Ferramenta Forense de Análise de Rede (NFAT) - Xplico
Uma excelente ferramenta de análise forense, que é capaz de interpretar quase todos os protocolos mais usados e capturados de forma prática e visual. Imagine descobrir qual site, e-mail, e até conversa VOIP que um computador trafegou.
[ Hits: 66.350 ]
Por: Paulo Roberto Junior - WoLF em 06/08/2010
Introdução
Até em férias no nordeste estou aqui compartilhando com todos vocês estas informações, bem como o artigo.
Primeiramente, uma breve introdução sobre a premissa deste artigo, o contexto embasado.
Demais informações com os devidos créditos, são encontradas em:
Fonte: UFRJ
A Ciência Forense é a aplicação de uma vasta gama de métodos científicos para responder a investigações e questões de interesse legal. "Forense" é uma palavra em português que remete ao latim de "antes do fórum".
A Análise Forense em computadores é um conjunto de aplicações que em geral são utilizadas para determinar se ele foi ou está sendo utilizado para fins ilegais, e os especialistas dessa área geralmente investigam os meios de armazenamento de dados, as comunicações, a criptografia dos dados, entre outras possibilidades, tentando conseguir alguma informação relevante. Basicamente uma Análise Forense consiste de quatro passos:
Existem também técnicas anti-Análise Forense, que visam dificultar as investigações e destruir as evidências que podem ser usadas contra você no sistema legal.
Com o volume de informações cada vez mais elevado, se faz necessário analisar essas informações, e principalmente verificar sua legitimidade.
Como no mundo real, há detetives que investigam, buscam informações até as que parecem invisíveis a olho nu, informações digitais, também podem ser recuperadas se apagadas, por exemplo por um meliante digital, desejando apagar seus rastros.
A técnica digital forense é de tal importância que é levada como argumento e provas concretas em processos jurídicos dos mais elevados níveis da justiça em qualquer país.
Um processo de investigação forense - conhecido "forensics" -, tem por objetivo fornecer a organização a possibilidade de tomar ações legais cabíveis, mas sem o objetivo de indiciar: seu foco deve estar em confirmar eventos, compreender como o incidente ocorreu e prevenir a recorrência do mesmo. A busca e organização das informações e evidências relacionadas ao incidente, permite que o mesmo possa ser avaliado não só pela equipe técnica, mas também pela Alta Administração da organização.
Antes do início da perícia técnica, é prudente que seja realizada uma verificação da gravidade do incidente de forma que possam ser tomadas ações imediatas para impedir que o hacker, funcionário, concorrente ou quem quer que esteja gerando o ataque continue atuando.
Existe uma regra básica na perícia técnica: mantenha sempre a integridade do equipamento analisado.
Mas isso é para se aprofundar mais no assunto, no momento vou me ater até aqui.
Primeiramente, uma breve introdução sobre a premissa deste artigo, o contexto embasado.
Demais informações com os devidos créditos, são encontradas em:
Fonte: UFRJ
A Ciência Forense é a aplicação de uma vasta gama de métodos científicos para responder a investigações e questões de interesse legal. "Forense" é uma palavra em português que remete ao latim de "antes do fórum".
A Análise Forense em computadores é um conjunto de aplicações que em geral são utilizadas para determinar se ele foi ou está sendo utilizado para fins ilegais, e os especialistas dessa área geralmente investigam os meios de armazenamento de dados, as comunicações, a criptografia dos dados, entre outras possibilidades, tentando conseguir alguma informação relevante. Basicamente uma Análise Forense consiste de quatro passos:
- Identificar fontes de evidência aceitas pelo sistema legal.
- Preservar a evidência.
- Analisar a evidência.
- Apresentar o resultado da análise.
Existem também técnicas anti-Análise Forense, que visam dificultar as investigações e destruir as evidências que podem ser usadas contra você no sistema legal.
Com o volume de informações cada vez mais elevado, se faz necessário analisar essas informações, e principalmente verificar sua legitimidade.
