Beruflich Dokumente
Kultur Dokumente
FACULDADE DE TECNOLOGIA
DEPARTAMENTO DE ENGENHARIA ELTRICA
ii
UNIVERSIDADE DE BRASLIA
FACULDADE DE TECNOLOGIA
DEPARTAMENTO DE ENGENHARIA ELTRICA
FORENSE DE MEMRIA: EXTRAO E ANLISE DE
DADOS ARMAZENADOS EM MEMRIA VOLTIL
iii
iv
FICHA CATALOGRFICA
ROSA, ANA PAULA TEIXEIRA
Forense de Memria: Extrao e Anlise de Dados Armazenados em Memria Voltil [Distrito
Federal] 2011.
99p., 297 mm (ENE/FT/UnB, Especialista, Engenharia Eltrica, 2011).
Monografia de Especializao Universidade de Braslia, Faculdade de Tecnologia. Departamento de
Engenharia Eltrica.
1. Segurana da Informao 2. Forense Computacional
3. Forense de Memria
I. ENE/FT/UnB. II. Forense de Memria: Extrao e Anlise de Dados Armazenados em Memria
Voltil
REFERNCIA BIBLIOGRFICA
ROSA, ANA PAULA TEIXEIRA (2011). Forense de Memria: Extrao e Anlise de Dados
Armazenados em Memria Voltil. Monografia de Especializao, Publicao Junho/2011,
Departamento de Engenharia Eltrica, Universidade de Braslia, Braslia, DF, 99p.
CESSO DE DIREITOS
NOME DO AUTOR: Ana Paula Teixeira Rosa
TTULO DA MONOGRAFIA: Forense de Memria: Extrao e Anlise de Dados Armazenados em
Memria Voltil.
GRAU/ANO: Especialista/2011.
concedida Universidade de Braslia permisso para reproduzir cpias desta Monografia de
Especializao e para emprestar ou vender tais cpias somente para propsitos acadmicos e
cientficos. Do mesmo modo, a Universidade de Braslia tem permisso para divulgar este documento
em biblioteca virtual, em formato que permita o acesso via redes de comunicao e a reproduo de
cpias, desde que protegida a integridade do contedo dessas cpias e proibido o acesso a partes
isoladas desse contedo. O autor reserva outros direitos de publicao e nenhuma parte deste
documento pode ser reproduzida sem a autorizao por escrito do autor.
vi
vii
viii
AGRADECIMENTOS
Primeiramente a Deus, pela oportunidade da vida, com suas inmeras alegrias e
possibilidades de aprendizado.
Aos meus pais, Paulo e Sandra, e ao meu irmo, Matheus, pelo apoio e amor incondicional.
Ao meu orientador Prof. Msc. Laerte Peotta de Melo, pela colaborao, apoio e incentivo no
desenvolvimento deste trabalho.
A todos os colegas e amigos, meus sinceros agradecimentos.
ix
RESUMO
xi
xii
ABSTRACT
Computer forensics traditionally works with the collection and analysis of static
data stored on hard drives, seeking to acquire evidence related to the occurrence
of malicious activity on the computer systems after their occurrence. With the
evolution of technological resources and the popularization of Internet use it has
become impracticable to keep only the traditional approach due to the large
volume of information to be analyzed and the growing number of cases of
cybercrimes. In this context, analysis of data stored in volatile memory comes as
a new approach, to allow recovery of important data for forensic computing.
This study aims to present such an approach, including the type of information
that can be recovered as well as techniques and procedures for extraction and
analysis of these data in Windows operating systems, with a consideration of the
advantages and disadvantages identified.
Keywords: information security, computer forensics, memory forensics
xiii
xiv
SUMRIO
1. INTRODUO .................................................................................................................... 1
1.1. OBJETIVOS ................................................................................................................. 3
1.2. ORGANIZAO........................................................................................................... 4
2. REVISO BIBLIOGRFICA ............................................................................................ 5
2.1. EVIDNCIAS DIGITAIS ............................................................................................... 9
2.2. DESAFIOS DA FORENSE COMPUTACIONAL ............................................................. 11
2.3. PROCEDIMENTOS ..................................................................................................... 13
2.3.1. Identificando as Evidncias............................................................................. 15
2.3.2. Preservando as Evidncias .............................................................................. 17
2.3.3. Analisando as Evidncias ................................................................................ 18
2.3.4. Apresentao dos Resultados.......................................................................... 20
3. PERCIA FORENSE COMPUTACIONAL: ANALISANDO A MEMRIA
VOLTIL ............................................................................................................................... 21
3.1. A MEMRIA VOLTIL ............................................................................................. 22
3.2. DADOS ENCONTRADOS NA MEMRIA VOLTIL ..................................................... 24
3.2.1. Processos ........................................................................................................... 24
3.2.2. Arquivos abertos e Contedo do Registro do Windows (Registry) ............. 24
3.2.3. Informaes de rede......................................................................................... 25
3.2.4. Senhas e Chaves Criptogrficas ..................................................................... 25
xv
xvi
3.5.7. Nigilant32.......................................................................................................... 37
3.5.8. FTK Imager ...................................................................................................... 37
3.5.9. Winen.exe.......................................................................................................... 38
3.6. FERRAMENTAS PARA ANLISE FORENSE DA MEMRIA ........................................ 38
3.6.1. Ferramentas bsicas ........................................................................................ 40
3.6.2. Volatility Framework ...................................................................................... 40
3.6.3. Mandiant Memoryze ....................................................................................... 45
3.6.4. Windows Memory Forensic Toolkit............................................................... 48
4. ESTUDO DE CASO ........................................................................................................... 51
4.1. CENRIO .................................................................................................................. 51
4.2. REALIZAO DOS TESTES ....................................................................................... 52
5. CONCLUSES .................................................................................................................. 59
6. BIBLIOGRAFIA ................................................................................................................ 63
7. ANEXO I ............................................................................................................................. 67
8. ANEXO II ........................................................................................................................... 72
xvii
xviii
NDICE DE TABELAS
xix
xx
NDICE DE FIGURAS
FIGURA 3.3 TELA DO VISUALIZADOR AUDIT VIEWER ABA REGISTRY KEYS: ANLISE FORENSE
DA MEMRIA EFETUADA COM O SOFTWARE MEMORYZE.
.................................................... 48
xxi
xxii
NDICE DE QUADROS
xxiii
xxiv
TABELA DE SIGLAS
xxv
xxvi
1.
INTRODUO
1.1. OBJETIVOS
1.2. ORGANIZAO
Esse trabalho foi dividido em cinco captulos. O presente captulo faz uma pequena
introduo ao tema proposto, apresenta os objetivos do trabalho, a motivao para seu
desenvolvimento e expe como ele ser estruturado.
No captulo 2 Reviso Bibliogrfica, realizada uma reviso terica, introduzindo
conceitos relacionados a crimes cibernticos, sua definio e cenrio encontrado no Brasil
atualmente. Tambm so abordados procedimentos e metodologias aplicveis percia
forense computacional e discutida a confiabilidade das informaes encontradas em um
sistema sob investigao.
O captulo 3 Percia Forense Computacional: Analisando a Memria Voltil,
aborda a aplicao da percia forense computacional para anlise de contedo obtido a partir
da memria voltil, enumerando que tipo de informao pode ser encontrada na memria
RAM e o quo persistente esses dados podem ser. Discorre sobre o gerenciamento de
memria, tcnicas, procedimentos e ferramentas para realizao de anlise forense da
memria.
