Académique Documents
Professionnel Documents
Culture Documents
Quem sou ?
Tony Rodrigues, CISSP, CFCP, Security+ Gestor/TI e Consultor em Segurana de Informaes Perito/Investigador em Computao Forense Blog: http://forcomp.blogspot.com
Agenda
Introduo Adaptando Tcnicas Virtualizao e Computao Forense Forense em Mquinas Virtuais Mquinas Virtuais como ferramentas de Investigao Mquinas Virtuais X Peritos Concluso
Mquinas Virtuais Usa software para emular o hardware Um host pode ter vrias mquinas virtuais sendo executadas Vrios sistemas operacionais diferentes coexistindo no mesmo host Facilidade de backup e restore Otimizao do processamento Setup prtico e rpido
A praticidade tambm pode ser usada contra voc !
As mais conhecidas
Basicamente ... Possuem uma console para gerenciamento das VMs As VMs so arquivos (Configs, Memria e Disco) Permitem dar pause em uma VM Permitem descartar modificaes feitas depois de um ponto de marcao Permitem adicionar devices virtuais que se conectam aos devices reais do host
Nas Corporaes
Grande aumento no uso de servidores virtualizados
Redundncia de servios Ambientes de homologao Concentrao de servidores com baixa carga de processamento Apoio em estratgias de recuperao de desastres Separao de camadas Distribuio de appliances virtuais
de tcnicas e ferramentas
VMs na Anlise Dinmica de Imagens Forenses Imagens Forenses Dead Analysis Anlise Dinmica de Imagem Forense
Inicializao pela imagem Abordagem Read-Only Perspectiva do Usurio Ferramentas disponveis
LiveView Projeto da Carnegie Mellon University Cria uma VM compatvel com o VMWare
VMs na Anlise Dinmica de Imagens Forenses - II Possibilidade de uso em Resposta a Incidentes e Live Analysis
LiveView permite criar VMs para discos rgidos da mquina Read-Only Pode ser usado em conjunto com FResponse para minimizar interaes com o ambiente comprometido
Peritos
Pensamento 3D !
Concluso
Virtualizao cresce em utilizao e esse crescimento traz, a reboque, a necessidade de adaptao do Perito em Computao Forense s novas potencialidades e ameaas.
Referncias
F-Response http://www.f-response.com/ Live View http://liveview.sourceforge.net/ SANS SIFT https://computerforensics2.sans.org/community/downlo ads/ PyFlag http://www.pyflag.net/cgi-bin/moin.cgi PTK http://ptk.dflabs.com/ QEmu http://www.qemu.org/ VMWare http://www.vmware.com/
Referncias II
XEN http://www.xen.org/ Virtual Box http://www.virtualbox.org/ Virtual PC http://www.microsoft.com/windows/vir tual-pc/ Hyper V http://www.microsoft.com/windowsser ver2008/en/us/hyperv-main.aspx
Sugestes de Leitura
http://forcomp.blogspot.com http://www.e-evidence.info
Obrigado !