quinta-feira, 28 de outubro de 2010

Piscar o led de uma placa de rede

Digamos que você tenha mais de uma placa de rede em seu computador e você precisa identificar a porta física de uma placa ethernet em particular.

No sistema Linux, a ferramenta ethtool com a opção -p fará com que o led correspondente de uma porta física pisque. Por exemplo, veja a linha de comando para identificar a eth0:

# ethtool -p eth0

A ferramenta ethtool é utilizada para ver e modificar os parâmetros de um dispositivo ethernet. No Fedora é disponibilizada no pacote de mesmo nome.

segunda-feira, 25 de outubro de 2010

Recuperando a senha do administrador ou usuário do Windows

Uma outra opção para o utilitário já citado neste blog (http://dan-scientia.blogspot.com/2009/12/como-zerar-as-senhas-dos-usuarios-do.html) é o Stellar Phoenix Password Recovery. Este software, com uma interface bem mais amigável, também pode zerar as senhas das contas dos usuários no sistema operacional Windows.

O Stellar Phoenix Password Recovery é compatível com o Windows 7, Vista, XP, 2003, Server (2000-2008) e 2000. Basta iniciar o computador com o CD da versão de boot do Stellar Phoenix Password Recovery e, com apenas alguns cliques do mouse, zerar as senhas das contas que necessitar.


Outras situações de quebra de senha, como senhas armazenadas em navegadores, clientes de e-mail, mensageiros instantâneos e até números seriais de registro de softwares, também é possível por este software.

O Stellar Phoenix Password Recovery não é um software gratuito mas vale a pena comprá-lo. Bastante útil em assistência técnica de computadores e computação forense. Mais informações em http://www.stellarinfo.com/password-recovery.htm.

domingo, 24 de outubro de 2010

Problema de Lógica: Família Atrapalhada

Duas avós com suas duas netas.
Dois maridos com suas duas esposas.
Dois pais com suas duas filhas.
Duas mães com seus dois filhos.
Duas solteiras com suas mães.
Duas irmãs com seus dois irmãos.
Leia meus dizeres mas de todo esse pessoal dito,
só falei de 6 pessoas, o que parece um mito!
Ninguém nasceu proscrito, com incesto ou com delito.
Não sei porque eu me agito e fico aflito.
Quem são eles eu peço a algum perito!





RESPOSTA





A figura abaixo ilustra o parentesco dos membros da família:


Cada quadrado representa um membro da família.
Cada membro possui relações distintas de acordo com cada parente. Por exemplo, uma mulher é ao mesmo tempo avó, esposa e mãe de três pessoas distintas.
Cada relação descrita no enunciado do problema possui cor única entre os envolvidos.
A letra identifica uma relação.
O filho E possui pai não citado.
O filho F possui pai não citado.
A mãe E possui um filho e uma filha de maridos diferentes (um marido não citado).
A mãe F possui um filho e uma filha de maridos diferentes (um marido não citado).
Os irmãos G são da mesma mãe mas de pais diferentes (um pai não citado).
Os irmãos H são da mesma mãe mas de pais diferentes (um pai não citado).

terça-feira, 19 de outubro de 2010

Proteção de escrita na aquisição de imagem forense

O Tableau Forensic USB Bridge modelo T8-R2 é um hardware bloqueador de escrita que permite que um dispositivo de armazenamento USB (por exemplo, pendrives e HD externos) seja conectado a um computador forense para aquisição de imagem ou análise dos dados. Os dados podem ser lidos, com proteção contra escrita, impossibilitando qualquer alteração durante a aquisição ou análise.

O T8-R2 suporta a conexão com o computador via interface FireWire ou USB. Também incorpora um visor LCD por onde são mostradas algumas informações técnicas. As informações fornecidas incluem nome do fabricante, modelo, capacidade e número serial do dispositivo USB conectado. Outras informações adicionais são fornecidas na intenção de ajudar em situações adversas.


Na computação forense este tipo de equipamento é recomendável pois os ambientes gráficos dos sistemas operacionais modernos tem o costume de montar o dispositivo automaticamente, com acesso total, de leitura e escrita. E isto pode ser um problema se o sistema executar, em segundo plano, algum processo com acesso aos dados armazenados, alterando por exemplo os metadados dos arquivos e assim prejudicando a evidência.

Em um sistema Linux é possível montar manualmente um dispositivo de armazenamento no modo de somente leitura. Este procedimento garante uma certa proteção aos dados. No sistema Windows dá um pouco mais de trabalho controlar o acesso aos dispositivos. O uso do Tableau Forensic USB Bridge torna a proteção facilitada e assegurada.

