{"id":22145,"date":"2025-03-02T00:05:00","date_gmt":"2025-03-02T03:05:00","guid":{"rendered":"https:\/\/www.ethicalhacker.com.br\/site\/?p=22145"},"modified":"2025-02-23T19:26:31","modified_gmt":"2025-02-23T22:26:31","slug":"forense-digital-com-linux-tecnicas-praticas-parte-8","status":"publish","type":"post","link":"https:\/\/www.ethicalhacker.com.br\/site\/2025\/03\/exploits\/forense-digital-com-linux-tecnicas-praticas-parte-8\/","title":{"rendered":"Forense Digital com Linux &#8211; T\u00e9cnicas Pr\u00e1ticas &#8211; Parte 8"},"content":{"rendered":"\n<p><strong>Dominando o Plaso (Log2Timeline): Uma Ferramenta poderosa para an\u00e1lise de linha do tempo em Forense Digital<\/strong><\/p>\n<p style=\"text-align: justify;\">Hoje, vamos explorar uma das ferramentas mais robustas para an\u00e1lise forense digital: o\u00a0<strong>Plaso<\/strong>, tamb\u00e9m conhecido como\u00a0<strong>Log2Timeline<\/strong>. Essa ferramenta \u00e9 essencial para analisar grandes volumes de dados e criar linhas do tempo (timelines) que ajudam a entender a sequ\u00eancia de eventos em um sistema comprometido. Vamos abordar, passo a passo, como utilizar o Plaso em cen\u00e1rios pr\u00e1ticos, desde a instala\u00e7\u00e3o at\u00e9 a an\u00e1lise de resultados.<\/p>\n<p>\u00a0<\/p>\n<p><strong>Passo 1: Instala\u00e7\u00e3o e configura\u00e7\u00e3o do Plaso<\/strong><\/p>\n<p style=\"text-align: justify;\">Antes de come\u00e7armos, \u00e9 fundamental garantir que o Plaso esteja corretamente instalado em seu sistema. A ferramenta \u00e9 compat\u00edvel com Linux, macOS e Windows (via WSL). Vamos focar na instala\u00e7\u00e3o em um ambiente Linux, que \u00e9 o mais comum para an\u00e1lises forenses. Lembrando que o Plaso faz parte do pacote de ferramentas do Kali Linux.<\/p>\n<p>\u00a0<\/p>\n<ul>\n<li>\n<p><strong>Instala\u00e7\u00e3o no Linux<\/strong>:<\/p>\n<ul>\n<li>\n<p>No Ubuntu ou Debian, voc\u00ea pode instalar o Plaso diretamente via reposit\u00f3rios:<\/p>\n<div class=\"md-code-block\">\n<div class=\"md-code-block-banner-wrap\">\n<div class=\"md-code-block-banner\">\u00a0<\/div>\n<\/div>\n<pre><span class=\"token function\">sudo<\/span> <span class=\"token function\">apt-get<\/span> <span class=\"token function\">install<\/span> plaso-tools<\/pre>\n<\/div>\n<\/li>\n<li>\n<p>Para outras distribui\u00e7\u00f5es, \u00e9 recomend\u00e1vel utilizar o\u00a0<code>pip<\/code>\u00a0(gerenciador de pacotes Python):<\/p>\n<div class=\"md-code-block\">\n<div class=\"md-code-block-banner-wrap\">\n<div class=\"md-code-block-banner\">\u00a0<\/div>\n<\/div>\n<pre>pip <span class=\"token function\">install<\/span> plaso<\/pre>\n<\/div>\n<\/li>\n<\/ul>\n<\/li>\n<li>\n<p><strong>Verifica\u00e7\u00e3o da instala\u00e7\u00e3o<\/strong>:<\/p>\n<ul>\n<li>\n<p>Ap\u00f3s a instala\u00e7\u00e3o, verifique se o Plaso est\u00e1 funcionando corretamente executando:<\/p>\n<div class=\"md-code-block\">\n<div class=\"md-code-block-banner-wrap\">\n<div class=\"md-code-block-banner\">\u00a0<\/div>\n<\/div>\n<pre>log2timeline.py <span class=\"token parameter variable\">--version<\/span><\/pre>\n<\/div>\n<\/li>\n<li>\n<p>Isso deve retornar a vers\u00e3o instalada, confirmando que a ferramenta est\u00e1 pronta para uso.<\/p>\n<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<p>\u00a0<\/p>\n<p><strong>Passo 2: Criando uma linha do tempo a partir de uma imagem de disco<\/strong><\/p>\n<p style=\"text-align: justify;\">Agora que o Plaso est\u00e1 instalado, vamos utiliz\u00e1-lo para criar uma linha do tempo a partir de uma imagem de disco. Suponha que voc\u00ea tenha uma imagem de disco chamada\u00a0<code>imagem.dd<\/code>\u00a0e deseja extrair eventos relevantes, como logs do sistema, atividades de usu\u00e1rios e metadados de arquivos.