Skip to content

Evidencias Forense

Jump to bottom
André Henrique edited this page Jun 8, 2026 · 1 revision

Idioma: Português (pt-BR) | English: Evidence-Forensics

Evidências e Forense

O módulo Evidence Vault fornece um registro de auditoria com encadeamento de hash e resistência a adulteração para avaliações de segurança wireless. Foi projetado para atender aos requisitos da norma ISO/IEC 27037 para coleta, preservação e cadeia de custódia de evidências digitais.

Referência de Módulos

Módulo Descrição
evidence_vault/evidence_vault Registro de auditoria encadeado por hash com resistência a adulteração
session_manager/session_manager Gerenciador de sessão de pentest com backend SQLite e exportação JSON

Conformidade com ISO/IEC 27037

A norma ISO/IEC 27037 define princípios para o tratamento de evidências digitais:

  • Auditabilidade - cada ação é registrada e rastreável
  • Integridade - a evidência não pode ser modificada sem detecção
  • Cadeia de custódia - quem coletou o quê, quando e como
  • Reprodutibilidade - o método de coleta é documentado com detalhes suficientes

O Evidence Vault implementa esses princípios por meio de:

  1. Hash SHA-256 do conteúdo de cada item registrado
  2. Encadeamento de hash - o hash de cada registro inclui o hash do registro anterior
  3. Registro de timestamp - timestamps RFC 3339 em cada entrada
  4. Identificação do operador - ID/nome do operador registrado em cada entrada
  5. Detecção de adulteração - o comando verify detecta qualquer modificação na cadeia

Uso do Evidence Vault

Inicializar uma sessão

wxf > use generic/evidence_vault/evidence_vault
wxf (EvidenceVault) > show options

Options:
  SESSION_ID  (required)  Identificador único da sessão (ex: pentest_office_2026_06)
  VAULT_DIR   /evidence   Diretório para armazenar os arquivos do vault
  OPERATOR    unknown     Nome do operador para cadeia de custódia
  SIMULATE    false       Visualizar sem escrever

wxf (EvidenceVault) > set SESSION_ID pentest_office_2026_06
wxf (EvidenceVault) > set VAULT_DIR /evidence
wxf (EvidenceVault) > set OPERATOR j.analyst

Registrar uma descoberta de scan WiFi

wxf (EvidenceVault) > run scan \
    --ssid "OfficeWiFi" \
    --bssid AA:BB:CC:DD:EE:FF \
    --channel 6 \
    --rssi -65 \
    --security WPA2-PSK \
    --note "Guest network, no client isolation"

[+] Evidence #0001 recorded
    Type:       scan
    Session:    pentest_office_2026_06
    Timestamp:  2026-06-08T08:15:00Z
    Operator:   j.analyst
    Data:       ssid=OfficeWiFi bssid=AA:BB:CC:DD:EE:FF ch=6 rssi=-65 sec=WPA2-PSK
    SHA-256:    a1b2c3d4e5f6...
    Chain head: a1b2c3d4e5f6...

Registrar um handshake capturado

wxf (EvidenceVault) > run capture \
    --type eapol_handshake \
    --bssid AA:BB:CC:DD:EE:FF \
    --file /evidence/capture_office_001.pcap \
    --note "4-way EAPOL captured after deauth"

[+] Evidence #0002 recorded
    Type:       capture
    Session:    pentest_office_2026_06
    Timestamp:  2026-06-08T08:18:32Z
    Operator:   j.analyst
    File:       /evidence/capture_office_001.pcap
    File SHA-256: 9f8e7d6c5b4a...
    Chain SHA-256: c3d4e5f6a1b2...
    Chain head: c3d4e5f6a1b2...

Registrar uma descoberta de vulnerabilidade

wxf (EvidenceVault) > run finding \
    --severity HIGH \
    --title "WPA2 passphrase cracked in 4h20m" \
    --bssid AA:BB:CC:DD:EE:FF \
    --evidence-ref 0002 \
    --note "Passphrase: 'qwerty123' found in rockyou.txt at position 847,293"

[+] Evidence #0003 recorded
    Type:       finding
    Severity:   HIGH
    Session:    pentest_office_2026_06
    Timestamp:  2026-06-08T12:38:00Z
    Operator:   j.analyst
    Linked to:  evidence #0002
    Chain SHA-256: b2c3d4e5f6a1...
    Chain head: b2c3d4e5f6a1...

