Escolar Documentos
Profissional Documentos
Cultura Documentos
• Apresentação;
• É familiarizado com o MITRE ATT&CK e termos como IOC, Hash, imagens de disco e
memória?
• Estudo de caso: apresentação de uma resposta a incidente para um caso real, como foi
analisado e seus resultados;
• Avaliação da disciplina:
Material de uso exclusivo pelos alunos do curso de Residência em Segurança da Informação da UFC
Copyright 2023, Renato Marinho
renatomarinho@gmail.com
Direitos autorais reservados. Proibida a reprodução, ainda que parcial, sem autorização prévia (Lei 9.610/98)
Direitos autorais reservados. Proibida a reprodução, ainda que parcial, sem autorização prévia (Lei 9.610/98)
Material de uso exclusivo pelos alunos do curso de Residência em Segurança da Informação da UFC
Dinâmica do Curso
• Ao longo das aulas, resolveremos um caso fictício de um incidente provocado por um código malicioso na
Empresa X. A situação é a seguinte:
• A Empresa X está tratando um incidente com malware na unidade de Fortaleza e, apesar dos
esforços da equipe de TI, não tem obtido sucesso. O malware parece ter a capacidade de se
movimentar lateralmente na rede pois algumas máquinas que já haviam sido formatadas e limpas
voltaram a ser infectadas;
• A situação vem causando fortes impactos e a organização resolveu nos contratar para a realização
de uma análise forense de um dos computadores impactados. O objetivo de obter informações que a
levem a responder ao incidente de forma apropriada.
• O código malicioso tem capacidade de movimentação lateral? Se sim, qual técnica está sendo utilizada?
• Quais indicadores de comprometimento (IOCs) podem ser utilizados para buscar por outros hosts eventualmente
infectados na rede? Incluir endereços IP, hashes de arquivos, etc;
• Memória RAM: análise de processos, extração de processos para arquivos (dump), análise de conexões de rede,
comandos executados, etc;
• Imagens Forense: criação de imagens forense, indexação de arquivos, criação de timelines com base no Master
File Table (MFT), criação de Super Timelines, indexação do conteúdo da imagem, montagem e conversão de
arquivos de imagem, etc.
• Sistema Operacional Windows: busca por eventos relevantes (segurança, sistema, etc), listagem de comandos
executados, tratamento de shadow copies, artefatos relevantes para evidencia de comportamentos maliciosos,
13
Material de uso exclusivo pelos alunos do curso de Residência em Segurança da Informação da UFC
Copyright 2023, Renato Marinho
renatomarinho@gmail.com
Direitos autorais reservados. Proibida a reprodução, ainda que parcial, sem autorização prévia (Lei 9.610/98)
Direitos autorais reservados. Proibida a reprodução, ainda que parcial, sem autorização prévia (Lei 9.610/98)
Material de uso exclusivo pelos alunos do curso de Residência em Segurança da Informação da UFC
Estudos de Caso – Questões
“Incident is the violation or threat of violation of computer security policies, acceptable use policies, or
standard security pactices”
A definição de incidente dos autores do livro “INCIDENT RESPONSE, Computer & Forensics” é:
“Incident is any unlawful, unauthorized, or unaccepteable action that involves a computer system or computer
network”
Incidente é qualquer ação ilegal, não autorizada ou inaceitável que envolva um sistema de
computador ou rede de computadores.
“Incident is any unlawful, unauthorized, or unaccepteable action that involves a computer system, cell phone, tablet,
and any other eletronic device with an operating system or that operates on a computer network”
Incidente é qualquer ação ilegal, não autorizada ou inaceitável que envolva um sistema de
computador, telefone celular, tablet e qualquer outro dispositivo eletrônico com sistema
operacional ou que opere em uma rede de computadores.
Copyright 2023, Renato Marinho
Digital Forensics and Incident Response 17 renatomarinho@gmail.com
Direitos autorais reservados. Proibida a reprodução, ainda que parcial, sem autorização prévia (Lei 9.610/98)
Material de uso exclusivo pelos alunos do curso de Residência em Segurança da Informação da UFC
Introdução
Exemplos comuns de incidentes:
Lições Aprendidas
Identificação e
e Consumo de
Escopo
Threat Intel
Processo de
Resposta a
Incidentes Recuperação
Contenção e
Desenvolvimento
de Inteligência
Erradicação e
Remediação
• Exercícios frequentes de tabletop e war games com cenários de incidentes tendem dar insumos para
a organização perceba as fragilidades nos seus processos de resposta a incidentes e os melhorem;
• O objetivo do plano de resposta a incidentes é garantir que a organização esteja preparada para
detectar, investigar e corrigir rapidamente qualquer incidente, minimizando seus impactos e
restaurando a operação normal o mais rapidamente possível;
• O plano de resposta a incidentes também pode incluir procedimentos para notificar autoridades
relevantes, parceiros de negócios e outros stakeholders, bem como para fornecer informações
públicas sobre o incidente.
• Processos de detecção: Como os incidentes serão detectados e relatados? Quais são os procedimentos para
coletar evidências e informações sobre o incidente?
• Análise e classificação: Como os incidentes serão analisados e classificados em termos de sua gravidade e
impacto?
• Processos de resposta: Quais são os procedimentos para gerenciar e resolver incidentes, incluindo a notificação
de funcionários relevantes, a comunicação com stakeholders internos e externos e a recuperação de sistemas e
dados afetados pelo incidente?
• Processos de recuperação: Quais são os procedimentos para restaurar os sistemas e dados afetados pelo
incidente e retomar as operações normais?
• Comunicação: Quais são os procedimentos para comunicar incidentes aos stakeholders internos e
externos, incluindo funcionários, clientes, parceiros de negócios e órgãos reguladores?
Referências:
Computer Security Incident Handling Guide - NIST SPP 800-61 Rev. 2
Ransomware Risk Management: A Cybersecurity Framework Profile - NISTIR 8374
• Ideal que a detecção seja feita pelo próprio time de operação de segurança e não por terceiros;
• Um erro comum nesta etapa é querer partir para a contenção sem o entendimento da extensão do
incidente;
• Nesta etapa, devem ser identificados o máximo possível dos sistemas comprometidos;
• Se descobrirá, por exemplo, qual vulnerabilidade foi explorada, qual malware foi utilizado, como o
atacante está se movimentando lateralmente;
• Estas descobertas devem ser seguidas de medidas de contenção para evitar que a ameaça
continue avançando;
• Ações que devem ser tomadas para remover a ameaça do ambiente evitar que ela volte;
• Ex:
• Correção de vulnerabilidade;
• Ex:
• Recuperação de backups;
• Este é um momento muito importante e que nem sempre é feito na prática. Aqui, é importante
avaliar o que permitiu que o incidente acontecesse e:
• Entendimento do cenário: devemos buscar um entendimento claro e objetivo do incidente. Aqui, cabem perguntas tais como:
• Como o incidente foi identificado?