Como no mundo real, há detetives que investigam, buscam informações até as que parecem invisíveis a olho nu, informações digitais, também podem ser recuperadas se apagadas, por exemplo por um meliante digital, desejando apagar seus rastros.
A técnica digital forense é de tal importância que é levada como argumento e provas concretas em processos jurídicos dos mais elevados níveis da justiça em qualquer país.
Um processo de investigação forense - conhecido "forensics" -, tem por objetivo fornecer a organização a possibilidade de tomar ações legais cabíveis, mas sem o objetivo de indiciar: seu foco deve estar em confirmar eventos, compreender como o incidente ocorreu e prevenir a recorrência do mesmo. A busca e organização das informações e evidências relacionadas ao incidente, permite que o mesmo possa ser avaliado não só pela equipe técnica, mas também pela Alta Administração da organização.
Antes do início da perícia técnica, é prudente que seja realizada uma verificação da gravidade do incidente de forma que possam ser tomadas ações imediatas para impedir que o hacker, funcionário, concorrente ou quem quer que esteja gerando o ataque continue atuando.
Existe uma regra básica na perícia técnica: mantenha sempre a integridade do equipamento analisado.
Mas isso é para se aprofundar mais no assunto, no momento vou me ater até aqui.
Páginas do artigo
1. Introdução2. Instalação do Xplico
3. Uso e telas
4. Extras, dicas, conclusão
Outros artigos deste autor
FAM - Monitorar alteração de arquivos
EyeOS - Mini Sistema Operacional nas Nuvens
Webmail Roundcubemail em PHP4/PHP5 com skins, LDAP e extras
Scanner de segurança SKIPFISH do Google para sites
Servidor de monitoramento Nagios
Leitura recomendada
Tor e Hidden Service Protocol - Explicando tecnicamente a "Deep Web"
YASG (Yet Another Security Guide)
Procurando rootkits no seu sistema
Implementação de OpenVAS-5 em Ubuntu 10.04.4 LTS
Acesso Remoto: Configurando e Iniciando o Servidor Telnet e SSH
Comentários
[2] Comentário enviado por ggalmeida em 06/08/2010 - 14:06h
Excelente. Posso monitorar máquinas rodando qualquer SO que estejam inseridas na rede?
Abraço.
Excelente. Posso monitorar máquinas rodando qualquer SO que estejam inseridas na rede?
Abraço.
[3] Comentário enviado por cytron em 06/08/2010 - 23:15h
Tá louco! Ferramentinha violenta, isso disseca a rede mais do que um estudante de medicina disceca um sapo! Só pra testar me conectei a uma rede wireless de um provedor aqui da região, o resultado foi surpriendente. Me senti como se fosse o google (dono do mundo) kkkkkkkkk.
Para trabalhar como segurança ou investigador digital esse Xplico é ideal.
Tá louco! Ferramentinha violenta, isso disseca a rede mais do que um estudante de medicina disceca um sapo! Só pra testar me conectei a uma rede wireless de um provedor aqui da região, o resultado foi surpriendente. Me senti como se fosse o google (dono do mundo) kkkkkkkkk.
Para trabalhar como segurança ou investigador digital esse Xplico é ideal.
[4] Comentário enviado por jem06 em 08/08/2010 - 20:19h
legal cara, muito obrigado. Eu tenho como preceito, respeitar todos estes trabalhos. Se um dia eu conseguir tudo isto. Jamais prejudicarei alguem. Bom trabalho Paulo. Mas reitero o meu comportamento, conhecer é ótimo. JOnny maia.
legal cara, muito obrigado. Eu tenho como preceito, respeitar todos estes trabalhos. Se um dia eu conseguir tudo isto. Jamais prejudicarei alguem. Bom trabalho Paulo. Mas reitero o meu comportamento, conhecer é ótimo. JOnny maia.
