DFE PT BR

Machine Translated by Google
EC-Council
CE-Conselho
MT
FE
D EFDigital
Digital Forensics Essentials
Princípios Forenses
SÉRIE PROFISSIONAL
ec-council
currículos oficiais do ec-conselho
Forense digital
Essenciais
Versão 1
CE-Conselho
EC-Council
Copyright © 2021 por EC-Council. Todos os direitos reservados. Exceto conforme permitido pela Lei de Direitos Autorais de 1976, nenhuma parte
desta publicação pode ser reproduzida ou distribuída de qualquer forma ou por qualquer meio, ou armazenada em um banco de dados ou sistema
de recuperação, sem a permissão prévia por escrito do editor, com exceção de que as listas de programas podem ser inseridas, armazenadas e
executadas em um sistema de computador, mas não podem ser reproduzidas para publicação sem a permissão prévia por escrito do editor, exceto
no caso de breves citações incluídas em resenhas críticas e outros usos não comerciais permitidos pela lei de direitos autorais. Para solicitações de
permissão, escreva para EC-Council, endereçado “Atenção: EC-Council,” no endereço abaixo:
EC-Council New Mexico

101C Sun Avenue NE
Albuquerque, NM 87109
As informações contidas nesta publicação foram obtidas pelo EC-Council de fontes consideradas confiáveis. O Conselho da CE toma medidas
razoáveis para garantir que o conteúdo seja atual e preciso; no entanto, devido à possibilidade de erro humano ou mecânico, não garantimos a
precisão, adequação ou integridade de qualquer informação e não somos responsáveis por quaisquer erros ou omissões nem pela precisão dos
resultados obtidos com o uso de tais informações.
O material didático é resultado de extensa pesquisa e contribuições de especialistas no assunto de todo o mundo. Os devidos créditos por todas
essas contribuições e referências são fornecidos no material didático nas notas finais da pesquisa.
Estamos empenhados em proteger os direitos de propriedade intelectual. Se você for um proprietário de direitos autorais (um licenciado exclusivo ou
seu agente) e acreditar que qualquer parte do curso constitui uma violação de direitos autorais ou uma violação de uma licença ou contrato acordado,
notifique-nos em legal@eccouncil.org. Em caso de reclamação fundamentada, o EC Council removerá o material em questão e fará as retificações
necessárias.
O material didático pode conter referências a outros recursos de informação e soluções de segurança, mas tais referências não devem ser
consideradas como um endosso ou recomendação do EC-Council.
Os leitores são incentivados a relatar erros, omissões e imprecisões ao EC-Council em legal@eccouncil.org. Se você tiver algum problema, entre
em contato conosco em support@eccouncil.org.
AVISO AO LEITOR
O EC-Council não garante nenhum dos produtos, metodologias ou estruturas aqui descritos, nem realiza nenhuma análise independente em conexão
com qualquer informação do produto aqui contida. O EC Council não assume e se isenta expressamente de qualquer obrigação de obter e incluir
informações além daquelas fornecidas pelo fabricante. O leitor é expressamente alertado para considerar e adotar todas as precauções de segurança
que possam ser indicadas pelas atividades aqui descritas e para evitar todos os perigos potenciais. Ao seguir as instruções aqui contidas, o leitor
assume voluntariamente todos os riscos relacionados a tais instruções. O EC-Council não faz representações ou garantias de qualquer tipo, incluindo,
mas não se limitando às garantias de adequação a um propósito específico ou comercialização, nem tais representações estão implícitas com relação
ao material aqui estabelecido, e o EC Council não assume nenhuma responsabilidade com relação a tal material. O EC-Council não será responsável
por quaisquer danos especiais, consequentes ou exemplares resultantes, no todo ou em parte, do uso ou confiança deste material pelo leitor.
Página II Digital Forensics Essentials Copyright © por EC-Council Todos os

direitos reservados. A reprodução é estritamente proibida.
Prefácio
A rápida evolução dos computadores trouxe dispositivos técnicos como uma arma ativa para os criminosos.
Os cibercriminosos tiveram o prazer de poder combinar uma grande variedade de tecnologias complexas para
serem bem-sucedidos em sua missão. Devido à complexidade do ataque, investigar um crime no mundo cibernético
tornou-se cada vez mais difícil.
A computação forense é o processo de detecção de ataques de hackers e extração adequada de evidências para
relatar o crime e conduzir auditorias para evitar ataques futuros. Ele é usado em diferentes tipos de investigações,
como crimes e investigações civis, litígios corporativos, crimes cibernéticos, etc. Ele desempenha um papel vital na
investigação e repressão de criminosos cibernéticos. Refere-se a um conjunto de procedimentos e técnicas
metodológicas para identificar, reunir, preservar, extrair, interpretar, documentar e apresentar evidências de
equipamentos de computação para que as evidências descobertas possam ser usadas durante um processo legal
e/ou administrativo em um tribunal. . Provas podem ser buscadas em uma ampla gama de crimes de computador
ou uso indevido, incluindo, entre outros, roubo de segredos comerciais, roubo ou destruição de propriedade
intelectual e fraude.
A computação forense permite a identificação sistemática e cuidadosa de evidências em casos de crimes e abuso
relacionados a computadores. Isso pode variar desde o rastreamento dos rastros de um hacker através dos
sistemas de um cliente até o rastreamento do originador de e-mails difamatórios e a recuperação de sinais de fraude.
O programa Digital Forensics Essentials (DFE) abrange os conceitos fundamentais da computação forense. Ele
equipa os alunos com as habilidades necessárias para identificar as pegadas de um intruso e reunir adequadamente
as evidências necessárias para processar no tribunal.
Este programa oferece uma visão holística dos principais componentes da computação forense. O curso foi
desenvolvido para aqueles interessados em aprender os vários fundamentos da computação forense e aspiram
seguir uma carreira na área de computação forense.
Página III Digital Forensics Essentials Copyright © por EC-Council Todos os

Sobre o EC-Council
O Conselho Internacional de Consultores de Comércio Eletrônico, mais conhecido como EC-Council, foi fundado
no final de 2001 para atender à necessidade de segurança da informação e profissionais de e-business bem
formados e certificados. O EC-Council é uma organização global baseada em membros composta por especialistas
da indústria e no assunto que trabalham juntos para definir os padrões e elevar o padrão em certificação e
educação em segurança da informação.
O EC-Council desenvolveu pela primeira vez o programa Certified Ethical Hacker (C|EH) com o objetivo de ensinar
as metodologias, ferramentas e técnicas usadas pelos hackers. Aproveitando o conhecimento coletivo de centenas
de especialistas no assunto, o programa CEH ganhou popularidade rapidamente em todo o mundo e agora é
oferecido em mais de 145 países por mais de 950 centros de treinamento autorizados. É considerado a referência
para muitas entidades governamentais e grandes corporações em todo o mundo.
O EC-Council, por meio de sua impressionante rede de profissionais e muitos seguidores da indústria, também
desenvolveu uma série de outros programas líderes em segurança da informação e e-business. As certificações
EC-Council são vistas como as certificações essenciais necessárias quando a configuração padrão e os cursos
de política de segurança ficam aquém. Fornecendo uma abordagem tática verdadeira e prática para a segurança,
os indivíduos armados com o conhecimento disseminado pelos programas do EC-Council estão fortalecendo as
redes de segurança em todo o mundo e derrotando os hackers em seu próprio jogo.
Outros programas do EC-Council

Conscientização sobre segurança: usuário certificado de computador seguro
O objetivo do programa de treinamento da CSCU é fornecer aos alunos o

conhecimento e as habilidades necessárias para proteger seus ativos de informação.
Esta aula imergirá os alunos em um ambiente de aprendizado interativo, onde
adquirirão conhecimentos fundamentais sobre várias ameaças de segurança de
computadores e redes, como roubo de identidade, fraude de cartão de crédito,
golpes de phishing bancário on-line, vírus e backdoors, trotes por e-mail, predadores sexuais e outras ameaças
on-line. , perda de informações confidenciais, ataques de hackers e engenharia social.
Mais importante ainda, as habilidades aprendidas na aula ajudam os alunos a tomar as medidas necessárias para
mitigar sua exposição à segurança.
Defesa de Rede: Defensor de Rede Certificado
Os alunos matriculados no curso Certified Network Defender obterão uma compreensão

detalhada da defesa de rede e desenvolverão sua experiência prática para atuar em
situações de defesa de rede da vida real. Eles obterão a profundidade do conhecimento
técnico necessário para projetar ativamente uma rede segura em sua organização.
Este curso fornece uma compreensão fundamental da verdadeira natureza da
transferência de dados, tecnologias de rede e tecnologias de software para que os alunos possam entender como
as redes operam, como o software de automação se comporta e como analisar redes e sua defesa.
Página IV Digital Forensics Essentials Copyright © por EC-Council Todos os

Os alunos aprenderão como proteger, detectar e responder aos ataques de rede, bem como aprender sobre os
fundamentos da defesa de rede, a aplicação de controles de segurança de rede, protocolos, dispositivos de
perímetro, IDS seguro, VPN e configuração de firewall. Os alunos também aprenderão as complexidades da
assinatura, análise e varredura de vulnerabilidades do tráfego de rede, o que ajudará a projetar políticas de
segurança de rede aprimoradas e planos de resposta a incidentes bem-sucedidos. Essas habilidades ajudarão as
organizações a promover a resiliência e a continuidade operacional durante os ataques.
Hacking ético: Hacker ético certificado

A credencial Certified Ethical Hacker (CEH) é a certificação e realização de hacking
ético mais confiável recomendada por empregadores em todo o mundo. É a certificação
de segurança da informação mais desejada e representa uma das credenciais
cibernéticas de crescimento mais rápido exigidas por infraestrutura crítica e provedores
de serviços essenciais. Desde a introdução do CEH em 2003, ele é reconhecido como
um padrão na comunidade de segurança da informação. A CEH continua a apresentar
as mais recentes técnicas de hacking e as mais avançadas ferramentas de hacking e explorações usadas por
hackers e profissionais de segurança da informação atualmente. As cinco fases do hacking ético e a missão central
original do CEH permanecem válidas e relevantes hoje: “Para vencer um hacker, você precisa pensar como um
hacker”.
O CEH fornece uma compreensão profunda das fases de hacking ético, vários vetores de ataque e contramedidas
preventivas. Ele ensinará como os hackers pensam e agem de forma maliciosa, para que você fique mais bem
posicionado para configurar sua infraestrutura de segurança e se defender de ataques futuros.
Compreender as fraquezas e vulnerabilidades do sistema ajuda as organizações a fortalecer seus controles de
segurança do sistema para minimizar o risco de um incidente.
O CEH foi construído para incorporar um ambiente prático e um processo sistemático em todos os domínios e
metodologias de hacking ético, dando a você a oportunidade de trabalhar para provar o conhecimento e as
habilidades necessárias para realizar o trabalho de um hacker ético. Você será exposto a uma postura totalmente
diferente em relação às responsabilidades e medidas necessárias para estar seguro.
Teste de penetração: Profissional certificado em testes de penetração

A certificação CPENT exige que você demonstre a aplicação de técnicas
avançadas de teste de penetração, como ataques avançados do Windows,
ataques a sistemas IOT, exploração avançada de binários, escrita de exploits,
desvio de uma rede filtrada, teste de penetração de Tecnologia Operacional (OT),
acesso a redes ocultas com pivô e duplo pivotagem, escalonamento de privilégios
e evasão de mecanismos de defesa.
O CPENT do EC-Council padroniza a base de conhecimento para profissionais de teste de penetração, incorporando
as melhores práticas seguidas por especialistas experientes na área. O objetivo do CPENT é assegurar que cada
profissional segue um rigoroso código de ética, está exposto às melhores práticas no domínio dos testes de
penetração e conhece todos os requisitos de compliance exigidos pela indústria.
Página V Digital Forensics Essentials Copyright © por EC-Council Todos os

Ao contrário de uma certificação de segurança normal, a credencial CPENT fornece uma garantia de que os
profissionais de segurança possuem habilidades para analisar exaustivamente a postura de segurança de uma
rede e recomendar medidas corretivas com autoridade. Por muitos anos, o EC-Council vem certificando profissionais
de segurança de TI em todo o mundo para garantir que esses profissionais sejam proficientes em mecanismos de
defesa de segurança de rede. As credenciais do EC-Council atestam seu profissionalismo e experiência, tornando
esses profissionais mais procurados por organizações e empresas de consultoria em todo o mundo.
Computação forense: Investigador forense de hacking de computador

Computer Hacking Forensic Investigator (CHFI) é um curso abrangente que abrange
os principais cenários de investigação forense. Ele permite que os alunos adquiram
experiência prática crucial com várias técnicas de investigação forense. Os alunos
aprendem como utilizar ferramentas forenses padrão para realizar com sucesso
uma investigação forense de computador, preparando-os para melhor auxiliar na
acusação de perpetradores.
O CHFI do EC-Council certifica indivíduos na disciplina de segurança específica de computação forense de uma
perspectiva neutra de fornecedor. A certificação CHFI reforça o conhecimento aplicado do pessoal de aplicação da
lei, administradores de sistema, oficiais de segurança, defesa e pessoal militar, profissionais jurídicos, banqueiros,
profissionais de segurança e qualquer pessoa preocupada com a integridade das infraestruturas de rede.
Tratamento de Incidentes: Manipulador de Incidentes Certificado pelo EC-Council
O programa Certified Incident Handler (E|CIH) do EC-Council foi projetado

e desenvolvido em colaboração com profissionais de segurança cibernética
e tratamento e resposta a incidentes em todo o mundo. É um programa
abrangente de nível especializado que transmite conhecimentos e
habilidades que as organizações precisam para lidar com as consequências
pós-violação de forma eficaz, reduzindo o impacto do incidente, tanto do ponto de vista financeiro quanto da
reputação.
O E|CIH é um programa orientado a métodos que usa uma abordagem holística para abranger vastos conceitos
relativos ao tratamento e resposta de incidentes organizacionais, desde a preparação e planejamento do processo
de resposta ao tratamento de incidentes até a recuperação de ativos organizacionais após um incidente de segurança.
Esses conceitos são essenciais para lidar e responder a incidentes de segurança para proteger as organizações de
futuras ameaças ou ataques.
Gestão: Chief Information Security Officer certificado

O programa Certified Chief Information Security Officer (CCISO) foi desenvolvido
pelo EC-Council para preencher uma lacuna de conhecimento no setor de segurança
da informação. A maioria das certificações de segurança da informação se concentra
em ferramentas específicas ou recursos profissionais. Quando o programa CCISO foi
Página VI Digital Forensics Essentials Copyright © por EC-Council Todos os

desenvolvido, não existia nenhuma certificação para reconhecer o conhecimento, as habilidades e as aptidões
necessárias para um profissional de segurança da informação experiente desempenhar as funções de um CISO de
forma eficaz e competente. Na verdade, naquela época, muitas dúvidas existiam sobre o que realmente era um CISO
e o valor que essa função agregava a uma organização.
O CCISO Body of Knowledge ajuda a definir o papel do CISO e a delinear claramente as contribuições que essa
pessoa faz em uma organização. O EC-Council aprimora essas informações por meio de oportunidades de treinamento
conduzidas como módulos de autoestudo ou conduzidos por instrutores para garantir que os candidatos tenham uma
compreensão completa da função. O EC-Council avalia o conhecimento dos candidatos ao CCISO com um exame
rigoroso que testa sua competência em cinco domínios com os quais um líder de segurança experiente deve estar
familiarizado.
Segurança de aplicativos: Engenheiro de segurança de aplicativos certificado
A credencial Certified Application Security Engineer

(CASE) é desenvolvida em parceria com grandes
especialistas em desenvolvimento de aplicativos e
software em todo o mundo.
A credencial CASE testa as habilidades e
conhecimentos críticos de segurança necessários
ao longo de um típico ciclo de vida de desenvolvimento de software (SDLC), com foco na importância da implementação
de metodologias e práticas seguras no ambiente operacional inseguro de hoje.
O programa de treinamento certificado pela CASE é desenvolvido simultaneamente para preparar profissionais de
software com os recursos necessários esperados por empregadores e acadêmicos em todo o mundo. Ele foi projetado
para ser um curso prático e abrangente de segurança de aplicativos que ajudará os profissionais de software a criar
aplicativos seguros. O programa de treinamento abrange atividades de segurança envolvidas em todas as fases do
Ciclo de Vida de Desenvolvimento de Software (SDLC): planejamento, criação, teste e implantação de um aplicativo.
Ao contrário de outros treinamentos de segurança de aplicativos, o CASE vai além de apenas as diretrizes sobre
práticas de codificação segura e inclui coleta segura de requisitos, design robusto de aplicativos e tratamento de
problemas de segurança nas fases pós-desenvolvimento do desenvolvimento de aplicativos. Isso faz da CASE uma
das certificações mais abrangentes do mercado atualmente. É desejado por engenheiros de aplicativos de software,
analistas e testadores em todo o mundo e respeitado pelas autoridades contratantes.
Tratamento de Incidentes: Analista de Inteligência de Ameaças Certificado
O Certified Threat Intelligence Analyst (C|TIA) foi projetado e desenvolvido em

colaboração com especialistas em segurança cibernética e inteligência de ameaças
em todo o mundo para ajudar as organizações a identificar e mitigar riscos de
negócios, convertendo ameaças internas e externas desconhecidas em ameaças
conhecidas. É um programa abrangente de nível especializado que ensina uma
abordagem estruturada para a construção de inteligência de ameaças eficaz.
Página VII Digital Forensics Essentials Copyright © por EC-Council Todos os

No cenário de ameaças em constante mudança, o C|TIA é um programa de treinamento essencial em Threat

Intelligence para aqueles que lidam diariamente com ameaças cibernéticas. Atualmente, as organizações exigem
um analista de inteligência de ameaças de segurança cibernética de nível profissional que possa extrair a
inteligência dos dados implementando várias estratégias avançadas. Esses programas de treinamento de
inteligência de ameaças de nível profissional só podem ser alcançados quando o núcleo dos currículos mapeia
e é compatível com as estruturas de inteligência de ameaças publicadas pelo governo e pelo setor.
Tratamento de Incidentes: Analista SOC Certificado
O programa Certified SOC Analyst (CSA) é o primeiro passo para ingressar em um

centro de operações de segurança (SOC). Ele é projetado para analistas SOC Tier
I e Tier II atuais e aspirantes para obter proficiência na execução de operações de
nível básico e intermediário.
O CSA é um programa de treinamento e credenciamento que ajuda o candidato a
adquirir habilidades técnicas de tendências e sob demanda por meio de instruções
de alguns dos instrutores mais experientes do setor. O programa se concentra na criação de novas oportunidades
de carreira por meio de conhecimento extenso e meticuloso com recursos de nível aprimorado para contribuir
dinamicamente para uma equipe SOC. Sendo um programa intenso de 3 dias, cobre completamente os
fundamentos das operações SOC, antes de transmitir o conhecimento de gerenciamento e correlação de logs,
implantação de SIEM, detecção avançada de incidentes e resposta a incidentes. Além disso, o candidato
aprenderá a gerenciar vários processos SOC e colaborar com o CSIRT no momento da necessidade.
Página VIII Digital Forensics Essentials Copyright © por EC-Council Todos os

Informações do Exame DFE
Detalhes do Exame DFE
Título do exame Fundamentos de Perícia Forense Digital (DFE)
Código do exame 112-53
Disponibilidade EC-Council Exam Portal (visite https://www.eccexam.com)
Duração 2 horas
Questões 75
Pontuação de aprovação 70%
Página IX Digital Forensics Essentials Copyright © por EC-Council Todos os

Índice
Módulo 01: Fundamentos da Computação Forense 1
Fundamentos de Computação Forense 3
Evidências Digitais 14
Prontidão Forense 31
Funções e responsabilidades de um investigador forense 38
Conformidade legal em computação forense 43
Módulo 02: Processo de Investigação Forense Computacional 53
Processo de Investigação Forense e sua Importância 55
Processo de Investigação Forense - Fase de Pré-Investigação 59
Processo de Investigação Forense - Fase de Investigação 67
Processo de Investigação Forense - Fase Pós-Investigação 76
Módulo 03: Entendendo Discos Rígidos e Sistemas de Arquivos 85
Diferentes tipos de unidades de disco e suas características 87
Estrutura Lógica de um Disco 105
Processo de inicialização dos sistemas operacionais Windows, Linux e Mac 124
Sistemas de arquivos dos sistemas operacionais Windows, Linux e Mac 144
Exame do sistema de arquivos 178
Módulo 04: Aquisição e Duplicação de Dados 185
Fundamentos de Aquisição de Dados 187
Tipos de Aquisição de Dados 195
Formato de Aquisição de Dados 198
Metodologia de Aquisição de Dados 203
Módulo 05: Derrotando Técnicas Anti-Forenses 227
Anti-forense e suas técnicas 229
Contramedidas anti-forenses 269
Módulo 06: Windows Forense 273
Informações voláteis e não voláteis 275
Análise de memória e registro do Windows 317
Cache, Cookie e Histórico Gravado em Navegadores da Web 335
Arquivos e metadados do Windows 345
Página X Digital Forensics Essentials Copyright © por EC-Council Todos os direitos

reservados. A reprodução é estritamente proibida.
Módulo 07: Linux e Mac Forensics 363
Dados voláteis e não voláteis no Linux 365
Analisar imagens do sistema de arquivos usando o kit Sleuth 398
Perícia Forense de Memória 402
Mac Forense 411
Módulo 08: Análise forense de rede 429
Fundamentos de forense de rede 431
Conceitos e tipos de correlação de eventos 446
Identifique indicadores de comprometimento (IoCs) de logs de rede 453
Investigar tráfego de rede 476
Módulo 09: Investigando ataques na Web 503
Análise Forense de Aplicativos Web 505
Logs do servidor Web IIS e Apache 517
Investigando ataques da Web em servidores baseados em Windows 538
Detecte e investigue ataques em aplicativos da Web 543
Módulo 10: Análise forense da Dark Web 563
Dark Web 565
Forense da Dark Web 571
Perícia Forense do Navegador Tor 580
Módulo 11: Investigando crimes por e-mail 587
Noções básicas de e-mail 589
Investigação de crimes por e-mail e suas etapas 599
Módulo 12: Análise Forense de Malware 645
Malware, seus componentes e métodos de distribuição 647
Fundamentos de análise forense de malware e reconhecimento de tipos de malware 655

Análise
Análise de Malware Estático 669
Analisar Documentos do Word Suspeitos 685
Análise Dinâmica de Malware 692
Análise de Comportamento do Sistema 699
Análise de Comportamento de Rede 730
Página XI Digital Forensics Essentials Copyright © por EC-Council Todos os

Glossário 743
Referências 759
Página XII Digital Forensics Essentials Copyright © por EC-Council Todos os

MT
EC-Council
CE-Conselho
D FE
Digital
Digital
Forensics Essentials
Módulo 01
Fundamentos da Computação Forense
Fundamentos de Perícia Forense Digital Exame 112-53

Fundamentos de Computação Forense
Objetivos do módulo
Ideia criativa
Entendendo os fundamentos do computador
1 forense
2 Compreendendo os diferentes tipos de crimes cibernéticos
3 Visão geral dos indicadores de comprometimento (IoCs)
Visão geral de diferentes tipos de provas digitais e regras de provas

4
Compreendendo o planejamento e os negócios de prontidão forense

5
Continuidade
Compreendendo as funções e responsabilidades de um perito forense

6
Investigador
7 Compreendendo a conformidade legal em computação forense
Copyright © por EC-Council. Todos os direitos reservados. A reprodução é estritamente proibida.
Este módulo discute o papel da computação forense no mundo de hoje. A computação forense desempenha um
papel vital na investigação e repressão de cibercriminosos.
O processo inclui a aquisição, inspeção e relatório de informações armazenadas em computadores e redes em

relação a um incidente civil ou criminal. Os investigadores forenses são profissionais treinados que extraem,
analisam/investigam e relatam crimes que visam a tecnologia ou a utilizam como uma ferramenta para cometer um
crime.
Este módulo também discute os fundamentos da evidência digital, bem como as leis e regras que os investigadores
devem seguir durante a coleta de evidências digitais. A discussão abrange planejamento de prontidão forense,
continuidade de negócios e as funções e responsabilidades de um investigador forense.
No final deste módulo, você será capaz de fazer o seguinte:
ÿ Compreender os fundamentos da computação forense
ÿ Compreender os diferentes tipos de cibercrime
ÿ Compreender os diferentes tipos de provas digitais e regras de prova
ÿ Compreender várias leis e regras a ter em conta durante a recolha de provas digitais
ÿ Compreender o planejamento de prontidão forense e continuidade de negócios
ÿ Identificar as funções e responsabilidades de um investigador forense
ÿ Compreender a conformidade legal em computação forense
Módulo 01 Página 2 Digital Forensics Essentials Copyright © por EC-Council

Todos os direitos reservados. A reprodução é estritamente proibida.

Fluxo do módulo
3
Entender Forense 4 5
2 Prontidão
Identifique os papéis e Entender Jurídico

Responsabilidades de um
Conformidade em
Investigador Forense
1 Entenda o digital
Evidência
Computação Forense
Entenda o
Fundamentos de
Entenda os fundamentos da computação forense

A computação forense desempenha um papel fundamental no rastreamento, investigação e julgamento de criminosos cibernéticos.
Esta seção apresenta a computação forense e seus objetivos. Ele também detalha por que e quando várias empresas podem
precisar conduzir uma investigação forense de computador.


Compreensão
A computação forense refere-se a um conjunto de procedimentos e técnicas metodológicas

que ajudam a identificar, reunir, preservar, extrair, interpretar, documentar e apresentar evidências
de equipamentos de computação, de modo que qualquer evidência descoberta seja aceitável
durante um processo legal e/ou administrativo
Compreendendo a computação forense
A computação forense é uma parte da forense digital que lida com crimes cometidos em dispositivos de
computação, como redes, computadores e mídia de armazenamento digital. Refere-se a um conjunto de
procedimentos e técnicas metodológicas para identificar, reunir, preservar, extrair, interpretar, documentar
e apresentar evidências de equipamentos de computação de modo que as evidências descobertas sejam
aceitáveis durante um processo legal e/ou administrativo em um tribunal.
Em resumo, a computação forense lida com o processo de encontrar evidências admissíveis relacionadas
a um crime digital para encontrar os perpetradores e iniciar uma ação legal contra eles.


Objetivos de
Estime o impacto potencial da

Identifique, reúna e Reúna evidências de crimes
atividade maliciosa na vítima e
preserve as evidências cibernéticos de maneira
avalie a intenção
de um crime cibernético forense
do perpetrador
Minimizar as perdas Proteger a organização de Apoiar a acusação do autor de

tangíveis e intangíveis para incidentes semelhantes no um incidente
a organização futuro
Objetivos da Computação Forense
É essencial usar a computação forense para o seguinte:
ÿ Identificar, reunir e preservar as evidências de um cibercrime
ÿ Identificar e reunir evidências de crimes cibernéticos de maneira forense
ÿ Rastrear e processar os autores dos crimes em tribunal
ÿ Interpretar, documentar e apresentar as provas de modo a que sejam admissíveis durante

acusação
ÿ Estimar o impacto potencial da atividade maliciosa na vítima e avaliar a intenção

o perpetrador
ÿ Encontre vulnerabilidades e brechas de segurança que ajudem os invasores
ÿ Compreender as técnicas e métodos utilizados pelos atacantes para evitar processos e

superá-los
ÿ Recupere arquivos excluídos, arquivos ocultos e dados temporários que podem ser usados como evidência
ÿ Realizar resposta a incidentes (IR) para evitar mais perdas de propriedade intelectual, finanças,
e reputação durante um ataque
ÿ Conheça as leis de várias regiões e áreas, pois os crimes digitais são generalizados e remotos
ÿ Conhecer o processo de manipulação de múltiplas plataformas, tipos de dados e sistemas operacionais
ÿ Aprender a identificar e utilizar as ferramentas adequadas para investigações forenses
ÿ Prepare-se para incidentes com antecedência para garantir a integridade e continuidade da rede
a infraestrutura


ÿ Oferece ampla proteção aos recursos de dados e garante a conformidade regulatória
ÿ Proteger a organização de incidentes semelhantes no futuro
ÿ Ajudar a neutralizar crimes online, como abuso, intimidação e danos à reputação
ÿ Minimizar as perdas tangíveis e intangíveis para uma organização ou um indivíduo
ÿ Apoiar a ação penal do autor de um cibercrime


Necessidade de Computação Forense
01 03
Para garantir a integridade geral e a
Para rastrear com
existência contínua de sistemas de
eficiência os perpetradores
TI e infraestrutura de rede dentro das
de diferentes partes do mundo
organizações
04
02 Para proteger os recursos
financeiros da organização e
Extrair, processar e interpretar as
evidências factuais de modo que o tempo valioso
prova as ações do atacante no

tribunal
Necessidade de Computação Forense
Um aumento exponencial no número de crimes cibernéticos e litígios civis envolvendo grandes organizações enfatizou
a necessidade de computação forense. Tornou-se uma necessidade para as organizações empregar o serviço de uma
agência de computação forense ou contratar um especialista em computação forense para resolver casos envolvendo
o uso de computadores e tecnologias relacionadas. As enormes perdas financeiras causadas por crimes cibernéticos
também contribuíram para renovar o interesse pela computação forense.
A computação forense desempenha um papel importante no rastreamento de criminosos cibernéticos. O papel principal da
computação forense é o seguinte:
ÿ Garantir a integridade geral e a existência contínua do computador de uma organização

infraestrutura de sistema e rede
ÿ Ajude a organização a capturar informações importantes se seus sistemas ou redes de computadores forem
comprometidos. A evidência forense também ajuda a processar o perpetrador de um crime cibernético, se for
pego.
ÿ Extraia, processe e interprete a evidência real para que comprove as ações do invasor
e sua culpa ou inocência no tribunal
ÿ Rastreie com eficiência perpetradores/terroristas de diferentes partes do mundo. Os terroristas que usam a
Internet como meio de comunicação podem ser rastreados e seus planos descobertos. Os endereços IP são
vitais para encontrar a localização geográfica dos terroristas.
ÿ Economize o dinheiro e o tempo valioso da organização. Muitos gerentes alocam uma grande parte
de seu orçamento de TI para segurança de computadores e redes.
ÿ Rastreie casos complexos, como ataques de ransomware, spam de e-mail, etc.


Quando você usa

computação forense?
Prepare-se para incidentes protegendo e fortalecendo o mecanismo de defesa, bem como fechando as
brechas na segurança
Identificar as ações necessárias para a resposta a incidentes
Agir contra direitos autorais e roubo/uso indevido de propriedade intelectual
Estimar e minimizar os danos aos recursos em uma configuração corporativa
Defina um parâmetro de segurança e formule normas de segurança para garantir a prontidão forense
Quando você usa computação forense?
A computação forense é necessária quando ocorre um crime baseado em computador e, como mencionado anteriormente,
esses crimes estão aumentando em todo o mundo. As organizações precisam contratar os serviços de uma agência de
computação forense ou contratar um especialista em computação forense para resolver crimes que envolvam computadores
e tecnologias relacionadas. As enormes perdas financeiras causadas por crimes cibernéticos também contribuíram para um
interesse renovado em computação forense.
A computação forense pode ser útil contra todos os tipos de segurança e incidentes criminais que envolvem sistemas de
computador e tecnologias relacionadas. A maioria das organizações procura a ajuda da computação forense para o seguinte:
ÿ Preparar-se para incidentes assegurando e reforçando o mecanismo de defesa bem como

fechando as brechas na segurança
ÿ Conhecer os regulamentos relacionados com as leis cibernéticas e cumpri-los
ÿ Reportar incidentes envolvendo violação de cibersegurança
ÿ Identificar as ações necessárias para resposta a incidentes
ÿ Actuar contra o roubo/uso indevido de direitos de autor e propriedade intelectual
ÿ Resolver litígios entre empregados ou entre empregador e empregados
ÿ Estimar e minimizar os danos aos recursos em uma configuração corporativa
ÿ Definir um parâmetro de segurança e formular normas de segurança para garantir a prontidão forense


Tipos de Cibercrimes
Cibercrime é definido como qualquer ato ilegal envolvendo
um dispositivo de computação, rede, seus sistemas ou
seus aplicativos
O cibercrime pode ser classificado em dois tipos com

base na linha de ataque
Ataque interno/interno ataque externo
ÿ É um ataque realizado em uma rede corporativa ÿ Este tipo de ataque ocorre quando um
ou em um único computador por uma pessoa invasor de fora da organização tenta obter
confiada (insider) que tenha acesso acesso não autorizado a seus sistemas de
autorizado à rede computação ou ativos de informação
ÿ Esses insiders podem ser antigos ou atuais

funcionários, parceiros de negócios ÿ Esses invasores exploram a segurança
ou contratados brechas ou usar técnicas de engenharia
social para se infiltrar na rede
Tipos de Cibercrimes
Cibercrime refere-se a “qualquer ato ilegal que envolva um computador, seus sistemas ou seus aplicativos”.
Assim que os investigadores começarem a investigar a cena do crime, eles devem se lembrar de que os crimes
cibernéticos são principalmente de natureza intencional. O tipo de crime cibernético cometido depende das ferramentas
do crime e de seu alvo.
As ferramentas do crime referem-se a várias ferramentas de hackers usadas para cometer o crime. Eles incluem o
computador ou estação de trabalho usada para o crime e o software e hardware associados. Quando possível, os
investigadores forenses geralmente tomam as ferramentas disponíveis sob custódia para usá-las como prova.
O alvo do crime refere-se à vítima, que pode ser uma organização empresarial, site, agência de consultoria ou órgão
governamental. Os alvos também podem significar um ambiente virtual que pode atuar como evidência digital por
causa de um incidente ocorrido nele. Um sistema se torna o alvo por motivos como roubo, modificação ou destruição
de dados; acesso não autorizado; um ataque de negação de serviço; ou um ataque Man-in-the-Middle. Com base na
linha de ataque, os crimes cibernéticos podem ser classificados como ataques internos/internos e ataques externos.
ÿ Ataques internos/internos
Esses ataques se originam de pessoas dentro da organização, como funcionários insatisfeitos, funcionários
atuais ou demitidos, parceiros de negócios, contratados e/ou equipe mal treinada. Esses insiders têm acesso
legítimo aos sistemas de computador e aos dados da organização e usam esse acesso de forma negativa
para prejudicar a organização. Como ocorrem dentro da rede organizacional e utilizam acesso autorizado, os
ataques internos podem ser bastante difíceis de detectar. Exemplos de ataques internos incluem espionagem,
roubo de propriedade intelectual, manipulação de registros e ataque de cavalo de Tróia.


ÿ Ataques externos
Ataques externos referem-se a ataques originados de fontes externas. Tais ataques ocorrem quando as
políticas e procedimentos de segurança da informação são inadequados. Os invasores de fora da
organização tentam obter acesso não autorizado aos sistemas de computação, rede ou ativos informativos
da organização. Os ataques externos geralmente são executados por cibercriminosos e hackers que visam
informações corporativas protegidas, explorando vulnerabilidades de segurança ou usando outras técnicas
de engenharia social.
Exemplos de ataques externos incluem ataque SQL, quebra de força bruta, roubo de identidade, phishing/
spoofing, ataque de negação de serviço, difamação cibernética, etc.
Os cibercriminosos podem lançar ataques externos em qualquer rede corporativa com várias metas e
objetivos. Eles podem manipular ou destruir informações confidenciais, sabotar sistemas, roubar credenciais
de usuários confiáveis ou exigir resgates. Isso pode interromper gravemente a continuidade dos negócios,
manchar a reputação da organização no mercado e causar perda de dados e recursos financeiros.


Exemplos de crimes cibernéticos
1 Espionagem 7 Phishing/Spoofing
2 Roubo de propriedade intelectual 8 Ataques de escalonamento de privilégios
3 Manipulação de dados 9 Ataque de negação de serviço
4 Ataque do Cavalo de Tróia 10 Ciberdifamação
5 Ataque de linguagem de consulta estruturada 11 Terrorismo cibernético
6 Ataque de força bruta

12 guerra cibernética
Exemplos de crimes cibernéticos
ÿ Espionagem: A espionagem corporativa é uma ameaça central para as organizações porque os concorrentes
geralmente tentam proteger dados confidenciais por meio da coleta de inteligência de código aberto.
Por meio dessa abordagem, os concorrentes podem lançar produtos similares no mercado, alterar preços
e, em geral, minar a posição de mercado de uma organização-alvo.
ÿ Roubo de propriedade intelectual: É o processo de roubo de segredos comerciais, direitos autorais ou

direitos de patente de um bem ou material pertencente a pessoas físicas ou jurídicas. A propriedade
roubada geralmente é entregue a rivais ou outros concorrentes, resultando em enormes perdas para a
organização que a desenvolveu ou a possuiu.
ÿ Manipulação de dados: É uma atividade maliciosa na qual os invasores modificam, alteram ou alteram
conteúdo digital valioso ou dados confidenciais durante a transmissão, em vez de roubar diretamente os
dados da empresa. Ataques de manipulação de dados podem levar à perda de confiança e integridade.
ÿ Ataque de Cavalo de Tróia: Um cavalo de Tróia de computador é um programa ou dados aparentemente

inofensivos que contém código malicioso ou prejudicial, que pode posteriormente obter controle e causar
danos, como danos à tabela de alocação de arquivos no disco rígido. Os invasores usam cavalos de Tróia
de computador para induzir a vítima a executar uma ação predefinida. Os cavalos de Tróia são ativados
mediante ações predefinidas específicas dos usuários, como a instalação não intencional de software
malicioso e o clique em um link malicioso. Após a ativação, os cavalos de Tróia podem conceder aos
invasores acesso irrestrito a todos os dados armazenados no sistema de informações comprometido,
podendo causar danos graves.
ÿ Ataque de linguagem de consulta estruturada (SQL): injeção/ataque de SQL é uma técnica usada para
aproveitar vulnerabilidades de entrada não sanitizadas para passar comandos SQL por meio de uma rede


aplicativo para execução por um banco de dados de back-end. Nessa técnica, o invasor injeta consultas
SQL maliciosas em um formulário de entrada do usuário para obter acesso não autorizado a um banco de
dados ou para recuperar informações diretamente do banco de dados.
ÿ Ataque de força bruta: é o processo de usar uma ferramenta de software ou script para adivinhar as
credenciais ou chaves de login ou descobrir aplicativos ou páginas da Web ocultos por meio de um método
de tentativa e erro. Um ataque de força bruta é executado tentando todas as combinações possíveis de
nomes de usuários e senhas para determinar credenciais válidas.
ÿ Phishing/spoofing: Phishing é uma técnica na qual um invasor envia um e-mail ou fornece um link falsamente
alegando ser de um site legítimo para adquirir as informações pessoais ou da conta de um usuário.
ÿ Ataques de escalonamento de privilégios: Privilégios são funções de segurança atribuídas a usuários de

programas, recursos, sistemas operacionais, funções, arquivos, códigos etc. específicos para limitar o
acesso com base no tipo de usuário. Se um usuário receber privilégios mais altos, ele poderá modificar ou
interagir com partes mais restritas do sistema ou aplicativo do que usuários com menos privilégios.
Inicialmente, os invasores obtêm acesso ao sistema com baixo privilégio e, em seguida, tentam obter
privilégios mais altos para realizar atividades restritas a usuários com menos privilégios.
ÿ Ataque de negação de serviço (DoS): Um ataque DoS é um ataque a um computador ou rede que reduz,
restringe ou impede o acesso a recursos do sistema para usuários legítimos. Em um ataque DoS, os
invasores inundam o sistema da vítima com solicitações de serviço ou tráfego não legítimos para
sobrecarregar seus recursos e desligar o sistema, levando à indisponibilidade do site da vítima ou, pelo
menos, reduzindo significativamente o desempenho do sistema ou da rede da vítima.
ÿ Ciberdifamação: É uma atividade ofensiva em que um computador ou dispositivo conectado à web é

empregado como uma ferramenta ou ponto de origem para prejudicar a reputação de uma organização ou
indivíduo. Enviar e-mails difamatórios ou postar declarações difamatórias nas mídias sociais pode prejudicar
em grande medida a reputação da organização ou entidade alvo.
ÿ Ciberterrorismo: envolve o uso da Internet ou recursos da web para ameaçar, intimidar ou realizar atividades
violentas para obter vantagens ideológicas ou políticas sobre indivíduos ou grupos. Pode ser executado
usando worms de computador, vírus, scripts maliciosos ou ferramentas maliciosas com uma agenda
pessoal.
ÿ Ciberguerra: Libicki define a ciberguerra como o uso de sistemas de informação contra as personas virtuais
de indivíduos ou grupos. É o mais amplo de todos os tipos de guerra de informação. Inclui terrorismo de
informação, ataques semânticos (semelhante à guerra hacker, mas em vez de prejudicar um sistema, ele
se apodera do sistema mantendo a percepção de que está operando corretamente) e simula-warfare
(guerra simulada, por exemplo, pela aquisição de armas para mera demonstração em vez de uso real).


Impacto de
Cibercrimes no
Organizacional Perda de confidencialidade, integridade e disponibilidade das informações
Nível 01 armazenadas nos sistemas organizacionais
02 Roubo de dados sensíveis
03 Interrupção repentina das atividades comerciais
04 Perda de confiança do cliente e das partes interessadas
05 Danos reputacionais substanciais
06 Grandes perdas financeiras
07 Sanções decorrentes do descumprimento das normas
Impacto dos crimes cibernéticos no nível organizacional
Atualmente, a maioria das empresas depende da Internet e da economia digital, o que também levou ao seu
crescimento fenomenal em escala global. No entanto, essa digitalização completa dos processos de negócios também
apresenta novos riscos e ameaças à segurança cibernética. Novos métodos de ataques cibernéticos e protocolos
inadequados de segurança cibernética resultaram em violações massivas de dados nas organizações nos últimos
tempos. As principais consequências dos crimes cibernéticos nas organizações incluem roubo de informações
confidenciais, interrupção das operações comerciais normais e danos substanciais à reputação.
Essas violações levam ainda mais à perda de confidencialidade, integridade e disponibilidade das informações
armazenadas nos sistemas organizacionais, bem como à perda da confiança do cliente e das partes interessadas.
A natureza do cibercrime está evoluindo com ataques maliciosos internos e aumento das tentativas de phishing com
máximo impacto organizacional. Com o número crescente de violações de segurança, o custo associado à mitigação
de ataques cibernéticos também está aumentando.
Com um cenário de ameaças em constante expansão, as organizações precisam tomar medidas apropriadas para a
investigação, contenção e erradicação de ameaças cibernéticas. Eles também devem fazer investimentos direcionados
para fortalecer sua estrutura de segurança de TI em conformidade com as políticas, padrões e regulamentos relevantes.


Fluxo do módulo
3
Prontidão
2
Responsabilidades de um Conformidade em
Entenda o digital Investigador Forense
1 Evidência
Entenda o
Fundamentos de
Entenda as evidências digitais

Evidência digital refere-se a informações probatórias armazenadas ou transmitidas por meio de
um dispositivo eletrônico. As evidências digitais devem ser adquiridas e examinadas de maneira
forense durante a investigação de crimes cibernéticos. Esta seção descreve os fundamentos da
evidência digital e discute as várias regras e padrões relativos à coleta de evidência digital.


Introdução ao Digital
Evidência
Evidência digital é definida como “qualquer informação

de valor probatório que seja armazenada ou transmitida
em formato digital”
A evidência digital é circunstancial e frágil por natureza, o

que torna difícil para um investigador forense rastrear atividades
criminosas
De acordo com o Princípio de Troca de Locard, “qualquer

um ou qualquer coisa, entrando em uma cena de crime leva
algo da cena com eles, e deixa algo de si para trás quando sai”
Introdução à evidência digital
Dispositivos digitais usados em ataques cibernéticos e outras violações de segurança podem armazenar alguns
dados sobre a sessão, como login do usuário, horário, tipo de conexão e endereços IP, que podem fornecer
evidências para processar o invasor. As evidências digitais incluem todas as informações que são armazenadas
ou transmitidas em formato digital e têm valor probatório, ajudando assim os investigadores a encontrar o
perpetrador.
As evidências digitais podem ser encontradas em dispositivos de computação, servidores, roteadores, etc. Elas
são reveladas durante a investigação forense ao examinar a mídia de armazenamento digital, monitorar o tráfego
de rede ou fazer cópias duplicadas de dados digitais. Os investigadores devem tomar o máximo cuidado ao
coletar e extrair as evidências digitais, pois essas evidências são frágeis. Isso torna difícil para um investigador
forense rastrear atividades criminosas. Os investigadores devem ser treinados e qualificados para extrair,
manusear e analisar essas evidências frágeis.
De acordo com o Princípio de Troca de Locard, “qualquer um ou qualquer coisa que entre na cena do crime leva
algo da cena com eles e deixa algo de si para trás quando sai”.
Por exemplo, se as informações do computador da vítima estiverem armazenadas no servidor ou no próprio
sistema no momento do crime, o investigador poderá obter facilmente essas informações examinando arquivos
de log, histórico de navegação na Internet e assim por diante. Da mesma forma, se um indivíduo enviar uma
mensagem intimidadora por meio de um serviço de e-mail baseado na Internet, como Hotmail, Gmail ou Yahoo
Mail, os sistemas da vítima e do ator podem armazenar arquivos, links e outras informações que os investigadores
forenses podem extrair e analisar.


Tipos de Evidências Digitais
Dados voláteis Data não volátil

ÿ Dados que são perdidos assim que o ÿ Dados permanentes armazenados em
dispositivo é desligado; os exemplos dispositivos de armazenamento

incluem hora do sistema, usuário(s) secundário , como discos rígidos e cartões
conectado(s), arquivos abertos, informações de memória; os exemplos incluem arquivos
de rede, informações de processo, ocultos, espaço livre, arquivo de troca,
mapeamento de processo para porta, arquivos index.dat, clusters não alocados,
memória de processo, conteúdo da área de partições não utilizadas, partições ocultas,
transferência, informações de serviço/driver, configurações de registro, logs de eventos,
histórico de comandos, etc. etc.
Tipos de Evidências Digitais
Os cibercriminosos dependem diretamente da tecnologia e dos dispositivos digitais para interagir com o sistema ou
rede de destino. Portanto, a maioria das evidências está presente nos dispositivos usados por um invasor para se
conectar a uma rede ou nos dispositivos de computação da vítima. A evidência digital pode ser qualquer tipo de
arquivo armazenado em um dispositivo, incluindo um arquivo de texto, imagem, documento, arquivo executável e
dados de aplicativos. A maioria dessas evidências está localizada na mídia de armazenamento dos dispositivos. Com
base no estilo de armazenamento e na vida útil, as evidências digitais são categorizadas em dois tipos: dados voláteis
e dados não voláteis.
ÿ Dados voláteis: Referem- se às informações temporárias em um dispositivo digital que requer uma fonte de
alimentação constante e são excluídas se a fonte de alimentação for interrompida. Por exemplo, a memória
de acesso aleatório armazena os dados mais voláteis e os descarta quando o dispositivo é desligado. Dados
voláteis importantes incluem hora do sistema, usuário(s) conectado(s), arquivos abertos, informações de
rede, informações de processo, mapeamento de processo para porta, memória de processo, conteúdo da
área de transferência, informações de serviço/driver, histórico de comandos, etc.
ÿ Dados não voláteis: Referem-se aos dados permanentes armazenados em dispositivos de armazenamento
secundário, como discos rígidos e cartões de memória. Os dados não voláteis não dependem da fonte de
alimentação e permanecem intactos mesmo quando o dispositivo é desligado. Os exemplos incluem arquivos
ocultos, espaço livre, arquivo de troca, arquivos index.dat, clusters não alocados, partições não utilizadas,
partições ocultas, configurações de registro e logs de eventos.


Funções da evidência digital

ÿ Exemplos de casos em que evidências digitais podem auxiliar o investigador forense na acusação ou
defesa de um suspeito:
01 02 03 04 05
Roubo de identidade Ataques maliciosos Vazamento de Transmissão roubo de comercial

nos próprios sistemas informações não autorizada de segredos
de computador informações
06 07 08 09 10
Uso/abuso do Produção de Não autorizado Abuso de sistemas Comunicação por e-mail

Internet documentos e criptografia/proteção entre suspeitos/
contas falsas por senha de conspiradores
documentos
Funções da evidência digital
Exemplos de casos em que evidências digitais podem auxiliar o investigador forense na acusação ou defesa de um
suspeito:
1. Roubo de identidade
2. Ataques maliciosos nos próprios sistemas de computador
3. Vazamento de informações
4. Transmissão não autorizada de informações
5. Roubo de segredos comerciais
6. Uso/abuso da Internet
7. Produção de documentos e contas falsas
8. Criptografia não autorizada/proteção por senha de documentos
9. Abuso de sistemas
10. Comunicação por e-mail entre suspeitos/conspiradores


Fontes de evidências potenciais
Criado por computador

Arquivos criados pelo usuário Arquivos protegidos pelo usuário
arquivos
ÿ Catálogos de Endereços ÿ Arquivos compactados ÿ Backup de arquivos
ÿ Arquivos de banco de dados ÿ Arquivos de log

ÿ Arquivos com nomes incorretos
ÿ Arquivos de mídia (imagens, gráficos, ÿ Arquivos de configuração

áudio, vídeo, etc.) ÿ Arquivos criptografados
ÿ Arquivos de spool da impressora
ÿ Arquivos de documentos
ÿ Arquivos protegidos por senha ÿ Cookies
(texto, planilha,
apresentação, etc.) ÿ Arquivos ocultos ÿ Trocar arquivos
ÿ Marcadores da Internet, favoritos, ÿ Arquivos do sistema

ÿ Esteganografia
etc.
ÿ Arquivos de histórico
ÿ Arquivos temporários
Fontes de Potencial
Evidências (continuação)
Dispositivo Localização de evidências potenciais
Disco rígido Arquivos de texto, imagem, vídeo, multimídia, banco de dados e programas de computador
Pen drive Arquivos de texto, gráficos, imagens e imagens
Cartão de memória Logs de eventos, logs de bate-papo, arquivos de texto, arquivos de imagem, arquivos de imagem e histórico de navegação na Internet
Cartão inteligente
As evidências são encontradas reconhecendo ou autenticando as informações do cartão e do usuário, por meio do nível de
Conector de wifi
acesso, configurações, permissões e no próprio dispositivo
Scanner biométrico
Gravações de voz, como mensagens excluídas, último número chamado, memorando, números de telefone e
Secretária eletrônica
fitas
Câmera Digital/Vigilância
Imagens, cartuchos removíveis, vídeo, som, carimbo de data e hora, etc.
câmeras
Memória de acesso aleatório

As evidências são localizadas e podem ser adquiridas na memória principal do computador
(RAM) e armazenamento volátil


Fontes de Potencial
Evidências (continuação)
Catálogo de endereços, calendários de compromissos ou informações, documentos, e-mail,

Dispositivos portáteis
manuscrito, senha, catálogo telefônico, mensagens de texto e mensagens de voz
Rede local
(LAN) Placa/ Rede Endereço MAC (Media Access Control)
Placa de interface (NIC)
Para roteadores, a evidência é encontrada nos arquivos de configuração

Roteadores, Modems, Hubs
e Switches Para hubs, switches e modems, a evidência é encontrada nos próprios dispositivos
Cabos de rede e
Nos próprios dispositivos
Conectores
Servidor Sistema de computador
A evidência é encontrada por meio de registros de uso, informações de data e hora e

Impressora
informações de identidade de rede, cartuchos de tinta e carimbo de data e hora
Internet das Coisas e As evidências podem ser adquiridas na forma de GPS, gravações de áudio e vídeo, sensores
vestíveis de armazenamento em nuvem, etc.

(continua)
Removível
O dispositivo de armazenamento e a mídia, como fita, CD, DVD e Blu-ray, contêm as evidências nos
Armazenar
próprios dispositivos
Dispositivo e mídia
scanner A evidência é encontrada olhando para as marcas no vidro do scanner
As evidências são encontradas por meio de nomes, números de telefone, informações de

Telefones
identificação de chamadas , informações de compromissos, correio eletrônico e páginas, etc.
copiadoras Documentos, logs de uso do usuário, carimbos de data e hora, etc.
Cartão de crédito A evidência é encontrada através da data de validade do cartão, endereço do usuário, números de
Skimmers cartão de crédito, nome do usuário, etc.
As evidências são encontradas através de livro de endereços, notas, calendários de compromissos,

Relógios digitais
números de telefone, e-mail, etc.
Fax (Fax) As evidências são encontradas por meio de documentos, números de telefone, cartucho de filme, registros de
máquinas envio ou recebimento
Posicionamento global A evidência é encontrada através de destinos anteriores, pontos de passagem, rotas, registros de viagem,
Sistemas (GPS) etc.
Os investigadores podem coletar evidências digitais de várias fontes. Além dos sistemas de computação autônomos,
as evidências digitais podem ser adquiridas a partir de dispositivos de armazenamento, periféricos e de rede e
portáteis encontrados na cena do crime. Uma vez identificadas, essas fontes potenciais de evidências devem ser
obtidas de maneira forense sólida para preservar sua integridade.


Os investigadores devem usar ferramentas e técnicas forenses válidas e confiáveis ao adquirir evidências digitais para evitar alterações nos
dados.
Abaixo estão listadas algumas fontes de evidências potenciais que registram as atividades do usuário e podem fornecer informações úteis
durante a investigação forense:
ÿ Arquivos criados pelo usuário
o Catálogos de endereços
o Arquivos de banco de dados
o Arquivos de mídia (imagens, gráficos, áudio, vídeo, etc.)
o Documentos (texto, planilha, apresentação, etc.) arquivos
o Marcadores da Internet, favoritos, etc.
ÿ Arquivos Protegidos pelo Usuário
o Arquivos compactados
o Arquivos com nomes incorretos
o Arquivos criptografados
o Arquivos protegidos por senha
o Arquivos ocultos
o Esteganografia
ÿ Ficheiros Criados por Computador
o Arquivos de backup
o Arquivos de log
o Arquivos de configuração
o Arquivos de spool da impressora
o Cookies
o Trocar arquivos
o Arquivos do sistema
o Arquivos de histórico
o Arquivos temporários
Arquivos de texto, imagem, vídeo, multimídia, banco de dados e programas de computador

Disco rígido
Pen drive Arquivos de texto, gráficos, imagens e imagens
Logs de eventos, logs de bate-papo, arquivos de texto, arquivos de imagem, arquivos de imagem e histórico
Cartão de memória
de navegação na Internet


Cartão inteligente
As evidências são encontradas reconhecendo ou autenticando as informações do cartão e
Conector de wifi do usuário, por meio do nível de acesso, configurações, permissões e no próprio dispositivo
Scanner biométrico
Gravações de voz, como mensagens excluídas, último número chamado, memorando,

Secretária eletrônica
números de telefone e fitas
Câmera Digital/Vigilância Imagens, cartuchos removíveis, vídeo, som, carimbo de data e hora,
câmeras etc.
Memória de acesso aleatório As evidências são localizadas e podem ser adquiridas na memória principal do computador
(RAM) e armazenamento volátil
Catálogo de endereços, calendários de compromissos ou informações, documentos, e-mail,

Dispositivos portáteis manuscrito, senha, catálogo telefônico, mensagens de texto e mensagens de voz
Rede de área local (LAN)

Cartão/ Cartão de interface de rede Endereço MAC (Media Access Control)
(NENHUMA COISA)
Para roteadores, a evidência é encontrada nos arquivos de configuração

Roteadores, Modem, Hubs e
Para hubs, switches e modems, a evidência é encontrada nos próprios dispositivos
Comuta
Cabos de rede e
Nos próprios dispositivos
Conectores
Servidor Sistema de computador
A evidência é encontrada por meio de registros de uso, informações de data e hora e

Impressora informações de identidade de rede, cartuchos de tinta e carimbo de data e hora
Internet das Coisas e vestíveis As evidências podem ser adquiridas na forma de GPS, gravações de áudio e vídeo,
sensores de armazenamento em nuvem, etc.
Armazenamento removível O dispositivo de armazenamento e a mídia, como fita, CD, DVD e Blu-ray, contêm as evidências
Dispositivo e mídia nos próprios dispositivos
scanner As evidências são encontradas observando as marcas no vidro do scanner As evidências são
encontradas por meio de nomes, números de telefone, informações de identificação do

Telefones chamador, informações de compromissos, correio eletrônico e páginas, etc.
copiadoras Documentos, logs de uso do usuário, carimbos de data e hora, etc.
A evidência é encontrada através da data de validade do cartão, endereço do usuário,

Skimmers de cartão de crédito
números de cartão de crédito, nome do usuário, etc.
As evidências são encontradas através de livro de endereços, notas, calendários de

Relógios digitais
compromissos, números de telefone, e-mail, etc.
As evidências são encontradas por meio de documentos, números de telefone,

Máquinas de Fax (Fax)
cartucho de filme, registros de envio ou recebimento. As evidências são encontradas
Sistemas de Posicionamento Global em destinos anteriores, pontos de passagem, rotas, registros de viagem, etc.
(GPS)
Tabela 1.1: Fontes de evidências potenciais


Regras de Provas
ÿ A coleta de evidências digitais deve ser regida por cinco regras
básicas que a tornam admissível em um tribunal:
Compreensível
1
As evidências devem ser claras e compreensíveis para os juízes
Admissível
2 A evidência deve estar relacionada ao fato que está sendo provado
Autêntico
3 As evidências devem ser reais e apropriadamente relacionadas ao incidente
De confiança
4 Não deve haver dúvida sobre a autenticidade ou veracidade das evidências
Completo
5 A evidência deve provar as ações do agressor ou sua inocência
Regras de Provas
Antes de iniciar a investigação, o investigador deve entender as regras de evidência.

A apresentação de provas em um processo judicial, especialmente em casos de crimes cibernéticos, pode
representar grandes desafios. Conhecimento específico é necessário para coletar, preservar e transportar as
evidências porque as evidências obtidas de um caso de crime cibernético podem diferir das formas tradicionais de
evidência. Frequentemente, as evidências associadas a crimes cibernéticos estão no formato digital.
Antes do processo judicial, a prova a ser apresentada em tribunal deve obedecer a cinco regras básicas de prova.
1. Compreensível: Investigadores e promotores devem apresentar as provas de forma clara e compreensível

aos membros do júri. Devem explicar os fatos com clareza e obter opinião de especialistas para confirmar
o processo de investigação.
2. Admissível: Os investigadores precisam apresentar evidências de maneira admissível, o que significa que
elas devem ser relevantes para o caso, agir em apoio ao cliente que as apresenta e ser bem comunicadas
e sem preconceitos
3. Autêntico: Dado que as evidências digitais podem ser facilmente manipuladas, sua propriedade precisa ser
esclarecida. Portanto, os investigadores devem fornecer documentos comprobatórios sobre a autenticidade
das evidências com detalhes como a fonte das evidências e sua relevância para o caso. Se necessário,
eles também devem fornecer detalhes como o autor da evidência ou via de transmissão.
4. Confiável: Os investigadores forenses devem extrair e manipular as evidências enquanto mantêm um

registro das tarefas realizadas durante o processo para provar que as evidências são confiáveis. As
investigações forenses devem ser conduzidas apenas em cópias das evidências


porque trabalhar com a evidência original pode manipulá-la e torná-la inadmissível no

tribunal.
5. Completa: A prova deve ser completa, o que significa que deve provar ou refutar o fato
consensual no litígio. Se a prova não o fizer, o tribunal é susceptível de arquivar o caso,
citando a falta de provas integrais.


Regra da Melhor Evidência
Afirma que o tribunal permite apenas a evidência

original de um documento, fotografia ou
gravação no julgamento, em vez de uma cópia.
No entanto, a duplicata pode ser aceita como
prova, desde que o tribunal considere genuínos
os motivos da parte para enviar a duplicata.
O princípio subjacente à regra da

melhor evidência é que a evidência
original é considerada a melhor
evidência
Regra da Melhor Evidência
A regra da melhor evidência afirma que o tribunal só permite a evidência original de um documento, fotografia ou
gravação no julgamento e não uma cópia. No entanto, a duplicata pode ser aceita como prova, desde que o tribunal
considere genuínas as razões da parte para apresentar a duplicata.
Por exemplo, se a prova for destruída, perdida ou inacessível devido a algum motivo (como o original ter sido
destruído ou estar na posse de um terceiro), o tribunal estará disposto a aceitar uma cópia da prova se uma
testemunha puder testemunhar e confirmar que a cópia enviada é de fato uma cópia real das evidências.
A regra da melhor evidência também afirma que a melhor ou mais alta forma de evidência disponível para qualquer
parte deve ser apresentada em um tribunal. Se um formulário de testemunho ao vivo ou original estiver disponível, o
tribunal não admitirá cópias duplicadas desse testemunho como prova.


Regras Federais de Evidência (Estados Unidos)
Estas regras devem ser interpretadas para garantir a justiça na administração, a eliminação de despesas e
atrasos injustificáveis e a promoção do crescimento e desenvolvimento da lei de provas para que a verdade
possa ser apurada e os procedimentos determinados com justiça
Regras Federais de Evidência (Estados Unidos)
Fonte: https:// www.rulesofevidence.org
Regra 101: Escopo
“Essas regras se aplicam a processos nos tribunais dos Estados Unidos. Os tribunais e procedimentos específicos aos quais
as regras se aplicam, juntamente com as exceções, são definidos na Regra 1101.”
Regra 102: Finalidade
“Essas regras devem ser interpretadas de forma a administrar todos os procedimentos de forma justa, eliminar despesas e
atrasos injustificáveis e promover o desenvolvimento da lei de evidências, com o objetivo de apurar a verdade e garantir uma
determinação justa.”
Regra 103: Decisões sobre Provas
uma. Preservando uma alegação de erro
“Uma parte pode alegar erro em uma decisão para admitir ou excluir provas somente se o erro afetar um direito
substancial da parte e:
1. se a decisão admitir provas, uma parte, no registro:
eu. objetos oportunos ou movimentos para atacar; e
ii. declara o motivo específico, a menos que seja aparente no contexto; ou
2. se a decisão exclui provas, uma parte informa o tribunal de sua substância por meio de uma oferta de prova, a
menos que a substância seja aparente no contexto


b. Não necessidade de renovar uma objeção ou oferecimento de prova
Uma vez que o tribunal decida definitivamente sobre o registro - antes ou no julgamento - uma parte não precisa
renovar uma objeção ou oferecer prova para preservar uma alegação de erro para apelação
c. Declaração do Tribunal sobre a decisão; dirigindo uma oferta de prova
O tribunal pode fazer qualquer declaração sobre o caráter ou a forma da prova, a objeção feita e a decisão. O tribunal
pode determinar que uma oferta de prova seja feita na forma de perguntas e respostas
d. Impedir que o júri ouça provas inadmissíveis
Na medida do possível, o tribunal deve conduzir um julgamento com júri para que provas inadmissíveis não sejam
sugeridas ao júri por qualquer meio
e. Tomando conhecimento de erro simples
Um tribunal pode tomar conhecimento de um erro claro afetando um direito substancial, mesmo que a alegação de erro
não tenha sido devidamente preservada”


Grupo de Trabalho Científico sobre Evidências Digitais (SWGDE)
Princípio 1 Padrões e Critérios 1.1
ÿ
Para garantir que as evidências digitais sejam ÿ Todas as agências que apreendem e/ou examinam
coletadas, preservadas, examinadas ou transferidas evidências digitais devem manter um documento
de maneira a proteger a precisão e a confiabilidade SOP apropriado. Todos os elementos das políticas e
das evidências, as organizações policiais e forenses procedimentos de uma agência relativos a evidências
devem estabelecer e manter um sistema de qualidade digitais devem ser claramente definidos neste
eficaz documento SOP, que deve ser emitido sob a autoridade
de gerenciamento da agência.
Padrões e Critérios 1.2 Padrões e Critérios 1.3
ÿ A gestão da agência deve revisar os SOPs anualmente ÿ Os procedimentos utilizados devem ser geralmente
para garantir sua adequação e eficácia contínuas aceites no terreno ou suportados por dados recolhidos
e registados de forma científica
https:// www.swgde.org
Grupo de Trabalho Científico sobre Evidências Digitais

(SWGDE) (continuação)
Padrões e Critérios 1.4

1
A agência deve manter cópias escritas dos procedimentos técnicos apropriados

2 A agência deve usar hardware e software apropriados e eficazes
para o procedimento de apreensão ou exame

3 Todas as atividades relacionadas à apreensão, armazenamento, exame ou transferência da evidência digital devem
ser registradas por escrito e estar disponíveis para revisão e testemunho

4 Qualquer ação que tenha o potencial de alterar, danificar ou destruir qualquer aspecto da evidência original deve ser
realizada por pessoas qualificadas de maneira forense.
https:// www.swgde.org
Grupo de Trabalho Científico sobre Evidências Digitais (SWGDE)

Fonte: https:// www.swgde.org
Princípio 1
“Para garantir que as evidências digitais sejam coletadas, preservadas, examinadas ou
transferidas de maneira a proteger a precisão e a confiabilidade das evidências, as organizações
policiais e forenses devem estabelecer e manter um sistema de qualidade eficaz.”


Procedimentos Operacionais Padrão (POPs)
“Procedimentos Operacionais Padrão (POPs) são diretrizes de controle de qualidade documentadas que devem ser
apoiadas por registros de casos adequados e procedimentos, equipamentos e materiais amplamente aceitos.”
A implementação de SOPs permite que você opere políticas e planos compatíveis com a empresa. É importante que
nenhuma modificação seja feita nos SOPs antes da implementação para alcançar os resultados desejados. No entanto,
caso sejam necessárias modificações, elas devem ser comunicadas antes de iniciar uma investigação.
Todas as agências que apreendem e/ou examinam evidências digitais devem manter um documento SOP apropriado.
Todos os elementos das políticas e procedimentos de uma agência relativos a evidências digitais devem ser claramente
definidos neste documento SOP, que deve ser emitido sob a autoridade de gerenciamento da agência.
Discussão: O uso de SOPs é fundamental tanto para a aplicação da lei quanto para a ciência forense.
Diretrizes consistentes com princípios científicos e legais são essenciais para a aceitação de resultados e conclusões
por tribunais e outros órgãos. O desenvolvimento e a implementação desses SOPs devem estar sob a autoridade de
gerenciamento de uma agência.
A administração da agência deve revisar os SOPs anualmente para garantir sua adequação e eficácia contínuas.
Discussão: Mudanças tecnológicas rápidas são a marca registrada da evidência digital, em que os tipos, formatos e
métodos para apreender e examinar evidências digitais mudam rapidamente. Para garantir que o pessoal, o treinamento,
o equipamento e os procedimentos continuem sendo apropriados e eficazes, a administração deve revisar e atualizar
os documentos SOP anualmente.
Os procedimentos usados devem ser geralmente aceitos no campo ou apoiados por dados coletados e registrados
cientificamente.
Discussão: Como uma variedade de procedimentos científicos pode ser validamente aplicada a um determinado
problema, os padrões e critérios para avaliar os procedimentos precisam ser flexíveis. A validade de um procedimento
pode ser estabelecida pela demonstração da precisão e confiabilidade de técnicas específicas. Na área de evidências
digitais, a revisão por pares dos SOPs por outras agências pode ser útil.
A agência deve manter cópias escritas dos procedimentos técnicos apropriados.
Discussão: Os procedimentos devem estabelecer seu propósito e aplicação apropriada. Os elementos necessários,
como hardware e software, devem ser listados e as etapas adequadas para o uso bem-sucedido devem ser listadas ou
discutidas. Quaisquer limitações no uso do procedimento ou no uso ou interpretação dos resultados devem ser
estabelecidas. O pessoal que usa esses procedimentos deve estar familiarizado com eles e tê-los disponíveis para
referência.


A agência deve usar hardware e software apropriados e eficazes para o procedimento de apreensão ou exame.
Discussão: Embora muitos procedimentos aceitáveis possam ser usados para executar uma tarefa, uma variação
considerável entre os casos requer que o pessoal tenha flexibilidade para exercer julgamento na seleção de um
método apropriado para o problema.
O hardware usado na apreensão e/ou exame de evidências digitais deve estar em boas condições de funcionamento
e ser testado para garantir que funcione corretamente. O software deve ser testado para garantir que produz
resultados confiáveis para uso em apreensão e/ou fins de exame.
Todas as atividades relacionadas à apreensão, armazenamento, exame ou transferência de evidências digitais

devem ser registradas por escrito e estar disponíveis para revisão e testemunho.
Discussão: Em geral, a documentação para apoiar as conclusões deve ser tal que, na ausência do originador, outra
pessoa competente possa avaliar o que foi feito, interpretar os dados e chegar às mesmas conclusões que o
originador.
O requisito de confiabilidade da evidência exige uma cadeia de custódia para todos os itens de evidência.
A documentação da cadeia de custódia deve ser mantida para todas as evidências digitais. Notas de caso e registros
de observações devem ser permanentes. Notas e observações manuscritas devem ser feitas a tinta, não a lápis,
embora lápis (incluindo de cor) possa ser apropriado para diagramas ou traçados.
Quaisquer correções nas notas devem ser feitas por um rascunho único e rubricado; nada nas informações
manuscritas deve ser obliterado ou apagado. Notas e registros devem ser autenticados por assinaturas manuscritas,
iniciais, assinaturas digitais ou outros sistemas de marcação.
Qualquer ação que tenha o potencial de alterar, danificar ou destruir qualquer aspecto da evidência original deve ser
realizada por pessoas qualificadas de maneira forense.
Discussão: Conforme descrito nos padrões e critérios anteriores, a evidência só tem valor se puder ser demonstrada
como precisa, confiável e controlada. Um programa forense de qualidade consiste em pessoal devidamente treinado
e equipamentos, software e procedimentos apropriados para garantir coletivamente esses atributos.


A Associação dos Delegados de Polícia

(ACPO) Princípios de Evidência Digital
Princípio 1: Nenhuma ação tomada por agências de aplicação da lei ou seus agentes deve alterar
os dados mantidos em um computador ou mídia de armazenamento que possam posteriormente ser
invocados em tribunal
Princípio 2: Em circunstâncias excepcionais, quando uma pessoa achar necessário acessar

os dados originais mantidos em um computador ou mídia de armazenamento, essa pessoa
deve ser competente para fazê-lo e ser capaz de explicar suas ações e o impacto dessas ações
em as provas, no tribunal
Princípio 3: Uma trilha de auditoria ou outro registro de todos os processos aplicados a evidências
eletrônicas baseadas em computador devem ser criadas e preservadas. Um terceiro independente deve
ser capaz de examinar esses processos e obter o mesmo resultado.
Princípio 4: A pessoa encarregada da investigação (o oficial do caso) tem a responsabilidade geral de

garantir que a lei e esses princípios sejam respeitados
https:// www.college.police.uk
Princípios de Provas Digitais da Associação de Oficiais de Polícia (ACPO)
Fonte: https:// www.college.police.uk
ÿ Princípio 1
“Nenhuma ação tomada por agências de aplicação da lei, pessoas empregadas nessas agências
ou seus agentes deve alterar os dados, que podem posteriormente ser invocados no tribunal.
ÿ Princípio 2
Nas circunstâncias em que uma pessoa considera necessário acessar os dados originais mantidos
em um computador, essa pessoa deve ser competente para fazê-lo e ser capaz de fornecer
evidências explicando a relevância e as implicações de suas ações.
ÿ Princípio 3
Uma trilha de auditoria ou outro registro de todos os processos aplicados à evidência digital deve
ser criada e preservada. Um terceiro independente deve ser capaz de examinar esses processos
e obter o mesmo resultado.
ÿ Princípio 4
A pessoa encarregada da investigação tem a responsabilidade geral de garantir que a lei e esses
princípios sejam respeitados.”


Fluxo do módulo
3
Prontidão
2
Responsabilidades de um Conformidade em
Entenda o digital Investigador Forense
1 Evidência
Entenda o
Fundamentos de
Entenda a prontidão forense
Conceitos como prontidão forense e resposta a incidentes desempenham um papel muito importante na
capacidade de uma organização de lidar com um incidente de segurança quando ele ocorre. Esta seção
define a prontidão forense e discute o relacionamento integral entre a prontidão forense e a continuidade
dos negócios.


Prontidão Forense
ÿ A prontidão forense refere-se à capacidade de uma organização de usar evidências digitais de maneira otimizada em um
` período de tempo e com custos mínimos de investigação
Benefícios:
ÿ Investigação rápida e eficiente com interrupção mínima para os negócios
Forense
ÿ Fornece segurança contra crimes cibernéticos, como roubo de propriedade intelectual, fraude ou extorsão
ÿ Oferece armazenamento estruturado de evidências que reduz o custo e o tempo de uma investigação
ÿ Melhora a interface de aplicação da lei
ÿ Auxilia a organização a utilizar as evidências digitais em sua própria defesa
Prontidão Forense
A prontidão forense refere-se à capacidade de uma organização de usar evidências digitais de maneira
otimizada em um tempo limitado e com custos mínimos de investigação. Inclui ações técnicas e não técnicas
que maximizam a competência de uma organização no uso de evidências digitais.
A prontidão forense inclui o estabelecimento de procedimentos específicos de resposta a incidentes e pessoal

treinado designado para lidar com os procedimentos em caso de violação.
Esse estado de prontidão, juntamente com uma política de segurança executável, ajuda a organização a
reduzir o risco de ameaças internas de funcionários e a preparar medidas preventivas.
Uma equipe de resposta a incidentes forense treinada e bem preparada garante uma reação adequada contra
qualquer contratempo e trata as evidências em conformidade com os procedimentos legais relevantes para
seu uso potencial em um tribunal.
Uma equipe de resposta a incidentes forense oferece os seguintes benefícios à organização:
ÿ
Facilita a coleta de provas para atuar na defesa da empresa em caso de ação judicial
ÿ
Ele permite o uso de uma coleta abrangente de evidências para atuar como um impedimento para
ameaças internas e processar todas as evidências importantes sem falhas
ÿ
Ele ajuda a organização a conduzir uma investigação rápida e eficiente no caso de um incidente grave
e a tomar as ações necessárias com o mínimo de interrupção nas atividades comerciais diárias


ÿ
Facilita uma abordagem bem projetada, fixa e estruturada em relação ao armazenamento de evidências para reduzir
consideravelmente as despesas e o tempo de investigação e, simultaneamente, preservar a importantíssima cadeia de custódia
ÿ
Ele estabelece uma abordagem estruturada para o armazenamento de todas as informações digitais, o que não apenas reduz
o custo de qualquer divulgação judicial ou necessidade regulatória/legal de divulgar dados, mas também atende aos requisitos
da lei federal (por exemplo, como resposta a uma solicitação de descoberta de acordo com as Regras Federais de Processo
Civil)
ÿ
Ele estende a proteção oferecida por uma política de segurança da informação para cobrir as ameaças mais amplas do
cibercrime, como roubo de propriedade intelectual, fraude ou extorsão
ÿ
Demonstra a devida diligência e boa governança corporativa dos ativos de informação da empresa, conforme medido pelo
padrão “Reasonable Man”
ÿ
Ele garante que a investigação atenda a todos os requisitos regulamentares.
ÿ
Pode melhorar e facilitar a interface com a aplicação da lei
ÿ
Melhora as perspectivas de uma ação legal bem-sucedida.
ÿ
Ele pode fornecer evidências para resolver disputas comerciais ou de privacidade.
ÿ
Ele pode apoiar sanções de funcionários até e incluindo demissão com base em evidências digitais (por exemplo, para provar
uma violação de uma política de uso aceitável)
ÿ
Impede que os invasores cubram seus rastros
ÿ
Limita o custo dos requisitos regulatórios ou legais para divulgação de dados
ÿ
Ajuda a evitar ataques semelhantes no futuro


Prontidão Forense e Continuidade de Negócios
ÿ A prontidão forense ajuda a manter a continuidade dos negócios, permitindo a identificação rápida e fácil do
componentes impactados e substituí-los para continuar os serviços e negócios
A prontidão forense permite que as empresas: A falta de prontidão forense pode resultar em:
ÿ Determinar rapidamente os incidentes ÿ Perda de clientes por danos à reputação da

organização
ÿ Coletar evidências legalmente sólidas e analisá-las
para identificar invasores
ÿ Tempo de inatividade do sistema
ÿ Minimizar os recursos necessários

ÿ Manipulação, exclusão e roubo de dados
ÿ Recupere-se rapidamente de danos com menos tempo
de inatividade ÿ Incapacidade de coletar evidências legalmente sólidas
ÿ Reúna evidências para reivindicar o seguro
ÿ Processar legalmente os perpetradores e reivindicar danos
Prontidão Forense e Continuidade de Negócios
Os incidentes podem impactar e danificar servidores web, aplicativos, sistemas, contas e redes essenciais para o
fornecimento de serviços a clientes e clientes, interrompendo os negócios. A prontidão forense ajuda a manter a
continuidade dos negócios, permitindo a identificação rápida e fácil dos componentes afetados e tornando possível
substituí-los de forma que os serviços e os negócios possam continuar ininterruptos. Consiste em ações técnicas e não
técnicas que maximizam a capacidade de uma organização de usar evidências digitais.
A prontidão forense permite que as empresas:
ÿ Determinar rapidamente os incidentes
ÿ Compreender a informação relevante
ÿ Coletar evidências legalmente sólidas e analisá-las para identificar invasores
ÿ Minimizar os recursos necessários
ÿ Eliminar a ameaça de incidentes repetidos
ÿ Recupere-se rapidamente de danos com menos tempo de inatividade
ÿ Reúna as provas necessárias para reclamar o seguro
ÿ Processar judicialmente os autores e reclamar indemnizações
A falta de prontidão forense resulta no seguinte:
ÿ Perda de clientes por danos à reputação da organização
ÿ Tempo de inatividade do sistema


ÿ Manipulação, exclusão e roubo de dados
ÿ Incapacidade de recolher provas juridicamente sólidas


Planejamento de prontidão forense

ÿ O planejamento de prontidão forense refere-se a um conjunto de processos a serem seguidos para alcançar e
manter a prontidão forense
Identificar as possíveis evidências Identificar se o incidente requer investigação

1 necessárias para um incidente 5 completa ou formal
Crie um processo para documentar o

2 Determinar as fontes de evidência
6 procedimento
Defina uma política que determine o caminho

Estabelecer um conselho consultivo
3 para extrair legalmente evidências eletrônicas com 7 jurídico para orientar o processo de investigação
o mínimo de interrupção
Estabelecer uma política para manusear e Mantenha uma equipe de resposta a incidentes
4 armazenar as evidências adquiridas em um local seguro 8 pronta para revisar o incidente e preservar as
maneiras evidências
Planejamento de prontidão forense
O planejamento de prontidão forense refere-se a um conjunto de processos a serem seguidos para alcançar a prontidão
forense. As etapas a seguir descrevem as principais atividades no planejamento de prontidão forense.
1. Identifique as possíveis evidências necessárias para um incidente
Definir o objetivo da coleta de evidências e coletar informações para determinar as fontes de evidências que
podem ajudar a lidar com o crime e projetar os melhores métodos de coleta.
Produza uma declaração de requisitos de evidência em colaboração com as pessoas responsáveis pelo
gerenciamento do risco do negócio e aquelas que executam e monitoram os sistemas de informação.
Possíveis arquivos de evidência incluem auditoria de TI e logs de dispositivos, logs de rede e dados do sistema.
2. Determine as fontes de evidência
A prontidão forense deve incluir o conhecimento de todas as fontes de evidências potenciais presentes. Determine
o que acontece atualmente com os possíveis dados de evidência e seu impacto nos negócios durante a
recuperação das informações.
3. Defina uma política que determine o caminho para extrair legalmente evidências eletrônicas com o mínimo
de interrupção
Elaborar uma estratégia para garantir a coleta de evidências de todas as fontes relevantes e garantir sua
preservação de maneira legalmente sólida, causando o mínimo de interrupção no trabalho.
4. Estabeleça uma política para manusear e armazenar com segurança as evidências coletadas
Proteja as evidências coletadas de forma que estejam disponíveis para recuperação no futuro. Definir uma política
para o armazenamento e gerenciamento seguro de evidências potenciais e definir a segurança


medidas para proteger a legitimidade dos dados e a integridade das evidências sempre que alguém tentar
acessar, usar, mover ou armazenar informações digitais adicionais. Na linguagem dos investigadores, esse é
o processo de continuidade de provas no Reino Unido e cadeia de custódia nos Estados Unidos. Documento
de quem detinha e quem teve acesso às provas.
5. Identifique se o incidente requer investigação completa ou formal
Existem diferentes tipos de incidentes. Estime o evento e avalie-o para verificar se ele requer uma investigação
completa ou formal ou pode ser negligenciado com base em seu impacto no negócio. Escale um incidente
apenas se ele tiver um grande impacto na continuidade dos negócios. Esteja preparado para justificar
qualquer escalonamento para uma investigação completa ou formal, pois o escalonamento consome recursos
e tempo.
6. Crie um processo para documentar o procedimento
Um processo de documentação é necessário para responder a perguntas e apoiar as respostas. Documentar

o processo completo também ajuda a verificar novamente o processo se ele produzir resultados falsos.
Ele também fornece um backup para referência futura e ajudará a apresentar as evidências em um tribunal.
7. Estabelecer um conselho consultivo jurídico para orientar o processo de investigação
Todos os processos de investigação devem adotar uma postura legal, e a organização deve buscar
aconselhamento jurídico antes de tomar qualquer ação relacionada ao incidente. Isso porque alguns incidentes
podem prejudicar a reputação da empresa. Forme um conselho consultivo jurídico composto por pessoal
experiente que entenda a posição da empresa e possa fornecer conselhos sólidos sobre a força do caso e
sugerir outras ações.
O conselho consultivo jurídico ajudará a organização a fazer o seguinte:
o Gerenciar quaisquer ameaças decorrentes do incidente
o Registrar o incidente legalmente e garantir o processo adequado
o Entender as restrições legais e regulatórias e sugerir as ações necessárias
o Lidar com processos como proteção de reputação e questões de relações públicas
o Elaborar acordos legais com parceiros, clientes, investidores e funcionários
o Investigar as disputas comerciais e civis da empresa
8. Mantenha uma equipe de resposta a incidentes pronta para revisar o incidente e preservar as evidências
O gerenciamento de incidentes requer uma equipe forte e bem qualificada. As organizações precisam
construir uma equipe CIRT (Computer Incident Response Team) com membros que tenham o treinamento
adequado para cumprir suas funções.
É ainda necessário assegurar que os membros desta equipa são suficientemente competentes para
desempenhar qualquer função relacionada com a revisão de qualquer incidente de segurança e preservação
de provas.


Fluxo do módulo
3
2 Prontidão

Conformidade em
1 Entenda o digital
Evidência
Entenda o
Fundamentos de
Identificar as funções e responsabilidades de um investigador forense

Usando suas habilidades e experiência, um investigador forense de computador ajuda organizações e
agências de aplicação da lei a identificar, investigar e processar os perpetradores de crimes cibernéticos.
Ao chegar ao local, o investigador inspeciona os sistemas/dispositivos do suspeito, extrai e adquire dados

de valor probatório e os analisa com as ferramentas forenses corretas para determinar a causa raiz do
incidente de segurança.
Esta seção destaca as principais responsabilidades de um investigador forense e descreve os atributos de

um bom investigador forense de computador.


Necessidade de um investigador forense
Cibercrime Evidência sólida Tratamento e Resposta

Investigação Tratamento a Incidentes
Os investigadores forenses, em Se uma pessoa tecnicamente Os investigadores forenses

virtude de suas habilidades e inexperiente examinar as evidências, ajudam as organizações a manter a
experiência, ajudam organizações elas podem se tornar inadmissíveis prontidão forense e implementar
e agências de aplicação da lei a em um tribunal tratamento e resposta eficazes a
investigar e processar os autores incidentes
de crimes cibernéticos
Necessidade de um investigador forense
ÿ Investigação de Cibercrimes
Os investigadores forenses, em virtude de suas habilidades e experiência, ajudam organizações

e agências de aplicação da lei a investigar e processar os autores de crimes cibernéticos
ÿ Tratamento de Provas Sólidas
Se uma pessoa tecnicamente inexperiente examinar as evidências, elas podem se tornar

inadmissíveis em um tribunal
ÿ Tratamento e Resposta a Incidentes
Os investigadores forenses ajudam as organizações a manter a prontidão forense e implementar

tratamento e resposta eficazes a incidentes


Funções e responsabilidades de um investigador forense

Um investigador forense executa as seguintes tarefas:
Determina a extensão de qualquer

Analisa os dados de evidência encontrados
dano causado durante o crime
Recupera dados de valor investigativo

de dispositivos de computação Prepara o relatório de análise
envolvidos em crimes
Atualiza a organização sobre vários

Cria uma imagem da evidência original
métodos e dados de ataque
sem adulterá-la para manter sua
técnicas de recuperação e mantém um
integridade
registro delas
Aborda a questão em um tribunal e tenta

Orienta os funcionários que realizam a
ganhar o caso testemunhando no tribunal
investigação
Funções e responsabilidades de um investigador forense
Um investigador forense executa as seguintes tarefas:
ÿ Avalia os danos de uma quebra de segurança
ÿ Identifica e recupera dados necessários para investigação
ÿ Extrai as evidências de maneira forense
ÿ Assegura o adequado tratamento da prova
ÿ Atua como um guia para a equipe de investigação
ÿ Elabora relatórios e documentos sobre a investigação para apresentação em tribunal
ÿ Reconstrói os dispositivos de armazenamento danificados e revela as informações ocultas no

computador
ÿ Atualiza a organização sobre vários métodos de ataque e técnicas de recuperação de dados e mantém um
registro atualizado regularmente (determinando e usando o método de documentação relevante)
ÿ Aborda a questão em tribunal e tenta ganhar a causa testemunhando em tribunal


O que faz um bom investigador forense de computador?

Habilidades de entrevista para coletar informações abrangentes sobre o caso do
cliente ou vítima, testemunhas e suspeitos
Excelentes habilidades de redação para detalhar as descobertas no relatório
Fortes habilidades analíticas para encontrar as evidências e vinculá-las ao suspeito
Excelentes habilidades de comunicação para explicar suas descobertas ao público
Mantém-se atualizado sobre novas metodologias e tecnologia forense
Bem versado em mais de uma plataforma de computador (incluindo Windows,

Macintosh e Linux)
Conhecimento de várias tecnologias, hardware e software
Desenvolve e mantém contato com profissionais de computação, rede e

investigação
Tem conhecimento das leis relevantes para o caso
O que faz um bom investigador forense de computador?
Os investigadores forenses devem estar familiarizados com as atuais plataformas Linux, Macintosh e
Windows. Eles também devem desenvolver e manter contatos com profissionais de computação, rede e
investigação. Esses contatos podem ajudá-los a superar quaisquer dificuldades durante uma investigação.
ÿ Habilidades de entrevista para coletar informações extensas sobre o caso do cliente ou

vítima, testemunhas e suspeitos
ÿ Habilidades de pesquisa para conhecer os antecedentes e atividades pertencentes ao cliente ou vítima,

testemunhas e suspeitos
ÿ Mantém perfeita precisão dos testes realizados e seus registros
ÿ Paciência e vontade de trabalhar longas horas
ÿ Excelentes habilidades de redação para detalhar as descobertas no relatório
ÿ Forte capacidade analítica para encontrar as provas e associá-las ao suspeito
ÿ Excelentes habilidades de comunicação para explicar suas descobertas ao público
ÿ Mantém-se atualizado sobre novas metodologias e tecnologia forense
ÿ Bem versado em mais de uma plataforma de computador (incluindo Windows, Macintosh e

Linux)
ÿ Conhecimento de várias tecnologias, hardware e software
ÿ Desenvolve e mantém contato com computação, rede e investigação

profissionais


ÿ Honesto, ético e cumpridor da lei
ÿ Tem conhecimento das leis pertinentes ao caso
ÿ Capacidade de controlar as emoções ao lidar com questões que induzem a raiva
ÿ Perícia multidisciplinar relacionada com processos criminais e cíveis


Fluxo do módulo
3
2 Prontidão

Conformidade em
1 Entenda o digital
Evidência
Entenda o
Fundamentos de
Entenda a conformidade legal em computação forense

As investigações forenses de computador devem ser conduzidas de acordo com as políticas
organizacionais e de acordo com as leis e regulamentos aplicáveis da jurisdição local. A conformidade
legal em computação forense garante que qualquer evidência digital coletada e analisada seja admissível em um tribunal.
Esta seção descreve certas leis/regulamentos e padrões importantes de vários países/regiões que podem
influenciar o procedimento de investigação forense.


e Conformidade Legal
Comunicações Eletrônicas
ÿ A conformidade legal em computação 01 Lei Gramm-Leach-Bliley (GLBA) 05 Lei de privacidade
forense garante que qualquer
evidência coletada e
analisado é admissível em tribunal Segurança da Informação Federal
Proteção Geral de Dados
02 Lei de Modernização de 2014 06 Regulamento (RGPD)
(FISMA)
ÿ A conformidade com certos

Lei de Portabilidade e
regulamentos e padrões desempenha
um papel importante na investigação
03 Responsabilidade de Seguro Saúde de 07 Lei de Proteção de Dados de 2018
1996 (HIPAA)
e análise forense de computadores,
alguns dos quais são os seguintes:
Dados do setor de cartões de pagamento Lei Sarbanes-Oxley (SOX) de
04 Padrão de segurança (PCI DSS)
08 2002
Computação Forense e Conformidade Legal
Os investigadores forenses devem estar cientes das implicações legais de suas atividades. Os investigadores
devem cumprir as políticas de segurança da organização onde ocorreu o incidente e tomar ações de acordo
com as leis estaduais e federais aplicáveis. A conformidade legal garante que qualquer evidência coletada
e analisada seja admissível em um tribunal.
Esta seção discute alguns regulamentos e normas que o investigador forense deve conhecer ao realizar a
análise forense.
Lei Gramm-Leach-Bliley (GLBA)
Fonte: https:// www.ftc.gov
Promulgada em 1999, a Lei Gramm–Leach–Bliley (GLBA) exige que as instituições financeiras – empresas
que oferecem produtos ou serviços financeiros aos consumidores, como empréstimos, consultoria financeira
ou de investimento ou seguros – expliquem suas práticas de compartilhamento de informações a seus
clientes e protejam dados sensíveis. O objetivo do GLBA é facilitar a transferência de informações
financeiras entre instituições e bancos, tornando mais específicos os direitos do indivíduo por meio de
requisitos de segurança.
As disposições do GLBA limitam quando uma “instituição financeira” pode divulgar as “informações
pessoais não públicas” de um consumidor a terceiros não afiliados. A lei abrange uma ampla gama de
instituições financeiras, incluindo muitas empresas que não são tradicionalmente consideradas instituições
financeiras porque se envolvem em certas “atividades financeiras”. De acordo com a Regra de Privacidade,
apenas uma instituição que esteja “significativamente engajada” em atividades financeiras é considerada
uma instituição financeira.


As instituições financeiras devem notificar seus clientes sobre suas práticas de compartilhamento de informações e
dizer aos consumidores sobre seu direito de “exclusão” se não quiserem que suas informações sejam compartilhadas
com determinados terceiros não afiliados. Além disso, qualquer entidade que receba informações financeiras do
consumidor de uma instituição financeira pode ser restringida em sua reutilização e divulgação dessas informações. Ele
ajuda a lidar com incidentes de acesso não autorizado a informações confidenciais de clientes mantidas pela instituição
financeira de maneira que possa resultar em “danos substanciais ou inconveniência para qualquer cliente”.
Lei Federal de Modernização da Segurança da Informação de 2014 (FISMA)
Fonte: https:// csrc.nist.gov
A FISMA foi introduzida como uma emenda à Lei Federal de Gerenciamento de Segurança da Informação de 2002, que
foi implementada para fornecer uma estrutura para que os sistemas de informação federais tenham controles de
segurança da informação mais eficazes. A FISMA 2014 fez várias modificações nos artigos existentes da FISMA 2002,
a fim de modernizar as práticas de segurança seguidas pelas agências federais para atender às crescentes preocupações
de segurança. Essas mudanças resultaram em relatórios menos gerais, fortaleceram o uso de monitoramento contínuo
em sistemas, aumentaram o foco nas agências de conformidade e incentivaram relatórios mais focados nos problemas
causados por incidentes de segurança.
A FISMA 2014 exigia que o Escritório de Administração e Orçamento (OMB) alterasse/revisasse o A-130 para eliminar
relatórios ineficientes e desnecessários e refletir mudanças na lei e avanços na tecnologia. Específico para segurança e
privacidade, o A-130 atualizado enfatiza seus papéis no ciclo de vida da informação federal e representa uma mudança
de ver os requisitos de segurança e privacidade como exercícios de conformidade para elementos cruciais de um
programa abrangente, estratégico e contínuo baseado em riscos em agências federais .
Lei de Portabilidade e Responsabilidade de Seguro Saúde de 1996 (HIPAA)
Fonte: https:// www.hhs.gov
A regra de privacidade da HIPAA fornece proteções federais para informações de saúde individualmente identificáveis
mantidas por entidades cobertas e seus parceiros de negócios e oferece aos pacientes uma série de direitos com
relação a tais informações. A regra de privacidade também permite a divulgação de informações de saúde necessárias
para o atendimento ao paciente e outras finalidades importantes. A regra de segurança da HIPAA especifica uma série
de proteções administrativas, físicas e técnicas para as entidades cobertas e seus parceiros de negócios usarem para
garantir a confidencialidade, integridade e disponibilidade das informações de saúde protegidas eletronicamente.
O Escritório de Direitos Civis implementou o Estatuto e as Regras de Simplificação Administrativa da HIPAA, conforme
discutido abaixo:
ÿ Transação Eletrônica e Padrões de Conjuntos de Códigos
As transações são trocas eletrônicas envolvendo a transferência de informações entre duas partes para fins
específicos. A HIPAA nomeia certos tipos de organizações como entidades cobertas, incluindo planos de
saúde, câmaras de compensação de assistência médica e certos provedores de assistência médica. Nos
regulamentos da HIPAA, o Secretário de Saúde e Serviços Humanos (HHS)


adotou certas transações padrão para Intercâmbio Eletrônico de Dados (EDI) de dados de saúde.
ÿ Regra de Privacidade
A regra de privacidade da HIPAA estabelece padrões nacionais para proteger registros médicos de indivíduos e outras
informações pessoais de saúde e se aplica a planos de saúde, câmaras de compensação de assistência médica e
provedores de assistência médica que conduzem determinadas transações de assistência médica eletronicamente. A
Regra exige salvaguardas adequadas para proteger a privacidade das informações pessoais de saúde e estabelece
limites e condições para o uso e divulgação de tais informações sem autorização do paciente. A Regra também concede
direitos aos pacientes sobre suas informações de saúde, incluindo o direito de examinar e obter uma cópia de seus
registros de saúde e solicitar correções.
ÿ Regra de Segurança
A regra de segurança da HIPAA estabelece padrões nacionais para proteger as informações pessoais eletrônicas de
saúde dos indivíduos que são criadas, recebidas, usadas ou mantidas por uma entidade coberta. A Regra de Segurança
exige salvaguardas administrativas, físicas e técnicas adequadas para garantir a confidencialidade, integridade e
segurança das informações de saúde protegidas eletronicamente.
ÿ Norma de Identificação do Empregador
O Health Insurance Portability and Accountability Act de 1996 (HIPAA) exige que os empregadores tenham números
nacionais padrão que os identifiquem em transações padrão.
ÿ Padrão Identificador de Provedor Nacional
O National Provider Identifier (NPI) é um padrão de simplificação administrativa da HIPAA.

O NPI é um número de identificação exclusivo para prestadores de serviços de saúde cobertos. Os provedores de
assistência médica cobertos e todos os planos de saúde e câmaras de compensação de assistência médica devem
usar NPIs nas transações administrativas e financeiras adotadas pela HIPAA. O NPI é um identificador numérico sem
inteligência de dez posições (número de dez dígitos). Isso significa que os números não trazem outras informações
sobre profissionais de saúde, como o estado em que vivem ou sua especialidade médica.
ÿ Norma de Execução
A Regra de Execução da HIPAA contém disposições relativas à conformidade e investigações, a imposição de

penalidades monetárias civis por violações das Regras de Simplificação Administrativa da HIPAA e procedimentos para
audiências.
Padrão de segurança de dados do setor de cartões de pagamento (PCI DSS)
Fonte: https:// www.nist.gov
O PCI DSS é um padrão proprietário de segurança de informações para organizações que lidam com informações de titulares de
cartão para os principais cartões de débito, crédito, pré-pagos, e-purse, ATM e POS. PCI


O DSS se aplica a organizações que “armazenam, processam ou transmitem dados do titular do cartão” para cartões de crédito.
Um de seus requisitos é “rastrear… todo o acesso a recursos de rede e dados do titular do cartão”.
A Lei de Privacidade das Comunicações Eletrônicas
Fonte: https:// it.ojp.gov
A Lei de Privacidade de Comunicações Eletrônicas e a Lei de Comunicações Eletrônicas Stored Wire são comumente
referidas como Lei de Privacidade de Comunicações Eletrônicas (ECPA) de 1986, que vem sob 18 USC §§ 2510-2523.
A ECPA atualizou o Federal Wiretap Act de 1968, que tratava da interceptação de conversas usando linhas telefônicas
“duras”, mas não se aplicava à interceptação de computadores e outras comunicações digitais e eletrônicas. A ECPA,
conforme alterada, protege comunicações por fio, orais e eletrônicas, enquanto tais comunicações estão sendo feitas,
em trânsito e armazenadas em computadores. A lei se aplica a e-mail, conversas telefônicas e dados armazenados
eletronicamente.
A ECPA tem três títulos, que são discutidos abaixo:
ÿ Título I
Muitas vezes referido como a Lei de escutas telefônicas, o Título I proíbe a interceptação, uso, divulgação ou
"obtenção" [de] qualquer outra pessoa para interceptar ou tentar interceptar qualquer comunicação por fio,
oral ou eletrônica ." O Título I também proíbe o uso de comunicações obtidas ilegalmente como prova.
Exceção: o Título I prevê exceções para operadores e prestadores de serviços para usos “no curso normal
de seu emprego enquanto estiverem envolvidos em qualquer atividade que seja um incidente necessário
para a prestação de seu serviço” e para “pessoas autorizadas por lei a interceptar mensagens eletrônicas,
orais , ou comunicações eletrônicas ou conduzir vigilância eletrônica, conforme definido na seção 101 da Lei
de Vigilância de Inteligência Estrangeira (FISA) de 1978." Ele fornece procedimentos para funcionários
federais, estaduais e outros governos obterem autorização judicial para interceptar tais comunicações e
também regulamenta o uso e a divulgação de informações obtidas por meio de escutas telefônicas autorizadas.
ÿ Título II
Também chamado de Stored Communications Act (SCA), o Título II protege a privacidade do conteúdo dos
arquivos armazenados pelos provedores de serviços e dos registros mantidos sobre o assinante pelos
provedores de serviços, como nome do assinante, registros de cobrança ou endereços IP.
ÿ Título III
O Título III trata dos dispositivos de registro de caneta e armadilhas e rastreamentos e exige que as entidades
governamentais obtenham uma ordem judicial autorizando a instalação e uso de um registro de caneta (um
dispositivo que captura os números discados e informações relacionadas às quais as chamadas de saída ou
comunicações são feitas pelo sujeito ) e/ou um trap and trace (um dispositivo que captura os números e as
informações relacionadas de onde se originaram as chamadas recebidas e as comunicações que chegam ao
assunto).


Regulamento Geral de Proteção de Dados (GDPR)
Fonte: https:// gdpr.eu
O GDPR da UE substituiu a Diretiva de Proteção de Dados 95/46/EC e foi projetado para harmonizar as leis de privacidade
de dados em toda a Europa, para proteger e capacitar a privacidade de dados de todos os cidadãos da UE e para
remodelar a maneira como as organizações em toda a região abordam a privacidade de dados.
Artigo 32: As medidas técnicas e organizacionais devem prever o seguinte:
ÿ A pseudonimização e encriptação de dados pessoais
ÿ A capacidade de garantir confidencialidade, integridade, disponibilidade e resiliência contínuas de

sistemas de processamento e serviços
ÿ A capacidade de restaurar a disponibilidade e acesso aos dados pessoais em tempo hábil em caso de incidente
físico ou técnico
ÿ Um processo para testar, avaliar e avaliar regularmente a eficácia dos

e medidas organizacionais para garantir a segurança do processamento.
Artigo 33(1):
“Em caso de violação de dados pessoais, o responsável pelo tratamento notificará, sem demora injustificada e, sempre
que possível, o mais tardar 72 horas após ter tido conhecimento da mesma, a violação de dados pessoais à autoridade
de controlo competente nos termos do artigo 55.º, salvo se é improvável que a violação de dados pessoais resulte em
risco para os direitos e liberdades das pessoas físicas. Caso a notificação à autoridade de controlo não seja efetuada no
prazo de 72 horas, deve ser acompanhada da fundamentação do atraso.”
Lei de Proteção de Dados de 2018
Fonte: http:// www.legislation.gov.uk
O DPA 2018 estabelece a estrutura da lei de proteção de dados no Reino Unido. Ele atualiza e substitui a Lei de Proteção
de Dados de 1998 e entrou em vigor em 25 de maio de 2018. Foi alterado em 01 de janeiro de 2021 por regulamentos da
Lei de (Retirada) da União Europeia de 2018, para refletir o status do Reino Unido fora da UE.
O DPA é uma lei que dispõe sobre a regulamentação do processamento de informações relativas a indivíduos; fazer
provisões em conexão com as funções do Comissário de Informação de acordo com certos regulamentos relativos a
informações; fazer provisões para um código de prática de marketing direto; e para fins conexos.
O DPA também estabelece regras de proteção de dados separadas para autoridades policiais, estende a proteção de
dados a algumas outras áreas, como segurança e defesa nacional, e define as funções e poderes do Comissário de
Informação.


Proteção de dados pessoais
1. O DPA protege os indivíduos no que diz respeito ao processamento de dados pessoais, em particular
por:
uma. Exigir que os dados pessoais sejam tratados de forma lícita e justa, com base nos dados
consentimento do sujeito ou outra base especificada,
b. Conferir direitos ao titular dos dados para obter informações sobre o processamento de dados pessoais e
exigir que os dados pessoais inexatos sejam retificados, e
c. Atribuir funções ao Conselheiro, conferindo ao titular desse cargo

responsabilidade pelo monitoramento e cumprimento de suas disposições.
2. Ao desempenhar funções ao abrigo do RGPD, do RGPD aplicado e desta Lei, o Comissário deve ter em conta
a importância de assegurar um nível adequado de proteção dos dados pessoais, tendo em conta os interesses
dos titulares dos dados, responsáveis pelo tratamento e outros e questões de interesse público geral.
Lei Sarbanes-Oxley (SOX) de 2002
Fonte: https:// www.sec.gov
A Lei Sarbanes-Oxley de 2002 (SOX) é uma lei aprovada pelo Congresso dos EUA em 2002 para proteger os
investidores da possibilidade de atividades contábeis fraudulentas por parte das empresas. Embora a SOX se aplique
principalmente a práticas financeiras e contábeis, ela também abrange as funções de tecnologia da informação (TI)
que dão suporte a essas práticas. A SOX pode ser suportada pela revisão regular de logs para procurar sinais de
violações de segurança, incluindo exploração, bem como reter logs e registros de revisões de log para revisão futura
por auditores.


Outras Leis Relevantes para Computação Forense

Estados Unidos Lei de Vigilância de Inteligência Estrangeira https://www.fas.org
Proteja a Lei da América de 2007 https://www.congress.gov
Lei de privacidade de 1974 https://www.justice.gov
Lei Nacional de Proteção da Infraestrutura de Informação de 1996 https://www.congress.gov
Lei de Segurança de Computadores de 1987 https://www.congress.gov
Lei de Liberdade de Informação (FOIA) https://www.foia.gov
Reino Unido Regulamento da Lei de Poderes de Investigação de 2000 https://www.legislation.gov.au
Lei de Crimes Cibernéticos de 2001 https://www.legislation.gov.au

Austrália
Lei de privacidade de informações de 2014 https://www.findandconnect.gov.au
Índia Lei de Tecnologia da Informação http://www.dot.gov.in
Seção 202a. Espionagem de dados, Seção 303a. Alteração de Dados, Seção 303b. Sabotagem de Computador
Alemanha http://www.cybercrimelaw.net
Itália Artigo 615 ter do Código Penal http://www.cybercrimelaw.net
Canadá Seção 342.1 do Código Penal Canadense https://laws-lois.justice.gc.ca
Cingapura Lei de Uso Indevido de Computador https://sso.agc.gov.sg
Bélgica Hacking de computador http://www.cybercrimelaw.net
Brasil Modificação ou alteração não autorizada do sistema de informação https://www.domstol.no
Filipinas Lei de Privacidade de Dados de 2012 https://www.privacy.gov.ph
Hong Kong Boné. 486 Portaria de Dados Pessoais (Privacidade) https://www.pcpd.org.hk
Outras Leis Relevantes para Computação Forense

A tabela abaixo lista as leis importantes de diferentes países que podem influenciar o processo de
investigação forense de computador.
Lei de Vigilância de Inteligência Estrangeira https://www.fas.org
Proteja a Lei da América de 2007 https://www.congress.gov
Lei de privacidade de 1974 https://www.justice.gov
Estados Unidos
Infraestrutura Nacional de Informação
https://www.congress.gov
Lei de Proteção de 1996
Lei de Segurança de Computadores de 1987 https://www.congress.gov
Lei de Liberdade de Informação (FOIA) https://www.foia.gov
Unido Regulamento da Lei de Poderes de Investigação

https://www.legislation.gov.au
Reino de 2000
Lei de Crimes Cibernéticos de 2001 https://www.legislation.gov.au

Austrália
Lei de privacidade de informações de 2014 https://www.findandconnect.gov.au
Índia Lei de Tecnologia da Informação http://www.dot.gov.in


Seção 202a. Espionagem de dados, Seção

Alemanha 303a. Alteração de Dados, Seção 303b. http://www.cybercrimelaw.net
Sabotagem de Computador
Itália Artigo 615 ter do Código Penal http://www.cybercrimelaw.net
Canadá Seção 342.1 do Código Penal Canadense https://laws-lois.justice.gc.ca
Cingapura Lei de Uso Indevido de Computador https://sso.agc.gov.sg
Bélgica Hacking de computador http://www.cybercrimelaw.net
Modificação ou alteração não

Brasil https://www.domstol.no
autorizada do sistema de informação
Filipinas Lei de Privacidade de Dados de 2012 https://www.privacy.gov.ph
Boné. 486 Dados Pessoais (Privacidade)

Hong Kong https://www.pcpd.org.hk
Portaria
Tabela 1.2: Leis relevantes para computação forense


Resumo do Módulo
Este módulo discutiu os fundamentos da computação forense
1
Ele cobriu vários tipos de provas digitais e regras de provas

2
Também discutiu em detalhes várias leis e regras a serem

3 consideradas durante a coleta de evidências digitais
Este módulo também discutiu o planejamento de prontidão forense e

4 continuidade de negócios
Também discutiu os papéis e responsabilidades de um

5 investigador forense
Finalmente, este módulo terminou com uma discussão detalhada

6 sobre conformidade legal em computação forense
No próximo módulo, discutiremos em detalhes o processo de

7 investigação forense computacional
Resumo do Módulo
Este módulo discutiu os fundamentos da computação forense. Cobriu vários tipos de provas digitais e
regras de prova. Também discutiu em detalhes várias leis e regras a serem consideradas
durante a coleta de evidências digitais. Além disso, este módulo discutiu o planejamento de prontidão
forense e a continuidade dos negócios. Além disso, explicou as funções e responsabilidades de um
investigador forense. Finalmente, este módulo apresentou uma discussão detalhada sobre conformidade
legal em computação forense.
No próximo módulo, discutiremos em detalhes o processo de investigação forense computacional.

MT
CE-Conselho
EC-Council
D FE
Digital
Digital
Módulo 02
Processo de Investigação Forense Computacional

Entendendo a Investigação Forense

1 Processo e sua importância
2 Compreendendo a fase de pré-investigação
3 Compreendendo a fase de investigação
4 Compreendendo a fase pós-investigação
Um dos objetivos da realização de um processo de investigação forense é ter uma melhor compreensão de um
incidente, identificando e analisando as evidências do mesmo. Este módulo descreve as diferentes etapas
envolvidas no processo completo de investigação forense de computador e destaca o papel das testemunhas
especializadas na solução de um caso de crime cibernético. Ele também descreve a importância dos relatórios
formais de investigação apresentados em um tribunal durante um julgamento.
Ao final deste módulo, você será capaz de:
ÿ Compreender o processo de investigação forense e a sua importância
ÿ Compreender a fase de pré-investigação
ÿ Compreender a fase de investigação
ÿ Compreender a fase pós-investigação
Módulo 02 Página 54 Digital Forensics Essentials Copyright © por EC-Council Todos

os direitos reservados. A reprodução é estritamente proibida.

Fluxo do módulo
Investigação forense Investigação forense

Processo - Pré-investigação 02 03 Processo - Investigação
Estágio Estágio
Entenda a Perícia Investigação forense

Processo de investigação e 01 04 Processo - Pós-investigação
sua importância Estágio
Entenda o Processo de Investigação Forense e sua Importância

Esta seção apresenta uma visão geral do processo de investigação forense e descreve a necessidade
de seguir um processo de investigação completo e bem documentado.


Investigação forense
Processar
Uma abordagem metodológica para investigar, apreender e analisar

evidências digitais e, em seguida, gerenciar o caso desde o momento
da busca e apreensão até o relatório do resultado da investigação
Processo de Investigação Forense
O processo de investigação forense computacional inclui uma abordagem metodológica para investigar,
apreender e analisar evidências digitais e, em seguida, gerenciar o caso desde o momento da busca e
apreensão até o relatório do resultado da investigação.


Importância da perícia
Processo de Investigação
Como a evidência digital é frágil por natureza, seguir diretrizes

rígidas e um processo de investigação forense completo que
garanta a integridade da evidência é fundamental para provar
um caso no tribunal.
O processo de investigação forense a ser

seguido deve obedecer às leis locais e aos
precedentes estabelecidos. Qualquer violação/
desvio pode comprometer a investigação completa.
Os investigadores devem seguir um conjunto repetível e

bem documentado de etapas , de modo que cada iteração
da análise forneça as mesmas descobertas; caso contrário,
as conclusões da investigação podem ser invalidadas durante
o interrogatório em um tribunal de justiça
Importância do Processo de Investigação Forense

O rápido aumento de crimes cibernéticos, desde roubo de propriedade intelectual até terrorismo
cibernético, juntamente com litígios envolvendo grandes organizações, tornou necessária a investigação
forense de computadores. O processo também levou ao desenvolvimento de várias leis e normas que
definem crimes cibernéticos, provas digitais, metodologia de busca e apreensão, recuperação de provas
e processos de investigação. Os investigadores devem seguir um processo de investigação forense
que cumpra as leis locais e os padrões estabelecidos; qualquer desvio/violação pode comprometer a
investigação completa. Como as evidências digitais são frágeis, seguir diretrizes rígidas e um processo
de investigação forense adequado e completo que garanta a integridade das evidências é fundamental
para provar um caso em um tribunal.
Os investigadores devem seguir um conjunto repetível e bem documentado de etapas, de modo que
cada iteração da análise produza as mesmas descobertas; caso contrário, as conclusões da investigação
podem ser invalidadas durante o interrogatório em um tribunal. Os investigadores devem adotar
processos forenses de computador padrão; desta forma, o júri pode replicar o processo sempre que
necessário.


Fases Envolvidas no Processo de Investigação Forense
Pré-investigação Investigação Pós-investigação

Estágio Estágio Estágio
ÿ Lida com as tarefas a serem ÿ A fase principal do processo ÿ Inclui documentação de todas as
realizada antes do início de investigação forense ações realizadas e todas as
da investigação real computacional descobertas descobertas durante a
investigação
ÿ Envolve a criação de um laboratório de ÿ Envolve a aquisição,

preservação e análise de dados ÿ Garante que o relatório seja facilmente
computação forense, a construção de uma
probatórios para identificar a origem explicável para o público-alvo e que
estação de trabalho forense, o
do crime e o culpado por trás dele forneça evidências adequadas e
desenvolvimento de um kit de ferramentas
aceitáveis
de investigação, a criação de uma equipe
de investigação, a obtenção da aprovação
da autoridade competente, etc.
Fases Envolvidas no Processo de Investigação Forense
A seguir, são discutidas as diferentes fases do processo de investigação forense computacional.
ÿ Fase de pré-investigação: Esta fase envolve todas as tarefas realizadas antes do início da investigação
propriamente dita. Envolve a criação de um laboratório de computação forense, a construção de uma
estação de trabalho forense, o desenvolvimento de um kit de ferramentas de investigação, a formação
de uma equipe de investigação, a obtenção da aprovação da autoridade competente, etc.
Essa fase também inclui etapas como planejamento do processo, definição dos objetivos da missão e
proteção do perímetro do caso e dos dispositivos envolvidos.
ÿ Fase de Investigação: Considerada a principal fase da investigação forense computacional, a fase de

investigação envolve a aquisição, preservação e análise de dados probatórios para identificar a origem
do crime e o culpado. Esta fase envolve a implementação de conhecimento técnico para localizar as
evidências e examinar, documentar e preservar as descobertas, bem como as evidências. Profissionais
treinados realizam todas as tarefas envolvidas nesta fase para garantir a qualidade e integridade dos
achados.
ÿ Fase Pós-investigação: Esta fase envolve o relato e documentação de todas as ações realizadas e as
conclusões obtidas durante o curso da investigação. Ele garante que o público-alvo possa entender
facilmente o relatório e que forneça evidências adequadas e aceitáveis. Cada jurisdição estabeleceu
padrões para relatar descobertas e evidências; o relatório deve cumprir todos esses padrões, bem como
ser legalmente sólido e aceitável em um tribunal.


Fluxo do módulo

Estágio Estágio

Processo de Investigação Forense - Fase de Pré-Investigação

A fase de pré-investigação envolve todas as tarefas realizadas antes do início da investigação
propriamente dita. Esta fase inclui etapas como planejamento do processo, definição dos objetivos
da missão e obtenção da aprovação da autoridade competente.
Esta seção discute todas as etapas que, juntas, formam a fase de pré-investigação.


Configurando um laboratório de computação forense
Um Laboratório de Computação Forense (CFL) é um local que abriga instrumentos, ferramentas de software e hardware e estações
de trabalho forenses necessárias para conduzir uma investigação baseada em computador em relação às evidências coletadas
1 2 3
Considerações sobre Considerações de projeto físico e Considerações sobre a área de trabalho
planejamento e orçamento estrutural
ÿ Número de casos esperados ÿ Tipo ÿ Tamanho do laboratório ÿ Requisito de estação de trabalho ÿ
de investigação ÿ Mão de obra ÿ ÿ Acesso a serviços essenciais Ambiente
Requisitos de equipamento e software ÿ Estimativa de espaço para área de trabalho e ÿ Internet, rede e linha de comunicação ÿ Sistemas de
armazenamento de provas
iluminação e energia de emergência
ÿ Aquecimento, ventilação e ar condicionado
4 5 6
Considerações de segurança física Considerações sobre recursos humanos Licenciamento de laboratório forense
ÿ Autenticação eletrónica ÿ ÿ Número de pessoal necessário ÿ ÿ Credenciamento ASCLD/LAB
Sistemas de alarme de intrusão ÿ Treinamento e certificação ÿ Acreditação ISO/IEC 17025
Sistemas de combate a incêndios
Configurando um laboratório de computação forense
Um laboratório forense de computador (CFL) é um local designado para conduzir uma investigação baseada em
computador das evidências coletadas, a fim de resolver o caso e encontrar o culpado. O laboratório abriga os
instrumentos, ferramentas de software e hardware e as estações de trabalho forenses necessárias para realizar
investigações de todos os tipos.
1. Considerações sobre planejamento e orçamento
o Tipos de Investigações: Escolha os tipos de crimes para o laboratório investigar com base nas
estatísticas criminais do ano anterior e a tendência esperada, como criminal, civil e corporativa. Se
a investigação for para uma corporação, decida se será apenas interna ou interna e externa. Isso
ajudará na estimativa do número de casos esperados e na alocação de recursos físicos, bem como
no orçamento.
o Número de Investigadores/Examinadores: O número de investigadores necessários depende do

caso forense. A contratação de profissionais treinados e certificados é importante para a realização
de investigações adequadas.
o Requisito de equipamento: O laboratório forense deve ter estações de trabalho forenses e não
forenses para fins investigativos. Um armário seguro grande o suficiente para armazenar o
equipamento necessário para a investigação forense deve estar disponível no laboratório. Isso
ajudará a categorizar o equipamento armazenado no rack e ajudará o investigador a localizar o
equipamento necessário durante a investigação. Armários seguros também são um meio de manter
o equipamento seguro e protegê-lo contra desgaste, poeira e outras partículas estranhas que podem
prejudicar o desempenho. Mantenha o equipamento não utilizado em prateleiras de armazenamento
longe da área de trabalho principal para manter o laboratório limpo e organizado.


o Requisito de Software: Garanta o uso de versões licenciadas de todos os softwares necessários para a
investigação forense a qualquer momento durante a investigação. Versões de demonstração de software
forense não são preferíveis, pois oferecem funcionalidade limitada. Ter versões licenciadas também ajuda os
investigadores durante um julgamento. Use uma versão de demonstração se e somente se ela fornecer
funcionalidade completa.
2. Considerações de projeto físico e estrutural
o Tamanho do laboratório: determinar o tamanho do laboratório forense depende muito do orçamento e

tipo de casos a serem tratados.
o Acesso a Serviços Essenciais: Deve haver fácil acesso a todos os serviços essenciais do laboratório, incluindo
serviços de emergência como corpo de bombeiros e outros veículos de emergência. Também deve ter acesso
ao envio e recebimento sem comprometer a segurança física do laboratório.
o Estimativa de espaço para área de trabalho e armazenamento de evidências: O laboratório deve ser grande.
Deve haver espaço suficiente para colocar todos os equipamentos no laboratório, como estações de trabalho
e armazenamento de evidências.
o Aquecimento, Ventilação e Ar Condicionado: O ambiente no laboratório, como umidade, fluxo de ar, ventilação
e temperatura ambiente, também desempenha um fator importante.
Deve haver uma alta taxa de troca de ar no laboratório para manter o ar fresco dentro da sala e evitar odores
indesejados no laboratório. Deve haver sistemas de resfriamento adequados instalados no laboratório para
superar o calor gerado pelas estações de trabalho.
3. Considerações sobre a área de trabalho
o Requisito de estação de trabalho: Um laboratório forense de pequeno porte geralmente tem duas estações de
trabalho e uma estação de trabalho comum com conectividade com a Internet. No entanto, a exigência de
estações de trabalho forenses varia de acordo com os tipos e complexidade dos casos e processos tratados
no laboratório.
o Ambiente: Os investigadores passam longas horas em um laboratório forense. Portanto, é de extrema

importância que o ambiente do laboratório seja confortável.
o Internet, Rede e Linha de Comunicação: Instale uma Rede Digital de Serviços Integrados (ISDN) dedicada
para comunicações de rede e voz. Uma rede dedicada é preferida para o computador forense, pois requer
acesso contínuo à Internet e outros recursos na rede. Acesso discado à Internet deve estar disponível para as
estações de trabalho do laboratório.
o Sistemas de Iluminação e Energia de Emergência: O laboratório deve ter energia de emergência e proteção
para todos os equipamentos contra oscilações de energia. Os sistemas de iluminação devem ser organizados
para aumentar a produtividade dos investigadores. Ajuste a iluminação para evitar ofuscamento e mantenha
os monitores em um ângulo de 90 graus em relação às janelas.
4. Considerações de segurança física
o O nível de segurança física exigido para um laboratório forense depende da natureza das investigações realizadas
no laboratório


o Manter um registro de log na entrada do laboratório para registrar os dados do visitante, como
endereço e nome do visitante com data, hora e objetivo da visita, bem como nome da pessoa de
contato. Forneça passes aos visitantes para diferenciá-los da equipe do laboratório e mantenha
um registro eletrônico de entrada para eles.
o Instalar um sistema de alarme de intrusão no laboratório para fornecer uma camada adicional de
proteção e implantar guardas nas instalações
o Manter o laboratório sob vigilância, colocando câmeras de circuito fechado no laboratório e em torno
de suas instalações
o Coloque extintores de incêndio dentro e fora do laboratório e forneça treinamento ao laboratório

pessoal e guardas sobre como usá-los, em caso de incêndio
o Proteja as estações de trabalho da transmissão de sinais eletromagnéticos, o que é comum em

equipamentos eletrônicos. A solução é proteger as emissões por meio de um processo que o
Departamento de Defesa dos EUA chamou de TEMPEST. Para evitar espionagem, os laboratórios
TEMPEST usam folhas de bons condutores metálicos, como cobre, para revestir as paredes,
tetos e pisos. Isole os cabos de energia para evitar radiação e adicione filtros aos telefones dentro
do laboratório.
5. Considerações sobre recursos humanos
o O sucesso geral de um laboratório de computação forense depende principalmente da coleta de

experiência, compartilhamento de conhecimento, educação contínua e investimento no
desenvolvimento de recursos humanos
o Estimar o número de pessoal necessário para lidar com o caso com base em sua natureza e nas
habilidades que devem ter para concluir as tarefas
o Entreviste os candidatos apropriados e recrute-os legalmente. Certifique-se de que eles tenham

certificação referente às suas funções de trabalho.
o No caso de um laboratório de computação forense, as principais funções de trabalho incluem crimes cibernéticos de laboratório
investigador, diretor de laboratório, técnico forense e analista forense
6. Licenciamento de laboratório forense
o Os laboratórios forenses devem ser licenciados pelas autoridades competentes para indicar
confiabilidade
o As autoridades fornecem essas licenças após revisar o laboratório e as instalações que ele possui
para realizar investigações
o Algumas dessas licenças incluem a American Society of Crime Laboratory Directors

Acreditação (ASCLD)/LAB e acreditação ISO/IEC 17025


Construindo a Investigação
Equipe
ÿ Mantenha a equipe pequena para proteger a confidencialidade da investigação e evitar vazamentos de informações
ÿ Identifique os membros da equipe e atribua-lhes responsabilidades

ÿ Assegure-se de que todos os membros da equipe tenham a liberação e autorização necessárias para conduzir as
tarefas atribuídas ÿ Designe um membro da equipe como líder técnico da investigação
Pessoas envolvidas em uma equipe de investigação
Fotógrafo Fotografa a cena do crime e as provas recolhidas
Respondente de Incidente Responsável pelas medidas a serem tomadas quando ocorre um incidente
Analisador de Incidentes Analisa os incidentes com base em sua ocorrência
Examinador/Investigador de Evidências Examina as evidências adquiridas e classifica as evidências úteis
Documento de prova Documenta todas as evidências e as fases presentes no processo de investigação
Gerenciador de evidências Gerencia as evidências de forma que sejam admissíveis no tribunal
Testemunha de prova Oferece uma opinião formal na forma de um testemunho no tribunal
Advogado Fornece assessoria jurídica
Construindo a Equipe de Investigação
A equipe de investigação desempenha um papel importante na resolução de um caso. A equipe é responsável por
avaliar o crime, as provas e os criminosos. Cada membro da equipe deve receber algumas tarefas específicas
(funções e responsabilidades) que permitem que a equipe analise o incidente facilmente. As diretrizes para a
construção da equipe de investigação são as seguintes:
ÿ Identificar os membros da equipe e atribuir-lhes responsabilidades
ÿ Designar uma pessoa como responsável técnico da investigação
ÿ Manter a equipe de investigação o menor possível para obter confidencialidade e evitar

vazamentos de informações
ÿ Fornecer a cada membro da equipe a liberação e autorização necessárias para concluir

as tarefas atribuídas
ÿ Recrute a ajuda de uma equipe de investigação externa confiável, se necessário
Para encontrar a evidência apropriada de uma variedade de sistemas de computação e dispositivos eletrônicos, as
seguintes pessoas podem estar envolvidas:
ÿ Fotógrafo: O fotógrafo fotografa a cena do crime e as provas recolhidas. Eles devem ter uma certificação
autêntica. Essa pessoa é responsável por fotografar todas as evidências encontradas na cena do crime, que
registra as principais evidências no processo forense.
ÿ Respondente do Incidente: O respondente do incidente é responsável pelas medidas tomadas quando ocorre
um incidente. Esse indivíduo é responsável por proteger a área do incidente e coletar as evidências
presentes na cena do crime. Eles devem desconectar o sistema de outros sistemas para impedir a
propagação do incidente para outros sistemas.


ÿ Analisador de Incidentes: O analisador de incidentes analisa os incidentes com base na ocorrência.

Eles examinam o incidente de acordo com seu tipo, como afeta os sistemas, as diferentes ameaças e
vulnerabilidades associadas a ele, etc.
ÿ Examinador/Investigador de Evidência: O examinador de evidência examina a evidência adquirida e a

classifica com base na utilidade e relevância em uma hierarquia que indica a prioridade da evidência.
ÿ Documentador de Provas: O documentador de provas documenta todas as provas e

fases presentes no processo de investigação. Eles coletam informações de todas as pessoas envolvidas no
processo forense e as documentam de forma ordenada, desde a ocorrência do incidente até o fim da
investigação. Os documentos devem conter informações completas sobre o processo forense.
ÿ Gerenciador de evidências: O gerenciador de evidências gerencia as evidências. Eles têm todas as informações
sobre a evidência, por exemplo, nome da evidência, tipo de evidência, hora e fonte da evidência. Eles
gerenciam e mantêm um registro das evidências de forma que sejam admissíveis no tribunal.
ÿ Perito: O perito oferece uma opinião formal como testemunho em um tribunal. Os peritos ajudam a autenticar
os fatos e outras testemunhas em casos complexos.
Eles também auxiliam no interrogatório de testemunhas e evidências, pois vários fatores podem influenciar
uma testemunha normal.
ÿ Advogado: O advogado dá aconselhamento jurídico sobre como conduzir a investigação e

abordar as questões legais envolvidas no processo de investigação forense.


Compreendendo os requisitos de hardware e software de

um laboratório forense
ÿ Um laboratório forense digital deve ter todas as ferramentas de hardware e software necessárias para apoiar o processo de investigação,
começando da busca e apreensão das evidências para relatar o resultado da análise
hardware Programas
ÿ Duas ou mais estações de trabalho forenses com bom poder de ÿ SOs
processamento e RAM ÿ Cabos especializados ÿ Bloqueadores

ÿ Ferramentas de descoberta de
de gravação e duplicadores de unidades
dados ÿ Ferramentas de quebra de
senha ÿ Ferramentas de aquisição ÿ

ÿ Arquivar e restaurar dispositivos
Analisadores de dados ÿ Ferramentas
ÿ Sistemas de esterilização de mídia ÿ
de recuperação de dados ÿ
Outros equipamentos que permitem o funcionamento de ferramentas
Visualizadores de arquivos (imagens e gráficos) ÿ
de software forense
Ferramentas de conversão de tipo de arquivo ÿ
ÿ Kit de ferramentas de hardware forense de computador, como o
Software de segurança e utilitários ÿ Ferramentas
pacote de primeiros socorros da Paraben, DeepSpar Disk
Imager, estação de trabalho forense FRED, etc. de software forense de computador, como Wireshark, Access
Data's FTK etc. .
Compreendendo os requisitos de hardware e software de um laboratório forense
Um laboratório forense digital deve ter todas as ferramentas de hardware e software necessárias para apoiar o processo
de investigação, desde a busca e apreensão das evidências até o relatório do resultado da análise. A familiaridade com o
kit de ferramentas de investigação torna todo o processo mais rápido e eficiente. Um kit de ferramentas de investigação
sofisticado que inclui hardware e software pode reduzir o impacto do incidente impedindo que ele se espalhe para outros
sistemas. Isso minimizará os danos à organização e também ajudará no processo de investigação.
hardware
ÿ Duas ou mais estações de trabalho forenses com bom poder de processamento e RAM
ÿ Cabos especializados
ÿ Bloqueadores de escrita
ÿ Duplicadores de drives
ÿ Arquivar e restaurar dispositivos
ÿ Sistemas de esterilização de meios
ÿ Outros equipamentos que permitam o funcionamento de ferramentas de software forense
ÿ Kit de ferramentas de hardware forense de computador, como o pacote de primeiros socorros da Paraben, DeepSpar
Disk Imager, estação de trabalho forense FRED, etc.
Programas
ÿ SOs
ÿ Ferramentas de descoberta de dados


ÿ Ferramentas de quebra de senha
ÿ Ferramentas de Aquisição
ÿ Analisadores de dados
ÿ Ferramentas de recuperação de dados
ÿ
Visualizadores de arquivos (imagem e gráficos)
ÿ
Ferramentas de conversão de tipo de arquivo
ÿ Software de Segurança e Utilidades
ÿ Ferramentas de software forense de computador, como Wireshark, FTK da Access Data, etc.


Fluxo do módulo

Estágio Estágio

Processo de Investigação Forense - Fase de Investigação

Depois de obter as permissões necessárias e avaliar os pré-requisitos do caso, o investigador
está pronto para investigar o incidente. A fase de investigação e a fase de pós-investigação
incluem várias etapas e processos que precisam de uma execução cuidadosa e sistemática para
obter melhores resultados. Cada passo nesta fase é igualmente crucial para a aceitação das
provas em um tribunal e para o julgamento dos perpetradores.
Esta seção aborda detalhadamente todas as etapas, desde a documentação da cena do crime
eletrônico até a análise dos dados probatórios, que são cruciais na fase de investigação.


Metodologia de Investigação Forense Computacional
1 2 3
Documentando o Busca Evidência
Cena de Crime Eletrônico e apreensão Preservação
6 5 4
Análise de Caso Análise de dados Aquisição de dados
7 8
Testemunhando como um
Comunicando
Perito
Metodologia de Investigação Forense Computacional
Figura 2.1: Metodologia de investigação forense computacional


Documentando o
Cena de Crime Eletrônico
ÿ A documentação da cena do crime eletrônico é
necessário manter um registro de todos os processos
de investigação forense realizados para identificar,
extrair, analisar e preservar as evidências
Pontos a serem lembrados

ao documentar a cena do crime
ÿ Documentar a cena física do crime, anotando a posição do

sistema e outros equipamentos, se houver
ÿ Detalhes do documento de quaisquer componentes eletrônicos relacionados ou

difíceis de encontrar
ÿ Registre o estado dos sistemas de computador, mídia de armazenamento

digital e dispositivos eletrônicos, incluindo seu status de energia
Documentando a cena do crime eletrônico
A documentação da cena do crime eletrônico é necessária para manter um registro de todos os processos de
investigação forense aplicados para identificar, extrair, analisar e preservar as evidências. Os detalhes devem
incluir a localização do crime, status do sistema, dispositivos de rede conectados, mídia de armazenamento,
smartphones, telefones celulares, PDAs, Internet e acesso à rede.
O documento ajudará a rastrear os números de série ou outros identificadores dos dispositivos adquiridos.
A documentação também inclui tirar fotos, vídeos, anotações e esboços da cena para recriá-la posteriormente. O
investigador precisa documentar os processos e atividades em execução nas telas de exibição.
A documentação da cena do crime deve conter detalhes abrangentes da investigação.
Os pontos a serem considerados ao documentar a cena do crime eletrônico são os seguintes:
ÿ A documentação do local do crime electrónico é um processo contínuo durante a investigação que faz um
registo permanente do local
ÿ
É essencial anotar adequadamente o local e o estado dos computadores, mídias de armazenamento
digital e outros dispositivos eletrônicos
ÿ Documentar a cena física do crime, observando a posição do sistema e outras

equipamento, se houver
ÿ Detalhes do documento de quaisquer componentes eletrônicos relacionados e difíceis de encontrar
ÿ Registre o estado do sistema de computador, mídia de armazenamento digital, dispositivos eletrônicos e

evidências previsíveis, incluindo o status de energia do computador
ÿ Tire uma fotografia do ecrã do monitor do computador e anote o que vê no

tela


Busca e apreensão
ÿ Planejamento da busca e apreensão
ÿ Busca de consentimento
ÿ Obtenção de assinaturas de testemunhas
ÿ Obtenção de mandado de busca e apreensão
ÿ Proteger e avaliar a cena do

ÿ Coleta de informações do incidente crime
ÿ Pesquisa inicial do ÿ Apreensão de provas na cena do crime

cena
ÿ Lidando com computadores ligados
ÿ Lidando com computadores desligados
ÿ Lidando com computadores em rede
ÿ Procedimento de desligamento do sistema operacional
ÿ Lidando com celulares e outros dispositivos portáteis
Busca e apreensão
Os investigadores devem ter conhecimento profundo de todos os dispositivos que podem ter desempenhado um
papel na transmissão dos dados do ataque ao dispositivo da vítima. Devem poder procurar todos os dispositivos
envolvidos e apreendê-los de forma lícita para a obtenção e análise dos dados probatórios.
O diagrama a seguir representa o fluxo do processo de busca e apreensão:
Figura 2.2: Fluxograma do processo de busca e apreensão


Planejamento da Busca e Apreensão
Um plano de busca e apreensão deve conter os seguintes detalhes:
Descrição do incidente Criando um documento de cadeia de custódia
Nome do caso ou título do incidente Detalhes do equipamento a ser apreendido
Local do incidente Tipo de busca e apreensão (aberto/encoberto)
Jurisdição aplicável e legislação relevante Aprovação da administração local
Determinando a extensão da autoridade para pesquisar Precauções de saúde e segurança
Planejamento da Busca e Apreensão
Os investigadores precisam traçar um processo estratégico para conduzir a atividade de busca e apreensão.
Isso os ajudará a distribuir tarefas entre os membros da equipe para concluir a apreensão e permitir que a equipe use
o tempo e as ferramentas de maneira bem definida.
O plano de busca e apreensão deve incluir os seguintes detalhes:
ÿ Descrição, título e localização do incidente
ÿ Jurisdição aplicável, legislação relevante e política organizacional
ÿ Determinar a extensão da autoridade para pesquisar
ÿ Criação de um documento de cadeia de custódia
ÿ Detalhes dos equipamentos a apreender, como tipo e dimensão da estrutura, localização (tudo num só local,
espalhados pelo edifício ou andares), tipo de aparelho e número do modelo, estado da energia, estado da
rede e tipo de rede, backups (se qualquer), última hora e data, local do backup e se for necessário derrubar
o servidor e o impacto dessa ação nos negócios
ÿ Tipo de busca e apreensão (explícito/encoberto) e aprovação da direção local
ÿ Precauções de saúde e segurança, como todas as equipes forenses usando luvas protetoras de látex para
todas as operações de busca e apreensão no local para proteger a equipe e preservar quaisquer impressões
digitais que possam ser úteis no futuro
A equipe de investigação não pode entrar em ação imediatamente após traçar um plano de busca e apreensão; eles
devem seguir um protocolo específico e realizar algumas formalidades legais que incluem obtenção de mandado,
coleta de informações sobre o incidente e obtenção de autorização e consentimento.


Preservação de evidências
A preservação de evidências refere-se ao manuseio e documentação

1 adequados das evidências para garantir que elas estejam livres de
qualquer contaminação
Qualquer evidência física e/ou digital apreendida deve ser

2 isolada, protegida, transportada e preservada para proteger
seu verdadeiro estado
No momento da transferência da evidência, tanto o remetente quanto

3 o destinatário precisam fornecer informações sobre a data e a hora
da transferência no registro da cadeia de custódia
Os procedimentos usados para proteger as evidências e documentá

4 -las durante a coleta e o envio são os seguintes:
ÿ O diário de bordo do projeto
ÿ Uma etiqueta para identificar exclusivamente qualquer evidência
ÿ Um registo da cadeia de custódia
Preservação de evidências
Compreender a importância de preservar as evidências é importante porque as evidências forenses são frágeis por
natureza e podem ser facilmente adulteradas. É essencial salvaguardar a integridade da evidência para torná-la
aceitável em um tribunal.
O manuseio e a preservação de evidências são alguns dos aspectos mais significativos da investigação forense
digital. Os investigadores devem tomar todas as medidas necessárias para garantir que as evidências permaneçam
em seu verdadeiro estado, exatamente como foram encontradas na cena do crime.
No momento da transferência da evidência, tanto o remetente quanto o destinatário precisam fornecer informações
sobre a data e a hora da transferência no registro da cadeia de custódia.
O seguinte é necessário para proteger as evidências e documentá-las durante a coleta e o envio:
ÿ O diário de bordo do projeto para registo das observações relacionadas com as provas
ÿ Uma etiqueta para identificar exclusivamente qualquer evidência
ÿ Um registo da cadeia de custódia


Aquisição de dados
A aquisição de dados forenses é um processo de geração de
imagens ou coleta de informações de várias mídias de acordo
com certos padrões para analisar seu valor forense
Os investigadores podem, então , processar forense

e examinar os dados coletados para extrair informações
relevante para qualquer caso ou incidente específico,
protegendo a integridade dos dados
É uma das etapas mais críticas da perícia digital, pois a aquisição

indevida pode alterar os dados na mídia de evidências e torná-los
inadmissíveis no tribunal.
Os investigadores devem ser capazes de verificar a precisão dos dados

adquiridos , e o processo completo deve ser auditável e aceitável pelo
tribunal
Durante a investigação de dispositivos digitais, todas as evidências podem estar presentes na forma de dados.
Portanto, os investigadores devem ter experiência em adquirir os dados armazenados em vários dispositivos de
diferentes formas.
A aquisição de dados é o uso de métodos estabelecidos para extrair informações armazenadas eletronicamente
(ESI) de um computador ou mídia de armazenamento suspeito, a fim de obter informações sobre um crime ou incidente.
A aquisição de dados forenses é um processo de geração de imagens ou coleta de informações de várias mídias de
acordo com certos padrões, a fim de analisar seu valor forense. Os investigadores podem processar e examinar
forensemente os dados coletados para extrair informações relevantes para qualquer caso ou incidente específico,
protegendo a integridade dos dados. É uma das etapas mais críticas da perícia digital, pois qualquer aquisição
imprópria pode alterar os dados na mídia de evidências e torná-los inadmissíveis no tribunal.
Os investigadores forenses devem ser capazes de verificar a precisão dos dados adquiridos, e o processo completo
deve ser aceitável e reproduzível no tribunal.
Antes de adquirir os dados, o investigador precisa garantir que seu dispositivo de armazenamento esteja legalmente
limpo e, em seguida, iniciar a proteção contra gravação para proteger e proteger as evidências originais.


Análise de dados
ÿ Esta fase inclui o seguinte:

ÿ Análise do conteúdo do arquivo, data e hora
ÿ As técnicas de análise de dados da criação e modificação do arquivo,
dependem do escopo do caso usuários associados à criação do arquivo,

acesso e modificação do arquivo e local de
ou dos requisitos do cliente
ÿ A análise de dados refere-se ao armazenamento físico do arquivo
processo de examinar, identificar,

separar, converter e modelar ÿ Geração de linha do tempo
dados para isolar informações úteis ÿ Identificação da causa raiz do incidente
Análise de dados
A análise de dados refere-se ao processo de examinar, identificar, separar, converter e modelar dados para isolar
informações úteis. Na investigação forense, a análise de dados ajuda na coleta e exame de dados para encontrar sua
relevância com o incidente, a fim de enviar as descobertas a uma autoridade para conclusões e tomada de decisão.
Os investigadores devem analisar minuciosamente os dados adquiridos para tirar conclusões relacionadas ao caso.
Aqui, as técnicas de análise de dados dependem do escopo do caso ou dos requisitos do cliente e do tipo de evidência.
Esta fase inclui o seguinte:
ÿ Analisando o conteúdo do arquivo para uso de dados
ÿ Analisar a data e hora de criação e modificação do arquivo
ÿ Encontrar os usuários associados à criação, acesso e modificação de arquivos
ÿ Determinar o local de armazenamento físico do arquivo
ÿ Geração de linha do tempo
ÿ Identificação da causa raiz do incidente
Identifique e categorize os dados em ordem de relevância para o caso, de forma que os dados mais relevantes sirvam
como a evidência mais importante para o caso.


Caso
Análise
Os investigadores podem relacionar os dados probatórios aos detalhes do caso para entender como o
incidente completo ocorreu e determinar as ações futuras, como as seguintes:
Determine a possibilidade de explorar outros Reúna informações adicionais Considere a relevância dos
procedimentos investigativos para reunir relacionadas ao caso (por exemplo, componentes que estão fora do
evidências adicionais (por exemplo, verificar os pseudônimos, contas de e-mail, ISP escopo da investigação; por exemplo,
dados do host e examinar os logs do serviço de usado, nomes, configuração de rede, equipamentos como laminadores,
rede em busca de qualquer informação de valor logs do sistema e senhas) entrevistando cheques de papel, scanners e
probatório, coletar evidências específicas do os respectivos indivíduos impressoras em caso de fraude
caso nas mídias sociais, identificar locais de
armazenamento remoto etc.)
Análise de Caso
A análise de caso é o processo de relacionar os dados probatórios obtidos ao caso, a fim de entender como
ocorreu o incidente completo. Nesta fase, o investigador avalia o impacto do incidente na organização, os
motivos e a origem do incidente, as etapas necessárias para lidar com o incidente, a equipe de investigação
necessária para lidar com o caso, os procedimentos investigativos e o possível resultado do processo forense.
A análise do caso é importante para implementar um plano adequado para lidar com o caso e alcançar os
resultados desejados. A análise de caso pode ajudar os investigadores a determinar ações futuras, como as
seguintes:
ÿ Verifique se existe a possibilidade de seguir outros métodos investigativos para, por exemplo, identificar
um local de armazenamento remoto, examinar logs de serviço de rede para qualquer informação de
valor probatório, coletar evidências específicas do caso nas mídias sociais, identificar locais de
armazenamento remoto etc.)
ÿ Reúna informações adicionais relacionadas ao caso (por exemplo, pseudônimos, contas de e-mail, ISP
usado, nomes, configuração de rede, logs do sistema e senhas) entrevistando os respectivos
indivíduos.
ÿ Identificar a relevância de vários elementos de rede para a cena do crime, como cartões de crédito,
cheques, scanners e câmeras
ÿ Considerar a pertinência das componentes periféricas à investigação; por exemplo, em casos de

falsificação ou fraude, considere equipamentos que não sejam de computador, como laminadores,
papel de cheque, scanners, impressoras e câmeras digitais


Fluxo do módulo

Estágio Estágio

Processo de Investigação Forense - Fase Pós-Investigação

A responsabilidade dos investigadores não termina com a descoberta e análise dos dados das evidências.
Eles também devem ser capazes de explicar como chegaram à conclusão aos promotores, advogados e
juízes. A fase pós-investigação envolve o relato e documentação de todas as ações realizadas e as
conclusões durante o curso de uma investigação e o procedimento de testemunhar como perito no tribunal.
Esta seção fornece diretrizes sobre como escrever um relatório de investigação e testemunhar como perito.


