Adicionar à colecção (s) Adicionar a salvo
  1. Ciência
  2. Ciências da saúde
  3. Radiologia

Perícia Computacional - Computação ULBRA Canoas

Propaganda 
PERÍCIA COMPUTACIONAL – FERRAMENTAS,
TÉCNICAS DISPONÍVEIS E ESTUDO DE CASO1
Alex Sandro Weyer <[email protected]>
Luiz Gustavo Galves Mählmann2 <[email protected]> – Orientador
Universidade Luterana do Brasil (Ulbra) – Curso de Tecnologia em Redes de Computadores – Campus Canoas
Av. Farroupilha, 8.001 – Bairro São José – CEP 92425-900 – Canoas - RS
28 de novembro de 2011
RESUMO
Este artigo apresenta o estudo de ferramentas computacionais baseadas em software livre e as principais
técnicas disponíveis em Perícia Computacional Forense. A partir deste será realizado um estudo de caso onde uma
estação de trabalho é invadida mediante a instalação de softwares conhecidos como “bankers”, visando a proposta de
uma metodologia de análise computacional forense empregando softwares livres.
Palavras-chave: Perícia Computacional; Análise, Ferramentas Forenses, Bankers.
ABSTRACT
Title: “Computational Expertise – Tools, techniques and case study”
This paper presents the study of computational tools based on free software and main technical expertise
available in Computer Forensics. From this will be a case study where a workstation is invaded by the installation
of software known as "bankers", to propose a methodology for computer forensic analysis using free software.
Key-words: Computational Expertise; Analysis; Forensic Tools; Bankers.
1
INTRODUÇÃO
Atualmente, os crimes virtuais estão cada vez mais comuns. Também deve ser considerado o fato de
que com a evolução da tecnologia e da quantidade de acessos a internet disponíveis, tornou-se fácil a ação de
criminosos que buscam invadir sistemas, tanto para obter dados pessoais dos usuários (dados bancários, por
exemplo) quanto para criar um exército de computadores zumbis que ficam disponíveis para ataques
massivos a um simples comando.
Ultimamente, a invasão de máquinas clientes em busca de dados para acesso a sites de banco e
ataques a diversos tipos de computadores para a criação de botnets (grupo de computadores infectados
conectados a internet) tem chamado a atenção, não importando a motivação, seja ela para obter lucro
imediato (mediante o uso de bankers, tipo de vírus que tem o objetivo de obter dados bancários de usuários)
como para obter exposição na mídia e no mundo da internet (ataques de negação de serviço, principalmente).
Em Agosto de 2011, uma notícia veiculada no site Linha Defensiva (CRISTINA, 2011) intitulada
“Vírus brasileiro realiza transferência bancária sozinho e rouba 5 mil” relata que foi descoberto um vírus
brasileiro que realiza transferência bancária sozinho de cinco mil reais da conta da vítima. Assim que o
usuário faz acesso ao site do banco e entra com seus dados para ter acesso a conta online, o vírus faz
automaticamente a transferência do valor para uma conta pré programada. O banco afetado informou que a
conta não existia, mas já é um demonstrativo da capacidade destes novos vírus.
Recentemente, diversos usuários, ao acessar a internet de seus computadores, começaram a perceber
mensagens estranhas em seus navegadores. Quando os mesmos acessavam sites supostamente legítimos,
eram direcionados a uma página solicitando a instalação de um malware (abreviação de malicious software,
tipo de software que tem por objetivo causar danos a computadores). De acordo com Assolini (2011), alguns
provedores de acesso brasileiros tiveram seus servidores de DNS (sigla em inglês para Sistema de Nomes de
Domínio) comprometidos, tendo seus registros do tipo “A” (que “traduzem” nomes de domínio para
endereços IP) dos principais sites acessados pelos usuários alterados para endereços falsos, através de uma
1
Artigo Final da disciplina de Projeto em Redes de Computadores, submetido ao curso de Tecnologia em Redes de Computadores da Universidade
Luterana do Brasil, campus Canoas. .
2
Professor das disciplinas Tecnologia de Negócios na Internet e Desenvolvimento de Sistemas dos cursos de Ciência da Computação e Sistemas
de Informação, na Ulbra Canoas e Ulbra Guaiba.
1
técnica chamada DNS Poisoning (“envenenamento” ou comprometimento de servidores DNS).
Dado este cenário, têm-se observado a falta de expertise de nossos profissionais para lidar com estas
situações, principalmente devido a certa carência de estudos a respeito. Os poucos que existem, em sua
grande maioria, são em outros idiomas, o que acaba dificultando um pouco o aperfeiçoamento de peritos
brasileiros.
Este estudo tem por objetivo criar uma metodologia para perícia forense na análise e identificação de
sistemas operacionais Windows infectados por programas maliciosos conhecidos como bankers (que servem
para capturar senhas de bancos), keyloggers (para capturar tudo que é digitado) e programas relacionados,
utilizando aplicativos Open Source (aplicativos de código fonte livre, sem restrições de direitos autorais).
Com esta metodologia, pretende-se auxiliar peritos criminais, profissionais de segurança e demais
profissionais envolvidos na busca por evidências que apontem para o uso destes softwares maliciosos.
Para isso, será demonstrada a existência de ferramentas Open Source poderosas que permitem a
análise avançada e a construção de provas a fim de identificar a existência de crimes virtuais bem como seus
autores, utilizando-se de técnicas e procedimentos com embasamentos legais.
Este estudo também demonstrará que por vezes torna-se impossível identificar os autores, devido a
utilização de técnicas avançadas de mascaramento de rastros.
Este artigo está dividido em sete sessões: Introdução, Ciência Forense, Metodologia, Estudo de caso,
Resultados da Metodologia com o Estudo de Caso, Considerações Finais e Referências. A seção Ciência
Forense aborda todos os conceitos estudados para a elaboração do trabalho, estatísticas de crimes
cibernéticos e as ferramentas utilizadas. Na seção Metodologia é proposta a utilização de algumas
ferramentas e métodos para a busca de evidências em cima de um determinado tipo de crime. A seção Estudo
de caso traz um exemplo de cenário que será investigado com a metodologia proposta. Já na seção
Resultados da Metodologia com o Estudo de Caso estão as evidências obtidas no decorrer da investigação
realizada no estudo de caso com a metodologia proposta. A seção Considerações Finais expressa as idéias de
conclusão do trabalho e na última seção são citadas as referências bibliográficas utilizadas na pesquisa.
2
CIÊNCIA FORENSE
Ciência Forense é a ciência que atua para a justa resolução de um crime. A Ciência Forense se baseia
em procedimentos científicos com o objetivo de obter evidências que possam ser úteis durante uma
investigação com fins judiciais.
A Ciência Forense proporciona os princípios e técnicas que facilitam a investigação do delito, em
outras palavras: qualquer princípio ou técnica que pode ser aplicada para identificar, recuperar, reconstruir
ou analisar a evidência durante uma investigação criminal utiliza a Ciência Forense. Ela cria hipóteses sobre
o ocorrido para criar a evidência e realiza provas e controles para confirmar ou contradizer tais hipóteses.
Para a Ciência Forense, há várias disciplinas que dão apoio e servem de molde para estabelecer os
princípios fundamentais necessários para a resolução de um crime.
