» Últimos artigos

samhain - verificador de integridade de filesystem Honeypot: Aprendendo com o intruso Moscrack, vencendo a WPA com ajuda de um Cluster Usando o http-wp-plugins do Nmap para detectar plugins do Wordpress Protegendo seu WebServer contra o Slowloris HTTP DoS As soluções baseadas em Software Livre são mais seguras que as Proprietárias ?

» Últimas notícias

pfSense 2 Cookbook Até 50% de desconto para as últimas vagas do treinamento Investigação Forense Digital da 4Linux. curso de Pentest Hands On aqui em SP Promoção LINUX + A VirtualLink Consultoria abre vagas para sua Divisão de TI Celulares de segunda mão contêm grande quantidade de dados pessoais

» Últimas dicas

Pacote Oficial Linux LPI Ghost Phisher - suite para ataques de phishing usando Fake DNS, DHCP e BLA, BLA, BLA...! ! ! T50 Experimental Packet Injector Tool Word List Dicas de medidas preventivas contra técnicas avançadas de evasão Instalação do Scanner de Vulnerabilidades OpenVAS3 em um Server - CentOS 5.5 i386/64bits Mais uma ferramenta para análise forense. Conheça o Weaknet Linux! Fortalecendo o kernel Linux com (Debian) Grsecurity (HARDENING)

[Como anunciar?]

» Login

» Top 10 usuários

256610: Luiz Vieira 180048: André 131799: Rubens Queiroz de Almeida 127854: Mauro Risonho de Paula Assumpção A.K.A firebits 106280: Paulo Moraes 87357: Alexandro Silva 50202: Thalysson Sarmento 49561: Denny Roger 47775: Carlos Eduardo Testa, a.k.a ceth 45963: Jorge G Meinhardt

» .Conf

[OpenSSH] sshd_conf - Como criar uma conexão SSH com mais segurança. [Fail2ban] jail.conf - Fail2ban

[Dica] Ferramentas para análise forense

Publicado por Rubens Queiroz de Almeida em 12/05/2010

Login: rubens.queiroz, 131799 pontos Homepage:

[ Hits: 8192 ]

Versão para impressora

Indicar para um amigo

Enviar dica

Ferramentas para análise forense

Sistemas Debian GNU/Linux e derivados possuem uma família de aplicativos que podem ser consultados a partir da palavra chave forensics.

Ao emitir o comando:

# apt-cache search forensic

Temos:

autopsy
Interface gráfica para o programa Sleuthkit.

dcfldd
Versão aperfeiçoada do comando dd para análise forense e segurança.

foremost
Aplicativo forense para recuperação de dados

galleta
Ferramenta forense para análise de cookies do browser Internet Explorer.

libtsk1
Biblioteca para análise forense.

libtsk1-dbg
Biblioteca para análise forense com símbolos de debug.

libtsk1-dev
Arquivos de desenvolvimento para análise forense.

pasco
Ferramenta de análise forense de cache de browsers Internet Explorer.

rdd
Programa de cópia forense.

rifiuti2
Ferramenta de análise da lixeira para sistemas MS Windows.

scalpel
Ferramenta de análise de arquivos de alta performance.

sleuthkit
Conjunto de ferramentas para análise forense.

tct
Conjunto de utilitários para análise forense.

unhide
Ferramenta forense para encontrar processos e portas ocultas.

vinetto
Ferramenta forense para examinar arquivos Thumbs.db.

Para obter informações mais detalhadas sobre alguma destas ferramentas, como por exemplo o pacote sleuthkit, emita o comando:

# apt-cache show sleuthkit

E o resultado:

Description: Tools for forensics analysis
The Sleuth Kit (previously known as TASK) is a collection of UNIX-based
command line file system and media management forensic analysis tools.
The file system tools allow you to examine file systems of a suspect
computer in a non-intrusive fashion. Because the tools do not rely on
the operating system to process the file systems, deleted and hidden
content is shown.
... diversas linhas removidas

Para instalar o pacote:

# apt-get install sleuthkit

Uma vez instalado o pacote, podemos ver seus componentes com o comando:

$ dpkg -L sleuthkit /.
/usr
/usr/bin
/usr/bin/img_cat
/usr/bin/img_stat
/usr/bin/mmls
/usr/bin/mmstat
/usr/bin/dcalc
/usr/bin/dcat
/usr/bin/dls
/usr/bin/ffind
/usr/bin/fls
/usr/bin/fsstat
/usr/bin/ifind
/usr/bin/istat
/usr/bin/jcat
/usr/bin/jls
/usr/bin/hfind
/usr/bin/disk_stat
/usr/bin/disk_sreset
/usr/bin/srch_strings
/usr/bin/sigfind
/usr/bin/sorter
/usr/bin/datastat
/usr/bin/icat-sleuthkit
/usr/bin/ils-sleuthkit
/usr/bin/mactime-sleuthkit
... diversas linhas removidas

Como podemos ver, o pacote sleuthkit é composto por diversos programas. Para cada um deles existe uma página de documentação, que pode ser consultada com o comando man:

$ man img_cat

Com o comando apt-cache você pode pesquisar e descobrir muitas coisas interessantes vinculadas a seus interesses. Basta ter curiosidade e vontade de aprender.

Outras dicas deste autor

Como apagar completamente o conteúdo de um HD

Buck Security: Scanner para sistemas Debian e Ubuntu

APG - Automatic Password Generator

Tripwire: Verificação de integridade de arquivos em servidores

Proteger senhas de usuários contra ataques de dicionário

Leitura recomendada

JBoss - Configurando SSL (habilitando HTTPS)

Como apagar completamente o conteúdo de um HD

Scanner de PHP-LFI (PHP - Local File Inclusion)

segurança no grub

MSF Meterpreter: Quebrando senhas do VNC

Comentários

[1] Comentário enviado por andrezc em 13/05/2010 - 09:38h:

Boa dica! É sempre interessante conhecer as ferramentas de análise forense computacional.

Um abraço.

Contribuir com: [ Artigo | Conf | Dica | Notícia ]

Responsáveis pelo site: Fábio Berbert de Paula / OYS Academy

Site hospedado por:

Segurança Linux

Site especializado em conteúdo de segurança para Linux.

Estatísticas do site Equipe de moderadores FAQ: Perguntas freqüentes Membros da comunidade