Pgina4

Pgina5

5.Dumpdememria
5.1KernelLinuxanteriora2.6.27 Kernelsemrestriodeacessomemria.Executar:
#ddif=/dev/memof=/mnt/memoria.dd

Prefiradcfldd(maisrpidoemostraandamento):
#dcflddif=/dev/sdaof=/mnt/sda.ddhash=md5,sha256 md5log=/mnt/sda.dd.md5sha256log=/mnt/sda.dd.sha256

Nocasodemdiasdanificadas(badblocks,CDscom
defeitoetc),utilizerdd,ddrescueougddrescue. "Guiaderefernciarpida"

5.2KernelLinux2.6.27ouposterior Kernelcomrestriodeacessomemria
(CONFIG_STRICT_DEVMEM).

7.Procedimentosfinais
Lacraroamdiaoriginalnapresenadeduas
testemunhas,utilizandolacresnumerados.

Compilareinstalaromdulofmem,disponvelem
http://hysteria.sk/~niekt0/foriana.

Gerarumcertificadodeintegridade,emtrsvias,

referentesmdias(incluindomemria),comosdados:

percia Linux COM Debian GNU/Linux

Procedimentosiniciaisecoletas
Verso1.103desetembrode2010

Executar:
#ddif=/dev/fmemof=/mnt/memoria.dd

5.3MquinavirtualXen Executarnamquinareal(Dom0):
#xmdumpcore<resource>memoria.dd

nomeeCPFdoperitoedastestemunhas; nmerodesriedosdiscosependrivesaserem
(colheremetiquetasounolog/var/log/syslog);

Parte1:

6.Imagemdamdiaaserpericiada
ATENO:deverhaverduastestemunhas
durantetodooprocesso,inclusivenomomentoda aberturadamquinacomHDaserpericiado.

hashesobtidos(incluindomemria,seforocaso); nmerosdoslacres; fotodamdialacrada; assinaturadoperitoedastestemunhas.

Enviarasmdiaslacradaseduasviasdocertificadode
integridadeparaaautoridadeoupessoainteressada.

AdicionarHDdemaiorcapacidadedoqueodamdiaa
serpericiada.

Capturardadosgeraisdamquinacomlshwehwinfo.

InicializaramquinaaserpericiadacomumliveCDou
pendrivecomferramentasforense(vejaalgumasopes nositehttp://eriberto.pro.br/forense).

8.Cuidadosextrascomasimagens
Casohajaanecessidadedemontaralgumaimagem,
faaosomentenomodoreadonly.

MontarapartiodoHDadicionalem/mnt.NO
montequalquerpartiodamdiaaserpericiada.

Sempretrabalheemumacpiadecadaimagem.

Comocomandoddoucomdcfldd,criaraimageme,
depois,calculardoishashesdaimagem,sendoum, obrigatoriamente,dotipoSHA2. serpericiadacomosendooHDSATA/dev/sda:

9.Coletadedadosviarede
Algumasvezessernecessrioenviardadosparaoutra mquina,viarede.Umexemplodissoumamquina virtualsemacessoapendrive.Utilizenetcat.Umexemplode coletadoresultadodocomandofreeviarede:

2010byJooEribertoMotaFilho
http://www.eriberto.pro.br/forense eriberto@eriberto.pro.br
2048R/2DF0491F:1D75E212B34CF4BFA9E0D0D8DE6DE039C1CFC265

Umexemplodesintaxedodd,considerandoamdiaa
#ddif=/dev/sdaof=/mnt/sda.dd #md5sum/mnt/sda.dd>/mnt/sda.dd.md5 #sha256sum/mnt/sda.dd>/mnt/sda.dd.sha256

Mquinadestino: Mquinapericiada:

#nclp53000>free #freem|nc<ip_dest>53000

Pgina1

Pgina2

Pgina3

1.Prembulo
Esteguiaderefernciafoicriadocomointuitodeservir comoorientaoechecklistparaprofissionaisquerealizam perciasforensescomputacionais.

