{"id":22251,"date":"2025-03-11T00:05:00","date_gmt":"2025-03-11T03:05:00","guid":{"rendered":"https:\/\/www.ethicalhacker.com.br\/site\/?p=22251"},"modified":"2025-03-10T23:39:30","modified_gmt":"2025-03-11T02:39:30","slug":"forense-digital-com-linux-tecnicas-praticas-parte-17","status":"publish","type":"post","link":"https:\/\/www.ethicalhacker.com.br\/site\/2025\/03\/basico\/forense-digital-com-linux-tecnicas-praticas-parte-17\/","title":{"rendered":"Forense Digital com Linux \u2013 T\u00e9cnicas Pr\u00e1ticas \u2013 Parte 17"},"content":{"rendered":"\n<p><strong>An\u00e1lise Forense com ClamAV: Identificando malware e altera\u00e7\u00f5es em sistemas comprometidos<\/strong><\/p>\n<p style=\"text-align: justify;\">A detec\u00e7\u00e3o de malware \u00e9 uma etapa crucial na an\u00e1lise forense digital, especialmente quando se trata de investigar sistemas comprometidos. O\u00a0<strong>ClamAV<\/strong>, um antiv\u00edrus de c\u00f3digo aberto, \u00e9 uma ferramenta poderosa para identificar arquivos maliciosos e auxiliar na an\u00e1lise de altera\u00e7\u00f5es suspeitas em uma m\u00e1quina. Neste artigo, vamos explorar como utilizar o ClamAV para verificar arquivos criados, deletados, altera\u00e7\u00f5es em diret\u00f3rios e logs, fornecendo exemplos pr\u00e1ticos de an\u00e1lise forense.<\/p>\n<p>\u00a0<\/p>\n<p><strong>1. Introdu\u00e7\u00e3o ao cen\u00e1rio<\/strong><\/p>\n<p style=\"text-align: justify;\">Imagine uma m\u00e1quina Linux que est\u00e1 apresentando comportamentos an\u00f4malos, como lentid\u00e3o, tr\u00e1fego de rede incomum e arquivos corrompidos. O objetivo \u00e9 utilizar o ClamAV para:<\/p>\n<ul>\n<li>\n<p>Verificar a presen\u00e7a de malware em arquivos recentemente criados ou modificados.<\/p>\n<\/li>\n<li>\n<p>Identificar exclus\u00f5es de arquivos cr\u00edticos.<\/p>\n<\/li>\n<li>\n<p>Analisar diret\u00f3rios suspeitos em busca de atividades maliciosas.<\/p>\n<\/li>\n<li>\n<p>Investigar logs adulterados ou corrompidos.<\/p>\n<\/li>\n<\/ul>\n<p>\u00a0<\/p>\n<p><strong>2. Instala\u00e7\u00e3o e configura\u00e7\u00e3o do ClamAV<\/strong><\/p>\n<p>Antes de come\u00e7ar, \u00e9 necess\u00e1rio instalar o ClamAV. Em sistemas baseados em Debian\/Ubuntu, utilize:<\/p>\n<div class=\"md-code-block\">\n<pre><strong><span class=\"token function\">sudo<\/span> <span class=\"token function\">apt-get<\/span> update\n<span class=\"token function\">sudo<\/span> <span class=\"token function\">apt-get<\/span> <span class=\"token function\">install<\/span> clamav clamav-daemon<br \/><br \/><\/strong><\/pre>\n<\/div>\n<p>Ap\u00f3s a instala\u00e7\u00e3o, atualize a base de assinaturas de v\u00edrus:<\/p>\n<div class=\"md-code-block\">\n<pre><strong><span class=\"token function\">sudo<\/span> freshclam<br \/><br \/><br \/><\/strong><\/pre>\n<\/div>\n<p><strong>3. Verificando arquivos criados ou modificados<\/strong><\/p>\n<p style=\"text-align: justify;\">Arquivos maliciosos s\u00e3o frequentemente criados ou modificados durante um ataque. Para identificar arquivos alterados nos \u00faltimos 7 dias e verific\u00e1-los com o ClamAV, siga os passos abaixo:<\/p>\n<p>\u00a0<\/p>\n<p><strong>3.1. Localizando arquivos recentes<\/strong><\/p>\n<p>Use o comando\u00a0<code>find<\/code> para