• Home

  • Documents

  • Virtualizacao e Computacao Forense Tony Rodrigues YSTS4 v1
prev
next
out of 22

Virtualizacao e Computacao Forense Tony Rodrigues YSTS4 v1

  • Upload
    ncgois

  • View
    115

  • Download
    0

Embed Size (px)

Citation preview

Virtualizao e Computao Forense You Shot The Sheriff 4 Maio/2010 Tony Rodrigues, CISSP, CFCP inv.forense inv.forense arroba gmail ponto com

Quem sou ? Tony Rodrigues, CISSP, CFCP, Security+ Gestor/TI e Consultor em Segurana de Informaes Perito/Investigador em Computao Forense Blog: http://forcomp.blogspot.com

Virtualizao e Computao Forense

Agenda Introduo Adaptando Tcnicas Virtualizao e Computao Forense Forense em Mquinas Virtuais Mquinas Virtuais como ferramentas de Investigao Mquinas Virtuais X Peritos Concluso

Virtualizao e Computao Forense

Mquinas Virtuais Usa software para emular o hardware Um host pode ter vrias mquinas virtuais sendo executadas Vrios sistemas operacionais diferentes coexistindo no mesmo host Facilidade de backup e restore Otimizao do processamento Setup prtico e rpidoA praticidade tambm pode ser usada contra voc !

Virtualizao e Computao Forense

As mais conhecidas

Virtualizao e Computao Forense

Basicamente ... Possuem uma console para gerenciamento das VMs As VMs so arquivos (Configs, Memria e Disco) Permitem dar pause em uma VM Permitem descartar modificaes feitas depois de um ponto de marcao Permitem adicionar devices virtuais que se conectam aos devices reais do host

Virtualizao e Computao Forense

Nas Corporaes Grande aumento no uso de servidores virtualizados Redundncia de servios Ambientes de homologao Concentrao de servidores com baixa carga de processamento Apoio em estratgias de recuperao de desastres Separao de camadas Distribuio de appliances virtuais

Virtualizao e Computao Forense

Mudana de cenrio implica ...

de tcnicas e ferramentas

Virtualizao e Computao Forense

Virtualizao na Computao Forense Forense em Mquinas Virtuais Mquinas Virtuais como ferramentas de Investigao Mquinas Virtuais X Peritos

Virtualizao e Computao Forense

Forense em Mquinas Virtuais O ambiente de investigao composto por uma ou mais mquinas virtuais Operao de Dead Acquisition mais rpida; Possibilidade de Operao de semi-live Acquisition; Memory Acquisition muito mais simples e rpida; Possibilidade de live analysis sem modificaes (uso do snapshot em produo)Virtualizao e Computao Forense

VM como ferramenta forense Forense de Malware Anlise dinmica de imagem forense Pesquisa de Artefatos Appliances Virtuais

Virtualizao e Computao Forense

VMs em Malware Forensics Anlise de Malware Reengenharia x Tempo

Anlise Esttica x Anlise Dinmica Uso de VMs na Anlise Dinmica de Malware

Virtualizao e Computao Forense

VMs na Anlise Dinmica de Imagens Forenses Imagens Forenses Dead Analysis Anlise Dinmica de Imagem Forense Inicializao pela imagem Abordagem Read-Only Perspectiva do Usurio Ferramentas disponveis

LiveView Projeto da Carnegie Mellon University Cria uma VM compatvel com o VMWare

Virtualizao e Computao Forense

VMs na Anlise Dinmica de Imagens Forenses - II Possibilidade de uso em Resposta a Incidentes e Live Analysis LiveView permite criar VMs para discos rgidos da mquina Read-Only Pode ser usado em conjunto com FResponse para minimizar interaes com o ambiente comprometido

Virtualizao e Computao Forense

VMs na Pesquisa de Artefatos Percia == Anlise de Artefatos (Vestgios) Testes para determinar artefatos Preparar a mquina demanda muito tempo Vrios SOs Mquina precisa ser desmontada ao final

Mquinas Virtuais resolvem o problema

Virtualizao e Computao Forense

Appliances Virtuais para Forense Mquinas Virtuais pr-configuradas Softwares especficos Automount, swap, Journaling e outras funcionalidades desligadas Facilidade de distribuio Melhor opo do que Live CDs para ferramentas baseadas em bancos de dados PyFlag PTK

SANS SIFT VM Brasileira para Computao Forense

Virtualizao e Computao Forense

Mquinas Virtuais X Peritos VMs especficas para atividades maliciosas Os vestgios diretos ficam todos dentro de um mesmo container Wipe do container == Adeus vestgios

Peritos

Pensamento 3D !

