http://www.acmesecurity.

org

Tcnicas e Ferramentas Utilizadas em

Anlise Forense

Arnaldo Candido Junior

Almir Moreira Sade

Prof. Dr. Adriano Mauro Cansian

Coordenador

ACME! Computer Security Research Labs

UNESP - Universidade Estadual Paulista
Campus de So Jos do Rio Preto

2005 ACME! Computer Security Research 1

 http://www.acmesecurity.org

Roteiro

Introduo.
Metodologia para forense.
Preparao, coleta e anlise.
Coleta e anlise a partir de comandos nativos do UNIX.
Ferramentas TCT, TCTUtils e TASK.
Outras ferramentas.

2005 ACME! Computer Security Research 2

 http://www.acmesecurity.org

Introduo
Cincia Forense:
A aplicao de princpios das cincias fsicas ao direito na busca da
verdade em questes cveis, criminais e de comportamento social para
que no se cometam injustias contra qualquer membro da sociedade
[1].
Forense computacional:
O uso de mtodos cientficos para preservao, coleta, restaurao,
identificao, documentao e apresentao de evidncias digitais [2].

[1] Manual de Patologia Forense do Colgio de Patologistas Americanos

[2] Forensic Science Comunications

2005 ACME! Computer Security Research 3

 http://www.acmesecurity.org

Evidncia digital
Evidncias digitais so informaes em formato digital
capazes de determinar se um sistema computacional sofreu
uma violao, ou que provem uma ligao com a vtima ou
com o atacante.
Evidncias desta natureza podem ser duplicadas com exatido.
possvel verificar se sofreram alteraes com os mtodos adequados.
So altamente volteis, podendo ser alteradas durante a anlise, caso as
devidas precaues no sejam tomadas.
Principio da Troca de Locard.
Toda a pessoa que passa pela cena de um crime, deixa algo de si e leva
algo consigo.
De forma anloga, toda a pessoa que comete um crime digital, deixa
rastros no sistema comprometido. Os rastros podem ser difceis de
serem seguidos, mas existem.
2005 ACME! Computer Security Research 4
 http://www.acmesecurity.org

Forense Computacional
Exames forenses tradicionais, como o exame de DNA, so
realizados atravs de mtodos e procedimentos bem definidos.
A anlise efetuada atravs de passos rotineiros, repetidos em cada
caso.
Geralmente, a estratgia para forense computacional
particular em cada caso.
Heterogeneidade de softwares.
Heterogeneidade de hardwares.
Uso de padres distintos.
Constantes mudanas na tecnologia.
Os mtodos para a forense computacional devem ser genricos
o suficiente para acomodar todas essas mudanas.
2005 ACME! Computer Security Research 5
 http://www.acmesecurity.org

Mtodos e procedimentos
Simplificam o processo de coleta, armazenamento e anlise de
evidncias.
Minimizam o pnico e reaes negativas em circunstncias em
que a percia conduzida sobre nveis elevados de estresse,
evitando um possvel comprometimento das evidncias.
Contribuem para validar as evidncias coletadas em um
processo criminal.
Necessitam de uma fase de planejamento para sua correta
aplicao.

2005 ACME! Computer Security Research 6

 http://www.acmesecurity.org

Resposta a Incidentes
Metodologia de resposta em 6 passos (SANS Institute):
Preparao: envolve o planejamento e definies de polticas para lidar
com o incidente quando detectado.
Identificao: caracterizao da ameaa e seus efeitos nos sistemas
afetados.
Conteno: consiste em limitar o efeito do incidente de modo que atinja
o menor nmero de sistemas possveis.
Erradicao: estgio no qual as conseqncias causadas pelo incidente
so eliminadas ou reduzidas.
Recuperao: retomada das atividades em andamento antes do
incidente ocorrer. Tambm restaurao de dados caso necessrio.
Continuao: medidas necessrias para evitar que a ocorrncia do
incidente seja repetida.
2005 ACME! Computer Security Research 7
 http://www.acmesecurity.org

Metodologia para a percia

Coleta de informaes.
Reconhecimento das evidncias.
Restaurao, documentao e preservao das evidncias
encontradas.
Correlao das evidncias.
Reconstruo dos eventos.

