitação simples, ele não interpreta a tabela de partições que está nos setores iniciais de uma imagem raw física. Para ser possível então contornar esta limitação do loopback é necessário executar alguns comando a fim de descobrir qual é a estrutura interna da imagem que pretendemos montar.
Um comando que pode auxiliar nesta tarefa é o sfdisk, vejamos:
Disco img-caso1-hd1.dd: não foi possível obter a geometria
Disco img-caso1-hd1.dd: 1216 cilindros, 255 cabeças, 63 setores/trilha
Aviso: a tabela de partições parece ter sido feita para
Cil/Cab/Set = */240/63 (em vez de 1216/255/63).
Para esta listagem será assumida aquela geometria.
Unidades = setores de 512 bytes, contando a partir de 0
Disp Boot Início Fim Cils Blocos Id Sistema
img-caso1-hd1.dd1 * 63 19519919 19519857 7 HPFS ou NTFS
img-caso1-hd1.dd2 0 – 0 0 Vazia
img-caso1-hd1.dd3 0 – 0 0 Vazia
img-caso1-hd1.dd4 0 – 0 0 Vazia
A saída do comando sfdisk mostra que a imagem raw física tem apenas uma partição iniciando no setor 63, é do tipo HPFS ou NTFS e que cada setor tem 512 bytes. Como mencionado anteriormente o loopback não Ler mais…
10
dez
Autor: Paulo Neukamp // Categoria:
Scripts
O script abaixo, necessita do pacote zenity para ser executado (# apt-get install zenity), e trabalha de forma interativa, sendo assim, leia com atenção o que lhe é solicitado para que o mesmo funcione corretamente.
06
dez
Autor: Paulo Neukamp // Categoria:
FDTK UbuntuBR
Resumo do Projeto
A primeira versão do FDTK UbuntuBR foi concebida durante a elaboração do TCC do curso de GRADUAÇÃO TECNOLÓGICA EM SEGURANÇA DA INFORMAÇÃO, ministrado na UNISINOS – Universidade do Vale do Rio dos Sinos. Baseado no LiveCD da distribuição Ubuntu 7.04, este projeto possui dois objetivos principais:

Tela Inicial
Ler mais…
06
dez
Autor: Paulo Neukamp // Categoria:
Dicas
Utilizando a FDTK-UbuntuBr a partir de uma Pen-Drive sem reiniciar o equipamento.
Baixe a versão doc
Uma das vantagens de se utilizar a emulação de hardware do Qemu em vez de utilizar o boot pelo USB é que ele permite seu pen drive ou disco rígido portátil em qualquer PC disponível e executar um sistema operacional completo sem reiniciar o equipamento.
Ler mais…
02
dez
Autor: Paulo Neukamp // Categoria:
FDTK UbuntuBR
Objetivo
O FDTK-UbuntuBR tem como finalidade principal provêr a peritos iniciantes e profissionais uma poderosa ferramenta de coleta e análise para forense computacional.
É ideal para uso em universidades, escolas técnicas e centros de pesquisa, já que todo o processo é feito praticamente utilizando ferramentas em linha de comando e o trabalho é feito pelo perito, não por programas ou scripts que muitas vezes não podemos nem auditar.
O fato de todos os programas incluidos nessa distribuição ser livre e de código fonte aberto, faz dos laudos e resultados obtidos com as téncnicas utilizadas no FDTK UbuntuBR técnicamente incontestatáveis, já que até as aplicações utilizadas podem ser auditadas.
Neste site publicaremos artigos, notícias e dicas de como utilizar essa poderosa ferramenta que é disponíbilizada livremente para download.
Comentários desativados em FDTK-UbuntuBR //
Comentar