Forense Digital com Kali Linux – Parte 1

Postado por Gerson Raymond em mar 20, 2025 em BÁSICO, DIVERSOS, EXPLORANDO |

Comentários desativados

Forense Digital com Kali Linux

O Modo Forense do Kali Linux, herdado do BackTrack Linux, é uma funcionalidade essencial para análises forenses digitais. Ele é amplamente utilizado por ser de fácil acesso, rápido de inicializar e já inclui as principais ferramentas forense de código aberto. Quando ativado, o Modo Forense garante a integridade dos dados ao evitar alterações no sistema, seguindo duas práticas fundamentais:

Proteção do Disco Rígido Interno:
- O disco rígido interno não é acessado ou alterado.
- Partições de swap não são utilizadas, e nenhum disco interno é montado automaticamente.
- Testes com hashes comprovam que nenhum dado é modificado durante o uso.
Desabilitação da Montagem Automática:
- Mídias removíveis, como pen drives e CDs, não são montadas automaticamente.
- Qualquer ação em mídias requer intervenção direta do usuário, garantindo controle total sobre o processo.

O Modo Forense é ideal para investigações reais, mas é crucial validar as ferramentas forense antes de usá-las em cenários críticos. Além disso, o Kali Linux está em constante evolução, e sugestões de novas ferramentas forense de código aberto são sempre bem-vindas para aprimorar a distribuição.

Descrevemos anteriormente que o Modo Forense do Kali Linux é um ambiente especializado que desativa processos e montagens automáticas, garantindo que nenhum dado seja alterado durante a análise. Isso é essencial para preservar a integridade das evidências em investigações forenses, portanto:

Para ativar o Modo Forense:

Inicie o Kali Linux.
No menu de inicialização (GRUB), selecione Forensic Mode, apenas.

Agora, vamos explanar 10 ferramentas forenses poderosas disponíveis no Kali Linux, com exemplos práticos e comandos detalhados.

1. Autopsy

O Autopsy é uma interface gráfica para o The Sleuth Kit, permitindo a análise de sistemas de arquivos, recuperação de arquivos deletados e investigação de atividades suspeitas.

Passo a Passo:

Iniciar o Autopsy:
```
sudo autopsy
```
Criar um Novo Caso:
- No navegador, acesse http://localhost:9999/autopsy.
- Crie um novo caso e adicione uma imagem forense (por exemplo, imagem.dd).
Analisar o Sistema de Arquivos:
- Use a interface para explorar arquivos, metadados e atividades suspeitas.

Caso de Uso:

Investigar um disco rígido suspeito para identificar arquivos deletados ou atividades maliciosas.

2. Foremost

O Foremost é uma ferramenta de recuperação de arquivos deletados com base em cabeçalhos e rodapés conhecidos.

Passo a Passo:

Recuperar Arquivos Deletados:
```
sudo foremost -t jpg,pdf,doc -i /dev/sdb -o output/
```
- -t jpg,pdf,doc: Tipos de arquivos a serem recuperados.
- -i /dev/sdb: Dispositivo ou imagem a ser analisado.
- -o output/: Diretório de saída para os arquivos recuperados.
Verificar os Arquivos Recuperados:
- Navegue até o diretório output/ para inspecionar os arquivos recuperados.

Caso de Uso:

Recuperar arquivos deletados de um dispositivo de armazenamento após um incidente de segurança.

3. Volatility

O Volatility é uma ferramenta de análise de memória RAM, usada para identificar processos maliciosos, conexões de rede e outras atividades em tempo real.

Passo a Passo:

Analisar um Dump de Memória:
```
volatility -f memoria.dmp imageinfo
```
- -f memoria.dmp: Arquivo de dump de memória.
- imageinfo: Identifica o perfil do sistema.
Listar Processos em Execução:
```
volatility -f memoria.dmp --profile=Win10x64 pslist
```
- pslist: Lista os processos ativos no momento do dump.

Caso de Uso:

Investigar um sistema comprometido para identificar processos maliciosos em execução.

4. Wireshark

O Wireshark é uma ferramenta de análise de tráfego de rede, usada para capturar e inspecionar pacotes em tempo real.

Passo a Passo:

Capturar Tráfego de Rede:
```
sudo wireshark
```
- Selecione a interface de rede e inicie a captura.
Filtrar Tráfego Suspeito:
- Use filtros como http, tcp.port == 80 ou ip.addr == 192.168.1.100 para focar em atividades específicas.
Analisar Pacotes:
- Inspecione pacotes individuais para identificar comunicações maliciosas.

