ISSN 2316-2872

T.I.S. São Carlos, v. 3, n. 1, p. 11-23, jan-abr 2014
©Tecnologias, Infraestrutura e Software

Roteiro Investigativo em Perícia Forense
Computacional de Redes: Estudo de Caso
Celso Carlos Navarro Modesto Junior, Jander Moreira
Resumo: Perícia Forense Computacional é a ciência que estuda as características intrínsecas ao processamento de dados realizado por
computador, a fim de descobrir informações que evidenciem ações fraudulentas e crimes virtuais. Os resultados, obtidos através de técnicas e
ferramentas de análise em sistemas de informações envolvidos, podem ser aplicados em processos legais. A perícia forense computacional de
redes é uma extensão desta ciência e tem como premissas capturar, gravar e analisar eventos ocorridos em uma rede de computadores,
servindo como fonte de prova em investigações e auditorias. Este trabalho apresenta a conceituação dos principais termos, técnicas e tipos de
ferramentas utilizados em perícias forenses de redes, bem como propõe um roteiro de investigação que permita orientar, de forma modular, a
realização de perícias em redes. Por fim, aplica-se ao roteiro proposto um estudo de caso que exemplifica sua utilização prática.

Palavras-Chave: segurança da informação, perícia forense computacional, perícia de redes, ataques em redes, intrusão.

Investigative route in network computer forensics: Case study
Abstract: Computer Forensics is the science that studies the intrinsic characteristics of data processing performed by computer in order to
discover information evidencing fraudulent actions and virtual crimes. The results, obtained through analysis techniques and tools in involved
information systems, can be applied in legal proceedings. The network forensics is an extension of this science and its assumptions capture,
record and analyze events in a computer network, serving as a source ofevidence in investigations and auditing. This paper presents the main
concepts, techniques and types oftools used in network forensics, and it offers a route ofinvestigation that allows guiding, in a modular way,
the fulfillment ofdigital forensics. Finally, a case study illustrating its practical use is applied to the proposed script.

Keywords: information security, computer forensics, network forensics, network attacks, intrusion.

I. INTRODUÇÃO car as ameaças de cunho interno ou externo ao perímetro da
Dada a importância das comunicações em rede para a mesma (ERBACHER; CHRISTIANSEN; SUNDBERG,
sociedade, bem como de toda a infraestrutura que as 2006). O nível de detalhamento aplicado pode determinar em
suportam, a segurança em redes tornou-se um grande ponto que nível ocorreu tais danos e quais foram os sistemas
de atenção. Diversas técnicas têm sido desenvolvidas e atingidos.
melhoradas, visando identificar a ocorrência de atividades Erbacher, Christiansen e Sundberg (2006) apontam para al-
maliciosas e possíveis ataques em uma rede. Geralmente, guns questionamentos que devem ser respondidos pelo perito
após a ocorrência de um evento de segurança qualquer, os durante a análise de um incidente. Pode-se afirmar que estas
analistas buscam determinar o que de fato ocorreu, mediante são perguntas-chave, que permitem estruturar o contexto de
análise de registros (logs), dados de tráfego de rede e atuação da perícia. São elas:
estatísticas do sistema, entre outras fontes. O intuito é
evidenciar e corrigir as possíveis falhas de segurança que • O que aconteceu?
proporcionaram às ameaças a efetivação das ações nocivas à • Por que aconteceu?
rede (ERBACHER; CHRISTIANSEN; SUNDBERG, 2006). • Quando aconteceu?
Segundo Erbacher, Christiansen e Sundberg (2006), a perí- • Como aconteceu?
cia computacional forense aplicada a redes tem como foco
examinar eventuais dados, informações e vestígios, visando Estas questões são tipicamente relacionadas à perícia
formar uma trilha de auditoria, capaz de elucidar e averiguar forense computacional, de forma geral, ou seja, aplicam-se
possíveis atividades criminosas e/ou fraudulentas ligadas ao aos diversos ramos deste campo de estudo. Ao adaptá-las à
incidente. Ao utilizar as devidas fontes de dados, o perito tem realidade da comunicação em rede, bem como aos conceitos
a possibilidade de investigar e apontar as falhas e vulnerabili- de segurança envolvidos, temos a derivação de novos
dades que comprometem determinada rede, além de identifi- questionamentos (ERBACHER; CHRISTIANSEN;

Departamento de Computação - Universidade Federal de São Carlos (UFSCar)
Caixa Postal 676 – 13.565-905 – São Carlos – SP – Brasil
Autor para correspondência: celso@celso.net.br, jander@ufscar.br

