Issuu on Google+

Roteiro de atividades

SessĂŁo de aprendizagem 3 Ambiente e ferramentas de anĂĄlise forense (parte 2)


Atividade 1 – Investigando o disco Existe um arquivo escondido em algum lugar no diretório /data, sobre o qual não se sabe nada. O aluno, sozinho ou com um colega, deve utilizar somente as ferramentas básicas vistas nessa sessão para encontrar o arquivo, e sem executá-lo, descobrir suas funcionalidades. O aluno deve preparar um relatório explicando os comandos que utilizou para encontrar o arquivo e para analisar seu conteúdo de modo a descobrir suas funcionalidades. O relatório deve conter o hash do arquivo, tipo, nome e diretório local onde foi encontrado, bibliotecas utilizadas e qualquer informação extra que julgue importante para identificar o arquivo. Existe algum arquivo no sistema do Helix que tenha a mesma assinatura desse arquivo? Se encontrar um arquivo com mesmo hash, inclua isso em seu relatório. Discuta com seus colegas as técnicas, dificuldades e soluções encontradas neste exercício. (Guarde 15 minutos para discussão com os demais alunos.)


Atividade 2 – Uso do Sleuth Kit Utilizando as ferramentas do Sleuth Kit, recupere todos os arquivos removidos da imagem disponível em /data/dev_sda2_root.img. Primeiramente é preciso encontrar esses arquivos, e depois recuperá-los. Faça um relatório com as ferramentas e os passos utilizados para a realização dessa tarefa. Compare também os arquivos recuperados com os arquivos existentes no Live CD do Helix.


Atividade 2 – Uso do Sleuth Kit Junto com um colega, encontre e recupere os arquivos presentes na imagem /data/dev_sda2_root.img que contém o texto “know what to do with”. Isso deve ser feito sem montar a imagem, apenas utilizando as ferramentas do Sleuth Kit. Faça um relatório com os passos e ferramentas necessárias, e discuta com seus colegas as técnicas que poderiam ser utilizadas caso você tivesse acesso ao dispositivo montado, isto é, se fosse possível montar o dispositivo original em um diretório e você tivesse acesso direto aos arquivos, que técnicas poderiam ser utilizadas para realizar a tarefa? Discuta o resultado com outros grupos.


03-atividades