Escolar Documentos
Profissional Documentos
Cultura Documentos
O objetivo deste trabalho é aprender vários tipos de vazamento de dados e praticar suas técnicas de
investigação.
famosa empresa internacional OOO, que desenvolveu tecnologias e aparelhos de última geração.
Um dia, em um lugar que 'Mr. Informante 'visitado a negócios, ele recebeu uma oferta da' Spy
Conspirator 'para vazar informações confidenciais relacionadas à mais nova tecnologia. Na verdade,
'Mr.Conspirator 'era um funcionário de uma empresa rival e' Mr. O informante decidiu aceitar a oferta de
'Sr. O informante fez um esforço deliberado para ocultar o plano de vazamento. Ele discutiu com
'Mr.Conspirador 'usando um serviço de e-mail como um relacionamento comercial. Ele também enviou
Depois de receber os dados da amostra, 'Mr. Conspirator 'solicitou a entrega direta de dispositivos de
armazenamento que armazenaram os dados restantes (grandes quantidades de). Eventualmente, 'Mr. O
informante tentou tirar seus dispositivos de armazenamento, mas ele e seus dispositivos foram
detectados no posto de segurança da empresa. E ele era suspeito de vazar os dados da empresa.
No ponto de verificação de segurança, embora seus dispositivos (um cartão de memória USB e um CD)
fossem checados brevemente (protegidos com bloqueadores de gravação portáteis), não havia
evidências de vazamentos. E então, eles foram imediatamente transferidos para o laboratório forense
2. Documentos em papel confidenciais e arquivos eletrônicos podem ser acessados somente dentro do
5. Todos os dispositivos de armazenamento, como HDD, SSD, cartão de memória USB e CD / DVD são
Além disso, embora a empresa tenha gerenciado redes internas e externas separadas e usado soluções
de DRM (Digital Rights Management) / DLP (Prevenção de Perda de Dados) para a segurança de suas
informações, 'Mr. O informante tinha autoridade suficiente para contorná-los. Ele também estava muito
Nesse cenário, encontre qualquer evidência de vazamento de dados e quaisquer dados que possam ter
Questões
1. Quais são os valores de hash (MD5 e SHA-1) de todas as imagens?
O valor hash de aquisição e verificação corresponde?
2. Identifique as informações da partição da imagem do PC.
3. Explique as informações instaladas do sistema operacional em detalhes.
(Nome do SO, data de instalação, proprietário registrado…)
4. Qual é a configuração do fuso horário?
5. Qual é o nome do computador?
6. Listar todas as contas no sistema operacional, exceto as contas do sistema: Administrador, Convidado,
systemprofile, LocalService, NetworkService . (Nome da conta, contagem de login, data do último logon ...)
7. Quem foi o último usuário a fazer logon no PC?
8. Quando foi a última data / hora de encerramento registada?
9. Explicar as informações da (s) interface (s) de rede com um endereço IP atribuído pelo DHCP.
10. Quais aplicativos foram instalados pelo suspeito após a instalação do sistema operacional?
11. Listar logs de execução de aplicativos.
(Caminho executável, tempo de execução, contagem de execução ...)
12. Listar todos os rastreamentos sobre o sistema ligado / desligado e o logon / logoff do usuário.
(Deve ser considerado apenas durante um intervalo de tempo entre as 09:00 e as 18:00 no fuso horário
da pergunta 4).
13. Quais navegadores da web foram usados?
14. Identifique caminhos de diretório / arquivo relacionados ao histórico do navegador da web.
15. Quais sites o suspeito acessou? (Timestamp, URL ...)
16. Listar todas as palavras-chave de pesquisa usando navegadores da web. (Timestamp, URL, palavra-chave
...)
17. Listar todas as palavras-chave do usuário na barra de pesquisa do Windows Explorer. (Timestamp,
palavra-chave)
18. Qual aplicativo foi usado para comunicação por email?
19. Onde o arquivo de e-mail está localizado?
20. Qual foi a conta de e-mail usada pelo suspeito?
21. Listar todos os e-mails do suspeito. Se possível, identifique e-mails excluídos.
(Você pode identificar os seguintes itens: Registro de data e hora, De, Para, Assunto, Corpo e Anexo )
[Dica: apenas examine somente o arquivo OST.]