listar arquivos modificados nos \u00faltimos 7 dias:<\/p>\n<div class=\"md-code-block\">\n<pre><strong><span class=\"token function\">find<\/span> \/ <span class=\"token parameter variable\">-type<\/span> f <span class=\"token parameter variable\">-mtime<\/span> <span class=\"token parameter variable\">-7<\/span> <span class=\"token parameter variable\">-exec<\/span> <span class=\"token function\">ls<\/span> <span class=\"token parameter variable\">-l<\/span> <span class=\"token punctuation\">{<\/span><span class=\"token punctuation\">}<\/span> <span class=\"token punctuation\">\\<\/span><span class=\"token punctuation\">;<br \/><br \/><\/span><\/strong><\/pre>\n<\/div>\n<p><strong>3.2. Verificando com ClamAV<\/strong><\/p>\n<p>Para verificar esses arquivos com o ClamAV, utilize:<\/p>\n<div class=\"md-code-block\">\n<pre><strong><span class=\"token function\">find<\/span> \/ <span class=\"token parameter variable\">-type<\/span> f <span class=\"token parameter variable\">-mtime<\/span> <span class=\"token parameter variable\">-7<\/span> <span class=\"token parameter variable\">-exec<\/span> clamscan <span class=\"token punctuation\">{<\/span><span class=\"token punctuation\">}<\/span> <span class=\"token punctuation\">\\<\/span><span class=\"token punctuation\">;<br \/><br \/><\/span><\/strong><\/pre>\n<\/div>\n<p><strong>Exemplo de sa\u00edda:<\/strong><\/p>\n<div class=\"md-code-block\">\n<pre><strong>\/home\/user\/.hidden_script.sh: Win.Trojan.Malware-12345 FOUND <\/strong> <br \/><br \/><\/pre>\n<\/div>\n<p>Arquivos marcados como &#8220;FOUND&#8221; devem ser isolados e analisados com mais detalhes.<\/p>\n<p>\u00a0<\/p>\n<p><strong>4. Detectando exclus\u00f5es de arquivos<\/strong><\/p>\n<p style=\"text-align: justify;\">A exclus\u00e3o de arquivos cr\u00edticos pode ser um indicativo de atividade maliciosa. Para identificar exclus\u00f5es, analise os logs do sistema, como\u00a0<code>\/var\/log\/syslog<\/code>\u00a0ou\u00a0<code>\/var\/log\/auth.log<\/code>.<\/p>\n<p>\u00a0<\/p>\n<p><strong>4.1. Buscando comandos de exclus\u00e3o<\/strong><\/p>\n<p>Use\u00a0<code>grep<\/code>\u00a0para buscar entradas relacionadas ao comando\u00a0<code>rm<\/code>:<\/p>\n<div class=\"md-code-block\">\n<pre><strong><span class=\"token function\">grep<\/span> <span class=\"token string\">\"rm -rf\"<\/span> \/var\/log\/syslog<br \/><br \/><\/strong><\/pre>\n<\/div>\n<p><strong>4.2. Verificando arquivos exclu\u00eddos<\/strong><\/p>\n<p style=\"text-align: justify;\">Se poss\u00edvel, restaure os arquivos exclu\u00eddos de backups ou sistemas de versionamento (ex:\u00a0<code>git<\/code>,\u00a0<code>snapshots<\/code>) e verifique-os com o ClamAV:<\/p>\n<div class=\"md-code-block\">\n<pre><strong>clamscan \/caminho\/do\/backup<br \/><br \/><br \/><\/strong><\/pre>\n<\/div>\n<p><strong>5. Analisando diret\u00f3rios suspeitos<\/strong><\/p>\n<p style=\"text-align: justify;\">Diret\u00f3rios como\u00a0<code>\/tmp<\/code>,\u00a0<code>\/var\/www<\/code>, ou\u00a0<code>\/home<\/code> s\u00e3o alvos comuns de malware. Para verificar diret\u00f3rios espec\u00edficos com o ClamAV, utilize:<\/p>\n<div class=\"md-code-block\">\n<pre><strong>clamscan <span class=\"token parameter variable\">-r<\/span> \/var\/www<br \/><br \/><\/strong><\/pre>\n<\/div>\n<ul>\n<li>\n<p><strong><code>-r<\/code>:<\/strong>\u00a0Verifica recursivamente todos os arquivos no diret\u00f3rio.