SlideShare una empresa de Scribd logo

Iccyber2012 sandro suffert apura - jacomo picolini teamcymru - desafio forense -publico

Sandro Suffert
Sandro Suffert

Este documento apresenta as informações sobre o Desafio Forense ICCyber 2012, incluindo ferramentas digitais como Sleuthkit, Volatility e Wireshark que podem ser úteis para resolver o desafio. O objetivo é descobrir uma frase final respondendo às etapas do desafio.

1 de 21
Descargar para leer sin conexión
http://apura.com.br
Desafio Forense ICCyber 2012 Sandro Süffert, CTO Jacomo Picolini http://apura.com.br http://team-cymru.com http://blog.suffert.com @teamcymru @suffert @Apura_Oficial @dimmit
Agradecimentos: • Jacomo Piccolini – Team Cymru • Organização do evento (ABEAT/DPF) • Marcos Vinícius • Tiago, Itamar, Ruback • Guilherme Venere (desafio.exe) • Rodrigo, Ronaldo, Fernando, Breno, Helder (APURA) • Você!
Sobre o Desafio: • As informações do Desafio estão no endereço http://www.iccyber.org/2012/avisos/347_desafio-forense-na-iccyber-2012 • Lembre-se: • Diversão e conhecimento acima de tudo! • Respeito a todos os participantes! • Ética! • Novidades serão publicadas nos endereços • http://www.apura.com.br/ • http://blog.suffert.com 4
Este desafio vai abranger a Investigação em vários meios digitais + d a d o s + c o m p l e x i d a d e HD: Bit Byte Setor Cluster Arquivo 1 8bits 512B 8 setores / 4kb 1-n clusters Memória: Bit Byte Página Thread Processo 1 8bits 4kB n páginas n threads Rede: Bit Byte Pacote Stream Sessão 1 8bits n bytes n pacotes n streams
Sobre o Desafio Forense ICCYBER 2012 O desafio se iniciará após esta palestra quando serão informadas as credenciais de acesso à VM e a senha do arquivo /home/user/ desafio.zip O desafio é composto de etapas, cada etapa tem uma dica que leva ao próximo passo. Os ganhadores precisam indicar todas as etapas. Não será aceita uma resposta final sem que seja possível demonstrar que passou pelas etapas. As principais informações necessárias para a solução deste desafio serão apresentadas nesta palestra. Preste atenção, veja os comandos, anote as dicas! O uso da internet esta liberado, na duvida, Google it.
Sobre o Desafio • O desafio termina com uma frase. O primeiro que descobrir a frase deve chamar algum dos responsáveis pelo desafio e dizer a frase e as etapas que foram feitas para descobri-la. • Ao participar do desafio você concorda automaticamente com as regras. • Boa Sorte!!!! 7
Sleuthkit • O Sleuthkit é um conjunto de ferramentas forenses, open source e disponível para diversos sistemas operacionais. • http://www.sleuthkit.org/ - Sucessor do TCT de Farmer e Venema • Para o Desafio temos uma máquina virtual (Ubuntu) configurada com diversas ferramentas, entre elas o sleuthkit. • Vamos agora ver alguns dos comandos que podem ser necessários durante o Desafio. • Lembre-se existem MUITOS outros comandos e ferramentas!!! 8
Sleuthkit • Comando fsstat – fornece informações sobre uma partição • Uso # fsstat /dev/sdb1 9
Sleuthkit • Comando fls – lista informações sobre arquivos e diretórios • Uso # fls –arp –f fat32 /dev/sdb1 10
Sleuthkit • Comando istat – fornece informações sobre um Inode • Uso # istat <partição> <número do inode> 8 x 512 = 4096 = 4k 11
Sleuthkit • Comando icat – mostra o conteúdo de um Inode • Uso # icat /dev/sdb1 <número do Inode> 12
Sleuthkit • Comando dcat – mostra o conteúdo de um setor/bloco • Uso # dcat /dev/sdb1 <número do setor> 13
Volatility Volatility – identificar um dump de memória e listar os processos presentes $ volatility ident –f <dump> $ volatility pslist –f <dump>
Volatility Volatility – listar as conexões estabelecidas $ volatility connscan –f <memory-image.bin>
Volatility python volatility sockscan –f <memory-image.bin>
Volatility Volatility – fazer o dump de espaço de memória utilizado por um um processo específico $ volatility procdump –f <dump> -p <pid> Verificação preliminar de conteúdo de arquivos binários: $ hexdump –C <file.exe> $ strings –a <file.exe>
Wireshark Abrindo um arquivo .pcap no wireshark: $ wireshark file.pcap Decodificando base64: $ echo "dXN1YXJpbzpzZW5oYQ==" | base64 -d usuario:senha
Wireshark Extraindo arquivos transmitidos com o wireshark: Analyze > Follow TCP Stream..
Steghide - esteganografia $ steghide --embed -ef <arq_steg> -cf <imagem_base> -p $ steghide --extract -sf <imagem>
Vamos iniciar o Desafio! Premiação para o 1º lugar: Tablet Google Nexus 7 com Android 4.1 Premiação do 2º ao 3º lugar: Brindes + Convite ICCyber 2013 Premiacao do 4º e 5o: Brindes

