tag:blogger.com,1999:blog-5330857775951476361.post5154198424703659819..comments2023-09-03T08:31:14.899-03:00Comments on Resposta a Incidentes e Forense Computacional: Tudo (ou quase tudo) que você sempre quis saber sobre Anti-Forense, mas não teve tempo de perguntar na palestraTony Rodrigueshttp://www.blogger.com/profile/03863410663962516872noreply@blogger.comBlogger8125tag:blogger.com,1999:blog-5330857775951476361.post-45712893781361857392010-02-10T19:57:18.113-02:002010-02-10T19:57:18.113-02:00Sandro, meu camarada !
Vi o utilitário, me pareceu...Sandro, meu camarada !<br />Vi o utilitário, me pareceu bastante interessante. Obrigado pela contribuição !!!<br /><br />Abraços,<br /><br />TonyTony Rodrigueshttps://www.blogger.com/profile/03863410663962516872noreply@blogger.comtag:blogger.com,1999:blog-5330857775951476361.post-29342292223653323492010-02-10T18:02:19.821-02:002010-02-10T18:02:19.821-02:00Grande Tony, na correria como sempre mas gostaria ...Grande Tony, na correria como sempre mas gostaria de acrescentar mais informação ao assunto que você já publicou (em vez de criar um post redundante sobre o mesmo tema):<br /><br />Gostei muito da ferramenta "analyzeMFT" - segue o link: http://www.integriography.com/projects/analyzeMFT<br /><br />analyzeMFT - a Python tool to deconstruct the Windows NTFS $MFT <br />file<br /><br />Overview:<br /><br />analyzeMFT.py is designed to fully parse the MFT file from an NTFS filesystem and present the results as accurately as possible in a format that allows further analysis with other tools. At present, it parses the attributes from a $MFT file to produce the following output:<br /><br /> * Record Number<br /> * Good - if the entry is valid<br /> * Active - if the entry is active<br /> * Record type - the type of record<br /> * Record Sequence - the sequence number for the record<br /> * Parent Folder Record Number<br /> * Parent Folder Sequence Number<br /> * For the standard information attribute:<br /> o Creation date<br /> o Modification date<br /> o Access date<br /> o Entry date<br /> * For up to four file name records:<br /> o File name<br /> o Creation date<br /> o Modification date<br /> o Access date<br /> o Entry date<br /> * Object ID<br /> * Birth Volume ID<br /> * Birth Object ID<br /> * Birth Domain ID<br /> * And flags to show if each of the following attributes is present:<br /> o Standard Information, Attribute List, Filename, Object ID, Volume Name, Volume Info, Data, Index Root, Index Allocation, Bitmap, Reparse Point, EA Information, EA, Property Set, Logged Utility Stream<br /> * Notes/Log - Field used to log any significant events or observations relating to this record<br /><br />For each entry in the MFT a record is written to an output file in CSV format.<br /><br />analyzeMFT will run on any system with Python installed. A standalone Windows executable is also available.<br /><br />Grande [ ]!SShttps://www.blogger.com/profile/16456034990657036324noreply@blogger.comtag:blogger.com,1999:blog-5330857775951476361.post-75779935571813980122010-01-04T13:08:30.693-02:002010-01-04T13:08:30.693-02:00Começamos bem o ano !!
Rapaz, esse livro é de cab...Começamos bem o ano !!<br /><br />Rapaz, esse livro é de cabeceira. Leitura obrigatória para a nossa profissão, muito bom mesmo. Quando eu iniciei essa pesquisa, eu o consultei, mas ele não traz as regras de atualização do $FN, então parti para testes mesmo. Concluí exatamente o que vc escreveu, mas tb percebi algumas modificações desse atributo quando em cópias, movimentações e alterações do nome. <br /><br />Eu já vi a sua lista de livros, está excelente. Vou dar uma nova olhada e tentar perceber algum novo para indicar. Acho difícil, pois ela estava bem completa !<br /><br />No mais, bom 2010 para vc !!<br /><br />[]ao,<br /><br />TonyTony Rodrigueshttps://www.blogger.com/profile/03863410663962516872noreply@blogger.comtag:blogger.com,1999:blog-5330857775951476361.post-3346285447318971892010-01-01T18:17:03.957-02:002010-01-01T18:17:03.957-02:00Grande Tony,
Lá vai o primeiro comentário de 201...Grande Tony, <br /><br />Lá vai o primeiro comentário de 2010:<br /><br />Sobre o atributo $FILE_NAME (Type Identifier: 48), ele realmente praticamente duplica o que existe no $STANDARD_INFORMATION. <br /><br />Existem 2 $FILE_NAME para cada entrada da MFT (um da própria entrada e outro no index do diretório pai) - e como você sabe os valores podem divergir..<br /><br />Como o Windows normalmente não atualiza estes valores, os timestamps presentes no $FILE_NAME ficam inalteradas e são chave para identificação de alterações e para ótimas ferramentas e posts sobre Anti-Anti-Forense =)<br /><br />---<br /><br />PS: Uma ótima referência sobre o atributo NTFS $FILE_NAME e obviamente sobre File Systems em geral é o ótimo livro "File System Forensics Analysis" (capítulo 12) do Brian Carrier. (Aliás depois dá uma olhada nos livros que listei em http://bit.ly/6JTkhy - e se possível, contribua com alguns breves "reviews" de títulos!)<br /><br />Um excelente 2010 para nós todos, camarada!SShttps://www.blogger.com/profile/16456034990657036324noreply@blogger.comtag:blogger.com,1999:blog-5330857775951476361.post-41887699413370807072009-12-30T03:21:53.971-02:002009-12-30T03:21:53.971-02:00Sandro, meu camarada !
