Sistema de Arquivos no Linux FILE, STAT - Parte 13

A coleguinha chegou à hora de obter informações de arquivos, bom nós já utilizamos o start e o file. Nós podemos utilizar ambos, conforme nós já vimos aqui no uso. Então eu vim utilizando a ferramenta Linux, fileetc, passwd e aí nós sabemos poxa é um arquivo de texto, beleza, start e aí aqui eu consigo obter mais informações. Então são dois comandos para se obter informações de arquivos. Eu consigo por exemplo saber que ele é um arquivo regular, eu consigo saber a permissão de acesso tanto no formato textual quanto no formato numérico, eu consigo saber quem é o dono do arquivo e o grupo dono desse arquivo, quando ele foi acessado, quando ele foi modificado, quando ele foi alterado e quando ele foi criado, acessado, modificado, ah, acessado, teve alguma modificação, teve alguma alteração nele no conteúdo e quando foi que ele foi criado, legal? Ele tem oito blocos, a Inode 263.918 e ele está nesse divisor, está nesse divisor nessa parteção e só é linkado no sistema operacional uma única vez, legal? Então eu poderia chegar aqui e falar se não, ele é um apontamento, ele é um link simbólico, aqui está o número de blocos que ele tem, ele é pequenininho, porque ele é o link simbólico, ele não tem nenhum bloco completo porque até 10 pedaços do tamanho do bloco, ele armazena direto no Inode, é uma restrição do Debian, na verdade os sistemas operacionais Linux em geral. A Inode 14, linkado uma única vez, permissão de acesso, quem é o dono, quem é o grupo e aqui você tem datas, legal? Então o status traz mais informações que o nosso amigo file, tá? O Linux ele não observa a extensão do arquivo, então por exemplo, vamos lá, quer ver? Se você chegar aqui e falar legal cd, legal nano texto, certo? Melhor, por exemplo, exemplo, certo? A, BBB, botafogo está uma bosta, botafogo é o pior time do mundo, eu odeio minha vida por ser botafogames, legal? Porra, expressei todo meu ódio aqui, contra x, y, ok? Legal, file, atualmente exemplo, legal? Então vamos lá, ele é um texto, tf8 devido à sentuação, devido à sentuação, legal? Então, sim, você fizesse isso no mundo Windows, não seria nada, porque não tem extensão, é por isso que o mundo Windows ele é tão ligado à extensão, então por exemplo, mv, exemplo, exemplo, ponto txt, certo? Legal, e aí se você vem cá e agora fala ponto txt, certo? Olha só, eu renomeiei o arquivo, então ele continua sendo no Windows, tá bom? E aí eu vi ele e falo, não beleza, eu quero que ele seja agora xz, né? É isso, se fosse o Windows, ele seria executável, né? Por Linux, não, como assim? O Linux, ele compreende o conteúdo e o cabeçalho do arquivo, então o mundo Linux ele não está atrelado à extensão no mundo Windows, sim. Por exemplo, você quer transportar o malware pela rede, a rede ela é policiada, né? Ou você quer transportar um dump de um banco de dados roubado de uma rede, né? O que que a galera faz? Cara, renomeia pra txt, txt de arquivo Doc, Doc cara, Doc, Docx e sobe pro Google Drive, o sobe pro pro Azure Drive, essas porcaria, o OneDrive no caso, né? Ser o cara e passa pela rede, o malware passa pela rede, o dump passa pela rede, basta você alterar a extensão, entenderam? Linux não, Linux o conteúdo, o arquivo ele é baseado, então o que é o arquivo é baseado no seu cabeçalho, certo? Todo cabeçalho de arquivo ele tem aqui, então você tem uma representação aqui, tá? Número aqui, em hexadecimal, né? E então você pode converter ele aqui em texto, você vai ver que tem alguns pontos desse arquivo do cabeçalho que diz o que que é aquele conteúdo do que tem lá dentro, então você conseguiria saber assim, existe um tipo de arquivo chamado arquivo Poliglota, que é um grande problema no mundo da segurança ao tal do arquivo Poliglota, arquivo Poliglota, é um arquivo que na verdade ele é uma pancada de arquivos, ele é mais de um tipo de arquivo, entendeu? Arquivos Poliglota, o melhor amigo de um hacker, é caro, então você consegue fazer com que o arquivo seja, por exemplo, nesse exemplo dele, tá? Olha só, ele é um JPEG e também um arquivo PHP, então ele tá escondendo um arquivo maiscioso em PHP dentro de uma imagem, utilizando uma estrutura, então ele injeta duas, dois cabeçalhos. Para aí que isso aconteça, meu amiguinho? Ele tem que injetar esse cabeçalho