Coleta e organização de informações
ÿ A documentação em cada fase deve ser identificada

Identificação para decidir se é apropriada para a investigação
e deve ser organizada em categorias específicas
Procedimentos
Seguem os procedimentos para a coleta e organização da

documentação necessária:
ÿ Recolher todas as notas das diferentes fases do processo de investigação
ÿ Identificar os factos a incluir no relatório para suporte da

conclusões
ÿ Listar todas as provas a apresentar com o relatório
ÿ Listar as conclusões que precisam constar no relatório
ÿ Organizar e classificar as informações coletadas para criar um relatório

conciso e preciso
Coleta e organização de informações
ÿ Identificação
A documentação em cada fase deve ser identificada para decidir se é apropriada para a investigação e deve
ser organizada em categorias específicas
ÿ Procedimentos
Seguem os procedimentos para a coleta e organização da documentação necessária:
o Reúna todas as notas de diferentes fases do processo de investigação
o Identificar os fatos a serem incluídos no relatório para fundamentar as conclusões
o Liste todas as evidências a serem enviadas com o relatório
o Liste as conclusões que precisam estar no relatório
o Organizar e classificar as informações coletadas para criar um resumo conciso e preciso

relatório


Escrevendo o Relatório de Investigação
A redação do relatório é uma etapa crucial no resultado da investigação
O relatório deve ser claro, conciso e escrito para o público apropriado
Aspectos importantes de um bom relatório:
ÿ Deve definir com precisão os detalhes de um incidente
ÿ Deve transmitir todas as informações necessárias de forma concisa
ÿ Deve ser tecnicamente sólido e compreensível para o público-alvo
ÿ Deve ser estruturado de forma lógica para que as informações possam ser facilmente localizadas
ÿ Deve ser capaz de resistir à inspeção legal
ÿ Deve aderir às leis locais para ser admissível em tribunal
Escrevendo o Relatório de Investigação
A redação do relatório é uma etapa crucial no processo de investigação forense, pois resume toda a investigação em
um relatório legível a ser apresentado em um tribunal. Com base na precisão e certeza deste relatório, o tribunal
processará os suspeitos. O relatório deve ser claro, conciso e escrito para o público apropriado. O relatório deve estar
no idioma local, se necessário, e sem jargões. Deve incluir apenas os dados relativos ao caso e as provas.
Cada declaração deve ter um documento ou prova de apoio.
O relatório também deve fornecer um relato detalhado dos incidentes, enfatizando as discrepâncias nas declarações
das testemunhas. Deve ser um documento bem escrito que se concentre nas circunstâncias do incidente, depoimentos
das testemunhas, fotografias da cena do crime, materiais de referência que levem às evidências, desenhos esquemáticos
do sistema de computador e o relatório de análise forense da rede. As conclusões do relatório de investigação devem
ser baseadas em fatos e não nas opiniões dos investigadores. Um investigador deve redigir a documentação
considerando que a equipe de defesa também a examinará.
Os aspectos de um bom relatório de investigação incluem o seguinte:

ÿ
Deve definir com precisão os detalhes de um incidente.
ÿ
Deve transmitir todas as informações necessárias de forma concisa.
ÿ
Deve ser tecnicamente sólido e compreensível para o público-alvo.
ÿ
Deve ser estruturado de forma lógica para que as informações possam ser facilmente localizadas.
ÿ
Deve ser criado em tempo hábil.
ÿ
Deve ser capaz de resistir à inspeção legal.


ÿ
Deve incluir conclusões que possam ser totalmente reproduzidas por terceiros.
ÿ
Deve tentar responder a questões levantadas durante um julgamento judicial.
ÿ
Deve fornecer conclusões, opiniões e recomendações válidas apoiadas por números e fatos.
ÿ Deve aderir às leis locais para ser admissível em tribunal.


Modelo de Relatório de Investigação Forense
Um modelo de relatório de investigação forense contém o seguinte:
ÿ Resumo executivo ÿ Número

do caso
ÿ Nomes e CPF dos autores, investigadores e examinadores ÿ Finalidade da
investigação ÿ Achados significativos ÿ Análise de assinaturas ÿ Objetivos da
investigação
ÿ Detalhes do incidente
ÿ Data e hora em que o incidente supostamente
ocorreu ÿ Data e hora em que o incidente foi relatado ao pessoal da
agência ÿ Detalhes da pessoa ou pessoas que relataram o incidente ÿ
Processo de investigação ÿ Data e hora em que a investigação foi atribuída

ÿ Investigadores designados ÿ Natureza da reclamação e informações
fornecidas aos investigadores
Modelo de relatório de investigação forense (continuação)
ÿ Informações de evidência
ÿ Descobertas relevantes ÿ
ÿ Localização das provas
Arquivos de suporte
ÿ Listagem das provas recolhidas
ÿ Anexos e apêndices
ÿ Ferramentas envolvidas na coleta das evidências
ÿ Caminho completo dos arquivos importantes
ÿ Preservação das provas
ÿ Avaliações e opiniões de especialistas
ÿ Processo de avaliação e análise

ÿ Outros detalhes de suporte
ÿ Avaliação inicial das evidências
ÿ Metodologia do atacante
ÿ Técnicas investigativas
ÿ Aplicações do usuário e atividade na
ÿ Análise das provas informáticas Internet
(Ferramentas envolvidas)
ÿ Recomendações
Modelo de Relatório de Investigação Forense
Um Modelo de Relatório Investigativo é um conjunto de estilos predefinidos que permite aos

investigadores adicionar diferentes seções de um relatório, como o número do caso, nomes e números
de CPF dos autores, objetivos da investigação, detalhes do incidente, resumo executivo, processo de
investigação, lista de descobertas e ferramentas usadas.


Cada relatório investigativo começa com um número de caso único, seguido por nomes, bem
como o número de segurança social dos autores, investigadores e examinadores envolvidos na
investigação. O relatório cobre todos os detalhes do incidente que são atualizados com o
andamento diário do processo investigativo. Inclui todos os detalhes das evidências, como
localização, lista das evidências coletadas, ferramentas usadas na investigação e o processo de
extração e preservação das evidências.
Deve também registrar o procedimento de avaliação e análise desde a avaliação inicial das
evidências até as técnicas utilizadas na investigação, incluindo a análise das evidências
eletrônicas/digitais com os arquivos relevantes, documentos de suporte como anexos e apêndices
e o caminho do arquivos. O relatório também deve incluir revisões de especialistas com detalhes
de suporte sobre a intenção do invasor, dispositivos usados, atividade na Internet e
recomendações.
Figura 2.3: Modelo de relatório de investigação forense


Depoimento como Perito

Apresentar evidências digitais no tribunal requer conhecimento de tecnologia nova, especializada,
em evolução e, às vezes, complexa
Familiarizar o perito com os procedimentos usuais que são seguidos

durante um julgamento
Coisas que
acontecem no
O advogado apresenta o perito
tribunal
quarto
O advogado da parte contrária pode tentar desacreditar o perito
O advogado conduz o perito através das provas
Mais tarde, é seguido pelo interrogatório do advogado oponente
Depoimento como Perito

Como o advogado, promotores e outros painéis presentes em um tribunal podem não ter
conhecimento técnico do crime, provas e perdas, os investigadores devem abordar pessoal
autorizado que possa comparecer ao tribunal como testemunha especializada para afirmar o
precisão do processo e dos dados.
Uma testemunha especialista deve considerar certos fatores ao testemunhar no tribunal. Eles devem
reunir informações suficientes sobre os procedimentos padrão durante um julgamento e nunca devem
consultar seu advogado a esse respeito. Antes que o perito testemunhe no tribunal, o advogado primeiro
o apresenta ao tribunal com alta consideração e revela as credenciais e realizações do especialista para
estabelecer credibilidade com o júri. No entanto, o advogado de oposição pode tentar desafiar ou
questionar a reputação do especialista, revelando ainda mais as falhas passadas do especialista
relevantes para o caso, se houver.
O advogado conduz o perito através das provas e explica o papel deste em relação às provas
de forma que seja compreensível para o júri, a audiência e o advogado da parte contrária. Segue-
se um interrogatório do advogado da oposição, que então questiona o perito sobre a descrição
das provas e os métodos que seguiram ao coletar e analisar as provas.


Resumo do Módulo
Este módulo discutiu o processo de investigação forense e
sua importância
Ele cobriu várias atividades envolvidas no

fase de pré-investigação
Também discutiu detalhadamente sobre as atividades

realizadas na fase de investigação
Finalmente, este módulo terminou com uma discussão

detalhada sobre as atividades da fase pós-investigação
No próximo módulo, discutiremos em detalhes como

entender discos rígidos e sistemas de arquivos
Resumo do Módulo
Este módulo discutiu o processo de investigação forense e sua importância. Cobriu as várias atividades envolvidas
na fase de pré-investigação e discutiu em detalhes as atividades realizadas na fase de investigação. Finalmente,
este módulo apresentou uma discussão detalhada sobre as atividades da fase pós-investigação.
No próximo módulo, discutiremos em detalhes discos rígidos e sistemas de arquivos.

Esta página foi intencionalmente deixada em branco.

MT
EC-Council
CE-Conselho
D FE
Digital
Digital
Módulo 03
Entendendo Discos Rígidos e Sistemas de Arquivos
Noções básicas sobre discos rígidos e sistemas de arquivos
1 Compreendendo os diferentes tipos de unidades de armazenamento e suas características
2 Compreendendo a estrutura lógica de um disco
3 Compreendendo o processo de inicialização dos sistemas operacionais Windows, Linux e Mac
4 Visão geral de vários sistemas de arquivos dos sistemas operacionais Windows, Linux e Mac
5 Analisando sistemas de arquivos usando Autopsy e The Sleuth Kit
Dispositivos de armazenamento como unidades de disco rígido (HDDs) e unidades de estado sólido (SSDs) são uma
fonte importante de informações durante a investigação forense. O investigador deve localizar e proteger os dados
coletados dos dispositivos de armazenamento como evidência. Portanto, é necessário que o investigador tenha
conhecimento sobre a estrutura e o comportamento dos dispositivos de armazenamento. O sistema de arquivos
também é importante, pois o armazenamento e a distribuição dos dados em um dispositivo dependem do sistema de
arquivos usado.
ÿ Descrever diferentes tipos de unidades de armazenamento e suas características
ÿ Explicar a estrutura lógica de um disco
ÿ Compreender o processo de inicialização dos sistemas operacionais (SOs) Windows, Linux e Mac
ÿ Compreender vários sistemas de arquivos do Windows, Linux e Mac OSes
ÿ Examine os sistemas de arquivos usando Autopsy e The Sleuth Kit
Módulo 03 Página 86 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
Fluxo do módulo
Descrever diferentes tipos

de unidades de disco e suas
Características
Explique o lógico
Estrutura de um disco
Entenda o processo de
inicialização do Windows, Linux e
Sistemas operacionais Mac Entenda Vários Arquivos
Sistemas de Windows,
Linux e Mac
Examine o arquivo Sistemas operacionais
Sistema
Descrever diferentes tipos de unidades de disco e suas características

HDDs e SSDs armazenam dados digitais em computadores. HDDs registram dados magneticamente em um
prato giratório giratório e contém partes móveis; portanto, é propenso a danos físicos. Os SSDs usam chips
de memória flash NAND para armazenar dados e não contêm partes móveis.
ÿ HDD é um dispositivo de armazenamento de dados digitais não voláteis que

Compreensão grava dados magneticamente em um prato metálico
Disco rígido
ÿ O desempenho de leitura/gravação de um HDD é diretamente proporcional ao
Dirigir RPM (rotações por minuto) do prato da unidade
Controle deslizante (e cabeça)

Atuador do
Eixo do atuador
Braço Atuador
Pratos
Faixas
Fuso
Clusters
Setores
Conector de força
Pinos de jumper
SCSI (interface de sistema de computador pequeno)

Conector
Compreendendo a unidade de disco rígido
Um HDD é um dispositivo de armazenamento de dados digitais não voláteis usado em um sistema de computador.
Um disco rígido armazena dados usando um método semelhante ao usado em um gabinete de arquivo. O usuário,
quando necessário, pode acessar os dados e programas. Quando o computador precisa de programas ou dados
armazenados, o sistema copia os dados do HDD para um local temporário. Quando o usuário ou o sistema faz
alterações em um arquivo, o computador salva o arquivo substituindo o arquivo antigo pelo novo. O HDD grava os
dados magneticamente no disco rígido.
O HDD consiste em pratos giratórios e suas velocidades de leitura/gravação dependem das revoluções por minuto
(RPM) desses pratos. Quanto mais rápido o prato girar, maior será o desempenho de leitura/gravação do HDD.
Os HDDs são suscetíveis a danos físicos porque contêm partes móveis. A longo prazo, as partes móveis se
desgastam, danificando o acionamento.
Figura 3.1: Estrutura de uma unidade de disco rígido
Os HDDs diferem em termos de várias medições, como as seguintes:
ÿ Capacidade
ÿ Interface utilizada
ÿ Velocidade em RPM
ÿ Procurar tempo
ÿ Tempo de acesso
ÿ Tempo de transferência
Compreendendo o disco rígido

Dirigir: Pistas
As trilhas são os círculos concêntricos em pratos onde todas

as informações são armazenadas
O cabeçote de acionamento pode acessar esses anéis

circulares em uma posição por vez
As faixas são numeradas para fins de identificação
A leitura/gravação é executada rolando os cabeçalhos da

parte interna para a mais externa do disco
Entendendo a Unidade de Disco Rígido: Faixas
Os pratos têm duas superfícies, cada uma delas dividida em círculos concêntricos chamados trilhas. As trilhas armazenam
todas as informações em um disco rígido e as trilhas em uma partição de prato armazenam grandes blocos de dados. Um
disco rígido moderno contém dezenas de milhares de faixas em cada prato. As cabeças rolantes leem e gravam dados da
parte mais interna para a mais externa do disco. Esse tipo de arranjo de dados permite acesso fácil a qualquer parte do
disco, e é por isso que os discos rígidos têm o apelido de “dispositivos de armazenamento de acesso aleatório”.
Cada trilha contém várias unidades menores chamadas setores, e todos os pratos em um HDD têm a mesma densidade
de trilhas. A densidade da via refere-se à compacidade dos círculos da via; ele deve ser maximizado para que uma
unidade de área na superfície do prato possa conter o número máximo de bits.
A densidade da trilha também determina a capacidade de armazenamento de um disco rígido.
Compreendendo a unidade de disco rígido: numeração de faixas
A numeração das faixas em um disco rígido começa em 0 a partir da borda

externa e se move em direção ao centro. O número de faixas em um disco
pilha principal
rígido depende do tamanho do disco
Conjunto
As cabeças de leitura/gravação em ambas as superfícies de um prato são Cabeça 0
bem embaladas e travadas juntas em um conjunto de braços de cabeça
Cabeça 1
Cabeça 2
Os braços se movem para dentro e para fora juntos para localizar

fisicamente todas as cabeças no mesmo número de faixa
Cabeça 3
Cabeça 4
Portanto, um local de trilha é frequentemente referido por um número de

cilindro em vez de um número de trilha
Cabeça 5
Faixas
Um cilindro é um grupo de todas as trilhas que começam na mesma posição da
cabeça do disco Setor
Compreendendo a unidade de disco rígido: numeração de faixas
ÿ A numeração das faixas em um disco rígido começa em 0 a partir da borda externa e se move em direção ao centro. O número
de faixas em um disco rígido depende do tamanho do disco
ÿ As cabeças de leitura/gravação em ambas as superfícies de um prato estão bem embaladas e travadas juntas
em uma montagem de braços de cabeça
ÿ Os braços se movem para dentro e para fora juntos para localizar fisicamente todas as cabeças no mesmo número de faixa
ÿ Portanto, uma localização de trilha é frequentemente referida por um número de cilindro em vez de uma trilha
número
ÿ Um cilindro é um grupo de todas as trilhas que começam na mesma posição da cabeça do disco
Figura 3.2: Numeração das pistas
Compreendendo o disco rígido

Unidade: Setor
Um setor é a menor unidade de armazenamento físico no disco
Cada setor contém dados de tamanho fixo: 512 bytes para HDDs, 2048
bytes para CD-ROMs e DVD-ROMs.
Os HDDs mais recentes usam setores de 4.096 bytes (4 KB).
Cada setor do disco é rotulado usando os dados de posicionamento da

trilha de fábrica
O método ideal de armazenar um arquivo em um disco é em uma série

contígua
Por exemplo, se o tamanho do arquivo for 600 bytes, dois setores de 512 bytes
serão alocados para o arquivo
Entendendo a Unidade de Disco Rígido: Setor As trilhas
contêm divisões menores chamadas setores, que são as menores unidades de armazenamento físico em uma bandeja de
disco rígido. Um setor é um termo matemático que denota uma parte em forma de torta ou angular de um círculo e é delimitado
pelo perímetro do círculo e dois raios.
Cada setor normalmente armazena 512 bytes de dados para HDDs e 2048 bytes para CD-ROMs e DVD-ROMs; os HDDs
mais recentes usam setores de 4.096 bytes (4 KB), com bytes adicionais utilizados para controle interno da unidade,
informações que auxiliam no armazenamento de dados e na detecção e correção de erros. Todos os setores entre dois círculos
concêntricos formam uma trilha. As faixas se combinam para formar a superfície de um prato de disco.
Os conteúdos de um setor são os seguintes.
ÿ Informações de ID: Esta parte contém o número e a localização do setor, que identificam os setores
no disco. Ele também contém informações sobre o status do setor.
ÿ Campos de sincronização: O controlador do drive conduz o processo de leitura usando estes campos ÿ Dados:
Esta parte é a informação armazenada no setor ÿ Codificação de correção de erros (ECC): Este código garante a
integridade dos dados ÿ Gaps: São espaços usados para fornecer tempo para o controlador continuar a leitura
processar
Esses elementos constituem despesas gerais do setor. É um determinante importante do tempo necessário para acessar os
dados. Como o disco rígido usa bits para gerenciamento de disco ou dados, o tamanho da sobrecarga deve ser minimizado
para maximizar a eficiência. Um arquivo em um disco armazena dados em uma série contígua para uso ideal do espaço,
enquanto o sistema aloca setores para o arquivo de acordo com seu tamanho. Se o tamanho de um arquivo for de 600 bytes,
o sistema alocará dois setores, cada um com 512 bytes. O número da faixa e o número do setor referem-se ao endereço de
qualquer dado no disco rígido.
Compreendendo a unidade de disco rígido:

Endereçamento Setorial
Cilindros, cabeças e setores (CHS) determinam o

endereço dos setores individuais no disco
Quando um disco é formatado, ele é dividido em faixas e

setores
Por exemplo, o disco formatado pode conter 50 faixas, cada

uma delas dividida em 10 setores
Os números de trilha e setor são usados pelo sistema operacional e pela unidade de
disco para identificar as informações armazenadas
Compreendendo a unidade de disco rígido: endereçamento de setor
ÿ Cilindros, cabeçotes e setores (CHS) determinam o endereço dos setores individuais no

disco
ÿ Quando um disco é formatado, ele é dividido em faixas e setores
ÿ Por exemplo, o disco formatado pode conter 50 faixas, cada uma dividida em 10
setores
ÿ Números de trilha e setor são usados pelo sistema operacional e unidade de disco para identificar o armazenado
em formação
Compreendendo a unidade de disco rígido:

Setores 4K
ÿ Novos discos rígidos usam setores de formato avançado de 4096 bytes (4 KB ou 4 K)
ÿ O Formato Avançado de Geração Um, também chamado de tecnologia de setor 4K, usa com eficiência a
mídia de superfície de armazenamento de um disco ao mesclar oito setores de 512 bytes em um
único setor de 4.096 bytes
Lacuna ECC- Codificação de Correção de Erros

Sincronizar
Marca de endereço
Um setor de 512 bytes

Símbolos ECC
Campo de Dados 512 Bytes
40 x 10 bits = 50 bytes
Oito setores de 512 bytes
512 512 512 512 512 512 512 512

bytes bytes bytes bytes bytes bytes bytes bytes
Melhoria na eficiência do formato

Um setor de bytes de 4K
4096 bytes ETC
distribuído
ETC
Compreendendo a unidade de disco rígido: setores 4K
Novos discos rígidos usam setores de formato avançado de 4096 bytes (4 KB ou 4 K). Este formato usa a
mídia de superfície de armazenamento de um disco de forma eficiente, mesclando oito setores de 512 bytes
em um único setor (4096 bytes). A estrutura de um setor de 4K mantém os elementos de design de setores
de 512 bytes, com as áreas de início e codificação de correção de erro (ECC) representadas pelos caracteres
de identificação e sincronização, respectivamente. A tecnologia de setor 4K remove áreas de cabeçalho
redundantes entre os setores.
Figura 3.3: layout do setor 4K
Densidade de dados em um disco rígido
ÿ Os dados são gravados em um disco rígido usando um método chamado gravação de bit de zona (também conhecido
como gravação de zona múltipla)
ÿ Nesta técnica, as trilhas são combinadas em zonas dependendo de sua distância

o centro do disco
ÿ A cada zona é atribuído um número de setores por trilha
Tipos de densidades de dados em um disco rígido:
Densidade da trilha Densidade de Área Densidade de bits
É definido como o É definido como o São os bits por unidade de

espaço entre as faixas em número de bits por comprimento da trilha
um disco polegada quadrada em uma bandeja
Densidade de dados em um disco rígido
Os discos rígidos armazenam dados usando o método de gravação de bit de zona, também conhecido como gravação de
zona múltipla. Nesta técnica, as trilhas formam uma coleção de zonas dependendo de sua distância do centro do disco, e as
trilhas externas têm mais setores do que as trilhas internas. Isso permite que a unidade armazene mais bits em cada trilha
externa do que na zona mais interna, o que ajuda a atingir uma alta capacidade total de dados.
A seguir estão alguns termos relacionados à densidade de dados em um disco rígido:
ÿ Densidade de trilha: Este termo refere-se ao espaço requerido por um determinado número de trilhas em um disco.
Discos com maior densidade de trilha podem armazenar mais informações e oferecer melhor desempenho.
ÿ Densidade de área: Este termo refere-se ao número de bits por polegada quadrada em um prato e
representa a quantidade de dados que um disco rígido pode conter.
ÿ Densidade de bits: Este termo refere-se ao número de bits que uma unidade de comprimento de trilha pode acomodar.
Endereçamento de Dados CHS (Setor da Cabeça do Cilindro) e Disco

Cálculo de capacidade
O método de endereçamento CHS endereça cada bloco

físico de dados em um disco rígido especificando o cilindro
(raio), cabeçote (lado do prato) e setor (posição angular)
Exemplo de cálculo de capacidade de disco: Uma unidade de
disco tem 16.384 cilindros, 80 cabeçotes e 63 setores por trilha.

Suponha - um setor tem 512 bytes. Qual é a capacidade de tal disco?
Responder
*
Tamanho Total do Disco = Nº de Cilindros Nº de Chefes * Nº de Setores
por Trilha * 512
Total
bytes
do Disco
por Setor
= (16.384
Tamanho
* *
cilindros) trilha) (80 cabeças) (63 setores /
* (512 bytes/setor)
= 42.278.584.320 bytes
Endereçamento de Dados CHS (Setor da Cabeça do Cilindro) e Cálculo da Capacidade do Disco
O endereçamento de dados do disco rígido é a técnica de atribuir endereços a blocos físicos de dados em
HDs.
CHS (Setor da Cabeça do Cilindro)
O processo Cylinder-Head-Sector (CHS) identifica setores individuais em um disco rígido de acordo com suas posições
em uma trilha, e os números da cabeça e do cilindro determinam essas trilhas. Ele associa informações do disco rígido
por especificações como cabeçote (lado do prato), cilindro (raio) e setor (posição angular).
Exemplo de cálculo de capacidade de disco: Uma unidade de disco tem 16.384 cilindros, 80 cabeçotes e 63 setores
por trilha. Suponha - um setor tem 512 bytes. Qual é a capacidade de tal disco?
Responder
* Nº de cabeças *
Tamanho Total do Disco = Nº do Setor de Nº de setores por trilha * 512 bytes por
Cilindros
Tamanho Total do Disco = (16.384 cilindros) * (80 cabeças) * (63 setores/trilha) * (512 bytes/setor)
= 42.278.584.320 bytes
Medindo o
Disco rígido
atuação
ÿ Os dados são armazenados no disco rígido na forma de arquivos
ÿ Quando um programa em execução solicita um arquivo, o disco rígido recupera o conteúdo de

bytes do arquivo e envia os bytes para a CPU, um de cada vez, para processamento posterior
O desempenho do disco rígido é medido por estes fatores:
Taxa de dados: É uma relação do número de Tempo de busca: É o tempo necessário

bytes por segundo que o disco rígido envia para a para enviar o primeiro byte do arquivo para
CPU a UCP, quando esta solicita o arquivo
Medindo o desempenho do disco rígido
Os dados são armazenados no disco rígido na forma de arquivos. Quando um programa em execução solicita um
arquivo, o disco rígido recupera o conteúdo de bytes do arquivo e envia os bytes para a CPU, um de cada vez, para
processamento posterior. A medição do desempenho da unidade de disco rígido inclui o cálculo de suas duas
características, incluindo o tempo de acesso e a taxa de transferência de dados.
Tempo de acesso
O tempo de acesso refere-se ao tempo que uma unidade leva para iniciar a transferência de dados. Este tempo
depende da natureza mecânica dos discos rotativos e cabeçotes móveis. A seguir estão os principais componentes
adicionados para obter o tempo de acesso:
ÿ Tempo de busca: Este é o tempo necessário para um controlador de disco rígido encontrar um determinado
dado. Ao ler ou gravar dados, as cabeças do disco se movem para a posição correta por meio do processo
de busca. O tempo necessário para mover as cabeças do disco de leitura ou gravação de um ponto para
outro no disco é o tempo de busca. O tempo de busca é geralmente entre 10 e 20 ms, com os discos
rígidos de desktop comuns tendo um tempo de busca de aproximadamente 9 ms.
ÿ Latência rotacional: Refere-se ao atraso rotacional no setor de disco escolhido para girar sob os cabeçotes
da unidade de disco de leitura ou gravação. A latência rotacional média do disco é metade do tempo que o
disco leva para completar uma revolução. O termo é aplicável apenas a dispositivos de armazenamento
rotativo, como HDDs e unidades de disquete, mas não a unidades de fita.
ÿ Taxa de transferência de dados: A taxa de transferência de dados de uma unidade é expressa pela taxa
interna, que é a taxa de transferência de dados entre a superfície do disco e o controlador da unidade, bem
como a taxa externa, que é a taxa de transferência de dados entre os controlador de unidade e sistema
host. A taxa de transferência do host ou taxa de transferência de dados é a velocidade na qual o host
computador pode transferir dados do Integrated Drive Electronics (IDE)/Enhanced IDE (EIDE) ou
Small Computer System Interface (SCSI) para a CPU.
o As taxas de transferência de dados na zona interna variam de 44,2 MB/s a 74,5 MB/s
o A taxa de transferência de dados na zona externa varia de 74,0 MB/s a 111,4 MB/s
Compreendendo a unidade de estado sólido (SSD)

ÿ SSD é um dispositivo de armazenamento não volátil que usa chips de memória flash NAND para armazenar dados digitais
ÿ Os SSDs são mais rápidos que os HDDs, pois não possuem partes móveis e o desempenho de leitura/gravação depende da conexão de dados da unidade
Memória Flash NAND

É a principal unidade de armazenamento de
dados composta por transistores de porta
flutuante que retêm o estado de carga mesmo sem
potência
Controlador
É um processador que atua como uma ponte entre os

componentes da memória flash e o computador (host) executando
um software de nível de firmware
DRAM
SSD PCB Poder
Porta É uma memória volátil que fornece desempenho de leitura/gravação
mais rápido
Interface do host
Um SSD se conecta à máquina host usando uma interface. As interfaces SSD comumente usadas
são SATA, PCIe, SCSI, etc.
Compreendendo a unidade de estado sólido (SSD)
Um SSD é um dispositivo eletrônico de armazenamento de dados que implementa a tecnologia de memória de estado sólido
para armazenar dados de maneira semelhante a um HDD. Em eletrônica, o termo “estado sólido” refere-se a um circuito
eletrônico construído inteiramente com semicondutores. Os SSDs usam os dois tipos de memória a seguir.
ÿ SSDs baseados em NAND: Esses SSDs usam microchips de memória NAND de estado sólido para armazenar dados.
A memória NAND é não volátil por natureza e retém a memória mesmo sem energia.
Portanto, os dados nesses microchips estão em um estado não volátil e não precisam de partes móveis. A memória
NAND foi desenvolvida principalmente para reduzir o custo por bit de armazenamento de dados. No entanto, ainda
é mais caro que a memória óptica e os HDDs. A memória baseada em NAND é amplamente usada atualmente em
dispositivos móveis, câmeras digitais, MP3 players, etc. Ela permite apenas um número finito de gravações durante
a vida útil do dispositivo.
ÿ SSDs baseados em RAM volátil: SSDs baseados em memória volátil, como RAM dinâmica (DRAM), são usados
quando os aplicativos exigem acesso rápido aos dados. Esses SSDs incluem uma bateria recarregável interna ou
um adaptador AC/DC externo, bem como armazenamento de backup. Os dados residem na DRAM durante o
acesso a dados e são armazenados no armazenamento de backup em caso de falha de energia.
Vantagens do SSD
As três principais vantagens do SSD sobre os discos rígidos magnéticos são as seguintes:
ÿ Acesso mais rápido aos dados
ÿ Menor consumo de energia
ÿ Maior confiabilidade
SSD PCB
Poder
Porta
Figura 3.4: Estrutura do SSD
Componentes do SSD
1. Memória flash NAND—Ele usa tecnologia de armazenamento não volátil para armazenar dados e consiste
de transistores de porta flutuante que não requerem energia para reter dados
2. Controlador—É um processador embutido que atua como uma ponte entre os componentes da memória
flash e o sistema, executando um software de nível de firmware
3. DRAM—É uma memória volátil e requer energia para reter os dados. A DRAM está incluída em um SSD
para aumentar seu desempenho de leitura/gravação.
4. Interface de host—Com base nos requisitos de desempenho, várias interfaces de host são usadas em
SSDs. As interfaces de host SSD comumente usadas incluem Serial Advanced Technology Attachment
(SATA), Peripheral Component Interconnect Express (PCIe) e SCSI.
Interfaces de disco
ATA/PATA (IDE/EIDE) Serial ATA/SATA (AHCI) Serial Attached SCSI
ATA (Advanced Technology Attachment) é É um avanço do ATA e usa sinalização serial, ao SAS (Serial Attached SCSI) é o sucessor e uma alternativa
o ANSI oficial (American National Standards contrário da sinalização paralela do IDE avançada ao SCSI paralelo em ambientes corporativos
Institute) nome do Integrated Drive
Eletrônica (IDE), uma interface padrão entre o barramento de
dados da placa-mãe e os discos de armazenamento
SSD PCIe SCSI
SCSI (computador pequeno

Um PCIe (Periférico
System Interface) refere-se a
Componente de Interconexão um conjunto de padrões ANSI
Express) SSD é uma placa de interfaces baseadas no
expansão serial de alta velocidade
estrutura de barramento
que integra o flash diretamente na
paralela e projetada para
placa-mãe
conectar vários periféricos a
um computador
Interfaces de disco
Uma unidade de armazenamento se conecta a um PC usando uma interface. Existem vários tipos de interfaces, incluindo
IDE, SATA, PCIe e SCSI.
ÿ ATA/PATA (IDE/EIDE)
IDE é uma interface eletrônica padrão usada entre os caminhos ou barramento de dados da placa-mãe de um
computador e os dispositivos de armazenamento do computador, como HDDs, SSDs e unidades de CD-ROM/DVD.
O padrão de barramento IBM PC Industry Standard Architecture (ISA) de 16 bits é a base para a interface IDE,
que oferece conectividade em computadores que usam outros padrões de barramento. O IDE oficial do American
National Standards Institute (ANSI) é o Advanced Technology Attachment (ATA).
Figura 3.5: ATA/PATA (IDE/EIDE)
ÿ ATA Paralelo
O Parallel ATA (PATA), baseado na tecnologia de sinalização paralela, oferece um controlador na própria unidade
de disco e, assim, elimina a necessidade de uma placa adaptadora separada. Os padrões PATA permitem apenas
comprimentos de cabo de até 46 cm (18 pol.).
O PATA tem as seguintes características:
o Relativamente barato
o Fácil de configurar
o Permite cache antecipado
ÿ Eletrônica de acionamento integrada aprimorada (EIDE)
A maioria dos computadores vendidos hoje usa uma versão aprimorada do IDE chamada Enhanced Integrated
Drive Electronics (EIDE). Unidades IDE se conectam a PCs usando uma placa adaptadora de host IDE. O
controlador IDE em computadores modernos é um recurso embutido na placa-mãe. EIDE é uma extensão da
interface IDE que suporta os padrões ATA-2 e ATA Packet Interface (ATAPI). A placa-mãe contém dois tipos
de soquetes EIDE. Um soquete conecta duas unidades, ou seja, cabos de 80 fios para discos rígidos rápidos
e um cabo de fita de 40 pinos para CD-ROMs/DVD-ROMs. IDE aprimorado ou expandido é uma interface
eletrônica padrão que conecta a placa-mãe de um computador às suas unidades de armazenamento. O EIDE
pode endereçar um disco rígido maior que 528 Mbytes, permite acesso rápido ao disco rígido e fornece
suporte para acesso direto à memória (DMA) e unidades adicionais, como dispositivos de fita e unidades de
CD-ROM. Ao atualizar um sistema de computador com um disco rígido maior, o controlador EIDE é inserido
no slot da placa do sistema. O EIDE acessa unidades maiores que 528 Mbytes usando um endereço de bloco
lógico (LBA) de 28 bits para indicar as localizações reais do cabeçote, setor e cilindro dos dados do disco. O
LBA de 28 bits fornece informações suficientes para identificar setores exclusivos em um dispositivo de
armazenamento com capacidade de 8,4 GB.
ÿ Serial ATA
Serial ATA (SATA) oferece um canal ponto a ponto entre a placa-mãe e a unidade.
Os cabos em SATA são mais curtos do que os em PATA. Utiliza cabos blindados de quatro fios de até 1 m
de comprimento. Os cabos SATA são mais flexíveis, mais finos e mais leves do que os cabos de fita
necessários para os discos rígidos PATA convencionais.
SATA tem as seguintes características:
o Alta velocidade de operação
o Fácil de conectar a dispositivos de armazenamento
o Fácil de configurar
o Transfere dados a uma taxa de 1,5 Gbps (SATA revisão 1.0) e 6 Gbps (SATA revisão 3)
A conectividade da unidade e da placa-mãe por meio de um canal ponto a ponto SATA é baseada na
tecnologia de sinalização serial. Essa tecnologia permite a transferência de dados a uma taxa de
aproximadamente 1,5 Gbps em um modo de canal half-duplex.
Figura 3.6: Serial ATA
ÿ SCSI
SCSI é um conjunto de interfaces eletrônicas padrão ANSI que permite que computadores pessoais se
comuniquem com hardware periférico, como unidades de disco, unidades de fita, unidades de CD-ROM,
impressoras e scanners. Adotados pela Apple Computer, Inc. e ainda usados no Macintosh, os atuais
conjuntos de SCSIs são interfaces paralelas. As portas SCSI continuam disponíveis como um recurso
integrado em vários PCs atualmente e são suportadas por todos os principais sistemas operacionais. Além
de fornecer taxas de dados mais rápidas, o SCSI é mais flexível do que as interfaces de transferência de
dados paralelas anteriores. O SCSI permite que até 7 ou 15 dispositivos (dependendo da largura do
barramento) sejam conectados a uma única porta SCSI em cadeia. Isso permite que uma placa de circuito ou
placa acomode todos os periféricos, em vez de ter uma placa separada para cada dispositivo, tornando-a uma
interface ideal para uso com computadores portáteis e notebooks. Um único adaptador de host, na forma de
um cartão de PC, pode servir como uma interface SCSI para um laptop, liberando as portas paralela e serial
para uso com um modem externo e impressora, além de permitir o uso de outros dispositivos.
Especificações dos padrões SCSI:
Cabo Máximo Velocidade máxima Numero maximo

Nome da tecnologia
Comprimento (metros) (MBps) de dispositivos
SCSI-1 6 5 8
SCSI-2 6 5-10 8 ou 16
Fast SCSI-2 3 10-20 8
Wide SCSI-2 3 20 16
Fast Wide SCSI-2 3 20 16
Ultra SCSI-3, 8 bits 1,5 20 8
UltraSCSI-3, 16 bits 1,5 40 16
Ultra-2 SCSI 12 40 8
Wide Ultra-2 SCSI 12 80 16
Ultra-3 (Ultra160/m)
12 160 16
SCSI
Tabela 3.1: Padrões SCSI
Figura 3.7: SCSI
ÿ Serial Attached SCSI
Serial Attached SCSI (SAS) é um protocolo serial ponto a ponto que lida com o fluxo de dados entre
dispositivos de armazenamento de computador, como HDDs e unidades de fita. É o sucessor do Parallel
SCSI e usa o conjunto de comandos SCSI padrão.
O SAS é escolhido em vez do SCSI devido à sua flexibilidade e outros recursos benéficos, conforme explicado abaixo:
o Enquanto o padrão SCSI paralelo mais recente pode suportar no máximo apenas 16 dispositivos, o SAS faz uso de
expansores e pode suportar até 65.535 dispositivos
o SAS está livre de problemas como terminação e distorção do relógio
o Como o SAS é uma tecnologia ponto-a-ponto, não é afetado por problemas de contenção de recursos, que eram
comuns em SCSI paralelo
o As unidades SAS apresentam melhor desempenho, escalabilidade e confiabilidade em aplicativos de armazenamento

do que as unidades SCSI e podem operar em ambientes onde as unidades SCSI não podem
Figura 3.8: SCSI conectado em série
ÿ SSD PCIe
Um SSD PCIe é uma placa de expansão serial de alta velocidade que integra o flash diretamente na placa-mãe.
Esses dispositivos se conectam à máquina host por meio de seu próprio link serial, eliminando a necessidade de
compartilhar um barramento, reduzindo a latência e aprimorando as velocidades de transferência de dados entre um
servidor e o armazenamento. A velocidade da transferência de dados é determinada pelo número de pistas PCIe por
SSD. O PCIe 5.0 foi lançado em 29 de maio de 2019 e possui uma largura de banda de 32 GT/s (~128 GB/s),
tornando-o ideal para aplicativos como inteligência artificial, aprendizado de máquina, jogos, computação visual,
armazenamento e rede.
Figura 3.9: SSD PCIe
ÿ Protocolo de armazenamento SSD: NVMe SSD
Non-Volatile Memory Express (NVMe) é um protocolo de armazenamento desenvolvido para memória flash NAND e
SSDs de alto desempenho que usam tecnologia de slot de cartão PCIe. Com seu sistema de enfileiramento paralelo,
o NVMe supera as limitações do SATA e outras opções de armazenamento SSD.
Ele pode lidar com cargas de trabalho mais pesadas, reduzir a latência e oferecer melhor suporte de fila do que SSDs
SATA/Advanced Host Controller Interface (AHCI), aumentando significativamente o desempenho e mitigando os
gargalos da CPU. Atualmente, o NVMe oferece suporte a três fatores de forma: placas PCIe adicionais, SSDs M.2 e
SSDs U.2 de 2,5 polegadas.
Fluxo do módulo

Características
Explique o lógico
Linux e Mac
Sistema
Explique a estrutura lógica de um disco

Os dados armazenados em um computador são organizados na forma de arquivos/diretórios de acordo com a
estrutura de árvore armazenada no disco rígido. A estrutura lógica de um disco rígido é compatível com o SO
instalado nele. O disco rígido precisa da estrutura lógica para entender o disco rígido e resolver quaisquer
problemas relacionados ao disco. O registro mestre de inicialização (MBR) é o primeiro setor do disco rígido e
contém carregadores de inicialização e tabelas de partição acessadas pelo sistema operacional.
Estrutura Lógica de Discos
A estrutura lógica de um disco rígido é o sistema de arquivos e o

software utilizado para controlar o acesso ao armazenamento no
disco
A estrutura lógica de um disco rígido tem uma influência significativa

no desempenho, consistência, capacidade de expansão e
compatibilidade do subsistema de armazenamento do disco rígido
Sistemas operacionais diferentes têm sistemas de arquivos diferentes

e usam vários métodos para organizar e controlar o acesso aos
dados no disco rígido
Estrutura Lógica de Discos
A estrutura lógica de um disco rígido depende principalmente dos sistemas de arquivos usados e do software, como
o sistema operacional. Esses fatores controlam e definem o processo de acesso aos dados no disco rígido. Os
sistemas operacionais usam diferentes tipos de sistemas de arquivos, e esses sistemas de arquivos usam vários
outros tipos de mecanismos de controle e acesso para dados no disco rígido. Os sistemas operacionais organizam
o mesmo disco rígido de várias maneiras diferentes. A estrutura lógica do disco rígido influencia diretamente a
consistência, desempenho, compatibilidade e capacidade de expansão dos subsistemas de armazenamento do disco rígido.
Clusters
Um cluster é a menor unidade de armazenamento lógico em um disco rígido
É um conjunto de setores dentro de um disco variando do cluster número 2 a 32 ou mais, dependendo

do esquema de formatação em uso
O sistema de arquivos divide o armazenamento em um volume de disco em partes discretas

de dados para uso e desempenho eficientes do disco. Esses pedaços são chamados de clusters
O processo pelo qual os arquivos são alocados para clusters é chamado de alocação;
portanto, os clusters também são conhecidos como unidades de alocação
No sistema de arquivos File Allocation Table (FAT), os clusters vinculados a um arquivo acompanham
os dados do arquivo na tabela de alocação de arquivos do disco rígido
Clusters
Clusters são as menores unidades de armazenamento acessíveis em um disco rígido. Os sistemas de arquivos
dividem o volume de dados armazenados no disco em partes discretas de dados para desempenho ideal e uso
eficiente do disco. Clusters são formados pela combinação de setores para facilitar o processo de manipulação de
arquivos. Também chamados de unidades de alocação, os clusters são conjuntos de trilhas e setores que variam do
cluster número 2 ao 32 ou superior, dependendo do esquema de formatação. Os sistemas de alocação de arquivos
devem ser flexíveis para alocar os setores necessários aos arquivos. A alocação pode ser do tamanho de um setor por
cluster. Qualquer processo de leitura ou gravação consome um espaço mínimo de um cluster.
Para armazenar um arquivo, o sistema de arquivos deve atribuir o número necessário de clusters a ele. O tamanho do
cluster depende inteiramente do volume do disco e varia de 4 a 64 setores. Em alguns casos, o tamanho do cluster
pode ser de 128 setores. Os setores localizados em um cluster são contínuos. Portanto, cada cluster é um pedaço
contínuo de espaço no disco rígido. Em um cluster, quando o sistema de arquivos armazena um arquivo menor que o
tamanho do cluster, o espaço extra é desperdiçado e é chamado de espaço livre.
Tamanho do cluster
O dimensionamento do cluster tem um impacto significativo no desempenho de um

sistema operacional e na utilização do disco
O tamanho do cluster pode ser alterado para armazenamento de disco ideal
O tamanho de um cluster depende do tamanho da partição do disco e do tipo de

sistema de arquivos instalado na partição
Um grande tamanho de cluster (maior que um setor) tem os seguintes efeitos:
ÿ Minimiza o problema de fragmentação
ÿ Aumenta a probabilidade de espaço não utilizado no cluster

ÿ Reduz a área de armazenamento em disco na qual as informações podem ser
salvou
ÿ Reduz a área não utilizada no disco
Tamanho do cluster
O dimensionamento do cluster tem um impacto significativo no desempenho de um sistema operacional e na utilização do disco. O
particionamento de disco determina o tamanho de um cluster e volumes maiores usam tamanhos de cluster maiores. O sistema pode
alterar o tamanho do cluster de uma partição existente para aprimorar o desempenho. Se o tamanho do cluster for 8192 bytes, o
sistema de arquivos aloca um cluster inteiro para armazenar um arquivo de 5000 bytes. Se o tamanho do arquivo for 10.000 bytes, o
sistema de arquivos alocará dois clusters totalizando 16.384 bytes no espaço de armazenamento. Portanto, o tamanho do cluster
desempenha um papel vital na maximização do uso eficiente do disco. O uso de um tamanho de cluster grande diminui o problema
de fragmentação, mas aumenta muito as chances de espaço não utilizado.
O sistema de arquivos em execução no computador mantém as entradas do cluster. Os clusters formam cadeias no disco usando
números contínuos, para os quais não é necessário armazenar um arquivo inteiro em um bloco contínuo no disco. O sistema de
arquivos pode armazená-lo em partes localizadas em qualquer lugar do disco, bem como movê-lo para qualquer lugar após a criação
do arquivo. Esse encadeamento de cluster é invisível para o sistema operacional.
Os usuários podem alterar o tamanho do cluster somente ao reformatar a unidade.
A seguir estão as etapas para alterar o tamanho do cluster:
ÿ Clique com o botão direito do mouse na unidade que deseja formatar e selecione Formatar
ÿ
Na caixa de diálogo Formatar, escolha o tamanho da unidade de alocação que a unidade recém-formatada deve usar. O
tamanho do cluster pode variar de 512 bytes a 4096 bytes
Clusters Perdidos
Quando o sistema operacional marca clusters como usados, mas não os aloca
01 para nenhum arquivo, esses clusters são conhecidos como clusters perdidos
Um cluster perdido é um erro do sistema de arquivos FAT resultante da maneira
02 como o sistema de arquivos FAT aloca espaço e encadeia arquivos
É principalmente o resultado de um erro de estrutura lógica e não um erro de

03 disco físico
Eles geralmente ocorrem devido a atividades de arquivo interrompidas

causadas quando, por exemplo, um arquivo não é fechado corretamente;
04 assim, os clusters envolvidos em tal atividade nunca são vinculados
corretamente a um arquivo
CHKDSK é uma ferramenta de sistema no Windows que autentica a
05 confiabilidade do sistema de arquivos de um volume e repara erros

lógicos do sistema de arquivos
Clusters Perdidos
Um cluster perdido é um erro da tabela de alocação de arquivos (FAT) que ocorre quando o sistema operacional marca os clusters
como usados, mas não aloca nenhum arquivo para eles. O erro se origina do processo usado pelo sistema de arquivos FAT para
atribuir espaços e agrupar arquivos. É principalmente um erro de estrutura lógica e não um erro de disco físico. Os clusters perdidos
ocorrem quando o usuário não fecha os arquivos corretamente ou desliga um computador sem fechar um aplicativo. Esses erros
também ocorrem devido a corrupções de disco, como drivers ruins e conflitos de recursos. Os sistemas operacionais marcam esses
clusters como em uso, embora não tenham arquivos atribuídos ou vinculados a eles. Os programas de verificação de disco podem
examinar um volume de disco completo em busca de clusters perdidos. Para detectar clusters perdidos, pode-se usar um programa
que pode salvá-los como um arquivo ou limpá-los. O último gera e vincula arquivos artificiais a esses clusters. Este método resultará
em danos ao arquivo recém-formado; no entanto, os dados órfãos são visíveis e é possível recuperar algumas partes desses dados.
Os programas de verificação de disco podem verificar o sistema do computador em busca de clusters perdidos usando o procedimento
a seguir.
ÿ É gerada uma cópia duplicada na memória do FAT observando todos os clusters marcados
como “em uso”.
ÿ A partir do diretório raiz, os clusters utilizados por um arquivo são rastreados e marcados como “contabilizados” para conectá-
los ao arquivo. Este procedimento é repetido para todos os subdiretórios.
ÿ Clusters perdidos ou clusters “órfãos” são marcados no FAT como sendo usados, mas não têm link para
qualquer arquivo.
Chkdsk.exe ou Check Disk é um utilitário interno do Windows que ajuda a detectar erros no sistema de
arquivos e na mídia do disco. O utilitário Check Disk deve ser usado no caso de problemas como telas azuis
e dificuldade para abrir ou salvar arquivos ou pastas. Este utilitário também verifica setores defeituosos e
clusters perdidos.
Etapas para usar a versão de linha de comando do utilitário Check Disk:
ÿ Abra o prompt de comando digitando cmd no utilitário Executar
ÿ Digite chkdsk no prompt de comando para executar o utilitário Check Disk no modo somente leitura
ÿ Depois de concluir uma verificação, o utilitário Check Disk exibirá o status da unidade atual
Figura 3.10: Verificando o utilitário de disco
Espaço livre
Slack space é a área de Se o tamanho do arquivo for menor que o tamanho Por exemplo, se o tamanho da partição for
armazenamento de um disco entre o do cluster, um cluster completo ainda será de 4 GB, cada cluster terá 32 KB de tamanho.
final de um arquivo e o final de um atribuído a esse arquivo. O espaço não utilizado Mesmo que um arquivo exija apenas 10 KB, todos
cluster restante é chamado de espaço slack. os 32 KB serão alocados para esse arquivo,
resultando em 22 KB de espaço ocioso.
Cluster 4242 Tamanho: 2048 (2K)
User_File.txt Espaço livre

User_File.txt Espaço livre
Últimos 256 Ou Espaço livre
Primeiros 512 bytes
bytes Preenchido por SO
Setor 1 Setor 2 Setor 3 Setor 4
512 bytes 512 bytes 512 bytes 512 bytes
Espaço livre
O espaço livre é a área desperdiçada de um cluster de disco entre o final de um arquivo e o final do cluster; ele é criado
quando o sistema de arquivos aloca um cluster completo para um arquivo menor que o tamanho do cluster. Um grande
número de arquivos e um grande tamanho de cluster resultam em espaço em disco desperdiçado devido à falta de
espaço. Os sistemas de arquivos DOS e Windows usam clusters de tamanho fixo. O tamanho consumido por um
arquivo dentro de um cluster é independente do armazenamento de dados, embora o sistema de arquivos reserve todo
o espaço dentro de um cluster para um arquivo. As versões mais antigas do Windows e do DOS usavam uma tabela
de alocação de 16 bits, resultando em um grande tamanho de cluster para grandes partições. Por exemplo, se o
tamanho de cada partição for 4 GB, o tamanho de cada cluster for 32 KB e um arquivo exigir apenas 10 KB, o sistema
alocará um cluster inteiro de 32 KB, resultando em 22 K de espaço disponível.
Cluster 4242 Tamanho: 2048 (2K)
User_File.txt User_File.txt Espaço livre

Espaço livre Espaço livre
Últimos 256 Ou
Primeiros 512 bytes
bytes Preenchido por SO
Setor 1 Setor 2 Setor 3 Setor 4
512 bytes 512 bytes 512 bytes 512 bytes
Figura 3.11: Ilustração do espaço livre
Para eliminar essa ineficiência, o sistema usa o particionamento. Outra abordagem para reduzir o espaço ocioso é usar
o New Technology File System (NTFS), que permite clusters muito menores em grandes partições do que o FAT. O
arquivamento de arquivos usados com pouca frequência também pode usar a compactação para reduzir a folga. À
medida que o tamanho dos discos aumenta, o problema do espaço slack ganha importância.
Tipos de arquivo Slack
ÿ RAM slack: RAM slack é o espaço de armazenamento de dados que começa do final de um arquivo até o
fim do último setor do arquivo
ÿ Folga na unidade : A folga na unidade é o espaço de armazenamento de dados que começa no final do último setor
de um arquivo até o final do último cluster do arquivo
No campo da investigação forense, o espaço livre é uma importante forma de prova. Muitas vezes, o slack space pode conter informações
suspeitas relevantes exigidas por um promotor para apresentar como prova no tribunal. Por exemplo, se o suspeito excluiu os arquivos de
um cluster de disco rígido inteiro e salvou novos arquivos, que preencheram metade do cluster, a outra metade pode não estar vazia. Ele
pode conter os dados dos arquivos excluídos. Os examinadores forenses podem coletar esses dados usando ferramentas forenses de
computador.
Registro Mestre de Inicialização (MBR)
1 3
Um registro mestre de inicialização (MBR) Na prática, MBR quase sempre se refere
é o primeiro setor ("setor zero") de um ao setor de inicialização de 512 bytes (ou
dispositivo de armazenamento de dados , setor de partição) de um disco
como um disco rígido
2 4
As informações sobre os arquivos no MBR é usado para o seguinte:
disco, suas localizações e tamanhos e Segurando uma tabela de partição que se refere às
outros dados importantes são armazenados partições de um disco rígido
no arquivo MBR
Inicializando um sistema operacional
Reconhecendo distintamente mídia de disco rígido

individual com uma assinatura de disco de 32 bits
Registro Mestre de Inicialização (MBR)
Master Boot Record (MBR) refere-se ao primeiro setor de um disco rígido ou setor zero, que especifica a localização de
um sistema operacional para o sistema carregar no armazenamento principal. O MBR também é chamado de setor de
partição ou tabela de partição mestre, pois contém uma tabela que localiza os dados do disco particionado. Um programa
no registro carrega o restante do sistema operacional na RAM.
Um arquivo MBR contém informações sobre vários arquivos presentes no disco, suas localizações e tamanhos. Na
prática, MBR quase sempre se refere ao setor de inicialização de 512 bytes ou setor de partição de um disco. Os
comandos fdisk/MBR ajudam na criação do MBR no Windows e no DOS. Quando um computador é inicializado, o BIOS
se refere a esse primeiro setor para instruções do processo de inicialização e informações sobre como carregar o
sistema operacional.
O MBR é usado para:
ÿ Segurando uma tabela de partição que se refere às partições de um disco rígido
ÿ Iniciando um sistema operacional
ÿ Reconhecimento distinto de mídia de disco rígido individual com uma assinatura de disco de 32 bits
O MBR consiste nas seguintes estruturas:
ÿ Tabela de Partição
Uma tabela de partição é uma estrutura de dados de 64 bytes que armazena informações sobre os tipos de
partições presentes no disco rígido e suas localizações. Esta tabela possui um layout padrão que não depende
do sistema operacional. Ele é capaz de descrever apenas quatro partições, que são partições primárias ou
físicas. Todas as outras partições são partições lógicas vinculadas a uma das partições primárias.
ÿ Código Mestre de Inicialização
O código mestre de inicialização é um pequeno código de computador que o sistema carrega no BIOS e
executa para iniciar o processo de inicialização do sistema. Após a execução, o sistema transfere os controles
para o programa de inicialização presente na partição ativa para carregar o SO.
O código mestre de inicialização implementa as seguintes funções:
ÿ Examina a tabela de partição para encontrar a partição ativa
ÿ Localiza o primeiro setor da partição ativa
ÿ Carrega uma cópia do setor de inicialização da partição ativa na memória
ÿ Transfere o controle para o código executável no setor de boot
Estrutura de um registro mestre de inicialização
A estrutura do MBR consiste em três partes:
Master Boot Code ou Boot Strap – É um código

executável e responsável por carregar o SO na memória
do computador. Consiste em uma estrutura de dados de
446 bytes.
Tabela de Partição – Mantém os dados de todas as

partições do disco rígido e consiste em uma estrutura
de dados de 64 bytes
Assinatura de disco – Localiza-se no final do MBR

e contém apenas 2 bytes de dados. É exigido pelo
BIOS durante a inicialização.
Estrutura de um registro mestre de inicialização
A estrutura do MBR consiste em três partes:
ÿ Master Boot Code ou Boot Strap – É um código executável e responsável por carregar o SO na memória do
computador. Consiste em uma estrutura de dados de 446 bytes.
ÿ Tabela de Partição – Mantém os dados de todas as partições do disco rígido e consiste em um

estrutura 64 bytes
ÿ Assinatura de Disco – Localiza-se no final do MBR e contém apenas 2 bytes de dados. Isto
é exigido pelo BIOS durante a inicialização.
Tabela 3.2: Estrutura do MBR
Os sistemas que executam Windows e DOS usam o arquivo MBR para armazenar as informações sobre os arquivos no disco. Muitos produtos
substituem o arquivo MBR fornecido pelo sistema operacional da Microsoft. Algumas ferramentas utilitárias de terceiros são úteis durante a
instalação de dois ou mais sistemas operacionais em um disco. Os investigadores precisam de muitas ferramentas de aquisição de dados para
investigação forense, pois um produto de fornecedor pode não ser confiável para tarefas forenses de computador. No UNIX/Linux, o comando dd
ajuda a criar backups e restaurar o MBR.
Fazendo backup do MBR
dd if=/dev/xxx of=mbr.backupbs=512 contagem=1
Restaurando MBR
dd if=mbr.backup of=/dev/xxx bs=512 contagem=1
Partições de disco
ÿ O particionamento de disco é a criação de divisões lógicas em um dispositivo de armazenamento (HDD/SSD) para permitir que o usuário
aplique a formatação lógica específica do sistema operacional
ÿ O processo de particionamento de disco é o mesmo para HDDs e SSDs
Partição primária partição estendida
ÿ É uma unidade que contém as informações ÿ É uma unidade lógica que contém as
em relação ao sistema operacional, área do sistema informações sobre dados e arquivos armazenados no
e outras informações necessárias para inicializar disco
ÿ No MS-DOS e versões anteriores do Microsoft
Sistemas Windows, a primeira partição (C:)

deve ser uma "partição primária"
Partições de disco
O particionamento de disco é a criação de divisões lógicas em um dispositivo de armazenamento (HDD/SSD) para

permitir que o usuário aplique a formatação lógica específica do sistema operacional. O processo de particionamento
de disco é o mesmo para HDDs e SSDs. O particionamento refere-se à criação de unidades lógicas para
gerenciamento de memória eficaz, e uma partição é uma unidade lógica para armazenar dados. Partições ocultas
criadas em uma unidade podem ocultar dados. A lacuna entre partições é o espaço entre a partição primária e a
partição secundária. Se a unidade entre partições contiver dados ocultos, os utilitários do editor de disco, como o
Disk Editor, podem ser usados para alterar as informações na tabela de partições. Isso removerá todas as referências
à partição oculta, que foram ocultadas do sistema operacional. Outro método para ocultar dados é colocá-los, que
podem ser evidências digitais, no final do disco, declarando um número menor de bytes do que o tamanho real da
unidade. O Disk Editor permite que um investigador acesse essas áreas ocultas ou vazias do disco.
As partições são dos dois tipos a seguir:
ÿ Partição primária: É a unidade que contém informações sobre o sistema operacional, a área do sistema e
outras informações necessárias para inicializar. No MS-DOS e versões anteriores dos sistemas Microsoft
Windows, a primeira partição (C:) deve ser uma partição primária.
ÿ Partição estendida: É a unidade lógica que contém informações sobre os dados e arquivos armazenados no
disco. Várias ferramentas estão disponíveis para examinar partições de disco. Algumas ferramentas de
edição de disco são Disk Edit, WinHex e Hex Workshop. Essas ferramentas permitem que os usuários
visualizem os cabeçalhos dos arquivos e informações importantes sobre os arquivos. Ambos os recursos
requerem a análise dos códigos hexadecimais que um sistema operacional identifica e usa para manter o
sistema de arquivos.
Bloco de parâmetros do BIOS (BPB)

ÿ O bloco de parâmetros do BIOS (BPB) é uma estrutura de dados no setor de inicialização da
partição ÿ Descreve o layout físico de um volume de armazenamento de dados, como o número de cabeçotes e o tamanho das trilhas na unidade ÿ BPB
em sistemas de arquivos como como FAT12 (exceto em DOS 1.x), FAT16, FAT32, HPFS (High Performance File System) e NTFS (New Technology
File System) define a estrutura do sistema de arquivos
ÿ O comprimento do BPB varia para setores de inicialização FAT16, FAT32 e NTFS devido aos diferentes tipos de campos e à quantidade de dados armazenados
neles ÿ O BPB auxilia os investigadores a localizar a tabela de arquivos no disco rígido
Formato do bloco de parâmetros do BIOS completo DOS 7.1 estendido (79 bytes) para FAT32: NTFS - Formato de BPB Estendido para NTFS (73 bytes):
Deslocamento do setor Compensação do PIB Deslocamento do setor Compensação do PIB Comprimento do campo Descrição
Comprimento do campo Descrição
0x00B 0x00 25 BYTEs DOS 3.31 BPB 0x00B 0x00 25 BYTEs DOS 3.31 BPB
0x024 0x19 DWORD Setores lógicos por FAT 0x024 0x19 BYTE Número da unidade física (idêntico ao DOS 3.4 EBPB)
0x028 0x1D PALAVRA Espelhamento de bandeiras etc. 0x025 0x1A BYTE Sinalizadores etc. (idêntico ao DOS 3.4 EBPB)
0x02A 0x1F PALAVRA Versão
Assinatura de inicialização estendida (0x80 também
0x026 0x1B BYTE
0x02C 0x21 Cluster do diretório raiz DWORD conhecido como "8.0") (semelhante ao DOS 3.4 EBPB e DOS 4.0 EBPB)
0x030 0x25 PALAVRA Localização do setor de informações do sistema de arquivos 0x027 0x1C BYTE Reservado
0x032 0x27 PALAVRA Localização do(s) setor(es) de backup 0x028 0x1D QWORD Setores em volume
0x034 0x29 12 BYTEs Reservado (nome do arquivo de inicialização)
0x030 0x25 QWORD Primeiro número de cluster da MFT (mestre tabela de arquivos)
0x040 0x35 BYTE Sinalizadores de número de
0x038 0x2D QWORD Primeiro número de cluster do espelho MFT
0x041 0x36 BYTE unidade física, etc.
0x040 0x35 DWORD tamanho do registro MFT
0x042 0x37 BYTE Assinatura de inicialização estendida (0x29)
0x044 0x39 DWORD Tamanho do bloco de índice
0x043 0x38 Número de série do volume DWORD
0x047 0x3C 11 BYTEs Rótulo de volume 0x048 0x3D QWORD Número de série do volume
0x052 0x47 8 BYTEs Tipo de sistema de arquivos

0x050 0x45 DWORD soma de verificação
Bloco de parâmetros do BIOS (BPB)
O bloco de parâmetros do BIOS (BPB) é uma estrutura de dados situada no setor 1 no registro de inicialização
de volume (VBR) de um disco rígido e explica o layout físico de um volume de disco. Em dispositivos
particionados, como discos rígidos, descreve a partição do volume, enquanto em dispositivos não particionados,
descreve todo o meio. Qualquer partição que inclua disquetes pode usar o BPB, que também descreve a
arquitetura básica do sistema de arquivos. O comprimento do BPB varia entre os sistemas de arquivos listados
(ou seja, FAT16, FAT32 e NTFS) porque diferentes sistemas de arquivos armazenam diferentes volumes de
dados e mantêm diferentes tipos de campos no BPB. O BPB auxilia os investigadores a localizar a tabela de
arquivos no disco rígido.
Formato do bloco de parâmetros do BIOS completo DOS 7.1 estendido (79 bytes) para FAT32:
Deslocamento de setor Deslocamento de BPB Comprimento do campo Descrição
0x00B 0x00 25 BYTE DOS 3.31 BPB
0x024 0x19 DWORD Setores lógicos por FAT
0x028 0x1D Sinalizadores de espelhamento do WORD, etc.
0x02A 0x1F Versão WORD
0x02C 0x21 Cluster do diretório raiz DWORD
0x030 0x25 WORD Localização do sistema de arquivos Setor de informações
0x032 0x27 WORD Localização do(s) setor(es) de backup
0x034 0x29 12 BYTEs reservados (nome do arquivo de inicialização)
0x040 0x35 BYTE Número da unidade física
0x041 0x36 BYTE Bandeiras etc
0x042 0x37 BYTE Assinatura de inicialização estendida (0x29)
0x043 0x38 Número de série do volume DWORD
0x047 0x3C Rótulo de volume de 11 BYTEs
0x052 0x47 8 BYTEs Tipo de sistema de arquivos
Tabela 3.3: BPB estendido para FAT32
NTFS - Formato de BPB Estendido para NTFS (73 bytes):
Deslocamento de setor Deslocamento de BPB Comprimento do campo Descrição
0x00B 0x00 25 BYTE DOS 3.31 BPB
Número da unidade física (idêntico ao DOS 3.4 EBPB)

0x024 0x19 BYTE
0x025 0x1A BYTE Sinalizadores etc. (idêntico ao DOS 3.4 EBPB)
Assinatura de inicialização estendida (0x80 também

0x026 0x1B BYTE
conhecido como "8.0") (semelhante ao DOS 3.4 EBPB e DOS 4.0 EBPB)
0x027 0x1C BYTE Reservado
0x028 0x1D QWORD Setores em volume
Primeiro número de cluster do MFT (Master File

0x030 0x25 QWORD
Mesa)
0x038 0x2D QWORD Número do primeiro cluster do espelho MFT
0x040 0x35 Tamanho do registro DWORD MFT
0x044 0x39 Tamanho do bloco de índice DWORD
0x048 0x3D Número de série do volume QWORD
0x050 0x45 Soma de verificação DWORD
Tabela 3.4: BPB estendido para NTFS
Identificador exclusivo global (GUID)

O Globally Unique Identifier (GUID) é um número de referência exclusivo de 128 bits usado como um identificador em software
de computador
Em geral, os GUIDs são exibidos como 32 dígitos hexadecimais com grupos separados por hífens
Usos Comuns:
No Registro do Windows, GUIDs são usados para identificar COM
(Component Object Model) DLLs (bibliotecas de vínculo dinâmico)
Nas tabelas do banco de dados, os GUIDs são usados como valores de chave primária
Em alguns casos, um site pode atribuir um GUID ao navegador de um usuário para

registrar e rastrear a sessão
O Windows atribui um GUID a um nome de usuário para identificar contas de usuário
Identificador exclusivo global (GUID)
O Globally Unique Identifier (GUID) é um número exclusivo de 128 bits gerado pelo sistema operacional Windows para
identificar um dispositivo específico, um documento, uma entrada de banco de dados e/ou o usuário. Em geral, os GUIDs
são exibidos como 32 dígitos hexadecimais com grupos separados por hifens. Por exemplo, ao navegar em um site, um
GUID é gerado e atribuído ao navegador, o que ajuda a rastrear e registrar a sessão de navegação do usuário. O sistema
operacional Windows atribui um GUID ao registro para reconhecer bibliotecas de vínculo dinâmico (DLLs) do Component
Object Model (COM), bem como para contas de usuário por nome de usuário (domínio).
Usos Comuns:
ÿ
No Registro do Windows, GUIDs são usados para identificar DLLs COM (Component Object Model) (bibliotecas
de vínculo dinâmico)
ÿ
Nas tabelas do banco de dados, os GUIDs são usados como valores de chave primária
ÿ
Em alguns casos, um site pode atribuir um GUID ao navegador de um usuário para registrar e rastrear a sessão
ÿ O Windows atribui um GUID a um nome de usuário para identificar contas de usuário
Figura 3.12: GUIDs no Registro do Windows
Tabela de partição GUID (GPT)

ÿ Unified Extensible Firmware Interface (UEFI) substitui as interfaces de firmware BIOS herdadas ÿ Esquema de Tabela de Partição GUID
UEFI é uma especificação que define uma interface de software entre um SO e uma plataforma
LBA 0
firmware MBR de proteção
ÿ Ele usa um sistema de partição conhecido como GUID Partition Table (GPT), que substitui o LBA 1 Cabeçalho GPT Primário principal
GPT
MBR tradicional LBA 2 Entrada 1 Entrada 2 Entrada 3 Entrada 4
LBA 3
Entradas 5-128
Vantagens do layout de disco GPT:
LBA 34
Partição 1
Suporta até 128 partições e usa endereços
de bloco lógico (LBAs) de 64 bits
Partição 2
Suporta um tamanho máximo de

partição variando de 2 Tebibytes (TiB) a 8
Partições Restantes
Zebibytes (ZiB)
LBA-34
LBA-33 Entrada 1 Entrada 2 Entrada 3 Entrada 4
secundário
GPT
Entradas 5-128
Fornece tabelas de partições primárias e LBA-2
de backup para redundância LBA-1

Cabeçalho GPT secundário
Tabela de partição GUID (GPT)
O GUID é um esquema de particionamento padrão para discos rígidos e uma parte da Unified Extensible Firmware
Interface (UEFI), que substitui as interfaces de firmware BIOS herdadas. A UEFI usa sistemas de interface de
partição que superam as limitações do esquema de particionamento MBR.
O esquema de partição MBR usa 32 bits para armazenar endereços de bloco lógico (LBAs) e as informações de
tamanho em setores de 512 bytes. Semelhante aos MBRs modernos, os GPTs usam o endereçamento de bloco
lógico (LBA) em vez do endereçamento do setor da cabeça do cilindro (CHS). Na tabela de partição GUID (GPT),
cada bloco lógico é de 512 bytes e cada entrada de partição é de 128 bytes; o endereçamento negativo dos blocos
lógicos começa no final do volume, com -1 endereçando o último bloco endereçável.
LBA 0 armazena o MBR protetor, LBA 1 contém o cabeçalho GPT e o cabeçalho GPT compreende um ponteiro para
a tabela de partições ou Partition Entry Array no LBA 2.
A UEFI atribui 16.384 bytes para o Partition Entry Array. Como o disco possui setores de 512 bytes com uma matriz
de entrada de partição de 16.384 bytes e um tamanho mínimo de 128 bytes para cada entrada de partição, o LBA
34 é o primeiro setor utilizável.
A seguir estão as vantagens do layout de disco GPT:
ÿ Suporta um tamanho máximo de partição variando de 2 Tebibytes (TiB) a 8 Zebibytes (ZiB)

ÿ
Ele permite que os usuários tenham 128 partições no Windows usando o layout de partição GPT
ÿ A partição GPT e os dados de inicialização são mais seguros que o MBR porque o GPT armazena dados em
vários locais em um disco
ÿ Fornece tabelas de partições primárias e de backup para redundância

ÿ
Ele usa verificações de redundância cíclica (CRCs) para garantir a integridade dos dados
ÿ Usa somas de verificação CRC32 que detectam erros no cabeçalho e na tabela de partições
Figura 3.13: Esquema da tabela de partição GUID
Fluxo do módulo

Características
Explique o lógico
Linux e Mac
Sistema
Compreender o processo de inicialização do sistema operacional Windows, Linux e Mac

Sistemas
Esta seção discute os processos de inicialização do Windows, BIOS-MBR e UEFI-GPT, e como identificar a
presença de um esquema de particionamento MBR ou GPT no disco; além disso, são apresentados fluxogramas
que explicam o processo de inicialização de sistemas operacionais Linux e Mac.
Qual é o
processo de inicialização?
Tipos de Inicialização
ÿ A inicialização refere-se ao processo de iniciar ou
reiniciar o sistema operacional quando o usuário Inicialização fria (inicialização rígida)
liga um sistema de computador
ÿ É o processo de iniciar um computador a partir de um
ou fora do estado
ÿ Carrega o SO (armazenado no disco rígido) para a
RAM (memória de trabalho) Inicialização a quente (inicialização suave)
ÿ É o processo de reiniciar um computador que já está ligado. Uma inicialização

a quente pode ocorrer quando o sistema encontra um erro de programa
ou requer uma reinicialização para fazer determinadas alterações após a
instalação de um programa, etc.
Qual é o processo de inicialização?
A inicialização refere-se ao processo de iniciar ou reiniciar o sistema operacional quando o usuário liga um sistema de
computador. O processo inclui a inicialização do hardware e do software.
O processo de inicialização pode ser dos dois tipos a seguir:
ÿ Cold boot (Boot rígido): Este processo ocorre quando o usuário liga o computador pela primeira vez.
Também chamado de hard boot, é necessário depois que o usuário corta completamente a fonte de alimentação
do sistema.
ÿ Warm boot (Soft boot): É o processo de reinicialização de um computador que já está ligado. Uma inicialização a
quente pode ocorrer quando o sistema encontra um erro de programa ou requer uma reinicialização para fazer
determinadas alterações após a instalação de um programa, etc.
Durante o processo de inicialização, o computador carrega o sistema operacional em sua memória ou RAM e o prepara
para uso. Durante a inicialização, o sistema liga o BIOS e o carrega na RAM. O BIOS armazena a primeira instrução, que
é o comando para realizar o autoteste de inicialização (POST).
No POST, o sistema verifica o chip do BIOS e a RAM do semicondutor de óxido de metal complementar (CMOS).
Se o POST não detectar nenhuma falha na bateria, ele continuará a iniciar outras partes do sistema verificando os
dispositivos de hardware e os dispositivos de armazenamento secundário.
Arquivos de sistema essenciais do Windows
Nomes de arquivo Descrição
Ntoskrnl.exe Executivo e kernel
Executivo e kernel com suporte para extensão de endereço físico

Ntkrnlpa.exe
(LOCAL)
Hal.dll Camada de abstração de hardware
Win32k.sys Parte do modo kernel do subsistema Win32
Funções de suporte interno e stubs de despacho de serviço do sistema

Ntdll.dll
para funções executivas
Kernel32.dll
Advapi32.dll
Arquivos DLL do subsistema Win32
User32.dll
Gdi32.dll
Arquivos de sistema essenciais do Windows
Após a instalação de um sistema operacional, o programa de instalação cria pastas e os arquivos necessários na
unidade do sistema.
Nomes de arquivo Descrição
Ntoskrnl.exe Executivo e kernel
Ntkrnlpa.exe Executive e kernel com suporte para Physical Address Extension (PAE)
Hal.dll Camada de abstração de hardware
Win32k.sys Kernel-mode parte do subsistema Win32
Funções de suporte interno e stubs de despacho de serviço do sistema

Ntdll.dll
para funções executivas
Kernel32.dll
Advapi32.dll
Arquivos DLL do subsistema Win32
User32.dll
Gdi32.dll
Tabela 3.5: Arquivos de sistema do Windows
Processo de inicialização do Windows: método BIOS-MBR
ÿ Os sistemas operacionais Windows XP, Vista e 7 ligam e inicializam usando o método BIOS-MBR tradicional
ÿ Os sistemas operacionais a partir do Windows 8 e superior usam o método BIOS-MBR tradicional ou mais recente
Método UEFI-GPT de acordo com a escolha do usuário
VBR BOOTMGR.EXE WINLOAD.EXE

MBR Inicialização do NT
BIOS (BmMain) (PsLoadedModulesList)
(0000h:7c00h) (Setor de Inicialização de Volume) Setor
(BmLaunchBootEntry) (OslArchTransferToKErnel)
BCD
HAL.DLL WIN32K.SYS WINRESUME.EXE Configuração de inicialização
Dados
NTOSKRNL.EXE NTOSKRNL.EXE
(Fase 1)
NTOSKRNL.EXE (Fase 0) (Descarte de Inicialização da Fase 1) SMSS.EXE WINLOGON.EXE LSASS.EXE
(HallnitializeBios) (Hallnit System)
(KillnitializeKernel) (OblnitSystem)
Processo de inicialização do Windows: método BIOS-MBR
Figura 3.14: método BIOS-MBR do processo de inicialização do Windows
Os sistemas operacionais Windows XP, Vista e 7 ligam e inicializam usando o método BIOS-MBR convencional,
enquanto o Windows 8 e versões posteriores usam o método BIOS-MBR convencional ou o
método UEFI-GPT mais recente de acordo com a escolha do usuário.
Abaixo está detalhado o processo que ocorre dentro do sistema quando ele é ligado.
1. Quando o usuário liga o sistema, a CPU envia um sinal de potência boa para o
placa-mãe e verifica o firmware do BIOS do computador
2. O BIOS inicia um autoteste de inicialização (POST), que verifica se todo o hardware necessário para a
inicialização do sistema está disponível e carrega todas as configurações de firmware da memória não volátil
na placa-mãe
3. Se o POST for bem-sucedido, os adaptadores complementares executam um autoteste para integração com o sistema
4. O processo de pré-inicialização é concluído com POST, detectando um disco de inicialização do sistema válido
5. Após o POST, o firmware do computador verifica o disco de inicialização e carrega o registro mestre de inicialização (MBR), que
procura informações básicas de inicialização em Boot Configuration Data (BCD)
6. O MBR aciona o Bootmgr.exe, que localiza o carregador do Windows (Winload.exe) no

Partição de inicialização do Windows e aciona Winload.exe
7. O carregador do Windows carrega o kernel do sistema operacional ntoskrnl.exe
8. Depois que o Kernel começa a ser executado, o carregador do Windows carrega hal.dll, drivers de dispositivo de classe de inicialização
marcado como BOOT_START e a seção de registro do SISTEMA na memória
9. O kernel passa o controle do processo de inicialização para o Session Manager Process (SMSS.exe), que carrega todas as outras
seções de registro e drivers necessários para configurar o ambiente de execução do subsistema Win32
10. O Session Manager Process aciona o Winlogon.exe, que apresenta a tela de login do usuário
para autorização do usuário
11. O Processo do Gerenciador de Sessão inicia o Gerenciador de Controle de Serviço, que inicia todos os serviços, o restante dos
drivers de dispositivo não essenciais, o subsistema de segurança LSASS.EXE e os scripts de Diretiva de Grupo
12. Depois que o usuário faz login, o Windows cria uma sessão para o usuário
13. O Service Control Manager inicia o explorer.exe e inicia o processo Desktop Window Manager (DMW), que inicializa a área de
trabalho para o usuário
Identificando a Partição MBR
Identificando a Partição MBR
Figura 3.15: Identificando a partição MBR
Processo de inicialização do Windows: UEFI-GPT
UEFI-GPT
CPU em modo protegido

Fases UEFI Transferir o controle para o sistema operacional
SEC GOSTA DXE BDS RT
Inicializar
Carregar e Full OS
Inicializar GPT / Bota
Kernel do sistema
Modo de usuário
nível baixo executar operacional inicial núcleo
MBR carregador
processar
firmware aquecer aquecer
drivers EFI
hardware
Serviços do Kernel
Serviços UEFI
hardware
Processo de inicialização do Windows: UEFI-GPT
O gerenciador de inicialização EFI controla o processo de inicialização UEFI. Começa com a inicialização do firmware da plataforma; o
gerenciador de inicialização carrega drivers UEFI e aplicativos UEFI (incluindo carregadores de inicialização UEFI OS) para inicializar as
funções da plataforma.
O sistema carrega o carregador do sistema operacional no estágio final, após o qual o sistema operacional inicia a inicialização. Depois que o
sistema operacional recebe os controles, ele interrompe o serviço de inicialização UEFI.
Figura 3.16: Método UEFI-GPT do processo de inicialização do Windows
O processo de inicialização UEFI tem as cinco fases a seguir, cada uma com sua própria função.
ÿ Fase de segurança
A fase de segurança ou SEC do EFI consiste no código de inicialização que o sistema executa após ligar
o sistema EFI. Ele gerencia eventos de reinicialização da plataforma e configura o sistema para que ele
possa localizar, validar, instalar e executar a inicialização pré-EFI (PEI).
ÿ Fase de inicialização pré-EFI
A fase PEI inicializa a CPU, a memória permanente e o volume do firmware de inicialização (BFV).
Ele localiza e executa os módulos de pré-inicialização (PEIMs) presentes no BFV para inicializar todo o
hardware encontrado no sistema. Por fim, cria uma Hand-Off Block List (HOBL) com todos os recursos
encontrados e descritores de interface e passa para a próxima fase, ou seja, a fase DXE.
ÿ Fase do Ambiente de Execução do Driver
A maior parte da inicialização ocorre nesta fase. Ao usar o HOBL, o Driver Execution Environment (DXE)
inicializa toda a memória física do sistema, E/S e recursos de E/S mapeados por memória (MIMO) e,
finalmente, começa a despachar os drivers DXE presentes nos volumes de firmware do sistema (dados
em o HOBL). O núcleo DXE produz um conjunto de serviços de inicialização EFI e serviços de tempo de
execução EFI. Os serviços de inicialização EFI alocam memória e carregam imagens executáveis. Os
serviços de tempo de execução da EFI convertem os endereços de memória de físicos para virtuais,
entregam-nos ao kernel e redefinem a CPU para o código em execução no ambiente EFI ou no kernel do
sistema operacional, assim que a CPU assume o controle do sistema.
ÿ Fase de Seleção do Dispositivo de Inicialização
Nesta fase, o Boot Device Selection (BDS) interpreta os dados de configuração de inicialização e seleciona
a política de inicialização para implementação posterior. Esta fase trabalha com o DXE para verificar se os
drivers de dispositivo requerem verificação de assinatura.
Nesta fase, o sistema carrega o código de inicialização MBR na memória para uma inicialização BIOS
herdada ou carrega o programa bootloader da partição EFI para uma inicialização UEFI. Ele também
oferece uma opção para o usuário escolher o shell EFI ou um aplicativo UEFI como dispositivo de
inicialização na configuração.
ÿ Fase de execução
Nesse ponto, o sistema limpa o programa UEFI da memória e o transfere para o sistema operacional.
Durante a atualização do UEFI BIOS, o sistema operacional chama o serviço de tempo de execução usando uma pequena parte
da memória.
Identificando a tabela de partição GUID (GPT)

Os investigadores podem usar os cmdlets fornecidos abaixo no Windows PowerShell para identificar a presença de GPT:
Get-GPT
ÿ Analisa a estrutura de dados GPT contida nos primeiros setores do
dispositivo especificado
ÿ Requer o uso do parâmetro -Path, que leva

o namespace do dispositivo Win32 (por exemplo, \\.\PHYSICALDRIVE1)
para o dispositivo do qual o GPT deve ser analisado
ÿ Se Get-GPT for executado em um disco formatado com um

MBR, ele lançará um erro solicitando o uso de Get
MBR em vez
Método alternativo:
ÿ Abra o aplicativo “Gerenciamento do computador” e clique em “Gerenciamento de disco” no painel esquerdo. Clique com o botão direito do mouse no disco principal (aqui, Disco 0)
e, em seguida, clique em Propriedades.
ÿ Na janela Propriedades do dispositivo, clique na guia “Volumes” para visualizar o estilo de partição
http:// www.invoke-ir.com
Identificando a Tabela de Partição GUID (Cont.)

ÿ Revisa o primeiro setor do disco rígido e determina se o disco está formatado usando o MBR ou
Get-BootSector
Esquema de particionamento GPT; uma vez feito, ele age exatamente como Get-MBR ou Get-GPT, respectivamente
Get-BootSector executado em um disco formatado usando o esquema de particionamento GPT:
Get-BootSector executado em um disco formatado usando o esquema de particionamento MBR:
Identificando a Tabela de Partição GUID (Cont.)
Get-PartitionTable
ÿ Determina o tipo de setor de inicialização (MBR ou GPT) e retorna a partição correta
objeto (PartitionEntry ou GuidPartitionTableEntry)
Get-PartitionTable é executado em um disco

formatado em MBR, retornando um objeto PartitionEntry:
Get-PartitionTable executado em um disco formatado

em GPT, retornando uma matriz de objetos GuidPartitionTableEntry:
Identificando a tabela de partição GUID (GPT)

Um cabeçalho de tabela de partição GUID (GPT) ajuda um investigador a analisar o layout do disco
com detalhes como locais da área de partição, bem como a tabela de partição e suas cópias de backup.
Os investigadores podem usar os cmdlets descritos abaixo no Windows PowerShell para identificar a
presença de GPT.
Get-GPT
O comando Get-GPT ajuda o investigador a analisar a estrutura de dados GPT do disco rígido. Requer
o uso do parâmetro -path, que usa o namespace do dispositivo Win32 (por exemplo, \\.
\PHYSICALDRIVE1) para o dispositivo do qual deve analisar o GPT.
Figura 3.17: Comando Get-GPT
Caso o investigador use o cmdlet Get-GPT em um disco formatado com um MBR, uma mensagem de
erro será exibida, solicitando que o usuário execute o cmdlet Get-MBR.
Figura 3.18: Mensagem de erro do comando Get-GPT
Método alternativo
ÿ Abra o aplicativo “Gerenciamento do computador” e clique em “Gerenciamento de disco” no painel esquerdo.

Clique com o botão direito do mouse no disco principal (aqui, Disco 0) e clique em Propriedades.
ÿ
Na janela Propriedades do dispositivo, clique na guia “Volumes” para visualizar o estilo de partição
Get-BootSector
O cmdlet Get-BootSector pode ajudar o investigador a analisar GPTs de ambos os tipos de discos rígidos, incluindo
aqueles formatados com UEFI ou MBR. Este comando atua como um substituto para Get MBR e Get-GPT. Get-
BootSector analisa o primeiro setor do disco rígido, determina o tipo de formatação usado e analisa o GPT.
Get-BootSector executado em um disco formatado usando o esquema de particionamento GPT:
Figura 3.19: Get-BootSector executado no disco particionado GPT
Get-BootSector executado em um disco formatado usando o esquema de particionamento MBR:
Figura 3.20: Get-BootSector executado no disco particionado MBR
Get-PartitionTable
Este cmdlet analisa a tabela de partição GUID para localizar o tipo exato de setor de inicialização (MBR ou GPT) e
exibe o objeto de partição.
Get-PartitionTable é executado em um disco formatado em MBR, retornando um objeto PartitionEntry:
Figura 3.21: Objeto PartitionEntry
Get-PartitionTable é executado em um disco formatado em GPT, retornando uma matriz de

Objetos GuidPartitionTableEntry:
Figura 3.22: Objetos GuidPartitionTableEntry
Analisando o cabeçalho e as entradas da GPT

A maioria dos sistemas operacionais que suportam acesso ao disco GPT fornece uma ferramenta de particionamento básica, que exibe detalhes sobre GPTs
Exemplo: ferramenta DiskPart (Windows), utilitário OS X Disk (Mac), ferramenta GNU Parted (Linux)
Sleuthkit (comando mmls) pode ser usado para visualizar o layout de partição detalhado para um disco GPT
Como alternativa, detalhes sobre o cabeçalho GPT e as entradas de partição podem ser obtidos por meio de análise manual usando um editor hexadecimal
Analisando o cabeçalho e as entradas da GPT
A maioria dos sistemas operacionais que suportam acesso ao disco GPT tem uma ferramenta de particionamento básica,
que exibe detalhes sobre as tabelas de partição GPT. No Windows, ferramentas como a ferramenta DiskPart exibem
detalhes da partição, enquanto os sistemas Mac usam o utilitário OS X Disk e o Linux usa a ferramenta GNU Parted.
Figura 3.23: Visualizando partições de disco usando o utilitário Diskpart
Figura 3.24: Visualizando a partição 1 usando o utilitário Diskpart
O comando Sleuth Kit mmls pode ajudar os investigadores a visualizar o layout detalhado da partição para o disco
GPT, juntamente com os detalhes do MBR. Como alternativa, os investigadores podem coletar detalhes sobre o
cabeçalho GPT e as entradas de partição por meio da análise manual da unidade de disco usando um cálculo
hexadecimal ou uma ferramenta de edição chamada editor hexadecimal.
Artefatos GPT
Partições GUID excluídas e substituídas
Caso 1:
ÿ Se o disco MBR for reparticionado ou convertido em GPT, o setor zero será geralmente substituído por um MBR protetor
ÿ Para recuperar dados de volumes previamente particionados por MBR, os investigadores podem usar métodos forenses padrão usados para realizar uma extensa
procurar por sistemas de arquivos
Caso 2:
ÿ Se o disco GPT for reparticionado ou convertido em MBR, o cabeçalho GPT e as tabelas podem permanecer intactos com base na ferramenta usada
ÿ A implementação de ferramentas gerais de exclusão de partição em um disco GPT pode excluir apenas o MBR protetor, que pode ser recriado simplesmente
reconstruindo o disco
De acordo com as especificações UEFI, se todos os campos em uma entrada de partição forem zerados, isso significa que a entrada não está em uso. Nesse caso, a recuperação de
dados de entradas de partição GUID excluídas não é possível
Identificadores GUID
ÿ O esquema GPT fornece GUIDs de valor investigativo, pois são únicos e contêm informações potencialmente úteis
ÿ Os GUIDs possuem informações de identificação exclusivas para discos e partições individuais
ÿ Os investigadores podem usar ferramentas como uuid para decodificar várias versões de GUID/UUID
Informações ocultas em discos GPT
ÿ Intrusos podem ocultar dados em discos GPT como fazem em discos MBR tradicionais
ÿ Os locais nos discos GPT onde os dados podem estar ocultos são lacunas entre partições, espaço não particionado próximo ao final do disco, cabeçalho GPT e
áreas reservadas
ÿ Os métodos e ferramentas forenses atuais para realizar a análise GPT são insatisfatórios
Artefatos GPT
Partições GUID excluídas e substituídas
Caso 1: Em discos rígidos, a conversão ou repartição de MBR para GPT geralmente substitui o setor zero por um MBR
protetor, que exclui todas as informações sobre a tabela de partição antiga.
Os investigadores devem seguir os métodos forenses padrão de pesquisa nos sistemas de arquivos para recuperar dados
sobre os volumes particionados por MBR anteriores.
Caso 2: Quando ocorre uma conversão ou repartição de GPT para MBR, o cabeçalho GPT e as tabelas podem permanecer
intactos com base na ferramenta usada. Os investigadores podem facilmente recuperar ou analisar os dados dessas
partições de disco.
A implementação de ferramentas gerais de exclusão de partição para a exclusão de uma partição em um disco GPT pode
excluir apenas o MBR protetor, que os investigadores podem recriar facilmente simplesmente reconstruindo o disco.
De acordo com a especificação UEFI, se todos os campos em uma entrada de partição tiverem valores zerados, a entrada
não estará em uso. Nesse caso, a recuperação de dados de entradas de partição GUID excluídas não é possível.
GUIDs
ÿ O esquema GPT fornece GUIDs de valor investigativo, pois são únicos e potencialmente
retém informações sobre todo o disco e cada partição dentro dele
ÿ GUIDs possuem informações de identificação exclusivas para discos e partições individuais
ÿ Os investigadores podem usar ferramentas como o identificador único universal (UUID) para decodificar
várias versões de GUID/UUID
Informações ocultas em discos GPT
Intrusos podem ocultar dados em discos GPT da mesma forma que fazem em discos MBR convencionais usando
esquemas de particionamento de disco flexíveis e extensíveis. Os locais nos discos GPT onde os dados podem estar
ocultos são lacunas entre partições, espaço não particionado no final do disco, cabeçalho GPT e áreas reservadas.
Outros artefatos podem incluir cabeçalhos GPT manipulados que criam locais para ocultar dados, LBAs iniciais e finais
mal colocados, bem como áreas com tags reservadas. Os métodos e ferramentas forenses atuais para realizar a
análise GPT são insatisfatórios.
Processo de inicialização do Macintosh
OS Loader Os serviços de inicialização são

encerrados; operação é entregue a
o carregador do sistema operacional
Lenda
Inicialize a partir da lista ordenada de
Código de Inicialização
Binários EFI
Os carregadores EFI OS são executados
Gerenciador de Inicialização
Drivers e aplicativos são Adicionar valores

Inscrição
carregados iterativamente Implementação
API - Especificado
Condutor Inicialização de Ao encontrar um erro

plataforma de firmware padrão
Processo de inicialização do Macintosh
Figura 3.25: Processo de inicialização do Macintosh
A seguir estão as etapas no processo de inicialização do Macintosh:
ÿ O processo de inicialização do Macintosh começa com a ativação do BootROM, que inicializa o hardware do sistema e
seleciona um sistema operacional para executar
ÿ Uma vez que o sistema Macintosh é ligado, o BootROM executa o POST para testar algumas interfaces de hardware
necessárias para a inicialização
ÿ Em computadores Macintosh baseados em PowerPC, o Open Firmware inicializa o restante das interfaces de hardware
ÿ Em computadores Macintosh baseados em Intel, o EFI inicializa o restante das interfaces de hardware
ÿ Após inicializar as interfaces de hardware, o sistema seleciona o SO

ÿ
Se o sistema contiver vários sistemas operacionais, ele permitirá que o usuário escolha um sistema operacional
específico mantendo pressionada a tecla Option
ÿ Uma vez concluída a operação do BootROM, o controle passa para o boot loader BootX (PowerPC) ou boot.efi (Intel), que
está localizado no diretório /System/Library/CoreServices
ÿ O gerenciador de inicialização carrega uma versão pré-vinculada do kernel localizada em

/Sistema/Biblioteca/Caches/com.apple.kernelcaches
ÿ
Se o kernel pré-vinculado estiver ausente, o carregador de inicialização tentará carregar o arquivo de cache mkext, que
contém um conjunto de drivers de dispositivo
ÿ
Se o arquivo de cache mkext também estiver ausente, o carregador de inicialização procurará drivers no
Diretório /Sistema/Biblioteca/Extensões
ÿ Uma vez carregados os drivers essenciais, o gerenciador de boot inicia a inicialização do

estruturas de dados kernel, Mach e BSD, bem como o kit de E/S
ÿ O kit I/O usa a árvore de dispositivos para vincular os drivers carregados ao kernel
ÿ O processo launchd, que substituiu o processo mach_init, executa itens de inicialização e

prepara o sistema para o usuário
Processo de inicialização do Linux
Corre
BIOS PUBLICAR
Bem sucedido
Procura por
teste
estágio do BIOS
Estágio do bootloader
MBR Estágio do kernel
Aponta para
Cargas Montagens raiz real

Bootloader Núcleo
FS
Cria Ramdisk e carrega

Corre
Initrd arquivos
sistema
Prepara
para
real
de
o
Aquecer
imagem processar
montagens de kernel Cargas
Corre
raiz virtual daemons
LinuxrcComment
FS do sistema
Processo de inicialização do Linux
O fluxo do processo de inicialização do Linux começa com o BIOS, que procura por dispositivos ativos e inicializáveis.
O sistema inicializa o Linux a partir do dispositivo de armazenamento primário no qual o MBR contém o carregador de inicialização primário.
Figura 3.26: Processo de inicialização do Linux
O processo de inicialização do Linux consiste nos três estágios a seguir:
ÿ Estágio BIOS
O primeiro estágio do processo de inicialização do Linux é o estágio do BIOS. Ele inicializa o hardware do
sistema durante o processo de inicialização. O BIOS recupera as informações armazenadas no chip de
semicondutor de óxido de metal complementar (CMOS), que é um chip de memória operado por bateria
na placa-mãe que contém informações sobre a configuração de hardware do sistema. Durante o processo
de inicialização, o BIOS executa um POST para garantir que todos os componentes de hardware do
sistema estejam operacionais. Após um POST bem-sucedido, o BIOS começa a procurar a unidade ou
disco que contém o sistema operacional em uma sequência padrão. Se o primeiro dispositivo listado não
estiver disponível ou não estiver funcionando, ele verifica o próximo e assim por diante. Uma unidade é
inicializável apenas se tiver o MBR em seu primeiro setor, conhecido como setor de inicialização. O disco
rígido do sistema atua como o disco de inicialização principal, e a unidade óptica funciona como o disco
de inicialização secundário para inicializar o sistema operacional caso o disco de inicialização principal falhe.
ÿ Estágio do Bootloader
O estágio bootloader inclui a tarefa de carregar o kernel do Linux e o disco RAM inicial opcional. O kernel
permite que a CPU acesse a RAM e o disco. O segundo software precursor é uma imagem de um sistema
de arquivo virtual temporário chamado imagem initrd ou RAMdisk inicial. Agora, o sistema se prepara para
implantar o sistema de arquivos raiz real. Em seguida, ele detecta o dispositivo que contém o sistema de
arquivos e carrega os módulos necessários. A última etapa do estágio do bootloader é carregar o kernel
na memória.
ÿ Fase do Kernel
Uma vez que o controle muda do estágio do carregador de inicialização para o estágio do kernel, o sistema
de arquivos raiz virtual criado pela imagem initrd executa o programa Linuxrc. Este programa gera o
sistema de arquivos real para o kernel e depois remove a imagem initrd. O kernel então procura por um
novo hardware e carrega qualquer driver de dispositivo adequado encontrado. Posteriormente, ele monta
o sistema de arquivos raiz real e executa o processo init. O init lê o arquivo “/etc/inittab” e usa este arquivo
para carregar o restante dos daemons do sistema. Isso prepara o sistema e o usuário pode fazer login e
começar a usá-lo. Bootloaders típicos para Linux são Linux Loader (LILO) e Grand Unified Bootloader
(GRUB). Esses gerenciadores de inicialização permitem que o usuário selecione qual kernel do sistema
operacional carregar durante o tempo de inicialização.
Fluxo do módulo

Características
Explique o lógico
Linux e Mac
Sistema
Entenda vários sistemas de arquivos do Windows, Linux e Mac

Sistemas operacionais
Um sistema de arquivos é uma coleção estruturada de arquivos/pastas em uma partição ou disco e permite
que um computador saiba onde um arquivo começa e termina. Esta seção discute diferentes tipos de
sistemas de arquivos disponíveis no Windows, Linux e Mac OS.
Sistemas de arquivos do Windows
Sistemas de arquivos do Windows
O sistema operacional Windows usa sistemas de arquivos como FAT, FAT32, NTFS, etc. O NTFS armazena metadados
de arquivos e pastas em um arquivo de sistema chamado Master File Table (MFT). Examinar o arquivo $MFT fornece
informações como tempos de MAC, nome do arquivo, localização do arquivo, etc., que são de interesse forense. Os
investigadores forenses também devem possuir conhecimento sobre alocação e exclusão de arquivos que os ajude a
recuperar dados perdidos durante a investigação.
Tabela de Alocação de Arquivos (FAT)
O sistema de arquivos FAT é usado com DOS e foi o primeiro sistema de arquivos usado com o sistema operacional Windows
É nomeado por seu método de organização, a tabela de alocação de arquivos, que reside no início do volume
O FAT possui três versões (FAT12, FAT16 e FAT32), que diferem quanto ao tamanho das entradas na estrutura do FAT
Bytes por Estruturas de entrada de diretório Clusters Estrutura FAT
Sistema cluster no arquivo Limite de cluster Grupo 34
Tabela de Alocação Arquivo1.dat 4.000 bytes Grupo 34
35
FAT12 1,5 Menos de 4087 clusters EOF
Grupo 35
Entre 4.087 e 65.526 clusters,

FAT16 2
inclusive
Entre 65.526 e
FAT32 4 Relação entre as estruturas de entrada de
268.435.456 clusters, inclusive diretório, clusters e estrutura FAT
Tabela de Alocação de Arquivos (FAT)
A File Allocation Table (FAT), projetada em 1976, é um sistema de arquivos para muitos sistemas operacionais,
como DOS, Windows e OpenDOS. Projetado para pequenos discos rígidos e uma estrutura de pastas simples, o
sistema de arquivos FAT recebe esse nome devido à forma como organiza as pastas e uma tabela de alocação
de arquivos, que armazena todos os arquivos e fica no início do volume. O FAT possui três versões (FAT12,
FAT16 e FAT32), que diferem quanto ao tamanho das entradas na estrutura do FAT.
Estruturas de entrada de diretório Clusters Estrutura FAT
Grupo 34
Arquivo1.dat 4.000 bytes Grupo 34
35
EOF
Grupo 35
Figura 3.27: Relação entre as estruturas de entrada de diretório, clusters e estrutura FAT
O FAT cria duas cópias da tabela de alocação de arquivos para proteger o volume contra danos. A tabela de
alocação de arquivos e a pasta raiz são armazenadas em um local permanente. O volume formatado usando o
sistema de arquivos FAT forma um cluster e o tamanho do volume formatado determina o tamanho do cluster. O
sistema ajusta o número do cluster para o sistema de arquivos FAT em 16 bits e o número do cluster
está na potência de dois. Dispositivos que implementam FAT incluem memória flash, câmeras digitais e outros dispositivos
portáteis. Quase todos os sistemas operacionais instalados em computadores pessoais implementam o sistema de
arquivos FAT.
Bytes por cluster na

Sistema alocação de arquivos Limite de cluster
Mesa
FAT12 1,5 Menos de 4087 clusters
FAT16 2 Entre 4.087 e 65.526 clusters, inclusive
Entre 65.526 e 268.435.456 clusters, inclusive

FAT32 4
Tabela 3.6: Tipos de sistema de arquivos FAT
Sistema de arquivos de nova tecnologia (NTFS)
NTFS é o sistema de arquivos padrão do Windows NT e seus descendentes

Windows XP, Vista, 7, 8.1,10, Server 2003, Server 2008, Server 2012, Server 2016
e Server 2019
Do Windows NT 3.1 em diante, é o sistema de arquivos padrão da família

Windows NT
Possui várias melhorias em relação ao FAT, como suporte aprimorado para

metadados e o uso de estruturas de dados avançadas para melhorar o
desempenho, a confiabilidade e a utilização do espaço em disco, além de
extensões adicionais, como listas de controle de acesso de segurança e registro
no diário do sistema de arquivos
Sistema de arquivos de nova tecnologia (NTFS)
O New Technology File System (NTFS) é um dos sistemas de arquivos mais recentes suportados pelo Windows. É um
sistema de arquivos de alto desempenho que se repara sozinho; ele oferece suporte a vários recursos avançados, como
segurança em nível de arquivo, compactação e auditoria. Ele também oferece suporte a soluções de armazenamento de
grandes e poderosos volumes, como discos de auto-recuperação.
O NTFS fornece segurança de dados, pois tem a capacidade de criptografar ou descriptografar dados, arquivos ou pastas.
Ele usa um método de nomenclatura de conjunto de caracteres Unicode de 16 bits para arquivos e pastas. Este atributo do
NTFS permite que usuários em todo o mundo gerenciem seus arquivos em seus idiomas nativos. Além disso, tem tolerância
a falhas para o sistema de arquivos. Se o usuário fizer alguma modificação ou alteração nos arquivos, o NTFS anota todas as
alterações em arquivos de log específicos. Se o sistema travar, o NTFS usa esses arquivos de log para restaurar o disco
rígido a uma condição confiável com perda mínima de dados. O NTFS também utiliza o conceito de metadados e tabelas de
arquivos principais. Os metadados contêm informações sobre os dados armazenados no
computador. Uma tabela de arquivo mestre também contém as mesmas informações de forma tabular, mas em comparação com os
metadados, essa tabela tem menos capacidade de armazenamento de dados.
O NTFS usa o formato de dados Unicode. A seguir estão as diferentes versões do NTFS:
ÿ v1.0 (encontrado no Windows NT 3.1), v1.1 (Windows NT 3.5) e v1.2 (Windows NT 3.51 e
WindowsNT 4)
ÿ v3.0 (encontrado no Windows 2000)
ÿ v3.1 (encontrado no Windows XP, Windows Server 2003, Windows Vista e Windows 7)
ÿ As três versões finais às vezes são chamadas de v4.0, v5.0 e v5.1
Os recursos do NTFS incluem o seguinte:
ÿ NTFS usa o esquema de diretório b-tree para armazenar informações sobre clusters de arquivos
ÿ O NTFS armazena as informações sobre os clusters de um arquivo e outros dados dentro do cluster
ÿ NTFS suporta arquivos de tamanho de até aproximadamente 16 bilhões de bytes
ÿ Uma lista de controle de acesso (ACL) permite que o administrador do servidor acesse arquivos específicos
ÿ NTFS apresenta compactação de arquivo integrada
ÿ NTFS fornece segurança de dados em discos removíveis e fixos
Arquitetura NTFS
Modo Kernel Modo de usuário
Disco rígido Mestre

Bota
Projeto especial
Setor de inicialização Ntldr
NTFS.sys Por
OS Inscrição
Registro favor, escreva seu ótimo título aqui Ntoskrnl.exe
Arquitetura NTFS
No momento da formatação do volume do sistema de arquivos, o sistema cria Master Boot Record.
Ele contém algum código executável chamado código mestre de inicialização e informações sobre a tabela de
partições do disco rígido. Quando um novo volume é montado, o registro mestre de inicialização executa o código
de inicialização mestre executável. NO NTFS, todos os arquivos são armazenados em clusters e possuem seus
atributos individuais. Componentes como nome, tamanho ou dados armazenados em um arquivo são considerados
atributos. Assim, a estrutura interna do NTFS é semelhante à de um banco de dados em que todos os arquivos são
tratados como objetos pelo sistema operacional.
Modo Kernel Modo de usuário
Disco rígido Mestre Setor de inicialização Ntldr OS Inscrição

Bota NTFS.sys
Registro Ntoskrnl.exe
Figura 3.28: Arquitetura NTFS
Os componentes da arquitetura NTFS são os seguintes:
ÿ Disco rígido: É composto por pelo menos uma partição
ÿ Master Boot Record: Contém código executável de inicialização mestre que o sistema do computador
BIOS carrega na memória; este código é usado para escanear o Master Boot Record para localizar a tabela
de partições para descobrir qual partição está ativa/inicializável
ÿ Setor de inicialização: Também conhecido como registro de inicialização de volume (VBR), é o primeiro setor encontrado em um
Sistema de arquivos NTFS que armazena o código de inicialização e outras informações, como o tipo, localização e tamanho
dos dados no sistema de arquivos NTFS
ÿ Ntldlr.dll: Como gerenciador de inicialização, ele acessa o sistema de arquivos NTFS e carrega o conteúdo do
arquivo boot.ini
ÿ Ntfs.sys: É um driver de arquivo de sistema de computador para NTFS
ÿ Modo Kernel: É o modo de processamento que permite que o código executável tenha acesso direto
acesso a todos os componentes do sistema
ÿ Modo de usuário: É o modo de processamento no qual um programa ou código executável é executado
Arquivos de sistema NTFS
Nome do arquivo Descrição
$attrref Contém definições de todos os atributos do volume definidos pelo sistema e pelo usuário
$badclus Contém todos os clusters ruins
$ bitmap Contém bitmap para todo o volume
$boot Contém o bootstrap do volume
$arquivo de log Usado para fins de recuperação
$mft Contém um registro para cada arquivo
$mftmirror Espelho do MFT usado para recuperar arquivos
$cota Indica cota de disco para cada usuário
$upcase Converte caracteres em Unicode maiúsculo
$volume Contém o nome do volume e o número da versão
Arquivos de sistema NTFS
Muitos arquivos de sistema são armazenados no diretório raiz de um volume NTFS; esses arquivos contêm metadados
do sistema de arquivos.
Nome do arquivo Descrição
Contém definições de todos os atributos do volume definidos

$attrref
pelo sistema e pelo usuário
$badclus Contém todos os clusters ruins
$bitmap Contém bitmap para todo o volume
$boot Contém o bootstrap do volume
$logfile Usado para fins de recuperação
$mft Contém um registro para cada arquivo
$mftmirr Espelho do MFT usado para recuperar arquivos
$quota Indica cota de disco para cada usuário
$upcase Converte caracteres em Unicode maiúsculo
$volume Contém o nome do volume e o número da versão
Tabela 3.7: Arquivos do sistema NTFS
Criptografia de sistemas de arquivos (EFS)
O Encrypting File System (EFS) foi introduzido pela primeira vez na versão 3.0 do NTFS e
oferece criptografia no nível do sistema de arquivos
Chave de Criptografia de Arquivo Dados
Descriptografia
Essa tecnologia de criptografia mantém um nível de transparência para o usuário que Criptografado com a chave pública do
Campo
proprietário do arquivo
criptografou o arquivo, o que significa que não há necessidade de os usuários

Chave de Criptografia de Arquivo
descriptografarem o arquivo para acessá-lo para fazer alterações
Criptografado com a chave pública do agente
de recuperação 1
Cabeçalho
Dados
Depois que um usuário termina com o arquivo, a política de criptografia Criptografado com a chave pública do agente
Recuperação
é restaurada automaticamente de recuperação 2 (opcional) Campos
•A
• .
•C
•c
Quando qualquer usuário não autorizado tenta acessar um arquivo criptografado, o acesso
é negado
Dados criptografados
Para habilitar os recursos de criptografia e descriptografia, o usuário deve definir os

atributos de criptografia dos arquivos e pastas que deseja criptografar ou descriptografar
Criptografia de sistemas de arquivos (EFS)
Para proteger os arquivos contra manuseio incorreto e garantir sua segurança, o sistema deve criptografá-los.
Para essa finalidade, o NTFS possui o Sistema de Arquivos com Criptografia (EFS) como um recurso integrado. A criptografia
em sistemas de arquivos usa tecnologia de criptografia de chave simétrica com tecnologia de chave pública para criptografia.
O usuário obtém um certificado digital com um par de chaves composto por uma chave pública e uma chave privada. Uma
chave privada não é aplicável para usuários logados em sistemas locais; em vez disso, o sistema usa EFS para definir uma
chave para usuários locais.
Essa tecnologia de criptografia mantém um nível de transparência para os usuários que criptografaram um arquivo.
Os usuários não precisam descriptografar um arquivo quando o acessam para fazer alterações. Além disso, após o usuário
concluir o trabalho em um arquivo, o sistema salva as alterações e restaura automaticamente a política de criptografia.
Quando qualquer usuário não autorizado tenta acessar um arquivo criptografado, ele recebe uma mensagem de “Acesso
negado”. Para ativar os recursos de criptografia e descriptografia em um sistema operacional baseado no Windows NT, o
usuário deve definir atributos de criptografia para arquivos e pastas que deseja criptografar ou descriptografar. O sistema
criptografa automaticamente todos os arquivos e subpastas em uma pasta. Para aproveitar ao máximo o recurso de
criptografia, os especialistas recomendam que o sistema tenha criptografia no nível da pasta. Isso implica que uma pasta não
deve conter arquivos criptografados simultaneamente com arquivos não criptografados.
Os usuários podem criptografar manualmente um arquivo ou pasta usando a interface gráfica do usuário (GUI) do Windows,
usando uma ferramenta de linha de comando como o Cipher ou por meio do Windows Explorer selecionando as opções
apropriadas no menu.
A criptografia é importante para arquivos confidenciais em um sistema, e o NTFS usa criptografia para proteger os arquivos
contra acesso não autorizado e garantir um alto nível de segurança. O sistema emite uma criptografia de arquivo
certificado sempre que um usuário criptografa um arquivo. Se o usuário perder esse certificado e a chave privada
relacionada (através de um disco ou qualquer outro motivo), ele poderá executar a recuperação de dados por meio do
agente de chave de recuperação. Em redes baseadas no Windows 2000 Server, que mantêm o serviço Active Directory,
o administrador de domínio é o agente de recuperação por padrão. A preparação para a recuperação dos arquivos
ocorre com antecedência, antes mesmo que o usuário ou o sistema os criptografe. O agente de recuperação possui
um certificado especial e uma chave privada relacionada, que ajudam na recuperação de dados.
Chave de Criptografia de Arquivo Dados
Descriptografia
Criptografado com a chave pública do
Campo
proprietário do arquivo
de recuperação 1
Cabeçalho
Dados
Recuperação
de recuperação 2 (opcional)
Campos
•A
• .
•C
• c
Dados criptografados
Figura 3.29: Operação do EFS
Componentes do EFS
Figura 3.30: Componentes do EFS
ÿ Serviço EFS
O serviço EFS, que faz parte do subsistema de segurança, atua como uma interface com o driver EFS usando a porta
de comunicação de chamada de procedimento local (LPC) entre a Autoridade de Segurança Local (LSA) e o monitor
de referência de segurança do modo kernel.
Ele também atua como uma interface com CryptoAPI no modo de usuário para derivar chaves de criptografia de
arquivo para gerar campos de descriptografia de dados (DDFs) e campos de recuperação de dados (DRFs).
Este serviço também oferece suporte a interfaces de programação de aplicativos (APIs) Win32.
O serviço EFS usa CryptoAPI para extrair a chave de criptografia de arquivo (FEK) para um arquivo de dados e a usa
para codificar a FEK e produzir o DDF.
ÿ Controlador EFS
O driver EFS é um driver de filtro do sistema de arquivos empilhado sobre o NTFS. Ele se conecta ao serviço EFS
para obter chaves de criptografia de arquivos, DDFs, DRFs e outros serviços de gerenciamento de chaves.
Ele envia essas informações para a biblioteca de tempo de execução do sistema de arquivos EFS (FSRTL) para
executar funções do sistema de arquivos, como abrir, ler, gravar e anexar.
ÿ CriptoAPI
CryptoAPI contém um conjunto de funções que permitem aos desenvolvedores de aplicativos criptografar seus
aplicativos Win32; essas funções permitem que os aplicativos criptografem ou assinem dados digitalmente e ofereçam
segurança para dados de chave privada.
Ele oferece suporte a operações de chave pública e chave simétrica, como geração, gerenciamento e armazenamento
seguro, troca, criptografia, descriptografia, hash, assinaturas digitais e verificação de assinatura.
ÿ EFS FSRTL
O EFS FSRTL faz parte do driver EFS que implementa chamadas NTFS para lidar com várias operações do sistema
de arquivos, como leituras, gravações e aberturas em arquivos e diretórios criptografados, bem como operações para
criptografar, descriptografar e recuperar dados de arquivo quando o o sistema o grava ou o lê do disco.
O driver EFS e o FSRTL atuam como um único componente, mas nunca se comunicam diretamente. Eles se
comunicam entre si usando o mecanismo de chamada de controle de arquivo NTFS.
ÿ API Win32
O EFS fornece um conjunto de APIs para fornecer acesso a seus recursos; o conjunto API também fornece uma
interface de programação para operações como criptografia de arquivos de texto simples, descriptografia ou
recuperação de arquivos de texto cifrado e importação e exportação de arquivos criptografados sem descriptografia.
Arquivos Esparsos
ÿ Arquivos esparsos fornecem um método ÿ Se o NTFS marcar um arquivo como esparso, ele ÿ Dados não definidos do arquivo são representados
de economizar espaço em disco para atribui um cluster de disco rígido apenas para os por espaço não alocado no disco
arquivos, permitindo que o subsistema de E/ dados definidos pelo aplicativo
S aloque apenas dados significativos
(diferentes de zero)
Sem conjunto de atributos de arquivo esparso Com conjunto de atributos de arquivo esparso
Dados esparsos
Dados esparsos (zeros)
(zeros) 10
10 gigabytes
gigabytes
Espaço em
disco usado Espaço em disco
17 gigabytes usado 7 gigabytes
Dados significativos
Dados significativos
7 gigabytes
7 gigabytes
Arquivos Esparsos
Um arquivo esparso é um tipo de arquivo de computador que tenta usar o espaço do sistema de arquivos com mais
eficiência quando os blocos alocados para o arquivo estão quase vazios. Para melhorar a eficiência, o sistema de arquivos
grava informações resumidas (metadados) sobre o arquivo nos blocos vazios para preencher o bloco usando uma pequena
quantidade de espaço em disco.
Os arquivos esparsos oferecem uma técnica de economia de espaço em disco, permitindo que o subsistema de E/S aloque
apenas dados significativos (diferentes de zero). Em um arquivo NFTS esparso, os clusters são designados para os dados
que um aplicativo define; no caso de dados não definidos, o sistema de arquivos marca o espaço como não alocado.
Figura 3.31: Sem conjunto de atributos de arquivo esparso
Figura 3.32: Com conjunto de atributos de arquivo esparso
Sistemas de arquivos Linux
Sistemas de arquivos Linux
O sistema operacional Linux usa diferentes sistemas de arquivos para armazenar dados. Como os investigadores podem
encontrar fontes de ataque ou sistemas de vítimas executando o Linux, eles devem ter conhecimento abrangente sobre os
métodos de armazenamento que ele emprega. A próxima seção fornece informações detalhadas sobre os vários sistemas de
arquivos do Linux e seus mecanismos de armazenamento.
Arquitetura do sistema de arquivos Linux
Aplicativos de usuário
Espaço do usuário
Biblioteca GNU C
Interface de chamada do sistema
cache Cache do
de inode Sistema de arquivos virtuais
diretório
Sistemas de arquivos individuais Espaço Kernel
Cache de buffer
Drivers de dispositivos
Arquitetura do sistema de arquivos Linux
Figura 3.33: Arquitetura do sistema de arquivos Linux
A arquitetura do sistema de arquivos Linux consiste nas duas partes a seguir:
1. Espaço do usuário
É a área de memória protegida onde os processos do usuário são executados, e esta área contém a memória disponível.
2. Espaço do kernel
É o espaço de memória onde o sistema fornece todos os serviços do kernel através dos processos do kernel. Os
usuários podem acessar esse espaço apenas por meio de uma chamada do sistema. Um processo de usuário se
transforma em um processo de kernel somente quando executa uma chamada de sistema.
A GNU C Library (glibc) fica entre o espaço do usuário e o espaço do kernel e fornece a interface de chamada do sistema que
conecta o kernel aos aplicativos do espaço do usuário.
O sistema de arquivos virtual (VFS) é uma camada abstrata sobre um sistema de arquivos completo. Ele permite que aplicativos
cliente acessem vários sistemas de arquivos. Sua arquitetura interna consiste em uma camada de despacho, que fornece abstração
do sistema de arquivos e vários caches para aprimorar o desempenho das operações do sistema de arquivos.
Os principais objetos gerenciados dinamicamente no VFS são os objetos dentry e inode; esses objetos são gerenciados em cache
para aumentar a velocidade de acesso ao sistema de arquivos. Depois que um usuário abre um arquivo, o cache dentry é
preenchido com entradas que representam os níveis de diretório, que por sua vez representam o caminho. O sistema também cria
um inode para o objeto que representa o arquivo. O sistema desenvolve um cache dentry usando uma tabela hash e aloca as
entradas do cache dentry do alocador de slab dentry_cache. O sistema usa um algoritmo menos usado recentemente (LRU) para
remover as entradas quando a memória é escassa.
O cache inode atua como duas listas e uma tabela hash para pesquisa rápida. A primeira lista define os inodes usados, e os não
usados são posicionados na segunda lista. A tabela de hash também armazena os inodes usados.
Drivers de dispositivo são trechos de código vinculados a todos os dispositivos físicos ou virtuais e ajudam o sistema operacional
a gerenciar o hardware do dispositivo. As funções dos drivers de dispositivo incluem configurar o hardware, obter os dispositivos
relacionados dentro e fora dos serviços, obter dados do hardware e fornecê-los ao kernel, transferir dados do kernel para o
dispositivo e identificar e lidar com erros do dispositivo.
Hierarquia do sistema de arquivos

Padrão (ESF)
Tabela de apresentação de diretórios e sua descrição específica para a ESF
Diretório Descrição
/bin Binários de comando essenciais; por exemplo, gato, ls, cp
/bota Arquivos estáticos do gerenciador de inicialização; por exemplo, Kernels, Initrd
/dev Arquivos essenciais do dispositivo; por exemplo, /dev/null
/etc Arquivos de configuração do sistema específicos do host
/casa Os diretórios pessoais dos usuários, que contêm arquivos salvos, configurações pessoais, etc.
/lib Bibliotecas essenciais para os binários em /bin/ e /sbin/
/meios de comunicação Pontos de montagem para mídia removível
/mnt Sistemas de arquivos montados temporariamente
/optar Pacotes de software de aplicativos complementares
/raiz Diretório inicial para o usuário root
/proc Sistema de arquivos virtual que fornece informações de processo e kernel como arquivos
Informações sobre processos em execução; por exemplo, daemons em execução, atualmente logados
O Filesystem Hierarchy Standard (FHS) define a estrutura de /corre
Em usuários
diretórios e seu conteúdo em sistemas operacionais Linux e Unix-like /sbin Contém os arquivos binários necessários para trabalhar
/srv Dados específicos do site para serviços fornecidos pelo sistema
/tmp Arquivos temporários

No FHS, todos os arquivos e diretórios estão presentes no diretório
/usr Hierarquia secundária para dados de usuário somente leitura
raiz (representado por /)
/estava Dados variáveis; por exemplo, logs, arquivos de spool, etc.
Padrão de Hierarquia do Sistema de Arquivos (FHS)
O Linux possui uma única estrutura de árvore hierárquica que representa o sistema de arquivos como uma única
entidade. Ele suporta muitos sistemas de arquivos diferentes e implementa um conjunto básico de conceitos comuns,
que foram originalmente desenvolvidos para UNIX.
Alguns tipos de sistema de arquivos Linux são Minix, Filesystem Hierarchy Standard (FHS), ext, ext2, ext3, xia, MS-
DOS, UMSDOS, VFAT, /proc, NFS, ISO 9660, HPFS, SysV, SMB e NCPFS. O Minix foi o primeiro sistema de arquivos
do Linux.
A seguir estão alguns dos sistemas de arquivos mais populares:
ÿ O Filesystem Hierarchy Standard (FHS) define a estrutura de diretórios e seu conteúdo em sistemas operacionais
Linux e Unix-like
ÿ
No FHS, todos os arquivos e diretórios estão presentes no diretório raiz (representado por /)
Tabela de apresentação de diretórios e sua descrição específica para a ESF
Diretório Descrição
/bin Binários de comando essenciais; por exemplo, gato, ls, cp
/bota Arquivos estáticos do gerenciador de inicialização; por exemplo, Kernels, Initrd
/dev Arquivos essenciais do dispositivo; por exemplo, /dev/null
/etc Arquivos de configuração do sistema específicos do host
Os diretórios pessoais dos usuários, que contêm arquivos salvos, configurações pessoais,
/casa
etc.
/lib Bibliotecas essenciais para os binários em /bin/ e /sbin/
/meios de comunicação Pontos de montagem para mídia removível
/mnt Sistemas de arquivos montados temporariamente
/optar Pacotes de software de aplicativos complementares
/raiz Diretório inicial para o usuário root
Sistema de arquivos virtual que fornece informações de processo e kernel como

/proc
arquivos
Informações sobre processos em execução; por exemplo, daemons em execução,

/corre
usuários atualmente conectados
/sbin Contém os arquivos binários necessários para trabalhar
/srv Dados específicos do site para serviços fornecidos pelo sistema
/tmp Arquivos temporários
/usr Hierarquia secundária para dados de usuário somente leitura
/estava Dados variáveis; por exemplo, logs, arquivos de spool, etc.
Tabela 3.8: Tabela de apresentação de diretórios e sua descrição específica para ESF
Sistema de arquivos estendido (ext)
O sistema de arquivos estendido (ext) é o primeiro sistema Tem um tamanho máximo de partição de
de arquivos para o sistema operacional Linux a superar 1 2 2 GB e um tamanho máximo de nome
certas limitações do sistema de arquivos Minix de arquivo de 255 caracteres
Ele remove as duas principais limitações do

sistema de arquivos do Minix: um tamanho
3 máximo de partição de 64 MB e nomes de
Foi substituído pelo segundo sistema arquivos curtos
de arquivos estendido (ext 2)
5
A principal limitação deste sistema de arquivos é que ele não

suporta acesso separado, modificação de inode e timestamps
4 de modificação de dados
Sistema de arquivos estendido (ext)
O sistema de arquivo estendido (ext), ou o primeiro sistema de arquivo estendido, lançado em abril de 1992, foi o
primeiro sistema de arquivo a superar as limitações impostas pelo sistema de arquivo Minix. Ele foi originalmente
desenvolvido como uma extensão do sistema de arquivos Minix para superar algumas de suas limitações, como
tamanho máximo de partição de 64 MB e nomes de arquivos curtos. O sistema de arquivos ext fornece um tamanho
máximo de partição de 2 GB e um tamanho máximo de nome de arquivo de 255 caracteres. A principal limitação
desse sistema de arquivos é que ele não oferece suporte para acesso separado, modificação de inode e registros
de data e hora de modificação de dados. Ele mantém uma lista não classificada de blocos e inodes livres e
fragmentou o sistema de arquivos.
O sistema de arquivos ext possui uma estrutura de metadados inspirada no UNIX File System (UFS). Outras
desvantagens desse sistema de arquivos incluem a presença de apenas um registro de data e hora e listas
vinculadas para espaço livre, o que resultou em fragmentação e baixo desempenho. Ele foi substituído pelo segundo
sistema de arquivos estendido (ext2).
Segundo sistema de arquivos estendido (ext2)

ÿ ext2 é um sistema de arquivos padrão que usa algoritmos aprimorados em comparação com o ext, o que aumenta muito
sua velocidade; além disso, ele mantém carimbos de data/hora adicionais ÿ Ele mantém um campo especial no superbloco
que rastreia o status do sistema de arquivos e o identifica como

ou limpo ou sujo
ÿ Suas principais deficiências são o risco de corrupção do sistema de arquivos ao gravar no ext2 e a falta de
diário
Layout físico do sistema de arquivos ext2:
Bloquear Bloquear Bloquear

Grupo 0 Grupo N-1 Grupo N
Super Grupo Bloquear Inode Inode Dados

Bloquear descritor Bitmap Bitmap Mesa Blocos
Segundo sistema de arquivos estendido (ext2)
Remy Card desenvolveu o segundo sistema de arquivos estendido (ext2) como um sistema de arquivos extensível e
poderoso para Linux. Sendo o sistema de arquivos de maior sucesso até agora na comunidade Linux, o Ext2 é a
base para todas as distribuições Linux atualmente disponíveis.
O sistema de arquivos ext2 foi desenvolvido com base no princípio de armazenamento de dados na forma de blocos
de dados do mesmo tamanho. Embora o comprimento possa variar entre diferentes sistemas de arquivos ext2, o
tamanho do bloco de um sistema de arquivos ext2 é definido durante sua criação. Suas principais deficiências são o
risco de corrupção do sistema de arquivos ao gravar no ext2 e a falta de registro no diário.
O sistema arredonda cada tamanho de arquivo para um número inteiro de blocos. Se o tamanho do bloco for de 1024
bytes, um arquivo de 1025 bytes ocupará dois blocos de 1024 bytes. Nem todos os blocos no sistema de arquivos
contêm dados; alguns devem conter informações que descrevam a estrutura do sistema de arquivos. O sistema de
arquivos ext2 define a topologia do sistema de arquivos descrevendo cada arquivo no sistema com uma estrutura de
dados inode.
Um inode descreve os blocos ocupados pelos dados dentro de um arquivo, bem como os direitos de acesso do
arquivo, os tempos de modificação do arquivo e o tipo de arquivo. Um único inode descreve cada arquivo no sistema
de arquivos ext2 e cada inode possui um único número exclusivo que o identifica.
As tabelas de inodes armazenam todos os inodes para o sistema de arquivos. Além disso, os diretórios ext2 são
simplesmente arquivos especiais (eles mesmos descritos por inodes) que contêm ponteiros para os inodes de suas
entradas de diretório.
Figura 3.34: Layout físico do sistema de arquivos ext2
Superblocos
Um superbloco armazena informações sobre o tamanho e a forma do sistema de arquivos ext2. Essas informações
permitem que o gerenciador do sistema de arquivos use e gerencie o sistema de arquivos. Geralmente, o sistema lê
apenas o superbloco no grupo de blocos 0 quando o usuário monta o sistema de arquivos. No entanto, cada grupo de
blocos possui uma cópia duplicada se o sistema de arquivos for corrompido.
Um superbloco contém as seguintes informações:
ÿ Número Mágico: Permite ao software de montagem verificar o Superblock para o arquivo ext2
sistema. Para a atual versão ext2, é 0xEF53.
ÿ Nível de revisão: Os níveis de revisão principais e secundários permitem que o código de montagem determine se
um sistema de arquivos oferece suporte a recursos que estão disponíveis apenas em revisões específicas do
sistema de arquivos. Há também campos de compatibilidade de recursos que ajudam o código de montagem a
determinar quais novos recursos podem ser usados com segurança no sistema de arquivos.
ÿ Contagem de montagens e contagem máxima de montagens: juntas, elas permitem que o sistema determine se
precisa verificar totalmente o sistema de arquivos. A contagem de montagem é incrementada cada vez que o
sistema monta o sistema de arquivos. Quando a contagem de montagens atinge a contagem máxima de
montagens, a mensagem de aviso “contagem máxima de montagens atingida, a execução de e2fsck é
recomendada” é exibida.
ÿ Número do grupo de blocos: É o número do grupo de blocos que contém a cópia do superbloco
ÿ Tamanho do bloco: Contém informações sobre o tamanho de um bloco para o sistema de arquivos em bytes
ÿ Blocos por grupo: É um número fixo igual ao número de blocos em um grupo
ÿ Blocos livres: É o número de blocos livres no sistema de arquivos
ÿ Free inodes: É o número de inodes livres no sistema de arquivos
ÿ Primeiro inode: É o número de inode do primeiro inode do sistema de arquivos
Descritor de grupo
Cada descritor de grupo contém os seguintes dados:
ÿ Bloco de bitmap
É o número de bloco do bitmap de alocação de bloco para o grupo de blocos. É usado na alocação e desalocação de
blocos.
ÿ Mapa de bits do inode
É o número do bloco do bitmap de alocação de inode para o grupo de blocos. É usado na alocação e desalocação de
inodes.
ÿ Tabela de inodes
É o número do bloco inicial para a tabela de inodes do grupo de blocos
ÿ Contagem de blocos livres, contagem de inodes livres e contagem de diretórios usados
Todos os descritores de grupo juntos constituem a tabela de descritores de grupo. Cada grupo de blocos tem toda a
tabela de descritores de grupo.
Terceiro Sistema de Arquivo Estendido (ext3)

Ele usa utilitários de manutenção do sistema de
ext3 é uma versão com registro no diário do sistema de
arquivos (como fsck) para manutenção e reparo, como
arquivos ext2 e é muito usado no sistema operacional Linux
no sistema de arquivos ext2
O seguinte comando converte o sistema de arquivos ext2 em
É uma versão aprimorada do sistema de arquivos ext2 ext3:
# /sbin/tune2fs -j <nome da partição>
Recursos do ext3
Integridade de dados Velocidade Transição Fácil
Terceiro Sistema de Arquivo Estendido (ext3)
Desenvolvido por Stephen Tweedie em 2001, o terceiro sistema de arquivos estendidos (ext3) é um sistema de arquivos
com diário usado no sistema operacional GNU/Linux. É a versão aprimorada do sistema de arquivos ext2. A principal
vantagem desse sistema de arquivos é o registro no diário, que melhora a confiabilidade do sistema do computador.
Ele pode ser montado e usado como um sistema de arquivos ext2 e pode fazer uso de todos os programas desenvolvidos
no sistema de arquivos ext2.
O tamanho máximo de um único arquivo ext3 varia de 16 GB a 2 TB, e o tamanho máximo de todo o sistema de arquivos
ext3 varia de 2 TB a 32 TB. O sistema de arquivos ext3 também oferece melhor integridade de dados. Ele garante que os
dados sejam consistentes com o estado do sistema de arquivos. Além disso, o ext3 é mais rápido que o ext2 porque o
recurso de diário otimiza o movimento do cabeçote dos HDDs. Ele também oferece uma escolha de três modos de diário,
que fornecem compensações entre maximizar a integridade dos dados e otimizar a velocidade.
O sistema de arquivos ext3 também é altamente confiável e tem a capacidade de converter partições ext2 em ext3 e vice-
versa sem a necessidade de reparticionamento e backup de dados.
Comando para converter ext2 para ext3:
# /sbin/tune2fs -j <nome da partição>
Por exemplo, para converter um sistema de arquivos ext2 localizado na partição /dev/hda5 em um sistema de arquivos
ext3, o seguinte comando pode ser usado:
# /sbin/tune2fs -j /dev/hda5
Características do Ext3
ÿ Integridade dos dados: fornece integridade de dados mais forte para eventos que ocorrem devido a desligamentos do sistema
de computador. Permite ao usuário escolher o tipo e nível de proteção dos dados recebidos.
ÿ Velocidade: Como o sistema de arquivos ext3 é um sistema de arquivos com registro em diário, ele tem uma taxa de
transferência mais alta na maioria dos casos do que o ext2. O usuário pode escolher a velocidade otimizada entre três modos
diferentes de registro no diário.
ÿ Transição fácil: O usuário pode alterar facilmente o sistema de arquivos de ext2 para ext3 e aumentar o desempenho do sistema
usando o sistema de arquivos de registro sem reformatação.
Sistema de arquivo de diário
1 Os sistemas de arquivos de registro garantem a integridade dos dados em um computador
Esses sistemas de arquivos consistem em um diário que registra todas as informações sobre as atualizações que estão prontas para serem
2 aplicadas ao sistema de arquivos antes de serem aplicadas. Esse mecanismo é conhecido como registro no diário.
O registro no diário evita a corrupção de dados restaurando os dados no disco rígido para o estado em que existiam antes da ocorrência de uma
3 falha no sistema ou falha de energia. Isso ajuda o sistema a retomar a conclusão de tarefas ou atualizações que foram interrompidas por um evento
inesperado.
ext3, ext4, ZFS e XFS são alguns dos exemplos de sistemas de arquivos de registro no Linux. Devido à sua
4 estabilidade, o ext4 é o sistema de arquivos mais comumente implementado em sistemas Linux.
Sistema de arquivo de diário
Um sistema de arquivos com registro em diário refere-se a um sistema de arquivos que protege contra corrupção
de dados no caso de perda de energia ou falha do sistema. Ele mantém um diário, que é um arquivo especial onde
as alterações/atualizações são registradas antes de serem gravadas no sistema de arquivos para evitar a corrupção
dos metadados. Caso o sistema falhe ou perca energia durante as atualizações do sistema de arquivos, as
atualizações permanecem seguras porque são registradas no diário. Quando a fonte de alimentação do sistema é
restaurada ou quando o sistema retorna a um estado normal após uma falha do sistema, as atualizações que ainda
devem ser gravadas no sistema de arquivos são lidas do diário e gravadas no sistema de arquivos.
Um sistema de arquivos com registro em diário também restaura os dados no disco rígido para sua configuração
anterior à falha. Portanto, o mecanismo de diário elimina a possibilidade de perda de dados. ext3, ext4, ZFS e XFS
são alguns dos exemplos de sistemas de arquivos de registro no Linux. Devido à sua estabilidade, o ext4 é o
sistema de arquivos mais comumente implementado em sistemas Linux.
Quarto Sistema de Arquivo Estendido (ext4)
ÿ ext4 é um sistema de arquivos journaling desenvolvido como substituto do sistema de arquivos ext3 comumente usado
ÿ Com a incorporação de novos recursos, o ext4 tem vantagens significativas sobre os sistemas de arquivos ext3 e ext2 ,
particularmente em termos de desempenho, escalabilidade e confiabilidade
ÿ Suporta Linux Kernel v2.6.19 em diante
Características principais
Tamanho do sistema de arquivos Alocação multibloco Pré-alocação persistente
Extensões velocidade fsck Carimbos de data/hora aprimorados
Alocação atrasada Soma de verificação do diário Compatibilidade com versões anteriores

(continua)
layout de disco ext4 com grupos de blocos meta
,,
Grupo de metablocos 0 Meta grupo de blocos n
,,
,,
Grupo 0 Grupo 63
,,
super Bloco de Desc Bloquear bloco Bloco de bitmap
Grupo 0 bloco do Grupo de bitmap inode
Tabela de inodes Bloco de dados

Bloquear bloco Bloco de bitmap

Grupo 2 de bitmap inode
Bloco de Desc Bloquear bloco Bloco de bitmap

Grupo 3 do Grupo de bitmap inode
O quarto sistema de arquivo estendido (ext4) é um sistema de arquivo journaling desenvolvido como o sucessor do sistema
de arquivo ext3 comumente usado. Ele oferece melhor escalabilidade e confiabilidade do que o ext3 para suportar grandes
sistemas de arquivos de máquinas de 64 bits para atender às crescentes demandas de capacidade de disco.
O sistema de arquivos ext4 habilita barreiras de gravação por padrão e permite que os usuários montem um sistema de
arquivos ext3 como um sistema de arquivos ext4. O sistema de arquivos suporta Linux Kernel v2.6.19 em diante.
Características principais
ÿ Tamanho do sistema de arquivos: Ext4 suporta tamanhos máximos de arquivos individuais de até 16 TB e tamanhos
máximos de volumes de cerca de 1 EiB (exbibyte)
ÿ Extensões: Substitui o esquema de mapeamento de bloco encontrado em ext2 e ext3 para aumentar o desempenho e
reduzir a fragmentação
ÿ Alocação atrasada: Melhora o desempenho e reduz a fragmentação, alocando efetivamente grandes quantidades de
dados por vez, atrasando a alocação até que o sistema libere os dados para o disco
ÿ Alocação multibloco: aloca vários arquivos de forma contígua em um disco, reduzindo

o trabalho de chamar o alocador de blocos e otimizar a alocação de memória
ÿ Maior velocidade de verificação do sistema de arquivos (fsck): marca grupos e seções de blocos não alocados e pula
os elementos marcados durante a execução das verificações. Assim, ele suporta verificação mais rápida do sistema de
arquivos.
ÿ Soma de verificação do diário : usa somas de verificação no diário para melhorar a confiabilidade
ÿ Pré-alocação persistente: O sistema de arquivos pode pré-alocar o espaço em disco para um arquivo
escrevendo zeros para ele durante a criação
ÿ Carimbos de data e hora aprimorados: fornece carimbos de data e hora medidos em nanossegundos e tem suporte
para carimbos de data e hora criados
ÿ Compatibilidade com versões anteriores: O sistema de arquivos é compatível com versões anteriores e permite ao usuário
montar ext3 e ext2 como ext4
,,
Grupo de metablocos 0 Meta grupo de blocos n
,,
,,
Grupo 0 Grupo 63
,,


Bloquear bloco Bloco de bitmap

Grupo 2 de bitmap inode
Bloco de Desc Bloquear bloco Bloco de bitmap

Grupo 3 do Grupo de bitmap inode
Figura 3.35: Layout de disco Ext4 com meta grupos de blocos
Sistemas de arquivos macOS
O macOS da Apple é um sistema operacional baseado em UNIX e usa uma abordagem diferente no armazenamento
de dados quando comparado ao Windows e Linux. Portanto, as técnicas forenses geralmente usadas para Windows
e Linux não podem ser aplicadas ao macOS. Os investigadores forenses devem possuir um conhecimento profundo
dos sistemas baseados em UNIX para realizar exames forenses em sistemas de arquivos macOS.
Esta seção discute os sistemas de arquivos usados por diferentes versões do macOS.
ÿ UFS é derivado do Berkeley Fast File System (FFS) que foi originalmente desenvolvido na Bell
Laboratórios da primeira versão do UNIX FS
Arquivo UNIX
Sistema (UFS) ÿ Todos os derivados BSD UNIX, incluindo FreeBSD, NetBSD, OpenBSD, NeXTStep e Solaris usam um
variante de UFS
Arquivo Hierárquico
ÿ Desenvolvido pela Apple Computer, Inc. para suportar macOS
Sistema (HFS)
HFS Plus ÿ HFS Plus (HFS+) é o sucessor do HFS e é usado como sistema de arquivos principal no Macintosh
Arquivo Apple
ÿ É um sistema de arquivos proprietário desenvolvido pela Apple Inc. para macOS 10.13 e versões posteriores
Sistema (APFS)
Sistema de arquivos UNIX
UNIX File System (UFS) é um sistema de arquivos utilizado por muitos sistemas operacionais UNIX e semelhantes a
UNIX. Derivado do Berkeley Fast File System, foi usado na primeira versão do UNIX desenvolvida no Bell Labs. Todos
os derivados do BSD UNIX, incluindo FreeBSD, NetBSD, OpenBSD, NeXTStep e Solaris, usam uma variante do UFS.
ÿ Desenho
Um sistema de arquivos UFS é composto das seguintes partes:
o Alguns blocos no início da partição reservados para os blocos de inicialização, que devem ser inicializados
separadamente do sistema de arquivos
o Um superbloco, incluindo um número mágico que identifica o sistema de arquivos como UFS e alguns outros
números vitais que descrevem a geometria, as estatísticas e os parâmetros de ajuste comportamental
desse sistema de arquivos
o Uma coleção de grupos de cilindros, cada um com os seguintes componentes:
• Uma cópia de backup do superbloco
• Um cabeçalho de grupo de cilindros com estatísticas, listas livres, etc.

o superbloco
• Numerosos inodes, cada um contendo atributos de arquivo
• Numerosos blocos de dados
Sistema de arquivos hierárquico
A Apple desenvolveu o Hierarchical File System (HFS) em setembro de 1985 para oferecer suporte ao macOS em seu sistema
proprietário Macintosh e como um substituto para o Macintosh File System (MFS). O HFS divide um volume em blocos lógicos
de 512 bytes cada e agrupa esses blocos lógicos em blocos de alocação. Cada bloco de alocação pode armazenar um ou mais
blocos lógicos dependendo do tamanho total do volume.
O sistema de arquivos usa um valor de 16 bits para endereçar blocos de alocação, o que restringe o número de blocos de
alocação a 65.535.
As cinco estruturas a seguir constituem um volume HFS:
1. Os blocos lógicos 0 e 1 do volume são os blocos de inicialização, que incluem informações de inicialização do sistema,
como nomes do sistema e arquivos shell, que são carregados na inicialização.
2. O bloco lógico 2 contém o Master Directory Block (MDB). O MDB contém uma ampla variedade de dados sobre o próprio
volume, como a data e os carimbos de data/hora da criação do volume; a localização de outras estruturas de volume,
como o bitmap de volume; e o tamanho das estruturas lógicas, como blocos de alocação. Uma duplicata do MDB
chamada Bloco de Diretório Mestre Alternativo (Alternate MDB) está localizada na extremidade oposta do volume no
penúltimo bloco lógico. O MDB alternativo destina-se principalmente ao uso por utilitários de disco e só é atualizado
quando o arquivo de catálogo ou o arquivo de estouro de extensões aumenta de tamanho.
3. O bloco lógico 3 é o bloco inicial do mapa de bits do volume, que controla os blocos de alocação em uso e os que estão
livres. Um bit no mapa representa cada bloco de alocação no volume. Se o bit estiver definido, o bloco está em uso;
caso contrário, o bloco está livre.
4. O Arquivo Overflow de Extensões é uma árvore B* que inclui extensões extras que armazenam informações sobre os
arquivos e os blocos de alocação a eles alocados, após o sistema utilizar as três extensões iniciais no Arquivo
Catálogo. As versões posteriores também adicionaram a capacidade do Extents Overflow File para armazenar
extensões que registram blocos defeituosos para evitar que uma máquina tente gravar neles.
5. O Arquivo de Catálogo é outra árvore B* que contém registros para todos os arquivos e diretórios armazenados no
volume. Ele armazena quatro tipos de registros. Cada arquivo consiste em um registro de encadeamento de arquivo
e um registro de arquivo, enquanto cada diretório contém um registro de encadeamento de diretório e um registro de
diretório. Um ID de nó de catálogo exclusivo ajuda a localizar os arquivos e diretórios no arquivo de catálogo.
HFS Plus
O HFS Plus (HFS+) é o sucessor do HFS e é um sistema de arquivos primário no Macintosh.
Sistema de arquivos da Apple
O Apple File System (APFS) substitui o HFS+ como o sistema de arquivos padrão para iOS 10.3 e versões posteriores. Este
sistema de arquivos atualizado inclui vários recursos, como clonagem (sem usar espaço em disco adicional), instantâneos,
compartilhamento de espaço livre entre volumes, suporte para esparso
arquivos, primitivos de salvamento seguro atômico e dimensionamento de diretório rápido. Ele é usado em todos os sistemas operacionais da
Apple, incluindo watchOS, tvOS, macOS e iOS.
Este sistema de arquivos de última geração foi projetado para aproveitar os dispositivos de armazenamento flash/SSD e o suporte nativo à
criptografia.
O APFS supera as principais desvantagens do sistema de arquivos mais antigo, HFS+, que são falta de funcionalidade, baixos níveis de
segurança, capacidade limitada e incompatibilidade com SSDs.
Sistema de arquivos hierárquico Plus (HFS+)
ÿ HFS+ é o sucessor do HFS e ÿ Suporta arquivos grandes e usa

usado como o sistema de Unicode para nomear itens (arquivos
arquivos primário no Macintosh e pastas)
ÿ Também é chamado macOS Extended ÿ O HFS Plus permite ao usuário:
(HFS Extended) e é um dos formatos ÿ Use o espaço do disco rígido com

usados no Apple iPod
eficiência ÿ Use apenas nomes de arquivos
compatíveis com o mundo
ÿ Inicialização fácil em sistemas operacionais não Mac
Sistema de arquivos hierárquico Plus (HFS+)
O HFS Plus (HFS+) é o sucessor do HFS e é um sistema de arquivos primário no Macintosh. Também é chamado de Mac OS Extended (HFS Extended)
e é um dos formatos usados no iPod da Apple. Ele suporta arquivos grandes e usa Unicode para nomear arquivos e pastas.
A seguir estão alguns dos recursos adicionados ao HFS+:
ÿ HFS+ usa B-tree para armazenar dados
ÿ
Ele suporta arquivos de 64 bits de comprimento
ÿ
Ele permite nomes de arquivos com 255 caracteres de comprimento
ÿ
Ele usa uma tabela de alocação de 32 bits para a tabela de mapeamento, ao contrário da tabela de alocação de 16 bits no HFS
O HFS+ permite o seguinte:
ÿ Uso eficiente do espaço no disco rígido
ÿ Uso apenas de nomes de arquivos amigáveis internacionalmente
ÿ Inicialização fácil em sistemas operacionais não Mac
Também chamado de Mac OS Extended (HFS Extended), o HFS+ também é o sistema de arquivos usado em alguns iPods da Apple.
Sistema de arquivos da Apple (APFS)
Sistema de arquivos da Apple O APFS consiste em duas camadas
ÿ APFS (Apple File System), é um arquivo ÿ A camada do recipiente

sistema desenvolvido e introduzido pela Apple
Ele organiza informações da camada
para MacOS High Sierra e versões posteriores,
do sistema de arquivos e armazena informações
bem como iOS 10.3 e
de nível superior, como volume
versões posteriores no ano de 2017
metadados, estado de criptografia e
instantâneos do volume
ÿ Substituiu todos os sistemas de arquivos usados
pela Apple e é adequado para todos os
ÿ A camada do sistema de arquivos
Sistemas operacionais, incluindo iOS, watchOS, É composto de estruturas de dados

tvOS e macOS que armazenam informações como
metadados de arquivo, conteúdo de
arquivo e estruturas de diretório
Sistema de arquivos da Apple (APFS)
APFS (Apple File System), é um sistema de arquivos desenvolvido e introduzido pela Apple para macOS High Sierra e
versões posteriores, bem como iOS 10.3 e versões posteriores no ano de 2017. Ele substituiu todos os sistemas de arquivos
usados pela Apple e é adequado para todos Sistemas operacionais da Apple, incluindo iOS, watchOS, tvOS e macOS.
O Apple File System (APFS) é composto por duas camadas:
ÿ A camada de contêiner: organiza informações na camada do sistema de arquivos e armazena informações de

nível superior, como metadados de volume, estado de criptografia e instantâneos do volume
ÿ A camada do sistema de arquivos: consiste em estruturas de dados que armazenam informações como
metadados, conteúdo de arquivo e estruturas de diretório
O sistema de arquivos APFS oferece suporte a operações TRIM, atributos de arquivo estendidos, arquivos esparsos,
dimensionamento rápido de diretório, instantâneos, clonagem, alta granularidade de registro de data e hora e o recurso de
metadados copy-on-write. Ele supera as desvantagens do sistema de arquivos mais antigo, HFS+, que incluem falta de
funcionalidade, baixos níveis de segurança, capacidade limitada e incompatibilidade com SSDs.
Desvantagens
Unidades formatadas em APFS não são compatíveis com OS X 10.11 Yosemite e versões anteriores, o que torna difícil
para o usuário transferir arquivos de uma unidade APFS para versões mais antigas de dispositivos Mac.
Devido ao recurso “copy-on-write” e “fragmentação” dos arquivos copiados, o sistema de arquivos APFS não pode ser
usado em HDDs. Outras desvantagens do APFS incluem a falta de suporte a RAM não volátil (NVRAM) e a falta de
compactação e suporte para Apple Fusion Drives.
Fluxo do módulo

Características
Explique o lógico
Linux e Mac
Sistema
Examine o sistema de arquivos

O Sleuth Kit é uma coleção de ferramentas de linha de comando que permite a um investigador forense
investigar/examinar arquivos de imagem capturados forense e dados do sistema de arquivos. Esta seção
discute a análise de arquivos de imagem de disco usando Autopsy e The Sleuth Kit.
Sistema de arquivo
Análise usando
Autópsia
ÿ Autópsia é uma plataforma forense digital e

interface gráfica para The Sleuth Kit (TSK)
e outras ferramentas forenses digitais ÿ Pode
ser usado para investigar atividades em um
computador
https:// www.sleuthkit.org
Análise do sistema de arquivos usando a autópsia
Autópsia é uma plataforma forense digital e interface gráfica para The Sleuth Kit® (TSK) e outras ferramentas forenses
digitais. Os examinadores de aplicação da lei, militares e corporativos o usam para investigar atividades em um computador.
Pode até ser usado para recuperar fotos do cartão de memória da câmera.
O Autopsy é uma plataforma de ponta a ponta com módulos integrados e de terceiros. Alguns dos módulos fornecem as
seguintes funções:
ÿ Análise da linha do tempo: interface gráfica avançada de visualização de eventos (tutorial em vídeo incluído)
ÿ Filtragem de hash: Sinaliza arquivos ruins conhecidos e ignora arquivos bons conhecidos
ÿ Pesquisa por palavra-chave : pesquisa por palavra-chave indexada para localizar arquivos que mencionam termos relevantes
ÿ Artefatos da Web: Extrai histórico, favoritos e cookies do Firefox, Chrome e

Internet Explorer
ÿ Escultura de dados: Recupera arquivos excluídos de espaço não alocado usando PhotoRec
ÿ Multimídia: Extrai arquivos Exif de fotos e vídeos
ÿ Indicadores de comprometimento: verifica um computador usando informações estruturadas de ameaças

Expressão (STIX)
Figura 3.36: GUI do The Sleuth Kit
Análise do sistema de arquivos usando o Sleuth Kit (TSK)
O Sleuth Kit (TSK) é uma biblioteca e uma coleção de ferramentas de linha de comando que permitem a investigação de volume e dados do sistema
01 de arquivos
02 As ferramentas do sistema de arquivos permitem que você examine os sistemas de arquivos de um computador suspeito de maneira não intrusiva
Ele suporta partições DOS, partições BSD (rótulos de disco), partições Mac, fatias Sun (tabela de conteúdo de volume) e discos GPT
03
04 Ele analisa sistemas de arquivos raw (ou seja, dd), Expert Witness (ou seja, EnCase) e AFF e imagens de disco
05 Ele suporta os sistemas de arquivos NTFS, FAT, ExFAT, UFS 1, UFS 2, ext2, ext3, ext4, HFS, ISO 9660 e YAFFS2
Nota: Para realizar a análise, crie uma imagem forense .dd ou .E01 de um disco rígido ou pen drive usando ferramentas de imagem de disco. Aqui, criamos
uma imagem forense de um pen drive no formato .E01 usando o AccessData FTK Imager.
Análise do sistema de arquivos usando o Sleuth Kit (TSK)
O Sleuth Kit® (TSK) é uma biblioteca e coleção de ferramentas de linha de comando que auxiliam na investigação de
imagens de disco. A funcionalidade principal do TSK permite ao usuário analisar dados de volume e sistema de arquivos.
As ferramentas do sistema de arquivos permitem que você examine os sistemas de arquivos de um computador suspeito
de maneira não intrusiva. As ferramentas do sistema de volume (gerenciamento de mídia) permitem examinar o layout dos
discos e outras mídias.
A estrutura do plug-in permite ao usuário incorporar módulos adicionais para analisar o conteúdo do arquivo e construir
sistemas automatizados. A biblioteca pode ser incorporada a ferramentas forenses digitais maiores, e as ferramentas de
linha de comando podem ser usadas diretamente para encontrar evidências. Ele suporta partições DOS, partições BSD
(rótulos de disco), partições Mac, fatias Sun (tabela de conteúdo de volume) e discos GPT. Ele analisa sistemas de arquivos
raw (ou seja, dd), Expert Witness (ou seja, EnCase) e AFF e imagens de disco.
Ele suporta os sistemas de arquivos NTFS, FAT, ExFAT, UFS 1, UFS 2, ext2, ext3, ext4, HFS, ISO 9660 e YAFFS2.
Nota: Para realizar a análise, crie uma imagem forense .dd ou .E01 de um disco rígido ou pen drive usando ferramentas de
imagem de disco. Aqui, criamos uma imagem forense de um pen drive no formato .E01 usando o AccessData FTK Imager.
O TSK tem os seguintes componentes:
ÿ Análise de volume e sistema de arquivos ÿ Documentos
ÿ Estrutura de plug-ins ÿ História
ÿ Baixar ÿ Licenças
Recuperando arquivos excluídos de discos rígidos usando WinHex
WinHex é um editor hexadecimal, usado

para computação forense, recuperação de
dados , processamento de dados de baixo nível
e segurança de TI
É usado principalmente para inspecionar e

editar todos os tipos de arquivos e recuperar
arquivos excluídos ou dados perdidos
de discos rígidos com sistemas de arquivos

corrompidos ou de cartões de memória de
câmeras digitais
https:// x-ways.net
Recuperando arquivos excluídos de discos rígidos usando WinHex
Fonte: https:// x-ways.net
WinHex é um editor hexadecimal usado para computação forense, recuperação de dados, processamento de dados de
baixo nível e segurança de TI. É usado principalmente para inspecionar e editar todos os tipos de arquivos e para
recuperar arquivos excluídos ou dados perdidos de discos rígidos com sistemas de arquivos corrompidos ou de cartões
de memória de câmeras digitais.
Recursos:
ÿ Editor de disco para discos rígidos, disquetes, CD-ROMs, DVDs, arquivos ZIP, cartões SmartMedia, etc.
ÿ Suporte nativo para FAT12/16/32, exFAT, NTFS, Ext2/3/4, Next3®, CDFS e UDF
ÿ Interpretação integrada de sistemas RAID e discos dinâmicos
ÿ Várias técnicas de recuperação de dados
ÿ Editor de RAM, fornecendo acesso à RAM física e à memória virtual de outros processos
ÿ Interpretador de Dados
ÿ Editando estruturas de dados usando modelos
ÿ Concatenar e dividir arquivos; unificando e dividindo bytes/palavras ímpares e pares
ÿ Analisar e comparar arquivos
ÿ Pesquisa e substituição flexíveis
ÿ Clonagem de disco
ÿ Drive imagens e backups
ÿ Interface de programação de aplicativos (API) e scripts
ÿ Criptografia AES de 256 bits, somas de verificação, CRC32, hashes (MD5, SHA-1, etc.)
ÿ Apagar com segurança (limpar) arquivos confidenciais e limpar discos rígidos
ÿ Importação de todos os formatos da área de transferência, incluindo valores hexadecimais ASCII
Figura 3.37: GUI do WinHex
Resumo do Módulo
Este módulo discutiu os diferentes tipos de unidades de armazenamento e suas
características
Ele discutiu a estrutura lógica de um disco
Ele também discutiu o processo de inicialização dos sistemas operacionais Windows, Linux e Mac
Este módulo também discutiu os vários sistemas de arquivos do Windows, Linux e

Sistemas operacionais Mac
Por fim, este módulo terminou com uma discussão detalhada sobre como examinar sistemas de
arquivos usando Autopsy e The Sleuth Kit
No próximo módulo, discutiremos em detalhes a aquisição e duplicação de dados
Resumo do Módulo
Este módulo discutiu os diferentes tipos de unidades de armazenamento e suas características.
Explicou a estrutura lógica de um disco. Ele também discutiu o processo de inicialização do Windows,
Linux e Mac OS. Além disso, este módulo discutiu os vários sistemas de arquivos do Windows, Linux
e Mac OS. Por fim, este módulo apresentou uma discussão detalhada sobre o exame de sistemas de
arquivos usando Autopsy e The Sleuth Kit.
No próximo módulo, discutiremos em detalhes a aquisição e duplicação de dados.
MT
EC-Council
CE-Conselho
D FE
Digital
Digital
Módulo 04
Aquisição e Duplicação de Dados

Entendendo a Aquisição de Dados

Fundamentos
Compreendendo os diferentes tipos de

aquisição de dados

Formato

Metodologia
A aquisição de dados é a primeira etapa proativa no processo de investigação forense. A aquisição de dados
forenses não envolve apenas a cópia de arquivos de um dispositivo para outro. Por meio da aquisição de dados
forenses, os investigadores visam extrair cada bit de informação presente na memória e no armazenamento do
sistema da vítima, a fim de criar uma cópia forense dessas informações.
Além disso, essa cópia forense deve ser criada de forma que a integridade dos dados seja preservada de forma
verificável e possa ser usada como prova no tribunal. Este módulo discute os conceitos fundamentais de
aquisição de dados e as várias etapas envolvidas na metodologia de aquisição de dados.
Ao concluir este módulo, o aluno deverá ter cumprido os seguintes objetivos de aprendizagem:
ÿ Compreender os fundamentos de aquisição de dados
ÿ Explicar os diferentes tipos de aquisição de dados
ÿ Descrever o formato de aquisição de dados
ÿ Compreender a metodologia de aquisição de dados


Fluxo do módulo
01 03
Entenda os dados Determinar os dados
Fundamentos de Aquisição Formato de Aquisição
04
02 Entenda os dados
Discutir diferentes tipos Metodologia de Aquisição
de aquisição de dados
Entenda os fundamentos da aquisição de dados

Para realizar um exame forense em uma fonte potencial de evidência, o primeiro passo é criar uma réplica
dos dados que residem na mídia encontrada na cena do crime, como um disco rígido ou qualquer outro
dispositivo de armazenamento digital. Os investigadores forenses podem realizar o processo de aquisição
de dados no local ou primeiro transportar o dispositivo para um local seguro.
Esta seção discute conceitos fundamentais na aquisição de dados e elabora a aquisição ativa e inativa.