Como dito anteriormente, a Ciência Forense é multidisciplinar, pois muitas vezes necessita do apoio
de outras ciências para a devida análise de vestígios. O Juiz recorre a diversos elementos para formação de
sua convicção e assim aplicar a lei da forma mais justa possível. É neste momento que entra a figura do
Perito Forense, que utiliza seu conhecimento e o conhecimento de outros em diversas áreas para a correta
identificação dos elementos presentes na cena do crime.
A perícia é todo trabalho de natureza específica, especializado, que pode haver em qualquer
área do conhecimento humano. É aplicado sempre que existirem controvérsias, e é
realizado com o objetivo de obter prova ou opinião técnico-científico. Por meio de um
exame, investigação, que resulta em um parecer, laudo pericial ou relatório, devidamente
fundamentados, mostrando a verdade de forma imparcial e merecedora de fé, a fim de
orientar uma autoridade formal, no julgamento de um fato. (FREITAS, 2006, p.1)
São exemplos de áreas da Ciência Forense:
 A Ciência Química, que analisa, classifica e determina a natureza ou elementos de substâncias
encontradas. Está ligada a Cromatografia e Espectroscopia;
 A Papiloscopia, que faz a identificação humana por meio das papilas dérmicas (saliências
encontradas na pele de cada ser humano);
2
 A Medicina Legal trata dos conhecimentos médicos necessários à aplicação da lei;
 A Patologia Forense estuda os problemas advindos de mortes de causa não natural e traumas
causados. É a Patologia Forense que determina a causa da morte bem como a sua maneira;
 A Antropologia, ciência que auxilia na identificação do esqueleto e ossos, determinação da raça,
idade, sexo;
 A Odontologia Forense, que auxilia na identificação através do exame de dentes e próteses
dentárias;
 A Balística, que estuda o comportamento e o movimento dos projéteis e se divide em vários
ramos como a balística forense, que se preocupa em estudar o comportamento dos projéteis e o
exame dos traços relacionados com o uso de armas de fogo. Estuda também a possível relação
com os vestígios encontrados em uma investigação criminal.
Devido ao surgimento de novos recursos tecnológicos, assim como tivemos o surgimento de novas
modalidades de crimes (crimes tradicionais praticados através de novos métodos, muitas vezes gerando uma
nova terminologia criminal), a Perícia Forense têm utilizado novas técnicas, mais complexas, e que
necessitam de profissionais mais especializados. A partir destes novos equipamentos/métodos torna-se
possível auxiliar na investigação tanto dos crimes praticados de forma tradicional, quantos nesses novos
modelos de crime, como por exemplo:
 A Cromatografia, que faz a separação de componentes químicos e que permite a identificação
individual de cada substância;
 A análise do DNA (Ácido Dexosirribonucléico Nucléico), que é uma análise da substância
existente no núcleo de todas as células humanas;
 A análise de explosivos (para identificação de seus componentes);
 A informática, com a crescente evolução da tecnologia, auxilia na identificação de criminosos
utilizando softwares e computadores cada vez mais velozes no processamento de dados, como
para realizar a análise de escutas telefônicas, análise de imagens, etc.
2.1
Perícia Forense Computacional
A Forense Computacional pode ser definida como um conjunto de técnicas utilizadas para realizar a
coleta, o agrupamento, a identificação, a documentação e a análise de evidências digitais processadas,
armazenadas ou transmitidas por meios computacionais.
O termo perícia forense está ligado ao mundo policial, e até pouco tempo atrás não tinha relação com
a computação. Mas devido a contínua revolução tecnológica e ao aumento do uso do computador e da
internet, houve uma explosão de novos crimes cometidos por pessoas que descobriram e aprenderam a
utilizar ferramentas específicas para tal fim. Tais indivíduos se beneficiam pelo pseudo anonimato que a
Internet proporciona para praticar crimes. Devido a essa nova necessidade, é que surgiu a Perícia Forense
Computacional.
Segundo Vacca (2002, p.38), “Computadores podem ser utilizados para uma variedade de crimes,
incluindo crimes do colarinho branco, crimes violentos como assassinato e terrorismo, espionagem industrial
e tráfico de drogas”. Percebeu-se também que computadores poderiam ser utilizados para cometer fraudes
financeiras, seja invadindo sistemas e adulterando informações, seja ludibriando usuários e levando os
mesmos a fornecer informações bancárias para os criminosos desviarem dinheiro de contas.
A Perícia Forense é uma área relativamente nova e tornou-se uma prática investigativa importante,
tanto para as empresas quanto para a polícia. Utiliza-se de métodos científicos para identificar, preservar,
analisar e documentar evidências localizadas em computadores e outros dispositivos eletrônicos.
Alguns procedimentos, padrões e métodos devem ser seguidos pelo perito para assegurar que a
evidência não seja comprometida, substituída ou perdida. Porém, se os mesmos não forem seguidos, os
juízes poderão considerar as evidências inadmissíveis, os advogados de defesa poderão contestar sua
legitimidade, e o caso poderá ser prejudicado.
De acordo com Freitas (2006), a Perícia Forense possui quatro procedimentos básicos: todas as
evidências devem ser identificadas, preservadas, analisadas e apresentadas. As tarefas envolvidas em uma
investigação se enquadram em um destes grupos, como podem ser realizadas através da maioria ou de todas
elas.
3
A figura 1 detalha as ações que são realizadas em cada uma das quatro etapas do ciclo de
investigação forense.
Figura 1 – As quatro etapas de uma investigação. (FDTK, 2011)
Existem diversas ferramentas para o auxílio da análise, estas capazes de recuperar um arquivo
apagado ou modificado. Determinadas ferramentas mostram também os processos em execução no sistema
operacional e suas conexões estabelecidas no momento, bem como existem ferramentas que identificam os
dados comprometidos pelo atacante e determinam o momento em que o sistema foi comprometido.
Assim como existem ferramentas de análise forense, existem ferramentas de antiforense e técnicas
anti-forense, onde sua função é deixar o menor volume de rastros ou evidências da invasão de um atacante.
Exemplos de ferramentas que auxiliam o atacante a tentar mascarar suas ações são os chamados rootkits, os
quais são um conjunto de softwares específicos para dificultar o trabalho do analista. Eles podem modificar
ou remover informações dos logs do sistema, instalar backdoors (meios de acesso sem autorização, ou seja,
uma porta escondida para o atacante voltar a fazer um ataque) em arquivos binários, e ainda criar contas de
acesso com permissões privilegiadas que possibilitem a administração remota do sistema.
2.2
Tipos de crimes cibernéticos
No mundo cibernético, alguns tipos de crimes são muito comuns, como os relacionados abaixo:
 Dos (DoS – Denial of Service) - Um ataque de negação de serviço consiste em utilizar um
computador ou um conjunto de computadores para tirar de operação um serviço, computador ou
rede. Normalmente este tipo de ataque tem como alvo principal servidores Web;
 Invasão - Um ataque bem sucedido que resulte no acesso não autorizado a um computador ou
rede. Utiliza das mais diversas técnicas para obter êxito, como ataques de buffer overflow;
 Fraude - De acordo com definição do Dicionário Houaiss da Língua Portuguesa, é “qualquer ato
ardiloso, enganoso, de má-fé, com intuito de lesar ou ludibriar outrem, ou de não cumprir
determinado dever; logro”. Este tipo de crime é comumente cometido com objetivos financeiros,
seja empregando o uso de malwares (como cavalos de Tróia e bankers) ou com o uso de páginas
falsas para ludibriar os usuários;
 Phishing Scam - É um tipo de crime que pode ser considerado uma subcategoria de Fraude. É
um mecanismo criminoso que emprega engenharia social e técnicas de subterfúgio para roubar
dados pessoais e dados bancários de usuários. Utilizam técnicas de engenharia social
principalmente com e-mails falsos que pretendem ser de empresas legítimas e bancos para levar
os usuários a sites falsificados feitos para enganar e forçar o usuário a divulgar dados de acesso,
tais como usuários e senhas. Ou ainda realizar a instalação de cavalos de tróia para interceptar
tudo que for digitado na máquina ou para alterar a rota de acesso a sites bancários, levando o
usuário a pensar que está em um site de banco legítimo, mas na verdade está acessando um site
falso hospedado em servidor não legítimo.