de uma imagem junto com o cabeçalho de um PHP, para ele conseguir fazer um arquivo Poliglota, que tanto a imagem como é um arquivo PHP malicioso, maldoso, olha só, e consegue fazer um upload e passar pelos mecanismos de defesa, sério, coleguinha, ele passa pelos mecanismos de defesa, boa, mano, e é assim que se invade os atividores pelo mundo, tá gente? E aqui ele explica justamente se a matéria tá muito boa pelo que eu vi, só passei o olho, tá? Aqui ele fala inclusive sobre os trechos do arquivo que tem que ter em hexadecimal em tal posição, para ser um PDF, para ser um JPEG, para ser um PHP, nem todo arquivo, tá? Pode ser Poliglota com outro arquivo, tá? Tem alguns clássicos, então fique a ter discoração a isso, tá? É uma inspeção profunda no arquivo que eu conseguiria saber, ou seja, não basta você simplesmente pegar aquele apng ou aquele é um JPEG que você tem que buscar em todos os bits se ele é outra coisa também, e aí você acharia, tá? Geralmente essa inspeção profunda deu hora pra caramba, e ela engana no 99,99% dos especialistas em security, que são os fracassados, que acreditam em extensão de arquivo, entendeu? Não por, não estão em qualquer lugar, estão aqui comigo, então cara, nunca acredite na extensão de um arquivo e nunca acredite no banner inicial aqui do arquivo, tá? Tem que fazer uma inspeção profunda nos bits do arquivo para não, para que você tenha certeza que não é um arquivo poliglota. Dissolver o produto, tá gente? Se vocês quiserem fazer um ferramento de upload, ou esse tipo de produtificação, você pode fazer, tá? E vender para as empresas, óbvio pra caramba, lá você não precisa de entregar esse no-haul que você tá adquirindo, produto fechado, compilha ele em ser mais mais, cara, muito bom. Bom, você sabe, é ser mais mais, você quer vender alguma coisa, compilha em ser mais mais, cara, se você quer vender alguma coisa, senão você entregar o código, tchau. Cara, secaçã, cara, secaçã, ele é muito importante mesmo, principalmente para forense de dados, cara. Então, porvô, vamos lá, como você deve fazer a forense de dados da forma correta? Por, retosse ferramente de desenho, por, porra, pera aí. Por isso que eu não vendo essa color paint, certo? Então, digamos que chega um computador na sua empresa, certo? Legal? Então, você clona, você controve, você clona o disco, e se você tiver dinheiro, clona o disco de novo. Esse aqui você põe no envelope, assinado, tem que estar assina, assina, faz assim, compra uma etiqueta branca, compra uma etiqueta branca, certo? Cola a etiqueta branca aqui, aonde, aonde é o, o teu, aonde fecha, cara, eu não estou achando aonde limpa essa bosta aqui, cara. Quase que eu falei um palavrão sinistro, eu acho que isso aqui limpa, cara, essa bosta. Porra. Cara, eu estou apoiando a ferramenta, cara. Ah, já sei como limpar. Então, você cola uma etiqueta branca, e aí tu vem e assina. Legal? Aí, tu assina aí. Tá lá, esse disco fica no cofre, vai para o cofre. Isso aqui, então você manda, você manda isso aqui para a TI, certo? Fazer análise. Legal? Bom, a primeira coisa que ela vai fazer, ela vai fazer uma grande tabela gigantesca dos arquivos. E aí, que nível que foi infectada essa máquina? Foi do sistema operacional? Então, cara, infelizmente a tabela vai ser gigantesca, tá? O hacker pode ter escondido um monte de coisas no barra BIM, no SCR BIM, no SCR BIM, o cara pode ter corrompido os ETCs da vida. Meu, o cara pode ter feito as graças. Não, a invasão mostra pelos logs do sistema, eu já mostrei arquivos de logs onde ficam, que somente foi ali no lado do arquivo de usuário, certo? Aí, então, já é barra HOME, barra HOME, tem MPE. Bom, e aí faz uma tabela do secaçã em nome de cada arquivo, certo? E então, é feito um laudo, aí vai procurar mallards, buscar tudo, buscar os cabeçários dos arquivos, vai entender que desgraceira cada uma coisa, vai localizar mallards. Então, vai pegar o secaçã e vai colocar a HANA documento, arquivo tal, secaçã tal, foi localizado como mallard dentro da área do usuário, não, do modo não, não com acesso não privilegiado, ele não foi executado como não privilegiado, é, com um arquivo, só como não profitejado, né? O arquivo ele é classificado como WIN, é, é lindos, não sei lá o que, não sei lá o que, ele é do tipo Renswer, aí coloca a