O captulo 4 Estudo de Caso exemplifica a utilizao de ferramentas apropriadas
para forense de memria atravs de um estudo de caso, a fim de demonstrar a importncia da
investigao do contedo da memria para a percia forense computacional.
Por fim, o captulo 5 Concluso, realiza consideraes sobre o estudo realizado e
prope a realizao de novos trabalhos na rea.
2.
REVISO BIBLIOGRFICA
Admite-se essa definio com a ressalva de que para acessar a rede no necessria a
utilizao de um computador, j que atualmente inmeros dispositivos permitem o acesso
Internet, como celulares, smartphones, vdeo games, tablets, etc. Assim, outra definio
citada por Castro, mas proposta por Joo Marcello de Araujo Junior e que mais abrangente
[...] conceitua como sendo uma conduta lesiva, dolosa, a qual no precisa, necessariamente,
corresponder obteno de uma vantagem ilcita, porm praticada, sempre, com a utilizao
de dispositivos habitualmente empregados nas atividades de informtica. (CASTRO, 2003).
Quanto classificao, a mesma autora destaca que podem ser classificados como
prprios e imprprios. Os crimes prprios s podem ser consumados com a utilizao da
5
informtica, enquanto os imprprios podem ser prticos com ou sem o auxlio da informtica,
por se tratarem de condutas j tipificadas e protegidas pela legislao brasileira.
Existem outras classificaes bem aceitas para auxiliar o entendimento de crimes que
envolvem computadores. (HUEBNER, BEM, BEM, 2007) propem a seguinte classificao
em trs categorias:
Crimes centrados em computadores: atividade criminosa que tem como alvo sistemas
computacionais,
redes,
mdias
de
armazenamento
ou
outros
dispositivos
Tipos de Dados
Registradores, memria perifrica, caches, etc.
Memria principal
Estado da rede
Processos em execuo
Disco
Disquetes, mdias de backup, etc.
CD-ROMs, impresses, etc.
Tempo de Vida
Nanossegundos
Dez nanossegundos
Milissegundos
Segundos
Minutos
Anos
Dezenas de anos
10
Uma vez que o sistema foi comprometido, pode haver dvidas quanto confiabilidade
das informaes obtidas. Como ter a certeza de que o investigador est diante de vestgios
autnticos ou invs de resultados manipulados e forados pelo invasor? Ao ter acesso ao
sistema, o invasor pode, por exemplo, ter modificado a sada de comandos do sistema
operacional, de modo que sejam exibidas apenas as informaes que ele deseja. Alvos de
modificao comuns so o Shell, bibliotecas dinmicas, drivers de dispositivos e at mesmo o
kernel. Assim, cada fragmento de informao deve ser cuidadosamente examinado, a fim de
se encontrar possveis inconsistncias. Quanto maior o nmero de fontes de informao, e a
independncia dessas fontes entre si, maior ser a confiabilidade das informaes (FARMER,
VENEMA, 2007).
Para garantir a confiabilidade das informaes encontradas, deve ser tomada uma srie
de cuidados:
Montar kits de ferramentas confiveis que estejam disponveis para uso quando um
incidente ocorrer. Como o ambiente foi invadido, at mesmo os comandos bsicos de
sistema operacional no podem mais ser considerados confiveis, pois podem ter sido
manipulados.
Montar um ambiente de laboratrio, com maior semelhana possvel ao ambiente
original, para auxiliar o procedimento de anlise.
Efetuar a anlise sobre a cpia das mdias originais, a fim de mant-las protegidas.
Utilizar assinaturas criptogrficas para autenticar as cpias.
Manter cadeia de custdia.
No armazenar os dados coletados na mquina sob anlise, pois o sistema no est
confivel. Enviar os dados coletados via rede para outros hospedeiros, utilizando
ferramentas como netcat ou cryptcat.
A Cincia Forense Computacional ainda conta com muitos desafios, de ordem tcnica,
social e legal, alguns deles explicitados a seguir, baseado na leitura de (PALMER, 2001) e
(HUBNER, BEM, BEM, 2007):
11
12
De ordem legal:
Pouco adianta desenvolver tecnologias extremamente avanadas de anlise forense se
os resultados produzidos no estiverem em conformidade com a lei e, portanto, no
tiverem validade jurdica.
Falta de padronizao de procedimentos, protocolos e terminologia, a fim de unificar a
prtica e fornecer validade legal ao processo.
Muitas vezes os dados de interesse do investigador podem estar armazenados em
outros pases, sob outra jurisdio, e podem ser acessados como se fossem locais. A
cooperao com o sistema jurdico de outros pases pode ser lenta e difcil, mesmo
naqueles que j possuem leis de crimes eletrnicos bem desenvolvidas; geralmente
criam-se regras complexas impedindo a liberao das informaes.
A utilizao da computao em nuvem (cloud computing), que vem se mostrando uma
tendncia de mercado, introduz vrios questionamentos de segurana: Como haver
garantia de privacidade? Onde esto as evidncias? As provas so admissveis nesse
contexto? Qual a jurisdio aplicvel? Nesse cenrio, possvel que o perito no
tenha mais acesso ao ambiente que ser investigado, dificultando a realizao da
percia.
Organizaes criminosas agindo inadvertidamente na Internet.
A coleta e acesso aos dados do sistema para realizao da anlise muitas vezes vai
contra os direitos de privacidade dos usurios.
Estabelecimento e reconhecimento da Forense Computacional como disciplina
cientfica.
2.3. PROCEDIMENTOS
que, de posse dos dados, a anlise poder ser refeita por outros peritos e os mesmos resultados
sero obtidos.
Assim, importante destacar que durante todo o processo de anlise forense
necessrio documentar rigorosamente todos os passos seguidos, assim como manter registro
de todas as pessoas envolvidas no processo investigativo que tiveram acesso s informaes
sigilosas, ou seja, deve-se manter cadeia de custdia.
A adoo de mtodos e procedimentos tambm simplifica o processo de coleta,
armazenamento e anlise de evidncias, contribui para dar valor probatrio s evidncias
coletadas e minimiza o impacto e reaes negativas nos casos em que os envolvidos na percia
esto sob forte presso e elevado nvel de estresse, evitando aes errneas que possam
comprometer as evidncias. Os procedimentos para a Forense Computacional devem ser
amplos e generalizados de modo a abranger toda a heterogeneidade de softwares, hardwares e
padres diversos de tecnologia.
A percia forense computacional possui quatro procedimentos bsicos, que
contemplam a identificao, preservao, anlise e apresentao das evidncias (FREITAS,
2006). As tarefas envolvidas no processo de investigao estaro enquadradas nessas fases,
que so detalhadas a seguir e sintetizam as idias expostas at aqui.
ocorre quando os dados so coletados. Em seguida, aps serem preservados, as cpias geradas
podem ser utilizadas para anlise, onde os dados so transformados em informao. Por fim,
ocorre a transformao de informao em evidncia, de forma anloga transformao de
conhecimento em ao, podendo ser utilizada com provas judiciais ou recomendaes de
segurana em uma organizao. Os resultados tambm podem servir como conhecimento para
gerao de novas pistas para um caso.