• Quando (data e hora) o incidente foi identificado?
• Quais evidências levaram ao entendimento de que os eventos resultaram no incidente? Temos data e hora da ocorrência
destes eventos?
• Quais impactos foram identificados até o momento?
• Identificação de ações já tomadas: antes do acionamento da equipe de resposta ao incidente, outras ações já podem ter sido
tomadas e precisam ser identificadas. As perguntas a seguir podem ajudar a entender o que já foi feito:
• Quais ações foram realizadas desde a identificação do incidente?
• Alguma ação foi realizada em sistemas computacionais? Se sim, quais ações foram realizadas e quando?
• Alguma ação de contenção foi realizada? Ex: bloqueio de endereços IP, bloqueio de códigos maliciosos, mudança de regras ou
controles de segurança, desligamento de ativos, etc.
• Identificação de potenciais fontes de dados: com base no entendimento do cenário do incidente, é comum que algumas
fontes de dados sejam identificadas de imediato. No entanto, fontes menos claras podem ser descobertas nesta fase inicial e
também devem ser consideradas na preservação e coleta. Algumas perguntas podem ajudar a identificar fontes adicionais:
• Há um repositório de registros de logs no ambiente que possa conter eventos a respeito do incidente? Um SIEM, por
exemplo, pode conter logs cruciais a análise do caso;
• O alvo do incidente estava protegido por algum controle de segurança? Este controle pode conter registros de logs? Por
exemplo, um site web pode estar protegido por um Web Application Firewall (WAF) que pode conter logs importantes
para o entendimento do caso;
• Há um diagrama com detalhes da infraestrutura afetada? A análise dos segmentos de rede, dos recursos de autenticação
centralizada, presença de sistemas em nuvem, etc podem ajudar a identificar novas fontes importantes;
• Levantamento de questões: é primordial que sejam estabelecidas as questões a serem respondidas pelo trabalho de resposta.
As questões guiarão todo o trabalho, desde a coleta ao relatório final. A lista de questões não precisa estar completa no
momento inicial, uma vez que descobertas durante a análise podem levara à novas questões. No entanto, o estabelecimento de
questões iniciais ajudarão inclusive a um alinhamento de expectativas sobre os resultados do trabalho. Ex: em um incidente com
ransomware, se a expectativa inicial for a decodificação dos arquivos, é possível que o trabalho nem seja iniciado caso não seja
viável tecnicamente a decodificação.
Uma vez identificadas as fontes de dados, é preciso preservá-las e coletá-las para análise. Neste momento, algumas
questões devem ser levadas em conta:
• Preservação e coleta de dados voláteis: o estado do sistema afetado vai mudando com o tempo.
Quanto antes a preservação for feita, melhor. Por exemplo, a memória do sistema pode ser perdida,
registros de log podem ser rotacionados e sobrescritos rapidamente, etc. Portanto, priorize a preservação
começando pela coleta de dados mais voláteis:
• Coleta de memória RAM (quando o ativo ainda está ligado);
• Criação de snapshots de máquinas virtuais (disco e memória);
• Coleta de registros de log em plataformas de nuvem que podem ser perdidos ao longo do tempo;
• Coleta de dados menos voláteis: na sequencia, realize a coleta de dados menos voláteis, tais como os
contidos em discos (HDs, SSDs) e outros dispositivos de armazenamento;
• Garantia de integridade: é crucial que o processo de coleta seja realizado com ferramentas
apropriadas e gere a garantia de integridade da cópia realizada. As coletas de dados armazenados em mídias
devem gerar um hash da cópia que deve ser o mesmo do conteúdo original, que deve ser preservado. Para
casos que devam ir a justiça, a comprovação da integridade deve ser feita por meio de ata notarial. O serviço
de criação de ata notarial é fornecido por cartórios. Um tabelião acompanhará e descreverá todo o processo
de coleta e emitirá a ata ao final dando fé pública. O mesmo procedimento de ata notarial pode ocorrer para
coleta de outros tipos de evidências, como, por exemplo, o conteúdo postado em um endereço na internet;
• Triagem: dependendo do caso, pode não ser possível aguardar toda a coleta para dar início à
análise. Uma vez que os dados estejam preservados e a coleta esteja sendo feita, é possível trabalhar em
arquivos específicos, tais como arquivos de logs ou artefatos maliciosos já identificados em paralelo. Estas
análises iniciais são muito úteis para identificar correções no próprio curso de coleta. Novos ativos
comprometidos podem ser identificados ou, até mesmo, pode se chegar a conclusão de que uma determinada
coleta não é mais relevante.
• A coleta de dados deve respeitar a volatilidade da mídia. O mais volátil deve ser coletado primeiro.
Dispositivos de Leitura e
Escrita (HDs, Pendrives,
etc)
Cópia de Dados
Material de uso exclusivo pelos alunos do curso de Residência em Segurança da Informação da UFC
Copyright 2023, Renato Marinho
renatomarinho@gmail.com
Direitos autorais reservados. Proibida a reprodução, ainda que parcial, sem autorização prévia (Lei 9.610/98)
Direitos autorais reservados. Proibida a reprodução, ainda que parcial, sem autorização prévia (Lei 9.610/98)
Material de uso exclusivo pelos alunos do curso de Residência em Segurança da Informação da UFC
Metodologia Resposta a Incidente e Forense Computacional
Coleta (cont.)
Ferramentas de Software
DD ou DC3dd
FTK Imager
Encase
Redline
Cópia de discos e memória Mídia original
de VMs
Arquivos de
“imagem”
Garantia de Integridade
Para garantir que a cópia examinada é igual ao original o perito deve utilizar algoritmos
HASH (MD5, SHA1, SHA2, etc);
Este passo é de extrema importância para que as evidências sejam aceitas legalmente.
