11
mar
Autor: Paulo Neukamp // Categoria:
Dicas
A ferramenta Pasco, foi concebida por Keith J. Jones em 2003, com o intuito de facilitar a manipulação de arquivos index.dat, que armazenam todas as atividades dos usuários na Internet. Sua função é converter os dados de entrada (hex) em um arquivo de texto delimitado, de modo que o investigador possa importar os resultados para uma planilha de sua escolha e poder analizá-los posteriormente.
Existem duas maneiras de executar a ferramenta Pasco:
Modo normal ou Modo de recuperação. O modo de recuperação ignora as informações da tabela hash e reconstrói qualquer registro de atividade válido em cada byte 0×80. Este modo pode recuperar atividades que não foram encontradas no modo normal.
Os parâmetros do comando Pasco são relativamente simples:
# ./pasco
Usage: pasco [options] <filename>
-d Undelete Activity Records
-t Field Delimiter (TAB by default)
O parâmetro “-d” aciona o modo recuperação.
O parâmetro “-t” irá permitir que o investigador mude o delimitador dos campos (o padrão é Ler mais…
07
jan
Autor: Paulo Neukamp // Categoria:
Dicas,
Scripts
Uma das primeiras ações do perito ao chegar no local da investigação é a coleta dos dados voláteis, pois os mesmos serão perdidos caso o equipamento seja desligado. Pensando nisso e numa forma de agilizar este processo que é composto de uma série de comandos, segue um script para amenizar este tarefa.
O script abaixo, necessita do pacote zenity para ser executado (# apt-get install zenity) e trabalha de forma interativa, sendo assim, leia com atenção o que lhe é solicitado para que o mesmo funcione corretamente.
#!/bin/bash
# Paulo Neukamp
## Tela de Aviso inicial
zenity --info --title "AVISO" --text " Este script deve ser usado somente quando você estiver realizando uma coleta de provas live e não reiniciou o equipamento (Preferencialmente tenha este script em uma PenDrive)"
## Tela solicitando em qual pasta os dados coletados devem ser salvos
destino=`zenity --entry --title "DESTINO DOS DADOS" --text " Informe a pasta na qual os dados coletados devem ser salvos" --entry-text "/home/fdtk/caso1" --width=200 --height=100`
## Tela solicitando o nome do caso a ser investigado
caso=`zenity --entry --title "NOME DO CASO" --text " Informe o nome do caso que está sendo investigado" --entry-text "Apropriação indevida de informações da empresa ZYX" --width=200 --height=100`
## Tela solicitando o número do caso investigado
cason=`zenity --entry --title "NUMERO DO CASO" --text " Informe um número para o caso que está sendo investigado" --entry-text "00099-12-2008" --width=200 --height=100`
## Tela solicitando o nome do perito em trabalho
perito=`zenity --entry --title "NOME DO PERITO" --text " Informe o nome do perito que esta gerando estar informações" --entry-text "Paulo Neukamp" --width=200 --height=100`
data=$(date)
echo " " >> $destino/dados-volateis.txt
echo " " >> $destino/dados-volateis.txt
echo "===============================================" >> $destino/dados-volateis.txt
echo " Relatório de evidências voláteis coletadas em modo Live!" >> $destino/dados-volateis.txt
echo "===============================================" >> $destino/dados-volateis.txt
echo " " >> $destino/dados-volateis.txt
echo "Perito: $perito" >> $destino/dados-volateis.txt
echo "Caso: $caso" >> $destino/dados-volateis.txt
echo "Número: $cason" >> $destino/dados-volateis.txt
echo "Data Início: $data" >> $destino/dados-volateis.txt
echo " " >> $destino/dados-volateis.txt
echo "===============================================" >> $destino/dados-volateis.txt
echo " Iniciando script de coleta dos dados volateis" >> $destino/dados-volateis.txt
echo "===============================================" >> $destino/dados-volateis.txt
echo " Data do sistema" >> $destino/dados-volateis.txt
echo "===============================================" >> $destino/dados-volateis.txt
echo >> $destino/dados-volateis.txt
