http://apura.com.br
Desafio Forense ICCyber 2012Sandro Süffert, CTO             Jacomo Picolinihttp://apura.com.br             http://team-cym...
Agradecimentos:•    Jacomo Piccolini – Team Cymru•    Organização do evento (ABEAT/DPF)    • Marcos Vinícius    • Tiago, I...
Sobre o Desafio:•    As informações do Desafio estão no endereço     http://www.iccyber.org/2012/avisos/347_desafio-forens...
Este desafio vai abranger a Investigação em vários meios digitais                        + d a d o s                      ...
Sobre o Desafio Forense ICCYBER 2012O desafio se iniciará após esta palestra quando serão informadasas credenciais de aces...
Sobre o Desafio•   O desafio termina com uma frase. O primeiro que descobrir    a frase deve chamar algum dos responsáveis...
Sleuthkit •   O Sleuthkit é um conjunto de ferramentas forenses, open source     e disponível para diversos sistemas opera...
Sleuthkit•   Comando fsstat – fornece informações sobre uma partição•   Uso # fsstat /dev/sdb1                            ...
Sleuthkit•   Comando fls – lista informações sobre arquivos e diretórios•   Uso # fls –arp –f fat32 /dev/sdb1             ...
Sleuthkit•   Comando istat – fornece informações sobre um Inode•   Uso # istat <partição> <número do inode>               ...
Sleuthkit•   Comando icat – mostra o conteúdo de um Inode•   Uso # icat /dev/sdb1 <número do Inode>                       ...
Sleuthkit•   Comando dcat – mostra o conteúdo de um setor/bloco•   Uso # dcat /dev/sdb1 <número do setor>                 ...
Volatility    Volatility – identificar um dump de memória e listar os processos presentes    $ volatility ident –f <dump> ...
VolatilityVolatility – listar as conexões estabelecidas$ volatility connscan –f <memory-image.bin>
Volatility  python volatility sockscan –f <memory-image.bin>
VolatilityVolatility – fazer o dump de espaço de memória utilizado por um um processo específico$ volatility procdump –f <...
WiresharkAbrindo um arquivo .pcap no wireshark:$ wireshark file.pcapDecodificando base64:$ echo "dXN1YXJpbzpzZW5oYQ==" | b...
WiresharkExtraindo arquivos transmitidos com o wireshark:Analyze > Follow TCP Stream..
Steghide - esteganografia  $ steghide --embed -ef <arq_steg> -cf <imagem_base> -p  $ steghide --extract -sf <imagem>
Vamos iniciar o Desafio!               Premiação para o 1º lugar:               Tablet Google Nexus 7 com Android 4.1     ...
Próximos SlideShares
Carregando em…5
×

Iccyber2012 sandro suffert apura - jacomo picolini teamcymru - desafio forense -publico

974 visualizações

Publicada em

Sandro Suffert APURA - Jacomo Picolini TEAMCYMRU - DESAFIO FORENSE ICCyber 2012

1 comentário
1 gostou
Estatísticas
Notas
Sem downloads
Visualizações
Visualizações totais
974
No SlideShare
0
A partir de incorporações
0
Número de incorporações
1
Ações
Compartilhamentos
0
Downloads
14
Comentários
1
Gostaram
1
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

Iccyber2012 sandro suffert apura - jacomo picolini teamcymru - desafio forense -publico

