MODULE 06 - Windows Forensics

Machine Translated by Google
MT
CE-Conselho
D FE
Digital Princípios Forenses
Fundamentos de Perícia Forense Digital Exame 112-53

Análise Forense do Windows
Objetivos do Módulo
Compreendendo a coleção de voláteis e

1 Informações não voláteis
Compreendendo a memória e o registro do Windows

2 Análise
Compreendendo como examinar o cache, o cookie e

3 o histórico gravado em navegadores da Web
Compreendendo como examinar arquivos e

4 metadados do Windows
Copyright © por EC-Council. Todos os direitos reservados. A reprodução é estritamente proibida.
Objetivos do Módulo
A análise forense do Windows refere-se à investigação de crimes cibernéticos envolvendo máquinas Windows. Envolve
a coleta de evidências de uma máquina Windows para que o(s) autor(es) de um crime cibernético possam ser
identificados e processados. O Windows é um dos sistemas operacionais mais usados; portanto, a possibilidade de uma
máquina Windows estar envolvida em um incidente é alta. Portanto, os investigadores devem ter uma compreensão
completa dos vários componentes de um sistema operacional Windows, como sistema de arquivos, registros, arquivos
de sistema e logs de eventos, onde podem encontrar dados de valor probatório.
Este módulo discute como coletar e examinar evidências forenses relacionadas a incidentes de crimes cibernéticos em
máquinas Windows.
Ao final deste módulo, você será capaz de:
ÿ Coletar informações voláteis e não voláteis
ÿ Realizar análise de memória e registro do Windows
ÿ Examine o cache, o cookie e o histórico registrado nos navegadores da web
ÿ Examinar arquivos e metadados do Windows
Módulo 06 Página 274 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.

Fluxo do módulo
Colete voláteis e
Execute a análise de memória

2 e registro do Windows
Examine o cache, o cookie

3 e o histórico registrado em
Navegadores da Web
Examine os arquivos do Windows

4 e Metadados
Colete informações voláteis e não voláteis
Informações voláteis são perdidas quando um sistema é desligado; normalmente reside na RAM do sistema.
Do ponto de vista forense, produz artefatos valiosos, como usuários logados, histórico de comandos, recursos
compartilhados, informações relacionadas à rede, informações relacionadas a processos, informações sobre
arquivos abertos, etc.
Informações não voláteis referem-se a dados persistentes que não são perdidos quando um sistema falha ou é
desligado. Essas informações geralmente residem no disco rígido interno, unidade flash ou disco rígido externo
do sistema. Do ponto de vista forense, revela artefatos valiosos, como informações contidas no registro do
Windows, sistemas de arquivos, arquivos de banco de dados, dispositivos externos conectados ao sistema,
informações de partições ocultas, etc.
Esta seção discute como os investigadores forenses podem coletar informações voláteis e não voláteis dos
sistemas Windows.

Introdução à análise forense do sistema operacional
Windows, Mac e Linux são os três sistemas operacionais (SOs) mais

usados. Assim, a probabilidade de um investigador encontrar esses sistemas
operacionais na cena do crime é muito alta.
Realizar análise forense do sistema operacional para descobrir as evidências

subjacentes é uma tarefa desafiadora, pois exige que o investigador tenha
conhecimento profundo desses sistemas operacionais
Para realizar um exame forense digital bem-sucedido no Windows, Mac e

Linux, deve-se estar familiarizado com seu funcionamento, comandos ou
metodologias, a fim de poder extrair dados voláteis e não voláteis com
ferramentas específicas do sistema operacional.
Introdução à análise forense do sistema operacional
A “análise forense do sistema operacional” envolve o exame forense do sistema operacional do computador. Os
sistemas operacionais mais usados são Windows, MacOS e Linux. É altamente provável que os investigadores
forenses encontrem um desses sistemas operacionais durante a investigação na cena do crime. Assim, é
imprescindível que eles tenham um conhecimento aprofundado desses sistemas operacionais, suas funcionalidades,
métodos de processamento, armazenamento e recuperação de dados, além de outras características.
Os investigadores também devem ter conhecimento profundo dos comandos ou metodologias utilizadas, conceitos
técnicos chave, processo de coleta de dados voláteis e não voláteis, análise de memória, análise de registro do
Windows, cache, cookie e análise de histórico, etc. uma investigação forense digital bem-sucedida.

Coletando informações voláteis

ÿ Informações voláteis podem ser facilmente modificadas ou perdidas quando o sistema é desligado ou
reiniciado
ÿ A coleta de informações voláteis ajuda a determinar uma linha do tempo lógica do incidente de
segurança e dos usuários responsáveis
ÿ Dados voláteis residem em registradores, cache e RAM
Informações voláteis incluem:
ÿ Hora do sistema ÿ Mapeamento do processo à porta
ÿ Utilizador(es) com sessão iniciada ÿ Memória de processo
ÿ Informações de rede ÿ Drives mapeados
ÿ Abrir arquivos ÿ Ações
ÿ Conexões de rede ÿ Conteúdo da área de transferência
ÿ Estado da rede ÿ Informações de serviço/condutor
ÿ Informação do processo ÿ Histórico de comandos
Coletando informações voláteis
Informações voláteis podem ser adquiridas durante a aquisição de dados ao vivo. As informações obtidas de dados
voláteis podem ajudar o investigador forense a realizar análises de malware, examinar arquivos de log e arquivos
de cache, determinar senhas, etc. Tudo isso pode servir como fonte potencial de evidências durante a investigação
forense.
Conforme mencionado anteriormente, as informações voláteis referem-se aos dados armazenados nos registros,
cache e RAM dos dispositivos digitais. Essas informações geralmente são perdidas ou apagadas sempre que o
sistema é desligado ou reinicializado. A informação volátil é dinâmica por natureza e muda com o tempo; assim, os
investigadores devem ser capazes de coletar os dados em tempo real.
Dados voláteis existem na memória física ou RAM e consistem em informações de processo, mapeamento de
processo para porta, memória de processo, conexões de rede, conteúdo da área de transferência, estado do
sistema, etc. Os investigadores devem coletar esses dados durante o processo de aquisição de dados ao vivo.
Além disso, eles devem seguir o princípio de troca de Locard e coletar o conteúdo da RAM logo no início da
investigação para minimizar o impacto de etapas posteriores na integridade do conteúdo da RAM.
Os investigadores precisam estar bem cientes do fato de que as ferramentas que estão executando para coletar
outras informações voláteis podem modificar o conteúdo da memória. Com base nas informações voláteis coletadas,
os investigadores podem determinar o(s) usuário(s) conectado(s), cronograma de um incidente de segurança,
programas e bibliotecas envolvidos, arquivos acessados e compartilhados durante um ataque suspeito, bem como
outros detalhes, como informações de rede, rede conexões, status de rede, arquivos abertos, mapeamento de
processo para porta, unidades mapeadas, histórico de comandos, informações de processo, memória de processo,
compartilhamentos, conteúdo da área de transferência, etc.

Coletando Tempo do Sistema

ÿ Fornece detalhes das informações coletadas durante a investigação
ÿ Ajuda a recriar a linha do tempo precisa dos eventos que ocorreram no

sistema
ÿ O tempo de atividade do sistema fornece uma ideia de quando uma tentativa de exploração pode ter sido
bem-sucedido
Nota: Adquira ou duplique a memória do sistema de destino antes de extrair dados voláteis,
pois os comandos usados no processo podem alterar o conteúdo da mídia e tornar a prova
legalmente inválida
Coletando Tempo do Sistema

O primeiro passo ao investigar um incidente é a coleta do tempo do sistema. A hora do sistema
refere-se à data e hora exatas do dia em que ocorreu um incidente, de acordo com o horário
universal coordenado (UTC). A hora do sistema fornece aos aplicativos hora e data precisas. O
conhecimento da hora do sistema fornece um grande contexto para as informações coletadas nas
etapas subsequentes. Ele também auxilia na reconstrução dos eventos que ocorreram no sistema.
Além do horário atual do sistema, as informações sobre o tempo de atividade do sistema fornecem
grande assistência a todo o processo de investigação.
Os investigadores também registram o tempo real, ou tempo de parede, ao registrar o tempo do
sistema. A comparação de ambos os tempos permite que o investigador determine se o relógio do
sistema foi preciso ou impreciso. Os investigadores podem extrair a hora e a data do sistema com a
ajuda do comando date /t & time /t ou usar o comando net statistics server . Uma forma alternativa
de obter os detalhes de hora do sistema é usando a função GetSystemTime. Essa função copia os
detalhes de hora para uma estrutura SYSTEMTIME, que contém informações dos membros
conectados e o mês, dia, ano, dia da semana, hora, minuto, segundos e milissegundos exatos.
Portanto, esta função fornece detalhes de tempo do sistema mais precisos.

Comando:
data /t & hora /t
Figura 6.1: Executando o comando date /t & time /t
Nota: Adquira ou duplique a memória do sistema de destino antes de extrair dados voláteis, pois os
comandos usados no processo podem alterar o conteúdo da mídia e tornar a prova legalmente inválida.

Coletando usuários conectados
PsLoggedOn é um applet que exibe os

PsLoggedOn usuários conectados localmente e por meio
de recursos no computador local ou remoto
Sintaxe:
psloggedon [- ] [-l] [-x] [\\computername | nome de usuário]
Coletando usuários conectados (continuação)
ÿ o comando net session exibe o computador e os nomes de usuários em um servidor,

comando net sessões
arquivos abertos e duração das sessões
Sintaxe:
sessões de rede
[\\<Nomedocomputador>]
[/delete] [/lista]

Coletando usuários conectados (continuação)
Ferramenta LogonSessions
ÿ Lista as sessões de logon atualmente ativas e, se a

opção -p for especificada, os processos em execução
em cada sessão serão listados
Sintaxe:
sessões de logon [-c[t]] [-p]
-c, imprime a saída como CSV
-ct, Imprime a saída como valores delimitados por tabulações
-p, lista os processos em execução na sessão de logon
Coletando usuários conectados
Durante uma investigação, um investigador deve coletar detalhes de todos os usuários conectados ao sistema
suspeito. Isso inclui não apenas informações sobre pessoas conectadas localmente (através do console ou teclado),
mas também aquelas que tiveram acesso remoto ao sistema (por exemplo, através do comando net use ou através
de um compartilhamento mapeado). Essas informações permitem que um investigador adicione contexto a outras
informações coletadas do sistema, como o contexto do usuário de um processo em execução, o proprietário de um
arquivo e os últimos horários de acesso aos arquivos.
ÿ PsLoggedOn
Fonte: https:// docs.microsoft.com
PsLoggedOn é um applet que exibe tanto os usuários conectados localmente quanto os usuários conectados
remotamente. Se você especificar um nome de usuário em vez de um computador. PsLoggedOn pesquisa
os computadores na vizinhança da rede e mostra se o usuário está conectado no momento.
Sintaxe:
psloggedon [- ] [-l] [-x] [\\nomedocomputador | nome de usuário]

Parâmetros:
o -: Este parâmetro exibe as opções suportadas e as unidades de medida usadas para valores de saída
o -l: Este parâmetro é usado para mostrar apenas logons locais em vez de locais e de rede
logons de recursos
o -x: Este parâmetro informa ao comando para não mostrar os horários de logon

o \\nome do computador: Este parâmetro especifica o nome do computador para o qual

as informações de logon devem ser listadas.
o username: Ao especificar um nome de usuário, PsLoggedOn procura na rede por

computadores nos quais esse usuário está conectado.
Figura 6.2: Usando PsLoggedOn para coletar informações sobre usuários conectados
ÿ sessões net
O comando net sessions é usado para gerenciar as conexões do computador servidor. Quando usado sem
parâmetros, exibe informações sobre todas as sessões de login do computador local. Este comando exibe os
nomes de computador e nomes de usuário em um servidor. Ele pode ajudar os investigadores a determinar se
os usuários têm algum arquivo aberto e há quanto tempo cada sessão do usuário está no modo ocioso.
Sintaxe:
net sessões [\\<ComputerName>] [/delete] [/list]

Parâmetros:
o \\<ComputerName>: Este parâmetro identifica o computador cliente para o qual você

deseja listar ou desconectar sessões
o /delete: Este parâmetro encerra a sessão com o computador cliente especificado e fecha todos os arquivos
abertos no computador local para a sessão. Se você omitir \\<ComputerName>, todas as sessões no
computador local serão canceladas.
o /list: Este parâmetro exibe informações em uma lista em vez de uma tabela.

