quinta-feira, 8 de julho de 2010

Dois em um - WinTaylor 2.0 e Remnux


Vou aproveitar um post só para falar de duas novidades boas que acabaram de sair do forno.

A primeira delas serve como um petisco para o lançamento do CAINE 2.0. Trata-se da mais nova versão do WinTaylor, a interface montada pelo CAINE para resposta a incidentes. O novo WinTaylor não é apenas um conjunto com novas versões dos utilitários, ele foi totalmente renovado na interface (que está mais fácil de usar do que a anterior, segundo o site) , funcionalidades e conjunto de ferramentas.

A outra novidade apareceu documentada ainda hoje no blog do Sandro Suffert. Trata-se da primeira distribuição Linux no estilo máquina virtual dedicada especificamente à Forense de Malware, chamada de Remnux. Segundo o site do autor, a distribuição contém:
  • Analise de malware em Flash: swftools, flasm, flare
  • Analise de bots IRC: IRC server (Inspire IRCd) e client (Irssi).
  • Monitoramento de rede: Wireshark, Honeyd, INetSim, fakedns e fakesmtp scripts, NetCat
  • Desobfuscação de JavaScript: Firefox com Firebug, NoScript e JavaScript Deobfuscator extensions, Rhino debugger, 2 versões do patched SpiderMonkey, Windows Script Decoder, Jsunpack-n
  • Tratamento de malware de web no laboratório: TinyHTTPd, Paros proxy
  • Analisando shellcode: gdb, objdump, Radare (hex editor+disassembler), shellcode2exe
  • Tratando com executáveis protegidos: upx, packerid, bytehist, xorsearch, TRiD
  • Análise de PDF malicioso: Dider’s PDF tools, Origami framework, Jsunpack-n, pdftk
  • Memory forensics: Volatility Framework e plugins de malwares.
  • Outros utilitários: unzip, strings, ssdeep, feh image viewer, SciTE text editor, OpenSSH server
Alguém já baixou e testou ? Comentários ?

Até o próximo post !
Postado por às Um comentário:
Marcadores: , ,

quarta-feira, 7 de julho de 2010

Podcast StaySafe no ar

O podcast que gravamos recentemente, onde fui convidado pelos produtores Jordan Bonagura e Thiago Bordini, está no ar.

São cerca de duas horas de um bom bate papo sobre Computação Forense. O site do StaySafe também disponibiliza, além do MP3 do podcast para baixar, alguns links sobre assuntos que foram comentados no decorrer do episódio.

Deixo novamente o meu agradecimento por esse convite. Espero que vocês gostem de ouvir o podcast tanto quanto eu gostei de participar. Foi uma experiência muito bacana.

O "icing on the cake" do podcast foi a versão mixada da Carmina Burana. Nota 10 !!

Comentários ?

Até o próximo post !
Postado por às Um comentário:
Marcadores: ,

terça-feira, 6 de julho de 2010

Virtualização e CAINE 2.0 - Parte 5

O título desse post poderia muito bem se chamar "Felipe Melo me deve um feriado". Eu deveria estar agora à beira de uma piscina, curtindo um churrasquinho enquanto Brasil x Uruguai não começa. Isso não vai acontecer por conta de alguns pisões e letargia em campo, e cá estou escrevendo esse bem humorado artigo.

A idéia, na verdade, é comentar que já saiu do forno o vdimount.pl, o script que criei para calcular os dados necessários para montar um arquivo vdi (disco virtual) tanto no Windows como no Linux. Vale lembrar que o funcionamento só é garantido para discos fixos, ou seja, aqueles que já tem seu tamanho final definido e criado desde o início. São a minoria, mas já é alguma coisa. Resta agora que a equipe do VirtualBox libere um utilitário como a VMWare fez em relação ao DiskMount.

O script está disponível no Byte Investigator, cujo link está aqui no blog, na seção de links.

Comentários ??

Até a próxima copa, ops, digo, próximo post ! :O
Postado por às Nenhum comentário:
Marcadores: , , ,

sexta-feira, 2 de julho de 2010

Virtualizacão e CAINE 2.0 - Parte 4

Estamos na quarta parte do nosso conjunto de artigos sobre Virtualização em Computação Forense. No último artigo, mostrei uma técnica que permite montar o arquivo .vdi, que é o disco virtual para Virtual Box, através de uma série de etapas que tem por objetivo localizar dentro do arquivo .vdi o offset da partição a ser montada.

Reconheço que cada uma das etapas vai dar um certo trabalho e, obviamente, poupa-se um pouco de trabalho comprando o WinMount. Porém, criei uma rotina para poupar nosso tempo e fazer o trabalho sujo daqueles cálculos todos. Em breve darei mais notícias dessa rotina.

Seguindo em frente na série de arquivos, imagino que já estejam se pergunto o que afinal faz o CAINE 2.0 no título. Hoje você saberá.

Segunda Técnica: Usando o Sleuth Kit com arquivos virtuais

O Sleuth Kit (TSK) é uma ferramenta que suporta vários tipos de arquivos de imagens forenses. Em cada utilitário do TSK, é possível usar a option -i list para determinar qual tipo ele foi compilado para aceitar. As versões mais novas estão compiladas com a AFFLib que já suporta trabalhar com arquivos vmdk. Com isso, implementações TSK que tenham como resposta AFFLib ao usar o -i list permitem trabalhar diretamente com um arquivo vmdk, como se fosse um AFF, EWF ou mesmo dd. O único segredo nesse caso é colocar -i afflib e o restante fica da mesma forma como em qualquer outro formato.

Por exemplo:

# mmls -i afflib discovirtual.vmdk
# fls -o 63 -i afflib discovirtual.vmdk

Onde o CAINE 2.0 entra nisso ??

É que, dentro das diversas distros de Computação Forense em Live CDs, a única que já vem com os pré-requisitos necessários e já consegue manipular .vmdk sem problemas é a nova versão do CAINE, a versão 2.0. É só esperar para ver.

E o disco virtual .vdi, da Virtual Box ??

Não consegui, até agora, verificar nenhuma opção para o TSK que permita acesso direto para o .vdi. Caso o uso do TSK seja imperativo, pode-se usar as técnicas comentadas na parte 3 desse artigo para extrair uma imagem .dd de dentro do arquivo/disco virtual.

Comentários ?

Até o próximo post !
Postado por às Um comentário:
Marcadores: , , ,
Assinar: Postagens (Atom)