Forense do Linux

Este curso irá familiarizar os alunos com todos os aspectos da análise forense do Linux. No final deste curso, os alunos poderão realizar análises ao vivo, capturar dados voláteis, criar imagens de mídia, analisar sistemas de arquivos, analisar tráfego de rede, analisar arquivos, realizar análise de memória e analisar malware em um sistema Linux com acesso livre disponível. e ferramentas de código aberto. Os alunos também obterão um conhecimento profundo de como o Linux funciona nos bastidores.

Uma lista não exaustiva de tópicos a serem abordados inclui: 

• Resposta ao vivo
  • Primeiro fale com os humanos
    • O que eles acham que aconteceu?
    • Detalhes sobre o (s) sistema (s) de vítimas
  • Kit de resposta de montagem com boas ferramentas conhecidas
    • cdrom preferido como não era provável parte do compromisso
    • USB MS pode ser usado se não houver CDROM
  • Usando o netcat para minimizar a contaminação
  • Coletando dados voláteis
    • data e hora
    • interfaces de rede 
      • redes engraçadas
      • modo promíscuo?
    • conexões de rede
    • portas abertas
    • programas associados a portas
    • processos em execução
    • Abrir arquivos
    • tabelas de roteamento
    • sistemas de arquivos montados
    • módulos do kernel carregados
  • Coletando dados para determinar se a análise morta é justificada
    • versão do kernel
    • tempo de atividade
    • selos de datetime do filesystem
    • valores de hash para arquivos do sistema
    • logins de usuários atuais
    • histórico de login
    • logs do sistema
    • contas de usuário
    • arquivos de histórico do usuário
    • arquivos e diretórios ocultos
    • enviando arquivos suspeitos para um estudo mais aprofundado
  • Dumping RAM
    • Tomar a decisão de despejar RAM
    • Usando fmem
    • Usando o LiME
    • Usando / proc / kcore
• Adquirindo imagens do sistema de arquivos
  • Usando dd
  • Usando o dcfldd
  • Escrever opções de bloqueio
    • Distribuições forenses do Linux
    • Bloqueador baseado em regras do Udev
• Analisando imagens do sistema de arquivos
  • Montando imagens
    • Arquivos com informações básicas do sistema
    • Arquivos com informações suspeitas do usuário
    • Examinando logs
    • Arquivos relacionados ao processo
    • Arquivos relacionados à autenticação 
    • Usando ferramentas padrão do Linux para encontrar informações
    • Arquivos estranhos
      • Arquivos regulares em / dev
      • Arquivos do histórico do usuário
      • Arquivos ocultos
      • Arquivos SUID / SGID
      • Detectando arquivos retroativos
    • Recuperando arquivos deletados
      • Encontrando arquivos deletados
      • Tentando recuperar
  • Aproveitando o kit Sleuth (TSK) e autópsia
    • mmls
    • fsstat
    • dstat
    • istat
    • fls e mactime
• Análise da linha do tempo
  • Quando o sistema foi instalado, atualizado, inicializado, etc.
  • Arquivos recém-criados (malware)
  • Arquivos alterados (trojans)
  • Arquivos no lugar errado (exfiltration)
• Indo mais fundo nos sistemas de arquivos Linux
  • Editores de disco
    • Active @ Disk Editor
    • Autópsia
  • ExtX
    • Noções básicas
      • Superblocos
      • Entradas de diretório
      • Inodes
      • Blocos de dados
    • Recursos compatíveis compatíveis, incompatíveis e somente leitura
    • Recursos experimentais podem ser instalados
    • Código de inicialização
    • Usando sigfind para encontrar blocos importantes
    • Entendendo os níveis de bloqueio indiretos
    • istat, ils, ifind, icat
    • Links e montagens
    • Hash árvores
    • Journaling
      • jls
      • jcat
    • Localizando dados com blkstat, blkls, blkfind, blkid e blkcalc
    • Relacionando dados encontrados com o grep em um arquivo / aplicativo
      • Encontrando tamanho de bloco, etc.
      • Usando o grep com um arquivo de palavra-chave
      • Ver dados no contexto
      • Associando um arquivo com os dados
    • Excluindo arquivos
    • Pesquisando espaço não alocado
• Forense da rede
  • Usando snort em capturas de pacotes
  • Usando o tcpstat
  • Separando conversas com o tcpflow
  • Backdoors de rastreamento com tcpflow
• Arquivo forense
  • Usando assinaturas de arquivos
  • Pesquisando por espaço de troca
  • Reconstrução de navegação na Web
    • Biscoitos
    • Histórico de busca
    • Caches do navegador
  • Arquivos desconhecidos
    • Comparando hashes para saber valores
    • Comando de arquivo
    • Comando de cordas
    • Visualizar símbolos com nm
    • Lendo arquivos ELF 
    • objdump
    • Trazendo armas grandes - gdb
• Memória Forense 
  • Perfis de Volatilidade
  • Recuperando informações do processo
  • Recuperando Argumentos da Linha de Comandos
  • Reconstruindo Variáveis ​​de Ambiente
  • Listando arquivos abertos
  • Recuperando informações bash
  • Reconstruindo artefatos de rede
  • Informações do Kernel
  • Informações do sistema de arquivos volátil
  • Detectando rootkits no modo de usuário
  • Detectando rootkits do kernel
• Invertendo Malware Linux
  • Cavando mais fundo no ELF
    • Cabeçalhos
    • Seções
    • Cordas
    • Tabelas de símbolos
    • Cabeçalhos do programa
    • Carregamento do programa
    • Ligação Dinâmica
  • Ferramentas de análise de linha de comando
    • cordas
    • strace
    • ltrace
  • Executando malware (com cuidado)
    • Configuração da máquina virtual
    • Capturando o tráfego de rede
    • Aproveitando o gdb
• Escrevendo os relatórios
  • Autópsia
  • Dradis
  • Escritório aberto

