Forense do Linux

Forense do Linux


Este curso irá familiarizar os alunos com todos os aspectos da análise forense do Linux. No final deste curso, os alunos poderão realizar análises ao vivo, capturar dados voláteis, criar imagens de mídia, analisar sistemas de arquivos, analisar tráfego de rede, analisar arquivos, realizar análise de memória e analisar malware em um sistema Linux com acesso livre disponível. e ferramentas de código aberto. Os alunos também obterão um conhecimento profundo de como o Linux funciona nos bastidores.


Uma lista não exaustiva de tópicos a serem abordados inclui: 
  • Resposta ao vivo
    • Primeiro fale com os humanos
      • O que eles acham que aconteceu?
      • Detalhes sobre o (s) sistema (s) de vítimas
    • Kit de resposta de montagem com boas ferramentas conhecidas
      • cdrom preferido como não era provável parte do compromisso
      • USB MS pode ser usado se não houver CDROM
    • Usando o netcat para minimizar a contaminação
    • Coletando dados voláteis
      • data e hora
      • interfaces de rede 
        • redes engraçadas
        • modo promíscuo?
      • conexões de rede
      • portas abertas
      • programas associados a portas
      • processos em execução
      • Abrir arquivos
      • tabelas de roteamento
      • sistemas de arquivos montados
      • módulos do kernel carregados
    • Coletando dados para determinar se a análise morta é justificada
      • versão do kernel
      • tempo de atividade
      • selos de datetime do filesystem
      • valores de hash para arquivos do sistema
      • logins de usuários atuais
      • histórico de login
      • logs do sistema
      • contas de usuário
      • arquivos de histórico do usuário
      • arquivos e diretórios ocultos
      • enviando arquivos suspeitos para um estudo mais aprofundado
    • Dumping RAM
      • Tomar a decisão de despejar RAM
      • Usando fmem
      • Usando o LiME
      • Usando / proc / kcore
  • Adquirindo imagens do sistema de arquivos
    • Usando dd
    • Usando o dcfldd
    • Escrever opções de bloqueio
      • Distribuições forenses do Linux
      • Bloqueador baseado em regras do Udev
  • Analisando imagens do sistema de arquivos
    • Montando imagens
      • Arquivos com informações básicas do sistema
      • Arquivos com informações suspeitas do usuário
      • Examinando logs
      • Arquivos relacionados ao processo
      • Arquivos relacionados à autenticação 
      • Usando ferramentas padrão do Linux para encontrar informações
      • Arquivos estranhos
        • Arquivos regulares em / dev
        • Arquivos do histórico do usuário
        • Arquivos ocultos
        • Arquivos SUID / SGID
        • Detectando arquivos retroativos
      • Recuperando arquivos deletados
        • Encontrando arquivos deletados
        • Tentando recuperar
    • Aproveitando o kit Sleuth (TSK) e autópsia
      • mmls
      • fsstat
      • dstat
      • istat
      • fls e mactime
  • Análise da linha do tempo
    • Quando o sistema foi instalado, atualizado, inicializado, etc.
    • Arquivos recém-criados (malware)
    • Arquivos alterados (trojans)
    • Arquivos no lugar errado (exfiltration)
  • Indo mais fundo nos sistemas de arquivos Linux
    • Editores de disco
      • Active @ Disk Editor
      • Autópsia
    • ExtX
      • Noções básicas
        • Superblocos
        • Entradas de diretório
        • Inodes
        • Blocos de dados
      • Recursos compatíveis compatíveis, incompatíveis e somente leitura
      • Recursos experimentais podem ser instalados
      • Código de inicialização
      • Usando sigfind para encontrar blocos importantes
      • Entendendo os níveis de bloqueio indiretos
      • istat, ils, ifind, icat
      • Links e montagens
      • Hash árvores
      • Journaling
        • jls
        • jcat
      • Localizando dados com blkstat, blkls, blkfind, blkid e blkcalc
      • Relacionando dados encontrados com o grep em um arquivo / aplicativo
        • Encontrando tamanho de bloco, etc.
        • Usando o grep com um arquivo de palavra-chave
        • Ver dados no contexto
        • Associando um arquivo com os dados
      • Excluindo arquivos
      • Pesquisando espaço não alocado
  • Forense da rede
    • Usando snort em capturas de pacotes
    • Usando o tcpstat
    • Separando conversas com o tcpflow
    • Backdoors de rastreamento com tcpflow
  • Arquivo forense
    • Usando assinaturas de arquivos
    • Pesquisando por espaço de troca
    • Reconstrução de navegação na Web
      • Biscoitos
      • Histórico de busca
      • Caches do navegador
    • Arquivos desconhecidos
      • Comparando hashes para saber valores
      • Comando de arquivo
      • Comando de cordas
      • Visualizar símbolos com nm
      • Lendo arquivos ELF 
      • objdump
      • Trazendo armas grandes - gdb
  • Memória Forense 
    • Perfis de Volatilidade
    • Recuperando informações do processo
    • Recuperando Argumentos da Linha de Comandos
    • Reconstruindo Variáveis ​​de Ambiente
    • Listando arquivos abertos
    • Recuperando informações bash
    • Reconstruindo artefatos de rede
    • Informações do Kernel
    • Informações do sistema de arquivos volátil
    • Detectando rootkits no modo de usuário
    • Detectando rootkits do kernel
  • Invertendo Malware Linux
    • Cavando mais fundo no ELF
      • Cabeçalhos
      • Seções
      • Cordas
      • Tabelas de símbolos
      • Cabeçalhos do programa
      • Carregamento do programa
      • Ligação Dinâmica
    • Ferramentas de análise de linha de comando
      • cordas
      • strace
      • ltrace
    • Executando malware (com cuidado)
      • Configuração da máquina virtual
      • Capturando o tráfego de rede
      • Aproveitando o gdb
  • Escrevendo os relatórios
    • Autópsia
    • Dradis
    • Escritório aberto

Vídeos do Curso Forense do Linux