Caso de Uso:

Detectar tráfego suspeito, como comunicação com servidores de comando e controle (C2).

5. Binwalk

O Binwalk é uma ferramenta para análise de firmware e arquivos binários, usada para extrair e inspecionar conteúdos embutidos.

Passo a Passo:

Analisar um Firmware:
```
binwalk firmware.bin
```
- Exibe informações sobre o firmware, como arquivos embutidos e metadados.
Extrair Conteúdos:
```
binwalk -e firmware.bin
```
- -e: Extrai arquivos embutidos para análise.

Caso de Uso:

Investigar um firmware suspeito para identificar backdoors ou códigos maliciosos.

6. Sleuth Kit

O Sleuth Kit é uma coleção de ferramentas de linha de comando para análise forense de sistemas de arquivos.

Passo a Passo:

Listar Arquivos em um Sistema de Arquivos:
```
fls -r -m / imagem.dd
```
- -r: Lista recursivamente.
- -m /: Define o ponto de montagem como raiz.
Extrair um Arquivo Específico:
```
icat imagem.dd 1234 > arquivo_recuperado.txt
```
- 1234: Número do inode do arquivo.

Caso de Uso:

Analisar um sistema de arquivos para identificar arquivos suspeitos.

7. Scalpel

O Scalpel é uma ferramenta de recuperação de arquivos deletados, semelhante ao Foremost, mas com suporte a múltiplos threads.

Passo a Passo:

Configurar o Arquivo de Configuração:
- Edite o arquivo /etc/scalpel/scalpel.conf para incluir os tipos de arquivos desejados.
Recuperar Arquivos Deletados:
```
sudo scalpel /dev/sdb -o output/
```
- /dev/sdb: Dispositivo ou imagem a ser analisado.
- -o output/: Diretório de saída para os arquivos recuperados.

Caso de Uso:

Recuperar arquivos deletados de um dispositivo de armazenamento.

8. dd

O dd é uma ferramenta para criar imagens forenses de dispositivos de armazenamento.

Passo a Passo:

Criar uma Imagem Forense:
```
sudo dd if=/dev/sdb of=imagem.dd bs=4M status=progress
```
- if=/dev/sdb: Dispositivo de origem.
- of=imagem.dd: Arquivo de destino.
- bs=4M: Tamanho do bloco.
- status=progress: Exibe o progresso da operação.

Caso de Uso:

Criar uma cópia bit-a-bit de um dispositivo para análise forense.

9. photorec

O photorec é uma ferramenta de recuperação de arquivos deletados, focada em mídias de armazenamento.

Passo a Passo:

Iniciar o photorec:
```
sudo photorec
```
Selecionar o Dispositivo:
- Escolha o dispositivo a ser analisado.
Recuperar Arquivos:
- Siga as instruções para selecionar o tipo de arquivo e o diretório de saída.

Caso de Uso:

Recuperar arquivos deletados de uma mídia de armazenamento.

10. log2timeline

O log2timeline é uma ferramenta para criar linhas do tempo de eventos a partir de logs e sistemas de arquivos.

Passo a Passo:

Criar uma Linha do Tempo:
```
log2timeline.py timeline.plaso imagem.dd
```
- imagem.dd: Imagem forense a ser analisada.
Visualizar a Linha do Tempo:
```
psort.py -o l2tcsv -w timeline.csv timeline.plaso
```
- -o l2tcsv: Formato de saída CSV.
- -w timeline.csv: Arquivo de saída.

Caso de Uso:

Analisar a sequência de eventos em um sistema comprometido.

Conclusão

O Modo Forense do Kali Linux, combinado com ferramentas como Autopsy, Foremost, Volatility, Wireshark, Binwalk, Sleuth Kit, Scalpel, dd, photorec e log2timeline, oferece um ambiente poderoso para análise forense digital. Essas ferramentas permitem investigar sistemas de arquivos, memória RAM, tráfego de rede e arquivos binários, ajudando a identificar e mitigar ameaças cibernéticas.

Seja você um profissional de segurança ou um entusiasta, dominar essas ferramentas é essencial para realizar análises forenses eficazes e proteger sistemas contra ataques.

Referências Bibliográficas

Kali Linux Documentation
- Título: Kali Linux Tools Listing
- Disponível em: https://www.kali.org/tools/
- Descrição: Lista completa de ferramentas disponíveis no Kali Linux.
Livro: “Digital Forensics with Kali Linux”
- Autor: Shiva V. N. Parasram
- Editora: Packt Publishing
- Ano: 2018
- ISBN: 978-1788625005
- Descrição: Guia prático para usar o Kali Linux em investigações forenses.