08/10/2017 ferramentas | Auditoria e Anlise Forense - A computao forense na anlise de crimes e incidentes

INCIO COLETNEA ARTIGOS EXTRAS CONTATO

DEZ
30 Extraindo a chave de criptografia do WhatsApp com Linux Pesquisar
016

Tweet

Postado por Marcelo Sampaio Like 2

ARQUIVOS DO BLOG
Tenho recebido inmeros contatos sobre problemas com a extrao da chave de criptografia
2016 (6)
do WhatsApputilizando o Microsoft Windows. Particularmente, eu no o utilizo, preferindo o
Linux para tal tarefa e, muitas, muitas outras. Com oMicrosoft Windows, recomendo sempre
2015 (5)
baixar os drivers originais do fabricante e instal-los antes de tentar a extrao, pois 2014 (5)
osdriversbaixados pelo Windows Update invariavelmente apresentam problemas. Isso entre 2013 (12)
outros tantos problemas que acontecem durante operao. Assim resolvi escrever este 2012 (22)
pequeno tutorial para realizar a extrao com oLinux. Como muitos no possuem experincia 2011 (19)
com Linux optei por uma distro baseada no Ubuntu, leve e eficiente, alm de prover uma
instalao simples e descomplicada. Ento vamos l. TAG CLOUD
bloqueador
acesso remoto apreenso
V aosite do Linux Minte baixe a verso que melhor se adequa ao seu equipamento, ou seja, a
cabealho cadeia de custodia chat coliso
de 32 ou 64 bits. Particularmente prefiro aMate, mas sintam-se livres para escolher.
computao
REQUISITOS: forense cdigo-fonte denist

duplicao e-mail email Encase

Sistema operacional Linux; equipamentos exame expresses regulares

Java; ferramentas forense

glossrio hardware hash header log Mac
ADB (Android Debug Bridge);
Time malware manuseio metadados
No dispositvo Android mquina virtual notcias percia

preservao procedimento
Ative aDepurao USB em Opes do desenvolvedor. Caso no aparea no menu, clique rastreamento rastrear RDC Registro
seguidamente na opo Sobre o telefone\Nmero da verso at efetuar o desbloqueio da
do Windows sms software SSD SWGDE
Opes do desenvolvedor;
Time Zone tools utilitrio whatsapp
OAndroiddeve ter a verso 4.0 ou superior.

Aps baixar oLinux voc pode instalar em seu computador ou utiliz-lo atravs da live (seja
em CD ou USB). Caso queira preparar um pendrive USB, utilize o Rufuspara fazer viaMicrosoft CATEGORIAS
Windowsou o gravador de imagens ISO em USB da prpria distroLinuxque voc baixou.

Acesso Remoto
Se voc desejar o Linux Live no ter problemas, entretanto se reiniciar o sistema perder
todas as instalaes que sero feitas em seguida, a no ser que tenha Artefatos Windows
umpendrivepersistente, mas para no complicar vamos seguir.
Dicas
A instalao do Linux Mint bem simples bastando fornecer as resposta solicitadas e
escolhendo a opo de instalao em uma nica partio (Para iniciantes). Duplicao Pericial

Aps a instalao reinicie o sistema e vamos l. Abra o navegador e baixe os arquivos E-mails
necessrios aqui.
Glossrio
Abra um sesso do Terminal (Menu\Terminal). Em seguida instale o Java 8 da seguinte maneira:
Legislao
$ sudo add-apt-repository ppa:webupd8team/java (Digite a sua senha definida na
instalao) Linux Forense

$ sudo apt-get update Log de Eventos

http://www.infocrime.com.br/tag/ferramentas-2/ 1/6
08/10/2017 ferramentas | Auditoria e Anlise Forense - A computao forense na anlise de crimes e incidentes
$ sudo apt-get install oracle-java8-installer
Malwares

Em seguida instale o Android ADB Tools da seguinte maneira:

Mobile

$ sudo apt-get install android-tools-adb

Notcias

Aps concluir as instalaes, siga os passos do post e lembre: Quando descompactar o Procedimentos
arquivo WhatsApp-Key-DB-Extractor-master.zip no altere a estrutura de pasta e nome dos
arquivos. Registro do Windows

Em seguida abra o Cajaconforme a imagem abaixo: Utilitrios

Vdeos

Clique a pasta Downloads ou aquela onde voc fez o download e extrao do

arquivo WhatsApp-Key-DB-Extractor-master.zip e d um clique com o boto direito sobre o
arquivoWhatsAppKeyDBExtract.she selecionePropriedades, marcando Permitir execuo do
arquivo como um programa. BLOGS

Computer Forensics by Lance

Mueller

Forensic Incident Response

int for(ensic){blog;}

REFERNCIAS
Username or Email

IOCE International
Organization on Computer
Evidence
Password Forgot password?