Nessa fase o perito deve buscar todas as evidncias possveis, considerando o cenrio
e o tipo de incidente, j que diferentes tipos de crimes geram diferentes tipos de evidncias. A
capacidade de identificao vai depender da habilidade e experincia do perito e do uso de
ferramentas adequadas.
Para encontrar evidncias, o investigador deve identificar quais sistemas foram
afetados, procurar por dispositivos de armazenamento de evidncias, procurar informaes
acerca do acontecimento, como nomes de pessoas, nmeros telefnicos, datas e horrios, alm
de informaes sobre o sistema, como: rever a topologia de rede, identificar conexes de rede
estabelecidas, portas abertas, processos em execuo e etc.
Aps a identificao das fontes de evidncias, preciso realizar a coleta dos dados,
levando-se em conta a prioridade na ordem da coleta, ou seja, deve ser estabelecida uma
ordem na qual os dados devem ser adquiridos, considerando a volatilidade da informao, o
esforo de adquir-la e o seu valor estimado. A RFC 3227 possui orientaes sobre as
melhores prticas de coleta e armazenamento de evidncias que so teis e aplicveis ao
contexto da forense computacional.
O perito deve prezar pela otimizao da coleta de dados, j que no necessrio
coletar tudo que estiver disponvel em um sistema, mas apenas as informaes essenciais e
aplicveis anlise do incidente. Tambm deve minimizar os riscos de corrupo ou
destruio dos dados durante a coleta.
Possveis fontes de evidncias, a serem consideradas pelo perito, so listadas a seguir:
Dispositivos de Armazenamento na CPU - Registradores e cache
Fornecem pouca informao relevante e segundo (WARREN, 2002) a captura dos
dados pode ser considerada impraticvel.
15
Memria Principal
Pode fornecer informaes sobre o sistema operacional e os processos que esto em
execuo, alm de senhas, dados em manipulao que ainda no foram gravados no
disco, vestgios de cdigos maliciosos, textos em claro que esto cifrados no disco,
dados ocultos, etc. Os dados armazenados podem ser capturados atravs de
procedimentos especficos, que sero abordados no prximo captulo.
Memria de Perifricos
Pode fornecer informaes teis que no esto disponveis na memria principal,
como documentos impressos ou enviados por fax, imagens exibidas no monitor, etc.
Mdulos de Kernel
A identificao de mdulos de kernel maliciosos pode sugerir que o invasor carregou
mdulos com alguma finalidade maliciosa, como fornecer recurso indevidamente a um
dispositivo, incorporar nova linguagem de programao, ou alterar as chamadas de
sistema (system calls). Os mdulos maliciosos podem comprometer por completo o
funcionamento normal do sistema operacional, alterando comandos de sistema para
produzir resultados manipulados e esconder as aes do invasor.
Trfego de Rede
Com a utilizao de analisadores de trfego (sniffers), possvel capturar datagramas
que trafegam na rede e obter informaes sobre as conexes estabelecidas com a
mquina alvo, de modo a estabelecer uma seqncia de eventos e correlacionar com
outras evidncias. Alm disso, logs de IDS, firewall, proxy, roteadores e servidores de
autenticao podem fornecer informaes importantes.
2.3.2.
Preservando as Evidncias
As evidncias devem ser preservadas de modo que no haja dvidas sobre sua
veracidade. Para evitar que sejam comprometidas ou perdidas durante o processo de
investigao, devem ser tomados alguns cuidados:
Duplicao pericial: criar imagens do sistema a ser investigado para que a anlise seja
realizada trabalhando-se apenas com as cpias e mantendo o original como o mnimo
de alteraes.
Todas as evidncias devem ser lacradas e etiquetadas, registrando a data e horrio em
que a evidncia foi coletada, assim como os dados de quem a possui sob custdia.
Gravar as evidncias em mdias que no permitam regravao.
Identificar e anotar todos os componentes do sistema computacional envolvido, para
que o cenrio possa ser recriado em laboratrio.
Manter as evidncias guardadas em cofre, para evitar adulterao.
Manter cadeia de custdia. Deve-se registrar onde, quando e por quem as evidncias
foram coletadas; quem teve acesso s informaes aps a coleta, quanto tempo durou,
quando foi concedido esse acesso e a justificativa para a concesso; quem teve
custdia da evidncia, por qual perodo e como as evidncias foram armazenadas
17
18
Incio
19
Por fim, deve ser redigido um laudo pericial apresentando os resultados obtidos pela
investigao de forma clara, organizada, concisa, imparcial e conclusiva. O laudo pericial o
relato do perito aps anlise e correlao das evidncias, resultado de um processo de
avaliao. Consiste na traduo das informaes captadas pelo perito por meio de
conhecimentos especializados e deve estar pautado em aspectos ticos e legais.
No laudo, devem ser anexadas todas as evidncias e demais documentos que fizeram
parte do processo investigativo, buscando comprovar a integridade das informaes atravs
do detalhamento de todos os procedimentos e tcnicas empregados.
Devem constar tambm os materiais que foram analisados pelos peritos, o objetivo do
trabalho de investigao, mtodos e ferramentas que foram utilizados, dentre outras
consideraes especficas. Devem ser fornecidas mdias contendo o contedo que foi
analisado e que contm as evidncias, juntamente com suas assinaturas criptogrficas, a fim
de evitar alteraes. Em conjunto com o laudo, os peritos devem devolver as mdias e
dispositivos originais que foram confiscados no momento do incidente, no mesmo estado em
que foram recebidos.
Embora se deva conservar a terminologia tecnolgica e cientfica em seus relatos, o
laudo deve ser elaborado utilizando linguagem acessvel a quem ele se destina, utilizando
recursos grficos e visuais, se for possvel, para facilitar a compreenso.
Embora conclusivo, o laudo pericial pode ser questionado ou contestado, por isso de
extrema importncia que seja formulado com argumentaes bem embasadas e que a
integridade dos dados seja comprovada. Nele s devem constar afirmaes que podem ser
provadas e demonstradas tcnica e cientificamente.
Quando realizado para fins corporativos, o laudo tambm pode fazer recomendaes
sobre o que deve ser feito para prevenir ou corrigir o problema: alteraes nas polticas de
segurana da empresa, nos procedimentos, processos, ferramentas adotadas, dentre outros.
O Anexo I apresenta um modelo de laudo pericial utilizado pelo Departamento de
Polcia Federal para apresentao dos resultados de seus exames periciais.
20
3.
A MEMRIA VOLTIL
22
utilizada pelos processos que esto em execuo, alm de outras informaes relacionadas a
cada um. Dessa forma possvel reconstruir o espao de endereamento virtual de um
processo e recuperar arquivos relacionados a ele que estejam mapeados na memria (van
Baar, Alink, van Ballegooij, 2008).
3.2.1. Processos
Verificar quais arquivos foram abertos por determinado processo pode ser muito til
em uma investigao, pois possvel estabelecer quais as atividades associadas a este
processo. No caso de um malware instalado na mquina, por exemplo, encontrar os arquivos
associados ao processo em execuo pode levar descoberta do cdigo malicioso armazenado
no disco, que tipo de sada est sendo produzida e onde os dados esto sendo gravados, ou
quais arquivos pr-existentes foram removidos e modificados. Tambm possvel determinar
24
quais as chaves de registro (registry keys) que determinado processo estava acessando atravs
da anlise forense da memria.