Recomendados

Treinamento com SphinxTrain
Treinamento com SphinxTrainTreinamento com SphinxTrain
Treinamento com SphinxTrainGabriel Araujo
 
Web m
Web mWeb m
Web mEasy Communication & Technology
 
Coroner's toolkit
Coroner's toolkitCoroner's toolkit
Coroner's toolkitRodolfo Fonseca
 
KDC Spoofing com Kerberos MIT
KDC Spoofing com Kerberos MITKDC Spoofing com Kerberos MIT
KDC Spoofing com Kerberos MITDiego Santos
 
Kdc spoofing com kerberos mit
Kdc spoofing com kerberos mitKdc spoofing com kerberos mit
Kdc spoofing com kerberos mitMarcelo Fleury
 
Imergindo jvm[Apresentação ]
Imergindo jvm[Apresentação ]Imergindo jvm[Apresentação ]
Imergindo jvm[Apresentação ]Otávio Santana
 
Plataforma java: detalhes da JVM
Plataforma java: detalhes da JVMPlataforma java: detalhes da JVM
Plataforma java: detalhes da JVMCaelum
 
Imergindo na JVM
Imergindo na JVMImergindo na JVM
Imergindo na JVMOtávio Santana
 

Recomendados

Treinamento com SphinxTrain
Treinamento com SphinxTrainTreinamento com SphinxTrain
Treinamento com SphinxTrainGabriel Araujo
 
Web m
Web mWeb m
Web mEasy Communication & Technology
 
Coroner's toolkit
Coroner's toolkitCoroner's toolkit
Coroner's toolkitRodolfo Fonseca
 
KDC Spoofing com Kerberos MIT
KDC Spoofing com Kerberos MITKDC Spoofing com Kerberos MIT
KDC Spoofing com Kerberos MITDiego Santos
 
Kdc spoofing com kerberos mit
Kdc spoofing com kerberos mitKdc spoofing com kerberos mit
Kdc spoofing com kerberos mitMarcelo Fleury
 
Imergindo jvm[Apresentação ]
Imergindo jvm[Apresentação ]Imergindo jvm[Apresentação ]
Imergindo jvm[Apresentação ]Otávio Santana
 
Plataforma java: detalhes da JVM
Plataforma java: detalhes da JVMPlataforma java: detalhes da JVM
Plataforma java: detalhes da JVMCaelum
 
Imergindo na JVM
Imergindo na JVMImergindo na JVM
Imergindo na JVMOtávio Santana
 
Lab so-abertos-unidade8
Lab so-abertos-unidade8Lab so-abertos-unidade8
Lab so-abertos-unidade8Leandro Almeida
 
Talk no Meetup LaravelSP #3
Talk no Meetup LaravelSP #3Talk no Meetup LaravelSP #3
Talk no Meetup LaravelSP #3Wellington Silva
 
Sistemas Distribuídos - Computação Paralela - Introdução
Sistemas Distribuídos - Computação Paralela - IntroduçãoSistemas Distribuídos - Computação Paralela - Introdução
Sistemas Distribuídos - Computação Paralela - IntroduçãoAdriano Teixeira de Souza
 
Discos Rígidos e Unidades de Estado Sólido
Discos Rígidos e Unidades de Estado SólidoDiscos Rígidos e Unidades de Estado Sólido
Discos Rígidos e Unidades de Estado SólidoHenrique Lima
 
Webinar: Conheça o RTOS NuttX
Webinar: Conheça o RTOS NuttXWebinar: Conheça o RTOS NuttX
Webinar: Conheça o RTOS NuttXEmbarcados
 
Vagrant vs docker? Melhor vagrant + docker
Vagrant vs docker? Melhor vagrant + dockerVagrant vs docker? Melhor vagrant + docker
Vagrant vs docker? Melhor vagrant + dockerWellington Silva
 
Docker na vida real
Docker na vida realDocker na vida real
Docker na vida realFernando Ike
 
Linux de A a Z
Linux de A a ZLinux de A a Z
Linux de A a Zflisolmaringa
 
Primeiros passos com o Docker
Primeiros passos com o DockerPrimeiros passos com o Docker
Primeiros passos com o DockerWebSix
 
Soa#cap4.1 gestor de pacotes
Soa#cap4.1 gestor de pacotesSoa#cap4.1 gestor de pacotes
Soa#cap4.1 gestor de pacotesportal_Do_estudante
 
Introdução ao Linux - aula 05
Introdução ao Linux - aula 05Introdução ao Linux - aula 05
Introdução ao Linux - aula 05Renan Aryel
 
Vagrant & Docker: carregue seus ambientes no bolso
Vagrant & Docker: carregue seus ambientes no bolsoVagrant & Docker: carregue seus ambientes no bolso
Vagrant & Docker: carregue seus ambientes no bolsoDiogo Lucas
 
Apresentação docker
Apresentação dockerApresentação docker
Apresentação dockerMarcelo Fleury
 
