CSIRT-DF
___ _ _____ _
/ __\__ _ __ ___ _ __ ___(_) ___ /__ \___ ___ | |___
/ _\/ _ \| '__/ _ \ '_ \/ __| |/ __| / /\/ _ \ / _ \| / __|
/ / | (_) | | | __/ | | \__ \ | (__ / / | (_) | (_) | \__ \
\/ \___/|_| \___|_| |_|___/_|\___| \/ \___/ \___/|_|___/
Configurando ambiente forense...
/media
Ambiente forense configurado:
Usuário atual: uid=0(root) gid=0(root) groups=0(root)
PATH=/media/usr/local/sbin:/media/usr/local/bin:/media/usr/sbin:/media/usr/bin:/media/sbin:/media/bin
LD_LIBRARY_PATH=/media/lib:/media/lib64
LD_PRELOAD está limpo
Usando bash forense: /media/bin/bash
Entrando em shell root forense. Use exit para sair.
bash-5.1#
Este kit de ferramentas forenses para Linux é projetado para fornecer um ambiente isolado e confiável para análises forenses digitais. Ele inclui uma coleção de binários e bibliotecas seguros, empacotados em uma imagem ISO para fácil distribuição e uso.
- Sistema operacional Linux ou Windows com WSL
- Privilégios de superusuário (root)
- Ferramentas:
mount
,genisoimage
,sha256sum
sudo mount -o loop forensic_tools.iso /media
Certifique-se de que o diretório /media
existe e está vazio antes de montar.
O script init.sh
modifica as variáveis de ambiente para utilizar os binários e bibliotecas seguros do kit forense. Execute-o cada vez que montar a imagem:
cd /media
sudo source ./init.sh
Para confirmar se o ambiente está corretamente configurado:
which ls
ldd $(which ls)
Estes comandos devem mostrar caminhos dentro de /media
, não do sistema host.
Agora você está em um ambiente forense isolado. Use as ferramentas fornecidas para sua análise.
sudo memdump | ssh csirt@forensics "cat > /media/artefatos/memory_$(date +%Y%m%d_%H%M%S).dump"
Ajustes os comandos conforme necessário para capturar o tráfego de rede.
sudo tcpdump -i eth0 'not (port 22)' -w - | ssh csirt@forensics "cat > /media/artefatos/captura_$(date +%Y%m%d_%H%M%S).pcap"
Você pode visualizar o arquivo .pcap
com a ferramenta tcpdump
:
tcpdump -r captura_20240916_181214.pcap -nnvvX
Quando terminar, use o comando exit
para sair do shell forense.
sudo umount /media
O script build.sh
realiza todo o trabalho de compilação e empacotamento do kit forense. Execute-o para gerar uma nova imagem ISO:
sudo ./build.sh
./test.sh
./clean.sh
Revise o script build.sh
para garantir que todos os binários necessários estejam incluídos.
Copie as pastas /bin
, /sbin
, /lib
, e /lib64
para o diretório forense_tools
:
cp -rL /lib64 forense_tools
Crie a imagem ISO:
genisoimage -o forensic_tools.iso -R -J -V "Forensic Tools" forense_tools
Monte a imagem para testar:
sudo mount -o loop forensic_tools.iso /media
Modifique as variáveis de ambiente:
export PATH=/media/usr/local/sbin:/media/usr/local/bin:/media/usr/sbin:/media/usr/bin:/media/sbin:/media/bin
export LD_LIBRARY_PATH=/media/lib:/mnt/lib64
- Sempre verifique a integridade da imagem ISO antes de usá-la.
- Mantenha um log detalhado de todas as ações realizadas durante a análise.
- Use apenas as ferramentas fornecidas no kit para garantir a integridade da análise.
- Regularmente atualize o kit com as versões mais recentes das ferramentas.
- Se encontrar erros ao montar a ISO, verifique se tem permissões de superusuário.
- Se os binários não estiverem funcionando como esperado, verifique as variáveis de ambiente e os caminhos das bibliotecas.
- Nunca use este kit em um sistema potencialmente comprometido.
- Mantenha a imagem ISO em um local seguro e controlado.
- Regularmente verifique se há atualizações de segurança para as ferramentas incluídas.