COMPUTAÇÃO

FORENSE
Sobre a Academia de Forense Digital

A Academia de Forense Digital se propõe a preen-

cher uma lacuna de desenvolvimento educacional que
existe no país, buscando se tornar referência no ensino
de Forense Digital e suas subdivisões, tais como Compu-
tação Forense, Forense em Dispositivos Móveis, Foren-

CA TÁ LOGO
se em Redes, Forense em Internet das Coisas, bem como
áreas correlatas, tais como contabilidade forense, confor-
midade, inteligência, Direito Digital, privacidade e psico-

DE
logia forense. A Academia de Forense Digital publica re-
gularmente conteúdo livre para gerar discussão de temas
atuais através da ótica da investigação forense através de

NO VIDADES
sua página oficial localizada no endereço:
“www.academiadeforensedigital.com.br”.

2
Objetivo

Neste treinamento, serão apresentadas análises de ge-

renciadores de partições, análise forense de sistemas de
arquivos, técnicas de recuperação de dados, além de aná-
lise e recuperação de artefatos em sistema operacional
Windows , mas também passando por Linux e Mac Os.

CA TÁ LOGO
Com este treinamento você será capaz de realizar coletas
de evidências e análises forenses em sistemas (Windows),
desde os casos mais simples até os mais complexos, além

DE
disso, o conteúdo teórico e prático contempla tópicos exi-
gidos nas principais certificações de computação forense
do mundo.

NO VIDADES
Público Alvo

• Entusiastas/Estudantes
• Profissionais de Tecnologia
• Direito e Contabilidade
• Áreas correlatas à:
- Investigação de Fraudes e Crimes que possam

utilizar de dispositivos eletrônicos e virtuais

3
Professor

CA TÁ LOGO
Renan CavalheiroDE
NO VIDADES
Renan Cavalheiro é CEO na Academia de Forense Digital
e Sócio-Diretor na STW Brasil Consultoria em Investiga-
ções e Perícias, possui experência em grandes empresas,
tais como Banco Itaú-Unibanco, BDO, Ernst & Young e
Delloite, é professor de diversas pós-graduações, tais
como FIA e IPOG e certificado EnCE, CHFI, ECIH, CEH,
GCIH, eJPT, eCPPT e CTIA

4
Conteúdo Programático

1. Apresentação:
• Apresentação do Professor
• Apresentação da Academia de Forense Digital
• Apresentação do Treinamento

2. Introdução:
• Referências Bibliográficas

CA TÁ LOGO
• Principais Certificações
• Estruturação de um Laboratório de Forense Digital

DE
NO VIDADES

5
• Revisão das Principais Normas e Referências Técnicas
- Principais Órgãos

- ABNT/ISO 27037

- RFC 3227

• Revisão das Principais Legislações Aplicáveis

• Revisão de Técnicas de Elaboração de Relatórios
• Revisão de Estrutura de Dados
• Processos de Inicialização ante Aquisição de Dados
• Processos de Inicialização em BIOS
• Processos de Inicialização em UEFI

3. Técnicas Avançadas de Aquisição de Computadores

• Revisão da Ordem de Volatilidade
• Tipos de Unidades de Armazenamento
• Unidades de Armazenamento Externas
• Computador Desligado
- Unidade de Armazenamento removível e afixada

- BIOS e UEFI

- Introdução à Aquisição de U.A. com defeito

6
• Computador Ligado
- Aquisição de Unidade de Armazenamento:

Comum e Criptografada

- Aquisição de Memória

- Aquisição de Processos e Arquivos

- Quando e Como Desligar o Equipamento

- Aquisição a Quente Remota

4. Análise de Gerenciadores de Partições

• Estudos em MBR
• Estudos em GPT

5. Análise Forense de Sistemas de Arquivos

• Conceitos de Sistemas de Arquivos
• Metadados Extrínsecos
• Estudos Avançadas em FAT32
- Estudo da VBR

- Estudo das Estruturas Primordiais

- Directory Entry

- File Allocation Table

- Data Area

7
• Estudos Avançados em NTFS
• Estudo da VBR
• Arquivos Estruturais
• Estudos da MFT e MFT Carving
- Arquivos Residentes vs Não-Residentes

- Carimbos de Tempo (MACB)

- Análise de Registros Diários (“Journalling”)

6. Técnicas de Recuperação de Dados

• Recuperação com uso de Escavação de Dados (“Data Carving”)
• Recuperação com base em Dados Não-Estruturados
• Recuperação de Partições Excluídas
• Recuperação de Dados em Espaços de Folga (“slackspace”)
• Recuperação de Dados em Nuvem

8
7. Análise e Recuperação de Artefatos em Sistema
Operacional Windows
• Estrutura de Pastas
• Interpretação de Conteúdos na Lixeira
• Atalhos
- LNK

- JumpList

- Automatic Destinations

• Registros do Sistema
• Linha de Eventos do Sistema
• Registros de Eventos do Sistema
• Navegadores de Internet
• Objetos de Pré-Busca (“Prefetch”)
• Tarefas Agendadas
• Assistente Pessoal
• Cópias de Sombra de Volume (“Volume Shadow Copy”)
• Centro de Notificações
• Armazenamentos em Nuvem
• Extração de Credenciais
• Subsistema Windows para Linux
• Histórico de Comandos do Power Shell
• Introdução à Análise de Artefatos de Windows Server

9
8. Análise de Artefatos em Linux
• Estrutura de Pastas
• Extração de Credenciais
• Registros de Eventos do Sistema
• Tarefas Agendadas
• Histórico de Linha de Comando
• Introdução à Análise de Servidores Linux
•
9. Introdução à Análise de Artefatos em Sistema
Operacional Mac OS
• Estrutura de Pastas
• Registros de Eventos do Sistema
• Histórico de Linha de Comando

10. Análise de Metadados Intrínsecos

11. Análise de Máquinas Virtuais

12. Processamento e Análise de Linha de Tempo

13. Buscas por Palavras-Chave e Expressões Regulares

10
14. Plataformas de Processamento e Análise
• Plataformas de Código Aberto e/ou Gratuitas
- Autopsy

- IPED

- KAPE

• Plataformas Comerciais (Apenas Demonstração)

- EnCase

- Forensic Tool Kit Suite

- Axiom

- Belkasoft Evidence Center

- X-Ways

- Outros

15. Encerramento

11