<\/p>\n<p>\u00a0<\/p>\n<ul>\n<li>\n<p><strong>Executando o Log2Timeline<\/strong>:<\/p>\n<ul>\n<li>\n<p>Utilize o seguinte comando para processar a imagem de disco:<\/p>\n<div class=\"md-code-block\">\n<div class=\"md-code-block-banner-wrap\">\n<div class=\"md-code-block-banner\">\u00a0<\/div>\n<\/div>\n<pre>log2timeline.py --storage-file timeline.plaso imagem.dd<\/pre>\n<\/div>\n<\/li>\n<li>\n<p>Aqui,\u00a0<code>timeline.plaso<\/code>\u00a0\u00e9 o arquivo de sa\u00edda que armazenar\u00e1 todos os eventos extra\u00eddos.<\/p>\n<\/li>\n<\/ul>\n<\/li>\n<li>\n<p><strong>Entendendo o processo<\/strong>:<\/p>\n<ul>\n<li>\n<p>O Plaso vai analisar a imagem de disco, extraindo informa\u00e7\u00f5es de logs, arquivos, registros do sistema operacional e muito mais. Esse processo pode demorar, dependendo do tamanho da imagem e da quantidade de dados.<\/p>\n<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<p>\u00a0<\/p>\n<p><strong>Passo 3: Analisando a linha do tempo com o Psort<\/strong><\/p>\n<p style=\"text-align: justify;\">Com a linha do tempo criada e armazenada no arquivo\u00a0<code>timeline.plaso<\/code>, o pr\u00f3ximo passo \u00e9 analisar os eventos extra\u00eddos. Para isso, utilizaremos o\u00a0<strong>Psort<\/strong>, uma ferramenta que faz parte do ecossistema do Plaso.<\/p>\n<p>\u00a0<\/p>\n<ul>\n<li>\n<p><strong>Exportando a Linha do Tempo<\/strong>:<\/p>\n<ul>\n<li>\n<p>Para visualizar os eventos em um formato leg\u00edvel, execute:<\/p>\n<div class=\"md-code-block\">\n<div class=\"md-code-block-banner-wrap\">\n<div class=\"md-code-block-banner\">\u00a0<\/div>\n<\/div>\n<pre>psort.py <span class=\"token parameter variable\">-o<\/span> dynamic <span class=\"token parameter variable\">-w<\/span> timeline.csv timeline.plaso<\/pre>\n<\/div>\n<\/li>\n<li>\n<p>Isso criar\u00e1 um arquivo CSV (<code>timeline.csv<\/code>) contendo todos os eventos organizados cronologicamente.<\/p>\n<\/li>\n<\/ul>\n<\/li>\n<li>\n<p><strong>Filtrando Eventos Relevantes<\/strong>:<\/p>\n<ul>\n<li>\n<p style=\"text-align: justify;\">Em muitos casos, a linha do tempo pode conter milhares de eventos. Para filtrar apenas os mais relevantes, voc\u00ea pode utilizar filtros espec\u00edficos. Por exemplo, para buscar apenas eventos relacionados a um usu\u00e1rio espec\u00edfico:<\/p>\n<div class=\"md-code-block\">\n<div class=\"md-code-block-banner-wrap\">\n<div class=\"md-code-block-banner\">\u00a0<\/div>\n<\/div>\n<pre>psort.py <span class=\"token parameter variable\">-o<\/span> dynamic <span class=\"token parameter variable\">--filter<\/span> <span class=\"token string\">\"user == 'usuario'\"<\/span> <span class=\"token parameter variable\">-w<\/span> filtered_timeline.csv timeline.plaso<br \/><br \/><br \/><\/pre>\n<\/div>\n<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<p><strong>Passo 4: Visualizando e interpretando os resultados<\/strong><\/p>\n<p style=\"text-align: justify;\">Com os eventos extra\u00eddos e filtrados, \u00e9 hora de interpretar os resultados. O arquivo CSV gerado pode ser aberto em ferramentas como o Excel, Google Sheets ou qualquer outro software de planilhas. Aqui est\u00e3o alguns exemplos do que voc\u00ea pode encontrar:<\/p>\n<p>\u00a0<\/p>\n<ul>\n<li>\n<p><strong>Atividades de usu\u00e1rios<\/strong>:<\/p>\n<ul>\n<li>\n<p>Logins e logouts.<\/p>\n<\/li>\n<li>\n<p>Acesso a arquivos e diret\u00f3rios.<\/p>\n<\/li>\n<li>\n<p>Execu\u00e7\u00e3o de programas.<\/p>\n<\/li>\n<\/ul>\n<\/li>\n<li>\n<p><strong>Atividades do sistema<\/strong>:<\/p>\n<ul>\n<li>\n<p>Altera\u00e7\u00f5es em registros do sistema.<\/p>\n<\/li>\n<li>\n<p>Instala\u00e7\u00e3o de software.<\/p>\n<\/li>\n<li>\n<p>Conex\u00f5es de rede.<\/p>\n<\/li>\n<\/ul>\n<\/li>\n<li>\n<p><strong>Metadados de arquivos<\/strong>:<\/p>\n<ul>\n<li>\n<p>Datas de cria\u00e7\u00e3o, modifica\u00e7\u00e3o e acesso.<\/p>\n<\/li>\n<li>\n<p>Informa\u00e7\u00f5es sobre dispositivos de armazenamento.