O documento apresenta um estudo de caso sobre aquisição remota forense de uma máquina Windows através do framework Metasploit no Kali Linux. O caso descreve os passos de preparação, aquisição através do PSExec, enumeração de drives, bloqueio de escrita, mapeamento de drive remoto, montagem, aquisição com dcfldd, análise da imagem com Autopsy e comparação com softwares comerciais.
4. O que é necessário para execução da atividade
• Pessoas;
• Processos;
• Infra.
Preparação
5. Aquisição
Realizar uma cópia bit a bit da origem que será submetida à análise.
• Criação de imagem forense;
• 1 source > 2 targets
• Bloqueador de escrita;
• Geração hash;
• Cadeia de custódia;
• Ata notarial.
6. Análise
Durante uma análise forense são analisados diversos artefatos que podem
conter informações relevantes sobre comportamentos do(s) usuário(s) do
computador ou sistema investigado.
Excluídos – É possível realizar recuperação de arquivos deletados no disco que esta
em análise (Data Carving) e verificar e acessar os dados que estão marcados como
excluídos na MFT (Master File Table).
Download – É possível determinar arquivos que o usuário tenha feito download.
Skype – É possível remontar conversas de Skype (chat), entre outras ferramentas de
mensagens instantâneas.
Execução de programas – Pode-se determinar programas executados no
ambiente em análise.
Uso de dispositivos móveis – É possível determinar dispositivos móveis
conectados no computados analisado.
7. Relatórios
Tem a finalidade de relatar os resultados obtidos durante a análise, de
forma imparcial.
• Resposta aos quesitos;
• Análise imparcial;
• Remontar os passos adotados durante a
análise;
• Linguagem de adequada ao interlocutor;
• Relatório técnico
• Laudo pericial
• Conclusivo e sem opiniões.
9. Cenário
• Kali Linux
• Metasploit
• Psexec
• EnunDrives
• NBD-Server
• NBD-Client
• Mount
• dcfldd
• Autopsy
• Windows XP SP3
• Equipe de TI (empresa)
• FTK Imager
• EnCase V7.08