processos • Qual o nível de acesso obtido pelo atacante? e fases periciais. após o encerramento da perícia.S. • Quem é o autor do ataque? Este trabalho trata da conceituação básica de perícia forense • Qual a extensão dos danos? computacional aplicada a redes de computadores. dispositivos de armazenamento. questões legais e administrativas à capacidade do analista de A Figura 1 mostra o ciclo de vida deste processo. e possibilita a apresentação de CHRISTIANSEN. relacionadas a ambientes computacionais. métodos e técnicas utilizados na investigação zado baseando-se em quatro fases: coleta. baseado em modelo genérico A correta identificação do atacante nem sempre é possível. Ainda. realiza-se estudo de caso. CHRISTIANSEN. a fim de proteger a computacional forense como um ramo que combina elementos propriedade intelectual das empresas. Caso isto ocorra. cabe ao analista determinar as ações e reações podem ser úteis em investigações de crimes cibernéticos ou envolvidas neste processo. bem como verificar o devidas providências administrativas e legais sejam tomadas nível de utilização dos recursos computacionais pelos (ERBACHER. elucidação de práticas lesivas ao ambiente computacional. ainda. pode-se caracterizar perícia ações precisam ser identificados. propõe-se um roteiro de investigação. dos sistemas atingidos. por exemplo). equipamentos e mídias.I. apresentando-se os principais resultados. as quais podem ser reutilizadas em novos ataques Por fim. o termo “forense” refere-se ao acometer toda a rede (ERBACHER. são apresentadas as ferramentas e • Há plano de gerenciamento de riscos? técnicas mais utilizadas. Esta combinação visa eventual tomada de medidas cunho jurídico e/ou coletar e analisar dados em sistemas. cada vez mais sofisticados. REFERENCIAL TEÓRICO continuidade às atividades do negócio. eventu. Este processo básico aplica-se à perícia redes e recursos de comunicação. de dados. • Há plano de continuidade do negócio? Após o desenvolvimento do referencial teórico. demonstram a necessidade de melhorias Kent et al. visto o crescente volume de ataques em documentação. usuários. segurança em buscar vestígios de incidentes. Com intuito de uma vez que pode ser limitada por eventuais falsificações validar este roteiro. (2006) sugere que o processo pericial seja reali- dos recursos. o que permite determinar as ações de contingência a serem executadas. envolvendo a criticidade do B) Processo Forense processo de análise. a investigação em desafio elaborado pelo grupo Forensic Contest (LMG SECU- busca da autoria e fonte do incidente auxilia a identificação de RITY. 2010). forense computacional de maneira geral. entre outros) podem arte”. melhor executados. computação. redes. 2006). de execução de planos de continuidade e retorno à normalidade forma geral. Segundo Ferreira (1999). em níveis de sensibilidade. falhas. SUNDBERG. análise e dos fatos envolvidos. o termo “perícia” significa “sabe- novos incidentes (ataques. apuração de responsabilidades iniciais e verificação de possíveis Vacca (2005) define perícia forense computacional como a medidas (administrativas e/ou judiciais) cabíveis. tais como • Qual a lógica de ação do ataque? sua definição. Em outras palavras. Podem. preservação. sistema. pode-se afirmar que “perícia forense” Qualquer falha no rastreamento dos mecanismos utilizados refere-se à utilização de conhecimentos e habilidades em pelo atacante pode resultar em novos ataques. 2014. SUNDBERG. difusão de códi. CHRISTIANSEN. Sem a devida atenção. 2006). intrínsecos a este contexto. foco em ações de contingência. São ações válidas. dos tribunais ou a eles relativo”. Todas as características citadas. Todo o trabalho reali. fatores de motivação. provavelmente determinada ciência aplicados em caráter judicial. bem como os dados e informações. métodos e análises intrínsecas ao processo e com níveis de precisão cada vez maiores. Jander Moreira SUNDBERG. A rastreabilidade das evidências em ambientes jurídicos. SUNDBERG. ainda. os detalhes que envolvem estas Com base nestas definições. com intuito de recuperar os sistemas e dar II. T. Assim. extração. através de uma descrição sucinta das fases citadas. Estas evidências Em suma. a saber: técnicas. SUNDBERG. balhos envolvendo o tema abordado neste artigo e eventuais Assim como é importante identificar qual o foco do ataque. 2006). servir como instrumento de zado deve possibilitar. escutas de dados. são propostas linhas de pesquisa para futuros tra- (ERBACHER. que vem “do foro judicial. experiência. aplicado à perícia forense computacional. 2006). a identificação e qualificação dos A) Perícia Forense Computacional dados comprometidos. que podem coleta. melhorias do roteiro investigativo. assim cabe sua A perícia forense aplicada a redes busca justamente alinhar as utilização em perícia aplicada a redes. é o processo de análise metódica O processo de análise objetiva. Celso Carlos Navarro Modesto Junior. A seguir. ainda. além de permitir a jurídicos e da ciência da computação. 3 (1): 11-23 12 . CHRISTIANSEN. ainda. em nível de detalhamento tal que mesmo não relacionados diretamente ao campo da seja possível evitar ocorrências futuras. segundo o mesmo autor. Sob essa perspectiva. 2006). que as análise de vulnerabilidades em sistemas. em busca de evidências que tuais riscos e vulnerabilidades. análise e apresentação de evidências ser tomadas a partir desta análise inicial. Ainda assim. habilidade em alguma ciência ou gos maliciosos e negação de serviços. principais tipos. doria. sindicâncias e processos de ocorrências permite. a mitigação de even. bancos de dados e administrativo. prática. possam melhor detalhar atividades realizadas em determinado ais falhas remanescentes podem continuar comprometendo o meio computacional. baseado em um (spoofing. corretamente fundamentadas (ERBACHER.

ligadas à volatilidade dos dados periciais (LILLARD et al. examinar. com base na análise realizada. volatilidade e quantidade de memória. computadores. aquisição propriamente dita e verificação da integrida. laptops. 2010) acesso.17): “utilização de técnicas cientificamente comprovadas para coletar. agindo (MACEDO. 2006). que estão diretamente Na primeira. bem como permitir úteis localizadas em outros locais. analisar A segunda fase envolve a extração de conteúdo da e evidenciar provas digitais de múltiplas fontes de processa- informação de interesse particular. 2006). ou remotamente. tais como 2010). o analista deve ser capaz de identificar e reco. análise dos fatos e o valor técnico do conteúdo analisado mentos que visem preservar a integridade dos dados e disposi. Isto cionados à intenção do atacante ou à medição do sucesso significa que a extração de dados e sua posterior análise são obtido em atividades não autorizadas. 3 (1): 11-23 . Este passo deve ocorrer imediatamente após o conheci- mento do incidente. tes do sistema. informações relacionadas a problemas de segurança de redes. Kim e Noh (2004.. tivos. Kim.S. C) Tipos de Perícia Forense Computacional formação. a fim de detectar. as quais tenham como realizadas na cópia forense. por exemplo. também. seguindo procedi. bem como fornecer informações que contribu- am para a resposta ou recuperação destas atividades”. a atividade de documentação e comunicação foca sobre os seguintes Diz respeito à identificação e coleta de dados que podem. utilizando-se métodos mento e transmissão.. nesta fase. visando reduzir eventuais perdas de in. determinando a correspondência dos dados. 2014. Perícia forense de redes é assim definida por Palmer (2001. conter evidências digitais.Roteiro Investigativo em Perícia Forense Computacional de Redes: Estudo de Caso zando-se ferramentas e metodologias apropriadas. aspectos das fases anteriores: método de coleta/aquisição. com a finalidade de revelar fatos rela- forenses. lher todas as possíveis fontes de dados. com alto índice de volatilidade. corromper ou comprometer componen- evidências digitais presentes na fonte (KENT et al. com a finalidade de documentar e apresentar os Coleta resultados obtidos na fase anterior. A seguir. 176) definem perícia computa- A verificação de integridade dos dados pode ser realizada cional forense aplicada a redes como sendo a ação de captu- utilizando-se funções matemáticas de comparação de resumos rar. entre outros (LILLARD et al. (KENT et al. usuários conectados e esforço requerido. determinar ade- quadamente as raízes do incidente ou a impossibilidade de quaisquer conclusões face aos dados obtidos (KENT et al.. utili. 2006). correlacionar. 2006). Com os avanços da Análise Post-Mortem tecnologia. lista de processos ativos. Esta fase subdivide-se em outras duas: identifica- ção de possíveis fontes de dados e aquisição ou coleta dos A análise realizada em perícia forense computacional divi- dados (KENT et al. O intuito desta fase é. como É importante. 2006) técnico. Em particular. identificar. o que Análise realizada sobre dados não voláteis... de-se em dois tipos ou metodologias. pode-se citar a captura de estado da seguintes fatores: valor da fonte. preservando-se as evidências originais. subdivide-se Análise em Tempo Real (Live) em três passos: desenvolvimento de plano para aquisição de Este tipo de análise consiste na coleta e análise de dados dados. unir. potencialmente. p. 2010). servidores. novas fontes de dados surgem diariamente. ter a capacidade de realizar este D) Perícia Forense Computacional Aplicada a Redes trabalho localmente permite maior controle do perito sobre as operações. temos a definição básica destas metodologias. localizados nas demanda do analista um índice elevado de atualização diferentes fontes. tais que o eventual desliga- de dos dados. Ciclo de vida do processo forense – Adaptado de A tarefa do perito forense. gravar e analisar trilhas de auditoria de redes. de modo a manter inalteradas as objetivo interromper. diretamente sobre os sistemas que estão sendo analisados. visando preservar a integridade do material. por sua vez. mídia distinta... A aquisição ou coleta de dados. tais como provedores de a eventual repetição da análise (LILLARD et al. rede suspeitas. dispositivos de armazenamento e celulares entre outros. 2010) A aquisição de dados pode ser realizada localmente. O desenvolvimento do plano de aquisição visa à mento da fonte de dados ocasione a perda destas informações. elaboração do mesmo tendo em vista a combinação dos Como exemplos... conexões de rede. é elaborar relatório (KENT et al. Esta análise prevê a cópia dos dados em tecnológica (KENT et al. 2006). Análise O conceito básico de perícia forense em redes de computa- A terceira fase refere-se à análise dos dados extraídos. Extração p. 2010). verificar a presença de informa-ções forma de manter a integridade das provas. Apresentação Figura 1. Entretanto. possíveis conexões de (MACEDO. visando (digests) da fonte de evidência em relação aos dados descobrir a fonte de brechas de segurança e outras coletados. dores é trabalhar com dados encontrados em uma conexão de 13 TI.