 Disseminação de vírus, cavalos de tróia, malwares em geral - O criminoso utiliza de métodos
como envio de e-mails em massa contendo links maliciosos, para que o usuário faça download de
determinado artefato e instale em sua máquina. Tais artefatos são feitos para executar alguma
4
ação danosa no computador, e são classificados como: vírus, worm, adware e spyware, keylogger
e screenlogger, trojan, backdoor e rootkit.
No mundo cibernético, ficou muito comum também casos de Pedofilia, devido a facilidade de se
criar e manter sites que contenham imagens “com pornografia ou cenas de sexo explícito envolvendo criança
ou adolescente” (Art. 241, Lei 8069/2003).
Podemos incluir também casos de calúnia, injúria, difamação, racismo, pirataria (músicas, filmes,
software e hardware) com o auxílio de computadores e a Internet, ocorrendo principalmente em redes
sociais.
2.2.1 Estatísticas
Baseado em pesquisas na organização denominada Centro de Estudos, Resposta e Tratamento de
Incidentes de Segurança no Brasil – CERT.br (Cert, 2011) pode-se constatar que houve um aumento muito
grande de incidentes de segurança nos últimos anos, conforme demonstrado na figura 2.
Figura 2 – Total de incidentes reportados de 1999 a 2011
Em 2010 nota-se que houve expressiva queda no número de incidentes reportados ao CERT.br. “A
redução das notificações de tentativas de fraudes, que levou à queda no total de 2010, está relacionada à
queda das notificações de eventuais quebras de direitos autorais, através de distribuição de materiais em
redes P2P.” (CERT.br, 2011)
A figura 3 apresenta um gráfico, com dados extraídos do site do CERT.br, que mostra a evolução
quantitativa dos tipos crime (crimes listados já apresentados na seção 2.2. A legenda "Outros" representa os
incidentes que não se enquadram nas categorias de crimes apresentadas).
Figura 3 – Tipos de ataques
5
As figuras 4 e 5 foram extraídas do site CERT.br e mostram o percentual de tentativas de fraudes
reportadas no ano de 2009 e no de 2010. Comparando os dois gráficos, nota-se um crescimento percentual
significativo no número de páginas falsas perante o total de fraudes reportadas (em 2009 representava 2,50%
e em 2010 este valor saltou para 39,18% do total de fraudes):
Figura 4 – Tentativas de fraudes reportadas no ano de 2009
Figura 5 – Tentativas de fraudes reportadas no ano de 2010
Alguns indicadores de phishing scam interessantes registrados pelo CERT.br seguem na tabela 1.
Tabela 1 – Indicadores de casos de phising
2009
2010
Diferença
Número de casos
3266
7949
143,39%
Bancos como alvo 1868
5803
210,65%
Outros Alvos
1398
2146
53,51%
URL´s
3153
7817
147,92%
ASs
356
743
108,71%
Domínios
1579
4788
203,23%
Endereços IP
1313
3493
166,03%
Analisando o conjunto de ataques, pode-se observar que os mais comuns são os que empregam
páginas falsas, que geralmente são de bancos brasileiros e a instalação de cavalos de tróia, ambos com
objetivos financeiros.
Segundo notícia veiculada no site da Febraban (FEBRABAN, 2011), “as perdas com fraudes
bancárias realizadas por meio eletrônico somaram R$ 685 milhões no primeiro semestre de 2011, o que
representa um aumento de 36% em relação ao mesmo período do ano passado, que foi de R$ 504 milhões”.
Isso demonstra que este tipo de ataque tem se tornado muito comum, especialmente no Brasil.
Segundo a Symantec, no ano de 2010 os ataques do tipo web attack toolkits (conjunto de ferramentas
feitas para que pessoas com conhecimentos básicos de rede e computadores possam realizar ataques) tiveram
um crescimento de 93%, principalmente com a explosão de URL´s encurtadas, que acabam “mascarando” o
endereço verdadeiro de determinado link.
2.3
Recursos e Ferramentas
Assim como a tecnologia dos últimos anos está evoluindo a passos largos, as infrações, invasões,
roubo de informações confidenciais e as tentativas de invasão também acompanham esse crescimento. Com
6
isso, a necessidade do auxílio de ferramentas mais modernas e com mais recursos para a investigação se
torna obrigatória.
Os peritos forenses computacionais necessitam de uma metodologia de padronização, desde a
obtenção de evidências, passando pela padronização de laudos até a apresentação das mesmas perante a
justiça. Para isso, serão apresentados neste capítulo os seguintes tipos de ferramentas Open Source:
 Ferramentas de análise de memória RAM;
 Ferramentas de análise de captura de disco (offline);
 Live CDs, agrupando os dois tipos de ferramentas citadas acima.
Tais ferramentas têm auxiliado muito o trabalho de técnicos, administradores de rede, profissionais
de segurança da informação em geral e claro, os peritos forenses. Hoje em dia pode-se observar que há uma
ferramenta para cada necessidade, seja ela para recuperar arquivos apagados, analisar processos em
memória, localizar seqüencias de texto específicas em cada arquivo, etc.
2.3.1 Ferramentas de Forense de memória RAM
Com o crescimento do número de casos e o aumento da capacidade de armazenamento dos discos
rígidos, a perícia tradicional (forense de disco) tem se tornado inviável. Assim como muitas evidências
armazenadas na memória volátil da máquina (memória RAM) não podem ser perdidas, sob o risco de
inviabilizar a investigação. Por isso, as ferramentas de forense de memória RAM são um recurso à parte no
auxilio do trabalho do perito, especialmente na busca por evidências em casos de infecções por softwares
maliciosos. Através da captura dos dados armazenados neste tipo de memória (gerando um arquivo dump), é
feito a análise desta imagem em um ambiente confiável (livre de infecções por outros softwares maliciosos).
Tais ferramentas normalmente possuem a capacidade de trazer os processos em execução no
momento da captura, as conexões de rede estabelecidas, os soquetes de rede abertos, as DLL´s (Dynamic
Link Libraries) carregadas para cada processo, arquivos abertos (separando por processo), dentre outros. Há
a possibilidade também de ser feito um dump de determinado processo que estava em execução para
posterior envio a sites de análise de binários, que fazem a identificação deste tipo de arquivo a fim de
confirmar se o mesmo é malicioso ou não.
As principais ferramentas para coleta de imagens de memória são:
 Memoryze - Kit de ferramentas gratuitas desenvolvidas pela empresa Mandiant que auxilia aos
que respondem a incidentes pela procura de malwares em memória em sistemas Windows. O
Memoryze pode capturar e analisar imagens de memória RAM e em sistemas “ao vivo” pode
analisar inclusive o arquivo de paginação. Como vantagem possui uma ferramenta que faz a
pontuação de cada processo em execução: quanto maior essa pontuação, maior a chance daquele
processo ser um malware.