SWGDE Scientific Working

Group on Digital Evidence

SWGIT Scientific Working

LOG IN Group on Imaging Technology
Na pasta onde descompactou digite $ ./WhatsAppKeyDBExtract.shprosseguindo de acordo
Don't have an account? Sign up
com as orientaes doscript (O $ o sinal da linha de comandos noshell ouTerminal). Conecte
o dispositivo quando solicitado. Os arquivos extrados sero copiados na pasta /Extracted
dentro da pasta onde o contedo foi extrado. Dentro dessa pasta voc ter cinco arquivos,
sendo omsgstore.dbo arquivo com os dilogos,wa.dbo arquivo com a agenda de contatos e o FERRAMENTAS
arquivowhatsapp.cryptkeya chave de criptografia para descriptografar os arquivos msgstore-
yyyy-mm-dd.x.db.crypt12 presentes na pasta /sdcard/WhatsApp/Databases. Gaijin Forensic Tools

Pronto a extrao foi realizada. Mitec File Analyser

Abraos a todos e Feliz Ano Novo. National Software Library

Reference

Nirsoft Forensic Tools

Tags: chat, criptografia, ferramentas, forense, procedimento, sms, whatsapp

Open Source Digital Forensics

CONTINUE LENDO > 17 comentrios

CALENDRIO
OUTUBRO 2017

S T Q Q S S D
GO
18 WhatsApp com crypt12 Android 1
016
2 3 4 5 6 7 8
Tweet

Postado por Marcelo Sampaio Like 3 9 10 11 12 13 14 15

http://www.infocrime.com.br/tag/ferramentas-2/ 2/6
08/10/2017 ferramentas | Auditoria e Anlise Forense - A computao forense na anlise de crimes e incidentes

Passou mais de um ano desde o ltimo post sobre o WhatsApp. Apareceu a criptografia ponta S T Q Q S S D
CLOSE
a ponta assegurando que somente os interlocutores possam ler as mensagens e ter acesso as 16 17 18 19 20 21 22
mdias transmitidas, impedindo a interceptao, os arquivos Crypt j esto na verso 12, e
23 24 25 26 27 28 29
outras novidades mais.
30 31
Mas continuamos a abordar como extrair os arquivos necessrios presentes no dispositivo
DEZ
para se obter acesso s mensagens e a chave de criptografia necessria a abrir os
arquivosmsgstore-yyyy-mm-dd.x.db*.

Conforme vimos no post anterior sobre o WhatsApp, os desenvolvedores do aplicativo

desabilitaram a permisso de backup pelo ADB, de seus arquivos, no app manifest, exigindo a
substituio do app pela versosem a restrio de permisso de backup. Mais uma vez temos
novidades com o lanamento de mais uma soluo para extrao da chave de criptografia.
Trata-se de umscriptque realiza os passos do post anterior, mas de forma mais automatizada.

REQUISITOS:

Sistema Windows Vista, 7, 8, 10, Mac OS X, Linux;

Java;

ADB (Android Debug Bridge);

Ative aDepurao USB em Opes do desenvolvedor. Caso no aparea no menu, clique

seguidamente na opo Sobre o telefone\Nmero da verso at efetuar o desbloqueio da
Opes do desenvolvedor;

Android com verso 4.0 ou superior

Preenchido os requisitos baixe os arquivos necessrios aqui. Descompacte e execute o

arquivo WhatsAppKeyExtract.bat, conectando o dispositivo quando solicitado. Os arquivos
extrados sero copiados na pasta /Extracted dentro da pasta onde o contedo foi extrado.
Dentro da pasta voc ter cinco arquivos, sendo o msgstore.db o arquivo com os
dilogos,wa.dbo arquivo com a agenda de contatos e o arquivowhatsapp.cryptkeya chave de
criptografia para descriptografar os arquivos msgstore-yyyy-mm-dd.x.db.crypt12 presentes na
pasta /sdcard/WhatsApp/Databases.