2012). possibilitando tempo real (live). cotes sofrem uma espécie de triagem ou análise prévia. além das plataformas e tipos de licença disponíveis para cada uma delas. ainda. Segundo Singh (2009). Snort (SNORT BRASIL. a favoráveis por parte de organizações e clientes. análise do obtida da maneira mais eficiente possível. 3 (1): 11-23 14 . periciais e como estas técnicas influenciam na realização da 2012) estão disponíveis para plataformas Unix-like. possuem versões para A) Sistemas de Perícia Forense de Redes diversas plataformas. 2012). Caine. Em seguida. o que é determi- estudo continuado de técnicas de perícia forense em redes de nante para o levantamento de evidências. avaliação tráfego que indique a ocorrência de um ataque. embora sejam desenvolvidas por Garfinkel (2012) classifica os sistemas de perícia de redes comunidades ligadas à filosofia open-source. em determinados ramos de padrões de tráfego na rede. como Netflow (FORENSICS WIKI. Os sistemas Catch-It-As-You-Can são aqueles onde todos A Tabela 1 apresenta. intrusão (IDS). computadores envolve o monitoramento de tráfego da rede e na análise de intrusões e má utilização de recursos de rede. 2012) (MALWARE HELP. são específicas de zadas na aplicação das técnicas indicadas nesta seção e plataformas proprietárias e com propósitos estritamente constituem fundamentais instrumentos de auxílio ao perito e definidos. 2012) está decidir sobre quais ferramentas e métodos de análise serão disponível somente para a plataforma Windows. 2012). ao afirmar que a perícia As ferramentas de análise forense de redes (Network forense em redes consiste “na captura. sua equipe. com objetivo de descobrir a fonte de ataques de redes. visando reunir informações sobre tráfego. nesta seção são acentuadas algumas características ferramentas Kismet (KERSHAW. Isto é validado através da definição B) Ferramentas de Análise Forense de Redes (NFAT) disponível em Searchsecurity (2012). que indicam como são classificados os sistemas DUMP/LIBPCAP. 2012). enquanto perícia. e intera- O número cada vez maior de incidentes de segurança. forense em redes. III. ferramentas de análise forense de redes (NFAT). analisado e uma resposta ao incidente deve ser NFAT devem desempenhar: captura de tráfego. em (SIRA. primeira. Assim. INSERT e Protech (LJUBUNCIC. dadas as condições. Auxiliam. sejam elas soluções livres ou comerciais. Então. assim como o incremento no nível de sofisticação dos ataques Estas ferramentas. várias ferramentas com estes Dando continuidade à conceituação de perícia forense em propósitos. viabi- e exploits. como Os sistemas Stop-Look-and-Listen são sistemas onde os pa- roteadores. em caráter interno ou externo a esta. atualmente. são as principais motivações para a melhoria e o lizam a preservação de registros de tráfego. as soluções cita- os pacotes passam por um ponto de tráfego comum. 2012) e Wireshark (COMBS et al.. pode-se afirmar que a perícia forense em redes de incidentes de segurança. são gerados registros de dados trafegados (logs). 2012) e Xplico (COSTA. a natureza do ataque. bem como o organização das informações capturadas e a descoberta de atendimento a órgãos reguladores. tráfego capturado. Somado a isso. As redes. especialmente construídas para fins forense em redes visa atender as necessidades de todos os de perícia forense. analisando entradas e saídas de tráfego entre hosts e sequência. Outras. 2012). Caso as de desempenho da rede e proteção de propriedade intelectual suspeitas se confirmem. em conjunto com firewalls e IDS. nmap (LYON. que tem foco e desenvolvimento comerciais. Celso Carlos Navarro Modesto Junior. Facilitam. o maior número de transações caracterizar eventuais repetições e similaridades em movi- comerciais realizadas em rede requer condições de segurança mentos de ataque (COREY et al. Mediante utilização de equipamentos de maior espaço de armazenamento. então deve ser determinada. Algumas utilizados durante a perícia. Jander Moreira rede.I. Este método requer maior poder de processamento para Os objetivos destes procedimentos periciais são encontrar alcançar melhores resultados. atuação. citado anteriormente (GARFINKEL. com destaque para suas principais suas principais funcio- capturados e armazenados. tais como NetDetector (NIKSUN. assim. conceituam-se as delas. 2003). avaliação de riscos. tais como firewalls e sistemas de detecção de em análises post-mortem (GARFINKEL. conforme prevê o tipo de análise em de dados.NFAT) permitem o monitoramento eventos de rede. determinação da existência de qualquer anomalia neste prevenção a possíveis ataques. auxiliar na de segurança”. bem como para computadores. 2012). e que são utilizados em análises e procedimentos de perícia somente algumas informações são salvas para análise futura. tcpdump (TCP- técnicas. de forma adequada. 2014. T.S. bem como dispositivos de rede. 2002). TÉCNICAS E F ERRAMENTAS Existem. seguida. gravação e análise de Forensic Analysis Tools . que são utili. FRANCESCHI. conforme necessidades do perito. 2012). 2012). à exceção da em dois tipos: catch-it-as-you-can e stop-look-and-listen. sendo das. a perícia em distribuições Linux. desenvolvida para o ambiente Cisco. investigação e colaborar para a elaboração de respostas aos Assim.ORG. Estes sistemas são baseados proteção. São exemplos desse tipo de distribuição envolvidos. Esta forma de tratamento requer redes distintas. o tráfego é capturado. em modo de lote. três são as funções básicas que as preservado. de maneira sucinta. envidar os devidos esforços necessários em âmbito jurídico e/ou administrativo. vez que sua análise prévia fontes de eventuais ataques e indícios de atos ilícitos na rede ocorre em tempo real. no que tange o cumprimento de normas que Algumas destas soluções são agrupadas e disponibilizadas garantam um nível mínimo de segurança. O conhecimento destes sistemas é fundamental para a ferramenta NetworkMiner (NETRESEC. Sua análise é realizada em nalidades. ção apropriada entre o analista e a ferramenta..