Cadeia de Custódia
• A cadeia de custódia é um histórico que mostra como as evidências foram coletadas, analisadas,
transportadas e preservadas a fim de que fossem aceitas legalmente.
https://www.sans.org/media/score/incident-forms/ChainOfCustody.pdf
• Resposta às questões: o trabalho de análise tem o objetivo de levantar evidências que respondam
às questões estabelecidas para o caso. Trabalhar na análise de um volume de dados ser um objetivo
levará a desperdícios de tempo e a resultados aquém da expectativa;
• História do incidente: ao longo do trabalho de análise, é comum que os analistas se vejam com um
grande volume de dados relativos a eventos importantes mas ainda sem nexo entre si. O ideal é que se crie
desde o início da análise uma lista em ordem cronológica dos principais eventos identificados. Este
instrumento ajudará na organização das evidências e, principalmente, no entendimento da relação entre
elas. Eventos que pareciam não ter relação podem ser descobertos ao organizarmos numa linha do tempo.
Uma tabela com os campos Data/hora, evento e evidência são um ótimo ponto de partida. Ex:
• Estabelecimento de hipóteses: algumas conclusões são mais fáceis e mais diretas e outras
nem tanto. Para as mais difíceis de se chegar recomendo o estabelecimento de hipóteses. Por
exemplo, em um ambiente comprometido por ransomware, quais hipóteses seriam viáveis para
o vetor de entrada? Considere realizar a criação de hipóteses em um grupo multidisciplinar com
visões diferentes perspectivas sobre o tema.
• Estabelecimento de hipóteses (cont.): Para cada hipótese, estabeleça como ela pode ser
verificada e um status da análise. Uma tabela como os campos ID, Hipótese, Validação, Status
pode ser um bom começo. Para um caso hipotético do vetor de entrada do incidente de
ransomware, hipóteses viáveis seriam:
ID Hipótese Validação Status
1 Exploração da Análise de logs da aplicação para identificação Em andamento
vulnerabilidade na aplicação de evidência da exploração.
Web XPTO que estava
publicada para a internet
2 Uso de credencial legítima Análise dos logs de conexões com sucesso ao Hipótese inválida. Não havia
para conexão através do servidor para identificação de endereços autenticação com sucesso
RDP Server XPTO externos com autenticação com sucesso. para este servidor.
• Um relatório técnico na forense digital tem como objetivo documentar os resultados de uma
investigação forense de computadores, dispositivos móveis ou outras fontes de dados digitais.
Ele deve ser escrito de forma clara e objetiva, de modo a permitir que qualquer pessoa possa
entender os métodos utilizados na investigação, os resultados obtidos e as conclusões a que se
chegou. Além disso, o relatório deve ser detalhado o suficiente para permitir que outros especialistas
possam reproduzir os passos da investigação e chegar às mesmas conclusões;
• Dependendo do caso analisado, será necessária a produção de relatórios técnicos de status de forma
periódica. Estes relatórios tem o objetivo de atualizar as partes interessadas sobre o andamento do
trabalho e sobre os resultados preliminares. Numa resposta a incidente, os resultados preliminares
tem o objetivo de ajudar a conter a ameaça.
• NIST SP 800-61: Este é um guia produzido pelo Instituto Nacional de Padrões e Tecnologia (NIST) dos Estados Unidos que
fornece orientações para a gestão de incidentes de segurança cibernética. Ele inclui orientações sobre a produção de
relatórios de incidentes;
• ISO/IEC 27035: Esta é uma norma internacional que fornece orientações para a gestão de incidentes de segurança da
informação. Ela inclui orientações sobre como produzir relatórios de incidentes;
• COBIT: O COBIT (Control Objectives for Information and Related Technology) é um framework de gerenciamento de TI que
inclui orientações sobre a produção de relatórios de incidentes;
• ITIL: O ITIL (Information Technology Infrastructure Library) é um conjunto de práticas para a gestão de serviços de TI. Ele
inclui orientações sobre como produzir relatórios de incidentes.
Esses são apenas alguns exemplos de padrões e frameworks que podem ser utilizados para produzir relatórios de incidentes
digitais. É importante observar que cada organização pode ter suas próprias exigências específicas para a produção de relatórios
de incidentes, e é importante seguir essas exigências ao produzir um relatório.
Uma companhia foi notificada por um provedor de segurança de que um ator malicioso estaria vendendo um
acesso a um de seus servidores em um grupo na darkweb. Após uma interação com o criminoso, se descobriu
qual servidor estaria a venda e a companhia confirmou que havia um acesso indevido à máquina realmente. Como
resposta inicial, o servidor foi tirado do ar.
Supondo que você tenha sido convidado para responder a este incidente, responda:
• Máquinas Virtuais
62
Material de uso exclusivo pelos alunos do curso de Residência em Segurança da Informação da UFC
Copyright 2023, Renato Marinho
renatomarinho@gmail.com
Direitos autorais reservados. Proibida a reprodução, ainda que parcial, sem autorização prévia (Lei 9.610/98)
Digital Forensics and Incident Response
Windows 10 Workstation
63
Material de uso exclusivo pelos alunos do curso de Residência em Segurança da Informação da UFC
Copyright 2023, Renato Marinho
renatomarinho@gmail.com
Direitos autorais reservados. Proibida a reprodução, ainda que parcial, sem autorização prévia (Lei 9.610/98)
Direitos autorais reservados. Proibida a reprodução, ainda que parcial, sem autorização prévia (Lei 9.610/98)
Material de uso exclusivo pelos alunos do curso de Residência em Segurança da Informação da UFC
Análise em Memória RAM
• Aquisição de memória em sistemas ativos e inativos (live and dead);
• Exercícios;
• Processos;
• Malware;
• Chaves de criptografia;
• Comandos digitados;
• Atividades na Internet;
• https://accessdata.com/product-download/ftk-imager-lite-version-3.1.1
• Redline
• https://www.fireeye.com/services/freeware/redline.html
• WinpMEM
• https://github.com/google/rekall/releases
• Arquivo de hibernação
• %SystemDrive%\hiberfil.sys
• Memory Dump
• %WINDIR%\MEMORY.DMP
• Cópia comprimida da memória RAM criada no momento que o sistema foi colocado em hibernação ou
“power save”;
• Para que o volatility possa funcionar apropriadamente, é preciso identificar a versão específica do sistema operacional de onde a
memória foi extraída. O layout da memória, ou seja, como esta está organizada dependa da versão do sistema, service packs, etc.