Figura 6.3: Executando o comando net sessions para coletar informações sobre as sessões de login de um computador local
ÿ LogonSessions
A ferramenta LogonSessions, quando executada sem nenhuma opção, lista as sessões conectadas atualmente
ativas. Se a opção -p for usada, ela fornecerá informações sobre os processos em execução em cada sessão.
Sintaxe:
sessões de logon [-c[t]] [-p]

Parâmetros:
o -c: Este parâmetro imprime a saída como CSV
o -ct: Este parâmetro imprime a saída como valores delimitados por tabulações
o -p: Este parâmetro lista os processos em execução em sessões de logon
Figura 6.4: Executando LogonSessions para exibir as sessões de logon ativas no momento

Coletando arquivos abertos: comando net file

Colete informações sobre os arquivos abertos pelo invasor usando login remoto
ÿ Exibe detalhes de arquivos compartilhados abertos em um servidor, como nome, ID e o número de bloqueios de
cada arquivo, se houver. Ele também fecha arquivos compartilhados individualmente e remove bloqueios de arquivos.
comando de arquivo net
ÿ A sintaxe do comando net file:
net file [ID [/close]]
Coletando arquivos abertos: comando net file
Colete informações sobre os arquivos abertos pelo invasor usando o login remoto. O comando net file reflete os nomes
de todos os arquivos abertos no servidor e o número de bloqueios de arquivo em cada arquivo, se houver. Este
comando também pode fechar arquivos compartilhados individualmente e remover bloqueios de arquivos.
Quando usado sem parâmetros, a ferramenta listará os arquivos abertos e ajudará a controlar os arquivos
compartilhados em uma rede.
Sintaxe:
net file [ID [/close]]
Parâmetros:
ÿ ID: Este parâmetro especifica o número de identificação do arquivo
ÿ /close: Este parâmetro fecha um arquivo aberto e libera registros bloqueados
ÿ comando net help : Exibe ajuda para o comando net especificado
Figura 6.5: Executando o comando net file

Coletando arquivos abertos: usando NetworkOpenedFiles

ÿ NetworkOpenedFiles é um utilitário para sistema operacional Windows que lista todos os arquivos atualmente abertos no
sistema host por meio de login remoto
ÿ Exibe o nome do arquivo, computador e nome de usuário, informações de permissão (leitura/gravação/criação), bloqueios
contagem, tamanho do arquivo, atributos do arquivo, etc.
Coletando arquivos abertos: usando NetworkOpenedFiles
Investigadores forenses podem usar a ferramenta NetworkOpenedFiles para coletar informações sobre todos os
arquivos que foram abertos no sistema host por meio de login remoto.
ÿ NetworkOpenedFiles
Fonte: https:// www.nirsoft.net
NetworkOpenedFiles é uma ferramenta simples para Windows que exibe a lista de todos os arquivos que
foram abertos por outros computadores na rede.
Para cada arquivo aberto, as seguintes informações são exibidas: nome do arquivo, nome de usuário, nome
do computador (no Windows 7/2008 e posterior), informações sobre permissões (leitura/gravação/criação),
contagem de bloqueios, proprietário do arquivo, tamanho do arquivo, atributos do arquivo e mais.

Figura 6.6: Encontrar arquivos abertos usando NetworkOpenedFiles
Figura 6.7: Visualizando detalhes de um arquivo aberto

Coletando informações de rede
ÿ Intrusos após obter acesso a um sistema remoto, tentam

descobrir outros sistemas que estão disponíveis na rede
ÿ O cache da tabela de nomes NetBIOS mantém uma lista de

conexões feitas com outros sistemas usando NetBIOS
ÿ O nbtstat, utilitário de linha de comando embutido no Windows, pode

ser usado para visualizar o cache da tabela de nomes NetBIOS
ÿ A opção nbtstat -c mostra o conteúdo do

Cache de nome NetBIOS, que contém mapeamentos
nome-para-endereço IP NetBIOS
Sintaxe:
nbtstat [-a RemoteName] [-A endereço IP] [-c] [-n][-r] [-R] [-

RR] [-s] [-S] [intervalo]
Coletando informações de rede
Frequentemente, quando invasores obtêm acesso remoto a um sistema, eles tentam encontrar outros sistemas
conectados à rede e visíveis ao sistema comprometido. Para conseguir isso, os invasores criam e executam arquivos
em lote no sistema e lançam comandos net view via injeção SQL (usando um navegador para enviar comandos ao
sistema por meio dos servidores web e de banco de dados).
Quando os usuários estabelecem conexões com outros sistemas usando a rede NetBIOS, os sistemas mantêm uma
lista de outros sistemas visíveis. Ao visualizar o conteúdo da tabela de nomes em cache, o investigador pode determinar
os outros sistemas afetados na rede.
Um investigador deve coletar vários tipos de informações de rede para encontrar evidências do incidente suspeito. As
informações de rede úteis para investigação incluem o seguinte:
ÿ Conteúdo de dados, como informações de cabeçalho, texto, etc.
ÿ Informação da sessão relevante para a investigação
ÿ IDS/IPS, firewall, servidor e dados de log de aplicativos
ÿ Outras informações de rede, como transferências seguras de arquivos
ÿ Pacotes de rede
ÿ Resultados da varredura de portas

O cache da tabela de nomes NetBIOS mantém uma lista de conexões feitas com outros sistemas usando a rede
NetBIOS. Ele contém o nome do sistema remoto e o endereço IP. O utilitário de linha de comando nbtstat no
Windows mostra o cache da tabela de nomes NetBIOS.
ÿ nbtstat
nbtstat ajuda a solucionar problemas de resolução de nomes NetBIOS. Quando uma rede está funcionando
normalmente, NetBIOS sobre TCP/IP (NetBT) resolve nomes NetBIOS para endereços IP.
Sintaxe:
nbtstat [-a RemoteName] [-A endereço IP] [-c] [-n] [-r] [-R] [-RR] [-s] [-
S] [intervalo]
Parâmetros:
o -c: Mostra o conteúdo da tabela de cache de nome remoto NetBIOS, que contém
Mapeamentos de nome-para-endereço IP NetBIOS
o -n: Exibe os nomes que foram registrados localmente no sistema pelo NetBIOS
aplicativos como o servidor e o redirecionador
o -r: Exibe a contagem de todos os nomes NetBIOS resolvidos por transmissão e consultando um
Servidor Windows Internet Naming Service (WINS)
o -S: Lista as sessões NetBIOS atuais e seus status
o -a: Mostra detalhes da tabela de nomes de máquinas remotas NetBIOS
Figura 6.8: Executando o comando nbtstat com a opção -c

Figura 6.9: Executando o comando nbstat com a opção -a

Coletando informações sobre conexões de rede

ÿ A coleta de informações sobre as conexões de rede em execução de e para o sistema da vítima permite localizar
invasor conectado, comunicação IRCbot, worms fazendo login no servidor de comando e controle
ÿ Netstat com opção –ano exibe detalhes das conexões de rede TCP e UDP, incluindo portas de escuta e
os identificadores
Sintaxe:
netstat [-a] [-e] [-n] [-o] [-p <Protocolo>] [-r] [-s] [<Intervalo>]
Coletando informações sobre conexões de rede
O investigador deve coletar informações sobre conexões de rede de e para o sistema afetado imediatamente após o
relato de qualquer incidente, caso contrário, as informações podem expirar com o tempo.
Os investigadores devem analisar minuciosamente o sistema e determinar se o invasor se desconectou ou ainda

está acessando o sistema. Também é importante saber se o invasor instalou algum worm ou IRCbot para enviar os
dados para fora do sistema.
Os investigadores devem procurar imediatamente por outros sistemas infectados e colocá-los offline para evitar a
propagação de malware.
ÿ netstat
A ferramenta Netstat ajuda na coleta de informações sobre conexões de rede operativas em um sistema
Windows. Esta ferramenta CLI fornece uma visão simples das conexões TCP e UDP, seu estado e
estatísticas de tráfego de rede. Netstat.exe vem como uma ferramenta integrada com o sistema operacional Windows.
A maneira mais comum de executar o netstat é com a opção -ano . Essa opção informa ao programa para
exibir as conexões de rede TCP e UDP, as portas de escuta e os identificadores dos processos (PIDs).
Usar netstat com a opção -r exibirá a tabela de roteamento e mostrará se alguma rota persistente está
habilitada no sistema. Isso pode fornecer algumas informações úteis para um investigador ou simplesmente
para um administrador para solucionar problemas de um sistema.
Sintaxe:
netstat [-a] [-e] [-n] [-o] [-p <Protocolo>] [-r] [-s] [<Intervalo>]

Parâmetros:
o -a: Exibe todas as conexões TCP ativas, bem como as portas TCP e UDP nas quais o
computador está ouvindo
o -e: Exibe estatísticas Ethernet, como o número de bytes e pacotes enviados e

recebido. Este parâmetro pode ser combinado com -s.
o -n: Exibe conexões TCP ativas. No entanto, os endereços e números de porta são
expressa numericamente sem nomes especificados.
o -o: Exibe as conexões TCP ativas e inclui o ID do processo (PID) para cada conexão. Usando o PID, o
aplicativo pode ser encontrado na guia Processos no Gerenciador de Tarefas do Windows. Esse
parâmetro pode ser combinado com -a, -n e -p.
o -p Protocol: Mostra conexões para o protocolo especificado. Nesse caso, o protocolo pode ser TCP,
UDP, ICMP, IP, ICMPv6, IPv6, TCPv6 ou UDPv6. O uso desse parâmetro com -s exibirá estatísticas
baseadas em protocolo.
o -s: Exibe estatísticas por protocolo. Por padrão, ele mostrará as estatísticas dos protocolos TCP, UDP,
ICMP e IP. Caso o protocolo IPv6 esteja instalado, a ferramenta exibe estatísticas para os protocolos
TCP sobre IPv6, UDP sobre IPv6, ICMPv6 e IPv6. O uso do parâmetro -p pode especificar um conjunto
de protocolos.
o -r: Exibe o conteúdo da tabela de roteamento IP. Isso é equivalente à impressão de rota
comando.
o Intervalo: Reexibe as informações selecionadas após um intervalo de número definido de segundos.

Pressione CTRL+C para parar a reexibição. A omissão desse parâmetro permitirá que o netstat
imprima as informações selecionadas.
Figura 6.10: Executando o netstat com a opção -ano

Figura 6.11: Executando o netstat com a opção – r

Processo de informação
ÿ Investigue os processos em execução em um sistema potencialmente comprometido e colete as informações
Ferramentas e comandos usados para coletar

informações detalhadas do processo incluem:
ÿ Gerenciador de Tarefas exibe os

programas, processos e serviços que
estão sendo executados no computador
Informações do processo (continuação)
Lista de tarefas
Tasklist exibe uma lista de aplicativos e serviços com seus

ID do processo (PID) para todas as tarefas em execução em um computador local ou
remoto

Informações do processo (continuação)
ÿ PsList exibe informações elementares sobre todos os processos em execução em um sistema

PsList
ÿ -x switch mostra processos, informações de memória e threads
Processo de informação
Os investigadores devem coletar informações sobre todos os processos em execução no sistema. Eles podem usar o
Gerenciador de Tarefas para visualizar informações sobre cada processo. No entanto, o Gerenciador de Tarefas não exibe
todas as informações necessárias prontamente. Um Investigador pode recuperar todas as informações do processo procurando
os detalhes listados abaixo:
ÿ O caminho completo para a imagem executável (arquivo .exe)
ÿ A linha de comando usada para iniciar o processo, se houver
ÿ A quantidade de tempo que o processo está em execução
ÿ O contexto de segurança/usuário em que o processo está sendo executado
ÿ Os módulos que o processo carregou
ÿ O conteúdo da memória do processo

Figura 6.12: Visualizando o gerenciador de tarefas
Portanto, os investigadores devem aprender a adotar certas fontes ou ferramentas e comandos para coletar os
detalhes completos ou informações pertencentes a um processo. Algumas ferramentas e comandos importantes
usados para coletar informações detalhadas do processo estão listados abaixo:
ÿ Lista de Tarefas
Tasklist.exe é um utilitário nativo incluído no Windows XP Pro e versões posteriores como substituto do
tlist.exe. As diferenças entre as duas ferramentas são muito pequenas, principalmente relacionadas ao
nome e à implementação das opções. Ele fornece opções para formatação de saída, com opções entre os
formatos de tabela, CSV e lista. O investigador pode usar a opção /svc para listar as informações de serviço
para cada processo.
A ferramenta Tasklist exibe a lista de aplicativos e serviços junto com as IDs de processo (PID) para todas
as tarefas que estão sendo executadas em um computador conectado local ou remotamente.
Sintaxe:
lista de tarefas[.exe] [/s computador] [/u domínio\usuário [/p senha]] [/fo {TABLE|LIST|
CSV}] [/nh] [/fi FilterName [/fi FilterName2 [ ... ] ]] [/m [ModuleName] | /svc | /v]
Parâmetros:
o /s Computador: Especifica o nome ou endereço IP de um computador remoto (não use

barra invertida)

o /u Domínio \ Usuário: Executa o comando com as permissões de conta do usuário especificado por Usuário
ou Domínio\Usuário
o /p Senha: Especifica a senha da conta de usuário especificada no /u

parâmetro
o /fi FilterName: Especifica os tipos de processo(s) a serem incluídos ou excluídos do

consulta
o /m [ModuleName]: Mostra as informações do módulo para cada processo
o /svc: Lista todas as informações de serviço para cada processo sem truncamento
o /v: Especifica que as informações detalhadas da tarefa sejam exibidas na saída; não deve ser usado com o
parâmetro /svc ou /m
o /?: Exibe ajuda no prompt de comando
Observação: a opção /v (ou detalhada) fornece a maioria das informações sobre os processos listados, incluindo
o nome da imagem (mas não o caminho completo), PID, nome e número da sessão do processo, o status do
processo, o nome de usuário do contexto em que o processo é executado e o título da janela (se o processo tiver
uma GUI).
Figura 6.13: Executando o comando tasklist com o parâmetro /v
ÿ PsList
pslist.exe exibe informações básicas sobre os processos já em execução em um sistema, incluindo a quantidade
de tempo que cada processo está em execução (nos modos kernel e usuário).
Parâmetros:
o -d: Mostra detalhes do thread
o -m: Mostra detalhes da memória
o -x: Mostra processos, informações de memória e threads
o -t: Mostra a árvore do processo
o -s [n]: Executa no modo gerenciador de tarefas por segundos opcionais especificados

o -r n: taxa de atualização do modo gerenciador de tarefas em segundos (o padrão é 1)
o \\computador: Mostra informações para o sistema NT/Win2K conforme especificado
Adicione um nome de usuário com o parâmetro -u e uma senha com -p para fornecer o nome de usuário e a senha de
um sistema remoto para fazer login nele.
o -e: correspondência exata do nome do processo
o Pid: Em vez de listar todos os processos em execução no sistema, este parâmetro restringe
para baixo a varredura PsList para o PID especificado
Figura 6.14: Executando o pslist e examinando a saída obtida dele
Figura 6.15: Saída obtida ao executar pslist.exe com o parâmetro -x