as quais são mais bem definidas Conforme Yusoff. 2012). a critério do analista. Entretanto. whois. Exemplos de ferramentas utilizadas em perícia forense de redes. netstat. conforme ilustra a Figura 2.S. em suas instalações padrões. Visa. ISMAIL. tcpreplay. dentro de situações específicas. nslookup. a partir da realização de estudos comparativos entre estas. é importante enfatizar que. focar a utilização. Além das soluções citadas. propostas de modelos investigativos utilizados em perícia forense de redes. em cada passo do roteiro proposto. quanto à sua utilização. as fases do roteiro de investigação pericial em redes REDES (INTRUSÃO) proposto neste trabalho. wget. Ismail e Hassan (2011) contém as fases descritas a seguir. traceroute. o que pode ocasionar certa confusão a iniciantes nesta área. permitindo que incrementos bém possuem. A proposta que motiva este trabalho. oferecer uma linha mestra de atuação Figura 2. mentas de apoio às NFAT. por tratar-se de proposta de construção de um roteiro básico. iperf. São exemplos destes utilitários: O modelo de investigação genérico proposto por Yusoff. ping. de ferramentas baseadas em software livre e ambiente Linux.Roteiro Investigativo em Perícia Forense Computacional de Redes: Estudo de Caso Tabela 1. arp. baseando-se na pesquisa citada no parágrafo anterior. os sistemas operacionais tam. Assim. Sendo assim. é formular um roteiro de base para a realização de análises periciais em redes. PROPOSTA DE ROTEIRO DE INVESTIGAÇÃO PERICIAL EM sucinta. 2011) 15 TI. aplicações em sejam realizados em face às necessidades intrínsecas ao linha de comando. lft. Em paralelo. muitas são as adiante. Modelo Genérico de Investigação Forense – Adaptado de (YUSOFF. de maneira IV. especificamente de atividades de intrusão ou invasão. contexto de investigação. as quais podem ser utilizadas como ferra. estes autores propõem um modelo genérico de investigação. sim. 2014. HASSAN. entre muitos outros (FORENSICWIKI. A Figura 3 mostra. assim formalizando os requisitos mínimos para alcançar resultados satisfatórios. tendo como referencial de pesquisa as principais propostas desenvolvidas até o momento. que ainda mostra o relacionamento entre as fases. 3 (1): 11-23 . um dos objetivos é a descrição de procedimentos necessários para realização de uma investigação específica. Ismail e Hassan (2011). este não extingue a possibilidade de alterações no fluxo.

transporte. (2006). armazenamento em local seguro. tais como o alvo e a fonte do ataque. têm-se a existência proposto. esta forense genérico proposto por Kent et al. interesse na investigação.Etapas Pré-processamento Apresentação Visa apreciar as demandas e necessidades da investigação a Nesta fase. coleta. A principal preocupação. Proposta de Roteiro de Investigação Pericial em Redes . Neste ponto. envidando esforços para que investigações futuras. 3 (1): 11-23 16 . Roteiro de Investigação de Intrusão em Redes entre outros aspectos fundamentais. Como fase pode ser considerada como o coração do modelo pericial principais diferenciais em relação àquele. Ainda. Jander Moreira Figura 3. em aspectos gerenciais. quais métodos foram utilizados.S. evitando que tais ocorram em “triagem” do material coletado. Ismail e Hassan (2011). os dados coletados são apreciados de fases de pré e pós-processamento e a condensação das mediante utilização de métodos de análise os mais diversos. Pode ser de modo a tornar estes resultados os mais claros possíveis. aquisição. A última fase compreende a finalização dos trabalhos. tem-se a possibilidade de provar do processo. etapas de Coleta e Extração em apenas um passo (Aquisição e tendo em vista identificar e averiguar os principais pontos de Preservação). Celso Carlos Navarro Modesto Junior. Neste ponto. ocorre o que se pode denominar corrigir eventuais falhas. armazenamento e preservação. verifica-se que o modelo apresentado Análise pelos pesquisadores guarda similaridades com o processo Embora todo o processo investigativo seja relevante. por entendida. visando avaliar e realizados. O roteiro definido nesta seção aplica os conceitos de Yusoff. são efetivamente mediante revisão de processos empregados. de análise. bem autoridades competentes. como o ponto de abertura consequência deste trabalho. seja devolvido aos responsáveis. infraestrutura e do ambiente de investigação. as atividades de manipulação dos dados brutos. Neste ponto. zelando por seu processo. todos os resultados obtidos pela análise de ser iniciada. Pós-Processamento especificamente sua identificação. 2014. neste como são realizados os primeiros passos na preparação da momento. a ocorrência ou não dos atos cujos fatos foram inicialmente levantados. principalmente aquele de maior relevância do armazenados e disponibilizados à etapa de análise do processo.I. é importante que todo material os dados estritamente relevantes sejam capturados. adaptando-os para o contexto T. são obtidas as aprovações dados são devidamente documentados e apresentados às administrativas necessárias para o início dos trabalhos. é o de apresentar adequadamente os dados obtidos. autoria da fraude. Em primeira análise. Aquisição e preservação Nesta fase.