Por exemplo, estruturas de memória de um Windows 7 são diferentes das estruturas de memória de um Windows 10;
• A identificação da versão específica do sistema operacional é feita pelo Volatility por meio da análise do KDBG (Kernel Debugging
Data). Esta estrutura funciona como uma assinatura para distinção entre as diferentes versões dos sistemas operacionais;
• Identificar estas características específicas, significa identificar o profile da imagem de memória. É comum que o Volatility
identifique mais de um profile para uma imagem uma vez que a estrutura KDBG identificada pode ser compartilhada com mais de
uma versão do SO;
• O Volatility tem profiles para a maioria das versões do Windows e também profiles para versões do Linux. Caso não possua para a
distribuição ou Kernel que deseja, é possível criar um profile personalizado;
• A execução do comando imageinfo identificou os profiles WinXPSP2x86 e WinXPSP3x86, conforme imagem a seguir:
• Para atender a este objetivo, utilizaremos o plugin pslist do Volatility. Características do plugin:
• O pslist identifica os processos percorrendo uma lista duplamente encadeada (doubly list) de processos
apontada pela variável PsActiveProcessHead mantida pelo sistema operacional. O apontamento para esta
lista está no KDBG;
• Imprime a lista de processos contendo: process name, process ID, the parent process ID, number of threads,
number of handles, and date/time when the process started and exited;
• Os processos que apresentarem 0 handles e 0 threads são processos que já foram encerrados e não foram
removidos da lista (doubly list) de processos;
• Conforme vimos, o pslist utiliza uma lista duplamente encadeada mantida pelo sistema operacional para listar os
processos. No entanto, um atacante é capaz de esconder processos maliciosos modificando os ponteiros na
memória do Kernel de forma que o processo não apareça na lista. Tecnicamente falando, um código malicioso
com acesso ao Kernel pode remover o seu link da lista de processos utilizando uma técnica de rootkit
chamada Direct Kernel Object Manipulation (DKOM). Esta modificação não afeta a execução do processo e é,
portanto, uma maneira confiável para esconder processos;
• Para resolver esta questão, existe um outro plugin para listagem de processos chamado psscan no Volatility que
busca processos de uma maneira diferente. Ao invés de percorrer a lista mantida pelo SO, o psscan varre a
memória inteira buscando pelo pool de objetos e processos e o analisa utilizando a estrutura EPROCESS
encontrada neste local;
• Desta forma, como não se baseia na lista de processos ativos mantida pelo SO, o psscan pode identificar também
processos terminados que ainda não foram reescritos;
• Adicionalmente, este processo pode ser mais lento que o pslist uma vez que precisa varrer a memória inteira.
• O plugin psxview permite que se busque por anomalias na listagem de processos utilizando diferentes formas de identificação. A saída do plugin apresenta a
lista dos processos e se cada um deles está presente (True) ou não (False) na lista de processos identificados de diferentes formas;
• thrdproc: revisa todas as threads encontradas na memória e coleta processos que utilizam o identificador do pai da thread;
• pspcid: o PspCid é uma outra tabela de objetos de Kernel que mantém o rastreamento de processos e threads;
• crss: o processo crss.exe mantém um apontador para cada processo iniciado após ele próprio. Por isso que ele não tem um apontamento para os processos smss.exe,
System e csrss.exe;
• deskthrd: Identifica processos por meio de threads anexadas a cada Windows desktop.
• O Volatility conta com plugins para obtenção de informações de artefatos de rede. Os mais comuns são:
• connections: lista as conexões ativas a partir da leitura da lista mantida pelo SO. Funciona para imagens de Windows XP e
2003;
• connscan: varre a memória buscando por objetos do tipo _TCPT_OBJECT e tenta interpretá-lo. Esta estratégia pode
fornecer muito mais informações, incluindo conexões que podem ter sido encerradas ou de alguma forma escondidas pelo
atacante;
• sockets: lista os sockets ativos e disponíveis para qualquer protocolo. Funciona no XP e 2003;
• sockscan: varre toda a memória buscando por objetos _ADDRESS_OBJECT para mapear sockets. Funciona no XP e 2003;
• netscan: faz o papel dos plugins anteriores, buscando por conexões e sockets. Funciona em imagens do Vista ou superior.
• Memory offset
• Protocol
• Local IP Address
• Remote IP Address
• Process ID (PID)
• Já utilizando o plugin connscan, foi possível listar uma conexão de rede. A conexão está estabelecida com o host remoto
172.16.98.1 na porta 6666. Adicionalmente, sabemos que processo associado a conexão tem o PID 1956.
• Utilizando o plugin sockscan, temos informações adicionais sobre o socket TCP na porta 1026, incluindo o PID e a hora de
criação. O horário de criação pode ser útil para identificar outra ações que ocorreram por volta deste evento.
• A análise de artefatos de rede nos trouxe a informação de que o processo explorer.exe está conectado a um host remoto, o
que pode ser suspeito. A seguir a lista de processos:
• O Volatility provê um plugin de nome svcscan que lista os serviços do Windows e seus detalhes;
• Utilize o plugin ‘procdump’ para fazer o dump do processo 1956 para um arquivo em disco;
2. Analise a lista de processos e investigue por processos atípicos. Utilize como base o poster “Hunt Evil” que está no material do aluno. Dica:
observe o nome dos processos, quem deveria ser o pai dos processos, etc;
3. Para reforçar a investigação de processos estranhos, utilize o plugin ‘malprocfind’ do Volatility. Qual ou quais processos o chamaram a
atenção?
4. Você deve ter identificado pelo menos um processo suspeito. Verifique se este processo está sendo executado com privilégios de
administrador local. Utilize o plugin ‘getsids’;
5. Indique a linha de comando utilizada para inicializar o processo suspeito. Utilize o plugin ‘cmdline’;
6. Extraia o processo suspeito e verifique seu hash no Virus Total. Algum malware foi indicado?
7. O processo suspeito está se comunicando com algum host na internet? Se sim, indique IP e Porta;
8. Bonus question: qual é a senha da conta que está executando o binário suspeito?
R: Win7SP1x64
R: com o plugin cmdline, foi possível identificar a linha de comando utilizada para iniciar o processo scvhost.exe.
R: Já vimos com o comando ‘getsids’ que há uma conta de usuário associada ao processo chamada ‘Jeniffer’. O Volatility possui
um plugin chamado Mimikatz, que, para algumas versões do Windows, consegue recuperar a senha do usuário em texto claro,
conforme imagem a seguir.
• A análise do processo extraído no Virus Total indicou que o arquivo é malicioso. Provavelmente, um malware da
família Azorult;
• Azorult é um malware do tipo Information Stealer. Ou seja, dados do host e usuário podem ter sido exfiltrados.