 Audit Viewer - Ferramenta Open Source que trabalha em conjunto com a ferramenta Memoryze
e permite aos usuários configurar, executar e visualizar os resultados da coleta de memória. Como
a ferramenta Memoryze gera relatórios em formato XML, complicados de se visualizar, o Audit
Viewer transforma estes relatórios em um formato Human Readable, agrupando dados e tornando
a perícia mais rápida e fácil. Além das tradicionais características que as ferramentas de captura e
análise de memória têm, o Audit Viewer possui a capacidade de traduzir e aplicar as assinaturas
da ferramenta Snort para melhor identificação de cada processo. Possui também a capacidade de
exibir determinados tipos de drivers (especialmente os que servem para capturar o que é digitado
e clicado na tela) e possui um serviço chamado MRI (Integrated Malware Rating Index), uma
espécie de ranking de malwares útil para identificar facilmente artefatos maliciosos.
 RedLine - Utilitário desenvolvido pela Mandiant que se integra ao Memoryze e serve para
acelerar e facilitar o processo de análise de imagens de memória e resultados gerados pelo
Memoryze, através de uma interface gráfica construída para facilitar a captura de imagens de
memória e a visualização dos resultados.
 Memdump - Ferramenta de dump de memória desenvolvido pela Apsoft para sistemas baseados
em Unix.
 Volatility Framework - O Volatility Framework, desenvolvido pela Volatile Systems, é uma
coleção Open Source de ferramentas implementadas em Python sobre a licença GNU para a
extração de artefatos digitais de amostras de memória RAM. No Volatility não há ferramenta para
captura da imagem de memória, apenas ferramentas para análise destas. A técnica de extração é
7
completamente independente do sistema a ser investigado e apesar disso oferece total visibilidade
do estado atual de execução do sistema. Segundo o autor, o framework Volatility é a única
ferramenta de captura e análise de memória que consegue listar os serviços de sistemas
operacionais Microsoft Windows.
 Moonsols - Ferramenta de dump de memória para sistemas Windows, desenvolvido em duas
versões pela empresa Moonsols: Professional e Community. A Professional é a versão paga, e
possui alguns recursos que a versão gratuita, a Community, não possui, tais como a conversão de
dumps de memória de sistemas 64 bits, conversão de arquivos de hibernação para o formato de
dump de memória, etc.
2.3.2 Ferramentas de Forense de captura de disco
As ferramentas computacionais forenses deste tipo servem para analisar os dados que foram
capturados de um equipamento desligado (também chamado de captura postmortem). É feito uma cópia bit a
bit do disco rígido (ou outra mídia qualquer) e então com ferramentas específicas faz-se a varredura por
provas para o caso. A cópia é necessária para que os dados originais armazenados no dispositivo não corram
o risco de serem modificados, comprometendo a integridade das provas e por conseqüência a investigação
como um todo.
As principais ferramentas para este tipo de análise são:
 Guymager - Ferramenta gráfica para aquisição de imagens de disco. Gera imagens de diversos
formatos (como os formatos dd, EWF e AFF);
 Dd - Ferramenta nativa de sistemas Unix que roda em modo texto para aquisição de imagens de
disco;
 Dc3dd - Versão aprimorada do utilitário dd, possui diversas melhorias em relação ao seu
utilitário de origem, e algumas funções novas, como split de imagens, indicador de progresso de
cópia, etc. Possui a versão gráfica dc3ddgui para facilitar o processo de captura;
 Slocate - Ferramenta nativa de sistemas Unix que serve para localização de arquivos e indexação
de disco. O comando slocate cria um banco de dados contendo a listagem de arquivos do sistema
e sua localização na estrutura de diretórios;
 Mac-robber - Ferramenta que serve para a coleta de dados em arquivos alocados. Estes dados
podem ser utilizados pela ferramenta mactime para a criação de uma linha de tempo;
 Nmap - Ferramenta para exploração de rede e auditoria de segurança. Serve para realizar
varredura em redes completas ou mesmo um host individual e descobrir portas abertas, serviços
rodando e também o sistema operacional da máquina;
 Rkhunter - Ferramenta que serve para a identificação de rootkits, backdoors e possíveis exploits
em sistemas;
 PTK - Ferramenta gráfica, baseada na Web, desenvolvida pela empresa DFLabs que utiliza os
comandos da ferramenta TSK (que serve para investigar o conteúdo de sistemas e arquivos).
Trabalha normalmente em conjunto com o Autopsy Forensic Browser;
 Md5sum - Ferramenta nativa em sistemas Unix (há versões para Windows também) que serve
para geração de hashes md5, permitindo a garantia da integridade de determinado arquivo
mediante comparação do hash gerado;
 Ntfsundelete - Ferramenta gráfica desenvolvida pela empresa eSupport para recuperação de
arquivos deletados em sistemas de arquivos NTFS;
 Extundelete - Ferramenta para recuperação de arquivos em partições Ext3 e Ext4;
 Photorec - Ferramenta especializada em recuperação de arquivos de foto e vídeo. A ferramenta
ignora o sistema de arquivos e faz a busca bit a bit permitindo a busca mesmo em sistemas de
arquivos danificados.
2.3.3 Ferramentas de Forense baseadas em Live CD
Live CD´s de Forense Computacional são ferramentas muito práticas e importantes para o trabalho
do perito e dos que respondem a incidentes de segurança. Normalmente trazem todas as ferramentas
necessárias para as quatro etapas da investigação, porém alguns são focados para análises mais específicas,
como análises de imagens de memória RAM capturadas.
Dentre todos os inúmeros Live CDs existentes, foram selecionadas três distribuições para estudo:
 Caine - Sigla de Computer Aided Investigative Environment, é um projeto italiano baseado na
8
distribuição Linux Ubuntu criado em 2008 por Giancarlo Giustini para o Centro de Investigação
sobre Segurança da Universidade de Modena, na Itália. Possui as principais ferramentas para
forense a frio, mas poucas para análise de memória. Pode ser utilizado como Live CD ou ser
instalado em uma estação de trabalho. O Caine possui mais de 100 ferramentas voltadas a
Forense Computacional e também possui ferramentas para análise de arquivos do software
Microsoft Office. De acordo com o site do desenvolvedor, os principais objetivos da ferramenta
são:
a) Um ambiente operacional no qual auxilia o investigador digital durante as
quatro fases da investigação digital;
b) Uma interface amigável;
c) Uma compilação semi-automática do relatório final.
 FDTK - Sigla de Forensic Digital Toolkit, o projeto FDTK-UbuntuBR foi criado por Paulo
Neukamp durante a elaboração do trabalho de conclusão do curso de Graduação Tecnológica em
Segurança da Informação na Universidade do Vale do Rio dos Sinos (UNISINOS). É uma
distribuição Linux criada a partir da já consagrada distribuição Ubuntu, e reúne mais de 100
ferramentas capazes de atender a todas as etapas de uma investigação em Live CD e também
pode ser instalada em um computador transformado-o em uma estação forense. Essa distribuição
está em constante desenvolvimento e caracteriza-se não apenas pela quantidade de ferramentas,
mas também por uma interface amigável, estruturada conforme as etapas do processo de perícia e,
ainda pela preocupação com o idioma português;
 SIFT - Sigla de SANS Investigative Forensic Toolkit, é uma distribuição Linux pré-configurada
para investigações forenses. Criado em parte por Rob Lee´s, atualmente está na versão 2.0 e
contém (segundo o autor) todas as ferramentas necessárias para realizar as quatro etapas da
investigação pelo perito forense. Possui especial atenção para as ferramentas forenses de memória
(captura de memória de sistemas “a quente”), trazendo consigo as ferramentas Volatility
facilitando a Perícia neste tipo de análise. O SIFT vem em dois formatos, Live CD e Appliance de
máquina virtual para execução em máquinas virtuais compatíveis com as do software VMWare.