2005 ACME! Computer Security Research 8

 http://www.acmesecurity.org

Preparao (1)
Definies de polticas a serem seguidas e aes a serem
tomadas durante a percia.
Medidas preventivas para evitar o comprometimento do
sistema computacional.
Monitoramento para detectar incidentes quando ocorrerem.
Escolha das ferramentas mais adequadas para coleta e anlise
de evidncias.

2005 ACME! Computer Security Research 9

 http://www.acmesecurity.org

Preparao (2)
Os mecanismos de rede podem fornecer informaes valiosas
para anlise quando corretamente configurados.
Firewalls/Sniffers/Detectores de Intruso.
Roteadores e gateways em geral.
Servidores de DNS e Proxy.
Servidores de backups.
Coletores de fluxos.
Avisos sobre alteraes no sistema podem ser obtidas a partir
do uso de ferramentas como o monitorador Tripwire.
recomendvel o uso de um host exclusivo para coleta de
logs. Logs locais podem ser facilmente removidos por um
atacante com acesso administrativo.
2005 ACME! Computer Security Research 10
 http://www.acmesecurity.org

Coleta (1)
A coleta de evidncias feita principalmente com base nos
dados obtidos a partir dos discos rgidos e das demais mdias
fsicas.
Caso o sistema ainda esteja em funcionamento, pode-se
recuperar evidncias adicionais.
recomendvel interromper a energia ao invs de desligar o sistema de
modo habitual.
Permite preservar o estado do sistema (swap, arquivos temporrios, marcas
de tempo nos arquivos, ...).
Pode evitar armadilhas programadas para disparar durante o desligamento
do sistema.
Deve ser observado o tempo de vida de cada evidncia.

2005 ACME! Computer Security Research 11

 http://www.acmesecurity.org

Coleta Online
Examinar uma parte do sistema ir perturbar outras partes:
O simples fato de observar informaes de determinados tipos capaz
de alter-las.
As informaes devem ser preferencialmente coletadas de acordo com
seu tempo de vida.
Registradores, cache
Memria dos perifricos (ex. vdeo)
Memria RAM
Tempo de Trfego de rede Volatilidade
vida
Estado do sistema Operacional (processos,
usurios logados, conexes estabelecidas, ...)
Disco Rgido
Mdias secundria (cd-roms, backups)

2005 ACME! Computer Security Research 12

 http://www.acmesecurity.org

Dispositivos de armazenamento
Registradores e cache.
Contm pouca informao aproveitvel.
Memria de perifricos.
Podem possuir informaes no disponveis na memria principal
como documentos enviados via fax, imagens exibidas no monitor, etc.
Memria RAM.
Contm informaes sobre o sistema operacional e os processos em
execuo. Pode conter senhas e informaes em texto plano que esto
cifradas no disco.
Discos Rgidos e mdias secundrias.
Contm a maior parte das informaes usadas para extrao de
evidncias.
2005 ACME! Computer Security Research 13
 http://www.acmesecurity.org

Alteraes no sistema
As informaes obtidas podem no ser confiveis uma vez que
o sistema foi comprometido.
Como forma de minimizar o problema, alguns kits de forense para
ambientes UNIX contm binrios compilados estaticamente dos
principais utilitrios de sistema.
Alvos de modificao:

Shell
Comandos do sistema
Bibliotecas dinmicas Dificuldade
de deteco
Drivers de dispositivos
Kernel