Docker, facilitando a vida do desenvolvimento
Docker, facilitando a vida do desenvolvimentoDocker, facilitando a vida do desenvolvimento
Docker, facilitando a vida do desenvolvimentoSérgio Lima
 
Comandos Linux Parte 1
Comandos Linux Parte 1Comandos Linux Parte 1
Comandos Linux Parte 1Leo Amorim
 
Iniciando com docker
Iniciando com dockerIniciando com docker
Iniciando com dockerMarcelo Santos
 
Fedora - Config
Fedora - ConfigFedora - Config
Fedora - ConfigLeonor Pina
 
Cap1 exercicios comandos linux resolucao part i
Cap1 exercicios comandos linux resolucao part iCap1 exercicios comandos linux resolucao part i
Cap1 exercicios comandos linux resolucao part iportal_Do_estudante
 
3 FunçòEs Inorganicas
3 FunçòEs Inorganicas3 FunçòEs Inorganicas
3 FunçòEs InorganicasRaquel Gastao Daniel
 
17 sérgio zimmermann2
17 sérgio zimmermann217 sérgio zimmermann2
17 sérgio zimmermann2BIONOV BIOPRODUTOS
 
Demonstração de como é formada a chuva ácida
Demonstração de como é formada a chuva ácidaDemonstração de como é formada a chuva ácida
Demonstração de como é formada a chuva ácidaAline Vasconcelos
 
Funções inorgânicas - Nomenclatura de ácidos e bases
Funções inorgânicas - Nomenclatura de ácidos e basesFunções inorgânicas - Nomenclatura de ácidos e bases
Funções inorgânicas - Nomenclatura de ácidos e basesMatheus Von Sohsten Tavares
 

Más contenido relacionado

La actualidad más candente

Talk no Meetup LaravelSP #3
Talk no Meetup LaravelSP #3Talk no Meetup LaravelSP #3
Talk no Meetup LaravelSP #3Wellington Silva
 
Sistemas Distribuídos - Computação Paralela - Introdução
Sistemas Distribuídos - Computação Paralela - IntroduçãoSistemas Distribuídos - Computação Paralela - Introdução
Sistemas Distribuídos - Computação Paralela - IntroduçãoAdriano Teixeira de Souza
 
Discos Rígidos e Unidades de Estado Sólido
Discos Rígidos e Unidades de Estado SólidoDiscos Rígidos e Unidades de Estado Sólido
Discos Rígidos e Unidades de Estado SólidoHenrique Lima
 
Webinar: Conheça o RTOS NuttX
Webinar: Conheça o RTOS NuttXWebinar: Conheça o RTOS NuttX
Webinar: Conheça o RTOS NuttXEmbarcados
 
Vagrant vs docker? Melhor vagrant + docker
Vagrant vs docker? Melhor vagrant + dockerVagrant vs docker? Melhor vagrant + docker
Vagrant vs docker? Melhor vagrant + dockerWellington Silva
 
Docker na vida real
Docker na vida realDocker na vida real
Docker na vida realFernando Ike
 
Primeiros passos com o Docker
Primeiros passos com o DockerPrimeiros passos com o Docker
Primeiros passos com o DockerWebSix
 
Introdução ao Linux - aula 05
Introdução ao Linux - aula 05Introdução ao Linux - aula 05
Introdução ao Linux - aula 05Renan Aryel
 
Vagrant & Docker: carregue seus ambientes no bolso
Vagrant & Docker: carregue seus ambientes no bolsoVagrant & Docker: carregue seus ambientes no bolso
Vagrant & Docker: carregue seus ambientes no bolsoDiogo Lucas
 
Docker, facilitando a vida do desenvolvimento
Docker, facilitando a vida do desenvolvimentoDocker, facilitando a vida do desenvolvimento
Docker, facilitando a vida do desenvolvimentoSérgio Lima
 
Comandos Linux Parte 1
Comandos Linux Parte 1Comandos Linux Parte 1
Comandos Linux Parte 1Leo Amorim
 
Cap1 exercicios comandos linux resolucao part i
Cap1 exercicios comandos linux resolucao part iCap1 exercicios comandos linux resolucao part i
Cap1 exercicios comandos linux resolucao part iportal_Do_estudante
 

La actualidad más candente (18)

Lab so-abertos-unidade8
Lab so-abertos-unidade8Lab so-abertos-unidade8
Lab so-abertos-unidade8
 
Talk no Meetup LaravelSP #3
Talk no Meetup LaravelSP #3Talk no Meetup LaravelSP #3
Talk no Meetup LaravelSP #3
 
Sistemas Distribuídos - Computação Paralela - Introdução
Sistemas Distribuídos - Computação Paralela - IntroduçãoSistemas Distribuídos - Computação Paralela - Introdução
Sistemas Distribuídos - Computação Paralela - Introdução
 
Discos Rígidos e Unidades de Estado Sólido
Discos Rígidos e Unidades de Estado SólidoDiscos Rígidos e Unidades de Estado Sólido
Discos Rígidos e Unidades de Estado Sólido
 