que sejam necessá-rias em obtenção e manipulação de evidências junto às principais consequência aos resultados da investigação. tendo como objetivo a manutenção da Evidenciação . Também é essencial esclarecer que a relação de indicadas no Quadro 2 (FORENSICS WIKI. Ferramentas sugeridas para cópia de dados correlata. a realizada em equipamento distinto. SHA). desenvolvendo-se as seguintes atividades: • Análise dos dados obtidos. As mesmo recurso em mais de uma etapa. considerada como ponto principal deste roteiro de registros de auditoria das aplicações e computadores investigação. a proposta de roteiro deve ser observada sob o ponto de vista de um guia. é essencial mapear as informações iniciais obtidas junto aos responsáveis e planejar os objetivos da perícia e a infraestrutura necessária para a mesma. São atividades intrínsecas a esta etapa: utilização deste material. da demanda de usuário ou área de uma Técnicas como a utilização de redes virtuais privadas (VPN). engenharia reversa. Faz-se importante ressaltar que é possível utilizar a integridade mediante algoritmos de hash (MD5. de acordo com sua principal funcionalidade 17 TI. necessárias para a transferência Uma vez que a investigação tenha sido solicitada. seja avalizada pelos níveis hierárquicos mais elevados. en-tre outros. Ainda. propriamente dita. de execução dos passos citados pode ser determinante para o acordo com sua principal fun-cionalidade dentro desta fracasso de toda a perícia. A preocupação com a primeira etapa deste roteiro visa iniciar os trabalhos de segurança nesta etapa abrange aspectos de manutenção da investigação. com intuito de garantir as principais características indevida da página institucional da empresa. registros de a-cesso de usuários. durante a etapa de análise. importante que esta. Uma solução livre que • Aquisição de dados juntos às principais fontes. desde que por ferramenta Quadro 2. firewalls e sistemas de Embora a etapa descrita a seguir (Averiguação) seja detecção de intrusão (IDS). tais atende às demandas citadas é o aplicativo Amanda Network co-mo: tráfego de pacotes na rede. por exemplo. de segurança da informação. 2012). análise de protocolos e descoberta de dados ocultos. 2014. caso a análise seja Ismail e Hassan (2011). empresa. O Quadro 1 apresenta as imprescindível para o sucesso da mesma. parte-se para o processamento destas. de modo a garantir Quadro 4 concatena as principais ferramen-tas utilizadas em a integridade e segurança dos dados brutos. tal como a alteração utilizadas. modalidade (FORENSICS WI-KI. Uma vez dispondo o analista de um conjunto satisfatório de evidências. partir. entre outras questões. além de cálculo. mineração. 2012) de equipamentos e serviços de rede. ainda. arquivos de registros (logs) Backup (AMANDA. esta etapa visa à judiciais e administrativas. antes de se iniciar. é segura dos dados obtidos (FORENSICS WIKI). novas cópias podem ser necessárias. para que tenha validade e Quadro 3. Ferramentas para aquisição de dados A investigação. As etapas do roteiro são descritas a seguir. Ferramentas para transferência de dados reconhecimento administrativos. 3 (1): 11-23 . • Preservação e armazenamento dos dados brutos.Entradas disponibilidade das evidências originais. técnicas tais como cópia da imagem dos etapa do roteiro. Na descrição de cada nesta atividade. que a mesma está sendo invadida.Roteiro Investigativo em Perícia Forense Computacional de Redes: Estudo de Caso de investigação de intrusão de redes. análise de dados. ou da suspeita. por parte do administrador de rede de protocolos de segurança e criptografia são úteis nesse aspecto. o perito deve realizar também a preparação do ambiente a ser analisado. Detecção de Intrusão – Início dos Trabalhos Assim como descrito no modelo apresentado por Yusoff. comparação e validação da utilizadas. ocorrer fatos No Quadro 3 são indicadas as principais ferramentas que determinem uma eventual invasão. Averiguação – Processamento de Dados Quadro 1. Qualquer falha na principais ferramentas utilizadas na aquisição de dados. São utilizadas.S. em lo-cal e mídia seguros. na etapa de pré-processamento. com finalidades principais ferramentas utilizadas para estas atividades são distintas. Nesta fase. estritamente como forma de orientação. O • Cópia bit-a-bit dos dados obtidos. utilizando-se de métodos e técnicas tais como análise de pacotes. Eventuais medidas Seguindo com o andamento dos trabalhos. recu- peração de dados. das causas e demais características da intrusão é realizada nesta etapa. podem exigir a fontes de dados. • Transferência segura dos dados. há a indicação das principais ferramentas discos. confiabilidade e integridade do material. a execução eficaz da fase de Evidenciação é eventualmente afetados. entre outros. A solicitação de investigação pode ocorrer a privacidade. Pode. descriptografia. sendo que quaisquer itens podem ser alterados. Para tanto. 2012). aplicações indicada não possui caráter definitivo. Assim.

2007).Saída Efetuada a averiguação dos dados. tendo como objetivo viabilizar a melhoria contínua das atividades periciais. Neste momento. 2012). Todo material coletado durante a realização da perícia deve As atividades incorridas nesta fase permitem que os ser devolvido aos responsáveis. resultados obtidos. Apresentação de Resultados . façam necessárias (PIMENTA. entre outras. 2014. as quais permitam a correta informações relacionadas à área de perícia forense. preparando-os com avaliação do impacto de cada uma. pendentes. o perito pode lançar mão de técnicas que permitam uma avaliação completa de suas atividades. processo de obtenção e análise das evidências. 2007). 3 (1): 11-23 18 . técnicas e ferramentas utilizadas. conciso e de leitura facilitada por público não ligado à área-fim (PIMENTA. propõe-se um modelo básico de laudo pericial. perícia forense computacional remota. entre outras. finalizando oficialmente os trabalhos. Para alcançar os resultados almejados. Dessa maneira. X” (LMG SECURITY. Quadro 6. ESTUDO DE CASO apresentar suas conclusões aos responsáveis. Este processo envolve a elaboração de laudo pericial e documentação das Estudo de Caso – O Invasor Curioso atividades realizadas. 2010). Utilitários para investigação de autoria e fonte Avaliação da Perícia – Finalização dos Trabalhos A etapa de Avaliação da Perícia permite revisar todo processo de investigação. questionários preenchidos pelos solicitantes e demais envolvidos na perícia. Ferramentas como formulários de auto avaliação. dados dos participantes. O Quadro 5 traz um resumo das principais ferramentas disponíveis para investigação de autoria e fonte. conclusão do Cenário perito acerca das investigações. documentação comprobatória das informações apresentadas e demais informações que se A situação proposta trata de uma invasão ocorrida na rede T. a ser aplicado à proposta de roteiro investigativo abordada neste trabalho. desafios e situações-problema para resolução. denominado “The Curious Mr. se possível. Quadro 5. Modelo de Laudo Pericial • Investigação de autoria e fonte dos ataques. bem como dos resultados obtidos. benchmarking. assim como processos e demais documentos que porventura estejam determinar a fonte e. impactos nos sistemas envolvidos. com aval dos responsáveis. tais como o citado. cronograma das ações. de acordo com suas principais funcionalidades e aplicações (FORENSICS WIKI. divulgam de apresentação e documentação. O nível de detalhamento deve ser o suficiente para que o Quadro 4. pesquisa em rede. por parte dos do laudo. o analista pode se utilizar de ferramentas Diversos grupos de pesquisa. garantindo a privacidade e principais aspectos que envolvem a intrusão sejam sigilo das informações de terceiros. além de visualização dos eventos apurados pelos envolvidos. é importante encerrar todos os reconstrução do ataque e sua análise temporal. descrição do para eventuais situações reais. Ferramentas para análise de dados laudo seja claro. cabe ao perito relatar e V. deve possibilitar a Como último passo. formulado pelo grupo de estudos forenses Forensic Contest. Jander Moreira (FORENSICS WIKI. a autoria do mesmo. No Quadro 6. autoria. tais O caso utilizado neste trabalho é baseado no desafio como: cenário do ataque. ainda. entre outros.S. Esse tipo de O laudo pericial deve apresentar informações como: autor prática estimula a busca pelo conhecimento. Celso Carlos Navarro Modesto Junior.I. descrição das ocorrências analistas de segurança e demais interessados. 2012). amplamente detalhados. podendo utilizar técnicas como descoberta de localização através do endereço lógico (IP) do atacante.

