Analise-Forense-no-Windows

Prévia do material em texto

Formação em Formação em 
Computação ForenseComputação Forense
Teoria e PraticaTeoria e Pratica
Prof. Marcos Monteiro
http://www.marcosmonteiro.com.br
contato@marcosmonteiro.com.br
http://www.marcosmonteiro.com.br/
mailto:contato@marcosmonteiro.com.br
2
V.
Analise Forense em
Windows
3
Famílias de WindowsFamílias de Windows
4
Processo de Boot Processo de Boot 
1.Computador é ligado.
2.Primeiro setor do disco de boot é lido (MBR) para 
memória e executado.
Setor de 512 bytes que contém programa independente 
"boot" (bootstrap)
446 bytes – bootstrap
66 bytes - tabela de partições
3.Boot lê diretório raiz do dispositivo de boot e 
busca Ntldr (XP)/ Windows boot manager (Vista).
4.Ntldr é colocado na memória e executado. Este 
arquivo carrega o Windows.
5
Processo de Boot Processo de Boot 
5.Ntldr/WBM lê boot.ini (única informação que não 
fica no registro - opções de inicialização do 
sistema) 
6.Lê alguns drivers padrão e posteriormente lê o 
registro para encontrar os demais drivers 
7.Executivo entra em cena e faz suas próprias 
inicializações
8.Último passo é o gerenciador de sessão (primeiro 
processo realmente do usuário)
6
cmdcmd
● O cmd.exe é a interface de linha de comando do 
Windows.
● É case insensitive.
● É possível autocompletar PATH por meio da tecla 
“Tab”.
● Quando manipular arquivo e diretório com 
espaço, use aspas. Por exemplo, Meus 
Documentos seria “Meus Documentos“.
7
Comandos Básicos do CMDComandos Básicos do CMD
● dir: Exibe uma lista de arquivos e subdiretórios em um 
diretório.
● tree: Exibe de forma gráfica a estrutura de pastas de uma 
unidade ou caminho.
● type: Exibe o conteúdo de um ou mais arquivos de texto.
● attrib: Exibe ou altera atributos de arquivo.
● del: Exclui um ou mais arquivos.
● cd: Exibe o nome da pasta ou altera a pasta atual.
● md: Cria uma pasta
● rd: Remove (exclui) uma pasta. (rmdir)
● vol: Exibe o nome e o número de série do disco, caso 
existam.
●
8
Comandos Básicos do CMDComandos Básicos do CMD
● set: Exibe, define ou remove variáveis de ambiente do 
cmd.exe.
● find: Localiza uma cadeia de caracteres de texto em um ou 
mais arquivos.
● echo: Exibe mensagens ou ativa ou desativa o eco de 
comando.
● cls: Limpa a tela.
● arp: Exibe e modifica as tabelas de conversão de endereços 
IP para endereços físicos usadas pelo protocol de resolução 
de endereços (ARP).
● hostname: Imprime o nome do host atual.
● sort: Ordena a entrada.
● whoami: Obtém informações sobre o usuário atual conectado.
9
Mudando o STDOUTMudando o STDOUT
● comando > arquivo
● Redireciona a saída do comando para o arquivo.
● comando >> arquivo
● Redireciona a saída do comando para o final do arquivo.
● comando < arquivo
● Define o arquivo como entrada do comando.
● comandoA | comandoB
● A saída do comandoA se torna entrada para o comandoB.
● | clip 
● Redireciona a saída das ferramentas de linha de comando 
para a área de transferência do Windows.
●
10
ExemploExemplo
11
FTK Imager – DUMP da RAMFTK Imager – DUMP da RAM
12
(hash)
13
hashhash
● É determinístico.
● É unidirecional.
● Efeito avalanche.
