O documento discute práticas forenses para análise de malware em sistemas operacionais Linux. Aborda tópicos como coleta de dados voláteis, análise de memória e discos, identificação e descrição de malware como vírus, cavalos de Tróia e rootkits. Também discute técnicas de análise estática e dinâmica de malware.
O documento discute fundamentos, tecnologias e desafios da forense computacional. Ele define forense computacional como a inspeção sistemática de ambientes computacionais para angariar evidências digitais e reconstituir eventos. Também descreve vários tipos de códigos maliciosos como vírus, backdoors, cavalos de tróia e keyloggers, e como eles funcionam.
O documento discute os processos e threads no Windows Vista. Explica que processos são criados por objetos de sessão e agrupados em tarefas, e que threads formam a base do escalonamento de CPU, podendo acessar os objetos do seu processo. Também aborda mecanismos de comunicação e sincronização entre processos, como mailslots, soquetes e regiões críticas.
O documento discute vírus de computador, definindo-os como programas maliciosos que se espalham sem permissão do usuário e causam danos. Ele também descreve as características e efeitos dos vírus, além de categorizar diferentes tipos de hackers e crackers e suas motivações. Por fim, fornece dicas para proteção contra vírus, como uso de antivírus e não abertura de anexos suspeitos.
O documento explica como as firewalls funcionam como uma barreira de proteção para sistemas, filtrando dados que entram na rede e impedindo acessos não autorizados. Uma firewall monitora o tráfego de dados, aplicações e portas abertas para proteger contra ameaças como intrusos, vírus e ataques de negação de serviço. O documento também discute como configurar firewalls para se ajustar às necessidades específicas do usuário.
O documento discute a história dos vírus de computador, como eles se espalham e como funcionam os antivírus. Ele explica que os primeiros vírus surgiram nos anos 80 e se espalhavam por disquetes, e que agora se espalham principalmente por email e sites. Também descreve como os antivírus identificam vírus comparando arquivos a padrões conhecidos de vírus.
O documento discute os vírus de computador, incluindo sua história, tipos, como se espalham, danos que podem causar e técnicas usadas para se esconderem de antivírus. Apresenta exemplos de primeiros vírus, diferenças entre crackers e hackers, e medidas de proteção contra vírus.
O documento discute vários tipos de ameaças cibernéticas incluindo vírus, trojans, spyware e phishing. Ele também fornece dicas sobre segurança cibernética como usar antivírus e firewalls, ter cuidado com links e downloads desconhecidos e usar senhas fortes e únicas.
O documento apresenta uma agenda detalhada sobre o scanner de vulnerabilidades Nessus, incluindo tópicos como arquitetura, instalação, configuração, plugins, relatórios e uso.
O documento discute fundamentos, tecnologias e desafios da forense computacional. Ele define forense computacional como a inspeção sistemática de ambientes computacionais para angariar evidências digitais e reconstituir eventos. Também descreve vários tipos de códigos maliciosos como vírus, backdoors, cavalos de tróia e keyloggers, e como eles funcionam.
O documento discute os processos e threads no Windows Vista. Explica que processos são criados por objetos de sessão e agrupados em tarefas, e que threads formam a base do escalonamento de CPU, podendo acessar os objetos do seu processo. Também aborda mecanismos de comunicação e sincronização entre processos, como mailslots, soquetes e regiões críticas.
O documento discute vírus de computador, definindo-os como programas maliciosos que se espalham sem permissão do usuário e causam danos. Ele também descreve as características e efeitos dos vírus, além de categorizar diferentes tipos de hackers e crackers e suas motivações. Por fim, fornece dicas para proteção contra vírus, como uso de antivírus e não abertura de anexos suspeitos.
O documento explica como as firewalls funcionam como uma barreira de proteção para sistemas, filtrando dados que entram na rede e impedindo acessos não autorizados. Uma firewall monitora o tráfego de dados, aplicações e portas abertas para proteger contra ameaças como intrusos, vírus e ataques de negação de serviço. O documento também discute como configurar firewalls para se ajustar às necessidades específicas do usuário.
O documento discute a história dos vírus de computador, como eles se espalham e como funcionam os antivírus. Ele explica que os primeiros vírus surgiram nos anos 80 e se espalhavam por disquetes, e que agora se espalham principalmente por email e sites. Também descreve como os antivírus identificam vírus comparando arquivos a padrões conhecidos de vírus.
O documento discute os vírus de computador, incluindo sua história, tipos, como se espalham, danos que podem causar e técnicas usadas para se esconderem de antivírus. Apresenta exemplos de primeiros vírus, diferenças entre crackers e hackers, e medidas de proteção contra vírus.
O documento discute vários tipos de ameaças cibernéticas incluindo vírus, trojans, spyware e phishing. Ele também fornece dicas sobre segurança cibernética como usar antivírus e firewalls, ter cuidado com links e downloads desconhecidos e usar senhas fortes e únicas.
O documento apresenta uma agenda detalhada sobre o scanner de vulnerabilidades Nessus, incluindo tópicos como arquitetura, instalação, configuração, plugins, relatórios e uso.
O documento discute vários tópicos relacionados à segurança da informação, incluindo criptografia, autenticação de usuários, ataques a sistemas internos e externos, mecanismos de proteção e modelos de segurança confiável. Ele fornece detalhes sobre como vírus, worms e outros malware funcionam e se espalham, além de explicar métodos comuns de autenticação, proteção de dados e modelos de segurança como Bell-LaPadula e Biba.
SegurançA Na Internet E Nos Computadoress3ergiomar
O documento descreve a história dos vírus de computador desde sua criação em 1983, como se espalham e os danos que podem causar. Explica que os vírus atuais se escondem melhor e usam técnicas como criptografia para evitar remoção, e que as empresas de segurança lançam constantemente atualizações para combater novas ameaças.
O documento discute ferramentas de antivírus, adware, malware e spyware. Explica o que são vírus, antivírus, adware, malware, spyware, cavalo de troia, harvesting, firewalls, P2P e exploits. Também fornece detalhes sobre os softwares McAfee AntiSpyware e Spyware Doctor.
Princípios básicos da análise de malwareMarcelo Souza
O documento discute princípios de análise de malware, incluindo análise dinâmica e estática, e diferentes técnicas de confinamento de programas suspeitos, como máquinas virtuais, prisões chroot, monitoramento de chamadas de sistema e biblioteca. O objetivo é permitir a execução e observação segura de software potencialmente malicioso para fins de detecção e análise de ameaças.
O documento descreve a história dos vírus de computador desde os anos 1980, quando surgiram devido à proliferação dos PCs e uso de bulletin boards. O primeiro vírus conhecido foi o "Brain", criado em 1986. Nos anos seguintes, vários vírus causaram danos até que antivírus foram desenvolvidos para combater as ameaças.