[5] Comentário enviado por jem06 em 08/08/2010 - 20:21h
Obrigado Paulo. Tenho por preceito, jamais prejudicar alguem. Mas muito obrigado. Jonny maia
Obrigado Paulo. Tenho por preceito, jamais prejudicar alguem. Mas muito obrigado. Jonny maia
[6] Comentário enviado por paulorvojr em 09/08/2010 - 03:03h
De nada galera, ajudar sempre e compartilhar informações sempre é útil para ambos os lados.
Mesmo uma ferramenta que pode ser usada pro bem ou pro EVIL!! rsrsrs, não se aprende sem praticar .
Abraços.
De nada galera, ajudar sempre e compartilhar informações sempre é útil para ambos os lados.
Mesmo uma ferramenta que pode ser usada pro bem ou pro EVIL!! rsrsrs, não se aprende sem praticar .
Abraços.
[7] Comentário enviado por cpaynes em 12/09/2010 - 13:40h
opa .. blza ???
bom artigo ... pouca coisa eh encontrada nesse sentido ...
eu estou com um problema .. seguinte ..
no momento em que eu vou realizar o make install dentro do diretorio xplico-0.5.8 me da esse erro que segue abaixo...
todas as dependencias estao instaladas .. se vc souber o que pode ser ... agradeco ...
cc -rdynamic -I/opt/xbuild/xplico-0.5.8/system/dema/include -Wall -g -ggdb -fPIC -D_FILE_OFFSET_BITS=64 -DDB_SQLITE2=1 -c -o dbinterface.o dbinterface.c
dbinterface.c:28:25: error: mysql/mysql.h: Arquivo ou diretório não encontrado
dbinterface.c:39: error: expected ‘=’, ‘,’, ‘;’, ‘asm’ or ‘__attribute__’ before ‘*’ token
dbinterface.c: In function ‘DBIntQuery’:
dbinterface.c:53: warning: implicit declaration of function ‘mysql_query’
dbinterface.c:53: error: ‘conn’ undeclared (first use in this function)
dbinterface.c:53: error: (Each undeclared identifier is reported only once
dbinterface.c:53: error: for each function it appears in.)
dbinterface.c:76:6: warning: #warning "to complete"
dbinterface.c: In function ‘DBIntInit’:
dbinterface.c:84: error: ‘MYSQL’ undeclared (first use in this function)
dbinterface.c:84: error: ‘ret’ undeclared (first use in this function)
dbinterface.c:95: error: ‘conn’ undeclared (first use in this function)
dbinterface.c:95: warning: implicit declaration of function ‘mysql_init’
dbinterface.c:96: warning: implicit declaration of function ‘mysql_real_connect’
dbinterface.c: In function ‘DBIntClose’:
dbinterface.c:134: warning: implicit declaration of function ‘mysql_close’
dbinterface.c:134: error: ‘conn’ undeclared (first use in this function)
make[2]: ** [dbinterface.o] Erro 1
make[2]: Saindo do diretório `/opt/xbuild/xplico-0.5.8/system/dema'
make[1]: ** [subdir] Erro 1
make[1]: Saindo do diretório `/opt/xbuild/xplico-0.5.8/system'
make: ** [subdir] Erro 1
opa .. blza ???
bom artigo ... pouca coisa eh encontrada nesse sentido ...
eu estou com um problema .. seguinte ..
no momento em que eu vou realizar o make install dentro do diretorio xplico-0.5.8 me da esse erro que segue abaixo...
todas as dependencias estao instaladas .. se vc souber o que pode ser ... agradeco ...