<\/p>\n<\/li>\n<\/ul>\n<p>\u00a0<\/p>\n<p><strong>Exemplo de Sa\u00edda:<\/strong><\/p>\n<div class=\"md-code-block\">\n<pre><strong>\/var\/www\/uploads\/malware.exe: Win.Trojan.Dropper-67890 FOUND <\/strong> <br \/><br \/><br \/><\/pre>\n<\/div>\n<p><strong>6. Investigando logs adulterados<\/strong><\/p>\n<p style=\"text-align: justify;\">Ataques frequentemente incluem a adultera\u00e7\u00e3o de logs para apagar evid\u00eancias. Para identificar logs corrompidos ou maliciosos, siga os passos abaixo:<\/p>\n<p>\u00a0<\/p>\n<p><strong>6.1. Verificando logs com ClamAV<\/strong><\/p>\n<p style=\"text-align: justify;\">Analise logs do sistema, como\u00a0<code>\/var\/log\/auth.log<\/code>\u00a0ou\u00a0<code>\/var\/log\/apache2\/access.log<\/code>, em busca de scripts ou payloads maliciosos:<\/p>\n<div class=\"md-code-block\">\n<pre><strong>clamscan \/var\/log<br \/><br \/><\/strong><\/pre>\n<\/div>\n<p><strong>6.2. Buscando padr\u00f5es de ataque<\/strong><\/p>\n<p><strong>Combine o ClamAV com\u00a0<code>grep<\/code> para identificar padr\u00f5es suspeitos:<\/strong><\/p>\n<div class=\"md-code-block\">\n<pre><strong><span class=\"token function\">grep<\/span> <span class=\"token parameter variable\">-E<\/span> <span class=\"token string\">\"wget|curl|bash -c\"<\/span> \/var\/log\/auth.log <span class=\"token operator\">|<\/span> clamscan -<br \/><br \/><\/strong><\/pre>\n<\/div>\n<ul>\n<li>\n<p><strong>Regex:<\/strong>\u00a0<code>wget|curl|bash -c<\/code>\u00a0captura comandos comuns usados em ataques.<\/p>\n<\/li>\n<li>\n<p><strong><code>clamscan -<\/code>:<\/strong>\u00a0Verifica o conte\u00fado diretamente a partir da entrada padr\u00e3o.<\/p>\n<\/li>\n<\/ul>\n<p>\u00a0<\/p>\n<p><strong>7. Monitorando atividades em tempo real<\/strong><\/p>\n<p style=\"text-align: justify;\">Para monitorar altera\u00e7\u00f5es em tempo real e verificar novos arquivos com o ClamAV, utilize o\u00a0<code>inotifywait<\/code> em conjunto com o ClamAV:<\/p>\n<div class=\"md-code-block\">\n<pre><strong>inotifywait <span class=\"token parameter variable\">-m<\/span> <span class=\"token parameter variable\">-r<\/span> <span class=\"token parameter variable\">-e<\/span> create,modify \/diretorio\/monitorado <span class=\"token operator\">|<\/span> <span class=\"token keyword\">while<\/span> <span class=\"token builtin class-name\">read<\/span> path action <span class=\"token function\">file<\/span><span class=\"token punctuation\">;<\/span> <span class=\"token keyword\">do<\/span>\n    clamscan <span class=\"token string\">\"<span class=\"token variable\">$path<\/span><span class=\"token variable\">$file<\/span>\"<\/span>\n<span class=\"token keyword\">done<br \/><br \/><\/span><\/strong><\/pre>\n<\/div>\n<ul>\n<li>\n<p><strong><code>inotifywait<\/code>:<\/strong>\u00a0Monitora eventos de cria\u00e7\u00e3o e modifica\u00e7\u00e3o em um diret\u00f3rio.<\/p>\n<\/li>\n<li>\n<p><strong><code>clamscan<\/code>:<\/strong>\u00a0Verifica cada novo arquivo criado ou modificado.