Vídeos do Curso Forense do Linux

1

Introdução ao curso  

2

Princípios Forenses: Introdução  

3

Princípios Forenses: Primeiros Passos  

4

Criando um Linux Forensics USB Drive Parte 1  

5

Criando uma unidade USB do Linux Forensics Parte 2  

6

Iniciando uma parte de investigação 1  

7

Iniciando uma parte de investigação 2: Netcat  

8

Iniciando uma parte da investigação 3: scripts de servidor  

9

Iniciando uma parte de investigação 4: scripts de cliente  

10

Iniciando uma Investigação Parte 5: Executando Scripts  

11

Começando uma investigação Parte 6: O que coletar?  

12

Iniciando uma Investigação Parte 7: Coletando Dados Iniciais  

13

Iniciando uma parte 8 de investigação: analisando o log  

14

Análise ao vivo parte 1: primeiros passos  

15

Análise ao Vivo Parte 2: Noções Básicas sobre Aquisição de Memória  

16

Análise ao Vivo Parte 3: Compilando o LiME  

17

Análise ao Vivo Parte 4: Dumping RAM com o LiME  

18

Desligando o sistema do assunto  

19

Fazendo Imagens do Sistema de Arquivos  

20

Fazendo Imagens do Sistema de Arquivos (continuação)  

21

Bloqueio de Gravação de Software com Regras do udev  

22

Criando uma imagem de uma unidade física  

23

Imagens de montagem: MBR Basics  

24

Imagens de montagem: MBR Basics part 2  

25

Montando Imagens: Partições Estendidas  

26

Montando Imagens: Montando Partições Estendidas com o Python  

27

Montando Imagens: Partições GUID  

28

Montando Imagens: Partições GUID com Python  

29

Montando Imagens: Construindo uma Linha do Tempo como um CSV  

30

Montando Imagens: Construindo uma linha do tempo como uma parte CSV 2  

31

Montando Imagens: Criando um banco de dados MySQL com metadados de arquivos  

32

Montando Imagens: Importando arquivos passwd e group para o banco de dados  

33

Montando Imagens: Criando uma Linha do Tempo no Banco de Dados  

34

Montando Imagens: Examinando a Linha do Tempo  

35

Montando Imagens: Extraindo Arquivos do Histórico de Bash do Usuário  

36

Montando Imagens: Examinando Arquivos de Histórico de Bash do Usuário  

37

Montando Imagens: Extraindo Logs do Sistema  

38

Montando Imagens: Examinando Logs do Sistema  

39

Montando Imagens: Extraindo Informações de Login  

40

Montando Imagens: Examinando Informações de Login  

41

Análise do sistema de arquivos: Noções básicas do sistema de arquivos EXT  

42

Análise do Sistema de Arquivos: Superblocos  

43

Análise do sistema de arquivos: Recursos compatíveis com o sistema de arquivos EXT  