3
METODOLOGIA
A metodologia proposta neste trabalho aplica-se para casos de contaminação por softwares
maliciosos conhecidos como bankers. Abrange basicamente a captura da memória RAM (dump) e sua
posterior análise com as ferramentas de forense de memória que vêm instaladas por padrão na distribuição
SIFT.
Esta técnica foi escolhida, pois é a que permite, atualmente, analisar a máquina infectada como se
estivesse “ao vivo”, mas com a grande vantagem de que nada será alterado. Com a forense de disco, neste
caso, teríamos uma série de limitações, como a impossibilidade de localizarmos as conexões de rede ativas,
os processos em execução, etc. No estudo de caso, não estamos buscando um arquivo ou informação salvos
em disco, e sim, as rotinas que o artefato mantém quando em execução.
Um banker, utilizando modernas técnicas de antiforense, pode monitorar os comandos executados no
sistema infectado. Como exemplo, ao rodar o comando netstat (ferramenta da Microsoft que serve para listar
as conexões estabelecidas no momento), o artefato pode perceber que está sendo “investigado” e
automaticamente faz uma “limpeza” no sistema de modo que não fique nenhum rastro, inviabilizando a
investigação. Por isso a metodologia de forense de memória é a mais indicada para esta situação.
Para esta metodologia foi escolhida a distribuição SIFT em conjunto com as ferramentas Moonsols e
Volatility Framework para fazer a análise do dump de memória e trazer a maior quantidade de evidências
disponíveis. Estas ferramentas foram escolhidas pela facilidade de uso, por estarem agrupadas em uma única
distribuição de Live CD e por possuírem todas as funcionalidades necessárias para analisar o estudo de caso
proposto. A metodologia foi separada em etapas, conforme segue abaixo:
1º Etapa: Captura da imagem de memória.
 Com um pendrive previamente formatado, copiar o kit de ferramentas Moonsols para o mesmo;
 Inserir este pendrive na máquina a ser investigada (a vantagem de inserir um pendrive é que o
dump de memória pode ser salvo no mesmo);
 Executar o comando a partir de um prompt de comando:
9
win32dd /f e:\Memory.img, onde:
win32dd – executável do kit de ferramentas para realização do dump;
/f – parâmetro que define o salvamento do dump em disco;
E:\Memory.img – caminho e nome do arquivo de dump.
2º etapa: Preparação das ferramentas de análise de imagem de memória.
 Utilizar uma estação de trabalho diferente da analisada, e realizar o boot com o Live CD SIFT;
 Após o boot ter sido concluído, realizar login com o usuário “sansforensics” e a senha
“forensics”. Logo em seguida, o shell de comando do Linux é aberto. De posse do pendrive
contendo o dump de memória, insira o mesmo na máquina.
A ferramenta/framework Volatility é baseada em linhas de comando, onde basicamente sua sintaxe é
a seguinte:
Vol.py <comando> <parâmetros> <caminho e nome do arquivo de dump> <saída do resultado
(opcional)>
Alguns comandos úteis da ferramenta (e utilizados neste trabalho):
 Pslist - Lista todos os processos do sistema operacional em execução no momento da captura da
imagem;
 Connections - Traz todas as conexões de rede estabelecidas e ativas;
 Connscan - Além de trazer as conexões de rede estabelecidas e ativas, traz também as
encerradas;
 Files - Lista todos os arquivos abertos por cada processo;
 Procexedump - Realiza o dump de determinado processo para posterior análise;
 Regobjkeys - Lista as chaves de registro abertas;
 Dlllist - Lista as DLL´s em uso;
 Handles - Lista os handles (referências de arquivos e diretórios) abertos por determinado
processo.
3º etapa: Listagem dos processos em execução.
Afim de identificar algum processo suspeito, roda-se o comando:
vol.py pslist –f /media/PEN8GB/memory.img
Como a busca de processos suspeitos, nesta etapa, é mais visual, aqui entra um pouco da expertise do
investigador, onde através do nome de cada processo é possível identificar se é um processo legítimo do
Windows, de algum software de terceiro, ou ainda de um malware.
4º etapa: Listagem de conexões estabelecidas, ativas e encerradas.
Rodar o comando:
vol.py connections –f /media/PEN8GB/memory.img (traz somente as conexões ativas)
vol.py connscan –f /media/PEN8GB/memory.img (traz conexões ativas e também as encerradas)
Nesta etapa, tentar identificar endereços IP, portas utilizadas e quais processos estão ou estiveram
com conexões abertas.
5º etapa: Listagem de arquivos abertos por determinado processo.
Identificado o processo suspeito a ser investigado, rodar o comando abaixo referenciando o PID
(Process Identifier) do mesmo através do parâmetro -p.
vol.py files –p 2028 –f /media/PEN8GB/memory.img
Verificar nesta etapa quais arquivos estão abertos pelo processo suspeito, identificando a existência
de arquivos exclusivos do sistema operacional.
6º etapa: Realizar dump de determinado processo para análise.
Para a confirmação de que determinado processo suspeito é um malware, podemos submeter o
mesmo ao serviço de análise de binários do site VirusTotal (HISPASEC, 2011). Primeiramente rodar o
10
comando:
vol.py procexedump –p 2028 –f /media/PEN8GB/memory.img --output-dir /media/PEN8GB/
Com o arquivo salvo, submeter ao site VirusTotal (conforme figura abaixo) e verificar os resultados.
Figura 7 – Site do serviço VirusTotal com os passos a serem seguidos
7º etapa: Listagem das chaves de registro abertas por determinado processo.
Para realizar a análise das chaves de registro abertas pelo processo suspeito, rodar o comando:
vol.py regobjkeys –p 2028 –f /media/PEN8GB/memory.img
8º etapa: Preparação para análise com a ferramenta PTK.
Nas próximas etapas utilizaremos os recursos de análise de memória da ferramenta PTK, que vem
em conjunto com a distribuição SIFT.
Preparação para a análise:
 Ainda dentro do ambiente do Live CD, acessar o endereço <http://localhost/ptk/index.php>
através do navegador;
 Utilizar as credenciais admin (para o usuário) e forensics (para a senha);
 Na tela seguinte em “Case Gallery”, adicionar um caso novo;
 Em “Images Management”, adicionar a imagem a ser analisada (no nosso caso, o arquivo dump
da memória RAM);
 Selecionar o tipo de imagem como “RAM Dump” e selecionar o fuso horário correto da máquina
que foi capturada;
 Clicar em “Analyse Image”.
9º etapa: Listagem de processos ativos.
Na aba “Ram Analysis”, selecionar “psscan” em “Choose Analysis Type”;
Esta ferramenta traz a lista de processos ativos. O que nos interessa nesse caso é o campo offset, que
faz a referência ao processo suspeito a ser investigado (próximo passo).
10º etapa: Maiores informações a respeito de processos suspeitos.
Em “Choose Analysis Type”, selecionar “vadinfo” e no campo “offset”, colar o que foi copiado na
etapa anterior.
Com esta ferramenta, podemos obter maiores informações a respeito do processo suspeito, como a
pasta onde o mesmo está em execução e arquivos abertos.