Em sistemas UNIX, a estrutura de inodes prov informaes sobre os arquivos
mapeados na memria, como permisses de acesso, identificao dos donos do arquivo, data
e horrio do ltimo acesso e da ltima alterao, tamanho e ponteiros para o arquivo.
25
possvel que o invasor armazene dados que deseja esconder na memria ao invs do
disco rgido, pois a chance de serem descobertos menor, j que a anlise da memria
menos freqente que o exame do disco rgido. Para o invasor, mais seguro ocultar esses
dados na memria, porque sua eliminao tambm mais simples, bastando, por exemplo,
reiniciar a mquina da qual j possui controle.
Enquanto um programa est em execuo, sabe-se que pelo menos parte dele estar
residindo na memria. Porm, quando sua execuo finalizada e a rea de memria que este
ocupava desalocada, no se sabe por quanto tempo os dados persistem ali, devido a uma
26
srie de fatores que tornam o ciclo de vida desses dados no previsvel, como o tipo de
sistema operacional, nvel de atividade do sistema e quantidade de memria disponvel.
Mesmo tendo conhecimento de quais dados possvel extrair da memria, no
possvel medir ao certo a sua persistncia na memria, nem mesmo ter a certeza de quanto
tempo os dados que foram encontrados j estavam ali. Como cada kernel e seu gerenciador de
memria possui implementao prpria, obter metadados associados a tempo sobre a
memria no uma tarefa simples, ao contrrio de uma anlise utilizando MAC Times, por
exemplo, que pode prover informaes temporais sobre os dados no sistema de arquivos.
Alguns sistemas computacionais, independentemente do sistema operacional, quando
so reinicializados apagam os dados anteriores da memria principal. Pode ser importante
levar em considerao esta particularidade ao capturar os dados, para se vislumbrar a
potencial longevidade dos dados que esto na memria.
Conforme citado anteriormente, estudos j questionaram a volatilidade da memria
principal e mostraram que possvel recuperar dados nela presentes durante o funcionamento
do sistema, dependendo da intensidade de utilizao da memria e realocao de suas
pginas, ou at mesmo aps a sua reinicializao.
Para viabilizar a anlise forense baseada na memria RAM, necessrio que o perito
conhea bem procedimentos distintos para coleta de dados, assim como tcnicas para anlise
do contedo obtido. Nesse captulo sero discutidos procedimentos e tcnicas para a forense
de memria, assim como sero apresentadas ferramentas para a aquisio e anlise dos dados
existentes da memria voltil.
arquivos, o que pode ser muito til na anlise de malwares e rootkits. O PEB tambm exibe
onde reside a imagem dos executveis, caminhos das DLLs e as linhas de comando utilizadas
para execuo do processo.
O PEB possui ponteiros para a raiz da rvore de descritores VAD (Virtual Address
Descriptor), uma estrutura que armazena informaes sobre os processos, descrevendo qual
a rea de memria utilizada pelos processos que esto em execuo, alm de outras
informaes relacionadas a cada um. Com base nessa estrutura possvel reconstruir o espao
de endereamento virtual de um processo e recuperar arquivos relacionados a ele que estejam
mapeados na memria.
A Figura 3.1 mostra a representao visual da estrutura VAD tree. Como pode ser
visto, o mapeamento de arquivos utiliza diferentes estruturas de dados. A figura apresenta as
ligaes estabelecidas entre essas estruturas de memria e exibe informaes sobre os
arquivos mapeados em memria. As linhas pontilhadas indicam ponteiros que so apagados
quando um processo finalizado.
Uma das estruturas da rvore VAD, denominada Object Table lista os objetos privados
que esto em uso por um processo: arquivos, chaves de registro (registry keys) ou eventos. Os
arquivos mapeados em memria associados com cada processo podem ser recuperados
percorrendo a estrutura da rvore VAD e encontrando os objetos de interesse. Tal como
acontece com os processos que foram finalizados, arquivos que foram fechados permanecem
na memria, apesar no serem elencados nas listas mantidas pelo sistema operacional, e assim
devem ser recuperados atravs de mtodos alternativos. O processo de reconstruo de tais
arquivos similar ao de reconstruir arquivos que foram removidos de um disco rgido,
embora o processo seja mais complexo com a memria, pelo fato desta ser mais fragmentada.
Geralmente, observando a estrutura Page Table possvel recuperar estes arquivos mesmo
que no estejam ativos na memria. A rea da memria denominada Control Area mantm os
vnculos entre nomes de arquivos e seus dados que foram armazenados nas pginas de
memria. Caso esta rea ainda esteja presente, possvel recuperar tambm o nome do
arquivo (AMARI, 2009).
28
Outra tcnica, mais antiga e menos confivel, mas bastante utilizada para se recuperar
arquivos na memria conhecida como Data Carving ou File Carving. Essa tcnica se baseia
no fato de que cada tipo de arquivo tem uma assinatura diferente, que se refere a determinados
padres de valores que so nicos para aquele tipo de arquivo. Assim, arquivos do tipo zip, ou
com extenses doc e jpeg, por exemplo, tero assinaturas prprias, constituindo padres
nicos. O processo de escavao de dados, buscando pela assinatura, pode ser realizado
linearmente na imagem da memria; se realizado desta forma, arquivos contguos podem ser
recuperados, mas fragmentos de arquivos no. Porm, existem algoritmos de data carving
complexos que so capazes de recuperar arquivos fragmentados utilizando as estruturas que
os descrevem internamente com maior profundidade.
29
Essa tcnica tambm pode ser utilizada para recuperao em discos rgidos, inclusive
com maior xito que em dumps de memria, pois normalmente os sistemas operacionais
buscam no fragmentar os arquivos no disco. Assim, como comum que apenas partes de um
arquivo sejam carregadas na memria, ao invs dele inteiro, mesmo que seja utilizado um
algoritmo eficiente, possvel que as partes que o compem e que so de interesse do
investigador no sejam encontradas, impedindo sua recuperao.
Embora seja uma tcnica que nem sempre garante resultados satisfatrios,
importante que seja considerada e faa parte do kit de ferramentas de um perito forense.
ento pode ser utilizado para percorrer a informao a fim de encontrar partes importantes e
checar com a assinatura previamente mapeada de um processo. Outra checagem o valor
da PageDirectorytable, que deve ser diferente de zero.
Cada processo requer, no mnimo, uma thread; as threads so armazenadas em uma
estrutura que basicamente outra lista de vnculos, semelhante ao que ocorre com os
processos, e fica armazenada no espao de kernel da memria. Dois ponteiros,
ThreadListHead.Flink e ThreadListHead.Blink, so verificados para se confirmar que
apontam para um endereo maior que 0x7fffffff, o que significa que devem apontar para o
espao do kernel na memria.
H tambm outras verificaes importantes que podem ser realizadas, para se verificar
a probabilidade de que os objetos em memria sejam processos ocultos.
Existe uma diversidade de mtodos que podem ser utilizados para fazer a aquisio
dos dados presentes na memria, alguns deles baseados em hardware e outros em software. A
seguir sero apresentados os principais mtodos utilizados para extrao dos dados e alguns
aspectos tcnicos associados. Tendo conhecimento das opes, o perito pode eleger a que
mais se adequa ao sistema alvo e ao caso que est investigando e assim agir com maior
prudncia.