4.Medidasiniciaisnasforenses (somenteparamquinasvivas)

Conexeseportasderedeabertas:
#netstattunap>/mnt/netstat

Relaodepacotesinstalados(Debianederivados):
#COLUMNS=110dpkgl>/mnt/pacotes

Aseguir,seromostradasasmedidasiniciais,aserem adotadasporperitosforenses,aotomaroprimeirocontato comamquinacomprometida,casoamesmaaindaesteja Assim,estedocumentoresumeecomplementaapalestra ligada.Todososprocedimentosdeveroserrealizados ForensecomputacionalemLinuxfordummies,disponvel emhttp://www.eriberto.pro.br/palestraseoartigodewiki napresenadeduastestemunhas. Forensecomputacional,disponvelnoendereo Inserirumamdiaexterna(pendriveouHD)demaior http://www.eriberto.pro.br/forense. capacidadedoqueamemriaRAMparacolherdados.

Relaodepacotesinstalados(RedHatederivados):
#rpmqa>/mnt/pacotes

Dataehoradamquina,tomandoocuidadodeanotara
horadoseurelgioparacomparaofutura:
#date>/mnt/date

Adefasagemdehorriodeverconstarnolaudo.

2.Orientaesaosgerentesderedeem casosdeinvaso
Aodetectarumainvaso,noemitacomandosna
mquinacomprometida.

Logarcomorootnamquinacomprometidaemontaro
dispositivoUSBem/mnt,porexemplo.

Utilizaodediscos:
#dfhT>/mnt/df

Executar,deimediato,umdumpdememria,gravando
onamdiaexterna(vejaoitem5.Dumpdememria). Estatemqueseraprimeiraao.

Detalhessobredispositivosmontados:
#mount>/mnt/mount

Esquemadeparticionamentodosdiscos:
#fdiskl>/mnt/fdisk

Desconecteimediatamenteocaboderede. NUNCAdesligueamquinaseoatacantenootiver
feitoremotamente.

Colherosseguintesdados: Osusurioslogadosnomomento:
#w>/mnt/w

Kernelutilizado:
#unamea>/mnt/uname

Noligueamquina,casotenhacertezadainvasoea
mesmaestejadesligada.Seligoudoamquinae detectouainvaso,noadesligueenomexamais.

Histricodecomandosnamemria:
#history>/mnt/history

Dadosbsicosderede:
#ifconfig>/mnt/ifconfig

Chameimediatamenteumperitoforense. Acompanheotrabalhodoperito.

Situaodeusodememria:
#freem>/mnt/free

Rotasderede:
#routen>/mnt/route

Relaodeprocessosativos:
#psaux>/mnt/ps

Mdulosdekernelcarregados:
#lsmod>/mnt/lsmod

3.Orientaessautoridadesao apreendermquinassuspeitas
Seamquinaestiverligadanomomentodoflagrantee
houverpossibilidade,chameumperitoforensepara realizarumdumpdememria.Issoajudarmuitonas investigaes,poishdadospreciososnamemria, incluindosenhas.

Listadepossveisprocessosocultos*:
#unhideproc>/mnt/unhide.proc #unhidesys>/mnt/unhide.sys #unhidebrute>/mnt/unhide.brute

Depoisdecolherosdados: Desmontareremoverodispositivoexterno,verificando,
emoutramquina,seosdadosforamgravados.

Listadepossveisportasderedeocultas*:
#unhidetcp>/mnt/unhide.tcp

Desligaramquina,puxandoocabodatomada. Emoutramquina,calculardoisoumaishashesda

Tempodevidadamquina:
#uptime>/mnt/uptime

imagem,sendoum,obrigatoriamente,dotipoSHA2.As duastestemunhasdeveroestaratentasaestepasso.

Pararemoveramquinadolocal,lacreamesma,dentro
deumacaixaousacoapropriado,napresenadeduas testemunhas.Utilizelacresconfiveis,segurose numerados.

#md5summemoria.dd>memoria.dd.md5 #sha256summemoria.dd>memoria.dd.sha256

*Somenteseessescomandosestiveremdisponveis.Nunca instalenadaemumamquinaviva.

Mostreoshashesobtidosstestemunhas(antesde
calcular,expliqueedemonstreaelasoquehash).