Webinar: Conheça o RTOS NuttX
Webinar: Conheça o RTOS NuttXWebinar: Conheça o RTOS NuttX
Webinar: Conheça o RTOS NuttX
 
Vagrant vs docker? Melhor vagrant + docker
Vagrant vs docker? Melhor vagrant + dockerVagrant vs docker? Melhor vagrant + docker
Vagrant vs docker? Melhor vagrant + docker
 
Docker na vida real
Docker na vida realDocker na vida real
Docker na vida real
 
Linux de A a Z
Linux de A a ZLinux de A a Z
Linux de A a Z
 
Primeiros passos com o Docker
Primeiros passos com o DockerPrimeiros passos com o Docker
Primeiros passos com o Docker
 
Soa#cap4.1 gestor de pacotes
Soa#cap4.1 gestor de pacotesSoa#cap4.1 gestor de pacotes
Soa#cap4.1 gestor de pacotes
 
Introdução ao Linux - aula 05
Introdução ao Linux - aula 05Introdução ao Linux - aula 05
Introdução ao Linux - aula 05
 
Vagrant & Docker: carregue seus ambientes no bolso
Vagrant & Docker: carregue seus ambientes no bolsoVagrant & Docker: carregue seus ambientes no bolso
Vagrant & Docker: carregue seus ambientes no bolso
 
Apresentação docker
Apresentação dockerApresentação docker
Apresentação docker
 
Docker, facilitando a vida do desenvolvimento
Docker, facilitando a vida do desenvolvimentoDocker, facilitando a vida do desenvolvimento
Docker, facilitando a vida do desenvolvimento
 
Comandos Linux Parte 1
Comandos Linux Parte 1Comandos Linux Parte 1
Comandos Linux Parte 1
 
Iniciando com docker
Iniciando com dockerIniciando com docker
Iniciando com docker
 
Fedora - Config
Fedora - ConfigFedora - Config
Fedora - Config
 
Cap1 exercicios comandos linux resolucao part i
Cap1 exercicios comandos linux resolucao part iCap1 exercicios comandos linux resolucao part i
Cap1 exercicios comandos linux resolucao part i
 

Destacado

Demonstração de como é formada a chuva ácida
Demonstração de como é formada a chuva ácidaDemonstração de como é formada a chuva ácida
Demonstração de como é formada a chuva ácidaAline Vasconcelos
 
Funções inorgânicas - Nomenclatura de ácidos e bases
Funções inorgânicas - Nomenclatura de ácidos e basesFunções inorgânicas - Nomenclatura de ácidos e bases
Funções inorgânicas - Nomenclatura de ácidos e basesMatheus Von Sohsten Tavares
 
Sulfur, gran aliado de la Homepatía
Sulfur, gran aliado de la HomepatíaSulfur, gran aliado de la Homepatía
Sulfur, gran aliado de la HomepatíaJoseRobertoRincon
 
DU Homeo
DU HomeoDU Homeo
DU HomeoYrda77
 
La tinta dels nervis (estudi de l’efecte de les tintes de tatuatge sobre els ...
La tinta dels nervis (estudi de l’efecte de les tintes de tatuatge sobre els ...La tinta dels nervis (estudi de l’efecte de les tintes de tatuatge sobre els ...
La tinta dels nervis (estudi de l’efecte de les tintes de tatuatge sobre els ...CRP del Tarragonès
 
Fitxa formulació tots els composts
Fitxa formulació tots els compostsFitxa formulació tots els composts
Fitxa formulació tots els compostsRafael Alvarez Alonso
 
Les reaccions químiques
Les reaccions químiquesLes reaccions químiques
Les reaccions químiquesbeamoralperez05
 
Rappels de nomenclature en chimie p12
Rappels de nomenclature en chimie p12Rappels de nomenclature en chimie p12
Rappels de nomenclature en chimie p12verchier
 
Clase nomenclatura inorganica 2011
Clase nomenclatura inorganica 2011Clase nomenclatura inorganica 2011
Clase nomenclatura inorganica 2011Segundo Medio
 
The Analytical Methods And Technologies Of Cyanide Chemistry Training
The Analytical Methods And Technologies Of Cyanide Chemistry TrainingThe Analytical Methods And Technologies Of Cyanide Chemistry Training
The Analytical Methods And Technologies Of Cyanide Chemistry Trainingwlipps
 
Chemolithotrophy sulfur oxidation metabolism
Chemolithotrophy sulfur oxidation metabolismChemolithotrophy sulfur oxidation metabolism
Chemolithotrophy sulfur oxidation metabolismDeepika Rana
 

Destacado (20)

3 FunçòEs Inorganicas
3 FunçòEs Inorganicas3 FunçòEs Inorganicas
3 FunçòEs Inorganicas
 
17 sérgio zimmermann2
17 sérgio zimmermann217 sérgio zimmermann2
17 sérgio zimmermann2
 
Demonstração de como é formada a chuva ácida
Demonstração de como é formada a chuva ácidaDemonstração de como é formada a chuva ácida
Demonstração de como é formada a chuva ácida
 