2005 ACME! Computer Security Research 14

 http://www.acmesecurity.org

Anlise
A anlise deve ser efetuada sobre uma cpia das mdias originais. As
mdias originais devem ser devidamente protegidas.
A cpia deve ser bit a bit com o intuito de preservar arquivos removidos e
outras informaes.
As informaes coletadas suas respectivas cpias devem ser autenticadas
atravs de assinaturas criptogrficas.
A anlise de dados brutos do disco e da memria excessivamente lenta.
O uso de ferramentas para recuperao de arquivos e dump de processos pode agilizar a
anlise.
Um ambiente de teste pode ser preparado para auxiliar o procedimento de
anlise.
O hardware deve ser preferencialmente similar ao hardware do ambiente original.
Todo o processo deve ser devidamente documentado.

2005 ACME! Computer Security Research 15

 http://www.acmesecurity.org

Reconstruo de eventos
Correlacionamento de logs.
Anlise do trfego da rede (logs de roteadores, firewalls, ...).
Histrico do shell (quando houver).
MAC Times.
Recuperao de arquivos apagados ou anlise do dump do
disco.
Anlise de artefatos encontrados no sistema.

2005 ACME! Computer Security Research 16

 http://www.acmesecurity.org

Modo de operao do atacante

Entender o modo de operao til durante a busca por
evidncias:
Identificao do alvo.
Busca por vulnerabilidades.
Comprometimento inicial.
Aumento de privilgio.
Tornar-se "invisvel".
Reconhecimento do sistema.
Instalao de backdoors.
Limpeza de rastros.
Retorno por um backdoor; inventrio e comprometimento de mquinas
vizinhas.
2005 ACME! Computer Security Research 17
 http://www.acmesecurity.org

Ferramentas para monitorao

Monitorando mudanas no sistema de arquivos.
Tripwire (http://www.tripwire.com).
Aide (http://www.cs.tut.fi/~rammer/aide.html).
Centralizando logs.
syslog-ng (http://www.balabit.hu/en/downloads/syslog-ng).
Identificao de rootkits.
chkrootkit (http://www.chkrootkit.org).
Registro de conexes.
TCPwrapper.

2005 ACME! Computer Security Research 18

 http://www.acmesecurity.org

Coletando dados brutos

Dump da memria:
dd if /dev/mem of <destino>
dd if /dev/kmem of <destino>
dd if /dev/rswap of <destino>
Dump nos discos:
dd if <dipostivo> of <destino>
Obtendo dados da memria da placa de vdeo:
xwd -display :0 -root > screen.xwd
xwud -in screen.xwd
Transferindo informaes coletadas atravs do Netcat:
Servidor: nc -p <porta> -l > <sada>
Cliente: <comando_do_sistema> | nc -w 3 to <porta>
2005 ACME! Computer Security Research 19
 http://www.acmesecurity.org

Estado da rede
Configuraes da rede:
ifconfig, iwconfig
route
arp
netstat -tupan, lsof -i
Coletando o trfego:
tcpdump -l -n -e -x -vv -s 1500
ethereal

2005 ACME! Computer Security Research 20

 http://www.acmesecurity.org

Coletando informaes sobre o estado

do sistema
Login de usurios:
Usurios atualmente logados: w, who
ltimos logins efetuados: last
ltimo acesso de cada usurio: lastlog
Processos:
Processos atualmente em execuo: ps auxeww, ps ealf, ls /proc/
ltimos comandos executados: lastcomm
Arquivos abertos: lsof
Kernel e mdulos:
Configuraes gerais: uname -a
Mdulos carregados: lsmod, cat /proc/modules
Mdulos ocultos: kstat -M (http://www.s0ftpj.org/tools/)

2005 ACME! Computer Security Research 21

 http://www.acmesecurity.org

Informaes do sistema de arquivos

MAC Times:
Horrio de ltimo acesso: ls -altu
Tempo de alterao: ls -alt
Tempo de mudana nas permisses: ls -altc
Propriedades de um arquivo:
stat <arquivo>
Registro de todos os arquivos presentes no sistema:
find / -type f -print0 | xargs -0 md5sum > <sada>