Mapeamento de processo para porta
ÿ O mapeamento de processo para porta rastreia a porta usada por um processo e o protocolo conectado ao IP
ÿ Ferramentas e comandos para recuperar o mapeamento do processo para a porta:
Sintaxe:
netstat -a -n -o
Mapeamento de processo para porta
Quando há uma conexão de rede aberta em um sistema, alguns processos devem estar usando essa conexão, o que
significa que cada conexão de rede e porta aberta está associada a um
processo.
Existem várias ferramentas disponíveis, que o investigador pode usar para recuperar o mapeamento do processo para
a porta. O comando netstat , por exemplo, pode recuperar informações sobre o mapeamento do processo para a porta.
ÿ Comando netstat
Conforme discutido anteriormente, o netstat.exe oferece a opção -o, que pode exibir as IDs dos processos
responsáveis pelo estabelecimento de uma conexão de rede.
Depois que as informações são coletadas, elas precisam ser correlacionadas com a saída de uma ferramenta
como tlist.exe ou tasklist.exe para determinar o nome dos processos que usam essa conexão de rede
específica.
Sintaxe:
netstat -a -n -o

Figura 6.16: Executando o comando netstat com o parâmetro -o

Examinando a memória do processo
ÿ Os processos em execução podem ser suspeitos ou maliciosos

na natureza
ÿ O Process Explorer pode ser usado para verificar se o processo é

malicioso/suspeito
ÿ Process Explorer mostra informações sobre handles abertos ou

carregados e processos de DLLs
ÿ Se o processo for suspeito, ele reúne mais https:// docs.microsoft.com
informações despejando a memória usada pelo processo usando

ferramentas como ProcDump e Process
basculante
ÿ A ferramenta vem com suporte integrado ao VirusTotal para verificar

se o processo em execução é malicioso
Examinando a memória do processo
Os processos em execução podem ser suspeitos ou maliciosos por natureza. Os investigadores devem usar ferramentas como
o Process Explorer para verificar se o processo é malicioso/suspeito. A ferramenta vem com suporte integrado ao VirusTotal
para verificar se o processo em execução é malicioso.
Algumas das ferramentas que podem ajudar os investigadores a examinar os processos em execução são brevemente discutidas
abaixo.
ÿ Explorador de Processos
O Process Explorer mostra informações sobre os handles e DLLs dos processos que foram abertos ou carregados.
A exibição do Process Explorer consiste em duas subjanelas. A janela superior sempre mostra uma lista de processos
atualmente ativos, incluindo os nomes de suas próprias contas, enquanto as informações exibidas na janela inferior
dependem do modo do Process Explorer.
Se estiver no modo handle, são mostrados os handles que são abertos pelo processo selecionado na janela superior.
Se o Process Explorer estiver no modo DLL, as DLLs e os arquivos mapeados na memória carregados pelo processo
selecionado serão exibidos.

Figura 6.17: Examinando processos usando o Process Explorer
ÿ ProcDump
ProcDump é um utilitário de linha de comando. Seu objetivo principal é monitorar os aplicativos em busca
de picos de CPU e gerar despejos de memória durante um pico para que um administrador ou desenvolvedor
possa determinar a causa do pico. O ProcDump também inclui monitoramento de janela travada,
monitoramento de exceção não tratada e geração de despejos com base nos valores dos contadores de
desempenho do sistema.
ÿ Descarregador de Processo
Fonte: https:// github.com
Process Dumper despeja forense a memória de um processo em execução. É uma ferramenta de interface
de linha de comando que despeja todo o espaço do processo, usa metainformações para descrever os
diferentes mapeamentos e estados e salva o ambiente do processo.
Figura 6.18: Usando o Process Dumper para despejar a memória de um processo em execução

Coletando o status da rede

ÿ Coletar informações da interface de rede
placas (NICs) de um sistema para saber se o sistema
está conectado a um ponto de acesso sem fio e qual
endereço IP está sendo usado
ÿ As ferramentas para a detecção do status da rede são:
ÿ comando ipconfig
ÿ Ferramenta PromiscDetect
ÿ Ferramenta Promqry
ÿ Ipconfig.exe é um utilitário nativo do Windows

sistemas que exibem informações sobre NICs e seu
status
ÿ O comando Ipconfig /all exibe a configuração de rede

das NICs no sistema
Coletando o status da rede (continuação)
ÿ O PromiscDetect verifica se o(s) adaptador(es) de rede está(ão) sendo executado(s) em modo promíscuo, o que
pode ser um sinal de que um sniffer está rodando no computador
Coletando o status da rede
Os investigadores devem extrair informações sobre o status das placas de interface de rede (NICs) que
conectam um sistema à rede disponível. Atualmente, muitos laptops e desktops vêm com NICs sem fio
integradas, de modo que as informações sobre o tipo de conexão que um dispositivo está usando ou o
endereço IP que ele está usando permaneçam ocultas. Os investigadores devem coletar informações
sobre o status dos NICs antes de adquirir o sistema para ter uma melhor visão dos resultados da investigação.

ÿ Comando ipconfig
ipconfig.exe é um utilitário de linha de comando que os investigadores podem usar para obter
informações sobre NICs e a configuração TCP/IP atual. O Ipconfig também aceita vários
comandos DHCP (Dynamic Host Configuration Protocol), permitindo assim que um sistema
atualize ou libere sua configuração de rede TCP/IP.
Os investigadores devem usar o comando ipconfig /all para visualizar todos os valores de
configuração TCP/IP atuais, incluindo o endereço IP, máscara de sub-rede, gateway padrão e
configuração de WINS e DNS. As informações geradas por esse comando também incluem o
estado da NIC e do DHCP. A coleta dessas informações ajudará os investigadores a examinar
os logs de tráfego de rede e o endereço IP dos sistemas envolvidos em um incidente de segurança.
Figura 6.19: Executando o comando ipconfig /all
Os invasores instalam farejadores de tráfego de rede em sistemas comprometidos para capturar

informações de tráfego de rede, como credenciais de login ou para mapear os serviços que outros
sistemas conectados à rede estão executando. Os NICs podem capturar dados de tráfego de rede apenas
quando estão em modo promíscuo.

Um administrador ou investigador não poderá descobrir diretamente se o NIC está em modo promíscuo ou não, porque
os sistemas Windows não possuem nenhum botão ou ícone especial para indicar o modo NIC. Além disso, os sistemas
Windows não possuem nenhum ícone na bandeja ou configuração do Painel de controle que possa indicar diretamente
se alguém está detectando o tráfego da rede.
Portanto, os investigadores precisam usar ferramentas especiais para detectar esses incidentes e programas que podem
estar sendo executados em um sistema. Ferramentas como o PromiscDetect podem ajudar na análise do status da NIC
do sistema.
ÿ PromiscDetect
Fonte: https:// vidstromlabs.com
O PromiscDetect verifica se o(s) adaptador(es) de rede está(ão) sendo executado(s) em modo promíscuo, o que
pode ser um sinal de que há um sniffer em execução no computador.
Figura 6.20: Executando o comando promiscdetect

Coleta de informações não voláteis
1 Os dados não voláteis permanecem inalterados mesmo depois que o sistema é desligado ou desligado
2 Exemplo: e-mails, documentos de processamento de texto, planilhas e vários arquivos “excluídos”
3 Esses dados geralmente residem no disco rígido (arquivo de troca, espaço livre, espaço em disco não alocado, etc.)
4 Outras fontes de dados não voláteis incluem DVDs, pen drives USB , memória de smartphones, etc.
Coleta de informações não voláteis
Informações não voláteis podem ser adquiridas durante a aquisição de dados estáticos. As informações obtidas de
dados não voláteis podem ajudar o investigador a recuperar dados perdidos/excluídos, informações do navegador,
informações de dispositivos conectados, etc., que podem ser úteis durante a investigação forense.
Os dados não voláteis permanecem inalterados quando um sistema desliga ou perde energia. Alguns exemplos de
dados não voláteis incluem e-mails, documentos de processamento de texto, planilhas e vários arquivos “excluídos”.
O investigador pode decidir quais informações precisam ser extraídas do registro ou quais informações sobre (ou de)
arquivos devem ser coletadas para análise adicional.
Também existe a possibilidade de o invasor estar ativamente conectado ao sistema e acessando os dados. Nesses
casos, o investigador pode até decidir rastrear o invasor. É importante que o investigador mantenha certas informações
importantes intactas sem qualquer modificação ou exclusão. Depois que o usuário inicia o sistema, alguns dados
podem ser modificados, como unidades mapeadas de ou para o sistema, serviços iniciados ou aplicativos instalados.
Essas modificações podem não ser persistentes durante uma reinicialização e, portanto, o investigador deve registrá-
las e documentá-las.
Os dados não voláteis geralmente residem em discos rígidos; ele também existe em arquivos de troca, espaço livre e
espaço de unidade não alocado. Outras fontes de dados não voláteis incluem CD-ROMs, unidades de armazenamento
USB e smartphones.

Examinando sistemas de arquivos
ÿ Execute o comando dir /o:d no

prompt de comando
ÿ Isso permite ao investigador examinar:
ÿ A hora e a data do SO
instalação
ÿ Os service packs, patches e subdiretórios que

se atualizam automaticamente com
frequência.
Por exemplo: motoristas, etc.
ÿ Dê prioridade a arquivos com data recente
Examinando sistemas de arquivos
Ter uma compreensão completa do sistema de arquivos do Windows é fundamental para um investigador forense ao tentar acessar dados
do sistema de arquivos e reconstruir eventos do sistema de arquivos. Os sistemas de arquivos compreendem cinco seções, ou seja, dados
do sistema de arquivos, dados de conteúdo, metadados, nome do arquivo e dados do aplicativo do sistema de arquivos.
ÿ Dados do sistema de arquivos: Os dados do sistema de arquivos fornecem detalhes sobre a estrutura do sistema de arquivos,
como sistema de arquivos e tamanho do bloco do sistema de arquivos, número de blocos alocados, etc.
ÿ Dados de conteúdo: Esses dados contêm a maior parte das informações do sistema de arquivos. Consiste no conteúdo do sistema
de arquivos.
ÿ Metadados: Os metadados geralmente fornecem informações sobre locais de conteúdo, tamanho de arquivo,
e carimbos de data/hora MAC.
ÿ Dados do aplicativo: os dados do aplicativo fornecem informações sobre a cota de diário do sistema de arquivos
Estatisticas.
O exame dessas seções de um sistema de arquivos permite que o investigador colete uma variedade de dados que podem conter evidências
potenciais para resolver o caso. Um investigador deve executar o comando dir /o:d no prompt de comando. Isso permitirá que eles examinem
a hora e a data da instalação do sistema operacional, os service packs, patches e subdiretórios que se atualizam automaticamente com
frequência (por exemplo: drivers, etc.).

Figura 6.21: Executando o comando dir /o:d
Nota: Os investigadores devem dar prioridade aos arquivos com data recente.