Este documento fornece uma introdução sobre ferramentas de proteção para computadores pessoais, abordando: 1) antivírus como ferramenta essencial contra pragas virtuais; 2) firewalls como mecanismo de proteção contra invasões; 3) exemplos populares de antivírus e firewalls gratuitos como Comodo e ZoneAlarm.
O documento discute vários tipos de malwares, incluindo vírus, worms, trojans e spywares. Ele fornece definições de cada um e explica como funcionam, além de dar dicas de proteção contra malwares.
Este documento discute vírus de computador e anti-vírus. Explica que os vírus se espalham infectando outros programas e tentando se replicar, e que os anti-vírus foram desenvolvidos para detectar e remover vírus. Detalha alguns tipos comuns de vírus e lista vários softwares anti-vírus populares.
O documento discute diferentes tipos de malware, incluindo vírus, worms, trojans horses, rootkits e bots. Ele também analisa alguns worms históricos notáveis como Morris Worm, Melissa, Code Red e SQL Slammer, descrevendo suas características técnicas e fatores que contribuíram para seu sucesso na propagação.
O documento discute vírus de computador, incluindo sintomas e tipos de vírus. Também explica como proteger computadores com firewalls, atualizações de software e antivírus, e lista alguns dos principais antivírus gratuitos disponíveis para download.
1. O documento discute os principais tipos de ameaças à segurança digital, incluindo vírus, worms, trojans, spywares e ataques como phishing e denial of service.
2. É apresentada a evolução histórica dos vírus de computador desde os anos 80 e dados estatísticos sobre o número crescente de vírus conhecidos ao longo dos anos.
3. São descritos diversos tipos de pragas digitais como rootkits, ransomwares e estados zumbi, assim como diferentes tipos de ataques como spoofing, man in
O documento discute os conceitos de segurança em sistemas operacionais, mencionando Windows, Linux e Mac OS X como exemplos. Apresenta vários tipos de vírus que podem afetar sistemas e explica brevemente criptografia e firewalls como mecanismos de proteção.
O documento discute a história e tipos de vírus de computador, assim como conceitos de antivírus. Ele explica que vírus são programas maliciosos que se espalham para outros computadores e que antivírus detectam e removem vírus. O documento também recomenda o Panda Antivírus como o melhor programa para proteger contra vírus.
Trabalho da Equipe AGAP sobre os vírus de computadores!!
Buscamos informar e mostrar a quem possa interessar sobre os vírus e os danos que um vírus pode trazer a um computador, há várias informações sobre os mesmos e esperamos poder ajudar os que visualizarem nosso trabalho!!
Este documento fornece informações sobre vírus de computador e antivírus. Explica o que são vírus de computador e seus principais tipos, como se propagam, o que é um antivírus e como instalá-lo e usá-lo. Também fornece exemplos de antivírus populares e explica onde encontrá-los.
O documento discute sistemas de detecção de intrusão distribuídos, comparando NIDS, HIDS e DIDS. Também descreve as características e arquitetura do Snort, um popular software NIDS de código aberto.
Este documento discute vírus de computador e software antivírus. Ele começa explicando o que são vírus de computador e brevemente discute a história dos vírus. Em seguida, lista e explica diferentes tipos de ameaças cibernéticas como worms, adware, spyware e ransomware. Por fim, descreve alguns softwares antivírus populares como Kaspersky, Norton, McAfee, AVG e Avast.
Este documento discute a ferramenta Nessus para auditoria de redes. O Nessus verifica vulnerabilidades em computadores em rede, como softwares desatualizados e sistemas operacionais com falhas de segurança. Ele gera relatórios sobre esses problemas e como corrigi-los, mostrando que redes mal administradas são mais vulneráveis. O documento demonstra como usar o Nessus e conclui que atualizar sistemas é essencial para segurança.
1) O documento discute a história, estatísticas, tipos e prevenção de vírus de computador.
2) Os primeiros vírus surgiram na década de 1980 e desde então mais de 630.000 vírus foram identificados.
3) Existem vários tipos de vírus como boot, time bomb, worms e Trojans, cada um com sua forma de infecção.
Este documento discute a segurança de diferentes sistemas operacionais, incluindo Windows, Linux e MacOS. Ele explica que Windows é o sistema mais popular, mas também o mais vulnerável a ataques, enquanto Linux é menos visado, mas ainda assim não está isento de riscos. O documento também enfatiza a importância de firewalls e antivírus para proteger os sistemas, bem como cuidados com senhas e dados pessoais na internet.
Este documento discute a segurança de diferentes sistemas operacionais, incluindo Windows, Linux e MacOS. Ele explica que Windows é o sistema mais popular, mas também o mais vulnerável a ataques, enquanto Linux é menos visado, mas ainda assim não está completamente seguro. O documento também enfatiza a importância de firewalls e antivírus para proteger os sistemas, bem como cuidados com senhas e dados pessoais na internet.
Trabalho de Segurança em Sistemas Baseados em Redes de Computadores.
Unidade Curricular: Redes de Computadores
Docente: Carlos Vinícius Rasch Alves
Faculdade de Tecnologia Senac Pelotas/RS
O documento discute vários tópicos relacionados à segurança da informação, incluindo criptografia, autenticação de usuários, ataques a sistemas internos e externos, mecanismos de proteção e modelos de segurança confiável. Ele fornece detalhes sobre como vírus, worms e outros malware funcionam e se espalham, além de explicar métodos comuns de autenticação, proteção de dados e modelos de segurança como Bell-LaPadula e Biba.
SegurançA Na Internet E Nos Computadoress3ergiomar
O documento descreve a história dos vírus de computador desde sua criação em 1983, como se espalham e os danos que podem causar. Explica que os vírus atuais se escondem melhor e usam técnicas como criptografia para evitar remoção, e que as empresas de segurança lançam constantemente atualizações para combater novas ameaças.
O documento discute ferramentas de antivírus, adware, malware e spyware. Explica o que são vírus, antivírus, adware, malware, spyware, cavalo de troia, harvesting, firewalls, P2P e exploits. Também fornece detalhes sobre os softwares McAfee AntiSpyware e Spyware Doctor.
Princípios básicos da análise de malwareMarcelo Souza
O documento discute princípios de análise de malware, incluindo análise dinâmica e estática, e diferentes técnicas de confinamento de programas suspeitos, como máquinas virtuais, prisões chroot, monitoramento de chamadas de sistema e biblioteca. O objetivo é permitir a execução e observação segura de software potencialmente malicioso para fins de detecção e análise de ameaças.
O documento descreve a história dos vírus de computador desde os anos 1980, quando surgiram devido à proliferação dos PCs e uso de bulletin boards. O primeiro vírus conhecido foi o "Brain", criado em 1986. Nos anos seguintes, vários vírus causaram danos até que antivírus foram desenvolvidos para combater as ameaças.