Dados
Aquisição
ÿ Aquisição de dados é o uso de métodos estabelecidos para extrair informações armazenadas eletronicamente (ESI) de suspeitos
computador ou mídia de armazenamento para obter informações sobre um crime ou incidente
ÿ Os investigadores devem ser capazes de verificar a precisão dos dados adquiridos e o processo completo deve ser auditável
e aceitável no tribunal
Aquisição ao vivo Aquisição Morta (Aquisição Estática)

Categorias Envolve a coleta de dados de Envolve a coleta de dados de um sistema que
um sistema que está ligado está DESLIGADO
A aquisição de dados forenses é um processo de geração de imagens ou coleta de informações usando métodos
estabelecidos de várias mídias de acordo com certos padrões para seu valor forense. É o uso de métodos
estabelecidos para extrair informações armazenadas eletronicamente (ESI) de computadores suspeitos ou mídias
de armazenamento para obter informações sobre um crime ou incidente. Com o avanço da tecnologia, o processo
de aquisição de dados está se tornando cada vez mais preciso, simples e versátil. No entanto, os investigadores
precisam garantir que a metodologia de aquisição usada seja forense. Especificamente, a metodologia de aquisição
adotada deve ser verificável e repetível. Isso aumenta a admissibilidade dos dados ou evidências adquiridos no
tribunal.
Um fator fundamental a considerar na aquisição de dados forenses é o tempo. Embora os dados em algumas
fontes, como discos rígidos, permaneçam inalterados e possam ser coletados mesmo após o desligamento do
sistema, os dados em algumas fontes, como a RAM, são altamente voláteis e dinâmicos e, portanto, devem ser
coletados em tempo real. A partir dessa perspectiva, a aquisição de dados pode ser categorizada como aquisição
de dados ao vivo ou aquisição de dados mortos.
Na aquisição de dados ao vivo, os dados são adquiridos de um computador que já está ligado (travado ou em modo
de hibernação). Isso permite a coleta de dados voláteis que são frágeis e perdidos quando o sistema perde energia
ou é desligado. Esses dados residem em registros, caches e RAM. Além disso, dados voláteis como os da RAM
são dinâmicos e mudam rapidamente e, portanto, devem ser coletados em tempo real. Na aquisição de dados
mortos ou estáticos, são coletados dados não voláteis que permanecem inalterados no sistema mesmo após o
desligamento. Os investigadores podem recuperar esses dados de discos rígidos, bem como de espaço livre,
arquivos de troca e espaço em disco não alocado. Outras fontes de dados não voláteis incluem CD-ROMs, pen
drives USB, smartphones e PDAs.
Em seguida, nos aprofundaremos em mais detalhes dessas duas categorias de aquisição de dados, juntamente
com as fontes de dados que elas capturam.


Aquisição ao vivo
ÿ A aquisição de dados ao vivo envolve a coleta de dados voláteis de um sistema ativo ÿ As
informações voláteis ajudam a determinar a linha do tempo lógica do incidente de segurança e o possível
usuários responsáveis
ÿ A aquisição ao vivo pode então ser seguida pela aquisição estática/morta, onde um investigador desliga a máquina suspeita, remove
o disco rígido e então adquire sua imagem forense
Tipos de dados capturados durante a aquisição ao vivo
Dados do sistema Dados de rede
ÿ Configuração atual ÿ Processos em execução ÿ Tabelas de roteamento
ÿ Estado de execução ÿ Usuários logados ÿ Cache ARP
ÿ Data e hora ÿ DLLs ou bibliotecas compartilhadas ÿ Configuração de rede
ÿ Tempo de atividade atual do sistema ÿ Troque arquivos e arquivos temporários ÿ Conexões de rede
Aquisição ao vivo
O processo de aquisição de dados ao vivo envolve a coleta de dados voláteis de dispositivos quando eles estão ativos
ou ligados. As informações voláteis, como as presentes no conteúdo da memória RAM, cache, DLLs, etc., são
dinâmicas e podem ser perdidas caso o dispositivo a ser investigado seja desligado. Portanto, deve ser adquirido em
tempo real. O exame de informações voláteis ajuda a determinar o cronograma lógico de um incidente de segurança e
os usuários que provavelmente serão responsáveis por ele.
A aquisição ao vivo pode então ser seguida pela aquisição estática/morta, onde o investigador desliga a máquina
suspeita, remove o disco rígido e então adquire sua imagem forense.
A aquisição de dados ao vivo pode ajudar os investigadores a obter informações, mesmo que os dados de valor
probatório sejam armazenados na nuvem usando um serviço como Dropbox ou Google Drive.
Os investigadores também podem adquirir dados de contêineres ou discos não criptografados que estão abertos no
sistema e são criptografados automaticamente quando o sistema é desligado. Se o suspeito tentou sobrescrever os
dados no disco rígido físico para evitar a detecção, existe a possibilidade de que os investigadores encontrem vestígios
desses dados sobrescritos examinando o conteúdo da RAM.
Dependendo da fonte de onde são obtidos, os dados voláteis são de dois tipos:
ÿ Dados do sistema
Informações do sistema são as informações relacionadas a um sistema, que podem servir como evidência
em um incidente de segurança. Essas informações incluem a configuração atual e o estado de execução do
computador suspeito. As informações voláteis do sistema incluem perfil do sistema (detalhes sobre
configuração), atividade de login, data e hora atuais do sistema, histórico de comandos, tempo de atividade
atual do sistema, processos em execução, arquivos abertos, arquivos de inicialização, dados da área de
transferência, usuários conectados, DLLs e bibliotecas compartilhadas. As informações do sistema também
incluem dados críticos armazenados nos espaços vazios da unidade de disco rígido.


ÿ Dados de rede
As informações de rede são as informações relacionadas à rede armazenadas no sistema suspeito e nos
dispositivos de rede conectados. As informações de rede voláteis incluem conexões e portas abertas,
informações de roteamento e configuração, cache ARP, arquivos compartilhados e serviços acessados.
Além dos dados acima, a aquisição ao vivo pode ajudar os investigadores a obter o seguinte.
ÿ Dados de contêineres ou discos não criptografados que estão abertos no sistema, que são
criptografado automaticamente quando o sistema é desligado
ÿ Histórico de navegação privada e dados de serviços de armazenamento remoto, como Dropbox (serviço de
nuvem), examinando a memória de acesso aleatório (RAM)


ÿ Ao coletar evidências, um investigador precisa avaliar a ordem de

volatilidade dos dados dependendo da máquina suspeita e da situação
Ordem de
Volatilidade De acordo com o RFC 3227, segue abaixo um exemplo da ordem
de volatilidade para um sistema típico:
01 Registros e cache
02 Tabela de roteamento, tabela de processos, estatísticas do kernel e memória
03 Arquivos de sistema temporários
04 Disco ou outra mídia de armazenamento
Registro remoto e monitoramento de dados relevantes para o sistema em questão

05
06 Configuração física e topologia de rede
07 Mídia de arquivo
https:// tools.ietf.org
Ordem de Volatilidade
Ao realizar a aquisição de dados ao vivo, os investigadores precisam coletar dados considerando sua volatilidade
potencial e o impacto da coleta no sistema suspeito. Como nem todos os dados têm o mesmo nível de volatilidade,
os investigadores devem coletar primeiro os dados mais voláteis e depois proceder à coleta dos dados menos
voláteis.
A ordem de volatilidade para um sistema de computação típico de acordo com as Diretrizes RFC 3227 para
A coleta e arquivamento de evidências é a seguinte:
1. Registros, cache do processador: As informações nos registros ou no cache do processador no computador

existem por nanossegundos. Ele está em constante mudança e pode ser classificado como o dado mais
volátil.
2. Tabela de roteamento, tabela de processos, estatísticas do kernel e memória: A tabela de roteamento,

o cache ARP e as estatísticas do kernel residem na memória comum do computador. Estes são um pouco
menos voláteis do que as informações nos registros, com uma vida útil de cerca de dez nanossegundos.
3. Arquivos de sistema temporários: Arquivos de sistema temporários tendem a persistir por mais tempo no
computador em comparação com tabelas de roteamento e caches ARP. Esses sistemas são eventualmente
substituídos ou alterados, às vezes em segundos ou minutos depois.
4. Disco ou outra mídia de armazenamento: Qualquer coisa armazenada em um disco permanece por um
tempo. No entanto, às vezes, devido a imprevistos, esses dados podem ser apagados ou substituídos.
Portanto, os dados do disco também podem ser considerados um tanto voláteis, com uma vida útil de
alguns minutos.


5. Registro remoto e monitoramento de dados relacionados ao sistema de destino: Os dados

que passam por um firewall fazem com que um roteador ou switch gere logs. O sistema pode
armazenar esses logs em outro lugar. Esses logs podem se sobrescrever em uma hora, um dia
ou uma semana. No entanto, estes são geralmente dados menos voláteis.
6. Configuração física e topologia de rede: A configuração física e a topologia de rede são menos
voláteis e têm uma vida útil mais longa do que alguns outros logs
7. Mídia de arquivo: Um DVD-ROM, um CD-ROM ou uma fita contém os dados menos voláteis
porque as informações digitais não mudam nessas fontes de dados automaticamente, a menos
que sejam danificadas por força física


Aquisição morta
01 02 03
A aquisição morta é definida como a A aquisição morta geralmente envolve a Exemplos de dados estáticos: e- mails,
aquisição de dados de uma máquina aquisição de dados de dispositivos de documentos do Word, atividades na Web,
suspeita que está desligada armazenamento, como discos rígidos, DVD planilhas, espaço livre, espaço em disco
ROMs, unidades USB, cartões não alocado e vários arquivos excluídos
flash e smartphones
Aquisição morta
Dados estáticos referem-se a dados não voláteis, que não mudam de estado mesmo após o desligamento do sistema.
A aquisição morta refere-se ao processo de extração e coleta desses dados de maneira inalterada a partir da mídia de
armazenamento. As fontes de dados não voláteis incluem discos rígidos, DVD-ROMs, unidades USB, flashcards, smartphones
e discos rígidos externos. Esse tipo de dados existe na forma de e-mails, documentos de processamento de texto, atividades
na web, planilhas, espaço livre, arquivos de troca, espaço em disco não alocado e vários arquivos excluídos. Os investigadores
podem repetir o processo de aquisição de mortos em evidências de disco bem preservadas.
Os dados estáticos recuperados de um disco rígido incluem o seguinte:
ÿ Arquivos temporários (temp)
ÿ Registos do sistema
ÿ Registros de eventos/sistema
ÿ Setores de inicialização
ÿ Cache do navegador da Web
ÿ Cookies e arquivos ocultos


Regras práticas para aquisição de dados
ÿ Não trabalhe em evidências digitais ÿ Produzir duas ou mais cópias da mídia original
originais. Crie um fluxo de bits/ ÿ A primeira é a cópia de trabalho a ser
imagem lógica de uma unidade/
arquivo suspeito para funcionar usado para análise
sobre.
ÿ As outras cópias atuam como as
cópias de biblioteca/controle que são
armazenadas para fins de divulgação ou
no caso de a cópia de trabalho ser
corrompida
ÿ Ao criar cópias do original

ÿ Use mídia limpa para armazenar mídia, verifique a integridade das cópias
cópias com o original
Regras práticas para aquisição de dados
Uma regra prática é uma prática recomendada que ajuda a garantir um resultado favorável quando aplicada. No caso de
uma investigação forense digital, quanto melhor for a qualidade das evidências, melhor será o resultado da análise e a
probabilidade de solucionar o crime em geral.
Os investigadores nunca devem realizar uma investigação forense ou qualquer outro processo na evidência original ou
fonte de evidência, pois isso pode alterar os dados e tornar a evidência inadmissível no tribunal.
Em vez disso, os investigadores podem criar uma imagem de fluxo de bits duplicada de uma unidade ou arquivo suspeito
para visualizar os dados estáticos e analisá-los. Essa prática não apenas preserva a evidência original, mas também
oferece a opção de recriar uma duplicata se algo der errado.
É essencial produzir duas cópias da mídia original antes de iniciar a investigação

processar:
ÿ Uma cópia é usada como cópia de trabalho para análise
ÿ A segunda cópia é a biblioteca/cópia de controle armazenada para fins de divulgação ou, para ser usada se a cópia
de trabalho for corrompida
Se os investigadores precisarem realizar imagens drive-to-drive, eles podem usar mídia em branco para copiar em novas
unidades embrulhadas.
Depois de duplicar a mídia original, os investigadores devem verificar a integridade das cópias comparando-as com o
original usando valores de hash como MD5.


Fluxo do módulo
01 03
04
02 Entenda os dados
Discutir diferentes tipos de aquisição de dados

Esta seção explica os tipos de aquisição de dados e quando os investigadores forenses podem
usá-los.


Tipos de Aquisição de Dados

Aquisição Lógica Aquisição Esparsa
ÿ A aquisição lógica permite que um ÿ Aquisição esparsa é semelhante a

investigador capture apenas arquivos aquisição lógica, que além disso coleta
selecionados ou tipos de arquivos de interesse para o fragmentos de dados não alocados,
caso permitindo que os investigadores adquiram
arquivos excluídos
ÿ Exemplos de aquisição lógica incluem:
ÿ Use este método quando a inspeção de toda a
unidade não for necessária
ÿ Investigação de e-mail que requer coleta
de arquivos .pst ou .ost do Outlook
ÿ Coleta de registros específicos de um

grande servidor RAID
Tipos de aquisição de dados (continuação)

A imagem de fluxo de bits cria uma cópia bit a bit de uma unidade suspeita, que é uma cópia clonada de toda
Fluxo de bits
a unidade, incluindo todos os seus setores e clusters, o que permite que os investigadores forenses recuperem
Imagem arquivos ou pastas excluídos
Arquivo de disco para imagem de fluxo de bits Fluxo de bits de disco para disco
ÿ É o método mais comum usado por investigadores forenses ÿ A cópia de disco para imagem não é possível em situações em que
ÿ A unidade suspeita é muito antiga e incompatível com a

software de imagem
ÿ O arquivo de imagem criado é uma réplica bit a bit do suspeito
dirigir ÿ Investigador precisa recuperar credenciais usadas para sites e contas
de usuários
ÿ Ferramentas utilizadas: ProDiscover, EnCase, FTK, The Sleuth Kit, X-Ways ÿ Para superar essa situação, os investigadores podem criar uma cópia de
Forense, etc fluxo de bits de disco para disco da mídia de destino
ÿ Ao criar uma cópia de disco para disco, os investigadores podem ajustar

a geometria do disco de destino (seu cabeçote, cilindro e configuração
de trilha) para alinhar com a unidade suspeita. Isso resulta em um
processo de aquisição de dados suave.
ÿ Ferramentas utilizadas: Encase, Tableau Forensic Imager, etc.
Tipos de Aquisição de Dados

Embora a aquisição de uma cópia bit a bit da evidência em um sistema possa parecer ideal, isso pode
exigir uma quantidade significativa de tempo para discos grandes. Em situações com restrições de tempo
e recursos, dois outros tipos principais de aquisição de dados, ou seja, aquisição lógica e aquisição
esparsa, podem ser mais adequados.


ÿ Aquisição Lógica
Em uma situação com restrições de tempo e onde o investigador está ciente de quais arquivos precisam ser
adquiridos, a aquisição lógica pode ser considerada ideal. A aquisição lógica reúne apenas os arquivos
necessários para a investigação do caso.
Por exemplo:
o Coleta de arquivos .pst ou .ost do Outlook em investigações de e-mail
o Coleta de registros específicos de um grande servidor RAID
ÿ Aquisição Esparsa
A aquisição esparsa é semelhante à aquisição lógica. Por meio desse método, os investigadores podem
coletar fragmentos de dados não alocados (excluídos). Este método é útil quando não é necessário
inspecionar toda a unidade.
ÿ Imagem de fluxo de bits
Uma imagem de fluxo de bits é uma cópia bit a bit de qualquer mídia de armazenamento que contém uma
cópia clonada de toda a mídia, incluindo todos os seus setores e clusters. Essa cópia clonada da mídia de
armazenamento contém todos os dados latentes que permitem aos investigadores recuperar arquivos e
pastas excluídos. Os investigadores costumam usar imagens de fluxo de bits da mídia suspeita para evitar
a contaminação da mídia original. Além disso, a maioria das ferramentas forenses de computador, como
FTK Imager e EnCase, pode ler imagens de fluxo de bits, o que facilita ainda mais o processo de
investigação. Existem dois tipos de procedimentos de geração de imagens de fluxo de bits — disco para
arquivo de imagem de fluxo de bits e disco para disco de fluxo de bits.
o Bit-stream disk-to-image-file
Investigadores forenses geralmente usam esse método de aquisição de dados. É um método flexível
que permite a criação de uma ou mais cópias da unidade suspeita. Ferramentas como ProDiscover,
EnCase, FTK, The Sleuth Kit, X-Ways Forensics, etc., podem ser usadas para criar arquivos de imagem.
o Bit-stream de disco para disco
Os investigadores não podem criar um arquivo de disco para imagem de fluxo de bits nas seguintes
situações:
• A unidade suspeita é muito antiga e incompatível com o software de imagem
• Há uma necessidade de recuperar credenciais usadas para sites e contas de usuário
Nesses casos, uma cópia de disco para disco de fluxo de bits do disco ou unidade original pode ser
executada. Ao criar uma cópia de disco para disco, a geometria do disco de destino, incluindo seu
cabeçote, cilindro e configuração de trilha, pode ser modificada para se alinhar com a unidade suspeita.
Isso resulta em um processo de aquisição de dados suave. Ferramentas como EnCase, SafeBack e
Tableau Forensic Imager podem ajudar a criar uma cópia de fluxo de bits de disco para disco da
unidade suspeita.


Fluxo do módulo
01 03
04
02 Entenda os dados
Determinar o formato de aquisição de dados

Esta seção explica os vários formatos nos quais os dados podem ser adquiridos de mídias suspeitas e
como escolher o formato apropriado para uma determinada situação.


Formato bruto ÿ O formato bruto cria uma cópia bit a bit da unidade suspeita. As imagens
neste formato geralmente são obtidas usando o comando dd .
Vantagens Desvantagens
ÿ Transferências rápidas de dados ÿ Requer a mesma quantidade de armazenamento que

da mídia original
ÿ Pequenos erros de leitura de dados na unidade de origem
são ignorados ÿ Ferramentas (principalmente de código aberto)

podem falhar ao reconhecer/coletar setores
ÿ Lido pela maioria das ferramentas forenses
marginais (ruins) da unidade suspeita
Determinar o formato de aquisição de dados (continuação)
Formato proprietário
ÿ Ferramentas forenses comerciais adquirem dados da unidade

suspeita e salvam os arquivos de imagem em seus próprios formatos
Eles oferecem certos recursos que incluem o seguinte:
ÿ Opção para compactar os arquivos de imagem do disco/drive de evidências Desvantagens

para economizar espaço na mídia de destino
ÿ Capacidade de dividir uma imagem em vários segmentos, a fim de ÿ Formato de arquivo de imagem criado por uma
salvá -los em mídias de destino menores, como CD/DVD, mantendo ferramenta pode não ser suportado por outra(s) ferramenta(s)
sua integridade
ÿ Capacidade de incorporar metadados no arquivo de imagem, que

inclui data e hora de aquisição, valores de hash dos arquivos, detalhes
do caso, etc.


Determinar os dados
Formato de Aquisição
(continua)
ÿ Advanced Forensics Format é um formato de aquisição de código aberto com o seguinte

metas de design
ÿ Sem limitação de tamanho para arquivos de disco para imagem ÿ Design simples e personalizável
Perícia Forense Avançada ÿ Opção para compactar os arquivos de imagem ÿ Acessível por meio de várias plataformas de computação e
Formato (AFF) sistemas operacionais

ÿ Aloca espaço para gravar metadados dos arquivos de imagem ou
arquivos segmentados ÿ Verificações de consistência interna para auto
autenticação
ÿ As extensões de arquivo incluem .afm para metadados AFF e .afd para arquivos de imagem segmentados
Determinar o formato de aquisição de dados (continuação)

Estrutura forense avançada 4 (AFF4)
1 2 3
Redesenho e revisão de Tipos básicos de objetos Informações abstratas
AFF para gerenciar e usar grandes AFF4: volumes, fluxos e modelo que permite o armazenamento
quantidades de imagens de gráficos. de dados de imagem de disco em
disco, reduzindo o tempo de Eles são referenciados um ou mais locais enquanto as
aquisição e os requisitos de universalmente por meio de um informações sobre os dados são
armazenamento URL exclusivo. armazenadas em outro lugar
4 5
Armazena mais tipos de Oferece modelo de dados unificado
informações organizadas e esquema de nomenclatura

no arquivo de evidências

Formato bruto
O formato bruto cria uma cópia bit a bit da unidade suspeita. As imagens neste formato geralmente são
obtidas usando o comando dd .


Vantagens
ÿ Transferências rápidas de dados
ÿ Pequenos erros de leitura de dados na unidade de origem são ignorados
ÿ Lido pela maioria das ferramentas forenses
Desvantagens
ÿ Requer a mesma quantidade de armazenamento da mídia original
ÿ Ferramentas (principalmente de código aberto) podem não reconhecer/coletar setores marginais (ruins) de
a unidade suspeita
As ferramentas freeware têm um limite baixo de novas tentativas de leitura em pontos de mídia fracos em uma unidade, enquanto as
ferramentas de aquisição comercial usam mais tentativas para garantir que todos os dados sejam coletados
Formato proprietário
Ferramentas forenses comerciais adquirem dados da unidade suspeita e salvam os arquivos de imagem em seus próprios
formatos. Eles oferecem certos recursos que incluem o seguinte:
ÿ Opção para compactar os arquivos de imagem do disco/drive de provas para economizar espaço
a mídia de destino
ÿ Capacidade de dividir uma imagem em vários segmentos, a fim de salvá-los em mídias de destino menores, como CD/
DVD, mantendo sua integridade
ÿ Capacidade de incorporar metadados no arquivo de imagem, que inclui data e hora de aquisição, valores de hash
dos arquivos, detalhes do caso, etc.
Desvantagens
ÿ Formato de arquivo de imagem criado por uma ferramenta pode não ser suportado por outra(s) ferramenta(s)
Formato forense avançado (AFF)
AFF é um formato de aquisição de dados de código aberto que armazena imagens de disco e metadados relacionados.
O objetivo por trás do desenvolvimento do formato era criar um formato de imagem de disco aberto que fornecesse aos usuários
uma alternativa a um formato proprietário.
As extensões de arquivo AFF são .afm para metadados AFF e .afd para arquivos de imagem segmentados. Não há restrições de
implementação impostas pelo AFF aos investigadores forenses, pois é um formato de código aberto.
O AFF tem um design simples e é acessível por meio de várias plataformas de computação e sistemas operacionais. Ele fornece a
opção de compactar os arquivos de imagem e aloca espaço para gravar metadados dos arquivos de imagem ou arquivos
segmentados. Ele fornece verificações de consistência interna para auto-autenticação.
AFF suporta os dois algoritmos de compressão a seguir:
ÿ Zlib, que é mais rápido, mas menos eficiente
ÿ LZMA, que é mais lento, mas mais eficiente


A imagem de disco real no AFF é um único arquivo, composto de segmentos com dados de unidade e metadados. O
conteúdo do arquivo AFF pode ser compactado e descompactado. O AFFv3 oferece suporte às extensões de arquivo AFF,
AFD e AFM.
Estrutura forense avançada 4 (AFF4)
Michael Cohen, Simson Garfinkel e Bradly Schatz criaram o Advanced Forensic Framework 4 (AFF4) como uma versão
redesenhada e renovada do formato AFF, projetado para suportar mídia de armazenamento com grandes capacidades. Os
criadores se referiram ao seu design como sendo orientado a objetos, pois o formato consiste em objetos genéricos
(volumes, fluxos e gráficos) com comportamento acessível externamente. Esses objetos podem ser endereçados por seus
nomes dentro do universo AFF4.
Eles são referenciados universalmente por meio de um URL exclusivo. É um modelo de informação abstrato que permite o
armazenamento de dados de imagem de disco em um ou mais locais, enquanto as informações sobre os dados são
armazenadas em outro lugar. Ele armazena mais tipos de informações organizadas no arquivo de evidências. Oferece
modelo de dados unificado e esquema de nomenclatura.
O formato pode suportar um grande número de imagens e oferece uma seleção de formatos de contêiner, como Zip e Zip64
para arquivos binários e diretórios simples. Ele também suporta armazenamento da rede e o uso de WebDAV (uma extensão
do protocolo HTTP) que permite a criação de imagens diretamente para um servidor HTTP central.
Esse formato também oferece suporte a mapas, que são transformações de dados de cópia zero. As transformações de
cópia zero poupam a CPU de ter que executar a tarefa de copiar dados de uma área de memória para outra, aumentando
assim sua eficiência.
Por exemplo, sem armazenar uma nova cópia de um arquivo esculpido (arquivo sendo extraído), apenas um mapa dos
blocos alocados para este arquivo pode ser armazenado. AFF4 suporta assinatura de imagem e criptografia.
Este formato também oferece transparência de imagem aos clientes.
O design AFF4 adota um esquema de identificadores exclusivos globalmente para identificar e referir-se a todas as
evidências. Os tipos básicos de objeto AFF4 incluem o seguinte:
ÿ Volumes: Armazenam segmentos, que são blocos indivisíveis de dados
ÿ Streams: São objetos de dados que podem auxiliar na leitura ou escrita, por exemplo,
segmentos, imagens e mapas
ÿ Gráficos: Coleções de declarações RDF


Fluxo do módulo
01 03
04
02 Entenda os dados
Entenda a metodologia de aquisição de dados

Os investigadores forenses devem adotar uma abordagem sistemática e forense sólida ao
adquirir dados de mídia suspeita. Isso é para aumentar as chances de que a prova seja
admissível no tribunal. Esta seção detalha as várias etapas que os investigadores devem seguir
ao adquirir dados de valor probatório.


Metodologia de Aquisição de Dados

Começar Sim
Se o computador
Adquirir dados voláteis
estiver ligado?
Desligar o computador
Não
Determinar os dados
Remova o disco rígido
Método de Aquisição
Proteger contra gravação o dispositivo suspeito
Selecione a ferramenta de aquisição de dados Adquirir dados não voláteis
Plano de Contingência
Higienize a mídia de destino Validar aquisição de dados
Metodologia de Aquisição de Dados

Ao realizar a aquisição de dados forenses, as possíveis abordagens devem ser cuidadosamente
consideradas e as metodologias destinadas a proteger a integridade e a precisão da evidência original
devem ser seguidas. A aquisição de dados deve ser realizada de acordo com as políticas
departamentais ou organizacionais e em conformidade com os padrões, regras e leis aplicáveis. Além
disso, os investigadores devem realizar o processo de aquisição de dados de maneira forense e
autenticar a integridade da imagem adquirida usando algoritmos de hash.
Figura 4.1: Diagrama de blocos da metodologia de aquisição de dados


A seguir estão as etapas envolvidas na metodologia de aquisição de dados forenses. Eles são discutidos detalhadamente
no restante desta seção.
1. Determinando o método de aquisição de dados
2. Determinando a ferramenta de aquisição de dados
3. Sanitizando a mídia de destino
4. Aquisição de dados voláteis
5. Ativando a proteção contra gravação na mídia de evidência
6. Aquisição de dados não voláteis
7. Planejamento para contingência
8. Validação da aquisição de dados


Passo 1: Determinar o Melhor Método de Aquisição de Dados

ÿ Um investigador precisa identificar o melhor método de aquisição de dados
adequado para a investigação, dependendo da situação que o investigador se
depara
ÿ Essas situações incluem: Lógico/Esparso
Camada de aplicação
ÿ Tamanho da unidade suspeita
ÿ Tempo necessário para adquirir a imagem
ÿ Se o investigador pode reter a unidade suspeita

Camada do sistema de arquivos
ÿ Exemplo:
ÿ Caso a unidade de evidência original precise ser devolvida ao proprietário, como no

Camada de Partição/Volume
caso de uma demanda de descoberta para um processo civil, verifique com o
solicitante (advogado ou supervisor) se a aquisição lógica do disco é aceitável. Se
não, você pode ter que voltar para o solicitante.
imagem completa
Camada de disco
ÿ Os investigadores precisam adquirir apenas os dados que se destinam a ser

adquirido
Passo 1: Determinar o Melhor Método de Aquisição de Dados
O método de aquisição de dados que deve ser adotado depende da situação que se apresenta ao investigador.
Figura 4.2: Determinar o método de aquisição de dados
A seguir estão alguns fatores-chave que devem ser considerados na determinação do método de aquisição de
dados.
1. Tamanho da unidade suspeita: Se a unidade suspeita for grande, o investigador deve optar pela cópia
de disco para imagem. Além disso, se o tamanho do disco de destino for significativamente menor que
o da unidade suspeita, os investigadores precisam adotar métodos para reduzir o tamanho dos dados,
como os seguintes:
o Usando ferramentas de compactação de disco da Microsoft, como DriveSpace e DoubleSpace, que

exclua o espaço livre em disco entre os arquivos.


o Usando métodos de compactação que usam um algoritmo para reduzir o tamanho do arquivo. Ferramentas de
arquivamento como PKZip, WinZip e WinRAR podem ajudar a compactar arquivos.
o Teste de compactação sem perdas aplicando um hash MD5, SHA-2 ou SHA-3 em um arquivo antes e depois da
compactação. A compactação é bem-sucedida somente se os valores de hash corresponderem.
Em alguns casos, quando a unidade suspeita é muito grande, os investigadores forenses podem utilizar as seguintes
técnicas:
ÿ Use sistemas de backup de fita como Super Digital Linear Tape (SDLT) ou Áudio Digital
Armazenamento de dados digitais/fita (DAT/DDS)
ÿ Use SnapBack e SafeBack, que possuem drivers de software para gravar dados em uma fita
sistema de backup de uma unidade suspeita através do padrão PCI/SCSI
2. Tempo necessário para adquirir a imagem: O tempo necessário para aquisição de dados aumenta com o aumento do
tamanho das unidades suspeitas. Por exemplo, uma unidade suspeita de 1 TB pode exigir mais de 11 horas para a
conclusão do processo de aquisição de dados. Nesses casos, os investigadores precisam priorizar e adquirir apenas
os dados que são de valor probatório.
Ao adquirir apenas os dados necessários para a investigação, os investigadores podem reduzir o tempo e o esforço.
3. Se a unidade suspeita pode ser retida:
o Se o investigador não puder reter o impulso original, como em uma demanda de descoberta para um caso de litígio
civil, ele deve verificar se a aquisição lógica é aceitável em
quadra.
o Se os investigadores puderem manter a unidade, eles devem criar uma cópia dela usando uma ferramenta de
aquisição de dados confiável, já que a maioria das demandas de descoberta fornece apenas uma oportunidade
para capturar dados.


Etapa 2: selecione a ferramenta de aquisição de dados

Requisitos Obrigatórios
01 A ferramenta não deve alterar o conteúdo original
A ferramenta deve registrar erros de E/S de forma acessível e legível, incluindo o

ÿ Os investigadores precisam 02
tipo de erro e localização do erro
escolher a ferramenta
certa para aquisição de A ferramenta deve ter a capacidade de passar pela revisão científica e por pares .
dados com base no tipo 03 Os resultados devem ser repetíveis e verificáveis por terceiros, se
de técnica de aquisição necessário.
que escolherem. Quando
A ferramenta deve alertar o usuário se a origem for maior que o destino
se trata de ferramentas de 04
imagem, eles precisam
escolher as ferramentas
A ferramenta deve criar uma cópia bit-stream do conteúdo original quando não
que atendem a 05
houver erros no acesso à mídia de origem
determinados requisitos.
A ferramenta deve criar uma cópia de fluxo de bits qualificada (uma cópia de fluxo
06 de bits qualificada é definida como uma duplicata, exceto em áreas identificadas do
fluxo de bits) quando ocorrerem erros de E/S ao acessar a mídia de origem
Etapa 2: selecione a ferramenta de aquisição de dados
É de suma importância escolher a ferramenta certa no processo de aquisição de dados forenses, e isso depende do
tipo de técnica de aquisição utilizada pelo investigador forense.
As ferramentas de imagem devem ser validadas e testadas para garantir que produzam resultados precisos e repetíveis.
Essas ferramentas devem atender a certos requisitos, alguns dos quais são obrigatórios (recursos e tarefas que a
ferramenta deve possuir ou executar), enquanto outros são opcionais (recursos que são desejáveis que a ferramenta
possua).
Requisitos obrigatórios
A seguir estão os requisitos obrigatórios para cada ferramenta usada para o processo de criação de imagens de disco:
ÿ A ferramenta não deve alterar ou fazer alterações no conteúdo original
ÿ A ferramenta deve registrar erros de E/S de forma acessível e legível, incluindo o tipo e localização do erro
ÿ A ferramenta deve ser capaz de comparar a origem e o destino, e alertar o usuário se o

destino é menor que a origem
ÿ A ferramenta deve ter a capacidade de passar pela revisão científica e por pares. Os resultados devem ser
repetível e verificável por terceiros, se necessário
ÿ A ferramenta deve adquirir completamente todos os setores de dados visíveis e ocultos do digital
fonte
ÿ A ferramenta deve criar uma cópia bit-stream do conteúdo original quando não houver erros
ao acessar a mídia de origem


ÿ A ferramenta deve criar uma cópia de fluxo de bits qualificada (uma cópia de fluxo de bits qualificada é definida como uma
duplicata, exceto em áreas identificadas do fluxo de bits) quando ocorrerem erros de E/S ao acessar a mídia de origem
ÿ A ferramenta deve copiar um arquivo somente quando o destino for maior ou igual ao tamanho da fonte, e documentar o
conteúdo no destino que não faz parte da cópia
ÿ A documentação da ferramenta deve estar correta, ou seja, o usuário deve obter os resultados esperados
executá-lo de acordo com os procedimentos documentados da ferramenta
Requisitos opcionais
A seguir estão os requisitos opcionais que são desejáveis para ferramentas usadas na geração de imagens de disco
processar:
ÿ A ferramenta deve calcular um valor de hash para a cópia completa do fluxo de bits gerada a partir de um arquivo de imagem
de origem, compará-lo com o valor de hash de origem calculado no momento da criação da imagem e exibir o resultado em
um arquivo de disco
ÿ A ferramenta deve dividir a cópia do fluxo de bits em blocos, calcular valores de hash para cada bloco, compará-los com o valor
de hash dos dados do bloco original calculado no momento da criação da imagem e exibir o resultado em um arquivo de
disco
ÿ A ferramenta deve registrar um ou mais itens em um arquivo de disco (os itens incluem versão da ferramenta, identificação do
disco do assunto, quaisquer erros encontrados, ações da ferramenta, tempos de início e término da execução, configurações
da ferramenta e comentários do usuário)
ÿ A ferramenta deve criar uma duplicata de fluxo de bits qualificada e ajustar o alinhamento dos cilindros aos limites do cilindro
das partições do disco quando o destino for de uma geometria física diferente
ÿ A ferramenta deve criar uma cópia de fluxo de bits de partições individuais de acordo com as instruções do usuário
ÿ A ferramenta deve tornar a tabela de partição do disco de origem visível para os usuários e registrar
conteúdo
ÿ A ferramenta deverá criar um arquivo de imagem em um suporte magnético ou eletrônico fixo ou removível
mídia que é usada para criar uma cópia bit-stream do original
ÿ A ferramenta deve criar uma cópia bit-stream em uma plataforma conectada por meio de um
link de comunicação para uma plataforma diferente contendo o disco de origem


Etapa 3: higienizar a mídia de destino

ÿ Os investigadores devem higienizar adequadamente a mídia de destino
para remover quaisquer dados anteriores que residam nela, antes de
serem usados para coletar dados forenses
ÿ Após a investigação, eles devem descartar esta mídia por

seguindo os mesmos padrões, de forma a mitigar o risco de divulgação
não autorizada de informações e garantir sua confidencialidade
ÿ A seguir estão alguns padrões para sanitizar meios:
ÿ Padrão Russo, GOST P50739-95
ÿ Alemão: VSITR
ÿ Americano: NAVSO P-5239-26 (MFM)
ÿ Americano: DoD 5220.22-M
ÿ Americano: NAVSO P-5239-26 (RLL)
ÿ NIST SP 800-88
Etapa 3: higienizar a mídia de destino
Antes da aquisição e duplicação de dados, um método apropriado de sanitização de dados deve ser usado para
apagar permanentemente qualquer informação anterior armazenada na mídia de destino. A destruição de dados
usando métodos de destruição de dados padrão do setor é essencial para dados confidenciais que não se deseja
que caiam em mãos erradas. Esses padrões dependem dos níveis de sensibilidade. A exclusão e descarte de
dados em dispositivos eletrônicos é apenas virtual, mas permanece fisicamente, representando uma ameaça à
segurança.
Métodos como formatação do disco rígido ou exclusão de partições não podem excluir completamente os dados
do arquivo. No entanto, é importante destruir os dados e protegê-los de recuperação, após a coleta de evidências
do computador. Portanto, a única maneira de apagar completamente os dados e protegê-los da recuperação é
sobrescrever os dados aplicando um código de zeros sequenciais ou
uns.
Além disso, uma vez que os dados de destino são coletados e analisados, a mídia deve ser descartada
adequadamente para evitar a recuperação de dados e proteger sua confidencialidade.
Os investigadores podem seguir diferentes padrões conforme abaixo ao higienizar a mídia de destino:
ÿ Padrão Russo, GOST P50739-95 (6 passes): É um método de limpeza que escreve zeros em
a primeira passagem e, em seguida, bytes aleatórios na próxima passagem
ÿ (Alemão) VSITR (7 passagens): Este método sobrescreve em 6 passagens com sequências alternativas
de 0x00 e 0xFF, e com 00xAA na última (7ª) passagem
ÿ (Americano) NAVSO P-5239-26 (MFM) (3 passagens): Este é um algoritmo de substituição de três

passagens que verifica na última passagem


ÿ (Americano) DoD 5220.22-M (7 passagens): Este padrão destrói os dados na área necessária da unidade
substituindo por 010101 na primeira passagem, 101010 na segunda passagem e repetindo esse processo
três vezes. Esse método substitui essa área com caracteres aleatórios, que é a 7ª passagem.
ÿ (Americano) NAVSO P-5239-26 (RLL) (3 passagens): Este é um algoritmo de substituição de três passagens
que verifica na última passagem
NIST SP 800-88: A orientação NIST SP 800-88 proposta explica três métodos de sanitização-
ÿ Limpar: Técnicas lógicas aplicadas para limpar dados em todas as áreas de armazenamento usando os
comandos padrão de leitura e gravação
ÿ Expurgo: Envolve técnicas físicas ou lógicas para inviabilizar a recuperação dos dados de destino, usando
técnicas laboratoriais de ponta
ÿ Destroy: Possibilita a inviabilização da recuperação dos dados do alvo com o uso de técnicas laboratoriais de
ponta, o que resulta na impossibilidade de utilização da mídia para armazenamento de dados
O Instituto Nacional de Padrões e Tecnologia emitiu um conjunto de diretrizes conforme abaixo para ajudar as
organizações a sanear os dados para preservar a confidencialidade das informações.
ÿ A aplicação de controles de acesso complexos e criptografia pode reduzir as chances de um invasor obter
acesso direto a informações confidenciais
ÿ Uma organização pode dispor dos dados de mídia não tão úteis por meio interno ou externo
transferência ou por reciclagem para cumprir a sanitização de dados
ÿ Técnicas eficazes de higienização e rastreamento de mídia de armazenamento são cruciais para garantir
proteção de dados confidenciais por organizações contra invasores
ÿ Todas as organizações e intermediários são responsáveis por informações eficazes

gerenciamento e sanitização de dados
A destruição física da mídia envolve técnicas, como a trituração cruzada. Os departamentos podem destruir a mídia
no local ou por meio de terceiros que atendam aos padrões de confidencialidade.
Os investigadores devem considerar o tipo de mídia de destino que estão usando para copiar ou duplicar os dados e
selecionar um método de sanitização apropriado para garantir que nenhuma parte dos dados anteriores permaneça
na mídia de destino que armazenará os arquivos de evidência. A mídia anterior pode alterar as propriedades ou alterar
os dados e sua estrutura.


Passo 4: Adquira Dados Voláteis

ÿ A aquisição de dados voláteis envolve a coleta de dados que são perdidos quando o computador é desligado ou reiniciado
ÿ Esses dados geralmente correspondem a processos em execução, usuários logados, registros, DLLs, dados da área de transferência, arquivos abertos, etc.
Adquira dados voláteis de uma máquina Windows
ÿ Belkasoft Live RAM Capturer é uma ferramenta forense

que permite extrair todo o conteúdo da memória
volátil de um computador
ÿ Salva os arquivos de imagem no formato .mem
Observação: ao realizar a aquisição ao vivo, o investigador deve estar

ciente do fato de que trabalhar em um sistema ativo pode alterar o
conteúdo da RAM ou os processos em execução no sistema. Qualquer
ação involuntária executada no sistema pode tornar o sistema inacessível.
https:// belkasoft.com
Passo 4: Adquira Dados Voláteis
Como o conteúdo da RAM e outros dados voláteis são dinâmicos, os investigadores precisam ter cuidado ao
adquirir esses dados. Trabalhar em um sistema ativo pode alterar o conteúdo da RAM ou os processos em
execução no sistema. Qualquer ação involuntária pode alterar datas e horários de acesso a arquivos, usar
bibliotecas compartilhadas ou DLLs, acionar a execução de malware ou, no pior dos casos, forçar uma
reinicialização, tornando o sistema inacessível. Portanto, o exame de um sistema ativo e a aquisição de dados
voláteis devem ser conduzidos com cuidado. Enquanto a maioria dos dados voláteis são recuperados examinando
o sistema ativo, aproximadamente a mesma quantidade de dados pode ser obtida examinando a imagem
adquirida da memória do sistema. As seções a seguir descrevem como adquirir dados voláteis de sistemas
Windows, Linux e Mac.
Adquira dados voláteis de uma máquina Windows
Ferramentas forenses como o Belkasoft Live RAM Capturer podem ser usadas para extrair todo o conteúdo da
memória volátil do computador. Esta ferramenta salva os arquivos de imagem no formato .mem.
Belkasoft Live RAM Capturer
Fonte: https:// belkasoft.com
O Belkasoft Live RAM Capturer é uma ferramenta forense de código aberto que permite a extração confiável de
todo o conteúdo da memória volátil do computador, mesmo se protegida por um sistema anti-depuração ou anti-
dumping ativo. Compilações separadas de 32 bits e 64 bits estão disponíveis para minimizar a pegada da
ferramenta. Despejos de memória capturados com Belkasoft Live RAM Capturer podem ser analisados com Live
RAM Analysis usando o software Belkasoft Evidence Center. O Belkasoft Live RAM Capturer é compatível com
todas as versões e edições do Windows, incluindo XP, Vista, Windows 7, 8 e 10, 2003 e 2008 Server.


Figura 4.3: Capturando RAM de uma máquina
Observação: ao realizar a aquisição ao vivo, o investigador deve estar ciente do fato de que
trabalhar em um sistema ativo pode alterar o conteúdo da RAM ou os processos em execução
no sistema. Qualquer ação involuntária executada no sistema pode tornar o sistema inacessível.


Etapa 5: ativar a proteção contra

gravação na mídia de evidência
ÿ É necessário proteger contra gravação a unidade suspeita usando bloqueadores de
gravação para preservar e proteger as evidências contidas nela
ÿ Um bloqueador de gravação é um dispositivo de hardware ou aplicativo de software que

permite a aquisição de dados da mídia de armazenamento sem alterar seu conteúdo
ÿ Bloqueia comandos de gravação, permitindo assim acesso somente leitura à mídia

de armazenamento
ÿ Se o bloqueador de gravação de hardware for usado:
• Instale um dispositivo bloqueador de gravação
• Inicialize o sistema com o sistema operacional controlado pelo examinador
• Exemplos de dispositivos de hardware: CRU® WiebeTech® USB WriteBlocker ,

Tableau Forensic Bridges, etc.
ÿ Se o bloqueador de gravação de software for usado:
• Inicialize o sistema com o sistema operacional controlado pelo examinador
• Ativar proteção contra gravação
• Exemplos de aplicativos de software: SAFE Block, MacForensicsLab Write Controller,

etc.
Etapa 5: ativar a proteção contra gravação na mídia de evidência
A proteção contra gravação refere-se a uma ou mais medidas que impedem que uma mídia de armazenamento seja
gravada ou modificada. Ele pode ser implementado por um dispositivo de hardware ou por um programa de software no
computador que acessa a mídia de armazenamento. A ativação da proteção contra gravação permite que os dados sejam
lidos, mas proíbe a gravação ou modificação.
No contexto da aquisição de dados forenses, a mídia de evidência - que se refere ao armazenamento no dispositivo
original do qual os dados devem ser copiados para um dispositivo de armazenamento separado - deve ser protegida
contra gravação para protegê-la de modificações.
A proteção contra gravação é importante porque os investigadores forenses devem estar confiantes sobre a integridade
das evidências que obtêm durante a aquisição, análise e gerenciamento. As provas devem ser legítimas para serem
aceitas pelas autoridades do tribunal.
Portanto, o investigador precisa implementar um conjunto de procedimentos para impedir a execução de qualquer
programa que possa alterar o conteúdo do disco.
A seguir, algumas medidas que fornecem mecanismos de defesa contra alterações:
ÿ Defina um jumper de hardware para tornar o disco somente leitura
ÿ Use sistema operacional e software que não podem gravar no disco, a menos que instruído
ÿ Empregar uma ferramenta de bloco de gravação de disco rígido para proteger contra gravações de disco


Ferramentas de bloqueio de gravação de hardware e software fornecem acesso somente leitura a discos rígidos e outros dispositivos de
armazenamento sem comprometer sua segurança. As principais diferenças entre essas soluções surgem durante as etapas de instalação e uso.
ÿ
Se o bloqueador de gravação de hardware for usado:
o Instale um dispositivo bloqueador de gravação
o Inicialize o sistema com o sistema operacional controlado pelo examinador
o Exemplos de dispositivos de hardware: CRU® WiebeTech® USB WriteBlocker™, Tableau Forensic USB Bridge, etc.
ÿ
Se o bloqueador de gravação de software for usado:
o Inicialize o sistema com o sistema operacional controlado pelo examinador
o Ativar proteção contra gravação
o Exemplos de aplicativos de software: SAFE Block, MacForensicsLab Write Controller,

etc.


Passo 6: Adquira Não Volátil

Dados
Os dados não voláteis podem ser adquiridos tanto na aquisição ao vivo
01 quanto na aquisição morta. Envolve principalmente a aquisição de

dados de um disco rígido.
Não há diferença significativa na quantidade de dados adquiridos de
02 um disco rígido entre os métodos de aquisição ativos e inativos
A aquisição ao vivo de um disco rígido é realizada usando

ferramentas de aquisição remota (por exemplo, netcat) e CDs ou USBs
inicializáveis (por exemplo, CAINE); enquanto a aquisição morta envolve
03 remover o disco rígido da unidade suspeita, conectá-lo a uma estação de
trabalho forense, bloquear a gravação do disco rígido e executar uma
ferramenta de aquisição forense no disco
Etapa 6: adquirir dados não voláteis
Os dados não voláteis podem ser adquiridos de um disco rígido durante os processos de aquisição ativos e inativos.
Os investigadores podem usar ferramentas de aquisição remota, como Netcat, ou CDs ou USBs inicializáveis por meio de
ferramentas como CAINE para realizar a aquisição ao vivo de um disco rígido.
O processo de aquisição de mortos pode ser realizado através das seguintes etapas:
ÿ Remova o disco rígido da unidade suspeita
ÿ Conecte-o a uma estação de trabalho forense para realizar a aquisição
ÿ Bloqueie o disco rígido para garantir que ele forneça apenas acesso somente leitura ao disco rígido e evite qualquer
modificação ou adulteração de seu conteúdo
ÿ Executar qualquer ferramenta de aquisição forense adequada para fins de aquisição/coleta de dados


Etapa 6: Adquira dados não voláteis (usando um Windows

Estação de trabalho forense)
ÿ Para adquirir a imagem forense de um disco rígido durante a aquisição inativa, remova o disco rígido, conecte-o a um
estação de trabalho, habilite o bloqueador de gravação e execute uma ferramenta de imagem forense (por exemplo, AccessData FTK Imager) na
estação de trabalho ÿ AccessData FTK Imager é um programa de imagem de disco que pode visualizar dados recuperáveis de um disco de qualquer tipo e também
criar cópias, chamadas imagens forenses, desses dados
http:// accessdata.com
Etapa 6: Adquirir dados não voláteis (usando uma estação de trabalho forense do Windows)
Para adquirir uma imagem forense de um disco rígido durante a aquisição inoperante, os investigadores precisam remover
o disco rígido, conectá-lo a uma estação de trabalho forense, habilitar um bloqueador de gravação e executar uma
ferramenta de imagem forense como o AccessData FTK Imager na estação de trabalho.
AccessData FTK Imager
Fonte: https:// accessdata.com
FTK Imager é uma ferramenta de visualização e imagem de dados. Ele também pode criar cópias perfeitas (imagens
forenses) de dados de computador sem fazer alterações na evidência original.
Recursos
ÿ Crie imagens forenses de discos rígidos locais, CDs e DVDs, pen drives ou outros dispositivos USB, pastas inteiras
ou arquivos individuais de vários locais na mídia
ÿ Permite visualizar arquivos e pastas em discos rígidos locais, unidades de rede, CDs e DVDs,
pen drives ou outros dispositivos USB
ÿ Permite visualizar o conteúdo de imagens forenses armazenadas em uma máquina local ou

unidade de rede
ÿ Permite montar uma imagem para uma exibição somente leitura que aproveita o Windows Internet
Explorer para exibir o conteúdo da imagem exatamente como o usuário a viu na unidade original
ÿ Exporta arquivos e pastas de imagens forenses
ÿ Recupera arquivos que foram excluídos da Lixeira, mas ainda não foram
substituído na unidade


ÿ Cria hashes de arquivos para verificar a integridade dos dados usando uma das duas funções de
hash disponíveis no FTK Imager: Message Digest 5 (MD5) e Secure Hash Algorithm
(SHA-1)
Figura 4.4: Selecionando o diretório de destino para armazenar o arquivo de imagem
Figura 4.5: Imagem criada com sucesso


Passo 7: Plano de Contingência

ÿ Os investigadores devem se preparar para contingências, como quando o hardware ou software não funciona,
ou ocorre uma falha durante a aquisição
Aquisição de Dados do Disco Rígido X-Ways Forense Primeira cópia de

Evidências Digitais
Os investigadores devem criar pelo menos duas imagens das
evidências digitais coletadas, a fim de preservá-las. Se uma cópia da
evidência digital recuperada for corrompida, os investigadores poderão usar a
Segunda cópia de
outra cópia. Evidências Digitais
Forense Pro-Discover Evidências Digitais
Ferramentas de imagem
Evidência de imagem Primeira cópia de
Se você possui mais de uma ferramenta de imagem, como Pro
Evidências Digitais
DiscoverForensics ou AccessData FTK Imager, é recomendável
criar a primeira imagem com uma ferramenta e a segunda imagem com
a outra ferramenta. Caso possua apenas uma ferramenta, faça duas ou mais
Segunda cópia de
imagens do drive utilizando a mesma ferramenta. Evidências Digitais Evidência de imagem Evidências Digitais
Etapa 7: Plano de contingência (continuação)
Ferramenta de Aquisição de Hardware Descriptografia da unidade
Considere o uso de uma ferramenta de aquisição de Esteja preparado para lidar com unidades criptografadas
hardware (como UFED Ultimate ou IM SOLO-4 G3 IT que precisam que o usuário forneça a chave de
RUGGEDIZED) que pode acessar a unidade descriptografia para descriptografar. A Microsoft inclui
no nível do BIOS para copiar dados no Host um recurso de criptografia de disco completo (BitLocker)
Área Protegida (HPA) com edições selecionadas do Windows Vista e posteriores.
Acessando o Drive
no nível do BIOS
Chave de descriptografia
hardware
Disco rígido
Ferramenta de Aquisição
Unidade Criptografada Unidade descriptografada
Passo 7: Plano de Contingência
Na investigação forense digital, o planejamento de contingência refere-se a um programa de backup que um

investigador deve ter caso determinado hardware ou software não funcione ou ocorra uma falha durante uma
aquisição. O planejamento de contingência é necessário para todas as investigações cibernéticas, pois
auxilia os investigadores na preparação para eventos inesperados. Especificamente, é um processo que ajuda na


concluir o processo de investigação, fornecendo soluções alternativas para as ferramentas de software ou hardware com falha.
Os planos de contingência devem incluir:
ÿ Aquisição de Dados do Disco Rígido
Os investigadores devem criar pelo menos duas imagens das evidências digitais coletadas, a fim de preservá-las.
Se uma cópia da evidência digital recuperada for corrompida, os investigadores poderão usar a outra cópia.
Figura 4.6: Aquisição de dados do disco rígido
ÿ Ferramentas de Imagem
Se você possui mais de uma ferramenta de imagem, como Pro-DiscoverForensics ou AccessData FTK Imager, é
recomendável criar a primeira imagem com uma ferramenta e a segunda imagem com a outra ferramenta. Caso
possua apenas uma ferramenta, faça duas ou mais imagens do drive utilizando a mesma ferramenta.
Figura 4.7: Aquisição de dados usando ferramentas de imagem
ÿ Ferramentas de Aquisição de Hardware
Considere o uso de uma ferramenta de aquisição de hardware (como UFED Ultimate ou IM SOLO-4 G3 IT
RUGGEDIZED) que pode acessar a unidade no nível do BIOS para copiar dados no Host
Área Protegida (HPA)
Figura 4.8: Aquisição de dados usando a ferramenta de aquisição de hardware


ÿ Descriptografia de Unidade
Esteja preparado para lidar com unidades criptografadas que precisam que o usuário forneça a chave de descriptografia
para descriptografar. A Microsoft inclui um recurso de criptografia de disco completo (BitLocker) com edições selecionadas
do Windows Vista e posteriores.
Figura 4.9: Descriptografia da unidade


Etapa 8: validar os dados

Aquisição
A validação da aquisição de dados envolve o cálculo do valor de hash da

mídia de destino e a comparação com sua contraparte forense para garantir
que os dados sejam completamente adquiridos
O número único (valor de hash) é referido como uma “impressão

digital”
Como os valores de hash são únicos, se dois arquivos tiverem o mesmo

valor de hash, eles serão 100% idênticos, mesmo que os nomes dos arquivos
sejam diferentes
Algoritmos utilitários que produzem valores de hash incluem CRC-32,

MD5, SHA-1 e SHA-256
Etapa 8: validar a aquisição de dados
Um aspecto importante da computação forense é a validação de evidências digitais. Isso é essencial para verificar a
integridade dos dados. A validação da aquisição de dados envolve calcular o valor de hash da mídia de destino e compará-
la com sua contraparte forense para garantir que os dados foram completamente adquiridos.
O número exclusivo (valor de hash) é chamado de impressão digital, que representa a exclusividade de um arquivo ou
unidade de disco. Quando dois arquivos têm os mesmos valores de hash, eles são considerados idênticos, mesmo que
tenham nomes de arquivo diferentes, pois os valores de hash são gerados com base em seu conteúdo real. Mesmo uma
pequena modificação no conteúdo de um arquivo altera completamente seu valor de hash. Além disso, um hash é uma
função unidirecional, o que implica que a descriptografia é impossível sem uma chave.
A seguir estão alguns algoritmos de hash que podem ser usados para validar os dados adquiridos:
ÿ CRC-32: O algoritmo de código de redundância cíclica-32 é uma função hash baseada na ideia de divisão polinomial.
O número 32 indica que o tamanho do valor de hash ou soma de verificação resultante é de 32 bits. A soma de
verificação identifica erros após a transmissão ou armazenamento de dados.
ÿ MD5: Este é um algoritmo usado para verificar a integridade dos dados criando um resumo de mensagem de 128 bits
a partir da entrada de dados de qualquer tamanho. Cada valor de hash MD5 é exclusivo para essa entrada de
dados específica.
ÿ SHA-1: Secure Hash Algorithm-1 é uma função hash criptográfica desenvolvida pela Agência de Segurança Nacional
dos Estados Unidos e é um Padrão de Processamento de Informações Federais dos EUA emitido pelo NIST. Ele
cria um valor de hash de 160 bits (20 bytes) chamado resumo de mensagem. Esse valor de hash é um número
hexadecimal de 40 dígitos.


ÿ SHA-256: Este é um algoritmo de hash criptográfico que cria um hash único e de tamanho
fixo de 256 bits (32 bytes). Portanto, é ideal para tecnologias anti-adulteração, validação
de senha, assinaturas digitais e autenticação de hash de desafio.


Etapa 8: validar a aquisição de dados – métodos de validação do Windows

ÿ Os computadores Windows vêm com o utilitário PowerShell , que tem a capacidade de executar o cmdlet ÿ O
cmdlet Get-FileHash calcula o valor de hash para um arquivo de evidência usando o algoritmo de hash especificado ÿ Esse valor de hash é
usado em toda a investigação para validar a integridade do evidência ÿ Os investigadores também podem usar programas forenses comerciais
de computador, que possuem recursos de validação integrados que podem

ser usado para validar os arquivos de evidência
ÿ Por exemplo:
ÿ Os arquivos .eve do ProDiscover contêm metadados em

arquivos segmentados ou arquivos de aquisição, incluindo o
valor de hash para a mídia original
ÿ Quando você carrega a imagem no ProDiscover, ele compara o valor

de hash desta imagem com o valor de hash da mídia original
ÿ Caso os hashes não coincidam, a ferramenta notifica que a

imagem está corrompida, dando a entender que a prova não
pode ser considerada confiável
Observação: na maioria das ferramentas forenses de computador, os arquivos de imagem em formato bruto não contêm metadados. Para aquisições brutas, portanto,
uma validação manual separada é recomendada durante a análise.
Etapa 8: validar a aquisição de dados - métodos de validação do Windows
ÿ Os computadores Windows vêm com o utilitário PowerShell, que tem a capacidade de executar o cmdlet
ÿ O cmdlet Get-FileHash calcula o valor de hash para um arquivo de evidência usando o

algoritmo de hash especificado
ÿ Este valor de hash é usado durante toda a investigação para validar a integridade do
evidência
Figura 4.10: Calculando o valor do hash
ÿ Os investigadores também podem usar programas forenses comerciais de computador, que possuem recursos de
validação integrados que podem ser usados para validar os arquivos de evidências
ÿ Por exemplo:
o Os arquivos .eve do ProDiscover contêm metadados em arquivos segmentados ou arquivos de aquisição,

incluindo o valor de hash para a mídia original


o Quando você carrega a imagem no ProDiscover, ele compara o valor de hash desta imagem com o valor de
hash da mídia original
o Se os hashes não coincidirem, a ferramenta notifica que a imagem está corrompida, dando a entender que
a evidência não pode ser considerada confiável
Observação: na maioria das ferramentas forenses de computador, os arquivos de imagem em formato bruto não
contêm metadados. Para aquisições brutas, portanto, uma validação manual separada é recomendada durante a análise.


Resumo do Módulo
Este módulo discutiu os fundamentos de aquisição de dados
Ele discutiu os diferentes tipos de aquisição de dados
Também discutiu em detalhes o formato de aquisição de dados
Finalmente, este módulo terminou com uma

discussão detalhada sobre a metodologia de aquisição de dados
No próximo módulo, discutiremos em detalhes como

derrotar técnicas anti-forenses
Resumo do Módulo
Este módulo discutiu os fundamentos da aquisição de dados. Explicou os diferentes tipos de aquisição
de dados e discutiu em detalhes os formatos de aquisição de dados. Finalmente, este módulo
apresentou uma discussão detalhada sobre a metodologia de aquisição de dados.
No próximo módulo, discutiremos em detalhes as contramedidas para derrotar as técnicas anti-forenses.

MT
EC-Council
CE-Conselho
D FE
Digital
Digital
Módulo 05
Derrotando Técnicas Anti-Forenses

Derrotando técnicas anti-forense
1 Compreendendo as técnicas anti-forenses
2 Compreendendo a exclusão de dados e a análise forense da lixeira
Visão geral das técnicas de gravação de arquivo e maneiras de recuperar evidências de

3 Partições Excluídas
4 Compreendendo as técnicas de cracking/bypassing de senha
Entendendo como detectar esteganografia, dados ocultos no sistema de arquivos

5 Estruturas e Ofuscação de Trilhas
Compreendendo as técnicas de limpeza de artefatos, dados sobrescritos/

6 Detecção de metadados e criptografia
7 Visão geral das contramedidas e ferramentas antiforenses
Depois de comprometer um sistema, os invasores geralmente tentam destruir ou ocultar todos os vestígios de suas
atividades; isso torna a investigação forense extremamente desafiadora para os investigadores. O uso de várias
técnicas por cibercriminosos para destruir ou ocultar vestígios de atividades ilegais e dificultar os processos de
investigação forense é chamado de antiforense. Os investigadores forenses precisam superar/derrotar os anti-forenses
para que uma investigação produza evidências concretas e precisas que ajudem a identificar e processar os
perpetradores.
Este módulo descreve os fundamentos das técnicas anti-forenses e discute detalhadamente como os investigadores
forenses podem derrotá-los usando várias ferramentas.
ÿ Compreender as técnicas anti-forenses
ÿ Discutir exclusão de dados e análise forense da Lixeira
ÿ Ilustrar técnicas de escultura de arquivo e maneiras de recuperar evidências de partições excluídas
ÿ Explorar as técnicas de cracking/bypass de senha
ÿ Detecte esteganografia, dados ocultos em estruturas do sistema de arquivos e ofuscação de trilhas
ÿ Compreender as técnicas de limpeza de artefatos, detecção de dados/metadados sobrescritos e

criptografia
ÿ Compreender as contramedidas anti-forenses e as ferramentas anti-forenses


Fluxo do módulo
1 2
Entenda o Anti-Forense e Discutir Anti-forense
suas Técnicas Contramedidas
Entenda o Anti-Forense e suas Técnicas

Conforme discutido anteriormente, as técnicas anti-forense são usadas por cibercriminosos para
complicar ou impedir a investigação forense adequada. Os cibercriminosos empregam essas técnicas
para tornar a coleta de evidências extremamente difícil e comprometer a precisão de um relatório forense.
Esta seção apresenta uma visão geral do anti-forense e lista várias técnicas anti-forenses usadas pelos
invasores.


O que é Anti-forense?
Anti-forense (também conhecido como contra-forense) é um termo comum para um conjunto de técnicas destinadas a
complicar ou impedir um processo de investigação forense adequado
Objetivos da Anti-forense
ÿ Interromper e impedir a coleta de informações
ÿ Dificulta a tarefa do investigador de encontrar evidências
ÿ Ocultar vestígios de crime ou atividade ilegal
ÿ Comprometer a precisão de um relatório forense ou testemunho
ÿ Excluir evidências de que uma ferramenta anti-forense foi executada
O que é Anti-forense?
Anti-forense, também conhecido como contra-forense, é um conjunto de técnicas que invasores ou perpetradores usam
para evitar ou desviar o processo de investigação forense ou tentar torná-lo muito mais difícil. Essas técnicas afetam
negativamente a quantidade e a qualidade das evidências da cena do crime, dificultando o processo de investigação
forense.
Portanto, o investigador pode ter que executar etapas adicionais para buscar os dados, causando um atraso no
processo de investigação.
Os objetivos da anti-forense estão listados abaixo:
ÿ Interromper e impedir a recolha de informação
ÿ Dificultar a tarefa do investigador de encontrar provas
ÿ Ocultar vestígios de crime ou atividade ilícita
ÿ Comprometer a exatidão de um relatório ou testemunho forense
ÿ Excluir evidências de que uma ferramenta anti-forense foi executada


Técnicas Anti-Forenses
1 Exclusão de dados/arquivos 7 Sobrescrevendo Dados/Metadados
2 Proteção de senha 8 Criptografia
3 Esteganografia 9 Empacotadores de programas
4 Ocultação de dados em estruturas de sistema de arquivos 10 Minimização da Pegada
5 Ofuscação de trilha 11 Explorando bugs de ferramentas forenses
6 Limpeza de Artefatos 12 Detecção de atividades de ferramentas forenses
Técnicas Anti-Forenses
Técnicas anti-forenses são as ações e métodos que impedem o processo de investigação forense, a fim de proteger os atacantes
e perpetradores de processos judiciais em um tribunal.
Essas técnicas agem contra o processo de investigação, como detecção, coleta e análise de arquivos de evidências e desviam os
investigadores forenses. Essas técnicas impactam na qualidade e quantidade das evidências de uma cena de crime, dificultando
assim a análise e investigação. Técnicas anti-forenses, que incluem processos de exclusão e substituição, também ajudam a
garantir a confidencialidade dos dados, reduzindo a capacidade de lê-los.
Os invasores usam essas técnicas para se defender contra a revelação de suas ações durante atividades criminosas. Funcionários
fraudulentos podem usar ferramentas anti-forenses para a destruição de dados que podem causar grandes prejuízos à organização.
Abaixo estão os tipos de técnicas anti-forenses:
1. Exclusão de dados/arquivos 7. Sobrescrevendo Dados/Metadados
2. Proteção por senha 8. Criptografia
3. Esteganografia 9. Empacotadores de programas
4. Ocultação de dados em estruturas de sistema de arquivos 10. Minimização da Pegada
5. Ofuscação de trilha 11. Explorando bugs de ferramentas forenses
6. Limpeza de artefatos 12. Detecção de atividades de ferramentas forenses


Técnica anti-forense:
Exclusão de dados/arquivos
Quando um arquivo é excluído do disco rígido, o ponteiro para o

arquivo é excluído , mas o conteúdo do arquivo permanece no disco
Em outras palavras, os arquivos excluídos podem

ser recuperados do disco rígido até que os setores
que contêm o conteúdo do arquivo sejam substituídos

pelos novos dados
Ferramentas de recuperação de dados como Autopsy, Recover My Files,

O EaseUS Data Recovery Wizard Pro e o R-Studio podem ser usados
para recuperar arquivos/pastas excluídos
Técnica anti-forense: exclusão de dados/arquivos
Quando um arquivo é excluído do disco rígido, o ponteiro para o arquivo é removido pelo sistema operacional e os
setores que contêm os dados excluídos são marcados como disponíveis, o que significa que o conteúdo dos
dados excluídos permanece no disco rígido até que sejam substituídos por novos dados. Os investigadores
forenses usam ferramentas de recuperação de dados, como Autopsy, Recover My Files, EaseUS Data Recovery
Wizard Pro, R-Studio, etc., para escanear o disco rígido e analisar o sistema de arquivos para uma recuperação
de dados bem-sucedida.


O que acontece quando um arquivo é excluído no Windows?
Sistema de arquivos FAT Sistema de arquivos NTFS
ÿ O SO substitui a primeira letra de um ÿ Quando um usuário exclui um arquivo, o SO apenas

nome do arquivo excluído com um código de byte hexadecimal: marca a entrada do arquivo como não alocada, mas não
E5h exclui o conteúdo real do arquivo
ÿ Os clusters alocados para o arquivo excluído são marcados

ÿ E5h é uma tag especial que indica que
como livres no $BitMap (o arquivo $BitMap é um registro
o arquivo foi deletado
de todos os clusters usados e não usados)
ÿ O cluster correspondente desse arquivo em ÿ O computador agora percebe aqueles vazios
FAT é marcado como não utilizado, agrupa e aproveita esse espaço para armazenar um
embora continue a conter as informações até novo arquivo
está sobrescrito ÿ O arquivo excluído pode ser recuperado se o espaço

não for alocado para nenhum outro arquivo
Nota: Em um sistema Windows, executar a operação normal de exclusão envia os arquivos para a Lixeira. Considerando que
executar a operação Shift+Delete ignora a Lixeira.
O que acontece quando um arquivo é excluído no Windows?
Quando qualquer usuário exclui um arquivo, o sistema operacional na verdade não exclui o arquivo, mas marca a entrada do
arquivo como não alocada na tabela mestre de arquivos (MFT) e aloca um caractere especial. Este caractere indica que o
espaço agora está pronto para uso.
No sistema de arquivos FAT, o sistema operacional substitui a primeira letra de um nome de arquivo excluído por um código de
byte hexadecimal, E5h. E5h é uma tag especial que indica um arquivo excluído. O sistema de arquivos FAT marca os clusters
correspondentes desse arquivo como não utilizados, embora não estejam vazios.
No sistema de arquivos NTFS, quando um usuário exclui um arquivo, o sistema operacional apenas marca a entrada do arquivo
como não alocada, mas não exclui o conteúdo real do arquivo. Os clusters alocados para o arquivo excluído são marcados
como livres no $BitMap (o arquivo $BitMap é um registro de todos os clusters usados e não usados). O computador agora
percebe esses clusters vazios e aproveita esse espaço para armazenar um novo arquivo. O arquivo excluído pode ser
recuperado se o espaço não for alocado para nenhum outro arquivo. Em um sistema Windows, executar a operação normal de
exclusão envia os arquivos para a Lixeira. Considerando que executar a operação Shift+Delete ignora a Lixeira.


Lixeira no Windows
A Lixeira é um local de armazenamento temporário para
01 arquivos excluídos
O arquivo permanece na Lixeira até que você esvazie

02 a Lixeira ou restaure o arquivo
Os itens podem ser restaurados para suas posições
03 originais com a ajuda da opção Restaurar todos os itens

da Lixeira
Nota: Excluir um arquivo ou pasta de uma unidade de rede ou de uma unidade USB pode excluí-los permanentemente em vez de serem armazenados na Lixeira
Lixeira no Windows (continuação)
O local de armazenamento da Lixeira depende do tipo de sistema operacional e sistema de arquivos
ÿ Local de armazenamento da Lixeira em sistemas de arquivos FAT: • Em

sistemas de arquivos FAT mais antigos (Windows 98 e anteriores), está localizado em Drive:\RECYCLED
ÿ Local de armazenamento da Lixeira em sistemas de arquivos NTFS:
• No Windows 2000, NT e XP, ele está localizado em Drive:\RECYCLER\<SID>
• No Windows Vista e versões posteriores, ele está localizado em Drive:\$Recycle.Bin\<SID> https:// www.copyright.gov


Lixeira no Windows
(continua)
Quando um arquivo é excluído, o caminho completo do arquivo e

seu nome são armazenados em um arquivo oculto chamado INFO2
01 (no Windows 98) na pasta Reciclado. Essas informações são

usadas para restaurar os arquivos excluídos em seus locais originais.
Antes do Windows Vista, um arquivo na Lixeira era armazenado em

seu local físico e renomeado usando a sintaxe: D<letra da unidade
02 original do arquivo><#>.<extensão original>
ÿ “D” denota que um arquivo foi excluído
Exemplo:
03 De7.doc = (Arquivo deletado da unidade E:, é o “oitavo” arquivo recebido

pela lixeira, e é um arquivo “doc”)
Lixeira no Windows (continuação)

No Windows Vista e versões posteriores, o arquivo excluído é renomeado usando a sintaxe:
$R<#>.<extensão original>, onde <#> representa um conjunto de letras e números aleatórios
Ao mesmo tempo, um arquivo de metadados correspondente é criado, denominado como:
$I<#>.<extensão original>, onde <#> representa um conjunto de letras e números aleatórios, o

mesmo usado para $R
Os arquivos $R e $I estão localizados em C:\$Recycle.Bin\<USER SID>\
O arquivo $I contém os seguintes metadados:
ÿ Nome do arquivo original ÿ
Tamanho do arquivo original
ÿ A data e hora em que o arquivo foi excluído
Lixeira no Windows
A Lixeira armazena temporariamente os arquivos excluídos. Quando um usuário exclui um item, ele é enviado
para a Lixeira. No entanto, ele não armazena itens excluídos de mídia removível, como uma unidade USB ou
unidade de rede.


Os itens presentes na Lixeira ainda consomem espaço no disco rígido e são fáceis de restaurar. Os usuários podem usar a opção de
restauração na Lixeira para recuperar arquivos excluídos e enviá-los de volta ao local original.
Mesmo que os arquivos sejam excluídos da Lixeira, eles continuam a consumir espaço no disco rígido até que os locais sejam substituídos
pelo sistema operacional com novos dados.
Figura 5.1: janela da lixeira
Quando a Lixeira fica cheia, o Windows exclui automaticamente os itens mais antigos. O sistema operacional Windows atribui um espaço
específico em cada partição do disco rígido para armazenar arquivos na Lixeira. O sistema não armazena itens maiores na Lixeira; em vez
disso, ele os exclui permanentemente.
A seguir estão as etapas para alterar a capacidade de armazenamento da Lixeira:
1. Na área de trabalho, clique com o botão direito do mouse no ícone da Lixeira e selecione “Propriedades”
2. Clique no local da Lixeira que precisa ser alterado, em Localização da Lixeira

(provável unidade C)
3. Clique em “Tamanho personalizado” e insira um tamanho máximo de armazenamento (em MB) para a Lixeira na caixa “ Tamanho
máximo (MB)”
4. Clique em OK


Figura 5.2: Configurando as propriedades da Lixeira
A seguir estão as etapas para excluir ou restaurar arquivos na Lixeira:
Abra a Lixeira para executar as operações de exclusão ou restauração.
1. Para restaurar um arquivo, clique com o botão direito do mouse no ícone do arquivo e selecione Restaurar
2. Para restaurar todos os arquivos, selecione Todos, vá para Gerenciar e clique em Restaurar os itens selecionados
3. Para excluir um arquivo, clique com o botão direito do mouse no ícone do arquivo e selecione Excluir
4. Para excluir todos os arquivos, existem dois métodos:
ÿ Selecione Todos, clique com o botão direito do mouse e selecione a opção Excluir
ÿ Vá para a opção Gerenciar na barra de ferramentas e clique em Esvaziar Lixeira
o Ambos os métodos mostram uma janela pop-up para confirmar a exclusão permanente dos itens.
Clique em Sim.
Local de armazenamento da Lixeira no sistema de arquivos FAT: O sistema de arquivos FAT mais antigo, usado no Windows
98 e versões anteriores, armazenava os arquivos excluídos na pasta Drive:\RECYCLED .
Local de armazenamento da Lixeira no sistema de arquivos NTFS:
ÿ No Windows 2000, NT e XP, está localizado em Drive:\RECYCLER\<SID>
ÿ No Windows Vista e versões posteriores, está localizado em Drive:\$Recycle.Bin\<SID>


Não há limite de tamanho para a Lixeira no Vista e versões posteriores do Windows, enquanto as versões mais antigas
tinham um limite máximo de 3,99 GB. A Lixeira não pode armazenar itens maiores que sua capacidade de armazenamento.
Quando um usuário exclui um arquivo ou pasta, o Windows armazena todos os detalhes do arquivo, como seu nome e o
caminho onde foi armazenado, no INFO2, que é um arquivo oculto encontrado na Lixeira.
O sistema operacional usa essas informações para restaurar o arquivo excluído ao seu local original. A pasta oculta Recycled
contém arquivos excluídos de uma máquina Windows.
Nas versões anteriores do Windows, os arquivos excluídos eram renomeados pelo sistema operacional usando o
seguinte formato:
D<letra da unidade original do arquivo><#>.<extensão original>

Por exemplo, no caso de um arquivo Dxy.ext na pasta Reciclado, “x” denota o nome da unidade, como “C”, “D” e outros; “y”
denota o número sequencial a partir de um; e “ext” é a extensão do arquivo original.
No Windows Vista e versões posteriores, os arquivos excluídos são renomeados pelo sistema operacional usando
o seguinte formato:
$R<#>.<extensão original>, onde <#> representa um conjunto de letras e números aleatórios
Ao mesmo tempo, um arquivo de metadados correspondente é criado, denominado como:
$I<#>.<extensão original>, onde <#> representa um conjunto de letras e números aleatórios igual
ao usado para $R
Os arquivos $R e $I estão localizados em C:\$Recycle.Bin\<USER SID>\
O arquivo $I contém os seguintes metadados:
ÿ Nome do arquivo original
ÿ Tamanho do arquivo original
ÿ A data e hora em que o arquivo foi excluído
Nas versões do Windows mais recentes que o Vista e XP, o sistema operacional armazena o caminho completo e o nome
do arquivo ou pasta em um arquivo oculto chamado INFO2. Este arquivo permanece dentro da pasta Reciclado ou Reciclador
e armazena informações sobre os arquivos excluídos.
INFO2 é o arquivo de banco de dados mestre e é muito crucial para a recuperação de dados. Ele contém vários detalhes
de arquivos excluídos, como nome do arquivo original, tamanho do arquivo original, data e hora da exclusão, número de
identificação exclusivo e o número da unidade na qual o arquivo foi armazenado.


Perícia Forense da Lixeira

ÿ Os arquivos originais pertencentes aos arquivos $I não são
visíveis na pasta Lixeira quando,
ÿ
O arquivo $I está corrompido ou danificado
ÿ O invasor/interno exclui arquivos $I da Lixeira
ÿ Durante a investigação forense, o investigador deve verificar os

arquivos $R no diretório da Lixeira para combater a técnica
anti-forense usada pelo invasor
1 Diretório da Lixeira exibindo os arquivos $I e $R

2 A pasta Lixeira contém apenas arquivos com dados $I
Perícia Forense da Lixeira (continuação)

Se os arquivos de metadados relacionados aos arquivos originais
não estiverem presentes na pasta, o investigador pode usar o
comando 'copiar' para recuperar os arquivos excluídos (arquivos $R )
Comando:
copie <$R*(ou nome do arquivo)> <Diretório de destino>
3 Comando para copiar dados da Lixeira
Caso os metadados da Lixeira sejam perdidos ou os dados

sejam ocultados intencionalmente pelo criminoso, o investigador
pode seguir as etapas acima para recuperar os arquivos
excluídos da Lixeira para análise posterior
4 dados recuperados
Perícia Forense da Lixeira

ÿ Os arquivos originais pertencentes aos arquivos $I não são visíveis na pasta Lixeira quando,
o O arquivo $I está corrompido ou danificado
o O invasor/interno exclui os arquivos $I da Lixeira


ÿ Durante a investigação forense, o investigador deve verificar os arquivos $R na Reciclagem

Diretório bin para combater a técnica anti-forense usada pelo invasor
Figura 5.3: Diretório da Lixeira exibindo os arquivos $I e $R
Figura 5.4: A pasta Lixeira contém apenas arquivos com dados $I


ÿ
Se os arquivos de metadados relacionados aos arquivos originais não estiverem presentes na pasta, o
investigador pode usar o comando 'copiar' para recuperar os arquivos excluídos (arquivos $R)
Comando:
copie <$R*(ou nome do arquivo)> <Diretório de destino>
Figura 5.5: Comando para copiar dados da Lixeira
Figura 5.6: Dados recuperados
ÿ
Caso os metadados da Lixeira sejam perdidos ou os dados sejam ocultados intencionalmente pelo
criminoso, o investigador pode seguir as etapas acima para recuperar os arquivos excluídos do
Lixeira para análise posterior


arquivo de escultura
ÿ É uma técnica para recuperar arquivos e fragmentos de arquivos do disco rígido na ausência de metadados do sistema de arquivos
ÿ Nesta técnica, a identificação e extração do arquivo é baseada em certas características , como cabeçalho ou rodapé do arquivo
em vez da extensão do arquivo ou metadados
ÿ Um cabeçalho de arquivo é uma assinatura (também conhecida como número mágico), que é um valor numérico ou de texto constante que
determina um formato de arquivo
Exemplo: ÿ
Um suspeito pode tentar impedir que uma imagem seja detectada pelos investigadores alterando a extensão do arquivo de .jpg para .dll ÿ No
entanto, alterar a extensão do arquivo não altera o cabeçalho do arquivo e a análise informa o formato real do arquivo Exemplo: ÿ Um formato
de arquivo é confirmado como .jpg se mostrar “JFIF” no cabeçalho do arquivo e a assinatura hexadecimal como “4A 46 49 46“
ÿ Os investigadores podem dar uma olhada nos cabeçalhos dos arquivos para verificar o formato do arquivo usando ferramentas como 010 Editor, CI Hex Viewer,
Hexinator, Hex Editor Neo, Qiew, WinHex, etc.
arquivo de escultura
File carving refere-se a uma técnica usada para recuperar arquivos excluídos/perdidos e fragmentos de arquivos do disco rígido
quando os metadados do sistema de arquivos estão ausentes. Ao permitir que os investigadores forenses recuperem arquivos
que foram excluídos/perdidos de um disco rígido, o file carving ajuda a extrair artefatos valiosos relacionados a um caso de
crime cibernético para exame mais aprofundado. Um perpetrador também pode tentar excluir uma partição inteira do disco rígido
e, em seguida, mesclar o espaço não alocado da partição excluída com a partição primária do sistema para evitar que um
investigador identifique a partição perdida.
ÿ Conforme discutido anteriormente, o file carving é o processo de recuperação de arquivos de seus fragmentos e partes
do espaço não alocado do disco rígido na ausência de metadados do sistema de arquivos.
Na computação forense, ajuda os investigadores a extrair dados de um meio de armazenamento sem qualquer
suporte do sistema de arquivos usado na criação do arquivo.
ÿ Espaço não alocado refere-se ao espaço no disco rígido que não contém nenhuma informação de arquivo, mas armazena
dados de arquivo sem os detalhes de sua localização. Os investigadores podem identificar os arquivos usando certas
características, como cabeçalho do arquivo (os primeiros bytes) e rodapé (os últimos bytes).
ÿ Por exemplo, um suspeito pode tentar ocultar uma imagem da detecção pelos investigadores, alterando a extensão do
arquivo de .jpg para .dll. No entanto, alterar a extensão do arquivo não altera o cabeçalho do arquivo, o que pode
revelar o formato real do arquivo. Um formato de arquivo é confirmado como .jpg se mostrar “JFIF” no cabeçalho do
arquivo e a assinatura hexadecimal como “4A 46 49 46“.
ÿ
Os métodos de gravação de arquivos podem variar com base em diferentes elementos, como fragmentos de dados
presentes, técnica de exclusão usada, tipo de mídia de armazenamento etc. Esse processo depende de informações
sobre o formato dos arquivos de interesse existentes. Os investigadores podem analisar


os cabeçalhos do arquivo para verificar o formato do arquivo usando ferramentas como 010 Editor, CI Hex Viewer,
Hexinator, Hex Editor Neo, Qiew, WinHex, etc.
ÿ
A escultura de arquivos não requer estrutura do sistema de arquivos para recuperar dados do disco, enquanto a
recuperação de arquivos requer conhecimento da estrutura do sistema de arquivos para recuperar dados excluídos.


Escultura de arquivo no Windows
ÿ O Windows rastreia seus arquivos/pastas em um disco rígido usando os

ponteiros que informam ao sistema onde o arquivo começa e termina
ÿ Quando um arquivo é excluído do disco rígido, o ponteiro para

o arquivo é excluído, mas o conteúdo do arquivo permanece
no disco
ÿ Em outras palavras, os arquivos excluídos podem ser recuperados do

disco rígido até que os setores que contêm o conteúdo do arquivo sejam
substituídos por novos dados
ÿ Ferramentas de recuperação de dados como Autopsy, Recover My Files, EaseUS Data

Recovery Wizard Pro, R-Studio for Windows, etc., podem ser usadas para recuperar arquivos/
pastas excluídos do Windows
File Carving no Windows O

Windows rastreia seus arquivos/pastas em um disco rígido usando os ponteiros que informam ao sistema
onde o arquivo começa e termina. Quando um arquivo/pasta é excluído de uma unidade, o conteúdo
relacionado ao arquivo/pasta permanece no disco rígido, mas os ponteiros para o arquivo são excluídos. Em
outras palavras, os arquivos excluídos podem ser recuperados do disco rígido até que os setores que contêm
o conteúdo do arquivo sejam substituídos por novos dados.
Isso permite que ferramentas forenses, como Autopsy, Recall My Files, EaseUS Data Recovery Wizard Pro e
R-Studio for Windows, recuperem esses arquivos/pastas excluídos do disco rígido. Em SSDs, a recuperação
de arquivos excluídos torna-se difícil, pois o TRIM é ativado por padrão.


Ferramentas de recuperação de arquivos: Windows
EaseUS Data Recovery Wizard Pro Software de
recuperação de dados do disco rígido para recuperar dados perdidos do PC, laptop Recuperar meus
ou outra mídia de armazenamento devido a exclusão, formatação, perda de partição, arquivos https:// getdata.com
travamento do sistema operacional, ataques de vírus, etc.
DiskDigger
https:// diskdigger.org
Handy Recovery
https:// www.handyrecovery.com
Recuperação rápida
https:// www.recoveryourdata.com
Dados do Windows Stellar Phoenix
Recuperação
https:// www.stellarinfo.com
https:// www.easeus.com
Ferramentas de recuperação de arquivos: Windows
ÿ EaseUS Data Recovery Wizard Pro
Fonte: https:// www.easeus.com O software
EaseUS Data Recovery Wizard é usado para executar a recuperação de formato e desformatar e recuperar arquivos excluídos
esvaziados da Lixeira ou dados perdidos devido a perda ou dano de partição, falha de software, infecção por vírus, desligamento
inesperado , ou qualquer outro motivo desconhecido no Windows 10, 8, 7, 2000/XP/Vista/2003/2008 R2 SP1/Windows 7 SP1. Este
software suporta RAID de hardware e disco rígido, unidade USB, cartão SD, cartão de memória, etc.
Recursos
o Especifica os tipos de arquivo antes da recuperação do arquivo para encontrar arquivos perdidos rapidamente
o Salva resultados de pesquisa anteriores para recuperação contínua
o Verifica arquivos perdidos mais rapidamente ignorando setores defeituosos automaticamente


Figura 5.7: Recuperando arquivos excluídos usando o assistente de recuperação de dados EaseUS
Algumas ferramentas de recuperação de arquivos baseadas no Windows estão listadas a seguir:
ÿ Recuperar meus arquivos (https:// getdata.com)
ÿ DiskDigger (https:// diskdigger.org)
ÿ Handy Recovery (https:// www.handyrecovery.com)
ÿ Recuperação Rápida (https:// www.recoveryourdata.com)
ÿ Stellar Phoenix Windows Data Recovery (https:// www.stellarinfo.com)


Escultura de arquivo no Linux
ÿ Quando um arquivo é excluído do Linux usando o ÿ Se um processo em execução mantiver um arquivo

comando /bin/rm/, o inode apontando para o 1 2 aberto e depois removê-lo, o conteúdo do arquivo
arquivo é removido, mas o arquivo permanece no ainda estará no disco e outros programas não
disco até ser substituído por novos dados recuperarão o espaço
3
4
ÿ É necessário observar que, se um executável apaga a ÿ Ferramentas de terceiros, como Stellar Phoenix
si mesmo, seu conteúdo pode ser recuperado de uma Recuperação de Dados Linux, R-Studio para Linux,
imagem de memória /proc . O comando cp /proc/$PID/ TestDisk, PhotoRec e Kernel para Linux
exe/tmp/file cria uma cópia de um arquivo em /tmp Data Recovery pode ser usado para recuperar
arquivos excluídos do Linux
Escultura de arquivo no Linux
No Linux, os usuários podem excluir arquivos usando o comando /bin/rm/ , em que o inode apontando para o arquivo é
excluído, mas o arquivo permanece no disco.
Portanto, o investigador forense pode usar ferramentas de terceiros, como Stellar Phoenix Linux Data Recovery, R-Studio
for Linux, TestDisk, PhotoRec, Kernel for Linux Data Recovery, etc., para recuperar dados excluídos do disco.
Se um usuário remover um arquivo que está sendo usado por qualquer processo em execução, o conteúdo do arquivo
ocupará um espaço em disco que não pode ser recuperado por nenhum outro arquivo ou programa.
O segundo sistema de arquivos estendido (ext2) foi projetado de forma a mostrar vários locais onde os dados podem ser
ocultados.
Vale ressaltar que se um executável apagar a si mesmo, seu conteúdo pode ser recuperado de uma imagem de memória /
proc . O comando cp/proc/$PID/exe/tmp/file cria uma cópia de um arquivo em /tmp.
Ao contrário do Windows, o Linux pode acessar e recuperar dados de uma variedade de máquinas. O kernel do Linux
oferece suporte a um grande número de sistemas de arquivos, incluindo sistemas de arquivos VxFS, UFS, HFS, NTFS e FAT.
Alguns sistemas de arquivos não são legíveis em um ambiente Windows, e os usuários podem facilmente recuperar esses
arquivos usando uma distribuição inicializável do Linux, como o Knoppix. Ferramentas de terceiros, como Stellar Phoenix
Linux Data Recovery, R-Studio for Linux, TestDisk, PhotoRec e Kernel for Linux Data Recovery, podem ser usadas para
recuperar arquivos excluídos do Linux.


Gravação de arquivo SSD no sistema de arquivos Linux
Estação de trabalho forense usada: Windows 10
A imagem forense adquirida do SSD desativado por

TRIM deve ser examinada usando ferramentas de
escultura de arquivo, como Autopsy, R-Studio, etc.
Na autópsia, os dados esculpidos do arquivo

de evidências forenses são exibidos na fonte de
dados apropriada com o título
“$CarvedFiles”
Gravação de arquivo SSD no sistema de arquivos Linux
Estação de trabalho forense usada: Windows 10
ÿ A imagem adquirida forense do SSD desativado por TRIM deve ser examinada usando ferramentas de escultura
de arquivo, como Autopsy, R-Studio, etc.
ÿ
Na autópsia, os dados esculpidos do arquivo de evidências forenses são exibidos na fonte de dados apropriada
com o título “$CarvedFiles”
Figura 5.8: Escultura de arquivo no arquivo de imagem do Linux usando Autopsy


Recuperando Partições Excluídas

A tabela de partição MBR contém os registros das partições primárias e estendidas de um disco
Quando uma partição é excluída de um disco, as entradas com a respectiva partição excluída
são removidas pelo computador da tabela de partições MBR
Os investigadores usam ferramentas como R-Studio e EaseUS Data Recovery Wizard para
escanear o disco em busca de partições perdidas e recuperá-las
Essas ferramentas automatizadas executam a verificação completa do disco, procuram

informações sobre partições excluídas e reconstroem a entrada da tabela de partições para partições excluídas
Recuperando Partições Excluídas
Quando um usuário exclui uma partição do disco, os dados alocados para a partição são perdidos e a partição
excluída é convertida em espaço não alocado no disco.
A tabela de partições MBR armazena os registros das partições primárias e estendidas disponíveis no disco.
Portanto, sempre que uma partição é excluída do disco, as entradas pertencentes às partições são removidas
da tabela de partições MBR.
Um invasor/interno com intenção maliciosa pode excluir uma partição e mesclá-la com a partição primária.
Durante a investigação forense, se o investigador não conseguir encontrar a partição excluída no

Gerenciamento de disco, o investigador usará ferramentas de terceiros, como R-Studio e EaseUS Data
Recovery Wizard, para verificar o disco rígido para descobrir e recuperar a partição excluída e seu conteúdo.
Essas ferramentas automatizadas executam a varredura completa do disco, procuram informações sobre
partições excluídas e reconstroem a entrada da tabela de partições para partições excluídas.


Recuperando Partições Excluídas: Usando Dados EaseUS

Assistente de Recuperação
Quando uma partição não alocada é encontrada durante a investigação forense, o investigador usa ferramentas automatizadas,
como o EaseUS Data Recovery Wizard, para descobrir a partição perdida e recuperar os dados dela
A ferramenta EaseUS Data Recovery Wizard recupera dados das partições do sistema de arquivos baseadas em FAT e NTFS
Recuperando partições excluídas: usando o EaseUS Data Recovery Wizard
Quando uma partição não alocada é encontrada durante a investigação forense, o investigador usa ferramentas
automatizadas, como o EaseUS Data Recovery Wizard, para descobrir a partição perdida e recuperar os dados
dela.
A ferramenta EaseUS Data Recovery Wizard recupera dados das partições do sistema de arquivos baseadas em
FAT e NTFS.
Figura 5.9: Partição não alocada na máquina suspeita
Figura 5.10: Partição não alocada detectada usando o EaseUS Data Recovery


Figura 5.11: Dados recuperados da partição perdida


Anti-
forense
Técnica:
Senha Ao conduzir uma investigação forense no computador do suspeito,
acessar recursos protegidos por senha é um dos desafios
Proteção
enfrentados pelo investigador
Nesses casos, os investigadores podem usar ferramentas de quebra

de senha, como ophcrack e RainbowCrack, para burlar a proteção
por senha.
Técnica anti-forense: proteção por senha

As senhas são importantes porque são a porta de entrada para a maioria dos sistemas de computador.
A proteção por senha protege informações, protege redes, aplicativos, arquivos, documentos, etc. de
usuários não autorizados. Muitas organizações e indivíduos, que não desejam que outros acessem
seus dados, recursos e outros produtos, empregam senhas e algoritmos criptográficos fortes como
medidas de segurança.
Os invasores e intrusos usam essas técnicas de proteção para ocultar dados de evidência, impedir a
engenharia reversa de aplicativos, dificultar a extração de informações de dispositivos de rede e
impedir o acesso ao sistema e ao disco rígido. Isso pode dificultar o trabalho dos investigadores
forenses. A criptografia é uma técnica preferida para dissuadir a análise forense. Nesses casos, os
investigadores podem usar ferramentas de quebra de senha, como ophcrack e RainbowCrack, para
burlar a proteção por senha.


Tipos de senha
Texto claro ofuscado Senha

senhas senhas Hashes
As senhas de texto não Senhas ofuscadas são Os hashes de senha são

criptografado são transmitidas criptografadas usando um assinaturas da
ou armazenadas na mídia algoritmo e podem ser senha original,
sem nenhuma descriptografadas aplicando geradas usando um
criptografia um algoritmo reverso algoritmo unidirecional.
As senhas com hash
usando algoritmos de
hash (MD5, SHA, etc.)
não são reversíveis
Tipos de senha
Os dispositivos de computação podem armazenar e transmitir senhas como senhas de texto não criptografado,
ofuscadas e com hash, das quais apenas as senhas com hash precisam ser quebradas, enquanto os outros tipos de
senha podem ajudar na fase de quebra.
ÿ Senhas de texto não criptografado
o As senhas são enviadas e armazenadas em texto simples sem qualquer alteração
o Exemplo: o Registro do Windows armazena a senha de logon automático em texto não criptografado no
registro, HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
o Os investigadores podem usar ferramentas como Cain e Ettercap para detectar senhas de texto não criptografado
ÿ Senhas ofuscadas
o As senhas são armazenadas ou comunicadas após uma transformação
o Quando a transformação é reversível, a senha torna-se ilegível quando o usuário aplica um algoritmo e na
aplicação do algoritmo reverso, ele retorna ao formato de texto não criptografado
ÿ Hashes de senha
o Hashes de senha são uma assinatura da senha original gerada usando um algoritmo unidirecional. As
senhas são hash usando algoritmos de hash (MD5, SHA, etc.), que não são reversíveis


Quebra de senha
Técnicas
Ataque de dicionário
ÿ Um arquivo de dicionário é carregado no aplicativo de cracking

que é executado em contas de usuário
Ataques de Força Bruta
ÿ O programa tenta todas as combinações de caracteres

até que a senha seja quebrada
Ataque baseado em regras
ÿ Este ataque é usado quando alguma informação sobre o

a senha é conhecida
Técnicas de quebra de senha
Existem três técnicas populares para quebra de senha e elas são discutidas abaixo:
ÿ Ataques de Dicionário
Em um ataque de dicionário, um arquivo de dicionário é carregado no aplicativo de cracking executado

nas contas de usuário. Um dicionário é um arquivo de texto que contém várias palavras do dicionário
ou combinações de caracteres predeterminadas. O programa usa todas as palavras presentes no
dicionário para encontrar a senha. Os ataques de dicionário são mais úteis do que um ataque de força
bruta. No entanto, esse ataque não funciona contra um sistema que usa frases secretas ou senhas
não contidas no dicionário usado.
Este ataque é aplicável em duas situações:
o Na análise de criptografia, ajuda a descobrir a chave de descriptografia para obter o texto simples de
o texto cifrado
o Na segurança do computador, ajuda a evitar autenticação e acesso a um computador adivinhando

senhas
Métodos para melhorar o sucesso de um ataque de dicionário:
o Utilização de maior número de dicionários, como dicionários técnicos e dicionários estrangeiros

dicionários, podem ajudar a recuperar a senha correta
o Usando manipulação de strings; por exemplo, se o dicionário contiver a palavra “sistema”,

então tente manipulação de string e use “metsys” e outros


ÿ Ataques de força bruta
Algoritmos criptográficos devem ser fortes o suficiente para impedir um ataque de força bruta. A RSA define o ataque
de força bruta como “[uma] técnica básica para tentar todas as chaves possíveis em turnos até que a chave correta
seja identificada”.
Um ataque de força bruta é essencialmente um ataque criptoanalítico usado para descriptografar qualquer dado
criptografado (que pode ser chamado de cifra).
Em outras palavras, envolve testar todas as chaves possíveis na tentativa de recuperar o texto simples, que é a
base para a produção de um determinado texto cifrado.
Os ataques de força bruta precisam de mais poder de processamento em comparação com outros ataques. A
detecção de chaves ou texto simples em um ritmo rápido em um ataque de força bruta resulta na quebra da cifra.
Uma cifra é segura se não existir nenhum método para quebrá-la além de um ataque de força bruta. Principalmente,
todas as cifras carecem de prova matemática de segurança.
Algumas considerações para ataque de força bruta são as seguintes:
o É um processo demorado
o Eventualmente, ele pode rastrear todas as senhas
o Um ataque contra hash de tecnologia de rede (NT) é muito mais difícil contra LAN
Gerenciador (LM) hash
ÿ Ataque baseado em regras
Os invasores usam um ataque baseado em regras quando conhecem algumas informações confiáveis sobre a
senha, como regras para definir a senha, algoritmos envolvidos ou as strings e caracteres usados em sua criação.
Por exemplo, se os invasores souberem que a senha contém um número de dois ou três dígitos, eles usarão
algumas técnicas específicas para extração mais rápida da senha.
Ao obter informações úteis, como uso de números, comprimento da senha e caracteres especiais, o invasor pode
aprimorar o desempenho da ferramenta de cracking e, assim, reduzir o tempo necessário para recuperar a senha.
Esta técnica envolve ataques de força bruta, de dicionário e de sílaba (um ataque de sílaba combina tanto um ataque
de força bruta como um ataque de dicionário eéfrequentemente usado para quebrar as senhas que não consistem
numa palavra real mas numa mistura de caracteres e sílabas ).
Os invasores podem usar vários dicionários, técnicas de força bruta ou simplesmente tentar adivinhar a senha.


Ferramentas de quebra de senha

Kit de senha ÿ Uma solução completa de descoberta de evidências eletrônicas criptografadas que relata e descriptografa
Forense todos os itens protegidos por senha em um computador
L0phtCrack
https:// www.l0phtcrack.com
ophcrack
https:// ophcrack.sourceforge.io
Caim e Abel
https:// www.oxid.it
RainbowCrack
https:// project-rainbowcrack.com
Senha do NT offline e editor de registro

https:// pogostick.net
https:// www.passware.com
Ferramentas de quebra de senha
ÿ Kit de Passware Forense
Fonte: https:// www.passware.com
O Passware Kit Forensic é a solução completa de descoberta de evidências eletrônicas criptografadas que
relata e descriptografa todos os itens protegidos por senha em um computador. Ele suporta MS Office, PDF,
Zip e RAR, QuickBooks, FileMaker, Lotus Notes, carteiras Bitcoin, Apple iTunes Backup, Mac OS X Keychain,
gerenciadores de senhas, etc. Ele analisa imagens de memória ao vivo e arquivos de hibernação e extrai
chaves de criptografia para APFS, FileVault2, TrueCrypt, VeraCrypt, BitLocker e logins para contas Windows
e Mac de imagens de memória e arquivos de hibernação. O Passware Bootable Memory Imager adquire
memória de computadores Windows, Linux e Mac.


Figura 5.12: Captura de tela do Passware Kit Forensic
Algumas ferramentas de quebra de senha são listadas a seguir:
ÿ L0phtCrack (https:// www.l0phtcrack.com)

ÿ ophcrack (https:// ophcrack.sourceforge.io)
ÿ Caim & Abel (https:// www.oxid.it)
ÿ RainbowCrack (https:// project-rainbowcrack.com)
ÿ Senha do NT offline e Editor do Registro (https:// pogostick.net)


Técnica anti-forense: Esteganografia
Esteganografia é uma técnica de ocultar O invasor pode usar a esteganografia para O investigador forense examina o Stego-
uma mensagem secreta dentro de uma ocultar mensagens como uma lista de Object para extrair as informações ocultas
mensagem comum e extraí-la no destino servidores comprometidos, código-fonte
para manter da ferramenta de hacking e planos para
confidencialidade dos dados ataques futuros
Cobertura Média Cobertura Média
Função de função de
incorporação extração
EC-Council “Os hackers EC-Council “Os hackers

estão aqui. Onde você estão aqui. Onde você
Estego objeto Extraído
está? Mensagem a ser está?
incorporada mensagem
Técnica anti-forense: Esteganografia
Uma das deficiências de vários programas de detecção é seu foco principal na transmissão de dados de
texto. E se um invasor contornar as técnicas normais de vigilância e ainda conseguir roubar ou transmitir
dados confidenciais? Em uma situação típica, depois que um invasor consegue entrar em uma empresa
como funcionário temporário ou contratado, ele/ela procura informações sigilosas sub-repticiamente. Embora
a organização possa ter uma política que não permita equipamentos eletrônicos removíveis nas instalações,
um invasor determinado ainda pode encontrar maneiras de fazer isso usando técnicas como a esteganografia.
A esteganografia refere-se à arte de ocultar dados “atrás” de outros dados sem o conhecimento do alvo,
ocultando assim a existência da própria mensagem. Ele substitui bits de dados não utilizados em arquivos
comuns, como gráfico, som, texto, áudio, vídeo, etc., por alguns outros bits sub-reptícios. Os dados ocultos
podem ser texto simples ou texto cifrado, ou podem ser uma imagem. Utilizar uma imagem gráfica como
capa é o método mais popular para ocultar dados em arquivos. A esteganografia é preferida pelos invasores
porque, ao contrário da criptografia, não é fácil de detectar.
Por exemplo, os invasores podem ocultar um keylogger dentro de uma imagem legítima; portanto, quando
a vítima clica na imagem, o keylogger captura as teclas digitadas pela vítima.
Os invasores também usam a esteganografia para ocultar informações quando a criptografia não é viável.
Em termos de segurança, ele oculta o arquivo em um formato criptografado para que, mesmo que o invasor
o descriptografe, a mensagem permaneça oculta. Os invasores podem inserir informações como código-
fonte de uma ferramenta de hacking, lista de servidores comprometidos, planos para ataques futuros, canal
de comunicação e coordenação, etc. O investigador forense examina o Stego-Object para extrair as
informações ocultas.


Cobertura Média Cobertura Média
Função de função de
incorporação extração
CE-Council “Hackers CE-Council “Hackers

estão aqui. Onde você estão aqui. Onde você
Mensagem a ser
Estego objeto Extraído
está?" está?"
incorporada mensagem
Figura 5.13: Ilustração da esteganografia


Ferramentas de detecção de esteganografia
OpenStegoGenericName StegSpy
ÿ O OpenStego fornece duas funcionalidades principais: ocultação de ÿ StegSpy identifica um arquivo “esteganizado”
dados e marca d'água. Ele permite que os investigadores extraiam e detecta esteganografia e o programa
dados ocultos para análise. usado para ocultar a mensagem
https:// www.openstego.com http:// www.spy-hunter.com
Ferramentas de detecção de esteganografia
ÿ Estego Aberto
Fonte: https:// www.openstego.com
O OpenStego fornece duas funcionalidades principais:
o Ocultação de dados: Pode ocultar quaisquer dados dentro de um arquivo de capa (por exemplo, imagens).
o Marca d'água (beta): Arquivos de marca d'água (por exemplo, imagens) com uma assinatura invisível. Isto
pode ser usado para detectar a cópia de arquivo não autorizada.
Ele permite que os investigadores extraiam dados ocultos para análise.
Figura 5.14: Captura de tela do OpenStego


ÿ StegSpy
Fonte: http:// www.spy-hunter.com
O StegSpy identifica um arquivo “esteganizado” e detecta a esteganografia e o programa usado para

ocultar a mensagem. Ele também identifica a localização do conteúdo oculto. StegSpy atualmente
identifica os seguintes programas:
o Hiderman o JPEG
o JPHideandSeek o Segredos Invisíveis
o mascarado
Figura 5.15: captura de tela do StegSpy


Técnica anti-forense: fluxos de dados alternativos

Os invasores usam fluxos de dados alternativos (ADS)
para ocultar dados no Windows NTFS e não podem ser revelados
através da linha de comando ou do Windows Explorer
O ADS permite que o invasor oculte qualquer número de fluxos em um

único arquivo sem modificar o tamanho do arquivo, a funcionalidade etc.,
exceto a data do arquivo
No entanto, a data do arquivo pode ser modificada usando

ferramentas anti-forense como TimeStomp
Em alguns casos, esses ADS ocultos podem ser usados para

explorar remotamente um servidor da web
Técnica anti-forense: fluxos de dados alternativos
ADS, ou um fluxo de dados alternativo, é um recurso do sistema de arquivos NTFS que ajuda os usuários a localizar um
arquivo usando informações de metadados alternativos, como o título do autor. Ele permite que os arquivos tenham mais
de um fluxo de dados, que são invisíveis para o Windows Explorer e requerem ferramentas especiais para visualização.
Assim, o ADS torna mais fácil para os criminosos ocultar dados em arquivos e acessá-los quando necessário. Os
invasores também podem armazenar arquivos executáveis no ADS e executá-los usando o utilitário de linha de comando.
O ADS permite que o invasor oculte qualquer número de fluxos em um único arquivo sem modificar o tamanho do
arquivo, a funcionalidade etc., exceto a data do arquivo. No entanto, a data do arquivo pode ser modificada usando
ferramentas anti-forenses como TimeStomp. Em alguns casos, esses ADS ocultos podem ser usados para explorar
remotamente um servidor da web.
Um ADS contém metadados, como registros de data e hora de acesso, atributos de arquivo, etc. Os investigadores
precisam encontrar o ADS e extrair as informações presentes nele. Como o sistema não pode modificar os dados do
ADS, recuperá-los pode oferecer detalhes brutos do arquivo e a execução do malware.
Além de usar os métodos mencionados acima, os investigadores também podem usar ferramentas de software para
identificar arquivos ADS e extrair os fluxos adicionais.


Técnica anti-forense:
Ofuscação de trilha
ÿ O objetivo da ofuscação da trilha é confundir e enganar

o processo de investigação forense
ÿ Os invasores enganam os investigadores por meio de adulteração de log,
geração de cabeçalho de e-mail falso, modificação de carimbo de data/
hora e modificação de vários cabeçalhos de arquivo
Algumas das técnicas que os invasores

usam para ofuscação de dados/trilhas:
ÿ Limpadores de toras ÿ Falsificação
ÿ Desinformação ÿ Contas zumbis
ÿ Comandos de Tróia
A ofuscação do conteúdo do tráfego pode ser obtida por meio de

VPNs e tunelamento SSH
Técnica anti-forense: ofuscação de trilha (continuação)

Timestomp é uma das ferramentas de ofuscação de trilha mais amplamente usadas que permitem a exclusão ou modificação de
informações relacionadas a carimbo de data/hora em arquivos. O procedimento para contornar essa técnica é abordado na seção
“Detectando dados/metadados sobrescritos”.
Técnica anti-forense: ofuscação de trilha

O objetivo da ofuscação de trilha é confundir e enganar o processo de investigação forense.
Os invasores enganam os investigadores por meio de adulteração de log, geração de cabeçalho de e-mail falso, modificação de
carimbo de data/hora e modificação de vários cabeçalhos de arquivo.


Os invasores podem fazer isso usando várias ferramentas e técnicas, como as listadas abaixo:
ÿ Limpadores de toras
ÿ Contas Zumbi
ÿ Falsificação
ÿ Comandos de Tróia
ÿ Desinformação
A ofuscação do conteúdo do tráfego pode ser obtida por meio de VPNs e tunelamento SSH.
Nesse processo, os invasores excluem ou modificam os metadados de alguns arquivos importantes para confundir os
investigadores. Eles modificam informações de cabeçalho e extensões de arquivo usando várias ferramentas.
Timestomp, que faz parte do Metasploit Framework, é uma ferramenta de ofuscação de trilha que os invasores usam
para modificar, editar e excluir os metadados de data e hora em um arquivo e torná-lo inútil para os investigadores.
Transmogrify é outro exemplo de tal ferramenta.
ÿ Temporização
Timestomp é uma das ferramentas de ofuscação de trilha mais amplamente usadas que permitem a exclusão
ou modificação de informações relacionadas a carimbo de data/hora em arquivos. O procedimento para
contornar essa técnica é abordado na seção “Detectando dados/metadados sobrescritos”.
Figura 5.16: Atributos MACE de marcação de tempo


Técnica anti-forense: limpeza de artefato
A limpeza de artefatos envolve vários métodos destinados à exclusão

permanente de arquivos específicos ou sistemas de arquivos inteiros
Métodos de limpeza de artefatos:
1. Utilitários de limpeza de disco 2. Utilitários de limpeza de arquivos
ÿ A limpeza do disco envolve apagar ÿ Exclui arquivos individuais e

dados do disco, excluindo seus entradas da tabela de arquivos de um sistema operacional
links para blocos de memória e

sobrescrevendo a memória ÿ Alguns dos utilitários de limpeza de
conteúdo arquivos comumente usados
incluem BCWipe, R-Wipe & Clean,
ÿ Alguns dos utilitários de limpeza de
CyberScrub Privacy Suite, etc.
disco comumente usados incluem
BCWipe Total WipeOut,
CyberScrub cyberCide,
DriveScrubber, ShredIt, etc.
Técnica anti-forense: limpeza de artefatos (continuação)
3. Técnicas de Desmagnetização/Destruição de Disco 4. Formatação de disco
ÿ A desmagnetização do disco é um processo pelo qual um forte ÿ A formatação de um disco rígido não apaga os dados
campo magnético é aplicado ao dispositivo de armazenamento, presentes no disco, mas limpa suas tabelas de
resultando em um dispositivo totalmente limpo de quaisquer dados endereços e desvincula todos os arquivos do sistema de
armazenados anteriormente arquivos
ÿ NIST recomenda uma variedade de métodos para

realizar a destruição física da mídia digital, que ÿ Mais tarde, uma nova árvore de arquivos é configurada para usar com o SO
inclui desintegração, incineração, pulverização,
trituração e derretimento
ÿ Depois de formatar um disco rígido, o investigador
ÿ Os invasores usam técnicas de desmagnetização/ forense pode recuperar dados de uma unidade
destruição de disco para tornar os dados formatada
probatórios indisponíveis para investigadores forenses
Observação: é difícil recuperar dados que foram eliminados usando essas técnicas. Portanto, é recomendável que as organizações façam
backup dos dados regularmente.
Técnica anti-forense: limpeza de artefato
A limpeza de artefato refere-se ao processo de exclusão ou destruição permanente dos arquivos de evidências
usando utilitários de limpeza de arquivos e de disco e técnicas de desmagnetização/destruição de disco. O
invasor elimina permanentemente determinados arquivos ou o próprio sistema de arquivos.


ÿ Utilitários de limpeza de disco
A limpeza de disco envolve o apagamento de dados do disco, excluindo seus links para blocos de memória e
substituindo o conteúdo da memória. Nesse processo, o aplicativo substitui o conteúdo do MBR, tabela de partição e
outros setores do disco rígido com caracteres como caractere nulo ou qualquer caractere aleatório várias vezes
(usando padrões de limpeza de dados). Nesse caso, o investigador forense acha difícil recuperar os dados do
dispositivo de armazenamento.
Alguns dos utilitários de limpeza de disco comumente usados incluem BCWipe Total WipeOut, CyberScrub cyberCide,
DriveScrubber, ShredIt, etc.
ÿ Utilitários de limpeza de arquivos
Esses utilitários excluem arquivos individuais de um sistema operacional em um curto espaço de tempo e deixam
uma assinatura muito menor quando comparada com os utilitários de limpeza de disco. No entanto, alguns
especialistas acreditam que muitas dessas ferramentas não são eficazes, pois não eliminam os dados com precisão
ou completamente e também exigem o envolvimento do usuário. Os utilitários de limpeza de arquivos comumente
usados são BCWipe, R-Wipe & Clean, CyberScrub Privacy Suite, etc.
ÿ Técnicas de Desmagnetização e Destruição de Disco
A desmagnetização do disco é um processo pelo qual um forte campo magnético é aplicado ao dispositivo de
armazenamento, resultando em um dispositivo totalmente limpo de quaisquer dados armazenados anteriormente. A
destruição física do dispositivo é uma das técnicas mais utilizadas para garantir a limpeza dos dados.
O NIST recomenda uma variedade de métodos para realizar a destruição física da mídia digital, que inclui
desintegração, incineração, pulverização, trituração e derretimento.
Intrusos usam técnicas de desmagnetização/destruição de disco para tornar os dados probatórios indisponíveis para
investigadores forenses.
ÿ Formatação de Disco
A formatação de um disco rígido não apaga os dados presentes no disco, mas limpa suas tabelas de endereços e
desvincula todos os arquivos do sistema de arquivos. Posteriormente, uma nova árvore de arquivos é configurada
para uso com o sistema operacional. Depois de formatar um disco rígido, o investigador forense pode recuperar
dados de uma unidade formatada.
Observação: é difícil recuperar dados que foram eliminados usando essas técnicas. Portanto, é recomendável que as
organizações façam backup dos dados regularmente.


Técnica anti-forense: substituição de dados/metadados

ÿ Os perpetradores usam técnicas diferentes para sobrescrever dados ou metadados (ou ambos) em uma mídia de armazenamento,
representando um desafio para os investigadores durante a recuperação de dados
ÿ Os programas de substituição (desinfetantes de disco) funcionam em três modos:
ÿ Sobrescrever mídia inteira
ÿ Sobrescrever arquivos individuais
ÿ Substituir arquivos excluídos na mídia
Sobrescrevendo Metadados
ÿ Os investigadores usam metadados para criar uma linha do tempo das ações do perpetrador, organizando todos os dados do computador
timestamps em uma sequência
ÿ Embora os invasores possam usar ferramentas para limpar o conteúdo da mídia, essa ação em si pode chamar a atenção de
investigadores. Portanto, os invasores encobrem seus rastros sobrescrevendo os metadados (ou seja, tempos de acesso), dificultando a construção
da linha do tempo.
ÿ Ex: Timestomp (parte do Metasploit Framework) é usado para alterar MACE (Modified-Accessed-Created-Entry)
atributos do arquivo
Técnica anti-forense: sobrescrever dados/metadados Os perpetradores usam
diferentes técnicas para sobrescrever dados ou metadados (ou ambos) em uma mídia de armazenamento, representando um
desafio para os investigadores durante a recuperação de dados.
Os programas de substituição (desinfetantes de disco) funcionam em três modos:
ÿ Sobrescrever mídia inteira
ÿ Substituir arquivos individuais
ÿ Substituir arquivos excluídos na mídia
Sobrescrevendo Metadados
ÿ Os investigadores usam metadados para criar uma linha do tempo das ações do perpetrador, organizando
todos os timestamps do computador em uma sequência
ÿ Embora os invasores possam usar ferramentas para limpar o conteúdo da mídia, essa ação em si pode chamar a atenção
dos investigadores. Portanto, os invasores encobrem seus rastros sobrescrevendo os metadados (ou seja, tempos de
acesso), dificultando a construção da linha do tempo. ÿ Ex: Timestomp (parte do Metasploit Framework) é usado para
alterar MACE (Modified

Accessed-Created-Entry) atributos do arquivo
ÿ Outra forma de confundir o investigador é aceder ao computador de forma a que não sejam gerados metadados
o Exemplos: Montar uma partição como somente leitura ou acessá-la por meio do dispositivo bruto,
impede que os metadados do arquivo sejam atualizados
o Definindo a chave de registro do Windows

“HKLM\SYSTEM\CurrentControlSet\Control\FileSystem\NtfsDisableLastAccessUpdat e” para 1 desativa a
atualização do último carimbo de data/hora acessado


Anti-forense
Técnica:
Criptografia
ÿ A criptografia de dados é uma ÿ Intrusos usam fortes ÿ Além disso, a maioria dos programas de ÿ A criptoanálise pode ser usada
das técnicas comumente algoritmos de criptografia para criptografia é capaz de executar funções para descriptografar dados
usadas para derrotar a criptografar dados de valor adicionais, incluindo o uso de um arquivo criptografados
investigação forense investigativo, o que os torna de chave, criptografia de volume total
• Exemplo: CryptoTool
processar praticamente ilegíveis sem o e negação plausível; que torna o trabalho
do investigador mais difícil
chave designada
Técnica anti-forense: Criptografia
A criptografia é uma maneira eficaz de proteger os dados que envolve o processo de tradução de dados em um
código secreto que somente o pessoal autorizado pode acessar.
Para ler o arquivo criptografado, os usuários precisam de uma chave secreta ou senha que possa descriptografar o
arquivo. Devido à sua eficácia e facilidade de uso, a maioria dos invasores prefere usar técnicas de criptografia para
análise forense.
Os invasores usam algoritmos de criptografia fortes para criptografar dados de valor investigativo, o que os torna
praticamente ilegíveis sem a chave designada. Alguns algoritmos são capazes de evitar os processos de
investigação executando funções adicionais, incluindo o uso de um arquivo de chave, criptografia de volume total e
negação plausível.
Listados abaixo estão os utilitários de criptografia integrados fornecidos pela Microsoft para Windows 7 e posterior:
ÿ BitLocker—criptografa um volume inteiro
ÿ Encrypting File System (EFS)—criptografa arquivos e diretórios individuais
A criptoanálise pode ser usada para descriptografar dados criptografados.
ÿ Exemplo: CryptoTool
O VeraCrypt é uma das ferramentas mais utilizadas na criptografia anti-forense.


Fluxo do módulo
1 2
Entenda o Anti-Forense e Discutir Anti-forense
suas Técnicas Contramedidas
Discutir contramedidas anti-forenses

Esta seção discute as contramedidas a serem usadas pelos investigadores contra ferramentas e
técnicas anti-forenses.


Contramedidas anti-forenses
1 Treine e eduque os investigadores forenses sobre anti-forense
2 Valide os resultados do exame usando várias ferramentas
3 Imponha leis rígidas contra o uso ilegal de ferramentas anti-forenses
4 Compreender as técnicas anti-forense e as suas fragilidades
5 Use CFTs mais recentes e atualizados e teste-os quanto a vulnerabilidades
Contramedidas anti-forenses
Os investigadores podem superar as técnicas anti-forenses discutidas neste módulo por meio de monitoramento
aprimorado de dispositivos e uso de CFTs atualizados. Algumas das contramedidas importantes contra técnicas anti-
forenses estão listadas abaixo:
ÿ Treinar e educar os investigadores forenses sobre anti-forense
ÿ Validar os resultados do exame usando várias ferramentas
ÿ Impor leis estritas contra o uso ilegal de ferramentas anti-forenses
ÿ Compreender as técnicas anti-forenses e as suas fragilidades
ÿ Use CFTs mais recentes e atualizados e teste-os quanto a vulnerabilidades
ÿ Salvar dados em locais seguros
ÿ Use bibliotecas de descompressão inteligentes para se defender contra bombas de compressão
ÿ Substituir técnicas fracas de identificação de arquivos por outras mais fortes
Observação: é melhor não depender totalmente de ferramentas específicas, pois as próprias ferramentas não são
imunes a ataques.


Ferramentas anti-forenses
Estúdio de CryptaPix GiliSoft File Lock Pro http:// wbStego Armazenamento
Esteganografia https:// www.briggsoft.com gilisoft.com https:// wbstego.wbailer.com de Dados https:// www.skyjuicesoftware.com
http:// stegstudio.sourceforge.net
OmniHide PRO Máscara Som Profundo DBAN east-tec InvisibleSecrets https://

https:// omnihide.com http:// softpuls.weebly.com http:// jpinsoft.net https:// dban.org www.east-tec.com
Ferramentas anti-forense
Algumas ferramentas anti-forenses estão listadas a seguir:
ÿ Estúdio de Esteganografia (http:// stegstudio.sourceforge.net)

ÿ CryptaPix (https:// www.briggsoft.com)
ÿ GiliSoft File Lock Pro (http:// gilisoft.com)
ÿ wbStego (https:// wbstego.wbailer.com)
ÿ Data Stash (https:// www.skyjuicesoftware.com)
ÿ OmniHide PRO (https:// omnihide.com)
ÿ Máscaras (http:// softpuls.weebly.com)
ÿ DeepSound (http:// jpinsoft.net)
ÿ DBAN (https:// dban.org)
ÿ east-tec InvisibleSecrets (https:// www.east-tec.com)


Resumo do Módulo
Este módulo discutiu as técnicas anti-forenses
Ele discutiu a exclusão de dados e a análise forense da Lixeira
Ele também discutiu em detalhes as técnicas de gravação de arquivos e maneiras de

recuperar evidências de partições excluídas
Este módulo também discutiu as técnicas de cracking/bypass de senha
Ele também discutiu como detectar esteganografia, dados ocultos em estruturas do sistema
de arquivos e ofuscação de trilha
Ele também discutiu as técnicas de limpeza de artefatos, detecção de dados/

metadados sobrescritos e criptografia
Finalmente, este módulo terminou com uma discussão detalhada sobre as contramedidas
e ferramentas anti-forenses
No próximo módulo, discutiremos em detalhes a análise forense do Windows
Resumo do Módulo
Este módulo discutiu várias técnicas anti-forenses. Ele explicava a exclusão de dados e a análise forense da Lixeira. Ele
também discutiu em detalhes técnicas e métodos de gravação de arquivos para recuperar evidências de partições
excluídas. Além disso, este módulo discutiu técnicas de cracking/bypass de senha. Ele também discutiu como detectar
esteganografia, dados ocultos em estruturas do sistema de arquivos e ofuscação de trilhas. Além disso, explicou as técnicas
de limpeza de artefatos, detecção de dados/metadados sobrescritos e criptografia. Por fim, este módulo apresentou uma
discussão detalhada sobre contramedidas e ferramentas antiforenses.
No próximo módulo, discutiremos detalhadamente a análise forense do Windows.

MT
CE-Conselho
EC-Council
D FE
Digital
Digital
Módulo 06
W i n d ow s F o r e n s e

Análise Forense do Windows
Compreendendo a coleção de voláteis e

1 Informações não voláteis
Compreendendo a memória e o registro do Windows

2 Análise
Compreendendo como examinar o cache, o cookie e

3 o histórico gravado em navegadores da Web
Compreendendo como examinar arquivos e

4 metadados do Windows
A análise forense do Windows refere-se à investigação de crimes cibernéticos envolvendo máquinas Windows. Envolve
a coleta de evidências de uma máquina Windows para que o(s) autor(es) de um crime cibernético possam ser
identificados e processados. O Windows é um dos sistemas operacionais mais usados; portanto, a possibilidade de uma
máquina Windows estar envolvida em um incidente é alta. Portanto, os investigadores devem ter uma compreensão
completa dos vários componentes de um sistema operacional Windows, como sistema de arquivos, registros, arquivos
de sistema e logs de eventos, onde podem encontrar dados de valor probatório.
Este módulo discute como coletar e examinar evidências forenses relacionadas a incidentes de crimes cibernéticos em
máquinas Windows.
ÿ Coletar informações voláteis e não voláteis
ÿ Realizar análise de memória e registro do Windows
ÿ Examine o cache, o cookie e o histórico registrado nos navegadores da web
ÿ Examinar arquivos e metadados do Windows

Fluxo do módulo
Colete voláteis e
Execute a análise de memória

2 e registro do Windows
Examine o cache, o cookie

3 e o histórico registrado em
Navegadores da Web
Examine os arquivos do Windows

4 e Metadados
Colete informações voláteis e não voláteis
Informações voláteis são perdidas quando um sistema é desligado; normalmente reside na RAM do sistema.
Do ponto de vista forense, produz artefatos valiosos, como usuários logados, histórico de comandos, recursos
compartilhados, informações relacionadas à rede, informações relacionadas a processos, informações sobre
arquivos abertos, etc.
Informações não voláteis referem-se a dados persistentes que não são perdidos quando um sistema falha ou é
desligado. Essas informações geralmente residem no disco rígido interno, unidade flash ou disco rígido externo
do sistema. Do ponto de vista forense, revela artefatos valiosos, como informações contidas no registro do
Windows, sistemas de arquivos, arquivos de banco de dados, dispositivos externos conectados ao sistema,
informações de partições ocultas, etc.
Esta seção discute como os investigadores forenses podem coletar informações voláteis e não voláteis dos
sistemas Windows.

Introdução à análise forense do sistema operacional
Windows, Mac e Linux são os três sistemas operacionais (SOs) mais

usados. Assim, a probabilidade de um investigador encontrar esses sistemas
operacionais na cena do crime é muito alta.
Realizar análise forense do sistema operacional para descobrir as evidências

subjacentes é uma tarefa desafiadora, pois exige que o investigador tenha
conhecimento profundo desses sistemas operacionais
Para realizar um exame forense digital bem-sucedido no Windows, Mac e

Linux, deve-se estar familiarizado com seu funcionamento, comandos ou
metodologias, a fim de poder extrair dados voláteis e não voláteis com
ferramentas específicas do sistema operacional.
Introdução à análise forense do sistema operacional
A “análise forense do sistema operacional” envolve o exame forense do sistema operacional do computador. Os
sistemas operacionais mais usados são Windows, MacOS e Linux. É altamente provável que os investigadores
forenses encontrem um desses sistemas operacionais durante a investigação na cena do crime. Assim, é
imprescindível que eles tenham um conhecimento aprofundado desses sistemas operacionais, suas funcionalidades,
métodos de processamento, armazenamento e recuperação de dados, além de outras características.
Os investigadores também devem ter conhecimento profundo dos comandos ou metodologias utilizadas, conceitos
técnicos chave, processo de coleta de dados voláteis e não voláteis, análise de memória, análise de registro do
Windows, cache, cookie e análise de histórico, etc. uma investigação forense digital bem-sucedida.

Coletando informações voláteis

ÿ Informações voláteis podem ser facilmente modificadas ou perdidas quando o sistema é desligado ou
reiniciado
ÿ A coleta de informações voláteis ajuda a determinar uma linha do tempo lógica do incidente de
segurança e dos usuários responsáveis
ÿ Dados voláteis residem em registradores, cache e RAM
Informações voláteis incluem:
ÿ Hora do sistema ÿ Mapeamento do processo à porta
ÿ Utilizador(es) com sessão iniciada ÿ Memória de processo
ÿ Informações de rede ÿ Drives mapeados
ÿ Abrir arquivos ÿ Ações
ÿ Conexões de rede ÿ Conteúdo da área de transferência
ÿ Estado da rede ÿ Informações de serviço/condutor
ÿ Informação do processo ÿ Histórico de comandos
Coletando informações voláteis
Informações voláteis podem ser adquiridas durante a aquisição de dados ao vivo. As informações obtidas de dados
voláteis podem ajudar o investigador forense a realizar análises de malware, examinar arquivos de log e arquivos
de cache, determinar senhas, etc. Tudo isso pode servir como fonte potencial de evidências durante a investigação
forense.
Conforme mencionado anteriormente, as informações voláteis referem-se aos dados armazenados nos registros,
cache e RAM dos dispositivos digitais. Essas informações geralmente são perdidas ou apagadas sempre que o
sistema é desligado ou reinicializado. A informação volátil é dinâmica por natureza e muda com o tempo; assim, os
investigadores devem ser capazes de coletar os dados em tempo real.
Dados voláteis existem na memória física ou RAM e consistem em informações de processo, mapeamento de
processo para porta, memória de processo, conexões de rede, conteúdo da área de transferência, estado do
sistema, etc. Os investigadores devem coletar esses dados durante o processo de aquisição de dados ao vivo.
Além disso, eles devem seguir o princípio de troca de Locard e coletar o conteúdo da RAM logo no início da
investigação para minimizar o impacto de etapas posteriores na integridade do conteúdo da RAM.
Os investigadores precisam estar bem cientes do fato de que as ferramentas que estão executando para coletar
outras informações voláteis podem modificar o conteúdo da memória. Com base nas informações voláteis coletadas,
os investigadores podem determinar o(s) usuário(s) conectado(s), cronograma de um incidente de segurança,
programas e bibliotecas envolvidos, arquivos acessados e compartilhados durante um ataque suspeito, bem como
outros detalhes, como informações de rede, rede conexões, status de rede, arquivos abertos, mapeamento de
processo para porta, unidades mapeadas, histórico de comandos, informações de processo, memória de processo,
compartilhamentos, conteúdo da área de transferência, etc.