Funções inorgânicas - Nomenclatura de ácidos e bases
Funções inorgânicas - Nomenclatura de ácidos e basesFunções inorgânicas - Nomenclatura de ácidos e bases
Funções inorgânicas - Nomenclatura de ácidos e bases
 
Ácidos del Azufre
Ácidos del AzufreÁcidos del Azufre
Ácidos del Azufre
 
Sulfur, gran aliado de la Homepatía
Sulfur, gran aliado de la HomepatíaSulfur, gran aliado de la Homepatía
Sulfur, gran aliado de la Homepatía
 
DU Homeo
DU HomeoDU Homeo
DU Homeo
 
La tinta dels nervis (estudi de l’efecte de les tintes de tatuatge sobre els ...
La tinta dels nervis (estudi de l’efecte de les tintes de tatuatge sobre els ...La tinta dels nervis (estudi de l’efecte de les tintes de tatuatge sobre els ...
La tinta dels nervis (estudi de l’efecte de les tintes de tatuatge sobre els ...
 
Fitxa formulació tots els composts
Fitxa formulació tots els compostsFitxa formulació tots els composts
Fitxa formulació tots els composts
 
Fitxa tasca 4.sals binaries
Fitxa tasca 4.sals binariesFitxa tasca 4.sals binaries
Fitxa tasca 4.sals binaries
 
Les reaccions químiques
Les reaccions químiquesLes reaccions químiques
Les reaccions químiques
 
Formulacioacids Sals Binaries
Formulacioacids Sals BinariesFormulacioacids Sals Binaries
Formulacioacids Sals Binaries
 
Rappels de nomenclature en chimie p12
Rappels de nomenclature en chimie p12Rappels de nomenclature en chimie p12
Rappels de nomenclature en chimie p12
 
Clase nomenclatura inorganica 2011
Clase nomenclatura inorganica 2011Clase nomenclatura inorganica 2011
Clase nomenclatura inorganica 2011
 
Technip Evolución del mercado de Refinación
Technip Evolución del mercado de RefinaciónTechnip Evolución del mercado de Refinación
Technip Evolución del mercado de Refinación
 
asm 2015 ad v3 52215
asm 2015 ad v3 52215asm 2015 ad v3 52215
asm 2015 ad v3 52215
 
L’Estany roger
L’Estany rogerL’Estany roger
L’Estany roger
 
Nitrogen and sulfur metabolism
Nitrogen and sulfur metabolismNitrogen and sulfur metabolism
Nitrogen and sulfur metabolism
 
The Analytical Methods And Technologies Of Cyanide Chemistry Training
The Analytical Methods And Technologies Of Cyanide Chemistry TrainingThe Analytical Methods And Technologies Of Cyanide Chemistry Training
The Analytical Methods And Technologies Of Cyanide Chemistry Training
 
Chemolithotrophy sulfur oxidation metabolism
Chemolithotrophy sulfur oxidation metabolismChemolithotrophy sulfur oxidation metabolism
Chemolithotrophy sulfur oxidation metabolism
 

Similar a Iccyber2012 sandro suffert apura - jacomo picolini teamcymru - desafio forense -publico

SNMP - Rafael Rodriques
SNMP - Rafael RodriquesSNMP - Rafael Rodriques
SNMP - Rafael Rodriquesmarleigrolli
 
Como Colaborar no Desenvolvimento do Kernel Linux - Fábio Olivé Leite
Como Colaborar no Desenvolvimento do Kernel Linux - Fábio Olivé LeiteComo Colaborar no Desenvolvimento do Kernel Linux - Fábio Olivé Leite
Como Colaborar no Desenvolvimento do Kernel Linux - Fábio Olivé LeiteTchelinux
 
Hackeando um SmartBOX (com android) e instalando Linux & JAVA & OpenDevice
Hackeando um SmartBOX (com android) e instalando Linux & JAVA & OpenDeviceHackeando um SmartBOX (com android) e instalando Linux & JAVA & OpenDevice
Hackeando um SmartBOX (com android) e instalando Linux & JAVA & OpenDeviceRicardo Rufino
 
Análise de malware com software livre
Análise de malware com software livreAnálise de malware com software livre
Análise de malware com software livreDiego Santos
 
C Sharp - Gerenciamento de Memória
C Sharp - Gerenciamento de MemóriaC Sharp - Gerenciamento de Memória
C Sharp - Gerenciamento de MemóriaCDS
 
Debian 6: Instalação e Hardening
Debian 6: Instalação e HardeningDebian 6: Instalação e Hardening
Debian 6: Instalação e HardeningBruna Griebeler
 
Instalando o MySQL em menos de 10 minutos
Instalando o MySQL em menos de 10 minutosInstalando o MySQL em menos de 10 minutos
Instalando o MySQL em menos de 10 minutosAlexandre Almeida
 
Novidades no OpenBSD 4.3 - Leonardo Menezes Vaz
Novidades no OpenBSD 4.3 - Leonardo Menezes VazNovidades no OpenBSD 4.3 - Leonardo Menezes Vaz
Novidades no OpenBSD 4.3 - Leonardo Menezes VazTchelinux
 