Este documento fornece uma introdução sobre ferramentas de proteção para computadores pessoais, abordando: 1) antivírus como ferramenta essencial contra pragas virtuais; 2) firewalls como mecanismo de proteção contra invasões; 3) exemplos populares de antivírus e firewalls gratuitos como Comodo e ZoneAlarm.
O documento discute vários tipos de malwares, incluindo vírus, worms, trojans e spywares. Ele fornece definições de cada um e explica como funcionam, além de dar dicas de proteção contra malwares.
Este documento discute vírus de computador e anti-vírus. Explica que os vírus se espalham infectando outros programas e tentando se replicar, e que os anti-vírus foram desenvolvidos para detectar e remover vírus. Detalha alguns tipos comuns de vírus e lista vários softwares anti-vírus populares.
O documento discute diferentes tipos de malware, incluindo vírus, worms, trojans horses, rootkits e bots. Ele também analisa alguns worms históricos notáveis como Morris Worm, Melissa, Code Red e SQL Slammer, descrevendo suas características técnicas e fatores que contribuíram para seu sucesso na propagação.
O documento discute vírus de computador, incluindo sintomas e tipos de vírus. Também explica como proteger computadores com firewalls, atualizações de software e antivírus, e lista alguns dos principais antivírus gratuitos disponíveis para download.
1. O documento discute os principais tipos de ameaças à segurança digital, incluindo vírus, worms, trojans, spywares e ataques como phishing e denial of service.
2. É apresentada a evolução histórica dos vírus de computador desde os anos 80 e dados estatísticos sobre o número crescente de vírus conhecidos ao longo dos anos.
3. São descritos diversos tipos de pragas digitais como rootkits, ransomwares e estados zumbi, assim como diferentes tipos de ataques como spoofing, man in
O documento discute os conceitos de segurança em sistemas operacionais, mencionando Windows, Linux e Mac OS X como exemplos. Apresenta vários tipos de vírus que podem afetar sistemas e explica brevemente criptografia e firewalls como mecanismos de proteção.
O documento discute a história e tipos de vírus de computador, assim como conceitos de antivírus. Ele explica que vírus são programas maliciosos que se espalham para outros computadores e que antivírus detectam e removem vírus. O documento também recomenda o Panda Antivírus como o melhor programa para proteger contra vírus.
Trabalho da Equipe AGAP sobre os vírus de computadores!!
Buscamos informar e mostrar a quem possa interessar sobre os vírus e os danos que um vírus pode trazer a um computador, há várias informações sobre os mesmos e esperamos poder ajudar os que visualizarem nosso trabalho!!
Este documento fornece informações sobre vírus de computador e antivírus. Explica o que são vírus de computador e seus principais tipos, como se propagam, o que é um antivírus e como instalá-lo e usá-lo. Também fornece exemplos de antivírus populares e explica onde encontrá-los.
O documento discute sistemas de detecção de intrusão distribuídos, comparando NIDS, HIDS e DIDS. Também descreve as características e arquitetura do Snort, um popular software NIDS de código aberto.
Este documento discute vírus de computador e software antivírus. Ele começa explicando o que são vírus de computador e brevemente discute a história dos vírus. Em seguida, lista e explica diferentes tipos de ameaças cibernéticas como worms, adware, spyware e ransomware. Por fim, descreve alguns softwares antivírus populares como Kaspersky, Norton, McAfee, AVG e Avast.
Este documento discute a ferramenta Nessus para auditoria de redes. O Nessus verifica vulnerabilidades em computadores em rede, como softwares desatualizados e sistemas operacionais com falhas de segurança. Ele gera relatórios sobre esses problemas e como corrigi-los, mostrando que redes mal administradas são mais vulneráveis. O documento demonstra como usar o Nessus e conclui que atualizar sistemas é essencial para segurança.
1) O documento discute a história, estatísticas, tipos e prevenção de vírus de computador.
2) Os primeiros vírus surgiram na década de 1980 e desde então mais de 630.000 vírus foram identificados.
3) Existem vários tipos de vírus como boot, time bomb, worms e Trojans, cada um com sua forma de infecção.
Este documento discute a segurança de diferentes sistemas operacionais, incluindo Windows, Linux e MacOS. Ele explica que Windows é o sistema mais popular, mas também o mais vulnerável a ataques, enquanto Linux é menos visado, mas ainda assim não está isento de riscos. O documento também enfatiza a importância de firewalls e antivírus para proteger os sistemas, bem como cuidados com senhas e dados pessoais na internet.
Este documento discute a segurança de diferentes sistemas operacionais, incluindo Windows, Linux e MacOS. Ele explica que Windows é o sistema mais popular, mas também o mais vulnerável a ataques, enquanto Linux é menos visado, mas ainda assim não está completamente seguro. O documento também enfatiza a importância de firewalls e antivírus para proteger os sistemas, bem como cuidados com senhas e dados pessoais na internet.
Trabalho de Segurança em Sistemas Baseados em Redes de Computadores.
Unidade Curricular: Redes de Computadores
Docente: Carlos Vinícius Rasch Alves
Faculdade de Tecnologia Senac Pelotas/RS
[1] O documento discute desenvolvimento de exploits, pentests e vulnerabilidades em sistemas. Ele explica como funcionam exploits, o trabalho de pentesters, buffer overflows e ferramentas usadas por pentesters como Metasploit e Nmap. [2] Também aborda conceitos como tolerância a falhas, exploits zero-day e estouro de pilha. [3] O objetivo é demonstrar praticamente como ocorrem ataques a sistemas e como pentesters realizam testes de intrusão para encontrar vulnerabilidades.
Ciber - Capitulo 2 - Parte 1 - Vulnerabilidades de Segurança Hermom2
Aqui estão alguns termos importantes relacionados a vulnerabilidades:
- Vulnerabilidade: Qualquer defeito ou fraqueza em um sistema de segurança que pode ser explorado para comprometer a confidencialidade, integridade ou disponibilidade.
- Exploit: Um programa, script ou código malicioso criado para explorar uma vulnerabilidade conhecida em um sistema de computador, software ou rede.
- Patch: Uma correção ou atualização de software projetada para remover vulnerabilidades e problemas de segurança.
- Zero-day: Uma vulnerabilidade desconhecida pelo fornecedor de
O documento discute ferramentas e técnicas de proteção de sistemas computacionais, incluindo honeypots, honeynets, VPNs e segurança em profundidade. Explica o que são honeypots e honeynets e como eles podem ser usados para coletar informações sobre invasores. Também descreve o que são VPNs e como elas podem ser usadas para conectar redes de maneira privada através da internet. Por fim, discute a importância da descentralização de serviços e da organização em camadas de defesa para melhor segurança
1. O documento discute os conceitos e princípios fundamentais de segurança da informação, incluindo a disponibilidade, integridade, confidencialidade e autenticidade da informação.
2. Os principais tipos de ameaças à segurança da informação incluem vírus, worms, trojans, spywares e outros softwares maliciosos que podem comprometer a disponibilidade, integridade e confidencialidade dos dados.