Verificar integridade da cadeia

wxf (EvidenceVault) > verify

[*] Verifying chain integrity for session pentest_office_2026_06...
[+] Record #0001: hash OK (a1b2c3d4e5f6...)
[+] Record #0002: hash OK (c3d4e5f6a1b2...) | file hash OK
[+] Record #0003: hash OK (b2c3d4e5f6a1...)
[+] Chain VALID (3 records)
[+] ISO/IEC 27037 chain-of-custody: MAINTAINED
[*] Vault path: /evidence/pentest_office_2026_06.vault.json

Caso adulteração seja detectada:

wxf (EvidenceVault) > verify

[*] Verifying chain integrity for session pentest_office_2026_06...
[+] Record #0001: hash OK
[!] Record #0002: HASH MISMATCH
    Stored:   c3d4e5f6a1b2...
    Computed: deadbeef1234...
[!] CHAIN INTEGRITY BROKEN at record #0002
[!] Evidence from record #0002 onwards may not be admissible

Exportar relatório

wxf (EvidenceVault) > export --format json --output /evidence/pentest_office_2026_06_report.json
[+] Exported 3 records to /evidence/pentest_office_2026_06_report.json

wxf (EvidenceVault) > export --format csv --output /evidence/pentest_office_2026_06_report.csv
[+] Exported 3 records to /evidence/pentest_office_2026_06_report.csv

Gerenciador de Sessão

O Session Manager fornece um banco de dados SQLite para rastreamento de metadados de sessão de pentest, alvos e descobertas em conjunto com o Evidence Vault.

wxf > use generic/session_manager/session_manager
wxf (SessionManager) > set SESSION_ID pentest_office_2026_06
wxf (SessionManager) > set DB_PATH /evidence/sessions.db
wxf (SessionManager) > run

[*] Session: pentest_office_2026_06
[*] DB: /evidence/sessions.db

wxf (SessionManager) > add target \
    --host AA:BB:CC:DD:EE:FF \
    --name "OfficeWiFi" \
    --type wifi \
    --note "Primary target - 2.4GHz WPA2"

[+] Target #1 added: AA:BB:CC:DD:EE:FF (OfficeWiFi)

wxf (SessionManager) > list targets

  ID  Host                  Name        Type   Status   Added
  --  ----                  ----        ----   ------   -----
   1  AA:BB:CC:DD:EE:FF     OfficeWiFi  wifi   active   2026-06-08 08:15

wxf (SessionManager) > export --format json --output /evidence/session_pentest_office.json
[+] Session exported to /evidence/session_pentest_office.json

Melhores Práticas

Antes do engajamento

wxf > use generic/evidence_vault/evidence_vault
wxf (EvidenceVault) > set SESSION_ID client_name_YYYYMMDD
wxf (EvidenceVault) > set OPERATOR your.name
wxf (EvidenceVault) > run init

[+] New vault initialized: /evidence/client_name_20260608.vault.json
[+] Chain started: empty (0 records)
[+] Session metadata: operator=your.name date=2026-06-08 tool=WXF-1.8.0

Durante a captura

  • Registre cada descoberta significativa imediatamente
  • Registre os hashes de todos os arquivos de captura ao coletá-los
  • Anote timestamps explicitamente para descobertas com restrição de tempo
  • Referencie registros de evidências anteriores quando uma descoberta for baseada em capturas anteriores

Após o engajamento

  1. Execute verify para confirmar a integridade da cadeia
  2. Exporte o vault nos formatos JSON e CSV
  3. Arquive o arquivo vault junto com todos os arquivos de captura referenciados
  4. Forneça a exportação da cadeia de custódia ao cliente ou à equipe jurídica, se necessário

Formato do Arquivo Vault

O vault é armazenado como arquivo JSON com semântica de apenas acréscimo (append-only):

{
  "session_id": "pentest_office_2026_06",
  "tool": "WirelessXPL-Forge 1.8.0",
  "created": "2026-06-08T08:15:00Z",
  "records": [
    {
      "seq": 1,
      "type": "scan",
      "timestamp": "2026-06-08T08:15:00Z",
      "operator": "j.analyst",
      "data": { "ssid": "OfficeWiFi", "bssid": "AA:BB:CC:DD:EE:FF" },
      "hash": "a1b2c3d4e5f6...",
      "prev_hash": null
    },
    {
      "seq": 2,
      "type": "capture",
      "timestamp": "2026-06-08T08:18:32Z",
      "operator": "j.analyst",
      "data": { "type": "eapol_handshake", "file": "/evidence/capture_office_001.pcap" },
      "file_hash": "9f8e7d6c5b4a...",
      "hash": "c3d4e5f6a1b2...",
      "prev_hash": "a1b2c3d4e5f6..."
    }
  ]
}

Páginas relacionadas: Wardriving | WIDS | Ataques Wi-Fi

Autor: André Henrique (@mrhenrike) | União Geek

WirelessXPL-Forge v1.8.0

Home-pt-BR | Home

Português (pt-BR)

Primeiros Passos

Ataques Wireless

Drones e UAV

Protocolos Especializados

Ferramentas de Pentest

Hardware

Clone this wiki locally