Evidncias no esto apenas no HD Corolrio de Harlan Carvey:Ausncia de evidncias uma evidncia

Vestgios de presena de VMs no host

Virtualizao e Computao Forense

ConclusoVirtualizao cresce em utilizao e esse crescimento traz, a reboque, a necessidade de adaptao do Perito em Computao Forense s novas potencialidades e ameaas.

Virtualizao e Computao Forense

Referncias F-Response http://www.f-response.com/ Live View http://liveview.sourceforge.net/ SANS SIFT https://computerforensics2.sans.org/community/downlo ads/ PyFlag http://www.pyflag.net/cgi-bin/moin.cgi PTK http://ptk.dflabs.com/ QEmu http://www.qemu.org/ VMWare http://www.vmware.com/

Virtualizao e Computao Forense

Referncias II XEN http://www.xen.org/ Virtual Box http://www.virtualbox.org/ Virtual PC http://www.microsoft.com/windows/vir tual-pc/ Hyper V http://www.microsoft.com/windowsser ver2008/en/us/hyperv-main.aspx

Virtualizao e Computao Forense

Sugestes de Leitura

http://forcomp.blogspot.com http://www.e-evidence.info

Virtualizao e Computao Forense

Obrigado !

inv.forense arroba gmail ponto com (Tony Rodrigues)

Virtualizao e Computao Forense


Computacao grafica RGB

Computacao grafica RGB

Education
ACII - SL06 - Virtualizacao

ACII - SL06 - Virtualizacao

Education
Fabio virtualizacao (1)

Fabio virtualizacao (1)

Documents
20130521 computacao nuvem

20130521 computacao nuvem

Documents
TCC - Virtualizacao de Sistemas Computacionais

TCC - Virtualizacao de Sistemas Computacionais

Documents
2 virtualizacao

2 virtualizacao

Documents
Computacao Invisivel

Computacao Invisivel

Technology
160104559 79400813 Virtualizacao de Servidores Com Xen

160104559 79400813 Virtualizacao de Servidores Com Xen

Documents
Engenharia da Computacao

Engenharia da Computacao

Documents
Mapa virtualizacao cartaz_folder

Mapa virtualizacao cartaz_folder

Documents
TCC Virtualizacao RafaelTosadore 2012

TCC Virtualizacao RafaelTosadore 2012

Documents
Semana da computacao

Semana da computacao

Technology
Virtualizacao de Servidores Com Xen

Virtualizacao de Servidores Com Xen

Documents
A computacao e_voce_caminhos_para_seguir

A computacao e_voce_caminhos_para_seguir

Technology
Computacao cientifica

Computacao cientifica

Devices & Hardware
TCC VIRTUALIZACAO

TCC VIRTUALIZACAO

Documents
Introducao a computacao

Introducao a computacao

Documents
Implementacao e desempenho da virtualizacao no dcomp ufs

Implementacao e desempenho da virtualizacao no dcomp ufs

Technology
Redes san, Data center e virtualizacao

Redes san, Data center e virtualizacao

Technology
VIrtualização De Servidores: Quarteto Fantastico da Virtualizacao

VIrtualização De Servidores: Quarteto Fantastico da Virtualizacao

Technology
Virtualizacao com-xen

Virtualizacao com-xen

Internet
Apostila Computacao

Apostila Computacao

Documents
Historia da Computacao

Historia da Computacao

Technology
Tony Generico

Tony Generico

Art & Photos
tcc virtualizacao comparacao

tcc virtualizacao comparacao

Documents
Tony & Susan

Tony & Susan

Documents
Fundamentos - Virtualizacao

Fundamentos - Virtualizacao

Documents
Virtualizacao- Problemas e Desafios

Virtualizacao- Problemas e Desafios

Documents
Computacao na 01_introdução

Computacao na 01_introdução

Documents
A computacao forense_e_os_crimes_eletronicos

A computacao forense_e_os_crimes_eletronicos

Documents