3. A informação deve ser tratada como um ativo valioso que requer proteção contra acessos não autorizados e out
Artigo cientifico jonildo eric galdino ver.03Adriano Balani
Este documento é um estudo sobre técnicas de segurança da informação focado na aplicação da técnica de hardening em sistemas operacionais Linux. O estudo foi apresentado para obtenção de grau de bacharel em sistemas de informação na Faculdade Zacarias de Góes sob a orientação do professor Ricardo Wanner de Godoy.
O documento discute vários tipos de ameaças cibernéticas incluindo vírus, trojans, spyware e phishing. Ele também fornece dicas sobre segurança cibernética como usar antivírus e firewalls, ter cuidado com links e downloads desconhecidos e usar senhas fortes e únicas.
O documento discute vários tipos de ameaças cibernéticas incluindo vírus, trojans, spyware e phishing. Ele também fornece dicas sobre segurança cibernética como usar antivírus e firewalls, ter cuidado com links e downloads desconhecidos e usar senhas fortes e únicas.
O documento discute a segurança de redes e os principais tipos de ameaças, incluindo vírus, worms, cavalos de Tróia, hoaxes, backdoors e spywares. Ele explica porque a segurança é importante, como prevenir e corrigir falhas, e os tipos comuns de ameaças de segurança, suas características e como funcionam.
Conceitos BáSicos Sobre SegurançA Parte 2Felipe Santos
O documento descreve a evolução da segurança na Internet desde sua criação como ARPANET até os incidentes modernos. Ele explica que a ARPANET foi projetada para disponibilidade de dados acima de tudo e sofreu seu primeiro grande ataque em 1988 com o Morris Worm. Também discute as categorias comuns de incidentes de segurança de redes, incluindo varreduras, comprometimento de contas e negação de serviço.
Este documento discute vírus de computador, incluindo sua história, tipos, danos potenciais e técnicas de esconderijo. Ele fornece detalhes sobre como os vírus se espalham e como são identificados, além de discutir hackers versus crackers.
Exploits são pequenos programas ou códigos que exploram vulnerabilidades específicas para comprometer sistemas. Eles se aproveitam de erros de implementação que permitem comportamentos inesperados, como buffer overflows que executam códigos maliciosos. Exploits podem ser usados em ataques de negação de serviço ou para roubar informações através de técnicas como spoofing de IP.
O documento discute os princípios básicos da Segurança da Informação, que incluem disponibilidade, integridade, confidencialidade e autenticidade. Também aborda ameaças comuns como vírus, worms e trojans horse, e como eles podem comprometer esses princípios.
O documento discute os princípios básicos da Segurança da Informação, incluindo disponibilidade, integridade, confidencialidade e autenticidade. Também aborda ameaças comuns como vírus, worms e trojans horses, e como eles podem comprometer esses princípios.
Segurança de rede envolve proteger dados, equipamentos e softwares através de sistemas de software, hardware e procedimentos. Políticas de segurança orientam usuários sobre regras de uso de equipamentos e softwares. Ameaças externas e internas como vírus, worms, cavalos de tróia e invasores ameaçam a segurança de redes, mas ferramentas como firewalls, antivírus, atualizações de segurança e conscientização dos usuários ajudam a prevenir e combater essas ameaças.
O documento discute as ferramentas para testes de vulnerabilidades em redes corporativas, focando no Nmap. Ele descreve as funcionalidades do Nmap para mapeamento de rede, descoberta de hosts e portas, detecção de serviços e sistemas operacionais, e como ele pode ser usado para inventário, gestão de ativos e auditoria de segurança. O Nmap é apresentado como uma ferramenta útil para administradores de rede encontrarem e corrigirem vulnerabilidades.
O documento discute a eficácia de soluções de antivírus na proteção de redes industriais contra ameaças maliciosas. Ele apresenta os resultados de testes realizados em 16 amostras de malware usando diferentes antivírus. A maioria das amostras não foi detectada corretamente, sugerindo que antivírus podem não ser suficientes sozinhos para proteger redes industriais.
O documento discute as capacidades desejadas de uma solução de segurança cibernética corporativa. Ela deve fornecer visibilidade contínua em tempo real, detecção comportamental de rede, aprendizado do ambiente, controle de ativos e conformidade com listas brancas. Além disso, deve oferecer inteligência por meio de correlação de eventos e permitir a automação de respostas e políticas.
1. PERÍCIA FORENSE COMPUTACIONAL:
Análise de Malware em Forense computacional utilizando
de sistema operacional GNU/Linux
Alex Sander de Oliveira Toledo1
Robert de Souza2
RESUMO: O presente trabalho apresenta as boas práticas na coleta, restauração, identificação, preservação, documentação, análise dos dados periciais,
apresentação de vestígios, evidências, provas digitais e interpretação aplicadas aos componentes físicos ou dados processados e/ou armazenados nas mídias
computacionais, garantindo assim o valor jurídico das provas eletrônicas.
PALAVRAS-CHAVE: Perícia forense computacional, Malware, Linux.
1 INTRODUÇÃO
“[...] Não há padrões internacionais para o tratamen-
Segundo Melo (2009), a informação é hoje um dos ativos
to de dados periciais, embora existam documentos
mais importantes das corporações, sendo de suma importân-
de boas práticas dedicados a classificar respostas a
cia que sua integridade seja mantida. Em um passado não
incidentes de segurança e um capítulo da ISO NBR
muito distante um servidor mal configurado representava ris-
IEC17799:2005 que endereça o assunto [ABNT].”
cos, mas estes eram confinados dentro dos limites da LAN da
corporação.
É importante empregar boas práticas na coleta, restaura-
Com o advento da Internet estas fronteiras foram elimina-
ção, identificação, preservação, documentação, análise dos
das, facilitando muito a ocorrência de crimes eletrônicos, onde
dados periciais, apresentação de vestígios, evidências, provas
o criminoso e a vítima podem encontrar-se em localidades ge-
digitais e interpretação aplicadas aos componentes físicos ou
ográficas diferentes, até mesmo em países distintos. O cres-
dados processados e/ou armazenados nas mídias computa-
cimento do número de computadores interconectados (Inter-
cionais, garantindo assim o valor jurídico das provas eletrônicas
net) e o aumento de softwares com finalidades ilícitas de fácil
captadas no processo de perícia forense computacional.
utilização disponíveis na rede aumentaram significativamente o
número de ataques.
Segundo Melo (2009), as principais fontes de dados periciais encontram-se nas estações de trabalho em ambiente
Ainda Segundo Melo (2009), por mais seguro que seja um
computacional distribuído, servidores, locais na internet, em lo-
Firewall ou um sistema de segurança, os sistemas operacionais
cal remoto na Internet, sistemas de informação, e equipamen-
estão sempre sujeitos a falhas ainda desconhecidas, por este
tos eletrônicos programáveis.
motivo sugere-se prudência ao afirmar que um sistema está
imune a invasões ou invulneráveis.
