Atenção à capacidade de armazenamento do mesmo: neste dispositivo serão armazenados o dump da RAM, os
FASE I – COLETA DE INFORMAÇÕES NO OBJETO QUESTIONADO FASE I – COLETA DE INFORMAÇÕES NO OBJETO QUESTIONADO
- FASE I – COLETA DE INFORMAÇÕES NO OBJETO QUESTIONADO
Ordem de volatilidade: MEMÓRIA FÍSICA (RAM)
Comandos:
#dd if=/dev/fmem of=dump.ram bs=1M count=<qtde_memo> #dcfldd if=/dev/fmem of=dump.ram bs=1M count=<qtde_memo> [hash=alg1,alg2 hashlog=<nome_arq>]
Comandos relacionados:
a serem utilizados neste momento apenas em caso de incerteza sobre tais informações,
em caso contrário, deverão ser executados após a realização do dump da memória
• uname -a: determinação da versão do kernel corrente
• cat /etc/lsb-release: determinação da versão da distribuição (UBUNTU) • free -m: determinação da memória física a ser lida pelo comando dd (dcfldd)
Observações:
➢A partir da versão 2.6 do kernel Linux, a opção CONFIG_STRICT_DEVMEM vem habilitada por default, impedindo que dispositivos não autorizados acessem o diretório /dev/mem
➢Para possibilitar o acesso ao mesmo, deve-se utilizar o módulo fmem, parte do projeto FORIANA
Análise de ataques via rede
Análise de ataques via rede
- FASE I – COLETA DE INFORMAÇÕES NO OBJETO QUESTIONADO - FASE I – COLETA DE INFORMAÇÕES NO OBJETO QUESTIONADO
Ordem de volatilidade: Status da rede
Comandos:
Verificação das portas e conexões ativas
#netstat -tunap | tee /media/forense/netstat #lsof -i | tee /media/forense/lsof
Verificação de conexões ocultas
#unhide-tcp | tee /media/forense/unhide-tcp
Verificação da tabela de rotas
#route -n | tee /media/forense/route
Verificação das configurações de rede(1)
#ifconfig | tee /media/forense/ifconfig
Análise de ataques via rede
Análise de ataques via rede
- FASE I – COLETA DE INFORMAÇÕES NO OBJETO QUESTIONADO - FASE I – COLETA DE INFORMAÇÕES NO OBJETO QUESTIONADO
Ordem de volatilidade: Processos ativos
Comandos:
Verificação dos processos ativos
#ps aux | tee /media/forense/ps
Verificação de processos ocultos
#unhide proc | tee /media/forense/uhproc Comandos relacionados
#unhide sys | tee /media/forense/uhsys #unhide brute | tee /media/forense/uhbrute
Observações:
1. Considera-se nos exemplos, o ponto de montagem da mídia removível como /media/forense
Análise de ataques via rede
Análise de ataques via rede
- FASE I – COLETA DE INFORMAÇÕES NO OBJETO QUESTIONADO - FASE I – COLETA DE INFORMAÇÕES NO OBJETO QUESTIONADO
Ordem de volatilidade: ---
Comandos complementares:
Verificação dos usuários logados no sistema
#w | tee /media/forense/w
#last -F | tee /media/forense/last
Verificação da data/hora do sistema
#date | tee /media/forense/date(1)
Histórico dos comandos emitidos pelo invasor
#history | tee /media/forense/history(2)
Tempo de operação do sistema
#uptime | tee /media/forense/uptime
Análise de ataques via rede
Análise de ataques via rede
- FASE I – COLETA DE INFORMAÇÕES NO OBJETO QUESTIONADO - FASE I – COLETA DE INFORMAÇÕES NO OBJETO QUESTIONADO
Comandos complementares:
Inventário dos dispositivos montados
#mount | tee /media/forense/mount
Verificação dos sistemas de arquivos
#df -hT | tee /media/forense/df
Verificação do esquema de particionamento do disco
#fdisk -l | tee /media/forense/fdisk
Inventário dos pacotes instalados
#dpkg -l | tee /media/forense/dpkg
Observações:
1.Considera-se nos exemplos, o ponto de montagem da mídia removível como /media/forense
Análise de ataques via rede
Análise de ataques via rede
- FASE I – COLETA DE INFORMAÇÕES NO OBJETO QUESTIONADO - FASE I – COLETA DE INFORMAÇÕES NO OBJETO QUESTIONADO
Comandos complementares:
Módulos carregados pelo kernel
#lsmod | tee /media/forense/lsmod
Observações:
1.Considera-se nos exemplos, o ponto de montagem da mídia removível como /media/forense
Análise de ataques via rede
Análise de ataques via rede
- FASE I – COLETA DE INFORMAÇÕES NO OBJETO QUESTIONADO - FASE I – COLETA DE INFORMAÇÕES NO OBJETO QUESTIONADO
Comandos complementares:
Busca e verificação de arquivos
Localizando arquivos de um usuário especifico
Análise de ataques via rede
Análise de ataques via rede
- FASE I – COLETA DE INFORMAÇÕES NO OBJETO QUESTIONADO - FASE I – COLETA DE INFORMAÇÕES NO OBJETO QUESTIONADO
Comandos complementares:
Busca e verificação de arquivos
Localizando arquivos alterados nos últimos 10 minutos
Análise de ataques via rede
Análise de ataques via rede
- FASE I – COLETA DE INFORMAÇÕES NO OBJETO QUESTIONADO - FASE I – COLETA DE INFORMAÇÕES NO OBJETO QUESTIONADO
Comandos complementares:
Busca e verificação de arquivos
Localizando arquivos regulares acessados a menos de 1 dia
Análise de ataques via rede
Análise de ataques via rede
- FASE I – COLETA DE INFORMAÇÕES NO OBJETO QUESTIONADO - FASE I – COLETA DE INFORMAÇÕES NO OBJETO QUESTIONADO
Comandos complementares:
Busca e verificação de arquivos
Localizando arquivos com tamanho zero
Análise de ataques via rede
Análise de ataques via rede
- FASE I – COLETA DE INFORMAÇÕES NO OBJETO QUESTIONADO - FASE I – COLETA DE INFORMAÇÕES NO OBJETO QUESTIONADO
Comandos complementares:
Busca e verificação de arquivos
Localizando arquivos com permissões especificas
Análise de ataques via rede
Análise de ataques via rede
- FASE I – COLETA DE INFORMAÇÕES NO OBJETO QUESTIONADO - FASE I – COLETA DE INFORMAÇÕES NO OBJETO QUESTIONADO
Atestando a integridade dos arquivos gerados
- Gerar dois hashes distintos para cada arquivo gerado:
#md5sum <nome_arq_calc> >> /media/forense/<nome_arq_gravar>
#sha256sum <nome_arq_calc> >> /media/forense/<nome_arq_gravar> Finalizados os procedimentos, desmontar e remover o dispositivo de armazenamento externo, conectando-o a outra máquina, confiável, a fim de verificar-se a correta gravação dos arquivos gerados.
Análise de ataques via rede
Análise de ataques via rede
- FASE I – COLETA DE INFORMAÇÕES NO OBJETO QUESTIONADO - FASE I – COLETA DE INFORMAÇÕES NO OBJETO QUESTIONADO