UNIVERSIDADE DE UBERABA
FELIPE ESTEVES DE OLIVEIRA

FERRAMENTAS DE COMPUTAÇÃO FORENSE

UBERABA – MG
2015

WireShark
O Wireshark é uma ferramenta computacional de forense para redes, que tem por objetivo capturar pacotes, onde pode se capturar e analisar um dump de redes que se caracteriza por ser um arquivo que contém pacotes, protocolos e demais informações de uma comunicação em redes entre duas máquinas: a) origem e b) destino.
Existem diversas ferramentas para a captura de dump como por exemplo tcpdump, Wireshark e ids, Wireshark também se encontra em outros ambientes Linux e também Microsoft.

Para iniciar o WireShak basta ir no menu iniciar > DEFT > Network Forensics > Wireshark.

Tela inicial do Wireshark:

Para começar uma nova captura basta ir em Capture > Interfaces (definição de quais endereçamentos de rede da máquina principal serão capturadas) > Start (após o software capturar todas as informações necessárias) > stop (após o termino da captura o software para de capturar os dados necessários).

Agora basta salvar as evidências em algum diretório do Sistema operacional, ao ir em files > save or save as > escolha do diretório.
Através da análise o software possibilita vários dados, podendo filtrar os pacotes por tipo, como por exemplo tcp e dns:

No: refere –se ao número do pacote;
Time: refere –se ao tempo de duração de recebimento/envio do pacote;
Source: origem do pacote (máquina do cliente);
Destination: Destino do pacote, ip quente ou ip público;
Protocol: o protocolo utilizado;
Info: informações a serem utilizada na análise, essas mesmas são de extrema importância.

Alguns dados podem estar criptografados utilizando do ambiente de texto podemos decifrar esses dados:
Figura 1: Decodificação de pacote do tipo smtp

2 fonte: https://www.youtube.com/watch?v=uUh7aJG31gY
Este código é alfa numérico, ou seja, com número e letras, no caso da análise acima trata –se de análise de endereçamento SMTP/POP, responsável por