Segundo Tanenbaum (2003), existe uma diferença notória
entre Sistemas de Ambientes Computacional Distribuído e Sis-
As técnicas forenses são imprescindíveis para identificar
tema de Redes de Computadores, ou seja, não se pode con-
se um computador foi invadido, determinando de que forma
fundir uma unidade de controle (servidor) e vários dispositivos
foi alterado, estabelecendo critérios para preparar o ambiente
escravos com uma rede. Rede é uma visão conceitual aplicável
visando registrar os dados periciais, facilitar a identificação do
a um grande computador com terminais e/ou muitos micro-
invasor e amparar as medidas legais a serem tomadas para
computadores e impressoras conectados.
caso a resposta seja positiva, pois a invasão constitui crime
eletrônico.
O valor jurídico de provas eletrônicas manipuladas de forma incorreta, sem os padrões previstos e devidamente estabelecidos podem ser facilmente contestadas.
Segundo Melo (2009, p. 1), não há padrões internacionais
para o tratamento de dados periciais:
Um sistema computacional é considerado Distribuído
quando a camada de rede não está implementada, ou seja,
a interface de rede ativa pode-se comunicar diretamente com
todos os demais computadores.
Segundo Melo (2009), devido à evolução dos tipos de Malwares (softwares maliciosos) as soluções de seguranças devem
sempre ser revistas, os fabricantes de Sistemas Operacionais e
172 | PÓS EM REVISTA DO CENTRO UNIVERSITÁRIO NEWTON PAIVA 1/2012 - EDIÇÃO 5 - ISSN 2176 7785
2. Softwares de Segurança sempre disponibilizam novas soluções.
Caso um invasor utilize de técnicas clássicas, como armazenar, manter, e ou esconder ferramentas anti-forense durante
sua ação em diretórios clássicos como /tmp, um perito pode
facilmente localizar evidências atuando apenas com binários
para executar ações maliciosas em um computador. O Malware contém ameaças reais de vários tipos e propósitos.” (MELO,
2009, p.10).
Segundo Brian, James e George (2003, p.194) a respeito
dos Cavalos de Tróia:
compilados estaticamente, neste caso imagina-se que rootkits
“Os cavalos de troia são programas criados para contor-
baseados em técnicas arrojadas de LKM (Loadable Kernel Mo-
nar a segurança da sua máquina, mas disfarçados como
dule) não sejam utilizadas.
algo benigno. Assim como a criação grega, um cavalo de
Segundo Melo (2009, p. 67) em relação à técnicas mais
arrojadas:
Tróia do computador não pode fazer nada sozinho, mas
precisa contar com o usuário ajudando-o a cumprir seu
“Caso seja constatado o uso de técnicas mais arroja-
destino. Existe três usos principais da palavra troiano no
das, os dados levantados durante uma Live Análise são
linguajar moderno do computador:
facilmente contestadas. Somente durante a Post Mortem
Programa de cavalo de Tróia: um programa malicioso que
Análise, os resultados são realmente confiáveis, pois du-
se disfarça de uma coisa, mas contorna sua segurança em
rante a Live Analise possivelmente as chamadas ao sis-
segredo. Esse é o uso mais comum da palavra.
tema podem ser interceptadas.”
Código-fonte troiano: uma cópia do código-fonte do programa que foi modificada para conter alguma porta dos
Segundo Farmer e Venema (2007, p. 174-175), os passos
para coleta de dados são:
fundos ou brecha na segurança.
Binários troianos: Após uma invasão um atacante pode
“(...) O(s) computador(es) em questão deve(m) ser
substituir binários do sistema por versões que contêm pos-
colocado(s) off-line. Há alguns potenciais problemas
tar dos fundos ou que ocultam suas atividades.”
com isso, porque o sistema talvez espere estar on-line.
Portanto, colocar a máquina off-line poderia destruir ves-
Segundo MELO (2009, p. 10), define-se Vírus:
tígios à medida que o sistema gera erros, repetidamente
“Programa que pode atuar como um binário indepen-
tenta novas conexões ou, em geral, altera seu estado.
dente ou alojar-se em um programa executável, tornan-
Alternativamente, você poderia tentar cortar a conexão
do-o um arquivo binário infectado. Em sua engenharia,
da máquina com o roteador e mantê-la em uma rede lo-
não é definido um vetor de transmissão automatizado.
cal, mas os serviços de DNS e serviços de rede e outros
Depende da execução do programa, do arquivo hospe-
sistemas na mesma área de rede ainda podem causar
deiro ou de um meio, como um cliente de correio, para
problemas.
que possa voltar a propagar e dar continuidade ao processo de infecção.”
À medida que você avança, é necessário monitorar tudo o
que você digita ou faz. Em geral é uma situação do tipo “coletar
Segundo Melo (2009), o Worm é um tipo de Malware capaz
primeiro, analisar mais tarde”. Anote as configurações de har-
de se propagar automaticamente por meio de redes enviando
dware, software, sistemas e rede que estão definidas.”
copias de si mesmo para outros computadores, esta propaga-
O autor aponta estas considerações devido à divergência
ção está prevista em sua engenharia, e se dá por meio da explo-
de opiniões sobre o assunto, pois alguns peritos consideram o
ração de vulnerabilidades existentes ou falhas nas configurações
fato de desligar a máquina um grave erro, já que alguns invaso-
de softwares instalados nos computadores, criando um cenário
res podem utilizar de técnicas mais arrojadas e plantar bombas
em que não é necessário ser executado para se propagar, po-
para que caso a máquina seja retirada da rede ou desligada,
dendo propagar-se em qualquer tipo de sistema operacional.
executem comandos, e desta forma eliminem vários vestígios
e destrua provas que seriam de grande valor no laudo pericial.
Ainda Segundo MELO (2009, p. 12) sobre Rootkits e Spywares:
“Rootkit – Tipo de Malware muito arrojado, sua engenharia normalmente prevê a instalação de binários, mó-
2 IDENTIFICAÇÃO E DESCRIÇÃO DOS MALWARES
dulos, bibliotecas que disponibilizam os mais variados
“Malware pode ser definido como Malicious Software ou
recursos como: Backdoors, Cleanlogs, Keyloggers.
Software Malicioso, ou seja é um termo genérico que engloba
Usa técnicas para esconder processos e outras infor-
todos os tipos de programas especificamente desenvolvidos
mações inerentes ao mecanismo, o que dificulta sua
PÓS EM REVISTA DO CENTRO UNIVERSITÁRIO NEWTON PAIVA 1/2012 - EDIÇÃO 5 - ISSN 2176 7785 l 173
3. identificação, além de sua instalação se dar de forma
lhor estruturarmos o processo de investigação e análise de
automatizada.
Malwares, o dividiremos em cinco fases: Preservação e análi-
Normalmente são instalados logo após o comprometi-
se de dados voláteis, Análise de memória, Análise de discos,
mento de um computador por um invasor.
