05-atividades
-
Upload
clayton-santos -
Category
Documents
-
view
213 -
download
1
description
Transcript of 05-atividades
Atividade 1 – Rastreando eventos
Um dos objetivos da análise forense é tentar descobrir
quando foram realizadas ações na máquina invadida.
No sistema que usamos como exemplo, os arquivos
de log foram removidos, dificultando a identificação
de informações sobre a invasão.
Utilizando as ferramentas do pacote forense, tente
recuperar todos os arquivos apagados do diretório
/var/log da máquina comprometida. Depois, faça um
breve relatório sobre o conteúdo de cada arquivo.
Você saberia dizer por que alguns deles não se
parecem com arquivos de log? A atividade deve ser
feita em dupla.
Atividade 1 – Rastreando eventos
Mesmo conseguindo recuperar alguns arquivos de log
no exercício anterior, ainda existem informações
importantes que não foram recuperadas. No disco
ainda existem partes dos arquivos de log de e-mail e
do servidor web. Juntamente com um colega, procure
na internet informações sobre o formato desses logs,
e utilize-as para procurar em disco por partes
importantes destes logs. Utilize para isso os
comandos grep, strings e dcat. A pesquisa deve ser
feita em dupla.
Atividade 1 – Rastreando eventos
Crie fichas de identificação para as evidências
encontradas nos dois exercícios anteriores, conforme
mostrado na sessão anterior.
Para os arquivos que não foram recuperados
totalmente, a evidência que deve ser cadastrada são
os inodes onde foram encontrados.
Atividade 2 – Buscando ferramentas na
internet
Como vimos durante a sessão, arquivos apagados em
uma partição Ext3 são difíceis de recuperar. Muitas
vezes, realizar o serviço manualmente não é viável.
Procure na internet por ferramentas que realizem a
recuperação de arquivos em sistemas Ext3, e faça um
breve relatório sobre as características de cada
ferramenta.