• IOCs:
Qual código malicioso está presenta no host e quando a infecção ocorreu? A análise de memória apontou para o Azorult, um malware da categoria
information stealer.
Qual foi a porta de entrada da ameaça no host? PENDENTE
Há suspeita de acesso a dados sensíveis do host/usuário? A princípio, sim. O malware é da família information stealer e pode ter
roubados dados de senhas do usuário do host analisado.
O malware teve sucesso na comunicação com os servidores do atacante? PENDENTE
2. Indique uma característica maliciosa relevante que o código malicioso apresenta? Utilize técnicas de
OSINT e indique a tática e a técnica do Mitre ATT&CK;
5. Qual arquivo seria um alvo de análise de você tivesse acesso à imagem de disco deste host? Justifique.
6. Há algum mecanismo de persistência do código malicioso no host? Estude plugins adicionais do Volatility
que possam indicar execução automática.
• Timelines
• Sistema de Arquivos;
• Super Timelines;
Cópia de Dados
108
Forense em Mídias Digitais: Aquisição
Material de uso exclusivo pelos alunos do curso de Residência em Segurança da Informação da UFC
Copyright 2023, Renato Marinho
renatomarinho@gmail.com
Direitos autorais reservados. Proibida a reprodução, ainda que parcial, sem autorização prévia (Lei 9.610/98)
Direitos autorais reservados. Proibida a reprodução, ainda que parcial, sem autorização prévia (Lei 9.610/98)
Material de uso exclusivo pelos alunos do curso de Residência em Segurança da Informação da UFC
Forense em Mídias Digitais: Aquisição
Ferramentas de Software
DD ou DC3dd
FTK Imager
Encase
Redline Mídia original
Cópia de discos e memória
de VMs
Arquivos de
“imagem”
Disco completo: inclui todas as partições e eventuais áreas não alocadas do disco. Permite análise
de baixo nível para, por exemplo, recuperação de arquivos deletados e análise de slack spaces;
Partição: também permite análises de baixo nível para o conteúdo alocado no espaço da partição.
OBS: mesmo que você colete todas as partições de um disco, poderá perder dados em
espaços não particionados do disco;
Lógica: está mais para uma cópia do que para uma imagem forense. Não permitirá a análise de
baixo nível. Pode ser útil quando:
Não interessar fazer análise de arquivos deletados;
Não for possível a retirada do disco para coleta off-line pelo time de resposta a incidentes;
Garantia de Integridade
• Cada novo cálculo de hash na mídia original pode resultar em diferentes hashes,
dependendo de como o firmware do disco interprete a informação no disco
magnético com bad sectors;
• Nestas situações, manter uma boa documentação das condições de erros durante a
imagem. Esta informação constará no report da ferramenta de coleta utilizada;
• O hash servirá, nestes casos, para verificar se os dados da imagem foram mantidos.
Nos próximos slides, utilizaremos ferramentas para criação de imagens forense nos seguintes
cenários:
• Cenário 2: Coleta com Distribuição Linux Live no host onde o disco de origem está
conectado. Ferramenta Guymager;
2. Executar a coleta:
DC3dd:
File -> Create Disk Image -> Phisical Drive -> Selecionar o disco da mídia original -> Finish
$ cat /cases/001/sdb.log
4. Selecione a imagem e
clique em Export Disk Image
6. Identifique a evidência.
7. Identifique a evidência.
8. Observe os resultados.
1. Repita os passos do exercício anterior e crie uma imagem do tipo Expert Witness Format
(E01);
2. Qual diferença você percebeu no arquivo de imagem gerado comparado com o tipo
‘raw’?
2. Estação forense: Estação onde a mídia de origem está conectada. Neste cenário,
vamos supor que seja o Windows 10 Workstation.
• A coleta de discos virtuais consiste na cópia dos arquivos de disco das máquinas virtuais
a serem analisadas;
Tratando Snapshots
Para converter o “vmdk” para uma imagem “raw”, utilize a ferramenta “qemu-img” instalado
no SIFT Workstation:
• Timelines
• Sistema de Arquivos;
• Super Timelines;
• Montar o vmdk
• Partição montada:
• Para desmontar:
• Prática:
• Agora é só montar o arquivo /mnt/ewf/ewf1 como fizemos para o arquivo raw (no
caso, montando a primeira partição NTFS):
• O SIFT possui um script chamado ‘imageMounter.py’, que pode ser utilizado para
imagens ‘raw’ e ‘ewf’;
• Volume Shadow Copies são backups do volume inteiro salvos em um determinado ponto no tempo;
• Podem ser úteis para a recuperação de arquivos deletados, logs, registros, etc;
• São também criados antes de operações mais críticas no sistema, como a instalação de software ou
de atualizações.
• Comando vshadowinfo
• Comando vshadowmount
• Ex:
166
Forense em Mídias Digitais: Montagem
Material de uso exclusivo pelos alunos do curso de Residência em Segurança da Informação da UFC
Copyright 2023, Renato Marinho
renatomarinho@gmail.com
Direitos autorais reservados. Proibida a reprodução, ainda que parcial, sem autorização prévia (Lei 9.610/98)
Direitos autorais reservados. Proibida a reprodução, ainda que parcial, sem autorização prévia (Lei 9.610/98)
Material de uso exclusivo pelos alunos do curso de Residência em Segurança da Informação da UFC
Forense em Mídias Digitais: Montagem
Montando Imagens no Windows - OSFMount
• Timelines
• Sistema de Arquivos;
• Super Timelines;
• A análise de linhas do tempo (timelines) é uma das mais importantes etapas de uma
investigação;
• As timelines permitem a observação dos eventos em ordem cronológica. Isso pode
facilitar o entendimento de como esses eventos interagem entre si;
• A ordenação cronológica dos eventos pode permitir avançar para o entendimento da
história de forma mais rápida e com pouco esforço;
• Ferramentas anti-forense podem dificultar o trabalho do analista, como por exemplo,
com a adulteração de datas de arquivos. No entanto, é praticamente impossível que o
atacante consiga deletar todos os seus rastros;
• Timelines podem ser criadas a partir de dados de diferentes fontes. Podem considerar
dados do sistema de arquivos, como é o caso do nosso primeiro estudo, ou podem
obter dados do sistema operacional e registros de logs;
• A análise de timelines pode ser bastante desafiadora. Por isso, foque nos objetivos da
análise, nas questões a serem respondidas;
• Analise a timeline de acordo com a proximidade temporal de eventos relevantes do
caso em termos de horário ou arquivos. Este processo o levará à descoberta de
informações que enriqueçam a análise, que podem se tornar novos eventos relevantes,
também chamados de “Pivot Points”;
• Desta forma, o processo de análise de timelines deve seguir os seguintes passos:
• Timelines de sistemas de arquivos são criadas a partir de metadados dos próprios sistemas de
arquivos;
• O horário é armazenado no sistema NTFS no formato UTC. Desta forma, o horário não é afetado
por mudanças de time zones ou horário de verão. Isso não ocorre para o sistema FAT, que grava
os horários de acordo com o horário local;
• O sistema NTFS permite que arquivos tenham conteúdos alternativos conhecidos como Alternate
Data Streams (ADS). Este recurso permite que um arquivo baixado da internet, por exemplo,
tenham uma tag adicional usada para alertar ao usuário que o arquivo pode ser perigoso. Da
mesma forma, o ADS pode ser utilizados de forma maliciosa para ocultar um conteúdo.