Análise estática de Malware e Análise dinâmica de Malware.
Spyware – Uma categoria muito peculiar de Malware,
que usufrui as capacidades dos browsers em execu-
3.1 PRESERVAÇÃO E ANÁLISE DE DADOS VOLÁTEIS
tar aplicações. A maioria quase absoluta desse tipo
Segundo Farmer e Venema (2007), em uma análise post-
de Malware é escrita tendo como alvo sistemas Mi-
mortem, tem-se pouco tempo para coletar informações en-
crosoft.”
quanto a máquina comprometida permanece em execução,
para uma coleta eficaz os autores utilizam a ferramenta grave-
Portanto estes Malwares colocam em risco os princípios
básicos da segurança (integridade, disponibilidade e confia-
robber (ladrão de túmulos) do Coroner’s Toolkit, que é otimizada para este cenário.
bilidade) estas ameaças podem trazer diversos prejuízos às
A grave-robber captura informações voláteis sobre proces-
organizações, prejuízos não só financeiros, mas também de
sos e conexões de rede, atributos de arquivo como registros
perda parcial ou total de seus ativos da Tecnologia da Infor-
de data/hora de acesso, arquivos de configuração, log e outros
mação e Comunicação (TIC).
tipos de arquivos. O resultado é armazenando em um banco
de dados que deve ser transferido para um sistema de análise.
3 DESCOBERTA DO MALWARE
Quando é descoberto o Malware em um sistema, há
muitas decisões e ações que devem ser tomadas. Para me-
Segundo MELO (2009, p. 36), quanto ao cuidado na execução das ferramentas de análise Live Forense:
O conjunto de ferramentas selecionadas deve ser compilado
estaticamente para compor o ferramental de Resposta de Incidente
Esta abordagem captura o estado volátil do processo,
mas há desvantagens, se o kernel foi subvertido, as informações podem estar incompletas ou corrompidas.
ção para tratar combinações da RAM, espaço de troca, ROM,
NVRAM e outros recursos de memória. O gerenciador de memória que executa no kernel, trata a alocação e desalocação da
memória em um computador.
que deverá ser utado na Live Forense. A compilação da ferramenta
Segundo Melo (2009), a memória principal contém todo tipo
no modo estático a partir do código fonte gera um binário que não
de informação volátil, como informações de processos que es-
utiliza as bibliotecas dinâmicas do sistema. Adotando-se essa pre-
tejam em execução, dados que estão sendo manipulados e que,
caução o binário alojado em CDROM se torna imune a tentativas de
muitas vezes ainda não foram salvos em disco e informações no
inoculação de código por programas maliciosos.
sistema operacional.
3.2 ANÁLISE DE MEMÓRIA
RAM, destacando os arquivos /dev/kmem que têm as informa-
O autor ainda exemplifica a coleta de evidência da memória
Segundo Farmer e Venema (2007), todos os sistemas operacionais modernos utilizam memória virtual como uma abstra-
ções de memória da área de kernel e /dev/mem, que é toda a
memória da máquina:
174 | PÓS EM REVISTA DO CENTRO UNIVERSITÁRIO NEWTON PAIVA 1/2012 - EDIÇÃO 5 - ISSN 2176 7785
4. # /cdrom/dd if=/dev/mem | cdrom/nc <ip> <porta>
Esse método cria uma cópia idêntica bit a bit de cada
# /cdrom/dd if=/dev/kmem | cdrom/nc <ip> <porta>
sistema de arquivos, incluindo todas as meta-informa-
# /cdrom/dd if=/dev/rswap | cdrom/nc <ip> <porta>
ções e todas as informações que permanecem em um
# /cdrom/dd if=/dev/kcore | cdrom/nc <ip> <porta>
espaço não-alocado no fim dos arquivos, entre os arquivos, nos blocos de inode não-alocados e assim por
No exemplo acima o “#” informa que o usuário logado é o
diante. Isso em geral é feito com o comando dd.
root (super usuário do sistema), o “/cdrom” o diretório onde o
Um benefício importa dessa abordagem é que ela é
ferramental de resposta a incidente foi instalado para a utilização
neutra em relação ao sistema de arquivos. Por exemplo,
em “Live Forense”, o comando “dd if=/dev/mem | /cdrom/nc
a mesma técnica pode ser utilizada para copiar tanto
<ip> <porta> transfere uma imagem do conteúdo da memória
partições UNIX quanto partições Windows. A desvanta-
RAM, área de kernel, e swap para a máquina do perito através
gem é que os dados armazenados entre e fora das par-
do ip e da porta estipulada nos comandos citados.
tições não são analisados. Os fragmentos de comando
a seguir lêem a primeira partição UNIX no primeiro disco.
Linux
3.3 ANÁLISE DE DISCO
Segundo Farmer e Venema (2007), há diversas maneiras de se
duplicar as informações sobre o sistema de arquivos. Qual método
#dd if=/dev/hda1 bs=100k . . .
Freebsd #dd if=/dev/da0s1a bs=100k . . .
Solaris
#dd if=/dev/dsk/c0t0d0s0 bs=100k . . .
estará disponível dependerá da situação, os dois autores já capturaram informações efetuando o login em uma máquina comprome-
3.4.3 COPIAR DISCO INTEIRO
tida, listando os arquivos para o terminal e registrando essa sessão
Segundo Farmer e Venema (2007), o resultado é uma cópia
com um programa emulador de terminal. Veremos a seguir alguns
idêntica bit a bit de todas as informações acessíveis no disco, in-
métodos para capturar estas informações.
cluindo o espaço de armazenamento antes e depois das partições
de disco. Isso pode ser necessário quando há suspeitas de que os
dados poderiam permanecer ocultos fora das partições de disco.
3.4 CÓPIA DE ARQUIVOS INDIVIDUAIS
Segundo Farmer e Venema (2007), essa é a abordagem
Mais uma vez o “dd” é o comando ideal para realizar esta cópia.
menos precisa, porque só captura o conteúdo dos arquivos. Ne-
Este método possui limitações, ele não lerá os blocos de
nhuma meta-informação é capturada, exceto talvez o tamanho
disco que contém erros e que o hardware silenciosamente rema-
do arquivo. Todas as demais meta-informações são perdidas,
peou para os chamados blocos sobressalentes. Esse método
como posse do arquivo, datas/horas de acesso, permissões etc.
também não fornecerá acesso aos blocos sobressalentes não
Estas informações só não são perdidas quando salvas
utilizados, porque eles residem fora da área normalmente aces-
usando outro meio. Por exemplo, o utilitário grave-robber do
sível ao disco. Os fragmentos de comando a seguir lêem todos
Coroner’s Toolkit que copia os arquivos selecionados (como
os blocos acessíveis no primeiro disco:
arquivos de configuração e registros em log) depois de salvar
Linux
#dd if=/dev/hda bs=100k . . .
suas meta-informações em um arquivo chamado body.