Coletando Tempo do Sistema

ÿ Fornece detalhes das informações coletadas durante a investigação
ÿ Ajuda a recriar a linha do tempo precisa dos eventos que ocorreram no

sistema
ÿ O tempo de atividade do sistema fornece uma ideia de quando uma tentativa de exploração pode ter sido
bem sucedido
Nota: Adquira ou duplique a memória do sistema de destino antes de extrair dados voláteis,
pois os comandos usados no processo podem alterar o conteúdo da mídia e tornar a prova
legalmente inválida
Coletando Tempo do Sistema

O primeiro passo ao investigar um incidente é a coleta do tempo do sistema. A hora do sistema
refere-se à data e hora exatas do dia em que ocorreu um incidente, de acordo com o horário
universal coordenado (UTC). A hora do sistema fornece aos aplicativos hora e data precisas. O
conhecimento da hora do sistema fornece um grande contexto para as informações coletadas nas
etapas subsequentes. Ele também auxilia na reconstrução dos eventos que ocorreram no sistema.
Além do horário atual do sistema, as informações sobre o tempo de atividade do sistema fornecem
grande assistência a todo o processo de investigação.
Os investigadores também registram o tempo real, ou tempo de parede, ao registrar o tempo do
sistema. A comparação de ambos os tempos permite que o investigador determine se o relógio do
sistema foi preciso ou impreciso. Os investigadores podem extrair a hora e a data do sistema com a
ajuda do comando date /t & time /t ou usar o comando net statistics server . Uma forma alternativa
de obter os detalhes de hora do sistema é usando a função GetSystemTime. Essa função copia os
detalhes de hora para uma estrutura SYSTEMTIME, que contém informações dos membros
conectados e o mês, dia, ano, dia da semana, hora, minuto, segundos e milissegundos exatos.
Portanto, esta função fornece detalhes de tempo do sistema mais precisos.

Comando:
data /t & hora /t
Figura 6.1: Executando o comando date /t & time /t
Nota: Adquira ou duplique a memória do sistema de destino antes de extrair dados voláteis, pois os
comandos usados no processo podem alterar o conteúdo da mídia e tornar a prova legalmente inválida.

Coletando usuários conectados
PsLoggedOn é um applet que exibe os

PsLoggedOn usuários conectados localmente e por meio
de recursos no computador local ou remoto
Sintaxe:
psloggedon [- ] [-l] [-x] [\\computername | nome do usuário]
Coletando usuários conectados (continuação)
ÿ o comando net session exibe o computador e os nomes de usuários em um servidor,

comando net sessões
arquivos abertos e duração das sessões
Sintaxe:
sessões de rede
[\\<Nomedocomputador>]
[/delete] [/lista]

Coletando usuários conectados (continuação)
Ferramenta LogonSessions
ÿ Lista as sessões de logon atualmente ativas e, se a

opção -p for especificada, os processos em execução
em cada sessão serão listados
Sintaxe:
sessões de logon [-c[t]] [-p]
-c, imprime a saída como CSV
-ct, Imprime a saída como valores delimitados por tabulações
-p, lista os processos em execução na sessão de logon
Coletando usuários conectados
Durante uma investigação, um investigador deve coletar detalhes de todos os usuários conectados ao sistema
suspeito. Isso inclui não apenas informações sobre pessoas conectadas localmente (através do console ou teclado),
mas também aquelas que tiveram acesso remoto ao sistema (por exemplo, através do comando net use ou através
de um compartilhamento mapeado). Essas informações permitem que um investigador adicione contexto a outras
informações coletadas do sistema, como o contexto do usuário de um processo em execução, o proprietário de um
arquivo e os últimos horários de acesso aos arquivos.
ÿ PsLoggedOn
Fonte: https:// docs.microsoft.com
PsLoggedOn é um applet que exibe tanto os usuários conectados localmente quanto os usuários conectados
remotamente. Se você especificar um nome de usuário em vez de um computador. PsLoggedOn pesquisa
os computadores na vizinhança da rede e mostra se o usuário está conectado no momento.
Sintaxe:
psloggedon [- ] [-l] [-x] [\\nomedocomputador | nome do usuário]

Parâmetros:
o -: Este parâmetro exibe as opções suportadas e as unidades de medida usadas para valores de saída
o -l: Este parâmetro é usado para mostrar apenas logons locais em vez de locais e de rede
logons de recursos
o -x: Este parâmetro informa ao comando para não mostrar os horários de logon

o \\nome do computador: Este parâmetro especifica o nome do computador para o qual

as informações de logon devem ser listadas.
o username: Ao especificar um nome de usuário, PsLoggedOn procura na rede por

computadores nos quais esse usuário está conectado.
Figura 6.2: Usando PsLoggedOn para coletar informações sobre usuários conectados
ÿ sessões net
O comando net sessions é usado para gerenciar as conexões do computador servidor. Quando usado sem
parâmetros, exibe informações sobre todas as sessões de login do computador local. Este comando exibe os
nomes de computador e nomes de usuários em um servidor. Ele pode ajudar os investigadores a determinar se
os usuários têm algum arquivo aberto e há quanto tempo cada sessão do usuário está no modo ocioso.
Sintaxe:
net sessões [\\<ComputerName>] [/delete] [/list]
Parâmetros:
o \\<ComputerName>: Este parâmetro identifica o computador cliente para o qual você

deseja listar ou desconectar sessões
o /delete: Este parâmetro encerra a sessão com o computador cliente especificado e fecha todos os arquivos
abertos no computador local para a sessão. Se você omitir \\<ComputerName>, todas as sessões no
computador local serão canceladas.
o /list: Este parâmetro exibe informações em uma lista em vez de uma tabela.

Figura 6.3: Executando o comando net sessions para coletar informações sobre as sessões de login de um computador local
ÿ LogonSessions
A ferramenta LogonSessions, quando executada sem nenhuma opção, lista as sessões conectadas atualmente
ativas. Se a opção -p for usada, ela fornecerá informações sobre os processos em execução em cada sessão.
Sintaxe:
sessões de logon [-c[t]] [-p]

Parâmetros:
o -c: Este parâmetro imprime a saída como CSV
o -ct: Este parâmetro imprime a saída como valores delimitados por tabulações
o -p: Este parâmetro lista os processos em execução em sessões de logon
Figura 6.4: Executando LogonSessions para exibir as sessões de logon ativas no momento

Coletando arquivos abertos: comando net file

Colete informações sobre os arquivos abertos pelo invasor usando login remoto
ÿ Exibe detalhes de arquivos compartilhados abertos em um servidor, como nome, ID e o número de bloqueios de
cada arquivo, se houver. Ele também fecha arquivos compartilhados individualmente e remove bloqueios de arquivos.
comando de arquivo net
ÿ A sintaxe do comando net file:
net file [ID [/close]]
Coletando arquivos abertos: comando net file
Colete informações sobre os arquivos abertos pelo invasor usando o login remoto. O comando net file reflete os nomes
de todos os arquivos abertos no servidor e o número de bloqueios de arquivo em cada arquivo, se houver. Este
comando também pode fechar arquivos compartilhados individualmente e remover bloqueios de arquivos.
Quando usado sem parâmetros, a ferramenta listará os arquivos abertos e ajudará a controlar os arquivos
compartilhados em uma rede.
Sintaxe:
net file [ID [/close]]

Parâmetros:
ÿ ID: Este parâmetro especifica o número de identificação do arquivo
ÿ /close: Este parâmetro fecha um arquivo aberto e libera registros bloqueados
ÿ comando net help : Exibe ajuda para o comando net especificado
Figura 6.5: Executando o comando net file

Coletando arquivos abertos: usando NetworkOpenedFiles

ÿ NetworkOpenedFiles é um utilitário para sistema operacional Windows que lista todos os arquivos atualmente abertos no
sistema host por meio de login remoto
ÿ Exibe o nome do arquivo, computador e nome de usuário, informações de permissão (leitura/gravação/criação), bloqueios
contagem, tamanho do arquivo, atributos do arquivo, etc.
Coletando arquivos abertos: usando NetworkOpenedFiles
Investigadores forenses podem usar a ferramenta NetworkOpenedFiles para coletar informações sobre todos os
arquivos que foram abertos no sistema host por meio de login remoto.
ÿ NetworkOpenedFiles
Fonte: https:// www.nirsoft.net
NetworkOpenedFiles é uma ferramenta simples para Windows que exibe a lista de todos os arquivos que
foram abertos por outros computadores na rede.
Para cada arquivo aberto, as seguintes informações são exibidas: nome do arquivo, nome de usuário, nome
do computador (no Windows 7/2008 e posterior), informações sobre permissões (leitura/gravação/criação),
contagem de bloqueios, proprietário do arquivo, tamanho do arquivo, atributos do arquivo e mais.

Figura 6.6: Encontrar arquivos abertos usando NetworkOpenedFiles
Figura 6.7: Visualizando detalhes de um arquivo aberto

Coletando informações de rede
ÿ Intrusos após obter acesso a um sistema remoto, tentam

descobrir outros sistemas que estão disponíveis na rede
ÿ O cache da tabela de nomes NetBIOS mantém uma lista de
conexões feitas com outros sistemas usando NetBIOS
ÿ O nbtstat , utilitário de linha de comando embutido no Windows, pode

ser usado para visualizar o cache da tabela de nomes NetBIOS
ÿ A opção nbtstat -c mostra o conteúdo do

Cache de nome NetBIOS, que contém mapeamentos
nome-para-endereço IP NetBIOS
Sintaxe:
nbtstat [-a RemoteName] [-A endereço IP] [-c] [-n][-r] [-R] [-

RR] [-s] [-S] [intervalo]
Frequentemente, quando invasores obtêm acesso remoto a um sistema, eles tentam encontrar outros sistemas
conectados à rede e visíveis ao sistema comprometido. Para conseguir isso, os invasores criam e executam arquivos
em lote no sistema e lançam comandos net view via injeção SQL (usando um navegador para enviar comandos ao
sistema por meio dos servidores web e de banco de dados).
Quando os usuários estabelecem conexões com outros sistemas usando a rede NetBIOS, os sistemas mantêm uma
lista de outros sistemas visíveis. Ao visualizar o conteúdo da tabela de nomes em cache, o investigador pode determinar
os outros sistemas afetados na rede.
Um investigador deve coletar vários tipos de informações de rede para encontrar evidências do incidente suspeito. As
informações de rede úteis para investigação incluem o seguinte:
ÿ Conteúdo de dados, como informações de cabeçalho, texto, etc.
ÿ Informação da sessão relevante para a investigação
ÿ IDS/IPS, firewall, servidor e dados de log de aplicativos
ÿ Outras informações de rede, como transferências seguras de arquivos
ÿ Pacotes de rede
ÿ Resultados da varredura de portas

O cache da tabela de nomes NetBIOS mantém uma lista de conexões feitas com outros sistemas usando a rede
NetBIOS. Ele contém o nome do sistema remoto e o endereço IP. O utilitário de linha de comando nbtstat no
Windows mostra o cache da tabela de nomes NetBIOS.
ÿ nbtstat
nbtstat ajuda a solucionar problemas de resolução de nomes NetBIOS. Quando uma rede está funcionando
normalmente, NetBIOS sobre TCP/IP (NetBT) resolve nomes NetBIOS para endereços IP.
Sintaxe:
nbtstat [-a RemoteName] [-A endereço IP] [-c] [-n] [-r] [-R] [-RR] [-s] [-
S] [intervalo]
Parâmetros:
o -c: Mostra o conteúdo da tabela de cache de nome remoto NetBIOS, que contém
Mapeamentos de nome-para-endereço IP NetBIOS
o -n: Exibe os nomes que foram registrados localmente no sistema pelo NetBIOS
aplicativos como o servidor e o redirecionador
o -r: Exibe a contagem de todos os nomes NetBIOS resolvidos por transmissão e consultando um
Servidor Windows Internet Naming Service (WINS)
o -S: Lista as sessões NetBIOS atuais e seus status
o -a: Mostra detalhes da tabela de nomes de máquinas remotas NetBIOS
Figura 6.8: Executando o comando nbtstat com a opção -c

Figura 6.9: Executando o comando nbstat com a opção -a

Coletando informações sobre conexões de rede

ÿ A coleta de informações sobre as conexões de rede em execução de e para o sistema da vítima permite localizar
invasor conectado, comunicação IRCbot, worms fazendo login no servidor de comando e controle
ÿ Netstat com opção –ano exibe detalhes das conexões de rede TCP e UDP, incluindo portas de escuta e
os identificadores
Sintaxe:
netstat [-a] [-e] [-n] [-o] [-p <Protocolo>] [-r] [-s] [<Intervalo>]
Coletando informações sobre conexões de rede
O investigador deve coletar informações sobre conexões de rede de e para o sistema afetado imediatamente após o
relato de qualquer incidente, caso contrário, as informações podem expirar com o tempo.
Os investigadores devem analisar minuciosamente o sistema e determinar se o invasor se desconectou ou ainda

está acessando o sistema. Também é importante saber se o invasor instalou algum worm ou IRCbot para enviar os
dados para fora do sistema.
Os investigadores devem procurar imediatamente por outros sistemas infectados e colocá-los offline para evitar a
propagação de malware.
ÿ netstat
A ferramenta Netstat ajuda na coleta de informações sobre conexões de rede operativas em um sistema
Windows. Esta ferramenta CLI fornece uma visão simples das conexões TCP e UDP, seu estado e
estatísticas de tráfego de rede. Netstat.exe vem como uma ferramenta integrada com o sistema operacional Windows.
A maneira mais comum de executar o netstat é com a opção -ano . Essa opção informa ao programa para
exibir as conexões de rede TCP e UDP, as portas de escuta e os identificadores dos processos (PIDs).
Usar netstat com a opção -r exibirá a tabela de roteamento e mostrará se alguma rota persistente está
habilitada no sistema. Isso pode fornecer algumas informações úteis para um investigador ou simplesmente
para um administrador para solucionar problemas de um sistema.
Sintaxe:
netstat [-a] [-e] [-n] [-o] [-p <Protocolo>] [-r] [-s] [<Intervalo>]

Parâmetros:
o -a: Exibe todas as conexões TCP ativas, bem como as portas TCP e UDP nas quais o
computador está ouvindo
o -e: Exibe estatísticas Ethernet, como o número de bytes e pacotes enviados e

recebido. Este parâmetro pode ser combinado com -s.
o -n: Exibe conexões TCP ativas. No entanto, os endereços e números de porta são
expressa numericamente sem nomes especificados.
o -o: Exibe as conexões TCP ativas e inclui o ID do processo (PID) para cada conexão. Usando o PID, o
aplicativo pode ser encontrado na guia Processos no Gerenciador de Tarefas do Windows. Esse
parâmetro pode ser combinado com -a, -n e -p.
o -p Protocol: Mostra conexões para o protocolo especificado. Nesse caso, o protocolo pode ser TCP,
UDP, ICMP, IP, ICMPv6, IPv6, TCPv6 ou UDPv6. O uso desse parâmetro com -s exibirá estatísticas
baseadas em protocolo.
o -s: Exibe estatísticas por protocolo. Por padrão, ele mostrará as estatísticas dos protocolos TCP, UDP,
ICMP e IP. Caso o protocolo IPv6 esteja instalado, a ferramenta exibe estatísticas para os protocolos
TCP sobre IPv6, UDP sobre IPv6, ICMPv6 e IPv6. O uso do parâmetro -p pode especificar um conjunto
de protocolos.
o -r: Exibe o conteúdo da tabela de roteamento IP. Isso é equivalente à impressão de rota
comando.
o Intervalo: Reexibe as informações selecionadas após um intervalo de número definido de segundos.

Pressione CTRL+C para parar a reexibição. A omissão desse parâmetro permitirá que o netstat
imprima as informações selecionadas.
Figura 6.10: Executando o netstat com a opção -ano

Figura 6.11: Executando o netstat com a opção – r

Processo de informação
ÿ Investigue os processos em execução em um sistema potencialmente comprometido e colete as informações
Ferramentas e comandos usados para coletar

informações detalhadas do processo incluem:
ÿ Gerenciador de Tarefas exibe os

programas, processos e serviços que
estão sendo executados no computador
Informações do processo (continuação)
Lista de tarefas
Tasklist exibe uma lista de aplicativos e serviços com seus

ID do processo (PID) para todas as tarefas em execução em um computador local ou
remoto

Informações do processo (continuação)
ÿ PsList exibe informações elementares sobre todos os processos em execução em um sistema

PsList
ÿ -x switch mostra processos, informações de memória e threads
Processo de informação
Os investigadores devem coletar informações sobre todos os processos em execução no sistema. Eles podem usar o
Gerenciador de Tarefas para visualizar informações sobre cada processo. No entanto, o Gerenciador de Tarefas não exibe
todas as informações necessárias prontamente. Um Investigador pode recuperar todas as informações do processo procurando
os detalhes listados abaixo:
ÿ O caminho completo para a imagem executável (arquivo .exe)
ÿ A linha de comando usada para iniciar o processo, se houver
ÿ A quantidade de tempo que o processo está em execução
ÿ O contexto de segurança/usuário em que o processo está sendo executado
ÿ Os módulos que o processo carregou
ÿ O conteúdo da memória do processo

Figura 6.12: Visualizando o gerenciador de tarefas
Portanto, os investigadores devem aprender a adotar certas fontes ou ferramentas e comandos para coletar os
detalhes completos ou informações pertencentes a um processo. Algumas ferramentas e comandos importantes
usados para coletar informações detalhadas do processo estão listados abaixo:
ÿ Lista de Tarefas
Tasklist.exe é um utilitário nativo incluído no Windows XP Pro e versões posteriores como substituto do
tlist.exe. As diferenças entre as duas ferramentas são muito pequenas, principalmente relacionadas ao
nome e à implementação das opções. Ele fornece opções para formatação de saída, com opções entre os
formatos de tabela, CSV e lista. O investigador pode usar a opção /svc para listar as informações de serviço
para cada processo.
A ferramenta Tasklist exibe a lista de aplicativos e serviços junto com as IDs de processo (PID) para todas
as tarefas que estão sendo executadas em um computador conectado local ou remotamente.
Sintaxe:
lista de tarefas[.exe] [/s computador] [/u domínio\usuário [/p senha]] [/fo {TABLE|LIST|
CSV}] [/nh] [/fi FilterName [/fi FilterName2 [ ... ] ]] [/m [ModuleName] | /svc | /v]
Parâmetros:
o /s Computador: Especifica o nome ou endereço IP de um computador remoto (não use

barra invertida)

o /u Domínio \ Usuário: Executa o comando com as permissões de conta do usuário especificado por Usuário
ou Domínio\Usuário
o /p Senha: Especifica a senha da conta de usuário especificada no /u

parâmetro
o /fi FilterName: Especifica os tipos de processo(s) a serem incluídos ou excluídos do

inquerir
o /m [ModuleName]: Mostra as informações do módulo para cada processo
o /svc: Lista todas as informações de serviço para cada processo sem truncamento
o /v: Especifica que as informações detalhadas da tarefa sejam exibidas na saída; não deve ser usado com o
parâmetro /svc ou /m
o /?: Exibe ajuda no prompt de comando
Observação: a opção /v (ou detalhada) fornece a maioria das informações sobre os processos listados, incluindo
o nome da imagem (mas não o caminho completo), PID, nome e número da sessão do processo, o status do
processo, o nome de usuário do contexto em que o processo é executado e o título da janela (se o processo tiver
uma GUI).
Figura 6.13: Executando o comando tasklist com o parâmetro /v
ÿ PsList
pslist.exe exibe informações básicas sobre os processos já em execução em um sistema, incluindo a quantidade
de tempo que cada processo está em execução (nos modos kernel e usuário).
Parâmetros:
o -d: Mostra detalhes do thread
o -m: Mostra detalhes da memória
o -x: Mostra processos, informações de memória e threads
o -t: Mostra a árvore do processo
o -s [n]: Executa no modo gerenciador de tarefas por segundos opcionais especificados

o -r n: taxa de atualização do modo gerenciador de tarefas em segundos (o padrão é 1)
o \\computador: Mostra informações para o sistema NT/Win2K conforme especificado
Adicione um nome de usuário com o parâmetro -u e uma senha com -p para fornecer o nome de usuário e a senha de
um sistema remoto para fazer login nele.
o -e: correspondência exata do nome do processo
o Pid: Em vez de listar todos os processos em execução no sistema, este parâmetro restringe
para baixo a varredura PsList para o PID especificado
Figura 6.14: Executando o pslist e examinando a saída obtida dele
Figura 6.15: Saída obtida ao executar pslist.exe com o parâmetro -x

Mapeamento de processo para porta
ÿ O mapeamento de processo para porta rastreia a porta usada por um processo e o protocolo conectado ao IP
ÿ Ferramentas e comandos para recuperar o mapeamento do processo para a porta:
Sintaxe:
netstat -a -n -o
Mapeamento de processo para porta
Quando há uma conexão de rede aberta em um sistema, alguns processos devem estar usando essa conexão, o que
significa que cada conexão de rede e porta aberta está associada a um
processar.
Existem várias ferramentas disponíveis, que o investigador pode usar para recuperar o mapeamento do processo para a
porta. O comando netstat , por exemplo, pode recuperar informações sobre o mapeamento do processo para a porta.
ÿ Comando netstat
Conforme discutido anteriormente, o netstat.exe oferece a opção -o, que pode exibir as IDs dos processos
responsáveis pelo estabelecimento de uma conexão de rede.
Depois que as informações são coletadas, elas precisam ser correlacionadas com a saída de uma ferramenta
como tlist.exe ou tasklist.exe para determinar o nome dos processos que usam essa conexão de rede específica.
Sintaxe:
netstat -a -n -o

Figura 6.16: Executando o comando netstat com o parâmetro -o

Examinando a memória do processo
ÿ Os processos em execução podem ser suspeitos ou maliciosos

na natureza
ÿ O Process Explorer pode ser usado para verificar se o processo é

malicioso/suspeito
ÿ Process Explorer mostra informações sobre handles abertos ou

carregados e processos de DLLs
ÿ Se o processo for suspeito, ele reúne mais https:// docs.microsoft.com
informações despejando a memória usada pelo processo usando

ferramentas como ProcDump e Process
basculante
ÿ A ferramenta vem com suporte integrado ao VirusTotal para verificar

se o processo em execução é malicioso
Examinando a memória do processo
Os processos em execução podem ser suspeitos ou maliciosos por natureza. Os investigadores devem usar ferramentas como
o Process Explorer para verificar se o processo é malicioso/suspeito. A ferramenta vem com suporte integrado ao VirusTotal
para verificar se o processo em execução é malicioso.
Algumas das ferramentas que podem ajudar os investigadores a examinar os processos em execução são brevemente discutidas
abaixo.
ÿ Explorador de Processos
O Process Explorer mostra informações sobre os handles e DLLs dos processos que foram abertos ou carregados.
A exibição do Process Explorer consiste em duas subjanelas. A janela superior sempre mostra uma lista de processos
atualmente ativos, incluindo os nomes de suas próprias contas, enquanto as informações exibidas na janela inferior
dependem do modo do Process Explorer.
Se estiver no modo handle, são mostrados os handles que são abertos pelo processo selecionado na janela superior.
Se o Process Explorer estiver no modo DLL, as DLLs e os arquivos mapeados na memória carregados pelo processo
selecionado serão exibidos.

Figura 6.17: Examinando processos usando o Process Explorer
ÿ ProcDump
ProcDump é um utilitário de linha de comando. Seu objetivo principal é monitorar os aplicativos em busca
de picos de CPU e gerar despejos de memória durante um pico para que um administrador ou desenvolvedor
possa determinar a causa do pico. O ProcDump também inclui monitoramento de janela travada,
monitoramento de exceção não tratada e geração de despejos com base nos valores dos contadores de
desempenho do sistema.
ÿ Descarregador de Processo
Fonte: https:// github.com
Process Dumper despeja forense a memória de um processo em execução. É uma ferramenta de interface
de linha de comando que despeja todo o espaço do processo, usa metainformações para descrever os
diferentes mapeamentos e estados e salva o ambiente do processo.
Figura 6.18: Usando o Process Dumper para despejar a memória de um processo em execução

Coletando o status da rede

ÿ Coletar informações da interface de rede
placas (NICs) de um sistema para saber se o sistema
está conectado a um ponto de acesso sem fio e qual
endereço IP está sendo usado
ÿ As ferramentas para a detecção do status da rede são:
ÿ comando ipconfig
ÿ Ferramenta PromiscDetect
ÿ Ferramenta Promqry
ÿ Ipconfig.exe é um utilitário nativo do Windows

sistemas que exibem informações sobre NICs e seu
status
ÿ O comando Ipconfig /all exibe a configuração de rede

das NICs no sistema
Coletando o status da rede (continuação)
ÿ O PromiscDetect verifica se o(s) adaptador(es) de rede está(ão) sendo executado(s) em modo promíscuo, o que
pode ser um sinal de que um sniffer está rodando no computador
Coletando o status da rede
Os investigadores devem extrair informações sobre o status das placas de interface de rede (NICs) que
conectam um sistema à rede disponível. Atualmente, muitos laptops e desktops vêm com NICs sem fio
integradas, de modo que as informações sobre o tipo de conexão que um dispositivo está usando ou o
endereço IP que ele está usando permaneçam ocultas. Os investigadores devem coletar informações
sobre o status dos NICs antes de adquirir o sistema para ter uma melhor visão dos resultados da investigação.

ÿ Comando ipconfig
ipconfig.exe é um utilitário de linha de comando que os investigadores podem usar para obter
informações sobre NICs e a configuração TCP/IP atual. O Ipconfig também aceita vários
comandos DHCP (Dynamic Host Configuration Protocol), permitindo assim que um sistema
atualize ou libere sua configuração de rede TCP/IP.
Os investigadores devem usar o comando ipconfig /all para visualizar todos os valores de
configuração TCP/IP atuais, incluindo o endereço IP, máscara de sub-rede, gateway padrão e
configuração de WINS e DNS. As informações geradas por esse comando também incluem o
estado da NIC e do DHCP. A coleta dessas informações ajudará os investigadores a examinar
os logs de tráfego de rede e o endereço IP dos sistemas envolvidos em um incidente de segurança.
Figura 6.19: Executando o comando ipconfig /all
Os invasores instalam farejadores de tráfego de rede em sistemas comprometidos para capturar

informações de tráfego de rede, como credenciais de login ou para mapear os serviços que outros
sistemas conectados à rede estão executando. Os NICs podem capturar dados de tráfego de rede apenas
quando estão em modo promíscuo.

Um administrador ou investigador não poderá descobrir diretamente se o NIC está em modo promíscuo ou não, porque
os sistemas Windows não possuem nenhum botão ou ícone especial para indicar o modo NIC. Além disso, os sistemas
Windows não possuem nenhum ícone na bandeja ou configuração do Painel de controle que possa indicar diretamente
se alguém está detectando o tráfego da rede.
Portanto, os investigadores precisam usar ferramentas especiais para detectar esses incidentes e programas que podem
estar sendo executados em um sistema. Ferramentas como o PromiscDetect podem ajudar na análise do status da NIC
do sistema.
ÿ PromiscDetect
Fonte: https:// vidstromlabs.com
O PromiscDetect verifica se o(s) adaptador(es) de rede está(ão) sendo executado(s) em modo promíscuo, o que
pode ser um sinal de que há um sniffer em execução no computador.
Figura 6.20: Executando o comando promiscdetect

Coleta de informações não voláteis
1 Os dados não voláteis permanecem inalterados mesmo depois que o sistema é desligado ou desligado
2 Exemplo: e- mails, documentos de processamento de texto, planilhas e vários arquivos “excluídos”
3 Esses dados geralmente residem no disco rígido (arquivo de troca, espaço livre, espaço em disco não alocado, etc.)
4 Outras fontes de dados não voláteis incluem DVDs, pen drives USB, memória de smartphones, etc.
Coleta de informações não voláteis
Informações não voláteis podem ser adquiridas durante a aquisição de dados estáticos. As informações obtidas de
dados não voláteis podem ajudar o investigador a recuperar dados perdidos/excluídos, informações do navegador,
informações de dispositivos conectados, etc., que podem ser úteis durante a investigação forense.
Os dados não voláteis permanecem inalterados quando um sistema desliga ou perde energia. Alguns exemplos de
dados não voláteis incluem e-mails, documentos de processamento de texto, planilhas e vários arquivos “excluídos”.
O investigador pode decidir quais informações precisam ser extraídas do registro ou quais informações sobre (ou de)
arquivos devem ser coletadas para análise adicional.
Também existe a possibilidade de o invasor estar ativamente conectado ao sistema e acessando os dados. Nesses
casos, o investigador pode até decidir rastrear o invasor. É importante que o investigador mantenha certas informações
importantes intactas sem qualquer modificação ou exclusão. Depois que o usuário inicia o sistema, alguns dados
podem ser modificados, como unidades mapeadas de ou para o sistema, serviços iniciados ou aplicativos instalados.
Essas modificações podem não ser persistentes durante uma reinicialização e, portanto, o investigador deve registrá-
las e documentá-las.
Os dados não voláteis geralmente residem em discos rígidos; ele também existe em arquivos de troca, espaço livre e
espaço de unidade não alocado. Outras fontes de dados não voláteis incluem CD-ROMs, unidades de armazenamento
USB e smartphones.

Examinando sistemas de arquivos
ÿ Execute o comando dir /o:d no

prompt de comando
ÿ Isso permite ao investigador examinar:
ÿ A hora e a data do SO
instalação
ÿ Os service packs, patches e subdiretórios que

se atualizam automaticamente com
frequência.
Por exemplo: motoristas, etc.
ÿ Dê prioridade a arquivos com data recente
Examinando sistemas de arquivos
Ter uma compreensão completa do sistema de arquivos do Windows é fundamental para um investigador forense ao tentar acessar dados
do sistema de arquivos e reconstruir eventos do sistema de arquivos. Os sistemas de arquivos compreendem cinco seções, ou seja, dados
do sistema de arquivos, dados de conteúdo, metadados, nome do arquivo e dados do aplicativo do sistema de arquivos.
ÿ Dados do sistema de arquivos: Os dados do sistema de arquivos fornecem detalhes sobre a estrutura do sistema de arquivos,
como sistema de arquivos e tamanho do bloco do sistema de arquivos, número de blocos alocados, etc.
ÿ Dados de conteúdo: Esses dados contêm a maior parte das informações do sistema de arquivos. Consiste no conteúdo do sistema
de arquivos.
ÿ Metadados: Os metadados geralmente fornecem informações sobre locais de conteúdo, tamanho de arquivo,
e carimbos de data/hora MAC.
ÿ Dados do aplicativo : os dados do aplicativo fornecem informações sobre a cota de diário do sistema de arquivos
Estatisticas.
O exame dessas seções de um sistema de arquivos permite que o investigador colete uma variedade de dados que podem conter evidências
potenciais para resolver o caso. Um investigador deve executar o comando dir /o:d no prompt de comando. Isso permitirá que eles examinem
a hora e a data da instalação do sistema operacional, os service packs, patches e subdiretórios que se atualizam automaticamente com
frequência (por exemplo: drivers, etc.).

Figura 6.21: Executando o comando dir /o:d
Nota: Os investigadores devem dar prioridade aos arquivos com data recente.

Ficheiro de Base de Dados ESE
ÿ Extensible Storage Engine (ESE) é uma tecnologia de armazenamento de dados usada por vários softwares gerenciados pela Microsoft, como Active
Diretório, Windows Mail, Windows Search e Windows Update Client
ÿ Este arquivo de banco de dados também é conhecido como JET Blue
ÿ A extensão do arquivo de banco de dados ESE é .edb. A seguir estão os exemplos de arquivos de banco de dados ESE:
ÿ contacts.edb - Armazena informações de contatos em produtos Microsoft Live
ÿ WLCalendarStore.edb - Armazena informações de calendário no Microsoft Windows Live Mail
ÿ Mail.MSMessageStore - Armazena informações de mensagens no Microsoft Windows Live Mail
ÿ WebCacheV24.dat e WebCacheV01.dat - Armazena cache, histórico e informações de cookies no Internet Explorer 10
ÿ Mailbox Database.edb e Public Folder Database.edb - Armazena dados de correio no Microsoft Exchange Server
ÿ Windows.edb - Armazena informações de índice (para pesquisa do Windows) pelo sistema operacional Windows
ÿ DataStore.edb - Armazena informações de atualizações do Windows (Localizado em C:\windows\SoftwareDistribution\DataStore)
ÿ spartan.edb - Armazena os Favoritos do Internet Explorer 10/11. (Armazenado sob

%LOCALAPPDATA%\Packages\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\AC\MicrosoftEdge\User\Default\DataStore\Data\nous er1\120712-0049)
Ficheiro de Base de Dados ESE
Muitos aplicativos da Microsoft no sistema operacional Windows usam a tecnologia de armazenamento de dados conhecida
como Extensible Storage Engine (ESE). O ESE é usado por vários softwares gerenciados pela Microsoft, como Active Directory,
Windows Mail, Windows Search e Windows Update Client. Do ponto de vista forense, o banco de dados ESE é importante
porque armazena e gerencia os principais registros pertencentes a sistemas e usuários no sistema operacional Windows. O
ESE também é conhecido como JET Blue. Os arquivos de banco de dados ESE são indicados pela extensão .edb.
A seguir estão os exemplos de arquivos de banco de dados ESE:
ÿ contacts.edb: Armazena informações de contatos em produtos Microsoft Live
ÿ WLCalendarStore.edb: Armazena informações de calendário no Microsoft Windows Live Mail
ÿ Mail.MSMessageStore: Armazena informações de mensagens no Microsoft Windows Live Mail
ÿ WebCacheV24.dat e WebCacheV01.dat: Armazena cache, histórico e cookies

informações no Internet Explorer 10
ÿ Mailbox Database.edb e Public Folder Database.edb: Armazena dados de email no Microsoft
Servidor Exchange
ÿ Windows.edb: Armazena informações de índice (para pesquisa do Windows) pelo sistema operacional Windows
ÿ DataStore.edb: Armazena informações de atualizações do Windows (localizado em

C:\windows\SoftwareDistribution\DataStore)
ÿ spartan.edb: Armazena os Favoritos do Internet Explorer 10/11. (Armazenado em %LOCALAPPDATA%

\Packages\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\AC\Microsoft Edge\User\Default\DataStore\Data\nouser1\120712-0049)

Examinando arquivo .edb usando ESEDatabaseView
ÿ Os dados armazenados nos arquivos de banco de
dados ESE podem ser analisados por ferramentas como

ESEDatabaseView e ViewESE
ÿ Durante a investigação forense, os dados

extraídos desses arquivos .edb podem servir
como uma evidência potencial
ÿ ESEDatabaseView lista todas as tabelas e

registros encontrados nas tabelas selecionadas do
arquivo de banco de dados .edb
ÿ Os dados extraídos de
ESEDatabaseView pode ser exportado para um
arquivo HTML
Examinando arquivo .edb usando ESEDatabaseView
Investigadores forenses podem usar a ferramenta ESEDatabaseView para extrair evidências valiosas de arquivos .edb.
A ferramenta exibe os dados armazenados em arquivos .edb em um formato bem estruturado, fácil de ler e analisar.
ÿ ESEDatabaseView
ESEDatabaseView é um utilitário simples que lê e exibe os dados armazenados no banco de dados ESE. Ele
exibe uma lista de todas as tabelas disponíveis no arquivo de banco de dados aberto, permite escolher a
tabela desejada para visualizar e visualizar todos os registros encontrados na tabela selecionada.
ESEDatabaseView também permite escolher facilmente um ou mais registros e, em seguida, exportá-los para
um arquivo delimitado por vírgulas/delimitado por tabulações/html/xml ou copiar os registros para a área de
transferência (Ctrl+C) e colá-los no Excel ou em outra planilha inscrição.

Figura 6.22: Examinando um arquivo .edb usando ESEDatabaseView

Análise do índice de pesquisa do Windows
ÿ O índice de pesquisa do Windows usa a tecnologia de
armazenamento de dados ESE para armazenar seus dados
ÿ Está armazenado em um arquivo chamado

Windows.edb, localizado no diretório:
C:
\ProgramData\Microsoft\Search\Data\Applications\Windows
ÿ Os investigadores forenses analisam esses arquivos

para extrair dados pertencentes a dados excluídos,
discos danificados, arquivos criptografados,
delimitação de eventos, etc., que podem ser uma boa
fonte de evidência para investigação
ÿ Na captura de tela fornecida, ESEDatabaseView é usado

para analisar o arquivo Windows.edb e extrair os
detalhes dos dados excluídos no sistema
Análise do índice de pesquisa do Windows
O sistema operacional Windows usa um banco de dados de índice chamado Windows Search Index, que permite a
indexação de arquivos e outros conteúdos e permite uma pesquisa mais rápida e precisa de dados no sistema. Ele
armazena informações indexadas para todo o conteúdo pesquisado pelos usuários. O índice de pesquisa do
Windows é armazenado no arquivo Windows.edb, localizado no seguinte diretório:
C:\ProgramData\Microsoft\Search\Data\Applications\Windows
Investigadores forenses podem extrair evidências valiosas referentes a dados excluídos, discos danificados, arquivos
criptografados, delimitação de eventos etc. do arquivo windows.edb. Para extrair evidências do arquivo Windows.edb
para sua investigação, os investigadores devem analisar os dados armazenados nesse arquivo.
Na captura de tela abaixo, ESEDatabaseView é usado para analisar o arquivo Windows.edb e extrair os detalhes
dos dados excluídos do sistema.

Figura 6.23: Analisando o arquivo Windows.edb usando ESEDatabaseView

Detecção de dispositivos conectados externamente ao sistema

ÿ Os invasores conectam mídia de armazenamento externo ao sistema e roubam dados confidenciais ou realizam atividades ilícitas
ÿ Como parte da investigação forense, identificar os dispositivos conectados ao sistema ajuda o investigador a determinar se
qualquer mídia externa é usada pelo suspeito
ÿ Mais tarde, o investigador pode obter a mídia externa específica do suspeito de maneira legal para análise posterior ÿ O utilitário,
DriveLetterView, lista todas as unidades no sistema, mesmo que não estejam conectadas no momento
Detecção de dispositivos conectados externamente ao sistema
Detectar os dispositivos conectados a um sistema é uma parte importante da investigação forense, pois ajuda os
investigadores forenses a determinar se alguma mídia externa foi usada pelo suspeito para cometer crimes cibernéticos.
Os investigadores podem usar a ferramenta DriveLetterView para listar todos os dispositivos/unidades no sistema, mesmo
que não estejam conectados no momento.
ÿ DriveLetterView
DriveLetterView é um utilitário simples que permite visualizar a lista de todas as atribuições de letra de unidade no
sistema, incluindo unidades locais, unidades de rede remotas, unidades de CD/DVD e unidades USB - mesmo que
não estejam conectadas no momento.
Ele também permite alterar facilmente uma letra de unidade de dispositivos USB e compartilhamentos de rede
remota, bem como excluir uma letra de unidade de dispositivo USB que não esteja conectado. Também é possível
usar o DriveLetterView para exportar a lista de todas as unidades para o arquivo text/csv/html/xml.

Figura 6.24: Usando o DriveLetterView para detectar uma mídia externa conectada a uma máquina
Figura 6.25: Usando o DriveLetterView para detectar uma mídia externa conectada a uma máquina

Espaço livre
Etapas na coleta de informações de espaço slack
ÿ Espaço livre refere-se às partes de um disco rígido Conecte-se ao computador de destino

e selecione a mídia
que podem conter dados de um arquivo excluído
anteriormente ou espaço não utilizado pelo arquivo
atualmente alocado
Crie uma cópia em nível de bit da mídia original

ÿ A alocação de arquivos não contíguos deixa mais
clusters à direita, deixando mais espaço livre
Verifique a cópia gerando seu valor de hash

ÿ O resíduo de dados no espaço slack é recuperado lendo
o cluster completo
Investigue usando pesquisas de palavras-chave,

ÿ A ferramenta DriveSpy coleta todo o espaço livre em um
análise de hash, análise de assinatura de arquivo e
partição inteira em um arquivo Enscripts presentes na ferramenta Encase
Espaço livre
Espaço livre, também chamado de espaço livre de arquivo, refere-se às partes de um disco rígido que podem conter
dados de um arquivo excluído anteriormente ou espaço não utilizado pelo arquivo alocado atualmente. É o espaço
gerado entre o final de um arquivo armazenado e o final do agrupamento de discos. Isso acontece quando o
tamanho do arquivo atualmente gravado é menor que o do arquivo gravado anteriormente no mesmo cluster. Nesses
casos, os dados residuais permanecem como estão e podem conter informações significativas quando examinados
forense. A alocação de arquivos não contíguos deixa mais clusters à direita, deixando mais espaço livre. O resíduo
de dados no espaço slack é recuperado lendo o cluster completo.
Pode ser possível usar espaço livre para armazenar dados que se deseja ocultar sem ter conhecimento do sistema
de arquivos subjacente. Para fazer isso, crie um arquivo menor que o espaço disponível e use o restante do espaço
para armazenar os dados ocultos. Esses dados serão invisíveis para o sistema de arquivos e permanecerão os
mesmos até serem alterados manualmente. No entanto, criar novos arquivos que resultam em espaço livre não é a
maneira mais segura de ocultar dados. A ferramenta DriveSpy coleta todo o espaço disponível em uma partição
inteira em um arquivo.

Figura 6.26: Etapas envolvidas na coleta de informações de espaço slack

Fluxo do módulo
Colete voláteis e
Execute a análise de memória e

2 registro do Windows
Examine o cache, o cookie e o

3 histórico registrado em
Navegadores da Web
Examinar arquivos e metadados

4 do Windows
Execute a análise de memória e registro do Windows

Na computação moderna, a RAM desempenha um papel importante no armazenamento de informações
voláteis. Traços de processos, threads, malware, arquivos abertos, conexões de rede, aplicativos ocultos,
chaves de criptografia etc. podem ser encontrados na RAM, tornando-a um componente crucial do ponto de
vista da coleta de evidências. Portanto, ter a capacidade de examinar esses dados é altamente vantajoso para a perícia.
Por outro lado, as chaves de registro do Windows registram todas as ações que um usuário executa na
máquina. Um exame desses registros pode ajudar os investigadores forenses a rastrear as ações do usuário
nos sistemas.
Esta seção discute como analisar a memória (RAM) em uma máquina Windows. Ele também apresenta uma
visão geral da análise forense do registro do Windows.

janelas
Memória
Análise
ÿ A análise de memória do Windows envolve a aquisição de memória física ou despejos de RAM do Windows
máquina
ÿ Examinar esses despejos de memória ajuda os investigadores a detectar rootkits ocultos, encontrar objetos ocultos,
determinar qualquer processo suspeito, etc.
Análise de memória do Windows
A análise de memória do Windows é parte integrante da análise forense e envolve a aquisição de memória
física ou despejos de RAM da máquina Windows. Examinar esses despejos de memória ajuda os
investigadores a detectar rootkits ocultos, encontrar objetos ocultos, determinar qualquer processo suspeito, etc.

Despejo de travamento do Windows

ÿ O arquivo de despejo de memória do Windows contém o conteúdo da memória
do computador no momento da falha
ÿ Auxilia no diagnóstico e identificação de bugs em um programa que levou ao travamento do

sistema
ÿ Você pode verificar as informações de despejo de memória usando DumpChk

Utilitário
ÿ No Windows 10, o sistema operacional cria os seguintes despejos de memória:
ÿ Despejo automático de memória
ÿ Despejo de memória completo
ÿ Despejo de memória do kernel
ÿ Pequeno despejo de memória
ÿ Examinar os despejos de travamento às vezes pode ajudar um investigador forense

a descobrir se o travamento foi causado por um erro interno ou por um invasor
remoto, que conseguiu explorar um bug no sistema operacional ou um aplicativo de
terceiros instalado no SO
Despejo de travamento do Windows
Despejo de memória ou despejo de memória é um espaço de armazenamento onde o sistema armazena um backup de
memória em caso de falha do sistema. O sistema também cria um despejo de memória quando não possui memória suficiente
para a operação do sistema. Os despejos de memória ajudam a diagnosticar e identificar bugs em um programa que levou à
falha do sistema. Inclui todas as informações sobre mensagens de parada, uma lista de drivers carregados e informações sobre
o processador que parou. As informações nos despejos de memória estão no formato binário, octal ou hexadecimal. Esse
backup permite que os usuários examinem a causa da falha do sistema e identifiquem quaisquer erros nos aplicativos ou no
sistema operacional. Nos sistemas Windows, é popularmente conhecido como tela azul da morte (BSOD). O dump principal
inclui o estado do sistema, localizações de memória, status de aplicativo ou programa, contadores de programa, etc. antes da
falha do sistema. O sistema precisa ser reinicializado para ficar acessível após o despejo de memória.
Essa memória também mantém um arquivo de log do sistema para referência futura.
No Windows 10, o sistema operacional cria os seguintes despejos de memória:
ÿ Despejo automático de memória
ÿ Despejo de memória completo
ÿ Despejo de memória do kernel
ÿ Pequeno despejo de memória
Examinar os despejos de memória às vezes pode ajudar um investigador forense a descobrir se a falha foi causada por um
erro interno ou por um invasor remoto, que conseguiu explorar um bug no sistema operacional ou um aplicativo de terceiros
instalado no sistema operacional . Os investigadores podem usar ferramentas como DumpChk para analisar o despejo de
memória nesses casos.

Figura 6.27: Selecionando Despejo de memória automático em Configurações de inicialização e recuperação
ÿ DumpChk
DumpChk (ferramenta verificadora de arquivo de despejo de memória da Microsoft) é um programa que

executa uma análise rápida de um arquivo de despejo de memória. Ele mostra informações resumidas sobre
o que o arquivo de despejo contém. Se o arquivo dump estiver corrompido de forma que não possa ser aberto
por um depurador, o DumpChk revelará o mesmo ao investigador.
Sintaxe:
DumpChk [-y SymbolPath] DumpFile
Parâmetros:
o -y SymbolPath: SymbolPath especifica onde DumpChk precisa procurar por símbolos
o DumpFile: DumpFile especifica o arquivo de despejo de memória a ser analisado

Coletando memória de processo

Colete o conteúdo da memória do processo disponível em um arquivo de despejo de RAM
Process Dumper (pd.exe) despeja todo o espaço do processo junto com os metadados
adicionais e o ambiente do processo no console; ele redireciona a saída para um arquivo
ou um soquete
Userdump.exe despeja qualquer processo sem anexar um depurador e sem

encerrar o processo após a conclusão do despejo
Outro método de despejar um processo é usar o script adplus.vbs
Uma vez concluído o processo de despejo, use as ferramentas de depuração para analisar os
arquivos de despejo
Coletando memória de processo
Durante uma investigação, o investigador geralmente está interessado apenas em processos específicos em
vez de uma lista de todos os processos e prefere reunir mais do que apenas o conteúdo da memória do
processo disponível no arquivo de despejo de RAM. Por exemplo, o investigador pode ter identificado
rapidamente processos de interesse que não exigiam nenhuma investigação adicional extensa. Existem
maneiras de coletar toda a memória usada por um processo - não apenas o que está presente na memória
física, mas também o que está na memória virtual ou no arquivo de paginação. A ferramenta Process Dumper
despeja todo o espaço do processo, juntamente com metadados adicionais e o ambiente do processo, no
console (STDOUT) para que a saída possa ser redirecionada para um arquivo ou soquete.
Userdump.exe permite descarregar qualquer processo, sem anexar um depurador e sem encerrar o processo
uma vez que o despejo tenha sido concluído. Além disso, o arquivo de despejo gerado pelo userdump.exe
pode ser lido pelas ferramentas de depuração do MS. No entanto, requer a instalação de seu driver específico.
Outro método de despejar um processo é usar o script adplus.vbs. Uma vez concluído o processo de despejo,
os investigadores podem usar ferramentas de depuração, como Handle.exe e ListDLLs.exe, para analisar os
arquivos de despejo.

Aquisição de memória de acesso aleatório (RAM)
Examinar a memória volátil é tão

01 importante quanto a memória não volátil
Do ponto de vista forense, examinando

Os dumps de RAM fornecem artefatos do sistema,
02 como serviços em execução, arquivos e mídia

acessados, processos do sistema, informações de
rede e atividade de malware
Durante a aquisição ao vivo, os investigadores

usam ferramentas como Belkasoft RAM
03 Capturer e AccessData FTK Imager para
executar dumps de RAM
Aquisição de memória de acesso aleatório (RAM)
Examinar a memória volátil é tão importante quanto a memória não volátil. Do ponto de vista forense, examinar
os despejos de RAM fornece artefatos do sistema, como serviços em execução, arquivos e mídia acessados,
processos do sistema, informações de rede e atividade de malware.
Durante a aquisição ao vivo, os investigadores usam ferramentas como Belkasoft RAM Capturer e AccessData
FTK Imager para realizar despejos de RAM.
Figura 6.28: Capturando RAM usando AccessData FTK Imager

Análise Forense de Memória: Análise de Malware Usando Redline
ÿ Redline é uma ferramenta de segurança para

identificar atividades maliciosas por meio da
memória e ajuda os investigadores forenses
a estabelecer a linha do tempo e o escopo
de um incidente
ÿ Analise o despejo de RAM usando

Redline carregando-o de 'Analisar
seção de dados
ÿ Na guia 'Analysis Data' , você pode

encontre todos os processos em execução no
sistema quando o despejo de RAM foi
adquirido
https:// www.fireeye.com

(continua)
Clique em 'Portas' em 'Processos'
guia, onde você pode encontrar
todas as conexões disponíveis quando o
Despejo de RAM foi adquirido
A partir da captura de tela,

observa-se que o Processo
'rundll32.exe', PID 1896 está fazendo
conexão com o endereço IP remoto
172.20.20.21 sobre a porta 4444,
que parece suspeita
Fonte: https:// www.fireeye.com
Investigadores forenses podem usar ferramentas como Redline para analisar a memória e detectar atividades maliciosas que
ocorreram em um sistema.
Essa ferramenta ajuda os investigadores a construir a linha do tempo e o escopo de um incidente de crime cibernético.


Etapas envolvidas na execução da análise de malware usando o utilitário Redline:
ÿ Analise o despejo de RAM usando Redline carregando-o na seção 'Analyze Data'
ÿ Na guia 'Dados de análise', você pode encontrar todos os processos em execução no sistema quando o
despejo de RAM foi adquirido, conforme indicado na figura abaixo.
Figura 6.29: Identificando processo suspeito

ÿ Clique em 'Portas' na aba 'Processos' para que você possa encontrar todas as conexões disponíveis
quando o despejo de RAM foi adquirido
ÿ Pela figura abaixo, observa-se que o Processo 'rundll32.exe', com o PID 1896, está fazendo conexão
com Endereço IP Remoto 172.20.20.21 pela Porta 4444, o que parece suspeito
Figura 6.30: Usando Redline para análise de malware

Análise do Registro do Windows
O registro do Windows é um banco de dados hierárquico que contém

configurações de baixo nível para o sistema operacional Microsoft Windows
e para aplicativos que usam o registro
Investigar os dados presentes no registro ajuda os investigadores

forenses a obter informações sobre o software instalado e as
configurações do driver de hardware, rastrear atividades suspeitas do
usuário, etc.
Essas informações ajudam os investigadores a criar uma análise da linha

do tempo do incidente durante a investigação forense
Análise do Registro do Windows

O registro do Windows é um banco de dados hierárquico que contém configurações de baixo
nível para o sistema operacional Microsoft Windows e para aplicativos que usam o registro.
Investigar os dados presentes no registro ajuda os investigadores forenses a obter informações
sobre o software instalado e as configurações do driver de hardware, rastrear atividades
suspeitas do usuário, determinar informações dos dispositivos conectados etc.

Registro do Windows
ÿ Toda ação realizada pelo usuário na máquina é registrada no Registro do Windows; Conseqüentemente,
é uma boa fonte de evidência durante a investigação forense
ÿ Com relação à persistência de dados, as seções do Registro do Windows são divididas em:
Não volátil: Volátil:
HKEY_LOCAL_MACHIN HKEY_CLASSES_ROOT
HKEY_USERS HKEY_CURRENT_USER
HKEY_CURRENT_CONFIG
ÿ As colmeias voláteis são capturadas durante a análise ao vivo do sistema enquanto as colmeias não voláteis são
armazenado no disco rígido
Registro do Windows (continuação)

Hives no registro do Windows desempenham um papel crítico no funcionamento do sistema:
HKEY_USERS Ele contém todos os perfis de usuário carregados ativamente para esse sistema
Esta seção contém informações de configuração relacionadas aos

HKEY_CLASSES_ROOT
aplicativos usados para abrir vários arquivos no sistema
HKEY_CURRENT_CONFIG Esta seção contém o perfil de hardware que o sistema usa na inicialização
Esta seção contém uma vasta gama de informações de configuração para o sistema,
HKEY_LOCAL_MACHINE
incluindo configurações de hardware e configurações de software
HKEY_CURRENT_USER É o perfil de usuário ativo e carregado para o usuário conectado no momento
Registro do Windows
O registro do Windows serve como um banco de dados de todas as atividades que um usuário executa em um
sistema Windows e, portanto, serve como uma fonte valiosa de evidência em uma investigação forense. No registro,
os dados são armazenados em pastas em estruturas semelhantes a árvores, chamadas de colmeias.

As principais seções do registro são:
ÿ HKEY_CLASSES_ROOT
ÿ HKEY_CURRENT_USER
ÿ HKEY_CURRENT_CONFIG
ÿ HKEY_LOCAL_MACHINE
ÿ HKEY_USERS
Com relação à persistência de dados, as seções do Registro do Windows são divididas em dois tipos:
ÿ Não volátil: HKEY_LOCAL_MACHINE, HKEY_USERS
ÿ Volátil: HKEY_CLASSES_ROOT, HKEY_CURRENT_USER, HKEY_CURRENT_CONFIG
As colmeias voláteis são capturadas durante a análise ao vivo do sistema, enquanto as colmeias não voláteis são armazenadas
no disco rígido. As colmeias desempenham um papel fundamental no funcionamento do sistema.
As principais seções do registro estão listadas abaixo:
1. HKEY_USERS
HKEY_USERS, abreviado como HKU, contém informações sobre todos os perfis de usuário atualmente ativos no
computador. Cada chave de registro na seção HKEY_USERS está relacionada a um usuário no computador, cujo
nome é o identificador de segurança do usuário (SID). As chaves de registro e os valores de registro em cada SID
controlam as unidades mapeadas específicas do usuário, impressoras instaladas, variáveis ambientais e assim por
diante.
2. HKEY_CLASSES_ROOT
abreviado
HKEY_CLASSES_ROOT, de HKEY_LOCAL_MACHINE\Software.
Como HKCR,
Ele é
contém informações de associação
unge-mede extensão uma
de arquivo e dados de identificador programático (ProgID), ID de classe (CLSID) e ID de interface (IID). Essa seção
armazena as informações necessárias para garantir que o programa correto seja aberto quando o usuário abrir um
arquivo por meio do Windows Explorer. As informações de registro de classe e extensão de nome de arquivo
armazenadas em HKEY_CLASSES_ROOT são encontradas em HKEY_LOCAL_MACHINE e HKEY_CURRENT_USER.
3. HKEY_CURRENT_CONFIG
HKEY_CURRENT_CONFIG, abreviado como HKCC, armazena informações sobre o perfil de hardware atual do
sistema. As informações armazenadas nesta seção explicam as diferenças entre a configuração de hardware atual e
a configuração padrão.
O HKEY_CURRENT_CONFIG é simplesmente um ponteiro para a chave

de registro HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\CurrentControlSet\Hardware Profiles\Current,
que contém informações sobre a configuração de hardware padrão armazenada nas chaves Software e Sistema.

4. HKEY_LOCAL_MACHINE
HKEY_LOCAL_MACHINE, abreviado como HKLM, contém a maioria das informações de configuração

do software instalado (que também inclui o sistema operacional Windows) e informações sobre o estado
físico do computador (que inclui tipo de barramento, placas instaladas, tipo de memória, parâmetros de
controle de inicialização e dispositivo unidades).
5. HKEY_CURRENT_USER
HKEY_CURRENT_USER, abreviado como HKCU, contém as informações de configuração relacionadas

ao usuário conectado no momento. Esta seção controla as configurações de nível de usuário associadas
ao perfil do usuário, como papel de parede da área de trabalho, cores da tela, configurações de exibição,
etc.

Estrutura do Registro em um Arquivo Hive

ÿ Vários componentes do registro chamados “células” têm uma estrutura específica e contêm um tipo específico de
em formação
Tipos de células:
Célula da lista de Célula da lista Célula do

Célula-chave Célula de valor
subchaves de valores descritor de segurança
Contém Ele contém um É composto por É composto por Contém
Informações da valor e seus dados uma série de uma série de informações

chave do registro índices apontando índices apontando do descritor
e inclui para células-chave, para células de valor, de segurança para
compensações para outros todos eles são sub todos eles são uma célula-chave
células, bem como chaves para valores de um

o tempo LastWrite a célula chave pai célula de chave comum
para a chave
Estrutura do Registro em um Arquivo Hive
É essencial para um investigador forense ter uma boa compreensão dos componentes básicos do registro. Isso os ajudará a
obter informações extras por meio de pesquisas de palavras-chave de outros locais e fontes que incluem o arquivo de
paginação, memória física ou até mesmo espaços não alocados.
Ao obter mais informações sobre a estrutura do registro, o investigador forense pode entender melhor o que é possível e
como proceder. As células componentes do registro têm uma estrutura específica e contêm tipos específicos de informações.
Os diferentes tipos de células estão listados abaixo:
1. Célula de chave: contém informações de chave de registro e inclui deslocamentos para outras células, bem como
o tempo LastWrite para a chave.
2. Célula de valor: contém um valor e seus dados
3. Célula da lista de subchaves: É composta por uma série de índices que apontam para células-chave, todas elas são
subchaves da célula-chave pai
4. Célula lista de valores: É composta por uma série de índices que apontam para células de valores, todos eles
valores de uma célula-chave comum
5. Célula do descritor de segurança: Contém informações do descritor de segurança para uma célula-chave

Registro do Windows: Análise Forense

ÿ A análise forense do registro do Windows ajuda o investigador a extrair artefatos forenses , como contas de usuário,
arquivos acessados recentemente, atividade USB, últimos programas executados e aplicativos instalados
ÿ O investigador forense deve analisar o registro do Windows em dois métodos:
Análise Estática Análise ao vivo
ÿ O investigador examina os arquivos de registro ÿ O investigador pode usar

armazenados no arquivo de evidência capturado. editor de registro para examinar o registro e
Esses arquivos estão localizados na pasta C: também usar ferramentas como FTK Imager para
\Windows\System32\config . capturar arquivos de registro do sistema ativo
para análise
Registro do Windows: Análise Forense (continuação)

ÿ Para capturar arquivos de registro do Windows no
sistema Live usando o FTK Imager:
ÿ Abra o FTK Imager e navegue em Arquivo > Obter

Arquivos protegidos
ÿ Selecione, recuperação de senha e todos os arquivos de

registro (como mostrado na captura de tela) e forneça o
diretório de destino para extrair os arquivos
Subchaves de HKEY_LOCAL_MACHINE exportadas

Registro do Windows: Análise Forense (continuação)

Análise forense da subchave 'Software' usando o Hex Editor
ÿ As subchaves extraídas de HKEY_LOCAL_MACHINE contêm

as seguintes informações:
ÿ SAM (Security Account Manager): É um banco de dados de

segurança local e as subchaves no SAM contém configurações
de dados de usuários e grupos de trabalho
ÿ Segurança: Inclui banco de dados de segurança local no SAM
ÿ Software: Contém informações sobre os aplicativos de software e

suas definições de configuração no sistema
ÿ Sistema: Contém definições de configuração dos drivers de

hardware e serviços
ÿ Padrão: Inclui configurações padrão do usuário, mas

O arquivo NTUSER.dat pertencente ao usuário conectado no
momento substitui as configurações padrão do usuário
Observação: o investigador forense pode examinar esses arquivos de registro usando ferramentas como o Hex Workshop para extrair informações úteis
Registro do Windows: Análise Forense
A análise forense do registro do Windows ajuda o investigador a extrair artefatos forenses, como contas de usuário, arquivos
acessados recentemente, atividade USB, últimos programas executados e aplicativos instalados.
Os investigadores podem examinar o registro do Windows nos dois métodos a seguir:
ÿ Análise Estática: Neste método, os investigadores devem examinar os arquivos de registro contidos
no arquivo de evidência capturado.
Esses arquivos estão localizados na pasta C:\Windows\System32\config.
ÿ Análise ao vivo: neste método, os investigadores usam o editor de registro integrado para examinar o registro e
ferramentas como o FTK Imager para capturar arquivos de registro do sistema ativo para análise forense.
Para capturar arquivos de registro do Windows no sistema Live usando o FTK Imager:
ÿ Abra o FTK Imager e navegue em Arquivo>Obter arquivos protegidos
ÿ Selecione Recuperação de senha e todos os arquivos de registro (conforme mostrado na captura de tela abaixo) e
forneça o diretório de destino para extrair os arquivos

Figura 6.31: Capturando arquivos do Registro usando o FTK Imager
ÿ Os arquivos mostrados na figura abaixo são as subchaves de HKEY_LOCAL_MACHINE que possuem

foi exportado usando o FTK Imager de uma máquina suspeita ao vivo
Figura 6.32: Subchaves de HKEY_LOCAL_MACHINE exportadas usando o FTK Imager
As subchaves extraídas de HKEY_LOCAL_MACHINE contêm as seguintes informações:
ÿ SAM (Security Account Manager): Esta subchave armazena informações sobre usuários, contas de administrador,
contas de convidados, hashes criptográficos de cada senha de usuário, etc.
ÿ Segurança: Esta subchave armazena informações sobre a política de segurança do usuário atual

ÿ Software: Esta subchave contém informações sobre os aplicativos de software instalados e seus
definições de configuração no sistema
ÿ Sistema: Esta subchave armazena informações sobre as definições de configuração dos drivers de hardware
e serviços
ÿ Padrão: esta subchave armazena informações sobre as configurações padrão do usuário. No entanto, o arquivo
NTUSER.dat pertencente ao usuário conectado no momento substitui as configurações padrão do usuário.
Observação: os investigadores forenses também podem usar ferramentas como o Hex Workshop para recuperar artefatos
relacionados a crimes cibernéticos dos arquivos de registro capturados.
ÿ Oficina Hexa
Fonte: http:// www.hexworkshop.com
O Hex Workshop Hex Editor é um conjunto de ferramentas de desenvolvimento hexadecimal para Microsoft
Windows. Ele integra edição binária avançada e interpretação e visualização de dados com a facilidade e
flexibilidade de um processador de texto moderno.
Com o Hex Workshop, pode-se editar, cortar, copiar, colar, inserir, preencher e excluir dados binários.
Também é possível trabalhar com dados em sua estrutura nativa e tipos de dados usando o visualizador de
estrutura integrado do aplicativo e marcadores inteligentes.
Figura 6.33: Análise forense da subchave de software usando o Hex Editor

Fluxo do módulo
Colete voláteis e


Navegadores da Web

4 do Windows
Examine o cache, o cookie e o histórico registrado em navegadores da Web

Os navegadores da Web armazenam uma conta detalhada de todas as atividades do usuário realizadas
neles em caches, cookies e histórico do navegador. Ao analisar esses dados, os investigadores forenses
podem determinar as atividades online que foram realizadas no sistema, como sites visitados, arquivos
baixados, último site acessado, última hora de acesso a um determinado site, número de vezes que um
usuário visitou um site, etc. Tais dados podem ser de grande valor probatório em uma investigação forense.
Esta seção discute como examinar e analisar as informações registradas em caches, cookies e histórico
do navegador de diferentes navegadores da web.

Cache, Cookie e Histórico

Análise
O exame de navegadores da web, como Microsoft Edge, Google Chrome,

Mozilla Firefox, etc., fornece dados comprobatórios cruciais, como histórico
da web, cookies e informações de cache pertencentes à atividade de
navegação do usuário
Análise de cache, cookies e histórico
O exame de navegadores da web, como Microsoft Edge, Google Chrome, Mozilla Firefox, etc., fornece
dados comprobatórios cruciais, como histórico da web, cookies e informações de cache pertencentes à
atividade de navegação do usuário.

Análise de cache, cookies e histórico: Google Chrome

Google Chrome - Cache, cookies e histórico são
armazenados nos seguintes locais do sistema:
Localização do histórico e dos cookies:
C:\Usuários\{usuário}\AppData\Local\Google\
Chrome\Dados do usuário\Padrão
Localização da Cache:
C:\Usuários\{usuário}\AppData\Local\Google\
Chrome\Dados do usuário\Padrão\Cache
Análise de cache, cookies e histórico: Google Chrome

O Google Chrome registra informações sobre o histórico de navegação no sistema nos seguintes
locais:
ÿ Histórico, downloads e localização de cookies

C:\Users\{username}\AppData\Local\Google\Chrome\User Data\Default
ÿ Localização da cache
C:\Users\{username}\AppData\Local\Google\Chrome\User
Dados\Padrão\Cache

Figura 6.34: Histórico do Chrome, cookies e localização do cache

Ferramenta de análise: ChromeCacheView
1
ChromeCacheView é um pequeno
utilitário que lê a pasta de cache do Google
Chrome e exibe a lista de todos os arquivos
atualmente armazenados no cache
2
Ele exibe informações como
URL, tipo de conteúdo, tamanho do arquivo, último
Tempo de Acesso, Tempo de Expiração,
Nome do servidor e resposta do servidor
http:// www.nirsoft.net
Ferramenta de análise: ChromeCacheView

ÿ ChromeCacheView

ChromeCacheView é um pequeno utilitário que lê a pasta de cache do navegador Google
Chrome e exibe a lista de todos os arquivos atualmente armazenados no cache.
Para cada arquivo de cache, são exibidas as seguintes informações: URL, tipo de conteúdo, tamanho do arquivo,
hora do último acesso, hora de expiração, nome do servidor, resposta do servidor, etc.
Figura 6.35: Visualizando o cache do navegador Google Chrome

Ferramenta de análise:
ChromeCookiesView
ÿ ChromeCookiesView exibe a lista de todos

cookies armazenados pelo Google Chrome e permite
que os investigadores exportem os cookies para um
arquivo de texto/CSV/html/XML
ÿ Exibe informações como Nome do host,

Caminho, Nome, Valor, Seguro (Sim/Não), Somente HTTP
Cookie (Sim/Não), Hora do Último Acesso, Criação
Tempo e tempo de expiração para cada cookie
Ferramenta de análise: ChromeCookiesView

ÿ ChromeCookiesView

ChromeCookiesView exibe a lista de todos os cookies armazenados pelo navegador Google
Chrome. Ele também permite excluir cookies indesejados e exportar os cookies para o
arquivo text/csv/html/xml. Para cada cookie, as seguintes informações são exibidas: nome
do host, caminho, nome, valor, seguro (sim/não), cookie somente HTTP (sim/não), hora do
último acesso, hora da criação e hora da expiração.
Figura 6.36: Visualização de cookies do navegador Google Chrome

Ferramenta de análise: ChromeHistoryView
ÿ ChromeHistoryView lê o arquivo de
dados do histórico do Google
Chrome e exibe a lista de todas as páginas
da Web visitadas nos últimos dias
ÿ Exibe informações como

URL, título, data/hora da visita,
Número de visitas, número de vezes que o
usuário digitou este endereço
(contagem digitada), referenciador e visita
ID para cada página da web visitada
Ferramenta de análise: ChromeHistoryView
ÿ ChromeHistoryView
ChromeHistoryView é um pequeno utilitário que lê o arquivo de dados do histórico do navegador

Google Chrome e exibe a lista de todas as páginas da Web visitadas nos últimos dias. Para cada
página da Web visitada, são exibidas as seguintes informações: URL, título, data/hora da visita,
número de visitas, número de vezes que o usuário digitou este endereço (contagem digitada), referenciador e visita
EU IRIA.
Você pode selecionar um ou mais itens do histórico e exportá-los para um arquivo html/xml/csv/texto
ou copiar as informações para a área de transferência e colá-las no Excel.

Figura 6.37: Visualização do histórico do navegador Google Chrome

Análise de cache, cookies e histórico: Mozilla Firefox

Mozilla Firefox - Cache, cookies e histórico são armazenados nos seguintes locais do sistema:
Localização do cache: C:\Users\<Nome de usuário>\AppData\Local\Mozilla\Firefox\Profiles\XXXXXXXX.default\cache2
Localização dos cookies: C:\Users\<Nome de usuário>\AppData\Roaming\Mozilla\Firefox\Profiles\XXXXXXXX.default\cookies.sqlite
Localização do histórico: C:\Users\<Nome de usuário>\AppData\Roaming\Mozilla\Firefox\Profiles\XXXXXXXX.default\places.sqlite
Análise o MZCacheView o MZCookiesView o MZHistoryView

Ferramentas: http:// www.nirsoft.net https:// www.zimperium.com http:// www.nirsoft.net
Análise de cache, cookies e histórico: Mozilla Firefox

Mozilla Firefox - Cache, cookies e histórico são armazenados nos seguintes locais do sistema:
ÿ Localização do
cache: C:\Users\<Nome do usuário>\AppData\Local\Mozilla\Firefox\Profiles\XXXXXX
XX.default\cache2
ÿ Localização dos Cookies:
C:\Users\<Username>\AppData\Roaming\Mozilla\Firefox\Profiles\XXXX
XXXX.default\cookies.sqlite
ÿ Localização do
histórico: C:\Users\<Nome de usuário>\AppData\Roaming\Mozilla\Firefox\Profiles\XXXX
XXXX.default\places.sqlite
Ferramentas de análise:
ÿ MZCacheView (http:// www.nirsoft.net)
ÿ MZCookiesView (http:// www.nirsoft.net)
ÿ MZHistoryView (http:// www.nirsoft.net)

Análise de cache, cookies e histórico: Microsoft Edge

Microsoft Edge - Cache, cookies e histórico são
armazenados nos seguintes locais do sistema:
Cache
Localização:
C:\Users\Admin\AppData\Local\Microsoft\Windows\WebCache
Biscoitos C:\Users\Admin\AppData\Local\Packages\Microsoft.MicrosoftEdge_
Localização: xxxxxxxxxx\AC\MicrosoftEdge\Cookies
História
C:\Users\Admin\AppData\Local\Microsoft\Windows\History
Localização:
o IECacheView
o EdgeCookiesView
o BrowsingHistoryView
Análise de cache, cookies e histórico: Microsoft Edge
Microsoft Edge - Cache, cookies e histórico são armazenados nos seguintes locais do sistema:
ÿ Localização da Cache:
C:\Users\Admin\AppData\Local\Microsoft\Windows\WebCache
ÿ Localização dos Cookies:
C:\Users\Admin\AppData\Local\Packages\Microsoft.MicrosoftEdge_xxx
xxxxxxx\AC\MicrosoftEdge\Cookies
ÿ Histórico Localização:
C:\Users\Admin\AppData\Local\Microsoft\Windows\History
ÿ IECacheView (http:// www.nirsoft.net)
ÿ EdgeCookiesView (http:// www.nirsoft.net)
ÿ BrowsingHistoryView (http:// www.nirsoft.net)

Fluxo do módulo
Colete voláteis e


Navegadores da Web

4 do Windows
Examinar arquivos e metadados do Windows
Ao investigar um sistema Windows, os investigadores geralmente precisam detectar quaisquer alterações que os
invasores possam ter feito nos arquivos do aplicativo no sistema.
Para detectar essas mudanças, os investigadores precisam examinar o seguinte:
ÿ Diretórios de ponto de restauração: Esses diretórios armazenam informações relacionadas à instalação ou

remoção de arquivos de aplicativos e quaisquer alterações feitas neles.
ÿ Arquivos de pré-busca: examinar o diretório de pré-busca ajuda a determinar os aplicativos que foram
executados em um sistema.
ÿ Metadados: Os metadados associados a qualquer tipo de arquivo revelam diversas características e

detalhes mais finos relacionados à criação, acesso e modificação de arquivos.
ÿ Arquivos de imagem e dados EXIF: Examinar arquivos de imagem JPEG e os dados EXIF armazenados neles
ajuda a determinar os metadados associados a essas imagens JPEG.
Esta seção discute como examinar esses arquivos do Windows e os metadados associados.

Análise de arquivo do Windows
ÿ O exame forense de arquivos de log do ponto de restauração e arquivos de pré-busca fornecem informações
como registros de data e hora MAC, nome do arquivo, tamanho do arquivo, número de vezes que o
aplicativo foi executado, nome do processo, etc., relacionados aos aplicativos instalados/desinstalados
Análise de arquivo do Windows
O exame forense dos arquivos de log do ponto de restauração e dos arquivos de pré-busca fornecem informações como
carimbos de data/hora do MAC, nome do arquivo, tamanho do arquivo, número de vezes que o aplicativo foi executado, nome
do processo, etc., relacionadas aos aplicativos instalados/desinstalados.

Pontos de restauração do sistema (arquivos Rp.log)
Rp.log é o arquivo de log do ponto de restauração localizado no diretório do ponto

de restauração (RPxx)
Inclui valor indicando o tipo do ponto de restauração; um nome descritivo para o evento
de criação do ponto de restauração e o objeto FILETIME de 64 bits indicando quando o
ponto de restauração foi criado
Os pontos de restauração do sistema são criados quando aplicativos e drivers não

assinados são instalados, quando uma instalação de atualização automática e uma
operação de restauração são executadas
A descrição do evento que causou a criação do ponto de restauração é gravada no

arquivo rp.log, e esse arquivo de log ajuda o investigador a observar a data em que
o aplicativo foi instalado ou removido
Pontos de restauração do sistema (arquivos Rp.log)
Rp.log é o arquivo de log do ponto de restauração localizado no diretório do ponto de restauração (RPxx). Inclui
valor indicando o tipo do ponto de restauração; um nome descritivo para o evento de criação do ponto de
restauração e o objeto FILETIME de 64 bits indicando quando o ponto de restauração foi criado. A descrição do
ponto de restauração pode ser útil para obter informações sobre a instalação ou remoção de um aplicativo. Os
pontos de restauração do sistema são criados quando aplicativos e drivers não assinados são instalados, quando
uma instalação de atualização automática e uma operação de restauração são executadas. A descrição do evento
que causou a criação do ponto de restauração é gravada no arquivo rp.log e esse arquivo de log ajuda o
investigador a observar a data em que o aplicativo foi instalado ou removido

Pontos de restauração do sistema (arquivos Change.log.x)
As alterações de arquivo são registradas nos arquivos change.log, que estão localizados
1 nos diretórios do ponto de restauração
As alterações nos arquivos monitorados são detectadas pelo driver do sistema de

2 arquivos do ponto de restauração, o nome do arquivo original é inserido no arquivo
change.log junto com o número de sequência, o tipo de alteração ocorrida, etc.
O arquivo monitorado é preservado e copiado para o diretório do ponto de restauração e
3 renomeado no formato Axxxxxxx.ext, onde x representa um número de sequência e .ext

é a extensão original do arquivo
O primeiro arquivo change.log é anexado com um número de sequência e um novo

4 arquivo change.log é criado quando o sistema é reiniciado
Pontos de restauração do sistema (arquivos Change.log.x)
Os principais arquivos do sistema e do aplicativo são monitorados continuamente para restaurar o sistema a um
estado específico. As alterações de arquivo são registradas nos arquivos change.log, que estão localizados nos
diretórios do ponto de restauração. As alterações nos arquivos monitorados são detectadas pelo driver do sistema
de arquivos do ponto de restauração, o nome do arquivo original é inserido no arquivo change.log junto com o
número de sequência, o tipo de alteração ocorrida, etc. O arquivo monitorado é preservado e copiado para o
diretório do ponto de restauração e renomeado no formato Axxxxxx.ext, onde x representa um número de
seqüência e .ext é a extensão original do arquivo. O primeiro arquivo change.log é anexado com um número de
sequência e um novo arquivo change.log é criado quando o sistema é reiniciado.

Pré-buscar arquivos
Quando um usuário instala um aplicativo, executa-o e o exclui, vestígios

desse aplicativo podem ser encontrados no diretório Prefetch
1
O valor DWORD no deslocamento 144 dentro do arquivo
corresponde ao número de vezes que o aplicativo é iniciado 2
O valor DWORD no deslocamento 120 dentro do arquivo corresponde à
última vez em que o aplicativo foi executado, esse valor é armazenado no
formato UTC
3
As informações do arquivo .pf podem ser correlacionadas com as
informações do registro ou do log de eventos para determinar quem estava
conectado ao sistema, quem estava executando quais aplicativos, etc.
4
Pré-buscar arquivos (continuação)

ÿ A pré-busca é usada pelo sistema operacional Windows para acelerar o processo de inicialização do
sistema e lançamentos de aplicativos ÿ Os dados são registrados por até 10 segundos após o início do processo
de aplicativo ÿ Depois que os dados são processados, eles são gravados em um arquivo .pf em o diretório
Windows\Prefetch ÿ O investigador forense deve identificar se o sistema da vítima habilitou o processo de pré-busca, antes de
realizar o exame
ÿ A pré-busca é controlada pela chave de registro:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet0
0x\Control\SessionManager\MemoryManag
ement\PrefetchParameters
ÿ Os dados associados ao valor de EnablePrefetcher informam qual

forma de pré-busca o sistema usa:
0: A pré-busca está desativada
1: A pré-busca do aplicativo está habilitada
2: A pré-busca de inicialização está habilitada
3: A pré-busca do aplicativo e da inicialização estão

habilitadas
Pré-buscar arquivos
Os arquivos de pré-busca armazenam informações sobre aplicativos que foram executados no sistema. Os arquivos
de pré-busca podem servir como uma fonte valiosa de evidências forenses para os investigadores porque, mesmo
que os aplicativos executados em um sistema sejam excluídos ou desinstalados posteriormente, os arquivos de pré-
busca pertencentes a esses aplicativos ainda residem na pasta de pré-busca em C:\Windows\Prefetch .

O valor DWORD no deslocamento 144 dentro do arquivo corresponde ao número de vezes que o aplicativo é iniciado.
O valor DWORD no deslocamento 120 dentro do arquivo corresponde à última vez em que o aplicativo foi executado,
esse valor é armazenado no formato UTC. As informações do arquivo .pf podem ser correlacionadas com as informações
do registro ou do log de eventos para determinar quem estava conectado ao sistema, quem estava executando quais
aplicativos, etc.
Pré-busca
A pré-busca é usada pelo sistema operacional Windows para acelerar o processo de inicialização do sistema e o
lançamento de aplicativos. Os dados são registrados até os primeiros 10 segundos após o início do processo de inscrição.
Depois que os dados são processados, eles são gravados em um arquivo .pf no diretório Windows\Prefetch . O
investigador forense deve identificar se o sistema da vítima habilitou o processo de pré-busca, antes de realizar o
exame. A pré-busca é controlada pela chave do Registro:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet00x\Control\SessionManager\MemoryM anagement\PrefetchParameters.
Figura 6.38: Parâmetros de pré-busca
Os dados associados ao valor de EnablePrefetcher (destacado na figura acima) informam qual forma de pré-busca o
sistema utiliza:
0: A pré-busca está desativada
1: A pré-busca do aplicativo está habilitada
2: A pré-busca de inicialização está habilitada
3: A pré-busca do aplicativo e da inicialização estão habilitadas

Arquivos de imagem
Os metadados presentes em um arquivo de imagem JPEG dependem muito do aplicativo que o

criou ou modificou
Por exemplo, câmeras digitais incorporam informações de formato de arquivo de imagem intercambiável
(EXIF) em imagens, que podem incluir o modelo e o fabricante da câmera e até mesmo armazenar
miniaturas ou informações de áudio
Você pode usar ferramentas como Exiv2, IrfanView e o módulo Perl Image::MetaData::JPEG
para visualizar, recuperar e, em alguns casos, modificar os metadados incorporados em
arquivos de imagem JPEG
Ferramentas como ExifReader, EXIF Library e ExifTool exibem dados EXIF encontrados em
uma imagem JPEG
Arquivos de imagem
Os metadados presentes em um arquivo de imagem JPEG dependem muito do aplicativo que o criou ou modificou. Por exemplo, as
câmeras digitais incorporam informações EXIF (Exchangeable Image File Format) nas imagens, que podem incluir o modelo e o
fabricante da câmera e até mesmo armazenar miniaturas ou informações de áudio.
Você pode usar ferramentas como Exiv2, IrfanView e o módulo Perl Image::MetaData::JPEG para visualizar, recuperar e, em alguns
casos, modificar os metadados incorporados em arquivos de imagem JPEG. Ferramentas como ExifReader, EXIF Library e ExifTool
exibem dados EXIF encontrados em uma imagem JPEG.

Investigação de Metadados
ÿ Em computação forense, os metadados obtidos de bancos de dados, arquivos de imagem,

arquivos de texto, navegadores da web, etc., contêm dados probatórios de valor forense
ÿ Os metadados incluem nome do arquivo, tamanho do arquivo, carimbos de data/hora do MAC, dados do GPS, etc.
Investigação de Metadados
Na computação forense, os metadados obtidos dos bancos de dados, arquivos de imagem, arquivos de texto, navegadores
da web, etc., contêm dados probatórios de valor forense. Os metadados incluem nome do arquivo, tamanho do arquivo,
carimbos de data/hora MAC, dados de GPS, etc.

Noções básicas sobre metadados

ÿ Metadados são dados sobre dados. Descreve várias características
dos dados, incluindo quando e por quem foram criados, acessados
ou modificados
ÿ Como normalmente não é visto, os usuários podem compartilhar

inadvertidamente informações confidenciais ao enviar ou fornecer
arquivos em formato eletrônico
Exemplos de metadados:
ÿ Nome da organização ÿ Versões de documentos
ÿ Nome do autor ÿ Informações do modelo
ÿ Nome do computador ÿ Vistas personalizadas
ÿ Nome da rede ÿ Partes não visíveis de objetos
ÿ Texto ou células ocultas OLE incorporados
ÿ O investigador pode usar ferramentas como Metadata Assistant, Paraben

P2 Commander e Metashield Analyzer para analisar metadados
Noções básicas sobre metadados
Metadados são dados estruturados que fornecem informações sobre certas características dos dados eletrônicos, incluindo
a hora e a pessoa que criou, acessou e modificou os dados. Ele não pode ser visto sem o uso de aplicativos especiais, e
os usuários podem compartilhar inadvertidamente informações confidenciais ao enviar ou fornecer arquivos em formulários
eletrônicos.
Exemplos de metadados incluem o seguinte:
ÿ Nome da organização
ÿ Nome do autor
ÿ Nome do computador
ÿ Nome da rede
ÿ Texto ou células ocultas
ÿ Versões de documentos
ÿ Informações do modelo
ÿ Vistas personalizadas
ÿ Partes não visíveis de objetos incorporados Object Linking and Embedding (OLE)
É importante coletar esses dados, pois eles fornecem informações sobre o seguinte:
ÿ Dados ocultos sobre o documento
ÿ Quem tentou ocultar, excluir ou obscurecer os dados
ÿ Documentos correlacionados de diferentes fontes
O investigador pode usar ferramentas como Metadata Assistant, Paraben P2 Commander e Metashield Analyzer para
analisar metadados.

Metadados em diferentes sistemas de arquivos
ÿ Os metadados mais comumente conhecidos sobre arquivos em sistemas Windows são os tempos MAC dos
arquivos; MAC significa modificado, acessado e criado
ÿ As horas MAC são carimbos de hora que se referem à hora em que o arquivo foi
última modificação, último acesso e originalmente criado
ÿ Os tempos MAC são gerenciados pelo sistema operacional, dependendo do sistema de arquivos usado
ÿ No sistema de arquivos FAT, os horários são armazenados com base no horário local do computador
sistema
ÿ O sistema de arquivos NTFS armazena horários MAC no formato Tempo Universal Coordenado (UTC)
ÿ Investigue a forma como os timestamps são exibidos, com base em várias

ações de mover e copiar
Metadados em diferentes sistemas de arquivos (continuação)

Como os carimbos de data/hora são exibidos e alterados nos sistemas de arquivos FAT 16 e NTFS é mostrado abaixo
Sistema de arquivos FAT 16 Sistema de arquivos NTFS
ÿ Copie myfile.txt de C:\ para C:\subdir no mesmo sistema de arquivos ÿ Copie myfile.txt de C:\ para C:\subdir no mesmo sistema
(FAT 16) de arquivos (NTFS)
ÿ Myfile.txt mantém a mesma data de modificação, mas a criação
data é atualizada para a data e hora atuais ÿ Myfile.txt retém a mesma data de modificação, mas a data de
criação é atualizada para a data e hora atuais
ÿ Mova myfile.txt de C:\ para C:\subdir no mesmo sistema de arquivos
(FAT 16)
ÿ Mova myfile.txt de C:\ para C:\subdir no mesmo sistema
ÿ Myfile.txt mantém as mesmas datas de modificação e criação de arquivos (NTFS)
ÿ Copie myfile.txt de uma partição FAT16 para uma partição NTFS
ÿ Myfile.txt mantém as mesmas datas de modificação e criação
ÿ Myfile.txt retém a mesma data de modificação, mas a data de

criação é atualizada para a data e hora atuais
ÿ Mova meuarquivo.txt de uma partição FAT16 para uma partição NTFS
partição
ÿ Myfile.txt mantém as mesmas datas de modificação e criação
Metadados em diferentes sistemas de arquivos
Os metadados mais conhecidos sobre arquivos em sistemas Windows são os tempos de MAC do arquivo.
MAC significa modificado, acessado e criado. Os horários do MAC são carimbos de data/hora que se referem
ao horário em que o arquivo foi modificado pela última vez de alguma forma (os dados foram adicionados ao
arquivo ou removidos dele), o horário do último acesso (quando o arquivo foi aberto pela última vez), e quando
o arquivo foi originalmente criado.

No sistema de arquivos FAT, esses horários são registrados com base na hora local do sistema do computador,
enquanto o sistema de arquivos NTFS armazena horários MAC no formato Coordinated Universal Time (UTC), que é
análogo ao Greenwich Mean Time (GMT).
Outro aspecto dos horários MAC de arquivos e diretórios que interessam a um investigador é a maneira como os
carimbos de data e hora são exibidos, com base em várias ações de movimentação e cópia.
Sistema de arquivos FAT 16
ÿ Copie myfile.txt de C:\ para C:\subdir no mesmo sistema de arquivos (FAT 16)
o Myfile.txt retém a mesma data de modificação, mas a data de criação é atualizada para o
data e hora atuais
ÿ Mova myfile.txt de C:\ para C:\subdir no mesmo sistema de arquivos (FAT 16)
o Myfile.txt mantém as mesmas datas de modificação e criação
ÿ Copie myfile.txt de uma partição FAT16 para uma partição NTFS
data e hora atuais
ÿ Mover myfile.txt de uma partição FAT16 para uma partição NTFS
Sistema de arquivos NTFS
ÿ Copie myfile.txt de C:\ para C:\subdir no mesmo sistema de arquivos (NTFS)
data e hora atuais
ÿ Mova myfile.txt de C:\ para C:\subdir no mesmo sistema de arquivos (NTFS)

Metadados em arquivos PDF

ÿ Arquivos de formato de documento portátil (PDF) também podem conter metadados , como nome do
autor, a data em que o arquivo foi criado e o aplicativo usado para criar o arquivo PDF
ÿ Frequentemente, os metadados podem mostrar que o arquivo PDF foi criado em um Mac ou que o arquivo PDF foi
criado pela conversão de um documento do Word para o formato PDF
ÿ Você pode usar os scripts Perl pdfmeta.pl e pdfdmp.pl para extrair metadados de arquivos PDF
ÿ Para visualizar PDF
metadados, abra-o com

o Adobe
Acrobat Reader
ÿ
No menu Arquivo ,
clique em Propriedades…
Metadados em arquivos PDF
Os arquivos Portable Document Format (PDF) podem conter metadados, como o nome do autor, a data em que
o arquivo foi criado e o aplicativo usado para criá-lo. Os metadados mostram que o arquivo PDF foi criado no
MacOS ou foi criado convertendo um documento do Word para o formato PDF. Os scripts pdfmeta.pl e pdfdmp.pl
podem ser usados para extrair metadados de arquivos PDF.
Outra maneira de recuperar metadados é abrir o arquivo no Adobe Reader e clicar em Arquivo ÿ Propriedades.
A guia Descrição da caixa de diálogo Propriedades contém todos os metadados disponíveis.

Figura 6.39: Janela Propriedades do Documento

Metadados em documentos do Word
ÿ Documentos do Word são documentos compostos, baseados em Object Linking e

Tecnologia de incorporação (OLE) que define a estrutura do arquivo
ÿ Os documentos do Word podem manter não apenas revisões

anteriores, mas também uma lista de até os últimos 10
autores para editar o arquivo
ÿ Você pode usar os scripts Perl wmd.pl e

oledmp.pl para listar os fluxos OLE incorporados
em um documento do Word
ÿ Para visualizar os metadados no Word 2010, clique no

Guia Arquivo ÿ opção Informações
ÿ Clique em Verificar problemas ÿ Inspecionar documento
ÿ Selecione o conteúdo para visualizar e clique no botão

botão inspecionar
Metadados em documentos do Word
Documentos do Word são documentos compostos, baseados na tecnologia OLE que define uma “estrutura de arquivo
dentro de um arquivo”. Além das informações de formatação, os documentos do Word podem conter muitas informações
adicionais que não são visíveis para o usuário, dependendo da visão do usuário do documento.
Os documentos do Word podem manter não apenas as revisões anteriores, mas também uma lista dos últimos 10
autores que editaram um arquivo. Isso representa um risco de divulgação de informações para indivíduos e organizações.
Os scripts Perl wmd.pl e oledmp.pl são usados para listar os fluxos OLE e as lixeiras incorporadas em um documento
do Word.
Os metadados no MSWord 2010 podem ser visualizados seguindo as etapas mencionadas abaixo:
ÿ Clique na guia Arquivo ÿ opção Informações
ÿ Clique em Verificar problemas ÿ Inspecionar documento
ÿ Selecione o conteúdo para visualizar e clique no botão Inspecionar

Figura 6.40: Examinando metadados em documentos do Word
Figura 6.41: Examinando metadados em documentos do Word

Ferramenta de análise de metadados: Metashield Analyzer
ÿ O Metashield Analyzer é um serviço online

que permite aos investigadores analisar os
metadados contidos nos arquivos
https:// www.elevenpaths.com
Ferramenta de análise de metadados: Metashield Analyzer
Fonte: https:// www.elevenpaths.com
Metashield Analyzer é uma ferramenta online para analisar os metadados contidos em um arquivo. Esta
ferramenta revela os detalhes como data de criação e modificação, usuários encontrados e o nome do aplicativo
em que trabalharam, número de vezes editado e os caminhos encontrados. Um arquivo pode ser analisado
usando o seguinte procedimento:
ÿ Clique em Selecionar arquivo para selecionar o arquivo necessário
ÿ Clique em Analisar e aceite os termos e condições no pop-up
ÿ Clique em Analisar para visualizar a saída ou os metadados do arquivo

Figura 6.42: Analisador Metashield

Resumo do Módulo
Este módulo discutiu a coleta de informações voláteis e não voláteis
1
Também discutiu a análise da memória do Windows e

2 Registro
Além disso, explicou em detalhes o processo de examinar o cache, o

3 cookie e o histórico registrado nos navegadores da web
Por fim, este módulo terminou com uma discussão detalhada sobre
4 como examinar arquivos e metadados do Windows
No próximo módulo, discutiremos detalhadamente a análise

5 forense de Linux e Mac
Resumo do Módulo
Este módulo discutiu a coleta de informações voláteis e não voláteis. Também discutiu
a análise da memória e do Registro do Windows. Além disso, explicou em detalhes o processo de examinar o cache, o
cookie e o histórico registrado nos navegadores da web. Por fim, este módulo terminou com uma discussão detalhada
sobre o exame de arquivos e metadados do Windows.
No próximo módulo, discutiremos detalhadamente a análise forense do Linux e do Mac.
MT
EC-Council
CE-Conselho
D FE
Digital
Digital
Módulo 07
Linux e Mac F or ens ics

Linux e Mac Forense
Compreendendo o volátil e
1 Dados não voláteis no Linux
Compreendendo as imagens do sistema de arquivos

2
Análise usando o kit Sleuth
Compreendendo a análise forense de

3 memória usando volatilidade e PhotoRec
4 Compreendendo a análise forense do Mac
O Windows pode ser a plataforma mais comumente usada para análise forense devido à sua popularidade em sistemas
corporativos. Existem várias ferramentas forenses digitais para sistemas que operam no Windows.
No entanto, quando se trata de conduzir investigações forenses em sistemas Linux e Mac, os investigadores se deparam com
um tipo diferente de desafio. Embora as técnicas forenses sejam as mesmas, as ferramentas usadas podem diferir.
Linux and MacOS Forensics refere-se à investigação de crimes cibernéticos envolvendo sistemas baseados em Linux e
MacOS. Para obter artefatos pertencentes ao crime cibernético nesses sistemas, os investigadores precisam estar cientes de
seus sistemas de arquivos e diretórios. Eles também devem ter um bom entendimento das ferramentas e comandos forenses
que podem ser usados para encontrar dados probatórios desses sistemas operacionais.
Este módulo discute como coletar e examinar evidências relacionadas a incidentes de crimes cibernéticos em máquinas
baseadas em Linux e MacOS. Ao final deste módulo, você será capaz de:
ÿ Compreender dados voláteis e não voláteis no Linux
ÿ Analisar imagens do sistema de arquivos usando The Sleuth Kit
ÿ Demonstrar análise forense de memória usando Volatility e PhotoRec
ÿ Entenda a análise forense do Mac


Linux e Mac Forense
Fluxo do módulo
Entenda o volátil e o Analisar sistema de arquivos

não volátil 01 02 Imagens usando o
Dados no Linux kit de detetive
Entenda o Mac Demonstrar Memória

forense
04 03 forense
Entenda os dados voláteis e não voláteis no Linux

Linux forense refere-se à realização de investigações forenses em um dispositivo baseado em Linux. Para fazer
isso, os investigadores precisam de um forte entendimento das ferramentas e técnicas necessárias para coletar
dados voláteis e não voláteis e conduzir análises ao vivo e possuir bom conhecimento de vários comandos de
shell que podem ser usados em máquinas Linux para recuperar informações forenses valiosas.
Os investigadores também devem estar cientes dos arquivos de log do Linux, seu armazenamento e sua
localização no diretório, pois essas são as fontes de informações mais importantes para rastrear invasores.
Esta seção explorará vários métodos de coleta de dados, os diferentes arquivos de log armazenados no Linux e
métodos para rastrear eventos por meio de arquivos graváveis em máquinas Linux.


Linux e Mac Forense
Introdução à Análise Forense do Linux
O Linux é um sistema operacional de código aberto usado

extensivamente para servidores corporativos e plataformas de desktop
para funcionários em várias organizações corporativas
Os crimes cibernéticos têm aumentado nesses ambientes de

negócios , e extrair artefatos de sistemas Linux é uma tarefa desafiadora
Portanto, é importante que os investigadores forenses entendam como

examinar sistemas Linux e usar a estação de trabalho Linux para exame
forense.
Introdução à Análise Forense do Linux
O Linux é um sistema operacional de código aberto amplamente utilizado em organizações. Com o aumento do crime
cibernético, também se torna importante que os investigadores forenses estejam bem equipados com o conhecimento
necessário para coletar artefatos de máquinas Linux de maneira forense.
A análise forense do Linux envolve o uso de vários comandos/ferramentas para recuperar, examinar e analisar
artefatos valiosos pertencentes a incidentes de crimes cibernéticos envolvendo máquinas Linux.
O uso de estações de trabalho forenses Linux, por outro lado, serve como uma plataforma muito eficaz para investigar
incidentes de segurança envolvendo sistemas Linux, pois oferecem amplo suporte para vários sistemas de arquivos e
fácil acesso a ferramentas forenses digitais avançadas.


Linux e Mac Forense
Coletando dados voláteis

ÿ Dados voláteis são perdidos quando uma máquina é desligada/desligada
ÿ No entanto, durante a investigação forense, os investigadores precisam coletar esses dados para construir uma linha do tempo
análise do incidente ocorrido
Informações voláteis incluem:
Nome do host, data e hora Tempo de atividade Informações de rede portas abertas
e fuso horário
Abrir arquivos Informações do sistema de Módulos do kernel carregados Eventos do usuário
arquivos montado
Processos em execução Trocar áreas e informações de mensagens do kernel
partição de disco
Coletando dados voláteis
Os dados voláteis são perdidos quando uma máquina é desligada/desligada. No entanto, durante a investigação forense, os
investigadores precisam coletar esses dados para construir uma análise cronológica do incidente ocorrido.
As informações voláteis incluem:
ÿ Nome do host, data e hora e fuso horário
ÿ Tempo de atividade
ÿ Informações de rede
ÿ Portas abertas
ÿ Abrir arquivos
ÿ Informações do sistema de arquivos montado
ÿ Módulos de kernel carregados
ÿ Eventos do usuário
ÿ Processos em execução
ÿ Trocar áreas e informações de partição de disco
ÿ Mensagens do kernel


Linux e Mac Forenses
Coletando nome de host, data e hora
ÿ Identifique o nome do computador usando o ÿ Verifique a data e a hora da máquina para criar uma
comando hostname linha do tempo adequada dos eventos
Comando: Comando:
nome de anfitrião encontro
ÿ Este comando pode ser útil ao examinar cat /etc/timezone

logs e tráfego de rede
Coletando nome de host, data e hora (continuação)

ÿ Como alternativa, você pode calcular o tempo da época (contagem do número de
segundos a partir do ponto inicial do sistema operacional Unix) do sistema e
convertê-lo em seu fuso horário Comando:
data +%s
Nota: O timestamp da época do Unix começa em 1º de janeiro de 1970 00:00:00 UTC (em segundos),
enquanto os timestamps da época para HFS+ e Cocoa na Apple começam em 1º de janeiro de 1904
00:00:00 UTC (em segundos) e 1º Janeiro de 2001 00:00:00 UTC (em segundos), respectivamente.
ÿ Ao obter o registro de data e hora da época, você pode usar conversores online
ou offline para converter a hora da época para a hora original.
Aqui, estamos fazendo a conversão em www.epochconverter.com
Coletando nome de host, data e hora

ÿ Nome do host
Os investigadores devem executar o comando hostname para visualizar o nome do

sistema atual e o DNS de uma máquina Linux. Este comando tem vários atributos. Pode
ser útil ao examinar logs e tráfego de rede.


Linux e Mac Forense
Figura 7.1: Execução do comando hostname
ÿ Data e Hora
O comando date , quando executado, lista a data e a hora de acordo com o fuso horário em que o sistema
operacional Linux foi configurado.
O comando cat/etc/timezone pode ser usado para coletar informações sobre o continente e fuso horário
do sistema Linux. Essas informações podem permitir que os investigadores construam um cronograma
apropriado do caso que está sendo investigado.
Figura 7.2: Execução do comando de data
Os investigadores também podem calcular o horário da máquina Linux suspeita e convertê-lo em seu
próprio fuso horário usando conversores de horário online.
O comando para calcular o tempo de época de um sistema é dado abaixo.
Comando:
data +%s
Figura 7.3: Comando para calcular o tempo de época de um sistema


Linux e Mac Forense
Nota: O timestamp da época do Unix começa em 1º de janeiro de 1970 00:00:00 UTC (em segundos), enquanto
os timestamps da época para HFS+ e Cocoa na Apple começam em 1º de janeiro de 1904 00:00:00 UTC (em
segundos) e 1º de janeiro 2001 00:00:00 UTC (em segundos), respectivamente.
Ao obter o registro de data e hora da época, você pode usar conversores online ou offline para converter a
hora da época para a hora original.
Figura 7.4: Convertendo a hora da época para a hora original online


Coletando dados de tempo de atividade
ÿ O comando uptime ÿ Este comando também

no sistema Linux exibe há retorna a hora atual, número
quanto tempo o sistema está de usuários conectados no
em execução desde a última momento, médias de carga
reinicialização do sistema, etc.
Comando:
tempo de atividade
Coletando dados de tempo de atividade
Os dados de tempo de atividade ajudam os investigadores forenses a determinar o intervalo de tempo

durante o qual um sistema está funcionando. Ele também exibe métricas, como o número de usuários
conectados no momento, a hora atual e as médias de carga do sistema nos últimos 1, 5 e 15 minutos. Para
coletar esses dados, um investigador deve executar o comando uptime . Este comando retorna a hora
atual, número de usuários conectados no momento, médias de carga do sistema, etc.
O comando também pode ser executado com várias opções, como -p, -s, -h e -v. O uso da opção -p filtrará
os resultados e retornará informações apenas sobre quanto tempo o sistema está em execução, enquanto
o uso da opção -s recupera a data e a hora desde que o sistema foi ativado.
Da mesma forma, usar a opção -h busca resultados em qualquer ajuda que você possa precisar com várias
opções ao executar o comando uptime , enquanto a opção -v recuperará as informações de versão do
utilitário uptime.
Comando:
tempo de atividade


Linux e Mac Forense
Figura 7.5: Resultado obtido ao executar o comando uptime sem nenhuma opção


Linux e Mac Forense

ÿ A sintaxe a seguir exibe todos os controladores de interface de rede
(NICs) e endereços IP associados a eles
Sintaxe:
show de endereço ip
Observação:
ÿ
lo, ens33 são NICs
ÿ Estado DESCONHECIDO – NIC está operacional, mas não há conexão
ÿ Estado UP – NIC está operacional e há uma conexão

(continua)
Um invasor pode farejar uma rede em busca de dispositivos que estejam em modo
promíscuo e visualizar todos os pacotes de rede
Para identificar o modo promíscuo, use o seguinte comando:

Sintaxe:
ifconfig <interface>
Para desativar o modo promíscuo nos dispositivos de rede

Sintaxe:
ifconfig <interface> -promisc
O dispositivo está
em modo
promíscuo


Linux e Mac Forense
Coletando informações de rede (continuação)
O comando netstat pode ser usado para

extrair informações de rede
Ele exibe conexões de rede, tabelas de

roteamento e várias interfaces de rede
(controlador de interface de rede ou
interface de rede definida por software) e
estatísticas de protocolo de rede
Para visualizar a lista de interfaces de rede no

sistema
Comando:
netstat -i
A coleta de informações de rede ajuda os investigadores forenses a obter detalhes relativos aos controladores de
interface de rede (NIC), os endereços IP vinculados a eles e as informações de rota. Para recuperar informações
de rede, os investigadores devem usar o comando ip .
Sintaxe:
show de endereço ip
Figura 7.6: Execução do comando ip
Na figura acima,
ÿ lo, ens33 são NICs
ÿ estado DESCONHECIDO significa que a NIC está operacional, mas não há conexão
ÿ estado UP significa que a NIC está operacional e há uma conexão


Linux e Mac Forense
Modo promíscuo
Quando um NIC está no modo normal, ele aceita apenas pacotes que são endereçados exclusivamente a ele.
No entanto, quando definido para o modo promíscuo, ele aceita todos os pacotes de rede recebidos, o que
não é seguro para o sistema host.
Os invasores usam o modo promíscuo para bisbilhotar maliciosamente uma rede e monitorar sua atividade.
Portanto, se ocorrer ou houver suspeita de uma invasão do sistema, os investigadores forenses devem verificar
se uma interface de rede foi configurada para o modo promíscuo. Eles podem fazer isso executando o
comando ifconfig .
Sintaxe:
ifconfig <interface>
Se a interface de rede tiver sido configurada para o modo promíscuo, os investigadores devem desativá-la
imediatamente para segurança do sistema. Eles podem fazer isso usando o sinalizador -promisc no comando
ifconfig .
Sintaxe:
ifconfig <interface> -promisc
Figura 7.7: Desativando o modo promíscuo usando o comando ifconfig
comando netstat
No caso de invasão de rede, os investigadores forenses precisam determinar vários detalhes relacionados às
conexões de rede no sistema host.
Para coletar informações sobre conexões de rede, os investigadores devem executar o comando netstat , que
permite a recuperação de informações relacionadas a todas as portas TCP e UDP abertas para conexão,
tabelas de roteamento, associações multicast, estatísticas de interferência, conexões mascaradas, etc. um
número de interface de rede (controlador de interface de rede ou interface de rede definida por software) e
estatísticas de protocolo de rede.


Linux e Mac Forense
Figura 7.8: Execução do comando netstat
Para visualizar a lista de interfaces de rede em um sistema, os investigadores podem usar a opção -i
com o comando netstat .
Comando:
netstat -i
Figura 7.9: Execução do comando netstat com a opção -i


Linux e Mac Forense
Visualizando Tabelas de Roteamento de Rede
ÿ O comando netstat também pode ser usado para imprimir

tabelas de roteamento
Comando:
netstat -rn
-r exibe a tabela de roteamento IP do
kernel -n exibe os endereços numéricos
ÿ No Linux, a tabela de roteamento fornece informações sobre o

processo de encaminhamento de pacotes de dados TCP/IP
Comando:
ip r
Visualizando Tabelas de Roteamento de Rede
O roteamento refere-se ao processo de transmissão de um pacote IP de um local para outro pela Internet. A estrutura do
kernel em sistemas Linux que armazena informações sobre como encaminhar pacotes IP é chamada de tabela de
roteamento.
Os investigadores forenses devem usar o comando netstat -rn para visualizar as informações da tabela de roteamento.
No comando especificado, o sinalizador -r é fornecido para listar as tabelas de roteamento do kernel, enquanto o sinalizador
-n é fornecido para listar seus endereços numéricos.
Figura 7.10: Execução do comando netstat com as opções -r e -n
No Linux, a tabela de roteamento fornece informações sobre o processo de encaminhamento de pacotes de dados TCP/IP.
Para visualizar essas informações, execute o comando ip r.
Figura 7.11: Execução do comando ip com a opção r


Linux e Mac Forense
Coletando Porta Aberta

ÿ Para conexões de porta TCP :
Em formação Sintaxe:
nmap –sT localhost

As portas abertas podem ser vulneráveis e os invasores as usam para explorar
ÿ Para conexões de porta UDP :
uma máquina ou um servidor
Sintaxe:
Para coletar informações sobre portas abertas do sistema, use os seguintes nmap –sU localhost
comandos:
Exibindo conexões de porta TCP Exibindo conexões de porta UDP
Coletando informações de portas abertas
Uma porta aberta é uma porta TCP ou UDP configurada para receber pacotes de rede. Os invasores examinam
a rede em busca de portas abertas para instalar serviços maliciosos que permitem que eles se infiltrem na
rede e obtenham acesso não autorizado a dados confidenciais.
A execução do comando nmap ajuda os investigadores forenses a identificar as portas que estão abertas e a
obter informações sobre elas, o que pode ajudar a proteger os dispositivos de rede. O comando é executado
com diferentes opções/sinalizadores para conexões de porta TCP e UDP, que são especificadas
respectivamente por meio das sintaxes e figuras de amostra fornecidas abaixo.
Para conexões de porta TCP:
Sintaxe:
nmap –sT localhost
Figura 7.12: Execução do comando nmap para verificar conexões de porta TCP


Linux e Mac Forense
Para conexões de porta UDP:
Sintaxe:
nmap –sU localhost
Figura 7.13: Execução do comando nmap para verificar conexões de porta UDP


Linux e Mac Forense
Encontrando Programas/Processos Associados a uma Porta
ÿ Para detectar invasões, é necessário coletar informações de

portas abertas
ÿ Também é importante verificar se existem

programas/processos associados a portas abertas
Comando:
netstat –tulpn
ÿ Na captura de tela, cupsd é o processo com PID 11806,

rodando na porta 631
ÿ Outro comando para listar os processos em execução no open

portas
Comando:
lsof -i -P -n | grep LISTEN

ÿ O comando grep é usado para filtrar portas no estado LISTEN
Encontrando Programas/Processos Associados a uma Porta
Os investigadores forenses precisam identificar os aplicativos/programas que estão sendo executados em várias
portas para que programas maliciosos (se houver) possam ser detectados. A execução do comando netstat pode
ajudar os investigadores a determinar os aplicativos/programas/processos em execução em uma máquina e as portas
específicas associadas a eles.
Comando:
netstat –tulpn
Parâmetros:
ÿ -t, mostra portas TCP

ÿ
-u, mostra as portas UDP
ÿ -l, exibe as portas de escuta

ÿ
-p, lista PID/nome do programa
ÿ
-n, exibe o endereço na forma numérica


Figura 7.14: Execução do comando netstat com as opções -t, -u, -l, -p e -n
ÿ
Na figura acima, cupsd é o processo com PID 11806, rodando na porta 631.
ÿ Os investigadores também podem executar o comando lsof para listar os processos em execução nas portas abertas.
Se os investigadores quiserem obter informações filtradas sobre portas no estado 'LISTEN' , eles devem adicionar
o comando grep junto com a opção 'LISTEN' no comando lsof .
Comando:
lsof -i -P -n | grep LISTEN
Figura 7.15: Execução do comando lsof para verificar o processo em execução em portas abertas


Coletando dados em arquivos abertos

ÿ Você pode executar o comando lsof para listar todos os arquivos abertos, bem como os processos ativos que
os abriram no sistema
Comando:
lsof
ÿ Para listar os arquivos abertos para o usuário atualmente conectado ao sistema

Comando:
lsof -u <user_name>
Coletando dados em arquivos abertos
A coleta de dados de arquivos abertos é uma parte importante da análise forense do Linux, pois ajuda os investigadores
a detectar a presença de arquivos/programas suspeitos em execução em um sistema.
Os investigadores devem executar o comando lsof sem nenhuma opção para recuperar informações sobre todos os
processos ativos e arquivos abertos.
Comando:
lsof
Observação: como a saída gerada por esse comando pode incluir uma grande quantidade de informações, o comando
pode ser combinado com a barra vertical (|) e o sinalizador 'more' , que permitem que a saída seja visualizada página
por página.
Figura 7.16: Execução do comando lsof para verificar dados em arquivos abertos


Linux e Mac Forense
Para listar os arquivos abertos para o usuário atualmente conectado ao sistema, um investigador pode
executar o comando lsof da seguinte maneira:
Sintaxe:
lsof -u <user_name>


Linux e Mac Forense
Visualizando Processos em Execução no Sistema

ÿ Execute o comando ps para visualizar os processos em execução no sistema
ÿ Ele fornece um instantâneo dos processos atuais junto com informações detalhadas, como o usuário
id, uso da CPU, uso da memória e nome do comando
ÿ Verifique a árvore do processo para determinar quaisquer processos filhos e dependências suspeitos
Processar
Visualizando Processos em Execução no Sistema
Investigadores forenses devem executar o comando ps para recuperar detalhes pertencentes aos processos
atualmente em execução no sistema. A saída retornada por este comando também fornece aos investigadores
informações sobre os números de identificação do processo (PIDs) correspondentes aos processos em
execução.
O comando também exibe detalhes, como uso da unidade de processamento central (CPU), uso de memória
e nomes dos comandos em execução. Os investigadores devem examinar a árvore do processo para verificar
quaisquer processos filhos e dependências suspeitos.
Quando o comando ps é executado sem nenhuma opção, ele exibe apenas os processos atualmente em
execução na conta do usuário conectado. Se os investigadores quiserem obter informações sobre os
processos em execução para todas as contas de usuário, eles devem emitir o comando ps seguido do sinalizador
auxww.
Figura 7.17: Executando o comando ps


Linux e Mac Forense
Coletando dados não voláteis

ÿ O estado dos dados não voláteis não muda quando a máquina é desligada
ÿ Durante a investigação forense, os investigadores devem coletar informações não voláteis , como informações do sistema,
histórico de login, logs do sistema e arquivos ocultos para construir a análise da linha do tempo do incidente que ocorreu
Os dados não voláteis incluem o seguinte:
1 Informações do sistema 7 Arquivo de histórico do usuário
2 Informações do kernel 8 arquivos e diretórios ocultos
3 contas de usuário 9 Informações suspeitas
Usuários conectados no momento e

4 10 assinaturas de arquivo
histórico de login
Informações de arquivo obtidas usando

5 registros do sistema 11
o comando file and strings
Arquivos graváveis obtidos usando

6 arquivos de log do Linux 12
o comando find
Coletando dados não voláteis
O estado dos dados não voláteis não muda quando a máquina é desligada. Durante a investigação forense, os investigadores
devem coletar informações não voláteis, como informações do sistema, histórico de login do usuário, logs do sistema e arquivos
ocultos para construir a análise da linha do tempo do incidente ocorrido.
Os dados não voláteis incluem o seguinte:
ÿ Informações do sistema
ÿ Informação do Kernel
ÿ Contas de utilizador
ÿ Usuários atualmente logados e histórico de login
ÿ Registros do sistema
ÿ Arquivos de log do Linux
ÿ Arquivo de histórico do usuário
ÿ Arquivos e diretórios ocultos
ÿ Informação Suspeita
ÿ
Assinaturas de arquivo
ÿ
Informações de arquivo obtidas usando o comando file and strings
ÿ Arquivos graváveis obtidos usando o comando find


Linux e Mac Forense
Coletando informações do sistema
Execute o comando cat /proc/cpuinfo para Execute o comando cat /proc/self/mounts

visualizar detalhes sobre o para visualizar pontos de montagem e
CPU em uma máquina dispositivos externos montados
Coletando informações do sistema
Os investigadores podem executar o comando cat /proc/cpuinfo para visualizar detalhes sobre a CPU em
uma máquina
Figura 7.18: Executando o comando cat /proc/cpuinfo


Linux e Mac Forense
Os investigadores devem executar o comando cat /proc/self/mounts para visualizar os pontos de montagem e
os dispositivos externos montados
Figura 7.19: Executando o comando cat /proc/self/mounts


Linux e Mac Forense
Coletando Kernel
Em formação
ÿ Use os seguintes comandos para verificar a versão do kernel do Linux
em um sistema:
uname -r
(ou) cat /proc/version

(ou) hostnamectl | Kernel
grep
Coletando Informações do Kernel
O kernel do Linux é o componente central do sistema operacional Linux. Ele gerencia os recursos do
sistema e facilita as trocas de comunicação entre os componentes de hardware e software. O kernel
também é responsável por manter a segurança do sistema. Portanto, é importante determinar a versão do
kernel para atualizá-lo com patches de segurança, se necessário. Um investigador pode executar os
seguintes comandos para verificar a versão do kernel do Linux em um sistema:
uname -r
(ou)
cat /proc/versão
(ou)
hostnamectl | Kernel grep
Figura 7.20: Executando comandos para coletar informações do kernel


Linux e Mac Forense
Coletando informações da conta do usuário

O arquivo /etc/passwd em execução em um sistema Linux armazena informações
de conta de usuário local
A análise do arquivo /etc/passwd permite ao investigador visualizar as contas de

usuário no sistema
Comando:
cat /etc/passwd
Comando fornecido para listar apenas nomes de usuários na saída
cut –d: -f1 /etc/passwd
Cada linha na saída representa as informações de login de um único usuário

e inclui sete campos separados por dois pontos (:)
Você pode observar o seguinte sobre o formato de saída do arquivo /etc/

passwd analisando a primeira entrada na captura de tela:
raiz - nome de usuário
x – Senha ('x' denota criptografado)

0 – ID do usuário ('0' é reservado para root)
0 – Raiz do ID
do grupo – Informações do ID
do usuário / root – Diretório
inicial / bin/ bash – Caminho absoluto para o shell de login do usuário
Coletando informações da conta do usuário
Em sistemas Linux, as informações do usuário local são salvas no arquivo /etc/passwd . Cada linha
individual neste arquivo contém informações de login que correspondem a um único usuário. Durante a
investigação forense, examinar o arquivo /etc/passwd ajuda os investigadores a determinar os detalhes
pertencentes a todas as contas de usuário presentes no sistema.
Para examinar o arquivo, os investigadores devem executar o comando cat /etc/passwd . Se eles
quiserem listar apenas nomes de usuários na saída, eles devem executar o comando cut -d: -f1 /etc/passwd
Figura 7.21: Executando o comando cat /etc/passwd para coletar informações da conta do usuário


Linux e Mac Forense
Cada linha na saída obtida ao executar o comando cat /etc/passwd representa as informações de login de um
único usuário e inclui sete campos separados por dois pontos (:).
Você pode observar o seguinte sobre o formato de saída do arquivo /etc/passwd analisando a primeira entrada na
figura acima:
ÿ root – Nome de usuário
ÿ
x – Senha ('x' denota criptografado)
ÿ 0 – ID do usuário ('0' é reservado para root)
ÿ 0 – ID do grupo
ÿ root – informações de ID do usuário
ÿ /root – Diretório inicial
ÿ /bin/bash – Caminho absoluto para o shell de login do usuário


Linux e Mac Forense
Coletando usuários e login atualmente conectados

Informações de histórico
ÿ Para encontrar o usuário atualmente conectado no sistema
Comando:
no
ÿ O arquivo de log /var/log/wtmp mantém

informações sobre o histórico de login do usuário,
tempo de reinicialização do sistema e status do sistema
ÿ O último comando extrai o histórico de login do arquivo de log

wtmp
Comando:
load -f /var/log/wtmp
Coletando usuários atualmente conectados

e informações do histórico de login (continuação)
ÿ O arquivo /var/log/auth.log registra informações relacionadas aos eventos de autenticação e
autorização do usuário, logins remotos do usuário, logins sudo, logins SSH, etc.
Comando:
cat /var/log/auth.log
ÿ O seguinte comando filtra os comandos sudo

grep sudo /var/log/auth.log
Coletando usuários conectados no momento e informações do histórico de login
Coletando informações sobre usuários conectados no momento
É importante que os investigadores forenses saibam como coletar informações sobre os usuários que estão
conectados a um sistema. Os investigadores devem executar o comando w para obter informações sobre os
usuários conectados.


Linux e Mac Forense
Figura 7.22: Executando o comando w
Coletando informações do histórico de login
Os investigadores também devem verificar o conteúdo do arquivo /var/log/wtmp para obter informações sobre o tempo
de inicialização do sistema, histórico de login do usuário, etc. Eles podem usar o último comando para visualizar o histórico
de login do usuário e outros detalhes relacionados.
load -f /var/log/wtmp
Figura 7.23: Executando o último comando
Para obter informações relativas à autenticação do usuário e eventos de autorização, logins de usuários remotos e o
histórico da execução de comandos sudo , os investigadores forenses devem examinar os detalhes do arquivo /var/log/
auth.log .


Linux e Mac Forense
As figuras a seguir destacam a execução dos comandos que os investigadores podem usar
para recuperar informações do arquivo /var/log/auth.log (a segunda figura abaixo refere-se
ao uso do comando grep para filtrar e recuperar logs pertencentes à execução de comandos
sudo ). cat /var/log/auth.log grep sudo /var/log/auth.log
Figura 7.24: Examinando o arquivo /var/log/auth.log usando o comando cat
Figura 7.25: Examinando o arquivo /var/log/auth.log usando o comando grep para filtrar os logs relacionados aos comandos sudo


Linux e Mac Forense
Coletando dados de registros do sistema

ÿ Em uma máquina Linux, os logs do sistema estão localizados no diretório /
ÿ Analisar os logs do kernel do Linux
var/log/syslog ÿ O arquivo de configuração syslog armazena
localizados em /var/log/kern.log pode ser útil para solucionar problemas
mensagens do sistema do recurso de log kernels personalizados
e coleta logs de dados de vários programas e serviços, incluindo o kernel
Comando:
Comando:
cat /var/log/kern.log
cat /var/log/syslog
Coletando dados de registros do sistema
Examinando o arquivo syslog
Nos sistemas Linux, o arquivo syslog registra as mensagens do sistema, bem como as mensagens de erro e
status do aplicativo. Este arquivo também coleta e armazena o log de dados do kernel. Os investigadores devem
recuperar detalhes do diretório /var/log/syslog para examinar as informações armazenadas nos arquivos syslog.
O comando a ser usado para exibir os detalhes em /var/log/syslog é cat /var/log/syslog
Figura 7.26: Examinando o arquivo syslog usando o comando cat


Linux e Mac Forense
Examinando o log do kernel
O arquivo de log /var/log/s.log registra as informações de todos os eventos relacionados ao kernel. Os

investigadores forenses devem recuperar os detalhes dos logs armazenados em /var/log/kern.log para examinar
todas as informações que foram armazenadas no arquivo de log do kernel. O comando a ser executado para
visualizar os detalhes armazenados no arquivo de log do kernel é cat /var/log/kern.log
Figura 7.27: Examinando o log do kernel usando o comando cat


Linux e Mac Forense
Arquivos de registro do Linux
Localização do registro Descrição do conteúdo
Informações de autorização do sistema, incluindo logins de

/var/log/auth.log
usuário e mecanismo de autenticação
Inicialização de kernels, erros de kernel ou mensagens

/var/log/kern.log
informativas enviadas do kernel
/var/log/faillog Tentativas de login do usuário com falha
/var/log/lpr.log Registros da impressora
/var/log/mail.* Todos os logs de mensagens do servidor de e-mail
/var/log/mysql.* Todos os logs do servidor MySQL
/var/log/apache2/* Todos os logs do servidor web Apache
/var/log/apport.log Relatório/log de travamento do aplicativo
/var/log/lighttpd/* Diretório de arquivos de log do servidor web Lighttpd
/var/log/daemon.log Serviços em execução, como squid e ntpd
/var/log/depurar Mensagens de registro de depuração
/var/log/dpkg.log Logs de instalação ou remoção de pacotes
Arquivos de registro do Linux
Arquivos de log são registros de todas as atividades executadas em um sistema. Os arquivos de log do Linux armazenam informações sobre o kernel
do sistema e os serviços em execução no sistema.
No ambiente Linux, diferentes arquivos de log contêm diferentes tipos de informações. Isso ajuda os investigadores a analisar vários problemas
durante um incidente de segurança. Compreender o conteúdo de vários arquivos de log pode ajudar os investigadores forenses a localizar possíveis
evidências em um sistema durante incidentes de segurança.
Abaixo estão alguns endereços de arquivo de log do Linux que podem ser úteis para os investigadores durante a realização de exames forenses de
uma máquina Linux:
Localização do registro Descrição do conteúdo
Informações de autorização do sistema, incluindo logins de

/var/log/auth.log
usuário e mecanismo de autenticação
Inicialização de kernels, erros de kernel ou mensagens

/var/log/kern.log
informativas enviadas do kernel
/var/log/faillog Tentativas de login do usuário com falha
/var/log/lpr.log Registros da impressora
/var/log/mail.* Todos os logs de mensagens do servidor de e-mail
/var/log/mysql.* Todos os logs do servidor MySQL


Linux e Mac Forense
/var/log/apache2/* Todos os logs do servidor web Apache
/var/log/apport.log Relatório/log de travamento do aplicativo
/var/log/lighttpd/* Diretório de arquivos de log do servidor web Lighttpd
/var/log/daemon.log Serviços em execução, como squid e ntpd
/var/log/depurar Mensagens de registro de depuração
/var/log/dpkg.log Logs de instalação ou remoção de pacotes
Tabela 7.1: Endereços de arquivo de log do Linux


Linux e Mac Forense
Fluxo do módulo


forense 04 03 forense
Analisar imagens do sistema de arquivos usando o kit Sleuth

O Sleuth Kit (TSK) permite que você investigue imagens de disco. Sua funcionalidade principal permite
analisar dados de volume e sistema de arquivos. A estrutura de plug-in permite incorporar módulos adicionais
para analisar o conteúdo do arquivo e construir sistemas automatizados. Esta seção explorará os comandos
TSK que podem ajudar os investigadores a visualizar e examinar os sistemas de arquivos.


Linux e Mac Forense
Sistema de arquivo
Análise usando
O Kit Detetive:
fsstat
ÿ Em sistemas Linux, o comando fsstat fornece

informações associadas ao sistema de arquivos fornecido
ÿ A saída deste comando é específica do sistema de arquivos e

consiste em várias informações, como o tipo de sistema de
arquivos, ID do volume, registros de data e hora da última
montagem e último diretório montado
Comando:
fsstat -i <input _filetype>

<filename.extension>
Análise do sistema de arquivos usando o kit Sleuth: fsstat
Em sistemas Linux, o comando fsstat fornece informações associadas ao sistema de arquivos fornecido.
A saída desse comando é específica do sistema de arquivos e consiste em várias informações, como tipo
de sistema de arquivos, ID do volume, carimbos de data/hora da última montagem e último diretório montado.
Comando:
fsstat -i <input _filetype> <filename.extension>
Figura 7.28: Examinando uma imagem usando o comando fsstat


Linux e Mac Forense
Análise do sistema de arquivos usando o kit Sleuth: fls e istat

ÿ Execute o comando fls para listar os arquivos e diretórios disponíveis
ÿ Use o comando istat que exibe os metadados de um arquivo, como
em um arquivo de imagem ÿ Este comando também é útil para tempos MAC, tamanho do arquivo e permissões de acesso ao
visualizar arquivos excluídos recentemente arquivo, especificando um número de inode específico
arquivos
Comando:
Comando: istat -f <fstype> -i <imgtype>

fls -i <image_type> <imagefile_name> <imagefile_name> <inode_number>
Análise do sistema de arquivos usando o kit Sleuth: fls e istat

comando fls
Execute o comando fls para listar os arquivos e diretórios disponíveis em um arquivo de imagem. Este comando também
é útil para visualizar arquivos excluídos recentemente.
Comando:
fls -i <image_type> <imagefile_name>
Figura 7.29: Examinando uma imagem usando o comando fls


Linux e Mac Forense
Comando Estadual
Use o comando istat para exibir os metadados de um arquivo, como tempos MAC, tamanho do arquivo e permissões
de acesso ao arquivo, especificando um número de inode específico.
Comando:
istat -f <fstype> -i <imgtype> <imagefile_name> <inode_number>
Figura 7.30: Examinando um arquivo de imagem usando o comando istat


Linux e Mac Forense
Fluxo do módulo


forense
04 03 forense
Demonstrar Forense de Memória

A análise forense de memória desempenha um papel importante no rastreamento dos eventos que
ocorreram na máquina suspeita. A estrutura Volatility é uma ferramenta útil que ajuda os investigadores a
examinar a imagem RAM de uma máquina Linux. Esta seção explorará tópicos como coletar informações
relacionadas à rede em um arquivo de imagem, coletar informações do sistema e realizar análises de
memória para identificar conexões maliciosas associadas à máquina suspeita. Você também aprenderá
como esculpir arquivos excluídos do despejo de memória usando o PhotoRec.


Linux e Mac Forense
Memória Forense: Introdução
A análise forense de memória envolve a análise forense de despejos de

RAM capturados de uma máquina em execução 1
A análise forense do despejo de RAM fornece informações sobre processos em
execução na memória, informações de rede, acesso não autorizado ao sistema,
módulos carregados, comandos executados recentemente, fragmentos de código 2
injetados, etc.
Essas informações podem ajudar o investigador a descobrir ataques de

malware ou qualquer outro comportamento malicioso que tenha ocorrido na
máquina de destino
3
Nota: O investigador deve prosseguir com o exame forense com base nas informações/eventos registrados pela equipe de resposta a incidentes
Memória Forense: Introdução
A análise forense de memória refere-se ao exame de dados voláteis obtidos de um arquivo de imagem de
memória/despejo de memória de um sistema. Um despejo de memória (despejo de RAM) refere-se aos dados
voláteis capturados da RAM de um sistema quando o sistema está em execução. Os dados da RAM contêm
informações valiosas relacionadas a incidentes como ataque de malware, travamento do sistema e
comprometimento do sistema. As soluções de segurança de rede, como firewalls e ferramentas antivírus, não
podem detectar scripts maliciosos gravados na RAM do sistema. Os investigadores forenses devem realizar
análises forenses de memória para examinar vários artefatos e identificar atividades maliciosas que ocorrem em
um sistema. A análise forense de memória também ajuda a detectar e analisar malware residente na memória
que, de outra forma, pode passar despercebido no disco rígido. A análise forense do despejo de RAM fornece
informações sobre processos em execução na memória, informações de rede, acesso não autorizado ao sistema,
módulos carregados, comandos executados recentemente, fragmentos de código injetados, etc.
Em uma máquina Linux, os dumps de RAM são adquiridos usando ferramentas/softwares especializados. O
LiME é uma das ferramentas mais conhecidas usadas na aquisição de dumps de RAM. Em muitos casos de
crimes cibernéticos, o exame e a análise de despejos de memória podem levar à coleta de evidências críticas
que podem ser usadas para identificar e processar os perpetradores em um tribunal. Ferramentas como o
Volatility Framework são amplamente usadas para executar análise forense de memória em máquinas Linux.
Nota: O investigador deve prosseguir com o exame forense com base nas informações/eventos registrados pela
equipe de resposta a incidentes.


Linux e Mac Forense
ÿ Depois de adquirir RAM dumps da máquina de destino, o

Malware investigador deve analisar esses lixões usando ferramentas como
Volatilidade para identificar a ocorrência de atividade maliciosa
Análise usando
ÿ Para examinar despejos de memória usando o Volatility Framework, o
Volatilidade o investigador deve criar um perfil do Linux que corresponda à versão
Estrutura do kernel do despejo de RAM de destino (que é usado para análise)
O plug-in pslist lista todos os processos que estavam

em execução na máquina quando o despejo de memória
foi capturado
Comando:
python vol.py --file=<file_name> --

profile=<Linux_profile_name> linux_pslist
Nota: Neste caso, o perfil do Linux é Linux Ubuntu_16.04 x64
Análise de malware usando a estrutura de volatilidade (continuação)
ÿ Use o plug-in netstat para procurar ÿ O plug-in pstree exibe os processos pai e filho associados
comunicação de rede maliciosa na máquina gerados usando um backdoor malicioso
ÿ Na captura de tela abaixo, pode-se observar que o
Comando:
processo apache2 com PID 1279 iniciou outro processo
python vol.py --file=<file_name> -- apache2 com PID 1332
profile=<Linux_profile_name> linux_netstat
ÿ Isso indica que o processo com PID 1332 está estabelecendo
comunicação maliciosa
Comando:
python vol.py --file=<file_name> --
profile=<Linux_profile_name> linux_pstree


Linux e Mac Forense
Análise de malware usando a estrutura de volatilidade (continuação)
ÿ O plugin malfind ajuda o investigador

identificar quaisquer injeções de código remotas/
ocultas na memória
ÿ Comando:
ÿ python vol.py --file=<file_name> -

-
perfil=<Linux_profile_name> linux _malfind
ÿ Na saída do pstree , o processo com PID 1332 é identificado

como malicioso. Você pode utilizar o plugin malfind para
verificar se o PID 1332 é um legítimo
processar.
ÿ Quando o plugin malfind é executado com PID 1332, o

Malware
parâmetro 'Protection' mostra que o processo está
Análise
marcado com as permissões Read, Write e Execute .
Isso indica que algum código malicioso foi injetado no
processo.
Análise de malware usando a estrutura de volatilidade
O Volatility Framework é uma ferramenta que ajuda os investigadores a analisar a memória volátil. Depois de
adquirir os dumps de RAM da máquina de destino, o investigador deve analisar esses dumps usando ferramentas
como Volatility para identificar a ocorrência de atividade maliciosa.
Antes de analisar o arquivo de imagem RAM usando a ferramenta de volatilidade, um investigador deve criar um
perfil Linux para definir o sistema/kernel ao qual o arquivo de imagem de memória pertence.
Identificando processos em execução usando o plug-in pslist
Os investigadores forenses devem usar o plug-in pslist da ferramenta de volatilidade para recuperar informações
sobre todos os processos/programas que estavam em execução no sistema no momento em que o despejo de
memória foi coletado.
Comando:
python vol.py --file=<file_name> --profile=<Linux_profile_name> linux_pslist


Linux e Mac Forense
Figura 7.31: Usando o plug-in pslist
Observação: nesse caso, o perfil do Linux é Linux Ubuntu_16.04 x64.
Examinando comunicações de rede maliciosas usando o plug-in netstat
Investigadores forenses devem usar o plug-in netstat para recuperar detalhes relacionados a conexões de
rede em um sistema host. A saída retornada pelo plug-in netstat fornece informações sobre todas as
conexões de porta TCP e UDP, o que pode ajudar a detectar qualquer comunicação de rede maliciosa em
execução no sistema.
Comando:
python vol.py --file=<file_name> --profile=<Linux_profile_name> linux_netstat


Linux e Mac Forense
Figura 7.32: Saída obtida ao usar o plug-in netstat
Visualizando processos usando o plug-in pstree
Os investigadores devem usar o plug-in pstree para exibir informações sobre os processos em execução junto com
seus processos pai na forma de uma árvore em vez de exibi-los como uma lista. Devido ao seu formato de árvore, é
mais simples e conveniente visualizar a hierarquia do processo através da saída gerada por este plugin. A partir da
saída obtida, os investigadores podem detectar os processos maliciosos em execução, bem como seus processos pai.
Comando:
python vol.py --file=<file_name> --profile=<Linux_profile_name> linux_pstree
Figura 7.33: Resultado obtido ao usar o plugin pstree


Linux e Mac Forense
Detectando arquivos ocultos na memória usando o plug-in malfind
A execução do plug-in malfind ajuda os investigadores forenses a detectar arquivos ocultos ou injetados, que
geralmente são arquivos de biblioteca de vínculo dinâmico (DLL), na memória. Se a saída do plug-in pstree indicar
que um determinado PID é suspeito, os investigadores devem executar o plug-in malfind nesse PID para
determinar sua legitimidade. Por exemplo, a partir da saída do plug-in pstree mostrada na figura anterior, o
processo com PID 1332 é identificado como malicioso. Você pode usar o plugin malfind para verificar se o PID
1332 é um processo legítimo.
A figura abaixo mostra que quando o plugin malfind é executado com PID 1332, o parâmetro 'Protection' mostra
que o processo está marcado com as permissões Read, Write e Execute. Isso indica que algum código malicioso
foi injetado no processo.
Comando:
python vol.py --file=<file_name> profile=<Linux_profile_name> --

linux_malfind
Figura 7.34: Usando o plugin malfind


Linux e Mac Forense
Gravando despejos de memória usando a ferramenta PhotoRec
PhotoRec é uma ferramenta de código Despejos de memória contêm dados voláteis Identificar e extrair esses
aberto que usa técnicas de gravação pertencentes a usuários conectados, arquivos arquivos permite a
de dados para recuperar arquivos compartilhados, arquivos de mídia acessados investigadores forenses
excluídos/dados perdidos de uma recentemente e bate-papos via redes sociais para realizar uma
unidade ou arquivo de imagem redes, páginas web acedidas, etc. investigação mais detalhada
Gravando dados do despejo de memória
ÿ Execute a ferramenta PhotoRec e execute o seguinte

comando
Comando:
fotorrec <Imagefile_name>
Gravando despejos de memória usando a ferramenta PhotoRec (continuação)
ÿ Use ferramentas anti-malware para verificar se há vírus nos dados extraídos dos despejos de
memória ÿ Isso permite a detecção de quaisquer dados maliciosos nos despejos de memória que podem ser úteis durante
uma investigação
Extraindo dados de despejos de memória usando PhotoRec Dados recuperados do arquivo de imagem
Gravando despejos de memória usando a ferramenta PhotoRec
Fonte: https:// www.cgsecurity.org
Os investigadores forenses podem recuperar arquivos excluídos/perdidos do disco rígido ou um arquivo de imagem
de memória usando a ferramenta PhotoRec. Depois de recuperar os arquivos excluídos, os investigadores devem
examiná-los com ferramentas antimalware para verificar a presença de dados maliciosos.


Linux e Mac Forense
Dada a seguir é o comando para executar a ferramenta PhotoRec.
Comando:
fotorrec <Imagefile_name>
Figura 7.35: Executando a ferramenta photorec
Ao executar o comando PhotoRec conforme mostrado acima, o progresso da recuperação dos dados do despejo de
memória pode ser visto na janela do terminal, conforme mostrado na figura abaixo.
Figura 7.36: Extraindo dados de despejos de memória por meio do PhotoRec
Figura 7.37: Dados recuperados do despejo de memória usando o PhotoRec


Linux e Mac Forense
Fluxo do módulo


forense
04 03 forense
Entenda a análise forense do Mac

MacOS é um sistema operacional desenvolvido pela Apple para suportar sua série de computadores pessoais
Macintosh. É um dos sistemas mais amplamente adotados em todo o mundo e, com o aumento de seu uso, o
número de ataques cibernéticos que enfrenta aumentou significativamente. Para realizar análises forenses com
eficiência em sistemas baseados em MacOS, os investigadores devem entender o MacOS, seu processo, políticas,
funções e padrões de armazenamento interno. Esta seção apresentará os processos que podem ajudar a conduzir
a investigação forense nesses sistemas.


Linux e Mac Forense
Introdução à análise forense do Mac
A adoção cada vez maior de sistemas Mac os tornou um alvo primário para ataques maliciosos
1
O avanço das ferramentas de malware e a menor disponibilidade de ferramentas de segurança para sistemas
2 baseados em MacOS aceleraram ainda mais essas ameaças
Para identificar um ataque ou provar a culpa, os investigadores exigem evidências como a

3 presença de malware, tentativas de registro não autorizadas e conectividade com servidores e sites maliciosos
Os sistemas Mac armazenam todos esses dados de evidência em arquivos de log, diretórios, configurações,
4 histórico de aplicativos, etc. e os investigadores precisam extrair esses dados e usá-los para criar uma linha do tempo
para descobrir o que aconteceu
Portanto, para realizar uma investigação eficaz, os investigadores devem possuir conhecimento profundo do
OPÇÃO 01
5 MacOS, seu sistema de arquivos, bibliotecas e diretórios
Introdução à análise forense do Mac
MacOS é um sistema operacional baseado em Unix usado pela Apple em seus sistemas de computação Macintosh. O
sistema operacional depende das camadas do kernel Mach e Berkeley Software Distribution (BSD). O uso de produtos da
Apple, como computadores Mac, iPods, iPads e iPhones aumentou drasticamente nos últimos anos. Com o tempo, eles
também se tornaram o principal alvo de ataques cibernéticos. O número crescente de ataques contra sistemas Mac pode
ser atribuído ao avanço das ferramentas de malware e à falta de ferramentas de segurança suficientes desenvolvidas para
defender esses sistemas contra ataques. Para identificar um ataque ou provar a culpa, os investigadores exigem evidências
como a presença de malware, tentativas de registro não autorizadas e conectividade com servidores e sites maliciosos.
A análise forense do Mac refere-se à investigação de um crime ocorrido em ou usando um dispositivo baseado em MacOS.
Os sistemas Mac armazenam todos esses dados de evidência em arquivos de log, diretórios, configurações, histórico de
aplicativos, etc. e os investigadores precisam extrair esses dados e usá-los para criar uma linha do tempo para descobrir o
que aconteceu. Portanto, para realizar uma investigação eficaz, os investigadores devem possuir conhecimento profundo
do MacOS, seu sistema de arquivos, bibliotecas e diretórios


Linux e Mac Forense
Dados forenses do Mac

ÿ Detecção da Versão do Sistema:
ÿ Descobertas:
• Visualize o arquivo SystemVersion.plist localizado em • É o aplicativo padrão do Mac que ajuda a encontrar
/System/Library/CoreServices/SystemVersion.plist arquivos e pastas específicos
• Também ajuda na classificação na ordem necessária
ÿ Carimbo de data/hora:
• Use a estatística de entrada da linha de comando para encontrar o registro de data e hora de
qualquer arquivo
• Uso: stat [-FlLnqrsx] [-f formato] [-t timefmt] [arquivo ...]
ÿ Pacotes de aplicativos:
• Estes são diretórios especiais que armazenam aplicativos

dados, e estão ocultos do usuário
• Analisar esses pacotes para identificar malware ou outros

dados suspeitos
• Avalie os códigos executáveis para verificar se algo

está errado com o aplicativo
Dados forenses do Mac (continuação)
Conta de usuário Sistema de arquivo Módulo de segurança básica (BSM)
ÿ Os dados da conta do usuário são armazenados em ÿ A camada do sistema de arquivos ÿ O token representa dados específicos, como
a pasta da biblioteca do usuário - armazena informações como metadados de argumentos de programa , valor de
/Usuários/nome de usuário/Biblioteca arquivo, conteúdo de arquivo e estruturas de retorno, dados de texto, soquete,
diretório execução e ação em um arquivo
ÿ Colete informações como horários de
modificação, acesso e criação de cada

ÿ Os dados armazenados no BSM ajudam
conta
a determinar o tipo de arquivo, criador e dados
de uso


Linux e Mac Forense
Holofote ÿ Use um holofote para pesquisar palavras-chave específicas que representam atividades maliciosas
ÿ Armazena os dados de autenticação, como tentativas de logon (sucesso e falha) de todos

usuários
Diretório inicial ÿ Ajuda o investigador a determinar todas as tentativas feitas para contornar a segurança
medidas junto com os timestamps relevantes
ÿ Uma ferramenta de backup que armazena o conteúdo do disco rígido
ÿ Inclui um arquivo BackupAlias contendo as informações binárias relacionadas ao disco rígido

Máquina do tempo
usado para armazenar os backups
ÿ O MacOS pode incorporar recursos adicionais carregando extensões do kernel

Kexts
ÿ Analisar o sistema para extensões do kernel

Apple Mail ÿ
Armazena o e-mail do usuário no diretório /Users//Library/Mail ÿ Salva
o e-mail no formato emlx, onde cada e-mail é armazenado como um arquivo no formato ASCII ÿ
Use extratores de e-mail como o Email Extractor 7 e o Data Extractor para analisar os dados do e-mail
Safári
ÿ Dados como histórico de navegação, histórico de download e favoritos podem ser usados como evidência e são armazenados como
History.plist, Downloads.plist e Bookmarks.plist respectivamente no local /Users//Library/Safari
eu converso
ÿ Verifique se há bate-papos salvos no local padrão: /Users/<username>/Documents/iChats
ÿ Aplicativos individuais são armazenados como <nome de usuário> em <data> às <hora>.ichat
Entradas de linha de comando ÿ

MacOS registra comandos no bash shell e os armazena no arquivo .bash_history ÿ Use o comando
$tail .bash_history para visualizar os comandos mais recentes que foram executados na máquina suspeita
Dados forenses do Mac
Se um dispositivo baseado em MacOS estiver presente na cena do crime, os investigadores primeiro

apreenderão o dispositivo e o protegerão. O dispositivo suspeito é então visualizado usando
bloqueadores de gravação e as investigações são realizadas na cópia com imagem. Investigadores
forenses então examinam a mídia digital de maneira forense. Sua tarefa é identificar, preservar,
recuperar, analisar e apresentar as evidências extraídas do dispositivo de forma admissível no tribunal.


Linux e Mac Forense
A análise de todas essas fontes, conforme discutido abaixo, pode fornecer dados forenses cruciais que podem ajudar
os investigadores a rastrear ciberataques. Além disso, os investigadores podem obter todos os detalhes da conta do
usuário na pasta da biblioteca e coletar informações relacionadas aos horários de modificação, acesso e criação da
conta.
ÿ Arquivo SystemVersion.plist
Ele contém detalhes da versão do sistema e está localizado em /

System/Library/CoreServices/SystemVersion.plist.
Figura 7.38: Verificando os detalhes da versão do sistema no sistema Mac por meio do arquivo SystemVersion.plist
ÿ Utilitário de carimbo de data/hora
Isso ajuda a correlacionar eventos de log e criar uma linha do tempo lógica dos eventos que ocorreram em
uma máquina. Ele fornece informações importantes, como tempos de MAC de qualquer arquivo. Também
ajuda a recuperar registros de data e hora de aplicativos, serviços, eventos e logs do sistema. Um investigador
pode usar a estatística de entrada da linha de comando para recuperar o registro de data e hora de qualquer arquivo.
Comando:
stat [-FlLnqrsx] [formato-f] [-t timefmt] [arquivo ...]
Figura 7.39: Verificando os metadados associados a um arquivo em um sistema Mac usando o comando stat
ÿ Pacotes de Aplicativos
Esses são diretórios especiais que armazenam dados do aplicativo e ficam ocultos do usuário.
Os investigadores devem analisar esses pacotes para identificar malware ou outros dados suspeitos.
Avalie os códigos executáveis para verificar se algo está errado com o aplicativo.