• O arquivo $MFT ou Master File Table armazena pelo menos uma entrada para cada arquivo do
volume NTFS, incluindo o próprio MFT. Todas as informações a respeito dos arquivos, incluindo
seu tamanho, horários, permissões e, dependendo do tamanho do arquivo (até 1024 bytes), o
próprio conteúdo, são armazenadas nas entradas do MFT 1;
Fonte: https://flylib.com/books/en/2.48.1/basic_concepts.html
1 https://learn.microsoft.com/en-us/windows/win32/fileio/master-file-table
• Dois atributos do MFT merecem um destaque do ponto de vista de horários dos arquivos:
• Os horários dos arquivos apresentados pelo Windows ao observarmos os metadados dos arquivos vem do
$STANDARD_INFORMATION. No entanto, existem ferramentas para obter os timestamps do
$FILE_NAME;
• Criaremos uma primeira linha do tempo com a ferramenta FLS. Para isso, utilizaremos:
• Ferramenta: fls
• Executando o FLS:
• Examinando o resultado
• $ head /cases/002/fls_virtualdisk2_002.body
• Copie o arquivo
/cases/001/fls_virtualdisk2_002.csv para a
VM Windows;
M
A
C
B
M
A
C
B
Fonte: https://www.sans.org/security-resources/posters/windows-forensic-analysis/170/download
• Explique com as suas palavras o que aconteceu com o arquivo file1.txt desde que
foi criado.
• Timelines
• Sistema de Arquivos;
• Super Timelines;
• Os timeilnes de sistemas de arquivos podem ser bastante úteis para um entendimento do que
aconteceu com os arquivos;
• No entanto, uma timeline incluindo eventos além dos metadados dos arquivos, em ordem
cronológica, seria anda mais útil. Este é o objetivo da Super Timeline;
• A Super Timeline, portanto, além de metadados de arquivos, inclui dados de um grande volume
de artefatos do Windows, incluindo o registro do Windows, registros de logs, dados de
execuções de programas, etc;
• Desta forma, é bem mais fácil que a timeline “conte a história” do que aconteceu com aquele
sistema;
• O único ponto contra é que a geração da Super Timeline é mais demorada em comparação com
a timeline do sistema de arquivos.
Principais ferramentas.
- pinfo.py: Mostra informações sobre um arquivo Plaso. Por exemplo, como foi
coletado, quais informações foram extraídas da origem, etc.
- psort.py: Ferramenta para ler, filtrar e processar um arquivo Plaso para gerar, por
exemplo, uma timeline em CSV;
Fonte: https://plaso.readthedocs.io/en/latest/sources/user/Creating-a-timeline.html
• Para uma primeira prática, vamos criar um Super Timeline para a primeira partição
VirtualDisk2 utilizando o psteal:
• $ psteal.py --source /mnt/hgfs/Artefatos/VirtualDisk2.vmdk -o dynamic -w
supertimeline_virtualdisk2_p1.csv
• Copie o arquivo CSV gerado para a VM Windows e o analise com o Timeline Explorer;
• Para o resultado a seguir, aplique o filtro de Parser = filestat e busque por “hxd”:
• Experimente filtrar por outros Parsers e observe a saída do parser na coluna “Message”.
• Na imagem a seguir, o Parser olecf está exibindo informações de arquivos do tipo OLE.
• No entanto, o grande valor da Super Timeline aparece quando processamos uma partição
com arquivos do sistema operacional;
• Para experimentarmos isso, vamos criar a Super Timeline da imagem do disco fornecido pela
Empresa X.
• Observe que um Volume Shadow foi identificado e o programa pergunta se deseja incluí-lo na criação da timeline. Por enquanto, vamos escolher não incluir
e seguir digitando <ENTER>.
• O processamento da timeline requer alguns minutos. Para agilizar o processo, o arquivo Plaso e o CSV da timeline estão disponíveis
no diretório do disco:
• 20230103T001940-win7-s11.raw.plaso
• supertimeline-win7.csv
• Cancele o processo e utilize os arquivos fornecidos para os próximos passos.
• Para analisar a Super Timeline, podemos utilizar a ferramenta Timeline Explorer. No entanto,
observe que o arquivo CSV tem mais de 500MB, o que pode dificultar o processamento do
arquivo pela ferramenta.
• Voltando ao nosso processo de análise, é hora de filtrar a timeline. Para isso, podemos usar
um período de tempo de nosso interesse.
• A análise da memória do host nos trouxe um processo suspeito de nome svchost.exe, PID
2388, iniciado às 22:33:06 do dia 07/02/2019;
• Podemos, portanto, fazer um primeiro filtro da timeline contemplando o dia de interesse com
alguns dias antes e alguns dias depois;
Questão Resposta
Qual código malicioso está presenta no host e quando a infecção ocorreu? A análise de memória apontou para o Azorult, um malware da categoria
information stealer.
Quais ações imediatas devemos tomar para conter a ameaça? • Bloquear e monitorar comunicações com os IOCs de rede. O objetivo é
impedir novas comunicações e, ao monitorar, identificar eventuais novas
máquinas infectadas;
• Levantar credenciais utilizadas pelo usuário do host e trocá-las. Há uma
grande chance de que tenham sido roubadas.
Há suspeita de acesso a dados sensíveis do host/usuário? A princípio, sim. O malware é da família information stealer e pode ter
roubados dados de senhas do usuário do host analisado.