11
11º etapa: Procura por strings na memória.
A busca por strings na memória é útil para a obtenção de maiores provas contra o criminoso, pois
podemos encontrar informações como endereços de e-mail, url´s de servidores que estão sendo utilizados
para envio/armazenamento de informações coletadas, etc.
Para realizar a busca, deve-se ir à aba “Keyword Search” e no campo “string” digitar o termo a ser
pesquisado. Repetir o procedimento para cada termo a ser pesquisado.
12º etapa: Geração do relatório com as provas encontradas.
Na aba “Reports” é gerado o relatório com todas as evidências levantadas pelas ferramentas que
foram utilizadas. Este relatório será útil caso seja necessário o envio destas evidências encontradas para as
autoridades.
4
ESTUDO DE CASO
Neste capítulo será demonstrada a parte prática do trabalho. O objetivo deste estudo é testar os
conhecimentos adquiridos ao longo do trabalho tentando se aproximar ao máximo da realidade.
4.1
Cenário Proposto
O estudo de caso foi feito em cima de um incidente muito comum no cenário tecnológico de
segurança atual: a contaminação por softwares maliciosos de uma estação de trabalho, executando sistema
operacional Windows XP.
Um usuário comum recebe um e-mail supostamente de um banco (coincidentemente onde o usuário
possui conta) solicitando que seja feito o download de uma ferramenta para “sincronizar” o seu cartão de
segurança (cartão de chaves de segurança é um recurso muito utilizado por diversos bancos para tornar o
acesso ao bankline mais seguro e confiável). Neste e-mail, há o link para download de um artefato, que
depois de executado não “faz nada de estranho”.
Este cenário não representa, diretamente, uma cena de crime tradicional. O alvo da investigação é
uma estação de trabalho (de empresa ou mesmo de um usuário doméstico), e não um computador de um
criminoso, que teria sido apreendido mediante autorização judicial, lacrado e enviado para a perícia para a
procura de provas. O que está sendo investigado são as técnicas que os criminosos utilizam para invadir este
tipo de máquina, como são coletadas as informações sensíveis que eles procuram e por fim tentar descobrir
quem está por trás disso, localizando o receptor destas informações.
4.2
Preparação
A máquina para o estudo de caso foi montada conforme instalação padrão, de modo que se tornasse
um alvo fácil. Não foi instalado nenhum tipo de antivírus a fim de evitar qualquer tipo de interferência na
execução dos artefatos.
A estação de trabalho do caso estava conectada diretamente a internet, sem passar por nenhum
firewall. Segue abaixo a configuração do equipamento:




Processador Intel Core 2 Duo T5670;
1 GB de memória Ram;
HD de 20GB;
Sistema Operacional Windows XP Professional, Service Pack 3.
Logo após a máquina estar pronta para uso, foi executado o banker conhecido como TrojanDownloader.Win32.Banload.mc encontrado no link que veio com um e-mail supostamente enviado pelo
banco, conforme exemplificado na figura 6:
12
Figura 6 – E-mail falso com link para o artefato suspeito
Após a preparação, foi feita a análise investigativa da máquina seguindo a metodologia proposta
neste trabalho. A investigação consistiu no seguinte:
a)
b)
c)
d)
5
Descobrir com que tipo de artefato a máquina foi infectada;
Quais efeitos o mesmo provoca no sistema operacional;
Como é feito o envio das informações coletadas;
Qual é o destino de tais informações.
RESULTADOS DA METODOLOGIA COM O ESTUDO DE CASO
Após a aplicação da metodologia proposta no estudo de caso, pôde-se obter uma série de evidências
que auxiliaram na correta identificação tanto do crime cometido quanto do criminoso, e que serão
apresentadas no decorrer deste capítulo.
Para a execução da distribuição SIFT, rodando no modo Live CD, foi utilizado um notebook com a
seguinte configuração:
 Processador Intel Centrino Duo @ 2.0 Gigahertz;
 2 Gigabytes de memória Ram;
 Disco Rígido de 120 Gigabytes.
Na primeira etapa, foi capturada a imagem de memória a partir do sistema a ser investigado com a
ferramenta Moonsols. O comando executado e o arquivo gerado estão reproduzidos na figura 8.
Figura 8 – Comando win32dd e o arquivo de dump gerado
13
Na segunda etapa a preparação para o início da análise do dump de memória foi feita utilizando o
Live CD da distribuição SIFT. A tela inicial da mesma é apresentada na figura 9, logo após o boot ter sido
concluído.
Figura 9 - Tela inicial da distribuição SIFT
Com a etapa de número 3, observaram-se os processos em execução no sistema e por análise
“visual” foram identificados pelo menos quatro processos suspeitos, chamados loadne.exe, loadwe.exe,
loadwa e loadb.exe, conforme figura 10:
Figura 10 – Lista de processos em execução
Na etapa de número 4, foram identificadas as conexões ativas no momento da captura. Com a
ferramenta connections, podemos identificar conexões ativas, a partir de qual processo cada conexão foi
aberta bem como em qual endereço IP cada processo está conectado. Abaixo a figura 11 com o resultado:
14
Figura 11 – Lista de conexões ativas
Na mesma etapa, com o comando connscan2 podemos também observar as conexões que já foram
encerradas (mas que mantiveram objetos TCP na memória), exemplificados na figura 12:
Figura 12 – Lista de conexões ativas e encerradas
Através da análise desta etapa, nota-se que há diversas conexões abertas, inclusive na porta 25. Pelo
PID do processo, constata-se que é o processo services.exe, onde segundo Neuber (2011), este arquivo é do
sistema operacional e serve apenas para controle de serviços, e não se conecta a Internet. Muito menos na
porta 25 (para envio de e-mails, através do protocolo SMTP).
Ainda no mesmo processo, notou-se que o mesmo estava conectado ao endereço 65.55.92.136, que
de acordo com Robtex (2011), é o endereço IP utilizado pelos servidores de MX do serviço de e-mail
gratuito Hotmail. Também conforme Robtex (2011), o endereço IP 67.204.190.202 é da empresa Yoursite,
que hospeda sites e serviços Web.
O processo PID 796, svchost.exe, está conectado no endereço IP 65.54.51.251. Conforme Arin
(2011) o endereço IP aponta para um dos servidores do serviço Windows Update da Microsoft, sendo neste
caso um serviço legítimo.
Com a etapa de número cinco, temos o resultado da consulta de arquivos abertos pelo processo
suspeito, conforme a figura 13:
Figura 13 – Lista de arquivos abertos
Nota-se que o processo 2028 (arquivo suspeito loadne.exe) manipula diversos arquivos, incluindo o
arquivo index.dat, que segundo Wikipedia, (2011), é utilizado exclusivamente pelo aplicativo Microsoft
Internet Explorer. Com isso, podemos perceber que o arquivo realmente não é um processo legítimo do
Windows.
15
Na etapa de número seis, foi realizado o dump de um dos processos suspeitos para análise, onde
posteriormente foi submetido ao serviço de análise de binários do site VirusTotal. O resultado da análise está
parcialmente reproduzido na figura 14, e o resultado completo pode ser conferido em (VIRUS TOTAL,
2011). Basicamente a análise do site é feita submetendo o arquivo suspeito para diversos mecanismos de
antivírus de diferentes fabricantes (coluna “antivirus”). A coluna “Version” traz a versão do mecanismo
utilizada, a coluna “Last Update” traz a data de atualização da base de dados de vírus do mecanismo e a
coluna “Result” traz o resultado (se o arquivo foi identificado como malicioso ou não).