Ficheiro de Base de Dados ESE
ÿ Extensible Storage Engine (ESE) é uma tecnologia de armazenamento de dados usada por vários softwares gerenciados pela Microsoft, como Active
Diretório, Windows Mail, Windows Search e Windows Update Client
ÿ Este arquivo de banco de dados também é conhecido como JET Blue
ÿ A extensão do arquivo de banco de dados ESE é .edb. A seguir estão os exemplos de arquivos de banco de dados ESE:
ÿ contacts.edb - Armazena informações de contatos em produtos Microsoft Live
ÿ WLCalendarStore.edb - Armazena informações de calendário no Microsoft Windows Live Mail
ÿ Mail.MSMessageStore - Armazena informações de mensagens no Microsoft Windows Live Mail
ÿ WebCacheV24.dat e WebCacheV01.dat - Armazena cache, histórico e informações de cookies no Internet Explorer 10
ÿ Mailbox Database.edb e Public Folder Database.edb - Armazena dados de correio no Microsoft Exchange Server
ÿ Windows.edb - Armazena informações de índice (para pesquisa do Windows) pelo sistema operacional Windows
ÿ DataStore.edb - Armazena informações de atualizações do Windows (Localizado em C:\windows\SoftwareDistribution\DataStore)
ÿ spartan.edb - Armazena os Favoritos do Internet Explorer 10/11. (Armazenado sob

%LOCALAPPDATA%\Packages\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\AC\MicrosoftEdge\User\Default\DataStore\Data\nous er1\120712-0049)
Ficheiro de Base de Dados ESE
Muitos aplicativos da Microsoft no sistema operacional Windows usam a tecnologia de armazenamento de dados conhecida
como Extensible Storage Engine (ESE). O ESE é usado por vários softwares gerenciados pela Microsoft, como Active Directory,
Windows Mail, Windows Search e Windows Update Client. Do ponto de vista forense, o banco de dados ESE é importante
porque armazena e gerencia os principais registros pertencentes a sistemas e usuários no sistema operacional Windows. O
ESE também é conhecido como JET Blue. Os arquivos de banco de dados ESE são indicados pela extensão .edb.
A seguir estão os exemplos de arquivos de banco de dados ESE:
ÿ contacts.edb: Armazena informações de contatos em produtos Microsoft Live
ÿ WLCalendarStore.edb: Armazena informações de calendário no Microsoft Windows Live Mail
ÿ Mail.MSMessageStore: Armazena informações de mensagens no Microsoft Windows Live Mail
ÿ WebCacheV24.dat e WebCacheV01.dat: Armazena cache, histórico e cookies

informações no Internet Explorer 10
ÿ Mailbox Database.edb e Public Folder Database.edb: Armazena dados de email no Microsoft
Servidor Exchange
ÿ Windows.edb: Armazena informações de índice (para pesquisa do Windows) pelo sistema operacional Windows
ÿ DataStore.edb: Armazena informações de atualizações do Windows (localizado em

C:\windows\SoftwareDistribution\DataStore)
ÿ spartan.edb: Armazena os Favoritos do Internet Explorer 10/11. (Armazenado em %LOCALAPPDATA%

\Packages\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\AC\Microsoft Edge\User\Default\DataStore\Data\nouser1\120712-0049)

Examinando arquivo .edb usando ESEDatabaseView
ÿ Os dados armazenados nos arquivos de banco de
dados ESE podem ser analisados por ferramentas como

ESEDatabaseView e ViewESE
ÿ Durante a investigação forense, os dados

extraídos desses arquivos .edb podem servir
como uma evidência potencial
ÿ ESEDatabaseView lista todas as tabelas e

registros encontrados nas tabelas selecionadas do
arquivo de banco de dados .edb
ÿ Os dados extraídos de
ESEDatabaseView pode ser exportado para um
arquivo HTML
Examinando arquivo .edb usando ESEDatabaseView
Investigadores forenses podem usar a ferramenta ESEDatabaseView para extrair evidências valiosas de arquivos .edb.
A ferramenta exibe os dados armazenados em arquivos .edb em um formato bem estruturado, fácil de ler e analisar.
ÿ ESEDatabaseView
ESEDatabaseView é um utilitário simples que lê e exibe os dados armazenados no banco de dados ESE. Ele
exibe uma lista de todas as tabelas disponíveis no arquivo de banco de dados aberto, permite escolher a
tabela desejada para visualizar e visualizar todos os registros encontrados na tabela selecionada.
ESEDatabaseView também permite escolher facilmente um ou mais registros e, em seguida, exportá-los para
um arquivo delimitado por vírgulas/delimitado por tabulações/html/xml ou copiar os registros para a área de
transferência (Ctrl+C) e colá-los no Excel ou em outra planilha aplicativo.

Figura 6.22: Examinando um arquivo .edb usando ESEDatabaseView

Análise do índice de pesquisa do Windows
ÿ O índice de pesquisa do Windows usa a tecnologia de
armazenamento de dados ESE para armazenar seus dados
ÿ Está armazenado em um arquivo chamado

Windows.edb, localizado no diretório:
C:
\ProgramData\Microsoft\Search\Data\Applications\Windows
ÿ Os investigadores forenses analisam esses arquivos

para extrair dados pertencentes a dados excluídos,
discos danificados, arquivos criptografados,
delimitação de eventos, etc., que podem ser uma boa
fonte de evidência para investigação
ÿ Na captura de tela fornecida, ESEDatabaseView é usado

para analisar o arquivo Windows.edb e extrair os
detalhes dos dados excluídos no sistema
Análise do índice de pesquisa do Windows
O sistema operacional Windows usa um banco de dados de índice chamado Windows Search Index, que permite a
indexação de arquivos e outros conteúdos e permite uma pesquisa mais rápida e precisa de dados no sistema. Ele
armazena informações indexadas para todo o conteúdo pesquisado pelos usuários. O índice de pesquisa do
Windows é armazenado no arquivo Windows.edb, localizado no seguinte diretório:
C:\ProgramData\Microsoft\Search\Data\Applications\Windows
Investigadores forenses podem extrair evidências valiosas referentes a dados excluídos, discos danificados, arquivos
criptografados, delimitação de eventos etc. do arquivo windows.edb. Para extrair evidências do arquivo Windows.edb
para sua investigação, os investigadores devem analisar os dados armazenados nesse arquivo.
Na captura de tela abaixo, ESEDatabaseView é usado para analisar o arquivo Windows.edb e extrair os detalhes
dos dados excluídos do sistema.

Figura 6.23: Analisando o arquivo Windows.edb usando ESEDatabaseView

Detecção de dispositivos conectados externamente ao sistema

ÿ Os invasores conectam mídia de armazenamento externo ao sistema e roubam dados confidenciais ou realizam atividades ilícitas
ÿ Como parte da investigação forense, identificar os dispositivos conectados ao sistema ajuda o investigador a determinar se
qualquer mídia externa é usada pelo suspeito
ÿ Mais tarde, o investigador pode obter a mídia externa específica do suspeito de maneira legal para análise posterior ÿ O utilitário,
DriveLetterView, lista todas as unidades no sistema, mesmo que não estejam conectadas no momento
Detecção de dispositivos conectados externamente ao sistema
Detectar os dispositivos conectados a um sistema é uma parte importante da investigação forense, pois ajuda os
investigadores forenses a determinar se alguma mídia externa foi usada pelo suspeito para cometer crimes cibernéticos.
Os investigadores podem usar a ferramenta DriveLetterView para listar todos os dispositivos/unidades no sistema, mesmo
que não estejam conectados no momento.
ÿ DriveLetterView
DriveLetterView é um utilitário simples que permite visualizar a lista de todas as atribuições de letra de unidade no
sistema, incluindo unidades locais, unidades de rede remotas, unidades de CD/DVD e unidades USB - mesmo que
não estejam conectadas no momento.
Ele também permite alterar facilmente uma letra de unidade de dispositivos USB e compartilhamentos de rede
remota, bem como excluir uma letra de unidade de dispositivo USB que não esteja conectado. Também é possível
usar o DriveLetterView para exportar a lista de todas as unidades para o arquivo text/csv/html/xml.

Figura 6.24: Usando o DriveLetterView para detectar uma mídia externa conectada a uma máquina
Figura 6.25: Usando o DriveLetterView para detectar uma mídia externa conectada a uma máquina

Espaço livre
Etapas na coleta de informações de espaço slack
ÿ Espaço livre refere-se às partes de um disco rígido Conecte-se ao computador de destino

e selecione a mídia
que podem conter dados de um arquivo excluído
anteriormente ou espaço não utilizado pelo arquivo
atualmente alocado
Crie uma cópia em nível de bit da mídia original

ÿ A alocação de arquivos não contíguos deixa mais
clusters à direita, deixando mais espaço livre
Verifique a cópia gerando seu valor de hash

ÿ O resíduo de dados no espaço slack é recuperado lendo
o cluster completo
Investigue usando pesquisas de palavras-chave,

ÿ A ferramenta DriveSpy coleta todo o espaço livre em um
análise de hash, análise de assinatura de arquivo e
partição inteira em um arquivo Enscripts presentes na ferramenta Encase
Espaço livre
Espaço livre, também chamado de espaço livre de arquivo, refere-se às partes de um disco rígido que podem conter
dados de um arquivo excluído anteriormente ou espaço não utilizado pelo arquivo alocado atualmente. É o espaço
gerado entre o final de um arquivo armazenado e o final do agrupamento de discos. Isso acontece quando o
tamanho do arquivo atualmente gravado é menor que o do arquivo gravado anteriormente no mesmo cluster. Nesses
casos, os dados residuais permanecem como estão e podem conter informações significativas quando examinados
forense. A alocação de arquivos não contíguos deixa mais clusters à direita, deixando mais espaço livre. O resíduo
de dados no espaço slack é recuperado lendo o cluster completo.
Pode ser possível usar espaço livre para armazenar dados que se deseja ocultar sem ter conhecimento do sistema
de arquivos subjacente. Para fazer isso, crie um arquivo menor que o espaço disponível e use o restante do espaço
para armazenar os dados ocultos. Esses dados serão invisíveis para o sistema de arquivos e permanecerão os
mesmos até serem alterados manualmente. No entanto, criar novos arquivos que resultam em espaço livre não é a
maneira mais segura de ocultar dados. A ferramenta DriveSpy coleta todo o espaço disponível em uma partição
inteira em um arquivo.

Figura 6.26: Etapas envolvidas na coleta de informações de espaço slack

Fluxo do módulo
Colete voláteis e
Execute a análise de memória e

2 registro do Windows
Examine o cache, o cookie e o

3 histórico registrado em
Navegadores da Web
Examinar arquivos e metadados

4 do Windows
Execute a análise de memória e registro do Windows

Na computação moderna, a RAM desempenha um papel importante no armazenamento de informações
voláteis. Traços de processos, threads, malware, arquivos abertos, conexões de rede, aplicativos ocultos,
chaves de criptografia etc. podem ser encontrados na RAM, tornando-a um componente crucial do ponto de
vista da coleta de evidências. Portanto, ter a capacidade de examinar esses dados é altamente vantajoso para a perícia.
Por outro lado, as chaves de registro do Windows registram todas as ações que um usuário executa na
máquina. Um exame desses registros pode ajudar os investigadores forenses a rastrear as ações do usuário
nos sistemas.
Esta seção discute como analisar a memória (RAM) em uma máquina Windows. Ele também apresenta uma
visão geral da análise forense do registro do Windows.

janelas
Memória
Análise
ÿ A análise de memória do Windows envolve a aquisição de memória física ou despejos de RAM do Windows
máquina
ÿ Examinar esses despejos de memória ajuda os investigadores a detectar rootkits ocultos, encontrar objetos ocultos,
determinar qualquer processo suspeito, etc.
Análise de memória do Windows
A análise de memória do Windows é parte integrante da análise forense e envolve a aquisição de memória
física ou despejos de RAM da máquina Windows. Examinar esses despejos de memória ajuda os
investigadores a detectar rootkits ocultos, encontrar objetos ocultos, determinar qualquer processo suspeito, etc.

Despejo de travamento do Windows

ÿ O arquivo de despejo de memória do Windows contém o conteúdo da memória
do computador no momento da falha
ÿ Auxilia no diagnóstico e identificação de bugs em um programa que levou ao travamento do

sistema
ÿ Você pode verificar as informações de despejo de memória usando DumpChk

Utilitário
ÿ No Windows 10, o sistema operacional cria os seguintes despejos de memória:
ÿ Despejo automático de memória
ÿ Despejo de memória completo
ÿ Despejo de memória do kernel
ÿ Pequeno despejo de memória
ÿ Examinar os despejos de travamento às vezes pode ajudar um investigador forense

a descobrir se o travamento foi causado por um erro interno ou por um invasor
remoto, que conseguiu explorar um bug no sistema operacional ou um aplicativo de
terceiros instalado no SO
Despejo de travamento do Windows
Despejo de memória ou despejo de memória é um espaço de armazenamento onde o sistema armazena um backup de
memória em caso de falha do sistema. O sistema também cria um despejo de memória quando não possui memória suficiente
para a operação do sistema. Os despejos de memória ajudam a diagnosticar e identificar bugs em um programa que levou à
falha do sistema. Inclui todas as informações sobre mensagens de parada, uma lista de drivers carregados e informações sobre
o processador que parou. As informações nos despejos de memória estão no formato binário, octal ou hexadecimal. Esse
backup permite que os usuários examinem a causa da falha do sistema e identifiquem quaisquer erros nos aplicativos ou no
sistema operacional. Nos sistemas Windows, é popularmente conhecido como tela azul da morte (BSOD). O dump principal
inclui o estado do sistema, localizações de memória, status de aplicativo ou programa, contadores de programa, etc. antes da
falha do sistema. O sistema precisa ser reinicializado para ficar acessível após o despejo de memória.
Essa memória também mantém um arquivo de log do sistema para referência futura.
No Windows 10, o sistema operacional cria os seguintes despejos de memória:
ÿ Despejo automático de memória
ÿ Despejo de memória completo
ÿ Despejo de memória do kernel
ÿ Pequeno despejo de memória
Examinar os despejos de memória às vezes pode ajudar um investigador forense a descobrir se a falha foi causada por um
erro interno ou por um invasor remoto, que conseguiu explorar um bug no sistema operacional ou um aplicativo de terceiros
instalado no sistema operacional . Os investigadores podem usar ferramentas como DumpChk para analisar o despejo de
memória nesses casos.