cc -rdynamic -I/opt/xbuild/xplico-0.5.8/system/dema/include -Wall -g -ggdb -fPIC -D_FILE_OFFSET_BITS=64 -DDB_SQLITE2=1 -c -o dbinterface.o dbinterface.c
dbinterface.c:28:25: error: mysql/mysql.h: Arquivo ou diretório não encontrado
dbinterface.c:39: error: expected ‘=’, ‘,’, ‘;’, ‘asm’ or ‘__attribute__’ before ‘*’ token
dbinterface.c: In function ‘DBIntQuery’:
dbinterface.c:53: warning: implicit declaration of function ‘mysql_query’
dbinterface.c:53: error: ‘conn’ undeclared (first use in this function)
dbinterface.c:53: error: (Each undeclared identifier is reported only once
dbinterface.c:53: error: for each function it appears in.)
dbinterface.c:76:6: warning: #warning "to complete"
dbinterface.c: In function ‘DBIntInit’:
dbinterface.c:84: error: ‘MYSQL’ undeclared (first use in this function)
dbinterface.c:84: error: ‘ret’ undeclared (first use in this function)
dbinterface.c:95: error: ‘conn’ undeclared (first use in this function)
dbinterface.c:95: warning: implicit declaration of function ‘mysql_init’
dbinterface.c:96: warning: implicit declaration of function ‘mysql_real_connect’
dbinterface.c: In function ‘DBIntClose’:
dbinterface.c:134: warning: implicit declaration of function ‘mysql_close’
dbinterface.c:134: error: ‘conn’ undeclared (first use in this function)
make[2]: ** [dbinterface.o] Erro 1
make[2]: Saindo do diretório `/opt/xbuild/xplico-0.5.8/system/dema'
make[1]: ** [subdir] Erro 1
make[1]: Saindo do diretório `/opt/xbuild/xplico-0.5.8/system'
make: ** [subdir] Erro 1
[8] Comentário enviado por paulorvojr em 12/09/2010 - 14:54h
christovam_cps, tudo bom?
Segundo o erro, informa que você não tem mysql instalado ou registrado. Ele precisa de um SGBD, tudo bem so para se logar no mini-painel dele na web, mas ele pede, temos que atender.
abraços
christovam_cps, tudo bom?
Segundo o erro, informa que você não tem mysql instalado ou registrado. Ele precisa de um SGBD, tudo bem so para se logar no mini-painel dele na web, mas ele pede, temos que atender.
abraços
[9] Comentário enviado por cpaynes em 12/09/2010 - 22:00h
opa..
tranquilo aqui..
Mas estranho o seguintee, eu ja possuia o mysql instalado e funcionando com outras ferramentas,
e as dependencias que foi solicitadas instalaram corretamente, ai eu peguei e instalei em outro micro aqui tambem
e funcionou perfeitamente. essa semana eu dou uma olhada com calma o que pdoe ser ..
que no comeco eu ate achei que o mysql.h fosse do xplico ..
mas agradeco o retorno ...
abracos ...
opa..
tranquilo aqui..
Mas estranho o seguintee, eu ja possuia o mysql instalado e funcionando com outras ferramentas,
e as dependencias que foi solicitadas instalaram corretamente, ai eu peguei e instalei em outro micro aqui tambem
e funcionou perfeitamente. essa semana eu dou uma olhada com calma o que pdoe ser ..
que no comeco eu ate achei que o mysql.h fosse do xplico ..
mas agradeco o retorno ...
abracos ...
[10] Comentário enviado por giomagno em 14/04/2012 - 12:26h
e ai beleza, realizei a instalação da nova versão seguindo os procedimentos do próprio site deles, mas quando eu termino de upar os arquivos pcap, não consigo gerar os gráficos será que esqueci algo?
e ai beleza, realizei a instalação da nova versão seguindo os procedimentos do próprio site deles, mas quando eu termino de upar os arquivos pcap, não consigo gerar os gráficos será que esqueci algo?
[11] Comentário enviado por davidt em 09/09/2013 - 16:19h
O comando "Install Xplico", não funciona. Estou usando Ubuntu 12.04.
Erro:
root@jcruzeiro-ProLiant-ML110-G5:/home/jcruzeiro# Install Xplico
No command 'Install' found, did you mean:
Command 'install' from package 'coreutils' (main)
Install: command not found
O comando "Install Xplico", não funciona. Estou usando Ubuntu 12.04.