Beers & Bytes - O Futuro da virtualização
Beers & Bytes - O Futuro da virtualizaçãoBeers & Bytes - O Futuro da virtualização
Beers & Bytes - O Futuro da virtualizaçãoCarlos Smaniotto
 
TDC2017 | São Paulo - Trilha Containers How we figured out we had a SRE team ...
TDC2017 | São Paulo - Trilha Containers How we figured out we had a SRE team ...TDC2017 | São Paulo - Trilha Containers How we figured out we had a SRE team ...
TDC2017 | São Paulo - Trilha Containers How we figured out we had a SRE team ...tdc-globalcode
 
Desenvolvendo Sistemas de Linux Embarcado - Marcelo Veiga Neves
Desenvolvendo Sistemas de Linux Embarcado - Marcelo Veiga NevesDesenvolvendo Sistemas de Linux Embarcado - Marcelo Veiga Neves
Desenvolvendo Sistemas de Linux Embarcado - Marcelo Veiga NevesTchelinux
 
Desenvolvendo Sistemas de Linux Embarcado - Tchelinux 2009
Desenvolvendo Sistemas de Linux Embarcado - Tchelinux 2009Desenvolvendo Sistemas de Linux Embarcado - Tchelinux 2009
Desenvolvendo Sistemas de Linux Embarcado - Tchelinux 2009Marcelo Veiga Neves
 
MEO Cloud - Python Lisbon Meetup
MEO Cloud - Python Lisbon MeetupMEO Cloud - Python Lisbon Meetup
MEO Cloud - Python Lisbon MeetupAndré Cruz
 
Gerenciamento de Memória
Gerenciamento de MemóriaGerenciamento de Memória
Gerenciamento de MemóriaCDS
 

Similar a Iccyber2012 sandro suffert apura - jacomo picolini teamcymru - desafio forense -publico (20)

SNMP - Rafael Rodriques
SNMP - Rafael RodriquesSNMP - Rafael Rodriques
SNMP - Rafael Rodriques
 
Como Colaborar no Desenvolvimento do Kernel Linux - Fábio Olivé Leite
Como Colaborar no Desenvolvimento do Kernel Linux - Fábio Olivé LeiteComo Colaborar no Desenvolvimento do Kernel Linux - Fábio Olivé Leite
Como Colaborar no Desenvolvimento do Kernel Linux - Fábio Olivé Leite
 
Hackeando um SmartBOX (com android) e instalando Linux & JAVA & OpenDevice
Hackeando um SmartBOX (com android) e instalando Linux & JAVA & OpenDeviceHackeando um SmartBOX (com android) e instalando Linux & JAVA & OpenDevice
Hackeando um SmartBOX (com android) e instalando Linux & JAVA & OpenDevice
 
Análise de malware com software livre
Análise de malware com software livreAnálise de malware com software livre
Análise de malware com software livre
 
C Sharp - Gerenciamento de Memória
C Sharp - Gerenciamento de MemóriaC Sharp - Gerenciamento de Memória
C Sharp - Gerenciamento de Memória
 
Mini-curso CUDA
Mini-curso CUDAMini-curso CUDA
Mini-curso CUDA
 
Minicurso GNU/Linux
Minicurso GNU/LinuxMinicurso GNU/Linux
Minicurso GNU/Linux
 
Debian 6: Instalação e Hardening
Debian 6: Instalação e HardeningDebian 6: Instalação e Hardening
Debian 6: Instalação e Hardening
 
Instalando o MySQL em menos de 10 minutos
Instalando o MySQL em menos de 10 minutosInstalando o MySQL em menos de 10 minutos
Instalando o MySQL em menos de 10 minutos
 
OpenSolaris a Céu Aberto
OpenSolaris a Céu AbertoOpenSolaris a Céu Aberto
OpenSolaris a Céu Aberto
 
Novidades no OpenBSD 4.3 - Leonardo Menezes Vaz
Novidades no OpenBSD 4.3 - Leonardo Menezes VazNovidades no OpenBSD 4.3 - Leonardo Menezes Vaz
Novidades no OpenBSD 4.3 - Leonardo Menezes Vaz
 
Forense Computacional com Software Livre
Forense Computacional com Software LivreForense Computacional com Software Livre
Forense Computacional com Software Livre
 
Beers & Bytes - O Futuro da virtualização
Beers & Bytes - O Futuro da virtualizaçãoBeers & Bytes - O Futuro da virtualização
Beers & Bytes - O Futuro da virtualização
 
Android forensics the hard work
Android forensics the hard workAndroid forensics the hard work
Android forensics the hard work
 
TDC2017 | São Paulo - Trilha Containers How we figured out we had a SRE team ...
TDC2017 | São Paulo - Trilha Containers How we figured out we had a SRE team ...TDC2017 | São Paulo - Trilha Containers How we figured out we had a SRE team ...
TDC2017 | São Paulo - Trilha Containers How we figured out we had a SRE team ...
 