  1. 1. http://apura.com.br
  2. 2. Desafio Forense ICCyber 2012Sandro Süffert, CTO Jacomo Picolinihttp://apura.com.br http://team-cymru.comhttp://blog.suffert.com @teamcymru@suffert @Apura_Oficial @dimmit
  3. 3. Agradecimentos:• Jacomo Piccolini – Team Cymru• Organização do evento (ABEAT/DPF) • Marcos Vinícius • Tiago, Itamar, Ruback• Guilherme Venere (desafio.exe)• Rodrigo, Ronaldo, Fernando, Breno, Helder (APURA)• Você!
  4. 4. Sobre o Desafio:• As informações do Desafio estão no endereço http://www.iccyber.org/2012/avisos/347_desafio-forense-na-iccyber-2012• Lembre-se: • Diversão e conhecimento acima de tudo! • Respeito a todos os participantes! • Ética!• Novidades serão publicadas nos endereços • http://www.apura.com.br/ • http://blog.suffert.com 4
  5. 5. Este desafio vai abranger a Investigação em vários meios digitais + d a d o s + c o m p l e x i d a d eHD: Bit Byte Setor Cluster Arquivo 1 8bits 512B 8 setores / 4kb 1-n clustersMemória: Bit Byte Página Thread Processo 1 8bits 4kB n páginas n threadsRede: Bit Byte Pacote Stream Sessão 1 8bits n bytes n pacotes n streams
  6. 6. Sobre o Desafio Forense ICCYBER 2012O desafio se iniciará após esta palestra quando serão informadasas credenciais de acesso à VM e a senha do arquivo /home/user/ desafio.zipO desafio é composto de etapas, cada etapa tem uma dicaque leva ao próximo passo. Os ganhadores precisamindicar todas as etapas. Não será aceita uma resposta finalsem que seja possível demonstrar que passou pelas etapas.As principais informações necessárias para a solução deste desafioserão apresentadas nesta palestra. Preste atenção, veja os comandos,anote as dicas! O uso da internet esta liberado, na duvida, Google it.
  7. 7. Sobre o Desafio• O desafio termina com uma frase. O primeiro que descobrir a frase deve chamar algum dos responsáveis pelo desafio e dizer a frase e as etapas que foram feitas para descobri-la.• Ao participar do desafio você concorda automaticamente com as regras.• Boa Sorte!!!! 7
  8. 8. Sleuthkit • O Sleuthkit é um conjunto de ferramentas forenses, open source e disponível para diversos sistemas operacionais. • http://www.sleuthkit.org/ - Sucessor do TCT de Farmer e Venema • Para o Desafio temos uma máquina virtual (Ubuntu) configurada com diversas ferramentas, entre elas o sleuthkit. • Vamos agora ver alguns dos comandos que podem ser necessários durante o Desafio. • Lembre-se existem MUITOS outros comandos e ferramentas!!! 8
  9. 9. Sleuthkit• Comando fsstat – fornece informações sobre uma partição• Uso # fsstat /dev/sdb1 9
  10. 10. Sleuthkit• Comando fls – lista informações sobre arquivos e diretórios• Uso # fls –arp –f fat32 /dev/sdb1 10
  11. 11. Sleuthkit• Comando istat – fornece informações sobre um Inode• Uso # istat <partição> <número do inode> 8 x 512 = 4096 = 4k 11
  12. 12. Sleuthkit• Comando icat – mostra o conteúdo de um Inode• Uso # icat /dev/sdb1 <número do Inode> 12
  13. 13. Sleuthkit• Comando dcat – mostra o conteúdo de um setor/bloco• Uso # dcat /dev/sdb1 <número do setor> 13
  14. 14. Volatility Volatility – identificar um dump de memória e listar os processos presentes $ volatility ident –f <dump> $ volatility pslist –f <dump>
  15. 15. VolatilityVolatility – listar as conexões estabelecidas$ volatility connscan –f <memory-image.bin>
  16. 16. Volatility python volatility sockscan –f <memory-image.bin>
  17. 17. VolatilityVolatility – fazer o dump de espaço de memória utilizado por um um processo específico$ volatility procdump –f <dump> -p <pid> Verificação preliminar de conteúdo de arquivos binários: $ hexdump –C <file.exe> $ strings –a <file.exe>
  18. 18. WiresharkAbrindo um arquivo .pcap no wireshark:$ wireshark file.pcapDecodificando base64:$ echo "dXN1YXJpbzpzZW5oYQ==" | base64 -dusuario:senha
  19. 19. WiresharkExtraindo arquivos transmitidos com o wireshark:Analyze > Follow TCP Stream..
  20. 20. Steghide - esteganografia $ steghide --embed -ef <arq_steg> -cf <imagem_base> -p $ steghide --extract -sf <imagem>
  21. 21. Vamos iniciar o Desafio! Premiação para o 1º lugar: Tablet Google Nexus 7 com Android 4.1 Premiação do 2º ao 3º lugar: Brindes + Convite ICCyber 2013 Premiacao do 4º e 5o: Brindes

×