Eu já tinha lido esse arti...Sandro, meu camarada !<br /><br />Eu já tinha lido esse artigo. Aliás, os artigos do Lance Mueller são sempre muito bons. Pena que ele disponibiliza o Enscript no formato compilado, e não deu para bater a lógica que ele usou com a que usei no meu script perl. Fizemos basicamente o mesmo tipo de pesquisa, criando e "bulinando" com os arquivos, acompanhando as respectivas alterações nos atributos SIA e FN. O que acontece nos SIA bate com a documentação da MS, já no FN eu n achei nada e as regras que eu usei no script foram empíricas. Imagino que as do Lance tb. Bom, no fim das contas tanto esse trabalho dele quanto o meu tem a mesma raiz, que é uma palestra na Black Hat da turma do Metasploit AntiForensics Project. É bem conhecida, tenho certeza que vc já deve ter lido. <br /><br />Estou escrevendo a parte 2 desse artigo, onde vou falar outras possibilidades de comparação de timestamps para mostrar arquivos suspeitos de terem passado por anti-forense. Espero publicá-lo logo !<br /><br />No mais, bom 2010 para vc e família ! AbraçãoTony Rodrigueshttps://www.blogger.com/profile/03863410663962516872noreply@blogger.comtag:blogger.com,1999:blog-5330857775951476361.post-49799864351904018642009-12-30T01:21:36.570-02:002009-12-30T01:21:36.570-02:00Olá Tony, quando vi este seu post me relembrei de ...Olá Tony, quando vi este seu post me relembrei de um post do começo do ano que abordava este mesmo assunto de Anti-Anti-Forensics utilizando a mesma abordagem também (MFT, SIA, FNA) e um Enscript para identificar isto automaticamente..<br /><br />Caso você não tenha lido ainda, vale a olhada: http://www.forensickb.com/2009/02/detecting-timestamp-changing-utlities.html<br /><br />[ ]s e ótimo 2010!<br /><br />Sandro Süffert<br />http://blog.suffert.comSShttps://www.blogger.com/profile/16456034990657036324noreply@blogger.comtag:blogger.com,1999:blog-5330857775951476361.post-39068496330419817372009-12-16T14:50:10.900-02:002009-12-16T14:50:10.900-02:00O timestamp de arquivo no NTFS é um numero em 64-b...O timestamp de arquivo no NTFS é um numero em 64-bit que significa o número de centésimos de nanosegundos desde 1601, se nao me engano. A maior data possível seria, em tese, se todos os bits estiverem em um. Eu tenho aqui um utilitário chamado Dcode que faz a decodificação para esse tipo de dado, e estranhamente ele n deixa ir até o máximo. Só consegui setar em 0x01FEFFFFFFFFFFFF, o que chega perto de 2048, +- ...<br />O meu script tb verifica isso, de ter timestamps com datas futuras. Nunca vi usarem na prática, porém ...<br /><br />[]s<br /><br />TonyTony Rodrigueshttps://www.blogger.com/profile/03863410663962516872noreply@blogger.comtag:blogger.com,1999:blog-5330857775951476361.post-31714667246748593872009-12-15T14:28:09.728-02:002009-12-15T14:28:09.728-02:00Bacana o post Tony.
Realmente bagunçar com os MAC...Bacana o post Tony. <br />Realmente bagunçar com os MACE Times pode causar problemas e confusões.<br />Uma dúvida básica me surgiu agora: o NTFS possui algum limite de data de arquivo? Posso gerar um arquivo com data perto do infinito para que ele não seja encontrado via filtro de datas?<br /><br />t+<br />GiancarloGiancarlohttps://www.blogger.com/profile/08436977431591647313noreply@blogger.com