date >> $destino/dados-volateis.txt
echo >> $destino/dados-volateis.txt
echo "===============================================" >> $destino/dados-volateis.txt
echo " Identificação do equipamento" >> $destino/dados-volateis.txt
echo "===============================================" >> $destino/dados-volateis.txt
echo >> $destino/dados-volateis.txt
hostid >> $destino/dados-volateis.txt
echo >> $destino/dados-volateis.txt
echo "===============================================" >> $destino/dados-volateis.txt
echo " Nome do Equipamento" >> $destino/dados-volateis.txt
echo "===============================================" >> $destino/dados-volateis.txt
echo >> $destino/dados-volateis.txt
hostname >> $destino/dados-volateis.txt
echo >> $destino/dados-volateis.txt
echo "===============================================" >> $destino/dados-volateis.txt
echo " Sistema operacioal" >> $destino/dados-volateis.txt
echo "===============================================" >> $destino/dados-volateis.txt
echo >> $destino/dados-volateis.txt
uname -a >> $destino/dados-volateis.txt
echo >> $destino/dados-volateis.txt
echo "===============================================" >> $destino/dados-volateis.txt
echo " Configurações do IP" >> $destino/dados-volateis.txt
echo "===============================================" >> $destino/dados-volateis.txt
echo >> $destino/dados-volateis.txt
ifconfig -a >> $destino/dados-volateis.txt
echo >> $destino/dados-volateis.txt
echo "===============================================" >> $destino/dados-volateis.txt
echo " Tempo de funcionamento" >> $destino/dados-volateis.txt
echo "===============================================" >> $destino/dados-volateis.txt
echo >> $destino/dados-volateis.txt
w >> $destino/dados-volateis.txt
echo >> $destino/dados-volateis.txt
echo "===============================================" >> $destino/dados-volateis.txt
echo " Quem esta logado no equipamento" >> $destino/dados-volateis.txt
echo "===============================================" >> $destino/dados-volateis.txt
echo >> $destino/dados-volateis.txt
who >> $destino/dados-volateis.txt
echo >> $destino/dados-volateis.txt
echo "===============================================" >> $destino/dados-volateis.txt
echo " Últimos Logins" >> $destino/dados-volateis.txt
echo "===============================================" >> $destino/dados-volateis.txt
echo >> $destino/dados-volateis.txt
last -a -i >> $destino/dados-volateis.txt
echo >> $destino/dados-volateis.txt
echo "===============================================" >> $destino/dados-volateis.txt
echo " Estado das conexões" >> $destino/dados-volateis.txt
echo "===============================================" >> $destino/dados-volateis.txt
echo >> $destino/dados-volateis.txt
netstat -an >> $destino/dados-volateis.txt
echo >> $destino/dados-volateis.txt
echo "===============================================" >> $destino/dados-volateis.txt
echo " Tabela de Roteamento" >> $destino/dados-volateis.txt
echo "===============================================" >> $destino/dados-volateis.txt
echo >> $destino/dados-volateis.txt
netstat -rn >> $destino/dados-volateis.txt
echo >> $destino/dados-volateis.txt
echo "===============================================" >> $destino/dados-volateis.txt
echo " Informações do RPC" >> $destino/dados-volateis.txt
echo "===============================================" >> $destino/dados-volateis.txt
echo >> $destino/dados-volateis.txt
rpcinfo -p 127.0.0.1 >> $destino/dados-volateis.txt
echo >> $destino/dados-volateis.txt
echo "===============================================" >> $destino/dados-volateis.txt
echo " Lista dos Processos" >> $destino/dados-volateis.txt
echo "===============================================" >> $destino/dados-volateis.txt
echo >> $destino/dados-volateis.txt
ps -eaf >> $destino/dados-volateis.txt
echo >> $destino/dados-volateis.txt
echo "===============================================" >> $destino/dados-volateis.txt
