GOATX
voltar para roadmap
STEGO/FORENSE

Esteganografia & Forense Digital — por onde começar

Achar o que foi escondido (stego) e reconstruir o que aconteceu (forense). Trilha que dá emprego em DFIR, perícia e CTF rendoso.

pré-requisitos

  • Linux e linha de comando
  • Estruturas de arquivo básicas (header, magic bytes, hex)
  • Python pra automação

labs para praticar

trilha passo a passo

  1. 1

    1. Triagem de arquivo desconhecido

    Reflexo: file → xxd | head → strings → exiftool. 80% dos achados saem dessa sequência. Cheque magic bytes (89 50 4E 47=PNG, FF D8 FF=JPEG, 25 50 44 46=PDF, 50 4B 03 04=ZIP).

  2. 2

    2. Metadados (EXIF e amigos)

    exiftool em foto vaza GPS, modelo, software, datas. ID3 em mp3, metadata em PDF, em DOCX. Sempre rode antes de analisar conteúdo.

    ExifTool
  3. 3

    3. Stego em imagem (LSB e além)

    LSB (Least Significant Bit) esconde 1 bit por byte de imagem PNG/BMP — imperceptível. Ferramentas: zsteg, stegsolve, stegoveritas, steghide (passphrase). Em JPEG: F5, JPHide, OpenStego.

    zsteg stegsolve
  4. 4

    4. Stego em áudio

    Esconder dados em LSB de WAV, em frequências altas (espectrograma vê), via timing (echo hiding). Ferramentas: Audacity (visual), DeepSound, StegoCommand. CTF clássico: olhar espectrograma do .wav.

  5. 5

    5. File carving e binwalk

    binwalk -Me extrai arquivos embarcados RECURSIVAMENTE em qualquer binário. Foremost / Scalpel / Photorec usam magic bytes pra recuperar deletados. Padrão pra firmware de roteador.

    binwalk
  6. 6

    6. Análise de PCAP

    Wireshark + tshark. Filtros essenciais: http.request.method == POST, tcp.port == 21 (FTP creds em claro), dns, smb. Plugins: NetworkMiner extrai arquivos transferidos automaticamente.

    Wireshark
  7. 7

    7. Memory forensics (Volatility)

    Dump de RAM tem TUDO que rodava: processos, conexões, senhas em claro, chaves de cripto. Volatility 3 (Python) é o padrão. Comandos: pslist, netscan, hashdump, malfind, cmdscan.

    Volatility 3
  8. 8

    8. Disk forensics e timeline

    Autopsy (GUI), Sleuthkit (CLI), FTK Imager. Reconstrua a cyber kill chain: phishing → execução → persistência → lateral movement → exfiltração. Documentar timeline com timestamps é o que o juiz lê.

dicas de quem já passou pela trilha

  • Cyber kill chain: Recon → Delivery → Exploit → Install → C2 → Lateral → Exfil. Decora a ordem, isso vira reflexo em DFIR.
  • Em CTF de stego: SEMPRE comece com Aperisolve e stegoveritas. Eles automatizam 80% dos testes manuais.
  • Steghide passphrase: 90% das vezes é uma palavra que aparece no nome do arquivo, no enunciado ou em strings.
  • Volatility precisa do PROFILE certo (Win10x64_19041, etc.). Errou o profile, tudo dá erro — rode imageinfo primeiro.
  • Hash MD5/SHA-256 do dump ANTES de analisar. Cadeia de custódia é metade da perícia em juízo.
  • Anote TUDO em Markdown com timestamp + comando + output. Vira relatório direto e prova reproduzibilidade.

ferramentas essenciais

ExifTool

Lê/escreve metadados de qualquer formato

binwalk

Extrai arquivos embarcados em binários

Wireshark

Análise de pacotes, padrão da indústria

Volatility 3

Memory forensics em Python

Autopsy

GUI completa de disk forensics, grátis

stegoveritas

Roda dezenas de testes de stego automaticamente

CyberChef

Encoding, decoding, hashing — tudo no navegador

livros recomendados

  • Practical Forensic Imaging (Bruce Nikkel)
  • The Art of Memory Forensics (Ligh, Case, Levy, Walters)
  • Practical Packet Analysis (Chris Sanders)