com a opção “if” e grava seu conteúdo. são O comando acima lê o arquivo de entrada. é (captura de pacotes). Nestas etapas. inicia-se a análise do evento. com sede no Ártico. responsáveis. o arquivo gerado utilizando-se o comando estudo de caso. em linha de comando. conforme segue: verificação de integridade dos dados). utiliza-se a ferramenta dd. pcap Os itens a seguir demonstram a aplicação de cada etapa do roteiro proposto ao caso apresentado. 2012) (TCPDUMP/LIBPCAP. Por fim. determine os principais aspectos da situação apresentada. denominado utilizadas as devidas ferramentas (NFAT). nesta etapa. ou seja. ao direcionado (PEREIRA. problema (LMG SECURITY. mapeando o cenário do incidente. ainda. que De posse do tráfego capturado durante a ação do intruso.pcap). opta-se pela captura total do tráfego da rede periciada. A escolha de cada uma delas justifica. Pela avaliação do cenário. para mesmo para ambos. Para tal. Wireshark (análise de pacotes. o intruso não consegue passar despercebido. pcap O comando acima especifica a interface onde será realizada a captura de pacotes. conforme segue: Aplicação do Roteiro Proposto dd if=original. o perito inicia suas Utilizando-se a ferramenta Wireshark. pcap se por serem ferramentas open source. md5sum aplicada a cada um dos arquivos e o resultado obtido deve o (geração de resumo ou hash dos arquivos gerados. Em seguida. 2010). Índices de ocorrências de tráfego por IP 19 TI. com a geração do cumpram com os mesmos objetivos. Tal monitoramento emite um alerta. realizar o escaneamento da rede em busca de eventuais A captura é realizada até que se tenha material suficiente brechas de segurança. o perito deve fazer a cópia da queda de desempenho causada pelo aumento no tráfego. pela opção “–i eth0”. os responsáveis pelo Averiguação laboratório solicitam a realização de uma perícia. disponíveis para a 804 64 84 97 4 10b18d9a7 cb1d4 b2 2 52 ef7 copia. pcap of=copia.pcap”. O ações e tomada de decisões. resumo ou hash MD5 dos mesmos e efetuando sua As NFAT utilizadas neste estudo de caso são: tcpdump comparação. armazenamento do arquivo original é realizado em mídia Início dos Trabalhos destinada exclusivamente para este fim. dd (cópia de dados bit-a-bit). Tendo em vista a suspeita de que possibilitando corrigir as eventuais falhas e tomar as devidas o mesmo realizava o escaneamento da rede. mantendo o que supõe a necessidade de análise mais detalhada do arquivo original em local seguro. md5sum trafego. utilização de VPN ou protocolos de segurança para se. com vistas a índice de ocorrências de tráfego dos endereços lógicos desta definir o escopo de suas ações e a demanda de infraestrutura rede. utilizando-se a ferramenta tcpdump. 2008). em linha de comando: tcpdump -nn -i eth0 -w original. da averiguação é determinar qual o provável endereço da rede O ponto de início é justamente a autorização formal pelos que estava sendo utilizado pelo escâner do invasor. pcap plataforma Linux. conforme ilustrado pela Figura 4. 2012) 804 64 84 97 4 10b18d9a7 cb1d4 b2 2 52 ef7 original.. A partir deste momento. na interface de entrada. bit-a- necessário. em substituição. Diante do cenário apresentado. realizado pelo perito é a aquisição de dados nas fontes. Entradas O primeiro passo. por emissão de resultados gráficos que facilitam as transferência segura dos dados é dispensada. Uma vez gerado o arquivo pela monitorada. A opção “–nn” indica ao aplicativo para não realizar a resolução de nomes de protocolos ou portas. o primeiro passo medidas administrativas e judiciais. A opção por Wireshark deu.Roteiro Investigativo em Perícia Forense Computacional de Redes: Estudo de Caso de um laboratório de pesquisas nucleares. em virtude ferramenta citada (original. necessária às atividades. podem ser aplicadas outras que anterior é validado em relação ao original. é possível filtrar o atividades. pcap (FORENSICS WIKI. o do mesmo. sendo que as três primeiras são normalmente encontradas nativamente em distribuições desta Como a perícia está sendo realizada localmente. 2012).S. para utilização na etapa seguinte. em linha de comando. conforme “original. A ferramenta md5sum. 2012). verificação de falhas na rede com base no tráfego) md5sum original. 2014. já que a mesma é totalmente para análise e evidenciação. pcap (COMBS et al. indica o nome do arquivo para o qual o tráfego capturado será No entanto.pcap” Figura 4. a opção “-w original.pcap”. É importante ressaltar que não há a bit. a plataforma (FERREIRA. indicado com a opção obrigatoriedade na utilização das ferramentas indicadas neste “of”. 3 (1): 11-23 . no arquivo de saída “copia.