3.4.1. Hardware
com velocidades superiores aos sistemas que no utilizam DMA (Direct Memory Access) e,
alm disso, no enfrentam o problema de algumas verses do Windows que no permitem que
a memria seja acessada em modo usurio. No entanto, no h garantia de que a coleta via
dispositivos firewire ser bem sucedida, pois a memria pode no ser completamente copiada
ou o sistema pode travar durante o processo de aquisio.
A vantagem em se realizar a coleta utilizando solues baseadas em hardware que
esse procedimento menos intrusivo para o sistema. Em uma abordagem com software
preciso rodar um programa que carrega dados na memria, o que pode sobrescrever dados de
interesse que nela esto armazenados. Dependendo da forma em que o software foi
concebido, ele pode precisar utilizar bibliotecas disponveis no sistema operacional, que
podem ter sido manipuladas pelo invasor e no fornecer resultados confiveis. J em uma
coleta efetuada com hardware no so carregados programas no sistema, tornando o contedo
obtido mais confivel e fiel ao original.
As solues baseadas em hardware so opes interessantes principalmente quando o
sistema est bloqueado ou quando a possibilidade de alterao e contaminao do sistema
inaceitvel. A desvantagem que o hardware precisa ser instalado previamente ao incidente,
devido necessidade de reinicializao do sistema, e esse tipo de soluo possui custos mais
elevados.
mtodo que os crash dumps ocorrem apenas quando h falhas no sistema. possvel induzir
um crash dump; no entanto, no Windows, isso requer alterao em uma chave do registro
(registry key) e reinicializao do sistema, ou seja, o ambiente j deve estar preparado para
essa possibilidade antes do incidente, caso contrrio, no ser vlido para a realizao da
coleta do contedo da memria. A Microsoft fornece ferramentas para anlise de crash
dumps.
Mesmo com as particularidades acima descritas, interessante que o perito tenha
familiaridade com a anlise de crash dumps, pois estes podem fornecer informaes
relevantes. Os sistemas operacionais da famlia Windows permitem gerar trs tipos de crash
dumps: pequeno, kernel e completo. O crash dump completo o que contm todo o contedo
da RAM, mas nem todas as verses de Windows permitem gerar um crash dump completo. O
Windows 2003 permite, mas o Windows Vista e Windows 2008 Server no permitem crash
dumps completos em sistemas com mais de 4GB (gigabytes) de memria.
3.4.3. Dumps
3.4.4. Virtualizao
3.4.5. Hibernao
Durante as fases da investigao, possvel que o perito se depare com uma situao
em que no seja necessrio coletar todo o contedo da RAM, bastando-lhe ter acesso ao
contedo da memria utilizado por determinado processo. Existem ferramentas disponveis
para coletar apenas o contedo da memria relacionado a um processo, assim como
informaes adicionais a seu respeito (mdulos carregados, arquivos abertos, etc). Essas
ferramentas no se restringem a coletar apenas a memria fsica utilizada pelo processo, mas
tambm a memria virtual, nos arquivos de paginao. Porm, so aplicveis apenas aos
processos que so visveis e considerados como ativos pelo sistema operacional; processos
ocultados por rootkits, por exemplo, no podem ser analisados com essas ferramentas
especficas.
34
3.5. FERRAMENTAS
PARA
AQUISIO
DE
CONTEDO
DA
MEMRIA RAM
Neste tpico sero apresentadas ferramentas comerciais e gratuitas que podem ser
utilizadas para se realizar a aquisio de memria em sistemas operacionais Windows. A
inteno no cobrir todas as possibilidades existentes, mas apresentar as ferramentas mais
utilizadas pelos profissionais da rea de forense computacional.
3.5.1. DD
Uma ferramenta bastante popular e considerada por muito tempo padro na rea de
forense computacional, o DD (data dumper), foi desenvolvida inicialmente para sistemas
Unix, no exclusivamente para possibilitar o dump da memria, mas tambm para realizar
cpias de discos rgidos, dentre outras funes como a gerao de hashes criptogrficos.
Posteriormente, o DD foi adaptado para rodar sob sistemas operacionais Windows,
permitindo coletar o contedo da memria RAM atravs do acesso ao dispositivo
\Device\PhysicalMemory em modo usurio. No entanto, nas verses mais recentes do
Windows, que vieram aps o Windows 2003 SP1, o acesso a determinadas reas da memria
foi limitado e ento somente os kernel drivers conseguem realizar o dump, tornando a
ferramenta inadequada para essa finalidade em sistemas Windows. Nas verses mais recentes
do DD, o device \\.\PhysicalMemory j no vem mais habilitado.
3.5.4. FastDump
3.5.5. KntDD
KntDD uma ferramenta de aquisio de memria que faz parte da sute KntTools.
Foi desenvolvido visando driblar a restrio de acesso memria fsica (\\.\PhysicalMemory)
em modo usurio existente nas verses mais recentes do sistema operacional Windows.
Atravs dessa ferramenta possvel adquirir imagens em um disco removvel local ou atravs
da rede, nos sistemas com Windows 2000 ou verses posteriores. Ela tambm permite
converter imagens em formato raw para o formato de crash dumps Microsoft, de forma que
os dados possam ser analisados utilizando o Microsoft Debugging Tools.
Essa ferramenta disponibilizada apenas para autoridades da lei ou profissionais de
segurana.
36
3.5.7. Nigilant32
Nigilant32 uma ferramenta desenvolvida pela Agile Risk Management que permite
ao investigador visualizar a imagem de um disco rgido ou da memria e obter informaes
sobre os processos que esto em execuo e das portas que esto abertas no sistema. Essa
ferramenta causa alteraes relativamente pequenas no sistema, pois utiliza menos de 1MB
(megabyte) da memria quando carregado, minimizando assim o impacto causado pelo
processo de aquisio. A verso disponibilizada atualmente beta, e o software pode ser
baixado e utilizado gratuitamente.
FTK Imager uma ferramenta gratuita disponibilizada pela Access Data para
aquisio de imagens forenses. A ferramenta permite criar, principalmente, imagens de discos
37
rgidos em vrios formatos, assim como a captura de arquivos bloqueados pelo sistema. Mas
tambm possibilita a aquisio de dumps da memria RAM e anlise de imagens forenses.
3.5.9. Winen.exe
Winen.exe uma ferramenta de aquisio de memria RAM que faz parte do software
de anlise forense comercial Encase Forensic, considerado padro e amplamente adotado no
mercado. O executvel pode ser rodado atravs de linha de comando ou arquivo de
configurao. possvel execut-lo atravs de um dispositivo USB conectado ao sistema alvo
e o contedo coletado da RAM salvo em um arquivo com extenso .E01. Existem as verses
32-bits e 64-bits.
em
sistemas
operacionais
Windows.
Nessa
seo,
algumas
ferramentas
funcionar adequadamente em alguma situao, possvel que no seja aceita como vlida
para gerar provas em processos judiciais, tornando todo o processo investigativo invlido.