22. Listar dispositivos de armazenamento externos conectados ao PC.
23. Identifique todos os rastreamentos relacionados ao 'renomear' arquivos no Windows Desktop.
(Deve ser considerado apenas durante um intervalo de datas entre 23-03-2015 e 30-03-2015.)
[Dica: os directórios principais de ficheiros com nomes mudados foram eliminados e as entradas da MFT
também foram substituídas. Portanto, talvez você não consiga encontrar seus caminhos completos.]
24. Qual é o endereço IP da unidade de rede compartilhada da empresa?
25. Listar todos os diretórios que foram percorridos em 'RM # 2'.
26. Listar todos os arquivos que foram abertos no 'RM # 2'.
27. Listar todos os diretórios que foram percorridos na unidade de rede da empresa.
28. Listar todos os arquivos que foram abertos na unidade de rede da empresa.
29. Encontre rastreamentos relacionados aos serviços de nuvem no PC.
(Nome do serviço, arquivos de log ...)
30. Quais arquivos foram excluídos do Google Drive?
Encontre o nome do arquivo e o timestamp do arquivo modificado.
[Dica: encontre um arquivo de registro de transações do Google Drive.]
31. Identifique informações da conta para sincronizar o Google Drive.
32. Que método (ou software) foi usado para gravar CD-R?
33. Quando o suspeito queimou o CD-R?
[Dica: pode ser uma ou mais vezes.]
34. Quais arquivos foram copiados do PC para o CD-R?
[Dica: use apenas a imagem do PC. Você pode examinar os logs de transação do sistema de arquivos para
essa tarefa.]
35. Quais arquivos foram abertos a partir do CD-R?
36. Identifique todos os registros de data e hora relacionados a um arquivo de resignação no Windows
Desktop.
[Dica: o arquivo de resignação é um arquivo DOCX no sistema de arquivos NTFS.]
37. Como e quando o suspeito imprimiu um arquivo de demissão?
38. Onde estão localizados os arquivos 'Thumbcache'?
39. Identifique os rastreamentos relacionados aos arquivos confidenciais armazenados no Thumbcache.
(Incluir apenas '256')
40. Onde os arquivos do Sticky Note estão localizados?
41. Identifique notas armazenadas no arquivo de notas.
42. A função "Pesquisa e indexação do Windows" está ativada? Como você pode identificar isso?
Se ele foi ativado, o que é um caminho de arquivo do banco de dados de índice 'Pesquisa do Windows'?
43. Quais tipos de dados foram armazenados no banco de dados do Windows Search?
44. Encontre vestígios do uso do Internet Explorer armazenados no banco de dados do Windows Search.
(Deve ser considerado apenas durante um intervalo de datas entre 2015-03-22 e 2015-03-23.)
45. Listar a comunicação de email armazenada no banco de dados do Windows Search.
(Deve ser considerado apenas durante um intervalo de datas entre 2015-03-23 e 2015-03-24.)
46. Listar arquivos e diretórios relacionados ao Windows Desktop armazenados no banco de dados do
Windows Search.
(Diretório do Windows Desktop: \ Users \ informant \ Desktop \)
47. Onde estão as cópias de sombra de volume armazenadas? Quando eles foram criados?
48. Encontre rastreamentos relacionados ao serviço do Google Drive na Cópia de sombra de volume.
Quais são as diferenças entre a imagem atual do sistema (da Questão 29 ~ 31) e seu VSC?
49. Quais arquivos foram excluídos do Google Drive?
Encontre registros apagados da tabela cloud_entry dentro do snapshot.db do VSC.
(Basta examinar apenas o banco de dados SQLite. Vamos supor que um arquivo de log baseado em texto
foi apagado.)
[Dica: DDL da tabela cloud_entry é a seguinte.]
Respostas
Veja as respostas [ PDF , MS-Word ] (documento v1.32 - última atualização em 23 de julho de 2018)
O Instituto Nacional de Padrões e Tecnologia (NIST) é uma agência do Departamento de Comércio dos EUA.
Política de privacidade / aviso de segurança / declaração de acessibilidade / Aviso de isenção de responsabilidade
Fonte: https://www.cfreds.nist.gov/data_leakage_case/data-leakage-
case.html