o tráfego entre os endereços. simples pacote. Jander Moreira Verifica-se na Figura 4 que. é possível Em continuidade aos trabalhos.S. nas evidências. mostra a relação de hosts completa para o tráfego passo é justamente indicar aos administradores quais as falhas capturado.42. de segurança no sistema.253. as quais podem ser eventualmente nesta rede e sua relação com os endereços lógicos. O intuito deste 2. verificam-se. Determinação do endereço físico (MAC) do invasor Assim como o endereço físico do host intruso. efetua-se a análise de determinar o MAC e fabricante da interface dos demais hosts portas abertas na rede. onde se visualizam quais conexões TCP foram estabelecidas com sucesso entre invasor e demais hosts. a seguir. após o escaneamento. 2014. Interessante notar que o índice de endereço 10. pode-se afirmar que o escaneamento da endereço físico (MAC) do invasor. é possível determinar que o Figura 6. T. sem sucesso. quais comunicações foram realizadas com êxito pelo escâner. tem-se a distribuição do demais e segue uma escala aproximada de tráfego. A Figura 7 mostra o resultado da análise.15% das comunicação entre o IP citado e os demais é superior aos comunicações. Interessante notar que a varredura realizada pelo escâner ocorre em outras portas.42. Figura 5. A Tabela exploradas pelo invasor. a seguir. conforme Figura 6 abaixo: Prosseguindo com a análise.42. Celso Carlos Navarro Modesto Junior. pela observação de um rede era realizado a partir do endereço IP 10. Tabela 2.I. 3 (1): 11-23 20 . Relação de hosts conforme tráfego capturado Ainda utilizando-se o Wireshark. no intervalo de captura.253 participa de 99. Na Figura 5. Distribuição do tráfego entre hosts Por esta avaliação. para que os mesmos possam corrigi- las posteriormente.42.

que dificultaria a entrada do invasor. e detalhes externos à rede.S. 2012). service) (SPEEDGUIDE. Nesta etapa. foi possível verificar as principais utilizando-se de recursos audiovisuais e ferramentas de falhas de segurança desta rede. ainda. Laudo elaborado para estudo de caso 21 TI. que formaliza a investigação realizada.Roteiro Investigativo em Perícia Forense Computacional de Redes: Estudo de Caso Figura 7. conforme Quadro 7. Estas portas são largamente utilizadas por aplicações em ambiente Windows. apresentar à administração um resumo. porém são muito exploradas por vírus. o analista responsável pela impressoras. Conexões estabelecidas pelo invasor (portas abertas) As portas que permitiram o estabelecimento de conexão Tais resultados são apresentados formalmente na etapa são 135 (epmap) e 139 (netbios-ssn . 2012). entre as quais as já citadas e a apresentação. cavalos perícia tem como principais objetivos documentar e de troia e outras pragas virtuais (SPEEDGUIDE.NET. da invasão.NETBIOS session seguinte. 3 (1): 11-23 . No entanto. 2014. O laudo elaborado neste estudo de caso segue ausência de firewall. apresentar os resultados obtidos.NET. tais como dados de autoria e fonte pode. Saídas especialmente para compartilhamento de arquivos e Finalizada a etapa de análise. a seguir: Quadro 7. o perito elabora O tráfego capturado não possibilitou ao perito desvendar o laudo pericial.

ainda. Digital Forensics for Network.shtml>. Disponível em: do processo todo material utilizado. Protech: A Linux forensics distro you want. VI. sobretudo à abordagem das leis brasileiras www. (Google). UNIX and OS X. I. and Cloud Computing: A Forensic Evidence Guide for Entretanto. redes de telefonia celular (3G e 4G). X.oreillynet. KIM. no entanto. 2006. nesta pesquisa. que demanda aprofundamento. Berlim: indicadas no laudo.80. V. caminhos distintos aos apresentados. entre outras características. em plataformas Android Network_Forensics>. p. Jeju. sugerido no roteiro deste trabalho. et al.org/>. et al. visto não haver Verlag. A. iOS (Apple) e Windows Phone. detalhes são observados: arquivo de registro de tráfego AMANDA. O roteiro prático do processo apresentado neste trabalho KENT. 6. 2008.. Amanda Network Backup: Open Source Backup original armazenado em mídia distinta à da cópia. conforme nov.. NOH. Disponível em: <http://forensics T. Piscataway. alguns em05a. Albany: Com esse propósito. TRAORE. a Network Forensics. IEEE Internet solicitantes avaliem o trabalho realizado.ccse. G. B. Outro aspecto GARFINKEL. Windows. da língua portuguesa. além de poder Computing Magazine. CONCLUSÕES E TRABALHOS F UTUROS Visual Network Forensic Techniques and Processes. sem. 2010. p. 2012. Depois de realizadas as COSTA. de automação. et al. Acesso em: 22 ago. a seu critério. In: THE INTERNATIONAL interessados. 6..amanda.org/>. com a proposta de um modelo genérico de roteiro pericial. 175-182. H.S. LILLARD. <http://www. Xplico: Network Forensic devidas avaliações. 2006. inicialmente. ed. relaciona-se às O'Reilly Media. São Paulo: Novatec. M. Puzzle #4: The Curious Mr. F. além de não contemplar todos os passos propostos. R. 1. 3 ed..). seu estudo atinge o resultado previsto Moving Targets and Data. Albany. Wireshark: Go deep. suficiente material estatístico que sustente tal possibilidade. Tendo em vista manter a <http://www. Acesso em: 22 ago. 2012. 2012. Annual Symposium on Information Assurance.kismet de decisões. Disponível em: < armazenamento em mídias de tipos diferentes. importante. geração de http://www. T. 2012..I.html>. Berlim: Springer- roteiro não determina sua validação. primeiramente. com intuito de devolver aos responsáveis Springer-Verlag. perícia. Para tanto.com/computers utilização em ambiente de produção. Kismet. mesmo que de Science and Its Applications – ICCSA 2004: Lecture maneira simplista. <http://www. 2005. /protech. a alta administração efetiva o Analysis Tool (NFAT).. v. A.kfupm. envolvendo ambientes virtualizados.. 2014. LMG SECURITY. porém concedendo a este a liberdade na tomada KERSHAW. 01 sugerir a realização de auto avaliação da equipe. nesta etapa o perito finaliza os trabalhos da CONFERENCE ON INFORMATION NETWORKING. redes complexas. 2006. Acesso em: 22 ago. 2002. Novo Aurélio Século XXI: o dicionário estudo. M. 3043.sa/~ahmadsm/papers/almulh integridade das evidências. K. for Linux. Acesso em: 22 ago. Acesso em: 22 ago. Experience with Engineering apresentados os resultados à alta administração e demais a Network Forensics System.org/>. B.com/pub/a/network/2002/04/26/nettap. Computational criação de uma base de conhecimento comum. K. Acesso em: 22 ago. et al. que os COREY.wireshark.org/wiki/Tools: formadas por dispositivos móveis. O perito responsável solicita.). Network Forensics Puzzle Contest. pode-se validar o roteiro proposto com maior Fronteira. a Institute of Standards and Technology. mas sim colaborar ASSURANCE. Celso Carlos Navarro Modesto Junior. ou até mesmo por soluções que envolvam 2012. p. consistente. S. 2012. Sabe-se que o estudo de caso aplicado ao Notes in Computer Science. R.forensicswiki. gera as mídias. Disponível em: <http:// questões legais. 2002. Special Publication. torná-las algo estático. G. propriedade e confiabilidade. I.xplico . Disponível em: encerramento oficial da perícia. redes FORENSICS WIKI (Comp. Gaithersburg: linha de investigação proposta visa guiar o perito em uma NIST. Acesso em: 11 ago.pdf>. Disponível em: <http://www. 2012. J. Estudos adicionais e futuros podem contemplar situações 2 ed. Network Forensics: Tapping the Internet. ERBACHER. In: ICCSA (Comp. através da elaboração de laudo pericial válido e LJUBUNCIC.net/documentation. sugeridas. Jander Moreira Finalização dos Trabalhos REFERÊNCIAS Após a elaboração e entrega do laudo. Burlington: Syngress. 3 (1): 11-23 22 . Lecture Notes in Computer Science. l>. um ponto de apoio a perícias em Incident Response: Recommendations of the National redes. SUNDBERG. KIM. Linux: Guia do Administrador do Sistema. Guide to Integrating Forensic Techniques into estabelece. Disponível em: investigação. seja utilizando-se ferramentas diferentes das wireless. E. 72 . Tools: Network Forensics. FERREIRA. bem como ALMULHEM. cópia da documentação elaborada pelo perito durante a COMBS. demonstrando que é perfeitamente factível sua Disponível em: <http://www. Rio de Janeiro: Nova Com isso. A. 2012.dedoimedo. sugere-se ainda a realização de novos casos de FERREIRA. que possibilitem maior gama de situações-problema. 2004. In: Este trabalho não tem a pretensão de esgotar as possíveis ANNUAL SYMPOSIUM ON INFORMATION situações de investigação forense em redes. Ao contrário. A Fuzzy Expert System for O desenvolvimento deste trabalho possibilita. FRANCESCHI.edu. linha-mestra. Proceedings of the 1st. Network Forensics Analysis..60-66. Internet. CHRISTIANSEN. Acesso em: 13 ago.htm sobre o objeto de estudo deste trabalho. redes Disponível em: <http://www. n. A.. em que pese o cenário de estudo aplicado University at Albany. conforme observações 2005. 1999.