Linux e Mac Forense
ÿ Localizador
Este é o aplicativo padrão do Mac que ajuda a encontrar arquivos e pastas específicos e também ajuda a classificá-
los na ordem necessária.
ÿ Conta de Utilizador
Os dados da conta do usuário armazenam informações relacionadas a todas as contas de usuário, como IDs de
usuário e opção de política de senha. Também ajuda a identificar os usuários convidados e administradores.
Os dados da conta do usuário são armazenados na pasta da biblioteca do usuário - /Users/username/Library.
Colete informações como horários de modificação, acesso e criação de cada conta
ÿ Sistema de
Arquivos O MacOS usa o Sistema de Arquivos Apple (APFS) que compreende duas camadas, a camada do
contêiner e a camada do sistema de arquivos. A camada de contêiner contém dados como metadados de volume,
estado de criptografia e instantâneos do volume. A camada do sistema de arquivos armazena informações como
metadados de arquivo, conteúdo de arquivo e estruturas de diretório
ÿ Módulo Básico de Segurança (BSM)

O BSM salva informações de arquivo e eventos relacionados usando um token, que possui uma estrutura binária.
O token representa dados específicos, como argumentos de programa, valor de retorno, dados de texto, soquete,
execução e ação em um arquivo. Os dados armazenados no BSM ajudam a determinar o tipo de arquivo, o criador e
os dados de uso.
ÿ Spotlight O
Spotlight é um recurso de pesquisa integrado do MAC OS, que indexa os arquivos por tipo e, assim, facilita a
pesquisa. Essa tecnologia é particularmente útil para os investigadores rastrearem arquivos e aplicativos suspeitos.
Use um holofote para pesquisar palavras-chave específicas nos arquivos que representam atividades maliciosas.
ÿ Home Directory No
macOS, a pasta Home armazena todos os arquivos, documentos, aplicativos, pastas de biblioteca, etc. pertencentes
a um determinado usuário. Ele armazena os dados de autenticação, como tentativas de logon (sucesso e falha) de
todos os usuários, juntamente com as pastas de aplicativos e de instalação.
O sistema operacional cria um diretório inicial separado para cada usuário do sistema com seu nome de usuário.
Portanto, os investigadores podem analisar facilmente o diretório Home e recuperar dados cruciais, como senhas,
arquivos de log, pastas de biblioteca, tentativas de logon e outras informações forenses significativas. O exame da
pasta pessoal também pode ajudar a determinar todas as tentativas feitas para contornar as medidas de segurança
junto com os carimbos de data/hora relevantes. Outros arquivos incluem área de trabalho, documentos, biblioteca e
revistas.
ÿ Máquina do Tempo
Time machine é uma ferramenta de backup que armazena o conteúdo do disco rígido. Isso inclui um arquivo
BackupAlias contendo as informações binárias relacionadas ao disco rígido usado para armazenar os backups.


Linux e Mac Forense
ÿ Kexts
O MacOS pode incorporar recursos adicionais carregando extensões do kernel. Analise o sistema
para extensões do kernel.
ÿ Apple Mail
O MacOS tem um cliente de e-mail autônomo padrão chamado Apple Mail, que oferece suporte a
várias contas POP3 e IMAP e filtragem avançada. Ele armazena todas as mensagens de e-mail no
computador host no diretório /Users//Library/Mail . Ele salva e-mail no formato emlx , onde cada e-
mail é armazenado como um arquivo no formato ASCII. Essas mensagens de e-mail podem atuar
como uma fonte crucial de evidência forense. Use extratores de e-mail como o Email Extractor 7
e Data Extractor para analisar dados de e-mail.
ÿ Safári
O Safari é o navegador da Web padrão para MacOS. Ele armazena informações sobre o histórico de
navegação, histórico de download, etc. como arquivos plist na pasta Biblioteca. Dados como histórico
de navegação, histórico de download e favoritos podem ser usados como evidência e são
armazenados como History.plist, Downloads.plist e Bookmarks.plist , respectivamente, no local /
Users//Library/Safari .
ÿ iChat
O MacOS vem com o aplicativo de mensagens instantâneas padrão chamado iChat. Não armazena
conversas anteriores automaticamente; mas os usuários podem optar por salvá-los manualmente.
Verifique a localização
para padrão dossalvou
individuais chats:
são armazenados como no a
qualquer /Users/<username>/Documents/iChats. Aplicativos
<nome de usuário> em <data> às <hora>.ichat.
ÿ Entradas de linha de comando
O MacOS registra comandos no bash shell e os armazena no arquivo .bash_history.

Use o comando $tail .bash_history para visualizar os comandos mais recentes que foram executados
na máquina suspeita.


Linux e Mac Forense
Arquivos de registro do Mac
Arquivo de log Usos
/var/log/crashreporter.log Histórico de falhas do aplicativo
/var/log/cups/access_log Informações de conexão da impressora
/var/log/cups/error_log Informações de conexão da impressora
/var/log/daily.out Histórico da interface de rede
Informações de conexão Samba (máquina baseada em

/var/log/samba/log.nmbd
Windows)
~/Biblioteca/Logs Logs de aplicativos específicos para o diretório inicial
~/Library/Logs/
informações de conexão do iChat
iChatConnectionErrors
~/Biblioteca/Logs/Sincronizar Informações de dispositivos em sincronização .Mac
/var/log/* Pasta principal para arquivos de log do sistema
/var/auditoria/* Registros de auditoria
/var/log/install.log Datas de instalação da atualização do sistema e do software
Arquivos de registro do Mac
Listados abaixo estão os diretórios para arquivos de log importantes em sistemas Linux:
Arquivo de log Usos
/var/log/crashreporter.log Histórico de falhas do aplicativo
/var/log/cups/access_log Informações de conexão da impressora
/var/log/cups/error_log Informações de conexão da impressora
/var/log/daily.out Histórico da interface de rede
/var/log/samba/log.nmbd Samba (máquina baseada em Windows) informações de conexão
~/Biblioteca/Logs Logs de aplicativos específicos para o diretório inicial
~/Library/Logs/
informações de conexão do iChat
iChatConnectionErrors
~/Biblioteca/Logs/Sincronizar Informações de dispositivos em sincronização .Mac
/var/log/* Pasta principal para arquivos de log do sistema
/var/auditoria/* Registros de auditoria
/var/log/install.log Datas de instalação da atualização do sistema e do software
Tabela 7.2: Diretórios para arquivos de log do Mac


Linux e Mac Forense
Diretórios Mac
Nome do arquivo Localização
Iniciar arquivos do agente /Biblioteca/LaunchAgents/*, /Sistema/Biblioteca/LaunchAgents/*
Iniciar arquivos daemon /Biblioteca/LaunchDaemons/*, /Sistema/Biblioteca/LaunchDaemons/*
Arquivo de item de inicialização /Biblioteca/StartupItems/*, /Sistema/Biblioteca/StartupItems/*
Tarefas do Mac OS X /usr/lib/cron/jobs/*
Guias cron ou trabalhos agendados /etc/crontab, /usr/lib/cron/tabs/*
redes sem fio /Library/Preferences/SystemConfiguration/com.apple.airport.preferences.plist
Configurações de preferência do usuário para aplicativos %%users.homedir%%/Library/Preferences/*

e utilitários
iDevices anexados %%users.homedir%%/Library/Preferences/com.apple.iPod.plist
contas sociais %%users.homedir%%/Library/Accounts/Accounts3.sqlite
Diretório de lixo %%users.homedir%%/.Trash/

Pasta principal do Safari %%users.homedir%%/Library/Safari/*
Navegador Mozilla Firefox %%users.homedir%%/Library/Application Support/Firefox/*
navegador Google Chrome %%users.homedir%%/Library/Application Support/Google/Chrome/*
Diretórios Mac
Listados abaixo estão os diretórios importantes em sistemas Mac que podem servir como repositórios de evidências durante uma
investigação forense:
Nome do arquivo Localização
Iniciar arquivos do agente /Biblioteca/LaunchAgents/*, /Sistema/Biblioteca/LaunchAgents/*
Iniciar arquivos daemon /Biblioteca/LaunchDaemons/*, /Sistema/Biblioteca/LaunchDaemons/*
Arquivo de item de inicialização /Biblioteca/StartupItems/*, /Sistema/Biblioteca/StartupItems/*
Tarefas do Mac OS X /usr/lib/cron/jobs/*
Guias cron ou trabalhos agendados /etc/crontab, /usr/lib/cron/tabs/*
/Library/Preferences/SystemConfiguration/com.apple.airport.preferences.plist
redes sem fio
Configurações de preferência do
%%users.homedir%%/Library/Preferences/*
usuário para aplicativos e utilitários
iDevices anexados %%users.homedir%%/Library/Preferences/com.apple.iPod.plist %%users.homedir%
contas sociais %/Library/Accounts/Accounts3.sqlite %%users.homedir%%/.Trash/ %
Diretório de lixo %users.homedir %%/Biblioteca/Safari/*
Pasta principal do Safari
Navegador da web Mozilla Firefox %%users.homedir%%/Library/Application Support/Firefox/*
%%users.homedir%%/Library/Application Support/
navegador Google Chrome
Google/Chrome/*
Tabela 7.3: Diretórios importantes do Mac


Linux e Mac Forense
Análise APFS: Captura Biskus APFS

ÿ A ferramenta Biskus APFS Capture foi projetada para recuperar informações de discos formatados em APFS
• Ele identifica todas as partições disponíveis nos discos conectados e arquivos de imagem
• O arquivo de relatório no formato CSV permite que você examine os metadados de cada arquivo/pasta no sistema de arquivos
Relatório sobre metadados extraídos do sistema de arquivos Partições disponíveis no arquivo de imagem
O arquivo de relatório SQLite fornece todos os metadados APFS de maneira organizada, pois está no
Diretório APFS
Análise APFS:
Ele também fornece acesso individual a cada chave nomeada, inode, xattr e registro de extensão,
Biskus APFS incluindo CNIDs e números de bloco
Captura (continuação)
Isso permite que os investigadores pesquisem hardlinks, conteúdo de arquivo clonado, etc., e usem essas
informações para acessar todos os arquivos no disco
Análise APFS: Captura Biskus APFS
A ferramenta Biskus APFS Capture foi projetada para recuperar informações de discos formatados em APFS.
Esta ferramenta identifica todas as partições disponíveis nos discos conectados e arquivos de imagem. O arquivo
de relatório gerado pela ferramenta no formato CSV permite examinar os metadados de cada arquivo/pasta no
sistema de arquivos.


Linux e Mac Forense
Figura 7.40: Partições disponíveis no arquivo de imagem
Figura 7.41: Relatório sobre os metadados extraídos do sistema de arquivos usando o Biskus APFS Capture
O arquivo de relatório SQLite fornece todos os metadados APFS de maneira organizada, pois está no diretório
APFS. Ele também fornece acesso individual a cada chave nomeada, inode, xattr e registro de extensão,
incluindo CNIDs e números de bloco. Isso permite que os investigadores pesquisem hardlinks, conteúdo de
arquivo clonado, etc., e usem essas informações para acessar todos os arquivos no disco.


Linux e Mac Forense
Figura 7.42: Visualizando o sistema de arquivos da imagem mac.dd usando o Biskus APFS Capture
Figura 7.43: arquivo de relatório SQLite


Linux e Mac Forense
Analisando metadados no Spotlight
O Spotlight é um sistema de indexação

embutido no MacOS que cria índices de No MacOS, o Spotlight pode ser
01 todos os arquivos/pastas no sistema e acessado pressionando 02

armazena os metadados de cada arquivo/ Comando + Teclas da barra de espaço
pasta no disco
No exame forense digital, as informações

O arquivo de banco de dados
do banco de dados analisadas do
store.db é o repositório de banco
Spotlight recuperam detalhes como datas,
03 de dados central do Spotlight. Cada
última abertura e número de vezes 04
partição MacOS individual contém o
que um aplicativo ou arquivo é aberto
arquivo store.db.

(continua)
ÿ Análise com Spotlight
ÿ Execute spotlight_parser e aponte-o para o arquivo de banco de dados, .store.db que está localizado no
/.Spotlight-V100/Store-V2/<UUID> pasta
Sintaxe:
python spotlight_parser.py <path_to_database> <path_to_output_folder>


Linux e Mac Forense
Analisando metadados no Spotlight (continuação)

Quando o Spotlight termina de analisar o arquivo de banco de dados, ele cria dois arquivos de saída
Um é um arquivo de texto contendo um despejo de banco de dados de todas as entradas, enquanto o outro é um arquivo
CSV que consiste em diretórios de cada arquivo/pasta na partição especificada
Metadados analisados do Spotlight no formato CSV Saída de metadados de arquivo jpg analisados do banco de dados
O Spotlight no MacOS permite que os usuários pesquisem arquivos/pastas consultando bancos de dados
ocupados com atributos do sistema de arquivos, metadados e conteúdo textual indexado. Ele cria um índice de
todos os arquivos/pastas no sistema e armazena os metadados de todos os arquivos/pastas no disco. No MacOS,
o Spotlight pode ser acessado pressionando as teclas Command + barra de espaço.
O arquivo de banco de dados store.db no repositório central do Spotlight é de grande valor forense. Isso ocorre
porque a análise desse arquivo fornece ao investigador detalhes como tempos de MAC, arquivos abertos
recentemente, número de vezes que um aplicativo ou arquivo é aberto e metadados associados.
O store.db é um arquivo oculto localizado na pasta /.Spotlight-V100/Store-V2/<UUID>. Cada partição individual

no sistema MAC contém um arquivo store.db específico para a partição. Quando o arquivo de banco de dados é
analisado, ele extrai artefatos específicos dessa partição.
Sintaxe:
python spotlight_parser.py <path_to_database> <path_to_output_folder>


Linux e Mac Forense
Figura 7.44: Analisando o Spotlight
A saída do spotlight_parser inclui dois arquivos: um arquivo de texto contendo um despejo de banco de
dados de todos os arquivos/pastas no disco e um arquivo CSV contendo diretórios de cada arquivo/pasta
na partição específica. As figuras a seguir mostram o exemplo de um arquivo de texto e um arquivo CSV
obtidos como saída, respectivamente, ao executar o analisador Spotlight.


Linux e Mac Forense
Figura 7.45: Arquivo de texto de saída gerado pelo analisador spotlight
Figura 7.46: Arquivo CSV de saída gerado pelo analisador spotlight


Linux e Mac Forense
Ferramentas forenses do Mac
OS X Auditor F-Response
https:// github.com https:// www.f-response.com
Recon Imager volafox

https:// sumuri.com https:// github.com
Memoryze para Mac https:// Volatilidade

www.fireeye.com https:// www.volatilityfoundation.org
Stellar Data Recovery mac_apt - macOS (e iOS)

Professional para Mac Ferramenta de análise de
https:// www.stellarinfo.com artefato https:// github.com
Ferramentas forenses do Mac
Algumas ferramentas forenses do Mac estão listadas a seguir:
ÿ OS X Auditor (https:// github.com)
ÿ Recon Imager (https:// sumuri.com)
ÿ Memoryze para Mac (https:// www.fireeye.com)
ÿ Stellar Data Recovery Professional para Mac (https:// www.stellarinfo.com)
ÿ F-Response (https:// www.f-response.com)
ÿ volafox (https:// github.com)
ÿ Volatilidade (https:// www.volatilityfoundation.org)
ÿ mac_apt - ferramenta de análise de artefato macOS (e iOS) (https:// github.com)


Linux e Mac Forense
Resumo do Módulo
Este módulo discutiu a coleta de dados voláteis e não voláteis
no Linux
Ele discutiu a análise de imagens do sistema de arquivos usando

O Kit Detetive
Ele também discutiu em detalhes a análise forense de memória

usando Volatility e PhotoRec
Por fim, este módulo terminou com uma discussão detalhada sobre
análise forense do Mac
No próximo módulo, discutiremos em detalhes sobre forense

de rede
Resumo do Módulo
Este módulo discutiu a coleta de dados voláteis e não voláteis no Linux. Ele discutiu a análise de imagem do sistema
de arquivos usando o Sleuth Kit. Além disso, explicou detalhadamente a análise forense de memória usando Volatility
e PhotoRec. Por fim, este módulo apresentou uma discussão detalhada sobre análise forense do Mac.
No próximo módulo, discutiremos detalhadamente a análise forense de rede.

MT
CE-Conselho
EC-Council
D FE
Digital
Digital
Módulo 08
Análise for ense de red e

Análise forense de rede
Compreendendo a análise forense da rede
1 Fundamentos
2 Compreendendo os fundamentos do registro
3 Compreendendo os conceitos de correlação de eventos
Visão geral da identificação de indicadores de compromisso

4 (IoCs) de logs de rede
5 Compreendendo como investigar o tráfego de rede
Uma das maneiras pelas quais os invasores podem violar a estrutura de segurança de qualquer organização e obter
acesso não autorizado a seus dados confidenciais/sensíveis é por meio da infiltração na rede. Embora os mecanismos
convencionais de defesa de rede sejam importantes e, até certo ponto, possam deter os invasores, eles não são
infalíveis. É, portanto, essencial que as empresas reconheçam os sinais de um ataque à rede, identifiquem as defesas
ou políticas de segurança que foram violadas e adotem medidas para proteger seus recursos de rede. A investigação
forense de rede refere-se à análise de eventos de segurança de rede (que incluem ataques de rede e outros eventos
indesejáveis que prejudicam a segurança da rede) para dois propósitos amplos - determinar as causas dos eventos de
segurança de rede para que as proteções e contramedidas apropriadas possam ser adotado, e reunir provas contra
os perpetradores do ataque para apresentação no tribunal.
Este módulo primeiro discute a importância da análise forense de rede. Em seguida, expõe os métodos de investigação
do tráfego de rede para localizar pacotes suspeitos e identificar indicadores de comprometimento (IoCs) a partir da
análise de vários arquivos de log.
ÿ Compreender os fundamentos forenses de rede
ÿ Explicar os fundamentos do registro
ÿ Resumir conceitos de correlação de eventos
ÿ Identificar indicadores de comprometimento (IoCs) de logs de rede
ÿ Investigar tráfego de rede
Módulo 08 Página 430 Digital Forensics Essentials Copyright © por EC-Council Todos os

Fluxo do módulo
1 2
Entenda a rede Entenda o evento
forense Conceitos e tipos de
Fundamentos correlação
3 4
Identificar Indicadores de Investigar rede
Comprometimento Tráfego
(IoCs) de logs de rede
Entenda os fundamentos da análise forense de rede

Como parte integrante da análise forense digital, a análise forense de rede envolve a investigação de
qualquer crime cibernético que ocorra no nível da rede. Especificamente, a investigação forense de rede
envolve a investigação de várias fontes de evidência baseadas em rede para identificar anomalias ou violações.
Os investigadores forenses de rede lidam com uma grande quantidade de informações dinâmicas para
rastrear a origem de um incidente de segurança de rede e apresentá-los como evidência no tribunal.
Esta seção discute os fundamentos da análise forense de rede, a natureza dos ataques de rede, bem
como vários tipos e fontes de evidência encontradas na rede. Ele também explica como identificar IoCs no
nível da rede.

Introdução a
ÿ Análise forense de rede é a captura, registro e

análise de eventos de rede para descobrir a
origem dos incidentes de segurança
A análise forense de rede pode revelar as

seguintes informações:
ÿ Origem dos incidentes de segurança
ÿ O caminho da intrusão
ÿ As técnicas de invasão usadas por um invasor
ÿ Rastros e evidências
Introdução à análise forense de rede
A análise forense de rede envolve a implementação de detecção, captura e análise de tráfego de rede e logs de
eventos para investigar um incidente de segurança de rede. A análise forense de rede é necessária para determinar o
tipo de ataque em uma rede e rastrear os perpetradores. Além disso, é necessário um processo de investigação
adequado para produzir as evidências recuperadas durante a investigação no tribunal.
A análise forense de rede pode revelar as seguintes informações:
ÿ Origem dos incidentes de segurança
ÿ O caminho da intrusão
ÿ As técnicas de intrusão usadas por um invasor
ÿ Rastreios e Provas
A análise forense de rede, no entanto, é um empreendimento desafiador devido a muitos fatores. Em primeiro lugar,
embora a captura do tráfego de rede em uma rede seja simples em teoria, é relativamente complexa na prática devido
a muitos fatores inerentes, como a grande quantidade de fluxo de dados e a natureza complexa dos protocolos da
Internet. Portanto, registrar o tráfego de rede requer muitos recursos. Muitas vezes não é possível registrar todos os
dados que trafegam pela rede devido aos grandes volumes. Novamente, esses dados gravados precisam ser copiados
em mídia de gravação gratuita para análise futura.
Além disso, a análise dos dados registrados é a tarefa mais crítica e demorada. Existem muitas ferramentas de análise
automatizada para fins forenses, mas elas são insuficientes, pois não há um método infalível para reconhecer o tráfego
malicioso gerado por um invasor a partir de um pool de tráfego genuíno. O julgamento humano também é crítico
porque, com ferramentas automatizadas de análise de tráfego, sempre há uma chance de obter resultados falsos
positivos.

No entanto, medidas podem ser tomadas com antecedência para garantir a prontidão forense da rede, como
estabelecer registros de eventos adequados e mecanismos de coleta de dados que possam fornecer artefatos
importantes para análise durante a investigação forense.

Análise post mortem e em tempo real

O exame forense de toras pode ser dividido em duas categorias:
pós-morte Análise em tempo real
ÿ A análise post mortem dos logs é ÿ A análise em tempo real é conduzida

conduzida para investigar um para detectar e examinar um ataque
incidente que já aconteceu em andamento
Análise post mortem e em tempo real
O exame forense de toras pode ser dividido em duas categorias, conforme indicado abaixo:
1. Post-mortem
Os investigadores realizam uma análise post mortem de logs para detectar e estudar um incidente
que já pode ter ocorrido em uma rede ou dispositivo. e Isso ajuda os investigadores a determinar o
que exatamente ocorreu e a identificar a origem do evento.
Aqui, um investigador pode examinar os arquivos de log várias vezes para analisar e verificar a
sequência de eventos que levaram ao incidente. Quando comparado à análise em tempo real, é um
processo exaustivo, pois os investigadores precisam examinar o ataque em detalhes e fornecer um
relatório final.
2. Análise em tempo real
Uma análise em tempo real é realizada durante um ataque em andamento e seus resultados também
são gerados simultaneamente. Assim, fica mais fácil responder aos ataques imediatamente.
Essa análise é mais eficaz se os investigadores detectarem o ataque rapidamente. Ao contrário da

análise post mortem, o investigador pode examinar os arquivos de log apenas uma vez para avaliar
o ataque, pois o tempo desempenha um papel crucial na análise em tempo real.

Ataques de rede
Ataques mais comuns em redes Ataques específicos para redes sem fio
ÿ Espionagem ÿ Enumeração ÿ Ataque de Ponto de Acesso Rogue
ÿ Associação Incorreta de Cliente

ÿ Modificação de Dados ÿ Sequestro de sessão
ÿ Ataque de ponto de acesso mal configurado

ÿ Endereço IP ÿ Estouro de Buffer
Falsificação ÿ Associação Não Autorizada
ÿ Infecção de E-mail
ÿ Recusa de Serviço ÿ Ataque de Conexão Ad Hoc
Ataque ÿ Ataque de malware
ÿ Ataque de Ponto de Acesso Honeypot
ÿ Man-in-the ÿ Ataque baseado em
ÿ Falsificação de AP MAC
Ataque Médio senha
ÿ Ataque de Jamming
ÿ Packet Sniffing ÿ Ataques de roteador
Ataques de rede
Ataques específicos para redes cabeadas
A seguir estão os ataques mais comuns contra redes:
ÿ Espionagem
A espionagem é uma técnica usada para interceptar conexões não seguras para roubar informações pessoais.
ÿ Modificação de Dados
Quando um invasor obtém acesso a informações confidenciais, ele também pode alterar ou excluir os dados.
Isso é comumente chamado de ataque de modificação de dados.
ÿ Falsificação de endereço IP
Essa técnica é usada por um invasor para acessar qualquer computador sem a devida autorização. Aqui, o
invasor envia mensagens para o computador com um endereço IP que indica que as mensagens vêm de um
host confiável.
ÿ Ataque de Negação de Serviço (DoS)
Em um ataque DoS, o invasor inunda o alvo com grandes quantidades de tráfego inválido, esgotando assim
os recursos disponíveis no alvo. O alvo então para de responder a novas solicitações recebidas, levando a
uma negação de serviço (DoS) para usuários legítimos.

ÿ Ataque Man-in-the-Middle
Nos ataques man-in-the-middle, o invasor estabelece conexões independentes com os usuários e retransmite
as mensagens que estão sendo transferidas entre eles, enganando-os, fazendo-os presumir que a conversa é
direta.
ÿ Packet Sniffing
Sniffing refere-se ao processo de captura de tráfego que flui por uma rede, com o objetivo de obter informações
confidenciais, como nomes de usuário e senhas, e usá-los para fins ilegítimos. Em uma rede de computadores,
um sniffer de pacotes captura os pacotes de rede. Ferramentas de software como Cain & Abel são usadas para
essa finalidade.
ÿ Enumeração
A enumeração é o processo de coleta de informações sobre uma rede, que pode ser usada posteriormente para
atacar a rede. Os invasores geralmente realizam enumerações pela Internet. Durante a enumeração, as
seguintes informações são coletadas:
o Topologia da rede
o Lista de hosts ao vivo
o Arquitetura e tipo de tráfego (por exemplo, TCP, UDP, IPX)
o Potenciais vulnerabilidades em sistemas host
ÿ Sequestro de sessão
Um ataque de sequestro de sessão refere-se à exploração de um mecanismo de geração de token de sessão

ou controles de segurança de token, de modo que o invasor possa estabelecer uma conexão não autorizada
com um servidor de destino.
ÿ Estouro de Buffer
Os buffers têm uma certa capacidade de armazenamento de dados. Se a contagem de dados exceder a
capacidade original de um buffer, ocorrerá estouro de buffer. Para manter dados finitos, é necessário desenvolver
buffers que possam direcionar informações adicionais quando necessário. As informações extras podem
transbordar em buffers vizinhos, destruindo ou sobrescrevendo dados legítimos.
ÿ Infecção de E-mail
Este ataque usa e-mails como meio de atacar uma rede. Spamming de e-mail e outros meios são usados para
inundar uma rede e causar um ataque DoS.
ÿ Ataques de Malware
Malware é um tipo de código ou software malicioso projetado para infectar sistemas e afetar seu desempenho.
Os invasores tentam enganar os usuários para que instalem malware em seus sistemas. Uma vez instalado, o
malware danifica o sistema.

ÿ Ataques baseados em senha
Um ataque baseado em senha é um processo em que o invasor realiza várias tentativas de login em um sistema ou
aplicativo para duplicar um login válido e obter acesso a ele.
ÿ Ataques de roteador
Nesses ataques, um invasor tenta comprometer um roteador e obter acesso a ele.
Ataques específicos para redes sem fio
ÿ Ataque de Ponto de Acesso Rogue
Um ponto de acesso sem fio pode ser considerado não autorizado se tiver sido instalado em uma WLAN sem a
autorização do administrador da rede. Esses APs são configurados por internos e externos com intenção maliciosa e
podem ser usados para exfiltração de dados ou lançamento de outros tipos de ataques.
ÿ Associação Incorreta de Cliente
Um ataque de associação incorreta de cliente começa quando um cliente se conecta a um ponto de acesso que não
está em sua própria rede. Devido à maneira como os sinais sem fio se propagam através de paredes e outras
estruturas, um sistema cliente pode detectar um ponto de acesso pertencente a outra rede e conectar-se a ela,
acidental ou intencionalmente. Em ambos os casos, o cliente pode se conectar a uma rede insegura, talvez enquanto
ainda estiver conectado a uma rede segura. Este último cenário pode resultar em uma parte maliciosa obtendo acesso
a uma rede protegida.
ÿ Ataque de ponto de acesso mal configurado
Este ataque ocorre devido à configuração incorreta de um ponto de acesso sem fio. Essa é uma das vulnerabilidades
mais fáceis que um invasor pode explorar. Após uma exploração bem-sucedida, toda a rede pode ficar aberta a
vulnerabilidades e ataques.
ÿ Associação Não Autorizada
Nesse ataque, um invasor explora pontos de acesso flexíveis, que são rádios WLAN presentes em alguns laptops. O
invasor pode ativar esses pontos de acesso no sistema da vítima por meio de um programa malicioso e obter acesso
à rede.
ÿ Ataque de Conexão Ad-Hoc
Em um ataque de conexão ad hoc, o invasor conduz o ataque usando um adaptador USB ou placa sem fio. Nesse
método, o host se conecta a uma estação não segura para atacar uma estação específica ou burlar a segurança do
ponto de acesso.
ÿ Ataque de Ponto de Acesso Honeypot
Se várias WLANs coexistirem na mesma área, um usuário poderá se conectar a qualquer rede disponível. Essas
WLANs são altamente vulneráveis a ataques. Normalmente, quando um cliente sem fio liga, ele sonda as redes sem
fio próximas em busca de um SSID específico. Um invasor explora esse comportamento de clientes sem fio
implantando uma rede sem fio não autorizada usando um AP não autorizado. Este AP possui antenas de alta potência
(alto ganho) e utiliza o mesmo SSID do

rede alvo. Os usuários que se conectam regularmente a várias WLANs podem se conectar ao AP não autorizado. Esses
APs montados pelo invasor são chamados de APs “honeypot”. Eles transmitem um sinal de farol mais forte do que os
APs legítimos. Os NICs que procuram o sinal mais forte disponível podem se conectar ao AP não autorizado. Se um
usuário autorizado se conectar a um honeypot AP, ele criará uma vulnerabilidade de segurança e revelará informações
confidenciais do usuário, como identidade, nome de usuário e senha, ao invasor.
ÿ Falsificação de MAC do ponto de acesso
Usando a técnica de falsificação de MAC, o invasor pode reconfigurar o endereço MAC para que pareça ser um ponto
de acesso autorizado a um host em uma rede confiável. Ferramentas como changemac.sh e SMAC são usadas para
conduzir esses ataques.
ÿ Ataque de Jamming
Um método particularmente interessante de atacar uma WLAN é recorrer a um simples ataque DoS. Embora existam
muitas maneiras de fazer isso, uma das mais fáceis é simplesmente bloquear a rede, evitando assim que ela seja usada.
É possível usar um jammer (transmissor de rádio) especialmente projetado que transmitirá sinais que podem
sobrecarregar e impedir o uso do ponto de acesso por clientes legítimos.

Indicadores de compromisso (IOCs)

ÿ Indicators of Compromise (IoCs) são artefatos forenses digitais que ajudam a detectar um incidente de segurança ocorrido
(ou está em andamento) em um sistema host ou em uma rede
ÿ Esses artefatos incluem logs relacionados a sistemas, aplicativos, redes, firewalls, etc.
Exemplos de IoCs:
Tráfego de rede
Recurso Uniforme passando por
Localizadores ou URLs Anomalias de login portas incomuns
Saída incomum Strings do Aumento do número de

tráfego de rede agente do usuário pedidos para o mesmo arquivo
Indicadores de compromisso (IOCs)
Indicadores de comprometimento (IoCs) são artefatos forenses digitais que ajudam a detectar um incidente de segurança que
ocorreu (ou está em andamento) em um sistema host ou em uma rede. Esses artefatos incluem logs relacionados a sistemas,
aplicativos, redes, firewalls, etc.
O termo Indicadores de Comprometimento (IoCs) geralmente se refere a itens de evidência que apontam para qualquer
invasão de segurança que ocorreu em um sistema host ou rede. Quando ocorre um incidente de segurança, como um ataque
a componentes de rede, as atividades do invasor podem ser rastreadas examinando o sistema afetado e as entradas de log
armazenadas nele.
As invasões de segurança podem ocorrer de muitas formas diferentes e por meio de vários canais. Portanto, os investigadores
forenses precisam procurar sinais que indiquem uma violação, como um aumento repentino no tráfego de saída da rede e
atividades de login incomuns.
Alguns dos exemplos comuns de IoCs são discutidos abaixo:
ÿ Tráfego de rede de saída incomum: aumento incomum no tráfego de saída pode ser um
sinal de ataque em curso
ÿ Localizadores uniformes de recursos ou URLs: URLs maliciosos que geralmente são espalhados por phishing
e spam são considerados potenciais IoCs
ÿ Strings do agente do usuário: o agente do usuário informa o servidor sobre o sistema operacional do dispositivo
visitante, informações do navegador, etc.
ÿ Anomalias de login: Aumento do número de tentativas falhadas de login numa conta de utilizador
pode ser sinal de atividade maliciosa

ÿ Aumento do número de solicitações para um mesmo arquivo: Os invasores realizam muitas

solicitações para se infiltrar em uma rede, o que deixa rastros de atividades maliciosas
ÿ Tráfego de rede passando por portas incomuns: Programas usando portas incomuns e fingindo ser
legítimos

Onde procurar evidências

Logs coletados em dispositivos e aplicativos de rede podem ser usados como evidência para investigar incidentes
de segurança de rede
Dispositivos de rede e
Funções Camadas do Modelo TCP/IP Protocolos
Registros de Aplicativos
Lida com protocolos de alto nível, Transferência de arquivos (TFTP, FTP, NFS), e-mail Servidores/desktops, antivírus,
questões de representação, Camada de aplicação (SMTP), gerenciamento de rede Aplicativos de negócios,
codificação e controle de diálogo (SNMP), gerenciamento de nomes (DNS) bancos de dados
Fornece uma conexão lógica entre os protocolo de Controle de Transmissão

endpoints e fornece transporte Camada de transporte (TCP) e protocolo de datagrama de usuário Firewall, IDS/IPS
(UDP)
Protocolo de Internet (IP), Internet

Seleciona o melhor caminho através
camada de internet Protocolo de mensagem de controle (ICMP), Firewall, IDS/IPS, VPN
da rede para o fluxo de dados
Protocolo de Resolução de Endereço (ARP)
Ethernet, Fast Ethernet, SLIP, PPP,

Define como transmitir um IP
Camada de acesso à rede FDDI, ATM, Frame Relay, SMDS, Roteadores e Switches
datagrama para os outros dispositivos
ARP, Proxy ARP, RARP
Onde procurar evidências
Os logs contêm eventos associados às atividades executadas em um sistema ou rede. Portanto, a análise desses
registros ajuda os investigadores a rastrear os eventos que ocorreram. Os logs coletados nos dispositivos e
aplicativos de rede servem como evidência para os investigadores investigarem os incidentes de segurança da rede.
Para qualquer evento de segurança, é provável que esses rastros sejam encontrados em logs gerados em uma ou
mais camadas da rede. Portanto, a fim de saber onde procurar evidências, os investigadores devem entender as
várias camadas em uma rede categorizadas pelos dois modelos de rede amplamente usados - o modelo Protocolo
de Controle de Transmissão/Protocolo de Internet (TCP/IP) e a Interconexão de Sistemas Abertos (OSI).
TCP/IP é um protocolo de comunicação usado para conectar diferentes hosts na Internet. Todo sistema que envia e
recebe informações possui um programa TCP/IP, e o programa TCP/IP consiste em duas camadas:
1. Camada Superior: Esta camada gerencia as informações, enviadas e recebidas na forma de pequenos
pacotes de dados, transmitidos pela internet, e combina todos esses pacotes em uma mensagem principal.
2. Camada Inferior: Esta camada lida com o endereço de cada pacote para que todos cheguem ao
destino certo.

Figura 8.1: Modelo OSI vs. Modelo TCP/IP
O modelo OSI de 7 camadas e o modelo TCP/IP de 4 camadas são ilustrados no diagrama acima. O modelo TCP/IP e os
modelos OSI de sete camadas são semelhantes em aparência. Conforme mostrado na figura acima, a Camada de Enlace
de Dados e a Camada Física do modelo OSI juntas formam a Camada de Acesso à Rede no modelo TCP/IP. A Camada de
Aplicação, a Camada de Apresentação e a Camada de Sessão juntas formam a Camada de Aplicação no Modelo TCP/IP.
ÿ Camada 1: Camada de Acesso à Rede
Esta é a camada mais baixa no modelo TCP/IP. Esta camada define como usar a rede para transferir dados. Inclui
protocolos como Frame Relay, SMDS, Fast Ethernet, SLIP, PPP, FDDI, ATM, Ethernet e ARP. Isso permite que a
máquina entregue os dados desejados a outros hosts na mesma rede.
ÿ Camada 2: Camada de Internet
Esta é a camada acima da camada de acesso à rede. Ele lida com o movimento de um pacote de dados em uma
rede, desde sua origem até seu destino. Essa camada contém protocolos como o Protocolo da Internet (IP),
Protocolo de Mensagens de Controle da Internet (ICMP), Protocolo de Resolução de Endereços (ARP) e Protocolo
de Gerenciamento de Grupos da Internet (IGMP). O Internet Protocol é o protocolo mais utilizado nesta camada.
ÿ Camada 3: Camada de Transporte
A camada de transporte é a camada acima da camada de Internet. Ele serve como backbone para o fluxo de
dados entre dois dispositivos em uma rede. A camada de transporte permite que entidades pares nos dispositivos
de origem e destino se comuniquem. Essa camada utiliza diversos protocolos, dentre os quais o Transmission
Control Protocol (TCP) e o User Datagram Protocol (UDP) são os mais utilizados.

O TCP é preferível para conexões confiáveis, enquanto o UDP pode ser usado para conexões não
confiáveis.
ÿ Camada 4: Camada de Aplicação
Como a camada superior do modelo TCP/IP, a camada de aplicação usa vários processos usados pela
camada 3 (camada de transporte), especialmente TCP e UDP, para entregar dados. Esta camada
contém muitos protocolos com HTTP, Telnet, FTP, SMTP, NFS, TFTP, SNMP e DNS sendo os mais
amplamente utilizados.
Figura 8.2: Evidência baseada em rede encontrada em cada camada do modelo TCP/IP

Tipos de evidências baseadas em rede

Dados de conteúdo completo Dados da Sessão
ÿ Dados de conteúdo completo referem-se a pacotes reais que são ÿ Os dados da sessão referem-se a um resumo da conversa entre
coletados pelo armazenamento do tráfego de rede (conhecido duas entidades de rede
como captura de pacotes ou arquivos PCAP)

ÿ Inclui detalhes como IP de destino e
ÿ Os investigadores podem usar ferramentas como tcpdump ou Wireshark para porta de destino, IP de origem e porta de origem, hora de início da
analisar qualquer subconjunto de dados de conteúdo completo sessão e quantidade de informações trocadas durante a sessão
Dados de Alerta Dados estatísticos
ÿ Dados de alerta são acionados por ferramentas como Snort IDS e ÿ Dados estatísticos fornecem perfil geral ou resumos do tráfego de rede
Suricata que são pré-programados para examinar o tráfego de rede
para IoCs e relatar as descobertas como alertas
ÿ A análise estatística de dados pode fornecer ao investigador informações
ÿ Os investigadores precisam ter cuidado ao examinar os dados de alerta, úteis, como registros de data e hora relacionados a conversas de
pois pode haver alertas falsos positivos rede, protocolos e serviços sendo usados, tamanho médio de
pacote e taxa média de pacote
Tipos de evidências baseadas em rede
Há uma variedade de evidências baseadas em rede disponíveis, como as seguintes:
ÿ Dados de conteúdo completo
Os dados de conteúdo completo são coletados capturando e armazenando todos os pacotes que fluem por uma rede sem
qualquer filtragem. Ele oferece uma quantidade significativa de granularidade e flexibilidade durante a análise de dados
baseada em rede. Ele ajuda os investigadores a realizar uma análise post mortem de um incidente de segurança e facilita
a reconstrução dos eventos ocorridos.
Os investigadores podem usar ferramentas como tcpdump e Wireshark para analisar qualquer subconjunto de dados de
conteúdo completo.
ÿ Dados da sessão
Os dados da sessão fornecem o resumo de uma conversa entre dois dispositivos de rede.
Embora não seja tão detalhado quanto os dados de conteúdo completo, inclui uma agregação de metadados do tráfego
de rede, como IP de destino e porta de destino, IP e porta de origem, hora de início da sessão e informações trocadas
durante a sessão.
ÿ Dados de alerta
Os dados de alerta são acionados por ferramentas como Snort IDS e Suricata, que inspecionam o fluxo de tráfego da rede
e relatam possíveis eventos de segurança como alertas. No entanto, os investigadores precisam ter cuidado ao analisar
dados de alerta. Como essas ferramentas dependem da detecção baseada em assinatura, também pode haver alertas
falsos positivos, o que significa relatar um incidente quando não há nenhum.

ÿ Dados Estatísticos
Esse tipo de dado fornece um perfil geral ou resumo do tráfego de rede, que pode ser de valor investigativo
significativo. A análise de dados estatísticos pode fornecer informações como carimbos de data/hora
relacionados a conversas de rede, protocolos e serviços sendo usados, tamanho médio de pacote e taxa
média de pacote.

Fluxo do módulo
1 2
3 4
Entenda os conceitos e tipos de correlação de eventos

À medida que a complexidade de uma rede aumenta, também aumenta o número de alarmes, alertas e mensagens
geradas por aplicativos e outros dispositivos. Enquanto a seção anterior se aprofundou na coleta de logs e prontidão
forense de rede, esta é apenas uma etapa preparatória para forense de rede. Não basta apenas coletar dados do
host, dispositivos e aplicativos, pois os investigadores também precisam saber quando, onde e como ocorreram os
incidentes.
A correlação de eventos com base em determinados parâmetros fornece aos investigadores uma visão de como os
eventos se seguiram e se eles se relacionam entre si.
Esta seção define a correlação de eventos e discute vários tipos e abordagens relacionadas a ela.

Evento
Correlação
1 2 3
Correlação de eventos é o processo de Inclui a análise de eventos Geralmente é realizado em uma
relacionar um conjunto de eventos que para determinar como plataforma de gerenciamento de
ocorreram em um intervalo de tempo pode somar para se tornar um logs, após a identificação de logs
predefinido evento maior com propriedades semelhantes
Agregação de eventos
Mascaramento de eventos
Etapas na
correlação de eventos:
Filtragem de eventos
Análise de causa raiz
Correlação de eventos
A correlação de eventos é uma técnica usada para atribuir um novo significado para relacionar um conjunto de eventos
que ocorrem em um período fixo de tempo. Nesta técnica, poucos eventos importantes são identificados entre o grande
número de eventos. Durante o processo de correlação de eventos, novos eventos podem ocorrer e substituir alguns
eventos existentes do fluxo de eventos.
Em geral, os investigadores podem realizar o processo de correlação de eventos em uma plataforma de gerenciamento de
logs.
A seguir estão dois exemplos de correlação de eventos:
Exemplo 1: Se um usuário receber 10 eventos de falha de login em 5 minutos, isso gera um ataque de segurança
evento.
Exemplo 2: Se as temperaturas externa e interna de um dispositivo excederem um limite e ocorrer o evento “o dispositivo
não está respondendo”, tudo em um intervalo de 5 segundos, substitua-os pelo evento “dispositivo inoperante devido a
superaquecimento”.
O uso do software correlacionador de eventos ajuda na implementação do processo de correlação de eventos.

A ferramenta correlacionadora de eventos coleta informações sobre eventos originados de ferramentas de monitoramento,
elementos gerenciados ou sistema de registro de problemas. Ao coletar os eventos, a ferramenta processa os eventos
relevantes que são importantes e descarta os eventos que não são relevantes.
A correlação de eventos consiste em quatro etapas diferentes, conforme descrito aqui:
1. Agregação de eventos
A agregação de eventos também é chamada de eliminação de duplicação de eventos. Ele compila os eventos
repetidos em um único evento e evita a duplicação do mesmo evento.

2. Mascaramento de eventos
O mascaramento de eventos refere-se a eventos ausentes relacionados a sistemas que estão a jusante de um
sistema com falha. Evita os eventos que causam o travamento ou falha do sistema.
3. Filtragem de eventos
Por meio da filtragem de eventos, o correlacionador de eventos filtra ou descarta eventos irrelevantes.
4. Análise de causa raiz
A análise de causa raiz é a parte mais complexa da correlação de eventos. Durante uma análise de causa raiz, o
correlacionador de eventos identifica todos os dispositivos que ficaram inacessíveis devido a falhas de rede. Em
seguida, o correlacionador de eventos categoriza os eventos em eventos de sintoma e eventos de causa raiz. O
sistema considera os eventos associados aos dispositivos inacessíveis como eventos de sintoma e os outros
eventos não sintomáticos como eventos de causa raiz.

Tipos de correlação de eventos

Correlação de Mesma Plataforma
ÿ Este método de correlação é usado quando

SO comum é usado em toda a rede em
uma organização
ÿ Exemplo: Uma organização executando apenas

O sistema operacional Microsoft Windows (qualquer
versão) em seus servidores pode coletar entradas de log
de eventos e realizar análises de tendências na diagonal Correlação entre plataformas
ÿ Este método de correlação é usado quando

diferentes sistemas operacionais e plataformas
de hardware de rede são usados na rede de
uma organização
ÿ Exemplo: Clientes podem usar Microsoft

Windows, mas eles usam um firewall baseado
em Linux e gateway de e-mail
Tipos de correlação de eventos
Existem dois tipos de correlação de eventos que são discutidos abaixo:
1. Correlação da mesma plataforma
Este método de correlação é usado quando um sistema operacional comum é usado em toda a rede em uma
organização
Exemplo: uma organização executando apenas o sistema operacional Microsoft Windows (qualquer versão) em seus
servidores pode coletar entradas de log de eventos e realizar análises de tendências diagonalmente
2. Correlação entre plataformas
Este método de correlação é usado quando diferentes sistemas operacionais e plataformas de hardware de rede são
usados na rede de uma organização
Exemplo: os clientes podem usar o Microsoft Windows, mas usam um firewall e um gateway de e-mail baseados em
Linux

Pré-requisitos de Correlação de Eventos
Transmissão de Dados Normalização Redução de dados
ÿ Transmitir dados de log de um dispositivo de ÿ Depois que os dados são coletados, ÿ Depois de coletar os dados, os dados
segurança para outro até atingir um deve ser formatado novamente de repetidos devem ser removidos
diferentes formatos de log para um log para que os dados possam
ponto de consolidação no sistema único ou polimórfico que pode ser facilmente ser correlacionado de forma mais eficiente
automatizado inserido no banco de dados
ÿ A remoção de dados desnecessários pode
ÿ Para ter uma transmissão segura e ser feita compactando os dados,
reduzir o risco de exposição durante excluindo dados repetidos, filtrando
a transmissão, os dados devem ser ou combinando eventos semelhantes em
criptografados e autenticados um único evento e enviando-o para o
mecanismo de correlação
Pré-requisitos de Correlação de Eventos
Três pré-requisitos principais da correlação de eventos são discutidos abaixo:
ÿ Transmissão de Dados
Transmitir dados de log de um dispositivo de segurança para outro até atingir um ponto de consolidação no
sistema automatizado. Para ter uma transmissão segura e reduzir o risco de exposição durante a transmissão,
os dados devem ser criptografados e autenticados.
ÿ Normalização
Depois que os dados são coletados, eles devem ser formatados novamente de diferentes formatos de log
para um único ou polimórfico log que pode ser facilmente inserido no banco de dados
ÿ Redução de Dados
Depois de coletar os dados, os dados repetidos devem ser removidos para que os dados possam ser
correlacionados com mais eficiência. A remoção de dados desnecessários pode ser feita compactando os
dados, excluindo dados repetidos, filtrando ou combinando eventos semelhantes em um único evento e
enviando-o ao mecanismo de correlação.

Abordagens de Correlação de Eventos

Campo Automatizado
01 Abordagem baseada em gráficos 06 Correlação
11 Correlação Bayesiana
Parâmetro de pacote/carga útil

Baseado em rede neural Hora (hora do relógio) ou
02 07 Correlação para rede 12
Abordagem Abordagem baseada em função
Gerenciamento
Perfil/impressão digital
03 Abordagem Baseada em Codebook 08 13 Correlação de rota
abordagem baseada
04 Abordagem Baseada em Regras 09 Abordagem Baseada em Vulnerabilidade
05 Abordagem baseada em campo 10 Correlação baseada em porta aberta
Abordagens de Correlação de Eventos
Várias metodologias podem ser aplicadas para conduzir a correlação de eventos com base nos dados de log. A seguir
estão algumas abordagens amplamente utilizadas:
ÿ Abordagem baseada em gráficos: Na abordagem baseada em gráficos, várias dependências entre os componentes
do sistema, como dispositivos de rede, hosts e serviços, são identificadas primeiro.
Depois que essas dependências são identificadas, um grafo é construído com os componentes do sistema
como nós e as dependências entre eles como arestas. Quando ocorre um evento indesejado, como uma falha
ou falha, esse gráfico é usado para detectar as possíveis causas raiz do evento.
ÿ Abordagem baseada em rede neural: esta abordagem usa uma rede neural para detectar as anomalias no fluxo
de eventos, causas raiz de eventos de falha e correlacionar outros eventos relacionados a falhas e falhas.
ÿ Abordagem baseada em livro de códigos: A abordagem baseada em livro de códigos, que é semelhante à
abordagem baseada em regras descrita a seguir, agrupa todos os eventos. Ele usa um livro de códigos para
armazenar um conjunto de eventos e correlacioná-los. Essa abordagem é executada mais rapidamente do que
um sistema baseado em regras, pois há menos comparações para cada evento.
ÿ Abordagem Baseada em Regras: A abordagem baseada em regras correlaciona eventos de acordo com um
conjunto especificado de regras (condição ÿ ação). Dependendo do resultado de cada teste e da combinação
de eventos do sistema, o mecanismo de processamento de regras analisa os dados até atingir o estado final.
ÿ Abordagem Baseada em Campo: Esta é uma abordagem básica que compara eventos específicos com campos
únicos ou múltiplos nos dados normalizados.

ÿ Correlação de Campo Automatizada: Este método verifica e compara todos os campos sistematicamente
para correlação positiva e negativa entre eles, para determinar correlações em um ou vários campos.
ÿ Parâmetro de pacote/correlação de carga útil para gerenciamento de rede: essa abordagem ajuda a
correlacionar pacotes específicos com outros pacotes. Também pode ser usado para produzir uma lista de
novos ataques em potencial, comparando pacotes com assinaturas de ataque.
ÿ Abordagem baseada em perfil/impressão digital: Este método ajuda os usuários a identificar se um sistema
serve como um retransmissor para um hacker ou se é um host anteriormente comprometido e/ou para
detectar o mesmo hacker de locais diferentes. A abordagem auxilia na coleta de uma série de conjuntos de
dados de dados de eventos forenses, como impressões digitais isoladas do sistema operacional, varreduras
de portas isoladas, informações de dedos e captura de banners, a fim de comparar dados de ataque de link
com perfis de invasores.
ÿ Abordagem Baseada em Vulnerabilidade: Esta abordagem ajuda a mapear eventos IDS que visam um host
vulnerável usando um scanner de vulnerabilidade. Ele deduz um ataque a um host específico com
antecedência e prioriza os dados do ataque para responder rapidamente aos pontos afetados.
ÿ Correlação baseada em porta aberta: A abordagem de correlação de porta aberta determina a chance de um
ataque bem-sucedido comparando a lista de portas abertas disponíveis no host com aquelas que estão sob
ataque.
ÿ Correlação Bayesiana: Esta é uma abordagem de correlação avançada que prevê o que um invasor pode
fazer depois do ataque, estudando as estatísticas e a teoria da probabilidade e usa apenas duas variáveis.
ÿ Abordagem de tempo (hora do relógio) ou baseada em função: essa abordagem aproveita dados sobre o
comportamento de computadores e seus usuários para acionar alertas quando anomalias são encontradas.
ÿ Correlação de rota: essa abordagem ajuda a extrair informações sobre a rota de ataque e usa essas
informações para identificar outros dados pertencentes ao ataque.

Fluxo do módulo
1 2
3 4
Identifique indicadores de comprometimento (IoCs) de logs de rede

Depois de coletar logs de vários dispositivos e aplicativos de rede, os investigadores devem monitorá-los e
examiná-los em busca de IOCs, que indicam que pode ter ocorrido uma violação de segurança. Os IOCs
geralmente são encontrados nos metadados dos logs, que requerem monitoramento e exame cuidadosos.
Esta seção explica detalhes relevantes sobre logs de vários dispositivos de rede e como analisá-los para
obter as informações necessárias e identificar IOCs.

Analisando logs de firewall

Os firewalls são os primeiros pontos de entrada em uma rede e armazenam
detalhes de todos os pacotes de dados que entram e saem da rede
Os logs do firewall de rede coletam dados de tráfego de rede , como origem

e destino da solicitação, portas usadas, hora e data e prioridade
Esses detalhes ajudam os investigadores a correlacionar os dados

com outros arquivos suspeitos para identificar a origem e outros alvos de um ataque
Os investigadores precisam analisar os logs cuidadosamente com base nos

horários e endereços IP suspeitos
Verifique se há solicitações geradas por aplicativos, consultas de DNS,

endereços IP suspeitos e URLs
Analisando logs de firewall

Um firewall é um software ou hardware que armazena detalhes de todos os pacotes de dados que entram e saem
da rede. Ele atua como o primeiro ponto de entrada em uma rede e, portanto, ajuda a impedir que hackers e certos
malwares entrem em qualquer PC por meio de uma rede ou da Internet. O software realiza essa tarefa verificando
as informações provenientes da Internet ou de uma rede e, em seguida, bloqueando-as ou permitindo que passem
para o PC. O arquivo de log do firewall pode ser útil para determinar a causa das falhas do programa. No contexto
da análise forense de rede, os investigadores podem usar logs para identificar atividades maliciosas. Embora um
firewall não forneça informações completas necessárias para rastrear a origem de uma atividade, ele fornece
insights sobre a natureza da atividade.
Os logs do firewall de rede coletam dados de tráfego de rede, como origem e destino da solicitação, portas usadas,
hora e data e prioridade. Esses detalhes ajudam os investigadores a correlacionar os dados com outros arquivos
suspeitos para identificar a origem e outros alvos de um ataque. Os firewalls de rede vêm com software de
gerenciamento que permite aos usuários monitorar logs, controlar configurações de segurança e executar outras
tarefas de manutenção pelo firewall. Durante a investigação, os investigadores precisam analisar esses logs
cuidadosamente com base nos horários e endereços IP suspeitos e examinar áreas como solicitações geradas por
aplicativos, consultas de DNS e URLs.
O log é um arquivo de texto simples e pode ser visualizado usando qualquer editor de texto. No Windows, o bloco
de notas é o editor de texto padrão para a maioria dos arquivos de log do firewall. O período até o qual os logs são
armazenados depende do limite de armazenamento definido para o arquivo, e os logs mais novos substituem os
mais antigos quando esse limite é excedido. Devido a essa restrição de memória, os administradores de banco de
dados devem coletar e armazenar periodicamente os dados nos arquivos de log separadamente. No caso de um
ataque de segurança, esses logs podem fornecer aos investigadores informações valiosas sobre a violação. Os
investigadores podem então correlacionar esses logs com outros arquivos suspeitos para detectar a origem e
outros alvos do ataque.

Analisando Gravidade Mnemônica Descrição
Registros de firewall: 4000nn
106001
4
2
IPS: string numérica de IP_address para IP_address na interface interface_name
Conexão TCP de entrada negada de IP_address/port para IP_address/port flags tcp_flags na interface interface_name
Cisco 106002
106006
2
2
protocolo Conexão negada pela lista de saída acl_ID src inside_address dest outside_address
Negar UDP de entrada de outside_address/outside_port para inside_address/inside_port na interface interface_name
106007 2 Negar UDP de entrada de outside_address/outside_port para inside_address/inside_port devido ao DNS {Response|Query}
106010 3 Negar protocolo de entrada src interface_name:dest_address/dest_port dst
106012 3 Negar IP de IP_address para IP_address, opções de IP hexadecimais
106013 3 Soltando solicitação de eco de IP_address para PAT address IP_address
106014 3 Negar entrada icmp src interface_name: IP_address dst interface_name: IP_address (tipo dec, código dec)
106015 6 Negar TCP (sem conexão) de IP_address/port para IP_address/port flags tcp_flags na interface interface_name
106016 2 Nega falsificação de IP de (IP_address) para IP_address na interface interface_name.
106017 2 Negar IP devido a ataque terrestre de IP_address para IP_address
106018 2 Tipo de pacote ICMP ICMP_type negado pela lista de saída acl_ID src inside_address dest outside_address
106020 2 Negar fragmento de lágrima IP (tamanho = número, deslocamento = número) de IP_address para IP_address
106021 1 Negar verificação de caminho reverso do protocolo de source_address para dest_address na interface interface_name
106022 1 Negar falsificação de conexão de protocolo de source_address para dest_address na interface interface_name
ÿ Cisco Firewall usa mnemônicos
Negar protocolo src [interface_name:source_address/source_port] dst interface_name:dest_address/dest_port [tipo {string}, código
106023 4
{code}] por access_group acl_ID
como identificadores para representar
lista de acesso acl_ID {permitido | negado | est-allowed} protocolo interface_name/source_address(source_port) -> interface_name/
106100 4
a gravidade de um evento dest_address(dest_port) hit-cnt number ({first hit | intervalo número-segundo})
710003 3 Acesso {TCP|UDP} negado pela ACL de source_IP/source_port para interface_name:dest_IP/service
Analisando logs de firewall: Cisco (continuação)
01 Data e hora 04 Endereço IP de origem e porta
Os logs do firewall Cisco incluem os

seguintes detalhes:
02 mensagem mnemônica 05 Endereço IP de destino e porta
03 Ação do Firewall 06 Tipo de solicitação
Analisando logs de firewall: Cisco
Fonte: https:// www.cisco.com
As mensagens de log são indispensáveis em uma investigação forense de rede. Na maioria dos casos, um
pequeno subconjunto de mensagens de log fornece inicialmente o maior benefício. Depois de examinar esses
eventos, os investigadores podem expandir o escopo de sua análise procurando detalhes adicionais.

Mnemônicos
O Cisco Firewall usa mnemônicos como identificadores para representar a gravidade de um evento. A tabela
abaixo resume as mensagens de log mais comuns e seus níveis de gravidade associados. Os identificadores
auxiliam na identificação ao usar ferramentas de linha de comando.
Gravidade Mnemônica Descrição
IPS: string numérica de IP_address para IP_address na interface

4000nn 4
interface_name
Conexão TCP de entrada negada de endereço_IP/porta para

106001 2
IP_address/port flags tcp_flags na interface interface_name
protocolo Conexão negada pela lista de saída acl_ID src

106002 2
inside_address dest outside_address
Negar UDP de entrada de outside_address/outside_port para

106006 2
inside_address/inside_port na interface interface_name
Negar UDP de entrada de outside_address/outside_port para

106007 2
inside_address/inside_port devido ao DNS {Response|Query}
Negar protocolo de entrada src interface_name:dest_address/dest_port dst

106010 3
106012 3 Negar IP de IP_address para IP_address, opções de IP hexadecimais
106013 3 Soltando solicitação de eco de IP_address para PAT address IP_address
Negar entrada icmp src interface_name: IP_address dst

106014 3
interface_name: IP_address (tipo dec, código dec)
Negar TCP (sem conexão) de IP_address/port para IP_address/port flags tcp_flags

106015 6
na interface interface_name
Nega falsificação de IP de (IP_address) para IP_address na interface

106016 2
interface_name.
106017 2 Negar IP devido a ataque terrestre de IP_address para IP_address
Tipo de pacote ICMP ICMP_type negado pela lista de saída acl_ID src
106018 2
inside_address dest outside_address
Negar fragmento de lágrima IP (tamanho = número, deslocamento = número) de

106020 2
endereço_IP para endereço_IP
Negar verificação de caminho reverso do protocolo de source_address

106021 1
para dest_address na interface interface_name
Negar falsificação de conexão de protocolo de source_address para

106022 1
dest_address na interface interface_name
Negar protocolo src [interface_name:source_address/source_port] dst

106023 4 interface_name:dest_address/dest_port [tipo {string}, código {code}] por
access_group acl_ID

lista de acesso acl_ID {permitido | negado | est-allowed} protocolo

interface_name/source_address(source_port) -> interface_name/
106100 4
dest_address(dest_port) hit-cnt number ({first hit | intervalo número-segundo})
Acesso {TCP|UDP} negado pela ACL de source_IP/source_port para

710003 3
interface_name:dest_IP/service
Tabela 8.1: mnemônicos do firewall Cisco
Detalhes do registro do firewall Cisco
Figura 8.3: Formato de registro do firewall Cisco
Os logs do firewall Cisco estão no formato mencionado acima. Os logs do firewall Cisco incluem os seguintes detalhes:
1. Data e hora 4. Endereço IP de origem e porta
2. Mensagem mnemônica 5. Endereço IP de destino e porta
3. Ação do firewall 6. Tipo de solicitação
Todos esses campos são úteis para os investigadores que procuram IOCs. Com a ajuda de mnemônicos, a gravidade
do incidente também pode ser calculada.

Analisando logs de firewall: ponto de verificação

Alguns ícones usados nos logs do Check Point
ÿ Os logs do firewall Check Point podem ser
visualizados por meio de um Check Point Ação Ícone Descrição
Visualizador de registro Conexão aceita O firewall aceitou uma conexão
ÿ Utiliza ícones e cores na Conexão descriptografada O firewall descriptografou uma conexão
tabela de log para representar diferentes Conexão caiu O firewall derrubou uma conexão
eventos de segurança e sua gravidade Conexão Criptografada O firewall criptografou uma conexão
Conexão rejeitada O firewall rejeitou uma conexão
Um evento de segurança foi monitorado; no entanto, não foi

ÿ Vermelho representa a conexão Conexão Monitorada
bloqueado, devido à configuração atual
tentativas bloqueadas pelo URL permitido O firewall permitiu um URL
firewall
URL filtrada O firewall bloqueou um URL
ÿ Laranja significa trânsito Vírus detectado Um vírus foi detectado em um e-mail
detectado como suspeito, mas Potencial Spam Carimbado Um e-mail foi marcado como possível spam
aceito pelo firewall Spam potencial detectado Um e-mail foi rejeitado como possível spam
ÿ Verde é para o trânsito E-mail Permitido Um e-mail não spam foi registrado
aceito pelo firewall Bloqueado por VStream

VStream Antivirus bloqueou uma conexão
antivírus
Analisando logs de firewall:

Check Point (continuação)
ÿ Log de firewall do Check Point quando visualizado através do Check
O visualizador Point Log exibe o resultado da seguinte forma:
Analisando logs de firewall: ponto de verificação
Os investigadores podem usar o aplicativo Check Point Log viewer para visualizar os logs do firewall Check Point.

O aplicativo usa codificação de cores para diferenciar a gravidade do erro, conforme mencionado na tabela abaixo:
Codificação de cores do log de eventos
Mensagem de erro: Representa as tentativas de conexão bloqueadas pelo firewall de acordo

Vermelho
com a política de segurança ou regras definidas pelo usuário
Mensagem de aviso: Significa tráfego detectado como suspeito, mas aceito pelo firewall
Laranja
Azul Informação: É utilizada para o tráfego aceito pelo firewall
Tabela 8.2: Codificação de cores do log de eventos no log do firewall Check Point
Os ícones representam todas as ações em um visualizador de log do firewall Checkpoint, conforme demonstrado na tabela
abaixo:
Tabela 8.3: Ícones usados no Check Point Log Viewer

O registro do firewall do ponto de verificação, quando visualizado por meio do visualizador de registro do ponto de verificação, exibe o resultado da
seguinte forma:
Figura 8.4: Entradas de log do firewall Check Point

Analisando registros de IDS

ÿ Os logs do Sistema de Detecção de Intrusão (IDS) fornecem informações úteis para encontrar tipos de
pacotes suspeitos , determinar sondagens, gerar novas assinaturas de ataque e medir estatísticas de
ataque
ÿ Alguns dos dispositivos e ferramentas IDS comuns incluem Juniper, Check Point e Snort
Indicadores gerais de intrusão:
Solicitações direcionadas a
1 vulnerabilidades conhecidas Atividade de rede incomum repetida 4
Não cumprimento de protocolos e

2 sintaxes
Abordar anomalias no trânsito 5
Elementos inesperados, como data, hora

3 e recursos do sistema
Ocorrência de comando 6 digitado incorretamente
Analisando registros de IDS
Os logs do Sistema de Detecção de Intrusão (IDS) fornecem informações úteis para encontrar tipos de pacotes suspeitos,
determinar sondagens, gerar novas assinaturas de ataque e medir estatísticas de ataque.
Alguns dos dispositivos e ferramentas IDS comuns incluem Juniper, Check Point e Snort.
Além de monitorar e analisar eventos para identificar atividades indesejáveis, as tecnologias de sistema de detecção de
intrusão (IDS) geralmente executam as seguintes funções:
ÿ Registo de informação relativa a eventos observados
Um IDS geralmente registra informações localmente e transmite essas informações para sistemas separados,
como servidores de registro centralizados, soluções de gerenciamento de eventos e informações de segurança
(SIEM) e sistemas de gerenciamento corporativo.
ÿ Notificação aos administradores de segurança
Um IDS alerta os administradores de segurança de rede por meio de e-mails, páginas, mensagens na interface de
usuário do IDS, armadilhas do protocolo de gerenciamento de rede simples (SNMP), mensagens de log do sistema
e programas e scripts definidos pelo usuário.
ÿ Produção de relatórios
Um IDS oferece relatórios que resumem os eventos monitorados ou fornecem detalhes sobre eventos específicos
de interesse. A análise desses relatórios junto com os logs pode fornecer aos administradores uma ideia clara
sobre o evento ocorrido e ajudá-los a tomar as medidas apropriadas.

Indicadores Gerais de Intrusão em Logs de IDS
ÿ Solicitações direcionadas a vulnerabilidades conhecidas
ÿ Incumprimento de protocolos e sintaxes
ÿ Elementos inesperados, como data, hora e recursos do sistema
ÿ Atividade de rede incomum repetida
ÿ Resolver anomalias no trânsito
ÿ Ocorrência de comando digitado incorretamente

ÿ O Check Point IPS fornece um software embutido para gerenciar o dispositivo
ÿ Os usuários podem visualizar e analisar os logs usando este software

Analisando
ÿ Etapas para visualizar e acessar logs no check Point IPS:
Registros IDS: ÿ Vá para SmartDashboard, clique em SmartConsole ÿ selecione SmartView Tracker
ponto de verificação ÿ Selecione a guia Network & Endpoint, expanda Predefinido ÿ Rede
Lâminas de segurança ÿ Lâmina IPS
ÿ Clique duas vezes em Todos para ver as informações completas do registro
Analisando logs de IDS: ponto de verificação (continuação)
ÿ O Check Point também fornece

detalhes de cada registro ÿ Para
visualizar os detalhes de qualquer

registro, acesse o SmartView
Lista de registros do rastreador e
clique duas vezes no evento
Analisando logs de IDS: ponto de verificação
O sistema de proteção contra intrusão Check Point (IPS) atua como um IDS e IPS e vem com um software
embutido que pode ser usado para gerenciar o dispositivo. Os usuários podem visualizar e analisar logs
usando este software.

A seguir estão as etapas para visualizar e acessar logs no Check Point IPS:
ÿ Vá para SmartDashboard, clique em SmartConsole ÿ selecione SmartView Tracker
ÿ Selecione a guia Network & Endpoint, expanda Predefinido ÿ Network Security Blades ÿ
Lâmina IPS
ÿ Clique duas vezes em Todos para visualizar as informações completas do registro
O log de eventos exibe todos os eventos gerados pelo IPS Blade, incluindo informações sobre dados, proteção e a ação
tomada.
Figura 8.5: Rastreador Check Point SmartView
Os logs do Check Point fornecem informações sobre o tráfego de rede para permitir o ajuste da largura de banda. A análise
desses logs é essencial para a avaliação do risco do negócio. Para cada log, o Checkpoint IPS fornece detalhes, que
podem ser acessados acessando a lista de registros do SmartView Tracker e clicando duas vezes no evento.
Figura 8.6: Detalhes do registro no Check Point SmartView Tracker

Analisando os logs do Honeypot

Honeypots são dispositivos implantados para atrair invasores. Estes parecem conter informações muito úteis
1 para atrair os atacantes e descobrir seu paradeiro e técnicas.
2 Kippo é um dos honeypots mais comumente usados
3 Os logs armazenados no Kippo contêm as seguintes informações:
carimbo de data/hora 01
Tipo de sessão 02
ID da sessão e endereço IP
03
de origem
Mensagem com outros detalhes 04
Analisando os logs do Honeypot
Honeypots são dispositivos implantados para atrair invasores. Estes parecem conter informações muito úteis para atrair os
atacantes e descobrir seu paradeiro e técnicas. Os honeypots são os sistemas fictícios usados para entender as estratégias
dos invasores e proteger a organização dos ataques.
Kippo é um honeypot comumente usado para enganar os invasores e entender sua metodologia, a fim de minimizar os riscos
de ataques reais.
Detalhes do registro Kippo Honeypot
Figura 8.7: Registros do honeypot do Kippo

Os logs do honeypot do Kippo estão no formato mencionado acima. O conteúdo dos logs do honeypot Kippo
inclui o seguinte:
1. Carimbo de data/hora
2. Tipo de sessão
3. ID da sessão e endereço IP de origem
4. Mensagem com outros detalhes

Analisando logs do roteador

Os roteadores armazenam logs de conectividade de rede com
detalhes como data, hora, IPs de origem e destino e portas usadas
Essas informações podem ajudar os investigadores a verificar os

registros de data e hora de um ataque
Isso também permite que os investigadores correlacionem vários eventos

para identificar o IP de origem e destino
Os roteadores contêm vários padrões para armazenar

os detalhes de log de uma rede
Os detalhes do registro de entrada são os seguintes:
1. Data e hora 4. Endereço IP de destino
2. Endereço IP de origem 5. Porta de destino
3. Porta de origem
Analisando logs do roteador (continuação)
Os detalhes do log de
saída são os seguintes:
1 Encontro
2 Tempo
3 Endereço IP de origem
4 Porta de origem
5 URL acessado
6 URL endereço IP
7 Porta Usada
Analisando logs do roteador
Os roteadores armazenam logs de conectividade de rede com detalhes como data, hora, IPs de origem e destino
e portas usadas. Essas informações podem ajudar os investigadores a verificar os registros de data e hora de um
ataque.
Em uma investigação forense de rede, um investigador coleta os logs de um roteador para correlacionar vários
eventos e determinar detalhes como IPs e protocolos de origem e destino. Para

realizar tal exame, os logs podem ser redirecionados para o servidor syslog no seguinte
maneiras:
#config terminal Logging 192.168.1.1
No curso de um incidente de hacking de rede ou cenário de acesso não autorizado, todos os logs pertencentes ao
ataque são armazenados no dispositivo comprometido, que pode ser o roteador/switch, banco de dados, IDS, roteador
ISP ou servidor de aplicativos. Embora praticamente todos os dispositivos de rede profissionais permitam o registro de
eventos, esses dispositivos não podem armazenar os registros por longos períodos devido a restrições de memória.
Portanto, os administradores periodicamente coletam e armazenam esses logs separadamente. Um investigador pode
usar os logs coletados para identificar, coletar e salvar logs suspeitos junto com os protocolos de firewall para fins de
investigação. Este processo requer a análise de logs, que pode ser realizada manualmente ou com o auxílio de
ferramentas de análise de logs. Após a análise dos logs, são aplicados filtros para eliminar dados desnecessários.
Detalhes do Log do Roteador
Os roteadores seguem vários padrões para armazenar um log em uma rede, que pode variar entre diferentes
roteadores. A captura de tela abaixo mostra um arquivo de log recebido armazenado em um roteador:
Figura 8.8: Detalhes do log de entrada do roteador
O arquivo de log contém detalhes que podem ser úteis em uma investigação, como os seguintes:
1. Data e hora 4. Endereço IP de destino
2. Endereço IP de origem 5. Porta de destino
3. Porta de origem
Nota: A sintaxe de um arquivo de log gerado por outro roteador pode ser diferente.

A captura de tela abaixo mostra um arquivo de log de saída armazenado em um roteador:
Figura 8.9: Detalhes do log de saída do roteador
Os detalhes do log de saída são os seguintes:
1. Data
2. Tempo
3. Endereço IP de origem
4. Porta de origem
5. URL acessado
6. URL endereço IP
7. Porta Usada

Analisando logs do roteador: Cisco
ÿ Os roteadores Cisco são executados
em um sistema operacional
específico - o Cisco IOS
ÿ O sistema operacional possui um Nível Sistema Descrição
gerenciador de segurança que Emergência 0 Mensagens inutilizáveis do sistema
define políticas relacionadas Alerta 1 Mensagens necessárias de ação imediata

aos parâmetros básicos de registro
Crítico 2 Mensagens de condição crítica
Erro 3 Mensagens de condição de erro
ÿ O roteador está em conformidade Aviso 4 Mensagens de condição de aviso
com padrões syslog para Notificação 5 Mensagens normais, mas significativas

definir níveis de gravidade
Em formação 6 mensagens informativas
usando código numérico
Depuração 7 Mensagens de depuração
Analisando logs do roteador: Cisco (continuação)

ÿ O Cisco IOS ajuda os usuários a classificar logs usando determinados
identificadores como:
Mnemônico Gravidade Descrição
%SEC-6-IPACESSLOGDP 6 Foi detectado um pacote que corresponde aos critérios de log para a lista de acesso fornecida.
%SEC-6-IPACESSLOGNP 6 Foi detectado um pacote que corresponde aos critérios de log para a lista de acesso fornecida.
%SEC-6-IPACESSLOGP 6 Um pacote correspondente aos critérios de log para a lista de acesso fornecida foi detectado (TCP ou UDP)
Alguns logs de correspondência de pacotes foram perdidos porque as mensagens de log da lista de acesso tinham uma taxa limitada ou nenhum
%SEC-6-IPACESSLOGRL 6
buffer de log da lista de acesso estava disponível.
%SEC-6-IPACESSLOGRP 6 Foi detectado um pacote que corresponde aos critérios de log para a lista de acesso fornecida.
%SEC-6-IPACCESLOGS 6 Foi detectado um pacote que corresponde aos critérios de log para a lista de acesso fornecida.
O sistema não conseguiu processar o pacote porque não havia espaço suficiente para todas as opções de cabeçalho IP desejadas. O pacote foi
%SEC-4-TOOMANY 4
descartado.
%IPV6-6-ACCESSLOGP 6 Foi detectado um pacote que corresponde aos critérios de log para a lista de acesso fornecida.
%IPV6-6-ACCESSLOGDP 6 Foi detectado um pacote que corresponde aos critérios de log para a lista de acesso fornecida.
%IPV6-6-ACCESSLOGNP 6 Foi detectado um pacote que corresponde aos critérios de log para a lista de acesso fornecida.

Analisando logs do roteador: Cisco (continuação)

1. ID do evento 5. Protocolos fornecidos
A seguir estão os detalhes
encontrados no log do 2. Data 6. Endereço IP de origem
roteador Cisco : 3. Tempo
7. IP de destino
4. Identificador
Morada
Analisando logs do roteador: Cisco
Fonte: https:// www.cisco.com
O Cisco Networking Software IOS é o software de rede usado nos roteadores Cisco. O sistema operacional
possui um gerenciador de segurança integrado que define políticas relacionadas aos parâmetros básicos de
registro. O IOS integra serviços críticos de negócios e suporte à plataforma de hardware. As tecnologias de
segurança do IOS atuam como um escudo para o processo de negócios contra ataques e interrupções e
protegem a privacidade, além de apoiar políticas e controles de conformidade regulatória.
Os dispositivos de rede de trânsito contêm mensagens syslog que fornecem informações e um breve contexto
de uma instância de segurança. Esse insight ajuda a determinar a validade e a extensão de um incidente. No
contexto de um incidente de segurança, os administradores podem usar mensagens syslog para entender as
relações de comunicação, o tempo e, em alguns casos, os motivos e as ferramentas do invasor. Os eventos
devem ser considerados complementares e devem ser usados em conjunto com outras formas de
monitoramento de rede que já existam.
Há oito níveis de gravidade de classificação de mensagens syslog em roteadores Cisco IOS. Existe um
número e um nome correspondente para cada nível de gravidade para identificação. Quanto menor o número,
maior a gravidade da mensagem, conforme tabela abaixo:
Nível Sistema Descrição
Emergência 0 Mensagens inutilizáveis do sistema
Alerta 1 Mensagens necessárias de ação imediata
Crítico 2 Mensagens de condição crítica
Erro 3 Mensagens de condição de erro

Aviso 4 Mensagens de condição de aviso
Notificação 5 Mensagens normais, mas significativas
Em formação 6 mensagens informativas
Depuração 7 Mensagens de depuração
Tabela 8.4: Códigos numéricos de log do Cisco IOS e níveis de gravidade correspondentes
O Cisco ASA fornece mensagens de log que são úteis no software CISCO IOS. As mensagens de log do roteador não contêm
identificadores numéricos que auxiliam na identificação das mensagens.
Os roteadores Cisco geram mensagens de log com descrição detalhada, que provavelmente serão úteis ao analisar incidentes
relacionados à segurança. No entanto, muitas organizações não fazem uso extensivo de log em roteadores porque o log de
roteador é um tanto limitado.
O Cisco IOS ajuda os usuários a classificar logs usando determinados identificadores ou mnemônicos predefinidos, conforme
indicado na tabela abaixo:
Mnemônico Gravidade Descrição
Foi detectado um pacote que corresponde aos critérios de log para a lista
%SEC-6-IPACESSLOGDP 6
de acesso fornecida.
%SEC-6-IPACESSLOGNP 6
Um pacote correspondente aos critérios de log para a lista de acesso

%SEC-6-IPACESSLOGP 6
fornecida foi detectado (TCP ou UDP)
Alguns logs de correspondência de pacotes foram perdidos porque as mensagens de

%SEC-6-IPACESSLOGRL 6 log da lista de acesso tinham uma taxa limitada ou nenhum buffer de log da lista de
acesso estava disponível.
%SEC-6-IPACESSLOGRP 6
%SEC-6-IPACCESLOGS 6
O sistema não conseguiu processar o pacote porque não havia espaço

%SEC-4-TOOMANY 4 suficiente para todas as opções de cabeçalho IP desejadas. O pacote foi
descartado.
%IPV6-6-ACCESSLOGP 6
%IPV6-6-ACCESSLOGDP 6
%IPV6-6-ACCESSLOGNP 6
Tabela 8.5: Mnemônicos usados pelo roteador Cisco

Detalhes de registro do roteador Cisco
Figura 8.10: Detalhes do registro do roteador Cisco
A seguir estão os detalhes encontrados no log do roteador Cisco:
1. ID do evento
2. Data
3. Tempo
4. Identificador
5. Protocolos fornecidos
6. Endereço IP de origem
7. Endereço IP de destino
Com base no identificador que é (4) na folha de log, a gravidade do log é calculada no momento da análise dos incidentes
relacionados à segurança.

Analisando logs de DHCP

Exemplo de arquivo de registro de auditoria de DHCP
ÿ Os logs DHCP são salvos no

Pasta C:\Windows\System32\dhcp em
Servidores DHCP
ÿ O formato do arquivo de log do servidor DHCP é o seguinte:
Campo Descrição
EU IRIA Um código de identificação de evento DHCP
Encontro A data em que esta entrada foi registrada no servidor DHCP
Tempo A hora em que esta entrada foi registrada no servidor DHCP
Descrição Uma descrição deste evento do servidor DHCP
Endereço de IP O endereço IP do cliente DHCP
Nome de anfitrião O nome do host do cliente DHCP
O endereço de controle de acesso à mídia (MAC) usado pelo hardware do adaptador de

Endereço MAC
rede do cliente
Analisando logs de DHCP
Um servidor DHCP aloca um endereço IP para um computador em uma rede durante sua inicialização.
Portanto, os logs do servidor DHCP contêm informações sobre os sistemas aos quais foram atribuídos
endereços IP específicos pelo servidor, em qualquer instância. Os investigadores podem examinar esses
registros durante exames forenses. Os servidores DHCP armazenam logs DHCP na pasta C:
\Windows\System32\dhcp e um backup da pasta DHCP na pasta C:\Windows\system32\dhcp\backup .
As capturas de tela abaixo apresentam o formato de log do servidor DHCP e um exemplo de arquivo de log de auditoria DHCP.
Campo Descrição
EU IRIA Um código de identificação de evento DHCP
Encontro A data em que esta entrada foi registrada no servidor DHCP
Tempo A hora em que esta entrada foi registrada no servidor DHCP
Descrição Uma descrição deste evento do servidor DHCP
Endereço de IP O endereço IP do cliente DHCP
Nome de anfitrião O nome do host do cliente DHCP
O endereço de controle de acesso à mídia (MAC) usado pelo hardware do adaptador de rede do
Endereço MAC
cliente
Tabela 8.6: O formato de log do servidor DHCP

Figura 8.11: Um exemplo de arquivo de log de auditoria DHCP

Fluxo do módulo
1 2
3 4
Tráfego
Comprometimento
Investigar tráfego de rede

O fluxo de tráfego na rede geralmente fornece a primeira indicação de um ataque. Uma vez que uma
intrusão é suspeitada, os investigadores precisam realizar uma análise de tráfego de rede que envolve
monitoramento em tempo real do tráfego de rede.
Esta seção discute a importância de investigar o tráfego de rede e o papel das ferramentas de detecção na
análise do tráfego de rede. Ele também descreve como monitorar e analisar o tráfego de rede para vários
tipos de ataques, como ataque DOS, tentativas de quebra de senha, ataques man-in-the-middle e atividade
de malware.

Por que investigar o tráfego de rede?
ÿ Para detectar e examinar um ataque em andamento , monitorando os padrões de comunicação do tráfego de rede
ÿ Para saber quais hosts ou redes estão envolvidos em um incidente de segurança de rede
ÿ Para rastrear informações/pacotes relacionados a uma invasão de segurança e coletá-los como evidência
Por que investigar o tráfego de rede?
A análise do tráfego de rede envolve sondar conversas entre dois dispositivos, interceptando e investigando o
tráfego. Ele ajuda a detectar qualquer atividade suspeita ou uso indevido e auxilia na detecção de sinais de um
ataque em andamento na rede. Os investigadores podem identificar vários aspectos de um ataque investigando
o tráfego de rede, como o endereço IP do invasor, o dispositivo visado e os aplicativos e protocolos usados.
É eficaz na detecção de ataques, como DoS, atividades de malware e tentativas de verificação, e monitoramento
de eventos registrados no host, como tentativas/falhas de login e downloads de arquivos maliciosos. Pacotes
suspeitos ou outras informações podem ser identificados e coletados como evidência.
Monitorar o tráfego de rede durante a investigação forense de rede envolve os seguintes objetivos:
ÿ Para detectar e examinar um ataque em andamento monitorando a comunicação do tráfego de rede

padrões
ÿ Para saber quais hosts ou redes estão envolvidos em um incidente de segurança de rede
ÿ Para rastrear informações/pacotes relacionados a uma invasão de segurança e coletá-los como

evidência

Coletando evidências por meio de farejadores
Sniffer é um software ou hardware de computador que pode

interceptar e registrar o tráfego que passa por uma rede
Os sniffers colocam os NICs em modo promíscuo para

permitir que eles ouçam e capturem todos os dados
transmitidos pela rede
Sniffers coletam tráfego da rede e camadas de

transporte além da camada física e de enlace de dados
Os investigadores devem configurar sniffers para o tamanho

dos quadros a serem capturados
Coletando evidências por meio de farejadores
A informação que passa por uma rede é uma valiosa fonte de evidência para invasões ou conexões anômalas. A
necessidade de capturar essas informações levou ao desenvolvimento dos sniffers de pacotes, também chamados
de sniffers de rede, que são ferramentas que podem interceptar e registrar o tráfego que passa pela rede.
Os sniffers colocam as NICs em modo promíscuo para permitir que escutem e capturem todos os dados
transmitidos pela rede. Portas estendidas, toques de hardware ajudam a farejar em uma rede comutada. Os
sniffers coletam o tráfego da rede e das camadas de transporte além da camada física e de enlace de dados.
Um sniffer de pacotes é usado na análise forense de rede por causa de seus recursos de monitoramento e análise,
que ajudam a detectar invasões, supervisionar componentes de rede, solucionar problemas de rede e controlar o
tráfego. Investigadores forenses usam sniffers para analisar o comportamento de qualquer aplicativo ou dispositivo
suspeito. Alguns exemplos de sniffers e suas funcionalidades são discutidos a seguir.

Ferramenta de detecção: Tcpdump
ÿ Tcpdump é um sniffer de pacote de interface de linha de comando que roda em sistemas operacionais baseados em Unix
https:// www.tcpdump.org
Ferramenta de detecção: Tcpdump
Fonte: https:// www.tcpdump.org
Tcpdump imprime uma descrição do conteúdo dos pacotes em uma interface de rede que corresponde a uma
expressão booleana de entrada. Ele pode ser executado com o sinalizador -w , que faz com que ele salve os dados
do pacote em um arquivo para análise posterior, e com o sinalizador -r , que faz com que ele leia de um arquivo de
pacote salvo em vez de ler pacotes de uma interface de rede. Em todos os casos, o Tcpdump processa apenas os
pacotes que correspondem à expressão de entrada.
Tcpdump, se não for executado com o sinalizador -c , continua capturando pacotes até ser interrompido por um sinal
SIGINT (gerado, por exemplo, digitando o caractere de interrupção, normalmente control-C ou um sinal SIGTERM
(gerado com o comando kill(1) comando); se executado com o sinalizador -c , ele captura pacotes até ser interrompido
por um sinal SIGINT ou SIGTERM ou se o número especificado de pacotes tiver sido processado.
Quando o Tcpdump conclui a captura de pacotes, ele relata as seguintes contagens:
ÿ Pacotes “capturados” – Este é o número de pacotes que o Tcpdump recebeu e

processado
ÿ Pacotes “recebidos pelo filtro” – O significado disso depende do sistema operacional executando o Tcpdump,
e possivelmente na forma como o sistema operacional foi configurado
ÿ Pacotes “descartados pelo kernel” é o número de pacotes que foram descartados devido à falta de espaço no
buffer, pelo mecanismo de captura de pacotes no SO executando o Tcpdump, se o SO reportar essa
informação aos aplicativos; se a informação não for reportada, será reportada como 0

ÿ Em plataformas que suportam o sinal SIGINFO , como a maioria dos BSDs (incluindo
macOS) e Digital/Tru64 UNIX, ele relatará essas contagens quando receber um sinal
SIGINFO (gerado, por exemplo, digitando o caractere “status”, normalmente controle -T,
embora em algumas plataformas, como macOS, o caractere “status” não seja definido por
padrão; então, o usuário deve configurá-lo com sty (1) para usá-lo)
A seguir está um exemplo da saída de um comando Tcpdump
tcpdump -i eth0
13:13:48.437836 10.20.21.03.roteador > RIP2-ROUTERS.MCAST.NET.roteador: RIPv2
13:13:48.438364 10.20.21.23 > 10.20.21.55: icmp: RIP2-ROUTERS.MCAST.NET udp

13:13:54.947195 vmt1.endicott.juggyboy.com.router > RIP2 ROUTERS.MCAST.NET.rou
13:13:58.313192 :: > ff02::1:ff00:11: icmp6: vizinho sol: quem tem fe80::
13:13:59.313573 fe80::26f:5a00:100:11 > ipv6-allrouters: icmp6: router so
13:14:05.179268 :: > ff02::1:ff00:14: icmp6: vizinho sol: quem tem fe80::
13:14:06.179453 fe80::26f:5a00:100:14 > ipv6-allrouters: icmp6: router so
13:14:18.473315 10.20.21.55.roteador > RIP2-ROUTERS.MCAST.NET.roteador: RIPv2
13:14:18.473950 10.20.21.23 > 10.20.21.55: icmp: RIP2-ROUTERS.MCAST.NET udp

13:14:20.628769 10.20.21.64.filenet-tms > btvdns01.srv.juggyboy.com.domain: 49
13:14:24.982405 vmt1.endicott.juggyboy.com.router > RIP2-ROUTERS.MCAST.NET.rou
Figura 8.12: Ferramenta Tcpdump

Ferramenta de detecção: Wireshark
ÿ Permite capturar e navegar interativamente o tráfego em

execução em uma rede de computadores
ÿ Wireshark usa Winpcap para capturar

pacotes e, portanto, só podem capturar pacotes em
redes suportadas por
WinpcapGenericName
ÿ Captura o tráfego de rede ao vivo de

Ethernet, IEEE 802.11, PPP/HDLC, ATM, Bluetooth,
USB, Token Ring, Frame Relay, redes FDDI
ÿ Os arquivos capturados podem ser editados

programaticamente via linha de comando
ÿ Um conjunto de filtros para exibição de dados

personalizados pode ser refinado usando um filtro de exibição
https:// www.wireshark.org
Ferramenta de detecção: Wireshark
Fonte: https:// www.wireshark.org
Wireshark é um analisador de protocolo de rede GUI. Ele permite que o investigador navegue interativamente pelos
dados do pacote de uma rede ao vivo ou de um arquivo de captura salvo anteriormente. O formato de arquivo de
captura nativo do Wireshark está no formato libpcap, que também é o formato usado pelo tcpdump e várias outras
ferramentas.
O Wireshark permite uma inspeção profunda de centenas de protocolos e oferece aos investigadores a oportunidade
de realizar capturas ao vivo e análises offline. É compatível com os sistemas operacionais Windows, Linux, macOS,
Solaris, FreeBSD, NetBSD e muitos outros.
O Wireshark não requer identificação do tipo de arquivo que o investigador está lendo; ele determinará o tipo de
arquivo por si só. O Wireshark também é capaz de ler qualquer formato de arquivo compactado usando gzip. O
Wireshark reconhece isso diretamente do arquivo; a extensão .gz não é necessária para esta finalidade. Como
outros analisadores de protocolo, a janela principal do Wireshark mostra três visualizações de um pacote. Ele mostra
uma linha de resumo, descrevendo brevemente o que é o pacote. Ele mostra uma árvore de protocolos que permite
ao investigador detalhar o protocolo exato, ou campo, no qual está interessado. Por fim, um despejo hexadecimal
mostra exatamente como o pacote se parece quando passa pela rede.
Além disso, o Wireshark possui outros recursos. Ele pode reunir todos os pacotes em uma conversa TCP e mostrar
ao investigador os dados ASCII (ou EBCDIC, ou hexadecimais) dessa conversa. Os filtros de exibição no Wireshark
são muito poderosos. A biblioteca pcap realiza a captura de pacotes. A sintaxe do filtro de captura segue as regras
da biblioteca pcap. Essa sintaxe é diferente da sintaxe do filtro de exibição.
O suporte a arquivos compactados usa a biblioteca zlib. Se a biblioteca zlib não estiver presente, o Wireshark irá

compilar, mas será incapaz de ler arquivos compactados. A opção -r pode ser usada para especificar o nome do
caminho para ler um arquivo capturado ou para especificar o nome do caminho como um argumento de linha de comando.
Figura 8.13: GUI do Wireshark
Componentes do Wireshark
O menu principal da ferramenta Wireshark contém os seguintes itens:
ÿ Arquivo: Este menu contém itens para abrir e mesclar, capturar arquivos, salvar, imprimir, importar e exportar
arquivos de captura no todo ou em parte e para sair do aplicativo Wireshark
ÿ Editar: Este menu contém itens para localizar um pacote, referência de tempo ou marcar um ou mais pacotes.
Ele lida com os perfis de configuração e define as preferências
ÿ Exibir: Este menu controla a exibição dos dados capturados, incluindo colorização de pacotes, zoom de fonte,
mostrando um pacote em uma janela separada, expandindo e recolhendo os detalhes da árvore de pacotes
ÿ Ir: Este menu contém opções para navegar para um pacote específico, incluindo um
pacote, próximo pacote, pacote correspondente, primeiro pacote e último pacote
ÿ Captura: Este menu permite iniciar, parar e reiniciar a captura e editar os filtros de captura
ÿ Analisar: Este menu contém itens para manipular, exibir e aplicar filtros, ativar ou desativar a dissecação de
protocolos, configurar decodificações especificadas pelo usuário e seguir um fluxo diferente, incluindo TCP,
UDP e SSL
o Follow TCP Stream: Esta opção exibe todos os segmentos TCP capturados que estão
a mesma conexão TCP como um pacote selecionado

o Follow UDP Stream: Esta opção exibe todos os segmentos UDP capturados que estão no
a mesma conexão UDP como um pacote selecionado
o Follow SSL Stream: Esta opção exibe todos os segmentos SSL capturados que estão no
a mesma conexão SSL como um pacote selecionado
ÿ Estatísticas: Este menu contém opções para exibir várias janelas de estatísticas, incluindo um resumo dos pacotes
que foram capturados, exibir estatísticas de hierarquia de protocolo,
Gráficos IO, gráficos de fluxo e muito mais
ÿ Telefonia: Este menu contém opções para exibir várias janelas de estatísticas relacionadas à telefonia, incluindo uma
análise de mídia, diagramas de fluxo, exibição de estatísticas de hierarquia de protocolo e muito mais
ÿ Sem fio: Este menu mostra estatísticas sem fio Bluetooth e IEEE 802.11
ÿ Ferramentas: Este menu contém várias ferramentas disponíveis no Wireshark, incluindo a criação
regras ACL de firewall e usando o interpretador Lua
Filtros de captura e exibição do Wireshark
O Wireshark oferece a oportunidade de usar diferentes tipos de filtros para classificar o tráfego de rede. A ferramenta ajuda
a delimitar a busca e mostra apenas o tráfego desejado. Por padrão, o Wireshark fornece filtros de captura e filtros de exibição
para filtrar o tráfego.
Os investigadores podem definir filtros e dar-lhes rótulos para uso posterior. Isso economiza tempo ao recriar e redigitar os
filtros mais complexos usados com frequência.
Filtros de Captura
O Wireshark suporta limitar a captura de pacotes a pacotes que correspondem a um filtro de captura. Filtros de captura são
aplicados antes de iniciar uma captura do tráfego na interface de rede selecionada. O investigador/administrador não pode
aplicar filtros de captura diretamente no tráfego capturado. O Wireshark usa a linguagem de filtro libpcap para filtros de
captura.
Um filtro de captura só deve ser aplicado quando o administrador sabe o que está procurando.
Os administradores devem estar cientes de todos os filtros de captura disponíveis, para encontrar rapidamente anomalias na
rede.
Exemplo 1: Um filtro de captura assume a forma de uma série de expressões primitivas conectadas por conjunções (e/ou) e
opcionalmente precedidas por 'não' é: [não] primitivo [e|ou [não] primitivo ...]
Exemplo 2: Um filtro de captura para Telnet que captura o tráfego de e para um determinado host é: tcp porta 23 e host
10.0.0.5

Figura 8.14: Pacotes filtrados no Wireshark
Figura 8.15: Análise do fluxo HTTP no Wireshark

Filtros de exibição no Wireshark

ÿ Os filtros de exibição são usados para alterar a visualização dos pacotes nos arquivos capturados no Wireshark, alguns dos quais são os seguintes:
ÿ Digite o protocolo como arp, http, tcp, udp, dns e ip, na caixa de filtro
1 Filtragem de exibição por protocolo
ÿ tcp.port==23
2 Monitorando Portas Específicas ÿ ip.addr==192.168.1.100 máquina
ip.addr==192.168.1.100 && tcp.port=23
Filtragem por IP Múltiplo

3 Endereços
ÿ ip.addr == 10.0.0.4 ou ip.addr == 10.0.0.5
4 Filtragem por endereço IP ÿ ip.addr == 10.0.0.4
ÿ ip.dst == 10.0.1.50 && frame.pkt_len > 400

ÿ ip.addr == 10.0.1.12 && icmp && frame.number > 15 &&
5 Outros filtros
quadro.número < 30
ÿ ip.src==205.153.63.30 ou ip.dst==205.153.63.30
Filtros de exibição no Wireshark
Filtros de exibição são usados em pacotes capturados. Eles são úteis quando a necessidade de aplicar filtros antes
de iniciar as capturas de pacotes não é necessária. Os investigadores podem capturar todos os pacotes que trafegam
na rede e, em seguida, classificar os itens capturados usando filtros de exibição. Eles permitem que os administradores/
investigadores se concentrem nos pacotes que mais lhes interessam, enquanto ocultam os desinteressantes. Eles
permitem que administradores/investigadores selecionem pacotes com base nos seguintes elementos:
ÿ Protocolo
ÿ A presença de um campo
ÿ O valor de um campo
ÿ Uma comparação entre campos
Para definir um novo filtro ou editar um existente, selecione Capturar ÿ Capturar Filtros ou Analisar ÿ Exibir Filtros. Isso
abre uma caixa de diálogo com opções para definir novos filtros e editar filtros existentes.
Os mecanismos para definir e salvar filtros de captura e filtros de exibição são quase idênticos.
Os administradores podem usar o botão “+” (mais) para adicionar novos filtros e o botão “-” (menos) para remover
quaisquer filtros indesejados. O botão copiar é usado para copiar um filtro selecionado. Os administradores podem
editar os filtros existentes clicando duas vezes no filtro. Após criar um novo filtro ou editar um filtro existente, clique em
OK para salvar as alterações.
O Wireshark apresenta uma vasta gama de filtros de exibição. Eles permitem detalhar o tráfego exato necessário e
são a base de muitos recursos do Wireshark.

A seguir estão alguns exemplos de uso de filtros de exibição no Wireshark:
ÿ Filtragem de exibição por protocolo
Digite o protocolo na caixa Filtro, por exemplo: arp, http, tcp, udp, dns
ÿ Acompanhamento das portas específicas
o tcp.port==23
o ip.addr==192.168.1.100 máquina ip.addr==192.168.1.100
&&tcp.port=23
ÿ Filtragem por vários endereços IP
ip.addr == 10.0.0.4 ou ip.addr == 10.0.0.5

ÿ Filtragem por endereço IP
ip.addr == 10.0.0.4
ÿ Outros filtros
o ip.dst == 10.0.1.50 &&frame.pkt_len > 400 o ip.addr ==

10.0.1.12 &&icmp&&frame.number > 15 &&frame.number
< 30
o ip.src==205.153.63.30 ou ip.dst==205.153.63.30

Analisar tráfego para TCP SYN

Flood DoS Attack
ÿ Inundação SYN é um tipo de ataque de negação de serviço (DoS)
no qual o invasor envia um grande número de pacotes SYN
repetidamente para o servidor de destino usando vários endereços
IP falsificados que nunca retornam um pacote ACK, mantendo assim
o servidor ocupado e renderizando não responde
ÿ Execute o Wireshark para monitorar a atividade da rede e detectar qualquer

anormalidades no tráfego TCP
ÿ A captura de tela do pacote Wireshark acima mostra uma

grande número de pacotes TCP SYN (3) de comprimento semelhante de
120 (5) sendo enviados de diferentes endereços IP (1) para o endereço IP
de destino 192.168.0.145 (2) pela porta HTTP 80 (4)
ÿ Navegue até Estatísticas > Hierarquia de protocolo para examinar

valor estatístico de cada protocolo
ÿ A captura de tela abaixo mostra um volume excepcionalmente alto de pacotes

TCP, indicando fortemente um ataque de inundação TCP SYN
Analisar tráfego para TCP SYN Flood DoS Attack
A inundação SYN é um tipo de ataque DoS no qual o invasor envia um grande número de pacotes SYN
repetidamente para o servidor de destino usando vários endereços IP falsificados. Em sua resposta aos
pacotes SYN, o servidor envia pacotes SYN-ACK, mas não recebe nenhum pacote ACK para completar
o processo de handshake TCP de três vias. O invasor pode, portanto, esgotar rapidamente as capacidades
de CPU e RAM do servidor de destino e torná-lo insensível, o que eventualmente resulta em DoS.
Como investigador forense, você precisa monitorar o fluxo de tráfego no Wireshark para detectar qualquer
anormalidade no tráfego TCP. Um dos sinais de um potencial ataque de inundação SYN é a presença de
grandes volumes de pacotes TCP SYN de tamanho semelhante no host de destino.
A captura de tela do pacote Wireshark abaixo mostra um grande número de pacotes TCP SYN (3) de
comprimento semelhante de 120 (5) sendo enviados de diferentes endereços IP (1) para o endereço IP
de destino 192.168.0.145 (2) pela porta HTTP 80 ( 4).

Figura 8.16: Grande número de pacotes TCP SYN detectados no Wireshark
Uma vez detectado um grande volume de pacotes TCP SYN, você deve navegar para Estatísticas ÿ Hierarquia
de protocolos para examinar o valor estatístico de cada protocolo. A captura de tela abaixo mostra um volume
excepcionalmente alto de pacotes TCP, indicando fortemente um ataque de inundação TCP SYN.
Figura 8.17: Estatísticas de hierarquia de protocolo mostrando alto volume de pacotes TCP

Analisar tráfego para ataque DoS de inundação SYN-FIN

ÿ Os invasores enviam pacotes com os sinalizadores SYN e FIN na ÿ Navegue até Estatísticas > Capturar propriedades do arquivo para analisar
tentativa de saturar a largura de banda da rede e causar um ataque o resumo dos pacotes capturados
DoS
ÿ A captura de tela abaixo mostra que a captura de pacotes

ÿ Use o filtro tcp.flags==0x003 para detectar um ataque de inundação SYN/
FIN no Wireshark a janela de tempo é de 14 segundos e o número médio de pacotes
enviados por segundo é de 118 a uma velocidade de 51 Kbps,
ÿ A captura de tela abaixo mostra um grande número de TCP SYN-FIN
indicando um ataque de inundação SYN-FIN
pacotes sendo passados de um único endereço IP de origem 10.0.0.2
para o endereço IP de destino 10.128.0.2 na porta HTTP 80
https:// kb.mazebolt.com
Analisar tráfego para ataque DoS de inundação SYN-FIN
O sinalizador SYN estabelece uma conexão e o sinalizador FIN encerra a conexão. Em uma tentativa de
SYN/FIN DoS, o invasor inunda a rede definindo os sinalizadores SYN e FIN. Em uma comunicação
TCP típica, SYN e FIN não são definidos simultaneamente. Se um administrador detecta tráfego com os
sinalizadores SYN e FIN definidos, isso é um sinal de uma tentativa SYN/FIN DDoS. Uma tentativa SYN/
FIN DDoS pode esgotar o firewall no servidor enviando os pacotes repetidamente.
Para detectar esses ataques suspeitos, você deve usar o filtro tcp.flags==0X003 para descobrir se essas
entradas de tráfego estão no mesmo pacote. A captura de tela abaixo mostra um grande número de
pacotes TCP SYN-FIN (4) sendo transmitidos de um único endereço IP de origem 10.0.0.2 (1) para o
endereço IP de destino 10.128.0.2 (2) na porta HTTP 80 (4) ao aplicar o filtro fornecido.

Figura 8.18: Grande número de pacotes SYN-FIN detectados no Wireshark
Uma vez encontrado, navegue até Estatísticas ÿ Propriedades do arquivo de captura para analisar o resumo dos
pacotes capturados. A captura de tela abaixo mostra que a janela de tempo de captura de pacotes é de 14 segundos
e o número médio de pacotes enviados por segundo é de 118 a uma velocidade de 51 Kbps, indicando um ataque
de inundação SYN FIN.
Figura 8.19: Propriedades do arquivo de captura mostrando a captura de pacotes e o tamanho médio dos pacotes

Analisar tráfego para FTP

Tentativas de quebra de senha
ÿ Em um ataque de quebra de senha, o invasor tenta obter
acesso às credenciais de um usuário autenticado por
meio de várias técnicas, como força bruta ou ataques
de dicionário
ÿ Aplique o filtro ftp.response.code == 530 para monitorar

todas as tentativas malsucedidas de login via FTP
ÿ A captura de tela acima mostra vários

tentativas de login do IP de origem 10.10.10.16 para o IP
de destino 10.10.10.50, o que é fortemente indicativo de um
ataque de força bruta
ÿ Aplique o filtro ftp.response.code == 230 para ver logins bem-

sucedidos no servidor FTP
ÿ A captura de tela abaixo mostra dois logins bem-

sucedidos do IP de origem 10.10.10.16, o que indica que
o invasor obteve as credenciais com sucesso
Analisar o tráfego para tentativas de quebra de senha de FTP
A quebra de senha é um processo de obtenção ou recuperação de senhas por meio de tentativa e erro
ou executando uma tentativa de adivinhação de senha usando um arquivo contendo senhas comumente
usadas. Essas técnicas são chamadas de ataques de força bruta e ataques de dicionário, respectivamente.
Um investigador pode detectar esse tipo de ataque monitorando o número de tentativas de login feitas
com o mesmo endereço IP ou nome de usuário.
O protocolo de transferência de arquivos (FTP) é um protocolo padrão para transmitir arquivos entre
sistemas pela Internet usando o conjunto TCP/IP. FTP é um protocolo cliente-servidor baseado em dois
canais de comunicação entre um cliente e um servidor. Um gerencia as conversas e o outro é responsável
pela própria transmissão do conteúdo. Um cliente inicia uma sessão com uma solicitação de download, à
qual o servidor responde com o arquivo específico solicitado. Uma sessão FTP requer que o usuário faça
login no servidor FTP com seu nome de usuário e senha. Em um ataque de senha de FTP, o invasor
tenta obter a senha de qualquer usuário autenticado.
Você pode usar o filtro ftp.request.command no Wireshark para detectar uma tentativa de quebra de
senha de FTP na rede. O filtro fornece todas as solicitações de FTP feitas na rede. Ele também exibe o
número de tentativas feitas pelo invasor para obter acesso ao servidor FTP.
Você deve verificar as tentativas de login malsucedidas e bem-sucedidas para determinar qualquer
tentativa de quebra de senha no servidor FTP. Aplique o filtro ftp.response.code == 530 para monitorar
todas as tentativas malsucedidas de login via FTP. A captura de tela abaixo mostra várias tentativas
malsucedidas de login do IP de origem 10.10.10.16 para o IP de destino 10.10.10.50 ao aplicar o filtro
fornecido, o que indica fortemente um ataque de força bruta.

Figura 8.20: Múltiplas tentativas malsucedidas de login observadas no FTP via Wireshark
Para verificar todas as tentativas bem-sucedidas de login no FTP, aplique o filtro ftp.response.code
== 230. A captura de tela abaixo mostra dois logins bem-sucedidos do IP de origem 10.10.10.16, o
que indica que o invasor obteve as credenciais com sucesso.
Figura 8.21: Tentativas de login bem-sucedidas observadas do mesmo endereço IP no Wireshark

Analisar o tráfego para tentativas de quebra de senha SMB

ÿ A captura de tela mostra várias tentativas de login no IP
10.10.10.16 do host de destino (2) no SMB do IP de origem
10.10.10.11 (1)
ÿ O tráfego capturado via Wireshark revela vários nomes de

usuários junto com a mensagem 'Erro:
STATUS_LOGON_FAILURE' que indica fortemente
uma tentativa de ataque de força bruta no protocolo SMB
ÿ Se algum nome encontrado nos pacotes capturados

corresponde ao de um usuário autorizado no host de destino,
você pode considerar que o ataque de força bruta
provavelmente foi bem-sucedido
ÿ Reúna outras informações úteis sob o

Seção do protocolo de controle de transmissão, como
porta de origem, porta de destino e contagem de bytes do
pacote (3)
Analisar o tráfego para tentativas de quebra de senha SMB

Com uma tentativa de quebra de senha SMB, a análise do tráfego de rede via Wireshark revelaria
várias tentativas de login com diferentes nomes de usuário no protocolo SMB. A captura de tela
abaixo mostra várias tentativas de login no IP 10.10.10.16 do host de destino (2) no SMB do IP
de origem 10.10.10.11 (1).
Figura 8.22: Várias tentativas de login com diferentes nomes de usuários observados no servidor SMB

O tráfego capturado via Wireshark revela vários nomes de usuários junto com a mensagem 'Error:
STATUS_LOGON_FAILURE' que indica fortemente uma tentativa de ataque de força bruta no protocolo
SMB.
Você deve examinar cuidadosamente todos os nomes de usuário para verificar se algum nome nos pacotes
capturados corresponde ao de um usuário autorizado no host de destino, pois isso é uma forte indicação
de que o ataque de quebra de senha foi bem-sucedido.
Você também pode coletar muitas outras informações na seção Transmission Control Protocol, como porta
de origem, porta de destino e contagem de bytes de pacote (3).

Analise o tráfego para tentativas de detecção
1 Os invasores farejam o tráfego de rede em busca de informações confidenciais
Diferentes técnicas podem ser usadas para farejar o tráfego, dependendo do tipo de rede
2
O sniffing passivo é usado para farejar uma rede baseada em hub, enquanto o sniffing ativo é usado para
3 farejar uma rede baseada em switch
Um invasor usa inundação de MAC e envenenamento de ARP para farejar o tráfego de rede, que pode
4 servir como base para o lançamento de ataques man-in-the-middle (MiTM).
Identifique tentativas de sniffing detectando os sinais de inundação de MAC e envenenamento de ARP usando
5 o Wireshark
Analise o tráfego para tentativas de detecção
Sniffing e ataques man-in-the-middle são formas de espionagem em que um invasor captura pacotes colocando-se
entre um cliente e um servidor. Os invasores farejam o tráfego de rede em busca de informações confidenciais.
Diferentes técnicas podem ser usadas para farejar o tráfego, dependendo do tipo de rede.
O sniffing é tentado usando uma forma ativa ou uma forma passiva:
1. Farejamento Ativo
O sniffing realizado em uma rede comutada é chamado de sniffing ativo. O invasor injeta pacotes no tráfego
de rede para obter informações do switch, que mantém seu próprio cache ARP conhecido como memória
endereçável de conteúdo (CAM).
2. Farejamento Passivo
O sniffing realizado no hub é chamado de sniffing passivo. Como um hub transmite todos os pacotes, um
invasor precisa apenas iniciar a sessão e esperar que alguém envie pacotes no mesmo domínio de colisão.
Um invasor usa inundação de MAC e envenenamento de ARP para farejar o tráfego de rede, que pode
servir como base para o lançamento de ataques man-in-the-middle (MiTM).
Como um investigador forense de rede, você pode identificar tentativas de sniffing detectando os sinais de inundação
MAC e envenenamento ARP usando o Wireshark.

Analisar tráfego para tentativa de inundação de MAC
ÿ Em um ataque de inundação de MAC, o invasor se conecta a um

porta no switch e inunda sua interface enviando um grande
volume de quadros ethernet de vários falsos
endereços MAC
ÿ O Wireshark considera os pacotes MAC flooded como

pacotes malformados
ÿ Vá para o menu Analyze no Wireshark e selecione

Informações especializadas para visualizar esses pacotes malformados
ÿ Analisar o IP de origem, o IP de destino e o Time to Live

(TTL) dos pacotes malformados enquanto procura por sinais de
um ataque de inundação MAC na rede
ÿ A captura de tela abaixo mostra que os pacotes são

originário de vários endereços IP (1) e destinado ao mesmo
endereço IP 192.168.20.1 (4) com os mesmos valores TTL (2)
que indica um ataque de inundação MAC
Analisar tráfego para tentativa de inundação de MAC
A inundação de MAC é um método de detecção ativa no qual o invasor se conecta a uma porta no switch.
Eles enviam uma enxurrada de quadros Ethernet com vários endereços MAC falsos. O switch mantém uma
tabela CAM (memória endereçável de conteúdo), à qual o invasor está tentando obter acesso. Portanto,
esse ataque também é conhecido como ataque de inundação de CAM.
O Wireshark considera os pacotes MAC flooded como pacotes malformados. Como investigador, você pode
detectar uma tentativa de inundação de MAC usando o Wireshark analisando cuidadosamente os endereços
de origem e destino do pacote junto com seu tempo de vida (TTL). Isso pode ser feito navegando até a guia
Analyze ÿ Expert Information e examinando os pacotes malformados.

Figura 8.23: Navegando para Analisar ÿ Guia Informações de Especialista no Wireshark
Pacotes malformados são gerados por vários motivos e nem sempre indicam um ataque de
inundação de MAC. Para detectar com precisão uma tentativa de inundação de MAC na rede, você
deve verificar se os pacotes são destinados à mesma máquina e contêm os mesmos valores de
TTL. A captura de tela abaixo mostra que os pacotes são originários de vários endereços IP (1) e
destinados ao mesmo endereço IP 192.168.20.1 (4) com os mesmos valores de TTL (2), o que
indica um ataque de inundação de MAC.
Figura 8.24: Os pacotes malformados capturados são destinados ao mesmo IP e refletem os mesmos valores de TTL

Analisar tráfego para tentativa de envenenamento ARP

ÿ Em um ataque de envenenamento ARP, o endereço MAC do invasor é associado ao endereço IP do host alvo ou a vários hosts no
rede alvo
ÿ O Wireshark detecta endereços IP duplicados no protocolo ARP com a mensagem de aviso 'uso duplicado de <endereço IP> detectado'
ÿ Para localizar tráfego de endereço IP duplicado, use o filtro: arp.duplicate-address-detected
ÿ A captura de tela mostra aqui que o endereço IP 192.168.0.54 tem dois endereços MAC diferentes, que foram detectados pelo Wireshark como
duplicação
Analisar tráfego para tentativa de envenenamento ARP
O protocolo de resolução de endereço (ARP) mapeia o endereço MAC para um endereço IP. Em um
ataque de envenenamento ARP, um invasor altera seu próprio endereço MAC para o do sistema de destino.
Consequentemente, todos os pacotes destinados ao sistema de destino são redirecionados para a
máquina do invasor. Os invasores podem monitorar o fluxo de dados na rede, falsificar vários dispositivos
na rede e fazer com que todos os pacotes sejam direcionados para eles.
O Wireshark detecta endereços IP duplicados no protocolo ARP com a mensagem de aviso 'uso
duplicado de <endereço IP> detectado'. Você pode usar o filtro arp.duplicate-address detectado após
a captura dos pacotes, para detectar vestígios de um ataque de envenenamento ARP.
A captura de tela abaixo mostra que o endereço IP 192.168.0.54 tem dois endereços MAC diferentes,
que foram detectados pelo Wireshark como duplicados.

Figura 8.25: Uso duplicado do mesmo IP detectado no Wireshark

Analise o tráfego para detectar atividade de malware

ÿ Depois que um malware infecta o host de destino, suas ÿ Pesquise bancos de dados on -line para obter mais
atividades na rede geralmente são refletidas nos padrões de informações sobre portas, endereços IP ou sites incomuns/
tráfego contínuos que você pode inspecionar e analisar por meio de suspeitos
Wireshark
ÿ O banco de dados de portas de speedguide.net abaixo mostra
ÿ Na captura de tela abaixo, a análise de tráfego no
a porta 1177 é maliciosa e usada pelo trojan njRAT
Wireshark revela que o IP 10.10.10.12 (1) está tentando
conectar o IP 10.10.10.16 (2) do host de destino usando a
porta 1177 (3) que parece suspeita
https:// www.speedguide.net
Analise o tráfego para detectar atividade de malware
Os vestígios de uma infecção por malware podem ser encontrados nos padrões de tráfego de rede em andamento.
Depois de instalado na máquina de destino, o malware geralmente tenta se conectar ao servidor de comando e
controle (C2) para exfiltração de dados ou instruções adicionais. Ele realiza essa tarefa conectando-se a
determinados endereços IP ou abrindo determinadas portas no sistema de destino, que podem ser rastreadas por
ferramentas como o Wireshark.
Execute o Wireshark no sistema suspeito de estar infectado por malware e inspecione os padrões de tráfego em
andamento para detectar quaisquer anomalias. Na captura de tela abaixo, a análise de tráfego no Wireshark
revela que o IP 10.10.10.12 (2) está tentando conectar o IP 10.10.10.16 (1) do host de destino usando a porta
1177 após a execução da amostra de malware que parece suspeita.

Figura 8.26: Porta suspeita 1177 encontrada no Wireshark após a execução de malware
Depois que qualquer porta/endereço IP incomum/suspeito for encontrado, você deve navegar pelos
bancos de dados online para verificar se essas portas são vulneráveis ou usadas por algum malware.
Na captura de tela abaixo, uma investigação online realizada na porta suspeita (porta 1177) no banco
de dados de portas do speedguide.net revelou que ela é frequentemente usada como porta padrão pelo
trojan njRAT.
Figura 8.27: A porta 1177 é considerada maliciosa no banco de dados online

Resumo do Módulo
Este módulo discutiu os fundamentos da análise forense
1 de rede, incluindo fundamentos de registro
Também discutiu em detalhes os conceitos relacionados à

2 correlação de eventos
Além disso, este módulo explicou a identificação de indicadores

3 de comprometimento (IoCs) de logs de rede
Por fim, este módulo terminou com uma discussão detalhada

4 sobre a investigação do tráfego de rede
No próximo módulo, discutiremos detalhadamente a investigação

5 de ataques na web
Resumo do Módulo
Este módulo discutiu os fundamentos da análise forense de rede, incluindo fundamentos de log. Também discutiu
em detalhes os conceitos relacionados à correlação de eventos. Além disso, este módulo explicou a identificação
de indicadores de comprometimento (IoCs) de logs de rede.
Por fim, este módulo terminou com uma discussão detalhada sobre a investigação do tráfego de rede.
No próximo módulo, discutiremos detalhadamente a investigação de ataques na web.
MT
CE-Conselho
EC-Council
D FE
Digital
Digital
Módulo 09
Investigando ataques na Web

1 Compreendendo a análise forense de aplicativos da Web
2 Noções básicas sobre os logs do Internet Information Services (IIS)
3 Compreendendo os logs do servidor Web Apache
4 Visão geral dos ataques da Web em servidores baseados em Windows
Compreendendo como detectar e investigar vários ataques em aplicativos da Web

5
Os aplicativos da Web permitem que os usuários acessem seus recursos por meio de programas do lado do cliente, como
navegadores da Web. Alguns aplicativos da Web podem conter vulnerabilidades que permitem que criminosos cibernéticos
lancem ataques específicos de aplicativos, como SQL Injection, script entre sites, inclusão de arquivo local (LFI), injeção de
comando, etc., que causam danos parciais ou completos do subjacente
servidores.
Além disso, esses ataques contra aplicativos da Web podem levar a grandes danos financeiros e de reputação para as
organizações. Na maioria dos casos, as organizações não conseguem rastrear a causa raiz de um ataque, o que deixa brechas
de segurança para os invasores explorarem. É aqui que a análise forense de aplicativos da Web assume importância.
Este módulo discute o procedimento forense de aplicativos da web, vários tipos de ataques a servidores e aplicativos da web e
onde procurar evidências durante uma investigação.
Além disso, explica como detectar e investigar vários tipos de ataques baseados na web.
ÿ Compreender a análise forense de aplicativos da web
ÿ Compreender os Logs dos Serviços de Informações da Internet (IIS)
ÿ Entenda os logs do servidor web Apache
ÿ Investigar ataques da web em servidores baseados em Windows
ÿ Detectar e investigar vários ataques em aplicativos da web


Fluxo do módulo
Entenda o IIS e o Apache Investigando ataques na Web em

Registros do Servidor Web
02 03 Servidores baseados em Windows
Detectar e Investigar
Entender Web
Análise forense de aplicativos
01 04 Vários ataques na Web
Formulários
Entenda a análise forense de aplicativos da Web

Os aplicativos da Web tornaram-se uma fonte primária de troca e gerenciamento de informações em várias
empresas e agências governamentais. Devido ao seu amplo uso, os aplicativos da Web estão se tornando os
principais alvos dos invasores.
Os profissionais de segurança da informação implementam medidas de segurança específicas para detectar ou

prevenir ataques a aplicativos da web. No entanto, eles não podem rastrear esses ataques, permitindo que os
invasores tentem novos ataques ao alvo. É aqui que a análise forense de aplicativos da Web ajuda a mitigar os
ataques que ocorrem nos aplicativos.
Um ramo da análise forense digital, a análise forense de aplicativos da Web envolve a investigação de um incidente
de segurança baseado na Web para localizar sua origem, como ocorreu e quais sistemas/dispositivos de computação
estavam envolvidos.
Esta seção define a análise forense de aplicativos da web e descreve a metodologia padrão que os investigadores
devem seguir ao investigar ataques de aplicativos da web. Ele também discute vários tipos de ameaças de
aplicativos da web e os sinais que indicam ataques a aplicativos da web.


Introdução à análise forense de aplicativos da Web
ÿ A análise forense de aplicativos da Web envolve o rastreamento de um ataque de segurança que ocorreu em qualquer aplicativo da Web
identificar sua origem, e como foi penetrado
ÿ Inclui a coleta e análise de log e arquivos de configuração associados ao servidor web,

servidor de aplicativos, servidor de banco de dados, eventos do sistema, etc. para determinar a causa, natureza e perpetrador de uma
exploração da web
Introdução à análise forense de aplicativos da Web
Aplicativos da Web são programas existentes em um servidor central que permitem que um usuário, que
visita um site pela Internet, envie e recupere dados de e para um banco de dados. Um cliente faz uma
solicitação a um servidor da Web por meio de um aplicativo da Web. Quando o servidor responde à requisição,
a aplicação web gera documentos da resposta para melhor atendimento ao cliente/usuário.
Os documentos da web gerados por aplicativos da web estão em um formato padrão, como Hypertext Markup
Language (HTML) e Extensible Markup Language (XML), que é suportado por todos os tipos de navegadores.
Os aplicativos da Web realizam a tarefa solicitada, independentemente do sistema operacional e do navegador
implantados pelo usuário. Apesar das vantagens dos aplicativos da Web, eles tendem a ser vulneráveis a
ataques devido a práticas inadequadas de codificação ou monitoramento de segurança. Os invasores tentam
explorar vulnerabilidades no código e obter acesso ao conteúdo do banco de dados, obtendo acesso a
informações confidenciais, como credenciais de usuário e detalhes de contas bancárias. Alguns tipos de
ataques executados em aplicativos da Web incluem injeção de SQL, XSS, sequestro de sessão, inclusões de
arquivos locais e remotos e execução remota de código.
A análise forense de aplicativos da Web assume proeminência quando esses tipos de ataques ocorrem em
aplicativos da Web. Envolve o exame forense de aplicativos da web e seu conteúdo (como logs, diretório www
e arquivos de configuração) para rastrear e identificar a origem do ataque, determinar como o ataque foi
propagado, juntamente com os dispositivos usados (dispositivos móveis e computadores ) e pessoas
envolvidas no ataque. Os investigadores examinam os logs e os arquivos de configuração associados ao
servidor, à rede e à máquina host para obter informações sobre o ataque.


Desafios na análise forense de aplicativos da Web
Devido à natureza distribuída dos aplicativos da Web, os rastros

de atividades são registrados em vários componentes de hardware
01
e software
Muito limitado ou nenhum tempo de inatividade é

permitido para investigação
02
A análise forense de aplicativos da Web requer a análise e a

correlação de grandes volumes de logs
03
Também requer conhecimento completo de diferentes servidores web,

servidores de aplicativos, bancos de dados e aplicativos 04
subjacentes
O rastreamento é difícil no caso de proxies reversos e

anonimizadores
05
Desafios na análise forense de aplicativos da Web
Devido à natureza distribuída dos aplicativos da Web, os rastros de atividades são registrados em vários
componentes de hardware e software. Os aplicativos da Web atendem a uma ampla variedade de serviços e
podem oferecer suporte a vários tipos de servidores, como IIS e Apache. Portanto, os investigadores forenses
devem ter um bom conhecimento de vários servidores para examinar os logs e entendê-los quando ocorrer um
incidente.
Os aplicativos da Web geralmente são críticos para os negócios. Portanto, é difícil para os investigadores criar
sua imagem forense, o que exige que o site fique fora do ar por algum tempo. Isso torna um desafio para os
investigadores capturar dados voláteis, incluindo processos, conexões de porta/rede, logs de dumps de memória
e logs de usuário no momento da análise do incidente. Por outro lado, à medida que o tráfego de sites aumenta,
os arquivos de log registrados no banco de dados continuam aumentando. Portanto, torna-se difícil para os
investigadores coletar e analisar esses logs.
Os investigadores devem ter uma boa compreensão de todos os tipos de servidores da Web e de aplicativos
para entender, analisar e correlacionar vários formatos de logs coletados de suas respectivas fontes. Quando
ocorre um ataque a um site, os investigadores devem coletar as impressões digitais deixadas pelo invasor. No
entanto, rastrear de volta se torna uma tarefa difícil, pois os invasores costumam usar proxies reversos e
anonimizadores. Os investigadores também precisam coletar os seguintes campos de dados associados a cada
solicitação HTTP feita ao site para entender como o ataque foi realizado:
ÿ Data e hora em que o pedido foi enviado

ÿ
Endereço IP a partir do qual a solicitação foi iniciada
ÿ Método HTTP usado (GET/POST)
ÿ Identificador Uniforme de Recursos (URI)


ÿ Consulta enviada via HTTP
ÿ Cabeçalhos HTTP
ÿ Corpo da solicitação HTTP
ÿ Logs de eventos (dados não voláteis)
ÿ
Listagens de arquivos e carimbos de data/hora (dados não voláteis)
A maioria dos aplicativos da Web restringe o acesso às informações HTTP. Sem isso, as informações registradas nos logs seriam bastante
semelhantes, o que poderia impossibilitar os investigadores de diferenciar as solicitações HTTP válidas das maliciosas.


Indicadores de um ataque na Web
Clientes impossibilitados de acessar

desfigurações de páginas da web
os serviços
Atividades suspeitas em contas Desempenho de rede

de usuário excepcionalmente lento
Vazamento de dados Reinicialização frequente

confidenciais do servidor
URLs redirecionando para sites incorretos
Indicadores de um ataque na Web
Existem diferentes componentes que indicam um ataque na web. Por exemplo, em um ataque DoS, é negado aos clientes
o acesso às informações ou serviços disponíveis no servidor web de destino. Nesses casos, os clientes relatam a
indisponibilidade de serviços online porque o invasor impede que usuários legítimos acessem sites e outros serviços que
dependem do servidor da Web visado.
Redirecionar um usuário em uma página da Web para um site desconhecido que hospeda um kit de exploração é outra
indicação de um ataque na Web. Quando um usuário insere a URL do site na barra de endereço, o servidor o redireciona
para um site desconhecido (muitas vezes malicioso), que instala spyware/malware na máquina do usuário.
O desempenho de rede excepcionalmente lento e a reinicialização frequente do servidor também podem indicar um
ataque na web. Anomalias encontradas nos arquivos de log também são uma indicação de ataques na web. A alteração
de uma senha e a criação de uma nova conta de usuário podem revelar as tentativas de ataque em sites.
Outros indicadores de ataques na web incluem vazamento de dados confidenciais e desfigurações de páginas da web.
Pode haver outros indicadores, como o retorno de mensagens de erro. Por exemplo, uma página de mensagem de erro
HTTP 500 pode indicar a ocorrência de um ataque de injeção SQL. Além disso, existem outras mensagens de erro, como
“um erro interno do servidor” e “problema ao processar sua solicitação”, que indicam um ataque na web.


Ameaças de aplicativos da Web

Script entre sites
01 Biscoito Envenenado 07 13 Vazamento de informações
(XSS)
Dados sensíveis Erro impróprio

02 Injeção SQL 08 14
Exposição Tratamento
Parâmetro/Forma
03 Falhas de Injeção 09 15 estouro de buffer
adulteração
Solicitação entre sites Registro e monitoramento

04 10 Negação de Serviço (DoS) 16
Falsificação insuficientes
05 Passagem de diretório 11 Controle de acesso quebrado 17 Autenticação quebrada
Segurança
06 Entrada não validada 12 18 Registro de adulteração
Configuração incorreta
Ameaças de aplicativos da Web
A maioria das violações de segurança ocorre em aplicativos da Web, e não em servidores da Web, pois os aplicativos
da Web podem conter bugs devido a problemas de codificação na fase de desenvolvimento. Consequentemente, os
aplicativos da Web estão sujeitos a vários tipos de ameaças, algumas das quais são descritas abaixo:
ÿ Intoxicação por Cookies
O envenenamento de cookies refere-se à modificação de um cookie para contornar medidas de segurança

ou obter acesso não autorizado a informações. Nesse tipo de ataque, os invasores contornam o processo
de autenticação alterando as informações presentes em um cookie. Depois que os invasores obtêm o
controle de uma rede, eles podem modificar seu conteúdo, usar o sistema para um ataque mal-intencionado
ou roubar informações dos sistemas dos usuários.
ÿ Injeção de SQL
Nesse tipo de ataque, o invasor injeta comandos SQL maliciosos ou consultas como dados de entrada. Isso
os ajuda a ignorar as medidas de segurança do aplicativo da web e recuperar conteúdo confidencial do
servidor de banco de dados.
ÿ Falhas de Injeção
As falhas de injeção são as vulnerabilidades de aplicativos mais comuns que permitem que dados não
confiáveis fornecidos pelo usuário sejam interpretados e executados como um comando ou consulta. Os
invasores injetam códigos, comandos ou scripts maliciosos nos portões de entrada de aplicativos da Web
defeituosos de forma que os aplicativos interpretem e executem com a entrada maliciosa recém-fornecida, o
que, por sua vez, permite que os invasores extraiam informações confidenciais.


Essas falhas de injeção são comumente encontradas em consultas SQL, NoSQL e LDAP, bem como em comandos
do sistema operacional. Falhas de injeção foram consideradas como a principal vulnerabilidade de segurança em
aplicativos da Web em 2017 pelo Open Web Application Security Project (OWASP).
ÿ Falsificação de Solicitação Cross Site
Nesse método de ataque, um usuário autenticado é obrigado a executar determinadas tarefas no aplicativo da Web
escolhido por um invasor. Por exemplo, um invasor pode fazer um usuário clicar em um determinado link enviado por
e-mail ou chat.
ÿ Passagem de caminho/diretório
Quando os invasores exploram o HTTP usando passagem de diretório, eles obtêm acesso não autorizado aos
diretórios, após o que podem executar comandos fora do diretório raiz do servidor da web.
ÿ Entrada Não Validada
Nesse tipo de ataque, os invasores adulteram a URL, solicitações HTTP, cabeçalhos, campos ocultos, campos de
formulário, strings de consulta etc. para contornar as medidas de segurança em um sistema. IDs de login do usuário
e outros dados relacionados são armazenados em cookies, que se tornam uma fonte de ataques.
Exemplos de ataques que causam entrada não validada incluem injeção de SQL, script entre sites (XSS) e estouros
de buffer.
ÿ Cross Site Scripting (XSS)
Nesse tipo de ataque, os invasores contornam os mecanismos de segurança do ID do cliente e obtêm privilégios de
acesso. Posteriormente, eles injetam os scripts maliciosos em campos específicos nas páginas da web. Esses scripts
XSS maliciosos podem reescrever o conteúdo HTML de um site, sequestrar sessões de usuários ou redirecionar
usuários para sites maliciosos e desfigurar sites. O XSS é uma das 10 principais vulnerabilidades de segurança de
aplicativos da web do OWASP para 2017.
ÿ Exposição de Dados Sensíveis
Informações confidenciais, como registros de contas, números de cartão de crédito, senhas ou outras informações
autenticadas geralmente são armazenadas por aplicativos da Web em um banco de dados ou em um sistema de
arquivos.
Se os desenvolvedores cometerem algum erro ao aplicar técnicas de criptografia em um aplicativo da Web ou

ignorarem os aspectos de segurança de algumas partes do aplicativo, os invasores podem facilmente explorar essas
falhas para obter acesso não autorizado a informações confidenciais.
Os dados confidenciais podem ser explorados e mal utilizados por pessoas de dentro e de fora para realizar roubo
de identidade, fraude de cartão de crédito e outros crimes cibernéticos. Essa ameaça está incluída nas 10 principais
vulnerabilidades de segurança do OWASP para 2017.
ÿ Tamperação de Parâmetros/Formas
Esse tipo de ataque de adulteração visa manipular os parâmetros de comunicação trocados entre um cliente e um
servidor para fazer alterações nos dados do aplicativo, como IDs de usuários e senhas com logs de eventos ou custo
e quantidade de produtos.


Para melhorar a funcionalidade e o controle do aplicativo, o sistema coleta essas informações e as armazena em
campos de formulário ocultos, cookies ou strings de consulta de URL.
Os hackers usam ferramentas como o proxy WebScarab e Paros para lançar esse tipo de ataque.
A exploração bem-sucedida pode levar a outros ataques, como inclusão de arquivo e XSS.
ÿ Negação de Serviço (DoS)
Um ataque de negação de serviço (DoS) visa encerrar as operações de um site ou servidor, tornando seus recursos
indisponíveis para os clientes.
Por exemplo, um ataque DoS pode interromper o funcionamento de um site relacionado a serviços bancários ou de
e-mail por algumas horas ou mesmo dias, resultando na perda de tempo e
dinheiro.
ÿ Controle de Acesso Quebrado
Este é um método no qual um invasor identifica uma falha nas políticas de controle de acesso e a explora para
contornar o mecanismo de autenticação. Isso permite que o invasor obtenha acesso a dados confidenciais, modifique
direitos de acesso ou opere contas de outros usuários. Esta é uma parte das 10 principais vulnerabilidades de
segurança do OWASP de 2017.
ÿ Má configuração de segurança
A falta de um processo de proteção de segurança repetível em qualquer camada da pilha de aplicativos, que inclui
servidores Web, bancos de dados, estruturas, sistemas operacionais host, servidores de aplicativos e dispositivos
de armazenamento, pode levar a uma vulnerabilidade de configuração incorreta de segurança.
O uso de configurações padrão, senhas ou software desatualizado pode aumentar o risco de um ataque. Isso está
incluído nas 10 principais vulnerabilidades de segurança do OWASP 2017.
ÿ Vazamento de Informações
O vazamento de informações refere-se a uma desvantagem em um aplicativo da Web em que o aplicativo revela
involuntariamente informações confidenciais a um usuário não autorizado. Tal vazamento de informações pode
trazer grandes prejuízos para uma empresa.
Portanto, a empresa precisa empregar mecanismos adequados de filtragem de conteúdo para proteger todas as
suas informações ou fontes de dados, como sistemas ou outros recursos de rede, contra vazamento de informações.
ÿ Tratamento Inadequado de Erros
Essa ameaça surge quando um aplicativo da Web não consegue lidar com erros internos adequadamente. Nesses
casos, o site retorna informações, como despejos de banco de dados, rastreamentos de pilha e códigos de erro, na
forma de erros.
ÿ Estouro de Buffer
O estouro de buffer de um aplicativo da Web ocorre quando ele falha em proteger seu buffer adequadamente e
permite a gravação além de seu tamanho máximo. Assim, ele sobrescreve os locais de memória adjacentes. Existem
várias formas de estouro de buffer, incluindo estouros de buffer de heap


e formatar ataques de string. O objetivo desses ataques é corromper a pilha de execução do aplicativo da web.
ÿ Registro e monitoramento insuficientes
Os arquivos de log mantêm registros das ações e eventos que ocorrem durante a execução de um aplicativo/
serviço. Essa vulnerabilidade ocorre quando os logs não registram eventos críticos de segurança ou fornecem
avisos ou mensagens de erro pouco claros.
A falta de monitoramento de log ou a manutenção de logs em locais inseguros aumenta muito a chance de um
grande incidente de segurança.
Além disso, práticas insuficientes de registro e monitoramento não deixam rastros de auditoria para análise
forense, tornando a detecção de qualquer comportamento malicioso extremamente difícil para os investigadores
forenses. É uma das 10 principais vulnerabilidades de segurança de aplicativos da Web do OWASP de 2017.
ÿ Autenticação quebrada
Os invasores exploram falhas de implementação nas funções de autenticação e gerenciamento de sessão de

um aplicativo da Web para obter privilégios administrativos ou representar outros usuários. Áreas vulneráveis
comuns incluem tempo limite, perguntas secretas e gerenciamento de senhas. A autenticação quebrada é uma
das 10 principais vulnerabilidades de segurança de aplicativos da web do OWASP para 2017.
ÿ Adulteração de Registros
Os aplicativos da Web mantêm logs para rastrear os padrões de uso, como credenciais de login do
administrador e credenciais de login do usuário. Os invasores geralmente injetam, excluem ou adulteram os
logs de aplicativos da web para se envolver em atividades maliciosas ou ocultar suas identidades.
ÿ Referências inseguras de objetos diretos
Uma referência de objeto direta insegura ocorre quando os desenvolvedores expõem vários objetos de
implementação interna, como arquivos, diretórios, registros de banco de dados e referências de chave. Por
exemplo, se o número de uma conta bancária for uma chave primária, existe a possibilidade de invasores
comprometerem o aplicativo e se aproveitarem dessas referências.
ÿ Proteção insuficiente da camada de transporte
Os desenvolvedores precisam aplicar a tecnologia Secure Sockets Layer (SSL)/Transport Layer Security (TLS)
para autenticação de sites. Deixar de implementar essa tecnologia permite que invasores acessem cookies de
sessão monitorando o fluxo da rede. Vários ataques, como ataques de phishing, roubo de conta e
escalonamento de privilégios, podem ocorrer depois que os invasores obtêm acesso aos cookies.
ÿ Falha em Restringir o Acesso à URL
Um aplicativo geralmente protege ou protege funcionalidades confidenciais e impede a exibição de links ou

URLs para proteção. A falha em restringir o acesso à URL refere-se a uma vulnerabilidade na qual um
aplicativo da Web não consegue impedir que um hacker acesse uma determinada URL.


Aqui, um invasor tenta contornar a segurança do site usando técnicas como navegação forçada e obtém acesso não
autorizado a páginas da Web específicas ou outros arquivos de dados que contêm informações confidenciais.
ÿ Armazenamento criptográfico inseguro ou impróprio
Os dados confidenciais armazenados em um banco de dados devem ser criptografados adequadamente usando criptografia.
No entanto, alguns métodos de criptografia criptográfica contêm vulnerabilidades inerentes.
Portanto, os desenvolvedores devem usar métodos de criptografia fortes para desenvolver aplicativos seguros.
Além disso, eles devem armazenar com segurança as chaves criptográficas para que os invasores não possam obtê-las
facilmente e descriptografar os dados confidenciais.
ÿ Desserialização Insegura
A serialização e a desserialização são processos eficazes que permitem que as estruturas de dados sejam armazenadas ou
transmitidas para outros locais, como redes ou sistemas, preservando o estado do objeto.
A vulnerabilidade de desserialização insegura surge quando aplicativos e interfaces de programação de aplicativos (APIs)
permitem a desserialização de entrada de usuário não confiável.
Os invasores injetam código malicioso em uma forma serializada de dados e, após a desserialização, os dados manipulados,
bem como o código malicioso, são executados, permitindo que os invasores obtenham acesso remoto a qualquer sistema e
executem outras atividades maliciosas. Este ataque é uma das 10 principais vulnerabilidades de segurança de aplicativos da
Web de 2017 da OWASP.
ÿ Bisbilhotice de Cookies
Ao usar um proxy local, um invasor pode decodificar ou quebrar as credenciais do usuário. Depois que o invasor obtém
essas credenciais de texto sem formatação, ele faz login no sistema como um usuário legítimo e obtém acesso a informações
não autorizadas.
ÿ Entidades Externas XML
Nesse ataque, o invasor fornece uma entrada XML maliciosa, incluindo uma referência de entidade externa ao aplicativo da
Web de destino. Quando essa entrada maliciosa é processada por um analisador XML mal configurado, os invasores podem
acessar arquivos de dados confidenciais e recursos de rede de servidores Web de destino e redes conectadas. Este ataque
é uma das 10 principais vulnerabilidades de segurança de aplicativos da web do OWASP para 2017.
ÿ Explorações de gerenciamento de segurança
Alguns invasores têm como alvo os sistemas de gerenciamento de segurança, seja em redes ou na camada de aplicativos,
para modificar ou desabilitar a aplicação da segurança. Um invasor que explora o gerenciamento de segurança pode
modificar diretamente as políticas de proteção, excluir políticas existentes, adicionar novas políticas e modificar aplicativos,
dados do sistema e recursos.
ÿ Sequestro de Autenticação
Todos os aplicativos da web dependem de informações como senhas e IDs de usuário para identificação do usuário. Nesse
tipo de ataque, os invasores tentam sequestrar essas credenciais usando


várias técnicas de ataque, como sniffing e engenharia social. Ao obter essas credenciais, eles executam vários atos
maliciosos, incluindo sequestro de sessão, roubo de serviço e representação de usuário.
ÿ Redirecionamentos e Encaminhamentos Não Validados
Nesse tipo de ataque, os invasores atraem a vítima e a fazem clicar em links não validados que parecem legítimos. Esses
redirecionamentos podem levar à instalação de malware ou induzir as vítimas a compartilhar suas senhas ou outras
informações confidenciais.
Esses links inseguros podem levar ao desvio do controle de acesso, o que resulta ainda no seguinte:
o Ataques de fixação de sessão
o Explorações de gerenciamento de segurança
o Falha ao restringir o acesso à URL
o Execução de arquivo malicioso
ÿ Ataque de Fixação de Sessão
Esse tipo de ataque auxilia o invasor a sequestrar uma sessão válida do usuário. O invasor sequestra a sessão validada
pelo usuário, com conhecimento prévio do ID do usuário para a sessão, autenticando com um ID de sessão conhecido.
Nesse tipo de ataque, o invasor engana o usuário para que ele acesse um servidor Web genuíno usando um valor de ID de
sessão explícito. Posteriormente, o invasor assume a identidade da vítima e explora essas credenciais no servidor.
As etapas envolvidas são as seguintes:
1. O invasor visita o site do banco e faz login usando suas credenciais
2. O servidor web define um ID de sessão na máquina do invasor
3. O invasor envia um e-mail para a vítima contendo um link com um ID de sessão fixo
4. A vítima clica no link e é redirecionada para o site do banco
5. A vítima faz login no servidor usando suas credenciais e ID de sessão fixa
6. O invasor faz login no servidor usando as credenciais da vítima com a mesma sessão
EU IRIA
ÿ Ataques CAPTCHA
A implementação de CAPTCHAs evita que softwares automatizados executem ações que degradem a qualidade do serviço
de um determinado sistema por meio de abuso ou gasto excessivo de recursos. Os CAPTCHAs visam garantir que os
usuários dos aplicativos sejam humanos e, em última análise, ajudam a prevenir o acesso não autorizado e o abuso.
Cada implementação CAPTCHA obtém sua força aumentando a complexidade do sistema para realizar segmentação, pré-
processamento de imagem e classificação.