Informações oficiais sobre o Forensic USB Bridge podem ser encontradas na página da Tableau na Internet, pelo endereço http://www.tableau.com/. A marca Tableau pertence a Guidance Software (http://www.guidancesoftware.com/).

segunda-feira, 18 de outubro de 2010

Computação forense com o Sleuth Kit e Autopsy

O The Sleuth Kit (TSK) e o Autopsy são ferramentas livres para investigação digital, isto é, forense digital, que podem ser executadas em sistemas Windows, Linux, BSD, OS X e Solaris. São ferramentas para serem usadas em análise de sistemas de arquivos NTFS, FAT, HFS+, Ext2, Ext3 e outros.

O The Sleuth Kit é um conjunto de ferramentas forenses para linha de comando e o Autopsy é uma interface gráfica para estas ferramentas do TSK. O acesso à interface do Autopsy se dá por um navegador Web, o Autopsy cria um servidor Web e seus scripts geram as páginas da interface.

A instalação em um sistema Linux é bastante simples. Algumas distros disponibilizam os pacotes compilados, em outras podemos instalar a partir dos pacotes fontes disponíveis em http://www.sleuthkit.org/. Os arquivos para baixar são sleuthkit-x.y.z.tar.gz e autopsy-x.yz.tar.gz.

Na instalação a partir dos pacotes fontes, o conteúdo do Sleuth Kit deve ser extraído para um diretório qualquer e dentro dele executar os comando padrões de compilação: ./configure, make, make install. Dependências extras poderão ser requeridas e se tudo der certo, já está pronto. O conteúdo do Autopsy deve ser extraído para um diretório definitivo e basta executar os comandos ./configure e make. Durante sua instalação o Autopsy pede que se determine um diretório base para onde serão armazenados os casos. Após a conclusão da instalação, o servidor Web do Autopsy precisa ser iniciado e no navegador digita-se o endereço "http://localhost:9999/autopsy".

A interface do Autopsy é composta por várias páginas, por estas páginas o investigador vai criar um caso, adicionar as peças que serão examinadas e por fim realizar os diversos exames disponíveis. A seguir um pequeno passo a passo de como inserir uma unidade de armazenamento para a análise forense:

Na página inicial, crie um novo caso e dê um nome à ele. Opcionalmente pode-se preencher com a descrição, nome dos investigadores etc.

Em seguida, adicione um computador ao caso. Opcionalmente preencha a descrição e outras informações que julgar necessárias.

Por fim, adicione uma imagem da unidade de armazenamento deste computador que será investigado. A imagem não é necessariamente um arquivo imagem criado com um disk dump, pode ser também o caminho para o dispositivo físico, caso a unidade esteja conectada diretamente na controladora de disco ou via adaptador USB.

Adicionando uma imagem no Autopsy

Com estes três passos concluídos podemos realizar a investigação forense na unidade de armazenamento. Basicamente temos a análise da unidade e a linha do tempo das atividades dos arquivos.

Página de análise de imagens adicionadas

As partições reconhecidas recebem as identificações com letras de unidade, como no Sistema Windows. Selecionando a letra da unidade de armazenamento e clicando no botão "Analyze" vamos para uma página onde temos diversas opções de análise:

O botão "File Analysis" abre um conjunto de páginas onde podemos navegar pelo sistema de arquivos, possibilitando ver o conteúdo dos arquivos alocados e não alocados.

Página de análise de arquivos

O botão "Keyword Search" abre a página com um mecanismo de busca de palavra chave para o espaço alocado e não alocado.

O botão "File Type" abre um conjunto de páginas que fornecem uma ferramenta de separação dos arquivos pelo tipo e com a possibilidade de extração e recuperação de todos os arquivos, alocados e não alocados, para o diretório base onde os casos são armazenados.

Retornando à página inicial de análise das imagens, temos o botão "File Activity Time Lines". Clicando neste botão, abre-se um conjunto de páginas que fornecem ferramentas para a criação e visualização de uma linha do tempo das atividades de acesso dos arquivos. A linha do tempo é criada a partir das informações dos metadados dos arquivos e pode conter inclusive arquivos não alocados que foram recuperados.

Página de visualização da linha do tempo

Esta é uma pequena descrição de algumas das ferramentas contidas na dupla Sleuth Kit e Autopsy. Tratam-se de dois excelentes conjuntos de softwares que atendem em quase todas as necessidades do investigador forense e pode-se considerar indispensável em um laboratório forense computacional.

domingo, 17 de outubro de 2010

Realismo nas fotografias com HDR

A visão humana possui uma grande capacidade de adaptação e também é mais sensível a intensidade de luz do que as cores. Esta característica nos possibilita enxergar por completo um cenário que contenha áreas com pouca iluminação e muita iluminação.