No foi possvel encontrar muitas informaes e documentao disponvel sobre as
ferramentas que sero apresentadas. Os dados so baseados, principalmente, no artigo
publicado por (AMARI, 2009), nos sites oficiais destas ferramentas e na instalao das
mesmas para testes em laboratrio. Deve-se tomar o cuidado de no utiliz-las diretamente no
sistema sob anlise, pois caso ele tenha sido comprometido, pode retornar falsos resultados,
escondendo informaes sobre as aes do invasor. O ideal executar as ferramentas atravs
de um CD, DVD ou dispositivo USB para mitigar esse risco.
39
C:\Volatility>python volatility
Volatile Systems Volatility Framework v1.3
Copyright (C) 2007,2008 Volatile Systems
Copyright (C) 2007 Komoku, Inc.
This is free software; see the source for copying conditions.
There is NO warranty; not even for MERCHANTABILITY or FITNESS FOR A
PARTICULAR PURPOSE.
usage: volatility cmd [cmd_opts]
Run command cmd with options cmd_opts
For help on a specific command, run 'volatility cmd --help'
Supported Internel Commands:
connections
Print list of open connections
connscan
Scan for connection objects
connscan2
Scan for connection objects (New)
datetime
Get date/time information for image
dlllist
Print list of loaded dlls for each process
dmp2raw
Convert a crash dump to a raw dump
dmpchk
Dump crash dump information
files
Print list of open files for each process
hibinfo
Convert hibernation file to linear raw image
ident
Identify image properties
memdmp
Dump the addressable memory for a process
memmap
Print the memory map
modscan
Scan for modules
modscan2
Scan for module objects (New)
modules
Print list of loaded modules
procdump
Dump a process to an executable sample
pslist
Print list of running processes
psscan
Scan for EPROCESS objects
psscan2
Scan for process objects (New)
raw2dmp
Convert a raw dump to a crash dump
regobjkeys
Print list of open regkeys for each process
sockets
Print list of open sockets
sockscan
Scan for socket objects
sockscan2
Scan for socket objects (New)
strings
Match physical offsets to virtual addresses (may
take a while, VERY verbose)
thrdscan
Scan for ETHREAD objects
thrdscan2
Scan for thread objects (New)
vaddump
Dump the Vad sections to files
vadinfo
Dump the VAD info
vadwalk
Walk the vad tree
Supported Plugin Commands:
memmap_ex_2
Print the memory map
41
pslist_ex_1
pslist_ex_3
usrdmp_ex_2
O quadro 3.2 mostra o uso do comando ident, que pode ser utilizado para identificar a
data e hora em que a imagem foi coletada, assim como prover informaes sobre o sistema
operacional no qual foi gerado o dump:
Pode-se utilizar a opo --help com qualquer comando para obter ajuda, conforme
mostra o quadro 3.3.
Para listar os processos que estavam em execuo no momento em que foi gerado o
dump, pode-se utilizar o comando pslist. Como pode ser visto no quadro 3.4, a sada vai
conter o nome do processo, seu identificador (Pid) e identificador do processo-pai (PPid),
alm do horrio em que ele foi iniciado e outras informaes teis.
42
Pid
4
356
540
600
648
660
844
944
1200
1232
1348
1600
1740
1788
1796
1808
1932
404
1572
1580
1588
2016
416
1048
512
784
1440
PPid
0
4
356
356
600
600
648
648
648
648
648
1500
1600
1600
1600
1600
648
648
1600
1572
1580
944
944
1600
1788
512
416
Thds
46
3
11
21
23
25
10
69
7
15
12
14
7
1
1
13
5
4
1
1
5
6
1
25
1
14
1
Hnds
256
21
417
445
289
308
229
1013
67
136
113
394
31
95
53
269
195
125
19
19
154
94
20
626
0
0
23
Time
Thu Jan
Sun May
Sun May
Sun May
Sun May
Sun May
Sun May
Sun May
Sun May
Sun May
Sun May
Sun May
Sun May
Sun May
Sun May
Sun May
Sun May
Sun May
Sun May
Sun May
Sun May
Sun May
Sun May
Sun May
Sun May
Sun May
Sun May
01
22
22
22
22
22
22
22
22
22
22
22
22
22
22
22
22
22
22
22
22
22
22
22
22
22
22
00:00:00
16:53:25
16:53:26
16:53:27
16:53:29
16:53:29
16:53:30
16:53:30
16:53:33
16:53:33
16:53:34
16:53:35
16:53:36
16:53:36
16:53:36
16:53:36
16:53:41
16:53:48
16:54:04
16:54:06
16:54:06
16:54:57
16:55:14
16:57:09
16:58:46
16:58:51
16:58:54
1970
2011
2011
2011
2011
2011
2011
2011
2011
2011
2011
2011
2011
2011
2011
2011
2011
2011
2011
2011
2011
2011
2011
2011
2011
2011
2011
A opo connscan fornece informaes sobre as conexes de rede que estavam ativas
no momento em que os dados foram coletados da memria. J a opo sockets exibe os
sockets abertos no momento em que foi gerado o dump. O comando files exibe os arquivos
abertos para cada processo. possvel especificar o nmero do processo na linha de comando,
para exibir apenas os arquivos abertos por um processo especfico, conforme exemplifica o
quadro 3.5.
O comando dlllist exibe uma lista contendo as DLLs carregadas para cada processo, e
o comando regobjkeys exibe uma lista contendo as chaves de registro abertas por cada
processo, o que pode ser visualizado nos quadros 3.6 e 3.7 respectivamente.
43
44
45
46
Figura 3.2 Tela do visualizador Audit Viewer Aba Files: anlise forense da memria
efetuada com o software Memoryze.
47
Figura 3.3 Tela do visualizador Audit Viewer Aba Registry Keys: anlise forense da
memria efetuada com o software Memoryze.
48
49
50
4. ESTUDO DE CASO
Nesse captulo ser realizado um estudo de caso para anlise forense de malware em
sistema operacional Windows. Pretende-se mostrar que a anlise do contedo da memria
voltil (RAM) pode ser muito importante para um processo de investigao forense. Objetivase, tambm, mostrar como podem ser utilizadas ferramentas de dump e anlise de imagens de
memria apresentadas nesse trabalho, com o intuito de obter evidncias importantes para um
processo de anlise forense.
4.1. CENRIO
C:\Moonsols>win32dd.exe /f dump_forense_malware.dmp
C:\Moonsols>win32dd.exe /f dump_forense_malware.dmp
win32dd - 1.3.1.20100417 - (Community Edition)
Kernel land physical memory acquisition
Copyright (C) 2007 - 2010, Matthieu Suiche <http://www.msuiche.net>
Copyright (C) 2009 - 2010, MoonSols <http://www.moonsols.com>
Name
---File type:
Acquisition method:
Content:
Value
----Raw memory dump file
PFN Mapping
Memory manager physical memory block
Destination path:
dump_forense_malware.dmp
O.S. Version:
(build 2600)
Computer name:
38%
1048048 Kb (
643664 Kb (
1023 Mb)
628 Mb)
2519744 Kb (
2034396 Kb (
2460 Mb)
1986 Mb)
2097024 Kb (
2083280 Kb (
2047 Mb)
2034 Mb)
0 Kb (
0 Mb)
4096 bytes
0x0000000000001000
0x000000003FFFF000
53
Processing....Done.