Freebsd
#dd if=/dev/da0 bs=100k . . .
Solaris
#dd if=/dev/c0t0d0s2 bs=100k . . .
Ainda segundo Farmer e Venema (2007), a exatidão das in-
3.4.1BACKUP
Ainda segundo Farmer e Venema (2007), dependendo do
formações capturadas aumenta na medida em que dependemos
software de backup utilizado, esse método preserva algumas
menos da integridade do sistema comprometido. Por exemplo,
meta-informações como posse, informações sobre links físicos
quando arquivos individuais são capturados enquanto ainda estão
e a última data/hora da modificação, mas não captura a data/
conectados à máquina da vítima, o aplicativo subvertido ou o sof-
hora do último acesso de leitura. Utilitários UNIX comumente
tware de kernel subvertido pode distorcer esse resultado. A subver-
utilizados são tar, cpio e dump. A desvantagem de fazer um ba-
são é muito menos provável quando utilizamos um procedimento
ckup é que o que você vê é tudo o que você obtém. Backups
de baixo nível de geração de imagens de disco, com a unidade de
não capturam as informações de arquivos excluídos
disco conectada a uma máquina confiável.
3.4.2 CÓPIA DE PARTIÇÕES DE DISCOS INDIVIDUAIS
3.5 ANÁLISE ESTÁTICA DE MALWARE
Segundo Farmer e Venema (2007, p. 55), a respeito da cópia de partições:
Segundo Farmer e Venema (2007, p. 120), sobre as técnicas de análise estática:
PÓS EM REVISTA DO CENTRO UNIVERSITÁRIO NEWTON PAIVA 1/2012 - EDIÇÃO 5 - ISSN 2176 7785 l 175
5. “[...] Desassemblagem de programa (converter um ar-
A primeira etapa consiste na coleta de evidências antes
quivo de programa em uma listagem de intrusões de
do desligamento do sistema da fonte elétrica, que tem
linguagem de máquina), descompilação de programa
por objetivo registrar o estado do sistema, e a segunda
(converter instruções de linguagem de máquina no códi-
etapa, após o desligamento.
go-fonte equivalente da linguagem de nível mais alto) e
A segunda etapa, pelo termo oriundo do inglês, Network
análise estática (examinar um programa sem realmente
Forensic, que consiste na coleta de análise de informa-
executá-lo)”
ções de atividade de rede, tanto do servidor em questão, como dos demais ativos de redes que tenham infor-
A desassemblagem de programa é um recurso padrão de
mações pertinentes.
todo programa depurador importante, entretanto ferramentas
E por último, a etapa em que todas as informações reu-
que descompilam programas em linguagem de alto nível como
nidas nas etapas anteriores são cruzadas com informa-
C só existem para ambientes limitados. A ameaça da engenharia
ções identificadas na análise das imagens de mídias
reversa também apresenta um problema para programadores
coletadas. Essa última fase é tecnicamente conhecida
de aplicativos Java.
como Post Mortem Analysis.
A preocupação com o furto de propriedade intelectual talvez
Tanto na Live Analysis, na Network Forensic como na
tenha muito a ver com essa disponibilidade limitada de descom-
Post Mortem Analysis, o objetivo é a coleta do máximo de
piladores.
evidências digitais. O termo Dado pericial digital (pode
ser um vestígio, evidência ou mesmo se consolidar em
3.6 ANÁLISE DINÂMICA DE MALWARE
Segundo Farmer e Venema (2007, p. 104), sobre os perigos
da análise dinâmica:
“Uma maneira de descobri o propósito de um programa
prova durante uma perícia) refere-se a toda e qualquer
informação digital capaz de demonstrar que ocorreu um
incidente de segurança ou mesmo um crime, dentro do
contexto da Perícia Computacional.
desconhecido é simplesmente executá-lo e ver o que
acontece. Há vários problemas potenciais com essa abor-
Segundo Farmer e Venema (2007), a sabedoria tradicional da
dagem. O programa poderia executar de uma maneira
computação forense, conta com métodos muito conservadores, ra-
confusa e destruir todas as informações na máquina [..]”
ramente nada além de desligar um computador e fazer uma cópia
de disco. Caso seja necessário assegurar que os dados coletados
“Em vez de executar um programa desconhecido em uma
sejam otimizados para poderem ser aceitos em um tribunal e só
ambiente onde eles podem causar danos, é mais seguro exe-
conseguir capturar parte deles, então uma metodologia mais cau-
cutar esse programa em uma caixa de areia. O termo caixa de
telosa pode ser a melhor opção em alguns casos.
areia (sandbox) foi emprestado da balística, na qual as pessoas
testam armas atirando em uma caixa de areia de modo que as
Ainda segundo Farmer e Venema (2007, p. 172), sobre as
técnicas conservadoras:
balas não possam causar nenhum dano. Uma caixa de areia de
“Infelizmente, essas técnicas conservadoras não têm uma
software é um ambiente controlado para executar o software.”
grande quantidade de informações potencialmente úteis
Ainda segundo Farmer e Venema (2007), as caixas de
sobre a situação, como processos em execução e kernels,
areia podem ser implementadas de diversas maneiras, a
estado de rede, dados na RAM e muito mais. Somente um
abordagem mais simples é o de cordeiro sacrificial, uma má-
entendimento limitado pode surgir do exame de um disco
quina real, mas descartável, com acesso limitado à rede ou
morto. E, embora informações dinâmicas talvez sejam um
simplesmente sem acesso à rede.
pouco mais voláteis e, portanto suspeitas, quaisquer condenações com base em uma única série de leituras dos
4 COLETA DO MALWERE
dados também são suspeitas.[...]”
Segundo Melo (2009), um perito forense, ao iniciar uma perícia
no sistema que teve uma segurança violada, busca evidências que
5 ANÁLISE DO ARQUIVO
caracterizem e possibilitem identificar como e o quanto a violação
Segundo Farmer e Venema (2007), pequenos programas
afetou as informações e o próprio Sistema Operacional.
Ainda segundo MELO (2009, p. 33), a coleta de evidências
pode ser dividida, de forma macro, em três etapas:
podem gerar muitos problemas, como observado abaixo, o código de um programa de backdoor recuperado após um ataque:
scanf (“%s”, buffer);
176 | PÓS EM REVISTA DO CENTRO UNIVERSITÁRIO NEWTON PAIVA 1/2012 - EDIÇÃO 5 - ISSN 2176 7785
6. if (strcmp(password, buffer)==0){
6 Laboratório
puts(“.”);
Um cenário de análise de servidor foi montado para exem-
setuid(0);
plificar a perícia forense computacional na busca por Malwares
setgid(0);
em servidores Linux, a ferramenta utilizada para a perícia é o
execl(“/bin/sh”,“sh”,(char *)0);
Sistema Operacional Back Track.
