Tuesday, October 21, 2008

pdgmail: nova ferramenta para Forense de Memória do GMAIL

O Gmail é o webmail que mais incomoda um analista forense em uma investigação em que os vestígios do
uso do Webmail é requerida - isto cada vez mais será coisa do passado. Baseado no recente artigo de John McCash, Jeff Bryner acaba de lançar uma ferramenta em python para interpretar a saída do dump de memória (toda memória física ou do processo do browser utilizado - qualquer browser, qualquer sistema operacional) e provê como ouput as seguintes informações sobre o gmail:

 * Contatos
* Registros de Acesso (IPs)
* Nomes de conta do Gmail
* Cabeçalhos de mensagens
* Corpo das mensagens

Acredito ser um excelente "extra" para investigações envolvendo utilização de Gmail - especialmente
porque os vestígios deixados em disco pelo Gmail são insuficientes e cada vez mais ele é usado sobre
HTTPS..

Mais informações aqui.

Atente para este parágrafo:

"I used the pd dump tool from www.trapkit.de, available here, and tested against my meager
GMail account, Windows XP, 2000, IE 6, IE 7 and Firefox 3. In all cases I was able to retrieve
contact data, last login times and IP addresses, basic email headers and email bodies. Even if
the browser was ‘logged out’ of GMail, they all still retained this data. Even for messages that
were not opened, contacts that weren’t used. Simply loading up the GMail UI loads all this data
in the memory image."

Verifiquei que realmente os dados continuam disponíveis em memória mesmo depois do usuário
efetuar logoff tanto para o Firefox no linux e Internet Explorer e Firefox no Windows .

O procedimento é simples:

No Linux:

1) ./pd -p > browser.dump
2) strings -el browser.dump | pdgmail > output.gmail

No Windows:

1) .pd.exe -p > browser.dump
2) strings -el browser.dump | pdgmail > output.gmail

Urls:

PD: http://www.trapkit.de/research/forensic/pd/index.html
PDGMAIL: http://www.jeffbryner.com/code/pdgmail - ta com problemas no momento mas dá pra pegar via cache do google:
http://209.85.173.104/search?q=cache:crZARiCZN5IJ:www.jeffbryner.com/code/pdgmail

* o PDGMAIL requer o interpretador do PYTHON instalado.. (no linux já vem, para windows: http://www.python.org/download/windows/)
at

7 comments:

  1. Felipe C11/19/2008 10:53 AM

    Excelente dica. Até um newbie como eu consegue!

    ReplyDelete
  2. SS11/21/2008 8:25 PM

    A modéstia é um dom venerável, FelipeC =)

    ReplyDelete
  3. Anonymous1/24/2009 12:42 PM

    este programa também encontra dados do gtalk?

    ReplyDelete
  4. Anonymous11/19/2010 12:36 AM

    Tem como postar um link válido para o pdgmail?

    ReplyDelete
  5. SS11/19/2010 5:20 PM

    Ainda é possível encontrar o pdgmail no cache no google:

    http://webcache.googleusercontent.com/search?q=cache:IKOY46Tv5v0J:jeffbryner.com/code/pdgmail+jeff+pdgmail&cd=1&hl=pt-BR&ct=clnk&gl=br

    ReplyDelete
  6. mbbs11/25/2010 6:20 PM

    Vc sabe me informar se a ferramenta é paga?

    ReplyDelete
  7. SS11/28/2010 12:36 PM

    Não Mayara, é gratuita.

    Att,

    ReplyDelete