Figura 14 – Resultado da análise do site VirusTotal
Com a análise da etapa de número sete, podemos verificar as chaves do registro abertas pelo
processo de PID número 2028, conforme figura 15:
Figura 15 – Objetos do registro abertos
Na etapa de número oito, começamos a utilizar a ferramenta PTK, que possui outros recursos para
análise de memória RAM que a Volatility não possui (como busca por palavras chave na memória). O acesso
a ferramenta é feito por dentro da distribuição SIFT, através do navegador de internet já instalado (Mozilla
Firefox) pelo endereço http://localhost/ptk/index.php.
Com a etapa de número 11, foi feita uma busca por strings de palavras chave a fim de buscar maiores
informações a respeito do artefato, e responder a algumas questões que ainda estariam pendentes: Como é
feito o envio das informações coletadas e para onde o artefato enviaria tais dados.
Através da aba Keyword Search, foi feito a busca pela palavra “email”, conforme resultado
demonstrado na figura 16:
16
Figura 16 – Busca pela string “email”
Nota-se na imagem que a busca pela string email trouxe uma série de comandos, e um deles
apontando para uma página hospedada no servidor do programa ICQ (ICQ, 2011). Provavelmente o
criminoso esteja utilizando este serviço para realizar o envio de forma “anônima”.
Na busca pela string “senha”, foi constatado diversos comandos SQL, como se o artefato tivesse uma
espécie de bancos de dados interno. Nestes comandos foram observados os nomes de alguns campos,
fechando com a suspeita do artefato armazenar (e posteriormente enviar) informações sigilosas relacionadas
a acesso a sites de banco. A busca está reproduzida na figura 17:
Figura 17 – Busca pela string “senha”
Terminada a investigação, os resultados nos mostraram que a estação de trabalho estava infectada
com um malware do tipo banker, que manipulava o sistema operacional a fim de coletar informações
digitadas pelo usuário sem que fosse detectado pelos métodos forenses normais, principalmente pelo fato do
artefato manipular arquivos exclusivos do sistema operacional e também se infiltrar em processos legítimos.
Somente através da técnica de forense de memória é que foi possível identificar o tipo de malware presente
no sistema.
Foi possível descobrir que o malware realizava o envio das informações coletadas via e-mail
utilizando um servidor hospedado no exterior e também realizava o envio utilizando um recurso gratuito de
envio de mensagens do site de uma empresa desenvolvedora de softwares. Por fim, o endereço de e-mail do
destinatário estava presente na memória e foi descoberto com a técnica de keyword search.
6
CONSIDERAÇÕES FINAIS
Com o crescimento de usuários de computadores, os crimes digitais ficaram muito comuns nos dias
de hoje. Por isso, a Forense Computacional foi criada a partir da ciência forense tradicional para poder
investigar tais crimes.
As técnicas forenses estudadas e aplicadas no trabalho foram de grande ajuda no momento da
investigação. Seguir as etapas de investigação, preservar evidências e seguir uma metodologia foram cruciais
para a obtenção das provas necessárias.
17
A forense de memória RAM foi a técnica escolhida para esta investigação. Com esta técnica, foi
possível ter a visão da máquina como se a mesma estivesse ligada, em tempo real, visão essa que não seria
possível com a forense de disco. Porém, para alguns outros casos, talvez a perícia de memória não fosse a
mais indicada, como a busca por evidências de pedofilia, onde a investigação tem foco maior em arquivos
salvos no disco rígido (sejam eles apagados ou não), a busca por evidências de invasão de um servidor Web,
onde a busca se concentra na análise de logs e a criação de uma linha de tempo através de MACTimes, etc.
Com a aplicação das técnicas aprendidas no trabalho, foi possível a descoberta de diversas
evidências, mas também se percebeu que a análise forense não é tão simples quanto parece e a experiência
do perito faz toda a diferença nessas horas. Análise de processos do sistema operacional feita “no olho” (pois
não há um banco de dados confiável para referência), técnicas de antiforense, muitas ferramentas e pouca
documentação, ferramentas desatualizadas e a tecnologia evoluindo a cada dia são alguns exemplos das
dificuldades encontradas pelos peritos.
Este trabalho possui algumas limitações. Algumas técnicas de análise forense não foram
demonstradas, como a forense de rede e a análise através de engenharia reversa de código de binários.
Técnicas que dependendo do caso podem ser muito úteis. Também não foi possível demonstrar as técnicas de
antiforense, que estão evoluindo rapidamente e tornando ainda mais difícil o trabalho de peritos e técnicos
em segurança. Porém, tais assuntos podem vir a ser detalhados em trabalhos futuros, a fim de trazer mais
riqueza de conteúdo em português para os profissionais de segurança brasileiros.
7
REFERÊNCIAS
APSOFT Germany. Memdump. Versão 2.0. Disponível em
<http://www.tssc.de/products/tools/memdump/default.htm />. Acesso em 15 Out. 2011.
ARIN. American Registry for Internet Numbers Whois Tool. Disponível em:
<http://whois.arin.net/rest/net/NET-65-52-0-0-1>. Acesso em: 9 nov. 2011.
ASSOLINI, Fabio. Massive DNS poisoning attacks in Brazil. Disponível em:
<http://www.securelist.com/en/blog/208193214/Massive_DNS_poisoning_attacks_in_Brazil>. Acesso em:
10 nov. 2011.
BASSETTI, Giovanni. Caine. Versão 2.5.1 “SuperNova”. Disponível em <http://www.caine-live.net/>.
Acesso em: 8 out. 2011.
BRASIL. Lei no 8.069, de 13 de julho de 1990. Dispõe sobre o Estatuto da Criança e do Adolescente e dá
outras providências. Disponível em: <http://www.planalto.gov.br/ccivil_03/leis/L8069.htm>. Acesso em: 22
out. 2011.
BOELEN, M. Rootkit Hunter. Versão 1.3.8. Disponível em <http://rkhunter.sourceforge.net/>. Acesso em:
9 out. 2011.
CARRIER, Brian. Mac-robber Project. Versão 1.02. Disponível em:
<http://www.sleuthkit.org/mac-robber/download.php>. Acesso em: 5 set. 2011.
CARRIER, Brian. Mactime. Disponível em: <http://www.sleuthkit.org/>. Acesso em: 15 out. 2011.
CARRIER, Brian. TSK Sleuthkit. Versão 3.2.3. Disponível em:
<http://www.sleuthkit.org/sleuthkit/download.php>. Acesso em: 15 out. 2011.
CERT. CERT.br anuncia redução de 60% de notificações de incidentes de segurança na Internet em
2010. Disponível em: <http://www.nic.br/imprensa/releases/2011/rl-2011-02.pdf>. Acesso em: 29 out. 2011.
CERT.
Estatísticas
dos
Incidentes
Reportados
no
<http://www.cert.br/stats/incidentes/>. Acesso em: 18 nov. 2011.
CERT.br.
Disponível
em
CRISTINA, Maria. Vírus brasileiro realiza transferência bancária sozinho e rouba 5 mil. Disponível em:
<http://www.linhadefensiva.org/2011/08/virus-brasileiro-realiza-transferencia-bancaria-sozinho-e-rouba-5mil/>. Acesso em: 14 out. 2011.
18
CGSECURITY. PhotoRec. Versão 6.13. Disponível em <http://www.cgsecurity.org/>. Acesso em: 3 out.