• Depois, examine os eventos anteriores na busca por informações que possam levar a
respostas às questões em aberto ou a novos “Pivot Points” neste sentido.
• Buscando por eventos anteriores ao horário 22:33:06 do dia 07/02/2019, podemos observar uma sequencia bastante
interessante que acontece aproximadamente 1 min antes, conforme figura abaixo:
• Voltando a nossa análise, ainda sobre o evento 534828, observe a imagem a seguir que mostra o
que ocorre no host de origem (source) e destino (destination) quando um comando remoto é
executando via PsExec:
• Observe que tivemos os eventos listados 4624 (logon), 4672 (special privileges) e 7045 (service
install) no host de destino;
• Esta sequencia configura que um comando foi executado no host analisado utilizando PsExec
pela conta “Jeniffer” com autenticação partindo do host CLIENT-PC de IP 192.168.3.128.
• Na sequencia, temos o evento 534834 coletado pelo Parser WinPrefetch. Este parser examina
arquivos Prefetch do Windows;
• Os arquivos prefetch são criados pelo sistema operacional Windows com o objetivo de acelerar o
tempo de carregamento de aplicativos. Quando um aplicativo é executado pela primeira vez, o
sistema cria um arquivo prefetch com informações sobre os arquivos e as operações de disco
usadas pelo aplicativo. Na próxima vez que o aplicativo for iniciado, o sistema pode usar essas
informações para carregar o aplicativo mais rapidamente;
• Além da função original, os arquivos Prefetch são de grande valia para a Forense Digital, uma vez
que podem ser utilizados como evidências de execução de aplicações no SO Windows;
• Desta forma, portanto, temos a evidência de execução do serviço PSEXESCV.
• Continuando a análise dos eventos, identificamos novos eventos de logon 4624, um evento 4648,
que indica que credenciais explícitas foram utilizadas;
• Vamos aprofundar a análise do arquivo Prefetch da execução do CMD.EXE e buscar por evidências da
execução do “svchost.exe”:
• No SIFT, monte a imagem do disco win7-s11.raw:
• $ sudo mount -t ntfs -o
ro,loop,show_sys_files,streams_interface=windows,offset=$((512*2048)) win7-s11.raw
/mnt/windows_mount
• Examine o arquivo Prefetch “\Windows\Prefetch\CMD.EXE-89305D47.pf”
• $ prefetch.py -f CMD.EXE-89305D47.pf
• $ md5sum
/mnt/windows_mount/Users/Jeniffer
/AppData/Roaming/svchost.exe
• Resultado:
1a110bc4ed9cc82d7afd6563f58988
41
226
https://digital-forensics.sans.org/media/log2timeline_cheatsheet.pdf
Material de uso exclusivo pelos alunos do curso de Residência em Segurança da Informação da UFC
Copyright 2023, Renato Marinho
renatomarinho@gmail.com
Direitos autorais reservados. Proibida a reprodução, ainda que parcial, sem autorização prévia (Lei 9.610/98)
Direitos autorais reservados. Proibida a reprodução, ainda que parcial, sem autorização prévia (Lei 9.610/98)
Material de uso exclusivo pelos alunos do curso de Residência em Segurança da Informação da UFC
Caso Empresa X – Status Report 2
• Com a análise da memória RAM, identificamos um processo suspeito com as seguintes características:
• A análise do processo extraído no Virus Total indicou que o arquivo é malicioso. Provavelmente, um malware da
família Azorult;
• Azorult é um malware do tipo Information Stealer. Ou seja, dados do host e usuário podem ter sido exfiltrados.
• O processo malicioso identificado na memória (svchost.exe, PID 2388), iniciado às 22:33:06 do dia 07/02/2019, foi
executado a partir de uma conexão remota via ferramenta PsExec;
• A ferramenta PsExec foi executada a partir do host de origem CLIENT-PC (IP 192.168.3.128) às 22:32:00 do dia
07/02/2019;
• A conta utilizada para a execução do PsExec foi a de nome “JENIFFER”, que possui privilégios
administrativos locais;
Qual código malicioso está presenta no host e quando a A análise de memória apontou para o Azorult, um malware da categoria information stealer.
infecção ocorreu?
Qual foi a porta de entrada da ameaça no host? A ameaça chegou ao host analisado por meio de execução remota de comando via PsExec com a utilização da conta
Jeniffer a partir do host CLIENT-PC (IP 192.168.3.128) . A infecção ocorreu às 22:33:06 do dia 07/02/2019.
O código malicioso tem capacidade de movimentação A ameaça chegou ao host por meio de técnica de movimentação lateral identificada no MITRE ATT&CK pelo ID T1570
lateral? Se sim, qual técnica está sendo utilizada? (Lateral Tool Transfer). Desta forma, podemos afirmar que a ameaça tem esta capacidade.
Quais ações imediatas devemos tomar para conter a • Bloquear e monitorar comunicações com os IOCs de rede. O objetivo é impedir novas comunicações e, ao monitorar,
ameaça? identificar eventuais novas máquinas infectadas;
• Levantar credenciais utilizadas pelo usuário do host e trocá-las. Há uma grande chance de que tenham sido roubadas.
• Timelines
• Sistema de Arquivos;
• Super Timelines;
• Principais Características:
• Análise de linha do tempo;
• Buscas por palavras chaves;
• Extração de artefatos Web (histórico, buscas, bookmarks);
• Recuperação de arquivos deletados em espaços não alocados;
• Busca por indicadores de comprometimento (usando STIX);
• Módulo de triagem ao vivo (live);
• É free!
• Aguardar.
234
Crie um novo caso e associe um diretório para alocar a base de dados.
Material de uso exclusivo pelos alunos do curso de Residência em Segurança da Informação da UFC
Copyright 2023, Renato Marinho
renatomarinho@gmail.com
Direitos autorais reservados. Proibida a reprodução, ainda que parcial, sem autorização prévia (Lei 9.610/98)
Autopsy
235
Selecione a opção padrão: Generate new host name based on data source name:
Material de uso exclusivo pelos alunos do curso de Residência em Segurança da Informação da UFC
Copyright 2023, Renato Marinho
renatomarinho@gmail.com
Direitos autorais reservados. Proibida a reprodução, ainda que parcial, sem autorização prévia (Lei 9.610/98)
Autopsy
236
Material de uso exclusivo pelos alunos do curso de Residência em Segurança da Informação da UFC
Copyright 2023, Renato Marinho
renatomarinho@gmail.com
Direitos autorais reservados. Proibida a reprodução, ainda que parcial, sem autorização prévia (Lei 9.610/98)
Direitos autorais reservados. Proibida a reprodução, ainda que parcial, sem autorização prévia (Lei 9.610/98)
Material de uso exclusivo pelos alunos do curso de Residência em Segurança da Informação da UFC
Indexação de Imagem
Autopsy
Selecione o path da imagem. Neste exemplo, estamos usando a imagem do caso Empresa X:
Nesta tela, configure os módulos de ingestão de dados. Basicamente, são os parsers que tratarão os dados:
Finalmente, clique em “Finish”. A partir deste momento, o processo de indexação será iniciado e deve demorar
mais ou menos de acordo com o tamanho do disco.