Figura 6.27: Selecionando Despejo de memória automático em Configurações de inicialização e recuperação
ÿ DumpChk
DumpChk (ferramenta verificadora de arquivo de despejo de memória da Microsoft) é um programa que

executa uma análise rápida de um arquivo de despejo de memória. Ele mostra informações resumidas sobre
o que o arquivo de despejo contém. Se o arquivo dump estiver corrompido de forma que não possa ser aberto
por um depurador, o DumpChk revelará o mesmo ao investigador.
Sintaxe:
DumpChk [-y SymbolPath] DumpFile

Parâmetros:
o -y SymbolPath: SymbolPath especifica onde DumpChk precisa procurar por símbolos
o DumpFile: DumpFile especifica o arquivo de despejo de memória a ser analisado

Coletando memória de processo

Colete o conteúdo da memória do processo disponível em um arquivo de despejo de RAM
Process Dumper (pd.exe) despeja todo o espaço do processo junto com os metadados
adicionais e o ambiente do processo no console; ele redireciona a saída para um arquivo
ou um soquete
Userdump.exe despeja qualquer processo sem anexar um depurador e sem

encerrar o processo após a conclusão do despejo
Outro método de despejar um processo é usar o script adplus.vbs
Uma vez concluído o processo de despejo, use as ferramentas de depuração para analisar os
arquivos de despejo
Coletando memória de processo
Durante uma investigação, o investigador geralmente está interessado apenas em processos específicos em
vez de uma lista de todos os processos e prefere reunir mais do que apenas o conteúdo da memória do
processo disponível no arquivo de despejo de RAM. Por exemplo, o investigador pode ter identificado
rapidamente processos de interesse que não exigiam nenhuma investigação adicional extensa. Existem
maneiras de coletar toda a memória usada por um processo - não apenas o que está presente na memória
física, mas também o que está na memória virtual ou no arquivo de paginação. A ferramenta Process Dumper
despeja todo o espaço do processo, juntamente com metadados adicionais e o ambiente do processo, no
console (STDOUT) para que a saída possa ser redirecionada para um arquivo ou soquete.
Userdump.exe permite descarregar qualquer processo, sem anexar um depurador e sem encerrar o processo
uma vez que o despejo tenha sido concluído. Além disso, o arquivo de despejo gerado pelo userdump.exe
pode ser lido pelas ferramentas de depuração do MS. No entanto, requer a instalação de seu driver específico.
Outro método de despejar um processo é usar o script adplus.vbs. Uma vez concluído o processo de despejo,
os investigadores podem usar ferramentas de depuração, como Handle.exe e ListDLLs.exe, para analisar os
arquivos de despejo.

Aquisição de memória de acesso aleatório (RAM)
Examinar a memória volátil é tão

01 importante quanto a memória não volátil
Do ponto de vista forense, examinando

Os dumps de RAM fornecem artefatos do sistema,
02 como serviços em execução, arquivos e mídia

acessados, processos do sistema, informações de
rede e atividade de malware
Durante a aquisição ao vivo, os investigadores

usam ferramentas como Belkasoft RAM
03 Capturer e AccessData FTK Imager para
executar dumps de RAM
Aquisição de memória de acesso aleatório (RAM)
Examinar a memória volátil é tão importante quanto a memória não volátil. Do ponto de vista forense, examinar
os despejos de RAM fornece artefatos do sistema, como serviços em execução, arquivos e mídia acessados,
processos do sistema, informações de rede e atividade de malware.
Durante a aquisição ao vivo, os investigadores usam ferramentas como Belkasoft RAM Capturer e AccessData
FTK Imager para realizar despejos de RAM.
Figura 6.28: Capturando RAM usando AccessData FTK Imager

Análise Forense de Memória: Análise de Malware Usando Redline
ÿ Redline é uma ferramenta de segurança para

identificar atividades maliciosas por meio da
memória e ajuda os investigadores forenses
a estabelecer a linha do tempo e o escopo
de um incidente
ÿ Analise o despejo de RAM usando

Redline carregando-o de 'Analisar
seção de dados
ÿ Na guia 'Analysis Data' , você pode

encontre todos os processos em execução no
sistema quando o despejo de RAM foi
adquirido
https:// www.fireeye.com

(continua)
Clique em 'Portas' em 'Processos'

guia, onde você pode encontrar
todas as conexões disponíveis quando o
Despejo de RAM foi adquirido
A partir da captura de tela,

observa-se que o Processo
'rundll32.exe', PID 1896 está fazendo
conexão com o endereço IP remoto
172.20.20.21 sobre a porta 4444,
que parece suspeita
Fonte: https:// www.fireeye.com
Investigadores forenses podem usar ferramentas como Redline para analisar a memória e detectar atividades maliciosas que
ocorreram em um sistema.
Essa ferramenta ajuda os investigadores a construir a linha do tempo e o escopo de um incidente de crime cibernético.
Módulo 06 Página 323 Digital Forensics Essentials Copyright © por EC-Council

Todos os direitos reservados. A reprodução é estritamente proibida.

Etapas envolvidas na execução da análise de malware usando o utilitário Redline:
ÿ Analise o despejo de RAM usando Redline carregando-o na seção 'Analyze Data'
ÿ Na guia 'Dados de análise', você pode encontrar todos os processos em execução no sistema quando o
despejo de RAM foi adquirido, conforme indicado na figura abaixo.
Figura 6.29: Identificando processo suspeito

ÿ Clique em 'Portas' na aba 'Processos' para que você possa encontrar todas as conexões disponíveis
quando o despejo de RAM foi adquirido
ÿ Pela figura abaixo, observa-se que o Processo 'rundll32.exe', com o PID 1896, está fazendo conexão
com Endereço IP Remoto 172.20.20.21 pela Porta 4444, o que parece suspeito
Figura 6.30: Usando Redline para análise de malware

Análise do Registro do Windows
O registro do Windows é um banco de dados hierárquico que contém

configurações de baixo nível para o sistema operacional Microsoft Windows
e para aplicativos que usam o registro
Investigar os dados presentes no registro ajuda os investigadores

forenses a obter informações sobre o software instalado e as
configurações do driver de hardware, rastrear atividades suspeitas do
usuário, etc.
Essas informações ajudam os investigadores a criar uma análise da linha

do tempo do incidente durante a investigação forense
Análise do Registro do Windows

O registro do Windows é um banco de dados hierárquico que contém configurações de baixo
nível para o sistema operacional Microsoft Windows e para aplicativos que usam o registro.
Investigar os dados presentes no registro ajuda os investigadores forenses a obter informações
sobre o software instalado e as configurações do driver de hardware, rastrear atividades
suspeitas do usuário, determinar informações dos dispositivos conectados etc.

Registro do Windows
ÿ Toda ação realizada pelo usuário na máquina é registrada no Registro do Windows; Por isso,
é uma boa fonte de evidência durante a investigação forense
ÿ Com relação à persistência de dados, as seções do Registro do Windows são divididas em:
Não volátil: Volátil:
HKEY_LOCAL_MACHIN HKEY_CLASSES_ROOT
HKEY_USERS HKEY_CURRENT_USER
HKEY_CURRENT_CONFIG
ÿ As colmeias voláteis são capturadas durante a análise ao vivo do sistema enquanto as colmeias não voláteis são
armazenado no disco rígido
Registro do Windows (continuação)

Hives no registro do Windows desempenham um papel crítico no funcionamento do sistema:
HKEY_USERS Ele contém todos os perfis de usuário carregados ativamente para esse sistema
Esta seção contém informações de configuração relacionadas aos

HKEY_CLASSES_ROOT
aplicativos usados para abrir vários arquivos no sistema
HKEY_CURRENT_CONFIG Esta seção contém o perfil de hardware que o sistema usa na inicialização
Esta seção contém uma vasta gama de informações de configuração para o sistema,
HKEY_LOCAL_MACHINE
incluindo configurações de hardware e configurações de software
HKEY_CURRENT_USER É o perfil de usuário ativo e carregado para o usuário conectado no momento
Registro do Windows
O registro do Windows serve como um banco de dados de todas as atividades que um usuário executa em um
sistema Windows e, portanto, serve como uma fonte valiosa de evidência em uma investigação forense. No registro,
os dados são armazenados em pastas em estruturas semelhantes a árvores, chamadas de colmeias.

As principais seções do registro são:
ÿ HKEY_CLASSES_ROOT
ÿ HKEY_CURRENT_USER
ÿ HKEY_CURRENT_CONFIG
ÿ HKEY_LOCAL_MACHINE
ÿ HKEY_USERS
Com relação à persistência de dados, as seções do Registro do Windows são divididas em dois tipos:
ÿ Não volátil: HKEY_LOCAL_MACHINE, HKEY_USERS
ÿ Volátil: HKEY_CLASSES_ROOT, HKEY_CURRENT_USER, HKEY_CURRENT_CONFIG
As colmeias voláteis são capturadas durante a análise ao vivo do sistema, enquanto as colmeias não voláteis são armazenadas
no disco rígido. As colmeias desempenham um papel fundamental no funcionamento do sistema.
As principais seções do registro estão listadas abaixo:
1. HKEY_USERS
HKEY_USERS, abreviado como HKU, contém informações sobre todos os perfis de usuário atualmente ativos no
computador. Cada chave de registro na seção HKEY_USERS está relacionada a um usuário no computador, cujo
nome é o identificador de segurança do usuário (SID). As chaves de registro e os valores de registro em cada SID
controlam as unidades mapeadas específicas do usuário, impressoras instaladas, variáveis ambientais e assim por
diante.
2. HKEY_CLASSES_ROOT
abreviado
HKEY_CLASSES_ROOT, de HKEY_LOCAL_MACHINE\Software.
como HKCR,
Ele é
contém informações a associação
de unge-mede extensão
de arquivo e dados de identificador programático (ProgID), ID de classe (CLSID) e ID de interface (IID). Essa seção
armazena as informações necessárias para garantir que o programa correto seja aberto quando o usuário abrir um
arquivo por meio do Windows Explorer. As informações de registro de classe e extensão de nome de arquivo
armazenadas em HKEY_CLASSES_ROOT são encontradas em HKEY_LOCAL_MACHINE e HKEY_CURRENT_USER.
3. HKEY_CURRENT_CONFIG
HKEY_CURRENT_CONFIG, abreviado como HKCC, armazena informações sobre o perfil de hardware atual do
sistema. As informações armazenadas nesta seção explicam as diferenças entre a configuração de hardware atual e
a configuração padrão.
O HKEY_CURRENT_CONFIG é simplesmente um ponteiro para a chave

de registro HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\CurrentControlSet\Hardware Profiles\Current,
que contém informações sobre a configuração de hardware padrão armazenada nas chaves Software e Sistema.

4. HKEY_LOCAL_MACHINE
HKEY_LOCAL_MACHINE, abreviado como HKLM, contém a maioria das informações de configuração

do software instalado (que também inclui o sistema operacional Windows) e informações sobre o estado
físico do computador (que inclui tipo de barramento, placas instaladas, tipo de memória, parâmetros de
controle de inicialização e dispositivo unidades).
5. HKEY_CURRENT_USER
HKEY_CURRENT_USER, abreviado como HKCU, contém as informações de configuração relacionadas

ao usuário conectado no momento. Esta seção controla as configurações de nível de usuário associadas
ao perfil do usuário, como papel de parede da área de trabalho, cores da tela, configurações de exibição,
etc.