Eu utilizo preferencialmente o Linux como ambiente para realizar as extraes. No Windows

encontro muitos problemas e at deixar o ambiente 100%, tenho um trabalho considervel.

S para lembrar: No possvel abrir os arquivos criptografados sem a chave utilizada para a
codificao.

At o prximo.

Tags: chat, criptografia, ferramentas, forense, procedimento, sms, whatsapp

CONTINUE LENDO > 283 comentrios

AN
30 Estamos de volta
016

Tweet
Postado por Marcelo Sampaio Like 1

Aps seis meses ausente, volto a publicar novos posts. Mais uma vez o trabalho me deixou
sem ter como produzir material para o blog. O laboratrio de Computao Forense onde
trabalho recebeu novos equipamentos esoftwares, o que nos levou a dedicar mais tempo na
leitura dos manuais e no teste do material recebido. Temos dois novos duplicadores da
Tableau, o TD3, que permite operar atravs de interface web ou localmente no dispositivo,
possuindo excelente performance. So mais dois bloqueadores T35u, com interface USB3, para
uso em campo. Outro dispositivo que sobressai o UFED Touch, utilizado largamente na
Operao Lava Jato, responsvel por extrao de grande volume de dados. Quanto aos
softwares estamos utilizando alm do Encase da Guidance, o FTK da AccessData e o IEF da
Magnetic Forensics. Associados a estes recursos vieram novas estaes de trabalho, robustas,

http://www.infocrime.com.br/tag/ferramentas-2/ 3/6
08/10/2017 ferramentas | Auditoria e Anlise Forense - A computao forense na anlise de crimes e incidentes
bem equipadas, hardware de primeira linha, enfim, estamos dedicando um tempo maior para
nos ambientar aos novos recursos, adquiridos com recursos federais pela Secretaria Nacional
de Segurana Pblica, do Ministrio da Justia.

Vamos l.

Tags: bloqueador, equipamentos, ferramentas, hardware, software

CONTINUE LENDO > 0 comentrios

UN
15 Acesso remoto no autorizado LogMeIn
015

Tweet
Postado por Marcelo Sampaio Like 3

Dando continuidade aospostssobre investigao e percia em acesso remoto no autorizado,

vamos abordar o LogMeIn, outro software de acesso remoto bastante popular. A verso
doLogMeIn Client utilizado a verso 1.3.831 (paraWindows) e 4.1.4831 (para MAC).

O LogMeIn efetua o registro das aes do host remoto de duas formas, dependendo do
sistema operacional. Em sistemas Windows,o LogMeInregistra as conexes noLog de Eventos
e as aes no arquivoLogMeIn.log. No Mac OS, os registros so realizados na pasta delogs do
sistema, conforme veremos a seguir:

Windows

%SystemDrive%\ProgramData\LogMeIn

MAC OSX

$HOME/Library/Logs/LogMeIn

O log de Eventos armazena registros com o status do servio LogMeIn Guardian (evento
100/106), conexo e desconexocom endereo IP (102 e 202/105 e 205). O arquivoLogMeIn.log
tambm registra tais eventos alm de informaes mais completas sobre a conexo.

Para a anlise dos logs do LogMeIn, tambm utilizo o Glogg ou o LogExpert, ainda que no gere
arquivos de grandes tamanhos.

Para oLogMeIn pesquise por linhas com os seguintes contedos:

.*Session - .*Logging in as.*

.*Session - .*Logging in successfully.*
.*Session - .*[File Transfer] Read directory contents of.*
.*Session - .*[File Transfer] Read directory contents of.*
.*Session - .*[File Transfer] Read ".*
.*Session - .*[File Transfer] Disconnected.*
.*Session - .*[File Transfer].*Client IP.*

Uma anlise detalhada dolog mostrar mais aes dohost remoto, de acordo com o que tenha
feito mquina remota.Minha recomendao para que se examine todas as linhas dolog em
torno de conexes suspeitas.

At o prximo.