44

Análise do sistema de arquivos: Recursos compatíveis com o sistema de arquivos EXT  

45

Análise do sistema de arquivos: Recursos compatíveis somente leitura do sistema de arquivos EXT  

46

Forense do Sistema de Arquivos: Lendo o Superbloco com o Python  

47

Análise do Sistema de Arquivos: Lendo os Descritores de Grupo de Blocos com o Python  

48

Análise do sistema de arquivos: combinando informações de superblocos e de descritores de grupo  

49

Análise do sistema de arquivos: executando nosso script final  

50

Inodes: Descobrindo coisas que estão fora de lugar  

51

Inodes: Usando o Python para descobrir lugares fora de lugar  

52

Inodes: cavando mais fundo  

53

Inodes: usando ferramentas incorporadas e o Kit Sleuth  

54

Inodes: extensões e detalhes  

55

Inodes: do inode ao arquivo  

56

Inodes: adicionando suporte para Extents for our Python Scripts  

57

Inodes: Conectando Inodes a entradas de arquivos e diretórios  

58

Estendendo o código Python para arquivos cat usando números de inode  

59

Inodes: usando Python para ler diretórios de números Inode  

60

Inodes e Atributos Estendidos  

61

Inodes: Usando o Python para ler atributos estendidos de uma imagem  

62

Análise de Memória Parte 1: Construindo um Perfil de Volatilidade  

63

Análise de Memória Parte 2: Obtendo Informações do Processo com Volatilidade  

64

Análise de Memória Parte 3: Mais sobre Processos  

65

Análise de Memória Parte 4: Mapas de Processos e Despejos  

66

Análise de Memória Parte 5: Obtendo Informações Básicas da Volatilidade  

67

Análise de Memória Parte 6: Usando Plugins de Verificação de Volatilidade  

68

Análise de Memória Parte 7: Obtendo Informações de Rede  

69

Análise de Memória Parte 8: Obtendo Informações do Sistema de Arquivos com Volatilidade  

70

Análise de Memória Parte 9: Mais Informações sobre o Sistema de Arquivos  

71

Apresentando um ataque mais avançado  

72

Correndo scripts contra nosso segundo assunto  

73

Resultados da Análise da Execução da Varredura Inicial  

74

Banner Agarrando o Segundo Assunto  

75

Usando Comandos de Listagem de Processos de Volatilidade no Pas2  

76

Cavando mais fundo em processos suspeitos  

77

Usando a volatilidade para criar mapas de processo  

78

Examinando Histórias de Bash  

79

Usando funções de verificação de volatilidade  

80

Usando funções de rede de volatilidade  

81

Usando Funções do Sistema de Arquivos de Volatilidade  

82

Análise do Sistema de Arquivos Parte 1: Logs do Servidor Web  

83

Análise de Sistema de Arquivos Parte 2: Vulnerabilidades do Servidor Web  

84

Parte 3 da análise do sistema de arquivos: logs do MySQL  

85

Análise de Sistema de Arquivos Parte 4: Diretórios Ocultos  

86

Análise de sistema de arquivos Parte 5: Criando uma linha do tempo  

87

Parte 6 da Análise do Sistema de Arquivos: Payloads da Web  

88

Parte 7 da Análise do Sistema de Arquivos: Capturas de Pacotes  

89

Análise do Sistema de Arquivos Parte 8: Login  

90

Malware Parte 1: o Comando File  

91

Malware Parte 2: é um arquivo conhecido?  

92

Malware Parte 3: usando Strings  

93

Malware Parte 4: usando o NM  

94

Malware Parte 5: usando o LDD  

95

Malware Parte 6: Introdução ao ELF  

96

Malware Parte 7: Mais diversão com o Readelf  

97

Malware Parte 8: Examinando seções e segmentos do programa  

98

Malware Parte 9: Configurando uma Sandbox  

99

Malware Parte 10: Strace  

100

Malware Parte 11: Ltrace  

101

Parte 12 do Malware: Desassemblagem do GDB  

102

Malware Parte 13: Funções de Informações do GDB  

103

Malware Parte 14: Executando o xingyi_bindshell no GDB  

104

Malware Parte 15: Executando o xingyi_bindshell no GDB  

105

Malware Parte 16: Ofuscação  

106

A estrada adiante