Anda di halaman 1dari 17

Ambiente e ferramentas

Disciplina Forense Computacional


Marcelo da Silva Conterato Faculdade Senac Porto Alegre Especializao em Segurana da Informao prof.marcelo.conterato@hotmail.com

Agenda da aula
Hardware Sistema operacional Live-CD Preservao de informaes volteis

Hardware
Quanto mais memria RAM e mais processamento houver, melhor. O espao livre em disco deve ser generoso, algumas vezes podendo analisar centenas de gigabytes. O sistema deve ter baias para conectar os discos de evidncias. Um notebook imprescindvel quando no for possvel remover o disco de evidncia. Alm disso, o investigador deve dispor de equipamentos de rede diversos.

Sistema operacional
Entre os pontos que devem ser levados em considerao na hora de escolher o sistema operacional, podemos citar os seguintes: Familiaridade do investigador com o sistema operacional Disponibilidade de ferramentas Capacidade do sistema operacional de reconhecer diversos tipos de mdias ou sistemas de arquivos diferentes Mecanismos de segurana disponveis no sistema operacional

Sistema operacional
Durante a aula de hoje, usaremos o Linux, por causa de algumas caractersticas deste sistema:
No necessrio adquirir licenas para uso Existe uma gama completa de ferramentas de anlise forense de uso livre Capacidade de acessar qualquer tipo de sistema de arquivos ou parties a partir de configurao no kernel Capacidade de acessar diversos tipos de dispositivos (USB, discos etc) Firewall embutido no kernel e possibilidade de utilizar diversas modificaes no kernel para aumentar a segurana da mquina Disponibilidade de diversas distribuies prontas para anlise forense, facilitando o trabalho de reunir diferentes ferramentas

Sistema operacional
Apesar disso, existem limitaes na utilizao do sistema Linux. Se for necessrio analisar algum executvel para Windows, precisaremos de uma maneira de emular o Windows. A melhor opo utilizar o VMWare, VirtualBox ou outro sistema de emulao, como o Wine. Apesar da escolha pelo Linux, existem timas ferramentas de anlise forense para Windows sem custo, e outras comerciais como o software EnCase.

Live CD
Importante manter as ferramentas atualizadas Existem diversos CDs inicializveis com sistemas Linux: No precisam ser instalados Normalmente no modificam o sistema instalado Podem ser utilizados em um sistema ligado ou como dispositivo de boot em um sistema desligado So atualizados pelos responsveis Contm uma ampla gama de ferramentas

Live CD
O FDTK / Helix / PeriBR / Cali / SIFT so exemplos de distribuies especficas para anlise forense

Elas contm ferramentas para anlise e resposta a incidentes em ambientes Linux. O Helix contm um pacote de ferramentas para anlise em sistemas Windows que ainda estejam ligados.
Pode ser utilizado como um CD de boot em sistemas desligados, ou montado em um sistema ligado para servir como fonte de ferramentas para uma resposta inicial ao incidente.

Hardware forense
Estaes e servidores para computao forense

Hardware forense
Duplicadores de HDs e equipamentos para bloqueio de escrita em mdias digitais

Hardware forense
Wireless Wi-Fi Celulares

Pacote forense
Helix The Coroner's Toolkit Flag-Knoppix FDTK PeriBR Caine Comerciais FTK Forensic Toolkit EnCase

Pacote forense
Helix

Pacote forense
FTK Forensic Toolkit

Pacote forense
EnCase Forensics

Pacote forense
NetWitness

Programas especficos