Pericia Forense Computacional
-
Upload
marcello-augusto -
Category
Documents
-
view
55 -
download
6
Transcript of Pericia Forense Computacional
http://www.gsec.com.br/ Gustavo C. Pereira 29/05/07
Perícia Forense Computacional
Agenda
● O que é Análise Forense Computacional● O que é AntiForense● Perícia Forense● Técnicas AntiForense● Referências● Perguntas
O que é Análise Forense Computacional
“Inspeção sistemática de um sistema computacional em busca de evidências ou supostas evidências de um crime ou outra atividade que precise ser inspecionada.”
Wikipedia
● Quem?● O que?● Quando?● Como?
O que é Análise Forense Computacional
O que é AntiForense
São métodos de remoção, ocultação e subversão de evidências com o objetivo de mitigar os resultados de uma análise forense computacional.
Perícia Forense
● Identificação● Preservação● Análise● Apresentação das Evidências
Identificação
Levantamento de informações relevantes em relação ao ocorrido: nomes, datas, empresas, enfim, tudo que possa ajudar na análise das informações.
Preservação
Toda informação deve ser legítima e confiávelmente intocada. Deve se garantir que nada foi alterado desde a identificação ou apreenção da mídia a ser análisada.
Análise Física
Análise de mídias danificadas ou de conteúdo desconhecido, assim como arquivos apagados.
Análise Lógica
Análise das partições num sistema que seja capaz de entender o sistema de arquivos em questão. E que seja montado obrigatóriamente como somente leitura.
Análise da memória e dos processos em execução com dumps previamente realizados.
Análise
É neste passo que as informações realmente interessantes e que tem relação com o caso serão levantadas. Os arquivos de prova serão coletados assim como, datas, trilha, segmento, entre outros.
Apresentação
É o passo em que se apresenta as evidências em um formato jurídico ou não, visto que nem toda perícia forense tem o objetivo criminal.
Técnicas AntiForense
● Criptografia● Esteganografia● Wipe● Data Hiding● Colisão de MD5
Criptografia
● Criptografia de Partições● Criptografia de Dispositivos USB● Criptografia de Arquivos
Estegnografia
“Esteganografia é o estudo e uso das técnicas para ocultar a existência de uma mensagem dentro de outra.”
Wikipedia
Wipe
É conhecido como uma forma de deleção segura, não apenas o marcando como “unlinked”, mas sobreescrevendo várias vezes o mesmo bloco do disco com lixo.
struct ext3_inode { __le16 i_mode; /* File mode */ __le16 i_uid; /* Low 16 bits of Owner Uid */ __le32 i_size; /* Size in bytes */ __le32 i_atime; /* Access time */ __le32 i_ctime; /* Creation time */ __le32 i_mtime; /* Modification time */ __le32 i_dtime; /* Deletion Time */ __le16 i_gid; /* Low 16 bits of Group Id */ __le16 i_links_count; /* Links count */ __le32 i_blocks; /* Blocks count */ __le32 i_flags; /* File flags */
Wipe
Data Hiding
Talvez uns dos métodos mais utilizados hoje em dia. Consiste em esconder arquivos em lugares não convencionais do sistema.
● Swap● BadBlocks● Imagens / Audio● Espaços não alocados entre partições● Arquivos texto
Data Hiding
Colisão de MD5
MD5 é utilizado em várias partes do sistema, desde checagem de integridade de pacotes, até ferramentas de integridade do sistema. Mas é possível ter 2 informações diferentes com o mesmo MD5.
Referências
http://en.wikipedia.org/wiki/Digital_Forensic_Toolshttp://www.tucofs.com/tucofs/tucofs.asp?mode=mainmenuhttp://www.guiatecnico.com.br/evidenciadigital/