echo >> $destino/dados-volateis.txt
echo "Data Final: $data" >> $destino/dados-volateis.txt
echo >> $destino/dados-volateis.txt
echo " Final da coleta dos Dados Volateis do Equipamento" >> $destino/dados-volateis.txt
echo >> $destino/dados-volateis.txt
## Listagem com todos os arquivos do equipamento
echo " " >> $destino/dados-vol-arq.txt
echo " " >> $destino/dados-vol-arq.txt
echo "===============================================" >> $destino/dados-vol-arq.txt
echo " Relatório de evidências voláteis coletadas em modo Live!" >> $destino/dados-vol-arq.txt
echo "===============================================" >> $destino/dados-vol-arq.txt
echo " " >> $destino/dados-vol-arq.txt
echo " Perito: $perito" >> $destino/dados-vol-arq.txt
echo " Caso: $caso" >> $destino/dados-vol-arq.txt
echo " Número: $cason" >> $destino/dados-vol-arq.txt
echo " Data Início: $data" >> $destino/dados-vol-arq.txt
echo " " >> $destino/dados-vol-arq.txt
echo "===============================================" >> $destino/dados-vol-arq.txt
echo " Lista de todos os arquivos" >> $destino/dados-vol-arq.txt
echo "===============================================" >> $destino/dados-vol-arq.txt
echo >> $destino/dados-vol-arq.txt
FIND_PATH="/"
FIND_FLAGS="-printf %m;%Ax;%AT;%Tx;%TT;%Cx;%CT;%U;%G;%s;%p\n"
echo >> $destino/dados-vol-arq.txt
echo "Permissão;Data_Ult.acesso;Hora_ult_acesso;Data_Modificação;Hora_Mudança;Data_Mudança;Hora_Mudança; Proprietário;Grupo;Tamanho;Nome_do_Arquivo";find $FIND_PATH $FIND_FLAGS) >> $destino/dados-vol-arq.txt
echo >> $destino/dados-vol-arq.txt
echo " Data Final: $data" >> $destino/dados-vol-arq.txt
echo >> $destino/dados-vol-arq.txt
echo " Final da Lista dos arquivos do equipamento" >> $destino/dados-vol-arq.txt
echo >> $destino/dados-vol-arq.txt
## Listagem do sha256sum todos os arquivos do equipamento
echo " " >> $destino/dados-vol-arq-hash.txt
echo " " >> $destino/dados-vol-arq-hash.txt
echo "===============================================" >> $destino/dados-vol-arq-hash.txt
echo " Relatório de evidências voláteis coletadas em modo Live!" >> $destino/dados-vol-arq-hash.txt
echo "===============================================" >> $destino/dados-vol-arq-hash.txt
echo " " >> $destino/dados-vol-arq-hash.txt
echo " Perito: $perito" >> $destino/dados-vol-arq-hash.txt
echo " Caso: $caso" >> $destino/dados-vol-arq-hash.txt
echo " Número: $cason" >> $destino/dados-vol-arq-hash.txt
echo " Data Início: $data" >> $destino/dados-vol-arq-hash.txt
echo " " >> $destino/dados-vol-arq-hash.txt
echo "===============================================" >> $destino/dados-vol-arq-hash.txt
echo " md5sum de todos os Arquivos" >> $destino/dados-vol-arq-hash.txt
echo "===============================================" >> $destino/dados-vol-arq-hash.txt
echo >> $destino/dados-vol-arq-hash.txt
hash="md5sum -b"
find $FIND_PATH -xdev -type f -exec $hash {} \; >> $destino/dados-vol-arq-hash.txt
echo >> $destino/dados-vol-arq-hash.txt
echo "===============================================" >> $destino/dados-vol-arq-hash.txt
echo >> $destino/dados-vol-arq-hash.txt
echo " Data Final: $data" >> $destino/dados-vol-arq-hash.txt
echo >> $destino/dados-vol-arq-hash.txt
echo " Final da Lista do sha256sum de todos os Arquivos" >> $destino/dados-vol-arq-hash.txt
echo >> $destino/dados-vol-arq-hash.txt
## Mostrando os Arquivos criados
ls $destino | zenity --list --title "Lista de Arquivos" --text " Lista dos arquivos criados durante a execução deste script" --column " Arquivo " --width=700 --height=400
06
dez
Autor: Paulo Neukamp // Categoria:
Dicas
Utilizando a FDTK-UbuntuBr a partir de uma Pen-Drive sem reiniciar o equipamento.
Baixe a versão doc
Uma das vantagens de se utilizar a emulação de hardware do Qemu em vez de utilizar o boot pelo USB é que ele permite seu pen drive ou disco rígido portátil em qualquer PC disponível e executar um sistema operacional completo sem reiniciar o equipamento.
Ler mais…