}
Conforme os autores mencionados neste trabalho, parto do
return (0);
princípio que todas as atividades para manter o sistema integro
e com o mínimo possível de perda de dados voláteis tenham
Com exceção da chamada de função de comparação de
sido realizadas como: a decisão de remover o cabo de rede ou
string strcmp(), nenhuma chamada de função é testada quanto
não do servidor que sofreu a intrusão, se houve alguma interven-
a retornos de erro. Se uma operação falhar o programa simples-
ção por parte de outro profissional após a identificação do pro-
mente prossegue. Erro de leitura de entrada a partir de scanf(),
blema e se este realizou alguma atividade e quais, que a cópia
caso todas as operações falhem o programa termina silencio-
dos dados da memória tenham sido realizadas em local seguro
samente.
e fora da máquina periciada, que uma imagem bit a bit do disco
tenha sido efetuada.
O chkrootkit é um detector de presença de de rootkits em
rootkits na máquina e atualmente é capaz de identificas mais de
sistemas baseados em Unix. O software utiliza cerca de nove ti-
60 tipos de ameaças diferentes como rootkits, worms, trojans,
pos de análise para detectar traços de atividade ou presença de
dentre outros.
PÓS EM REVISTA DO CENTRO UNIVERSITÁRIO NEWTON PAIVA 1/2012 - EDIÇÃO 5 - ISSN 2176 7785 l 177
7. Iniciando o chkrootkit o sistema informa os parâmetros que
podem ser utilizados na detecção de Malwares.
Executando o chkrootkit ele checa o sistema em busca de
Malwares e já exibe o resultado na tela informando se o arquivo
Neste ponto fazemos uma varredura em busca de Malwares
alojados na máquina.
Com esta atividade conseguimos identificar a presença ou
não do Malware no sistema operacional.
está ou não infectado.
178 | PÓS EM REVISTA DO CENTRO UNIVERSITÁRIO NEWTON PAIVA 1/2012 - EDIÇÃO 5 - ISSN 2176 7785
8. O rkhunter é outra ferramenta de grande importância na detecção de rootkits no sistema, este avisa caso haja arquivos suspeitos no sistema.
Um dos parâmetros do rkhunter é o “--update”, que atualiza sua base de dados de Malwares.
Sua execução se da através do comando “rkhunter --check”.
Os arquivos que contiverem a cor verde – not found e ok – estão normais. Já aqueles que forem marcados como
“Warning” estão comprometidos e serão exibidos na cor vermelha, sendo assim deve-se proceder a remoção do rootkit.
Antes de executar a remoção o Malware deve ser isolado em um dispositivo de armazenamento que seja externo ao disco da
máquina comprometida, onde não possa mais gerar danos e possibilite uma análise posterior, talvez até mesmo sua execução em
ambiente fechado e preparado para tal.
PÓS EM REVISTA DO CENTRO UNIVERSITÁRIO NEWTON PAIVA 1/2012 - EDIÇÃO 5 - ISSN 2176 7785 l 179
9. O Malware deve ser removido do sistema operacional e a vulnerabilidade que permitiu sua inserção deve ser tratada, para que
esta falha não seja explorada novamente por um atacante.
O relatório final da execução e da análise do Malware fica
registrada em /var/log/rkhunter.log.
O Malware encontrado é um Backdoor que permite um
.echo “Iniciando via NETCAT da Backdoor”;
.passthru (“nc –l –p 65321 –e /Bin/sh”);
.echo “Backdoor Instalada!!!>;-)”;
acesso do atacante à máquina comprometida de forma rápida
.echo “Passaporte para sistema disponível!!! >;-)”;
sem a necessidade de realizar todos os passos para sua intru-
?>
são, este código mantém uma porta de comunicação aberta entre o atacante e a máquina comprometida.
7 CONCLUSÃO
Abaixo um trecho do código da Backdoor utilizada para o
A perícia forense computacional é um instrumento im-
acesso do atacante à máquina através de uma falha de segu-
prescindível para identificar se um sistema computacional foi
rança do PHP:
invadido, e de que forma foi alterado, estabelecendo critérios
<?php
para preparar o ambiente visando registrar os dados periciais,
.passthru(“date”);
facilitar a identificação do invasor e amparar as medidas legais
180 | PÓS EM REVISTA DO CENTRO UNIVERSITÁRIO NEWTON PAIVA 1/2012 - EDIÇÃO 5 - ISSN 2176 7785
10. a serem tomadas diante da intrusão.
O valor jurídico de provas eletrônicas manipuladas de forma
incorreta, sem os padrões previstos e devidamente estabelecidos pode ser facilmente contestado, e toda atividade do perito
deve ser acompanhada por um ou mais profissionais da TIC da
empresa que o contratou para a perícia, isso para assegurar a
integridade não só da coleta dos dados, mas também para resguardar o perito, evitando assim que de perito torne-se réu.
Enfim, a utilização de ferramentas que auxiliam e dão suporte à investigação é de suma importância, pois estas conseguem
garimpar informações de forma eficaz e ágil, primando pela integridade e minimizando os riscos da perda de dados voláteis.
A partir deste trabalho discutimos e demonstramos as técnicas e procedimentos da perícia forense computacional que auxiliam na análise de sistemas computacionais comprometidos,
apontando as melhores práticas na atualidade e metodologias
a serem aplicadas na descoberta, coleta e análise de Malwares.
REFERÊNCIAS BIBLIOGRÁFICAS
FARMER, Dan; VENEMA, Wietse. Perícia Forense Computacional: Teoria e prática aplicada. São Paulo: Pearson Prentice Hall, 2007.
MELO, Sandro. Computação Forense com Software Livre: Conceitos, técnicas, ferramentas e estudos de casos. 1. ed. Rio de Janeiro: Alta
Books. 2009.
TANENBAUM, Andrew S. Redes de Computadores. 4. ed. Campus
(Elsevier), 2003.
HATCH, Brian; B. LEE, James; KURTZ, George. Segurança contra Hackers Linux. 2. ed. São Paulo: Futura, 2003.
FILHO, João Eriberto Mota. Forense computacional utilizando ferramentas GNU/Linux. Brasília: Serpro, 10 de Novembro de 2009. Palestra ministrada no CISL – Comitê Técnico de Implantação de Software
livre, 10/11/2011. Forense computacional utilizando ferramentas GNU/
LINUX. Disponível em: http://streaming.serpro.gov.br/cisl/forense.html.
NOTAS DE RODAPÉ
1 Coordenador e Professor do Curso de Bacharelado em Sistemas de
Informação do Centro Universitário Newton Paiva
2 Graduando em Bacharelado em Sistemas de Informação do Centro
Universitário Newton Paiva
PÓS EM REVISTA DO CENTRO UNIVERSITÁRIO NEWTON PAIVA 1/2012 - EDIÇÃO 5 - ISSN 2176 7785 l 181