[Livro]Introdução á Computação Forense

Sinopse

Computação – A computação nos dias atuais é responsável pela automatização de
praticamente todas as nossas atividades, que vão desde o processamento nos
sistemas governamentais ao simples controle de batimentos cardíacos em um
relógio de pulso. Quase tudo que nos cerca, que envolva componentes eletrônicos
está intimamente relacionado com a atividade computacional. De forma bastante
resumida podemos dizer que a computação é a organização e execução de rotinas e
métodos de caráter repetitivo e sua relação com a informação.
Conceito de Perícia – Perícia é ato traduzido por relatório, laudo, documento ou
outra forma de expressão, emitido por profissional que detém conhecimento
específico, em matéria a ser discutida. No caso da perícia criminalística a perícia
será realizada por perito oficial ou, na ausência deste, por perito nomeado pelo juiz
do caso.

Indice

1. Histórico
Conceito de Perícia
Computação – a atividade
História da computação
2. Crimes por computador
Conceito de Computação Forense
Diferença entre Perícia e Resposta a incidentes
Primeiros Crimes
Panorama Atual
Principais Modalidades
Local de crime
Os Computadores
Hardware
Software
1. Sistema operacional
2. Utilitários
3. Aplicativos
3. Terminologia Pericial
Mídia de provas
Mídia de destino
Imagem restaurada
Sistema operacional nativo
Análise ao vivo
Análise off-line
OBJETOS DE PERÍCIA
4. Os computadores
Hardware
Memória
Drives, discos e volumes
O disco rígido
1. Geometria do disco
2. Cabeças de leitura/escrita
3. Trilha
4. Setor
5. Cilindro
6. Setor absoluto
O layout do disco rígido
1. Master Boot Record (MBR)
2. Partition Table (Tabela de Partição)
3. Extended DOS Partition (Partição Estendida do DOS)
4. Volume Sector Boot (Setor de Inicialização do Volume)
5. Inter-Partition Space (Espaço Entre Partições)
Software
Sistemas operacionais
Sistemas de arquivos
1. FAT (File Allocation Table)
2. NTFS (New Technology File System)
3. EXT2
4. CDFS
5. HFS e HFS+
6. UFS
Conceitos em sistema de arquivos
1. Clusters
2. Cluster Bitmaps
3. Root Folder (Pasta Raiz)
4. File Entries (Entrada de Arquivos)
5. File Slack (Folga do Arquivo)
6. Logical File Size (Tamanho Lógico do Arquivo)
7. Physical File Size (Tamanho Físico do arquivo)
8. RAM Slack (Folga da RAM)
Conceitos Básicos de rede
Arquitetura
Protocolos – Conceitos
Recursos
Sistemas Operacionais de Rede
Meio físico
TCP/IP
NORMAS E PROCEDIMENTOS
5. Procedimentos Gerais para a Investigação e Perícia de Informática
Coleta de evidências
Busca e apreensão;
Identificação do material apreendido;
Estabelecimento da “Cadeia de custódia”;
Manipulação
Acondicionamento;
Transporte;
Guarda;
Remessa para perícia;
Exames periciais
Recebimento do material;
Identificação do material;
Exames “a quente”;
Duplicação pericial de mídias;
Inicialização segura;
Exames em mídia;
Documentação dos exames;
Elaboração do Laudo Pericial
Abordagem;
Metodologia;
Padrão do documento;
PERÍCIA DOS CRIMES DE INFORMÁTICA
6. Duplicação pericial
Introdução
Duplicação Pericial
Linha de Tempo – Timeline
Imagens Periciais
Soma de Verificação
Cuidados Iniciais
Discos SCSI
Discos IDE
Criando um disco de sistema com inicialização controlada e bloqueio
de escrita
Ferramentas
O Encase
1. Trabalhando com o Encase
2. Adquirindo uma imagem via DOS
O Data Dumper (dd)
1. Trabalhando com o dd
O Ghost
1. Trabalhando com o Ghost
O Safeback
1. Trabalhando com o Safeback
IDENTIFICAÇÃO DE AUTORIA
7. Identificação de autoria
Evidências
Evidências do usuário
1. Analisando arquivos
Evidências do sistema
1. Evidências do sistema na máquina de origem
2. Evidências do sistema na máquina alvo
Senhas e Proteções
1. Passando pelo BIOS
2. Acessando o sistema operacional
3. Imagem do LC
4. Alterando permissões e criptografia nativa
5. Arquivos com senha de proteção
6. Ataque força bruta
7. Ataque dicionário
8. Softwares
9. Elcomsoft Co. Ltd.
10. Accessdata Corp.
11. LostPassword
Protocolo TCP/IP
O endereço IP
Máscara de sub-rede
Características do TCP/IP
Identificando a autoria pela análise de registros (LOG)
Atribuindo um endereço IP
Identificando o autor
Camuflando o IP
IP Spoofing
Proxies
Redes de IP privado
Contas de acesso roubadas
Quiosques e cyercafés
Identificando a autoria em análise de pacotes
A perícia
Confirmando a autoria
Identificando a autoria em análise de arquivos
Ataques via web
Defacement
Detectando ataques
Logs do IIS
Logs do Apache
Analisando logs de ataque
Outros logs
IDS
8. Análise ao vivo
Direcionando a saída de comandos para um arquivo
Nunca no disco examinado
No floppy
Num dispositivo USB (se suportado)
Netcat
Criando um arquivo – >
Acrescentado a um arquivo existente – >>
Dump de memória
Linux
Windows
Examinando processos ativos
Dominando os comandos executados no equipamento
Doskey /history (DOS, Win9x, W2k e WXP)
History (_nix)
Aplicação de comandos no console (prompt)
Iniciando o console (prompt)
Data, usuários logados, portas, conexões, etc.
O RELATÓRIO E A LEGISLAÇÃO
9. O laudo pericial
Documentando o exame
Recebendo os equipamentos
Iniciando os exames
Duplicação Pericial
Encadeamento de ações
Definido a metodologia
Arquivando a documentação
O Laudo Pericial
10.Legislação
Normas e Políticas
Legislações

Imagem

  1. No trackbacks yet.

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s

%d blogueiros gostam disto: