Escolar Documentos
Profissional Documentos
Cultura Documentos
MT
CE-Conselho
D FE
Digital Princípios Forenses
Machine Translated by Google
Objetivos do Módulo
Objetivos do Módulo
A análise forense do Windows refere-se à investigação de crimes cibernéticos envolvendo máquinas Windows. Envolve
a coleta de evidências de uma máquina Windows para que o(s) autor(es) de um crime cibernético possam ser
identificados e processados. O Windows é um dos sistemas operacionais mais usados; portanto, a possibilidade de uma
máquina Windows estar envolvida em um incidente é alta. Portanto, os investigadores devem ter uma compreensão
completa dos vários componentes de um sistema operacional Windows, como sistema de arquivos, registros, arquivos
de sistema e logs de eventos, onde podem encontrar dados de valor probatório.
Este módulo discute como coletar e examinar evidências forenses relacionadas a incidentes de crimes cibernéticos em
máquinas Windows.
Módulo 06 Página 274 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Fluxo do módulo
Colete voláteis e
1 Informações não voláteis
Informações voláteis são perdidas quando um sistema é desligado; normalmente reside na RAM do sistema.
Do ponto de vista forense, produz artefatos valiosos, como usuários logados, histórico de comandos, recursos
compartilhados, informações relacionadas à rede, informações relacionadas a processos, informações sobre
arquivos abertos, etc.
Informações não voláteis referem-se a dados persistentes que não são perdidos quando um sistema falha ou é
desligado. Essas informações geralmente residem no disco rígido interno, unidade flash ou disco rígido externo
do sistema. Do ponto de vista forense, revela artefatos valiosos, como informações contidas no registro do
Windows, sistemas de arquivos, arquivos de banco de dados, dispositivos externos conectados ao sistema,
informações de partições ocultas, etc.
Esta seção discute como os investigadores forenses podem coletar informações voláteis e não voláteis dos
sistemas Windows.
Módulo 06 Página 275 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
A “análise forense do sistema operacional” envolve o exame forense do sistema operacional do computador. Os
sistemas operacionais mais usados são Windows, MacOS e Linux. É altamente provável que os investigadores
forenses encontrem um desses sistemas operacionais durante a investigação na cena do crime. Assim, é
imprescindível que eles tenham um conhecimento aprofundado desses sistemas operacionais, suas funcionalidades,
métodos de processamento, armazenamento e recuperação de dados, além de outras características.
Os investigadores também devem ter conhecimento profundo dos comandos ou metodologias utilizadas, conceitos
técnicos chave, processo de coleta de dados voláteis e não voláteis, análise de memória, análise de registro do
Windows, cache, cookie e análise de histórico, etc. uma investigação forense digital bem-sucedida.
Módulo 06 Página 276 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ A coleta de informações voláteis ajuda a determinar uma linha do tempo lógica do incidente de
segurança e dos usuários responsáveis
Informações voláteis podem ser adquiridas durante a aquisição de dados ao vivo. As informações obtidas de dados
voláteis podem ajudar o investigador forense a realizar análises de malware, examinar arquivos de log e arquivos
de cache, determinar senhas, etc. Tudo isso pode servir como fonte potencial de evidências durante a investigação
forense.
Conforme mencionado anteriormente, as informações voláteis referem-se aos dados armazenados nos registros,
cache e RAM dos dispositivos digitais. Essas informações geralmente são perdidas ou apagadas sempre que o
sistema é desligado ou reinicializado. A informação volátil é dinâmica por natureza e muda com o tempo; assim, os
investigadores devem ser capazes de coletar os dados em tempo real.
Dados voláteis existem na memória física ou RAM e consistem em informações de processo, mapeamento de
processo para porta, memória de processo, conexões de rede, conteúdo da área de transferência, estado do
sistema, etc. Os investigadores devem coletar esses dados durante o processo de aquisição de dados ao vivo.
Além disso, eles devem seguir o princípio de troca de Locard e coletar o conteúdo da RAM logo no início da
investigação para minimizar o impacto de etapas posteriores na integridade do conteúdo da RAM.
Os investigadores precisam estar bem cientes do fato de que as ferramentas que estão executando para coletar
outras informações voláteis podem modificar o conteúdo da memória. Com base nas informações voláteis coletadas,
os investigadores podem determinar o(s) usuário(s) conectado(s), cronograma de um incidente de segurança,
programas e bibliotecas envolvidos, arquivos acessados e compartilhados durante um ataque suspeito, bem como
outros detalhes, como informações de rede, rede conexões, status de rede, arquivos abertos, mapeamento de
processo para porta, unidades mapeadas, histórico de comandos, informações de processo, memória de processo,
compartilhamentos, conteúdo da área de transferência, etc.
Módulo 06 Página 277 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ O tempo de atividade do sistema fornece uma ideia de quando uma tentativa de exploração pode ter sido
bem-sucedido
Nota: Adquira ou duplique a memória do sistema de destino antes de extrair dados voláteis,
pois os comandos usados no processo podem alterar o conteúdo da mídia e tornar a prova
legalmente inválida
Copyright © por EC-Council. Todos os direitos reservados. A reprodução é estritamente proibida.
Módulo 06 Página 278 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Comando:
Nota: Adquira ou duplique a memória do sistema de destino antes de extrair dados voláteis, pois os
comandos usados no processo podem alterar o conteúdo da mídia e tornar a prova legalmente inválida.
Módulo 06 Página 279 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Sintaxe:
psloggedon [- ] [-l] [-x] [\\computername | nome de usuário]
Sintaxe:
sessões de rede
[\\<Nomedocomputador>]
[/delete] [/lista]
Módulo 06 Página 280 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Ferramenta LogonSessions
Sintaxe:
sessões de logon [-c[t]] [-p]
Durante uma investigação, um investigador deve coletar detalhes de todos os usuários conectados ao sistema
suspeito. Isso inclui não apenas informações sobre pessoas conectadas localmente (através do console ou teclado),
mas também aquelas que tiveram acesso remoto ao sistema (por exemplo, através do comando net use ou através
de um compartilhamento mapeado). Essas informações permitem que um investigador adicione contexto a outras
informações coletadas do sistema, como o contexto do usuário de um processo em execução, o proprietário de um
arquivo e os últimos horários de acesso aos arquivos.
ÿ PsLoggedOn
PsLoggedOn é um applet que exibe tanto os usuários conectados localmente quanto os usuários conectados
remotamente. Se você especificar um nome de usuário em vez de um computador. PsLoggedOn pesquisa
os computadores na vizinhança da rede e mostra se o usuário está conectado no momento.
Sintaxe:
o -: Este parâmetro exibe as opções suportadas e as unidades de medida usadas para valores de saída
o -l: Este parâmetro é usado para mostrar apenas logons locais em vez de locais e de rede
logons de recursos
o -x: Este parâmetro informa ao comando para não mostrar os horários de logon
Módulo 06 Página 281 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Figura 6.2: Usando PsLoggedOn para coletar informações sobre usuários conectados
ÿ sessões net
O comando net sessions é usado para gerenciar as conexões do computador servidor. Quando usado sem
parâmetros, exibe informações sobre todas as sessões de login do computador local. Este comando exibe os
nomes de computador e nomes de usuário em um servidor. Ele pode ajudar os investigadores a determinar se
os usuários têm algum arquivo aberto e há quanto tempo cada sessão do usuário está no modo ocioso.
Sintaxe:
o /delete: Este parâmetro encerra a sessão com o computador cliente especificado e fecha todos os arquivos
abertos no computador local para a sessão. Se você omitir \\<ComputerName>, todas as sessões no
computador local serão canceladas.
o /list: Este parâmetro exibe informações em uma lista em vez de uma tabela.
Módulo 06 Página 282 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Figura 6.3: Executando o comando net sessions para coletar informações sobre as sessões de login de um computador local
ÿ LogonSessions
A ferramenta LogonSessions, quando executada sem nenhuma opção, lista as sessões conectadas atualmente
ativas. Se a opção -p for usada, ela fornecerá informações sobre os processos em execução em cada sessão.
Sintaxe:
o -ct: Este parâmetro imprime a saída como valores delimitados por tabulações
Figura 6.4: Executando LogonSessions para exibir as sessões de logon ativas no momento
Módulo 06 Página 283 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Exibe detalhes de arquivos compartilhados abertos em um servidor, como nome, ID e o número de bloqueios de
cada arquivo, se houver. Ele também fecha arquivos compartilhados individualmente e remove bloqueios de arquivos.
comando de arquivo net
ÿ A sintaxe do comando net file:
net file [ID [/close]]
Colete informações sobre os arquivos abertos pelo invasor usando o login remoto. O comando net file reflete os nomes
de todos os arquivos abertos no servidor e o número de bloqueios de arquivo em cada arquivo, se houver. Este
comando também pode fechar arquivos compartilhados individualmente e remover bloqueios de arquivos.
Quando usado sem parâmetros, a ferramenta listará os arquivos abertos e ajudará a controlar os arquivos
compartilhados em uma rede.
Sintaxe:
net file [ID [/close]]
Parâmetros:
Módulo 06 Página 284 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Exibe o nome do arquivo, computador e nome de usuário, informações de permissão (leitura/gravação/criação), bloqueios
Investigadores forenses podem usar a ferramenta NetworkOpenedFiles para coletar informações sobre todos os
arquivos que foram abertos no sistema host por meio de login remoto.
ÿ NetworkOpenedFiles
NetworkOpenedFiles é uma ferramenta simples para Windows que exibe a lista de todos os arquivos que
foram abertos por outros computadores na rede.
Para cada arquivo aberto, as seguintes informações são exibidas: nome do arquivo, nome de usuário, nome
do computador (no Windows 7/2008 e posterior), informações sobre permissões (leitura/gravação/criação),
contagem de bloqueios, proprietário do arquivo, tamanho do arquivo, atributos do arquivo e mais.
Módulo 06 Página 285 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Módulo 06 Página 286 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Sintaxe:
Frequentemente, quando invasores obtêm acesso remoto a um sistema, eles tentam encontrar outros sistemas
conectados à rede e visíveis ao sistema comprometido. Para conseguir isso, os invasores criam e executam arquivos
em lote no sistema e lançam comandos net view via injeção SQL (usando um navegador para enviar comandos ao
sistema por meio dos servidores web e de banco de dados).
Quando os usuários estabelecem conexões com outros sistemas usando a rede NetBIOS, os sistemas mantêm uma
lista de outros sistemas visíveis. Ao visualizar o conteúdo da tabela de nomes em cache, o investigador pode determinar
os outros sistemas afetados na rede.
Um investigador deve coletar vários tipos de informações de rede para encontrar evidências do incidente suspeito. As
informações de rede úteis para investigação incluem o seguinte:
ÿ Pacotes de rede
Módulo 06 Página 287 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
O cache da tabela de nomes NetBIOS mantém uma lista de conexões feitas com outros sistemas usando a rede
NetBIOS. Ele contém o nome do sistema remoto e o endereço IP. O utilitário de linha de comando nbtstat no
Windows mostra o cache da tabela de nomes NetBIOS.
ÿ nbtstat
nbtstat ajuda a solucionar problemas de resolução de nomes NetBIOS. Quando uma rede está funcionando
normalmente, NetBIOS sobre TCP/IP (NetBT) resolve nomes NetBIOS para endereços IP.
Sintaxe:
nbtstat [-a RemoteName] [-A endereço IP] [-c] [-n] [-r] [-R] [-RR] [-s] [-
S] [intervalo]
Parâmetros:
o -c: Mostra o conteúdo da tabela de cache de nome remoto NetBIOS, que contém
Mapeamentos de nome-para-endereço IP NetBIOS
o -n: Exibe os nomes que foram registrados localmente no sistema pelo NetBIOS
aplicativos como o servidor e o redirecionador
o -r: Exibe a contagem de todos os nomes NetBIOS resolvidos por transmissão e consultando um
Servidor Windows Internet Naming Service (WINS)
Módulo 06 Página 288 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Módulo 06 Página 289 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Sintaxe:
netstat [-a] [-e] [-n] [-o] [-p <Protocolo>] [-r] [-s] [<Intervalo>]
O investigador deve coletar informações sobre conexões de rede de e para o sistema afetado imediatamente após o
relato de qualquer incidente, caso contrário, as informações podem expirar com o tempo.
Os investigadores devem procurar imediatamente por outros sistemas infectados e colocá-los offline para evitar a
propagação de malware.
ÿ netstat
A ferramenta Netstat ajuda na coleta de informações sobre conexões de rede operativas em um sistema
Windows. Esta ferramenta CLI fornece uma visão simples das conexões TCP e UDP, seu estado e
estatísticas de tráfego de rede. Netstat.exe vem como uma ferramenta integrada com o sistema operacional Windows.
A maneira mais comum de executar o netstat é com a opção -ano . Essa opção informa ao programa para
exibir as conexões de rede TCP e UDP, as portas de escuta e os identificadores dos processos (PIDs).
Usar netstat com a opção -r exibirá a tabela de roteamento e mostrará se alguma rota persistente está
habilitada no sistema. Isso pode fornecer algumas informações úteis para um investigador ou simplesmente
para um administrador para solucionar problemas de um sistema.
Sintaxe:
netstat [-a] [-e] [-n] [-o] [-p <Protocolo>] [-r] [-s] [<Intervalo>]
Módulo 06 Página 290 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Parâmetros:
o -a: Exibe todas as conexões TCP ativas, bem como as portas TCP e UDP nas quais o
computador está ouvindo
o -n: Exibe conexões TCP ativas. No entanto, os endereços e números de porta são
expressa numericamente sem nomes especificados.
o -o: Exibe as conexões TCP ativas e inclui o ID do processo (PID) para cada conexão. Usando o PID, o
aplicativo pode ser encontrado na guia Processos no Gerenciador de Tarefas do Windows. Esse
parâmetro pode ser combinado com -a, -n e -p.
o -p Protocol: Mostra conexões para o protocolo especificado. Nesse caso, o protocolo pode ser TCP,
UDP, ICMP, IP, ICMPv6, IPv6, TCPv6 ou UDPv6. O uso desse parâmetro com -s exibirá estatísticas
baseadas em protocolo.
o -s: Exibe estatísticas por protocolo. Por padrão, ele mostrará as estatísticas dos protocolos TCP, UDP,
ICMP e IP. Caso o protocolo IPv6 esteja instalado, a ferramenta exibe estatísticas para os protocolos
TCP sobre IPv6, UDP sobre IPv6, ICMPv6 e IPv6. O uso do parâmetro -p pode especificar um conjunto
de protocolos.
o -r: Exibe o conteúdo da tabela de roteamento IP. Isso é equivalente à impressão de rota
comando.
Módulo 06 Página 291 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Módulo 06 Página 292 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Processo de informação
Lista de tarefas
remoto
Módulo 06 Página 293 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Processo de informação
Os investigadores devem coletar informações sobre todos os processos em execução no sistema. Eles podem usar o
Gerenciador de Tarefas para visualizar informações sobre cada processo. No entanto, o Gerenciador de Tarefas não exibe
todas as informações necessárias prontamente. Um Investigador pode recuperar todas as informações do processo procurando
os detalhes listados abaixo:
Módulo 06 Página 294 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Portanto, os investigadores devem aprender a adotar certas fontes ou ferramentas e comandos para coletar os
detalhes completos ou informações pertencentes a um processo. Algumas ferramentas e comandos importantes
usados para coletar informações detalhadas do processo estão listados abaixo:
ÿ Lista de Tarefas
Tasklist.exe é um utilitário nativo incluído no Windows XP Pro e versões posteriores como substituto do
tlist.exe. As diferenças entre as duas ferramentas são muito pequenas, principalmente relacionadas ao
nome e à implementação das opções. Ele fornece opções para formatação de saída, com opções entre os
formatos de tabela, CSV e lista. O investigador pode usar a opção /svc para listar as informações de serviço
para cada processo.
A ferramenta Tasklist exibe a lista de aplicativos e serviços junto com as IDs de processo (PID) para todas
as tarefas que estão sendo executadas em um computador conectado local ou remotamente.
Sintaxe:
lista de tarefas[.exe] [/s computador] [/u domínio\usuário [/p senha]] [/fo {TABLE|LIST|
CSV}] [/nh] [/fi FilterName [/fi FilterName2 [ ... ] ]] [/m [ModuleName] | /svc | /v]
Parâmetros:
Módulo 06 Página 295 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
o /u Domínio \ Usuário: Executa o comando com as permissões de conta do usuário especificado por Usuário
ou Domínio\Usuário
o /svc: Lista todas as informações de serviço para cada processo sem truncamento
o /v: Especifica que as informações detalhadas da tarefa sejam exibidas na saída; não deve ser usado com o
parâmetro /svc ou /m
Observação: a opção /v (ou detalhada) fornece a maioria das informações sobre os processos listados, incluindo
o nome da imagem (mas não o caminho completo), PID, nome e número da sessão do processo, o status do
processo, o nome de usuário do contexto em que o processo é executado e o título da janela (se o processo tiver
uma GUI).
ÿ PsList
pslist.exe exibe informações básicas sobre os processos já em execução em um sistema, incluindo a quantidade
de tempo que cada processo está em execução (nos modos kernel e usuário).
Parâmetros:
Módulo 06 Página 296 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Adicione um nome de usuário com o parâmetro -u e uma senha com -p para fornecer o nome de usuário e a senha de
um sistema remoto para fazer login nele.
o Pid: Em vez de listar todos os processos em execução no sistema, este parâmetro restringe
para baixo a varredura PsList para o PID especificado
Módulo 06 Página 297 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ O mapeamento de processo para porta rastreia a porta usada por um processo e o protocolo conectado ao IP
Sintaxe:
netstat -a -n -o
Quando há uma conexão de rede aberta em um sistema, alguns processos devem estar usando essa conexão, o que
significa que cada conexão de rede e porta aberta está associada a um
processo.
Existem várias ferramentas disponíveis, que o investigador pode usar para recuperar o mapeamento do processo para
a porta. O comando netstat , por exemplo, pode recuperar informações sobre o mapeamento do processo para a porta.
ÿ Comando netstat
Conforme discutido anteriormente, o netstat.exe oferece a opção -o, que pode exibir as IDs dos processos
responsáveis pelo estabelecimento de uma conexão de rede.
Depois que as informações são coletadas, elas precisam ser correlacionadas com a saída de uma ferramenta
como tlist.exe ou tasklist.exe para determinar o nome dos processos que usam essa conexão de rede
específica.
Sintaxe:
netstat -a -n -o
Módulo 06 Página 298 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Módulo 06 Página 299 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Os processos em execução podem ser suspeitos ou maliciosos por natureza. Os investigadores devem usar ferramentas como
o Process Explorer para verificar se o processo é malicioso/suspeito. A ferramenta vem com suporte integrado ao VirusTotal
para verificar se o processo em execução é malicioso.
Algumas das ferramentas que podem ajudar os investigadores a examinar os processos em execução são brevemente discutidas
abaixo.
ÿ Explorador de Processos
O Process Explorer mostra informações sobre os handles e DLLs dos processos que foram abertos ou carregados.
A exibição do Process Explorer consiste em duas subjanelas. A janela superior sempre mostra uma lista de processos
atualmente ativos, incluindo os nomes de suas próprias contas, enquanto as informações exibidas na janela inferior
dependem do modo do Process Explorer.
Se estiver no modo handle, são mostrados os handles que são abertos pelo processo selecionado na janela superior.
Se o Process Explorer estiver no modo DLL, as DLLs e os arquivos mapeados na memória carregados pelo processo
selecionado serão exibidos.
Módulo 06 Página 300 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ ProcDump
ProcDump é um utilitário de linha de comando. Seu objetivo principal é monitorar os aplicativos em busca
de picos de CPU e gerar despejos de memória durante um pico para que um administrador ou desenvolvedor
possa determinar a causa do pico. O ProcDump também inclui monitoramento de janela travada,
monitoramento de exceção não tratada e geração de despejos com base nos valores dos contadores de
desempenho do sistema.
ÿ Descarregador de Processo
Process Dumper despeja forense a memória de um processo em execução. É uma ferramenta de interface
de linha de comando que despeja todo o espaço do processo, usa metainformações para descrever os
diferentes mapeamentos e estados e salva o ambiente do processo.
Figura 6.18: Usando o Process Dumper para despejar a memória de um processo em execução
Módulo 06 Página 301 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ comando ipconfig
ÿ Ferramenta PromiscDetect
ÿ Ferramenta Promqry
ÿ O PromiscDetect verifica se o(s) adaptador(es) de rede está(ão) sendo executado(s) em modo promíscuo, o que
pode ser um sinal de que um sniffer está rodando no computador
Os investigadores devem extrair informações sobre o status das placas de interface de rede (NICs) que
conectam um sistema à rede disponível. Atualmente, muitos laptops e desktops vêm com NICs sem fio
integradas, de modo que as informações sobre o tipo de conexão que um dispositivo está usando ou o
endereço IP que ele está usando permaneçam ocultas. Os investigadores devem coletar informações
sobre o status dos NICs antes de adquirir o sistema para ter uma melhor visão dos resultados da investigação.
Módulo 06 Página 302 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Comando ipconfig
ipconfig.exe é um utilitário de linha de comando que os investigadores podem usar para obter
informações sobre NICs e a configuração TCP/IP atual. O Ipconfig também aceita vários
comandos DHCP (Dynamic Host Configuration Protocol), permitindo assim que um sistema
atualize ou libere sua configuração de rede TCP/IP.
Os investigadores devem usar o comando ipconfig /all para visualizar todos os valores de
configuração TCP/IP atuais, incluindo o endereço IP, máscara de sub-rede, gateway padrão e
configuração de WINS e DNS. As informações geradas por esse comando também incluem o
estado da NIC e do DHCP. A coleta dessas informações ajudará os investigadores a examinar
os logs de tráfego de rede e o endereço IP dos sistemas envolvidos em um incidente de segurança.
Módulo 06 Página 303 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Um administrador ou investigador não poderá descobrir diretamente se o NIC está em modo promíscuo ou não, porque
os sistemas Windows não possuem nenhum botão ou ícone especial para indicar o modo NIC. Além disso, os sistemas
Windows não possuem nenhum ícone na bandeja ou configuração do Painel de controle que possa indicar diretamente
se alguém está detectando o tráfego da rede.
Portanto, os investigadores precisam usar ferramentas especiais para detectar esses incidentes e programas que podem
estar sendo executados em um sistema. Ferramentas como o PromiscDetect podem ajudar na análise do status da NIC
do sistema.
ÿ PromiscDetect
O PromiscDetect verifica se o(s) adaptador(es) de rede está(ão) sendo executado(s) em modo promíscuo, o que
pode ser um sinal de que há um sniffer em execução no computador.
Módulo 06 Página 304 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
1 Os dados não voláteis permanecem inalterados mesmo depois que o sistema é desligado ou desligado
3 Esses dados geralmente residem no disco rígido (arquivo de troca, espaço livre, espaço em disco não alocado, etc.)
4 Outras fontes de dados não voláteis incluem DVDs, pen drives USB , memória de smartphones, etc.
Informações não voláteis podem ser adquiridas durante a aquisição de dados estáticos. As informações obtidas de
dados não voláteis podem ajudar o investigador a recuperar dados perdidos/excluídos, informações do navegador,
informações de dispositivos conectados, etc., que podem ser úteis durante a investigação forense.
Os dados não voláteis permanecem inalterados quando um sistema desliga ou perde energia. Alguns exemplos de
dados não voláteis incluem e-mails, documentos de processamento de texto, planilhas e vários arquivos “excluídos”.
O investigador pode decidir quais informações precisam ser extraídas do registro ou quais informações sobre (ou de)
arquivos devem ser coletadas para análise adicional.
Também existe a possibilidade de o invasor estar ativamente conectado ao sistema e acessando os dados. Nesses
casos, o investigador pode até decidir rastrear o invasor. É importante que o investigador mantenha certas informações
importantes intactas sem qualquer modificação ou exclusão. Depois que o usuário inicia o sistema, alguns dados
podem ser modificados, como unidades mapeadas de ou para o sistema, serviços iniciados ou aplicativos instalados.
Essas modificações podem não ser persistentes durante uma reinicialização e, portanto, o investigador deve registrá-
las e documentá-las.
Os dados não voláteis geralmente residem em discos rígidos; ele também existe em arquivos de troca, espaço livre e
espaço de unidade não alocado. Outras fontes de dados não voláteis incluem CD-ROMs, unidades de armazenamento
USB e smartphones.
Módulo 06 Página 305 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ A hora e a data do SO
instalação
Ter uma compreensão completa do sistema de arquivos do Windows é fundamental para um investigador forense ao tentar acessar dados
do sistema de arquivos e reconstruir eventos do sistema de arquivos. Os sistemas de arquivos compreendem cinco seções, ou seja, dados
do sistema de arquivos, dados de conteúdo, metadados, nome do arquivo e dados do aplicativo do sistema de arquivos.
ÿ Dados do sistema de arquivos: Os dados do sistema de arquivos fornecem detalhes sobre a estrutura do sistema de arquivos,
como sistema de arquivos e tamanho do bloco do sistema de arquivos, número de blocos alocados, etc.
ÿ Dados de conteúdo: Esses dados contêm a maior parte das informações do sistema de arquivos. Consiste no conteúdo do sistema
de arquivos.
ÿ Metadados: Os metadados geralmente fornecem informações sobre locais de conteúdo, tamanho de arquivo,
e carimbos de data/hora MAC.
ÿ Dados do aplicativo: os dados do aplicativo fornecem informações sobre a cota de diário do sistema de arquivos
Estatisticas.
O exame dessas seções de um sistema de arquivos permite que o investigador colete uma variedade de dados que podem conter evidências
potenciais para resolver o caso. Um investigador deve executar o comando dir /o:d no prompt de comando. Isso permitirá que eles examinem
a hora e a data da instalação do sistema operacional, os service packs, patches e subdiretórios que se atualizam automaticamente com
frequência (por exemplo: drivers, etc.).
Módulo 06 Página 306 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Nota: Os investigadores devem dar prioridade aos arquivos com data recente.
Módulo 06 Página 307 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Extensible Storage Engine (ESE) é uma tecnologia de armazenamento de dados usada por vários softwares gerenciados pela Microsoft, como Active
Diretório, Windows Mail, Windows Search e Windows Update Client
ÿ A extensão do arquivo de banco de dados ESE é .edb. A seguir estão os exemplos de arquivos de banco de dados ESE:
ÿ Mailbox Database.edb e Public Folder Database.edb - Armazena dados de correio no Microsoft Exchange Server
ÿ Windows.edb - Armazena informações de índice (para pesquisa do Windows) pelo sistema operacional Windows
Muitos aplicativos da Microsoft no sistema operacional Windows usam a tecnologia de armazenamento de dados conhecida
como Extensible Storage Engine (ESE). O ESE é usado por vários softwares gerenciados pela Microsoft, como Active Directory,
Windows Mail, Windows Search e Windows Update Client. Do ponto de vista forense, o banco de dados ESE é importante
porque armazena e gerencia os principais registros pertencentes a sistemas e usuários no sistema operacional Windows. O
ESE também é conhecido como JET Blue. Os arquivos de banco de dados ESE são indicados pela extensão .edb.
Servidor Exchange
ÿ Windows.edb: Armazena informações de índice (para pesquisa do Windows) pelo sistema operacional Windows
Módulo 06 Página 308 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Os dados extraídos de
ESEDatabaseView pode ser exportado para um
arquivo HTML
Investigadores forenses podem usar a ferramenta ESEDatabaseView para extrair evidências valiosas de arquivos .edb.
A ferramenta exibe os dados armazenados em arquivos .edb em um formato bem estruturado, fácil de ler e analisar.
ÿ ESEDatabaseView
ESEDatabaseView é um utilitário simples que lê e exibe os dados armazenados no banco de dados ESE. Ele
exibe uma lista de todas as tabelas disponíveis no arquivo de banco de dados aberto, permite escolher a
tabela desejada para visualizar e visualizar todos os registros encontrados na tabela selecionada.
ESEDatabaseView também permite escolher facilmente um ou mais registros e, em seguida, exportá-los para
um arquivo delimitado por vírgulas/delimitado por tabulações/html/xml ou copiar os registros para a área de
transferência (Ctrl+C) e colá-los no Excel ou em outra planilha aplicativo.
Módulo 06 Página 309 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Módulo 06 Página 310 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
C:
\ProgramData\Microsoft\Search\Data\Applications\Windows
O sistema operacional Windows usa um banco de dados de índice chamado Windows Search Index, que permite a
indexação de arquivos e outros conteúdos e permite uma pesquisa mais rápida e precisa de dados no sistema. Ele
armazena informações indexadas para todo o conteúdo pesquisado pelos usuários. O índice de pesquisa do
Windows é armazenado no arquivo Windows.edb, localizado no seguinte diretório:
C:\ProgramData\Microsoft\Search\Data\Applications\Windows
Investigadores forenses podem extrair evidências valiosas referentes a dados excluídos, discos danificados, arquivos
criptografados, delimitação de eventos etc. do arquivo windows.edb. Para extrair evidências do arquivo Windows.edb
para sua investigação, os investigadores devem analisar os dados armazenados nesse arquivo.
Na captura de tela abaixo, ESEDatabaseView é usado para analisar o arquivo Windows.edb e extrair os detalhes
dos dados excluídos do sistema.
Módulo 06 Página 311 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Módulo 06 Página 312 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Como parte da investigação forense, identificar os dispositivos conectados ao sistema ajuda o investigador a determinar se
qualquer mídia externa é usada pelo suspeito
ÿ Mais tarde, o investigador pode obter a mídia externa específica do suspeito de maneira legal para análise posterior ÿ O utilitário,
DriveLetterView, lista todas as unidades no sistema, mesmo que não estejam conectadas no momento
Detectar os dispositivos conectados a um sistema é uma parte importante da investigação forense, pois ajuda os
investigadores forenses a determinar se alguma mídia externa foi usada pelo suspeito para cometer crimes cibernéticos.
Os investigadores podem usar a ferramenta DriveLetterView para listar todos os dispositivos/unidades no sistema, mesmo
que não estejam conectados no momento.
ÿ DriveLetterView
DriveLetterView é um utilitário simples que permite visualizar a lista de todas as atribuições de letra de unidade no
sistema, incluindo unidades locais, unidades de rede remotas, unidades de CD/DVD e unidades USB - mesmo que
não estejam conectadas no momento.
Ele também permite alterar facilmente uma letra de unidade de dispositivos USB e compartilhamentos de rede
remota, bem como excluir uma letra de unidade de dispositivo USB que não esteja conectado. Também é possível
usar o DriveLetterView para exportar a lista de todas as unidades para o arquivo text/csv/html/xml.
Módulo 06 Página 313 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Figura 6.24: Usando o DriveLetterView para detectar uma mídia externa conectada a uma máquina
Figura 6.25: Usando o DriveLetterView para detectar uma mídia externa conectada a uma máquina
Módulo 06 Página 314 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Espaço livre
Etapas na coleta de informações de espaço slack
Espaço livre
Espaço livre, também chamado de espaço livre de arquivo, refere-se às partes de um disco rígido que podem conter
dados de um arquivo excluído anteriormente ou espaço não utilizado pelo arquivo alocado atualmente. É o espaço
gerado entre o final de um arquivo armazenado e o final do agrupamento de discos. Isso acontece quando o
tamanho do arquivo atualmente gravado é menor que o do arquivo gravado anteriormente no mesmo cluster. Nesses
casos, os dados residuais permanecem como estão e podem conter informações significativas quando examinados
forense. A alocação de arquivos não contíguos deixa mais clusters à direita, deixando mais espaço livre. O resíduo
de dados no espaço slack é recuperado lendo o cluster completo.
Pode ser possível usar espaço livre para armazenar dados que se deseja ocultar sem ter conhecimento do sistema
de arquivos subjacente. Para fazer isso, crie um arquivo menor que o espaço disponível e use o restante do espaço
para armazenar os dados ocultos. Esses dados serão invisíveis para o sistema de arquivos e permanecerão os
mesmos até serem alterados manualmente. No entanto, criar novos arquivos que resultam em espaço livre não é a
maneira mais segura de ocultar dados. A ferramenta DriveSpy coleta todo o espaço disponível em uma partição
inteira em um arquivo.
Módulo 06 Página 315 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Módulo 06 Página 316 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Fluxo do módulo
Colete voláteis e
1 Informações não voláteis
Esta seção discute como analisar a memória (RAM) em uma máquina Windows. Ele também apresenta uma
visão geral da análise forense do registro do Windows.
Módulo 06 Página 317 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
janelas
Memória
Análise
ÿ A análise de memória do Windows envolve a aquisição de memória física ou despejos de RAM do Windows
máquina
ÿ Examinar esses despejos de memória ajuda os investigadores a detectar rootkits ocultos, encontrar objetos ocultos,
determinar qualquer processo suspeito, etc.
A análise de memória do Windows é parte integrante da análise forense e envolve a aquisição de memória
física ou despejos de RAM da máquina Windows. Examinar esses despejos de memória ajuda os
investigadores a detectar rootkits ocultos, encontrar objetos ocultos, determinar qualquer processo suspeito, etc.
Módulo 06 Página 318 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Despejo de memória ou despejo de memória é um espaço de armazenamento onde o sistema armazena um backup de
memória em caso de falha do sistema. O sistema também cria um despejo de memória quando não possui memória suficiente
para a operação do sistema. Os despejos de memória ajudam a diagnosticar e identificar bugs em um programa que levou à
falha do sistema. Inclui todas as informações sobre mensagens de parada, uma lista de drivers carregados e informações sobre
o processador que parou. As informações nos despejos de memória estão no formato binário, octal ou hexadecimal. Esse
backup permite que os usuários examinem a causa da falha do sistema e identifiquem quaisquer erros nos aplicativos ou no
sistema operacional. Nos sistemas Windows, é popularmente conhecido como tela azul da morte (BSOD). O dump principal
inclui o estado do sistema, localizações de memória, status de aplicativo ou programa, contadores de programa, etc. antes da
falha do sistema. O sistema precisa ser reinicializado para ficar acessível após o despejo de memória.
Essa memória também mantém um arquivo de log do sistema para referência futura.
Examinar os despejos de memória às vezes pode ajudar um investigador forense a descobrir se a falha foi causada por um
erro interno ou por um invasor remoto, que conseguiu explorar um bug no sistema operacional ou um aplicativo de terceiros
instalado no sistema operacional . Os investigadores podem usar ferramentas como DumpChk para analisar o despejo de
memória nesses casos.
Módulo 06 Página 319 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ DumpChk
Sintaxe:
Módulo 06 Página 320 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Process Dumper (pd.exe) despeja todo o espaço do processo junto com os metadados
adicionais e o ambiente do processo no console; ele redireciona a saída para um arquivo
ou um soquete
Uma vez concluído o processo de despejo, use as ferramentas de depuração para analisar os
arquivos de despejo
Durante uma investigação, o investigador geralmente está interessado apenas em processos específicos em
vez de uma lista de todos os processos e prefere reunir mais do que apenas o conteúdo da memória do
processo disponível no arquivo de despejo de RAM. Por exemplo, o investigador pode ter identificado
rapidamente processos de interesse que não exigiam nenhuma investigação adicional extensa. Existem
maneiras de coletar toda a memória usada por um processo - não apenas o que está presente na memória
física, mas também o que está na memória virtual ou no arquivo de paginação. A ferramenta Process Dumper
despeja todo o espaço do processo, juntamente com metadados adicionais e o ambiente do processo, no
console (STDOUT) para que a saída possa ser redirecionada para um arquivo ou soquete.
Userdump.exe permite descarregar qualquer processo, sem anexar um depurador e sem encerrar o processo
uma vez que o despejo tenha sido concluído. Além disso, o arquivo de despejo gerado pelo userdump.exe
pode ser lido pelas ferramentas de depuração do MS. No entanto, requer a instalação de seu driver específico.
Outro método de despejar um processo é usar o script adplus.vbs. Uma vez concluído o processo de despejo,
os investigadores podem usar ferramentas de depuração, como Handle.exe e ListDLLs.exe, para analisar os
arquivos de despejo.
Módulo 06 Página 321 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Examinar a memória volátil é tão importante quanto a memória não volátil. Do ponto de vista forense, examinar
os despejos de RAM fornece artefatos do sistema, como serviços em execução, arquivos e mídia acessados,
processos do sistema, informações de rede e atividade de malware.
Durante a aquisição ao vivo, os investigadores usam ferramentas como Belkasoft RAM Capturer e AccessData
FTK Imager para realizar despejos de RAM.
Módulo 06 Página 322 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
https:// www.fireeye.com
Investigadores forenses podem usar ferramentas como Redline para analisar a memória e detectar atividades maliciosas que
ocorreram em um sistema.
Essa ferramenta ajuda os investigadores a construir a linha do tempo e o escopo de um incidente de crime cibernético.
ÿ Na guia 'Dados de análise', você pode encontrar todos os processos em execução no sistema quando o
despejo de RAM foi adquirido, conforme indicado na figura abaixo.
Módulo 06 Página 324 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Clique em 'Portas' na aba 'Processos' para que você possa encontrar todas as conexões disponíveis
quando o despejo de RAM foi adquirido
ÿ Pela figura abaixo, observa-se que o Processo 'rundll32.exe', com o PID 1896, está fazendo conexão
com Endereço IP Remoto 172.20.20.21 pela Porta 4444, o que parece suspeito
Módulo 06 Página 325 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Módulo 06 Página 326 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Registro do Windows
ÿ Toda ação realizada pelo usuário na máquina é registrada no Registro do Windows; Por isso,
é uma boa fonte de evidência durante a investigação forense
ÿ Com relação à persistência de dados, as seções do Registro do Windows são divididas em:
HKEY_LOCAL_MACHIN HKEY_CLASSES_ROOT
HKEY_USERS HKEY_CURRENT_USER
HKEY_CURRENT_CONFIG
ÿ As colmeias voláteis são capturadas durante a análise ao vivo do sistema enquanto as colmeias não voláteis são
armazenado no disco rígido
HKEY_USERS Ele contém todos os perfis de usuário carregados ativamente para esse sistema
HKEY_CURRENT_CONFIG Esta seção contém o perfil de hardware que o sistema usa na inicialização
Esta seção contém uma vasta gama de informações de configuração para o sistema,
HKEY_LOCAL_MACHINE
incluindo configurações de hardware e configurações de software
Registro do Windows
O registro do Windows serve como um banco de dados de todas as atividades que um usuário executa em um
sistema Windows e, portanto, serve como uma fonte valiosa de evidência em uma investigação forense. No registro,
os dados são armazenados em pastas em estruturas semelhantes a árvores, chamadas de colmeias.
Módulo 06 Página 327 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ HKEY_CLASSES_ROOT
ÿ HKEY_CURRENT_USER
ÿ HKEY_CURRENT_CONFIG
ÿ HKEY_LOCAL_MACHINE
ÿ HKEY_USERS
Com relação à persistência de dados, as seções do Registro do Windows são divididas em dois tipos:
As colmeias voláteis são capturadas durante a análise ao vivo do sistema, enquanto as colmeias não voláteis são armazenadas
no disco rígido. As colmeias desempenham um papel fundamental no funcionamento do sistema.
1. HKEY_USERS
HKEY_USERS, abreviado como HKU, contém informações sobre todos os perfis de usuário atualmente ativos no
computador. Cada chave de registro na seção HKEY_USERS está relacionada a um usuário no computador, cujo
nome é o identificador de segurança do usuário (SID). As chaves de registro e os valores de registro em cada SID
controlam as unidades mapeadas específicas do usuário, impressoras instaladas, variáveis ambientais e assim por
diante.
2. HKEY_CLASSES_ROOT
abreviado
HKEY_CLASSES_ROOT, de HKEY_LOCAL_MACHINE\Software.
como HKCR,
Ele é
contém informações a associação
de unge-mede extensão
de arquivo e dados de identificador programático (ProgID), ID de classe (CLSID) e ID de interface (IID). Essa seção
armazena as informações necessárias para garantir que o programa correto seja aberto quando o usuário abrir um
arquivo por meio do Windows Explorer. As informações de registro de classe e extensão de nome de arquivo
armazenadas em HKEY_CLASSES_ROOT são encontradas em HKEY_LOCAL_MACHINE e HKEY_CURRENT_USER.
3. HKEY_CURRENT_CONFIG
HKEY_CURRENT_CONFIG, abreviado como HKCC, armazena informações sobre o perfil de hardware atual do
sistema. As informações armazenadas nesta seção explicam as diferenças entre a configuração de hardware atual e
a configuração padrão.
Módulo 06 Página 328 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
4. HKEY_LOCAL_MACHINE
5. HKEY_CURRENT_USER
Módulo 06 Página 329 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Tipos de células:
para a chave
É essencial para um investigador forense ter uma boa compreensão dos componentes básicos do registro. Isso os ajudará a
obter informações extras por meio de pesquisas de palavras-chave de outros locais e fontes que incluem o arquivo de
paginação, memória física ou até mesmo espaços não alocados.
Ao obter mais informações sobre a estrutura do registro, o investigador forense pode entender melhor o que é possível e
como proceder. As células componentes do registro têm uma estrutura específica e contêm tipos específicos de informações.
Os diferentes tipos de células estão listados abaixo:
1. Célula de chave: contém informações de chave de registro e inclui deslocamentos para outras células, bem como
o tempo LastWrite para a chave.
3. Célula da lista de subchaves: É composta por uma série de índices que apontam para células-chave, todas elas são
subchaves da célula-chave pai
4. Célula lista de valores: É composta por uma série de índices que apontam para células de valores, todos eles
valores de uma célula-chave comum
5. Célula do descritor de segurança: Contém informações do descritor de segurança para uma célula-chave
Módulo 06 Página 330 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Módulo 06 Página 331 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Observação: o investigador forense pode examinar esses arquivos de registro usando ferramentas como o Hex Workshop para extrair informações úteis
A análise forense do registro do Windows ajuda o investigador a extrair artefatos forenses, como contas de usuário, arquivos
acessados recentemente, atividade USB, últimos programas executados e aplicativos instalados.
ÿ Análise Estática: Neste método, os investigadores devem examinar os arquivos de registro contidos
no arquivo de evidência capturado.
ÿ Análise ao vivo: neste método, os investigadores usam o editor de registro integrado para examinar o registro e
ferramentas como o FTK Imager para capturar arquivos de registro do sistema ativo para análise forense.
Para capturar arquivos de registro do Windows no sistema Live usando o FTK Imager:
ÿ Selecione Recuperação de senha e todos os arquivos de registro (conforme mostrado na captura de tela abaixo) e
forneça o diretório de destino para extrair os arquivos
Módulo 06 Página 332 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ SAM (Security Account Manager): Esta subchave armazena informações sobre usuários, contas de administrador,
contas de convidados, hashes criptográficos de cada senha de usuário, etc.
ÿ Segurança: Esta subchave armazena informações sobre a política de segurança do usuário atual
Módulo 06 Página 333 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Software: Esta subchave contém informações sobre os aplicativos de software instalados e seus
definições de configuração no sistema
ÿ Sistema: Esta subchave armazena informações sobre as definições de configuração dos drivers de hardware
e serviços
ÿ Padrão: esta subchave armazena informações sobre as configurações padrão do usuário. No entanto, o arquivo
NTUSER.dat pertencente ao usuário conectado no momento substitui as configurações padrão do usuário.
Observação: os investigadores forenses também podem usar ferramentas como o Hex Workshop para recuperar artefatos
relacionados a crimes cibernéticos dos arquivos de registro capturados.
ÿ Oficina Hexa
O Hex Workshop Hex Editor é um conjunto de ferramentas de desenvolvimento hexadecimal para Microsoft
Windows. Ele integra edição binária avançada e interpretação e visualização de dados com a facilidade e
flexibilidade de um processador de texto moderno.
Com o Hex Workshop, pode-se editar, cortar, copiar, colar, inserir, preencher e excluir dados binários.
Também é possível trabalhar com dados em sua estrutura nativa e tipos de dados usando o visualizador de
estrutura integrado do aplicativo e marcadores inteligentes.
Módulo 06 Página 334 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Fluxo do módulo
Colete voláteis e
1 Informações não voláteis
Esta seção discute como examinar e analisar as informações registradas em caches, cookies e histórico
do navegador de diferentes navegadores da web.
Módulo 06 Página 335 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
O exame de navegadores da web, como Microsoft Edge, Google Chrome, Mozilla Firefox, etc., fornece
dados comprobatórios cruciais, como histórico da web, cookies e informações de cache pertencentes à
atividade de navegação do usuário.
Módulo 06 Página 336 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
C:\Usuários\{usuário}\AppData\Local\Google\
Chrome\Dados do usuário\Padrão
Localização da Cache:
C:\Usuários\{usuário}\AppData\Local\Google\
Chrome\Dados do usuário\Padrão\Cache
C:\Users\{username}\AppData\Local\Google\Chrome\User
Dados\Padrão\Cache
Módulo 06 Página 337 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Módulo 06 Página 338 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
1
ChromeCacheView é um pequeno
utilitário que lê a pasta de cache do Google
Chrome e exibe a lista de todos os arquivos
atualmente armazenados no cache
2
Ele exibe informações como
URL, tipo de conteúdo, tamanho do arquivo, último
Tempo de Acesso, Tempo de Expiração,
Nome do servidor e resposta do servidor
http:// www.nirsoft.net
Módulo 06 Página 339 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Ferramenta de análise:
ChromeCookiesView
Módulo 06 Página 340 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ ChromeHistoryView lê o arquivo de
dados do histórico do Google
Chrome e exibe a lista de todas as páginas
da Web visitadas nos últimos dias
http:// www.nirsoft.net
ÿ ChromeHistoryView
Você pode selecionar um ou mais itens do histórico e exportá-los para um arquivo html/xml/csv/texto
ou copiar as informações para a área de transferência e colá-las no Excel.
Módulo 06 Página 341 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Módulo 06 Página 342 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Módulo 06 Página 343 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Cache
Localização:
C:\Users\Admin\AppData\Local\Microsoft\Windows\WebCache
Biscoitos C:\Users\Admin\AppData\Local\Packages\Microsoft.MicrosoftEdge_
Localização: xxxxxxxxxx\AC\MicrosoftEdge\Cookies
História
C:\Users\Admin\AppData\Local\Microsoft\Windows\History
Localização:
o IECacheView
http:// www.nirsoft.net
o EdgeCookiesView
Ferramentas de análise:
http:// www.nirsoft.net
o BrowsingHistoryView
http:// www.nirsoft.net
Microsoft Edge - Cache, cookies e histórico são armazenados nos seguintes locais do sistema:
ÿ Localização da Cache:
C:\Users\Admin\AppData\Local\Microsoft\Windows\WebCache
ÿ Localização dos Cookies:
C:\Users\Admin\AppData\Local\Packages\Microsoft.MicrosoftEdge_xxx
xxxxxxx\AC\MicrosoftEdge\Cookies
ÿ Histórico Localização:
C:\Users\Admin\AppData\Local\Microsoft\Windows\History
Ferramentas de análise:
Módulo 06 Página 344 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Fluxo do módulo
Colete voláteis e
1 Informações não voláteis
Ao investigar um sistema Windows, os investigadores geralmente precisam detectar quaisquer alterações que os
invasores possam ter feito nos arquivos do aplicativo no sistema.
ÿ Arquivos de pré-busca: examinar o diretório de pré-busca ajuda a determinar os aplicativos que foram
executados em um sistema.
ÿ Arquivos de imagem e dados EXIF: Examinar arquivos de imagem JPEG e os dados EXIF armazenados neles
ajuda a determinar os metadados associados a essas imagens JPEG.
Esta seção discute como examinar esses arquivos do Windows e os metadados associados.
Módulo 06 Página 345 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ O exame forense de arquivos de log do ponto de restauração e arquivos de pré-busca fornecem informações
como registros de data e hora MAC, nome do arquivo, tamanho do arquivo, número de vezes que o
aplicativo foi executado, nome do processo, etc., relacionados aos aplicativos instalados/desinstalados
O exame forense dos arquivos de log do ponto de restauração e dos arquivos de pré-busca fornecem informações como
carimbos de data/hora do MAC, nome do arquivo, tamanho do arquivo, número de vezes que o aplicativo foi executado, nome
do processo, etc., relacionadas aos aplicativos instalados/desinstalados.
Módulo 06 Página 346 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Inclui valor indicando o tipo do ponto de restauração; um nome descritivo para o evento
de criação do ponto de restauração e o objeto FILETIME de 64 bits indicando quando o
ponto de restauração foi criado
Rp.log é o arquivo de log do ponto de restauração localizado no diretório do ponto de restauração (RPxx). Inclui
valor indicando o tipo do ponto de restauração; um nome descritivo para o evento de criação do ponto de
restauração e o objeto FILETIME de 64 bits indicando quando o ponto de restauração foi criado. A descrição do
ponto de restauração pode ser útil para obter informações sobre a instalação ou remoção de um aplicativo. Os
pontos de restauração do sistema são criados quando aplicativos e drivers não assinados são instalados, quando
uma instalação de atualização automática e uma operação de restauração são executadas. A descrição do evento
que causou a criação do ponto de restauração é gravada no arquivo rp.log, e esse arquivo de log ajuda o
investigador a observar a data em que o aplicativo foi instalado ou removido
Módulo 06 Página 347 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
As alterações de arquivo são registradas nos arquivos change.log, que estão localizados
1 nos diretórios do ponto de restauração
Os principais arquivos do sistema e do aplicativo são monitorados continuamente para restaurar o sistema a um
estado específico. As alterações de arquivo são registradas nos arquivos change.log, que estão localizados nos
diretórios do ponto de restauração. As alterações nos arquivos monitorados são detectadas pelo driver do sistema
de arquivos do ponto de restauração, o nome do arquivo original é inserido no arquivo change.log junto com o
número de sequência, o tipo de alteração ocorrida, etc. O arquivo monitorado é preservado e copiado para o
diretório do ponto de restauração e renomeado no formato Axxxxxx.ext, onde x representa um número de
seqüência e .ext é a extensão original do arquivo. O primeiro arquivo change.log é anexado com um número de
sequência e um novo arquivo change.log é criado quando o sistema é reiniciado.
Módulo 06 Página 348 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Pré-buscar arquivos
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet0
0x\Control\SessionManager\MemoryManag
ement\PrefetchParameters
Pré-buscar arquivos
Os arquivos de pré-busca armazenam informações sobre aplicativos que foram executados no sistema. Os arquivos
de pré-busca podem servir como uma fonte valiosa de evidências forenses para os investigadores porque, mesmo
que os aplicativos executados em um sistema sejam excluídos ou desinstalados posteriormente, os arquivos de pré-
busca pertencentes a esses aplicativos ainda residem na pasta de pré-busca em C:\Windows\ Prefetch .
Módulo 06 Página 349 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
O valor DWORD no deslocamento 144 dentro do arquivo corresponde ao número de vezes que o aplicativo é iniciado.
O valor DWORD no deslocamento 120 dentro do arquivo corresponde à última vez em que o aplicativo foi executado,
esse valor é armazenado no formato UTC. As informações do arquivo .pf podem ser correlacionadas com as informações
do registro ou do log de eventos para determinar quem estava conectado ao sistema, quem estava executando quais
aplicativos, etc.
Pré-busca
A pré-busca é usada pelo sistema operacional Windows para acelerar o processo de inicialização do sistema e o
lançamento de aplicativos. Os dados são registrados até os primeiros 10 segundos após o início do processo de inscrição.
Depois que os dados são processados, eles são gravados em um arquivo .pf no diretório Windows\Prefetch . O
investigador forense deve identificar se o sistema da vítima habilitou o processo de pré-busca, antes de realizar o
exame. A pré-busca é controlada pela chave do Registro:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet00x\Control\SessionManager\MemoryM anagement\PrefetchParameters.
Os dados associados ao valor de EnablePrefetcher (destacado na figura acima) informam qual forma de pré-busca o
sistema utiliza:
Módulo 06 Página 350 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Arquivos de imagem
Por exemplo, câmeras digitais incorporam informações de formato de arquivo de imagem intercambiável
(EXIF) em imagens, que podem incluir o modelo e o fabricante da câmera e até mesmo armazenar
miniaturas ou informações de áudio
Você pode usar ferramentas como Exiv2, IrfanView e o módulo Perl Image::MetaData::JPEG
para visualizar, recuperar e, em alguns casos, modificar os metadados incorporados em
arquivos de imagem JPEG
Ferramentas como ExifReader, EXIF Library e ExifTool exibem dados EXIF encontrados em
uma imagem JPEG
Arquivos de imagem
Os metadados presentes em um arquivo de imagem JPEG dependem muito do aplicativo que o criou ou modificou. Por exemplo, as
câmeras digitais incorporam informações EXIF (Exchangeable Image File Format) nas imagens, que podem incluir o modelo e o
fabricante da câmera e até mesmo armazenar miniaturas ou informações de áudio.
Você pode usar ferramentas como Exiv2, IrfanView e o módulo Perl Image::MetaData::JPEG para visualizar, recuperar e, em alguns
casos, modificar os metadados incorporados em arquivos de imagem JPEG. Ferramentas como ExifReader, EXIF Library e ExifTool
exibem dados EXIF encontrados em uma imagem JPEG.
Módulo 06 Página 351 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Investigação de Metadados
ÿ Os metadados incluem nome do arquivo, tamanho do arquivo, carimbos de data/hora do MAC, dados do GPS, etc.
Investigação de Metadados
Na computação forense, os metadados obtidos dos bancos de dados, arquivos de imagem, arquivos de texto, navegadores
da web, etc., contêm dados probatórios de valor forense. Os metadados incluem nome do arquivo, tamanho do arquivo,
carimbos de data/hora MAC, dados de GPS, etc.
Módulo 06 Página 352 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Exemplos de metadados:
ÿ Nome da organização ÿ Versões de documentos
Metadados são dados estruturados que fornecem informações sobre certas características dos dados eletrônicos, incluindo
a hora e a pessoa que criou, acessou e modificou os dados. Ele não pode ser visto sem o uso de aplicativos especiais, e
os usuários podem compartilhar inadvertidamente informações confidenciais ao enviar ou fornecer arquivos em formulários
eletrônicos.
ÿ Nome da organização
ÿ Nome do autor
ÿ Nome do computador
ÿ Nome da rede
ÿ Versões de documentos
ÿ Informações do modelo
ÿ Vistas personalizadas
ÿ Partes não visíveis de objetos incorporados Object Linking and Embedding (OLE)
É importante coletar esses dados, pois eles fornecem informações sobre o seguinte:
ÿ Dados ocultos sobre o documento
O investigador pode usar ferramentas como Metadata Assistant, Paraben P2 Commander e Metashield Analyzer para
analisar metadados.
Módulo 06 Página 353 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Os metadados mais comumente conhecidos sobre arquivos em sistemas Windows são os tempos MAC dos
arquivos; MAC significa modificado, acessado e criado
ÿ As horas MAC são carimbos de hora que se referem à hora em que o arquivo foi
última modificação, último acesso e originalmente criado
ÿ Os tempos MAC são gerenciados pelo sistema operacional, dependendo do sistema de arquivos usado
ÿ No sistema de arquivos FAT, os horários são armazenados com base no horário local do computador
sistema
ÿ O sistema de arquivos NTFS armazena horários MAC no formato Tempo Universal Coordenado (UTC)
ÿ Copie myfile.txt de C:\ para C:\subdir no mesmo sistema de arquivos ÿ Copie myfile.txt de C:\ para C:\subdir no mesmo sistema
(FAT 16) de arquivos (NTFS)
ÿ Myfile.txt mantém a mesma data de modificação, mas a criação
data é atualizada para a data e hora atuais ÿ Myfile.txt retém a mesma data de modificação, mas a data de
criação é atualizada para a data e hora atuais
ÿ Mova myfile.txt de C:\ para C:\subdir no mesmo sistema de arquivos
(FAT 16)
ÿ Mova myfile.txt de C:\ para C:\subdir no mesmo sistema
ÿ Myfile.txt mantém as mesmas datas de modificação e criação de arquivos (NTFS)
ÿ Copie myfile.txt de uma partição FAT16 para uma partição NTFS
ÿ Myfile.txt mantém as mesmas datas de modificação e criação
Os metadados mais conhecidos sobre arquivos em sistemas Windows são os tempos de MAC do arquivo.
MAC significa modificado, acessado e criado. Os horários do MAC são carimbos de data/hora que se referem
ao horário em que o arquivo foi modificado pela última vez de alguma forma (os dados foram adicionados ao
arquivo ou removidos dele), o horário do último acesso (quando o arquivo foi aberto pela última vez), e quando
o arquivo foi originalmente criado.
Módulo 06 Página 354 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
No sistema de arquivos FAT, esses horários são registrados com base na hora local do sistema do computador,
enquanto o sistema de arquivos NTFS armazena horários MAC no formato Coordinated Universal Time (UTC), que é
análogo ao Greenwich Mean Time (GMT).
Outro aspecto dos horários MAC de arquivos e diretórios que interessam a um investigador é a maneira como os
carimbos de data e hora são exibidos, com base em várias ações de movimentação e cópia.
ÿ Copie myfile.txt de C:\ para C:\subdir no mesmo sistema de arquivos (FAT 16)
o Myfile.txt retém a mesma data de modificação, mas a data de criação é atualizada para o
data e hora atuais
ÿ Mova myfile.txt de C:\ para C:\subdir no mesmo sistema de arquivos (FAT 16)
o Myfile.txt retém a mesma data de modificação, mas a data de criação é atualizada para o
data e hora atuais
o Myfile.txt retém a mesma data de modificação, mas a data de criação é atualizada para o
data e hora atuais
Módulo 06 Página 355 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Você pode usar os scripts Perl pdfmeta.pl e pdfdmp.pl para extrair metadados de arquivos PDF
Acrobat Reader
ÿ
No menu Arquivo ,
clique em Propriedades…
Os arquivos Portable Document Format (PDF) podem conter metadados, como o nome do autor, a data em que
o arquivo foi criado e o aplicativo usado para criá-lo. Os metadados mostram que o arquivo PDF foi criado no
MacOS ou foi criado convertendo um documento do Word para o formato PDF. Os scripts pdfmeta.pl e pdfdmp.pl
podem ser usados para extrair metadados de arquivos PDF.
Outra maneira de recuperar metadados é abrir o arquivo no Adobe Reader e clicar em Arquivo ÿ Propriedades.
A guia Descrição da caixa de diálogo Propriedades contém todos os metadados disponíveis.
Módulo 06 Página 356 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Módulo 06 Página 357 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
botão inspecionar
Documentos do Word são documentos compostos, baseados na tecnologia OLE que define uma “estrutura de arquivo
dentro de um arquivo”. Além das informações de formatação, os documentos do Word podem conter muitas informações
adicionais que não são visíveis para o usuário, dependendo da visão do usuário do documento.
Os documentos do Word podem manter não apenas as revisões anteriores, mas também uma lista dos últimos 10
autores que editaram um arquivo. Isso representa um risco de divulgação de informações para indivíduos e organizações.
Os scripts Perl wmd.pl e oledmp.pl são usados para listar os fluxos OLE e as lixeiras incorporadas em um documento
do Word.
Os metadados no MSWord 2010 podem ser visualizados seguindo as etapas mencionadas abaixo:
Módulo 06 Página 358 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Módulo 06 Página 359 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
https:// www.elevenpaths.com
Metashield Analyzer é uma ferramenta online para analisar os metadados contidos em um arquivo. Esta
ferramenta revela os detalhes como data de criação e modificação, usuários encontrados e o nome do aplicativo
em que trabalharam, número de vezes editado e os caminhos encontrados. Um arquivo pode ser analisado
usando o seguinte procedimento:
Módulo 06 Página 360 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Módulo 06 Página 361 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Resumo do módulo
Este módulo discutiu a coleta de informações voláteis e não voláteis
1
Por fim, este módulo terminou com uma discussão detalhada sobre
4 como examinar arquivos e metadados do Windows
Resumo do módulo
Este módulo discutiu a coleta de informações voláteis e não voláteis. Também discutiu
a análise da memória e do Registro do Windows. Além disso, explicou em detalhes o processo de examinar o cache, o
cookie e o histórico registrado nos navegadores da web. Por fim, este módulo terminou com uma discussão detalhada
sobre o exame de arquivos e metadados do Windows.
Módulo 06 Página 362 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.