classificação, o nome dele é tal, tal, tal, tal, não é? Usado pelo grupo geralmente Rack, não é? Legal? Beleza. Secaçã tal. Aí vai ter auditoria. Na hora que tiver auditoria, você, você equipe pode ter sido, na verdade, um agente interno malicioso fudendo outra pessoa. Então, eles vão abrir o envelope, vão tirar o disco e vão fazer um depara do secaçã aqui, eles vão fazer um depara do secaçã. E se o secaçã, no depara do secaçã provar que você realmente não alterou o arquivo e que você analisou o arquivo cruel como você pegou do disco, então não foi você analista de security que você ia ver alguém. Na verdade, alguém se fudeu e não é você. Parece que eu não vendo esse custo da IUDM, cara. Entendeu? Então, secaçã é um comando muito utilizado mesmo, pode usar a vontade do secaçã, tá? Secaçã, barra, ITC, paz, WD, legal? E aqui eu tenho o código de alteração dele, certo? Quer dizer o seguinte, se eu triscar no conteúdo desse arquivo, cara, basta eu triscar no fechamento de linha, tá? Ele vai mudar esse código. E ao mudar esse código, eu sei que o arquivo foi alterado, então, secaçã, ele, eu posso guardar ele para verificar a integridade do arquivo. Então, vamos lá. Tem um arquivo que agora eu vou ter que colocar, desculpe isso para o usuário, porque ele não pode ser lido por qualquer pessoa, tá? Sudo, secaçã, ITC, Shadow, é? Legal? E aqui está o secaçã. Quer dizer que se alguém triscou a mão e alterou esse secaçã, deu merda, deu merda. Quer dizer que alguém modificou esse seco? Aí eu ligo para o especialista de ter... Alguém alterou a senha do administrador de rede, da máquina tal? Não. Sério mesmo? Então, fudeu, fomos invadidos. Então, secaçã, ele serve para isso também, legal? Então, fudeu, fomos invadidos também, legal? Por isso que eu não vendo esse custo daí, o DM, cara. Você tem o Comparity 1, né? O CMP. Comparity 1 você pode... O CMP você pode comparar arquivos, tá? Então, vamos lá. Galera, se alguma coisa eu estiver falando que você não estiver entendendo, man... CMP. É o CMP, ele vai dando enter, vai dando enter, ele vai mostrando linha, linha, que de kit ele sai. Legal? Então, CMP, por exemplo, barra. Olha que interessante. ETC, NetWork, Interfaces. É isso? Lembra que nós fizemos uma eTC, NetWork, barra, Interfaces.old. Lembra? Opa, não tem o old não? Ai, caramba. Fiz merda, hein? Daqui eu fiz merda, CMP ou Linux? Então, vamos lá. CPE. Vou copiar, tá? Ó, vou copiar barra eTC, NetWork, Interfaces. Interfaces, certo? Opa, ponto old. Ah, não tem permissão, caramba. Ainda bem que eu tenho permissão e fiz merda, hein? Sudo, legal. Sudo Nano, por exemplo, ETC, NetWork, Bar, Interfaces. Aí eu vim aqui alterar, certo? Aí eu vim aqui e coloquei isso aqui. Uma linha idiota no comentário, certo? E aí eu control X, Y, OK. Salvei. Clear. Salvei, eu fiz uma alteração, certo? Então, eu posso utilizar aqui o comando CMP para verificar essa alteração. Ele tá dizendo pra mim que tem uma diferença entre o Interfaces e o old. A diferença é de mais ou menos 100 bytes, cara. Escrevi exatamente 100 bytes, acredito. Na linha 3. Então, quer dizer que eu poderia muito bem chegar aqui, abrir ele com Nano, control C, e aí eu coloco a linha 3. Opa. Ai, caramba. Era control C mesmo? Não. É control X. Contra o Andelar, hein? Lembrei, ó. Contra o Andelar. Eu não tô falando que eu não gosto desse negócio de... Eu control... Ah, cara, esqueci, cara. Esqueci, porra. O control C mostra a linha que eu tô. Essa é a linha 3. Esqueci. Pouta que pariu. Tem aqui, ó. Goteline. Ah, cara, acho que é... Contra o Parra. Tecladinho. Aí eu coloco o número da linha 3 e dou o Enter. Ele me move pra linha, tá vendo? Aqui o que eu sou. Ah, porra, que foi mal, galera. Control X. Isso. É o quê? O excesso de trabalho. É o excesso de trabalho. Legal? Então, tô mostrando aqui pra você como que você vê alteração de arquivos. Cara, isso é muito importante, cara. Cara, exemplo, você faz uma modificação, ou alguém fez uma modificação, e as coisas pararam de funcionar. Ou compara os dois arquivos de configuração. O anterior e o atual. E é comum você deixar o old pra trás. É comum deixar o old pra trás, cara. Nenhum problema, tá? Beleza? É, coleguinha. Próxima aula, nós vamos falar sobre criar arquivos, remover arquivos de diretórios e tudo mais. Até mais. Tchau.