• No entanto, as informações
apresentadas podem estar
incompletas;
Qual código malicioso está presenta no host e quando a A análise de memória apontou para o Azorult, um malware da categoria information stealer.
infecção ocorreu?
Qual foi a porta de entrada da ameaça no host? A ameaça chegou ao host analisado por meio de execução remota de comando via PsExec com a utilização da conta
Jeniffer a partir do host CLIENT-PC (IP 192.168.3.128) . A infecção ocorreu às 22:33:06 do dia 07/02/2019.
O código malicioso tem capacidade de movimentação A ameaça chegou ao host por meio de técnica de movimentação lateral identificada no MITRE ATT&CK pelo ID T1570
lateral? Se sim, qual técnica está sendo utilizada? (Lateral Tool Transfer). Desta forma, podemos afirmar que a ameaça tem esta capacidade.
Quais ações imediatas devemos tomar para conter a • Bloquear e monitorar comunicações com os IOCs de rede. O objetivo é impedir novas comunicações e, ao monitorar,
ameaça? identificar eventuais novas máquinas infectadas;
• Levantar credenciais utilizadas pelo usuário do host e trocá-las. Há uma grande chance de que tenham sido roubadas.
• Não é comum que este tipo de captura de tráfego esteja habilitado e disponível para uma análise forense. No entanto,
pode ocorrer de a equipe iniciar uma captura diante de um cenário de suspeita de comprometimento do ambiente;
Este módulo terá como arquivo de entrada o tráfego de rede do Caso Empresa X:
Wireshark;
• Para começar, carregue o
arquivo de tráfego de rede no
245
Material de uso exclusivo pelos alunos do curso de Residência em Segurança da Informação da UFC
Copyright 2023, Renato Marinho
renatomarinho@gmail.com
Direitos autorais reservados. Proibida a reprodução, ainda que parcial, sem autorização prévia (Lei 9.610/98)
Direitos autorais reservados. Proibida a reprodução, ainda que parcial, sem autorização prévia (Lei 9.610/98)
Material de uso exclusivo pelos alunos do curso de Residência em Segurança da Informação da UFC
Análise de Tráfego de Rede
Wireshark
• Logo no início do tráfego, podemos perceber pacotes de rede de autenticação SMB2 partindo do IP
192.168.3.128 com destino ao IP 192.168.3.163 às 22:31:38 do dia 07/02/2019;
• A conexão tem a requisição de autenticação com a conta “Jeniffer” e tem o objetivo de criar o arquivo
PSEXESVC.EXE;
Qual código malicioso está presenta no host e quando a A análise de memória apontou para o Azorult, um malware da categoria information stealer.
infecção ocorreu?
Qual foi a porta de entrada da ameaça no host? A ameaça chegou ao host analisado por meio de execução remota de comando via PsExec com a utilização da conta
Jeniffer a partir do host CLIENT-PC (IP 192.168.3.128) . A infecção ocorreu às 22:33:06 do dia 07/02/2019.
O código malicioso tem capacidade de movimentação A ameaça chegou ao host por meio de técnica de movimentação lateral identificada no MITRE ATT&CK pelo ID T1570
lateral? Se sim, qual técnica está sendo utilizada? (Lateral Tool Transfer). Desta forma, podemos afirmar que a ameaça tem esta capacidade.
Quais ações imediatas devemos tomar para conter a • Bloquear e monitorar comunicações com os IOCs de rede. O objetivo é impedir novas comunicações e, ao monitorar,
ameaça? identificar eventuais novas máquinas infectadas;
• Levantar credenciais utilizadas pelo usuário do host e trocá-las. Há uma grande chance de que tenham sido roubadas.
• Do ponto de vista de resposta ao incidente, o fornecimento de Status Reports ao longo da análise pode permitir
que a vítima atue com medidas de contenção. Por exemplo, a conta Jeniffer pode ser bloqueada em toda a rede, a
comunicação com o endereço IP 185.175.208.217 pode ser bloqueada e monitorada.
• O passo final, é a emissão de um Relatório Técnico descrevendo em detalhes como a análise foi
realizada juntamente com as evidências.
• Um relatório técnico na forense digital tem como objetivo documentar os resultados de uma
investigação forense de computadores, dispositivos móveis ou outras fontes de dados digitais.
Ele deve ser escrito de forma clara e objetiva, de modo a permitir que qualquer pessoa possa
entender os métodos utilizados na investigação, os resultados obtidos e as conclusões a que se
chegou. Além disso, o relatório deve ser detalhado o suficiente para permitir que outros especialistas
possam reproduzir os passos da investigação e chegar às mesmas conclusões;
• Dependendo do caso analisado, será necessária a produção de relatórios técnicos de status de forma
periódica. Estes relatórios tem o objetivo de atualizar as partes interessadas sobre o andamento do
trabalho e sobre os resultados preliminares. Numa resposta a incidente, os resultados preliminares
tem o objetivo de ajudar a conter a ameaça.
• Em duplas;
ARTEFATO DESCRIÇÃO
vserver-2008-all.vmdk Disco do Servidor Windows 2008 que teve o serviço RDP exposto.
WSERVER-2008-Snapshot11.vmem Imagem da memória do servidor Windows 2008
timeline-2008.zip Arquivo contendo a Super Timeline do disco
• Logs do Windows
• Principais arquivos de logs do Windows;
• Path dos arquivos;
• IDs dos logs mais comuns;
• Uso de ferramenta para análise;
• Análise de Memória
• Uso do Volatility;
• Uso dos principais plugins do Volatility;
• Análise de imagem de disco:
• Comandos de análise de partições e montagem (affuse, mount, etc);
• Cálculo de offset de partição;
• Criação e filtro de Super Timeline;
• Uso da Timeline Explorer;