Protegendo Docker
Protegendo DockerProtegendo Docker
Protegendo Docker
 
Desenvolvendo Sistemas de Linux Embarcado - Marcelo Veiga Neves
Desenvolvendo Sistemas de Linux Embarcado - Marcelo Veiga NevesDesenvolvendo Sistemas de Linux Embarcado - Marcelo Veiga Neves
Desenvolvendo Sistemas de Linux Embarcado - Marcelo Veiga Neves
 
Desenvolvendo Sistemas de Linux Embarcado - Tchelinux 2009
Desenvolvendo Sistemas de Linux Embarcado - Tchelinux 2009Desenvolvendo Sistemas de Linux Embarcado - Tchelinux 2009
Desenvolvendo Sistemas de Linux Embarcado - Tchelinux 2009
 
MEO Cloud - Python Lisbon Meetup
MEO Cloud - Python Lisbon MeetupMEO Cloud - Python Lisbon Meetup
MEO Cloud - Python Lisbon Meetup
 
Gerenciamento de Memória
Gerenciamento de MemóriaGerenciamento de Memória
Gerenciamento de Memória
 

Más de Sandro Suffert

2010 2013 sandro suffert memory forensics introdutory work shop - public
2010 2013 sandro suffert memory forensics introdutory work shop - public2010 2013 sandro suffert memory forensics introdutory work shop - public
2010 2013 sandro suffert memory forensics introdutory work shop - publicSandro Suffert
 
Desafios para a Cibersegurança em 2014 e 2016
Desafios para a Cibersegurança em 2014 e 2016Desafios para a Cibersegurança em 2014 e 2016
Desafios para a Cibersegurança em 2014 e 2016Sandro Suffert
 
Iccyber 2012 sandro suffert - apura - evolucao das tecnicas de investigacao...
Iccyber 2012 sandro suffert - apura - evolucao das tecnicas de investigacao...Iccyber 2012 sandro suffert - apura - evolucao das tecnicas de investigacao...
Iccyber 2012 sandro suffert - apura - evolucao das tecnicas de investigacao...Sandro Suffert
 
Forense windows registro_sandro_suffert
Forense windows registro_sandro_suffertForense windows registro_sandro_suffert
Forense windows registro_sandro_suffertSandro Suffert
 
201108 sandro süffert - desafios em forense computacional e resposta a incide...
201108 sandro süffert - desafios em forense computacional e resposta a incide...201108 sandro süffert - desafios em forense computacional e resposta a incide...
201108 sandro süffert - desafios em forense computacional e resposta a incide...Sandro Suffert
 
Forense memoria windows_sandro_suffert_2009_2010
Forense memoria windows_sandro_suffert_2009_2010Forense memoria windows_sandro_suffert_2009_2010
Forense memoria windows_sandro_suffert_2009_2010Sandro Suffert
 
Iccyber 2010 - Sandro Süffert Avanços Tecnológicos
Iccyber 2010 - Sandro Süffert Avanços TecnológicosIccyber 2010 - Sandro Süffert Avanços Tecnológicos
Iccyber 2010 - Sandro Süffert Avanços TecnológicosSandro Suffert
 

Más de Sandro Suffert (7)

2010 2013 sandro suffert memory forensics introdutory work shop - public
2010 2013 sandro suffert memory forensics introdutory work shop - public2010 2013 sandro suffert memory forensics introdutory work shop - public
2010 2013 sandro suffert memory forensics introdutory work shop - public
 
Desafios para a Cibersegurança em 2014 e 2016
Desafios para a Cibersegurança em 2014 e 2016Desafios para a Cibersegurança em 2014 e 2016
Desafios para a Cibersegurança em 2014 e 2016
 
Iccyber 2012 sandro suffert - apura - evolucao das tecnicas de investigacao...
Iccyber 2012 sandro suffert - apura - evolucao das tecnicas de investigacao...Iccyber 2012 sandro suffert - apura - evolucao das tecnicas de investigacao...
Iccyber 2012 sandro suffert - apura - evolucao das tecnicas de investigacao...
 
Forense windows registro_sandro_suffert
Forense windows registro_sandro_suffertForense windows registro_sandro_suffert
Forense windows registro_sandro_suffert
 
201108 sandro süffert - desafios em forense computacional e resposta a incide...
201108 sandro süffert - desafios em forense computacional e resposta a incide...201108 sandro süffert - desafios em forense computacional e resposta a incide...
201108 sandro süffert - desafios em forense computacional e resposta a incide...
 