Estrutura do Registro em um Arquivo Hive

ÿ Vários componentes do registro chamados “células” têm uma estrutura específica e contêm um tipo específico de
Informação
Tipos de células:
Célula da lista de Célula da lista Célula do

Célula-chave Célula de valor
subchaves de valores descritor de segurança
Contém Ele contém um É composto por É composto por Contém
Informações da valor e seus dados uma série de uma série de informações

chave do registro índices apontando índices apontando do descritor
e inclui para células-chave, para células de valor, de segurança para
compensações para outros todos eles são sub todos eles são uma célula-chave
células, bem como chaves para valores de um

o tempo LastWrite a célula chave pai célula de chave comum
para a chave
Estrutura do Registro em um Arquivo Hive
É essencial para um investigador forense ter uma boa compreensão dos componentes básicos do registro. Isso os ajudará a
obter informações extras por meio de pesquisas de palavras-chave de outros locais e fontes que incluem o arquivo de
paginação, memória física ou até mesmo espaços não alocados.
Ao obter mais informações sobre a estrutura do registro, o investigador forense pode entender melhor o que é possível e
como proceder. As células componentes do registro têm uma estrutura específica e contêm tipos específicos de informações.
Os diferentes tipos de células estão listados abaixo:
1. Célula de chave: contém informações de chave de registro e inclui deslocamentos para outras células, bem como
o tempo LastWrite para a chave.
2. Célula de valor: contém um valor e seus dados
3. Célula da lista de subchaves: É composta por uma série de índices que apontam para células-chave, todas elas são
subchaves da célula-chave pai
4. Célula lista de valores: É composta por uma série de índices que apontam para células de valores, todos eles
valores de uma célula-chave comum
5. Célula do descritor de segurança: Contém informações do descritor de segurança para uma célula-chave

Registro do Windows: Análise Forense

ÿ A análise forense do registro do Windows ajuda o investigador a extrair artefatos forenses , como contas de usuário,
arquivos acessados recentemente, atividade USB, últimos programas executados e aplicativos instalados
ÿ O investigador forense deve analisar o registro do Windows em dois métodos:
Análise Estática Análise ao vivo
ÿ O investigador examina os arquivos de registro ÿ O investigador pode usar

armazenados no arquivo de evidência capturado. editor de registro para examinar o registro e
Esses arquivos estão localizados na pasta C: também usar ferramentas como FTK Imager para
\Windows\System32\config . capturar arquivos de registro do sistema ativo
para análise
Registro do Windows: Análise Forense (continuação)

ÿ Para capturar arquivos de registro do Windows no
sistema Live usando o FTK Imager:
ÿ Abra o FTK Imager e navegue em Arquivo > Obter

Arquivos protegidos
ÿ Selecione, recuperação de senha e todos os arquivos de

registro (como mostrado na captura de tela) e forneça o
diretório de destino para extrair os arquivos
Subchaves de HKEY_LOCAL_MACHINE exportadas

Registro do Windows: Análise Forense (continuação)

Análise forense da subchave 'Software' usando o Hex Editor
ÿ As subchaves extraídas de HKEY_LOCAL_MACHINE contêm

as seguintes informações:
ÿ SAM (Security Account Manager): É um banco de dados de

segurança local e as subchaves no SAM contém configurações
de dados de usuários e grupos de trabalho
ÿ Segurança: Inclui banco de dados de segurança local no SAM
ÿ Software: Contém informações sobre os aplicativos de software e

suas definições de configuração no sistema
ÿ Sistema: Contém definições de configuração dos drivers de

hardware e serviços
ÿ Padrão: Inclui configurações padrão do usuário, mas

O arquivo NTUSER.dat pertencente ao usuário conectado no
momento substitui as configurações padrão do usuário
Observação: o investigador forense pode examinar esses arquivos de registro usando ferramentas como o Hex Workshop para extrair informações úteis
Registro do Windows: Análise Forense
A análise forense do registro do Windows ajuda o investigador a extrair artefatos forenses, como contas de usuário, arquivos
acessados recentemente, atividade USB, últimos programas executados e aplicativos instalados.
Os investigadores podem examinar o registro do Windows nos dois métodos a seguir:
ÿ Análise Estática: Neste método, os investigadores devem examinar os arquivos de registro contidos
no arquivo de evidência capturado.
Esses arquivos estão localizados na pasta C:\Windows\System32\config.
ÿ Análise ao vivo: neste método, os investigadores usam o editor de registro integrado para examinar o registro e
ferramentas como o FTK Imager para capturar arquivos de registro do sistema ativo para análise forense.
Para capturar arquivos de registro do Windows no sistema Live usando o FTK Imager:
ÿ Abra o FTK Imager e navegue em Arquivo>Obter arquivos protegidos
ÿ Selecione Recuperação de senha e todos os arquivos de registro (conforme mostrado na captura de tela abaixo) e
forneça o diretório de destino para extrair os arquivos

Figura 6.31: Capturando arquivos do Registro usando o FTK Imager
ÿ Os arquivos mostrados na figura abaixo são as subchaves de HKEY_LOCAL_MACHINE que possuem

foi exportado usando o FTK Imager de uma máquina suspeita ao vivo
Figura 6.32: Subchaves de HKEY_LOCAL_MACHINE exportadas usando o FTK Imager
As subchaves extraídas de HKEY_LOCAL_MACHINE contêm as seguintes informações:
ÿ SAM (Security Account Manager): Esta subchave armazena informações sobre usuários, contas de administrador,
contas de convidados, hashes criptográficos de cada senha de usuário, etc.
ÿ Segurança: Esta subchave armazena informações sobre a política de segurança do usuário atual

ÿ Software: Esta subchave contém informações sobre os aplicativos de software instalados e seus
definições de configuração no sistema
ÿ Sistema: Esta subchave armazena informações sobre as definições de configuração dos drivers de hardware
e serviços
ÿ Padrão: esta subchave armazena informações sobre as configurações padrão do usuário. No entanto, o arquivo
NTUSER.dat pertencente ao usuário conectado no momento substitui as configurações padrão do usuário.
Observação: os investigadores forenses também podem usar ferramentas como o Hex Workshop para recuperar artefatos
relacionados a crimes cibernéticos dos arquivos de registro capturados.
ÿ Oficina Hexa
Fonte: http:// www.hexworkshop.com
O Hex Workshop Hex Editor é um conjunto de ferramentas de desenvolvimento hexadecimal para Microsoft
Windows. Ele integra edição binária avançada e interpretação e visualização de dados com a facilidade e
flexibilidade de um processador de texto moderno.
Com o Hex Workshop, pode-se editar, cortar, copiar, colar, inserir, preencher e excluir dados binários.
Também é possível trabalhar com dados em sua estrutura nativa e tipos de dados usando o visualizador de
estrutura integrado do aplicativo e marcadores inteligentes.
Figura 6.33: Análise forense da subchave de software usando o Hex Editor

Fluxo do módulo
Colete voláteis e


Navegadores da Web

4 do Windows
Examine o cache, o cookie e o histórico registrado em navegadores da Web

Os navegadores da Web armazenam uma conta detalhada de todas as atividades do usuário realizadas
neles em caches, cookies e histórico do navegador. Ao analisar esses dados, os investigadores forenses
podem determinar as atividades online que foram realizadas no sistema, como sites visitados, arquivos
baixados, último site acessado, última hora de acesso a um determinado site, número de vezes que um
usuário visitou um site, etc. Tais dados podem ser de grande valor probatório em uma investigação forense.
Esta seção discute como examinar e analisar as informações registradas em caches, cookies e histórico
do navegador de diferentes navegadores da web.

Cache, Cookie e Histórico

Análise
O exame de navegadores da web, como Microsoft Edge, Google Chrome,

Mozilla Firefox, etc., fornece dados comprobatórios cruciais, como histórico
da web, cookies e informações de cache pertencentes à atividade de
navegação do usuário
Análise de cache, cookies e histórico
O exame de navegadores da web, como Microsoft Edge, Google Chrome, Mozilla Firefox, etc., fornece
dados comprobatórios cruciais, como histórico da web, cookies e informações de cache pertencentes à
atividade de navegação do usuário.

Análise de cache, cookies e histórico: Google Chrome

Google Chrome - Cache, cookies e histórico são
armazenados nos seguintes locais do sistema:
Localização do histórico e dos cookies:
C:\Usuários\{usuário}\AppData\Local\Google\
Chrome\Dados do usuário\Padrão
Localização da Cache:
C:\Usuários\{usuário}\AppData\Local\Google\
Chrome\Dados do usuário\Padrão\Cache
Análise de cache, cookies e histórico: Google Chrome

O Google Chrome registra informações sobre o histórico de navegação no sistema nos seguintes
locais:
ÿ Histórico, downloads e localização de cookies

C:\Users\{username}\AppData\Local\Google\Chrome\User Data\Default
ÿ Localização da cache
C:\Users\{username}\AppData\Local\Google\Chrome\User
Dados\Padrão\Cache

Figura 6.34: Histórico do Chrome, cookies e localização do cache

Ferramenta de análise: ChromeCacheView
1
ChromeCacheView é um pequeno
utilitário que lê a pasta de cache do Google
Chrome e exibe a lista de todos os arquivos
atualmente armazenados no cache
2
Ele exibe informações como
URL, tipo de conteúdo, tamanho do arquivo, último
Tempo de Acesso, Tempo de Expiração,
Nome do servidor e resposta do servidor
http:// www.nirsoft.net
Ferramenta de análise: ChromeCacheView

ÿ ChromeCacheView

ChromeCacheView é um pequeno utilitário que lê a pasta de cache do navegador Google
Chrome e exibe a lista de todos os arquivos atualmente armazenados no cache.
Para cada arquivo de cache, são exibidas as seguintes informações: URL, tipo de conteúdo, tamanho do arquivo,
hora do último acesso, hora de expiração, nome do servidor, resposta do servidor, etc.
Figura 6.35: Visualizando o cache do navegador Google Chrome

Ferramenta de análise:
ChromeCookiesView
ÿ ChromeCookiesView exibe a lista de todos

cookies armazenados pelo Google Chrome e permite
que os investigadores exportem os cookies para um
arquivo de texto/CSV/html/XML
ÿ Exibe informações como Nome do host,

Caminho, Nome, Valor, Seguro (Sim/Não), Somente HTTP
Cookie (Sim/Não), Hora do Último Acesso, Criação
Tempo e tempo de expiração para cada cookie
Ferramenta de análise: ChromeCookiesView

ÿ ChromeCookiesView

ChromeCookiesView exibe a lista de todos os cookies armazenados pelo navegador Google
Chrome. Ele também permite excluir cookies indesejados e exportar os cookies para o
arquivo text/csv/html/xml. Para cada cookie, as seguintes informações são exibidas: nome
do host, caminho, nome, valor, seguro (sim/não), cookie somente HTTP (sim/não), hora do
último acesso, hora da criação e hora da expiração.
Figura 6.36: Visualização de cookies do navegador Google Chrome

Ferramenta de análise: ChromeHistoryView
ÿ ChromeHistoryView lê o arquivo de
dados do histórico do Google
Chrome e exibe a lista de todas as páginas
da Web visitadas nos últimos dias
ÿ Exibe informações como

URL, título, data/hora da visita,
Número de visitas, número de vezes que o
usuário digitou este endereço
(contagem digitada), referenciador e visita
ID para cada página da web visitada
Ferramenta de análise: ChromeHistoryView
ÿ ChromeHistoryView
ChromeHistoryView é um pequeno utilitário que lê o arquivo de dados do histórico do navegador

Google Chrome e exibe a lista de todas as páginas da Web visitadas nos últimos dias. Para cada
página da Web visitada, são exibidas as seguintes informações: URL, título, data/hora da visita,
número de visitas, número de vezes que o usuário digitou este endereço (contagem digitada), referenciador e visita
EU IA.
Você pode selecionar um ou mais itens do histórico e exportá-los para um arquivo html/xml/csv/texto
ou copiar as informações para a área de transferência e colá-las no Excel.

Figura 6.37: Visualização do histórico do navegador Google Chrome

Análise de cache, cookies e histórico: Mozilla Firefox

Mozilla Firefox - Cache, cookies e histórico são armazenados nos seguintes locais do sistema:
Localização do cache: C:\Users\<Nome de usuário>\AppData\Local\Mozilla\Firefox\Profiles\XXXXXXXX.default\cache2
Localização dos cookies: C:\Users\<Nome de usuário>\AppData\Roaming\Mozilla\Firefox\Profiles\XXXXXXXX.default\cookies.sqlite
Localização do histórico: C:\Users\<Nome de usuário>\AppData\Roaming\Mozilla\Firefox\Profiles\XXXXXXXX.default\places.sqlite
Análise o MZCacheView o MZCookiesView o MZHistoryView

Ferramentas: http:// www.nirsoft.net https:// www.zimperium.com http:// www.nirsoft.net
Análise de cache, cookies e histórico: Mozilla Firefox

Mozilla Firefox - Cache, cookies e histórico são armazenados nos seguintes locais do sistema:
ÿ Localização do
cache: C:\Users\<Nome do usuário>\AppData\Local\Mozilla\Firefox\Profiles\XXXXXX
XX.default\cache2
ÿ Localização dos Cookies:
C:\Users\<Username>\AppData\Roaming\Mozilla\Firefox\Profiles\XXXX
XXXX.default\cookies.sqlite
ÿ Localização do
histórico: C:\Users\<Nome de usuário>\AppData\Roaming\Mozilla\Firefox\Profiles\XXXX
XXXX.default\places.sqlite
Ferramentas de análise:
ÿ MZCacheView (http:// www.nirsoft.net)
ÿ MZCookiesView (http:// www.nirsoft.net)
ÿ MZHistoryView (http:// www.nirsoft.net)