<\/p>\n<\/li>\n<\/ul>\n<p>\u00a0<\/p>\n<p><strong>Conclus\u00e3o<\/strong><\/p>\n<p style=\"text-align: justify;\">O ClamAV \u00e9 uma ferramenta essencial para an\u00e1lise forense, permitindo a detec\u00e7\u00e3o de malware e a investiga\u00e7\u00e3o de altera\u00e7\u00f5es suspeitas em sistemas comprometidos. Ao combinar o ClamAV com comandos como\u00a0<code>find<\/code>,\u00a0<code>grep<\/code>\u00a0e\u00a0<code>inotifywait<\/code>, \u00e9 poss\u00edvel:<\/p>\n<ul>\n<li>\n<p>Identificar arquivos maliciosos criados ou modificados.<\/p>\n<\/li>\n<li>\n<p>Detectar exclus\u00f5es de arquivos cr\u00edticos.<\/p>\n<\/li>\n<li>\n<p>Analisar diret\u00f3rios e logs em busca de atividades maliciosas.<\/p>\n<\/li>\n<\/ul>\n<p style=\"text-align: justify;\">No entanto, a an\u00e1lise forense exige uma abordagem abrangente: valide sempre os resultados com m\u00faltiplas ferramentas e documente todas as evid\u00eancias para garantir a integridade do processo.<\/p>\n<p>\u00a0<\/p>\n<p><strong>Refer\u00eancias Bibliogr\u00e1ficas<\/strong><\/p>\n<ul>\n<li>\n<p>Nikkel, B. (2021).\u00a0<em>Practical Linux Forensics: A Guide for Digital Investigators<\/em>. No Starch Press.<\/p>\n<\/li>\n<li>\n<p>ClamAV Documentation. (2023).\u00a0<em>Official ClamAV User Manual<\/em>. Dispon\u00edvel em:\u00a0<a href=\"https:\/\/docs.clamav.net\/\" target=\"_blank\" rel=\"noopener noreferrer\">https:\/\/docs.clamav.net\/<\/a>.<\/p>\n<\/li>\n<li>\n<p>Carrier, B. (2005).\u00a0<em>File System Forensic Analysis<\/em>. Addison-Wesley Professional.<\/p>\n<\/li>\n<\/ul>\n<p>\u00a0<\/p>\n<p style=\"text-align: justify;\">Estas obras fornecem bases t\u00e9cnicas aprofundadas sobre an\u00e1lise forense, uso do ClamAV e metodologias de investiga\u00e7\u00e3o, complementando os exemplos pr\u00e1ticos deste artigo.<\/p>\n\n\n","protected":false},"excerpt":{"rendered":"<p>An\u00e1lise Forense com ClamAV: Identificando malware e altera\u00e7\u00f5es em sistemas comprometidos A detec\u00e7\u00e3o de malware \u00e9 uma etapa crucial na an\u00e1lise forense digital, especialmente quando se trata de investigar sistemas comprometidos. O\u00a0ClamAV, um antiv\u00edrus de c\u00f3digo aberto, \u00e9 uma ferramenta poderosa para identificar arquivos maliciosos e auxiliar na an\u00e1lise de altera\u00e7\u00f5es suspeitas em uma m\u00e1quina. [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":22255,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[89,100,109],"tags":[],"class_list":["post-22251","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-basico","category-diversos","category-backtrack-brasil-series"],"_links":{"self":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/22251","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/comments?post=22251"}],"version-history":[{"count":8,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/22251\/revisions"}],"predecessor-version":[{"id":22264,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/22251\/revisions\/22264"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media\/22255"}],"wp:attachment":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media?parent=22251"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/categories?post=22251"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/tags?post=22251"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}