2011.
DFLABS. PTK Forensics. Versão 2.0. Disponível em < http://ptk.dflabs.com/ />. Acesso em: 17 set. 2011.
ESUPPORT. NTFS Undelete. Versão 3.02.830. Disponível em <http://ntfsundelete.com/>. Acesso em: 4
out. 2011.
EXTUNDELETE Project. Versão 0.2.0. Disponível em <http://extundelete.sourceforge.net/>. Acesso em:
5 out. 2011.
FDTK. Investigação.png. Altura: 800 pixels. Largura: 600 pixels. Formato PNG. Disponível em:
<http://fdtk.com.br/wiki/index.php?title=Arquivo:Investigação.png>. Acesso em: 14 set. 2011.
FEBRABAN. Perdas com fraudes eletrônicas aumentam 36% no primeiro semestre de 2011.
Disponível em <http://www.febraban.org.br/Noticias1.asp?id_texto=1321>. Acesso em: 30 set. 2011.
FREITAS, Andrey Rodrigues de. Perícia Forense Aplicada à Informática: Ambiente Microsoft. Rio de
Janeiro. Editora Brasport, 2006.
GEUS, Paulo Lício de; REIS, Marcelo Abdalla dos. Análise Forense de Intrusões em Sistemas
Computacionais: Técnicas, Procedimentos e Ferramentas. Disponível em:
<http://www.las.ic.unicamp.br/paulo/papers/2002-Pericia-marcelo.reis-forense.tecnicas.procedimentos.pdf>.
Acesso em: 30 ago. 2011.
Guymager Project. Versão 0.5.9. Disponível em http://guymager.sourceforge.net/. Acesso em: 3 set. 2011.
HISPASEC Sistemas. VirusTotal suspicious file analizer. Disponível em: <http://www.virustotal.com>.
Acesso em: 10 set. 2011.
HOUAISS, Instituto Antônio. Dicionário Eletrônico Houaiss da Língua Portuguesa. Editora Objetiva,
2001.
ICQ. Disponível em: <http://www.icq.com>. Acesso em: 25 set. 2011.
MANDIANT Security. Memoryze. Versão 2.0. Disponível em
<http://www.mandiant.com/products/free_software/memoryze/>. Acesso em: 2 nov. 2011.
MARCELLA, Albert J; GREENFIELD, Robert S. Cyber forensics: a field manual for collecting,
examining, and preserving evidence of computer crimes. Auerbach Publications. 2002. 320 p.
MEDICO, Andrew. DC3DD Project. Versão 7.1.614. Disponível em
<http://sourceforge.net/projects/dc3dd/>. Acesso em: 14 nov. 2011.
MOONSOLS Security. Windows Memory Toolkit. Versão Community. Disponível em
<http://www.moonsols.com/windows-memory-toolkit/>. Acesso em: 9 out. 2011.
NEUBER Software. Windows Processes. Disponível em:
<http://www.neuber.com/taskmanager/process/services.exe.html>. Acesso em: 22 set. 2011.
NEUKAMP, Paulo. FDTK-UbuntuBR. Versão 3.0. Disponível em <http://fdtk.com.br/www/download/>.
Acesso em: 6 set. 2011.
NMAP Security. NMAP Scanner. Versão 5.50. Disponível em <http://nmap.org>. Acesso em: 6 set. 2011.
OLZAK, Tom. DNS Cache Poisoning: Definition and Prevention. Disponível em:
<http://adventuresinsecurity.com/Papers/DNS_Cache_Poisoning.pdf>. Acesso em: 19 Nov. 2011.
LIMA, Ronaldo. Ententendo o Buffer Overflow. Disponível em:
<http://www.crimesciberneticos.com/2011/02/entendendo-o-buffer-overflow.html>. Acesso em: 22 ago.
2011.
ROBTEX. Robtex Swiss Army Knife Internet Tool: WHOIS of IP 65.55.92.136. Disponível em:
<http://www.robtex.com/ip/65.55.92.136.html>. Acesso em: 14 out. 2011.
19
ROBTEX. Robtex Swiss Army Knife Internet Tool: WHOIS of IP 67.204.190.202. Disponível em:
<http://www.robtex.com/ip/67.204.190.202.html>. Acesso em: 26 out. 2011.
SANS Institute. SIFT. Versão 2.1. Disponível em: <http://computerforensics.sans.org/community/downloads/>. Acesso em: 5 set. 2011.
SOURCEFIRE Inc. Snort. Versão 2.9.1.2. Disponível em: <http://www.snort.org>. Acesso em: 21 out.
2011.
SYMANTEC. Symantec Internet Security Threat Report 2010. Disponível em:
<http://www.symantec.com/content/en/pr/enterprise/other_resources/ISTR/ISTR-16-Datasheet-EN.pdf>.
Acesso em: 4 de out. 2011.
VACCA, John R. Computer Forensics: Computer Crime Scene Investigation. Second Edition. Charles
River Media Press. 2005. 865 p.
VARGAS, Raffael. Tenha uma pequena biblioteca de Forense Computacional e Direito Digital.
Disponível em: <http://imasters.com.br/artigo/19664/gerencia-de-ti/tenha-uma-pequena-biblioteca-deforense-computacional-e-direito-digital>. Acesso em: 12 ago. 2011.
VIRUS TOTAL. VirusTotal Report of file “executable.2028.exe”. Disponível em:
<http://goo.gl/9O8qM>. Acesso em: 1º nov. 2011
VOLATILE Systems. Framework Volatility. Versão 2.0. Disponível em
<http://volatilesystems.com/default/volatility/>. Acesso em: 18 Out. 2011.
WATSON, David; HOLZ, Thorsten; MUELLER, Sven. Know your enemy: Phishing. Behind the Scenes
of Phishing Attacks. Disponível em <http://old.honeynet.org/papers/phishing/>. Acesso em: 21 out. 2011.
WIKIPEDIA, The Free Encyclopedia. Index.dat file. Disponível em:
<http://en.wikipedia.org/wiki/Index.dat>. Acesso em: 28 out. 2011.
20
Documentos relacionados
HISTÓRIA DO DIREITO
HISTÓRIA DO DIREITO
plano de curso - fema direito 102
plano de curso - fema direito 102
ESTADO DO RIO GRANDE DO SUL ASSEMBLÉIA LEGISLATIVA
ESTADO DO RIO GRANDE DO SUL ASSEMBLÉIA LEGISLATIVA
Faculdades IESGO Direção Acadêmica Coordenação do Curso de
Faculdades IESGO Direção Acadêmica Coordenação do Curso de
O Banco de Perfis Genéticos para Persecução Penal no
O Banco de Perfis Genéticos para Persecução Penal no
filosofia juridica - Portal dos Professores da UNIFENAS
filosofia juridica - Portal dos Professores da UNIFENAS
identificação forense de sangue humano através de teste
identificação forense de sangue humano através de teste
Ciência Política e Teoria do Estado
Ciência Política e Teoria do Estado
aspectos atuais de medicina legal
aspectos atuais de medicina legal
PERÍCIAS FORESNES - EMENTAS CRIMINALÍSTICA
PERÍCIAS FORESNES - EMENTAS CRIMINALÍSTICA
Filicídio: de Medéia a Maria
Filicídio: de Medéia a Maria
a importância da língua portuguesa para o profissional de
a importância da língua portuguesa para o profissional de
artigo publicado_rbc_v5_n1_p27_34
artigo publicado_rbc_v5_n1_p27_34
Download
Propaganda