Análise de cache, cookies e histórico: Microsoft Edge

Microsoft Edge - Cache, cookies e histórico são
armazenados nos seguintes locais do sistema:
Cache
Localização:
C:\Users\Admin\AppData\Local\Microsoft\Windows\WebCache
Biscoitos C:\Users\Admin\AppData\Local\Packages\Microsoft.MicrosoftEdge_
Localização: xxxxxxxxxx\AC\MicrosoftEdge\Cookies
História
C:\Users\Admin\AppData\Local\Microsoft\Windows\History
Localização:
o IECacheView
o EdgeCookiesView
o BrowsingHistoryView
Análise de cache, cookies e histórico: Microsoft Edge
Microsoft Edge - Cache, cookies e histórico são armazenados nos seguintes locais do sistema:
ÿ Localização da Cache:
C:\Users\Admin\AppData\Local\Microsoft\Windows\WebCache
ÿ Localização dos Cookies:
C:\Users\Admin\AppData\Local\Packages\Microsoft.MicrosoftEdge_xxx
xxxxxxx\AC\MicrosoftEdge\Cookies
ÿ Histórico Localização:
C:\Users\Admin\AppData\Local\Microsoft\Windows\History
ÿ IECacheView (http:// www.nirsoft.net)
ÿ EdgeCookiesView (http:// www.nirsoft.net)
ÿ BrowsingHistoryView (http:// www.nirsoft.net)

Fluxo do módulo
Colete voláteis e


Navegadores da Web

4 do Windows
Examinar arquivos e metadados do Windows
Ao investigar um sistema Windows, os investigadores geralmente precisam detectar quaisquer alterações que os
invasores possam ter feito nos arquivos do aplicativo no sistema.
Para detectar essas mudanças, os investigadores precisam examinar o seguinte:
ÿ Diretórios de ponto de restauração: Esses diretórios armazenam informações relacionadas à instalação ou

remoção de arquivos de aplicativos e quaisquer alterações feitas neles.
ÿ Arquivos de pré-busca: examinar o diretório de pré-busca ajuda a determinar os aplicativos que foram
executados em um sistema.
ÿ Metadados: Os metadados associados a qualquer tipo de arquivo revelam diversas características e

detalhes mais finos relacionados à criação, acesso e modificação de arquivos.
ÿ Arquivos de imagem e dados EXIF: Examinar arquivos de imagem JPEG e os dados EXIF armazenados neles
ajuda a determinar os metadados associados a essas imagens JPEG.
Esta seção discute como examinar esses arquivos do Windows e os metadados associados.

Análise de arquivo do Windows
ÿ O exame forense de arquivos de log do ponto de restauração e arquivos de pré-busca fornecem informações
como registros de data e hora MAC, nome do arquivo, tamanho do arquivo, número de vezes que o
aplicativo foi executado, nome do processo, etc., relacionados aos aplicativos instalados/desinstalados
Análise de arquivo do Windows
O exame forense dos arquivos de log do ponto de restauração e dos arquivos de pré-busca fornecem informações como
carimbos de data/hora do MAC, nome do arquivo, tamanho do arquivo, número de vezes que o aplicativo foi executado, nome
do processo, etc., relacionadas aos aplicativos instalados/desinstalados.

Pontos de restauração do sistema (arquivos Rp.log)
Rp.log é o arquivo de log do ponto de restauração localizado no diretório do ponto

de restauração (RPxx)
Inclui valor indicando o tipo do ponto de restauração; um nome descritivo para o evento
de criação do ponto de restauração e o objeto FILETIME de 64 bits indicando quando o
ponto de restauração foi criado
Os pontos de restauração do sistema são criados quando aplicativos e drivers não

assinados são instalados, quando uma instalação de atualização automática e uma
operação de restauração são executadas
A descrição do evento que causou a criação do ponto de restauração é gravada no

arquivo rp.log, e esse arquivo de log ajuda o investigador a observar a data em que
o aplicativo foi instalado ou removido
Pontos de restauração do sistema (arquivos Rp.log)
Rp.log é o arquivo de log do ponto de restauração localizado no diretório do ponto de restauração (RPxx). Inclui
valor indicando o tipo do ponto de restauração; um nome descritivo para o evento de criação do ponto de
restauração e o objeto FILETIME de 64 bits indicando quando o ponto de restauração foi criado. A descrição do
ponto de restauração pode ser útil para obter informações sobre a instalação ou remoção de um aplicativo. Os
pontos de restauração do sistema são criados quando aplicativos e drivers não assinados são instalados, quando
uma instalação de atualização automática e uma operação de restauração são executadas. A descrição do evento
que causou a criação do ponto de restauração é gravada no arquivo rp.log, e esse arquivo de log ajuda o
investigador a observar a data em que o aplicativo foi instalado ou removido

Pontos de restauração do sistema (arquivos Change.log.x)
As alterações de arquivo são registradas nos arquivos change.log, que estão localizados
1 nos diretórios do ponto de restauração
As alterações nos arquivos monitorados são detectadas pelo driver do sistema de

2 arquivos do ponto de restauração, o nome do arquivo original é inserido no arquivo
change.log junto com o número de sequência, o tipo de alteração ocorrida, etc.
O arquivo monitorado é preservado e copiado para o diretório do ponto de restauração e
3 renomeado no formato Axxxxxxx.ext, onde x representa um número de sequência e .ext

é a extensão original do arquivo
O primeiro arquivo change.log é anexado com um número de sequência e um novo

4 arquivo change.log é criado quando o sistema é reiniciado
Pontos de restauração do sistema (arquivos Change.log.x)
Os principais arquivos do sistema e do aplicativo são monitorados continuamente para restaurar o sistema a um
estado específico. As alterações de arquivo são registradas nos arquivos change.log, que estão localizados nos
diretórios do ponto de restauração. As alterações nos arquivos monitorados são detectadas pelo driver do sistema
de arquivos do ponto de restauração, o nome do arquivo original é inserido no arquivo change.log junto com o
número de sequência, o tipo de alteração ocorrida, etc. O arquivo monitorado é preservado e copiado para o
diretório do ponto de restauração e renomeado no formato Axxxxxx.ext, onde x representa um número de
seqüência e .ext é a extensão original do arquivo. O primeiro arquivo change.log é anexado com um número de
sequência e um novo arquivo change.log é criado quando o sistema é reiniciado.

Pré-buscar arquivos
Quando um usuário instala um aplicativo, executa-o e o exclui, vestígios

desse aplicativo podem ser encontrados no diretório Prefetch
1
O valor DWORD no deslocamento 144 dentro do arquivo
corresponde ao número de vezes que o aplicativo é iniciado 2
O valor DWORD no deslocamento 120 dentro do arquivo corresponde à
última vez em que o aplicativo foi executado, esse valor é armazenado no
formato UTC
3
As informações do arquivo .pf podem ser correlacionadas com as
informações do registro ou do log de eventos para determinar quem estava
conectado ao sistema, quem estava executando quais aplicativos, etc.
4
Pré-buscar arquivos (continuação)

ÿ A pré-busca é usada pelo sistema operacional Windows para acelerar o processo de inicialização do
sistema e lançamentos de aplicativos ÿ Os dados são gravados por até 10 segundos após o início do processo
de aplicativo ÿ Depois que os dados são processados, eles são gravados em um arquivo .pf em o diretório
Windows\Prefetch ÿ O investigador forense deve identificar se o sistema da vítima habilitou o processo de pré-busca, antes de
realizar o exame
ÿ A pré-busca é controlada pela chave de registro:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet0
0x\Control\SessionManager\MemoryManag
ement\PrefetchParameters
ÿ Os dados associados ao valor de EnablePrefetcher informam qual

forma de pré-busca o sistema usa:
0: A pré-busca está desativada
1: A pré-busca do aplicativo está habilitada
2: A pré-busca de inicialização está habilitada
3: A pré-busca do aplicativo e da inicialização estão

habilitadas
Pré-buscar arquivos
Os arquivos de pré-busca armazenam informações sobre aplicativos que foram executados no sistema. Os arquivos
de pré-busca podem servir como uma fonte valiosa de evidências forenses para os investigadores porque, mesmo
que os aplicativos executados em um sistema sejam excluídos ou desinstalados posteriormente, os arquivos de pré-
busca pertencentes a esses aplicativos ainda residem na pasta de pré-busca em C:\Windows\ Prefetch .

O valor DWORD no deslocamento 144 dentro do arquivo corresponde ao número de vezes que o aplicativo é iniciado.
O valor DWORD no deslocamento 120 dentro do arquivo corresponde à última vez em que o aplicativo foi executado,
esse valor é armazenado no formato UTC. As informações do arquivo .pf podem ser correlacionadas com as informações
do registro ou do log de eventos para determinar quem estava conectado ao sistema, quem estava executando quais
aplicativos, etc.
Pré-busca
A pré-busca é usada pelo sistema operacional Windows para acelerar o processo de inicialização do sistema e o
lançamento de aplicativos. Os dados são registrados até os primeiros 10 segundos após o início do processo de inscrição.
Depois que os dados são processados, eles são gravados em um arquivo .pf no diretório Windows\Prefetch . O
investigador forense deve identificar se o sistema da vítima habilitou o processo de pré-busca, antes de realizar o
exame. A pré-busca é controlada pela chave do Registro:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet00x\Control\SessionManager\MemoryM anagement\PrefetchParameters.
Figura 6.38: Parâmetros de pré-busca
Os dados associados ao valor de EnablePrefetcher (destacado na figura acima) informam qual forma de pré-busca o
sistema utiliza:
0: A pré-busca está desativada
1: A pré-busca do aplicativo está habilitada
2: A pré-busca de inicialização está habilitada
3: A pré-busca do aplicativo e da inicialização estão habilitadas

Arquivos de imagem
Os metadados presentes em um arquivo de imagem JPEG dependem muito do aplicativo que o

criou ou modificou
Por exemplo, câmeras digitais incorporam informações de formato de arquivo de imagem intercambiável
(EXIF) em imagens, que podem incluir o modelo e o fabricante da câmera e até mesmo armazenar
miniaturas ou informações de áudio
Você pode usar ferramentas como Exiv2, IrfanView e o módulo Perl Image::MetaData::JPEG
para visualizar, recuperar e, em alguns casos, modificar os metadados incorporados em
arquivos de imagem JPEG
Ferramentas como ExifReader, EXIF Library e ExifTool exibem dados EXIF encontrados em
uma imagem JPEG
Arquivos de imagem
Os metadados presentes em um arquivo de imagem JPEG dependem muito do aplicativo que o criou ou modificou. Por exemplo, as
câmeras digitais incorporam informações EXIF (Exchangeable Image File Format) nas imagens, que podem incluir o modelo e o
fabricante da câmera e até mesmo armazenar miniaturas ou informações de áudio.
Você pode usar ferramentas como Exiv2, IrfanView e o módulo Perl Image::MetaData::JPEG para visualizar, recuperar e, em alguns
casos, modificar os metadados incorporados em arquivos de imagem JPEG. Ferramentas como ExifReader, EXIF Library e ExifTool
exibem dados EXIF encontrados em uma imagem JPEG.

Investigação de Metadados
ÿ Em computação forense, os metadados obtidos de bancos de dados, arquivos de imagem,

arquivos de texto, navegadores da web, etc., contêm dados probatórios de valor forense
ÿ Os metadados incluem nome do arquivo, tamanho do arquivo, carimbos de data/hora do MAC, dados do GPS, etc.
Investigação de Metadados
Na computação forense, os metadados obtidos dos bancos de dados, arquivos de imagem, arquivos de texto, navegadores
da web, etc., contêm dados probatórios de valor forense. Os metadados incluem nome do arquivo, tamanho do arquivo,
carimbos de data/hora MAC, dados de GPS, etc.

Noções básicas sobre metadados

ÿ Metadados são dados sobre dados. Descreve várias características
dos dados, incluindo quando e por quem foram criados, acessados
ou modificados
ÿ Como normalmente não é visto, os usuários podem compartilhar

inadvertidamente informações confidenciais ao enviar ou fornecer
arquivos em formato eletrônico
Exemplos de metadados:
ÿ Nome da organização ÿ Versões de documentos
ÿ Nome do autor ÿ Informações do modelo
ÿ Nome do computador ÿ Vistas personalizadas
ÿ Nome da rede ÿ Partes não visíveis de objetos
ÿ Texto ou células ocultas OLE incorporados
ÿ O investigador pode usar ferramentas como Metadata Assistant, Paraben

P2 Commander e Metashield Analyzer para analisar metadados
Noções básicas sobre metadados
Metadados são dados estruturados que fornecem informações sobre certas características dos dados eletrônicos, incluindo
a hora e a pessoa que criou, acessou e modificou os dados. Ele não pode ser visto sem o uso de aplicativos especiais, e
os usuários podem compartilhar inadvertidamente informações confidenciais ao enviar ou fornecer arquivos em formulários
eletrônicos.
Exemplos de metadados incluem o seguinte:
ÿ Nome da organização
ÿ Nome do autor
ÿ Nome do computador
ÿ Nome da rede
ÿ Texto ou células ocultas
ÿ Versões de documentos
ÿ Informações do modelo
ÿ Vistas personalizadas
ÿ Partes não visíveis de objetos incorporados Object Linking and Embedding (OLE)
É importante coletar esses dados, pois eles fornecem informações sobre o seguinte:
ÿ Dados ocultos sobre o documento
ÿ Quem tentou ocultar, excluir ou obscurecer os dados
ÿ Documentos correlacionados de diferentes fontes
O investigador pode usar ferramentas como Metadata Assistant, Paraben P2 Commander e Metashield Analyzer para
analisar metadados.