malwarehelp. Monografia (Bacharelado) de Caso. ed.ORG.ernet.. Universidade Federal do Rio Grande do Sul.Curso de Ciência da Computação. 2007. Common Phases <http://www. 2003. Leis Processuais e Estudos em Sistemas Unix. 2001. G. computaci onal-baseada-em-sistema-operacional- Disponível em: <http://nmap. Hingham: Charles River Media. Disponível em: <http://www. NETRESEC NetworkMiner: The Network 12 p. SIRA. Utica: DFRWS. 2012. SNORT Brasil: O Snort. Disponível em: Acesso em: 14 ago.br/bitstream/ SINGH. ISEA Workshop on Network handle/10183/26345/000757798. Disponível em: 22 ago. G. NETRESEC. Rio de Janeiro: Brasport. 2012. C.html>. 2012. 2012. 2012. Investigation. Tutorial de TCPDump. Acesso em: 30 ago. Disponível em: YUSOFF. . NIKSUN: NetDetector® Alpine. Investigação e Perícia Forense MACEDO.com/?page=NetworkMiner>.pedropereira. Acesso em: 11 ago. <http://www. Pedro. p. Acesso em: 23 ago. <http://www. analysis-tools-overview-emerging-technolo gy /104303>. A Road Map for Digital Forensic Research.NET. Disponível em: <http://openmaniak. ISMAIL. Acesso em: <http://www.org/2001/dfrws-rm. com. Acesso em: SNORT BRASIL. Acesso em: 22 ago. em: 22 ago.pdf>. Acesso em: 22 ago.iitg. HASSAN. Disponível em: <http://www. 2012. Maryland: Sans Institute.niksun.com. 2012. Guia de Referência do Nmap: Página do Manual.org/forensic_tools . 2012. <http://www. 2012. DFRWS Technical Report. 2012. R. <http://www. <http://www.tcpdump.org/>.datasecurity. SpeedGuide. Free Forensic Software Tools. R. Disponível em: Acesso em: 12 ago. Journal Of Computer Science & Information Technology. Global Information Assurance Certification (GIAC) Forensics Analysis Tool.. Y. Perícia forense computacional baseada em Índia.pdf?sequence=1>.S.com/product. 2012. What is network forensics? Disponível Informática.net/como-usar-o-tcpdump/>.net: Broadband Tweaks. 2011. Network Forensics Analysis Tools: An Overview of Acesso em: 22 ago.giac.techtarget. Disponível em: Acesso em: 15 ago. NIKSUN.lume. International Acesso em: 22 ago. TCPDUMP/LIBPCAP. 2010. 2012. G. 2012. an Emerging Technology.pdf>. Investigação Forense Digital de Rootkits Computacional: Certificações.com/2010/02/03/puzzle-4-the-curious-mr-x>. 2010. 3 (1): 11-23 . A. SPEEDGUIDE. Disponível em: /network-forensics>.speedguide. QUEIROZ. 2005. M. Disponível em: Tools and Info.. Disponível em: <http://www. Instituto de SEARCHSECURITY. J. Acesso windows-xpprofessiona l>.dfrws..br/index. of Computer Forensics Investigation Models. em: <http://searchsecurity.php/biblioteca/file/12-pericia-forense- LYON. 2012.The Easy Tutorial: Statistics.Roteiro Investigativo em Perícia Forense Computacional de Redes: Estudo de Caso contest.net/>. Wireshark .org/paper/gsec/2478/ network-forensics- 2012. /NForensics-IIT%20Guwahati-21Feb2009OVS. PIMENTA. Computer Forensics: Computer Crime Scene final.php>. Acesso em: 13 ago. 01 jun. O. Disponível em: <http://www.com/wireshark_stat.php?id=4>. Sorocaba. repository. 2012.snort. R.net Paper. VARGAS.org/man/pt_BR/>. 2010. 23 TI. sistema operacional Windows XP Professional. <http://www. 72 f. Acesso em: 22 ago.br/>. TCPDUMP/LIBPCAP: public PALMER. R. OPENMANIAK. Disponível em: resec. 48 p. PEREIRA. 2009. 2. Acesso em: 22 ago.. F. Z. VACCA.ufrgs. Traffic Capturing & Analysis.in/cse/ISEA/isea_PPT/ISEA_02_09 MALWARE HELP. 17-31. 30 ago.com/defini tion Porto Alegre. Network Forensics. 2014.