Embed Size (px)
Citation preview
Coroner’s Toolkit
Um Pouco da História
O Coroner’s Toolkit (TCT) é uma coleção de utilitários forenses escritos por
Wietse Venema e Dan Farmer, o software foi apresentado pela primeira vez
em uma aula da IBM em 1999. Sua distribuição geral aconteceu apenas no
não 2000, nos websites dos autores. Ele foi distribuído de várias maneiras
até se tornar o Sleuth Kit.
Coleta De Dados Com grave-robber
O comando grave-robber coleta as informações, essa ferramenta pode ser utilizada em uma
máquina “ao vivo” ou em um arquivo de imagem do disco. Ele tem por objetivo respeitar a
ordem de volatilidade.
Coleta de dados com grave-robber
1
•Os atributos de todos os comandos e arquivos que o TCT acessa são coletados primeiro.
2
• Informações de status do processo e opcionalmente, a memória de todos os processos em execução.
3
•Arquivos excluídos que ainda estão ativos
4
•Arquivos executáveis de todos os processos
5
•Todos os atributos dos arquivos excluídos
6
• Informações sobre status da rede.
Análise do tempo com mactime
Esse comando recebe todas informações sobre atributos dos arquivos de maneira cronológica,
esta ferramenta foi desenvolvida bem antes do TCT e depois foi adaptada para funcionar neste
ambiente.
Reconstrução de arquivos usando lazarus
Será que quando apagamos um arquivos ele realmente foi apagado?
Todos os sistemas populares dividem o arquivo em blocos de 1.024bytes e 4.096 bytes
Nos sistemas operacionais baseados no UNIX (Distribuições Linux) não se fragmenta os arquivos, já no Windows isso é bem comum.
Se um bloco do disco for semelhante com o anterior o lazarus interpreta como parte do mesmo arquivo.
O lazarus tem o objetivo de fornecer dados não estruturados de maneira que o usuário possa visualizar.
Princípios Básicos Da Ordem Da Coleta De Volatilidade (OOV)
O armazenamento de disco e RAM são os dois repositórios mais óbvios, porém outros dados podem ficar oculto em outras partes. Todos os dados são voláteis e com o passar do tempo a veracidade das informações diminui, assim como a capacidade de recuperar e validar os dados.
Afirmar com extrema certeza a capacidade de reprodução é complicado, principalmente atualmente onde se possui sistemas que se alteram quase que todos os dias. Inicialmente se deseja tanto os dados brutos quanto os processados, além do dados enquanto eles são processados e capturar dados enquanto ele esta sendo processado pode retornar em dois momentos resultados diferentes.
E tais resultados começam a se tornar algo mais cômodo a partir do momento que começamos a falar de dados na casa dos peta bytes e exabytes.