● Uma boa função de hash:
– deve ser fácil computar o hash para qualquer 
mensagem
– deve ser difícil gerar uma mensagem a partir do hash
– deve ser difícil modificar a mensagem sem modificar o 
hash
– deve ser difícil encontrar duas mensagens diferentes 
com o mesmo hash
14
hashhash
● md5deep
● shardeep
● fsum
15
Colisão de HashColisão de Hash
16
 Registry - Forense Windows 
17
 Registry - Registry - Forense Windows Forense Windows 
● Serve para controle do sistema Operacional
● Condensa as configurações de controle do 
sistema operacional
● Controla hardware, software e usuários
– Usado para armazenar as informações necessárias à 
configuração do sistema
– Refletido para um ou mais usuários
18
 Registry - Registry - comocomo
● O Windows faz referência continuamente ao 
registro durante a sua operação
– perfis de cada usuário
– aplicativos instalados
– tipos de documentos que cada aplicativo pode criar
– configurações da folha de propriedades para ícones 
de pastas e aplicativos
– o hardware existente no sistema
– portas que são usadas
– Dispositivos conectados
19
Registro – FormatoRegistro – Formato
● Arquivo binário
● Informações armazenadas de modo hierárquico
● Estrutura semelhante à do sistemas de arquivos
– Diretórios = chaves
– Arquivos = Valores
● Nome, tipo, dado
20
Formatos de Data/hora do RegistroFormatos de Data/hora do Registro
● Formato Windows/MS-DOS - 32 bits
– Os outros 16 bits definem a data:
● Dias => bit 0 ao bit 4
● Meses => bit 5 ao bit 8
● Anos => bit 9 ao bit 15 (início em 1980)
● Por exemplo, o valor hexadecimal:
– 0xA4567E21 => 0x217E56A4
● Em binário será: 00100001011111100101011010100100
● 0010000-1011-11110 - 01010-110101-00100
– Ano–Mês–Dia Hora-Minuto-Segundos x 2
● 30 de novembro de 1996, 10h53min08s
21
Formatos de Data/hora do RegistroFormatos de Data/hora do Registro
● Formato Windows - 64 bits
– Intervalo de 100 ns.
– Intervalo contado a partir da 00h00min00s do dia 1° 
de janeiro de 1601.
– Formato usado na MFT (Master File Table) do sistema 
de arquivos NTFS.
● Formato Unix - 32 bits
– Número de segundos a partir de 00h00min00s do dia 
1° de janeiro de 1970.
– Usado em algumas chaves do Registry.
22
59F76153 (BIG ENDIAN) 
5361F759 (LITLE ENDIAN)
23
Registro do Windows - ChavesRegistro do Windows - Chaves
● Desde Windows 2000 são 6 chaves:
– HKEY_LOCAL_MACHINE
– HKEY_USERS
– HKEY_PERFORMANCE_DATA
– HKEY_CLASSES_ROOT
– HKEY_CURRENT_CONFIG
– HKEY_CURRENT_USER
24
Registry Path Hive e Arquivos
HKLM\SAM SAM, SAM.LOG
HKLM\SECURITY Security, Security.LOG
HKLM\SOFTWARE Software, Software.LOG, Software.sav
HKLM\SYSTEM System, System.LOG, System.sav
HKLM\HARDWARE Hive dinâmico/volátil
HKU\.DEFAULT Default, Default.LOG, Default.sav
HKU\SID NTUSER.DAT
HKU\SID_CLASSES UsrClass.dat, UsrClass.dat.LOG
25
Novidades – a partir do WINDOWS 8Novidades – a partir do WINDOWS 8
● Foi adicionado o arquivo de hive amcache.hve 
para substituir o arquivo RecentFileCache.bcf de 
versões anteriores do Windows.
● Caminho: 
<DRIVE>\Windows\AppCompat\Programs\Amcac
he.hve
● Neste arquivo podem ser encontradas 
informações sobre aplicações recentemente 
executadas.
26
Novidades – a partir do WINDOWS 8Novidades – a partir do WINDOWS 8
● Foram acrescentados alguns hives adicionais. Exemplos dos 
arquivos a partir dos quais são montados esses hives são: 
– BBI (Browser-Based Interface),
– COMPONENTS, 
– DRIVERS 
– ELAM (Early Lauch Anti-Malware).
● c:\Windows\System32\Config\
27
hivehive
● BBI - Browser-Based Interface.