Forense memoria windows_sandro_suffert_2009_2010
Forense memoria windows_sandro_suffert_2009_2010Forense memoria windows_sandro_suffert_2009_2010
Forense memoria windows_sandro_suffert_2009_2010
 
Iccyber 2010 - Sandro Süffert Avanços Tecnológicos
Iccyber 2010 - Sandro Süffert Avanços TecnológicosIccyber 2010 - Sandro Süffert Avanços Tecnológicos
Iccyber 2010 - Sandro Süffert Avanços Tecnológicos
 

Iccyber2012 sandro suffert apura - jacomo picolini teamcymru - desafio forense -publico

  • 2. Desafio Forense ICCyber 2012 Sandro Süffert, CTO Jacomo Picolini http://apura.com.br http://team-cymru.com http://blog.suffert.com @teamcymru @suffert @Apura_Oficial @dimmit
  • 3. Agradecimentos: • Jacomo Piccolini – Team Cymru • Organização do evento (ABEAT/DPF) • Marcos Vinícius • Tiago, Itamar, Ruback • Guilherme Venere (desafio.exe) • Rodrigo, Ronaldo, Fernando, Breno, Helder (APURA) • Você!
  • 4. Sobre o Desafio: • As informações do Desafio estão no endereço http://www.iccyber.org/2012/avisos/347_desafio-forense-na-iccyber-2012 • Lembre-se: • Diversão e conhecimento acima de tudo! • Respeito a todos os participantes! • Ética! • Novidades serão publicadas nos endereços • http://www.apura.com.br/ • http://blog.suffert.com 4
  • 5. Este desafio vai abranger a Investigação em vários meios digitais + d a d o s + c o m p l e x i d a d e HD: Bit Byte Setor Cluster Arquivo 1 8bits 512B 8 setores / 4kb 1-n clusters Memória: Bit Byte Página Thread Processo 1 8bits 4kB n páginas n threads Rede: Bit Byte Pacote Stream Sessão 1 8bits n bytes n pacotes n streams
  • 6. Sobre o Desafio Forense ICCYBER 2012 O desafio se iniciará após esta palestra quando serão informadas as credenciais de acesso à VM e a senha do arquivo /home/user/ desafio.zip O desafio é composto de etapas, cada etapa tem uma dica que leva ao próximo passo. Os ganhadores precisam indicar todas as etapas. Não será aceita uma resposta final sem que seja possível demonstrar que passou pelas etapas. As principais informações necessárias para a solução deste desafio serão apresentadas nesta palestra. Preste atenção, veja os comandos, anote as dicas! O uso da internet esta liberado, na duvida, Google it.
  • 7. Sobre o Desafio • O desafio termina com uma frase. O primeiro que descobrir a frase deve chamar algum dos responsáveis pelo desafio e dizer a frase e as etapas que foram feitas para descobri-la. • Ao participar do desafio você concorda automaticamente com as regras. • Boa Sorte!!!! 7
  • 8. Sleuthkit • O Sleuthkit é um conjunto de ferramentas forenses, open source e disponível para diversos sistemas operacionais. • http://www.sleuthkit.org/ - Sucessor do TCT de Farmer e Venema • Para o Desafio temos uma máquina virtual (Ubuntu) configurada com diversas ferramentas, entre elas o sleuthkit. • Vamos agora ver alguns dos comandos que podem ser necessários durante o Desafio. • Lembre-se existem MUITOS outros comandos e ferramentas!!! 8
  • 9. Sleuthkit • Comando fsstat – fornece informações sobre uma partição • Uso # fsstat /dev/sdb1 9
  • 10. Sleuthkit • Comando fls – lista informações sobre arquivos e diretórios • Uso # fls –arp –f fat32 /dev/sdb1 10
  • 11. Sleuthkit • Comando istat – fornece informações sobre um Inode • Uso # istat <partição> <número do inode> 8 x 512 = 4096 = 4k 11
  • 12. Sleuthkit • Comando icat – mostra o conteúdo de um Inode • Uso # icat /dev/sdb1 <número do Inode> 12
  • 13. Sleuthkit • Comando dcat – mostra o conteúdo de um setor/bloco • Uso # dcat /dev/sdb1 <número do setor> 13
  • 14. Volatility Volatility – identificar um dump de memória e listar os processos presentes $ volatility ident –f <dump> $ volatility pslist –f <dump>
  • 15. Volatility Volatility – listar as conexões estabelecidas $ volatility connscan –f <memory-image.bin>
  • 16. Volatility python volatility sockscan –f <memory-image.bin>
  • 17. Volatility Volatility – fazer o dump de espaço de memória utilizado por um um processo específico $ volatility procdump –f <dump> -p <pid> Verificação preliminar de conteúdo de arquivos binários: $ hexdump –C <file.exe> $ strings –a <file.exe>
  • 18. Wireshark Abrindo um arquivo .pcap no wireshark: $ wireshark file.pcap Decodificando base64: $ echo "dXN1YXJpbzpzZW5oYQ==" | base64 -d usuario:senha
  • 19. Wireshark Extraindo arquivos transmitidos com o wireshark: Analyze > Follow TCP Stream..
  • 20. Steghide - esteganografia $ steghide --embed -ef <arq_steg> -cf <imagem_base> -p $ steghide --extract -sf <imagem>
  • 21. Vamos iniciar o Desafio! Premiação para o 1º lugar: Tablet Google Nexus 7 com Android 4.1 Premiação do 2º ao 3º lugar: Brindes + Convite ICCyber 2013 Premiacao do 4º e 5o: Brindes