Metodologia de Investigação de Ataques na Web
Realizar entrevistas individuais para obter Use criptografia e soma de verificação para
1 informações
5
verificar e proteger a integridade dos arquivos de log
Localize os servidores ou outros dispositivos envolvidos Analise as cópias de trabalho dos logs coletados
no ataque de segurança, coloque-os offline e execute para procurar entradas suspeitas e correlacionar
2 6 os dados para criar uma cadeia de eventos que
a apreensão de maneira forense
revela todo o cenário de ataque
Acompanhe o processo de aquisição e Rastreie o IP do ataque para identificar

3 7
duplicação de imagens forenses o autor do ataque
Colete logs do servidor da web, servidor de aplicativos,

servidor de banco de dados, firewall de aplicativos da web,
4 8 Documente cada etapa da investigação
eventos do sistema local, ferramenta SIEM e IDS, junto com
arquivos de configuração do aplicativo e do servidor
Metodologia de investigação de ataques na Web A
adesão a uma metodologia de investigação completa e padrão desempenha um papel crucial na análise forense de
aplicativos da Web. Quando houver suspeita da ocorrência de um incidente de segurança em qualquer aplicativo da
web, os investigadores devem tentar coletar todos os arquivos de log disponíveis, como logs do servidor da web, logs
coletados pelo SIEM, logs do firewall de aplicativo da web (WAF) e logs de eventos, e analisá-los para rastrear as
assinaturas de ataque. Isso pode ajudar os investigadores a reconstruir a cadeia de eventos que levou ao ataque.
As etapas envolvidas na investigação de ataques na web estão listadas abaixo:
ÿ Realizar entrevistas individuais para obter informações sobre um ataque de segurança visando qualquer
aplicação web
ÿ Localize os servidores ou outros dispositivos que estão envolvidos no ataque de segurança, leve-os
offline e realizar a apreensão de maneira forense
ÿ Acompanhar o processo de aquisição e duplicação de imagens forenses ÿ Coletar
logs do servidor web, servidor de aplicativos, servidor de banco de dados, firewall de aplicativos web, eventos do
sistema local, ferramenta SIEM e IDS, juntamente com arquivos de configuração de aplicativos e servidores
ÿ Use criptografia e soma de verificação para verificar e proteger a integridade dos arquivos de log
ÿ Analisar as cópias de trabalho dos logs coletados para procurar entradas suspeitas e correlacionar
os dados para construir uma cadeia de eventos desdobrando todo o cenário de ataque
ÿ Rastreie o IP do ataque para identificar o perpetrador do ataque. Essa tarefa geralmente é muito difícil, pois os
invasores costumam usar proxies e anonimizadores para ocultar sua identidade.
ÿ Documentar todas as etapas da investigação; tal documentação é essencial para qualquer

procedimentos


Fluxo do módulo
Entenda o IIS e o Apache

02 03 Investigando ataques na Web em
Servidores baseados em Windows
Entender Web
Formulários
Entenda os logs do IIS e Apache Web Server

Os administradores podem ativar o logon em um servidor da Web IIS para registrar informações sobre
solicitações/erros HTTP para seus aplicativos/sites. No caso de uma violação de segurança, coletar e analisar
logs do IIS pode fornecer informações sobre como e de onde ocorreu o ataque.
Os logs do servidor web Apache, quando ativados, registram informações sobre cada solicitação HTTP (GET/
POST), bem como quaisquer erros/problemas encontrados pelo servidor web Apache.
Esta seção discute a arquitetura do servidor web IIS, o formato de log IIS e como analisar esses logs durante a
investigação. Esta seção também discute a arquitetura do servidor web Apache, tipos de logs Apache e como
os investigadores podem analisá-los no momento da investigação.


Arquitetura do Servidor Web IIS
Informações da Internet
Cliente Pilha
Serviços (IIS) para Windows
Server é um servidor web flexível,
Pilha de
seguro e fácil de gerenciar para
Internet protocolo HTTP (HTTP.SYS)hospedar qualquer coisa na web
svchost.exe Pool de aplicativos
Serviço de ativação do Windows

(ESTAVA)
Núcleo do Servidor Web Módulos nativos Domínio do aplicativo
Serviço WWW
Iniciar processamento de solicitação, Autenticação
Gerenciou
autenticação, autorização, resolução anônima,
Módulos
de cache, mapeamento do mecanismo gerenciado,
manipulador, pré-execução do mapeamento de
Aplicativos externos manipulador, estado de liberação, certificado IIS, arquivo Forma
atualização do cache, atualização
estático, documento padrão, cache HTTP, Autenticação
do log e finalização do processamento Erros de HTTP e registro
Aplicativo da solicitação
de HTTP
Host.config
Arquitetura do Servidor Web IIS
Figura 9.1: Arquitetura do servidor web IIS
O Internet Information Services (IIS), um aplicativo desenvolvido pela Microsoft baseado no Visual Basic, é executado
em um servidor Web e responde a solicitações de um navegador. Ele suporta HTTP, HTTP Secure (HTTPS), File
Transfer Protocol (FTP), FTP Secure (FTPS), Simple Mail Transfer Protocol (SMTP) e Network News Transfer
Protocol (NNTP). Um aplicativo IIS usa HTML para apresentar sua interface de usuário e usa código Visual Basic
compilado para processar solicitações e responder a eventos no navegador. O servidor IIS para Windows é um
servidor da Web flexível e fácil de gerenciar para hospedagem na Web.


O IIS inclui os seguintes componentes:
ÿ Ouvintes de protocolo (conhecidos como HTTP.sys)
ÿ World Wide Web Publishing Service (conhecido como serviço WWW)
ÿ Serviço de Ativação de Processos do Windows (WAS)
As responsabilidades dos componentes do IIS incluem o seguinte:
ÿ Escuta dos pedidos vindos do servidor
ÿ Gerenciamento de processos
ÿ Leitura de arquivos de configuração
Como funcionam os componentes do servidor IIS 10.0
ÿ Quando uma solicitação HTTP para um recurso é enviada do navegador do cliente para o servidor web, ela é interceptada
por HTTP.sys
ÿ HTTP.sys se comunica com WAS para coletar dados de ApplicationHost.config, a raiz

arquivo no sistema de configuração no servidor web IIS
ÿ O WAS gera uma solicitação de informações de configuração, como as do site e do pool de aplicativos, para
ApplicationHost.config, que é então passado para o Serviço WWW.
ÿ WWW Service utiliza as informações de configuração obtidas para configurar HTTP.sys
ÿ Um processo de trabalho é iniciado pelo WAS para o pool de aplicativos no qual a solicitação é
destinado a
ÿ O pedido é então processado pelo processo do trabalhador, e a resposta é devolvida ao

HTTP.sys
ÿ O navegador do cliente recebe uma resposta
O IIS depende principalmente de um grupo de bibliotecas de vínculo dinâmico (DLLs) que trabalham coletivamente com o
processo principal do servidor (inetinfo.exe) capturando diferentes funções, como indexação de conteúdo, scripts do lado do
servidor e impressão baseada na web.
A arquitetura aberta do IIS permite que um invasor explore a Web com conteúdo malicioso.
Sem service packs ou hot fixes no servidor da Web IIS, há várias maneiras pelas quais um invasor pode fazer com que o
inetinfo.exe, o processo do IIS, chame o shell de comando. Isso deve levantar suspeitas, pois não há necessidade inerente de
inetinfo.exe invocar o prompt de comando.


Registros do IIS
ÿ O IIS registra todas as visitas do servidor em arquivos

de log
ÿ Os logs do IIS fornecem

informações sobre a atividade de vários
aplicativos da web, como o cliente
Endereço IP, nome de usuário, data e hora, tipo
de solicitação e destino da operação
ÿ O servidor IIS gera arquivos de log baseados em
texto ASCII
ÿ Em sistemas operacionais Windows Server, o

arquivos de log são armazenados por padrão em
%SystemDrive%
\inetpub\logs\LogFiles
Registros do IIS
O IIS registra todas as visitas do servidor em arquivos de log. Os logs do IIS fornecem informações úteis sobre a
atividade de vários aplicativos da Web, como endereço IP do cliente, nome de usuário, data e hora, tipo de solicitação e
destino da operação. O servidor IIS gera arquivos de log baseados em texto ASCII. O servidor IIS pode se tornar
vulnerável se houver algum problema de codificação ou configuração, o que pode permitir que invasores explorem o
servidor se não forem resolvidos a tempo. Na ocorrência de tais ataques, os investigadores forenses examinam os logs
do IIS para rastrear as tentativas feitas pelo invasor de explorar o servidor. Em sistemas operacionais Windows Server,
os arquivos de log são armazenados por padrão em %SystemDrive%\inetpub\logs\LogFiles.
Nota: O local de armazenamento dos logs pode variar caso o administrador tenha feito uma configuração para gravar e
armazenar os logs em outro local.
Figura 9.2: entradas de log do IIS visualizadas no Notepad++


Analisando logs do IIS

Exemplo de uma entrada de arquivo de log do IIS conforme exibido em um editor de texto:
Número Campo aparecer como Descrição
1 Data e hora 12/12/2019 06:11:41 A entrada do arquivo de log foi registrada às 6h11 em 12 de dezembro de 2019
2 IP do servidor 192.168.0.10 Endereço IP do servidor
3 método cs PEGUE O usuário emitiu um comando GET ou download
4 cs-uri-stem /images/content/bg_body_1.jpg O usuário queria baixar o arquivo bg_body_1.jpg da pasta Imagens
5 cs-uri-query
- A consulta de URI não ocorreu
6 esporte 80 A porta do servidor
7 cs-username - O usuário era anônimo
8 Endereço IP do cliente 192.168.0.27 O endereço IP do cliente
9 Mozilla/5.0+(Windows+NT+6.3;+WOW64)+AppleWebKit/537.3 6+(KHTML,
cs(User-Agent) O tipo de navegador que o cliente usou, conforme representado pelo navegador
+like+Gecko)+Chrome/48.0.2564.103+Safari/537.36
10 cs(Referenciador) http://www.moviescope.com/css/style.css A página da Web que forneceu o link para o site
11 sc-status 200 A solicitação foi atendida sem erro
12 demorado 365 A ação foi concluída em 365 milissegundos
Analisando logs do IIS
Localizando logs do IIS na máquina baseada no Windows
Para localizar os arquivos de log do IIS em uma máquina Windows Server 2016, vá para Ferramentas Administrativas no
menu Iniciar do Windows e clique em Gerenciador de Serviços de Informações da Internet (IIS).
Figura 9.3: Navegando para o Gerenciador de Serviços de Informações da Internet (IIS)
Expanda a pasta correspondente ao nome do servidor. Selecione Logging no painel Features View para carregar as
configurações de Logging.


Figura 9.4: Selecionando o ícone Logging no Internet Information Services Manager
No campo Diretório, você encontrará o caminho no qual residem seus logs.
Figura 9.5: O caminho para os logs do IIS mostrado no campo Diretório


Navegue até a pasta LogFiles seguindo o caminho mostrado no campo Diretório. Para cada site configurado, a pasta
LogFiles contém uma subpasta com um nome, como W3SVC1 ou W3SVC2.
Figura 9.6: Subpastas na pasta LogFiles
O último número no nome da pasta corresponde ao ID do site. Encontre a pasta que corresponde ao ID do site. Cada
site hospedado no IIS possui seu próprio subdiretório para arquivos de log, denominado W3SVCn, onde “n” representa
o número do site.
Os subdiretórios W3SVCn armazenam arquivos de log denominados u_exyymmdd.log, onde “yy” refere-se ao ano, “mm”
refere-se ao mês e “dd” refere-se ao dia.
Quando o IIS registra os logs no W3C Extended Log Format, o IIS armazena todos os eventos registrados no formato
GMT, em vez do formato do fuso horário local do sistema. Este ponto deve ser considerado durante o exame dos logs
porque o IIS cria um novo arquivo de log para o dia seguinte à meia-noite no GMT.
Tempo Universal Coordenado (UTC)
O IIS registra logs usando o Tempo Universal Coordenado (UTC), que ajuda na sincronização de servidores em vários
fusos horários. Para calcular o UTC, o Windows compensa o valor do relógio do sistema com o fuso horário do sistema.
Uma configuração precisa do fuso horário local deve ser assegurada pelo administrador da rede para validar o UTC.
Além disso, o administrador deve verificar o processo definido para o IIS rolar logs usando a hora local.
A configuração de fuso horário do servidor pode ser verificada visualizando as primeiras entradas no arquivo de log. Se
o fuso horário do servidor estiver definido como UTC -06:00, as primeiras entradas de log devem aparecer por volta das
18:00 (00:00 - 06:00 = 18:00).
Como o UTC não segue o horário de verão, o administrador também deve considerar a data. Por exemplo, UTC -6:00
será -5:00 durante metade do ano em fusos horários que seguem o horário de verão.


Exemplo de uma entrada de log do IIS
12/12/2019 06:11:41 192.168.0.10 GET / images/ content/ bg_body_1.jpg - 80 - 192.168.0.27 Mozilla/ 5.0+(Windows+NT+6.3;+WOW64)+AppleWebKit/ 537.36+
(KHTML, +like+Gecko)+Chrome / 48.0.2564.103+Safari/ 537.36 http:// www.moviescope.com/ css/ style.css 200 0 0 365
Na entrada acima:
ÿ 2019-12-12 06:11:41: Isso mostra a data e a hora em que a entrada do arquivo de log foi gravada
ÿ 192.168.0.10: Isso mostra o endereço IP do servidor
ÿ GET: Este é o campo cs-method indicando que o usuário emitiu uma solicitação GET ou download
comando
ÿ /images/content/bg_body_1.jpg: Este é o campo cs-uri-stem indicando que o usuário

queria baixar o arquivo bg_body_1.jpg da pasta Imagens
ÿ
-: Isso denota o campo cs-uri-query. Um "hífen" aqui indica que a consulta de URI não
não ocorre
ÿ 80: Isso mostra a porta do servidor

ÿ
-: Este é o campo cs-username. Um "hífen" aqui indica que o usuário era anônimo
ÿ 192.168.0.27: Isso mostra o endereço IP do cliente
ÿ Mozilla/5.0+(Windows+NT+6.3;+WOW64)+AppleWebKit/537.36+(KHTML,+like+Gecko )+Chrome/
48.0.2564.103+Safari/537.36: Este é o campo cs(User-Agent) mostrando os detalhes do navegador usado
pelo cliente
ÿ http://www.moviescope.com/css/style.css: Este é o campo cs(Referer) mostrando

página da web que forneceu o link para o site
ÿ 200: Isso denota o campo sc-status. O código de status 200 indica que a solicitação foi
cumprido sem erro
ÿ 365: Isso indica o campo de tomada de tempo. Na entrada de log de exemplo, a ação foi
concluído em 365 milissegundos


Arquitetura do Servidor Web Apache
Componente /
Subcomponente
Núcleo Apache Módulo Dados
Chamadas/Usos
interage
HTTP_MAIN Controle de retorno/dados
(loop do servidor)
UM MÓDULO APACHE
para/de despachar para

HTTP_PROTOCOL HTTP_REQUEST Manipulador 1
(implementação) (fases do pedido)

Cliente HTTP módulos
Apache
Core
para
De/
Manipulador 2
HTTP_CORE
(funcionalidade principal)
Manipulador 3
ALOC
SERVIÇOS DE UTILIDADE PÚBLICA
encontro privado
(res. piscinas)
Arquitetura do Servidor Web Apache

O servidor web Apache segue uma abordagem modular. Ele consiste em dois componentes principais,
o núcleo do Apache e os módulos do Apache. O núcleo do Apache aborda as funcionalidades básicas
do servidor, como a alocação de solicitações e a manutenção e agrupamento de conexões, enquanto
os módulos do Apache, que são simplesmente complementos usados para estender a funcionalidade
do núcleo do servidor, lidam com outras funções, como obter o ID do usuário da solicitação HTTP,
validar o usuário e autorizar o usuário. A figura abaixo descreve a arquitetura do servidor web Apache.
O núcleo do Apache consiste em vários componentes que possuem atividades específicas a serem executadas.
Figura 9.7: Arquitetura do servidor web Apache


Os elementos do núcleo do Apache são http_protocol, http_main, http_request, http_core, alloc e http_config.
ÿ http_protocol: Este elemento é responsável por gerenciar as rotinas. Ele interage com o cliente e lida com toda a
troca de dados e conexões de soquete entre o cliente e
servidor.
ÿ http_main: Este elemento lida com inicializações e tempos limite do servidor. Também é composto pelos principais
loop do servidor que espera pelas conexões e as aceita.
ÿ http_request: Este elemento controla o procedimento passo a passo seguido entre os módulos para concluir uma
solicitação do cliente e é responsável pelo tratamento de erros
ÿ http_core: Este elemento inclui um arquivo de cabeçalho que não é exigido pelo aplicativo
módulo
ÿ Alloc.c: Este elemento lida com a alocação de pools de recursos
ÿ http_config: Este elemento é responsável por ler e manipular arquivos de configuração. Uma das principais
tarefas do http_config é organizar todos os módulos, que o servidor chamará durante as várias fases do
tratamento da solicitação.
Conforme discutido, a arquitetura do servidor web Apache inclui vários módulos que se conectam ao núcleo Apache e
auxiliam no processamento de solicitações pelo núcleo. Para alterar ou estender a funcionalidade do servidor Apache e
atender ao propósito desejado, os desenvolvedores podem escrever novos módulos.
De acordo com o requisito de uma solicitação, determinados módulos serão chamados. Os módulos implementam a
funcionalidade desejada e encaminham a saída para o núcleo, que monta a saída usando o componente HTTP_REQUEST
para enviá-la a outro módulo para processamento ou devolvê-la ao cliente. Os módulos consistem em manipuladores,
que denotam funções específicas a serem executadas pelos módulos. Os módulos criam manipuladores específicos
sempre que uma solicitação é processada.


Registros do Servidor Web Apache
Servidor HTTP Apache Tipos de log do Apache Informações de registro do Apache
ÿ Apache HTTP Server é um servidor ÿ O servidor Apache gera dois ÿ Os logs do Apache fornecem informações
web que suporta muitos tipos de logs sobre atividades de aplicativos da
SOs, como Unix, GNU, web , como as seguintes:
FreeBSD, Linux, Solaris, ÿ Registro de acesso
ÿ Endereço IP do cliente
Novell NetWare, AmigaOS,
ÿ Log de erros
macOS, Microsoft ÿ Identificação da máquina cliente
Windows, OS/2 e TPF
ÿ ID do usuário do cliente
ÿ Tempo
ÿ Linha de solicitação do cliente
ÿ Código de estado
ÿ Tamanho do objeto devolvido ao

cliente
Registros do Servidor Web Apache
Servidor HTTP Apache
Apache HTTP Server é um servidor web que suporta muitos sistemas operacionais, como Unix, GNU, FreeBSD, Linux,
Solaris, Novell NetWare, AmigaOS, macOS, Microsoft Windows, OS/2 e TPF. Atualmente, ele pode funcionar em diferentes
sistemas operacionais, como Mac e Windows. Como é uma web multi-threaded
servidor, ele pode executar várias funções solicitadas pelos navegadores da Web do cliente e implementar várias tarefas
simultaneamente. Apache HTTP Server utiliza módulos e extensões para suportar vários ambientes.
Tipos de log do Apache
O servidor Apache gera os dois tipos de logs a seguir:
1. Log de acesso: geralmente registra todas as solicitações processadas pelo servidor web Apache
2. Log de erros: contém informações de diagnóstico e erros que o servidor enfrentou durante o processamento de
solicitações
A localização exata desses logs do Apache varia de acordo com o sistema operacional em uso. Os investigadores podem
verificar os seguintes locais para o arquivo de configuração do Apache para encontrar a localização exata dos arquivos de log:
ÿ RHEL/Red Hat/CentOS/Fedora Linux: /usr/local/etc/apache22/httpd.conf
ÿ Debian/Ubuntu Linux: /etc/apache2/apache2.conf
ÿ FreeBSD: /etc/httpd/conf/httpd.conf


Informações de registro do Apache
Durante auditorias e investigações forenses, os logs do Apache fornecem informações muito importantes sobre todas as operações
realizadas no servidor web. Essas informações incluem endereços IP do cliente, a identidade de uma máquina cliente, hora, ID do
usuário cliente, linha de solicitação de um cliente, código de status e o tamanho do objeto retornado ao cliente. Todas as informações
fornecidas pelos logs podem levar o investigador ao atacante.


Registros de acesso do Apache
Log de
Acesso ÿ Contém as requisições
processadas pelo servidor Apache
ÿ Os locais padrão dos logs de acesso
são os seguintes:
RHEL/Red Hat/CentOS/Fedora
Linux:
/var/log/httpd/access_log
Debian/Ubuntu Linux: /
var/log/apache2/access.log
FreeBSD Linux: /
var/log/httpd-access.log
Registros de acesso do Apache
Todas as requisições HTTP processadas pelo servidor Apache são registradas no log de acesso. Possui
um registro de cada requisição que passa pelo servidor. A diretiva LogFormat ajuda a selecionar o
conteúdo do log necessário.
A diretiva CustomLog define o local e o conteúdo do log de acesso. A diretiva CustomLog também
contém informações para configurar o servidor de forma que o servidor possa manter registros de log de
acesso. Os logs de acesso são armazenados no Common Log Format por padrão e são altamente
configuráveis.
Os locais padrão dos logs de acesso são os seguintes:
ÿ RHEL/Red Hat/CentOS/Fedora Linux: /var/log/httpd/access_log

ÿ Debian/Ubuntu Linux: /var/log/apache2/access.log
ÿ FreeBSD Linux: /var/log/httpd-access.log


Figura 9.8: Arquivo access.log do Apache


Analisando logs de acesso do Apache
Registro de acesso: formato de registro comum
"%h %l %u %t \"%r\" %>s %b"

Exemplo de uma entrada de arquivo de log de acesso do Apache conforme visualizado em um editor de texto:
Fragmento
Número aparecer como Descrição
Percentagem
1 (%h) 10.10.10.10 Endereço IP do host/cliente remoto
2 (%eu) – A informação solicitada não está disponível
3 (%no) jasão O ID do usuário
A hora e a data em que o servidor recebeu a

4 (%t) [17/ago/2019:00:12:34 +0300]
solicitação
"GET /images/content/bg_body_1.jpg HTTP/ A linha de solicitação do cliente, o método de solicitação

5 (\"%r\")
1.0" e o protocolo usado
6 (%>s) 500 O código de status HTTP
1458 Tamanho do objeto devolvido ao cliente em bytes

7 (%b)
Analisando logs de acesso do Apache (continuação)
Registro de acesso: Formato de registro
combinado "%h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-agent}i\""
Exemplo de uma entrada de arquivo de log de acesso do Apache no formato de log combinado conforme visualizado em um editor de texto:
Número aparece como Descrição

Porcentagem de sequência
"%h %l %u %t 10.10.10.10 – Jason [17/ago/2019:00:12:34

1 \"%r\" %>s %b"
+0300] "GET /images/content/bg_body_1.jpg Este formato se assemelha ao formato de log comum
HTTP/1.0" 500 1458
É o cabeçalho da requisição HTTP referenciador, que apresenta

2 (\"%{Refer}em\") http://www.abc.com/login.php o endereço da página anterior visitada pelo cliente que o
redirecionou para a página atual
é o cabeçalho de solicitação HTTP do agente do usuário que

"Mozilla/5.0 (x11; Ubuntu; Linux x86_64;
3 (\"%{User-agent}i\") fornece detalhes da plataforma, sistema e navegador sendo
rv:73.0) Gecko/20100101 Firefox/73.0”
usado pelo cliente
Analisando logs do Apache Access

Apache Access Log: formato de log comum
"%h %l %u %t \"%r\" %>s %b" é o formato de log de diretiva de porcentagem comum


Parâmetros
ÿ %h representa o endereço IP do cliente.
ÿ %l representa o nome do log remoto. O último retorna um traço, a menos que mod_ident esteja presente
e o IdentityCheck está ativado.
ÿ %u é o ID do usuário cliente.
ÿ %t representa a hora em que o servidor recebeu a requisição no seguinte formato:

[dia/mês/ano:hora:minuto:segunda zona].
ÿ \"%r\" indica os métodos usados para uma solicitação-resposta entre um cliente e um servidor, o recurso solicitado por
um cliente (apache_pb.gif) e o protocolo usado (HTTP/1.0).
ÿ %>s representa o código de status enviado pelo servidor ao cliente.
ÿ %b representa o tamanho do objeto transferido do servidor para o cliente.
Exemplo de uma entrada de log de acesso do Apache no formato de log comum:
10.10.10.10 - Jason [17/ ago/ 2019:00:12:34 +0300] "GET/ images/ content/ bg_body_1.jpg HTTP/ 1.0" 500 1458
Uma diretiva percent representa cada campo no log. Essas diretivas percentuais permitem que o servidor entenda quais
informações ele precisa registrar. Vamos mapear as diretivas percentuais com o formato de log real:
ÿ 10.10.10.10 (%h): Endereço IP do cliente/host remoto

ÿ
- (%l): O "hífen" aqui significa que a informação não está disponível. No exemplo apresentado acima, a identidade
do cliente não está disponível, o que é determinado por identd.
O Apache não tenta confirmar essas informações se o IdentityCheck não estiver ativado na máquina.
ÿ Jason (%u): ID de usuário da pessoa que enviou a solicitação
ÿ [17/ago/2019:00:12:34 +0300] (%t): A hora em que o servidor terminou de processar o

solicitar. +03 UTC representa o fuso horário da África Oriental
ÿ "GET /images/content/bg_body_1.jpg HTTP/1.0" (\"%r\"): O cliente usou o método de solicitação GET e solicitou o
recurso /images/content/bg_body_1.jpg. O cliente usou o protocolo HTTP/1.0
ÿ 500 (%>s): O código de status indica que a resposta foi bem-sucedida
ÿ 1458 (%b): O servidor retornou o objeto de tamanho 1458 bytes para o cliente
Existem muitos campos de log em um log de acesso do Apache, conforme indicado na tabela abaixo:
Campos de registro do Apache
%a – RemoteIPOrHost %r – Pedido %X - Status da Conexão
%A - LocalIPOrHost %>s - HttpStatusCode %(Refer)i - Refer

%b ou %B - Tamanho %t – hora do evento %(User-agent)i - UserAgent


%D – RequestTimeUs
%T – RequestTimeSeconds %(UNIQUE_ID)e - UniqueId
(microssegundos)
%(X-Encaminhado-Para)i -
%h - RemoteIPOrHost %u – RemoteUser
XForwardedFor
%k - KeepAliveRequests %U - URLPath %l - %(Host)i - Host
RemoteLogname %v - VirtualHost
Tabela 9.1: Campos de log disponíveis nos logs de acesso do Apache
Log de acesso do Apache: formato de log combinado
Outra string de formato é comumente usada nos logs de acesso do Apache. É chamado de Formato de Log Combinado
e sua sintaxe é a seguinte:
"%h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-agent}i\""
Exemplo de uma entrada de log de acesso do Apache no formato de log combinado
10.10.10.10 - Jason [17/ ago/ 2019:00:12:34 +0300] “GET / images/ content/ bg_body_1.jpg HTTP/ 1.0” 500 1458 http://
www.abc.com/ login.php " Mozilla/ 5.0 (x11; Ubuntu; Linux x86_64; rv:73.0) Gecko/ 20100101 Firefox/ 73.0”
Este formato se assemelha exatamente ao Common Log Format de acesso Apache, exceto por dois campos adicionais:
(\"%{Referer}i\") e (\"%{User-agent}i\")
ÿ http://www.abc.com/login.php(\"%{Referer}i\"): É o cabeçalho referenciador da requisição HTTP, que apresenta

o endereço da página web anterior visitada pelo cliente; esta página da web redirecionou o cliente para a página
da web atual. Essas informações ajudam o servidor Apache a identificar as páginas da Web que os clientes
estão visitando, que podem ser usadas posteriormente para fins de armazenamento em cache e registro.
ÿ "Mozilla/5.0 (x11; Ubuntu; Linux x86_64; rv:73.0) Gecko/20100101 Firefox/73.0”

(\"%{User-agent}i\"): É o cabeçalho da requisição HTTP user-agent, que apresenta detalhes sobre a plataforma,
sistema e navegador que está sendo utilizado pelo cliente.
Aqui, no exemplo, “Mozilla/5.0” indica que o navegador é compatível com Mozilla. "x11; Ubuntu; Linux x86_64" indica que
a plataforma utilizada é o Ubuntu Linux e "rv:73.0" indica a versão do Firefox. "Gecko/20100101" indica que o navegador
é baseado em Gecko e "Firefox/73.0" indica o navegador e a versão.


Apache
Registros de erros
Registro de erros
ÿ O servidor Apache salva informações de diagnóstico e

mensagens de erro encontradas durante o
processamento de solicitações nos logs de erro
ÿ Os locais padrão dos logs de erro são os seguintes: RHEL/

Red Hat/CentOS/Fedora Linux: /var/log/httpd/error_log
Debian/Ubuntu Linux: /var/log/apache2/error.log
FreeBSD: /var/log/httpd-error.log
Registros de erros do Apache
O log de erros do Apache é o local onde o servidor registra todos os erros ocorridos durante o processamento da solicitação do
cliente. O arquivo de log de erros é denominado error.log em sistemas operacionais Windows e error_log em sistemas
operacionais baseados em Unix.
A diretiva ErrorLog define a localização do log de erros. O arquivo de log contém dados pertencentes aos
problemas na inicialização e operação do servidor. Ele também armazena informações relacionadas ao
motivo do problema e as etapas envolvidas para resolvê-lo. Os investigadores devem usar comandos
Linux como grep, cat, gedit e vi para ler esses arquivos de log.
Os locais padrão dos logs de erros são os seguintes:
ÿ RHEL/Red Hat/CentOS/Fedora Linux: /var/log/httpd/error_log

ÿ Debian/Ubuntu Linux: /var/log/apache2/error.log
ÿ FreeBSD: /var/log/httpd-error.log


Figura 9.9: Arquivo error.log do Apache


Analisando logs de erro do Apache

Exemplo de entrada de log de erros do Apache conforme visualizado em um editor de texto
Data e hora do log 01 04 Endereço IP do cliente
Mensagem informando “Arquivo

Gravidade do erro 02 ` 05 não encontrado”
O objeto solicitado pelo cliente

ID do processo e ID do encadeamento 03 06
Analisando logs de erro do Apache
Exemplo de uma entrada de log de erros do Apache
[Qua 28 de agosto 13:35:38.878945 2020] [core:error] [pid 12356:tid 8689896234] [client 10.0.0.8] Arquivo não
encontrado: / images/ folder/ pic.jpg
A anatomia do log de erros do Apache acima é descrita abaixo:
ÿ Qua, 28 de agosto 13:35:38.878945 2020: Este é o primeiro elemento na entrada do log. Contém
o timestamp (dia, mês, data, hora e ano) do log.
ÿ core:error: O segundo elemento no log descreve o módulo que produz a mensagem.

Nesse caso, o núcleo do Apache está produzindo uma mensagem descrevendo o nível de segurança (erro).
ÿ pid 12356:tid 8689896234: O próximo elemento no log contém o ID do processo e seu

ID do tópico correspondente
ÿ cliente 10.0.0.8: O quarto elemento no log é o endereço do cliente a partir do qual o pedido
foi feito
ÿ Arquivo não encontrado: O quinto elemento do log mostra o estado do arquivo solicitado pelo cliente. Nesse
caso, o arquivo não foi encontrado. Portanto, o servidor exibiu uma mensagem de erro informando que o
arquivo não existe no servidor.
ÿ /images/folder/pic.jpg: O elemento final mostra o nome do arquivo e o caminho para o arquivo que
o cliente solicitou


Também pode haver outras mensagens geradas nos logs de erro do Apache, dependendo da gravidade dos erros,
conforme listado na tabela abaixo:
Gravidade Descrição Exemplo
emergir Emergências – o sistema está inutilizável “A criança não consegue abrir o arquivo de bloqueio. Saindo”
“getpwuid: não foi possível determinar o

alerta Ação imediata necessária
nome de usuário do uid”
“socket: Falha ao obter um socket, saindo do filho”

crítico Condições críticas
erro Condições de erro "Inicio prematuro dos cabeçalhos de script"
“processo filho 1234 não saiu, enviando outro SIGHUP”

avisar Condições de aviso
“httpd: pegou SIGBUS, tentando despejar núcleo em

perceber Condição normal, mas significativa
….”
informação Informativo “O servidor parece ocupado…”
depurar Mensagens de nível de depuração “abrindo arquivo de configuração…”
trace1-8 Rastrear mensagens “proxy: FTP:…”
Tabela 9.2: Mensagens de gravidade diferente geradas nos logs de erro do Apache
Deve-se notar aqui que o formato do arquivo de log de erros mostrado acima destina-se a servir como exemplo. Os
administradores podem alterar o formato dos arquivos de log de erros do Apache na configuração e especificar
quaisquer informações/valores adicionais a serem registrados.
Além disso, no caso de logs de erro, alguns itens de string de formato podem não gerar nenhuma saída.
Nesses casos, o log de erros do Apache omitiria todo o campo por padrão. Portanto, os investigadores devem examinar
cuidadosamente o arquivo de log de erros do Apache enquanto tentam entender qual conexão ou solicitação levou à
gravação de uma entrada de log de erro específica, qual campo ou campos foram omitidos e determinar os possíveis
motivos para tal omissão.


Fluxo do módulo
Entenda o IIS e o Apache

02 03 Investigando ataques na Web em
Entender Web
Formulários
Investigando ataques na Web em

Execute o Visualizador de eventos para visualizar os logs:
C:\> eventvwr.msc
Verifique se os seguintes eventos suspeitos ocorreram: ÿ O serviço
de log de eventos foi encerrado ÿ A proteção de arquivos do Windows

está inativa no sistema ÿ O serviço MS Telnet está em execução
Descubra se o sistema falhou em tentativas de login ou contas

bloqueadas


Investigando ataques da Web em Windows

Servidores (continuação)
Revise os compartilhamentos de arquivos para garantir sua finalidade:
C:\> net view <Endereço IP>
Verifique os usuários usando sessões abertas:

C:\> sessão de rede
Verifique se as sessões foram abertas com outros sistemas:

C:\> uso da rede
Analise no NetBIOS sobre a atividade TCP/IP:

C:\> nbtstat -S
Descubra se as portas TCP e UDP têm escuta incomum:

C:\>netstat –na
Investigando ataques da Web em Windows

Servidores (continuação)
Encontre tarefas agendadas e não agendadas no host local:

C:\> schtasks.exe
Verifique a criação de novas contas no grupo de administradores:

Iniciar -> Executar -> lusrmgr.msc -> OK
Verifique se algum processo inesperado está sendo executado em Tarefa

Gerente:
Iniciar -> Executar -> taskmgr -> OK
Verifique se há serviços de rede incomuns:
C:\> net start
Verifique o uso do espaço de arquivo para encontrar qualquer diminuição repentina no espaço livre:
C:\> você
Investigando ataques da Web em servidores baseados em Windows

Os invasores podem explorar vulnerabilidades nos sites hospedados em servidores baseados no Windows e realizar
ataques direcionados ao servidor da Web, como travessia de diretório, injeção de comando e ataques DoS.
Esta seção discute quais arquivos de log e outros componentes do sistema os investigadores podem verificar enquanto
procuram por ataques em servidores baseados no Windows.


Os sistemas operacionais Microsoft Windows têm 77,64% da participação no mercado global, de acordo com https:// www.statista.com.
Consequentemente, os desenvolvedores podem preferir usar servidores baseados no Windows para implantar aplicativos da web.
Devido ao seu amplo uso, esses sistemas operacionais e os aplicativos da Web hospedados em alguns desses sistemas operacionais
são o principal alvo dos invasores. Os invasores podem tentar explorar as vulnerabilidades em servidores baseados no Windows ou
aplicativos da Web e obter acesso não autorizado aos recursos.
Quando ocorre um ataque em um aplicativo da web, os investigadores examinam o ataque no servidor que hospeda o aplicativo da
web usando algumas das ferramentas e aplicativos embutidos de máquinas baseadas no Windows.
Os investigadores podem executar as seguintes etapas para procurar sinais de ataques da Web em sistemas baseados no Windows
servidores:
ÿ Execute o Visualizador de Eventos para visualizar os logs:
C:\> eventvwr.msc
ÿ Verifique se ocorreram os seguintes eventos suspeitos:
o O serviço de log de eventos terminou
o A proteção de arquivos do Windows está inativa no sistema
o O serviço MS Telnet está em execução
ÿ Descubra se o sistema falhou em tentativas de login ou contas bloqueadas
ÿ Revise os compartilhamentos de arquivos para garantir sua finalidade:
C:\> net view <Endereço IP>
ÿ Verifique os usuários usando sessões abertas:
C:\> sessão de rede
Figura 9.10: Executando o comando net session
ÿ Verifique se as sessões foram abertas com outros sistemas:
C:\> uso da rede


ÿ Analisar no NetBIOS sobre atividade TCP/IP:
C:\> nbtstat -S
ÿ Descubra se as portas TCP e UDP têm escuta incomum:
C:\>netstat –na
Figura 9.11: Executando o comando netstat -na
ÿ Encontre tarefas agendadas e não agendadas no host local:
C:\> schtasks.exe
ÿ Verifique a criação de novas contas no grupo administrador:
Iniciar -> Executar -> lusrmgr.msc -> OK

ÿ Verifique se algum processo inesperado está sendo executado no Gerenciador de Tarefas:
Iniciar -> Executar -> taskmgr -> OK

ÿ Verifique se há serviços de rede incomuns:
C:\> net start


Figura 9.12: Executando o comando net start
ÿ Verifique o uso do espaço de arquivo para encontrar qualquer diminuição repentina no espaço livre
C:\> você


Fluxo do módulo
Entenda o IIS e o Apache Investigando ataques na Web em

02 03 Servidores baseados em Windows
Entender Web
Formulários
Detecte e investigue vários ataques em aplicativos da Web

Alguns aplicativos da web têm a vulnerabilidade de processar a entrada do usuário sem validação adequada ou
métodos de sanitização, que os invasores podem explorar para lançar vários ataques. No caso de uma violação de
segurança, os investigadores devem examinar os arquivos de log gerados pelos servidores da Web, ferramentas
IDS e WAFs e procurar assinaturas de ataque. A análise de arquivos de log também pode ajudar os investigadores
a construir a cadeia de eventos que levaram ao ataque.
Esta seção discute como os investigadores podem detectar e analisar vários ataques a aplicativos da web.


Investigando o ataque Cross-Site Scripting (XSS)

ÿ Ataques XSS comuns usam tags HTML, como <script></script>, <IMG>, <INPUT> e <BODY>
codificação hexadecimal
ÿ Os invasores usam várias técnicas de Alternância entre maiúsculas e minúsculas
ofuscação para evitar a detecção por Comentário em linha Palavras-chave substituídas
firewalls de aplicativos e sistemas IDS/IPS

Codificação de caracteres Manipulação de espaço em branco
ÿ Por exemplo, todos os scripts abaixo têm o mesmo significado:

<script>alert(“XSS”)</script> <sCRipT>alert(“XSS”)</
ScRiPt>…..................... .............................(Alternar entre maiúsculas e minúsculas) %3cscript%3ealert(”XSS”)%3c/script%3e
>…..................................( codificação hexadecimal) %253cscript%253ealert(1)% 253c/script%253e…...............( Codificação dupla)
ÿ Os investigadores podem usar a pesquisa regex para encontrar tags HTML, outras palavras de assinatura XSS e seus equivalentes hexadecimais
em logs do servidor web, logs IDS, alertas de ferramentas SIEM, etc. para verificar ataques XSS
Investigando o ataque Cross-Site Scripting (XSS)
Nos ataques XSS, o invasor explora a vulnerabilidade em aplicativos da Web injetando scripts maliciosos, que são principalmente
JavaScript, HTML ou marcação CSS, nas páginas da Web exibidas no navegador do usuário. Ataques XSS comuns usam tags
HTML, como <script></script>, <IMG>, <INPUT> e <BODY>.
A implementação de firewalls, IDSs, IPSs, software antivírus etc. adequados dificulta a execução de ataques XSS pelos invasores,
pois eles precisam contornar esses mecanismos de segurança. Os invasores usam várias técnicas de ofuscação, conforme
indicado abaixo, para contornar esses mecanismos de segurança e realizar atividades maliciosas:
ÿ Codificação hexadecimal ÿ Alternar caso
ÿ Comentário em linha ÿ Palavras-chave substituídas
ÿ Codificação de caracteres ÿ Manipulação de espaço em branco
Por exemplo, todos os scripts abaixo têm o mesmo significado:
ÿ Script normal: <script>alert(“XSS”)</script>
ÿ Script com alternância entre maiúsculas e minúsculas: <sCRipT>alert(“XSS”)</ScRiPt>
ÿ Script codificado em hexadecimal: %3cscript%3ealert(”XSS”)%3c/script%3e>
ÿ Script duplamente codificado: %253cscript%253ealert(1)%253c/script%253e
Para detectar sinais de ataques XSS, os investigadores podem procurar tags HTML, outras palavras de assinatura XSS ou seus
equivalentes hexadecimais; como alternativa, eles podem usar a pesquisa regex para encontrá-los em logs do servidor da web,
alertas de IDS, informações de segurança e alertas de ferramentas de gerenciamento de eventos (SIEM), etc.


Investigando XSS: usando Regex para pesquisar strings XSS
A expressão regular abaixo verifica se há ataques que possam conter tags HTML de abertura e
fechamento (<>) com qualquer texto dentro, junto com seus equivalentes hexadecimais e duplos
Detecção de tentativa simples de XSS ÿ /

/((\%3C)|(\%253C)|<)((\%2F)|(\%252F)|\/)*[a
((\%3C)|<)((\%2F)|\/)*[a-z0-9\%]+((\%3E)|>)/ix
zA-Z0-9\%]+((\%3E) |(\%253E)|>)/ix
ÿ ((\%3C)|(\%253C)|<) - Verifica o colchete angular de abertura, ou seu equivalente
Detecção de tentativa XSS baseada em <img src=
hexadecimal ou hexadecimal duplamente codificado ÿ ((\%2F)|(\%252F)|\/) * -
ÿ /((\%3C)|<)((\%69)|i|(\%49))((\%6D)|m|(\%4D))(( \
Verifica a barra em uma tag de fechamento, ou seu equivalente hexadecimal ou
%67)|g| (\%47))[^\n]+((\%3E)|>)/I
hexadecimal codificado duplamente ÿ [a-zA-Z0-9\%]+ - Verifica strings
alfanuméricas maiúsculas e minúsculas dentro da tag representação hexadecimal
Detecção de tentativa de XSS baseada em tag HTML
ÿ /(javascript|vbscript|script|embed|object|iframe|fra
meset)/i
ÿ ((\%3E)|(\%253E)|>) - Verifica o colchete angular de fechamento ou seu equivalente

Detecção de todas as tentativas de XSS
hexadecimal ou hexadecimal com codificação dupla
ÿ /((\%3C)|<)[^\n]+((\%3E)|>)/I
Investigando XSS: usando Regex para pesquisar strings XSS
Quando um invasor executa um ataque XSS em uma página da Web dinâmica, ele pode criar um script que inclua tags
de formatação HTML, como <b> para negrito, <i> para itálico ou <u> para sublinhado.
Eles também podem usar tags de script, como <script>alert("OK")</script>.
Alguns invasores também podem usar mecanismos avançados para realizar um ataque XSS. Eles podem ocultar toda a
string emitindo seus equivalentes hexadecimais. Por exemplo, o equivalente hexadecimal de <script> é
%3C%73%63%72%69%70%74%3E.
ÿ Regex para detecção de ataque XSS simples
A expressão regular a seguir pode ser usada para detectar ataques XSS simples. Ele verifica os
colchetes angulares de abertura e fechamento de tags HTML contendo texto para que possa
capturar facilmente tags como <b>, <i> e <script>:
/((\%3C)|<)((\%2F)|\/)*[a-ZA-Z0-9\%]+((\%3E)|(\%253E)|>)/ix
Nesta assinatura:
o ((\%3C)|<): Procura por parênteses angulares de abertura ou seu equivalente hexadecimal
o ((\%2F)|\/)*: Procura a barra para uma tag de fechamento ou seu equivalente hexadecimal
o [a-zA-Z0-9\%]+: Procura por strings alfanuméricas maiúsculas e minúsculas dentro

a tag ou seu equivalente hexadecimal
o ((\%3E)|(\%253E)|>): Procura por parênteses angulares de fechamento ou seu equivalente hexadecimal
ÿ Regex para detectar ataque XSS "<img src"

/((\%3C)|<)((\%69)|i|(\%49))((\%6D)|m|(\%4D))((\%67)|g|( \%47))[^\ n]+((\%3E)|>)/I


Essa assinatura procura por tentativa de XSS baseada em "<img src". Nesta assinatura:
o (\%3C)|<): Procura o colchete angular de abertura ou seu equivalente hexadecimal
o (\%69)|i|(\%49))((\%6D)|m|(\%4D))((\%67)|g|(\%47): Procura o
letras "img" por meio de vários caracteres ASCII ou seus equivalentes hexadecimais
o [^\n]+: Procura qualquer caractere que não seja uma nova linha após o <img
o (\%3E)|>): Procura colchetes angulares de fechamento ou seu equivalente hexadecimal
ÿ Regex para tentativa de XSS baseada em tags HTML
/(javascript|vbscript|script|embed|object|iframe|frameset)/i
A assinatura acima procura por tags HTML, ataque XSS. Nessa assinatura, cada palavra-chave dentro dos
colchetes é separada por uma barra vertical ("|") representada por um OR.
ÿ Regex paranóico para ataques CSS
/((\%3C)|<)[^\n]+((\%3E)|>)/I
Essa assinatura procura os colchetes angulares de abertura, ou seu equivalente hexadecimal, seguidos por um
ou mais caracteres (exceto qualquer nova linha) e seguidos pelo colchete angular de fechamento ou seu
equivalente hexadecimal.


Examinando logs do Apache para ataque XSS

ÿ A entrada de log realçada no arquivo Apache access.log
mostra uma solicitação GET seguida por alguns valores codificados em
hexadecimal na string de consulta
ÿ Decodifique a string de consulta para determinar se ela contém tags

HTML maliciosas
Valor codificado em hexadecimal Caractere Decodificado
%3C <
%3E >
% 28 (
% 29 )
%2F /
ÿ A decodificação dos valores revela que o log está associado a

um ataque XSS
ÿ A análise detalhada do log forneceu as seguintes conclusões:
ÿ O ataque originou-se do IP 10.0.0.1 (1) 16 de junho de 2020 (2)
ÿ O script XSS malicioso %3Cscript%3Ealert%28XSS%29%3C%2Fscript%3E (4), que converte para <script>alert(XSS)</script> após a decodificação, foi injetado na página /
wordpress/wp- admin/admin.php?page=newsletters-subscribers (3) pelo atacante
ÿ Um código de status HTTP 200 (5) pode ser observado, indicando que o servidor de aplicativos da web processou a solicitação
ÿ A partir do exame de log, pode-se inferir que ocorreu um ataque XSS no aplicativo da web. Se este for um ataque XSS armazenado, este script obterá
armazenado no banco de dados de back-end e acionaria um pop-up de alerta com a mensagem “XSS” sempre que um usuário visitasse essa página da web.
Examinando logs do Apache para ataque XSS
Ao examinar as entradas do Apache access.log em busca de ataques XSS, os investigadores devem procurar tags
HTML maliciosas ou seus equivalentes hexadecimais em solicitações HTTP. É provável que o log de acesso do
Apache contenha várias solicitações registradas. Os investigadores, portanto, podem usar o comando grep para
filtrar logs de interesse. Depois que o ataque for confirmado, o investigador pode examinar outras partes do log para
coletar informações valiosas, como como e quando o ataque foi tentado, o site que foi alvo e se o ataque foi bem-
sucedido.
A entrada de log realçada no arquivo Apache access.log na figura abaixo mostra uma solicitação GET seguida por
alguns valores codificados em hexadecimal na string de consulta. Decodifique a string de consulta para determinar
se ela contém tags HTML maliciosas.


Figura 9.13: Examinando as entradas do log de acesso do Apache em busca de indicadores de ataque XSS
Valor codificado em hexadecimal Caractere Decodificado
%3C <
%3E >
% 28 (
% 29 )
%2F /
Tabela 9.3: Tabela de decodificação de scripts
Encontramos alguns valores codificados na string de consulta %3Cscript%3Ealert%28XSS%29%3C%2Fscript%3E,

que converte para <script>alert(XSS)</script> após a decodificação. A partir da análise, pode-se inferir que a entrada
de log está realmente associada a um ataque XSS.
A partir de uma análise detalhada da entrada de log mostrada acima, os seguintes detalhes podem ser obtidos:
ÿ O ataque teve origem no IP 10.0.0.1 (1) 16 de junho de 2020 (2)
ÿ O script XSS malicioso %3Cscript%3Ealert%28XSS%29%3C%2Fscript%3E (4) foi injetado na página /wordpress/

wp-admin/admin.php?page=newsletters-subscribers (3) pelo invasor
ÿ Um código de status HTTP 200 (5) pode ser observado, implicando que o servidor de aplicativos da web
processou o pedido
O exame da entrada de log sugere que esta foi uma tentativa de ataque XSS armazenada. Isso implica que o script XSS
malicioso é salvo no banco de dados de back-end e acionaria um pop-up informando “XSS” se algum usuário visitasse
essa página da web.


Examinando logs de alerta do Snort para ataque XSS
Histórico
Aqui, o Snort IDS gerou um alerta para uma tentativa de ataque XSS com os seguintes detalhes:
Endereço IP de origem/atacante: 192.168.0.233 Endereço IP de destino/alvo: 192.168.0.115
Porta de origem: 64580 Porta de destino: 80
Examinando logs de alerta do Snort para ataque XSS
O modo IDS do Snort usa métodos de inspeção baseados em regras para a detecção de ataques baseados na web.
Essas regras podem ser personalizadas de acordo com o ambiente operacional de qualquer empresa.
Os investigadores podem obter os seguintes detalhes de um alerta gerado pelo ataque Snort IDS para XSS:
ÿ Endereço IP do atacante/cliente
ÿ Porta de origem
ÿ Endereço IP do servidor
ÿ Porto de destino
Figura 9.14: Detectando uma tentativa de ataque XSS através do Snort IDS


Na figura acima, o Snort IDS gerou um alerta para uma tentativa de ataque XSS com os seguintes detalhes:
ÿ IP de Origem/Atacante: 192.168.0.233
ÿ Porta de Origem: 64580
ÿ IP de Destino/Alvo: 192.168.0.115
ÿ Porta de destino: 80


Examinando logs SIEM para ataque XSS

ÿ Aqui, um alerta disparado pelo Splunk coletado do Snort IDS mostra um ataque XSS com as seguintes informações:
o A data do ataque é 12 de dezembro de 2018 e a hora é 4h12
o O endereço IP do invasor é 10.10.10.2 usando a porta 1593
o O IP do servidor de destino é 10.10.10.20 usando a porta HTTP 80
XSSName
Histórico
Examinando logs SIEM para ataque XSS
Ao investigar ataques baseados na Web, como XSS, uma ferramenta SIEM como Splunk geralmente oferece um
bom começo para os investigadores, pois pode extrair quaisquer dados de log gerados por aplicativos, firewalls e
host para um local central.
As ferramentas SIEM também geram alertas se houver um problema de segurança ou qualquer atividade detectada
que vá contra os conjuntos de regras definidos. Isso facilita a tarefa de análise e coleta de evidências para os
investigadores. Ao usar uma ferramenta SIEM, os investigadores podem coletar dados de várias fontes de log, como
IDS, IIS, Apache e WAF, e analisá-los para detectar sinais de qualquer invasão em aplicativos da web.
Figura 9.15: Examinando um alerta acionado pelo Splunk em busca de sinais de ataque XSS


Na figura acima, um alerta disparado pelo Splunk coletado do Snort IDS mostra uma tentativa de ataque XSS com
as seguintes informações:
ÿ A data do ataque é 12 de Dezembro de 2018, e a hora são 4h12
ÿ O endereço IP do invasor é 10.10.10.2 usando a porta 1593
ÿ O IP do servidor de destino é 10.10.10.20 usando a porta HTTP 80


Investigando ataque de injeção de SQL

ÿ Procure por incidentes de ataque de injeção SQL em ÿ A assinatura do ataque de injeção SQL nos arquivos
os seguintes locais: de log do servidor Web pode ter a seguinte aparência:
ÿ Arquivos de log IDS ÿ 10:23:45 10.0.0.7 CABEÇA OBTER

/login.asp?username=blah' ou 1=1 –
ÿ Arquivos de log do servidor Web
ÿ Alertas acionados pelo SIEM ÿ 10:23:45 10.0.0.7 CABEÇA OBTER

/login.asp?username=blah' ou )1=1 (--
ÿ 10:23:45 10.0.0.7 CABEÇA OBTER

/login.asp?username=blah' or exec
master..xp_cmdshell 'net user test testpass --
Investigando ataque de injeção de SQL
Um investigador deve procurar incidentes de ataque de injeção de SQL nas seguintes fontes:
ÿ Arquivos de log IDS
Os logs IDS permitem que os administradores do sistema identifiquem quaisquer invasões bem-sucedidas. Os
logs gerados podem ajudar a identificar tendências e padrões de ataque. A análise desses padrões pode
permitir que os investigadores encontrem vulnerabilidades de segurança e preparem um plano para mitigá-las.
Além disso, o exame dos logs de IDS fornece informações relacionadas a qualquer possível vulnerabilidade de
segurança, descuidos de política ou qualquer sistema host ou rede em que os controles de segurança
adequados não tenham sido implementados.
ÿ Arquivos de log do servidor Web
Os logs do servidor Web fornecem informações sobre como, por quem e quando as páginas e aplicativos de
um site estão sendo acessados. Cada servidor web gera arquivos de log que mantêm um registro de acesso a
uma página ou gráfico HTML específico.
Uma assinatura de ataque específica de injeção de SQL em um arquivo de log pode ter a seguinte aparência:
ÿ 10:23:45 10.0.0.7 HEAD GET / login.asp?username=blah' ou 1=1 –
ÿ 10:23:45 10.0.0.7 HEAD GET / login.asp?username=blah' ou )1=1 (--
ÿ 10:23:45 10.0.0.7 HEAD GET / login.asp?username=blah' ou exec

master..xp_cmdshell 'net user test testpass --


Métodos de ofuscação usados no ataque de injeção SQL
Os invasores usam vários métodos de ofuscação para contornar os mecanismos de segurança nos sites. Algumas das técnicas
são discutidas abaixo:
ÿ Comentário em linha: os invasores usam comentários em linha no meio das sequências de ataque para ignorar
mecanismos de segurança.
Código com comentário embutido:
http:// www.bank.com/ accounts.php?id=/ *!union*/ +/ *!select*/ +1,2,concat(/ *!table_na me*/)+FrOm/ *!information_schema

*/.tables/ *!WhErE*/ +/ *!TaBlE_sChEMa*/ +like+dat abase()--
ÿ Codificação de caracteres /codificação dupla: Alguns WAFs decodificam entradas codificadas em hexadecimal e as filtram,
evitando um ataque. Para contorná-los, os invasores podem codificar duas vezes a entrada.
Código com codificação de caracteres:
http:// www.bank.com/ accounts.php?id=1%252f%252a*/ union%252f%252a/ select%252 f%252a*/ 1,2,3%252f%252a*/

from% 252f%252a*/ usuários--
ÿ Alternância entre maiúsculas e minúsculas: alguns aplicativos bloqueiam palavras-chave SQL em minúsculas. Nesse caso, os atacantes
use o código escrito em maiúsculas e minúsculas alternadas para ignorar esse mecanismo de segurança.
Alguns firewalls contêm o filtro de expressão regular (regex) /union\select/g. Portanto, eles podem filtrar códigos
suspeitos escritos em letras minúsculas.
Código com caixa alternada:
http:// www.bank.com/ accounts.php?id=1+UnioN/ **/ SeLecT/ **/ 1,2,3--
ÿ Palavras-chave substituídas: alguns aplicativos e WAFs usam preg_replace para remover todas as palavras-chave SQL.
Portanto, os invasores usam a seguinte técnica de codificação para ignorar os WAFs.
Código com palavras-chave substituídas:
http:// www.bank.com/ accounts.php?id=1+UNunionION+SEselectLECT+1,2,3--
ÿ Manipulação de espaço em branco: Conforme explicado acima, quando os invasores substituem palavras-chave, alguns
WAFs podem substituir as palavras-chave por espaço em branco. Nesses casos, os invasores usam "%0b" para eliminar
o espaço e contornar os firewalls.
Código com manipulação de espaço em branco:
http:// www.bank.com/ accounts.php?id=1+uni%0bon+se%0blect+1,2,3--


Investigando o ataque de injeção de SQL: usando Regex

ÿ Os investigadores devem realizar a pesquisa regex nos arquivos de log para procurar a presença de metacaracteres específicos do SQL, como aspas simples
('), o traço duplo (--), o sinal de igual (=) e o ponto e vírgula (;) bem como seus equivalentes hexadecimais na tentativa de identificar ataques de injeção de SQL
Expressão regular para detectar metacaracteres SQL:
/(\%27)|(\')|(\-\-)|(\%23)|(#)/ix
Expressão regular modificada para detectar metacaracteres SQL:
/((\%3D)|(=))[^\n]*((\%27)|(\')|(\-\-)|(\%3B)|(;))/i
Expressão regular para detectar um ataque típico de injeção de SQL:
/\w*((\%27)|(\'))((\%6F)|o|(\%4F))((\%72)|r|(\%52))/ix
Expressão regular para detecção de injeção SQL com a palavra-chave UNION:
/((\%27)|(\'))união/ix
Expressão regular para detectar ataque de injeção SQL em um servidor MSSQL:
/exec(\s|\+)+(s|x)p\w+/ix
Investigando o ataque de injeção de SQL: usando Regex
Os investigadores podem usar expressões regulares específicas para detectar ataques de injeção de SQL. Para
examinar com êxito um ataque de injeção de SQL, eles devem identificar todos os tipos de metacaracteres usados
em uma consulta SQL, como ponto-e-vírgula, traço duplo, aspas simples e sinal de menos duplo, bem como seus
equivalentes hexadecimais. Portanto, é necessário avaliar esses metacaracteres específicos do SQL ao compor
expressões regulares. Essas expressões regulares devem ser usadas para enquadrar as regras de assinatura do
Snort e definir alertas SIEM para a detecção de ataques de injeção de SQL.
As seguintes expressões regulares podem ser usadas para pesquisar metacaracteres específicos do SQL e seus
equivalentes hexadecimais:
ÿ Regex para detectar metacaracteres SQL

/(\%27)|(\')|(\-\-)|(\%23)|(#)/ix
Essa assinatura procura por metacaracteres SQL. Ele primeiro procura as aspas simples ('), seu equivalente
hexadecimal ou o traço duplo (--). Ele não procurará o equivalente hexadecimal do traço duplo, pois não
pertence ao metacaractere HTML e não pode ser codificado pelo navegador. No caso de bancos de dados
MySQL, esta assinatura também procura pelo caractere “#” ou seu equivalente hexadecimal.
ÿ Regex (modificado) para detecção de metacaracteres SQL

/((\%3D)|(=))[^\n]*((\%27)|(\')|(\-\-)|(\%3B)|(;))/i
Essa assinatura procura tentativas de injeção de SQL baseadas em erro. Ele primeiro procura o caractere
“=” ou seu equivalente hexadecimal (%3D). Posteriormente, ele procura por zero ou mais caracteres que
não sejam de nova linha e, finalmente, procura por aspas simples, hífens duplos ou ponto-e-vírgula.


ÿ Regex para Ataque Típico de Injeção de SQL
/\w*((\%27)|(\'))((\%6F)|o|(\%4F))((\%72)|r|(\%52))/ix
Essa assinatura procura uma string que comece com um valor alfanumérico constante, seguido por aspas simples e,
em seguida, a palavra “ou”. Por exemplo, ele detecta a string “1'or2>1--.”.
Os componentes da assinatura acima são explicados abaixo:
o \w*: Busca por zero ou mais caracteres alfanuméricos ou sublinhado.
o (\%27)|\': Procura pelo caractere (') ou aspas simples ou seu valor hexadecimal.
o (\%6F)|o|(\%4F))((\%72)|r|(\%52): Busca a palavra “ou” com várias combinações de seus valores hexadecimais
(ambos maiúsculos e combinações de letras minúsculas).
ÿ Regex para detecção de SQL Injection com a palavra-chave UNION
/((\%27)|(\'))união/ix
Esta assinatura procura por uma tentativa de injeção de SQL baseada em união onde:
o (\%27)|(\'): Pesquisa as aspas simples e seu equivalente hexadecimal.
o união: Busca pela palavra-chave “união”. Outras palavras-chave SQL, como “selecionar”, “inserir”, “atualizar” e
“excluir”, também podem ser usadas além de “união”: /((\%27)|(\'))(selecionar| união|inserir|atualizar|excluir|
substituir|truncar/dr op)/ix
ÿ Regex para detectar ataques de injeção de SQL em um MS SQL Server
/exec(\s|\+)+(s|x)p\w+/ix
Esta assinatura procura uma tentativa de injeção de SQL em um servidor MS SQL. Seus componentes são explicados
a seguir:
o exec: Procura a palavra-chave para executar um procedimento armazenado ou estendido.
o (\s|\+)+: Pesquisa espaços em branco ou seus valores codificados em HTTP.
o (s|x)p: Pesquisa as letras “sp” ou “xp” (representando procedimentos armazenados ou estendidos,

respectivamente).
o \w+: Pesquisa por pelo menos um caractere alfanumérico ou sublinhado


Examinando logs do IIS para SQL

Ataque de Injeção
A solicitação GET na entrada de log do IIS destacada contém
alguns metacaracteres SQL, alguns dos quais são codificados
Com os caracteres decodificados, a consulta Id=ORD

'
001%27%20or%201=1;-- traduz para Id=ORD-001 indica ou 1=1;-- qual
um ataque de injeção SQL
Uma análise detalhada do log do IIS forneceu as seguintes informações:
O ataque foi realizado a partir de uma máquina Linux (5) usando

o IP 10.10.10.55 (4) em 13 de dezembro de 2019 (1)
O invasor fez login no site www.luxurytreats.com hospedado no servidor IP

10.10.10.12 (2) com o nome de usuário bob e inseriu a consulta SQL
'
maliciosa ou 1=1;-- na página de detalhes do pedido (3)
Um código de status HTTP 200 (6) significa que o servidor de aplicativos da

Web processou essa solicitação, permitindo que o invasor ignore a autenticação
e acesse dados confidenciais relacionados a pedidos do banco de dados
Examinando logs do IIS para ataque de injeção de SQL
Durante a investigação de ataques de injeção de SQL em sites hospedados em servidores baseados no

Windows, os investigadores podem examinar as entradas armazenadas nos logs do IIS e procurar
metacaracteres específicos do SQL. Se uma entrada de log mostrar a injeção de qualquer comando SQL
malicioso na linha de solicitação HTTP, os investigadores forenses devem restringir a pesquisa para obter
o endereço IP do qual o ataque foi tentado, o IP do host e outras informações associadas ao ataque para
obter mais informações. análise.
A solicitação GET na entrada de log do IIS destacada na figura abaixo contém alguns metacaracteres
SQL, alguns dos quais são codificados.
Figura 9.16: Examinando uma entrada de log do IIS em busca de indicadores de ataque de injeção de SQL
Com os caracteres decodificados, a consulta Id=ORD-001%27%20or%201=1;-- traduz para Id=ORD 001

'
ou 1=1;-- que indica um ataque de injeção de SQL.


Uma análise detalhada do log do IIS forneceu as seguintes informações:
ÿ O ataque foi realizado a partir de uma máquina Linux (5) usando o IP 10.10.10.55 (4) em 13 de dezembro
de 2019 (1)
ÿ O invasor fez login no site www.luxurytreats.com hospedado no servidor IP 10.10.10.12 (2) com o nome
' (3)
de usuário bob e inseriu a consulta SQL maliciosa ou 1=1;-- na página de detalhes do pedido
ÿ Um código de status HTTP 200 (6) significa que o servidor de aplicativos da web processou essa
solicitação, permitindo que o invasor ignore a autenticação e acesse dados confidenciais relacionados
a pedidos do banco de dados


Examinando logs de alerta do Snort para ataque de injeção de SQL
ÿ Na captura de tela acima, você

pode ver que o Snort Endereço IP do atacante: 192.168.0.233 Endereço IP do servidor: 192.168.0.115
gerou um alerta para uma

tentativa de ataque de injeção
de SQL com os seguintes detalhes:
Porta de origem: 64580 Porta de destino: 80
Examinando logs de alerta do Snort para ataque de injeção de SQL
Definir regras no Snort IDS específicas para a vulnerabilidade de injeção de SQL geraria um alerta sempre que um ataque
fosse detectado. Uma vez localizado o IP de origem/ataque, os investigadores podem verificar outros arquivos de log e
ferramentas de segurança para reunir mais evidências sobre o ataque.
Figura 9.17: Examinando os logs de alerta do Snort em busca de indicadores de ataque de injeção de SQL
As entradas de log do Snort IDS na figura acima mostram três tentativas de injeção SQL do IP 192.168.0.233. Também inclui
outras informações, como as seguintes:
ÿ Endereço IP do atacante: 192.168.0.233
ÿ Porta de Origem: 64580
ÿ Endereço IP do servidor: 192.168.0.115
ÿ Porta de destino: 80


Examinando logs SIEM para SQL

Ataque de Injeção
ÿ Aqui, um alerta acionado pelo Splunk proveniente do log do IIS mostra uma tentativa de ataque de injeção de SQL como
resultado da consulta de pesquisa (1) com os seguintes detalhes:
ÿ O ataque ocorreu em 11 de dezembro de 2019 (2) do IP 10.10.10.55 (5)

ÿ O invasor usou o navegador Firebox em uma máquina Linux (4) e enviou a consulta SQL maliciosa '
ou 1=1-- (3) para realizar o ataque
Examinando logs SIEM para ataque de injeção de SQL
As ferramentas SIEM, como o Splunk, podem ajudar os investigadores a coletar e examinar dados que indicam
um ataque de injeção SQL de várias fontes de log, como logs IDS, IIS, WAF e Apache, e protegê-los como
evidência para usá-los posteriormente para análise posterior.
Figura 9.18: Examinando uma consulta de pesquisa SIEM e alerta para indicadores de ataque de injeção SQL
A figura acima mostra um evento acionado pelo Splunk que indica uma tentativa de injeção de SQL. A fonte de
log usada aqui é um log do IIS. Este resultado foi extraído em resposta a uma consulta de pesquisa que
especifica o tipo de origem, bem como a expressão regex para a detecção de ataques de injeção de SQL (1).


Outros detalhes coletados do exame do evento Splunk são os seguintes
ÿ Data e hora do ataque: 11 de Dezembro de 2019 às 18:37:31 (2)

'
ÿ Consulta SQL maliciosa executada:ou 1=1;-- (3)
ÿ SO e navegador do atacante: Linux, Firefox (4)
ÿ Endereço IP do atacante: 10.10.10.55 (5)


Resumo do Módulo
Este módulo discutiu os fundamentos forenses de aplicativos da web
Ele discutiu os Logs do Internet Information Services (IIS) e

Registros do servidor web Apache
Ele também discutiu em detalhes a investigação de ataques da Web

em servidores baseados no Windows
Este módulo também discutiu a identificação de indicadores de

comprometimento (IoCs) de logs de rede
Finalmente, este módulo terminou com uma discussão detalhada sobre detecção e
investigação de vários ataques em aplicativos da web
No próximo módulo, discutiremos em detalhes a análise forense da dark web
Resumo do Módulo
Este módulo discutiu os fundamentos da análise forense de aplicativos da web. Ele discutiu logs do Internet Information
Services (IIS) e logs do servidor web Apache. Além disso, discutiu em detalhes a investigação de ataques na web em
servidores baseados em Windows. Este módulo também detalhou a identificação de indicadores de comprometimento
(IoCs) de logs de rede. Finalmente, este módulo apresentou uma discussão detalhada sobre a detecção e investigação de
vários ataques em aplicativos da web.
No próximo módulo, discutiremos detalhadamente a análise forense da dark web.

MT
EC-Council
CE-Conselho
D FE
Digital
Digital
Módulo 10
Análise forense da Dark Web

Forense da Dark Web
1 Entendendo a Dark Web
2 Entendendo como identificar os vestígios do

navegador Tor durante a investigação
3 Compreendendo a análise forense do navegador Tor
4 Visão geral da coleta e análise de memória

Lixões
A web como três camadas: a web superficial, a deep web e a dark web. Enquanto a web superficial e a deep web
são usadas para fins legítimos, a dark web é usada principalmente por criminosos cibernéticos para perpetrar
atividades nefastas/antissociais. O acesso à dark web requer o uso do navegador Tor, que fornece aos usuários um
alto nível de anonimato por meio de um mecanismo complexo, permitindo assim que os criminosos escondam suas
identidades.
Este módulo descreve os fundamentos da análise forense da dark web, descreve o funcionamento do navegador Tor
e discute as etapas para realizar a investigação forense do navegador Tor.
ÿ Entenda a dark web
ÿ Determinar como identificar os rastros do navegador Tor durante a investigação
ÿ Executar análise forense do navegador Tor
ÿ Coletar e analisar despejos de memória


Forense da Dark Web
Fluxo do módulo
1 Entenda a Dark Web
Entenda a Dark Web

2 forense
Execute o navegador Tor

3 forense
Entenda a Dark Web

A dark web refere-se à última e mais inferior camada da web, que não é indexada pelos mecanismos de busca; portanto,
seu conteúdo permanece oculto de navegadores e usuários normais. O acesso à dark web exige que os indivíduos
usem navegadores especiais, como o Tor, que fornecem anonimato aos usuários e mantêm seus dados seguros.
Devido ao anonimato permitido aos usuários da dark web, os criminosos usam a dark web para realizar uma ampla
gama de atividades ilegais.
Esta seção descreve os fundamentos da dark web e discute as características da rede Tor.


Forense da Dark Web
Entendendo a Dark Web

Diferentes camadas da Internet
Web de superfície Rede profunda Dark Web
É a parte visível da web e contém A deep web só pode ser acessada por um É uma parte invisível ou oculta da web
conteúdo que pode ser acessado por usuário autorizado com um nome de que requer navegadores específicos,
mecanismos de busca como Google e usuário válido , senha, etc. Inclui conteúdos como o navegador Tor para
Yahoo como documentos legais, registros Acesso; tais navegadores protegem o
financeiros, relatórios governamentais e anonimato dos usuários
informações de assinatura.
Entendendo a Dark Web
No que diz respeito à acessibilidade do conteúdo, a web é dividida nas três camadas a seguir:
1. Superfície Web
Como a camada superior, a superfície da Web armazena conteúdo que pode ser acessado e indexado por
mecanismos de pesquisa como Google, Yahoo e Bing. Sites públicos como Wikipedia, eBay, Facebook e
YouTube podem ser facilmente acessados a partir da superfície da web.
A banda de superfície compreende apenas 4% de toda a banda.
2. Deep Web
Esta camada da web não pode ser acessada por usuários normais porque seu conteúdo não é indexado
pelos mecanismos de busca. O conteúdo da deep web só pode ser acessado por um usuário com a devida
autorização. As informações contidas na deep web podem incluir dados militares, dados confidenciais de
organizações, dossiês legais, registros financeiros, registros médicos, registros de departamentos
governamentais e informações de assinatura
3. Web escura
Esta é a terceira e a camada mais profunda da web. É uma parte invisível ou oculta da web que requer
navegadores específicos, como o navegador Tor, para acessar; tais navegadores protegem o anonimato
dos usuários. É usado para realizar atividades ilegais e anti-sociais. A dark web não é indexada pelos
mecanismos de busca e permite total anonimato aos seus usuários por meio de criptografia. Criminosos
cibernéticos usam a dark web para realizar atividades nefastas, como tráfico de drogas, campanhas
antissociais e uso de criptomoedas para transações ilegais.


Forense da Dark Web
Relés Tor
ÿ Tor relays também são referidos como roteadores ou nós através dos quais o tráfego passa
Para maior segurança, o circuito Tor é projetado para ter os

seguintes três tipos de relés:
relé de entrada Relé Médio relé de saída
Ao estabelecer uma Aqui, os dados são Os dados são enviados para
rede Tor, o transferidos em um os servidores de

usuário se conecta a modo criptografado destino através
o nó de entrada, a deste nó. Assim, o
partir do qual o nó de saída é visto
endereço IP do usuário como a origem do
pode ser visto tráfego, ocultando a
identidade original do
usuário.
Relés Tor
A rede Tor tem três relés: um relé de entrada/guarda, um relé intermediário e um relé de saída. Esses relés também
são chamados de nós ou roteadores e permitem que o tráfego de rede passe por eles.
1. Relé de entrada/guarda
Este relé fornece um ponto de entrada para a rede Tor. Ao tentar conectar através do relé de entrada, o
endereço IP do cliente pode ser lido. O relé de entrada/nó de guarda transmite os dados do cliente para o nó
do meio.
2. Relé do Meio
O relé intermediário é usado para a transmissão de dados em um formato criptografado. Ele recebe os dados
do cliente do relé de entrada e os passa para o relé de saída.
3. Relé de saída
Como o retransmissor final do circuito Tor, o retransmissor de saída recebe os dados do cliente do
retransmissor intermediário e os envia para o servidor do site de destino. O endereço IP do relé de saída é
diretamente visível para o destino. Portanto, no caso de transmissão de tráfego malicioso, o relé de saída é
suspeito de ser o culpado, pois é percebido como a origem desse tráfego malicioso. Assim, o retransmissor
de saída enfrenta maior exposição a questões legais, avisos de retirada, reclamações etc., mesmo quando
não é a origem do tráfego malicioso.
Nota: Todos os retransmissores acima da rede Tor estão listados na lista pública de retransmissores Tor.


Forense da Dark Web
Funcionamento do navegador Tor

ÿ O navegador Tor é baseado no navegador Firefox da Mozilla e funciona com o conceito de roteamento de cebola
ÿ No roteamento cebola, o tráfego é criptografado e passado por diferentes relés presentes no circuito Tor.
Essa conexão criptografada em várias camadas torna a identidade do usuário anônima.
ÿ O navegador Tor fornece acesso a sites .onion disponíveis na dark web

ÿ O protocolo de serviço oculto do Tor permite que os usuários hospedem sites anonimamente com domínios .BIT e estes
sites só podem ser acessados por usuários na rede Tor
Tráfego não criptografado

Usuário/Origem relé de entrada
Tráfego criptografado
Meio Meio Meio

Retransmissão Retransmissão Retransmissão
Destino
relé de saída
Servidor
Funcionamento do navegador Tor

O navegador Tor é baseado no navegador Firefox da Mozilla. Esse navegador funciona com base na
técnica de “roteamento de cebola”, na qual os dados do usuário são primeiro criptografados com várias
camadas semelhantes às camadas de uma cebola; posteriormente, os dados são enviados através dos
diferentes relés da rede Tor. Quando os dados do usuário com criptografia multicamada passam pelos
diferentes retransmissores da rede Tor, uma camada da criptografia sobre os dados é descriptografada
em cada retransmissão sucessiva. Quando os dados atingem o último relé na rede Tor, ou seja, o relé de
saída, a camada final da criptografia é removida, após o que os dados chegam ao servidor de destino.
O servidor de destino percebe o último relé da rede Tor, ou seja, o relé de saída, como a origem dos
dados. Portanto, na rede Tor, é extremamente difícil identificar a origem dos dados por meio de qualquer
sistema de vigilância. Assim, o navegador Tor mantém os dados do usuário e informações sobre sites e
servidores seguros e anônimos.
O navegador Tor fornece acesso a sites .onion disponíveis na dark web. O protocolo de serviço oculto do
Tor permite que os usuários hospedem sites anonimamente com domínios .BIT e esses sites só podem
ser acessados por usuários na rede Tor.
Figura 10.1: Estrutura de trabalho da rede Tor


Forense da Dark Web
ÿ Os nós de retransmissão do Tor estão disponíveis publicamente na lista de diretórios,

mas o nó de ponte é diferente dos nós de retransmissão
ÿ Os nós de ponte atuam como um proxy para a rede Tor, o que implica que
Ponte Tor eles seguem diferentes configurações para encaminhar o tráfego para o nó
de entrada
Nó ÿ Isso torna difícil para organizações ou governos censurar
uso do Tor e listar os nós de ponte no diretório público de nós do Tor
Tráfego não criptografado
Usuário/Origem Nó da Ponte
Tráfego criptografado
relé de entrada
Meio Meio Meio

Retransmissão Retransmissão Retransmissão
Destino
relé de saída
Servidor
Nó da Ponte Tor
Os nós de retransmissão do Tor estão disponíveis publicamente na lista de diretórios, mas o nó de ponte é
diferente dos nós de retransmissão. Os nós de ponte são nós que não são publicados ou listados no diretório
público de nós do Tor.
Vários nós de entrada e saída da rede Tor são listados publicamente e acessíveis na Internet; conseqüentemente,
eles podem ser bloqueados por organizações/governos, caso desejem proibir o uso do Tor. Em muitos países
autoritários, governos, provedores de serviços de Internet (ISPs) e organizações corporativas proíbem o uso da
rede Tor. Em tais cenários, onde o uso da rede Tor é restrito, os nós de ponte ajudam a contornar as restrições
e permitem que os usuários acessem a rede Tor.
O uso de nós de ponte torna difícil para governos, organizações e ISPs censurar o uso da rede Tor.
Como os Bridge Nodes ajudam a contornar as restrições na rede Tor
Os nós de ponte existem como proxies na rede Tor, e nem todos eles são listados publicamente no diretório de
nós do Tor; vários nós de ponte estão ocultos/ocultos. Portanto, ISPs, organizações e governos não podem
detectar seus endereços IP ou bloqueá-los. Mesmo que os ISPs e as organizações detectem alguns dos nós de
ponte e os censurem, os usuários podem simplesmente mudar para outros nós de ponte.
Um usuário Tor transmite o tráfego para o nó de ponte, que o transmite para um nó de guarda conforme
selecionado pelo usuário. A comunicação com um servidor remoto ocorre normalmente; entretanto, um nó extra
de transmissão está envolvido, ou seja, o nó ponte. O uso de nós de ponte ocultos como proxies ajuda os
usuários a contornar as restrições impostas à rede Tor.


Forense da Dark Web
Figura 10.2: Funcionalidade do Tor Bridge Node


Forense da Dark Web
Fluxo do módulo
Entenda a Dark Web

2 forense

3 forense
Entenda a análise forense da Dark Web

Embora o navegador Tor forneça anonimato a seus usuários, os artefatos pertencentes às atividades
realizadas nele residem na RAM do sistema, desde que o sistema não seja desligado. Os investigadores
podem adquirir um despejo de RAM da máquina suspeita ao vivo para identificar e analisar os artefatos
pertencentes ao uso malicioso do navegador Tor. Se o navegador Tor foi usado em um sistema Windows,
os investigadores também podem identificar e analisar artefatos pertencentes ao navegador Tor que são
registrados no Registro do Windows e na pasta de pré-busca.
Esta seção explica como identificar os rastros do navegador Tor durante uma investigação forense.


Forense da Dark Web
Forense da Dark Web
ÿ Dark web forense envolve a identificação e investigação de atividades ilícitas na dark web realizadas
por invasores/usuários mal-intencionados
ÿ Para investigar as atividades maliciosas realizadas usando o navegador Tor, o investigador deve obter despejos de
memória da máquina suspeita e examiná-los para extrair informações valiosas, como sites visitados, e-mails acessados,
etc.
Forense da Dark Web
A análise forense da dark web refere-se à investigação de atividades ilegais e antissociais perpetradas na
dark web por usuários mal-intencionados. Exemplos de atividades ilegais e antissociais na dark web
incluem tráfico de drogas; fraude relacionada a cartões de crédito, informações bancárias e financeiras de
indivíduos e terrorismo.
A dark web é acessada por meio do navegador Tor, pois mantém os dados do usuário seguros e anônimos,
tornando a investigação de crimes na dark web uma tarefa extremamente desafiadora para os
investigadores forenses.
Para investigar crimes cibernéticos perpetrados usando o navegador Tor, os investigadores forenses
devem coletar despejos de RAM da máquina suspeita e estudá-los para determinar as atividades maliciosas
realizadas usando o navegador Tor, incluindo sites visitados, e-mails acessados e programas baixados.


Forense da Dark Web
Identificando artefatos do navegador Tor: prompt de comando

ÿ Quando o navegador Tor é instalado em uma máquina Windows, ele usa a porta 9150/9151 para estabelecer conexão
através de nós do Tor
ÿ Quando os investigadores testarem as conexões de rede ativas na máquina usando o comando netstat -ano, eles
poderão identificar se o Tor foi usado na máquina
O estado das conexões ativas é escuta/ O estado das conexões ativas é TIME_WAIT , o que
Estabelecido significa que o navegador está aberto significa que o navegador está fechado
Identificando artefatos do navegador Tor: prompt de comando

Quando o navegador Tor é instalado em uma máquina Windows, ele usa a porta 9150/9151
para estabelecer conexão via nós Tor. Quando os investigadores testarem as conexões de
rede ativas na máquina usando o comando netstat -ano, eles poderão identificar se o Tor
foi usado na máquina.
Figura 10.3: O estado das conexões ativas está escutando/estabelecido, o que significa que o navegador Tor está aberto


Forense da Dark Web
Figura 10.4: O estado das conexões ativas é TIME_WAIT, o que significa que o navegador Tor está fechado


Forense da Dark Web
Identificando artefatos do navegador Tor: Registro do Windows
ÿ Quando o navegador Tor é instalado

em uma máquina Windows, a
atividade do usuário é registrada no

Windows
Registro
ÿ Os investigadores forenses podem obter

o caminho de onde o navegador
TOR é executado no seguinte
Chave do registro:
HKEY_USERS\<SID>\SOFTWA
RE\Mozilla\Firefox\Launcher
Identificando artefatos do navegador Tor:

Registro do Windows (continuação)
Extraia a última data e hora de execução do navegador Tor:
ÿ Em uma máquina suspeita, o investigador analisa o arquivo 'State' localizado

no caminho onde o navegador Tor foi executado
ÿ O diretório do arquivo State na pasta do navegador Tor é
\Tor Browser\Browser\TorBrowser\Data\Tor\
Identificando artefatos do navegador Tor: Registro do Windows

Quando o navegador Tor é instalado em uma máquina Windows, a atividade do usuário é registrada
no Registro do Windows. Investigadores forenses podem obter o caminho de onde o navegador
TOR é executado na seguinte chave do Registro:
HKEY_USERS\<SID>\SOFTWARE\Mozilla\Firefox\Launcher


Forense da Dark Web
Figura 10.5: Artefatos do navegador Tor no registro do Windows
Extraindo a data e hora da última execução do navegador Tor

Em uma máquina suspeita, o investigador analisa o arquivo 'State' localizado no caminho onde o
navegador Tor foi executado. O diretório do arquivo State na pasta do navegador Tor é \Tor
Browser\Browser\TorBrowser\Data\Tor\
Figura 10.6: Arquivo de estado


Forense da Dark Web
Identificando Artefatos do Navegador Tor: Pré-busca de Arquivos

ÿ Quando o navegador Tor for desinstalado de uma máquina, ou se for
instalado em um local diferente da área de trabalho (em
Windows), será difícil para os investigadores saber se foi usado
ou o local onde está instalado
ÿ Examinar os arquivos de pré-busca ajudará os investigadores a

obter essas informações
ÿ Os arquivos de pré-busca estão localizados no diretório,

C:\WINDOWS\Prefetch em uma máquina Windows
ÿ Usando ferramentas como WinPrefetchView, os investigadores podem

obter metadados relacionados ao navegador, que incluem:
ÿ Carimbos de data/hora criados pelo navegador
ÿ Carimbos de data/hora da última execução do navegador
ÿ Número de vezes que o navegador foi executado
ÿ Diretório de execução do navegador Tor
ÿ Nome do arquivo
Identificando Artefatos do Navegador Tor: Pré-busca de Arquivos
Quando o navegador Tor for desinstalado de uma máquina, ou se for instalado em um local diferente da área de trabalho (no
Windows), será difícil para os investigadores saber se foi usado ou o local onde está instalado. Examinar os arquivos de pré-busca
ajudará os investigadores a obter essas informações.
Os arquivos de pré-busca estão localizados no diretório C:\WINDOWS\Prefetch em uma máquina Windows.

Usando ferramentas como o WinPrefetchView, os investigadores podem obter metadados relacionados ao navegador, que incluem
carimbos de data/hora criados pelo navegador, carimbos de data/hora da última execução do navegador, número de vezes que o
navegador foi executado, diretório de execução do navegador Tor, nome do arquivo e tamanho do arquivo.


Forense da Dark Web
Figura 10.7: Examinando um arquivo de pré-busca criado pelo navegador Tor no WinPrefetchView
Figura 10.8: Detalhes recuperados do arquivo de pré-busca selecionado criado pelo navegador Tor


Forense da Dark Web
Desafios forenses da Dark Web

Alto nível de anonimato
1 A dark web permite que criminosos realizem atividades ilegais ocultando
sua identidade
redes criptografadas
2
Rastrear a localização física dos perpetradores é difícil
Número limitado de rastreamentos
3 Quando o navegador Tor é desinstalado em uma máquina suspeita, o investigador fica com um número
limitado de artefatos, o que dificulta o processo de investigação
Questões de jurisdição legal
4 As atividades criminosas na dark web ocorrem independentemente da jurisdição, colocando questões de

jurisdição legal para investigadores e agências de aplicação da lei
Desafios forenses da Dark Web
A seguir estão os desafios envolvidos no Dark Web Forensics:
ÿ Alto nível de anonimato: A dark web permite que criminosos realizem atividades ilegais
ao esconder sua identidade
ÿ Redes criptografadas: é difícil rastrear a localização física dos perpetradores.
ÿ Número limitado de vestígios: Quando o navegador Tor é desinstalado em uma máquina suspeita, o
investigador fica com um número limitado de artefatos, o que dificulta o processo de investigação.
ÿ Questões de jurisdição legal: as atividades criminosas na dark web ocorrem independentemente da

jurisdição, colocando questões de jurisdição legal para investigadores e agências de aplicação da lei.


Forense da Dark Web
Fluxo do módulo
Entenda a Dark Web

2 forense

3 forense
Executar análise forense do navegador Tor
O método e o resultado da análise forense do navegador Tor diferem com base no status do
navegador Tor na máquina suspeita. Esta seção discute os conceitos forenses do navegador
Tor, incluindo aquisição de memória, coleta e análise de despejos de memória.


Forense da Dark Web
Análise Forense do Navegador Tor: Aquisição de Memória

ÿ RAM contém informações voláteis pertencentes a vários processos e aplicativos em execução em um
sistema
ÿ Examinar dumps de RAM pode fornecer insights profundos sobre as ações que ocorreram no sistema
ÿ Investigadores forenses podem examinar esses despejos na tentativa de extrair vários navegadores Tor
artefatos que ajudam na reconstrução do incidente
ÿ Os resultados obtidos ao examinar esses artefatos diferem com base nas seguintes condições:
ÿ Navegador Tor Aberto ÿ Navegador Tor Fechado ÿ Navegador Tor Desinstalado
ÿ Um despejo de memória feito enquanto o navegador está aberto coleta o maior número de artefatos,
enquanto um despejo obtido após a desinstalação do navegador coleta o mínimo
ÿ Despejos de memória feitos enquanto o navegador está fechado contêm a maioria das informações
encontrado em despejos de memória coletados, enquanto o navegador é deixado aberto
Análise Forense do Navegador Tor: Aquisição de Memória
A RAM contém informações voláteis pertencentes a vários processos e aplicativos em execução em um sistema.
Examinar os despejos de RAM pode fornecer insights profundos sobre as ações que ocorreram no sistema. Os
investigadores forenses podem examinar esses despejos na tentativa de extrair vários artefatos do navegador Tor que
ajudam a reconstruir o incidente.
Os resultados obtidos ao examinar os artefatos do navegador Tor diferem com base nas seguintes condições:
ÿ Navegador Tor aberto
ÿ Navegador Tor fechado
ÿ Navegador Tor desinstalado
Um despejo de memória feito enquanto o navegador está aberto coleta o maior número de artefatos, enquanto um
despejo feito após a desinstalação do navegador coleta o mínimo. Os despejos de memória obtidos enquanto o
navegador está fechado contêm a maioria das informações encontradas nos despejos de memória coletados quando
o navegador é deixado aberto.


Forense da Dark Web
Coletando despejos de memória

ÿ Os investigadores precisam adquirir um despejo de memória da máquina suspeita para iniciar o exame forense
ÿ Ferramentas como Belkasoft LIVE RAM Capturer e FTK Imager podem ajudar a capturar
RAM ÿ O despejo de memória coletado da máquina suspeita não contém apenas artefatos relacionados ao
navegador, mas também todas as atividades que ocorreram nele
Belksoft Live RAM Capturer AccessData FTK Imager
https:// belkasoft.com https:// accessdata.com
Coletando despejos de memória
Os investigadores precisam adquirir um despejo de memória da máquina suspeita para iniciar o exame
forense. Ferramentas como Belkasoft LIVE RAM Capturer e AccessData FTK Imager podem ajudar a
capturar RAM.
O despejo de memória coletado da máquina suspeita não contém apenas artefatos relacionados ao
navegador, mas também relacionados a todas as atividades que ocorreram nele.
Figura 10.9: Obtendo o dump de RAM de uma máquina suspeita usando o capturador de RAM Belkasoft Live


Forense da Dark Web
Figura 10.10: Obtendo RAM dump de uma máquina suspeita usando AccessData FTK Imager


Forense da Dark Web
Análise de Despejo de Memória: Extrator em Massa

ÿ O despejo de memória adquirido da máquina deve ser examinado na estação de trabalho forense para descobrir artefatos que
pode potencialmente ser útil durante a investigação
ÿ Ferramentas como o Bulk Extractor ajudam no processamento desses despejos e fornecem informações úteis , como URLs navegados,
IDs de e-mail usados e informações de identificação pessoal inseridas nos sites
Entrada de arquivo de imagem Arquivos de recursos extraídos do arquivo de imagem
https:// digitalcorpora.org
Análise de Despejo de Memória: Extrator em Massa
O despejo de memória adquirido da máquina deve ser examinado na estação de trabalho forense para descobrir
artefatos que podem ser úteis durante a investigação. Ferramentas como o Bulk Extractor ajudam no processamento
desses despejos e fornecem informações úteis, como URLs navegados, IDs de e-mail usados e informações de
identificação pessoal inseridas nos sites.
ÿ Extrator de Granéis
Fonte: https:// digitalcorpora.org
Bulk Extractor é um programa que extrai recursos como endereços de e-mail, números de cartão de crédito,
URLs e outros tipos de informações de arquivos de evidências digitais. O Bulk Extractor Viewer é uma
interface do usuário para recursos de navegação que foram extraídos por meio da ferramenta de extração de
recursos do Bulk Extractor. O BEViewer oferece suporte à navegação de várias imagens e aos recursos de
marcação e exportação. O BEViewer também fornece uma interface de usuário para iniciar o Bulk
Escaneamentos do extrator.


Forense da Dark Web
Figura 10.11: Importe a imagem do disco a ser analisada e forneça o diretório de saída
Figura 10.12: Lista de arquivos de recursos extraídos do arquivo de imagem no Bulk Extractor


Forense da Dark Web
Resumo do Módulo
Este módulo discutiu os conceitos da dark web
Ele discutiu como identificar os rastros do navegador Tor durante

a investigação
Ele também discutiu em detalhes a execução forense do

navegador Tor
Por fim, este módulo terminou com uma discussão detalhada

sobre coleta e análise de despejos de memória
No próximo módulo, discutiremos em detalhes a investigação de

crimes por e-mail
Resumo do Módulo
Este módulo discutiu conceitos relacionados à dark web. Ele discutiu como identificar vestígios do navegador
Tor durante uma investigação. Além disso, explicou em detalhes como executar a análise forense do
navegador Tor. Finalmente, este módulo apresentou uma discussão detalhada sobre a coleta e análise de
despejos de memória.
No próximo módulo, abordaremos detalhadamente a investigação de crimes de e-mail.

MT
EC-Council
CE-Conselho
D FE
Digital
Digital
Módulo 11
Investigando crimes por e-mail

Objetivos do módulo Ideia criativa
1 Compreendendo o sistema de e-mail
Compreendendo os componentes envolvidos em

2 Comunicação por e-mail
3 Compreendendo as partes de uma mensagem de e-mail
4 Visão geral da investigação de crimes por e-mail e suas etapas
Nas últimas décadas, os serviços de e-mail têm sido amplamente utilizados para comunicação em todo o mundo para
troca de textos e mensagens multimídia. No entanto, isso também tornou o e-mail uma ferramenta poderosa para os
cibercriminosos espalharem mensagens maliciosas e realizarem atividades ilegais. O módulo atual pretende familiarizá-lo
com o assunto de crimes de e-mail e como eles ocorrem.
Ele se concentra principalmente nas etapas que um investigador precisa seguir em uma investigação de crime por e-mail.
ÿ Compreender o sistema de e-mail
ÿ Compreender os componentes envolvidos na comunicação por e-mail
ÿ Compreender as partes de uma mensagem de e-mail
ÿ Compreender a investigação do crime de e-mail e suas etapas


Fluxo do módulo
1 2
Entenda o e-mail Entenda o crime por e-mail
Fundamentos Investigação e suas etapas
Entenda os fundamentos do e-mail
Um número crescente de empresas está usando o e-mail como seu principal meio de comunicação.
A crescente dependência de e-mails também deu origem a crimes de e-mail. Portanto, os investigadores
forenses precisam ter um entendimento completo de um sistema de e-mail e sua arquitetura interna,
juntamente com os componentes que trabalham juntos para entregar um e-mail de um remetente aos
destinatários. Esta seção discute os fundamentos de um sistema de e-mail.


Introdução a um sistema de e-mail
Um sistema de e-mail engloba servidores que enviam e

recebem e-mails na rede, juntamente com os clientes de
e-mail que permitem aos usuários visualizar e compor mensagens
Os sistemas de e-mail são baseados em uma arquitetura

cliente-servidor
O e-mail é enviado do cliente para um servidor central,

que redireciona o e-mail para o destino pretendido
Introdução a um sistema de e-mail
E-mail é uma abreviação de “correio eletrônico”, que é usado para enviar, receber e salvar mensagens em
sistemas de comunicação eletrônica. Com a crescente dependência da tecnologia, o e-mail se tornou um dos
modos de comunicação mais populares.
Um sistema de e-mail funciona na arquitetura básica cliente-servidor. Ele permite que os clientes enviem/
recebam e-mails por meio de servidores de e-mail que se comunicam entre si. A maioria dos sistemas de e-
mail possui editores de texto com opções básicas de formatação que permitem aos clientes redigir mensagens
de texto e enviá-las a um ou mais destinatários. Depois de enviada, a mensagem passa por vários servidores
e fica guardada na caixa de correio do destinatário até que este a recupere.


Componentes envolvidos na comunicação por e-mail
Agente de usuário de correio (MUA) Agente de Transferência de Correio (MTA) Agente de entrega de correspondência (MDA)
ÿ Também conhecido como cliente de e-mail, ÿ O MTA também é conhecido como ÿ MDA é um aplicativo
MUA é um aplicativo que servidor de correio que responsável por receber uma
permite aos usuários ler, redigir aceita as mensagens de e- mensagem de e-mail do MTA e
e enviar e- mails de seus mail do remetente e as armazená -la na caixa postal do
endereços de e-mail configurados encaminha para o seu destino destinatário
ÿ Existem dois clientes de e-mail ÿ Exemplos incluem Sendmail, ÿ Exemplo inclui pombal
comumente usados: Exim e Postfix
ÿ Autônomo: Microsoft Outlook e Mozilla

Thunderbird
ÿ Baseado na Web: Gmail, Yahoo!

correio, correio AOL, etc.
Componentes envolvidos na comunicação por e-mail (continuação)
Servidor SMTP Servidor POP3 Servidor IMAP
ÿ SMTP (Simple Mail Transfer ÿ POP3 (Protocolo Post Office ÿ Protocolo de Acesso a Mensagens da Internet
Protocol) é um servidor de e-mail de versão 3) é um protocolo de Internet (IMAP) é um protocolo de internet
saída que permite ao usuário enviar e- usado para recuperar e-mails de um projetado para acessar e-mail em um
mails para um endereço de e-mail válido servidor de correio servidor de e-mail
ÿ Por padrão, o servidor IMAP escuta na porta

ÿ Quando um usuário envia um e-mail, o ÿ Ele lida com e-mails recebidos e escuta
143 e o IMAPS
o servidor SMTP do host do na porta 110 (IMAP sobre SSL) escuta na porta
remetente interage com o host do destinatário
993
servidor SMTP
ÿ POP3 baixa automaticamente
os e-mails para o disco rígido do usuário e ÿ Este protocolo mantém os e-mails no servidor
ÿ Os servidores SMTP escutam no os remove do e-mail mesmo depois que o usuário
porta 25 servidor já os baixou, permitindo assim que o

usuário use vários dispositivos para
verificar o e-mail
Componentes envolvidos na comunicação por e-mail
Existem vários componentes da comunicação por e-mail que desempenham funções específicas quando uma
mensagem de e-mail é transmitida de um remetente para um destinatário.
ÿ Agente do usuário de correio: Também conhecido como cliente de e-mail, o agente do usuário de e-mail (MUA)
é um aplicativo de desktop para leitura, envio e organização de e-mails. Ele fornece uma interface para os
usuários receberem, redigirem ou enviarem emails de seus endereços de email configurados.


Um usuário precisa definir e configurar seu endereço de e-mail antes de usar o cliente de e-mail.
A configuração inclui a emissão de IDs de e-mail, senhas, endereço Post Office Protocol versão 3 (POP3)/Internet
Message Access Protocol (IMAP) e Simple Mail Transfer Protocol (SMTP), um número de porta e outras
preferências relacionadas. Existem muitos clientes de e-mail autônomos e baseados na Web, como Claws Mail,
Thunderbird, Mailbird, Zimbra Desktop, Gmail e Outlook.com. O cliente de e-mail se torna ativo somente quando o
usuário o executa.
ÿ Agente de transferência de correio: O agente de transferência de correio (MTA) é um componente importante do

processo de transmissão de e-mail. É principalmente um tipo de servidor de email que recebe a mensagem de
email do agente de envio de email e descriptografa as informações do cabeçalho para ver para onde a mensagem
está indo. Uma vez determinado, ele passa a mensagem para o próximo servidor MTA.
Todos os servidores MTA conversam entre si através do protocolo SMTP. Alguns exemplos de MTA incluem
Sendmail, Exim e Postflix.
ÿ Agente de entrega de correspondência: O agente de entrega de correspondência (MDA) é o servidor que recebe a
mensagem de e-mail do último MTA e a mantém na caixa de correio do destinatário. Dovecot é um exemplo de
MDA.
ÿ Servidor SMTP: O SMTP é um servidor de e-mail de saída que permite ao usuário enviar e-mails para um endereço
de e-mail válido. Os usuários não podem usar o servidor SMTP para receber e-mails; no entanto, em conjunto com
o Post Office Protocol (POP) ou IMAP, eles podem usar o SMTP para receber e-mails com configuração adequada.
Qualquer servidor SMTP recebe um endereço do cliente de e-mail do usuário no seguinte formato:
smtp.serveraddress.com (por exemplo, o endereço do servidor SMTP do Gmail seria smtp.gmail.com).
Quando um usuário envia um e-mail para um destinatário específico, ele primeiro chega ao servidor SMTP que
processa a mensagem para determinar o endereço do destinatário e, em seguida, o retransmite para o servidor
específico. Todos os servidores SMTP geralmente escutam a porta 25. No entanto, os servidores SMTP de saída
usam a porta 587 para conexões de segurança da camada de transporte e a porta 465 para conexões SSL (Secure
Sockets Layer).
ÿ Servidor POP3: POP3 é um protocolo simples para recuperar e-mails de um servidor de e-mail. Quando o servidor
POP recebe e-mails, eles são armazenados no servidor até e a menos que o usuário solicite.
O servidor POP3 não permite o conceito de pastas; ele considera a caixa de correio no servidor como seu único
repositório. Uma vez que o usuário se conecta ao servidor de correio para recuperar seus e-mails usando o cliente
de e-mail, os e-mails são baixados automaticamente do servidor de e-mail para o disco rígido do usuário e não são
mais armazenados no servidor, a menos que o usuário especifique para manter uma cópia dele.
O servidor POP3 pode entender comandos simples como os seguintes:
o USUÁRIO – insira seu ID de usuário
o SENHA – digite sua senha


o QUIT – sai do servidor POP3
o LIST – lista as mensagens e seu tamanho
o RETR – recupera uma mensagem, de acordo com o número da mensagem
o DELETE – exclui uma mensagem, de acordo com um número de mensagem
Como os clientes de e-mail implementados em POP3 baixam e-mails no sistema, um usuário pode ler e-mails
mesmo quando não há conectividade com a Internet. No entanto, como os e-mails são armazenados no disco
rígido, os usuários não podem acessá-los de máquinas remotas.
ÿ Servidor IMAP: Os servidores IMAP são semelhantes aos servidores POP3. Como o POP3, o IMAP lida com o e-mail
recebido. Por padrão, o servidor IMAP escuta na porta 143 e o IMAPS (IMAP sobre SSL) escuta na porta 993.
O IMAP armazena e-mails no servidor de e-mail e permite que os usuários visualizem e trabalhem em seus e-
mails, como se os e-mails estivessem armazenados em seus sistemas locais. Isso permite que os usuários
organizem todos os e-mails, dependendo de suas necessidades. Ao contrário do POP3, o IMAP não move o
servidor de correio para a caixa de correio do usuário.
Ele atua como um servidor remoto que armazena todos os e-mails do usuário no servidor de e-mail. IMAP permite
clientes de e-mail para recuperar partes de extensões de correio da Internet multiuso (MIME) na forma de uma
mensagem inteira ou em vários bits, permitindo que os clientes recuperem apenas a parte de texto do e-mail sem
baixar o anexo. Este protocolo armazena uma cópia de todos os e-mails no servidor, mesmo que o usuário os
baixe em seu sistema. Como resultado, os usuários podem acessá-los de qualquer sistema ou dispositivo de
computação.


Como funciona a comunicação por e-

mail ?
Fluxo Típico de um
E-mail
Bob usando o Mail Alice usando o Mail

Agente do usuário (MUA)
Agente do usuário (MUA)
SMTP
POP3/
IMAP
SMTP SMTP
Agente de Transferência de Correio Agente de Transferência de Correio Agente de entrega de correspondência
(MTA) (MTA) (MDA)
Como funciona a comunicação por e-mail
Quando um usuário envia uma mensagem de e-mail para qualquer destinatário, ela passa por vários estágios antes
de chegar ao seu destino. Um cenário é apresentado a seguir para elaborar essas etapas:
ÿ Considere que um usuário de e-mail chamado Bob deseja enviar uma mensagem de e-mail para outro usuário
de e-mail chamado Alice. Ele compõe uma mensagem usando seu cliente de e-mail ou MUA ou um e-mail
baseado na web como o Yahoo!, especifica o endereço de e-mail de Alice e pressiona o botão enviar.
ÿ A mensagem de e-mail é recebida por um servidor MTA via SMTP que descriptografa as informações do
cabeçalho e procura o nome de domínio no endereço de e-mail de Alice. Este método
permite que o servidor MTA determine o servidor de e-mail de destino e passe a mensagem para o MTA
correspondente.
ÿ Cada vez que um servidor MTA recebe uma mensagem durante o processo de entrega de correspondência, ele
modifica suas informações de cabeçalho. Quando chega ao último MTA, é transferido para o MDA, que
guarda a mensagem na caixa postal de Alice.
ÿ O MUA de Alice então recupera a mensagem usando POP3 ou IMAP, e Alice finalmente consegue ler a
mensagem.


Figura 11.1: Como funciona a comunicação por e-mail


Compreendendo as partes de
uma mensagem de e-mail
De: Maria Wilson <mary79@abc.edu> Data: 02 de Cabeçalho
abril de 2020 19:52 Para: ford90hen@outlook.com Os cabeçalhos de e-mail contêm informações sobre
Assunto: Quando podemos nos encontrar a origem do e-mail , como o endereço de onde veio,
novamente?
o roteamento, a hora da mensagem e a linha de
assunto
Olá Henry,
Os exemplos incluem Para, Cc, Bcc, De, Mensagem
Quando podemos nos reunir para trabalhar em
nosso projeto? Estou disponível a qualquer hora
Id, Responder a, Remetente, Assunto, Versão MIME
esta semana após as 17:00. Mas eu tenho alguns e Prioridade
outros compromissos na próxima semana. Eu
gostaria de me encontrar antes de nossa próxima
Corpo
aula, então envie-me um e-mail e deixe-me saber o
Esta parte contém a mensagem real enviada por
que funcionaria para você.
e-mail em HTML ou texto sem formatação
Obrigado!
Pode incluir imagens e hiperlinks
Cumprimentos,
maria wilson Assinatura

Professor Assistente, Departamento de Línguas
Isso fornece informações aos destinatários sobre
Colégio ABC
a identidade ou designação do remetente
Compreendendo as partes de uma mensagem de e-mail
A mensagem de e-mail é um texto breve e informal enviado ou recebido através de uma rede. As mensagens de e-mail são
mensagens de texto simples que também podem incluir anexos, como arquivos de imagem e planilhas.
Vários destinatários podem receber mensagens de e-mail ao mesmo tempo.
No momento, o RFC 5322 define o formato de mensagem de e-mail da Internet e o RFC 2045 até o RFC 2049 define os anexos de
conteúdo multimídia — juntos, eles são chamados de extensões de correio da Internet multiuso (MIME).
As mensagens de e-mail compreendem três seções principais:
1. Cabeçalho da mensagem
O cabeçalho da mensagem inclui os seguintes campos:
o Para especifica a quem a mensagem é endereçada. Observe que o cabeçalho “Para” nem sempre contém o endereço
do destinatário.
o Cc significa “cópia carbono”. Este cabeçalho especifica destinatários adicionais além daqueles listados no cabeçalho
“Para”. A diferença entre “To” e “Cc” é essencialmente conotativa; alguns remetentes também lidam com eles de
maneira diferente ao gerar respostas.
o Cco significa “cópia oculta”. Este cabeçalho envia cópias de e-mails para pessoas que podem não querer receber
respostas ou aparecer nos cabeçalhos. As cópias ocultas são populares entre os spammers porque confundem
muitos usuários inexperientes que recebem um e-mail que não tem seu endereço ou não parece ser para eles.
o De especifica o remetente da mensagem


o Reply-To especifica um endereço para enviar respostas. Embora esse cabeçalho tenha muitos usos legítimos,
também é amplamente usado por spammers para desviar críticas. Ocasionalmente, um spammer nativo
solicitará respostas por e-mail e usará o cabeçalho "Responder para" para coletá-las, mas, com mais
frequência, o endereço especificado no lixo eletrônico é inválido ou é de uma vítima inocente.
o Remetente é incomum em e-mail (“X-Sender” é geralmente usado em seu lugar), mas aparece ocasionalmente,
especialmente em cópias de postagens da Usenet. Deve identificar o remetente; no caso de postagens da
Usenet, é um identificador mais confiável do que a linha “De”.
o Assunto é um campo totalmente livre especificado pelo remetente para descrever o assunto
da mensagem
o Data especifica a data de criação e envio do e-mail. Se o computador do remetente omitir esse cabeçalho, um
servidor de correio ou alguma outra máquina pode adicioná-lo, mesmo ao longo da rota.
o MIME-Version é outro cabeçalho MIME que reflete a versão do protocolo MIME
o Prioridade é um cabeçalho essencialmente de formato livre que atribui uma prioridade ao e-mail. A maioria
dos softwares o ignora. Os spammers costumam usá-lo na tentativa de fazer com que suas mensagens
sejam lidas.
2. Corpo da mensagem
O corpo do e-mail transmite a mensagem e às vezes inclui um bloco de assinatura no final. Uma linha em branco
separa o cabeçalho e o corpo. Em um e-mail, o corpo ou texto sempre vem após as linhas do cabeçalho.
O corpo do e-mail é a mensagem principal do e-mail que contém texto, imagens, hiperlinks e outros dados (como
anexos). O corpo do e-mail exibe anexos separados que aparecem alinhados com o texto. O padrão de e-mail
da Internet não estabeleceu nenhuma limitação no tamanho do corpo de um e-mail. No entanto, servidores de
correio individuais têm limites de tamanho de mensagem.
3. Assinatura
Uma assinatura de e-mail é uma pequena quantidade de informações adicionais anexadas no final da mensagem
de e-mail que consiste no nome e detalhes de contato do remetente do e-mail. Pode conter texto simples ou
imagens.


Figura 11.2: Partes de uma mensagem de e-mail


Fluxo do módulo
1 2
Entenda o e-mail Entenda o crime por e-mail
Fundamentos Investigação e suas etapas
Entenda a investigação de crimes por e-mail e suas etapas

A investigação de crimes por e-mail é conduzida principalmente para examinar o conteúdo, bem como a
origem de qualquer mensagem de e-mail considerada ofensiva ou suspeita de falsificação. Esta seção
define a investigação de crimes por e-mail e detalha as etapas que os investigadores precisam seguir
ao investigar crimes por e-mail.


Introdução à investigação criminal por e-mail
A investigação de crimes por e-mail envolve o exame da origem e do conteúdo das mensagens de e-mail como prova
Isso permite que os investigadores identifiquem o tipo de fraude por e-mail realizada, o criminoso e sua intenção maliciosa
O crime por e-mail pode ser categorizado de duas maneiras
Crimes cometidos por envio de e-mail Crimes apoiados por e-mails
Spamming bombardeio de correio Fraude de Identidade
Phishing Tempestades de Correio Cyberstalking rapto de criança
Introdução à investigação criminal por e-mail
A investigação de crimes por e-mail envolve a extração, aquisição, análise e recuperação de mensagens de e-mail
relacionadas a qualquer cibercrime. A análise detalhada das mensagens de e-mail ajuda os investigadores a reunir
evidências úteis, como a data e a hora em que a mensagem de e-mail foi enviada, o endereço IP real do remetente
e do destinatário e qual mecanismo de falsificação foi usado. Os investigadores precisam usar muitas ferramentas
forenses para extrair metadados de cabeçalhos de e-mail. Isso os ajuda a localizar o criminoso por trás do crime e
relatar as descobertas para processá-los no tribunal.
As investigações de atividades criminosas ou violações de políticas relacionadas a e-mails são semelhantes a

outros tipos de investigações de crimes de computador. Os crimes de e-mail podem ser categorizados de duas
maneiras: uma cometida por meio do envio de e-mails e outra apoiada por e-mail. Quando os criminosos usam
spam, e-mail falso, bombardeio de e-mail ou tempestades de e-mail para vender narcóticos, perseguir, cometer
fraudes ou sequestrar crianças, pode-se dizer que esses e-mails apóiam o crime cibernético.
Vamos discutir em detalhes os crimes cometidos pelo envio de e-mails.
ÿ Spamming de E-mail
O spam não é solicitado por e-mail comercial ou lixo eletrônico. O correio de spam envolve o envio do
mesmo conteúdo para um grande número de endereços ao mesmo tempo. O spam ou lixo eletrônico
preenche as caixas de correio e impede que os usuários acessem seus emails regulares. Esses e-mails
regulares começam a ser devolvidos porque o servidor excedeu seu limite de capacidade. Spammers
escondem suas identidades falsificando o cabeçalho do e-mail. Para evitar a obtenção de respostas de
destinatários irritados, os spammers fornecem informações enganosas nos campos FROM e REPLY-TO e
as publicam em uma lista de discussão ou grupo de notícias.


Figura 11.3: Cabeçalhos de assunto de e-mails de spam
ÿ Phishing
O phishing surgiu como um método eficaz para roubar dados pessoais e confidenciais dos usuários. É um golpe
da Internet que engana os usuários para que divulguem suas informações pessoais e confidenciais, fazendo
declarações e ofertas interessantes. Os phishers podem atacar os usuários enviando mensagens em massa para
milhões de endereços de e-mail em todo o mundo.
O ataque de phishing engana e convence o usuário com conteúdo técnico falso junto com práticas de engenharia
social. A principal tarefa dos phishers é fazer com que as vítimas acreditem que os sites de phishing são legítimos.
As fontes que podem ser personificadas incluem páginas da web, mensagens instantâneas, e-mails e Internet
Relay Chat. A maioria dos ataques de phishing é feita por e-mail, onde o usuário recebe um e-mail que o engana
para seguir o link fornecido, levando-o a um site de phishing. O e-mail pode conter uma mensagem informando
que uma determinada transação ocorreu na conta do usuário e pode ter um link para verificar seu saldo ou pode
conter um link para realizar uma verificação de segurança da conta do usuário.
A seguir, são apresentados alguns tipos de ataques de phishing:
o Spear Phishing ocorre quando, em vez de enviar milhares de e-mails, alguns invasores usam conteúdo
especializado de engenharia social direcionado a um funcionário específico ou a um pequeno grupo de
funcionários de uma organização específica para roubar dados confidenciais, como informações financeiras e
segredos comerciais. As mensagens de spear phishing parecem ser de uma fonte confiável com um site de
aparência oficial. O e-mail também parece ser de um indivíduo da empresa do destinatário, geralmente alguém
em posição de autoridade.
No entanto, a mensagem é realmente enviada por um invasor que tenta obter informações críticas sobre um
destinatário específico e sua organização, como credenciais de login, detalhes de cartão de crédito, números
de contas bancárias, senhas, documentos confidenciais, informações financeiras e segredos comerciais.
Spear phishing gera uma taxa de resposta mais alta em comparação com um ataque de phishing normal, pois
parece ser de um confiável
fonte da empresa.


o Whaling é um tipo de ataque de phishing que visa executivos de alto nível, como CEOs, CFOs, políticos e celebridades
que têm acesso total a informações confidenciais e altamente valiosas. É um truque de engenharia social no qual o
invasor engana a vítima para revelar informações corporativas e pessoais críticas (como detalhes de contas bancárias,
detalhes de funcionários, informações de clientes e detalhes de cartão de crédito), geralmente por e-mail ou falsificação
de site. Whaling é diferente de um ataque de phishing; nesse caso, o e-mail ou site usado para o ataque é
cuidadosamente projetado para atingir alguém da liderança executiva em particular.
o Pharming é uma técnica de engenharia social na qual um invasor executa programas maliciosos no computador ou
servidor da vítima. Quando a vítima insere qualquer URL ou nome de domínio, ela redireciona automaticamente o
tráfego da vítima para um site controlado pelo invasor. Esse ataque também é conhecido como “Phishing sem isca”: o
invasor rouba informações confidenciais, como credenciais, dados bancários e outras informações relacionadas a
serviços baseados na web. Os ataques de pharming podem ser executados de duas maneiras, ou seja, envenenamento
de cache do Sistema de Nomes de Domínio (DNS) e modificação do arquivo do host.
o Spimming ou “spam sobre mensagens instantâneas” (SPIM) explora plataformas de mensagens instantâneas e usa
mensagens instantâneas como uma ferramenta para espalhar spam. Uma pessoa que gera spam por meio de
mensagens instantâneas é chamada de spimmer. Um spimmer geralmente usa bots (um aplicativo que executa tarefas
automatizadas pela rede) para coletar IDs de mensagens instantâneas e encaminhar a mensagem de spam para eles.
As mensagens SPIM, semelhantes aos spams de e-mail, geralmente incluem anúncios e malware como anexo ou
hiperlink incorporado. Um usuário que clica no anexo é redirecionado para um site malicioso, que coleta informações
financeiras e pessoais, como credenciais, contas bancárias e detalhes de cartão de crédito.
ÿ Bombardeio de Correio
O bombardeio por e-mail refere-se ao processo de envio repetido de uma mensagem de e-mail para um endereço específico
no site de uma vítima específica. Em muitos casos, as mensagens serão preenchidas com dados inúteis destinados a
consumir mais capacidade do sistema e da rede.
Várias contas no site de destino podem sofrer abuso, aumentando o impacto da negação de serviço. Mail bombing é um ato
intencional de enviar várias cópias de conteúdo idêntico para o mesmo destinatário. O principal objetivo por trás disso é
sobrecarregar o servidor de e-mail e degradar o sistema de comunicação, tornando-o inutilizável. Normalmente, um homem-
bomba e a vítima se conhecem. Postagens em grupos de notícias que não concordam com a opinião do destinatário também
resultam em bombardeio de e-mail. O alvo em tais casos pode ser uma máquina específica ou uma pessoa em particular. O
bombardeio de e-mails é mais abusivo do que o spam porque não apenas envia e-mails em quantidades excessivas para
um indivíduo, mas também impede que outros usuários acessem seus e-mails usando o mesmo servidor.
ÿ Tempestades de Correio
Uma tempestade de correio ocorre quando os computadores começam a se comunicar sem intervenção humana.
A enxurrada de correspondências indesejadas enviadas por acidente é uma tempestade de correspondências. Uso de listas
de e-mail, encaminhamento automático de e-mails, resposta automática e presença de mais de um e-mail


endereço são as várias causas de uma tempestade de correio. O código de software malicioso também é escrito
para criar tempestades de e-mail, como a mensagem “Melissa, I-Care-For-U”. As tempestades de correio
atrapalham os sistemas de comunicação e os tornam inoperáveis.
Foquemo-nos agora nos crimes sustentados por e-mails.
ÿ Fraude de Identidade
Fraude de identidade é a recuperação ilegítima e uso de dados pessoais de outras pessoas para ganhos maliciosos
e monetários. O roubo de identidade é um crime que está rapidamente ganhando popularidade. É o ato intencional
de roubar a identidade de alguém para obter benefícios monetários. Os criminosos obtêm informações pessoais
sobre uma pessoa e as usam indevidamente, causando grandes perdas financeiras à vítima.
Sites de compras on-line com representações falsas e e-mails de spam com ofertas irresistíveis são os meios mais
comuns usados para obter os números do cartão de crédito da vítima.
Depois que o usuário faz um pedido online, os criminosos podem interceptar a mensagem de e-mail e usá-la. Os
criminosos não apenas retiram grandes quantias de dinheiro das contas das vítimas, mas também podem levá-las
à falência.
ÿ Ciberperseguição
Cyberstalking é um crime em que os invasores perseguem um indivíduo, um grupo ou uma organização usando e-
mails ou mensagens instantâneas. Os invasores tentam ameaçar, fazer acusações falsas, difamar, caluniar,
caluniar ou roubar a identidade da(s) vítima(s) como parte do cyberstalking. O perseguidor pode ser alguém
associado a uma vítima ou a um estranho.
ÿ Rapto de Criança
O sequestro de crianças é o crime de remover ou reter, deter ou ocultar indevidamente uma criança ou bebê. O
rapto é definido como tirar uma pessoa por persuasão, fraude ou força aberta ou violência. Existem dois tipos de
rapto de crianças: o rapto parental e o rapto por um estranho. Os sequestros de crianças pelos pais são o tipo mais
comum, enquanto o sequestro por um estranho será classificado como sequestro.


Etapas para investigar crimes por e-mail
1 Apreendendo o computador e as contas de e-mail
2 Adquirindo os dados do e-mail
3 Examinando mensagens de e-mail
4 Recuperando cabeçalhos de e-mail
5 Analisando cabeçalhos de e-mail
6 Recuperando mensagens de e-mail excluídas
Etapas para investigar crimes por e-mail
Para encontrar, extrair e analisar evidências relacionadas a e-mails, um investigador deve seguir uma série de etapas definidas
e praticadas. Isso não apenas facilitará o processo de coleta de evidências, mas também ajudará o investigador a manter a
conformidade e a integridade.
Algumas das etapas vitais a serem seguidas durante a condução de uma investigação de crime por e-mail são as seguintes:
1. Apreendendo o computador e as contas de e-mail
2. Obtendo os dados do e-mail
3. Examinando mensagens de e-mail
4. Recuperando cabeçalhos de e-mail
5. Analisando cabeçalhos de e-mail
6. Recuperando mensagens de e-mail excluídas


Etapa 1: Apreender o computador e as contas de e-mail
ÿ Obtenha um mandado de busca que deve incluir permissão para atuar em

exame do site do computador do suspeito e do servidor de e-mail usado para enviar os e-
mails sob investigação
ÿ Apreender todos os computadores e contas de e-mail suspeitos de estarem envolvidos no

crime
ÿ Você pode apreender as contas de e-mail alterando a senha existente da conta de e-

mail, seja perguntando ao suspeito sua senha ou obtendo-a do servidor de e-mail
Etapa 1: Apreender o computador e as contas de e-mail

Para realizar o exame no local do computador e servidor de e-mail, um investigador deve obter
um pedido de mandado de busca no idioma apropriado. Em seguida, devem realizar perícia nos
equipamentos permitidos, conforme mencionado no mandado. Todos os computadores e contas
de e-mail suspeitos de envolvimento no crime devem ser apreendidos. O investigador pode
apreender as contas de e-mail alterando sua senha existente – seja solicitando a senha da vítima
ou obtendo-a do servidor de e-mail.
Se a vítima for uma organização corporativa, o investigador deve obter permissão das autoridades
envolvidas e colaborar com a rede interna e os administradores do sistema para entender suas
políticas e cumprir seus regulamentos de segurança de dados.


Passo 2: Adquirindo os dados de e-mail
ÿ A próxima etapa em uma investigação de crime por e-mail é adquirir o

dados de e-mail para análise forense
ÿ Antes de adquirir dados de e-mail, o investigador deve considerar os seguintes

cenários: ÿ O suspeito acessa seus e-mails por meio de qualquer cliente de
e-mail baseado em desktop
ÿ O suspeito tem uma conta de e-mail baseada na web na qual o crime foi
ocorreu
ÿ Os métodos de aquisição de dados de e-mail seriam diferentes para cada

cenário
Passo 2: Adquirindo os dados de e-mail
Uma vez que o computador e as contas de e-mail foram apreendidos, o próximo passo é adquirir os dados de e-mail para
análise forense. A aquisição de dados de e-mail depende dos seguintes cenários:
ÿ O suspeito tem acedido a e-mails através de clientes de e-mail baseados no ambiente de trabalho, como o Outlook
e Mozilla Thunderbird
ÿ O suspeito tem uma conta de e-mail baseada na web a que acedeu através do navegador
O investigador precisa escolher o processo de aquisição de acordo com a situação na cena do crime.


Adquirindo dados de e-mail de clientes de e-mail baseados em desktop
Quando um crime de e-mail é suspeito de ter ocorrido na máquina de um usuário usando clientes de e-mail, as
principais fontes de evidência são as pastas locais e arquivos arquivados armazenados por esses programas que
contêm informações sobre todas as atividades de e-mail.
Os investigadores forenses precisam localizar as pastas locais e

recuperar as mensagens de e-mail usando as ferramentas forenses certas
para um exame mais aprofundado
Ao adquirir dados de e-mail dos arquivos locais, os investigadores devem ter o

cuidado de reunir todos os arquivos, pois os arquivos locais podem ser divididos
em vários arquivos que armazenam dados separadamente
Adquirindo dados de e-mail de clientes de e-mail baseados em desktop
Muitos usuários preferem clientes de e-mail baseados em desktop, como Microsoft Outlook, Mozilla Thunderbird
e Apple Mail, para enviar/receber e-mails. Quando um crime de e-mail é suspeito de ter ocorrido na máquina de
um usuário usando clientes de e-mail, as principais fontes de evidência são as pastas locais e arquivos
armazenados por esses programas que contêm informações sobre todas as atividades de e-mail. O trabalho do
investigador forense é localizar as pastas locais e extrair todas as mensagens de e-mail usando a ferramenta
forense correta e armazenar as cópias em um local seguro.
Arquivos/bancos de dados de e-mail locais criados por clientes de e-mail podem ser salvos em vários locais no
computador do suspeito. O investigador precisa identificar cuidadosamente todos os arquivos de e-mail locais e
adquirir as mensagens de e-mail relevantes relacionadas ao crime.


Arquivos de e-mail locais no Microsoft Outlook
ÿ Quando os usuários configuram suas contas de e-mail no Outlook, ele cria uma cópia local
de todas as informações de e-mail em dois tipos de formatos de arquivo:
Tabela de armazenamento pessoal (.pst)
ÿ Certos tipos de contas POP usam o arquivo .pst para salvar as informações da
caixa de correio no computador local
ÿ Por padrão, os arquivos .pst são armazenados em

C:\Users\%USERNAME%\Documentos\Arquivos do Outlook
Tabela de armazenamento off-line (.ost)
ÿ Tipos de conta, como Microsoft Exchange,

As contas do Office 365 e IMAP armazenam uma cópia dos
componentes da caixa de correio em um arquivo .ost
ÿ Por padrão, os arquivos .ost estão localizados em

C:\Users\%USERNAME%\AppData\Local\Mi crosoft\Outlook
Arquivos de e-mail locais no Microsoft Outlook (continuação)
Artefatos de e-mail também podem ser encontrados na pasta

Arquivo, que é uma pasta padrão criada pelo Outlook junto com
pastas como Caixa de entrada, Rascunhos e Itens enviados
Outlook 2010, 2013 e 2016 têm um Outlook Auto

Recurso de arquivo que permite aos usuários mover
mensagens de e-mail e outros itens importantes para uma pasta de arquivo
Para saber a localização dos dados do Outlook 2016 Auto Archive na máquina
do suspeito, navegue até Arquivo > Opções > Avançado >
Configurações de arquivamento automático
O Outlook salva os dados arquivados no formato de arquivo .pst
Arquivos de e-mail locais no Microsoft Outlook
Quando uma conta de e-mail é sincronizada com o aplicativo da área de trabalho do Microsoft Outlook, ela cria uma cópia
local de todas as pastas de e-mail nos dois formatos a seguir:
ÿ Tabela de armazenamento pessoal (.pst)
Geralmente, as contas pop armazenam todas as informações de e-mail em um formato de arquivo .pst no Outlook.
As mensagens de e-mail, contato, calendário e outros dados de tarefas são baixados automaticamente


do servidor de correio e salvo localmente no disco rígido. No Outlook 2013 e versões anteriores, os arquivos .pst
eram usados por contas IMAP. No entanto, no Outlook 2016, as mensagens de email de todas as contas IMAP são
salvas no formato de arquivo .ost . A localização padrão dos arquivos .pst no Outlook 2016 é C:\Users\%USERNAME%
\Documents\Outlook Files
ÿ Tabela de armazenamento offline (.ost)
Tipos de conta como Outlook.com, Outlook para Office 365, Microsoft Exchange e IMAP copiam todos os componentes
da caixa de correio no formato de arquivo .ost . Como e-mails, contatos, calendário e outros dados não são retirados
do servidor, como contas pop, os usuários podem acessar seus e-mails mesmo quando não possuem conexão com
a Internet. Todas as informações da caixa de correio são atualizadas quando a conexão é reativada. Por padrão, o
arquivo .ost no Outlook 2016 é salvo no seguinte local: C:\Users\%USERNAME%\AppData\Local\Microsoft\Outlook.
Figura 11.4: Arquivo .ost e sua localização conforme criado pelo Microsoft Outlook
O investigador também pode extrair artefatos relacionados a e-mail de arquivos, uma pasta padrão criada pelo aplicativo
Outlook que permite aos usuários salvar e-mails antigos. Os recursos de AutoArquivar estão disponíveis nas versões do
Outlook 2013, 2016 e 2019 e permitem que os usuários arquivem emails automaticamente em intervalos regulares. Esses
arquivos compactados são armazenados no formato .pst .
Para determinar a localização do arquivo do Outlook, o investigador precisa obter as credenciais do suspeito, abrir o aplicativo
Outlook e navegar até Arquivo ÿ Opções ÿ Avançado ÿ Configurações de autoarquivamento.


Figura 11.5: Navegando para configurações de autoarquivamento no Microsoft Outlook
Figura 11.6: Encontrando o local da pasta Archive no Outlook


Adquirindo arquivos de e-mail local do Thunderbird via

SysTools MailPro+
Use ferramentas como SysTools Mailpro+

para examinar arquivos e pastas de e-mail
locais e coletá-los como evidência
Você pode selecionar um ou mais arquivos

mbox ou pastas de e-mail locais específicas
para aquisição e análise forense
Mailpro+ oferece seis visualizações

diferentes para ver as mensagens extraídas do
Pastas locais do Thunderbird
https:// www.systoolsgroup.com
Adquirindo e-mail local do Thunderbird

Arquivos via SysTools MailPro+ (continuação)
ÿ Selecione todas as mensagens de e-mail de valor comprobatório e clique no botão 'Exportar' para
adquiri-los
ÿ Você pode selecionar o tipo de arquivo exportado e o formato do nome e coletar as mensagens de
e-mail selecionadas na pasta de destino escolhida
https:// www.systoolsgroup.com
Adquirindo arquivos de e-mail local do Thunderbird via SysTools MailPro+
Como investigador forense, você pode usar ferramentas como SysTools MailPro+ para adquirir dados de
arquivos de e-mail locais armazenados pelo Thunderbird. Eles podem selecionar um ou mais arquivos mbox ou
pastas de e-mail locais específicas para aquisição e análise forense. As figuras abaixo mostram a aquisição da
pasta Lixeira de uma conta de e-mail suspeita usando o SysTools MailPro+


Figura 11.7: Analisando e-mails recuperados da pasta Lixeira de uma conta de e-mail suspeita
Figura 11.8: Examinando a visualização HTML de uma mensagem de e-mail recuperada de uma conta de e-mail suspeita
Figura 11.9: Recuperando o anexo de uma mensagem de e-mail recuperada de uma conta de e-mail suspeita
Selecione todas as mensagens de e-mail de valor comprobatório e clique no botão 'Exportar' para adquiri-las. Você
pode selecionar o tipo de arquivo exportado e o formato do nome e coletar as mensagens de e-mail selecionadas
na pasta de destino escolhida.


Figura 11.10: Selecionando formato de saída, destino e convenção de nomenclatura ao exportar mensagens de e-mail recuperadas
SysTools Mailpro+
Fonte: https:// www.systoolsgroup.com
É um utilitário versátil e completo para visualizar, pesquisar e exportar e-mails de vários clientes de e-mail.
Recursos
ÿ Suporta mais de 12 formatos de arquivo de e-mail
ÿ Leia a caixa de correio de qualquer tipo de arquivo de e-mail
ÿ Pesquise e-mails nos arquivos de e-mail de origem com apenas alguns cliques
ÿ Crie e salve coleções para facilitar o gerenciamento da caixa de correio
ÿ Pesquise e extraia e-mails do disco rígido ou armazenamento externo
ÿ Adicione arquivos em três modos ao painel do software
ÿ Exporte e-mails para os tipos de arquivo .pst, .pdf, .msg, .html, .eml, .tiff e .csv
ÿ Visualize tipos de anexos como JPG, GIF, PNG, DOC e PDF
Visualizando e-mails
Esta ferramenta fornece uma visualização de e-mails em vários modos, como mostrado abaixo:
ÿ Visualização Hexadecimal Normal
Ele mostra e-mails junto com atributos como Para, CC, BCC, Assunto, Data e Hora


ÿ Visão Hexadecimal
Ele mostra e-mails em código hexadecimal de maneira bit a bit
ÿ Visualização de Propriedades
Ele exibe propriedades associadas a e-mails, como sinalizadores de mensagem, destinatários e remetentes
ÿ Visualização do cabeçalho da mensagem
Ele fornece detalhes de visualização, como X-Priority, ID da mensagem, Thread-Index, Content-Type e outras informações
ÿ Visualização MIME
Mostra e-mails em formato MIME com vários detalhes
ÿ Visualização HTML
Exibe e-mails em HTML com todas as tags e corpo
ÿ Visualização RTF
ÿ Isso fornece uma visualização de e-mails em formato de texto simples
ÿ Visualização de Anexos
Isso permite que os usuários visualizem os anexos em e-mails
ÿ Visão Hierárquica
Isso mostra a visão hierárquica da pasta que contém o arquivo de origem


Etapa 3: Examinando mensagens de e-mail

Ao olhar para as mensagens de e-mail adquiridas, você precisa examinar de perto as seguintes áreas:
Sujeito
1 Este campo é importante porque resume a mensagem
contida naquele e-mail; a maioria dos assuntos de e-mail de spam
cria um senso de urgência, levando os usuários a abrir o e-mail
Endereço de e-mail do remetente
Os invasores geralmente falsificam esse endereço para torná-lo

2 legítimo para o usuário. Você pode ver aqui que a equipe de suporte
ao cliente do abc bank está usando uma conta do Gmail em vez do
respectivo domínio do banco, o que é suspeito.
Corpo do e-mail
3 Um corpo de e-mail falsificado pode conter links/hiperlinks diretos
projetados para induzir os usuários a fornecer detalhes confidenciais
Anexo do email
Os invasores podem incorporar arquivos javascript, VBScript
4 ou .exe maliciosos nos documentos e arquivos PDF enviados como
anexos. Você precisa examinar esses anexos
dentro de um ambiente forense controlado.
Etapa 3: Examinando mensagens de e-mail
Figura 11.11: Examinando mensagens de e-mail


Os investigadores forenses devem examinar de perto as seguintes áreas ao inspecionar as mensagens de e-mail
adquiridas:
1. Assunto
Este campo de um e-mail informa o destinatário sobre a mensagem que o e-mail pretende transmitir. A
maioria dos e-mails falsificados é projetada para criar uma sensação de pânico/urgência que induz a vítima
a abrir o e-mail e examinar seu conteúdo.
2. Endereço de e-mail do remetente
Os invasores enganam os usuários-alvo fazendo com que os e-mails suspeitos pareçam autênticos. Por
exemplo, um e-mail que aparece em nome de um banco, mas que usa uma conta do Gmail em vez do
domínio do respectivo banco, é um forte indicador de falsificação.
3. Corpo do e-mail
O corpo do e-mail contém a mensagem principal do e-mail. Um corpo de e-mail falsificado pode incluir links/
hiperlinks diretos que induzem os usuários a fornecer detalhes confidenciais. O corpo de um e-mail falsificado
geralmente tem linguagem/frases mal estruturadas que não parecem profissionais.
4. Anexo de e-mail
Os invasores geralmente enviam documentos ou cópias em PDF com extensões como .exe, .vbs, .js, .wsf
e .zip como anexos em e-mails. Esses anexos são projetados para executar programas ocultos, como
spyware e malware, no sistema de computação do usuário, que podem comprometer dados confidenciais.


Etapa 4: Recuperando cabeçalhos de e-mail
Se um e-mail ofensivo for identificado ou houver suspeita de falsificação, os

investigadores devem examinar as informações do cabeçalho 1
O cabeçalho do e-mail desempenha um papel vital na investigação forense, pois contém
informações detalhadas sobre a origem do e-mail, o que pode ajudar os investigadores a reunir
evidências de apoio e identificar o culpado por trás do crime.
2
3
As informações do cabeçalho do e-mail podem ser recuperadas após a aquisição
das mensagens de e-mail
Se o investigador estiver acessando fisicamente o computador do suspeito, ele poderá visualizar o

cabeçalho do e-mail usando o mesmo programa de e-mail usado pelo suspeito. Este processo é
diferente para diferentes programas de e-mail.
4
Etapa 4: Recuperando cabeçalhos de e-mail
Os cabeçalhos de e-mail são um componente vital de um e-mail que pode ajudar os investigadores a rastrear
a origem de um e-mail. Esses cabeçalhos fornecem informações sobre o remetente e o destinatário do e-
mail. Esses detalhes sobre a fonte e o(s) destinatário(s) são fornecidos usando os cabeçalhos “De” e “Para”,
respectivamente.
Os cabeçalhos também contêm informações sobre o caminho percorrido por um e-mail durante o trânsito.
Cada MTA que recebe a mensagem de e-mail, à medida que ela viaja de sua origem para o destino, altera a
seção do cabeçalho do e-mail. Portanto, os investigadores devem examinar a seção do cabeçalho do e-mail
e, assim, obter dados cruciais de valor probatório e rastrear o perpetrador.
Os investigadores podem recuperar informações de cabeçalho de qualquer mensagem de e-mail após sua
aquisição. Caso tenham acesso físico ao sistema do suspeito, podem usar o mesmo programa de e-mail
usado pelo suspeito para visualizar os e-mails. O procedimento para recuperar cabeçalhos de e-mail difere
em cada programa de e-mail.


Recuperando cabeçalhos de e-mail no Microsoft Outlook
As etapas abaixo referem-se ao aplicativo de desktop

Microsoft Outlook 2016:
Inicie o Microsoft Outlook e clique duas vezes na mensagem de e-mail
Clique no botão Arquivo localizado no canto superior esquerdo e, em seguida, no botão
ícone de propriedades
Quando a janela Propriedades for aberta, selecione o texto do cabeçalho da

mensagem na caixa Cabeçalhos da Internet , copie e cole o texto em qualquer editor
de texto e salve o arquivo
Recuperando cabeçalhos de e-mail no Microsoft Outlook
As etapas abaixo referem-se ao aplicativo de desktop Microsoft Outlook 2016:
1. Inicie o aplicativo da área de trabalho do Microsoft Outlook
2. Revise todas as mensagens de e-mail da conta de e-mail do suspeito e clique duas vezes no e-mail
mensagem que deseja salvar
3. Clique no botão Arquivo localizado no canto superior esquerdo e depois no ícone Propriedades.
4. Quando a janela Propriedades for aberta, selecione o texto do cabeçalho da mensagem da Internet
caixa de cabeçalhos
5. Copie e cole o texto em qualquer editor de texto e salve o arquivo
Assim, você pode salvar o texto dos cabeçalhos de todas as mensagens de e-mail necessárias para conduzir uma
investigação mais aprofundada sobre elas.


Figura 11.12: O ícone de arquivo no aplicativo de desktop do Microsoft Outlook
Figura 11.13: Guia Propriedades mostrando o texto do cabeçalho da mensagem


Recuperando
cabeçalhos de e-mail
no Microsoft Outlook.com
ÿ Faça logon no Microsoft Outlook.com e selecione o e-mail recebido

para o qual você gostaria de ver os cabeçalhos
ÿ Clique no botão suspenso Mais ações e navegue até a

opção Exibir detalhes da mensagem
ÿ Selecione o texto do cabeçalho da mensagem na caixa Detalhes da
mensagem , copie e cole o texto em qualquer editor de texto e salve
o arquivo
Recuperando cabeçalhos de e-mail no Microsoft Outlook.com
As etapas demonstradas abaixo referem-se ao aplicativo da Web do Microsoft Outlook:
1. Faça logon no Microsoft Outlook.com
2. Clique no e-mail para o qual você gostaria de ver os cabeçalhos
3. Clique no botão suspenso Mais ações, navegue até a opção Exibir detalhes da mensagem
e clique nele
4. Selecione o texto do cabeçalho da mensagem na caixa Detalhes da mensagem, copie e cole o texto em
qualquer editor de texto e salve o arquivo


Figura 11.14: Navegando para Mais ações ÿ Exibir detalhes da mensagem
Figura 11.15: Texto do cabeçalho da mensagem conforme encontrado na caixa Detalhes da mensagem


Recuperando
Cabeçalhos de e-
mail no Gmail
Faça login no Gmail e selecione o e-mail recebido para o qual você

gostaria de ver os cabeçalhos
Clique no botão suspenso mais e navegue até o

Mostrar opção original
Selecione o texto do cabeçalho da mensagem, copie e cole o texto

em qualquer editor de texto e salve o arquivo
Recuperando cabeçalhos de e-mail no Gmail
1. Faça login no Gmail
2. Selecione o e-mail recebido para o qual você gostaria de ver os cabeçalhos
3. Clique no botão suspenso Mais e navegue até a opção Mostrar original
4. Selecione o texto do cabeçalho da mensagem, copie e cole o texto em qualquer editor de texto e salve o
Arquivo


Figura 11.16: Navegando para Mais ÿ Mostrar original no Gmail
Figura 11.17: Texto do cabeçalho da mensagem


Etapa 5: analisando cabeçalhos de e-mail

Timestamp: Mostra a data e hora em que o e-mail foi
01 enviado
De: mostra o ID do e-mail do remetente , visível para o

02 destinatário; isso pode ser forjado em caso de e-mails de spam
03 Para: Mostra o ID de e-mail do destinatário
ID da mensagem: de acordo com RFC 2822, uma mensagem de e-mail específica

deve ter um identificador de mensagem globalmente exclusivo A primeira parte
da ID da mensagem antes de '@' contém o carimbo de data/hora do e-mail
04 (1587617857 no formato de época Unix converte para quinta-feira, 23 de abril de
2020 04 :57:37 am em UTC)
A parte do ID da mensagem após '@' contém o nome de domínio totalmente
qualificado (aqui, o nome de domínio é mail.yahoo.com)
05 Subject: Mostra o assunto conforme informado pelo remetente
Versão MIME: Extensões de correio da Internet multifuncionais são

06 usadas para oferecer suporte a anexos que não sejam de texto ,
como vídeo, imagens e áudio, e a versão padrão é 1.0
Analisando cabeçalhos de e-mail (continuação)

07 Cabeçalho Recebido
ÿ As entradas nos cabeçalhos recebidos são de valor forense significativo, pois não podem ser falsificadas, ao contrário de outros elementos de cabeçalho de e-mail
ÿ O número de cabeçalhos recebidos encontrados em uma mensagem de e-mail depende dos servidores de e-mail que processaram a mensagem conforme ela foi
viajou da origem ao destino
ÿ Os investigadores devem começar com o cabeçalho recebido mais abaixo (B), pois é o mais próximo da fonte e, em seguida, mover-se em direção ao topo
cabeçalhos (A)
ÿ Aqui, o cabeçalho B mostra o nome de domínio do qual a mensagem de e-mail se originou (sonic302-
19.consmr.mail.sg3.yahoo.com), o endereço IP associado (106.10.242.139) e a data e hora em PDT


08 Return-Path
ÿ É o endereço de devolução para e-mails enviados, mas não entregues ao destinatário ÿ Se o
endereço de e-mail do remetente e o endereço do caminho de retorno forem diferentes, isso geralmente indica falsificação de e-mail
09 Recebido-SPF
ÿ Sender Policy Framework ou SPF refere-se ao processo que permite às organizações mencionar servidores que podem
enviar e-mails em nome de seus domínios
ÿ Um cabeçalho de e-mail mostrando uma falha na verificação de SPF pode ajudar a detectar mensagens de spam

10 Assinatura DomainKeys Identified Mail (DKIM)
ÿ Oferece uma forma criptográfica de verificar se um e-mail recebido realmente se originou do

domínio de envio
Diferentes elementos da assinatura DKIM

O campo "v=" representa a versão da assinatura DKIM, que deve sempre ser definida como 1
O campo "a=" mostra o algoritmo (sha256) usado para gerar a assinatura O campo "c=" indica
o algoritmo de canonização usado. Mostra se há alguma modificação no e-mail em termos de
espaço em branco ou quebra de linha; o primeiro valor antes de "/" é para o cabeçalho e o restante é
para o corpo "d=" campo refere-se ao domínio do remetente
O campo "s=" refere-se ao seletor para identificar a chave pública do

DNS O campo "t=" denota o carimbo de data/hora da assinatura no horário da época Unix e deve
sempre corresponder ou estar próximo ao horário refletido nos campos Cabeçalho recebido e ID da
mensagem " bh=" campo é o hash para o corpo de acordo com o algoritmo de hash em uso e, em
seguida, codificado em Base64
O campo "b=" inclui a assinatura DKIM que deve ser calculada de acordo com o campo de cabeçalho
mencionado no campo "h="
Etapa 5: analisando cabeçalhos de e-mail
A análise de cabeçalhos de e-mail é um aspecto crucial das investigações de crimes por e-mail, pois eles armazenam
metadados de e-mail e outras informações. Os seguintes detalhes estão contidos nos cabeçalhos do e-mail:
1. Carimbo de data/hora
Isso reflete a data e a hora em que um e-mail foi enviado


2. De
Este cabeçalho exibe o ID de e-mail do remetente conforme visto no final do destinatário. O cabeçalho “De” pode
ser falsificado no caso de e-mails de spam.
3. Para
Este cabeçalho exibe o ID de e-mail do destinatário
4. ID da mensagem
Cada mensagem de e-mail tem um ID exclusivo associado a ela. Dois e-mails, mesmo na mesma cadeia de e-
mail, não podem ter o mesmo ID de mensagem. Esses IDs de mensagem são gerados pelo servidor MTA/mail
globalmente exclusivo do sistema de envio de email. O ID de mensagem exclusivo globalmente de uma mensagem
de e-mail é um indicador de sua autenticidade. A parte antes do “@” em um ID de mensagem denota o carimbo
de data/hora associado a essa mensagem de e-mail específica. A parte do ID da mensagem após “@” denota o
nome de domínio totalmente qualificado (FQDN), que mostra o nome de domínio completo de um host/servidor na
Internet.
5. Assunto
Este cabeçalho exibe o assunto conforme fornecido pelo remetente
6. MIME
O Multi-Purpose Internet Mail Extension (MIME) permite que os usuários de e-mail enviem arquivos de mídia como
áudio, vídeo e imagens como parte da mensagem de e-mail
Exemplos de Cabeçalhos MIME
o MIME-Version: Este cabeçalho mostra que a mensagem está no formato MIME. Por padrão,
este cabeçalho é definido com um valor de 1,0.
o Content-Type: Este cabeçalho especifica o tipo de conteúdo e subtipo em uma mensagem como
como o seguinte:
• Text/plain mostra o tipo de mensagem
• Áudio/mp3, imagem/jpeg, vídeo/mp4, respectivamente, representam mensagens de e-mail

contendo arquivos de áudio, arquivos de imagem e arquivos de vídeo
• Multiparte/assinatura mostra que uma mensagem de e-mail tem uma assinatura
• Multipart/mixed indica que um e-mail tem texto junto com anexos
o Disposição de Conteúdo: Este cabeçalho especifica como uma mensagem, ou parte de seu corpo, deve ser
apresentado
o Codificação de transferência de conteúdo: Este cabeçalho representa a codificação contida no

mensagem
o Descrição do conteúdo: Este é um cabeçalho MIME opcional usado para fornecer

informações pertencentes ao conteúdo de uma mensagem de e-mail


Figura 11.18: Analisando cabeçalhos de e-mail
7. Cabeçalho Recebido
O cabeçalho recebido contém detalhes de todos os servidores de correio através dos quais uma mensagem de
e-mail passa enquanto está em trânsito. Esses cabeçalhos são gerados sempre que um e-mail é transmitido
por meio de um servidor de e-mail/MTA em sua rota para o destinatário.
Sempre que qualquer servidor SMTP recebe uma mensagem de e-mail, um cabeçalho recebido é adicionado
ao e-mail. No cabeçalho do e-mail, os cabeçalhos recebidos são colocados na ordem inversa, de modo que o
cabeçalho recebido mais recente ou o último gerado apareça primeiro (no topo marcado por A na figura abaixo)
e o cabeçalho recebido que foi gerado primeiro apareça por último (no fundo marcado por B na figura abaixo).
Portanto, os investigadores precisam começar a examinar o cabeçalho recebido mais abaixo, pois ele reflete
informações sobre o servidor de correio do remetente. Em seguida, eles podem prosseguir para o topo, que
fornecerá dados sobre o servidor de correio e o endereço IP associado ao destinatário.