Acquisition finished at:
Time elapsed:
1073741824 bytes (
(troubleshooting):
written pages:
inacessible pages:
accessible pages:
1024 Mb)
0x00000000
262029
0
262029
38%
1048048 Kb (
646392 Kb (
1023 Mb)
631 Mb)
2519744 Kb (
2034420 Kb (
2460 Mb)
1986 Mb)
2097024 Kb (
2083280 Kb (
2047 Mb)
2034 Mb)
0 Kb (
0 Mb)
4096 bytes
0x0000000000001000
0x000000003FFFF000
Name
convite.com
avguix.exe
Builder.exe
Pid
3084
3408
3508
PPid
4072
3376
3408
Thds
1
2
1
Hnds
107
85
89
Time
Tue May 31 03:10:53 2011
Tue May 31 03:12:41 2011
Tue May 31 03:12:45 2011
As opes connscan e sockets do Volatility tambm poderiam ser bastante teis para
identificao de endereos IP, portas e protocolos em uso pelos programas, mas nesse estudo
de caso no foi possvel obter essas informaes atravs do dump de memria.
especialmente importante mapear quais arquivos, chaves de registro e DLLs esto
sendo utilizados ou foram criados e alterados pelo banker. Isso possvel atravs das opes
files, dlllist e regobjkeys do volatility, como mostram os quadros 4.3, 4.4 e 4.5 para o processo
avguix.exe, cujo PID 3408 e foi executado pelo banker.
Pid: 3408
File
\DOCUME~1\anapaula\CONFIG~1\Temp\IXP000.TMP
File
\WINDOWS\WinSxS\x86_Microsoft.Windows.CommonControls_6595b64144ccf1df_6.0.2600.6028_x-ww_61e65202
File
\WINDOWS\WinSxS\x86_Microsoft.Windows.CommonControls_6595b64144ccf1df_6.0.2600.6028_x-ww_61e65202
File
\WINDOWS\WinSxS\x86_Microsoft.Windows.CommonControls_6595b64144ccf1df_6.0.2600.6028_x-ww_61e65202
0x76f00000
0x76d40000
0x76f90000
0x76f40000
0x76fa0000
0x77b20000
0x27000
0x19000
0x8000
0x2d000
0x6000
0x22000
C:\WINDOWS\system32\DNSAPI.dll
C:\WINDOWS\system32\iphlpapi.dll
C:\WINDOWS\System32\winrnr.dll
C:\WINDOWS\system32\WLDAP32.dll
C:\WINDOWS\system32\rasadhlp.dll
C:\WINDOWS\system32\Apphelp.dll
Pid: 3408
\REGISTRY\MACHINE
\REGISTRY\USER\S-1-5-21-1644491937-1592454029-839522115-1005
\REGISTRY\USER\S-1-5-21-1644491937-1592454029-839522115-1005_CLASSES
\REGISTRY\MACHINE\SOFTWARE\MICROSOFT\INTERNET
EXPLORER\MAIN\FEATURECONTROL\FEATURE_PROTOCOL_LOCKDOWN
\REGISTRY\USER\S-1-5-21-1644491937-1592454029-8395221151005\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS
\REGISTRY\MACHINE\SYSTEM\CONTROLSET001\SERVICES\WINSOCK2\PARAMETERS\PROTOCOL_CATALOG9
\REGISTRY\MACHINE\SYSTEM\CONTROLSET001\SERVICES\WINSOCK2\PARAMETERS\NAMESPACE_CATALOG5
\REGISTRY\MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\ADVANCED
\REGISTRY\MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM
\REGISTRY\MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
\REGISTRY\MACHINE\SYSTEM\CONTROLSET001\SERVICES\TCPIP\LINKAGE
\REGISTRY\MACHINE\SYSTEM\CONTROLSET001\SERVICES\TCPIP\PARAMETERS
\REGISTRY\MACHINE\SYSTEM\CONTROLSET001\SERVICES\NETBT\PARAMETERS\INTERFACES
\REGISTRY\MACHINE\SYSTEM\CONTROLSET001\SERVICES\NETBT\PARAMETERS
No
quadro
4.5,
possvel
perceber
que
chave
************************************************************************
Dumping avguix.exe, pid: 3408
output: executable.3408.exe
56
57
58
5.
CONCLUSES
recursos para realizao da anlise, necessrio que o perito esteja intimamente familiarizado
com o sistema operacional com o qual est trabalhando e como realizado o seu
gerenciamento de memria, para obter maiores ganhos. Em sistemas operacionais Windows,
em especial, at mesmo as verses de service packs distintas possuem grandes diferenas.
medida que as ferramentas so desenvolvidas e ganham novas funcionalidades, novas tcnicas
so oferecidas aos investigadores, o que juntamente com o amadurecimento dos processos e
procedimentos adotados, contribuem para investigaes do tipo Live Forensics.
No mbito corporativo, em especial, importante destacar a importncia da existncia
de polticas de segurana da informao como medida preventiva. A poltica de segurana
deve ser elaborada e divulgada de forma objetiva, clara e concisa e possuir controles
eficientes, permitindo que sua utilizao viabilize a padronizao dos procedimentos
relacionados aos incidentes de segurana. A norma ISO/IEC 27001 fornece diretrizes para a
elaborao de um sistema de gesto de segurana da informao.
muito importante que os sistemas de uma organizao sejam bem conhecidos e
atualizados atravs da aplicao de correes, principalmente as que envolvem patches de
segurana, a fim de evitar a presena de vulnerabilidades. Os analistas responsveis pela
resposta a incidentes e investigao forense da organizao devem se manter atualizados e
estar familiarizados com os sistemas em utilizao, a fim de fornecer resposta rpida quando
necessrio. E, alm disso, precisam estar conhecer bem as ferramentas de coleta de dados que
sero utilizadas, evitando ao mximo a contaminao do ambiente sob investigao. Deve ser
montado um kit de ferramentas e um ambiente de laboratrio que estejam prontos para
utilizao a qualquer momento, pois os incidentes e situaes de emergncia podem acontecer
a qualquer momento.
Tambm preciso investir nas pessoas, na educao dos usurios, que normalmente
so o elo mais fraco e vulnervel do sistema como um todo. A rea de segurana da
informao apoia-se em trs pilares bsicos: processos, pessoas e tecnologia. Assim, para
garantir a segurana de um sistema, no basta apenas manter processos com fluxos e
procedimentos bem elaborados e revisados com freqncia, nem mesmo se basear
exclusivamente na utilizao de recursos e ferramentas de proteo; preciso pensar nos
riscos advindos do envolvimento entre sistemas e pessoas.
Outro ponto importante e que deve ser de conhecimento dos peritos forenses so as
questes legais envolvidas no processo de investigao e inspeo dos sistemas.
Normalmente, lidam com dados sensveis, ento devem ser conscientizados sobre as
60
61
62
6. BIBLIOGRAFIA
[1]
[2]
[3]
[4]
[5]
[6]
[7]
[8]
[9]
[10]
[11]
[12]
[13]
Incident
Response
Essentials.
63
[14]
PALMER, GARY; A Road Map for Digital Forensic Research; Technical Report DTR
T001-01, DFRWS. Report From the First Digital Forensic Research Workshop
(DFRWS), New York, 2001.
[15]
AMARI, KRISTINE; Techniques and Tools for Recovering and Analyzing Data from
Volatile Memory, SANS Institute, 2009.
[16]
[17]
van Baar, R.B.; Alink, W.; van Ballegooij, A.R. ; Forensic memory analysis: Files
mapped in memory; Journal of Digital Investigation; Volume 5; September, 2008.