Metadados em diferentes sistemas de arquivos
ÿ Os metadados mais comumente conhecidos sobre arquivos em sistemas Windows são os tempos MAC dos
arquivos; MAC significa modificado, acessado e criado
ÿ As horas MAC são carimbos de hora que se referem à hora em que o arquivo foi
última modificação, último acesso e originalmente criado
ÿ Os tempos MAC são gerenciados pelo sistema operacional, dependendo do sistema de arquivos usado
ÿ No sistema de arquivos FAT, os horários são armazenados com base no horário local do computador
sistema
ÿ O sistema de arquivos NTFS armazena horários MAC no formato Tempo Universal Coordenado (UTC)
ÿ Investigue a forma como os timestamps são exibidos, com base em várias

ações de mover e copiar
Metadados em diferentes sistemas de arquivos (continuação)

Como os carimbos de data/hora são exibidos e alterados nos sistemas de arquivos FAT 16 e NTFS é mostrado abaixo
Sistema de arquivos FAT 16 Sistema de arquivos NTFS
ÿ Copie myfile.txt de C:\ para C:\subdir no mesmo sistema de arquivos ÿ Copie myfile.txt de C:\ para C:\subdir no mesmo sistema
(FAT 16) de arquivos (NTFS)
ÿ Myfile.txt mantém a mesma data de modificação, mas a criação
data é atualizada para a data e hora atuais ÿ Myfile.txt retém a mesma data de modificação, mas a data de
criação é atualizada para a data e hora atuais
ÿ Mova myfile.txt de C:\ para C:\subdir no mesmo sistema de arquivos
(FAT 16)
ÿ Mova myfile.txt de C:\ para C:\subdir no mesmo sistema
ÿ Myfile.txt mantém as mesmas datas de modificação e criação de arquivos (NTFS)
ÿ Copie myfile.txt de uma partição FAT16 para uma partição NTFS
ÿ Myfile.txt mantém as mesmas datas de modificação e criação
ÿ Myfile.txt retém a mesma data de modificação, mas a data de

criação é atualizada para a data e hora atuais
ÿ Mova meuarquivo.txt de uma partição FAT16 para uma partição NTFS
partição
ÿ Myfile.txt mantém as mesmas datas de modificação e criação
Metadados em diferentes sistemas de arquivos
Os metadados mais conhecidos sobre arquivos em sistemas Windows são os tempos de MAC do arquivo.
MAC significa modificado, acessado e criado. Os horários do MAC são carimbos de data/hora que se referem
ao horário em que o arquivo foi modificado pela última vez de alguma forma (os dados foram adicionados ao
arquivo ou removidos dele), o horário do último acesso (quando o arquivo foi aberto pela última vez), e quando
o arquivo foi originalmente criado.

No sistema de arquivos FAT, esses horários são registrados com base na hora local do sistema do computador,
enquanto o sistema de arquivos NTFS armazena horários MAC no formato Coordinated Universal Time (UTC), que é
análogo ao Greenwich Mean Time (GMT).
Outro aspecto dos horários MAC de arquivos e diretórios que interessam a um investigador é a maneira como os
carimbos de data e hora são exibidos, com base em várias ações de movimentação e cópia.
Sistema de arquivos FAT 16
ÿ Copie myfile.txt de C:\ para C:\subdir no mesmo sistema de arquivos (FAT 16)
o Myfile.txt retém a mesma data de modificação, mas a data de criação é atualizada para o
data e hora atuais
ÿ Mova myfile.txt de C:\ para C:\subdir no mesmo sistema de arquivos (FAT 16)
o Myfile.txt mantém as mesmas datas de modificação e criação
ÿ Copie myfile.txt de uma partição FAT16 para uma partição NTFS
data e hora atuais
ÿ Mover myfile.txt de uma partição FAT16 para uma partição NTFS
Sistema de arquivos NTFS
ÿ Copie myfile.txt de C:\ para C:\subdir no mesmo sistema de arquivos (NTFS)
data e hora atuais
ÿ Mova myfile.txt de C:\ para C:\subdir no mesmo sistema de arquivos (NTFS)

Metadados em arquivos PDF

ÿ Arquivos de formato de documento portátil (PDF) também podem conter metadados , como nome do
autor, a data em que o arquivo foi criado e o aplicativo usado para criar o arquivo PDF
ÿ Frequentemente, os metadados podem mostrar que o arquivo PDF foi criado em um Mac ou que o arquivo PDF foi
criado pela conversão de um documento do Word para o formato PDF
ÿ Você pode usar os scripts Perl pdfmeta.pl e pdfdmp.pl para extrair metadados de arquivos PDF
ÿ Para visualizar PDF
metadados, abra-o com

o Adobe
Acrobat Reader
ÿ
No menu Arquivo ,
clique em Propriedades…
Metadados em arquivos PDF
Os arquivos Portable Document Format (PDF) podem conter metadados, como o nome do autor, a data em que
o arquivo foi criado e o aplicativo usado para criá-lo. Os metadados mostram que o arquivo PDF foi criado no
MacOS ou foi criado convertendo um documento do Word para o formato PDF. Os scripts pdfmeta.pl e pdfdmp.pl
podem ser usados para extrair metadados de arquivos PDF.
Outra maneira de recuperar metadados é abrir o arquivo no Adobe Reader e clicar em Arquivo ÿ Propriedades.
A guia Descrição da caixa de diálogo Propriedades contém todos os metadados disponíveis.

Figura 6.39: Janela Propriedades do Documento

Metadados em documentos do Word
ÿ Documentos do Word são documentos compostos, baseados em Object Linking e

Tecnologia de incorporação (OLE) que define a estrutura do arquivo
ÿ Os documentos do Word podem manter não apenas revisões

anteriores , mas também uma lista de até os últimos 10
autores para editar o arquivo
ÿ Você pode usar os scripts Perl wmd.pl e

oledmp.pl para listar os fluxos OLE incorporados
em um documento do Word
ÿ Para visualizar os metadados no Word 2010, clique no

Guia Arquivo ÿ opção Informações
ÿ Clique em Verificar problemas ÿ Inspecionar documento
ÿ Selecione o conteúdo para visualizar e clique no botão
botão inspecionar
Metadados em documentos do Word
Documentos do Word são documentos compostos, baseados na tecnologia OLE que define uma “estrutura de arquivo
dentro de um arquivo”. Além das informações de formatação, os documentos do Word podem conter muitas informações
adicionais que não são visíveis para o usuário, dependendo da visão do usuário do documento.
Os documentos do Word podem manter não apenas as revisões anteriores, mas também uma lista dos últimos 10
autores que editaram um arquivo. Isso representa um risco de divulgação de informações para indivíduos e organizações.
Os scripts Perl wmd.pl e oledmp.pl são usados para listar os fluxos OLE e as lixeiras incorporadas em um documento
do Word.
Os metadados no MSWord 2010 podem ser visualizados seguindo as etapas mencionadas abaixo:
ÿ Clique na guia Arquivo ÿ opção Informações
ÿ Clique em Verificar problemas ÿ Inspecionar documento
ÿ Selecione o conteúdo para visualizar e clique no botão Inspecionar

Figura 6.40: Examinando metadados em documentos do Word
Figura 6.41: Examinando metadados em documentos do Word

Ferramenta de análise de metadados: Metashield Analyzer
ÿ O Metashield Analyzer é um serviço online

que permite aos investigadores analisar os
metadados contidos nos arquivos
https:// www.elevenpaths.com
Ferramenta de análise de metadados: Metashield Analyzer
Fonte: https:// www.elevenpaths.com
Metashield Analyzer é uma ferramenta online para analisar os metadados contidos em um arquivo. Esta
ferramenta revela os detalhes como data de criação e modificação, usuários encontrados e o nome do aplicativo
em que trabalharam, número de vezes editado e os caminhos encontrados. Um arquivo pode ser analisado
usando o seguinte procedimento:
ÿ Clique em Selecionar arquivo para selecionar o arquivo necessário
ÿ Clique em Analisar e aceite os termos e condições no pop-up
ÿ Clique em Analisar para visualizar a saída ou os metadados do arquivo

Figura 6.42: Analisador Metashield

Resumo do módulo
Este módulo discutiu a coleta de informações voláteis e não voláteis
1
Também discutiu a análise da memória do Windows e

2 Registro
Além disso, explicou em detalhes o processo de examinar o cache, o

3 cookie e o histórico registrado nos navegadores da web
Por fim, este módulo terminou com uma discussão detalhada sobre
4 como examinar arquivos e metadados do Windows
No próximo módulo, discutiremos detalhadamente a análise

5 forense de Linux e Mac
Resumo do módulo
Este módulo discutiu a coleta de informações voláteis e não voláteis. Também discutiu
a análise da memória e do Registro do Windows. Além disso, explicou em detalhes o processo de examinar o cache, o
cookie e o histórico registrado nos navegadores da web. Por fim, este módulo terminou com uma discussão detalhada
sobre o exame de arquivos e metadados do Windows.
No próximo módulo, discutiremos detalhadamente a análise forense do Linux e do Mac.

MODULE 06 - Windows Forensics

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

MODULE 06 - Windows Forensics

Enviado por

Direitos autorais:

Formatos disponíveis

Machine Translated by Google

Fundamentos de Perícia Forense Digital Exame 112-53

Compreendendo a coleção de voláteis e

Compreendendo a memória e o registro do Windows

Compreendendo como examinar o cache, o cookie e

Compreendendo como examinar arquivos e

Copyright © por EC-Council. Todos os direitos reservados. A reprodução é estritamente proibida.

Ao final deste módulo, você será capaz de:

ÿ Coletar informações voláteis e não voláteis

ÿ Realizar análise de memória e registro do Windows

ÿ Examine o cache, o cookie e o histórico registrado nos navegadores da web

ÿ Examinar arquivos e metadados do Windows

Fundamentos de Perícia Forense Digital Exame 112-53

Execute a análise de memória

Examine o cache, o cookie

Examine os arquivos do Windows

Copyright © por EC-Council. Todos os direitos reservados. A reprodução é estritamente proibida.

Colete informações voláteis e não voláteis

Fundamentos de Perícia Forense Digital Exame 112-53

Introdução à análise forense do sistema operacional

Windows, Mac e Linux são os três sistemas operacionais (SOs) mais

Realizar análise forense do sistema operacional para descobrir as evidências

Para realizar um exame forense digital bem-sucedido no Windows, Mac e

Copyright © por EC-Council. Todos os direitos reservados. A reprodução é estritamente proibida.

Introdução à análise forense do sistema operacional

Fundamentos de Perícia Forense Digital Exame 112-53

Coletando informações voláteis

ÿ Dados voláteis residem em registradores, cache e RAM

Informações voláteis incluem:

ÿ Hora do sistema ÿ Mapeamento do processo à porta

ÿ Utilizador(es) com sessão iniciada ÿ Memória de processo

ÿ Informações de rede ÿ Drives mapeados

ÿ Abrir arquivos ÿ Ações

ÿ Conexões de rede ÿ Conteúdo da área de transferência

ÿ Estado da rede ÿ Informações de serviço/condutor

ÿ Informação do processo ÿ Histórico de comandos

Copyright © por EC-Council. Todos os direitos reservados. A reprodução é estritamente proibida.

Coletando informações voláteis

Fundamentos de Perícia Forense Digital Exame 112-53

Coletando Tempo do Sistema

ÿ Ajuda a recriar a linha do tempo precisa dos eventos que ocorreram no

Coletando Tempo do Sistema

Fundamentos de Perícia Forense Digital Exame 112-53

data /t & hora /t

Figura 6.1: Executando o comando date /t & time /t

Fundamentos de Perícia Forense Digital Exame 112-53

Coletando usuários conectados

PsLoggedOn é um applet que exibe os

Copyright © por EC-Council. Todos os direitos reservados. A reprodução é estritamente proibida.

Coletando usuários conectados (continuação)

ÿ o comando net session exibe o computador e os nomes de usuários em um servidor,

Copyright © por EC-Council. Todos os direitos reservados. A reprodução é estritamente proibida.

Fundamentos de Perícia Forense Digital Exame 112-53

Coletando usuários conectados (continuação)

ÿ Lista as sessões de logon atualmente ativas e, se a

-c, imprime a saída como CSV

-ct, Imprime a saída como valores delimitados por tabulações

-p, lista os processos em execução na sessão de logon

Copyright © por EC-Council. Todos os direitos reservados. A reprodução é estritamente proibida.

Coletando usuários conectados

Fonte: https:// docs.microsoft.com

psloggedon [- ] [-l] [-x] [\\nomedocomputador | nome de usuário]

Fundamentos de Perícia Forense Digital Exame 112-53

o \\nome do computador: Este parâmetro especifica o nome do computador para o qual