Na figura abaixo, o cabeçalho B mostra o nome de domínio do qual a mensagem de e-mail se originou
(sonic302-19.consmr.mail.sg3.yahoo.com), o endereço IP associado (106.10.242.139) e a data e hora no
PDT.
Figura 11.19: Analisando cabeçalhos recebidos
8. Caminho de Retorno
Este cabeçalho é usado para especificar o endereço de e-mail para o qual uma mensagem de e-mail será
enviada/devolvida se não chegar ao destinatário pretendido. Quando um e-mail não chega ao destinatário
pretendido, ele é devolvido. Ou seja, ele é devolvido ao remetente do e-mail, a menos que o remetente
especifique um endereço de e-mail diferente para onde os e-mails devolvidos devem ser enviados. Se o
endereço do caminho de retorno e o endereço de e-mail do remetente forem diferentes, isso é um indicador
de spam/spoofing.
9. Recebido-SPF
O Sender Policy Framework (SPF) impede a falsificação do endereço do remetente. O SPF permite que as
organizações designem servidores que podem enviar e-mails em nome de seus domínios. A estrutura
implementa um registro SPF, que se refere a um registro DNS adicionado à zona DNS do domínio de uma
organização. Dentro do registro SPF, uma organização pode definir os nomes de host e/ou endereços IP
autorizados a enviar e-mails de seu domínio.
Por meio da implementação do SPF, os resultados das trocas de e-mail podem ser os seguintes.
o Received-SPF: None: significa que nenhum registro SPF foi encontrado para o domínio.
o Received-SPF: Neutro: significa que o endereço IP do remetente não está autorizado nem restrito a enviar
e-mails em nome do domínio da organização. Um resultado neutro é tratado da mesma maneira que um
resultado “Nenhum”.
o Received-SPF: Pass: Isso significa que o endereço IP do remetente está autorizado a enviar e-mails do
domínio.
o Received-SPF - fail, or hard fail: Isso significa que o e-mail foi rejeitado pelo trocador de e-mails do
destinatário porque o endereço IP do remetente não está autorizado a enviar e-mails do domínio. A falha
grave do SPF é executada adicionando um mecanismo “-all” a um registro SPF.


Exemplo: v=spf1 ip4: 207.84.200.37 -all
No exemplo acima, “-all' significa que os remetentes que não estão listados no registro DNS mencionado
(ou seja, 207.84.200.37) devem ser tratados como não autorizados e os e-mails deles devem ser rejeitados.
Apenas o endereço IP 207.84.200.37 está autorizado a enviar e-mails.
o Received-SPF: Softfail: Isso significa que existe a possibilidade de que os endereços IP possam ou não ter
autorização para enviar e-mails em nome do domínio mencionado.
Exemplo: v=spf1 include:modprod.outlook.com ~all
No exemplo acima, o símbolo “~” indica que os e-mails provenientes de qualquer servidor não mencionado
aqui serão entregues, mas tratados como um softfail. Nesse caso, o provedor de caixa de correio marca a
mensagem como spam ou lixo eletrônico. Somente emails provenientes do Microsoft Office 365 serão
marcados como SPF PASS.
Figura 11.20: Analisando os campos Return-Path e Received-SPF
10. Assinatura de e-mail identificado por DomainKeys:
DomainKeys Identified Mail (DKIM) refere-se a um método de autenticação de e-mail que ajuda a proteger os
remetentes e destinatários de e-mails contra phishing, spoofing e spam.
A técnica verifica se a mensagem de e-mail recebida pelo destinatário foi enviada de um servidor de e-mail
legítimo. Esse método de autenticação de e-mail usa criptografia de chave pública para detectar e impedir a
entrega de e-mails maliciosos. Essa assinatura digital/DKIM é protegida por criptografia. O DKIM também
garante que os e-mails e seus conteúdos não sejam alterados durante o trânsito entre os servidores do
remetente e do destinatário. A maioria dos provedores de serviços de e-mail procura assinaturas DKIM em e-
mails.
O servidor de correio que recebe o e-mail pode validar a assinatura DKIM do remetente com a ajuda da chave
criptográfica pública registrada no DNS. O servidor de entrada usa essa chave pública para descriptografar a
assinatura (um valor de hash) e verificá-la com um valor de hash recém-calculado. Se os valores de dois hash
corresponderem, a mensagem será considerada autêntica e inalterada.


Exemplo de cabeçalho de assinatura DKIM
Assinatura DKIM: v=1; a=rsa-sha256; c=relaxado/ relaxado;
d=gmail.com; s=20161025pm;
h=mime-version:from:date:message-id:assunto:para;
bh=RqIJ8naev02DhEPJtlFAsdUqiGR7RyzmJ9cSxw5KzCY=;
b=BYQQZk7S77sJJef1WEXGyTmfb8sUF6S7W8wi93lhh7WthcGjc2lk/ NfpgqVpeXrhHP
Ujuv36G1DVe6TBzdHsjdDLzs4b3sATMSAZNZAEdA44Tm5ooGJbhBQ8iNjRgD7eYWeEPL
cF0U/ eBBU1Nteh9MOqxIBJYJ1ZHGB+dz9zyfsyQAiHik3Db1GLhXCvfYdkEWydjGN2CH
7/ IdO3IJccF5z5sVwPYDz69dCKmyl3IWckXU/ KU+xRVX4NjffZoWHBoxOK47H7YcJZye
aFoeirs/ UJVZH2xKZcjSMhBS9Q/ 4GAuACp5ehT2GtM7BoQB/ H4wVV7gdQrrHjBUEwJGX
lDIQ=
A análise de diferentes partes do cabeçalho da assinatura DKIM é fornecida abaixo:
o DKIM-Signature: Mostra o cabeçalho das mensagens assinadas por DKIM.
o v=1: Mostra a versão DKIM utilizada pelo servidor de envio, cujo valor é 1
o a=rsa-sha256: O campo “a=” indica o algoritmo hash utilizado para a geração da chave privada ou
pública. rsa-sha1 e rsa-sha256 são os dois algoritmos de assinatura oficialmente suportados para
gerar valores de hash para a chave privada/pública
o c=relaxado/relaxado: O campo “c=” indica o algoritmo de canonização utilizado. Ele mostra se há

alguma modificação no e-mail em termos de espaço em branco ou quebra de linha. O primeiro valor
antes de "/" é para o cabeçalho e o restante é para o corpo.
o d=gmail.com: O campo “d=” representa o domínio do e-mail do remetente
o s=20161025pm: O campo “s=” refere-se ao seletor para identificar a chave DKIM pública
o bh=RqIJ8naev02DhEPJtlFAsdUqiGR7RyzmJ9cSxw5KzCY=: Isso representa o valor de hash para

o corpo de acordo com o algoritmo de hash em uso e depois codificado em
Base64
o b=: Contém a assinatura DKIM que deve ser calculada de acordo com o cabeçalho
campo fornecido no campo “h=”


Figura 11.21: Analisando a assinatura DKIM


Analisando cabeçalhos de e-mail: verificando a autenticidade do e-mail
ÿ Uma vez identificado o endereço de e-mail do remetente, os

investigadores devem verificar se é válido
ÿ Use o Email Dossier, uma ferramenta de verificação incluída no

conjunto CentralOps.net de utilitários de rede online
ÿ Esta ferramenta fornece informações sobre endereço de e-mail, incluindo os

registros de troca de correspondência
ÿ Inicia sessões SMTP para verificar a aceitação do endereço, mas na verdade

nunca envia e-mail
o Verificador de endereço de e-mail
https:// tools.verifyemailaddress.io
Outras ferramentas para verificar o Verificador de e-mail
validade do e-mail: https:// email-checker.net
o Verificador de e-mail do software G-Lock

https:// www.glocksoft.com
https:// centralops.net
Analisando cabeçalhos de e-mail: verificando a autenticidade do e-mail
Um endereço de e-mail válido é aquele para o qual os e-mails podem ser enviados com sucesso. Pode autenticar a identidade
de uma pessoa ou entidade/organização. Se os investigadores forenses encontrarem um endereço de e-mail suspeito durante
a investigação do cabeçalho do e-mail, eles devem usar ferramentas online como “Dossiê de e-mail” para verificar a autenticidade
do endereço de e-mail.
ÿ Pasta de E-mail
Fonte: https:// centralops.net
Esta ferramenta fornece um campo para inserir um endereço de e-mail para que sua legitimidade possa ser verificada.
A ferramenta fornece informações sobre endereços de e-mail, que incluem registros de troca de correspondência. O
Dossiê de e-mail inicia sessões SMTP para verificar a aceitação de um endereço de e-mail, mas na verdade não envia
um e-mail. Quando um endereço de e-mail é válido/autêntico, a ferramenta fornece o resultado “3 – SMTP” no campo
“taxa de confiança”.


Figura 11.22: Resultados da validação na página da Web do Dossiê de e-mail
Algumas outras ferramentas para verificar a autenticidade dos endereços de e-mail são as seguintes:
ÿ Verificador de endereço de e-mail (https:// tools.verifyemailaddress.io)
ÿ Verificador de e-mail (https:// email-checker.net)
ÿ Verificador de e-mail do software G-Lock (https:// www.glocksoft.com)


Investigando um e-mail suspeito

01 Examinando a mensagem de e-mail 02 Verificando o link
ÿ Esta mensagem invoca um senso de urgência solicitando ao ÿ Execute o link fornecido na mensagem de e-mail em uma estação
destinatário que faça login em sua conta do Twitter de trabalho forense em um ambiente controlado
ÿ Inspecione o corpo da mensagem minuciosamente para procurar
ÿ Aqui, você pode ver que o link redireciona para uma página
link/anexo suspeito
10.0.0.32/explore em vez do URL da página de login do
ÿ A captura de tela abaixo mostra um link para a página de login do
Twitter, o que indica fraude por e-mail
Twitter, que está vinculada ao endereço IP privado 10.0.0.32
Investigando um e-mail suspeito (continuação)

03 Analisar as entradas de cabeçalho recebidas 04 Examine o endereço IP de origem
ÿ Comece a partir da entrada de cabeçalho recebida mais abaixo e, em seguida, ÿ Procure os detalhes do endereço IP coletados do
prossiga para o topo para localizar o ID de e-mail e o endereço IP do
cabeçalho no site whatismyipaddress
invasor
ÿ Você pode ver que o endereço IP está registrado sob o nome de
ÿ Aqui, a entrada de cabeçalho recebida destacada mostra a mensagem
host emkei.cz para uma organização chamada Liberty Global,
originada de um site chamado emkei.cz com o endereço IP 93.99.104.210,
localizada na República Tcheca, Europa
que indica fortemente falsificação de e-mail



05 Examine o campo SPF recebido
ÿ Analise o cabeçalho Received-SPF para ver se há alguma validação SPF

falha
ÿ Você pode ver que o campo SPF recebido abaixo está mostrando um softfail
que indica que o domínio de jose.regan@gmail.com ou o remetente não
permite que o IP do servidor 93.99.104.210 envie e-mails em seu nome
ÿ Esta falha de validação é um sinal de que a mensagem pode ter sido falsificada

06 07
Verifique a validade do e-mail do remetente Examine o ID da mensagem ÿ
ÿ Use o site do Dossiê de e-mail para ver se o endereço de e-mail do Você pode ver aqui que a parte destacada do ID da mensagem
remetente mostrado na mensagem de e-mail é legítimo ÿ Você pode mostra o nome de domínio totalmente qualificado (FQDN)
ver que o Dossiê de e-mail mostra que o endereço de e-mail é válido como o host local em vez de mail.gmail.com, o que indica
claramente que esta é uma mensagem de e-mail falsificada
ÿ Isso indica que o invasor pode ter comprometido a conta de e-mail do
usuário chamado Jose Regan ou obtido o endereço de e-mail por meio
de técnicas de engenharia social
Investigando um e-mail suspeito
Se um e-mail for identificado como suspeito, suas partes principais, incluindo o campo de assunto, o
corpo do e-mail, os cabeçalhos de e-mail, como os cabeçalhos recebidos, o Received-SPF e a ID da
mensagem, devem ser examinados minuciosamente para investigar e determinar se o e-mail for
malicioso ou forjado/falsificado.


Abaixo são apresentados alguns dos componentes que os investigadores devem examinar para entender
se uma mensagem de e-mail é genuína ou falsificada:
1. Examinando a mensagem de e-mail
Ao examinar uma mensagem de e-mail suspeita, os investigadores devem seguir de perto o assunto,
o conteúdo do corpo e o anexo do e-mail para extrair dados de valor probatório. A captura de tela
abaixo mostra uma mensagem de e-mail cuja linha de assunto é escrita de maneira a criar um senso
de urgência no destinatário e, assim, manipular o leitor a clicar no e-mail para ler a mensagem.
Além disso, o corpo do e-mail contém um link para a página de login do Twitter. No entanto, passar
o ponteiro do mouse sobre o link fornecido revela um endereço IP (10.0.0.32) na parte inferior
esquerda da janela do e-mail que parece suspeito porque parece um endereço IP privado.
Figura 11.23: Examinando uma mensagem de e-mail suspeita


2. Verificando o link
Se algum link suspeito for encontrado no corpo do e-mail, o investigador pode examinar o link
abrindo-o em um ambiente forense controlado. A captura de tela abaixo mostra que o link,
uma vez clicado, redireciona para uma página da Web onde o navegador mostra “10.0.0.32/
explore” no espaço da URL, em vez da URL da página de login do Twitter.
Figura 11.24: A página do Twitter abrindo com URL suspeito
A página aberta, no entanto, contém campos para nomes de usuário e senhas do Twitter. Se
o usuário de destino fornecer suas credenciais por engano, o invasor obterá uma impressão
em sua máquina de ataque.
Figura 11.25: Nome de usuário e senha refletidos na máquina do invasor


3. Analisando as entradas de cabeçalho recebidas
Para encontrar informações sobre o servidor de correio, o endereço IP e o nome do host usado pelo
invasor/remetente, o investigador precisa examinar as entradas de cabeçalho recebidas no cabeçalho
do email. Detalhes sobre o nome do host, servidor de e-mail e endereço IP usados pelo invasor são
revelados no cabeçalho recebido na parte inferior.
Figura 11.26: Examinando os cabeçalhos recebidos na mensagem suspeita
A captura de tela acima reflete o conteúdo do cabeçalho recebido na parte inferior, que revela que a
mensagem de e-mail se originou de um site chamado emkei.cz com um endereço IP de 93.99.104.210.
O nome do site e o endereço IP mostrados devem levantar suspeitas, pois essas descobertas são fortes
indicadores de falsificação de e-mail.
4. Examinando o endereço IP de origem
Os investigadores podem estudar ainda mais o endereço IP obtido da entrada do cabeçalho recebido
no site whatismyipaddress.com. A captura de tela abaixo reconfirma que o endereço IP pertence ao
nome do host emkei.cz. Está associado a uma organização chamada Liberty Global, localizada na
República Tcheca, na Europa. Essas descobertas apontam ainda para falsificação de e-mail.


Figura 11.27: detalhes de IP para 93.99.104.210 em whatismyipaddress.com
5. Examinando o campo SPF recebido
Os investigadores também devem examinar o campo de cabeçalho Received-SPF para verificar qualquer
falha de autenticação SPF.
A captura de tela abaixo mostra que o campo Received-SPF está exibindo um resultado “softfail”, o que
significa que o domínio de jose.regan@gmail.com (ID de e-mail do remetente conforme mostrado no e-
mail) não autorizou o endereço IP 93.99 .104.210 para enviar e-mails em seu nome.
Essa falha de autenticação é outro indicador de falsificação de uma mensagem de e-mail.
Figura 11.28: Recebido-SPF mostrando softfail
6. Verificando a validade do e-mail do remetente
Assim que o ID do e-mail do remetente for obtido, o investigador deve usar o Dossiê de e-mail para verificar
se o endereço de e-mail do remetente mostrado na mensagem é autêntico.
A captura de tela abaixo foi tirada do Dossiê de e-mail, que mostra o endereço de e-mail válido. Com essa
descoberta, o investigador pode determinar que a conta de e-mail do usuário chamado Jose Regan pode
ter sido comprometida pelo invasor ou o ID foi obtido por meio de técnicas de engenharia social.


Figura 11.29: Resultados da validação de ID de e-mail no Dossiê de e-mail
7. Examinando o ID da mensagem
Examinar o ID da mensagem também é uma parte importante da investigação, pois ajuda a

determinar a autenticidade da mensagem de e-mail.
A captura de tela abaixo destacando o ID da mensagem mostra que o nome de domínio totalmente
qualificado (FQDN) é refletido como "localhost" em vez de mail.gmail.com (que é o FQDN do Gmail).
Esta descoberta confirma a possibilidade de uma mensagem de e-mail ter sido falsificada/falsificada.
Figura 11.30: Examinando o ID da mensagem


Etapa 6: Recuperar mensagens de e-mail excluídas
A recuperação de mensagens de e-mail excluídas depende do cliente de e-mail usado para enviar o e-mail
Thunderbird PST do Outlook
ÿ As mensagens excluídas da caixa de correio residem na ÿ Quando as mensagens de e-mail são excluídas no Outlook, elas
pasta Lixeira, até que a pasta Lixeira seja limpa são movidas para a pasta 'Itens Excluídos'
ÿ Algumas ferramentas forenses podem recuperar essas ÿ Se os e-mails forem excluídos dos Itens Excluídos
mensagens excluídas , dependendo de quanto tempo a pasta, eles irão para o espaço não alocado da unidade
recuperação é tentada
ÿ As mensagens de e-mail excluídas da seção Lixeira das ÿ As mensagens de e-mail excluídas podem ser recuperadas
Pastas locais podem ser completamente recuperadas se esse espaço não alocado não for substituído por
novos dados
Use a ferramenta Electronic Evidence Examiner da Paraben para recuperar e coletar mensagens de e-mail excluídas do Outlook e
Clientes de e-mail Thunderbird
Etapa 6: Recuperar mensagens de e-mail excluídas
O processo de recuperação de uma mensagem de e-mail excluída difere com base no cliente de e-mail usado para
enviar o e-mail:
ÿ Recuperando mensagens de e-mail excluídas do Outlook PST
No Outlook, as mensagens de e-mail, uma vez excluídas, são movidas para a pasta “Itens Excluídos”. Os e-
mails excluídos são armazenados na pasta “Itens Excluídos” por 14 dias (um período de retenção padrão que
pode ser modificado), após o qual as mensagens são excluídas automaticamente dessa pasta. Caso esses e-
mails excluídos também sejam removidos desta pasta, eles se tornam invisíveis para o usuário. No entanto,
eles não são totalmente excluídos, mas movidos para o espaço não alocado da unidade. As mensagens de e-
mail excluídas podem ser recuperadas se esse espaço não alocado não for substituído por novos dados.
Esses e-mails podem ser recuperados com ferramentas forenses, como o Electronic Evidence Examiner (E3)
da Paraben, caso ainda não tenham sido substituídos.
ÿ Recuperando e-mail excluído do Thunderbird
O Thunderbird armazena as mensagens de e-mail deletadas pelo usuário na pasta “Lixeira”. A pasta “Lixeira”
armazena as mensagens de e-mail excluídas até que sejam limpas. Ferramentas forenses, como o Electronic
Evidence Examiner (E3) da Paraben, podem recuperar essas mensagens de e-mail excluídas, dependendo
de quanto tempo a recuperação é tentada. Se qualquer mensagem de e-mail armazenada na pasta Lixeira
local do Thunderbird for excluída, sua recuperação completa é possível.
Investigadores forenses podem recuperar dados de e-mail excluídos permanentemente de arquivos .pst do Outlook e
Thunderbird usando ferramentas como o Electronic Evidence Examiner da Paraben. Aqui, dados de e-mail excluídos
permanentemente referem-se a mensagens de e-mail excluídas que foram excluídas ou perdidas do


Pasta “Itens Excluídos” no contexto do Outlook e para aqueles que foram excluídos ou perdidos da pasta “Lixeira”,
bem como da pasta “Lixeira Local” do Thunderbird.
ÿ Examinador de Provas Eletrônicos da Paraben
Fonte: https:// paraben.com
O E3 é uma ferramenta abrangente de análise forense digital projetada para lidar com dados com mais
eficiência, ao mesmo tempo em que adere ao paradigma P2 da Paraben de foco especializado de todo o
processo de exame forense. A plataforma E3 usa a arquitetura de plug-in avançada da Paraben para criar
mecanismos especializados que examinam elementos como e-mail, e-mail de rede, logs de bate-papo, dados
móveis, sistemas de arquivos e análise de arquivos da Internet - ao mesmo tempo em que aumenta a
quantidade de dados que podem ser processados e utilizando recursos através de multi-threading e
agendamento de tarefas. O Electronic Evidence Examiner não é apenas acessível, mas também funciona de
forma eficaz com requisitos de hardware mais baixos.


Recuperando mensagens de e-mail excluídas de arquivos .pst

do Outlook usando o examinador de evidências eletrônicas da Paraben
Aqui, a captura de tela mostra a recuperação de duas mensagens de e-mail pelo examinador de e-mail
eletrônico da Paraben que foram excluídas dos arquivos .pst locais do Outlook
Você pode ver o corpo do e-mail recuperado, os anexos e seus cabeçalhos RFC e usar as informações para análise
posterior
Recuperando mensagens de e-mail excluídas de arquivos .pst do Outlook usando o examinador de

evidências eletrônicas da Paraben
A captura de tela abaixo mostra a recuperação de duas mensagens de e-mail pelo Electronic Email
Examiner da Paraben que foram excluídas dos arquivos .pst locais do Outlook. Você pode ver o corpo do
e-mail recuperado, os anexos e seus cabeçalhos RFC e usar as informações para análise posterior.
Figura 11.31: Recuperação de mensagens de e-mail excluídas de arquivos .pst do Outlook no E3 da Paraben


Resumo do Módulo
Este módulo discutiu o sistema de e-mail
Ele discutiu os componentes envolvidos na comunicação por e-mail
Ele também discutiu em detalhes as partes de uma mensagem de e-mail
Por fim, este módulo terminou com uma discussão detalhada sobre a investigação de
crimes por e-mail e suas etapas
No próximo módulo, discutiremos em detalhes a análise forense de malware
Resumo do Módulo
Este módulo discutiu o sistema de e-mail e os componentes envolvidos na comunicação por e-mail.
Além disso, discutiu em detalhes as partes de uma mensagem de e-mail. Por fim, este módulo apresentou uma discussão
detalhada sobre a investigação de crimes por e-mail e suas etapas.
No próximo módulo, discutiremos detalhadamente a análise forense de malware.

MT
CE-Conselho
EC-Council
D FEDigital
Digital
Módulo 12
A n á l i s e F o r en s e d e M a l w a r e

Análise Forense de Malware
Compreendendo o malware e as técnicas comuns que os invasores usam para
1 Espalhar malware
Compreendendo os fundamentos da análise forense de malware e os tipos de malware

2
Análise
3 Visão geral da análise estática de malware
4 Visão geral da análise de documentos do Word suspeitos
5 Compreendendo os fundamentos e as abordagens da análise dinâmica de malware
Compreendendo a análise do comportamento do malware nas propriedades do sistema

6 em tempo real
7 Compreendendo a análise do comportamento do malware na rede em tempo real
Atualmente, o software malicioso, comumente chamado de malware, é a ferramenta mais eficiente para comprometer a
segurança de um computador ou qualquer outro dispositivo eletrônico conectado à internet. Isso se tornou uma ameaça devido
ao rápido progresso em tecnologias como criptografia fácil e técnicas de ocultação de dados. O malware é a principal fonte de
vários ataques cibernéticos e ameaças à segurança da Internet; portanto, os analistas forenses de computador precisam ter
experiência para lidar com eles.
Este módulo discute detalhadamente os diferentes tipos de malware, como eles podem entrar no sistema e as diferentes
técnicas usadas pelos invasores para espalhar malware. Ele também descreve os fundamentos forenses de malware e
diferentes tipos de análise de malware que os investigadores podem realizar para examinar o código malicioso e determinar
como o malware interage com os recursos do sistema e a rede durante o tempo de execução. Este módulo inclui a análise de
documentos do Word suspeitos.
ÿ Definir malware e identificar as técnicas comuns que os invasores usam para espalhar malware
ÿ Compreender os fundamentos forenses de malware e reconhecer os tipos de análise de malware
ÿ Compreender e realizar análises estáticas de malware
ÿ Analisar documentos do Word suspeitos
ÿ Compreender os fundamentos e abordagens da análise dinâmica de malware
ÿ Analisar o comportamento do malware nas propriedades do sistema em tempo real
ÿ Analisar o comportamento do malware na rede em tempo real

Fluxo do módulo
01 02 03 04
Entenda o malware, seus Entenda o malware Executar Estático Analisar suspeito
componentes e Fundamentos Forenses e Análise de Malware Documentos do Word
Métodos de distribuição Reconhecer Tipos de
Análise de Malware
05 06 07
Desempenho Dinâmico Executar sistema Executar rede
Análise de Malware Análise do Comportamento Análise do Comportamento
Entenda o malware, seus componentes e métodos de distribuição

Esta seção detalha o que é um malware e as diferentes maneiras pelas quais ele pode entrar em qualquer
sistema. Ele também discute os diferentes componentes do malware e a que finalidade eles servem para o invasor.
Também é importante que os investigadores conheçam as várias técnicas que os invasores empregam para
espalhar software malicioso pela Web, o que também é resumido nesta seção.

ÿ Malware é um software malicioso que danifica ou desativa o

sistemas e dá controle limitado ou total dos sistemas ao criador do
malware para fins de roubo ou fraude
Introdução ao
ÿ Diferentes tipos de malware incluem vírus, worms, cavalos de Tróia, etc.
malware
Diferentes maneiras pelas quais o malware pode entrar em um sistema:
01 Aplicativos de mensagens instantâneas e Internet Relay Chat (IRC)
02 Dispositivos removíveis
03 Links e anexos em e-mails
04 NetBIOS (Compartilhamento de arquivos)
05 Programas falsos e software freeware
06 Bugs de navegador e software
07 Baixar arquivos, jogos e protetores de tela de sites não confiáveis
Introdução ao malware
Malware, uma forma abreviada de software malicioso, é um programa capaz de alterar as propriedades de um dispositivo ou
aplicativo de destino para fornecer controle limitado ou total do dispositivo ao seu criador. Um malware é útil quando uma
pessoa não autorizada deseja acessar ilegalmente um dispositivo bloqueado ou seguro.
Os programas de malware incluem vírus, worms, trojans, rootkits, adware, spyware, etc., que podem excluir arquivos, tornar
computadores lentos, roubar informações pessoais, enviar spam e cometer fraudes.
O malware pode executar várias atividades maliciosas, desde simples publicidade por e-mail até roubo complexo de identidade
e roubo de senha. Os programadores de malware desenvolvem e usam-no para:
ÿ Atacar navegadores e rastrear sites visitados
ÿ Alterar o desempenho do sistema, tornando-o muito lento
ÿ Causa falha de hardware, tornando os computadores inoperáveis
ÿ Roubar informações pessoais, incluindo contactos
ÿ Apague informações importantes, resultando em perdas de dados potencialmente enormes
ÿ Atacar sistemas de computador adicionais diretamente de um sistema comprometido
ÿ Caixas de entrada de spam com e-mails publicitários
Os invasores usam malware para quebrar a segurança cibernética. Portanto, é crucial que os analistas forenses tenham um
conhecimento sólido dos diferentes programas de malware: seu funcionamento, propagação, local de impacto, saída, juntamente
com diferentes métodos de detecção e análise.

As formas mais comuns de um invasor enviar um malware para um sistema são as seguintes:
ÿ Instant Messenger e Internet Relay Chat
Aplicativos de mensagens instantâneas (IM), como ICQ ou Yahoo Messenger, permitem a transferência de mensagens
de texto e arquivos. O malware pode se dispersar em um sistema por meio de arquivos recebidos durante a
transferência usando mensagens instantâneas. Os arquivos recebidos podem conter códigos ou programas altamente
maliciosos, pois os aplicativos de mensagens instantâneas não possuem um mecanismo de verificação adequado
para os arquivos transferidos.
O Internet Relay Chat (IRC), por outro lado, é um serviço de bate-papo que permite que vários usuários se
conectem e troquem dados e arquivos pela Internet. Malware, como trojans, usam o IRC como meio de
propagação. Os invasores renomeiam os arquivos Trojan como algo diferente para enganar a vítima e enviá-
los pelo IRC. Quando o usuário do IRC baixa e clica no arquivo, o Trojan executa e instala um programa
malicioso no sistema.
ÿ Dispositivos Removíveis
O malware pode se propagar por meio de mídia removível corrompida, como pen drives e CD-ROMs.
Quando um usuário conecta dispositivos de mídia corrompidos a um sistema de computador, o malware
também se espalha automaticamente para o sistema. CDs, DVDs e dispositivos de armazenamento USB,
como unidades flash ou discos rígidos externos, vêm com suporte para Autorun, que aciona certas ações
predeterminadas em um sistema ao conectar esses dispositivos. Os invasores exploram esse recurso para
executar malware junto com programas genuínos, colocando um arquivo Autorun.inf com o malware em um
CD/DVD ou USB.
ÿ E-mail e Anexos
Os invasores adotam uma técnica de envio em massa para enviar um grande número de mensagens de e-
mail, com o malware anexado como um arquivo ou embutido no próprio e-mail. Quando o usuário abre o e-
mail, o malware incorporado é instalado automaticamente no sistema e começa a se espalhar. Por outro lado,
um malware enviado como anexo exige que o usuário baixe e abra o arquivo anexado para que ele se torne
ativo e corrompa o sistema.
Alguns clientes de e-mail, como o Outlook Express, executam arquivos anexados automaticamente.
Os invasores também colocam links para sites maliciosos nos e-mails, juntamente com mensagens atraentes
que induzem a vítima a clicar no link. A maioria dos clientes da web detecta essas mensagens e as classifica
em categorias nocivas. Se o usuário clicar nesses links, o navegador navegará para um site prejudicial, que
pode baixar o malware no sistema sem o consentimento do usuário.
ÿ Bugs de navegador e software
Os usuários não atualizam o software e os aplicativos instalados em seu sistema. Esses elementos de um
sistema vêm com várias vulnerabilidades, que os invasores aproveitam para corromper o sistema usando um
malware.
Um navegador desatualizado pode não ser capaz de identificar se um usuário mal-intencionado está visitando
um site malicioso e não pode impedir que o site copie ou instale programas no site do usuário

computador. Às vezes, uma visita a um site malicioso pode infectar automaticamente a máquina sem baixar
ou executar qualquer programa.
ÿ Bluetooth e redes sem fio
Os invasores usam redes Bluetooth e Wi-Fi abertas para atrair usuários para se conectar a ela. Essas redes
abertas têm dispositivos de software e hardware instalados no nível do roteador que podem capturar o
tráfego de rede e os pacotes de dados e encontrar outros detalhes da conta, incluindo nomes de usuário e
senhas.
ÿ Downloads de Arquivos
Os invasores mascaram arquivos e aplicativos maliciosos com ícones e nomes de aplicativos caros ou
famosos. Eles colocam esses aplicativos em sites e os tornam disponíveis para download gratuitamente para
atrair vítimas. Além disso, eles criam os sites de forma que o programa gratuito afirma ter recursos como um
catálogo de endereços, acesso para verificar várias contas POP3 e outras funções para atrair muitos usuários.
Se um usuário baixar esses programas, rotulá-los como confiáveis e executá-los, um software de proteção
pode não verificar o novo software em busca de conteúdo malicioso. Esse malware pode solicitar e-mail,
senhas de contas POP3, senhas em cache e pressionamentos de tecla para os invasores por e-mail
secretamente.
Às vezes, funcionários insatisfeitos de uma empresa criam um pacote de software aparentemente legítimo
com malware e o colocam na rede interna da empresa.
Quando outros funcionários acessam esses arquivos e tentam baixá-los e executá-los, o malware compromete
o sistema e também pode causar perdas intelectuais e financeiras.
Além do software falso, o intruso também pode construir outros arquivos falsos, como tocadores de música,
arquivos, filmes, jogos, cartões comemorativos, protetores de tela, etc.
ÿ Compartilhamento de arquivos de rede (usando NetBIOS)
Se os usuários compartilharem uma rede comum com portas abertas, o malware poderá se propagar de um
sistema corrompido para outros sistemas por meio de arquivos e pastas compartilhados.

Componentes de malware
Os componentes de um software malicioso dependem dos requisitos do autor do malware, que o projeta para um
alvo específico para executar as tarefas pretendidas
Componentes básicos de um malware:
Componente de malware Descrição
criptografar Um tipo de software que disfarça o malware como um produto legítimo por meio de criptografia ou ofuscação, protegendo-o assim da detecção por programas de segurança
Um tipo de Trojan que baixa outro malware da Internet para o PC. Normalmente, os invasores instalam o software downloader quando obtêm acesso a um sistema pela primeira vez
Downloader
conta-gotas Um tipo de cavalo de Tróia que instala outros arquivos de malware no sistema a partir do pacote de malware ou da Internet
Explorar Um código malicioso que viola a segurança do sistema por meio de vulnerabilidades de software para acessar informações ou instalar malware
injetor Um programa que injeta seu código em outros processos em execução vulneráveis e altera a forma de execução para ocultar ou impedir sua remoção
Obfuscator Um programa que oculta seu código e a finalidade pretendida por meio de várias técnicas, tornando difícil para os mecanismos de segurança detectá-lo ou removê-lo
embalador Um programa que permite agrupar todos os arquivos em um único arquivo executável por meio de compactação para contornar a detecção de software de segurança
Carga útil Um pedaço de software que permite controlar um sistema de computador depois de ter sido explorado
Código malicioso Um comando que define as funcionalidades básicas do malware, como roubar dados e criar um backdoor
Um grupo de malware que não grava nenhum arquivo no disco e usa apenas ferramentas aprovadas do Windows para instalação e execução, contornando programas de segurança e
Malware sem arquivo
processos de lista branca de aplicativos
Componentes de malware
Os autores e invasores de malware criam malware usando os componentes que podem ajudá-los a atingir seus objetivos.
Eles podem usar malware para roubar informações, excluir dados, alterar configurações do sistema, fornecer acesso ou
simplesmente multiplicar e ocupar espaço. O malware é capaz de se propagar e funcionar secretamente. Alguns
componentes básicos da maioria dos programas de malware são os seguintes:
ÿ Criptografar
Refere-se a um programa de software que pode ocultar a existência de um malware. Os invasores usam esse
software para iludir a detecção de antivírus. O criptografador criptografa o arquivo malicioso em um malware ou
o próprio malware inteiro para evitar a detecção.
ÿ Descarregador
É um tipo de Trojan que baixa outro malware (ou) código malicioso e arquivos da Internet para o PC.
Normalmente, os invasores instalam um downloader quando obtêm acesso a um sistema pela primeira vez.
ÿ Conta- gotas
Os invasores precisam instalar o programa de malware ou código no sistema para executá-lo, e esse programa
pode executar a tarefa de instalação de forma oculta. O conta-gotas pode conter código de malware não
identificável que os scanners antivírus não podem detectar e pode baixar arquivos adicionais
necessários para executar o malware em um sistema de destino.
ÿ Explorar
É uma parte do malware que contém um código ou sequência de comandos para tirar proveito de um bug ou
vulnerabilidade em um sistema ou dispositivo digital.

Os invasores usam esse código para violar a segurança do sistema por meio de vulnerabilidades de software
para acessar informações ou instalar malware. Com base no tipo de vulnerabilidade de que abusam, os exploits
têm diferentes categorias, incluindo exploits locais e exploits remotos.
ÿ Injector
É um programa que injeta as explorações ou códigos maliciosos disponíveis no malware em outros processos
vulneráveis em execução e altera a forma de execução para ocultar ou impedir sua remoção.
ÿ Obfuscador
É um programa que oculta o código malicioso de um malware por meio de várias técnicas, dificultando a
detecção ou remoção pelos mecanismos de segurança.
ÿ Empacotador
É um software que comprime o arquivo de malware para converter o código e os dados do malware em um
formato ilegível. Os empacotadores utilizam técnicas de compactação para compactar o malware.
ÿ Carga útil
É uma parte do malware que executa uma atividade desejada quando ativado. O Payload pode ter a tendência
de excluir ou modificar arquivos, afetando assim o desempenho do sistema, abrindo portas, alterando
configurações etc. como parte do comprometimento da segurança.
ÿ Código Malicioso
É um trecho de código que define a funcionalidade básica do malware e compreende comandos que resultam
em brechas de segurança. Pode assumir várias formas como:
o Miniaplicativos Java
o Controles ActiveX
o Plug-ins do navegador
o Conteúdo enviado
ÿ Malware sem arquivo
Como o nome sugere, esse tipo de malware não usa nenhum arquivo para infectar um sistema. Existem
diferentes variantes deste grupo de malware. Alguns malwares sem arquivo podem vir empacotados como
firmware do dispositivo e residir na memória, o que os ajuda a serem executados mesmo após a formatação
do disco, reinstalação do sistema operacional e reinicialização do sistema.
Os invasores também usam recursos integrados do Windows e aplicativos autorizados, como PowerShell,
prompt de comando e Windows Management Instrumentation, para instalar e executar esse malware em
qualquer sistema. Assim, esse ataque malicioso sem arquivo pode facilmente ignorar os processos de lista
branca de aplicativos, pois usa apenas aplicativos aprovados. A ausência de qualquer arquivo físico também
permite que os invasores escapem dos programas de segurança e continuem o ataque.

Técnicas comuns que os invasores usam para distribuir

malware pela Web
Mecanismo de Busca Blackhat
ÿ Classificação de páginas atacadas por malware no resultado da página do mecanismo de pesquisa
Otimização (SEO)
ÿ Incorporação de malware em redes de anúncios exibidas em centenas de sites

Malvertising
legítimos de alto tráfego
comprometido
ÿ Hospedagem de sites de malware embutidos que se espalham para visitantes desavisados
Sites legítimos
ÿ Roubar credenciais de conta de domínio por meio de phishing para criar vários subdomínios
Sombreamento de domínio
que direcionam o tráfego para páginas de destino que hospedam um kit de exploração
Engenharia social
ÿ Enganar os usuários para que cliquem em páginas da Web de aparência inocente
roubo de cliques
Sites de Spear Phishing ÿ Imitar instituições legítimas na tentativa de roubar credenciais de login
ÿ Vírus que exploram falhas em um software de navegador para instalar malware apenas
Transferências automáticas
visitando uma página da web
ÿ Malware sendo executado automaticamente quando o usuário passa o ponteiro do mouse sobre
Mouse pairando
qualquer texto ou imagem com hiperlink em uma apresentação de slides maliciosa do PowerPoint
http:// www.sophos.com
Técnicas comuns que os invasores usam para distribuir malware pela Web
Algumas das técnicas comuns usadas para distribuir malware na web são as seguintes:
ÿ Blackhat Search Engine Optimization (SEO)
O Blackhat SEO (também conhecido como SEO antiético) usa táticas agressivas de SEO, como preenchimento de
palavras-chave, páginas de entrada, troca de páginas e adição de palavras-chave não relacionadas para obter uma
classificação mais alta do mecanismo de pesquisa para suas páginas de malware.
ÿ Clickjacking de Engenharia Social
Os invasores injetam malware em sites de aparência legítima para induzir os usuários a clicar neles.
Quando clicado, o malware embutido no link é executado sem o conhecimento do usuário
ou consentimento.
ÿ Sites de Spear Phishing
A técnica ajuda o invasor a imitar instituições legítimas, como bancos, para roubar senhas, dados
de cartões de crédito e contas bancárias e outras informações confidenciais.
ÿ Malvertising
Envolve a incorporação de anúncios carregados de malware em canais de publicidade online

autênticos para espalhar malware nos sistemas de usuários desavisados.
ÿ Sites legítimos comprometidos
Frequentemente, os invasores usam sites comprometidos para infectar sistemas com malware.
Quando um usuário não suspeito visita o site comprometido, o malware se instala secretamente no
sistema do usuário e, posteriormente, realiza atividades maliciosas.

ÿ Downloads Drive-by
Refere-se ao download não intencional de software pela Internet. Aqui, um invasor explora as falhas em um
software de navegador para instalar malware simplesmente visitando uma página da web.
ÿ Sombreamento de Domínio
Isso se refere a uma técnica na qual os invasores obtêm acesso às credenciais da conta do domínio por meio
de phishing e criam várias camadas de subdomínios para realizar atividades maliciosas, como redirecionar os
usuários para páginas de destino que oferecem explorações. Esses subdomínios, que direcionam o tráfego
para servidores maliciosos, estão associados a domínios confiáveis e não afetam de forma alguma o
funcionamento de seus domínios pais. Além disso, os subdomínios vinculados a um único domínio são
rapidamente rotacionados pelos invasores, o que dificulta bastante sua detecção.
ÿ Mouse pairando
Essa é uma técnica relativamente nova e exclusiva usada por invasores para infectar sistemas com malware.
Os invasores enviam e-mails de spam para os usuários-alvo, juntamente com um anexo de arquivo do Microsoft
PowerPoint com extensão .PPSX ou .PPS. Quando os usuários baixam e abrem o arquivo malicioso, eles, sem
saber, permitem que o malware seja executado em seus sistemas. O malware é executado automaticamente
com a simples ação de os usuários passarem o ponteiro do mouse sobre qualquer texto ou foto com hiperlink
dentro do arquivo malicioso.

Fluxo do módulo
01 02 03 04
Análise de Malware
05 06 07
Entenda os fundamentos da análise forense de malware e reconheça os

tipos de análise de malware
Quando há suspeita de que uma máquina está infectada com malware, uma equipe forense digital é
frequentemente chamada para verificação e investigação adicional. Os investigadores forenses
precisam localizar o software malicioso e determinar sua funcionalidade, origem e possível impacto no
sistema e na rede. Os investigadores examinam um software malicioso em um ambiente controlado
usando uma variedade de ferramentas e técnicas forenses. Esta seção expõe os aspectos fundamentais
da análise forense de malware e destaca os diferentes tipos de metodologias de análise de malware
que os investigadores podem seguir.

Introdução à análise forense de malware
Freqüentemente, os invasores usam malware como vírus, worm, trojan, spyware e

ransomware para cometer um crime no sistema de destino pretendido
A análise forense de malware lida com a identificação e contenção de código

malicioso e examina seu comportamento em um ambiente controlado
A realização da análise de malware permite que os investigadores conheçam o tipo de

malware, como ele funciona, seu comportamento e seu impacto no sistema de destino
Você pode usar um conjunto de ferramentas e técnicas para realizar análises estáticas e
análises dinâmicas (em tempo de execução) do código malicioso
Introdução à análise forense de malware
Frequentemente, os invasores usam malware como vírus, worm, trojan, spyware e ransomware para cometer um
crime no sistema de destino pretendido. Um malware pode infligir perdas intelectuais e financeiras ao alvo, que pode
ser um indivíduo, um grupo de pessoas ou uma organização. A pior parte é que ele se espalha de um sistema para
outro com facilidade e discrição.
A análise forense de malware é o método de encontrar, analisar e investigar várias propriedades de malware para
encontrar os culpados e o motivo por trás do ataque. O processo também inclui tarefas como encontrar o código
malicioso e determinar sua entrada, método de propagação, impacto no sistema, portas que ele tenta usar, etc. Os
investigadores forenses usam um conjunto de ferramentas e técnicas para realizar análises estáticas e dinâmicas
(executar -time) análise do código malicioso.

Por que analisar malware?
Para determinar o que Para identificar a

01
exatamente aconteceu
05 vulnerabilidade explorada
Para determinar a intenção Para identificar a extensão dos danos

maliciosa do malware 02 06 causados por uma intrusão
Para capturar o criminoso

Para descobrir os IoCs 03 07 responsável pela instalação do
malware
Para encontrar assinaturas para

Para determinar o nível de
complexidade de uma intrusão 04 08 sistemas de detecção de intrusão
baseados em host e rede
Por que analisar malware?
Alguns dos objetivos básicos por trás da análise de um programa malicioso incluem:
ÿ Determinar o que exatamente aconteceu
ÿ Listando os IoCs para diferentes máquinas e diferentes programas de malware
ÿ Determinar a intenção do malware
ÿ Avaliar o nível de complexidade de uma intrusão
ÿ Encontrar assinaturas para sistemas de detecção de intrusão baseados em host e rede
ÿ Encontrar a vulnerabilidade do sistema que o malware explorou ÿ
Identificar a extensão dos danos causados por uma invasão
ÿ Distinguir entre um invasor de portão e um insider responsável pela entrada de malware
ÿ Rastrear o perpetrador responsável pela invasão do malware
Algumas das perguntas de negócios mais comuns respondidas pela análise de malware são as seguintes:
ÿ Qual é a intenção do malware?
ÿ Como passou?
ÿ Quem são os autores?

ÿ Como aboli-lo?
ÿ Qual é a extensão da perda?
ÿ Há quanto tempo o sistema está infectado?

ÿ Qual é o meio de malware?
ÿ Quais são as medidas preventivas?

Desafios da análise de malware
Precisão do processo de análise 01
Detecção de partes e traços de malware 02
Quantidade de dados a serem analisados 03
Mudança de tecnologias e dinâmicas de

criação e propagação de malware
04
Procedimentos anti-análise , como criptografia,

ofuscação de código e exclusão de registros
05
https:// www.hhs.gov
Desafios da análise de malware

Fonte: https:// www.hhs.gov
Os desafios enfrentados durante a análise de malware geralmente pertencem às seguintes áreas:
ÿ Precisão do processo de análise
ÿ Detecção de partes e traços de malware
ÿ Quantidade de dados a analisar
ÿ Mudança de tecnologias e dinâmicas de criação e propagação de malware
ÿ Procedimentos de anti-análise, como criptografia, ofuscação de código e exclusão de registros

Identificando e extraindo malware

Se um usuário relatou uma atividade suspeita em seu sistema, você deve examinar as seguintes áreas do
sistema comprometido para encontrar vestígios de instalação de malware:
Programas instalados Trabalhos agendados Histórico Entradas de registro
Executáveis suspeitos Serviços Contas de usuário e atividades de Rastreamentos de aplicativos

login
Locais de início automático Módulos Sistemas de arquivos pontos de restauração
Você pode usar ferramentas, como Balbuzard e Cryptam Malware Document Detection Suite, para extrair padrões de arquivos maliciosos para investigação
Você pode realizar análises estáticas e dinâmicas juntas para identificar a intenção e os recursos do malware
Identificando e extraindo malware
Quando os investigadores obtêm relatórios de atividades suspeitas das vítimas, eles devem realizar um exame completo
dos sistemas suspeitos, redes e outros dispositivos conectados para encontrar vestígios de malware. Os investigadores
devem examinar as seguintes áreas do sistema comprometido para encontrar vestígios de instalação de malware:
ÿ Programas instalados ÿ Registros
ÿ Executáveis suspeitos ÿ Contas de usuário e atividades de login
ÿ Locais de início automático ÿ Sistemas de arquivos
ÿ Trabalhos agendados ÿ Entradas de registo
ÿ Serviços ÿ Traços de aplicação
ÿ Módulos ÿ Restaurar pontos
Os programas de malware exibem propriedades específicas, que podem ajudar os investigadores a identificá-los ou
distingui-los dos programas de software normais. Os investigadores podem usar ferramentas de software e hardware,
bem como ferramentas online e bancos de dados para identificar o malware.
Os investigadores podem usar ferramentas como Balbuzard, Cryptam Malware Document Detection Suite, etc., para
extrair padrões de interesse investigativo de arquivos maliciosos. Essas ferramentas oferecem varredura automatizada
do sistema em busca de vestígios de malware para facilitar a identificação. Os investigadores podem realizar análises
estáticas e dinâmicas em conjunto para identificar a intenção e os recursos do malware. A análise estática é o processo
de procurar vestígios e valores conhecidos que indiquem a presença de um malware. Esses vestígios incluem a presença
de códigos maliciosos, strings, executáveis, etc. no programa de software. A análise dinâmica usa uma abordagem
diferente, como a verificação do comportamento do programa de software durante sua execução em um ambiente
controlado.

Proeminência do cenário
Subir um Controlado
Laboratório de Análise de Malware
ÿ Geralmente, a análise de malware é realizada infectando um sistema com um código malicioso e, em seguida, avaliando seu comportamento usando um conjunto de
ferramentas de monitoramento
ÿ Portanto, é necessário um sistema de laboratório dedicado que possa ser infectado enquanto mantém o ambiente de produção seguro ÿ A melhor maneira de
configurar esse sistema de laboratório envolve:
ÿ Usando um sistema físico isolado da rede de produção para evitar a propagação de malware ÿ Usando software de virtualização
como Virtualbox, VMware, Parallels, etc. (para configurar um único sistema físico com várias VMs instaladas nele, cada
executando um sistema operacional diferente)
Importância do ambiente virtual para análise de malware:
Protege sistemas e redes reais de serem infectados

1 3 Permite a captura de tela durante a análise
pelo malware em análise
Fácil de analisar a interação de malware com outros sistemas Capacidade de tirar instantâneos do sistema de laboratório, que podem
2 4 ser usados para reverter facilmente para um estado anterior do sistema
Destaque da configuração de um laboratório de análise de malware controlado
Laboratório de Análise de Malware
Um laboratório controlado de análise de malware é fundamental para avaliar o padrão comportamental de um malware,
pois os programas de malware são dinâmicos por natureza e interagirão com várias partes do sistema, bem como com
a rede, quando executados. Os investigadores devem criar um ambiente onde possam executar o malware sem
interromper ou corromper outros dispositivos.
Isso requer um sistema de laboratório para que o ambiente de produção seja seguro. A maneira mais eficaz de
configurar esse laboratório envolve o uso de software de virtualização, que permite aos investigadores hospedar vários
sistemas virtuais executando diferentes sistemas operacionais em um único computador. Alguns softwares comumente
usados para simular sistemas em tempo real em um ambiente virtual incluem:
ÿ VirtualBox
ÿ Hipervisor VMware vSphere
ÿ Virtualização do Microsoft Windows Server
Um malware se conecta a redes e outros sistemas para roubar dados, obter instruções do invasor ou copiar a si mesmo.
Os pesquisadores podem usar várias máquinas virtuais interconectadas em um único computador físico para analisar o
comportamento do malware em sistemas conectados e aprender sobre seus métodos de propagação, bem como outras
características.
Os investigadores devem tomar precauções, como isolar o laboratório de análise de malware da rede de produção
usando um firewall para inibir a propagação de malware. Pode-se usar mídia removível, principalmente DVDs, para
instalar ferramentas e malware. Os DVDs suportam principalmente o formato somente leitura de transferência de dados
e impedem que softwares mal-intencionados gravem ou se copiem no DVD.

Os investigadores também podem usar uma chave USB protegida contra gravação. O uso de um laboratório de análise de
malware também permite que os investigadores realizem a captura de tela durante a análise. Além disso, permite que eles
tirem instantâneos do sistema de laboratório, que podem ser usados para reverter facilmente a um estado anterior do sistema.

Preparando o ambiente de teste para análise de malware
Isole o sistema da rede certificando-se

Alocar um sistema físico para o laboratório
1 de análise
4 de que o 7 Instale ferramentas de análise de malware
A placa NIC está no modo “somente host”
Instalar máquina virtual (VMware, Hyper-V, Simular serviços de internet usando Gerar valor de hash de cada sistema operacional
2 etc.) no sistema
5 ferramentas como INetSim 8 e ferramenta
Instale sistemas operacionais

Copie o malware coletado das máquinas
convidados nas máquinas virtuais, como Desative as “pastas compartilhadas”
3 Windows e Linux (Ubuntu). Essas máquinas
6 e o “isolamento de convidados”
9 suspeitas para as estações de trabalho forenses
servem como estações de trabalho forenses
Preparando o ambiente de teste para análise de malware
A análise de malware fornece uma compreensão aprofundada de cada amostra individual e identifica tendências técnicas emergentes de
uma grande coleção de amostras de malware. As amostras de malware são em sua maioria compatíveis com executáveis binários do
Windows. Existem diferentes objetivos por trás da realização de uma análise de malware.
É muito perigoso analisar malware em dispositivos de produção conectados a redes de produção. Portanto, deve-se sempre analisar
amostras de malware em um ambiente de teste.
Requisitos para construir uma cama de teste para análise de malware
ÿ Alocação de um sistema físico para o laboratório de análises
ÿ Instalação de máquina virtual (VMware, Hyper-V, etc.) no sistema
ÿ Instalação de sistemas operacionais convidados nas máquinas virtuais, como Windows e Linux (Ubuntu), que
servir como estações de trabalho forenses
ÿ Isolar o sistema da rede, garantindo que a placa NIC esteja no modo “somente host”
ÿ Simulação de serviços de internet usando ferramentas como INetSim
ÿ Desabilitando “pastas compartilhadas” e o “isolamento de convidado”
ÿ Instalação de ferramentas de análise de malware
ÿ Gerando valor de hash de cada sistema operacional e ferramenta
ÿ Copiar o malware recolhido das máquinas suspeitas para as estações de trabalho forenses
ÿ Manutenção de instantâneos de virtualização e ferramentas de re-imagem para capturar o estado da máquina

Várias ferramentas são necessárias para testar
ÿ Ferramenta de imagem: Para obter uma imagem limpa para forense e acusação
ÿ Análise de arquivo/dados: Para realizar análise estática de arquivos de malware em potencial
ÿ Ferramentas de registro/configuração: Malware infecta o registro do Windows e outros

variáveis de configuração. Essas ferramentas ajudam a identificar as últimas configurações salvas
ÿ Sandbox: Para realizar análises dinâmicas manualmente
ÿ Analisadores de log: Os dispositivos sob ataque registram as atividades de malware e geram log
arquivos. Analisadores de log são usados para extrair arquivos de log
ÿ Captura de rede: Para entender como o malware aproveita uma rede

Ferramentas de suporte para análise de malware

ÿ Caixa Virtual (https:// www.virtualbox.org)
Hipervisores ÿ Parallels Desktop 14 (https:// www.parallels.com)
ÿ VMware vSphere Hypervisor (https:// www.vmware.com)
ÿ NetSim (https:// www.tetcos.com)

Rede e Internet ÿ ns-3 (https:// www.nsnam.org)
Ferramentas de Simulação ÿ Riverbed Modeler (https:// www.riverbed.com)
ÿ QualNet (https:// www.scalable-networks.com)
ÿ Snagit (https:// www.techsmith.com)

Captura de tela e
ÿ Camtasia (https:// www.techsmith.com)
Ferramentas de Gravação
ÿ Ezvid (https:// www.ezvid.com)
ÿ Genie Backup Manager Pro (https:// www.zoolz.com)
Backup do sistema operacional e

ÿ Macrium Reflect Server (https:// www.macrium.com)
Ferramentas de imagem ÿ R-Drive Image (https:// www.drive-image.com)
ÿ O&O DiskImage 16 (https:// www.oo-software.com)
Ferramentas de suporte para análise de malware
Hipervisores
ÿ Caixa Virtual
Fonte: https:// www.virtualbox.org
O VirtualBox é um poderoso produto de virtualização x86 e AMD64/Intel64 para uso corporativo e doméstico.
Atualmente, o VirtualBox é executado em hosts Windows, Linux, Macintosh e Solaris e oferece suporte a um
grande número de sistemas operacionais convidados, incluindo, entre outros, Windows (NT 4.0, 2000, XP,
Server 2003, Vista, Windows 7, Windows 8, Windows 10 ), DOS/Windows 3.x, Linux (2.4, 2.6, 3.xe 4.x),
Solaris e OpenSolaris, OS/2 e OpenBSD.
ÿ Parallels Desktop 16
Fonte: https:// www.parallels.com
Ele ajuda a desenvolver e testar em vários sistemas operacionais em uma máquina virtual para Mac. Ele
também permite acessar o Microsoft Office para Windows e o Internet Explorer de um sistema MAC e importar
arquivos, aplicativos e muito mais de um PC para um Mac.
ÿ Hipervisor VMware vSphere
Fonte: https:// www.vmware.com
Sphere Hypervisor é um hypervisor bare-metal que virtualiza servidores. Ele vem com gerenciamento de VM
integrado, alocação de armazenamento escalável e recursos de proteção de driver.

Ferramentas de simulação de rede e Internet
ÿ NetSim
Fonte: https:// www.tetcos.com
O NetSim é um simulador e emulador de rede de ponta a ponta, pilha completa e nível de pacote. Ele vem com
um ambiente de desenvolvimento de tecnologia para modelagem de protocolo, P&D de rede e comunicações
militares.
ÿ ns-3
Fonte: https:// www.nsnam.org
O ns-3 é um simulador de rede de eventos discretos para sistemas de Internet, voltado principalmente para
pesquisa e uso educacional. ns-3 é um software livre, licenciado sob a licença GNU GPLv2, e está disponível
publicamente para pesquisa, desenvolvimento e uso.
ÿ Modelador Riverbed
Fonte: https:// www.riverbed.com
O Riverbed Modeler fornece um ambiente de desenvolvimento para modelar e analisar redes de comunicação e
sistemas distribuídos. Ele ajuda a simular todos os tipos e tecnologias de rede (incluindo VoIP, TCP, OSPFv3,
MPLS, LTE, WLAN, protocolos IoT, IPv6 e mais) para analisar e comparar os impactos de diferentes designs de
tecnologia no comportamento de ponta a ponta.
ÿ QualNet
Fonte: https:// www.scalable-networks.com
O software de simulação de rede QualNet® (QualNet) é uma ferramenta de planejamento, teste e treinamento
que “imita” o comportamento de redes de comunicação reais. Ele permite que os usuários simulem o
comportamento de redes de comunicação complexas e de grande escala.
Ferramentas de captura e gravação de tela
ÿ Snagit
Fonte: https:// www.techsmith.com
É um software de captura e gravação de tela que permite aos usuários capturar a tela rapidamente, adicionar
contexto adicional e compartilhá-los como imagem, vídeo ou GIF. Ele pode ser usado para marcar capturas de
tela, aparar vídeos ou para modelos que ajudam a criar instruções e guias visuais.
ÿ Camtasia
Fonte: https:// www.techsmith.com
É um gravador de tela e editor de vídeo que ajuda a gravar qualquer coisa na tela do computador – sites,
software, videochamadas ou apresentações em PowerPoint. Possui um editor de arrastar e soltar que permite
adicionar, remover, recortar ou mover seções de vídeo ou áudio.

ÿ Ezvid
Fonte: https:// www.ezvid.com
Ezvid é um editor de vídeo e gravador de tela completo que vem com recursos de gravação de voz, facecam,
síntese de voz, desenho de tela e controle de velocidade. Permite desenhar diretamente na tela ou gravar
uma região da tela conforme os requisitos. Está disponível para Windows XP3, 7, 8 e 10.
Ferramentas de backup e imagem do sistema operacional
ÿ Genie Backup Manager Pro
Fonte: https:// www.zoolz.com
Essa ferramenta usa quatro tipos de backups: completo, incremental, diferencial e espelhado. O backup pode
ser feito em qualquer mídia, como local, externo, FTP/FTPS, Amazon S3, rede, CD, DVD e Blu-ray. Esta
ferramenta está disponível para Windows XP, Vista, 7, 8 e 10.
ÿ Servidor Macrium Reflect
Fonte: https:// www.macrium.com
O Macrium Reflect Server Edition vem com um conjunto completo de recursos que fornece restaurações
completas de imagens ou arquivos e pastas. Ele é projetado para backup de endpoint de servidores críticos
para os negócios em um ambiente comercial.
ÿ Imagem R-Drive
Fonte: https:// www.drive-image.com
R-Drive Image é um utilitário que facilita a criação de arquivos de imagem de disco para backup ou duplicação
propósitos.
ÿ O&O DiskImage 16
Fonte: https:// www.oo-software.com
O&O DiskImage 16 permite fazer backup de um computador inteiro ou de arquivos individuais, mesmo enquanto o
computador está sendo usado. Ele permite que os usuários executem uma restauração do sistema e dupliquem ou
clonem um PC ou disco rígido inteiro.

Regras Gerais para Análise de Malware
Durante a análise de malware, preste atenção aos principais

recursos em vez de olhar para cada detalhe
Experimente diferentes ferramentas e abordagens para analisar o

malware, pois uma única abordagem pode não ser útil
Identifique, entenda e derrote novas técnicas de prevenção de

análise de malware
Regras Gerais para Análise de Malware
Durante a análise de malware, os investigadores devem prestar mais atenção aos principais recursos de um malware
e não devem tentar observar todos os detalhes, pois o malware é dinâmico e pode alterar suas propriedades. Em
seções difíceis e complexas, os investigadores devem tentar obter uma visão geral.
Os investigadores devem experimentar ferramentas e abordagens diferentes, pois elas produzem resultados diferentes
em situações diferentes. Embora várias ferramentas e técnicas tenham funcionalidades semelhantes, uma abordagem
diferente ou um ângulo diferente pode fornecer um resultado diferente.
À medida que os investigadores adotam novas técnicas de análise de malware, os autores e invasores de malware
também tentam encontrar novas técnicas de evasão para impedir a análise. Os investigadores devem ser capazes de
identificar, entender e derrotar essas técnicas de aversão.

Tipos de malware
Análise
Análise de Malware Estático Análise Dinâmica de Malware

ÿ Ambas as técnicas visam entender como
ÿ Também conhecida como análise de código, ÿ Também conhecida como análise comportamental , o malware funciona, mas diferem nas
envolve passar pelo código binário executável envolve a execução do código do malware para ferramentas usadas, tempo e
sem sua execução real para entender melhor saber como ele interage com o sistema host e a habilidades necessárias para realizar
o malware e sua finalidade rede a análise ÿ Tanto estática quanto
dinâmica
ÿ Este tipo de análise requer
máquinas e sandboxes para impedir a
ÿ Desmontadores como o IDA Pro podem ser análises são recomendadas para
propagação de malware entender melhor a funcionalidade
usado para desmontar o arquivo binário
de um malware
ÿ Depuradores como GDB, OllyDbg, WinDbg, etc.,
são usados para depurar um malware no momento
de sua execução para estudar seu comportamento
Tipos de Análise de Malware
A análise de malware pode ser categorizada em dois tipos: análise estática ou análise dinâmica. Ambas as
abordagens demonstram a funcionalidade do malware suspeito que está sendo examinado; no entanto, as
ferramentas, o tempo e as habilidades necessárias para realizar a análise são diferentes.
1. Análise estática: É uma análise básica do código binário e compreensão do malware que explica suas
funções. A análise comportamental ou análise dinâmica lida com o estudo do comportamento do malware
durante a instalação, na execução e durante a execução.
Um escrutínio estático geral envolve a análise de um malware sem executar o código ou as instruções. O
processo inclui o uso de diferentes ferramentas e técnicas para determinar a parte maliciosa do programa
ou arquivo. Ele também reúne informações sobre a funcionalidade do malware e coleta indicadores técnicos
ou assinaturas simples que gera.
Esses ponteiros incluem nomes de arquivo, somas de verificação MD5 ou hashes, tipos de arquivo e tamanhos de arquivo.
Desmontadores como o IDA Pro podem ser usados para desmontar o arquivo binário.
2. Análise dinâmica: envolve a execução de um malware para examinar sua conduta e impacto nos recursos
do sistema e na rede. Ele identifica assinaturas técnicas que confirmam uma intenção maliciosa e revela
várias informações úteis, como nomes de domínio, locais de caminho de arquivo, chaves de registro
criadas, endereços IP, arquivos adicionais, arquivos de instalação, DLLs e arquivos vinculados localizados
no sistema ou na rede.
Esse tipo de análise requer máquinas virtuais e sandboxes para impedir a disseminação de malware.
Depuradores como GDB, OllyDbg, WinDbg, etc., são usados para depurar um malware no momento de
sua execução para estudar seu comportamento.
Ambas as técnicas são recomendadas para entender melhor a funcionalidade de um malware, mas diferem nas
ferramentas usadas, no tempo e nas habilidades necessárias para realizar a análise.

Fluxo do módulo
01 02 03 04
Análise de Malware
05 06 07
Executar análise estática de malware

A análise estática refere-se ao processo de investigação de um arquivo executável sem executá-lo ou instalá-lo. É
seguro realizar análises estáticas porque o investigador não instala ou executa o arquivo suspeito. No entanto,
alguns malwares não precisam de instalação para realizar atividades maliciosas; portanto, é melhor para os
investigadores realizar análises estáticas em um ambiente controlado. Esta seção discute várias técnicas de análise
estática de malware e detalha os métodos e ferramentas necessários para realizá-las.

Análise de malware: estático

ÿ A análise do código binário fornece informações como estruturas de dados, chamadas de funções, gráficos de chamadas, etc.
ÿ Carregue o código binário no sistema de teste (de preferência o sistema operacional no qual o malware não foi projetado para ser executado) para analisar suas propriedades estáticas
ÿ Algumas das propriedades estáticas do código binário a serem examinadas incluem strings embutidas no arquivo, detalhes do cabeçalho, hashes, recursos embutidos, assinaturas
do empacotador, metadados, etc.
Algumas técnicas estáticas de análise de malware:
Identificando métodos de empacotamento/

Impressão digital de arquivos
ofuscação
Encontrando os executáveis portáteis

Verificação online de malware
(PE) informações
Realizando pesquisa de strings Identificando dependências de arquivo
Desmontagem de malware
Análise de malware: estático
A análise estática envolve o processo de acessar o código-fonte ou o código binário para encontrar as estruturas de
dados, chamadas de função, gráficos de chamada, etc. que podem representar malícia. Os investigadores podem
usar várias ferramentas para analisar o código binário para entender sua arquitetura de arquivo e impacto no sistema.
Compilar o código-fonte de um sistema em um executável binário resultará em perdas de dados, dificultando a análise
do código.
O procedimento para examinar um determinado binário sem sua execução é principalmente manual e requer a
extração de dados intrigantes, como estruturas de dados, funções utilizadas e gráficos de chamada do arquivo
malicioso. Algumas das propriedades estáticas do código binário a serem examinadas incluem strings incorporadas
ao arquivo, detalhes de cabeçalho, hashes, recursos incorporados, assinaturas de empacotador, metadados, etc.
Diferentes procedimentos utilizados para análise estática de malware são os seguintes:
ÿ Impressão digital de ficheiros
Ele examina os elementos evidentes do código binário, que inclui processos em nível de documento. Este
processo inclui o cálculo de hashes criptográficos do código binário para reconhecer sua função e compará-
lo com outros códigos binários e programas de cenários anteriores.
ÿ Varredura de malware online
Depois que o valor de hash de um arquivo suspeito é gerado, os investigadores podem compará-lo com
bancos de dados de malware on-line para encontrar o código malicioso reconhecido. Esse processo simplifica
uma investigação mais aprofundada, oferecendo uma visão melhor do código, sua funcionalidade e outros
detalhes importantes.

ÿ Realização de pesquisa de strings
Os programas de software incluem algumas strings que são comandos para executar funções específicas.
Várias strings existentes podem representar a intenção maliciosa de um programa, como ler a memória interna
ou dados de cookies, etc. embutidos no código binário compilado. Os investigadores podem procurar essas
sequências incorporadas para tirar conclusões sobre o arquivo suspeito.
ÿ Identificar métodos de embalagem ou ofuscação
Os invasores usam empacotamento e ofuscação usando uma estrutura confusa ou um empacotador para
evitar a detecção. Os investigadores devem descobrir se o arquivo inclui elementos compactados e localizar a
ferramenta ou método usado para compactar.
ÿ Encontrando as informações dos executáveis portáteis (PE)
O formato PE armazena as informações exigidas por um sistema Windows para gerenciar o código executável.
O PE armazena metadados sobre o programa, o que ajuda a encontrar os detalhes adicionais do arquivo,
como o número exclusivo em sistemas UNIX para localizar o tipo de arquivo e dividir as informações do formato
do arquivo.
Por exemplo, o binário do Windows está no formato PE e consiste em informações como tempo de criação e
modificação, funções de importação e exportação, tempo de compilação, DLLs, arquivos vinculados, juntamente
com strings, menus e símbolos.
ÿ Identificando dependências de arquivos
Qualquer programa de software depende de várias bibliotecas embutidas de um sistema operacional para
executar ações específicas em um sistema. Os investigadores precisam encontrar as bibliotecas e dependências
de arquivo, pois elas contêm informações sobre os requisitos de tempo de execução de um aplicativo.
ÿ Desmontagem de Malware
A análise estática também inclui a desmontagem de um determinado executável em formato binário para
estudar suas funcionalidades e recursos. Esse processo ajudará os investigadores a encontrar a linguagem
usada para programar o malware, procurar APIs que revelem sua função etc. Esse processo usa ferramentas
de depuração como OllyDbg e IDAPro.

Análise estática de malware: impressão digital de arquivos
1 Recomenda-se calcular o valor de hash para um determinado código binário antes de realizar a investigação
2 Calculadoras de hash comuns incluem HashTab, HashMyFiles, HashCalc, md5sum, md5deep, etc.
3 Você pode usar o valor de hash calculado para verificar periodicamente se alguma alteração é feita no código binário
durante a análise
https:// www.nirsoft.net
Análise estática de malware: impressão digital de arquivos A
impressão digital de arquivos é um método de prevenção contra perda de dados usado para identificar e rastrear
dados em uma rede. O processo envolve a criação de cadeias de texto mais curtas para os arquivos chamados
valores de hash. Valores de hash exclusivos ou impressões digitais são desenvolvidos usando vários algoritmos
criptográficos que utilizam dados como strings, metadados, tamanho e outras informações.
Essas impressões digitais ajudam os investigadores a reconhecer arquivos sensíveis ao rastreamento e a identificar
programas semelhantes em um banco de dados. A impressão digital geralmente não funciona para determinados
tipos de registro, incluindo arquivos criptografados ou protegidos por senha, imagens, áudio e vídeo, que têm conteúdo
diferente de uma impressão digital predefinida. O Message-Digest Algorithm 5 (MD5) é a função de hash mais
comumente usada para análise de malware. Os investigadores podem usar ferramentas como HashTab, HashMyFiles,
HashCalc, md5sum, md5deep, etc. para criar uma impressão digital do arquivo suspeito como parte da análise
estática.
ÿ HashMyFiles

HashMyFiles produz o valor de hash de um arquivo usando os algoritmos MD5, SHA1, CRC32, SHA-256,
SHA-512 e SHA-384. O programa também fornece outras informações sobre o arquivo, como caminho
completo, data de criação, data de modificação, tamanho do arquivo, atributos do arquivo, versão do arquivo
e extensão.
Figura 12.1: Saída obtida da ferramenta HashMyFiles

Análise estática de malware: verificação de malware on-line

O VirusTotal é um serviço gratuito que
Escaneie o código binário usando um VirusTotal
analisa arquivos e URLs suspeitos e facilita
software antivírus renomado e atualizado
a detecção de vírus, worms, cavalos de Troia, etc.
Se o código em análise for um componente de
um malware conhecido, ele já pode ter sido
descoberto e documentado por muitos
fornecedores de antivírus
Percorra a documentação para reconhecer os

recursos de código , assinaturas, etc.
Você também pode enviar o código para sites como

o VirusTotal para que seja verificado por diferentes
mecanismos de verificação
https:// www.virustotal.com
Análise estática de malware: verificação de malware on-line
Os investigadores podem escanear o código binário usando ferramentas de análise de malware online. Se o código
em análise for um componente de um malware conhecido, ele já pode ter sido descoberto e documentado por muitos
fornecedores de antivírus. A documentação desse malware pode fornecer informações importantes, como recursos
de código e modus operandi dos ataques que ele realizou.
O VirusTotal é um desses sites que possui os recursos mencionados acima.
ÿ VirusTotal
Fonte: https:// www.virustotal.com
O VirusTotal gera um relatório que fornece o número total de mecanismos que marcaram o arquivo como
malicioso, o nome do malware e informações adicionais sobre o malware, se disponível. Ele também
oferece detalhes importantes da análise de arquivos online, como a máquina de destino, registro de data e
hora de compilação, tipo de arquivo, processadores compatíveis, ponto de entrada, seções PE, bibliotecas
de links de dados (DLLs), recursos PE usados, valores de hash diferentes, IP endereços acessados ou
contidos no arquivo, código do programa e tipos de conexões estabelecidas.

Figura 12.2: Analisando amostra de malware no VirusTotal

Análise estática de malware: realizando pesquisa de strings

Strings comunicam informações do programa para seu
01 do utilizador
Analise strings incorporadas do texto legível no arquivo executável do

02 programa
Ex: strings de atualização de status e strings de erro
Use ferramentas como Strings, ResourcesExtract, Bintext, Hex

03 Workshop, etc. para extrair strings incorporadas de arquivos executáveis
Certifique-se de que as strings extraídas da ferramenta sejam

04 representadas nos formatos ASCII e Unicode
Ao extrair, você pode ver a entrada de strings de interesse no

05 mecanismo de pesquisa para obter mais informações
Observação: as strings podem ser enganosas ou fazer com que você ative uma espécie de pote de mel reverso https:// www.nirsoft.net
Análise estática de malware: realizando pesquisa de strings
Strings comunicam informações do programa para seu usuário. Pesquisar nas strings pode fornecer informações sobre
a funcionalidade básica de qualquer programa.
Durante a análise de malware, os investigadores procuram a string maliciosa comum que pode determinar ações
prejudiciais que um programa pode executar. Por exemplo, se o programa acessar uma URL, ele terá essa string de
URL armazenada nela. Os investigadores devem estar atentos ao procurar strings e também procurar as strings
incorporadas e criptografadas no arquivo suspeito, como strings de atualização de status e strings de erro.
Como investigador forense, você pode usar ferramentas como Strings, ResourcesExtract, Bintext e Hex Workshop para
extrair todos os tipos de strings de arquivos executáveis. Certifique-se de que a ferramenta também pode digitalizar e
exibir strings ASCII e Unicode.
Algumas ferramentas têm a capacidade de extrair todas as strings e copiá-las para um arquivo de texto ou documento.
Use essas ferramentas e copie as strings para um arquivo de texto para facilitar a pesquisa de strings maliciosas.
ÿ Extrato de Recursos
ResourcesExtract é um pequeno utilitário que verifica arquivos dll/ocx/exe e extrai todos os recursos (bitmaps,
ícones, cursores, filmes AVI, arquivos HTML e mais...) armazenados neles na pasta que você especificar.
Você pode usar essa ferramenta no modo de interface do usuário ou, como alternativa, pode executá-la no
modo de linha de comando sem exibir nenhuma interface do usuário.
O ResourcesExtract não requer nenhum processo de instalação ou arquivos DLL adicionais. Na janela principal
da ferramenta, você pode escolher um único nome de arquivo para verificar ou vários nomes de arquivo
usando curinga. Na 'Pasta de destino', digite a pasta que você deseja extrair o

arquivos de recursos em. Depois de selecionar todas as outras opções, clique no botão 'Iniciar'
para extrair os recursos.
Figura 12.3: Extraindo strings de uma amostra de malware com ResourcesExtract
Figura 12.4: Analisando strings de uma amostra de malware com ResourcesExtract

Análise de malware estático: identificando

Métodos de embalagem/ofuscação
Os invasores geralmente usam compactadores para

compactar, criptografar ou modificar um arquivo executável
de malware
Isso complica a tarefa dos engenheiros reversos em

encontrar a lógica real do programa e outros metadados
por meio de análise estática
Use ferramentas como PEiD, que detecta

empacotadores, criptadores e compiladores
mais comuns para arquivos executáveis PE https:// github.com
Análise de malware estático: identificando métodos de empacotamento/ofuscação
Os invasores geralmente usam compactadores para compactar, criptografar ou modificar um arquivo executável de malware.
Isso complica a tarefa dos engenheiros reversos em encontrar a lógica real do programa e outros metadados por meio de
análise estática. A ofuscação também oculta a execução dos programas. Quando o usuário executa um programa
compactado, ele também executa um pequeno programa wrapper para descompactar o arquivo compactado e, em seguida,
executar o arquivo descompactado.
Os investigadores podem usar ferramentas como o PEiD para descobrir se o arquivo contém programas compactados ou código ofuscado.
Esta ferramenta também exibe o tipo de empacotador usado no empacotamento do programa. Detalhes adicionais exibidos
por ele incluem ponto de entrada, deslocamento de arquivo, seção EP e subsistema usado para empacotamento. Encontrar
o compactador facilitará a tarefa de selecionar uma ferramenta para descompactar o código.
ÿ PEiD
O PEiD detecta os empacotadores, criptografadores e compiladores mais comuns para arquivos PE. Atualmente,
ele pode detectar mais de 600 assinaturas diferentes em arquivos PE. Existem 3 modos de digitalização diferentes
e únicos no PEiD:
o Normal Mode
Como qualquer outro identificador, este modo varre os arquivos PE em seu ponto de entrada para todas as
assinaturas documentadas.
o Modo Profundo
Este modo verifica a seção contendo o ponto de entrada do arquivo PE para todas as assinaturas
documentadas. Isso garante a detecção de cerca de 80% dos arquivos modificados e embaralhados.

o Modo Hardcore
Isso faz uma verificação completa de todo o arquivo PE para as assinaturas documentadas. Você deve usar
este modo como uma última opção, pois as assinaturas pequenas tendem a ocorrer muito em muitos
arquivos e, portanto, saídas errôneas podem resultar.
Recursos
o Modos de varredura especiais para detecções avançadas de arquivos modificados e desconhecidos.
o Integração de shell e suporte de linha de comando
o Varredura de vários arquivos e diretórios com recursão
o Plugin Interface com plugins como Generic OEP Finder e Krypto ANALyzer.
o Técnicas de varredura extras usadas para detecções
o Opções de verificação heurística
o Novo desmontador rápido integrado e novo visualizador hexadecimal integrado
o Interface de assinatura externa que pode ser atualizada pelo usuário
Figura 12.5: A ferramenta PEiD

Análise de malware estático: encontrando o portátil

Informações de Executáveis (PE)
O formato PE é o formato de arquivo executável usado
em sistemas operacionais Windows
Informações disponíveis para examinar os metadados de

um arquivo PE:
ÿ Hora e data da compilação
ÿ Funções importadas e exportadas pelo programa
ÿ Bibliotecas vinculadas
ÿ Ícones, menus, informações de versão, strings, etc.

em recursos
Você pode usar ferramentas como Pestudio,

PEview, PE Explorer, Dependency Walker,
etc.
https:// www.winitor.com
Análise estática de malware: encontrando informações de executáveis portáteis (PE)
O formato Portable Executable (PE) armazena as informações necessárias para instalar e executar qualquer programa
executável em um sistema operacional Windows.
O formato PE contém um cabeçalho e seções, que armazenam metadados sobre o arquivo e o mapeamento de código
em um sistema operacional. Os investigadores podem usar as informações do cabeçalho para coletar detalhes adicionais
de um arquivo ou programa. PE de um arquivo contém as seguintes seções:
ÿ .text: Contém instruções e códigos de programa que a CPU executa
ÿ .rdata: Contém informações de importação e exportação, bem como outros dados somente leitura usados por
o programa
ÿ .data: Contém os dados globais do programa, que o sistema pode acessar de qualquer lugar
ÿ .rsrc: Compreende os recursos empregados pelo executável, como ícones, imagens,

menus e strings, pois esta seção oferece suporte multilíngue
Os investigadores podem usar ferramentas de análise de PE, como Pestudio, PEview, PE Explorer, Dependency Walker,
etc., para coletar as seguintes informações:
ÿ Importações: denotam funções de outras bibliotecas usadas pelo malware
ÿ Exportações: denotam funções no malware que outros programas ou bibliotecas chamam enquanto
corrida
ÿ Carimbo de data e hora: mostra a hora da compilação do programa
ÿ Subsistema: Mostra se o programa é um aplicativo de linha de comando ou GUI
ÿ Recursos: Inclui strings, ícones, menus e outras informações armazenadas no arquivo

ÿ Seções: Mostra os nomes de todas as seções em um arquivo junto com seus tamanhos em disco e em
memória
Lavandaria
Fonte: https:// www.winitor.com
O objetivo do pestudio é detectar artefatos de arquivos executáveis para facilitar e acelerar a avaliação inicial de
malware. A ferramenta é usada por equipes de Resposta a Emergências de Computadores (CERT), Centros de
Operações de Segurança (SOC) e Laboratórios em todo o mundo.
Recursos
ÿ Recupera metadados e detecta anomalias em um arquivo malicioso
ÿ Detecta arquivos embutidos e coleta importações, exportações, strings, etc.
ÿ Fornece dicas e indicadores
ÿ Transforma dados RAW em informação
ÿ Executa análise estática no modo de lote, bem como no modo interativo
ÿ Consome arquivos de configuração XML e cria relatório XML
ÿ Fornece indicadores de ataque MITRE e recupera pontuações de @Virustotal
Figura 12.6: A ferramenta Pestudio

Análise de malware estático:

Arquivo de Identificação
Dependências
ÿ Os programas armazenam as funções de importação e exportação em

arquivo kernel32.dll
ÿ Examine as bibliotecas vinculadas dinamicamente no arquivo executável do

malware
ÿ Encontrar todas as funções da biblioteca pode permitir que você adivinhe

o que o programa de malware pode fazer
ÿ Você pode usar ferramentas como Dependency Walker, que lista todos os
módulos dependentes dentro do arquivo executável
http:// www.dependencywalker.com
Análise de malware estático: identificando dependências de arquivos
As dependências de arquivos contêm informações sobre os arquivos internos do sistema de que o programa precisa para
funcionar corretamente, o processo de registro e a localização na máquina. Os investigadores precisam verificar se
podem encontrar e examinar esses arquivos, pois eles podem fornecer informações sobre malware em um arquivo. As
dependências de arquivo incluem bibliotecas vinculadas, funções e chamadas de função.
Um investigador deve conhecer as várias DLLs usadas para carregar e executar um programa, pois elas podem permitir
que eles adivinhem o que um malware pode fazer após a execução. Por exemplo, os programas armazenam as funções
de importação e exportação no arquivo kernel32.dll.
Algumas das DLLs padrão estão listadas abaixo:
DLL Descrição do conteúdo
Kernel32.dll Funcionalidade principal, como acesso e manipulação de memória, arquivos e hardware
Fornece acesso a componentes básicos avançados do Windows, como o Serviço

Advapi32.dll
Gerente e Registro
Componentes da interface do usuário, como botões, barras de rolagem e componentes

User32.dll
para controlar e responder às ações do usuário
WSock32.dll
DLLs de rede que ajudam a conectar-se a uma rede ou executar tarefas relacionadas à rede
Ws2_32.dll
Wininet.dll Suporta funções de rede de alto nível

Gdi32.dll Funções para exibir e manipular gráficos
Ntdll.dll Interface com o kernel do Windows
Tabela 12.1: DLLs padrão

Os investigadores devem procurar DLLs com nomes diferentes ou com erros ortográficos, ou funções das DLLs para
identificar DLLs maliciosas. Os investigadores podem usar ferramentas como o Dependency Walker para esse
propósito.
ÿ Andador de Dependência
Fonte: https:// www.dependencywalker.com
Esta ferramenta lista todos os módulos dependentes dentro de um arquivo executável e constrói um diagrama
de árvore hierárquico. Também registra todas as funções exportadas e chamadas por cada módulo. A
ferramenta GUI também pode detectar muitos problemas comuns de aplicativos, como os seguintes:
o Módulos ausentes e inválidos
o Incompatibilidades de importação/exportação
o Erros de dependência circular
o Módulos de máquina incompatíveis
o Falhas de inicialização do módulo
Ele pode processar qualquer módulo Windows de 32 ou 64 bits, incluindo os projetados para Windows CE.
Ele pode ser executado como um aplicativo gráfico ou como um aplicativo de console.
Dependency Walker lida com todos os tipos de dependências de módulo, incluindo implícito, explícito
(dinâmico/tempo de execução), encaminhado, carregado com atraso e injetado.
Figura 12.7: Ferramenta Dependency Walker

Análise estática de malware: desmontagem de malware
Desmonte o código binário e analise as

instruções do código assembly
Você pode usar ferramentas como IDA Pro que podem

reverter o código de máquina para linguagem
assembly
Com base no código assembly reconstruído,

você pode inspecionar a lógica do programa
e reconhecer seu potencial de ameaça
Este processo é realizado usando ferramentas de

depuração como OllyDbg e WinDbg http:// www.ollydbg.de
Análise estática de malware: desmontagem de malware
Desmontar um malware é uma parte importante da análise estática de malware. Nesse processo, os investigadores usam
uma variedade de ferramentas, como o IDA Pro, para analisar as instruções do código de montagem para entender o que o
malware foi projetado para fazer e as vulnerabilidades que ele pode explorar. Isso permite que os investigadores formulem
soluções destinadas a impedir a propagação de malware.
Ferramentas de dublagem como OllyDbg podem ajudar os investigadores a revisar todas as strings incorporadas em um
arquivo PE e examinar as funções importadas.
ÿ OllyDbg
Fonte: http:// www.ollydbg.de
OllyDbg é um depurador de análise de nível de montador de 32 bits para Microsoft Windows. A ênfase na análise
de código binário o torna particularmente útil nos casos em que a fonte não está disponível.
Depois que a amostra de malware suspeito for carregada no OllyDbg, ela mostrará mnemônicos do montador,
opcodes e endereços virtuais. Os investigadores podem definir pontos de interrupção e executar o código para ver
como o malware funciona. Também é possível modificar o fluxo de execução de um arquivo de malware com
OllyDbg.
Recursos
o Análise de código - rastreia registros, reconhece procedimentos, loops, chamadas de API, switches,
tabelas, constantes e strings
o Carrega e depura DLLs diretamente
o Varredura de arquivo de objeto - localiza rotinas de arquivos de objeto e bibliotecas
o Permite rótulos, comentários e descrições de função definidos pelo usuário
o Compreende informações de depuração no formato Borland®

Figura 12.8: Ferramenta OllyDbg

Fluxo do módulo
01 02 03 04
Análise de Malware
05 06 07
Analisar Documentos do Word Suspeitos

Esta seção discute como analisar quaisquer documentos do Word suspeitos e encontrar códigos ou strings
mal-intencionados sem executá-los.

Analisando documentos suspeitos do MS Office

Encontrar componentes suspeitos
ÿ Analise o documento suspeito do Office com oleid para detectar quaisquer componentes específicos que possam ser rotulados como
malicioso/suspeito
ÿ Para usar o oleid, abra um novo terminal na estação de trabalho linux (Ubuntu)
e digite oleid '<caminho para o documento suspeito>'
ÿ Aqui, a análise revelou que o documento do Word chamado infect_doc contém macros VBA
Analisando MS Office suspeito

Documento (continuação)
Encontrando Fluxos de Macro
ÿ Analisar o documento suspeito do Office com oledump
para identificar os fluxos que contêm macros
ÿ Execute o seguinte comando- python

oledump.py '<caminho para o documento
suspeito>'
ÿ Neste documento do Word, o fluxo 8 foi identificado

para armazenar códigos de macro maliciosos

Analisando EM Suspeita
Documento de escritório (continuação)
Despejando Fluxos de Macro
ÿ Extraia o conteúdo de qualquer fluxo de macro específico com

oledump executando o seguinte comando python oledump.py
-s <número do fluxo> '<caminho para o documento
suspeito>'
ÿ A captura de tela abaixo mostra o código de macro armazenado

no fluxo 8 do documento do Word
Analisando documentos suspeitos do MS Office (continuação)
Identificando palavras-chave VBA suspeitas
ÿ Analise o documento suspeito com olevba para visualizar

os códigos-fonte de todas as macros VBA e detecte as
palavras- chave suspeitas e IOCs em potencial
ÿ Execute o seguinte comando: olevba '<caminho para

o documento suspeito>'
ÿ Aqui, as palavras- chave e IOCs detectados pelo olevba

mostram que as macros no documento do Word:
ÿ ter funcionalidade AutoOpen
ÿ contém shellcode e strings ofuscadas com Base64 e

dridex
ÿ pode baixar arquivos chamados test.exe e sfjozjero.exe

de http:// germanya.com.ec/ logs e armazená-los no
diretório Temp
Analisando documentos suspeitos do MS Office
O uso de documentos do MS Office, como documentos do Word e apresentações do PowerPoint, é

amplamente difundido nas organizações. No entanto, os invasores costumam usar esses documentos para
instalar e espalhar malware. Como investigador forense, você deve estar bem familiarizado com a estrutura
de uma variedade de documentos do MS Office e ser capaz de analisar um documento suspeito com as
ferramentas certas para localizar elementos suspeitos/maliciosos.

1. Encontrar componentes suspeitos
Como primeira etapa, você deve analisar o documento suspeito do Office com uma ferramenta baseada em
python chamada oleid para revisar todos os componentes que podem ser rotulados como suspeitos/maliciosos.
É uma ferramenta usada para examinar arquivos OLE.
Para usar oleid, execute o comando oleid '<caminho para o documento suspeito>' na estação de trabalho
Linux. A captura de tela abaixo mostra que o documento do Word suspeito chamado infectado_doc contém
macros VBA.
Figura 12.9: Usando a ferramenta oleid para procurar componentes suspeitos

2. Encontrando Fluxos de Macro
A próxima etapa é analisar o documento suspeito do Office com oledump para identificar os fluxos que
contêm macros. Execute o comando python oledump.py '<caminho para o documento suspeito>'.
Isso solicitaria que a ferramenta mostrasse a estrutura do documento suspeito, incluindo todos os fluxos.
Se algum fluxo no documento contiver macros, o oledump colocará um M maiúsculo ao lado dele para
identificação. Neste documento do Word, conforme ilustrado na captura de tela abaixo, o fluxo 8 foi
identificado para armazenar códigos de macro maliciosos.
Figura 12.10: Usando a ferramenta oledump para procurar fluxos de macro suspeitos

3. Despejando Fluxos de Macro
Agora, extraia o conteúdo de qualquer fluxo de macro específico com oledump executando o
seguinte comando: python oledump.py -s <número do fluxo> <caminho para o documento
suspeito>.
Aqui, o argumento -s define o número do stream que você deseja visualizar. A captura de tela
abaixo mostra o código de macro armazenado no fluxo 8 do documento do Word.
Figura 12.11: Usando a ferramenta oledump para despejar o conteúdo de fluxos de macro suspeitos
4. Identificando palavras-chave VBA suspeitas

Agora você pode usar a ferramenta olevba para visualizar os códigos-fonte de todas as macros
VBA incorporadas ao documento e identificar palavras-chave VBA suspeitas e métodos de
ofuscação usados pelo malware.
Para usar olevba, execute o seguinte comando: olevba '<caminho para o documento suspeito>'.
Isso os ajudará a revisar os códigos-fonte de todas as macros VBA, detectar se o documento
contém macros autoexecutáveis/strings ofuscadas e identificar quaisquer indicadores de
comprometimento (IOCs), como nomes de arquivos, endereços IP e URLs.
As capturas de tela abaixo mostram a análise do arquivo infectado_doc por olevba, que mostra
que ele contém macros autoexecutáveis que possuem shellcode e strings ofuscadas com Base64
e dridex.
Após a execução, essas macros podem baixar arquivos maliciosos denominados test.exe e
sfjozjero.exe da Internet e armazená-los no diretório temporário do sistema comprometido.

Os seguintes URLs são identificados como IOCs:
o http:// germanya.com.ec/ logs/ test.exe
o http:// germanya.com.ec/ logs/ counter.php
Figura 12.12: Usando a ferramenta olevba para identificar palavras-chave VBA suspeitas
Figura 12.13: Usando a ferramenta olevba para identificar palavras-chave VBA suspeitas

Fluxo do módulo
01 02 03 04
Análise de Malware
05 06 07
Executar análise dinâmica de malware

Ao contrário da análise estática, a análise dinâmica de malware envolve a execução do malware
em um ambiente controlado para monitorar como ele interagiria com os recursos do sistema e
se inclui quaisquer recursos de rede. Esta seção discute os aspectos fundamentais e as
diferentes abordagens da análise dinâmica de malware.

Análise de malware: dinâmica

ÿ Refere-se ao processo de estudar o comportamento de um malware executando-o
em um ambiente monitorado
ÿ A análise dinâmica de malware facilita para os investigadores observar em tempo real

como o malware interage com as propriedades do sistema e a rede
Duas abordagens para análise dinâmica de malware:
Monitorando a Integridade do Host Observando o comportamento do tempo de execução
Envolve tirar instantâneos do estado do Envolve o monitoramento ao vivo do

sistema usando as mesmas ferramentas antes comportamento do malware escolhido conforme
e depois da análise para detectar alterações ele é executado no sistema

feitas nas entidades que residem no sistema
Análise de malware: dinâmica
A análise dinâmica de malware refere-se ao processo de estudar o comportamento de um malware executando-o em um

ambiente monitorado. O design do ambiente deve incluir ferramentas que possam capturar cada movimento de um malware em
detalhes e fornecer feedback ao investigador. Principalmente, os sistemas virtuais atuam como base para a realização de tais
experimentos.
Os investigadores usam a análise dinâmica para coletar informações valiosas sobre atividades de malware, incluindo arquivos
e pastas criados, portas e URLs acessados, chamadas de funções e bibliotecas, aplicativos e ferramentas acessados,
informações transferidas, configurações modificadas e processos e serviços iniciados pelo malware. Um investigador deve
projetar e configurar o ambiente para realizar a análise dinâmica de forma que o malware não possa se propagar para a rede de
produção e o sistema de teste possa retornar a um período de tempo previamente definido caso algo dê errado durante o teste.
A análise dinâmica de malware pode ser realizada de duas maneiras:
ÿ Monitoramento da integridade do host
O monitoramento da integridade do host é o processo de estudar as alterações que ocorreram em um sistema ou

máquina após uma série de ações ou incidentes. Essa abordagem dinâmica de análise de malware envolve tirar um
instantâneo do sistema antes e depois da execução do espécime malicioso usando as mesmas ferramentas e
analisando as alterações para avaliar seu impacto no sistema e suas propriedades.
ÿ Observando o comportamento do tempo de execução
Nessa abordagem, os investigadores monitoram as atividades maliciosas do espécime enquanto ele é executado no
sistema. Observar o malware em um ambiente de tempo de execução permite que os investigadores vejam como ele
interage com o sistema e a rede em tempo real, o que os ajuda a detectar sua funcionalidade e finalidade reais.

Análise Dinâmica de Malware: Preparação Pré-Execução
1 Crie uma nova linha de base das estações de trabalho forenses
Faça um instantâneo das chaves de registro, sistema de arquivos, processos em execução e

2 arquivos de log de eventos
3 Liste todos os serviços do Windows, drivers de dispositivo e programas de inicialização
Instale ferramentas que irão capturar as alterações realizadas pelo malware nos recursos do sistema,
4 como registro, sistema de arquivos, processos, etc., bem como nas propriedades da rede
5 Gere valores de hash dos sistemas operacionais e das ferramentas
6 Execute o malware nas estações de trabalho forenses
Análise Dinâmica de Malware: Preparação Pré-Execução
Como a análise dinâmica de malware requer a execução de um malware, você precisa criar um ambiente de teste
adequado mais adequado para essa finalidade. O procedimento para preparar um testbed para análise dinâmica de
malware é fornecido abaixo:
ÿ Crie uma nova linha de base de estações de trabalho Windows e Linux, que deve incluir
detalhes do sistema de arquivos, registro, processos em execução, arquivos de log de eventos, etc.
ÿ Você pode comparar esse estado de linha de base com o estado do sistema após a execução do malware.
Isso ajudará a entender as alterações que o malware fez no sistema.
ÿ
Liste todos os drivers de dispositivo, serviços do Windows e programas de inicialização
ÿ Instalar as ferramentas que seriam usadas para capturar as alterações realizadas pelo malware nas propriedades
de rede e outros recursos do sistema, como sistema de arquivos, registro e
processos
ÿ Gerar valores de hash dos sistemas operacionais e ferramentas usadas
ÿ Execute o malware que foi coletado das máquinas suspeitas nas estações de trabalho forenses e inicie o
monitoramento

Monitorando a Integridade do Host
Ao criar a imagem de linha de base, execute o malware no

Estação de trabalho forense do Windows por um determinado período de tempo
Observação: neste cenário, executaremos um malware chamado payload.exe
Faça o segundo instantâneo da estação de trabalho e compare-o com a linha de

base para detectar todas as alterações feitas nos sistemas de arquivos e registros
Use ferramentas como o WhatChanged Portable, que verifica arquivos

modificados e entradas de registro e os lista em formato de arquivo de texto
Monitorando a Integridade do Host
Para monitorar a integridade do host, os investigadores devem obter um instantâneo do estado de linha de base da
estação de trabalho forense antes da execução do malware.
Após o estabelecimento da linha de base, que já foi feita para a estação de trabalho Windows como parte da preparação
de pré-execução, os investigadores precisam fazer o seguinte:
ÿ Execute o malware na estação de trabalho do Windows por um determinado período e leve um segundo
instantâneo da estação de trabalho
Observação: para fins de demonstração, executaremos um malware chamado payload.exe+
ÿ Compare o segundo instantâneo com a linha de base para detectar as alterações feitas no
propriedades do sistema pelo malware, como sistemas de arquivos e chaves de registro
Os investigadores podem usar ferramentas como o WhatChanged Portable que permite a captura e comparação dos
estados do sistema antes e depois da execução do malware. Ele procura por arquivos modificados e entradas de
registro e os lista em formato de arquivo de texto. A ferramenta deve ser executada em segundo plano enquanto o
malware está sendo executado na estação de trabalho para registrar as alterações no sistema de arquivos e no registro.
ÿ WhatChanged Portátil
Fonte: https:// portableapps.com
WhatChanged é um utilitário de sistema que procura arquivos modificados e entradas de registro. É útil para
verificar as instalações do programa. O WhatChanged Portable pode ser executado a partir de uma pasta na
nuvem, unidade externa ou pasta local sem instalar no Windows. WhatChanged usa o 'método de força bruta'
para verificar arquivos e o registro.

Há duas etapas para usar o WhatChanged Portable:
1. Tire um instantâneo para obter o estado atual do computador
2. Execute-o novamente para verificar as diferenças desde o instantâneo anterior
Figura 12.14: Ferramenta portátil WhatChanged

Observando o comportamento do tempo de execução
ÿ Refere-se à execução do malware na estação de trabalho forense e observação de suas operações em tempo real para
entender sua intenção e funcionalidade
ÿ Você pode aprender sobre as características comportamentais do malware monitorando suas atividades no sistema e o
rede
ÿ A análise do comportamento do malware em tempo de execução pode ser feita de duas maneiras: análise do comportamento do sistema e análise do comportamento da rede
Análise de Comportamento do Sistema Análise de Comportamento de Rede
ÿ Envolve o monitoramento das alterações nos recursos do ÿ Envolve o rastreamento das atividades de nível de rede do
sistema operacional durante a execução do malware. malware . A análise do comportamento da rede inclui:
A análise do comportamento do sistema inclui:
ÿ Registo de Acompanhamento ÿ Examinando Logs de Eventos ÿ Monitoramento de endereços IP

artefatos
ÿ Monitoramento de chamadas de API ÿ Procurando por portas conectadas
ÿ Acompanhamento de Processos ÿ Dispositivo de Monitorização ÿ Examinando as entradas DNS

motoristas
ÿ Serviços de Monitoramento
e Pastas de Inicialização ÿ Monitoramento de Arquivos e
Pastas
Observando o comportamento do tempo de execução
A observação do comportamento em tempo de execução de uma amostra de malware refere-se à execução do malware na estação de trabalho
forense e à observação de suas operações em tempo real para entender sua intenção e funcionalidade.
A execução do malware nas estações de trabalho forenses permite que os investigadores observem em tempo real como o malware se
descompacta, as operações maliciosas que executa no registro, nos arquivos do sistema e nos recursos do kernel e se tenta estabelecer qualquer
comunicação com o ambiente externo, como como a rede.
Isso permite que os investigadores detectem e entendam as características comportamentais do malware sob exame. Eles podem registrar e
coletar informações em tempo real sobre o comportamento dinâmico de diferentes tipos de amostras de malware, o que pode ser muito útil na
aplicação de medidas preventivas contra ameaças maliciosas.
Os investigadores podem monitorar o comportamento do malware em tempo de execução de duas maneiras:
1. Análise de Comportamento do Sistema
Envolve monitorar as alterações nos recursos do sistema operacional após a execução do malware. A análise do comportamento do
sistema inclui o monitoramento das alterações nos seguintes componentes do sistema após a execução do malware:
o Monitorando artefatos de registro
o Processos de monitoramento
o Serviços de monitoramento e pastas de inicialização
o Examinando logs de eventos

o Monitoramento de chamadas de API
o Monitoramento de drivers de dispositivos
o Monitoramento de arquivos e pastas
2. Análise do Comportamento da Rede
Envolve o rastreamento das atividades de nível de rede do malware. A análise do comportamento da rede inclui o monitoramento
das seguintes propriedades de rede:
o Monitoramento de Endereços IP
o Procurando por portas conectadas
o Examinando as entradas de DNS

Fluxo do módulo
01 02 03 04
Análise de Malware
05 06 07
Realizar análise de comportamento do sistema

Durante o tempo de execução, um malware pode interagir com vários componentes do sistema, como registro,
arquivos e pastas, processos e serviços do Windows e drivers de dispositivo. Ele pode atualizar/excluir chaves
de registro ou criar serviços/processos maliciosos do Windows para realizar o que foi projetado para fazer.
Depois de executar o malware, os investigadores podem analisar as alterações no registro, processos ou

serviços comparando o resultado com a imagem de linha de base e usando várias ferramentas forenses. Eles
também podem examinar as chamadas de API feitas pelo malware e monitorar os logs de eventos para ver as
alterações nas propriedades do sistema realizadas pelo malware.
Esta seção descreve como analisar vários componentes do sistema e rastrear alterações maliciosas durante a
análise dinâmica de malware.

Análise do Comportamento do Sistema: Monitorando Artefatos do Registro
ÿ O malware manipula o registro para garantir

Registro de monitoramento
que seja executado automaticamente artefatos
sempre que o computador for inicializado ou

o usuário fizer login
ÿ Ao executar o malware em uma estação de

trabalho forense, você pode observar sua Analisando AutoStart
atividade no registro e procurar chaves ou Locais de registro
valores específicos que são lidos, criados,

modificados ou excluídos por ele
ÿ Procure locais de registro do Windows

AutoStart que são comumente visados por
malware para persistir no sistema Executar Chaves Chaves RunOnce Chaves de inicialização
Análise do Comportamento do Sistema: Monitorando Artefatos do Registro
O registro do Windows armazena os detalhes de configuração do sistema operacional e do programa, como configurações e
opções. Se o malware for um programa, o registro armazena sua funcionalidade. O malware manipula o registro para garantir
que ele seja executado automaticamente sempre que um computador ou dispositivo for inicializado ou um usuário fizer login.
Os investigadores forenses podem executar o malware em uma estação de trabalho forense do Windows e observar como ele
interage com os arquivos de registro do sistema, particularmente as chaves e valores do registro que são criados, modificados
ou excluídos por ele.
Os investigadores podem examinar locais de registro específicos enquanto realizam uma análise de tempo de execução do
malware para saber mais sobre sua funcionalidade. O monitoramento das chaves de registro do AutoStart pode ser bastante
útil, pois esses são os locais mais comuns visados por malware.
Figura 12.15: Chaves de registro do Windows AutoStart

Chaves de registro do Windows AutoStart
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Executar/Executar uma vez
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
Chaves
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders

Chaves de inicialização
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
Chaves de registro do Windows AutoStart
As chaves AutoStart no registro do Windows, que permitem que os programas sejam executados automaticamente na
reinicialização do sistema ou no login do usuário, são os locais mais comuns visados por malware para obter persistência em
qualquer máquina comprometida.
Algumas das chaves de registro do Windows AutoStart visadas por programas maliciosos são discutidas abaixo:
ÿ Teclas Run/RunOnce
O malware geralmente modifica as chaves de registro mencionadas abaixo para continuar em execução no sistema
sempre que o usuário fizer login:
o HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
o HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
Um programa malicioso também pode modificar as seguintes chaves relacionadas ao sistema:
o HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
o HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
o HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policie
s\Explorer\Run
ÿ Teclas de Inicialização
Os autores de malware também tentam colocar seu arquivo executável malicioso no diretório de inicialização do
sistema comprometido e criar uma entrada de atalho no local apontado pela subchave Startup, que é definida para
executar o serviço automaticamente em cada logon/reinicialização.

Esses locais de inicialização são encontrados no nível do usuário e no nível do

sistema: o HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explore
r\Shell Folders, Common Startup
o HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explore
r\Pastas do shell do usuário, inicialização comum
o HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
\Pastas Shell, Inicialização
o HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
\Pastas do shell do usuário, inicialização

Analisando chaves de registro do Windows AutoStart

ÿ Aqui, a extração de dados das chaves AutoStart mostra que o malware anexou
ÿ Use ferramentas como Regripper que vem com
um arquivo de script VB persistente sob a chave Run para executar
GUI e ferramentas de linha de comando que
automaticamente no login do usuário: ÿ PiQyyECwr: Novo valor de nome criado
podem analisar chaves, valores e dados do registro
sob a chave Run ÿ CaoCIboog.vbs: script VB malicioso arquivo instalado
para obter persistência ÿ Caminho do arquivo de script: C:
Comando para analisar o conteúdo da chave de
registro de inicialização automática do arquivo NTUSER.dat \Users\Robert\AppData\Local\Temp\CaoCIboog.vbs
de um usuário específico (Robert) no Regripper
Analisando chaves de registro do Windows AutoStart
Depois que o malware é executado em uma estação de trabalho forense do Windows, os investigadores podem examinar os
locais de registro do AutoStart por meio de ferramentas como o Regripper para ver se ele segue algum mecanismo de persistência.
A captura de tela abaixo mostra o comando usado para analisar o conteúdo da chave de registro AutoStart do arquivo
NTUSER.dat de um usuário específico (neste cenário, Robert) para um arquivo de texto chamado Output.txt via Regripper após
a execução do malware. O NTUSER.dat é um arquivo de log de registro que armazena configurações e preferências específicas
para qualquer conta de usuário.
Figura 12.16: Comando usado para analisar o arquivo NTUSER.dat de um usuário específico usando o Regripper
A análise dos valores da chave de registro AutoStart mostra uma entrada adicionada à chave Run na seção
HKEY_CURRENT_USER pelo malware em tempo de execução. O malware anexou um arquivo de script VB persistente na
chave Run para ser executado automaticamente no login do usuário:
ÿ PiQyyECwr: Novo valor de nome criado na tecla Executar
ÿ CaoCIboog.vbs: arquivo de script VB malicioso instalado para obter persistência
ÿ Caminho do arquivo de script: C:\Users\Robert\AppData\Local\Temp\CaoCIboog.vbs

Figura 12.17: Análise do arquivo output.txt
ÿ RegRipper
RegRipper é uma ferramenta de código aberto, escrita em Perl, para extrair/analisar informações (chaves,
valores, dados) do Registro e apresentá-las para análise.
O RegRipper consiste em duas ferramentas básicas, ambas com recursos semelhantes. A GUI do RegRipper
permite que o analista selecione um hive para analisar, um arquivo de saída para os resultados e um perfil
(lista de plug-ins) para executar no hive. Ele também inclui uma ferramenta de linha de comando (CLI) chamada
rip. Rip pode ser apontado para uma seção e pode executar um perfil (uma lista de plug-ins) ou um plug-in
individual nessa seção, com os resultados sendo enviados para STDOUT.
Essa ferramenta é executada por meio de plug-ins que são scripts Perl individuais, cada um executando uma
função específica. Os plug-ins podem localizar chaves específicas e listar todas as subchaves, bem como
valores e dados, ou podem localizar valores específicos.

Análise do Comportamento do Sistema: Processos de Monitoramento
ÿ Alguns malwares também usam PEs Process Monitor mostra o sistema de arquivos em tempo real,
Monitor de processo
Registro e atividade de processo/thread
(Executável Portátil) para se
injetar em vários processos (como
explorer.exe ou navegadores da
web)
ÿ Acompanhamento do processo após a

a execução do malware na estação de
trabalho forense ajuda a identificar os
processos que o malware inicia ou
assume
ÿ Use ferramentas de monitoramento de processo como

Process Monitor para verificar
processos suspeitos criados pelo malware
https:// docs.microsoft.com
Análise do Comportamento do Sistema: Processos de Monitoramento
Alguns malwares também usam PEs (Portable Executable) para se injetar em vários processos (como explorer.exe ou
navegadores da web). Os investigadores devem realizar o monitoramento do processo, pois isso os ajudará a entender
os processos iniciados e controlados por um malware após a execução.
Eles também devem observar os processos filho, identificadores associados, bibliotecas carregadas e funções para
definir a natureza de um arquivo ou programa, coletar informações sobre os processos em execução antes da execução
do malware e compará-los com os processos em execução após a execução. Este método reduzirá o tempo necessário
para analisar os processos e facilitará a identificação de todos os processos iniciados pelo malware.
ÿ Monitor de Processos
Process Monitor é uma ferramenta de monitoramento para Windows que mostra sistema de arquivos em
tempo real, registro e atividade de processo/thread. Ele combina os recursos de dois utilitários Sysinternals,
Filemon e Regmon, e adiciona aprimoramentos, incluindo filtragem avançada e não destrutiva, propriedades
abrangentes de eventos, como IDs de sessão e nomes de usuário, informações confiáveis sobre o processo,
pilhas completas de threads com suporte a símbolos integrados para cada operação, registrar em um arquivo
e muito mais. Seus recursos exclusivos e poderosos farão do Process Monitor um utilitário essencial no kit de
ferramentas de solução de problemas e caça a malware do sistema.
O Process Monitor inclui recursos de monitoramento e filtragem, que incluem o seguinte:
o Mais dados capturados para parâmetros de entrada e saída da operação
o Filtros não destrutivos permitem que você defina filtros sem perder dados

o Captura de pilhas de threads para cada operação torna possível em muitos casos identificar
a causa raiz de uma operação
o Captura confiável de detalhes do processo, incluindo caminho da imagem, linha de comando e usuário e
IDs de sessão
o Colunas configuráveis e móveis para qualquer propriedade de evento
o Os filtros podem ser definidos para qualquer campo de dados, incluindo campos não configurados como colunas
o A arquitetura de registro avançada escala para dezenas de milhões de eventos capturados e

gigabytes de dados de registro
o Ferramenta de árvore de processo mostra a relação entre todos os processos referenciados em um rastreamento
o O formato de log nativo preserva todos os dados para carregamento em uma instância diferente do Process Monitor
o Dica de ferramenta do processo para facilitar a visualização das informações da imagem do processo
o A dica de ferramenta de detalhes permite acesso conveniente a dados formatados que não cabem no
coluna
o Pesquisa cancelável
o Registro do tempo de inicialização de todas as operações
Figura 12.18: A ferramenta Process Monitor

Análise do Comportamento do Sistema: Monitorando os Serviços do Windows
ÿ Esta ferramenta pode ajudar a rastrear serviços maliciosos iniciados pelo Serviço do Windows
malware. Ele pode criar serviços sem reiniciar o Windows, excluir serviços Gerente
existentes e alterar a configuração do serviço. (SrvMan)
ÿ Malware gera serviços do Windows que permitem que

invasores controlem remotamente a máquina da
vítima e passem instruções maliciosas
ÿ O malware também pode empregar técnicas de rootkit para

manipular
Chaves de registro
HKEY_LOCAL_MACHINE\System\CurrentContr
olSet\Services para ocultar seus processos
ÿ Examinar os serviços do Windows durante a execução

do malware ajuda a identificar quaisquer serviços
suspeitos criados pelo malware que possam ser
executados automaticamente ou exigir intervenção
manual para serem iniciados https:// sysprogs.com
Análise do Comportamento do Sistema: Monitorando os Serviços do Windows
Os invasores projetam malware e outros códigos maliciosos de forma a serem instalados e executados em um dispositivo de
computador na forma de um serviço. Um malware pode gerar serviços do Windows que permitem que os invasores controlem
remotamente a máquina da vítima e passem instruções maliciosas ou apliquem técnicas de rootkit para manipular as chaves de
registro HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services e evitar a detecção.
Como muitos serviços do Windows são executados em segundo plano para dar suporte a processos e aplicativos, os serviços
mal-intencionados ficam invisíveis mesmo quando executam atividades nocivas no sistema e podem funcionar mesmo sem
qualquer intervenção ou entrada.
Esses serviços maliciosos são executados como uma conta SYSTEM ou outras contas privilegiadas, que fornecem mais acesso
do que as contas de usuário. Isso os torna mais perigosos do que um malware comum e código executável. Os invasores também
tentam enganar os usuários e os investigadores, nomeando os serviços maliciosos com nomes semelhantes aos dos serviços
genuínos do Windows para evitar a detecção.
Os investigadores precisam rastrear os serviços maliciosos iniciados por um malware durante a análise de tempo de execução
usando ferramentas que podem detectar alterações nos serviços. Os investigadores podem usar ferramentas como o Windows
Service Manager para essa finalidade.
ÿ Gerenciador de Serviços do Windows (SrvMan)
Fonte: https:// sysprogs.com
Windows Service Manager é uma pequena ferramenta que simplifica todas as tarefas comuns relacionadas aos serviços
do Windows. Ele pode criar serviços (Win32 e Legacy Driver) sem reiniciar o Windows, excluir serviços existentes e
alterar a configuração do serviço.

Possui modos GUI e linha de comando. Ele também pode ser usado para executar aplicativos Win32 arbitrários
como serviços (quando esse serviço é interrompido, a janela principal do aplicativo é fechada automaticamente).
Recursos:
o Permite a criação de drivers e serviços Win32 sem reiniciar
o Suporta GUI e linha de comando
o Suporta todas as versões modernas de 32 bits e 64 bits do Windows
o Permite a execução de aplicativos Win32 arbitrários como serviços
o Permite instalar e executar serviços de driver herdados em uma única chamada de linha de comando
Você pode usar a interface de linha de comando do SrvMan para executar as seguintes tarefas:
o Criação de serviços
Use a seguinte linha de comando para criar serviços usando SrvMan (os parâmetros entre colchetes são
opcionais):
srvman.exe add <file.exe/file.sys> [nome do serviço] [nome de exibição] [/type:<tipo de

serviço>]
[/start:<modo de início>] [/interactive:no] [/overwrite:yes]
o Excluindo serviços
Use o seguinte comando para excluir serviços usando SrvMan:

srvman.exe delete <nome do serviço>
o Iniciar/parar/reiniciar serviços
Normalmente, SrvMan aguarda o início do serviço. No entanto, se você especificar o parâmetro /nowait,
SrvMan retornará o controle imediatamente após a emissão da solicitação de início/parada. A seguir estão
alguns comandos para iniciar/parar/reiniciar serviços usando SrvMan:
• srvman.exe start <nome do serviço> [/nowait] [/delay:<atraso no

ms>]
• srvman.exe stop <nome do serviço> [/nowait] [/delay:<atraso no

ms>]
• srvman.exe restart <nome do serviço> [/delay:<atraso em ms>]
o Testando o driver legado
Teste os drivers herdados usando o seguinte comando com SrvMan:
srvman.exe run <driver.sys> [nome do serviço] [/copy:yes] [/overwrite:no] [/stopafter:<msec>]

Figura 12.19: Gerenciador de Serviços do Windows

Análise de comportamento do sistema: monitoramento de programas de inicialização
O malware pode alterar as configurações do sistema e se adicionar ao menu de inicialização para realizar atividades maliciosas
sempre que o sistema for iniciado
Etapas para detectar manualmente malware oculto ÿ Verifique as
entradas do programa de inicialização no registro ÿ Verifique os drivers
carregados automaticamente
ÿ C:\Windows\System32\drivers
ÿ Verifique as entradas boot.ini ou bcd (bootmgr) ÿ
Verifique os serviços de inicialização do Windows
ÿ Vá para Executar ÿ Digite services.msc ÿ Classifique por tipo de inicialização
ÿ Verifique as pastas de inicialização
ÿ C:\ProgramData\Microsoft\Windows\Menu Iniciar\Programas\Inicialização
ÿ C:\Users\<UserName>\AppData\Roaming\Microsoft\Windows\Start
Menu\Programas\Inicialização
Análise de comportamento do sistema: monitoramento de programas de inicialização
Vários cavalos de Tróia e malware podem alterar as configurações do sistema e se adicionar ao menu de inicialização
para executar atividades maliciosas continuamente sempre que o sistema é iniciado. Portanto, os investigadores devem
monitorar minuciosamente os programas de inicialização enquanto detectam cavalos de Tróia. Abaixo estão as maneiras
de detectar cavalos de Tróia ocultos em um sistema suspeito:
Verifique boot.ini
Verifique as entradas boot.ini ou bcd (bootmgr) usando o prompt de comando. Abra o prompt de comando como
administrador, digite bcdedit e pressione o botão enter para visualizar todas as entradas do gerenciador de inicialização.
Figura 12.20: comando bcdedit exibindo as entradas do gerenciador de inicialização do Windows

Verifique os serviços do Windows
Para encontrar o processo de inicialização, os investigadores podem verificar a lista de serviços do Windows para ver os
serviços que iniciam automaticamente quando o sistema inicializa. Para verificar os serviços do Windows, os investigadores
podem navegar até Executar ÿ Digite services.msc ÿ Classificar por tipo de inicialização
Figura 12.21: Janela Serviços mostrando informações sobre serviços em um sistema local
Verifique as pastas de inicialização
As pastas de inicialização armazenam os aplicativos ou atalhos de aplicativos que iniciam automaticamente quando o
sistema inicializa. Para verificar os aplicativos de inicialização, pesquise os seguintes locais no Windows 10:
ÿ C:\ProgramData\Microsoft\Windows\Menu Iniciar\Programas\Inicialização
ÿ C:\Users\(UserName)\AppData\Roaming\Microsoft\Windows\StartMenu\P rograms\Startup
Outro método para acessar as pastas de inicialização é o seguinte:
1. Pressione os botões Windows e r simultaneamente para abrir a caixa Executar
2. Digite shell:startup na caixa e clique no botão OK para navegar até a pasta de inicialização
Figura 12.22: shell: comando de inicialização na caixa Executar

Ferramenta de monitoramento de programas de inicialização: Autoruns para Windows
Autoruns para Windows exibe programas configurados para serem executados automaticamente durante o login
do usuário ou inicialização do sistema e pode ajudar a detectar programas e processos de inicialização suspeitos
https:// docs.microsoft.com
Ferramenta de monitoramento de programas de inicialização: Autoruns para Windows
Este utilitário mostra quais programas estão configurados para serem executados durante a inicialização ou login do
sistema e quando você inicia vários aplicativos integrados do Windows, como Internet Explorer, Explorer e reprodutores
de mídia. Esses programas e drivers incluem aqueles na pasta de inicialização e em Run, RunOnce e outras chaves
de registro. Autoruns relata extensões de shell do Explorer, barras de ferramentas, objetos auxiliares do navegador,
notificações de Winlogon, serviços AutoStart e muito mais.
Execute o Autoruns e ele mostra os aplicativos AutoStart atualmente configurados, bem como toda a lista de locais de
registro e sistema de arquivos disponíveis para configuração do AutoStart. Os locais de início automático exibidos pelo
Autoruns incluem entradas de logon, complementos do Explorer, complementos do Internet Explorer, incluindo objetos
auxiliares do navegador (BHOs), Appinit DLLs, seqüestros de imagem, imagens de execução de inicialização,
notificação de Winlogon DLLs, Windows Services e Winsock Layered Service Providers, codecs de mídia e muito
mais . Alterne as guias para ver os inícios automáticos de diferentes categorias.
Uso do Autorunsc
Autorunsc é a versão de linha de comando do Autoruns.
Sintaxe:
autorunsc [-a <*|bdeghiklmoprsw>] [-c|-ct] [-h] [-m] [-s] [-u] [-vt] [[- z ] | [do utilizador]]]

Parâmetros:
-uma
Seleção de entrada de início automático
*
Todo
B Executar inicialização
D DLLs do Appinit
E
Extras do Explorer
G Gadgets da barra lateral (Vista e superior)
H Sequestros de imagem
EU
complementos do Internet Explorer
k DLLs conhecidas
eu
Inicializações de logon (este é o padrão)
M entradas WMI
N protocolo Winsock e provedores de rede
O codecs
P DLLs do monitor da impressora
R Provedores de segurança LSA
S Serviços de inicialização automática e drivers não desativados
T Tarefas agendadas
No Entradas de logon
-c Saída de impressão como CSV
-ct Saída de impressão como valores delimitados por tabulações
-h Mostrar hashes de arquivo
-m Ocultar entradas da Microsoft (entradas assinadas se usadas com -v)
-s Verificar assinaturas digitais
-t Mostrar carimbos de data/hora em UTC normalizado (AAAAMMDD-hhmmss)
Se a verificação do VirusTotal estiver ativada, mostra os arquivos que são desconhecidos pelo VirusTotal ou têm
-no
detecção diferente de zero, caso contrário, mostra apenas os arquivos não assinados
-x Imprimir saída como XML
Consulte o VirusTotal em busca de malware com base no hash do arquivo. Adicione 'r' para abrir relatórios de
arquivos com detecção diferente de zero. Os arquivos relatados como não verificados anteriormente serão carregados
-v[rs]
no VirusTotal se a opção 's' for especificada. Nota Os resultados da varredura podem não estar disponíveis por cinco
ou mais minutos.
Antes de usar os recursos do VirusTotal, você deve aceitar os termos de serviço do VirusTotal. Se você não aceitou
-vt os termos e omitiu esta opção, você será questionado interativamente.
-com
Especifica o sistema Windows offline a ser verificado.
Especifica o nome da conta de usuário para a qual os itens de execução automática serão exibidos. Especificamos
Do utilizador
“*”
para verificar todos os perfis de usuário
Tabela 12.2: Parâmetros Autorunsc

Figura 12.23: Autoruns para Windows mostrando modificações na chave de registro de inicialização automática e na pasta de inicialização por malware

Análise de comportamento do sistema: monitoramento de logs de eventos do Windows
ÿ Os logs de eventos do Windows são armazenados em

Pasta C:\Windows\System32\winevt\Logs
com extensão .etvx
ÿ Execute o malware no
Estação de trabalho forense do Windows e
monitorar os eventos desencadeados por
sua execução e operações
ÿ Use o utilitário Event Viewer interno do

Windows para monitorar eventos com base
em detalhes específicos, como ID do evento,
nome do evento, descrição do evento, etc.,
para procurar indicadores de malware na
estação de trabalho
Análise de comportamento do sistema: monitoramento de logs de eventos do Windows
A análise dos logs de eventos, que armazenam um registro detalhado de todas as atividades realizadas no sistema operacional
Windows com base nas políticas de auditoria executadas, pode fornecer aos investigadores forenses informações valiosas
enquanto procuram sinais de um ataque de malware em um sistema específico.
Os logs de eventos podem ser encontrados na pasta C:\Windows\System32\winevt\Logs em todas as edições do sistema
operacional Windows e são armazenados com a extensão.etvx.
Figura 12.24: Caminho para os logs de eventos do Windows
Depois de executar o malware na estação de trabalho forense do Windows, os investigadores podem monitorar os eventos
acionados por suas atividades por meio do utilitário integrado Visualizador de eventos do Windows. Eles podem examinar esses
eventos em tempo real com base em detalhes específicos, como ID do evento, nome do evento, descrição do evento etc., para
extrair dados sobre como o malware está interagindo com os recursos do sistema e usá-los para análise posterior.

Figura 12.25: Visualizador de eventos do Windows

Análise de comportamento do sistema: monitoramento de chamadas de API
ÿ Programas maliciosos geralmente usam

APIs do Windows para acessar informações do
sistema operacional , como sistemas de arquivos,
threads, registro e kernel
ÿ O monitoramento de chamadas de API

ajuda a entender a interação de um malware com o
sistema operacional e pode fornecer informações valiosas
sobre seu sistema e atividades em nível de rede
ÿ Use ferramentas como API Monitor para interceptar

Chamadas de API feitas pelo malware durante o tempo
de execução
http:// www.rohitab.com
Análise de comportamento do sistema: monitoramento de chamadas de API (continuação)
O exame das chamadas de API feitas pelo

malware durante a execução por meio da ferramenta
API Monitor revela o seguinte: ÿ O malware usou
repetidamente “CreateFileA” e
Funções “NtCreateFile” para criar arquivos maliciosos
na pasta do sistema da estação de trabalho forense do
Windows
ÿ Ele tentou criar uma série de HTML e

Arquivos SCR com os seguintes nomes:
ÿ molani.scr
ÿ evan.html
ÿ avril.html
ÿ nemo.html
Análise de comportamento do sistema: monitoramento de chamadas de API
Interfaces de programação de aplicativos (APIs) são partes do sistema operacional Windows que permitem que aplicativos
externos acessem informações do sistema operacional, como sistemas de arquivos, threads, erros, registro, kernel, botões,
ponteiro do mouse, serviços de rede, web e internet. Os programas de malware também usam essas APIs para acessar as
informações do sistema operacional.

Os investigadores precisam reunir as APIs relacionadas a programas de malware e analisá-las para revelar sua
interação com o sistema operacional, bem como as atividades que estão realizando no sistema. Eles podem
usar ferramentas como API Monitor para realizar a análise.
O exame das chamadas de API, conforme mostrado nas capturas de tela abaixo, feitas por uma amostra de malware
durante a execução por meio da ferramenta API Monitor revela o seguinte:
ÿ O malware usou repetidamente as funções “CreateFileA” e “NtCreateFile” para criar

arquivos maliciosos na pasta do sistema da estação de trabalho forense
ÿ
Ele tentou criar vários arquivos HTML e SCR com os seguintes nomes:
o molani.scr
ou evan.html
o avril.html
o nemo.html
Figura 12.26: Criação do arquivo molani.scr na unidade do sistema
Figura 12.27: Criação do arquivo evan.html na unidade do sistema
Figura 12.28: Criação do arquivo avril.html na unidade do sistema
Figura 12.29: Criação do arquivo meno.html na unidade do sistema

Monitor de API
Fonte: http:// www.rohitab.com
O API Monitor é um software gratuito que permite monitorar e controlar chamadas de API feitas por aplicativos e
serviços. Essa ferramenta ajuda a visualizar como os aplicativos e serviços funcionam ou a rastrear problemas nos
aplicativos.
Recursos
ÿ Suporte de 64 bits
O API Monitor oferece suporte ao monitoramento de aplicativos e serviços de 64 bits. A versão de 64 bits só
pode ser usada para monitorar aplicativos de 64 bits e a versão de 32 bits só pode ser usada para monitorar
aplicativos de 32 bits. Para monitorar um aplicativo de 32 bits no Windows de 64 bits, você deve usar a versão
de 32 bits. Observe que o instalador de 64 bits do API Monitor inclui ambos
Versões de 64 bits e 32 bits.
ÿ Visualização resumida com realce de sintaxe
A janela Resumo exibe informações sobre a chamada de API. Isso inclui o ID do encadeamento e o nome da
DLL que fez a chamada de API, a chamada de API realçada pela sintaxe com todos os parâmetros e o valor
de retorno. Se a chamada da API falhar, as informações sobre o erro também serão exibidas.
ÿ Definições de API e Interfaces COM
O API Monitor vem com definições de API para mais de 13.000 APIs de quase 200 DLLs e mais de 17.000
métodos de mais de 1.300 interfaces COM (Shell, navegador da web, DirectShow, DirectSound, DirectX,
Direct2D, DirectWrite, Windows Imaging Component, Debugger Engine, MAPI, etc.) . As APIs são organizadas
em categorias e subcategorias (conforme especificado no MSDN). O filtro API Capture permite selecionar APIs
para monitoramento.
ÿ Estruturas, Uniões, Enums e Flags
O API Monitor pode decodificar e exibir 2.000 estruturas e uniões diferentes, mais de 1.000 tipos de dados
enumerados e mais de 800 sinalizadores. Buffers e arrays dentro de estruturas também podem ser visualizados.
ÿ Visualização do Buffer
API Monitor pode exibir buffers de entrada e saída. A quantidade de dados exibidos é calculada automaticamente
a partir de outros argumentos para a API ou do valor de retorno da API.
A quantidade máxima de dados a serem capturados é configurável.
O comprimento lpBuffer é calculado observando o valor de lpNumberOfBytesRead após a execução da

chamada de API. Nesse caso, o valor retornado é 174, que é o comprimento exibido do buffer.
ÿ Árvore de Chamadas
O API Monitor exibe uma árvore de chamadas que mostra a hierarquia das chamadas de API. A captura de
tela a seguir exibe uma árvore de chamadas para uma chamada CoGetClassObject feita por um aplicativo VB que

carrega o controle Microsoft Winsock ActiveX. O controle ActiveX MSWINSCK.OCX faz chamadas para
WSAStartup e CreateWindowExA de DllMain.
ÿ Parâmetros de decodificação e valores de retorno
Ambos os parâmetros e valores de retorno podem ser exibidos em um formato amigável. A primeira captura
de tela abaixo mostra a exibição normal com os valores de parâmetro exibidos como estão. Para dwShareMode,
o API Monitor exibe FILE_SHARE_DELETE | FILE_SHARE_READ em vez de 5 quando a opção Decode
Parameter Values está habilitada. Essa opção está disponível no painel de parâmetros e no painel de resumo.
Figura 12.30: ferramenta API Monitor

Análise do Comportamento do Sistema: Monitoramento de Drivers de Dispositivos
ÿ O malware é instalado junto com os

drivers de dispositivo baixados
de fontes não confiáveis e usá-los
como um escudo para evitar a
detecção
ÿ Você deve verificar se há

drivers de dispositivo e verifique
se eles são genuínos e baixados do
site original do editor
ÿ Vá em Executar ÿ Digite msinfo32 ÿ

Ambiente de Software ÿ Sistema
motoristas
Análise do Comportamento do Sistema: Monitoramento de Drivers de Dispositivos
O malware é instalado junto com os drivers de dispositivo baixados de fontes não confiáveis e os usa como um escudo
para evitar a detecção. Você deve procurar drivers de dispositivo suspeitos e verificar se eles são genuínos e baixados
do site original do editor. Para visualizar os drivers de dispositivo em uma máquina Windows, navegue até Executar ÿ
Digite msinfo32 ÿ Ambiente de software ÿ Drivers do sistema.
Figura 12.31: Lista de drivers do sistema em uma máquina Windows local

Ferramenta de monitoramento de drivers de dispositivo: DriverView
O utilitário DriverView exibe uma lista de todos os drivers de dispositivo atualmente carregados no sistema. Para
cada driver na lista, são exibidas informações adicionais, como o endereço de carregamento do driver, descrição,
versão, nome do produto e a empresa que criou o driver.
Ferramenta de monitoramento de driver de dispositivo: DriverView
O utilitário DriverView exibe uma lista de todos os drivers de dispositivo atualmente carregados no sistema. Para cada
driver na lista, são exibidas informações adicionais, como o endereço de carregamento do driver, descrição, versão,
nome do produto e a empresa que criou o driver.
Figura 12.32: Ferramenta DriverView

Análise do Comportamento do Sistema: Monitoramento de Arquivos e Pastas
Você pode usar arquivos e ferramentas de monitoramento de integridade de pastas para examinar o sistema de arquivos e a atividade de pastas
em tempo real em um sistema infectado
ASSINAR VERIFICAR FCIV TRIPWIRE ENTERPRISE
ÿ Verifica a integridade de arquivos críticos ÿ É um utilitário de linha de comando que ÿ É um verificador de integridade do sistema
assinados digitalmente pela Microsoft calcula hashes criptográficos MD5 ou de classe empresarial que verifica e
SHA1 para arquivos relata alterações em arquivos críticos
do sistema
ÿ Para iniciar o SIGVERIF, vá para Iniciar ÿ Você pode baixar o FCIV em
ÿ Executar, digite sigverif e pressione https:// docs.microsoft.com
Digitar
Análise do Comportamento do Sistema: Monitoramento de Arquivos e Pastas
O malware também pode modificar os arquivos e pastas do sistema para salvar algumas informações neles.
Os investigadores devem ser capazes de encontrar os arquivos e pastas que um malware cria e analisá-los para coletar
qualquer informação importante armazenada neles. Esses arquivos e pastas também podem conter código de programa oculto
ou sequências maliciosas que o malware agendará para execução em um horário específico.
ÿ Visibilidade
A verificação de assinatura de arquivo, também chamada de Sigverif, é um utilitário integrado da Microsoft no

Windows 10/8/7. Ele verifica a integridade de arquivos críticos que foram assinados digitalmente pela Microsoft.
Assim, pode ajudar os investigadores a encontrar drivers não assinados. Para iniciar o SIGVERIF, vá para Executar,
digite sigverif e pressione Enter.
ÿ FCIV
O File Checksum Integrity Verifier (FCIV) é um utilitário de prompt de comando que gera e verifica valores de hash
de arquivos usando algoritmos MD5 ou SHA-1.
O utilitário FCIV tem os seguintes recursos:
o Suporta algoritmos de hash MD5 ou SHA1 (o padrão é MD5)
o Pode enviar valores de hash para o console ou armazenar o valor de hash e o nome do arquivo em um
arquivo XML
o Pode gerar valores de hash recursivamente para todos os arquivos em um diretório e em todos os subdiretórios
(por exemplo, fciv.exe c:\ -r)

o Fornece uma lista de exceções para especificar arquivos ou diretórios para hash
o Pode armazenar valores de hash para um arquivo com ou sem o caminho completo do arquivo
ÿ Tripwire Enterprise
Fonte: https:// www.tripwire.com
O Tripwire Enterprise é uma ferramenta para avaliar configurações de TI e detectar, analisar e relatar qualquer
atividade de mudança na infraestrutura de TI. O Tripwire Enterprise pode monitorar servidores, desktops, servidores
de diretório, hipervisores, bancos de dados, aplicativos de middleware e dispositivos de rede.
O Tripwire Enterprise captura uma linha de base de sistemas de arquivos de servidor, sistemas de arquivos de
desktop, servidores de diretório, bancos de dados, sistemas virtuais, aplicativos de middleware e configurações de
dispositivos de rede em bom estado. Ele realiza verificações de integridade contínuas e, em seguida, compara os
estados atuais com essas linhas de base para detectar alterações. Ao fazer isso, ele coleta informações essenciais
para a reconciliação das alterações detectadas.
O Tripware Enterprise pode verificar as alterações detectadas com políticas de conformidade de TI definidas (filtragem
baseada em políticas); alterações documentadas em tickets em um sistema CCM ou uma lista de alterações
aprovadas; listas geradas automaticamente por ferramentas de gerenciamento de patches e provisionamento de
software; e contra recursos adicionais do ChangeIQ™. Isso permite que ele reconheça as alterações desejadas e
exponha as alterações indesejadas automaticamente.

Ferramenta de monitoramento de arquivos e pastas: PA File Sight
ÿ PA file sight é um utilitário de monitoramento de arquivos que

audita qual usuário/aplicativo está excluindo arquivos,
movendo arquivos ou lendo arquivos. Pode gerar relatórios
com detalhes, como:
ÿ Conta de usuário, incluindo

domínio/Active Directory
ÿ Nome do computador do usuário
ÿ Arquivo e pasta de destino
ÿ Atividade realizada no arquivo

(ler, escrever, deletar)
ÿ Data e hora da ação
https:// www.poweradmin.com
Ferramenta de monitoramento de arquivos e pastas: PA File Sight
Fonte: https:// www.poweradmin.com
O PA File Sight é um software de monitoramento de arquivos e auditoria de acesso que rastreia quem está excluindo arquivos,
movendo arquivos ou lendo arquivos; detecta usuários copiando arquivos; e, opcionalmente, bloqueia o acesso.
Com seus recursos de monitoramento de arquivos, ele pode determinar coisas como as seguintes:
ÿ quando um arquivo ou pasta foi excluído
ÿ observe as modificações do arquivo de log, o que é útil para o monitoramento da integridade do arquivo PCI DSS (FIM)
ÿ quem excluiu ou moveu arquivos ou pastas
ÿ de qual computador eles leram/escreveram/excluíram o arquivo ou as pastas (endereço IP* e

nome do computador)
ÿ quem está lendo e escrevendo arquivos confidenciais
ÿ quando um novo arquivo ou pasta é criado, renomeado ou movido
Recursos de auditoria de arquivos
ÿ Monitoramento de Arquivos
o Todos os arquivos ou apenas um subconjunto
o Criação, exclusão, acesso (leituras) e alterações (gravações) de arquivos e pastas
o Alterações de permissão de arquivos e pastas
o Ações bem-sucedidas e falhas
o Monitoramento em tempo real que não requer ativação de eventos de auditoria do sistema

ÿ Monitoramento de Integridade de Arquivos (FIM)
o Prova que os arquivos de log são apenas anexados e não alterados no meio
o Alertar se um usuário ou processo inesperado alterar arquivos
ÿ Detalhes do Alerta
o Conta de usuário, incluindo domínio/Active Directory
o Endereço IP do usuário e nome do computador
o Arquivo e pasta de destino
o Atividade realizada no arquivo (ler, gravar, excluir)
o Data e hora da ação
ÿ Relatórios
o Relatório sobre usuários, arquivos ou atividades específicas (por exemplo, exclusão de arquivo)
o Relatório sobre intervalo de tempo específico
o Período de retenção de dados configurável
o Relatórios em formatos de texto, HTML, CSV ou PDF
o Os relatórios são protegidos por senha
Conformidade de auditoria de acesso a arquivos
Muitos mandatos de conformidade exigem acesso a arquivos de auditoria e garantia de integridade de arquivos. O PA
File Sight pode ajudar a atender a esses requisitos, incluindo os listados abaixo:
ÿ PCI (Payment Card Industry) DSS 10.5.5, 11.5, 12.9.5
ÿ SOX (Sarbanes-Oxley) DS5.5
ÿ GLBA 16 CFR Parte 312.4(b) e (3)
ÿ HIPAA 164.312(b)
ÿ FISMA AC-19, CP-9, SI-1, SI-7
ÿ ISO 27001/27002 12.3, 12.5.1, 12.5.3, 15.3

Figura 12.33: Ferramenta PA File Sight

Verificadores de integridade de arquivos e pastas: FastSum e WinMD5

ÿ FastSum é usado para verificar a integridade ÿ WinMD5 é uma ferramenta utilitária do Windows para
dos arquivos calcular os hashes MD5 de arquivos
FastSum WinMD5
ÿ Calcula somas de verificação de acordo com o ÿ Essas impressões digitais podem ser usadas para garantir
algoritmo de soma de verificação MD5 que o arquivo não esteja corrompido
https:// www.fastsum.com https:// www.winmd5.com
Verificadores de integridade de arquivos e pastas: FastSum e WinMD5

ÿ FastSum
Fonte: https:// www.fastsum.com

FastSum, construído sobre o algoritmo de soma de verificação MD5, é uma ferramenta para verificar a integridade
dos arquivos. O FastSum calcula as somas de verificação de acordo com o algoritmo de soma de verificação MD5,
o que facilita a comparação e o armazenamento das saídas.
Figura 12.34: ferramenta FastSum

ÿ WinMD5
Fonte: https:// www.winmd5.com
WinMD5Free é um utilitário para calcular valores de hash MD5 para arquivos. Funciona com Microsoft
Windows 98, 2000, XP, 2003, Vista, 7 e versões posteriores.
Como um padrão da Internet (RFC 1321), o MD5 tem sido usado em uma ampla variedade de aplicativos de
segurança e também é comumente usado para verificar a integridade do arquivo e verificar o download.
Para usar esta ferramenta, é necessário baixar o arquivo EXE, descompactá-lo e colocá-lo em qualquer lugar
do disco rígido.
Algumas de suas características são as seguintes:
o Suporta quase todas as plataformas Windows, incluindo Microsoft Windows 95, 98, 2000,
Eu, XP, 2003, Vista e Windows 7
o Suporta arquivos grandes e baixo uso de recursos
o Não requer tempo de execução .NET pré-instalado na máquina para ser executado
o Suporta “arrastar e soltar”
o Suporta a verificação dos valores MD5 originais e atuais
o Devido à sua embalagem menor, suporta segurança de dados
Figura 12.35: Ferramenta WinMD5

Fluxo do módulo
01 02 03 04
Análise de Malware
05 06 07
Realizar análise de comportamento de rede

O monitoramento das comunicações de rede é uma parte importante da análise dinâmica de malware,
pois pode exibir as operações de malware nas propriedades da rede. Entender como um malware se
infiltra na rede pode ser a chave para prevenir sua propagação e mitigar riscos. Portanto, os investigadores
devem monitorar o ambiente de rede durante o tempo de execução e ver como o malware interage com
as propriedades da rede.
Esta seção discute várias técnicas e ferramentas usadas por investigadores forenses para detectar sinais
de propagação de malware em uma rede em tempo real.