Erro:
root@jcruzeiro-ProLiant-ML110-G5:/home/jcruzeiro# Install Xplico
No command 'Install' found, did you mean:
Command 'install' from package 'coreutils' (main)
Install: command not found
[12] Comentário enviado por paulorvojr em 10/09/2013 - 00:41h
Davidt, tudo bom?
tenta isso:
sudo bash -c 'echo "deb http://repo.xplico.org/ $(lsb_release -s -c) main" >> /etc/apt/sources.list'
sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys 791C25CE
sudo apt-get update
sudo apt-get install xplico
Davidt, tudo bom?
tenta isso:
sudo bash -c 'echo "deb http://repo.xplico.org/ $(lsb_release -s -c) main" >> /etc/apt/sources.list'
sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys 791C25CE
sudo apt-get update
sudo apt-get install xplico
[13] Comentário enviado por VandersonDiniz em 18/11/2013 - 00:20h
giomagno, dê uma olhada nisso:
"Dns Graphs
The graphs are made with Open Flash Chart."
http://localhost:9876/users/help
giomagno, dê uma olhada nisso:
"Dns Graphs
The graphs are made with Open Flash Chart."
http://localhost:9876/users/help
[14] Comentário enviado por VandersonDiniz em 18/11/2013 - 00:47h
http://teethgrinder.co.uk/open-flash-chart-2/tutorial.php
http://teethgrinder.co.uk/open-flash-chart-2/tutorial.php
[15] Comentário enviado por paulorvojr em 18/11/2013 - 17:22h
A ideia é excelente galera, mas peca em ser exclusivo em flash.
Hoje em dia utilizo http://www.fusioncharts.com/
funciona em qualquer tablet, seja android ou ios
A ideia é excelente galera, mas peca em ser exclusivo em flash.
Hoje em dia utilizo http://www.fusioncharts.com/
funciona em qualquer tablet, seja android ou ios
Patrocínio
Site hospedado pelo provedor RedeHost.
Destaques
Artigos
Melhorando o tempo de boot do Fedora e outras distribuições
Como instalar as extensões Dash To Dock e Hide Top Bar no Gnome 45/46
E a guerra contra bots continua
Tradução do artigo do filósofo Gottfried Wilhelm Leibniz sobre o sistema binário
Conheça o firewall OpenGFW, uma implementação do (Great Firewall of China).
Dicas
Instalando o FreeOffice no LMDE 6
Anki: Remover Tags de Estilo HTML de Todas as Cartas
Colocando uma opção de redimensionamento de imagem no menu de contexto do KDE
Tópicos
Debian Bookworm para a versão beta Debian 13 Trixie (3)
Não consigo acessar os modos de desempenho (5)
Alguém pode me ajudar porfavor como executar comandos ao iniciar no i3... (2)
Top 10 do mês
-
Xerxes
1° lugar - 70.412 pts -
Fábio Berbert de Paula
2° lugar - 57.253 pts -
Clodoaldo Santos
3° lugar - 42.938 pts -
Buckminster
4° lugar - 23.714 pts -
Sidnei Serra
5° lugar - 23.325 pts -
Daniel Lara Souza
6° lugar - 17.442 pts -
Mauricio Ferrari
7° lugar - 17.134 pts -
Alberto Federman Neto.
8° lugar - 17.101 pts -
Diego Mendes Rodrigues
9° lugar - 15.710 pts -
edps
10° lugar - 14.354 pts
Scripts
[Shell Script] Script para desinstalar pacotes desnecessários no OpenSuse
[Shell Script] Script para criar certificados de forma automatizada no OpenVpn
[Shell Script] Conversor de vídeo com opção de legenda
[C/C++] BRT - Bulk Renaming Tool
[Shell Script] Criação de Usuarios , Grupo e instalação do servidor de arquivos samba
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