<\/p>\n<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<p>\u00a0<\/p>\n<p><strong>Passo 5: Aplica\u00e7\u00f5es pr\u00e1ticas em cen\u00e1rios reais<\/strong><\/p>\n<p style=\"text-align: justify;\">Vamos agora aplicar o Plaso em um cen\u00e1rio pr\u00e1tico. Imagine que voc\u00ea est\u00e1 investigando um incidente de seguran\u00e7a em que um atacante comprometeu um servidor. Utilizando o Plaso, voc\u00ea pode:<\/p>\n<p>\u00a0<\/p>\n<ul>\n<li>\n<p><strong>Identificar o ponto de entrada<\/strong>:<\/p>\n<ul>\n<li>\n<p>Analisar logs de autentica\u00e7\u00e3o para detectar logins suspeitos.<\/p>\n<\/li>\n<li>\n<p>Verificar se houve execu\u00e7\u00e3o de scripts ou programas maliciosos.<\/p>\n<\/li>\n<\/ul>\n<\/li>\n<li>\n<p><strong>Rastrear atividades do atacante<\/strong>:<\/p>\n<ul>\n<li>\n<p>Reconstruir a linha do tempo das a\u00e7\u00f5es realizadas pelo atacante.<\/p>\n<\/li>\n<li>\n<p>Identificar arquivos criados, modificados ou exclu\u00eddos.<\/p>\n<\/li>\n<\/ul>\n<\/li>\n<li>\n<p><strong>Coletar evid\u00eancias para relat\u00f3rios<\/strong>:<\/p>\n<ul>\n<li>\n<p>Exportar eventos espec\u00edficos para incluir em relat\u00f3rios forenses.<\/p>\n<\/li>\n<li>\n<p>Utilizar os dados para embasar decis\u00f5es de resposta a incidentes.<\/p>\n<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<p>\u00a0<\/p>\n<p><strong>Conclus\u00e3o<\/strong><\/p>\n<p style=\"text-align: justify;\">O Plaso (Log2Timeline) \u00e9 uma ferramenta indispens\u00e1vel para profissionais de seguran\u00e7a cibern\u00e9tica que precisam analisar grandes volumes de dados e reconstruir a sequ\u00eancia de eventos em um sistema comprometido. Com sua capacidade de extrair e organizar informa\u00e7\u00f5es de diversas fontes, ele permite uma vis\u00e3o clara e detalhada das atividades realizadas em um ambiente digital.<\/p>\n<p style=\"text-align: justify;\">Ao dominar o uso do Plaso, voc\u00ea estar\u00e1 equipado para enfrentar desafios complexos em investiga\u00e7\u00f5es forenses, desde a identifica\u00e7\u00e3o de amea\u00e7as at\u00e9 a coleta de evid\u00eancias para a\u00e7\u00f5es legais. Pratique os passos descritos neste artigo e explore as diversas funcionalidades que essa ferramenta oferece. Boa an\u00e1lise!<\/p>\n<p style=\"text-align: justify;\">Espero que este guia pr\u00e1tico tenha sido \u00fatil para entender como utilizar o Plaso em an\u00e1lises forenses digitais. Lembre-se de que a pr\u00e1tica constante \u00e9 essencial para dominar qualquer ferramenta. At\u00e9 a pr\u00f3xima!<\/p>\n<p>\u00a0<\/p>\n<p>Fonte e imagens: <a href=\"https:\/\/www.kali.org\/tools\/plaso\/\" target=\"_blank\" rel=\"noopener\">https:\/\/www.kali.org\/tools\/plaso\/<\/a><\/p>\n\n\n","protected":false},"excerpt":{"rendered":"<p>Dominando o Plaso (Log2Timeline): Uma Ferramenta poderosa para an\u00e1lise de linha do tempo em Forense Digital Hoje, vamos explorar uma das ferramentas mais robustas para an\u00e1lise forense digital: o\u00a0Plaso, tamb\u00e9m conhecido como\u00a0Log2Timeline. Essa ferramenta \u00e9 essencial para analisar grandes volumes de dados e criar linhas do tempo (timelines) que ajudam a entender a sequ\u00eancia de [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":22146,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[89,100,21],"tags":[],"class_list":["post-22145","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-basico","category-diversos","category-exploits"],"_links":{"self":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/22145","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/comments?post=22145"}],"version-history":[{"count":3,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/22145\/revisions"}],"predecessor-version":[{"id":22188,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/22145\/revisions\/22188"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media\/22146"}],"wp:attachment":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media?parent=22145"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/categories?post=22145"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/tags?post=22145"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}