2005 ACME! Computer Security Research 22

 http://www.acmesecurity.org

Anlise dos dados coletados

Buscas nos dumps de disco e memria?
strings e grep.
Podem encontrar informaes em blocos marcados como defeituos.
til para recuperao de trechos de arquivos apagados, em particular,
de logs apagados.
Anlise de binrios suspeitos
Tabela de smbolos: nm <binrio>, nm -Du <binrio>
Bibliotecas dinmicas associadas: ldd <binrio>
Visualizao em hexadecimal: cat <binrio> | xxd
Chamadas de sistema (em um ambiente de testes): strace <binrio>
Pausando a execuo de um processo: kill -STOP <pid>

2005 ACME! Computer Security Research 23

 http://www.acmesecurity.org

Ferramentas para anlise

TCT The Coroner's Toolkit (http://www.porcupine.org/forensics/tct.html):
Conjunto de ferramentas para forense.
TCTUtils (http://www.porcupine.org/forensics/tct.html):
Utilitrios que provem funcionalidades extras ao TCP.
TASK - The @stake Sleuth Kit (http://www.sleuthkit.org/):
Engloba as funcionalidades do TCT e do TCTUtils para anllise do sistema de
arquivos, alm de recursos adicionais.
Portado para uma srie e plataformas.
AFB - Autopsy Forensic Browser (http://www.sleuthkit.org/autopsy):
Prov uma interface grfica para o TASK.

2005 ACME! Computer Security Research 24

 http://www.acmesecurity.org

The Coroner's Toolkit (1)

composto por quatro partes:
grave-robber
Automatiza a coleta de evidncias com os comandos citados anteriormente.
Executa aes adicionais (gerao de assinaturas criptogrficas, lista com
arquivos apagados ainda em uso, histricos de shell, ...).
A coleta feita de acordo com a ordem de volatilidade.
mactime
Utiliza informaes produzidas pelo grave-robber para criar um histrico
de arquivos modificados e acessados em um dado intervalo de tempo.
lazarus
lazarus: ferramenta para recuperao de arquivos apagados.
unrm: efetua dump do espao no alocado no disco.
Utilitrios
Utilirios usados pela ferramenta grave-roober.
2005 ACME! Computer Security Research 25
 http://www.acmesecurity.org

The Coroner's Toolkit (2)

Funcionamento do lazarus:
Sistemas de arquivos unix tem baixa fragmentao.
Tenta identificar o tipo de arquivo ao qual pertence um espao no
alocado do disdo de 100 bytes.
Armazena em um arquivo os blocos de dados lidos enquanto o tipo de
arquivo identificado no for alterado.
No funciona bem com arquivos grandes.
Exemplos de utilitrios:
pcat: efetua o dump de um processo na memria.
icat (ou inode-cat): visualiza o contedo de um arquivo a partir no
nmero do seu inode. Pode recuperar arquivos apagados ou parte deles.
ils: lista informaes inodes de arquivos removidos.

2005 ACME! Computer Security Research 26

 http://www.acmesecurity.org

TCTUtils
Exemplos de utitrios:
bcat: exibe o contedo de um bloco de dados presente no sistema de
arquivos.
blockcalc: mapeia blocos do sistema de arquivos orginal com a imagem
gerada pela ferramenta unrm.
fls: lista as entradas de um bloco de dados pertencente a um diretrio.
find_file: tenta encontrar o nome de arquivo associado a um inode.
find_inode: tenta encontrar o inode que tem alocado um determinado
bloco de dados do sistema de arquivos.
istat: exibe informaes sobre um determinado inode.