[18]
SHIREY, R.; RFC 4949: Internet Security Glossary, Version 2; 2007. Acessado em
30/04/2011 em http://www.rfc-editor.org/rfc/rfc4949.txt.
[19]
DAVIS, NAJA; Live Memory Acquisition for Windows Operating Systems: Tools
and Techniques for Analysis; Eastern Michigan University. Acessado 23/04/2011 em
http://www.emich.edu/ia/pdf/research/Live%20Memory%20Acquisition%20for%20Windows
%20Operating%20Systems,%20Naja%20Davis.pdf
[20]
BOILEAU, ADAM; Hit by a Bus: Physical Access Attacks with Firewire; Ruxcon,
2006.
Acessado
em
14/04/2011
em
http://www.securityassessment.com/files/presentations/ab_firewire_rux2k6-final.pdf
[21]
[22]
[23]
[24]
[25]
[26]
MDD.
Mantech
Memory
DD.
Acessado
http://www.mantech.com/capabilities/mdd.asp
em
04/05/2011
em
[27]
[28]
[29]
[30]
[32]
[33]
[34]
[35]
[36]
[37]
65
66
7.
ANEXO I
<SOLICITAO> OU <QUESITOS>
I MATERIAL
O presente Laudo refere-se ao exame do seguinte material:
a) Um disco rgido da marca MAXTOR, modelo MMMMM, nmero de srie
XXAXAXAAAXX, com capacidade nominal de XXGB, referencia interna
XXX/AAAA-SETEC/SR/DPF/EE.
II OBJETIVO
Os exames tm por objetivo extrair e analisar o contedo do material descrito
na seo anterior, atendendo solicitao contida no expediente supracitado.
67
III EXAMES
Inicialmente, foi realizado o levantamento e a identificao do material
enviado para exame, cujos resultados encontram-se na seo I.
Em seguida, por meio de tcnicas forenses apropriadas, o material original foi
duplicado. Esse processo de duplicao consiste na realizao de cpia integral do material
original para outra mdia de armazenamento. Como medida de segurana, os exames foram
realizados sobre a cpia, preservando-se o original.
O material original foi submetido a um processo de garantia de integridade,
cujo resultado e parmetros utilizados foram exportados na forma de arquivo de texto com
extenso .log para o diretrio principal da mdia tica includa anexa a este Laudo.
Os exames objetivaram a anlise e extrao de contedo do material
examinado. Este processo atingiu no apenas os arquivos diretamente acessveis, mas tambm
aqueles previamente apagados.
Os arquivos de interesse ao apuratrio foram extrados e gravados na mdia
tica anexa, agrupados por categorias.
IV CONCLUSO
Os arquivos de interesse ao apuratrio foram selecionados, agrupados e
gravados na mdia tica anexa sob as seguintes categorias:
a) Documentos: arquivos contendo documentos no formato MS Word.
b) Planilhas: arquivos contendo planilhas no formato MS Excel.
c) Planilhas com senha: a senha <LALALALAL>
Os arquivos gravados na mdia tica anexa passaram por um processo de
garantia de integridade baseado no algoritmo Secure Hash Algorithm (SHA) de 256 bits, cujo
resultado encontra-se em um arquivo denominado hashes.txt localizado no diretrio
principal da mdia tica. Por sua vez, o arquivo hashes.txt passa pelo mesmo processo, cujo
resultado encontra-se na Tabela 1.
Tabela 1 Resultado do clculo de integridade do arquivo hashes.txt
CDIGO HASH
68
69
70
71
8.
ANEXO II
Version
2011.06.22.01
7.11.10.61
2.0.3.7
4.8.1351.0
5.0.677.0
10.0.0.1190
7.2
11.00
0.97.0.0
5.3.2.6
9148
5.0.2.03300
7.0.17.0
36.1.8399
4.6.2.117
9.0.16440.0
4.2.257.0
22
T3.1.1.104.0
13.0.900
9.106.4831
9.0.0.837
5.400.0.1158
2010.1D
Last Update
2011.06.22
2011.06.21
2011.06.22
2011.06.21
2011.06.21
2011.06.21
2011.06.22
2011.06.21
2011.06.22
2011.06.22
2011.06.22
2011.06.22
2011.06.21
2011.06.21
2011.06.21
2011.06.22
2011.06.22
2011.06.22
2011.06.22
2011.06.20
2011.06.21
2011.06.21
2011.06.22
2011.06.21
VT Community
not reviewed
Safety score: -
Result
Downloader/Win32.Dloadr
TR/Dldr.Agent.gljj
Win32:Delf-PHN
Win32:Delf-PHN
Downloader.Delf.12.BC
Gen:Trojan.Heur.GG0@YsZg1RpG
Win32.GenHeur.GG@YsZ
Gen:Trojan.Heur.GG0@YsZg1RpG
W32/DLOADR.AY!tr
Gen:Trojan.Heur.GG0@YsZg1RpG
Trojan-Downloader
Trojan/Chifrax.cvp
UDS:DangerousObject.Multi.Generic
Generic Downloader.x!fpl
Generic Downloader.x!fpl
72
Microsoft
NOD32
Norman
nProtect
Panda
PCTools
Prevx
Rising
Sophos
SUPERAntiSpyware
Symantec
TheHacker
TrendMicro
TrendMicro-HouseCall
VBA32
VIPRE
ViRobot
VirusBuster
1.7000
6227
6.07.10
2011-06-21.01
10.0.3.5
7.0.3.5
3.0
23.63.01.03
4.66.0
4.40.0.1006
20111.1.0.186
6.7.0.1.237
9.200.0.1012
9.200.0.1012
3.12.16.2
9653
2011.6.21.4525
14.0.90.0
2011.06.21
2011.06.22
2011.06.21
2011.06.21
2011.06.21
2011.06.21
2011.06.22
2011.06.21
2011.06.22
2011.06.22
2011.06.22
2011.06.22
2011.06.21
2011.06.22
2011.06.21
2011.06.22
2011.06.21
2011.06.21
Trojan:Win32/Dynamer!dtc
a variant of Win32/TrojanDownloader.Delf.QEV
W32/Suspicious_Gen.PKAT
Trojan-PWS/W32.QQPass.529408
Generic Trojan
Downloader.Generic
Mal/Generic-L
Downloader
TROJ_DLOADR.AY
TROJ_DLOADR.AY
TrojanDownloader.Agent.gboy
Trojan.Win32.Generic!BT
Backdoor.Win32.Hupigon.528384.F
Trojan.DL.Agent!vH/IwjyPGlQ
MD5 : 6af757c466f2b4513aded2dae23a2125
SHA1 : 7cb156e9cd8236b0c5b9244d806f8c72548322ef
SHA256: 7e09730269744cd60c8a3c740773cfe05451b6c6d7baa269db833b7f854cfdd2
VT Community
This file has never been reviewed by any VT Community member. Be the first one to comment
on it!
ATTENTION: VirusTotal is a free service offered by Hispasec Sistemas. There are no
guarantees about the availability and continuity of this service. Although the detection rate
afforded by the use of multiple antivirus engines is far superior to that offered by just one
product, these results DO NOT guarantee the harmlessness of a file. Currently, there is not
any solution that offers a 100% effectiveness rate for detecting viruses and malware.
73