As máquinas fotográficas digitais não possuem esta capacidade pois o sensor fotográfico trabalha em uma frequência chamada LDR (Low Dynamic Range) que faz com que áreas com muito contraste da imagem percam informações sobre as tonalidades de cores.

Na fotografia, o alcance dinâmico é medido na diferença dos valores de exposição (EV) entre as partes mais brilhantes e mais escuras de uma imagem. Um incremento de uma unidade de EV equivale ao dobro de exposição ou quantidade de luz. É estimado que os olhos humanos possam enxergar em um alcance dinâmico com aproximadamente 24 EV diferentes, enquanto que uma câmera digital pode capturar no máximo um alcance dinâmico com entre 6 a 9 EV diferentes.

Para resolver este problema, foi desenvolvido o HDR. O HDR (High Dynamic Range ou Grande Alcance Dinâmico) é um método que pode ser utilizado em todo tipo de imagem digital, como gráficos em jogos de computador, vídeo e fotografia digital, para alargar o alcance dinâmico, que é o espaço entre o valor mais escuro e o mais claro de uma imagem. O HDR é usado para corrigir imagens que possam vir a perder detalhes de cor por conta de problemas com a exposição.

Diferença entre uma imagem HDR (cima) e normal (baixo)

O HDR é a mesclagem de três ou mais fotos do mesmo assunto com diferentes valores de exposições. Ou seja, usa-se fotos super-expostas, fotos sub-expostas e uma foto feita com a fotometria normal. Quanto mais fotos, mais detalhes serão registrados. Por exemplo, fixe a câmera em um tripé e configure a máquina para fotografar com exposição normal (0 EV), uma sub-exposta (-2 EV) e outra super-exposta (+2 EV).

Imagem HDR formada por quatro imagens com exposições diferentes

Com o auxílio de um programa de computador específico as imagens são mescladas automaticamente com o usuário definindo os ajustes do mapeamento de tons. Os programas capazes de trabalhar com HDR são: Dynamic Photo HDR, Photomatix, Photoshop, Hugin e CinePaint. Dentre outros.

Embora nem todas as câmeras compactas possuam um modo manual, quase todas elas possuem o recurso de Compensação de Exposição. Ele é representado nas câmeras digitais com o símbolo positivo e negativo divididos por uma barra, ou também representado pela sigla EV. Esse recurso existe para que o fotógrafo minimize situações onde o fotômetro interno da câmera possa a vir a se enganar. Se o objeto fotografado ficar muito escuro na imagem, é só colocar a compensação de exposição em +1 e a câmera vai deixar entrar um pouco mais de luz para realizar a foto. O contrário também é possível sendo que nas fotos muito claras é necessário regular a compensação para -1.

As fotos no formato JPEG possuem uma profundidade de cor de 8-bit por canal. Isso quer dizer que são processadas cores de 0 a 255, do preto ao branco, em cada canal. Arquivos de fotos com profundidade de cor de 16-bit possuem mais detalhes e fidelidade de cores, inclusive do preto e do branco, pois contém mais informações de cor em cada canal. Por causa desta limitação, fotos HDR ficam melhores se produzidas a partir de imagens em formato RAW.

Para visualizar imagens HDR em telas e monitores normais, impressão a tinta ou outros métodos de visualização que têm um alcance dinâmico limitado, utiliza-se a técnica de "tone mapping", ou mapeamento de tons, em que o grande alcance dinâmico é comprimido numa curta faixa de luminosidade, ou num curto alcance dinâmico. Imagens criadas utilizando-se essa técnica comumente tornam-se imagens surreais se um grande alcance dinâmico estiver comprimido num curto alcance dinâmico.

sábado, 9 de outubro de 2010

Como alterar o nome do proprietário e organização da licença no Windows

Você comprou um computador com o Windows instalado e percebeu que na janela Sobre o Windows aparece na licença o nome da empresa que vendeu o computador ou outro nome qualquer. Se você deseja alterar o nome do proprietário em que o Windows mostra-se licenciado, então este artigo pode ajudá-lo. É possível alterar o nome e a organização da licença do Windows.

Para alterar as informações é necessário editar o registro, clique no botão Iniciar, depois em Executar (ou pressionando as teclas Windows+R), digite regedit.exe no campo Abrir e execute-o. Se você receber a janela do Controle de Conta de Usuário (no Windows Vista ou 7), clique em Sim. No Editor do Registro procure pela seguinte chave:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion

Agora encontre as chaves RegisteredOwner e RegisteredOrganization no painel direito. Dê um duplo clique sobre elas para alterar os valores e digite o nome que desejar. Após as mudanças, simplesmente saia do Editor do Registro.

Para verificar as mudanças, digite winver.exe na janela Executar para abrir a janela Sobre o Windows.

Esta dica funciona em todas as versões do Windows, incluindo o Windows 7 e Vista.