2005 ACME! Computer Security Research 27

 http://www.acmesecurity.org

The @stake Sleuth Kit

Suporte a sistemas de arquivos de diversos SOs (BSD, Linux,
Solaris, Windows).
Exemplos de utilitrios:
dstat: exibe informaes sobre um determinado bloco.
fsstat: informaes detalhas sobre o sistema de arquivos em uma
determinada partio.
icat: semelhante ao icat do TCT.
dcat: semelhante ao bcat do TCTUtils.
Outras ferramenas com funes similares as exibidas anteriormente

2005 ACME! Computer Security Research 28

 http://www.acmesecurity.org

Autopsy Forensic Browser

2005 ACME! Computer Security Research 29

 http://www.acmesecurity.org

Outras ferramentas teis (1)

LiveCDs:
Biatchux Fire (http://biatchux.dmzs.com).
DUMP de sistemas de arquivos FAT e NTFS:
EnCase (http://www.guidancesoftware.com).
DriveSpy. DriveSpy (http://www.digitalintel.com).
Byte Back (http://www.toolsthatwork.com).
Ferramentas para recuperao de senhas (office, rar, zip, ...):
Lostpassword (http://www.lostpassword.com).

2005 ACME! Computer Security Research 30

 http://www.acmesecurity.org

Outras ferramentas teis (2)

Anlise de logs:
Netforensics - (http://www.netforensics.com).
Anlise de sistemas de arquivos:
Foremost tool. (http://foremost.sourceforge.net).
Visualizador de disco e memria em ambientes windows:
Winhex (http://www.winhex.com/).
Visualizador de processos em Windows 9x:
Wintop (http://www.dewassoc.com/support/useful/wintop.htm).

2005 ACME! Computer Security Research 31

 http://www.acmesecurity.org

Concluses
A Forense computacional um importante ramo da cincia
forense aplicado coleta de evidncias digitais.
O uso de mtodos e procedimentos adequados aumentam a
eficincia da coleta, anlise e armazenamento de evidncias.
As informaes mais volteis devem ser coletadas primeiro,
sendo que no possvel coletar todas as informaes
presentes em um sistema.
O sistema operacional fornece diversos mecanismos de
contabilidade que podem ser utilizados no processo de coleta
de evidncias.
O domnio de ferramentas especficas para forense
computacional permite a obteno de melhores resultados
durante a coleta e anlise.
2005 ACME! Computer Security Research 32
 http://www.acmesecurity.org

Referncias
Anton Chuvakin, Cyrus Peikari. Security Warrior. O'Reilly, January, 2004
Cesar Eduaro Atlio - Padro "ACME!" para anlise forense de intruses em
sistemas computacionais.
http://www.acmesecurity.org/hp_ng/imagens/download3.jpg
Dan Farmer, Wietse Venema. Computer Forensics Analysis Class Handouts. Agosto,
1999.
http://www.trouble.org/forensics/class.html
Eugene E. Schultz, Russell Shumway. Incident Response: A Strategic Guide (...).
Oreilly, November 2001
Michael G. Noblett et al. Recovering and Examining Computer Forensic Evidence.
http://www.fbi.gov/hq/lab/fsc/backissu/oct2000/computer.htm
RecGeus, P. L., Reis, M. A. Anlise forense de intruses em sistemas computacionais: .
Anais do I Seminrio Nacional de Percia em Crimes de Informtica. Macei, 2002.
Christopher Klaus. Compromissed FAQ
http://www.faqs.org/faqs/computer-security/compromise-faq/
2005 ACME! Computer Security Research 33
 http://www.acmesecurity.org

Obrigado!
Para entrar em contato e obter mais informaes:
almir at acmesecurity dot org Key ID: 0x77F86990
arnaldo at acmesecurity dot org Key ID: 0x85A6CA01
adriano at acmesecurity dot org Key ID: 0x3893CD28

Agradecimentos a Cesar Eduardo Atlio

Pelo material cedido para a produo deste trabalho

http://www.acmesecurity.org
ACME! Computer Security Research Labs
UNESP IBILCE
So Jos do Rio Preto - Brasil

2005 ACME! Computer Security Research 34