Tags: acesso remoto, expresses regulares, ferramentas, log, logmein, RDC

CONTINUE LENDO > 4 comentrios

http://www.infocrime.com.br/tag/ferramentas-2/ 4/6
08/10/2017 ferramentas | Auditoria e Anlise Forense - A computao forense na anlise de crimes e incidentes

UN
7 Acesso remoto no autorizado TeamViewer
015

Tweet

Postado por Marcelo Sampaio Like 3

Um crescente nmero de queixas de acesso indevido a computadores, realizados de forma

remota, que resultam em perda de dados, acesso a informaes privilegiadas, interrupo de
servios, alteraes de registros e um grande elenco de outros prejuzos, tem elevado o
nmero de solicitaes de percia buscando identificar o meio e o autor do acesso.

Em algunspostsfarei referncia aos ataquesatravs de softwares de acessoremoto, em boa

parte das vezes instalados por pessoas prximas, tcnicos de TI, funcionrios insatisfeitos,
entre outros.

Os softwares de acessoremotoso utilitrios legtimos, desenvolvidos de forma a facilitar a

manuteno distncia, realizao de conferncias, etc., entretanto so frequentemente
utilizados indevidamente. A quantidade de programas grande e nos ateremos queles que
mais demandam percia

TeamViewer
Em um caso recente, uma empresa registrou ocorrncia relatando que em uma determinada
data, vrios servidores foram desativados prejudicando os negcios da empresa. As
investigaes iniciais mostraram que a empresa fazia manuteno dos servidores atravs do
TeamViewer e que, eles prprios desconfiavam que a ferramenta havia sido utilizada
indevidamente para o ataque.

OTeamViewer produz registros dasatividades do utilitrio, gravadas no equipamento alvo, nas

seguintes pastas:

Windows

%SystemDrive%\%ProgramFiles%\TeamViewer\VersionX (X = verso do TeamViewer)

%HomeDrive%\%HomePath%\AppData\Roaming\TeamViewer
%HomeDrive%\%HomePath%\AppData\Local\Temp\TeamViewer\VersionX

Linux (Debian)

/var/log/teamviewer

MAC OS

$HOME/Library/Logs/TeamViewer

Os arquivos que armazenam as informaes de conexo so:

Connections_incoming.txt Arquivo que registra as conexes entrantes composto pelas

colunas de informao Team Viewer ID, Usurio remoto, Data login, Data Logout,
Usuriolocal, Tipodeconexo, ID da sesso.

TeamViewerX_Logfile.log e TeamViewerX_Logfile_OLD.log, que representa o arquivo de log

anterior aps certo prazo decorrido Estes arquivos registram as aes de conexo entre
o host remoto e o host local, mostrando toda atividade gerada entre os dois
computadores, inclusive arquivos transferidos, endereo IPdo host remoto, etc.

Para a anlise dos logs do TeamViewer, utilizo o Glogg ou o LogExpert, que j citei
anteriormente, no post sobre expresses regulares e exatamente por aceit-las, tornam-se
extremamente teis nessa tarefa, ainda que o TeamViewer no gere arquivos de log de
grandes tamanhos.

Atravs dos programas citados procure porlinhas contendo:

Receive.CMD_SESSIONMODE - Para o incio de uma sesso;

client hello received from - Criptografando a sesso;
Receive.CMD_MEETING_AUTHENTICATION - Autenticando;

http://www.infocrime.com.br/tag/ferramentas-2/ 5/6
08/10/2017 ferramentas | Auditoria e Anlise Forense - A computao forense na anlise de crimes e incidentes
CmdUDPPing.PunchReceived - Identifica o endereo IP do host remoto;
CFileTransferThreadServer started - Iniciando uma sesso de transferncia;
Mostra pasta - Pastas visualizadas pelo host remoto;
Processando transferncia de arquivos - Preparando o envio de arquivos;
Enviar arquivo "Caminho do arquivo\Nome do arquivo" - Enviando o arquivo;
Transferncia de arquivos concluda - Concluindo a transferncia do arquivo;

Uma anlise detalhada dolog mostrar mais aes dohost remoto, de acordo com o que tenha
feito mquina remota.

Obs.: Averso utilizada como referncia era 10.0.41404

At o prximo.

Tags: acesso remoto, expresses regulares, ferramentas, log, RDC, teamviewer, utilitrio

CONTINUE LENDO > 0 comentrios

1 2 4 PRX

Copy Protected by Chetan's WP-Copyprotect. UA-41589732-1

http://www.infocrime.com.br/tag/ferramentas-2/ 6/6