Análise de comportamento de rede: monitoramento de atividades de rede
ÿ O malware tenta se ÿ Ao inspecionar a estação

comunicar com o de trabalho forense após a
rede para vários execução do malware, você
atividades, como deve verificar os seguintes
propagação, download de aspectos:
conteúdo malicioso, transmissão ÿ Endereços IP indo e conectando-
de arquivos e informações se à estação de trabalho
confidenciais, oferta de controle
remoto para invasores, etc. ÿ Portas sendo abertas na estação
de trabalho
ÿ Lista de entradas de DNS

gravadas na estação
de trabalho
Análise de comportamento de rede: monitoramento de atividades de rede
O malware depende da rede para várias atividades, como propagação, download de conteúdo malicioso, transmissão
de arquivos e informações confidenciais, oferta de controle remoto para invasores, etc. Alguns grupos de malware,
como trojans, worms e bots, também manipulam a configuração da rede do computador de destino para chamar um
URL, endereço IP ou nome de domínio específico e aguardar mais instruções do invasor. Portanto, os investigadores
devem adotar técnicas que possam detectar os artefatos de malware nas redes.
Para monitorar a atividade da rede, os investigadores podem executar o malware na estação de trabalho forense e
monitorar os seguintes aspectos:
ÿ
Endereços IP indo e conectando-se à estação de trabalho
ÿ Portas sendo abertas na estação de trabalho

ÿ
Lista de entradas DNS gravadas na estação de trabalho
Analisar os dados coletados dessas áreas pode ajudar os investigadores a entender os artefatos de rede, assinaturas,
funções e outros elementos do malware.
A análise de rede é o processo de capturar o tráfego de rede e investigá-lo cuidadosamente para determinar a atividade
do malware. Ajuda a encontrar o tipo de pacotes de tráfego/rede ou dados transmitidos pela rede.

Monitorando Endereços IP
Execute o Wireshark na estação de trabalho forense do Windows 01
Execute o arquivo suspeito de ser um malware na

estação de trabalho
02
Monitore o tráfego de rede ao vivo para procurar

atividades suspeitas
03
Localize qualquer endereço IP remoto com o

qual a estação de trabalho esteja tentando se comunicar
04
Examine o endereço IP por meio de ferramentas de

verificação de malware on -line para saber se é realmente suspeito
05
https:// scanner.pcrisk.com
Monitorando Endereços IP
Para determinar se um arquivo suspeito de ser um malware está tentando chamar algum endereço IP remoto/mal-
intencionado, os investigadores precisam fazer o seguinte:
1. Eles precisam executar a ferramenta Wireshark na estação de trabalho forense do Windows que irá
exibir todo o tráfego sendo transmitido pela rede.
2. Com o Wireshark em execução em segundo plano, eles devem executar o arquivo suspeito
para ser um malware na estação de trabalho.
3. Em seguida, eles devem monitorar o tráfego de rede ao vivo para ver se há algum suspeito
Atividades.
4. Se eles encontrarem algum endereço IP remoto/desconhecido ao qual a estação de trabalho está tentando se
conectar, ele deve ser marcado como incomum.
5. Por fim, eles devem examinar o endereço IP obtido por meio de ferramentas de verificação de malware on-line
para determinar se é malicioso.
As capturas de tela apresentadas abaixo mostram a detecção de um endereço IP incomum 192.185.72.225 na estação
de trabalho forense via Wireshark após a execução de um arquivo suspeito, e o resultado da análise fornecido pelo PC
Risk, uma ferramenta de verificação de malware online, revela que ele é suspeito.

Figura 12.36: Detecção de um IP remoto na estação de trabalho após a execução do malware
Figura 12.37: O IP remoto é considerado suspeito no scanner on-line PCRisk

Comportamento da rede
Análise: porta de monitoramento
ÿ Programas maliciosos abrem portas do sistema ÿ Revisão da atividade portuária em tempo real ÿ Use a ferramenta de linha de comando como
para estabelecer uma conexão com sistemas, tempo na estação de trabalho forense Netstat para monitorar todos os ativos
redes ou servidores remotos e realizar várias após a execução do malware ajuda a entender portas e seus status na estação de
tarefas maliciosas seus recursos de rede trabalho
ÿ Exemplo: um malware solicitando a porta

número 25 pode indicar que está tentando
se conectar a um servidor de e-mail
Análise do Comportamento da Rede: Porta de Monitoramento
Programas maliciosos abrem portas do sistema para estabelecer uma conexão com sistemas remotos, redes ou
servidores para realizar várias tarefas maliciosas. Essas portas abertas também podem fornecer um backdoor
para outros malwares e programas nocivos. Os investigadores podem descobrir se o malware está tentando
acessar uma porta específica durante a análise de tempo de execução usando um utilitário de linha de comando
chamado netstat. A revisão da atividade de porta aberta em tempo real na estação de trabalho forense pode
ajudar a entender os recursos de rede do malware. Por exemplo, se o malware chamar qualquer sistema remoto
pela porta 25, que é a porta padrão do Simple Mail Transfer Protocol (SMTP), ele pode estar tentando estabelecer
uma conexão com um servidor de e-mail. Os investigadores também podem usar ferramentas de monitoramento
de portas que oferecem detalhes, como protocolo usado, endereço local, endereço remoto e estado da conexão.
Recursos adicionais podem incluir nome do processo, ID do processo, protocolo de conexão remota, etc.
ÿ Netstat
É um utilitário de linha de comando que exibe conexões TCP ativas, portas nas quais o computador está
escutando, estatísticas Ethernet, tabela de roteamento IP, estatísticas IPv4 (para protocolos IP, ICMP,
TCP e UDP) e estatísticas IPv6 (para IPv6, protocolos ICMPv6, TCP sobre IPv6 e UDP sobre IPv6).
Quando usado sem parâmetros, netstat exibe conexões TCP ativas.
Sintaxe
netstat [-a] [-e] [-n] [-o] [-p Protocolo] [-r] [-s] [Intervalo]

Parâmetros
o -a: Exibe todas as conexões TCP ativas e as portas TCP e UDP nas quais o
computador está ouvindo.
o -e: Exibe estatísticas Ethernet, como o número de bytes e pacotes enviados e

recebido. Este parâmetro pode ser combinado com -s.
o -n: Exibe conexões TCP ativas. No entanto, endereços e números de porta são expressos numericamente
e nenhuma tentativa é feita para determinar nomes.
o -o: Exibe as conexões TCP ativas e inclui o ID do processo (PID) para cada conexão. Você pode
encontrar o aplicativo com base no PID na guia Processos no Gerenciador de Tarefas do Windows.
Esse parâmetro pode ser combinado com -a, -n e -p.
o -p Protocol: Mostra conexões para o protocolo especificado por Protocol. Nesse caso, o protocolo pode
ser tcp, udp, tcpv6 ou udpv6. Se este parâmetro for usado com -s para exibir estatísticas por protocolo,
o protocolo pode ser tcp, udp, icmp, ip, tcpv6, udpv6, icmpv6 ou ipv6.
o -s: Exibe estatísticas por protocolo. Por padrão, as estatísticas são mostradas para os protocolos TCP,
UDP, ICMP e IP. Se o protocolo IPv6 para Windows XP estiver instalado, as estatísticas serão
mostradas para os protocolos TCP sobre IPv6, UDP sobre IPv6, ICMPv6 e IPv6. O parâmetro -p pode
ser usado para especificar um conjunto de protocolos.
o -r: Exibe o conteúdo da tabela de roteamento IP. Isso é equivalente à impressão de rota
comando.

Ferramentas de monitoramento de porta: TCPView e CurrPorts
TCPViewName Correntes
TCPView mostra uma lista detalhada de todos os TCP e CurrPorts é um software de monitoramento de rede que
Endpoints UDP em seu sistema, incluindo endereços exibe a lista de todas as portas TCP/IP e UDP atualmente
locais e remotos e estado das conexões TCP abertas em seu computador local
https:// docs.microsoft.com https:// www.nirsoft.net
Ferramentas de monitoramento de porta: TCPView e CurrPorts
ÿ TCPView
TCPView é um programa do Windows que mostra listagens detalhadas de todos os terminais TCP e UDP em
seu sistema, incluindo os endereços locais e remotos e o estado das conexões TCP.
No Windows Server 2008, Vista e XP, o TCPView também relata o nome do processo que possui o endpoint. O
TCPView fornece um subconjunto mais informativo e convenientemente apresentado do programa Netstat
fornecido com o Windows. O download do TCPView inclui Tcpvcon, uma versão de linha de comando com a
mesma funcionalidade.

Figura 12.38: ferramenta TCPView
ÿ Correntes
CurrPorts é um software de monitoramento de rede que exibe a lista de todas as portas TCP/IP e
UDP atualmente abertas em seu computador local. Para cada porta da lista, também são exibidas
informações sobre o processo que abriu a porta, incluindo o nome do processo, caminho completo
do processo, informações sobre a versão do processo (nome do produto, descrição do arquivo e
assim por diante), a hora em que o processo foi criado e o usuário que o criou.
Além disso, o CurrPorts permite que você feche conexões TCP indesejadas, elimine o processo que
abriu as portas e salve as informações das portas TCP/UDP em arquivo HTML, arquivo XML ou
arquivo de texto delimitado por tabulações. Os CurrPorts também marcam automaticamente com a
cor rosa as portas TCP/UDP suspeitas pertencentes a aplicativos não identificados (aplicativos sem
informações de versão e ícones).

Figura 12.39: Ferramenta CurrPorts

Análise de comportamento de rede: monitoramento de DNS
Programas maliciosos usam Domain Name System (DNS) para se comunicar com o Comando e Controle (C&C)
servidor
Após a execução do malware, revise os registros DNS armazenados na estação de trabalho para entender se ele está tentando
chamar um nome de domínio específico
Observação: antes de executar o malware, limpe o cache DNS existente na estação de trabalho digitando o comando “ipconfig /
flushdns” no prompt de comando
Análise de comportamento de rede: monitoramento de DNS
Programas maliciosos usam DNS para se comunicar com o servidor C2, configurado pelo criminoso.
O malware usa um algoritmo de geração de domínio ou técnicas DGA para evitar a detecção por engenheiros
reversos e envia várias consultas de DNS para diferentes domínios em um curto período de tempo para se conectar
com seu C2.
Um software malicioso chamado DNSChanger também é capaz de alterar as configurações do servidor DNS do
sistema e fornecer aos atacantes o controle dos servidores DNS das vítimas. Usando esse controle, os invasores
podem controlar os sites aos quais o usuário tenta se conectar na Internet, fazer com que a vítima se conecte a um
site fraudulento ou interferir na navegação online na web.
Portanto, durante a análise do tempo de execução, os investigadores devem verificar as entradas DNS registradas
na estação de trabalho (também conhecidas como cache DNS) para entender se o malware está tentando entrar
em contato com um nome de domínio específico. Eles precisam limpar as entradas do cache DNS da estação de
trabalho digitando ipconfig /flushdns no prompt de comando e pressionando Enter e, em seguida, execute o
malware para identificar o nome de domínio mal-intencionado.

Ferramenta de monitoramento de DNS:
DNSQuerySniffer
ÿ DNSQuerySniffer é um utilitário sniffer de

rede que mostra as consultas DNS
enviadas em seu sistema
ÿ Ajuda na identificação do DNS

servidores aos quais o malware tenta se
conectar e o tipo de conexão
Ferramenta de monitoramento de DNS: DNSQuerySniffer
DNSQuerySniffer é um utilitário sniffer de rede que mostra as consultas DNS enviadas em seu sistema. Para cada
consulta DNS, as seguintes informações são exibidas: Nome do host, Número da porta, ID da consulta, Tipo de
solicitação (A, AAAA, NS, MX e assim por diante), Tempo da solicitação, Tempo de resposta, Duração, Código de
resposta, Número de registros , e o conteúdo dos registros DNS retornados.
Você pode exportar facilmente as informações das consultas DNS para o arquivo csv/delimitado por tabulações/
xml/html ou copiar as consultas DNS para a área de transferência e colá-las no Excel ou em outro aplicativo de
planilha.

Figura 12.40: ferramenta DNSQuerySniffer

Resumo do Módulo
Este módulo discutiu malware e as técnicas comuns que os invasores usam
para espalhar malware
Ele abordou os fundamentos da análise forense de malware e tipos de

análise de malware, incluindo uma discussão detalhada sobre a análise
estática de malware
Além disso, este módulo examinou a análise de documentos do Word

suspeitos e discutiu os fundamentos e abordagens da análise dinâmica de
malware
Por fim, este módulo terminou com uma discussão detalhada sobre a
análise do comportamento do malware em tempo real em relação às
propriedades do sistema e à rede
Resumo do Módulo
Este módulo discutiu malware e as técnicas comuns que os invasores usam para espalhar malware.
Ele cobriu os fundamentos da análise forense de malware e tipos de análise de malware, incluindo
uma discussão detalhada sobre a análise estática de malware. Além disso, este módulo examinou a
análise de documentos do Word suspeitos e discutiu os fundamentos e as abordagens da análise
dinâmica de malware. Por fim, este módulo terminou com uma discussão detalhada sobre a análise
do comportamento do malware em tempo real em relação às propriedades do sistema e da rede.

Glossário
UMA
Glossário
ÿ Advogado: O advogado fornece aconselhamento jurídico sobre como conduzir a investigação e abordar as questões legais envolvidas no processo
de investigação forense.
ÿ Densidade Areal: É definida como o número de bits por polegada quadrada em um prato.
ÿ ATA/PATA (IDE/EIDE): ATA (Advanced Technology Attachment) é o nome ANSI (American National Standards Institute) oficial da Integrated Drive
Electronics (IDE), uma interface padrão entre o barramento de dados da placa-mãe e os discos de armazenamento.
ÿ Apple File System (APFS): É um sistema de arquivos proprietário desenvolvido pela Apple Inc. para macOS 10.13 e posterior
versões.
ÿ Advanced Forensics Format (AFF): AFF é um formato de aquisição de dados de código aberto que armazena imagens de disco e metadados
relacionados.
ÿ Advanced Forensic Framework 4 (AFF4): versão redesenhada e renovada do formato AFF, que é
projetado para suportar mídia de armazenamento com grandes capacidades.
ÿ (Americano) NAVSO P-5239-26 (MFM) (3 passes): Este é um algoritmo de substituição de três passos que verifica em
a última passagem.
ÿ (Americano) DoD 5220.22-M (7 passagens): Este padrão destrói os dados na área necessária da unidade substituindo por 010101 na primeira
passagem, 101010 na segunda passagem e repetindo esse processo três vezes.
ÿ (Americano) NAVSO P-5239-26 (RLL) (3 passes): Este é um algoritmo de substituição de três passos que verifica no
Última passagem.
ÿ Correlação de Campo Automatizada: Este método verifica e compara todos os campos sistematicamente para correlação positiva e negativa entre
eles, para determinar correlações em um ou vários campos.
ÿ Envenenamento ARP: Em um ataque de envenenamento ARP, o endereço MAC do invasor é associado ao endereço IP do
o host de destino ou vários hosts na rede de destino.
ÿ Sequestro de Autenticação: Nesse tipo de ataque, os invasores tentam seqüestrar essas credenciais usando
várias técnicas de ataque, como sniffing e engenharia social.
ÿ Apache HTTP Server: Apache HTTP Server é um servidor web que suporta muitos sistemas operacionais, como Unix, GNU, FreeBSD, Linux,
Solaris, Novell NetWare, AmigaOS, Mac OS X, Microsoft Windows, OS/2 e TPF.
ÿ Log de Acesso: Geralmente registra todas as requisições processadas pelo servidor web Apache.
ÿ Apple Mail: o MacOS possui um cliente de e-mail autônomo padrão chamado Apple Mail, que oferece suporte a várias contas POP3 e IMAP e
filtragem avançada.
ÿ Ataque de conexão ad-hoc: em um ataque de conexão ad-hoc, o invasor conduz o ataque usando um adaptador USB ou placa sem fio.
ÿ Falsificação de MAC do ponto de acesso: usando a técnica de falsificação de MAC, o invasor pode reconfigurar o endereço MAC para que pareça
ser um ponto de acesso autorizado a um host em uma rede confiável.
ÿ Camada de Aplicação: Como a camada superior do modelo TCP/IP, a camada de aplicação usa múltiplos processos
usado pela camada 3 (camada de transporte), especialmente TCP e UDP, para entregar dados.
ÿ Anti-forense: Anti-forense (também conhecido como contra-forense) é um termo comum para um conjunto de técnicas
destinadas a complicar ou impedir um processo de investigação forense adequado.
Glossário Página 743 Digital Forensics Essentials Copyright © por EC-Council


Glossário
ÿ Fluxos de dados alternativos (ADS): ADS, ou um fluxo de dados alternativo, é um recurso do sistema de arquivos NTFS que ajuda
os usuários encontram um arquivo usando informações de metadados alternativos, como o título do autor.
ÿ Limpeza de Artefatos: A limpeza de artefatos envolve vários métodos destinados à exclusão permanente de arquivos específicos
ou sistemas de arquivos inteiros.
ÿ Dados de alerta: Os dados de alerta são acionados por ferramentas como Snort IDS e Suricata que são pré-programadas para
examine o tráfego de rede em busca de IoCs e relate as descobertas como alertas.
B
ÿ
Densidade de Bits: São os bits por unidade de comprimento da trilha.
ÿ Bloco de parâmetros do BIOS (BPB): O bloco de parâmetros do BIOS (BPB) é uma estrutura de dados no setor de inicialização da partição.
Ele descreve o layout físico de um volume de armazenamento de dados, como o número de cabeçotes e o tamanho das trilhas na unidade.
ÿ Processo de inicialização: A inicialização refere-se ao processo de iniciar ou reiniciar o sistema operacional quando o usuário liga um
sistema de computador.
ÿ Ataques de Força Bruta: O programa tenta todas as combinações de caracteres até que a senha seja quebrada.
ÿ Buffer Overflow: O buffer overflow de uma aplicação web ocorre quando ela falha em proteger seu buffer adequadamente e permite escrever além de seu
tamanho máximo.
ÿ Correlação Bayesiana: Esta é uma abordagem de correlação avançada que prevê o que um invasor pode fazer depois do ataque, estudando as estatísticas
e a teoria da probabilidade e usa apenas duas variáveis.
ÿ Controle de Acesso Quebrado: Este é um método no qual um invasor identifica uma falha nas políticas de controle de acesso e a explora para contornar o
mecanismo de autenticação.
ÿ Autenticação quebrada: Falhas de implementação nas funções de autenticação e gerenciamento de sessão de

um aplicativo da web.
ÿ Basic Security Module (BSM): o BSM salva as informações do arquivo e eventos relacionados usando um token, que possui um
estrutura binária.
ÿ Imagem de fluxo de bits: Uma imagem de fluxo de bits é uma cópia bit a bit de qualquer mídia de armazenamento que contenha um
cópia de toda a mídia, incluindo todos os seus setores e clusters.
ÿ Blackhat Search Engine Optimization (SEO): O Blackhat SEO (também conhecido como SEO antiético) usa táticas agressivas de SEO, como preenchimento
de palavras-chave, páginas de entrada, troca de páginas e adição de palavras-chave não relacionadas para obter uma classificação mais alta do
mecanismo de pesquisa para suas páginas de malware.
C
ÿ Perícia Computacional : Perícia Computacional é uma parte da perícia forense digital que lida com crimes cometidos
através de dispositivos de computação, como redes, computadores e mídia de armazenamento digital.
ÿ Cibercrime: Cibercrime é definido como qualquer ato ilegal envolvendo um dispositivo de computação, rede, seus sistemas ou
suas aplicações.
ÿ Ciberdifamação: É uma atividade ofensiva em que um computador ou dispositivo conectado à web é empregado
como uma ferramenta ou ponto de origem para prejudicar a reputação de uma organização ou indivíduo.
ÿ Ciberterrorismo: envolve o uso da Internet ou recursos da web para ameaçar, intimidar ou realizar atividades violentas para obter vantagens ideológicas ou
políticas sobre indivíduos ou grupos.
ÿ Ciberguerra: Libicki define a ciberguerra como o uso de sistemas de informação contra as personas virtuais de indivíduos ou grupos.


Glossário
ÿ Laboratório de Computação Forense: Um Laboratório de Computação Forense (CFL) é um local que abriga instrumentos, ferramentas de software
e hardware e estações de trabalho forenses necessárias para conduzir uma investigação baseada em computador com relação às evidências
coletadas.
ÿ Análise de Caso: A análise de caso é o processo de relacionar os dados probatórios obtidos ao caso, a fim de entender como ocorreu o incidente
completo.
ÿ Crash Dump: Memory dump ou crash dump é um espaço de armazenamento onde o sistema armazena um backup de memória
em caso de falha do sistema.
ÿ Cookie Poisoning: Cookie poisoning refere-se à modificação de um cookie para burlar medidas de segurança ou obter acesso não autorizado a
informações.
ÿ Cross Site Request Forgery: Neste método de ataque, um usuário autenticado é feito para executar determinadas tarefas
no aplicativo da Web escolhido por um invasor.
ÿ Cross Site Scripting (XSS): Neste tipo de ataque, os invasores contornam os mecanismos de segurança do ID do cliente
e obter privilégios de acesso.
ÿ Cookie Snooping: Decodifique ou quebre as credenciais do usuário usando o proxy local.
ÿ Cyberstalking: Cyberstalking é um crime em que os invasores perseguem um indivíduo, um grupo ou uma organização
usando e-mails ou mensagens instantâneas.
ÿ Rapto de Criança: O rapto de criança é o crime de remover ou reter, deter ou

esconder uma criança ou bebê.
ÿ Associação incorreta do cliente: um ataque de associação incorreta do cliente começa quando um cliente se conecta a um ponto de acesso que
não está em sua própria rede.
ÿ Correlação entre plataformas: Este método de correlação é usado quando diferentes sistemas operacionais e hardware de rede
plataformas são usadas na rede de uma organização.
ÿ Abordagem baseada em livro de código: A abordagem baseada em livro de código, que é semelhante à abordagem baseada em regras
descrito a seguir, agrupa todos os eventos.
ÿ CHS (Cylinder-Head-Sector): O processo Cylinder-Head-Sector (CHS) identifica setores individuais em um disco rígido de acordo com suas
posições em uma trilha, e os números da cabeça e do cilindro determinam essas trilhas.
ÿ Controlador: É um processador que atua como uma ponte entre os componentes da memória flash e o computador
(host) executando o software de nível de firmware.
ÿ Clusters: Um cluster é a menor unidade de armazenamento lógico em um disco rígido.
ÿ Cold boot (Boot rígido): É o processo de iniciar um computador a partir de um estado desligado ou desligado.
ÿ Senhas de texto não criptografado: As senhas de texto não criptografado são transmitidas ou armazenadas na mídia sem nenhuma criptografia.
ÿ Crypter: Um tipo de software que disfarça o malware como um produto legítimo por meio de criptografia ou ofuscação,
protegendo-o assim da detecção por programas de segurança.
D
ÿ
Evidência digital: A evidência digital é definida como “qualquer informação de valor probatório que seja armazenada ou transmitida em formato
digital”.
ÿ Manipulação de Dados: É uma atividade maliciosa na qual os invasores modificam, alteram ou alteram conteúdo digital valioso ou dados
confidenciais durante a transmissão.
ÿ Ataque de negação de serviço: um ataque DoS é um ataque a um computador ou rede que reduz, restringe ou
impede o acesso aos recursos do sistema para usuários legítimos.


Glossário
ÿ Interface de disco: Uma unidade de armazenamento se conecta a um PC usando uma interface.
ÿ Aquisição de Dados: A aquisição de dados forenses é um processo de geração de imagens ou coleta de informações de vários
mídia de acordo com certos padrões para analisar seu valor forense.
ÿ Análise de Dados: A análise de dados refere-se ao processo de examinar, identificar, separar, converter e
dados de modelagem para isolar informações úteis.
ÿ Data Rate: É a relação entre o número de bytes por segundo que o disco rígido envia para a CPU.
ÿ DRAM: É uma memória volátil que fornece desempenho de leitura/gravação mais rápido.
ÿ Assinatura de Disco: Localiza-se no final do MBR e contém apenas 2 bytes de dados. É exigido pela BIOS
durante a inicialização.
ÿ Particionamento de disco: O particionamento de disco é a criação de divisões lógicas em um dispositivo de armazenamento (HDD/SSD) para permitir que o
usuário aplique a formatação lógica específica do sistema operacional.
ÿ Aquisição Morta: A aquisição morta é definida como a aquisição de dados de uma máquina suspeita que é
Desligado.
ÿ Ataque de Dicionário: Em um ataque de dicionário, um arquivo de dicionário é carregado no aplicativo de cracking executado
contra contas de usuário.
ÿ Desmagnetização/Destruição de Disco: A desmagnetização de disco é um processo pelo qual um forte campo magnético é aplicado a
dispositivo de armazenamento, resultando em um dispositivo totalmente limpo de quaisquer dados armazenados anteriormente.
ÿ Formatação de disco: A formatação de um disco rígido não apaga os dados presentes no disco, mas limpa
tabelas de endereços e desvincula todos os arquivos no sistema de arquivos.
ÿ Logs DHCP: Um servidor DHCP aloca um endereço IP para um computador em uma rede durante sua inicialização. Portanto, os logs do
servidor DHCP contêm informações sobre os sistemas aos quais foram atribuídos endereços IP específicos pelo servidor, em qualquer
instância.
ÿ Deep Web: A deep web só pode ser acessada por um usuário autorizado com um nome de usuário válido, senha, etc. Inclui conteúdos
como documentos legais, registros financeiros, relatórios governamentais e informações de assinatura.
ÿ Dark Web: É uma parte invisível ou oculta da web que requer navegadores específicos, como o navegador Tor, para acessar; tais
navegadores protegem o anonimato dos usuários.
ÿ Forense na Dark Web: Forense na Dark Web refere-se à investigação de atividades ilegais e antissociais perpetradas na Dark Web por
usuários mal-intencionados.
ÿ Assinatura DomainKeys Identified Mail (DKIM): DomainKeys Identified Mail (DKIM) refere-se a um método de autenticação de e-mail
que ajuda a proteger os remetentes e destinatários de e-mails contra phishing, spoofing e spam.
ÿ Drive-by Downloads: Refere-se ao download não intencional de software através da Internet.
ÿ Domain Shadowing: roubo de credenciais de conta de domínio por meio de phishing para criar vários subdomínios que direcionam o
tráfego para páginas de destino que hospedam um kit de exploração.
ÿ Análise Dinâmica de Malware: Também conhecida como análise comportamental, envolve a execução do código do malware para
saiba como ele interage com o sistema host e a rede.
ÿ Downloader: Um tipo de Trojan que baixa outros malwares da Internet para o PC. Normalmente, os invasores instalam o software de
download quando obtêm acesso a um sistema pela primeira vez.
ÿ Dropper: Um tipo de cavalo de Tróia que instala outros arquivos de malware no sistema a partir do malware
pacote ou internet.


Glossário
ÿ Ataque Externo: Este tipo de ataque ocorre quando um invasor de fora da organização tenta obter acesso não autorizado a seus sistemas de
computação ou ativos informacionais.
ÿ Espionagem: A espionagem corporativa é uma ameaça central para as organizações, já que os concorrentes geralmente tentam proteger
dados confidenciais por meio da coleta de inteligência de código aberto.
ÿ Examinador/Investigador de Evidência: O examinador de evidência examina a evidência adquirida e a classifica com base na utilidade e
relevância em uma hierarquia que indica a prioridade da evidência.
ÿ Documentador de Provas: O documentador de provas documenta todas as provas e as fases presentes

o processo de investigação.
ÿ Gerenciador de evidências: O gerenciador de evidências gerencia as evidências. Eles têm todas as informações sobre o
evidência, por exemplo, nome da evidência, tipo de evidência, hora e fonte da evidência.
ÿ Preservação de evidências: A preservação de evidências refere-se ao manuseio e documentação adequados de

evidências para garantir que está livre de qualquer contaminação.
ÿ Partição Estendida: É uma unidade lógica que contém as informações referentes aos dados e arquivos armazenados no disco.
ÿ Espionagem: Espionagem é uma técnica usada para interceptar conexões não seguras para roubar
informação pessoal.
ÿ Enumeração: Enumeração é o processo de coleta de informações sobre uma rede, que pode ser usada posteriormente para atacar a rede.
ÿ Infecção de e-mail: este ataque usa e-mails como meio de atacar uma rede. Spamming de e-mail e outros meios são usados para inundar uma
rede e causar um ataque DoS.
ÿ Spamming de e-mail: Spamming ou lixo eletrônico preenche as caixas de correio e impede que os usuários acessem seus
e-mails.
ÿ Corpo do e -mail: O corpo do e-mail contém a mensagem principal do e-mail.
ÿ Anexo de e-mail: documentos e arquivos enviados como anexos.
ÿ Registro de data e hora do e- mail: Isso reflete a data e a hora em que um e-mail foi enviado.
ÿ Log de Erros: Contém informações de diagnóstico e erros que o servidor enfrentou durante o processamento de solicitações.
ÿ Entry/Guard Relay: Este relé fornece um ponto de entrada para a rede Tor.
ÿ
Relé de Saída: Como o relé final do circuito Tor, o relé de saída recebe os dados do cliente do relé do meio e envia os dados para o
servidor do site de destino.
ÿ Perito: O perito oferece uma opinião formal como testemunho em um tribunal.
ÿ Encrypting File Systems (EFS): O Encrypting File System (EFS) foi introduzido pela primeira vez na versão 3.0 do NTFS e
oferece criptografia no nível do sistema de arquivos.
ÿ Sistema de arquivos estendido (ext): O sistema de arquivos estendido (ext) é o primeiro sistema de arquivos para o sistema operacional Linux a
superar certas limitações do sistema de arquivos do Minix.
ÿ Criptografia: a criptografia é uma maneira eficaz de proteger os dados que envolvem o processo de conversão de dados em
um código secreto que somente o pessoal autorizado pode acessar.
ÿ Arquivo de banco de dados ESE: Extensible Storage Engine (ESE) é uma tecnologia de armazenamento de dados usada por vários
softwares gerenciados pela Microsoft, como Active Directory, Windows Mail, Windows Search e Windows Update Client.
ÿ Logs de eventos: que armazenam um registro detalhado de todas as atividades realizadas no sistema operacional com base em políticas de auditoria
executado.


Glossário
ÿ Correlação de eventos: A correlação de eventos é o processo de relacionar um conjunto de eventos que ocorreram em um
intervalo de tempo predefinido.
ÿ E-mail: E- mail é uma abreviação de “correio eletrônico”, que é usado para enviar, receber e salvar mensagens em sistemas de comunicação eletrônica.
ÿ Sistema de Email: Um sistema de email engloba servidores que enviam e recebem emails na rede, juntamente
com os clientes de e-mail que permitem aos usuários visualizar e compor mensagens.
ÿ Assinatura de e- mail: Uma assinatura de e-mail é uma pequena quantidade de informações adicionais anexadas no final do
mensagem de e-mail que consiste no nome e detalhes de contato do remetente do e-mail.
ÿ Cabeçalhos de e-mail : Os cabeçalhos de e-mail contêm informações sobre a origem do e-mail, como o endereço de onde
chegou, o encaminhamento, a hora da mensagem e a linha de assunto.
ÿ
Exploit: Um código malicioso que viola a segurança do sistema por meio de vulnerabilidades de software para acessar informações ou instalar
malware.
F
ÿ Processo de Investigação Forense: Uma abordagem metodológica para investigar, apreender e analisar evidências digitais e, em seguida, gerenciar o
caso desde o momento da busca e apreensão até o relatório do resultado da investigação.
ÿ Regras Federais de Provas: Estas regras devem ser interpretadas para garantir justiça na administração, eliminação de despesas e atrasos injustificáveis
e promoção do crescimento e desenvolvimento da lei de provas.
ÿ Prontidão Forense: A prontidão forense refere-se à capacidade de uma organização de usar evidências digitais de maneira otimizada
em um período de tempo limitado e com custos mínimos de investigação.
ÿ Planejamento de prontidão forense: O planejamento de prontidão forense refere-se a um conjunto de processos a serem seguidos para
alcançar e manter a prontidão forense.
ÿ Investigador Forense: Um investigador forense de computador ajuda organizações e agências de aplicação da lei a identificar, investigar e processar os
perpetradores de crimes cibernéticos.
ÿ Modelo de Relatório de Investigação Forense: Um Modelo de Relatório Investigativo é um conjunto de estilos predefinidos que permite aos
investigadores adicionar diferentes seções de um relatório, como o número do caso, nomes e números de previdência social.
ÿ
Sistema de arquivos: a camada do sistema de arquivos armazena informações como metadados de arquivo, conteúdo de arquivo e diretório
estruturas.
ÿ Abordagem Baseada em Campo: Esta é uma abordagem básica que compara eventos específicos com campos únicos ou múltiplos nos dados
normalizados.
ÿ
File Allocation Table (FAT): A File Allocation Table (FAT), projetada em 1976, é um sistema de arquivos para muitos sistemas operacionais, como
DOS, Windows e OpenDOS. Projetado para pequenos discos rígidos e uma estrutura de pastas simples.
ÿ Filesystem Hierarchy Standard (FHS): O Filesystem Hierarchy Standard (FHS) define o diretório
estrutura e seu conteúdo em sistemas operacionais Linux e Unix-like.
ÿ Quarto Sistema de Arquivo Estendido (ext4): O quarto sistema de arquivo estendido (ext4) é um sistema de arquivo journaling desenvolvido como o
sucessor do sistema de arquivo ext3 comumente usado. Ele oferece melhor escalabilidade e confiabilidade do que o ext3 para suportar grandes
sistemas de arquivos de máquinas de 64 bits para atender às crescentes demandas de capacidade de disco.
ÿ
File Carving: É uma técnica para recuperar arquivos e fragmentos de arquivos do disco rígido na ausência de metadados do sistema de arquivos.
ÿ
Dados de conteúdo completo: Os dados de conteúdo completo referem-se a pacotes reais que são coletados pelo armazenamento do tráfego de
rede (conhecido como captura de pacote ou arquivos PCAP).


Glossário
ÿ Firewall: Um firewall é um software ou hardware que armazena detalhes de todos os pacotes de dados que entram e saem
a rede.
ÿ Logs de firewall: os logs de firewall de rede coletam dados de tráfego de rede, como origem e destino da solicitação,
portas usadas, hora e data e prioridade.
ÿ
Impressão digital de arquivo : a impressão digital de arquivo é um método de prevenção de perda de dados usado para identificar e
rastrear dados em uma rede.
ÿ
Fileless Malware: um grupo de malware que não grava nenhum arquivo no disco e usa apenas ferramentas aprovadas do Windows para
instalação e execução, contornando assim os programas de segurança e a lista de permissões de aplicativos
processos.
G
ÿ Globally Unique Identifier (GUID): O Globally Unique Identifier (GUID) é um número de referência exclusivo de 128 bits usado como
identificador em software de computador.
ÿ GUID Partition Table (GPT): GUID é um esquema de particionamento padrão para discos rígidos e uma parte do Unified
Extensible Firmware Interface (UEFI), que substitui as interfaces de firmware BIOS herdadas.
ÿ (Alemão) VSITR (7 passagens): Este método sobrescreve em 6 passagens com sequências alternativas de 0x00 e 0xFF,
e com 00xAA no último (7º) passe.
ÿ Abordagem baseada em gráficos: Na abordagem baseada em gráficos, várias dependências entre os componentes do sistema
como dispositivos de rede, hosts e serviços são identificados primeiro.
H
ÿ Unidade de Disco Rígido: HDD é um dispositivo de armazenamento de dados digitais não voláteis que grava dados magneticamente em um
prato metálico.
ÿ Interface de host: um SSD se conecta à máquina host usando uma interface. As interfaces SSD comumente usadas
são SATA, PCIe, SCSI, etc.
ÿ Hierarchical File System (HFS): A Apple desenvolveu o Hierarchical File System (HFS) em setembro de 1985 para oferecer suporte ao Mac
OS em seu sistema proprietário Macintosh e como um substituto para o Macintosh File System (MFS).
ÿ HFS Plus: O HFS Plus (HFS+) é o sucessor do HFS e é usado como o sistema de arquivos primário no Macintosh. Isto
suporta arquivos grandes e usa Unicode para nomear itens (arquivos e pastas).
ÿ Diretório inicial: Armazena os dados de autenticação, como tentativas de logon (sucesso e falha) de todos
usuários.
ÿ Honeypots: Honeypots são dispositivos implantados para atrair invasores. Estes parecem conter informações muito úteis para atrair os
atacantes e encontrar seu paradeiro e técnicas.
EU
ÿ Ataque Interno/Insider: É um ataque realizado em uma rede corporativa ou em um único computador por uma pessoa de confiança (insider)
que tenha acesso autorizado à rede.
ÿ Roubo de Propriedade Intelectual: É o processo de roubo de segredos comerciais, direitos autorais ou direitos de patente de um bem ou
material pertencente a pessoas físicas ou jurídicas.
ÿ Respondente do Incidente: O respondente do incidente é responsável pelas medidas tomadas quando ocorre um incidente.
ÿ Relatório de Investigação: Resume toda a investigação em um relatório legível a ser apresentado em

Tribunal de Justiça.
ÿ Analisador de Incidentes: O analisador de incidentes analisa os incidentes com base na ocorrência.


Glossário
ÿ Indicadores de Comprometimento (IOCs): Indicadores de Comprometimento (IoCs) são artefatos forenses digitais que ajudam a detectar um incidente de
segurança que ocorreu (ou está em andamento) em um sistema host ou em uma rede.
ÿ Logs IDS: Os logs do Sistema de Detecção de Intrusão (IDS) fornecem informações úteis para encontrar tipos de pacotes suspeitos, determinar sondagens,
gerar novas assinaturas de ataque e medir estatísticas de ataque.
ÿ
Logs do IIS: o IIS registra todas as visitas do servidor em arquivos de log. Os logs do IIS fornecem informações úteis sobre a atividade de vários
aplicativos da Web, como endereço IP do cliente, nome de usuário, data e hora, tipo de solicitação e destino da operação.
ÿ iChat: aplicativo de mensagens instantâneas padrão do MacOS.
ÿ
Spoofing de Endereço IP: Esta técnica é usada por um invasor para acessar qualquer computador sem a devida autorização.
ÿ Camada Internet: Esta é a camada acima da camada de acesso à rede. Ele lida com o movimento de um pacote de dados em uma rede, desde sua origem
até seu destino.
ÿ Falhas de injeção: Falhas de injeção são as vulnerabilidades de aplicativos mais comuns que permitem que usuários não confiáveis
dados fornecidos para serem interpretados e executados como um comando ou consulta.
ÿ Vazamento de informações: O vazamento de informações refere-se a uma desvantagem em um aplicativo da Web em que o aplicativo revela
involuntariamente informações confidenciais a um usuário não autorizado.
ÿ Tratamento de erros impróprios: essa ameaça surge quando um aplicativo da Web não consegue lidar com erros internos
devidamente.
ÿ Fraude de identidade: Fraude de identidade é a recuperação ilegítima e uso de dados pessoais de terceiros para fins maliciosos e
ganhos monetários.
ÿ Referências de objeto diretas inseguras: Uma referência de objeto direto insegura ocorre quando os desenvolvedores expõem vários objetos de
implementação interna, como arquivos, diretórios, registros de banco de dados e referências de chave.
ÿ Desserialização insegura: a vulnerabilidade de desserialização insegura surge quando aplicativos e interfaces de programação de aplicativos (APIs)
permitem a desserialização de entrada de usuário não confiável.
ÿ Internet Information Services (IIS): Um aplicativo desenvolvido pela Microsoft baseado em Visual Basic, executado em um servidor Web e responde a
solicitações de um navegador.
ÿ Servidor IMAP: Internet Message Access Protocol (IMAP) é um protocolo de internet projetado para acessar e
mail em um servidor de correio.
ÿ
Injetor: Um programa que injeta seu código em outros processos vulneráveis em execução e altera a forma de execução para ocultar ou impedir sua
remoção.
J
ÿ Sistema de Arquivos com Diário: Os sistemas de arquivos com diário garantem a integridade dos dados em um computador.
ÿ Ataque Jamming: Ataque DoS simples.
k
ÿ Célula Chave: Contém informações de chave do Registro e inclui deslocamentos para outras células, bem como o LastWrite
hora da chave.
eu
ÿ Conformidade Legal: A conformidade legal em computação forense garante que qualquer evidência coletada e
analisado é admissível em tribunal.
ÿ Clusters perdidos: um cluster perdido é um erro do sistema de arquivos FAT resultante da maneira como o sistema de arquivos FAT aloca espaço e
encadeia arquivos.


Glossário
ÿ Estrutura Lógica de Discos: A estrutura lógica de um disco rígido é o sistema de arquivos e o software utilizado para
controlar o acesso ao armazenamento no disco.
ÿ Aquisição ao Vivo: A aquisição de dados ao vivo envolve a coleta de dados voláteis de um sistema ativo.
ÿ Aquisição Lógica: A aquisição lógica reúne apenas os arquivos necessários para a investigação do caso.
ÿ Análise ao vivo: neste método, os investigadores usam o editor de registro integrado para examinar o registro e as ferramentas
como o FTK Imager para capturar arquivos de registro do sistema ativo para análise forense.
ÿ Linux Forense: Linux forense refere-se à realização de investigações forenses em um dispositivo baseado em Linux.
ÿ Arquivos de log do Linux: Os arquivos de log são registros de todas as atividades executadas em um sistema. Os arquivos de log do Linux
armazenam informações sobre o kernel do sistema e os serviços em execução no sistema.
ÿ Adulteração de logs: injete, exclua ou adultere os logs de aplicativos da web para se envolver em atividades maliciosas.
ÿ Anomalias de login: aumento no número de tentativas de login com falha em uma conta de usuário pode ser sinal de
atividade maliciosa.
M
ÿ Master Boot Record (MBR): Um registro mestre de inicialização (MBR) é o primeiro setor ("setor zero") de um armazenamento de dados
dispositivo como um disco rígido.
ÿ Master Boot Code ou Boot Strap: É um código executável e responsável por carregar o SO na memória do computador. Consiste em uma
estrutura de dados de 446 bytes.
ÿ Metadados: Metadados são dados sobre dados. Descreve várias características dos dados, incluindo quando e por quem foram criados,
acessados ou modificados.
ÿ Análise Forense de Memória: A análise forense de memória envolve análise forense de despejos de RAM capturados de um
máquina.
ÿ Mac Forensics: Mac forensics refere-se à investigação de um crime que ocorre em ou usando um computador baseado em MacOS
dispositivo.
ÿ Ataque Man-in-the-Middle: Nos ataques man-in-the-middle, o invasor estabelece conexões independentes com os usuários e retransmite as
mensagens que estão sendo transferidas entre eles, enganando-os, fazendo-os supor que a conversa é direta.
ÿ Ataques de Malware: Malware é um tipo de código ou software malicioso projetado para infectar sistemas e afetar
A perfomance deles.
ÿ Ataque de ponto de acesso mal configurado: Este ataque ocorre devido à configuração incorreta de um acesso sem fio
apontar. Essa é uma das vulnerabilidades mais fáceis que um invasor pode explorar.
ÿ Inundação de MAC: Em um ataque de inundação de MAC, o invasor se conecta a uma porta no switch e inunda sua interface enviando um
grande volume de quadros ethernet de vários endereços MAC falsos.
ÿ Retransmissão intermediária: A retransmissão intermediária é usada para a transmissão de dados em formato criptografado.
ÿ Mail User Agent (MUA): Também conhecido como cliente de e-mail, o MUA é um aplicativo que permite aos usuários ler, redigir
e enviar e-mails de seus endereços de e-mail configurados.
ÿ Agente de transferência de correio (MTA): o MTA também é conhecido como um servidor de correio que aceita as mensagens de e-mail do
remetente e as encaminha para seu destino.
ÿ Mail Delivery Agent (MDA): MDA é uma aplicação responsável por receber uma mensagem de e-mail do MTA e armazená-la na caixa postal
do destinatário.
ÿ Mail Bombing: Email bombing refere-se ao processo de envio repetido de uma mensagem de e-mail para um determinado endereço no site de
uma vítima específica.


Glossário
ÿ Tempestades de correio: Uma tempestade de correio ocorre quando os computadores começam a se comunicar sem intervenção humana.
ÿ MIME: Multi-Purpose Internet Mail Extension (MIME) permite que usuários de e-mail enviem arquivos de mídia como áudio, vídeo e imagens como
parte da mensagem de e-mail.
ÿ ID da mensagem: Esses IDs de mensagem são gerados pelo servidor MTA/mail globalmente exclusivo do email de envio
sistema.
ÿ Laboratório de Análise de Malware: Um laboratório de análise de malware é fundamental para avaliar o padrão comportamental de um
malware.
ÿ Desmontagem do Malware: Este processo ajudará os investigadores a encontrar a linguagem usada para programar o malware, procurar APIs que
revelem sua função, etc.
ÿ Monitoramento da integridade do host: envolve tirar instantâneos do estado do sistema usando as mesmas ferramentas antes e depois da análise
para detectar alterações feitas nas entidades residentes no sistema.
ÿ Malvertising: Incorporação de malware em redes de anúncios exibidas em centenas de sites legítimos de alto tráfego
sites.
ÿ Mouse Hovering: Esta é uma técnica relativamente nova e única usada por invasores para infectar sistemas com malware. Os invasores enviam e-
mails de spam para os usuários-alvo, juntamente com um anexo de arquivo do Microsoft PowerPoint com extensão .PPSX ou .PPS.
ÿ Malware: Malware é um software malicioso que danifica ou desativa os sistemas de computador e dá acesso limitado ou
controle total dos sistemas ao criador do malware para fins de roubo ou fraude.
ÿ Análise forense de malware: A análise forense de malware lida com a identificação e a contenção de códigos maliciosos e examina
seu comportamento em um ambiente controlado.
ÿ Código Malicioso: Um comando que define as funcionalidades básicas do malware, como roubar dados e criar
uma porta dos fundos.
N
ÿ Dados não voláteis: Dados permanentes armazenados em dispositivos de armazenamento secundário, como discos rígidos e memória
cartões.
ÿ Memória Flash NAND: É a principal unidade de armazenamento de dados composta por transistores de porta flutuante que
estado de carga mesmo sem energia.
ÿ Dados de rede: Informações de rede são as informações relacionadas à rede armazenadas no sistema suspeito e
dispositivos de rede conectados.
ÿ Camada de Acesso à Rede: Esta é a camada mais baixa no modelo TCP/IP. Esta camada define como usar o
rede para transferir dados.
ÿ Abordagem baseada em rede neural: esta abordagem usa uma rede neural para detectar as anomalias no fluxo de eventos, causas raiz de
eventos de falha e correlacionar outros eventos relacionados a falhas e falhas.
ÿ Análise de tráfego de rede: A análise de tráfego de rede envolve sondar conversas entre dois dispositivos
interceptando e investigando o tráfego.
ÿ New Technology File System (NTFS): O New Technology File System (NTFS) é um dos mais recentes sistemas de arquivos suportados pelo
Windows. É um sistema de arquivos de alto desempenho que se repara sozinho.
ÿ Análise forense de rede : A análise forense de rede envolve a implementação de sniffing, captura e análise de
tráfego de rede e logs de eventos para investigar um incidente de segurança de rede.
ÿ Análise de comportamento de rede: envolve o rastreamento das atividades de nível de rede do malware.


Glossário
ÿ Senhas ofuscadas: senhas ofuscadas são criptografadas usando um algoritmo e podem ser descriptografadas por
aplicando um algoritmo reverso.
ÿ Análise forense do sistema operacional: “análise forense do sistema operacional” envolve exame forense do sistema operacional do computador.
ÿ Obfuscator: Um programa que oculta seu código e finalidade pretendida por meio de várias técnicas, tornando-o
difícil para os mecanismos de segurança detectá-lo ou removê-lo.
ÿ Porta Aberta: Uma porta aberta é uma porta TCP ou UDP configurada para receber pacotes de rede.
ÿ Correlação baseada em porta aberta: A abordagem de correlação de porta aberta determina a chance de um ataque bem-sucedido
comparando a lista de portas abertas disponíveis no host com aquelas que estão sob ataque.
ÿ Observando o comportamento do tempo de execução: envolve o monitoramento ao vivo do comportamento do malware escolhido conforme ele é executado
o sistema.
P
ÿ Fotógrafo: O fotógrafo fotografa a cena do crime e as provas recolhidas.
ÿ SSD PCIe: Um SSD PCIe (Peripheral Component Interconnect Express) é uma placa de expansão serial de alta velocidade que integra
o flash diretamente na placa-mãe.
ÿ Phishing/Spoofing: Phishing é uma técnica na qual um invasor envia um e-mail ou fornece um link alegando falsamente ser de um site
legítimo para obter as informações pessoais ou da conta de um usuário.
ÿ
Parallel ATA: Parallel ATA (PATA), baseado na tecnologia de sinalização paralela, oferece um controlador na própria unidade de
disco e, assim, elimina a necessidade de uma placa adaptadora separada.
ÿ Tabela de Partições: Mantém os dados de todas as partições do disco rígido e consiste em uma estrutura de dados de 64 bytes.
ÿ Partição Primária: É uma unidade que contém as informações sobre o sistema operacional, área do sistema e outras
informações necessárias para inicializar.
ÿ Packet Sniffing: Sniffing refere-se ao processo de captura do tráfego que flui através de uma rede, com o objetivo
de obtenção de informações sensíveis.
ÿ Ataques baseados em senha: Um ataque baseado em senha é um processo em que o invasor realiza vários logs
em tentativas em um sistema ou aplicativo de duplicar um login válido e obter acesso a ele.
ÿ Parâmetro de pacote/correlação de carga útil para gerenciamento de rede: essa abordagem ajuda na correlação
pacotes particulares com outros pacotes.
ÿ Abordagem baseada em perfil/impressão digital: Este método ajuda os usuários a identificar se um sistema serve como um
retransmissor para um hacker ou se é um host anteriormente comprometido e/ou para detectar o mesmo hacker de locais diferentes.
ÿ Plano de Contingência: Refere-se a um programa de backup que um investigador deve ter no caso de determinado hardware
ou o software não funcionam ou ocorre uma falha durante uma aquisição.
ÿ Hashes de senha: Hashes de senha são assinaturas da senha original, geradas usando um
algoritmo.
ÿ Ataque de quebra de senha: Em um ataque de quebra de senha, o invasor tenta obter acesso às credenciais de um usuário autenticado
por meio de várias técnicas, como força bruta ou ataques de dicionário.
ÿ Passagem de caminho/diretório: quando invasores exploram HTTP usando passagem de diretório, eles obtêm acesso não autorizado
a diretórios, após o que podem executar comandos fora do diretório raiz do servidor da web.
ÿ Tampering de Parâmetros/Formas: Este tipo de ataque de adulteração visa manipular a comunicação

parâmetros trocados entre um cliente e um servidor para fazer alterações nos dados do aplicativo.


Glossário
ÿ Mapeamento de processo para porta: O mapeamento de processo para porta rastreia a porta usada por um processo e protocolo
conectado ao IP.
ÿ Pharming: Pharming é uma técnica de engenharia social na qual um invasor executa programas maliciosos no computador ou servidor da
vítima.
ÿ Arquivos de pré-busca : Arquivos de pré- busca armazenam informações sobre aplicativos que foram executados no sistema.
ÿ Post-mortem : A análise post-mortem dos logs é conduzida para investigar um incidente que já
ocorrido.
ÿ Servidor POP3: POP3 (Post Office Protocol versão 3) é um protocolo da Internet usado para recuperar e-mails
de um servidor de correio.
ÿ Portable Executable (PE): O formato PE armazena as informações exigidas por um sistema Windows para gerenciar
o código executável.
ÿ Packer: Um programa que permite agrupar todos os arquivos juntos em um único arquivo executável por meio de compactação em
para ignorar a detecção de software de segurança.
ÿ Payload: Um pedaço de software que permite controlar um sistema de computador depois de ter sido explorado.
R
ÿ Formato bruto: O formato bruto cria uma cópia bit a bit da unidade suspeita. As imagens neste formato geralmente são obtidas usando o
comando dd.
ÿ Lixeira: A Lixeira é um local de armazenamento temporário para arquivos excluídos.
ÿ Padrão Russo, GOST P50739-95 (6 passagens): É um método de limpeza que escreve zeros na primeira passagem e
então bytes aleatórios na próxima passagem.
ÿ Ataque baseado em regras: Este ataque é usado quando alguma informação sobre a senha é conhecida.
ÿ RAM: RAM contém informações voláteis pertencentes a vários processos e aplicativos em execução em um
sistema.
ÿ Análise em tempo real: Uma análise em tempo real é realizada durante um ataque em andamento e seus resultados também são
gerados simultaneamente.
ÿ Roteamento: Roteamento refere-se ao processo de transmissão de um pacote IP de um local para outro pelo
Internet.
ÿ Correlação de Rota: Esta abordagem ajuda a extrair informações sobre a rota de ataque e usa isso
informações para identificar mais dados pertencentes ao ataque.
ÿ Ataques de roteador: Nesses ataques, um invasor tenta comprometer um roteador e obter acesso a ele.
ÿ Cabeçalho Recebido: O cabeçalho recebido contém detalhes de todos os servidores de e-mail pelos quais uma mensagem de e-mail passa
enquanto está em trânsito.
ÿ Return-Path: Este cabeçalho é usado para especificar o endereço de e-mail para o qual uma mensagem de e-mail será
enviado/devolvido se não chegar ao destinatário pretendido.
ÿ Received-SPF: O Sender Policy Framework (SPF) impede a falsificação do endereço do remetente. SPF permite
organizações para designar servidores que podem enviar e-mails em nome de seus domínios.
ÿ Abordagem Baseada em Regras: A abordagem baseada em regras correlaciona eventos de acordo com um conjunto especificado de regras
(ação de condição).
ÿ Logs do roteador: os roteadores armazenam logs de conectividade de rede com detalhes como data, hora, origem e destino
IPs e portas usadas.


Glossário
ÿ Setor: Um setor é a menor unidade de armazenamento físico no disco.
ÿ Setores 4K: A tecnologia de setor 4K remove áreas de cabeçalho redundantes entre os setores.
ÿ Ataque de linguagem de consulta estruturada: injeção/ataque de SQL é uma técnica usada para aproveitar vulnerabilidades de entrada não
sanitizadas para passar comandos SQL por meio de um aplicativo da Web para execução por um banco de dados de back-end.
ÿ Tempo de Busca: É o tempo necessário para enviar o primeiro byte do arquivo para a UCP, quando esta solicita
o arquivo.
ÿ Procedimentos Operacionais Padrão (SOPs): Procedimentos Operacionais Padrão (SOPs) são diretrizes de controle de qualidade
documentadas que devem ser apoiadas por registros de casos adequados e procedimentos, equipamentos e materiais amplamente aceitos.
ÿ
Serial ATA/ SATA (AHCI): É um avanço do ATA e usa sinalização serial, ao contrário da sinalização paralela do IDE.
ÿ Solid-State Drive (SSD): SSD é um dispositivo de armazenamento não volátil que usa chips de memória flash NAND para armazenar
dados digitais.
ÿ
Serial Attached SCSI: SAS (Serial Attached SCSI) é o sucessor e uma alternativa avançada ao SCSI paralelo em ambientes corporativos.
ÿ Célula de Lista de Subchaves: É composta por uma série de índices que apontam para células-chave, todas elas são subchaves para o pai
célula chave.
ÿ SQL Injection: Nesse tipo de ataque, o invasor injeta comandos SQL maliciosos ou consultas como dados de entrada.
ÿ Configuração incorreta de segurança: a falta de um processo de proteção de segurança repetível em qualquer camada do
pilha de aplicativos.
ÿ Ataque de Fixação de Sessão: Este tipo de ataque auxilia o invasor a sequestrar uma sessão de usuário válida com
conhecimento do ID do usuário para a sessão autenticando com um ID de sessão conhecido.
ÿ SIEM Logs: Dados gerados por aplicativos, firewalls e host para um local central.
ÿ Análise Estática: Neste método, os investigadores devem examinar os arquivos de registro contidos no
arquivo de provas.
ÿ SAM (Security Account Manager): É um banco de dados de segurança local e as subchaves do SAM contém configurações de dados de
usuários e grupos de trabalho.
ÿ Pontos de restauração do sistema (arquivos Rp.log): Rp.log é o arquivo de log do ponto de restauração localizado dentro do ponto de restauração
(RPxx).
ÿ SYN Flooding: SYN flooding é um tipo de ataque de negação de serviço (DoS) no qual o invasor envia um grande número de pacotes SYN
repetidamente para o servidor de destino usando vários endereços IP falsificados que nunca retornam um pacote ACK.
ÿ Ataque SYN-FIN Flood DoS: Em uma tentativa SYN/FIN DoS, o invasor inunda a rede definindo os dois
Sinalizadores SYN e FIN.
ÿ Célula Descritora de Segurança: Contém informações do descritor de segurança para uma célula-chave.
ÿ
Sniffers: Sniffer é um software ou hardware de computador que pode interceptar e registrar o tráfego que passa por uma rede.
ÿ Spimming: Spimming ou “spam sobre mensagens instantâneas” (SPIM) explora plataformas de mensagens instantâneas e usa mensagens
instantâneas como uma ferramenta para espalhar spam.


Glossário
ÿ Spear Phishing: Em vez de enviar milhares de e-mails, alguns invasores usam conteúdo especializado de engenharia social direcionado a um
funcionário específico ou a um pequeno grupo de funcionários de uma organização específica.
ÿ Campo Assunto do E-mail: Este campo de um e-mail informa o destinatário sobre a mensagem que o e-mail pretende
transmitir.
ÿ SCSI: SCSI (Small Computer System Interface) refere-se a um conjunto de interfaces padrão ANSI baseadas no
estrutura de barramento paralelo e projetado para conectar vários periféricos a um computador.
ÿ Sequestro de sessão: Um ataque de sequestro de sessão refere-se à exploração de um mecanismo de geração de token de sessão ou
controles de segurança de token, de modo que o invasor possa estabelecer uma conexão não autorizada com um servidor de destino.
ÿ Correlação da mesma plataforma: Este método de correlação é usado quando um sistema operacional comum é usado em todo o
rede em uma organização.
ÿ Análise de Comportamento do Sistema: Envolve o monitoramento das alterações nos recursos do sistema operacional em caso de malware
execução.
ÿ Slack Space: Slack space é a área de armazenamento de um disco entre o final de um arquivo e o final de um cluster.
ÿ Arquivos Esparsos: Um arquivo esparso é um tipo de arquivo de computador que tenta usar o espaço do sistema de arquivos com mais
eficiência quando os blocos alocados para o arquivo estão quase vazios.
ÿ Segundo sistema de arquivos estendido (ext2): ext2 é um sistema de arquivos padrão que usa algoritmos aprimorados em comparação
para ext, o que aumenta muito sua velocidade; além disso, ele mantém carimbos de data/hora adicionais.
ÿ Aquisição Esparsa: A aquisição esparsa é semelhante à aquisição lógica, que também coleta fragmentos
de dados não alocados, permitindo que os investigadores adquiram arquivos excluídos.
ÿ Dados do sistema: Informações do sistema são as informações relacionadas a um sistema, que podem servir como evidência em um
incidente de segurança.
ÿ Arquivo Syslog: O arquivo Syslog registra mensagens do sistema, bem como mensagens de erro e status do aplicativo.
ÿ Esteganografia: Esteganografia é uma técnica de esconder uma mensagem secreta dentro de uma mensagem comum e
extraindo-o no destino para manter a confidencialidade dos dados.
ÿ Spotlight: Spotlight é um recurso de pesquisa integrado do MAC OS, que indexa os arquivos por seus tipos
e assim facilitar a busca.
ÿ Dados da sessão: Os dados da sessão referem-se a um resumo da conversa entre duas entidades de rede.
ÿ
Dados estatísticos: esse tipo de dado fornece um perfil geral ou resumo do tráfego de rede, que pode ser de valor investigativo significativo.
ÿ Surface Web: É a parte visível da web e contém conteúdo que pode ser acessado pelos mecanismos de busca
como Google e Yahoo.
ÿ Servidor SMTP: SMTP (Simple Mail Transfer Protocol) é um servidor de e-mail de saída que permite ao usuário enviar e-mails para um
endereço de e-mail válido.
ÿ Clickjacking de engenharia social: enganar os usuários para que cliquem em páginas da Web de aparência inocente.
ÿ Análise estática de malware: também conhecida como análise de código, envolve passar pelo código binário executável sem sua execução
real para entender melhor o malware e sua finalidade.
T
ÿ Faixas: Faixas são os círculos concêntricos em pratos onde todas as informações são armazenadas.
ÿ Ataque de Cavalo de Tróia: Um cavalo de Tróia de computador é um programa no qual um código malicioso ou prejudicial está contido em um
programa ou dados aparentemente inofensivos, que podem posteriormente obter controle e causar danos, como arruinar a tabela de
alocação de arquivos em seu disco rígido.


Glossário
ÿ Numeração da faixa: A numeração da faixa em um disco rígido começa em 0 da borda externa e se move em direção ao
Centro.
ÿ Densidade da trilha: É definida como o espaço entre as trilhas de um disco.
ÿ Terceiro Sistema de Arquivo Estendido (ext3): ext3 é uma versão com registro em diário do sistema de arquivo ext2 e é muito usado em
o sistema operacional Linux.
ÿ
Ofuscação de trilha: O objetivo da ofuscação de trilha é confundir e enganar o processo de investigação forense.
ÿ Time Machine: Uma ferramenta de backup que armazena o conteúdo do disco rígido.
ÿ Camada de Transporte: A camada de transporte é a camada acima da camada de Internet. Ele serve como a espinha dorsal dos dados
fluxo entre dois dispositivos em uma rede.
ÿ Tempo (Clock Time) ou Abordagem Baseada em Função: Esta abordagem aproveita os dados sobre o comportamento dos computadores
e seus usuários para disparar alertas quando anomalias são encontradas.
ÿ
Lista de tarefas : a lista de tarefas exibe uma lista de aplicativos e serviços com seu ID de processo (PID) para todas as tarefas em execução
em um computador local ou remoto.
ÿ Tor Relays: Tor relays também são referidos como roteadores ou nós através dos quais o tráfego passa.
ÿ Navegador Tor: O navegador Tor é baseado no navegador Firefox da Mozilla e funciona com o conceito de cebola
roteamento.
ÿ Thunderbird: Thunderbird armazena as mensagens de e-mail deletadas pelo usuário na pasta “Lixeira”.
ÿ Nó de ponte Tor: os nós de ponte atuam como um proxy para a rede Tor, o que implica que eles seguem diferentes
definições de configuração para encaminhar o tráfego para o nó de entrada.
NO
ÿ Sistema de arquivos UNIX (UFS): O sistema de arquivos UNIX (UFS) é um sistema de arquivos utilizado por muitos sistemas operacionais UNIX e semelhantes a UNIX.
Derivado do Berkeley Fast File System, foi usado na primeira versão do UNIX desenvolvida no Bell Labs.
ÿ Dados da conta do usuário: os dados da conta do usuário armazenam informações relacionadas a todas as contas do usuário, como IDs de usuário
e opção de política de senha.
ÿ Associação não autorizada: neste ataque, um invasor explora pontos de acesso flexíveis, que são rádios WLAN presentes em alguns laptops.
ÿ Entrada não validada: neste tipo de ataque, os invasores adulteram a URL, solicitações HTTP, cabeçalhos, campos ocultos, campos de formulário,
strings de consulta, etc. para contornar as medidas de segurança em um sistema.
ÿ Redirecionamentos e encaminhamentos não validados: Nesse tipo de ataque, os invasores atraem a vítima e a fazem clicar em links não
validados que parecem legítimos.
NO
ÿ Dados Voláteis: Dados que são perdidos assim que o dispositivo é desligado.
ÿ Aquisição de dados voláteis: A aquisição de dados voláteis envolve a coleta de dados que são perdidos quando o computador
é desligado ou reiniciado.
ÿ Validar aquisição de dados: Validar aquisição de dados envolve calcular o valor de hash da mídia de destino e compará-lo com sua contraparte
forense para garantir que os dados sejam completamente adquiridos.
ÿ Célula de Valor: Contém um valor e seus dados.
ÿ Célula Lista de Valores: É composta por uma série de índices que apontam para células de valores, todos são valores de um mesmo
célula chave.


Glossário
ÿ Abordagem Baseada em Vulnerabilidade: Esta abordagem ajuda a mapear eventos IDS que visam um host vulnerável usando um scanner de
vulnerabilidade.
No
ÿ Warm boot (Soft boot): É o processo de reinicialização de um computador que já está ligado. Uma inicialização a quente pode ocorrer quando
o sistema encontra um erro de programa ou requer uma reinicialização para fazer determinadas alterações após a instalação de um
programa, etc.
ÿ Análise forense de aplicativos da Web: A análise forense de aplicativos da Web envolve o rastreamento de um ataque de segurança que ocorreu
em qualquer aplicativo da web para identificar sua origem e como foi invadido.
ÿ Documentos do Word : Documentos do Word são documentos compostos, baseados na tecnologia Object Linking and Embedding (OLE) que
define a estrutura do arquivo.
ÿ Windows Forensics: Windows forensics refere-se à investigação de crimes cibernéticos envolvendo o Windows
máquinas.
ÿ Whaling: Whaling é um tipo de ataque de phishing que visa executivos de alto nível, como CEOs, CFOs,
políticos e celebridades.
ÿ Registro do Windows: armazena detalhes de configuração do sistema operacional e do programa, como configurações e opções.
ÿ Chaves de registro do Windows AutoStart: permitem que os programas sejam executados automaticamente na reinicialização do sistema ou
login de usuário.
x
ÿ Entidades Externas XML: Nesse ataque, o invasor fornece uma entrada XML maliciosa, incluindo uma referência de entidade externa ao
aplicativo da Web de destino.


Referências
Referências
Módulo 01: Fundamentos da Computação Forense
1. Cyber Investigation, de https://niccs.us-cert.gov/workforce-development/cyber-security-workforce-framework/cyber research.
2. Quais são os ataques cibernéticos mais comuns?, em https://www.cisco.com/c/en/us/products/security/common

cyberattacks.html#~tipos-de-ataques-cibernéticos.
3. Ashiq JA, (2015), Insider vs. Outsider Threats: Identificar e Prevenir, em https://resources.infosecinstitute.com/insider-vs outsider-threats-
identify-and-prevent/#gref.
4. Investigações cibernéticas, em https://www.pwc.com.cy/en/forensics/assets/cyber-investigations.pdf.
5. Dispositivos eletrônicos comuns que geram evidências digitais, em https://www.iacpcybercenter.org/officers/cyber-crime researches/common-

electronic-devices-that-generate-digital-evidence/.
6. Best Evidence Rule, de https://www.law.cornell.edu/wex/best_evidence_rule.
7. Federal Rules of Evidence, de https://www.rulesofevidence.org.
8. Willian Brown, (2018). Cyber: O impacto da falha e como evitá-la, em https://www.controlrisks.com/our thinking/insights/newsletters/
middle-east-risk-watch-issue-9-march-2018/cyber-the- impacto da falha e como evitá-la.
9. Guia on-line para crimes cibernéticos, em http://www.hitechcj.com/id149.html.
10. Scott Cornell, Cyber Crime Facts, de https://itstillworks.com/cyber-crime-1523.html.
11. Federal Bureau of Investigation, em https://en.wikipedia.org/wiki/Federal_Bureau_of_Investigation.
12. Jau-Hwang Wang, (2021), Computer Forensics – An Introduction, de http://www users.cs.umn.edu/

~aleks/icdm02w/wang.ppt#332,5,Background.
13. Beverly Bird, Paralegal, (2018), Exemplos de crimes cibernéticos, em https://legalbeagle.com/6307677-examples-cyber

crime.html.
14. Provas apresentadas na audiência do Artigo 32, de https://

en.wikipedia.org/wiki/Chelsea_Manning#Evidence_presented_at_Article_32_hearing.
15. Sobre a FTC, em https://www.ftc.gov/about-ftc.
16. (2020), O que fazemos, em https://www.sec.gov/about/what-we-do.
17. A Divisão CERT, em https://www.sei.cmu.edu/about/divisions/cert/index.cfm.
18. Sobre, em https://www.fbi.gov/about.
19. Robert McMillan, (2010), hacker criminoso 'Iceman' pega 13 anos, de

https://www.computerworld.com/article/2520891/criminal-hacker--iceman--gets-13-years.html.
20. Declan McCullagh, (2010), hacker TJMaxx condenado a 20 anos de prisão, de https://www.cnet.com/news/tj-maxx
hacker condenado a 20 anos de prisão /.
21. Wayne Petherick, Brent E. Turvey, Claire E, Forensic Criminology, de https://

books.google.co.in/books?id=HPhmq8MRaX4C&pg=PA357&lpg=PA357&dq=types+of+investigations:+civil,+criminal ,
+and+administrative&source=bl&ots=BnyjLRiY0S&sig=J4S9KlCrFqPp3dfbvmJC8g1NHlA&hl=en&sa=X&ved=0ahUKEwjjwMf
rsfKAhWHxY4KHc2CDV0Q6AEIUzAJ#v=onepage&q&f=false.
22. Association of Chief Police Officers, de https://en.wikipedia.org/wiki/Association_of_Chief_Police_Officers.
23. (2021), Regra 801- Definições que se aplicam a este artigo; Exclusões de Boatos, de https://
www.rulesofevidence.org/article-viii/rule-801/.
24. (2021), Artigo X – Conteúdo de Escritos, Gravações e Fotografias, de https://www.rulesofevidence.org/article-x/.
25. Rede de Investigadores de Tecnologia da Computação, em https://www.ctin.org/.
26. Ashiq JA, (2015), Insider vs. Outsider Threats: Identificar e prevenir, em https://
resources.infosecinstitute.com/topic/insider-vs-outsider-threats-identify-and-prevent/.
Referências Página 759 Digital Forensics Essentials Copyright © por EC-Council


Referências
27. (2010), Quais são as diferenças entre o sistema de justiça civil e criminal?, de
https://law.lclark.edu/live/news/5497-what-are-the-differences-between-the-civil-and.
28. M. Sai Krupa Khurana e Khurana, (2018), Índia: Cyber Theft Of Intellectual Property, de
https://www.mondaq.com/india/trademark/682548/cyber-theft-of-intellectual
property#:~:text=Cyber%20theft%20of%20Intellectual%20Property(IP)%20is%20one%20of%20them ,IP%20que%20é%20fr equentemente%20roubado.
.
29. Roderick A. Nettles, Charlie Merulla, Steve Warzala, (2019), Data Manipulation, de https://www.csiac.org/csiac
relatório/manipulação de dados/.
30. SS Rana & Co, Meril Mathew Joy e Shubham Raj , (2019), Difamation on Social Media- O que você pode fazer sobre isso?, em https://
www.lexology.com/library/detail.aspx?g= d3075f4d-afb5-4920-bf59-
26cf5d054ab8#:~:text=Cyber%20defamation%20occurs%20when%20a,a%20person%20or%20an%20entity..
31. Ciberterrorismo, de https://

en.wikipedia.org/wiki/Cyberterrorism#:~:text=Cyberterrorism%20is%20the%20use%20of,gains%20through%20thre at%20or%20intimidation..
32. Ataque de força bruta: definição e exemplos, em https://www.kaspersky.com/resource-center/definitions/brute-force

ataque.
33. Jeff Petters, (2020), What is a Brute Force Attack?, em https://www.varonis.com/blog/brute-force-attack/.
Módulo 02: Processo de Investigação Forense Computacional
34. E. Spafford, Brian D. Carrier, (2006), Uma abordagem baseada em hipóteses para investigações forenses digitais, de https://
www.semanticscholar.org/paper/A-hypothesis-based-approach-to-digital- forense-Spafford Carrier/
6ae97c5ff3c7f141e8d082f631ae33c459167152?p2df.
35. (2019), Computer Forensics Tool Testing Program (CFTT), de https://www.nist.gov/itl/ssd/software-quality group/computer-forensics-
tool-testing-program-cftt.
36. David Lilburn Watson, Andrew Jones, (2013). Processamento e Procedimentos Forenses Digitais, de
https://learning.oreilly.com/library/view/Digital+Forensics+Processing+and+Procedures/9781597497428/xhtml/CHP008.ht ml#S0105.
37. Aric Dutelle, (2010), Documenting the Crime Scene, from

https://www.evidencemagazine.com/index.php?option=com_content&task=view&id=184.
38. Yunus Yusoff, Roslan Ismail e Zainuddin Hassan, (2011), Common Phases of Computer Forensics Investigation Models, de http://airccse.org/
journal/jcsit/0611csit02.pdf.
39. Karen Kent, Suzanne Chevalier, Tim Grance, Hung Dang, (2006), Guide to Integrating Forensic Techniques into Incident Response, de https://
nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-86.pdf.
40. (2017), ISO/IEC 17025 Requisitos gerais para a competência de laboratórios de ensaio e calibração, de
https://www.iso.org/files/live/sites/isoorg/files/store/en/PUB100424.pdf
41. ISO/IEC 17025:2017(en) Requisitos gerais para a competência de laboratórios de ensaio e calibração, de
https://www.iso.org/obp/ui/#iso:std:iso-iec:17025:ed-3:v1:en".
42. Regra 41. Busca e apreensão, de https://www.law.cornell.edu/rules/frcrmp/rule_41.
43. Investigação da cena do crime, em https://www.angelfire.com/sc3/cjrp/csi.html.
44. Guia para Computação Forense e Investigações Terceira Edição, de http://

www.cps.brockport.edu/~shen/cps301/Chapter2.ppt.
45. Computação forense: uma abordagem para evidências no ciberespaço, de http://

www.digitalevidencepro.com/Resources/Approach.pdf.
46. Evidência (lei), de https://en.wikipedia.org/wiki/Evidence_(lei).
47. Frederick B. Cohen, Fundamentals of Digital Forensic Evidence, de http://all.net/ForensicsPapers/HandbookOfCIS.pdf.
48. Jennifer Richter, Nicolai Kuntze, Carsten Rudolph, Securing Digital Evidence, de https://www.vogue
project.de/cms/upload/pdf/EvidentialIntegrity.pdf.
49. Visão legal da evidência digital, de http://www.formalforensics.org/publications/thesis/chapter2.pdf.


Referências
50. Danielle Smyth, (2018), How to Write a Crime Scene Report, em http://www.ehow.com/how_4894831_write-crime
cena-relatório.html.
51. Regra 612. Escrita usada para atualizar uma testemunha, de https://www.law.cornell.edu/rules/fre/rule_612.
52. (2013), Mandado de busca e apreensão, de https://www.uscourts.gov/forms/law-enforcement-grand-jury-and-prosecution forms/search-and-seizure-

warrant.
53. Configuração personalizada para investigação cibernética dedicada, em https://www.forensicsware.com/lab-setup.html.
54. Brian Evans, (2015), Seu laboratório forense de computador foi projetado apropriadamente?, de
https://securityintelligence.com/is-your-computer-forensic-laboratory-designed-appropriately/.
55. Papel da testemunha especialista em computação forense no processo de litígio, em https://www.datatriage.com/role-of-the

computador-forense-perito-testemunha-in-the-litigation-process/.
56. Bill Nelson, Amelia Phillips, Christopher Steuart, (2016). Guia para Computação Forense e Investigações, CENGAGE
Aprendendo, de
https://books.google.co.in/books?id=PUh9AwAAQBAJ&printsec=frontcover&source=gbs_ge_summary_r&cad=0#v=onepag e&q&f=false.
57. Processamento e procedimentos forenses digitais, em https://searchsecurity.techtarget.com/feature/Digital-Forensics

Processamento-e-Procedimentos.
58. Phases Of A Forensic Investigation Information Technology Essay, de http://www.uniassignment.com/essay samples/information-technology/

phases-of-a-forensic-investigation-information-technology-essay.php.
59. Análise de dados forenses, de https://en.wikipedia.org/wiki/Forensic_data_analysis.
60. Regra 701. Depoimento de opinião por testemunhas leigas, de https://www.law.cornell.edu/rules/fre/rule_701.
61. Escrevendo relatórios forenses de computador, de http://www.cse.scu.edu/~tschwarz/coen152_05/PPtPre/ForensicReports.ppt

.
62. Kim Kruglick, Beginner's Primer on the Investigation of Forensic Evidence, de http://www.scientific.org/
tutorials/articles/kruglick/kruglick.html#case.
63. Diretrizes para redação de relatórios, de

https://networklearning.org/index.php?option=com_content&view=article&id=77:guidelines-for-writing reports&catid=63:online-
guides&Itemid=140
64. Jackie Lohrey, (2017), How to Format an Investigation Report, em http://www.ehow.com/how_6685334_format

inquérito-relatório.html.
65. Manual de redação de relatórios investigativos para policiais e pessoal de segurança, em http://hiredbypolice.com/repbk.pdf.
66. Five Imperatives for Expert Witnesses, de http://www.synchronicsgroup.com/articles/articles_5imperatives.htm.
67. Computer Expert Witnesses, de https://www.almexperts.com/category/computers.
68. Tom Cowie, (2011), O que é um perito?, de https://www.crikey.com.au/2011/05/23/crikey-clarifier-what-is-an

perito-testemunha/.
69. Preparando-se para testemunhar, em https://www.justice.gov/sites/default/files/usao wdla/legacy/

2013/02/27/vns_preparingtotestify.pdf.
70. Thomas V. Alonzo, (2011), Como testemunhar em tribunal criminal quando você é o réu, de
http://thomasvalonzo.com/blog/2011/10/how-to-testify-in-criminal-court-when-you-are-the-defendant/.
71. Qualidades e características de bons relatórios, de http://www.mnestudies.com/report-writing/qualities-and-características-good-reports.
72. The University of Sheffield, Confidential Investigation Report, de https://

www.google.co.in/url?sa=t&rct=j&q=&esrc=s&source=web&cd=1&cad=rja&uact=8&ved=0ahUKEwjcq9HQiJjMAhXF jJQKHYnYBlQQFggbMAA&url=https%3A
%2F%2Fwww.sheffield.ac.uk%2Fpolopoly_fs%2F1.423630!%2Ffile%2F2.11.DG.docx &usg=AFQjCNEj05p1dk0QhbuUWA94y24GgTF5xA&bvm=bv.119745492,d.dGo.
73. Gerry Brannigan, (2015), Peritos Técnicos não precisam de Experiência Judicial, de
https://www.linkedin.com/pulse/technical-expert-witnesses-dont-need-court-experience-gerry brannigan?
trkSplashRedir=true&forceNoSplash=true.
74. Requisitos de testemunha especializada, em https://seak.com/blog/expert-witness/expert-witness-requirements/.


Referências
Módulo 03: Entendendo Discos Rígidos e Sistemas de Arquivos
75. (2019), memória flash NAND, em https://searchstorage.techtarget.com/definition/NAND-flash-memory.
76. Phil Goodwin, (2012). SSD DRAM vs. SSD NAND: Que comece o FUD, em https://searchstorage.techtarget.com/tip/DRAM
SSD-vs-NAND-SSD-Deixe-o-FUD-começar.
77. Tudo o que você precisa saber sobre unidade de estado sólido (SSD) - Guia [MiniTool Wiki], em https://
www.minitool.com/lib/ssd.html.
78. Tim Fisher, (2019), What Does a Hard Drive's Seek Time Mean?, Referenciado em https://www.lifewire.com/what-does
busca-tempo-média-2626007.
79. Controlador SSD, em https://www.storagereview.com/ssd_controller.
80. Kent Smith, (2011), Key Challenges in SSD Controller Development, em https://www.electronicdesign.com/memory/key
desafios-ssd-controlador-desenvolvimento.
81. Joel Hruska, (2021), How Do SSDs Work?, de https://www.extremetech.com/extreme/210492-extremetech-explains

como-ssds-funcionam.
82. Kristoffer Bonheur, (2018), SSD: Advantages and Disadvantages of Solid-State Drive, em https://
www.profolus.com/topics/ssd-pros-and-cons-of-solid-state-drive/.
83. Serial Advanced Technology Attachment (SATA), de https://www.techopedia.com/definition/2281/serial-advanced

tecnologia-anexo-sata.
84. Garry Kranz, (2016), Serial ATA (Serial Advanced Technology Attachment ou SATA), de
https://searchstorage.techtarget.com/definition/Serial-ATA.
85. Mark Kyrnin, (2020), What Is SATA Express?, em https://www.lifewire.com/what-is-sata-express-833454.
86. Garry Kranz, (2019), PCIe SSD (unidade de estado sólido PCIe), em https://searchstorage.techtarget.com/definition/PCIe-SSD-PCIe
Disco de Estado Sólido.
87. Nicholas Congleton, (2020), What Is a PCIe SSD?, em https://www.lifewire.com/what-is-pcie-ssd-4178094.
88. Siobhan Climer, (2018), NVMe Vs SATA SSDs: A Saga of Solid State Storage, em https://
www.gomindsight.com/blog/nvme-vs-sata-ssds-storage-comparison/.
89. Alexander S. Gillis, Rich Castagna, Carol Silwa, (2020), NVMe (não volátil memória expressa), de
https://searchstorage.techtarget.com/definition/NVMe-non-volatile-memory-express.
90. Robert Sheldon, (2020), velocidades NVMe explicadas, em https://searchstorage.techtarget.com/feature/NVMe-SSD-speeds

explicou.
91. Erin Sullivan, Ellen O'Brien, File System, de https://searchsecurity.techtarget.com/definition/journaling-file-system.
92. Justin Garrison, (2017), Qual sistema de arquivos do Linux você deve usar?, em https://www.howtogeek.com/howto/33552/htg
explica-qual-linux-file-system-should-you-choose/.
93. (2020), Como escolher seu sistema de arquivos Red Hat Enterprise Linux, em https://access.redhat.com/articles/3129891.
94. What is a Journaling file system?, em https://serverfault.com/questions/173176/what-is-a-journaling-file-system.
95. (2007), Journaling Filesystem Definition, de http://www.linfo.org/journaling_filesystem.html.
96. Sayak Boral, (2020), What Is a Journaling File System?, em https://www.maketecheasier.com/journaling-in-file-system/.
97. Vivek Gite, (2005), Understanding UNIX / Linux filesystem Superblock, em https://www.cyberciti.biz/tips/understanding
unixlinux-filesystem-superblock.html.
98. O que é um Superblock, Inode, Dentry e um arquivo?, em https://unix.stackexchange.com/questions/4402/what-is-a

superbloco-inode-dentry-e-um-arquivo.
99. (2005), Superblock Definition, de

http://www.linfo.org/superblock#:~:text=A%20superblock%20is%20a%20record,size%20of%20the%20block%20groups..
100. David Trounce, (2020), What Are Inodes in Linux and How Are They Used?, de https://helpdeskgeek.com/linux
dicas/o que são inodes-no-linux-e-como-eles-são-usados/.
101. Bobbin Zachariah, (2020), Detailed Understanding of Linux Inodes with Example, em https://linoxide.com/linux command/linux-inode/.


Referências
102. David A Rusling, The File system, de https://www.tldp.org/LDP/tlk/fs/filesystem.html.
103. Sarath Pillai, (2015), Understanding File System Superblock in Linux, em https://www.slashroot.in/understanding-file system-
superblock-linux.
104. Sobre o Apple File System, de

https://developer.apple.com/documentation/foundation/file_system/about_apple_file_system.
105. Kurt H. Hansen, FergusToolan, Decoding the APFS file system, from
https://www.sciencedirect.com/science/article/pii/S1742287617301408.
106. What Is APFS (Apple's File System for macOS)?, em https://www.lifewire.com/apple-apfs-file-system-4117093.
107. Marshall Brain, How Hard Disks Work, de http://computer.howstuffworks.com/hard-disk3.htm.
108. NTFS — Novo sistema de arquivos de tecnologia para Windows 10, 8, 7, Vista, XP, 2000, NT e Windows Server 2019, 2016, 2012,
2008, 2003, 2000, NT, de https://www.ntfs.com/index.html.
109. Tracy King, (2021), FAT32 Structure Information - MBR, FAT32 Boot Sector Introduction, de
https://www.easeus.com/resource/fat32-disk-structure.htm.
110. David A Rusling, O segundo sistema de arquivo estendido (EXT2), de

http://www.science.unitn.it/~fiorella/guidelinux/tlk/node95.html.
111. (2019), Hierarchical file system, de http://www.computerhope.com/jargon/h/hierfile.htm.
112. Conhecimento elementar de disco rígido - Estrutura física do disco rígido, em https://www.easeus.com/data-recovery
ebook/physics-structure-of-hard-disk.htm.
113. Interface(s) de disco rígido, em http://www.adrc.com/interfaces.html#ata.
114. Hard Disk Interfaces, de https://play.lottery.com/?aid=35111&nci=5440.
115. Partições de disco rígido, em https://www.tech-faq.com/hard-disk-partition.html.
116. NTFS vs FAT vs exFAT, em http://www.ntfs.com/ntfs_vs_fat.htm.
117. Sistemas de arquivos Ext2, Ext3 e Ext4 explicados, de http://borrachomuchacho.blogspot.in/2012/03/file-systems-ext2-ext3-

e-ext4.html.
118. Visão geral do sistema de arquivos NTFS, em http://www.c-jump.com/bcc/t256t/Week04NtfsReview/Week04NtfsReview.html.
119. David Nield, The Four Major Components of a Hard Drive, em https://smallbusiness.chron.com/four-major-components
disco rígido-70821.html.
120. (2010), What is Inside a Hard Drive?, em https://www.webopedia.com/insights/insideharddrive/.
121. Edwin Liu, (2013), Os componentes de um disco rígido e o tipo de disco rígido, de http://drm-assistant.com/others/the
componentes-de-um-disco-rígido-e-o-tipo-de-disco-rígido.html.
122. (2011), Hard Drive Interfaces, de https://hexus.net/tech/tech-explained/storage/32106-hard-drive-interfaces/.
123. Vangie Beal, (2021), ATA - Advanced Technology Attachment, de http://www.webopedia.com/TERM/A/ATA.html.
124. (2020), ATA, de http://www.computerhope.com/jargon/a/ata.htm.
125. Setores, Endereçamento de Setores e Clusters, de http://www.on-time.com/rtos-32-docs/rtfiles-32/programming

manual/fat/sectors-sector-addressing-and-clusters.htm.
126. Sushovon Sinha, (2013), UEFI Secure Boot in Windows 8.1, em https://answers.microsoft.com/en
us/windows/forum/windows8_1-security/uefi-secure-boot-in-windows-81/65d74e19-9572-4a91-85aa-57fa783f0759.
127. Suresh, (2013), Linux Boot Sequence, de http://sureshcore.blogspot.in/2013/06/linux-boot-sequence-1.html.
128. Vangie Beal, (2021), GUID, de https://www.webopedia.com/definitions/guid/.
129. Identificador único universalmente, de https://en.wikipedia.org/wiki/Universally_unique_identifier.
130. (2015), On the Forensic Trail - Guid Partition Table (GPT), de http://www.invoke-ir.com/2015/06/ontheforensictrail
part3.html.
131. Bloco de parâmetros do BIOS, em https://en.wikipedia.org/wiki/BIOS_parameter_block.
132. Tabela de partição GUID, de https://en.wikipedia.org/wiki/GUID_Partition_Table.


Referências
133. Armazenamento em disco, em https://en.wikipedia.org/wiki/Disk_storage.
134. (2020), SSD, de https://www.computerhope.com/jargon/s/ssd.htm.
135. Joel Hruska, (2021), How Do SSDs work?, de http://www.extremetech.com/extreme/210492-extremetech-explains-how

do-ssds-work.
136. Tom Brant, (2020), SSD vs. HDD: Qual é a diferença?, de http://in.pcmag.com/storage/42372/feature/ssd-vs-hdd
qual é a diferença.
137. Garry Kranz, SSD (unidade de estado sólido). Referenciado em https://searchstorage.techtarget.com/definition/SSD-solid-state

dirigir.
138. Sarah Wilson, unidade de disco rígido (HDD), em https://searchstorage.techtarget.com/definition/hard-disk-drive.
139. (2020), Disco rígido, em https://www.computerhope.com/jargon/h/harddrive.htm.
140. Unidade de disco rígido, em https://en.wikipedia.org/wiki/Hard_disk_drive.
141. Tabela de partição, em http://www.partition-table.com/partition-table/harddisk-physical-structure.php.
142. Inicialização, em https://en.wikipedia.org/wiki/Booting.
143. Analisi Allievi, (2012), tecnologia UEFI: diga olá ao Windows 8 bootkit!, de
https://news.saferbytes.it/analisi/2012/09/uefi-technology-say-hello-to-the-windows-8-bootkit/.
144. Processo de inicialização do Linux, em https://en.wikipedia.org/wiki/Linux_startup_process.
145. Ramesh Natarajan, (2011), 6 Stages of Linux Boot Process (Startup Sequence), em https://
www.thegeekstuff.com/2011/02/linux-boot-process/.
146. (2021), Sparse file, de https://wiki.archlinux.org/index.php/sparse_file.
147. Prato da unidade de disco rígido, em https://en.wikipedia.org/wiki/Hard_disk_drive_platter.
148. Formato avançado, de https://en.wikipedia.org/wiki/Advanced_Format.
149. (2019), Slack Space, em https://www.computerhope.com/jargon/s/slack-space.htm.
150. Endereçamento de bloco lógico, de https://en.wikipedia.org/wiki/Logical_block_addressing.
151. Setor da cabeça do cilindro, em https://en.wikipedia.org/wiki/Setor da cabeça do cilindro.
152. (2020), Capacidade do disco, de https://www.computerhope.com/jargon/d/diskcapa.htm.
153. Seek Time, em https://www.techopedia.com/definition/3558/seek-time.
154. Desempenho e características da unidade de disco rígido, em

https://en.wikipedia.org/wiki/Hard_disk_drive_performance_characteristics#Data_transfer_rate.
155. Desempenho do disco rígido (disco rígido) – taxas de transferência, latência e tempos de busca, em https://www.pctechguide.com/hard
disks/hard-disk-hard-drive-performance-transfer-rates-latência-e-tempos-de-busca.
156. (2020), Primary Partition, Logical Partition and Extended Partition (Disk Partition Basic), em https://
www.diskpart.com/resource/disk-partition-basic-understanding.html.
157. Master Boot Record (MBR), em https://whatis.techtarget.com/definition/Master-Boot-Record-MBR.
158. Vangie Beal, (2021), NTFS - NT File System, em https://www.webopedia.com/definitions/ntfs/.
159. Arquivos de sistema NTFS, em http://ntfs.com/ntfs-system-files.htm.
160. Setor de inicialização da partição NTFS, em http://ntfs.com/ntfs-partition-boot-sector.htm.
161. Vangie Beal, (2021), MFT - Master File Table, de https://www.webopedia.com/definitions/mft/.
162. Compressão de arquivo NTFS, em https://www.tech-faq.com/file-compression.html.
163. NTFS, de https://en.wikipedia.org/wiki/NTFS#File_compression.
164. (2010), NTFS File Attributes, de https://docs.microsoft.com/en-us/archive/blogs/askcore/ntfs-file-attributes.
165. Ramesh Natarajan, (2011), Linux File Systems: Ext2 vs Ext3 vs Ext4, de https://www.thegeekstuff.com/2011/05/ext2-
ext3-ext4/.
166. Sistemas de arquivos Linux ext2, ext3 e ext4, em https://www.cpanelkb.net/linux-ext2-ext3-and-ext4-file-systems/.


Referências
167. ext3, de https://en.wikipedia.org/wiki/Ext3.
168. O que é o sistema de arquivos ext3?, em https://www.linuxtopia.org/HowToGuides/ext3JournalingFilesystem.html.
169. Visão geral do HFS+, em http://ntfs.com/hfs.htm.
170. HFS Plus, em https://en.wikipedia.org/wiki/HFS_Plus.
171. (2017), Mac OS X: About file system journaling, em https://support.apple.com/en-in/HT204435.
Módulo 04: Aquisição e Duplicação de Dados

172. (2014), SWGDE Capture of Live Systems, de
https://drive.google.com/file/d/10MJ9EJAkj6i6Xqpf3IcFb4dDPNUZ2ymH/view.
173. Aquisição forense, de https://www.sciencedirect.com/topics/computer-science/forensic-acquisition.
174. Ryan Jones, (2007), aquisição forense mais segura em https://www.semanticscholar.org/paper/Safer-live-forensic

Acquisition-Jones/96f4ccddfc5ea5c06bfdfe2d93570cb2ed3acb46?p2df.
175. Dr. Gordon Russell, Robert Ludwiniak, Digital Forensics Lecture 6: Acquisition, de https://grussell.org/df/slides/wk6.pdf.
176. O que é Bit Stream Image, de https://www.igi-global.com/dictionary/forensic-readiness-and-ediscovery/44363.
177. Erhan Akbal, Sengul Dogan, (2018), Forensics Image Acquisition Process of Digital Evidence, de http://www.mecs
press.org/ijcnis/ijcnis-v10-n5/IJCNIS-V10-N5-1.pdf.
178. Martin Novak, Jonathan Grier, Daniel Gonzales, (2021), New Approaches to Digital Evidence Acquisition and Analysis, from
https://nij.ojp.gov/topics/articles/new-approaches-digital-evidence-acquisition-and-analysis.
179. (2016), Adquirindo dados com dd, dcfldd, dc3dd, de http://www.cyber-forensics.ch/acquiring-data-with-dd-dcfldd-dc3dd/.
180. (2018), Data Acquisition, de https://www.omega.com/en-us/resources/data-acquisition.
181. Aquisição de evidência, de http://www.personal.psu.edu/gms/sp11/454%20lect%20stuff/Evidence_Acquisition.ppt.
182. Sistema de aquisição de dados, de https://www.techopedia.com/definition/30001/data-acquisition-system.
183. (2012), NIST Drafting Guide on Media Sanitization, de https://www.bankinfosecurity.in/nist-drafting-guide-on-media

sanitização-a-5135.
184. Capítulo 4: Aquisição de Dados, em https://quizlet.com/15414896/chapter-4-data-acquisition-flash-cards/.
185. Aquisição, de https://en.wikibooks.org/wiki/Introduction_to_Digital_Forensics/Acquisition.
186. Resposta ao vivo: Coletando dados voláteis (Análise forense do Windows) Parte 1, de http://what-when-how.com/windows
forensic-analysis/live-response-collecting-volatile-data-windows-forensic-analysis-part-1/.
187. SHA-1, de https://en.wikipedia.org/wiki/SHA-1.
188. Calculadora de hash SHA-256, em https://xorbin.com/tools/sha256-hash-calculator.
189. (2014), AFF, de https://forensicswiki.xyz/wiki/index.php?title=AFF.
190. (2020), Garantindo a integridade dos dados com códigos hash, em https://docs.microsoft.com/
en us/dotnet/standard/security/ensuring-data-integrity-with-hash-codes.
Módulo 05: Derrotando Técnicas Anti-Forenses

191. How do you DISABLE TRIM?, de https://www.reddit.com/r/linux4noobs/comments/3roh0g/how_do_you_disable_trim/.
192. Fluxo de dados alternativo, em https://www.sciencedirect.com/topics/computer-science/alternate-data-stream.
193. (2013), Encontre todos os arquivos com fluxos de dados alternativos NTFS usando o PowerShell, de
https://obligatorymoniker.wordpress.com/2013/02/11/find-all-files-with-alternate-data-streams/.
194. Poonia AS, (2014), Data Wiping and Anti Forensic Techniques, de https://
ijact.in/index.php/iact/article/download/136/109.
195. Andrea Fortuna, (2017), MAC(b) vezes na análise forense do Windows, de

https://www.andreafortuna.org/2017/10/06/macb-times-in-windows-forensic-analysis/.
196. Tejpal Sharma, Manjot Kaur, (2015), Time Rules for NTFS File System for Digital Investigation, de http://ijarcet.org/wp content/
uploads/IJARCET-VOL-4-ISSUE-4-1146-1151. pdf.


Referências
197. (2016), Compreendendo artefatos críticos do Windows e sua relevância durante a investigação: NTFS Timestamps, de https://
resources.infosecinstitute.com/understanding-critical-windows-artifacts-and-their-relevance-during research/#gref.
198. Carol Sliwa, (2018), SSD TRIM, em https://searchstorage.techtarget.com/definition/TRIM.
199. Yashwanth Reddy Kambalapalli, (2018), Diferentes ferramentas forenses em um único SSD e HDD, suas diferenças e desvantagens,
de
https://repository.stcloudstate.edu/cgi/viewcontent.cgi?referer=https://www.google.com/&httpsredir=1&article=1077&c ontext=msia_etds.
200. Como funciona a Lixeira, em https://www.reclaime.com/library/file-undelete.aspx.
201. Exclusão de arquivo, de https://en.wikipedia.org/wiki/File_deletion.
202. Capacidade de recuperação de dados, em http://www.runtime.org/recoverability.htm.
203. Kristy Westphal, Steganography Revealed, de https://www.crime-research.org/library/Steganography.html.
204. Arvind Kumar, km. Pooja, (2010), Steganography- A Data Hiding Technique, de http://
www.ijcaonline.org/volume9/number7/pxc3871887.pdf.
205. Vangie Beal, (2021), Steganography, de https://www.webopedia.com/definitions/steganography/.
206. Eiji Kawaguchi, (2018), Applications of Steganography, em http://www.datahide.com/BPCSe/applications-e.html.
207. Gary C. Kessler, (2015), An Overview of Steganography for the Computer Forensics Examiner, de
https://www.garykessler.net/library/fsc_stego.html.
208. Análise forense anticomputador, de https://en.wikipedia.org/wiki/Anti-computer_forensics.
209. Emanuele De Lucia, (2013), Anti-Forense – Parte 1 de https://resources.infosecinstitute.com/topic/anti-forensics-part-1/.
210. Emanuele De Lucia, (2013), Anti-Forensics 2, de https://resources.infosecinstitute.com/topic/anti-forensics-2/.
211. Timothy R. Leschke, (2010), Cyber Dumpster-Diving: $Recycle.Bin Forensics for Windows 7 and Windows Vista, from
https://www.csee.umbc.edu/courses/undergraduate/FYS102D/Recycle.Bin.Forensics.for.Windows7.and.Windows.Vista.pd f.
212. Raymond, What is INFO2 File Hidden in Recycled or Recycler Folder?, em https://www.raymond.cc/blog/what-is-info2-
file-hidden-in-recycled-or-recycler-folder/.
213. TIMESTOMP, de https://www.offensive-security.com/metasploit-unleashed/timestomp/.
214. Woo Yong Choi, Sung Kyong Un, (2012), Abordagem anti-forense para proteção por senha usando cofre de impressão digital difusa. IEEE,
de
https://ieeexplore.ieee.org/document/6530413?reload=true&tp=&arnumber=6530413&url=http:%2F%2Fieeexplore.ieee.o
rg%2Fxpls%2Fabs_all.jsp%3Farnumber%3D6530413.
215. Anti-computer Forensics - Artifact Wiping, em https://www.liquisearch.com/anti-computer_forensics/artifact_wiping.
216. Criptografia, de https://en.wikipedia.org/wiki/Encryption.
217. Encrypting File System, em https://en.wikipedia.org/wiki/Encrypting_File_System.
218. Andre Hawari, Técnicas Anti-Forenses, Detecção e Contramedidas, de

https://www.academia.edu/15441665/Anti-Forensics_Techniques_Detection_and_Countermeasures.
219. (2014), Anti Forensics Techniques, Detection And Countermeasures, de https://eforensicsmag.com/download/anti forensics-techniques-detection-
and-countermeasures/.
220. Garfinkel, Simson, (2007), Anti-Forense: Técnicas, Detecção e Contramedidas, de

https://core.ac.uk/download/pdf/36736409.pdf.
221. Katie Moss Jefcoat, (2017), A Comprehensive List of Data Wiping and Erasure Standards, em https://
www.blancco.com/blog-comprehensive-list-data-wiping-erasure-standards/.
Módulo 06: Windows Forense

222. Joachim Metz, (2010), especificação de formato de arquivo de banco de dados (EDB) do Extensible Storage Engine (ESE), de http://forensic
proof.com/wp-content/uploads/2011/07/Extensible-Storage-Engine-ESE-Database-File-EDB-format.pdf.


Referências
223. John Doe, (2015), Windows Search Forensics Explained, em https://www.dataforensics.org/windows-search-forensics/.
224. Quick, D., Tassone, C & Choo, KR, (2014), Forensic Analysis of Windows Thumbcache files, de https://
www.semanticscholar.org/paper/Forensic-Analysis-of-Windows-Thumbcache-files -Quick Tassone/
5adb96a51a78d47058a864a25f813ef94175ebc8?p2df.
225. (2019), Primeiros passos para análise de memória volátil, de https://medium.com/@zemelusa/first-steps-to-volatile-memory analysis-
dcbd4d2d56a1.
226. (2016), Memory and Volatility, de https://resources.infosecinstitute.com/finding-and-enumerating-processes-within

memória-parte-1/#gref.
227. (2016), Forensic Investigation with Redline, de https://resources.infosecinstitute.com/forensic-investigation-with

linha vermelha/#forte.
228. O que são dados EXIF?, de https://exifdata.com/.
229. Formato de arquivo de imagem permutável, de https://www.sciencedirect.com/topics/computer-science/exchangeable-image-file

formato.
230. Mark Russinovich, (2016), PsList v1.4, de https://docs.microsoft.com/en-us/sysinternals/downloads/pslist.
231. (2021), Como visualizar todos os compartilhamentos de rede no Windows, em https://www.computerhope.com/issues/ch000534.htm.
232. Jeonghyeon Kim, Aran Park, Sangjin Lee, (2016), Método de recuperação de registros e tabelas excluídos do banco de dados ESE, de
https://www.sciencedirect.com/science/article/pii/S1742287616300342.
233. Alexander S. Gillis, (2020), Virtual Memory, de https://searchstorage.techtarget.com/definition/virtual-memory.
234. Tim Fisher, (2020), What Is HKEY_LOCAL_MACHINE?, de https://www.lifewire.com/hkey-local-machine-2625902.
235. Mark Russinovich, (2021), Process Explorer v16.32, de https://docs.microsoft.com/en

us/sysinternals/downloads/process-explorer.
236. Jenn Riley, (2017), Understanding Metadata: What is Metadata, and What is it For?: A Primer, from
http://www.niso.org/publications/understanding-metadata-2017.
237. Como excluir cookies, cache e histórico em todos os principais navegadores, em https://catonmat.net/clear-privacy-ie-firefox-opera
cromo-safari.
238. Jesse Kornblum, Windows Memory Analysis, de http://jessekornblum.com/presentations/jhu08.pdf.
239. Prefetcher, de https://en.wikipedia.org/wiki/Prefetcher.
240. James Okolica, Gilbert L. Peterson, (2011), Extraindo a área de transferência do Windows da memória física, de
https://dl.acm.org/doi/10.1016/j.diin.2011.05.014.
241. Ganesh N. Nadargi, Zakir M. Shaikh, (2015), Identificando e extraindo dados da área de transferência, em http://
www.ijcsit.com/docs/Volume%206/vol6issue03/ijcsit2015060334.pdf.
242. Solução de problemas de falhas do Windows Server 2012 R2. Análise de arquivos e opções de despejo. Forçando travamento do servidor do sistema
(Físico/Virtual), em http://www.firewall.cx/microsoft-knowledgebase/windows-2012/1099-windows-server-2012- troubleshooting-server-crashes-
memory-dumps-debug.html.
243. Tutorial: Metadata Analysis, de http://fotoforensics.com/tutorial-meta.php.
244. (2020), informações de registro do Windows para usuários avançados, em https://docs.microsoft.com/en-US/troubleshoot/windows

servidor/performance/windows-registry-advanced-users.
245. Tim Fisher, (2020), HKEY_USERS (HKU Registry Hive), em https://www.lifewire.com/hkey-users-2625903.
246. (2018), Registry Hives, de https://docs.microsoft.com/en-us/windows/win32/sysinfo/registry

colmeias?redirecionado de=MSDN.
247. Tim Fisher, (2020), What is HKEY_CLASSES_ROOT?, de https://www.lifewire.com/hkey-classes-root-2625899.
248. Tim Fisher, (2020), HKEY_CURRENT_USER (HKCU Registry Hive), de https://www.lifewire.com/hkey-current-user

2625901.
249. Tim Fisher, (2020), What Is HKEY_LOCAL_MACHINE (HKLM Registry Hive), de https://www.lifewire.com/hkey-local
máquina-2625902.


Referências
250. (2010), HKEY_LOCAL_MACHINE, de https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-2000-

server/cc959046(v=technet.10)?redirectedfrom=MSDN.
Módulo 07: Linux e Mac Forensics

251. Martins D. Okoi, (2019), Comando Linux Uptime com exemplos de uso, em https://www.tecmint.com/linux-uptime
exemplos de comandos/.
252. (2019), comando hostname no Linux com exemplos, em https://www.geeksforgeeks.org/hostname-command-in-linux

com-exemplos/.
253. Aaron Kili, (2018), 5 'hostname' Command Example for Linux Newbies, em https://www.tecmint.com/hostname command-examples-
for-linux/.
254. (2021), comando de data no Linux com exemplos, em https://www.geeksforgeeks.org/date-command-linux-examples/.
255. (2019), Uptime Command in Linux, em https://linuxize.com/post/linux-uptime-command/.
256. Dave McKay, (2020), How to Use the ip Command on Linux, em https://www.howtogeek.com/657911/how-to-use-the-ip
command-on-linux/.
257. Modo promíscuo, de https://www.sciencedirect.com/topics/computer-science/promiscuous-mode.
258. Ravi Saive, (2016), 15 Comandos “ifconfig” úteis para configurar a interface de rede no Linux, em https://
www.tecmint.com/ifconfig-command-examples/.
259. (2016), What is promiscuous mode for a NIC (interface), em https://support.citrix.com/article/CTX219263.
260. (2013), 10 exemplos básicos do comando netstat do Linux em https://www.linux.com/training-tutorials/10-basic-examples linux-netstat-

command/.
261. Karim Buzdar, (2018), Como visualizar a tabela de roteamento de rede no Ubuntu,0rom https://vitux.com/how-to-view-the
rede-routing-table-in-ubuntu/.
262. David Both, (2016), Uma introdução ao roteamento de rede Linux, em https://opensource.com/business/16/8/introduction
linux-network-routing.
263. Abi Tyas Tunggal, (2021), O que é uma porta aberta e eles são perigosos?, de https://www.upguard.com/blog/open-port.
264. (2020), How to Check (Scan) for Open Ports in Linux, em https://linuxize.com/post/check-open-ports-linux/.
265. Esteban Borges, (2019), What are Open Ports?, de https://securitytrails.com/blog/open-ports.
266. Vivek Gite, (2020), Linux Descubra qual processo está escutando uma porta, em https://www.cyberciti.biz/faq/what
process-has-open-linux-port/.
267. Karim Buzdar, (2018), Linux: Descubra em qual número de porta um processo está escutando, em https://vitux.com/find-out-which port-number-
a-process-is-listening-on- usando-linux/.
268. Pradeep Kumar, (2020), 18 exemplos de comandos 'lsof' rápidos para Linux Geeks, em https://www.linuxtechi.com/lsof command-
examples-linux-geeks/.
269. Vivek Gite, (2021), Como verificar se a porta está em uso no Linux ou Unix, em https://www.cyberciti.biz/faq/unix-linux-check-if port-is-in-use-
comando/.
270. Vivek Gite, (2021), Como descobrir qual versão do kernel do Linux está instalada no meu sistema, em
https://www.cyberciti.biz/faq/find-print-linux-unix-kernel-version/.
271. Magesh Maruthamuthu, (2020), Easy Ways to Find Linux System/Server Uptime, em https://www.2daygeek.com/linux
verificação de tempo de atividade do servidor do sistema/.
272. (2005), The ps Command, de http://www.linfo.org/ps.html.
273. (2020), Como listar usuários no Linux, em https://linuxize.com/post/how-to-list-users-in-linux/.
274. (2019), Compreendendo o arquivo /etc/passwd, em https://linuxize.com/post/etc-passwd-file/.
275. Vivek Gite, (2020), Compreendendo o formato de arquivo /etc/passwd, em https://www.cyberciti.biz/faq/understanding-etcpasswd

formato de arquivo/.
276. Matt B, (2016), Torvalds Tuesday: User Accounts, de https://bromiley.medium.com/torvalds-tuesday-user-accounts

597b4ca9dcaf.


Referências
277. protocolo syslog explicado, em https://geek-university.com/linux/syslog-protocol-explained/.
278. Alexandra Altvater, (2017), O que são logs do Linux? Como visualizá-los, os diretórios mais importantes e mais, em https://
stackify.com/linux-logs/.
279. Kernel Logging, em https://linuxjourney.com/lesson/kernel-logging.
280. Dave McKay, (2019), Como determinar a conta de usuário atual no Linux, de
https://www.howtogeek.com/410423/how-to-determine-the-current-user-account-in-linux/.
281. (2016), Insights into Linux forensics, de https://davidebove.com/blog/2016/06/20/insights-into-linux-forensics/.
282. Tho Le, (2019), Linux Forensics — Some Useful Artifacts, de https://tho-le.medium.com/linux-forensics-some-useful artefatos-74497dca1ab2.
283. Andrew Batchelor, (2018), LinuxLogFiles, em https://help.ubuntu.com/community/LinuxLogFiles.
284. Linux OS Service 'syslog', de https://www.thegeekdiary.com/linux-os-service-syslog/.
285. (2016), 17 exemplos de comandos de histórico do Bash no Linux, em https://www.rootusers.com/17-bash-history-command

exemplos-no-linux/.
286. Aaron Kili, 2017), Como monitorar comandos Linux executados por usuários do sistema em tempo real, em
https://www.tecmint.com/monitor-linux-commands-executed-by-system-users-in-real -Tempo/.
287. Steve Morris, (2020), Como usar o comando history no Linux, em https://opensource.com/article/18/6/history
comando.
288. Vivek Gite, (2021), Linux / Unix – Encontre e liste todos os arquivos ocultos recursivamente, em https://www.cyberciti.biz/faq/unix-linux
centos-ubuntu-find-hidden-files-recursivamente/.
289. Nate Lord, (2020), What Are Memory Forensics? Uma definição de memória forense, de
https://digitalguardian.com/blog/what-are-memory-forensics-definition-memory-forensics.
290. (2017), The Importance of Memory Forensics Tools, em https://lifars.com/2017/06/memory-forensics-tools/.
291. Narad Shrestha, (2012), 10 lsof Command Example in Linux, em https://www.tecmint.com/10-lsof-command-examples

in-linux/.
292. Anand, VN, Ahmad, R (2016). Aquisição de dados voláteis do sistema Linux, de https://ijartet.com/
883/v3s5heeramech/conference#:~:text=Various%20shell%20commands%20are%20present,access%2 0to%20the%20physical%20memory.
293. Rai Chandel, (2020), Memory Forensics: Using Volatility Framework, em https://www.hackingarticles.in/memory forensics-investigation-
using-volatility-part-1/.
294. Ellen Zhang, (2017), O que é análise de malware? Definindo e descrevendo o processo de análise de malware, em https://
digitalguardian.com/blog/what-malware-analysis-defining-and-outlining-process-malware-analysis.
295. Kurt Baker, (2020), Malware Analysis, https://www.crowdstrike.com/cybersecurity-101/malware/malware-analysis/.
296. (2019), Pstree Command in Linux, em https://linuxize.com/post/pstree-command-in-linux/.
297. Volatility Framework, de https://www.sciencedirect.com/topics/computer-science/volatility-framework.
298. Tajvinder Singh Atwal, Mark Scanlon, Nhien-An Le-Khac, (2019), Iluminando o Spotlight: aproveitando o utilitário de pesquisa de desktop
da Apple para recuperar metadados de arquivos excluídos no macOS, em https://arxiv.org/ftp/ arxiv/papers/1903/1903.07053.pdf.
299. Jennifer Allen, (2020), How to Use Spotlight on Your Mac, em https://www.lifewire.com/use-spotlight-mac-4586951.
300. Yogesh Khatri, (2018), um analisador de holofotes de código aberto, em https://www.swiftforensics.com/2018/08/parsing-spotlight

database.html.
301. grep, de https://en.wikipedia.org/wiki/Grep.
302. Linux: comando grep, de https://www.techonthenet.com/linux/commands/grep.php.
303. Narad Shrestha, (2016), The Power of Linux “History Command” in Bash Shell, de http://www.tecmint.com/history
exemplos de comandos/.
304. Ramesh Natarajan, (2011), 20 Arquivos de log do Linux localizados no diretório /var/log, de
https://www.thegeekstuff.com/2011/08/linux-var-log-files/.


Referências
305. Capítulo 25. Visualizando e Gerenciando Arquivos de Log, em https://access.redhat.com/documentation/en us/

red_hat_enterprise_linux/6/html/deployment_guide/ch-viewing_and_managing_log_files.
306. lsof, de https://en.wikipedia.org/wiki/Lsof.
307. Adam Cormany, (2008), arquivado | É tudo sobre o inode, de

https://developer.ibm.com/technologies/systems/articles/au-peakunix14/.
308. inode, de https://en.wikipedia.org/wiki/Inode.
309. Kerrisk M, (2021), inode(7) — página de manual do Linux, em https://man7.org/linux/man-pages/man7/inode.7.html.
Módulo 08: Análise forense de rede
310. Madelyn Bacon, (2015), Indicators of Compromise (IOC), de https://searchsecurity.techtarget.com/definition/Indicators

of-Compromise-IOC.
311. (2019), Introduction to Network Forensics, de https://www.enisa.europa.eu/topics/trainings-for-cybersecurity Specialists/online-training-

material/documents/introduction-to-network-forensics-handbook .pdf.
312. Chris Sanders e Jason Smith, (2014), Monitoramento de Segurança de Rede Aplicada. Elsevier Inc., de http://index of.es/Varios/
Chris%20Sanders%20and%20Jason%20Smith%20(Auth.)- Applied%20Network%20Security%20Monitoring.%20Collection,
%20Detection,%20and%20Analysis %20(2014).pdf.
313. (2017), Network Evidence Collection, de https://hub.packtpub.com/network-evidence-collection/.
314. Alexandra Altvater, (2017), Tutorial Syslog: Como Funciona, Exemplos, Melhores Práticas e Mais, de
https://stackify.com/syslog-101/.
315. Karen Kent, Murugiah Souppaya, (2006), Guide to Computer Security Log Management, de
https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-92.pdf.
316. Análise de tráfego de rede, em https://awakesecurity.com/glossary/network-traffic-analysis/.
317. (2019), Análise de Tráfego de Rede, de

https://www.ipswitch.com/Ipswitch/media/Ipswitch/Documents/Resources/Data%20Sheets/DS-Network-Traffic Analysis.pdf.
318. Como executar um ataque TCP SYN Flood DoS e detectá-lo com Wireshark - Kali Linux hping3, de
http://www.firewall.cx/general-topics-reviews/network-protocol-analyzers/1224-performing-tcp-syn-flood-attack-and-detecting-it-with-
wireshark.html.
319. Tipos de ataques DoS, de

https://www.cisco.com/assets/sol/sb/Switches_Emulators_v2_3_5_xx/help/250/index.html#page/tesla_250_olh/types_of _attacks.html.
320. SYN-FIN Flood, de https://kb.mazebolt.com/knowledgebase/syn-fin-flood/.
321. Como detectar o ataque de força bruta SMB do Nmap usando o Wireshark, em https://www.1337pwn.com/how-to-detect-nmap
smb-brute-force-attack-using-wireshark/.
322. MAC Flooding Attack, em https://iq.opengenus.org/mac-flooding-attack/.
323. Yong Sheng, Keren Tan, Guanling Chen, David Kotz, Andrew Campbell, Detecting 802.11 MAC Layer Spoofing Using Received Signal Strength,
de http://citeseerx.ist.psu.edu/viewdoc/download?doi=10.1.1.111. 7055&rep=rep1&type=pdf.
324. Vaarandi, Event Correlation and data mining for event logs, de http://cs.ioc.ee/~tarmo/tday-viinistu/vaarandi-slides.ppt.
325. Cisco ASA Series Syslog Messages, de https://www.cisco.com/c/en/us/td/docs/security/asa/syslog/b_syslog.html.
326. (2011), LogLogic Juniper Networks Intrusion Detection and Prevention (IDP) Log Configuration Guide, de
http://docplayer.net/12540908-Loglogic-juniper-networks-intrusion-detection-and-prevention-idp-log-configuration guide.html.
327. Monitoramento de tráfego, em https://sc1.checkpoint.com/documents/R77/CP_R77_IPS_WebAdminGuide/12766.htm.
328. Cisco IOS Technologies, em https://www.cisco.com/c/en/us/products/ios-nx-os-software/ios-technologies/index.html.
329. Identificando incidentes usando firewall e eventos syslog do roteador Cisco IOS, de
https://tools.cisco.com/security/center/resources/identify_incidents_via_syslog.


Referências
Módulo 09: Investigando ataques na Web

330. A6:2017-Configuração incorreta de segurança, de https://owasp.org/www-project-top-ten/2017/A6_2017-
Security_Misconfiguration.html.
331. A1:2017-Injection, de https://owasp.org/www-project-top-ten/2017/A1_2017-Injection.html.
332. Adulteração de parâmetros da Web, em https://owasp.org/www-community/attacks/Web_Parameter_Tampering.
333. Path Traversal, de https://owasp.org/www-community/attacks/Path_Traversal.
334. Daniel Blazquez, (2020) Insecure Deserialization: Attack exemplos, Mitigation and Prevention, em https://hdivsecurity.com/
bornsecure/insecure-deserialization-attack-examples-mitigation/.
335. Ory Segal, (2002), Web Application Forensics, de https://www.cgisecurity.com/lib/WhitePaper_Forensics.pdf.
336. Como encontro arquivos de log do servidor http Apache?, em http://blog.codeasite.com/how-do-i-find-apache-http-server-log-files/.
337. Arquivos de log, https://httpd.apache.org/docs/2.4/logs.html
338. User-Agent, de https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/User-Agent.
339. Arquivos de log – access.log e error.log, de https://geek-university.com/apache/log-files-access-log-and-error-log/.
340. Logs de acesso e erro, em https://www.loggly.com/ultimate-guide/access-and-error-logs/.
341. Apache Logging Basics, em https://www.loggly.com/ultimate-guide/apache-logging-basics/.
342. Porcentagem de codificação, de https://en.wikipedia.org/wiki/Percent-encoding.
343. Agathoklis Prodromou, (2017), Using Logs to Investigate a Web Application Attack, em https://dzone.com/articles/using
logs-para-investigar-um-ataque-de-aplicativo-da-web.
344. Chris Riley, Intrusion Detection with the Snort IDS, em https://www.linux
magazine.com/index.php/layout/set/print/Issues/2008/96/Snort/(tagID)/154.
345. Lidar com metacaracteres, de https://dwheeler.com/secure-programs/Secure-Programs-HOWTO/handle

metacharacters.html#:~:text=Many%20systems%2C%20such%20as%20SQL,from%20commands%20or%20other%20data.
346. SQL Injection Using UNION, em https://www.sqlinjection.net/union/.
347. SQL: Operador UNION, em https://www.techonthenet.com/sql/union.php.
348. Advanced SQL Injection - baseado em inteiro, em https://sechow.com/bricks/docs/content-page-1.html.
349. Folha de dicas de injeção SQL, em https://www.netsparker.com/blog/web-security/sql-injection-cheat-sheet/.
350. SQL Injection, em https://www.w3schools.com/sql/sql_injection.asp.
351. Double Encoding, de https://owasp.org/www-community/Double_Encoding.
352. Por que o Directory Traversal Attack %C0%AF funciona?, em https://security.stackexchange.com/questions/48879/why

faz-directory-traversal-attack-c0af-work.
353. CWE-35: Path Traversal: '../..//', de https://cwe.mitre.org/data/definitions/35.html.
354. FAQ de SQL Injection, em http://www.openlinksw.com/blog/~kidehen/index.vspx?id=319.
355. Tom Gallagher, Finding and Preventing Cross-Site Request Forgery, em https://www.blackhat.com/presentations/bh-usa
06/BH-US-06-Gallagher.pdf#search=%22Cross-Site%20Request%20Forgery%20(CSRF)%20web%20attack%22.
356. Cross-site Scripting (XSS), de https://www.acunetix.com/websitesecurity/cross-site-scripting/.
357. Amor Lazzez, Thabet Slimani, (2015), Forensics Investigation of Web Application Security Attacks, de http://www.mecs press.org/ijcnis/ijcnis-v7-n3/
IJCNIS-V7-N3-2.pdf.
358. Falha ao restringir o acesso à URL, em https://www.veracode.com/security/failure-restrict-url-access.
359. Krassen Deltchev, (2012), Web Application Forensics de https://www.slideshare.net/test2v/web-application-forensics

taxonomia-e-tendências.
360. Mario Heiderich, Eduardo Alberto Vela Nava, Gareth Heyes, David Lindsay, (2010), Web Application Obfuscation, de https://www.elsevier.com/
books/web-application-obfuscation/heiderich/978-1-59749 -604-9.
361. Logs do IIS, em http://what-when-how.com/windows-forensic-analysis/file-analysis-windows-forensic-analysis-part-3/.


Referências
362. Diana Eftaiha, (2012), An Introduction to Apache, em https://code.tutsplus.com/tutorials/an-introduction-to-apache--net

25786.
363. O que é: Apache, de https://www.wpbeginner.com/glossary/apache/.
364. Formato de log comum, de https://en.wikipedia.org/wiki/Common_Log_Format.
365. Matthew Heckathorn, (2011), Network Monitoring for Web-Based Threats, de

https://resources.sei.cmu.edu/asset_files/TechnicalReport/2011_005_001_15380.pdf.
366. Ultimate Guide to Logging, em https://www.loggly.com/ultimate-guide/access-and-error-logs/.
Módulo 10: Análise forense da Dark Web
367. The Layers of the Web – Surface Web, Deep Web e Dark Web, de https://ifflab.org/the-layers-of-the-web-surface web-deep-web-and-dark-
web/.
368. Raja Srivathsav, (2018), TOR Nodes Explained!, em https://medium.com/coinmonks/tor-nodes-explained-580808c29e2d.
369. Robert Heaton, (2019), How does Tor work?, em https://roberheaton.com/2019/04/06/how-does-tor-work/.
370. Aditya Tiwari, (2021), Tor explicou: O que é Tor? Como funciona? É ilegal?, de https://fossbytes.com/everything
tor-tor-tor-works/.
371. Melissa Haun, (2021), How To Use Tor Browser, em https://www.vpnmentor.com/blog/tor-browser-work-relate-using

vpn/.
372. Andrew Bloomenthal, Somer Anderson, (2021), Dark Web, de https://www.investopedia.com/terms/d/dark-web.asp.
373. Penny Hoelscher, (2018), Qual é a diferença entre a Surface Web, a Deep Web e a Dark Web?, em https://resources.infosecinstitute.com/
what-is-the-difference-between-the -surface-web-the-deep-web-and-the-dark web/#gref.
374. (2018), What is Surface Web, Deep Web and Dark Web?, de https://medium.com/@hackersleaguebooks/what-is surface-web-deep-web-
and-dark-web-cdbaf71b30d5.
375. Tipos de relés na rede Tor, em https://community.torproject.org/relay/types-of-relays/.
376. J. M Porup, (2019), O que é o Navegador Tor? E como isso pode ajudar a proteger sua identidade, de
https://www.csoonline.com/article/3287653/what-is-the-tor-browser-how-it-works-and-how-it-can-help-you-protect your-identity-online.html .
377. Mihnea Mirea, Victoria Wang e Jeyong Jung, (2019), O lado não tão escuro da darknet: um estudo qualitativo. Security Journal, em https://
link.springer.com/article/10.1057/s41284-018-0150-5.
378. (2018), Darknet Forensics, de https://cyberforensicator.com/2018/02/15/darknet-forensics/.
379. Balduzzi M., Ciancaglini V., (2015), Cybercrime in the Deep Web, em https://www.blackhat.com/docs/eu
15/materials/eu-15-Balduzzi-Cybercrmine-In-The-Deep-Web-wp.pdf.
380. Abid Khan Jadoon, Waseem Iqbal, Muhammad Amjad, Hammad Afzal, (2019) Forensic Analysis of Tor Browser: A Case Study for Privacy
and Anonymity on the Web, from https://www.researchgate.net/profile/Waseem_Iqbal10/ publicação/
332004753_Forensic_Analysis_of_Tor_Browser_A_Ca se_Study_for_Privacy_and_Anonymity_on_the_Web/links/5d46dd2a92851cd046a06d36/
Forensic-Analysis-of-Tor Browser-A-Case-Study-for-Privacy-and-tailAnonymity-on-orithe-Web.pdf?
Módulo 11: Investigando crimes por e-mail
381. (2019), Mail terminology, de https://afreshcloud.com/sysadmin/mail-terminology-mta-mua-msa-mda-smtp-dkim-spf

dmarc.
382. Warren Duff, (2019), What Is an SMTP Server?, de https://sendgrid.com/blog/what-is-an-smtp-server/.
383. O que é uma porta SMTP, de https://serversmtp.com/port-for-smtp/.
384. Como uma mensagem de e-mail flui desde o envio até a entrega?, em https://www.sparkpost.com/resources/email
explicado/email-message-flow-sending-delivery/.


Referências
385. Chirath De Alwis, (2019), Email Forensics: Investigation Techniques, de https://www.forensicfocus.com/articles/email

técnicas de investigação forense/.
386. Ljubomir Lazic, (2018), E-Mail Forensics: Techniques And Tools For Forensic Investigation, em https://
www.researchgate.net/publication/328738532_E
MAIL_FORENSICS_TECHNIQUES_AND_TOOLS_FOR_FORENSIC_INVESTIGATION.
387. Introdução aos arquivos de dados do Outlook (.pst e.ost), em https://support.office.com/en-us/article/introduction-to-outlook

arquivos de dados-pst-e-ost-222eaf92-a995-45d9-bde2-f331f60e2790.
388. Arquive os itens manualmente, em https://support.microsoft.com/en-us/office/archive-items-manually-ecf54f37-14d7-4ee3-

a830-46a5c33274f6?ui=en-us&rs=en-us&ad=us.
389. Perfis - Onde o Thunderbird armazena suas mensagens e outros dados do usuário, em https://support.mozilla.org/en
US/kb/profiles-where-thunderbird-stores-user-data#w_backing-up-a-profile.
390. Como arquivar/arquivar automaticamente e-mail no Mozilla Thunderbird 3.x, em

https://helpdesk.rocksolidnet.com/index.php?rp=/knowledgebase/10077/How-to-archiveorauto-archive-email-in- Mozilla Thunderbird-3.x.html.
391. (2019), Archiving your e-mail, de http://kb.mozillazine.org/Archiving_your_e-mail.
392. (2018), A Practical Approach to Webmail Forensics Techniques, de https://medium.com/@lucideus/a-practical

abordagem-para-webmail-forense-técnicas-lucideus-research-6162c309ef8b.
393. Phishing e falsificação. de https://www.phishing.org/phishing-and-spoofing.
394. (2020), Lidando com anexos de e-mail inesperados ou suspeitos, em https://it.stonybrook.edu/help/kb/handling Unexpected-or-suspicious-
email-attachments.
395. (2021), 4 maneiras de reconhecer um anexo malicioso em e-mails, em https://gatefy.com/blog/4-ways-recognize-malicious

anexo-e-mails/.
396. Joey Tanny, (2018), Como identificar anexos de e-mail maliciosos, em https://www.vircom.com/blog/how-to-identify
anexos de e-mail maliciosos/.
397. (2018), Sobre nomes de domínio totalmente qualificados (FQDNs), em https://kb.iu.edu/d/aiuv.
398. MIME Header Analyzer, em https://www.mailxaminer.com/mime-header-analyzer.html.
399. (2016), What is MIME (Multi-Purpose Internet Mail Extensions), de https://www.interserver.net/tips/kb/mime-multi

propósito-internet-mail-extensions/.
400. Jonathan Yarden, (2004), Dica técnica: Examine os cabeçalhos de e-mail para determinar a falsificação, de
https://www.techrepublic.com/article/tech-tip-examine-e-mail-headers-to-determine-forgery/.
401. (2014), Email Headers – Expert Forensic Analysis, de https://www.slideshare.net/forensicEmailAnalysis/email

headeranalysis.
402. Ivan Kovachev, (2021), SPF Hard Fail vs SPF Soft Fail, de https://knowledge.ondmarc.redsift.com/en/articles/1148885-
spf-hard-fail-vs-spf-soft-fail.
403. Gabriela Gavrailova, (2019), What Is the Return-Path and Why You Need to Customize It?, em https://www.mailjet.com/
blog/news/return-path-customization-explained/.
404. What Is Email Return Path?, em https://www.sparkpost.com/resources/email-explained/return-path-explained/.
405. John Pollard, detalhe do cabeçalho da assinatura DKIM, em https://help.returnpath.com/hc/en-us/articles/222438487-DKIM signature-header-

detail.
406. (2007), DomainKeys Identified Mail (DKIM) Signatures, de http://dkim.org/specs/rfc4871-dkimbase.html.
407. Arman Gungor, (2019), Aproveitando o DKIM na análise forense de e-mail. de https://www.metaspike.com/leveraging-dkim-email
forense/.
408. Shane Rice, (2021), DKIM: O que é e por que é importante?, de https://postmarkapp.com/guides/dkim.
409. (2015), Challenges in Recovering Deleted Email, de https://burgessforensics.com/challenges-in-recovering-deleted

o email/.
410. Siddharth Rawat, (2021), Como recuperar e-mails excluídos de um arquivo PST?, de
https://www.nucleustechnologies.com/blog/recover-deleted-emails-from-pst-file/.


Referências
411. (2019), Arquivo de Ajuda. Examinador de evidências eletrônicas da Paraben, em https://www.paraben.com.pl/wp

content/uploads/2019/09/Electronic_Evidence_Examiner_Help.pdf
412. Como ver cabeçalhos de e-mail no Gmail, Hotmail, AOL Mail e Yahoo, em http://www.johnru.com/active-whois/headers
yahoo-hotmail.html.
413. Diane Poremsky, 2020), Mover um arquivo Outlook Personal Folders.pst, de https://www.slipstick.com/outlook/config/to
move-an-outlook-personal-folders-pst-file/.
414. E-mails de rastreamento, de https://gethelp.wildapricot.com/en/articles/569#TrackingEmails-Viewingemailusagestatistics.
415. Microsoft Outlook, em https://en.wikipedia.org/wiki/Microsoft_Outlook.
416. Cópia oculta, de https://en.wikipedia.org/wiki/Blind_carbon_copy.
417. Cyberstalking, de https://en.wikipedia.org/wiki/Cyberstalking.
418. O que é um cabeçalho de e-mail?, de https://whatismyipaddress.com/email-header.
419. E-mail, de https://en.wikipedia.org/wiki/Email.
420. O que é uma assinatura de e-mail?, de http://www.webdevelopersnotes.com/what-is-email-signature.
421. Heinz Tschabitscher, (2020), Differences Between the Email Body and the Header, em https://www.lifewire.com/what-is the-difference-between-
email-body-and-header-1171115.
422. MIME, de https://en.wikipedia.org/wiki/MIME.
423. Rastrear e-mail, em https://whatismyipaddress.com/trace-email.
424. (2020), Top 6 Digital Forensic Investigation Techniques For Effortless Investigation, em https://
www.mailxaminer.com/blog/digital-forensic-investigation-techniques/.
Módulo 12: Análise Forense de Malware
425. Ellen Zhang, (2018), O que é malware sem arquivo (ou um ataque sem malware)? Definição e melhores práticas para proteção contra malware
sem arquivo, em https://digitalguardian.com/blog/what-fileless-malware-or-non-malware-attack-definition-and-best practices-fileless-malware.
426. Dor Zvi, (2019), Ofuscated Fileless Malware In Cyberattackers' Toolkits: A Closer Look, from
https://www.mimecast.com/blog/2019/06/obfuscated-fileless-malware-in-cyberattackers-toolkits-a-closer-look/.
427. Kelly Sheridan, (2017), New Attack Method Delivers Malware Via Mouse Hover, em https://
www.darkreading.com/endpoint/new-attack-method-delivers-malware-via-mouse-hover-/d/ d-id/1329105.
428. (2016), Domain Shadowing: When Good Domains Go Bad, de https://www.riskiq.com/blog/external-threat

management/domain-shadowing-good-domains-go-bad/.
429. Nick Biasini, (2015), Threat Spotlight: Angler Lurking in the Domain Shadows, em https://
blogs.cisco.com/security/talos/angler-domain-shadowing#shadowing.
430. M. Moon, (2017), Malware downloader infecta seu PC sem um clique do mouse, de
https://www.engadget.com/2017/06/11/malware-downloader-infects-your-pc-without-a-mouse-click/.
431. Srinivas, (2019), Debugging for Malware Analysis, em https://securityboulevard.com/2019/08/debugging-for-malware

análise/.
432. Josh Stroschein, (2019), analisando documentos maliciosos do Office com OLEDUMP, em https://0xevilc0de.com/analyzing
documentos de escritório maliciosos com oledump/.
433. Cameron H. Malin, Eoghan Casey, James M. Aquilina, (2012), Malware Forensics Field Guide For Windows Systems, de
http://index-of.es/Varios-2/Malware%20Forensics%20Field%20Guide%20for%20Windows%20Systems.pdf.
434. Navroop Kaur, Dr. Amit Kumar Bindal, (2016), A Complete Dynamic Malware Analysis, de
https://www.researchgate.net/publication/295256150_A_Complete_Dynamic_Malware_Analysis.
435. Harlan Carvey, (2011), Windows Registry Forensics, de http://index-of.es/Varios

2/Windows%20Registry%20Forensics.pdf.
436. (2018), Run and RunOnce Registry Keys, em https://docs.microsoft.com/en-us/windows/win32/setupapi/run-and

runonce-registry-keys.


Referências
437. (2016), Common Malware Persistence Mechanisms, de https://resources.infosecinstitute.com/common-malware persistence-

mechanisms/#gref.
438. (2017,. Técnicas de persistência de malware, de https://www.andreafortuna.org/2017/07/06/malware-persistence

técnicas/.
439. Arpa Sainju, Travis Atkison, (2017), An Experimental Analysis of Windows Log Events Triggered by Malware, from
https://www.researchgate.net/publication/316850238_An_Experimental_Analysis_of_Windows_Log_Events_Triggered_by
_Malware.
440. Alaxendat S. Gillis, log de eventos do Windows, em https://searchwindowsserver.techtarget.com/definition/Windows-event-log.
441. Corey Harrell, Encontrando Malware, de

https://docs.google.com/viewer?a=v&pid=sites&srcid=ZGVmYXVsdGRvbWFpbnxqb3VybmV5aW50b2lyfGd4OjM3YzZhMjg
wNWY5MzdiMGI.
442. (2017), 4688(S): Um novo processo foi criado, em https://docs.microsoft.com/en-us/windows/security/threat protection/

auditing/event-4688.
443. ID de evento de log de segurança do Windows 4688, de

https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventID=4688.

https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventID=5156.
445. (2017), 4697(S): Um serviço foi instalado no sistema, de https://docs.microsoft.com/en-us/windows/security/threat protection/

auditing/event-4697.
446. (2017), 5156(S): A plataforma de filtragem do Windows permitiu uma conexão, em https://docs.microsoft.com/en
us/windows/security/threat-protection/auditing/event-5156.

https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventid=4657.
448. (2017), 4663(S): Foi feita uma tentativa de acessar um objeto, em https://docs.microsoft.com/en us/
windows/security/threat-protection/auditing/event-4663.
449. (2017), 4660(S): Um objeto foi excluído, de https://docs.microsoft.com/en-us/windows/security/threat

proteção/auditoria/evento-4660.
450. ID do evento de log de segurança do Windows 4663, de

https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventid=4663.
451. Sameul Alonso, (2016), The top 10 windows logs event's used to catch hackers, de https://cyber-ir.com/2016/09/23/the top-10-
windows-logs-events-used- para-pegar-hackers/.
452. (2019), Remote Windows Service Creation / Recon, de https://blog.menasec.net/2019/03/threat-hunting-26-remote

windows.html.
453. Danny Murphy, Track File Deletions and Permission Changes on Windows File Servers, em https://www.lepide.com/how
to/track-file-deletions-and-permission-changes-on-file-servers.html.
454. API Monitor, em http://www.rohitab.com/apimonitor.
455. Han Weijie, Xue Jingfeng, Wang Yong, Huang Lu, Kong Zixiao, Mao Limin, (2019), MalDAE: Detectando e explicando
malware com base na correlação e fusão de características estáticas e dinâmicas, de https://www.sciencedirect. com/
science/article/pii/S016740481831246X.
456. (2018), Trust, But Verify: Evaluating DNS-Based Malware Detectors, de https://www.microfocus.com/media/white
paper/trust_but_verify_evaluating_dns_based_malware_detectors_wp.pdf.
457. Dejan Lukan, (2014), Domain Generation Algorithm (DGA), de https://resources.infosecinstitute.com/domain

geração-algoritmo-dga/#gref.
458. (2018), DNS Records: Everything You Need To Know, em https://blog.nexcess.net/dns-records-everything-you-need-to

saber/.
459. Adobe Acrobat: Vulnerabilidades de segurança, em https://www.cvedetails.com/vulnerability-list/vendor_id-53/product_id

497/Adobe-Acrobat-Reader.html.
460. Malware, de https://en.wikipedia.org/wiki/Malware.


Referências
461. Dropper (malware), de https://en.wikipedia.org/wiki/Dropper_(malware).
462. Código malicioso, de https://www.veracode.com/security/malicious-code.
463. Código malicioso, de https://www.techopedia.com/definition/4014/malicious-code.
464. Corey Harrell, (2014), Improving Your Malware Forensics Skills, de http://journeyintoir.blogspot.in/2014/06/improving your-
malware-forensics-skills.html.
465. Dejan Lukan, (2012), Environment for Malware Analysis, em https://resources.infosecinstitute.com/topic/environment

for-malware-analysis/.
466. Malware Analysis, em https://www.fireeye.com/products/malware-analysis.html.
467. Cameron H. Malin, Eoghan Casey, James M., Malware Forensics: Investigating and Analyzing Malicious Code, de
https://books.google.co.in/books?id=lRjO8opcPzIC&pg=PA65&lpg=PA65&dq=how+to+collect+Malware+from+Live+system
&source=bl&ots=aW
Jnkpu0i&sig=tCpCgPI_3PbDj0TA6gfrv3ktqyg&hl=en&sa=X&ved=0ahUKEwjFjouB97rKAhXXxI4KHcm0AtUQ6AEIIDAB#v=onep
age&q=host%20integrity&f=false.
468. Mastering 4 Stages of Malware Analysis, em https://zeltser.com/mastering-4-stages-of-malware-analysis/.
469. Ivan Zelinka, Computer Attack and Defense Malware Analysis, de

http://dataanalysis.vsb.cz/data/Vyuka/POU/MalwareAnalysis.pdf.

MT
EC-Council
CE-Conselho
D EF
Digital Princípios Forenses
ec-council
currículos oficiais do ec-conselho

DFE PT BR

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

DFE PT BR

Enviado por

Direitos autorais:

Formatos disponíveis

Machine Translated by Google

EC-Council New Mexico

Página II Digital Forensics Essentials Copyright © por EC-Council Todos os

Página III Digital Forensics Essentials Copyright © por EC-Council Todos os

Outros programas do EC-Council

O objetivo do programa de treinamento da CSCU é fornecer aos alunos o

Defesa de Rede: Defensor de Rede Certificado

Os alunos matriculados no curso Certified Network Defender obterão uma compreensão

Página IV Digital Forensics Essentials Copyright © por EC-Council Todos os

Hacking ético: Hacker ético certificado

Teste de penetração: Profissional certificado em testes de penetração

Página V Digital Forensics Essentials Copyright © por EC-Council Todos os

Computação forense: Investigador forense de hacking de computador

Tratamento de Incidentes: Manipulador de Incidentes Certificado pelo EC-Council

O programa Certified Incident Handler (E|CIH) do EC-Council foi projetado

Gestão: Chief Information Security Officer certificado

Página VI Digital Forensics Essentials Copyright © por EC-Council Todos os

Segurança de aplicativos: Engenheiro de segurança de aplicativos certificado

A credencial Certified Application Security Engineer

Tratamento de Incidentes: Analista de Inteligência de Ameaças Certificado

O Certified Threat Intelligence Analyst (C|TIA) foi projetado e desenvolvido em

Página VII Digital Forensics Essentials Copyright © por EC-Council Todos os

No cenário de ameaças em constante mudança, o C|TIA é um programa de treinamento essencial em Threat

Tratamento de Incidentes: Analista SOC Certificado

O programa Certified SOC Analyst (CSA) é o primeiro passo para ingressar em um

Página VIII Digital Forensics Essentials Copyright © por EC-Council Todos os

Informações do Exame DFE

Detalhes do Exame DFE

Título do exame Fundamentos de Perícia Forense Digital (DFE)

Código do exame 112-53

Disponibilidade EC-Council Exam Portal (visite https://www.eccexam.com)

Pontuação de aprovação 70%

Página IX Digital Forensics Essentials Copyright © por EC-Council Todos os

Módulo 01: Fundamentos da Computação Forense 1

Fundamentos de Computação Forense 3

Funções e responsabilidades de um investigador forense 38

Conformidade legal em computação forense 43

Módulo 02: Processo de Investigação Forense Computacional 53

Processo de Investigação Forense e sua Importância 55

Processo de Investigação Forense - Fase de Pré-Investigação 59

Processo de Investigação Forense - Fase de Investigação 67

Processo de Investigação Forense - Fase Pós-Investigação 76

Módulo 03: Entendendo Discos Rígidos e Sistemas de Arquivos 85

Diferentes tipos de unidades de disco e suas características 87

Estrutura Lógica de um Disco 105

Processo de inicialização dos sistemas operacionais Windows, Linux e Mac 124

Sistemas de arquivos dos sistemas operacionais Windows, Linux e Mac 144

Exame do sistema de arquivos 178

Módulo 04: Aquisição e Duplicação de Dados 185

Fundamentos de Aquisição de Dados 187

Tipos de Aquisição de Dados 195

Formato de Aquisição de Dados 198

Metodologia de Aquisição de Dados 203

Módulo 05: Derrotando Técnicas Anti-Forenses 227

Anti-forense e suas técnicas 229

Contramedidas anti-forenses 269

Módulo 06: Windows Forense 273

Informações voláteis e não voláteis 275

Análise de memória e registro do Windows 317

Cache, Cookie e Histórico Gravado em Navegadores da Web 335

Arquivos e metadados do Windows 345

Página X Digital Forensics Essentials Copyright © por EC-Council Todos os direitos

Módulo 07: Linux e Mac Forensics 363