Issuu on Google+

Roteiro de atividades

Sessão de aprendizagem 5 Recuperação e análise de evidências


Atividade 1 – Rastreando eventos Um dos objetivos da análise forense é tentar descobrir quando foram realizadas ações na máquina invadida. No sistema que usamos como exemplo, os arquivos de log foram removidos, dificultando a identificação de informações sobre a invasão. Utilizando as ferramentas do pacote forense, tente recuperar todos os arquivos apagados do diretório /var/log da máquina comprometida. Depois, faça um breve relatório sobre o conteúdo de cada arquivo. Você saberia dizer por que alguns deles não se parecem com arquivos de log? A atividade deve ser feita em dupla.


Atividade 1 – Rastreando eventos Mesmo conseguindo recuperar alguns arquivos de log no exercício anterior, ainda existem informações importantes que não foram recuperadas. No disco ainda existem partes dos arquivos de log de e-mail e do servidor web. Juntamente com um colega, procure na internet informações sobre o formato desses logs, e utilize-as para procurar em disco por partes importantes destes logs. Utilize para isso os comandos grep, strings e dcat. A pesquisa deve ser feita em dupla.


Atividade 1 – Rastreando eventos Crie fichas de identificação para as evidências encontradas nos dois exercícios anteriores, conforme mostrado na sessão anterior. Para os arquivos que não foram recuperados totalmente, a evidência que deve ser cadastrada são os inodes onde foram encontrados.


Atividade 2 – Buscando ferramentas na internet Como vimos durante a sessão, arquivos apagados em uma partição Ext3 são difíceis de recuperar. Muitas vezes, realizar o serviço manualmente não é viável. Procure na internet por ferramentas que realizem a recuperação de arquivos em sistemas Ext3, e faça um breve relatório sobre as características de cada ferramenta.


05-atividades