– Dados de configuração do Windows Live.
– Usado também pelas Metro Apps.
● ELAM - Early Launch AntiMalware
– Dados de configuração do Windows Defender e aplicativos 
como antivírus e firewalls.
● COMPONENTS E DRIVERS
– Existem dados duplicados no caso dos hives “montados” a 
partir dos arquivos COMPONENTS e DRIVERS, ou seja, as 
informações estão em outros hives.
28
HKEY_LOCAL_MACHINE (info sis local)HKEY_LOCAL_MACHINE (info sis local)
● HARDWARE
– hardware e driver controlador
– Construída em momento de carga pelo gerenciador 
plug-and-play – volátil.
– Não fica armazenada em disco
29
HKEY_LOCAL_MACHINE (info sis local)HKEY_LOCAL_MACHINE (info sis local)
● SAM
– Usuários, senhas, grupos, etc...
– Segurança necessária para o acesso dos usuários ao 
sistema
– Arquivos de suporte
● Sam, Sam.log, Sam.sav
– LOG – um log de transação das mudanças nas chaves e os valores 
das hives;
– SAV – cópia da hive feita logo após o fim do modo texto do setup do 
Windows.
30
HKEY_LOCAL_MACHINE (info sis local)HKEY_LOCAL_MACHINE (info sis local)
● SECURITY
– Política geral de segurança (tamanho da senha, 
tentativas de acesso antes do bloqueio, etc...
– Arquivos de suporte
● Security, Security.log, Security.sav
31
HKEY_LOCAL_MACHINE (info sis local)HKEY_LOCAL_MACHINE (info sislocal)
● SOFTWARE
– Fabricantes de software armazenam suas 
preferências
– Arquivos de suporte
● Software, Software.log, Software.sav
32
HKEY_LOCAL_MACHINE (info sis local)HKEY_LOCAL_MACHINE (info sis local)
● SYSTEM
– Info sobre inicialização do sistema
– Arquivos de suporte
● System, System.alt, System.log, System.sav
– Arquivo .ALT – uma cópia de backup da hive 
HKEY_LOCAL_MACHINE\SYSTEM (o Windows 2003 não tem este 
arquivo);
33
HKEY_USERSHKEY_USERS
● Perfil de todos usuários
● Arquivos de suporte
– Default, Default.log, Default.sav
34
HKEY_CLASSES_ROOTHKEY_CLASSES_ROOT
● Associação de extensões e programas
– Atalho para 
HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES
35
HKEY_CURRENT_CONFIGHKEY_CURRENT_CONFIG
● Atalho para configuração atual do hardware 
Computador\HKEY_LOCAL_MACHINE\SYSTEM\
CurrentControlSet\Hardware Profiles\Current
36
HKEY_CURRENT_USERHKEY_CURRENT_USER
● Não existe
● Aponta para o usuário atualmente conectado, 
visando encontrar as preferências
37
Registro – Tipos de valoresRegistro – Tipos de valores
● String
● Binary
● DWORD
● QWORD
● Multi-String
● Expandable String
38
Registro – ArquivosRegistro – Arquivos
● Residentes em memória
● Windows\System32\Config
– SAM
– SECURITY
– SOFTWARE
– SYSTEM
● Perfil do usuário
– NTUSER.DAT
● Boot
– BCD
39
Software RegRipperSoftware RegRipper
● Escrito em Perl por Harlan Carvey
● bit.ly/regripper
● Interface gráfica
– rr.exe
● Linha de comando
– rip.exe
● Suporte a plugins
40
AccessData Registry ViewerAccessData Registry Viewer
41
Informações do SOInformações do SO
● Qual SO, data de Instalação, PATH do Sistema:
– HKLM\SOFTWARE\Microsoft\Windows 
NT\CurrentVersion
 
42
Fuso HorárioFuso Horário
● HKLM\SYSTEM\ControlSet\Control\TimeZoneInformation
– DisableAutoDaylightTimeSet ou 
DynamicDaylightTimeDisabled (Horario de Verão);
– StandardName ou TimeZoneKeyName (Fuso)
43
Softwares InstaladosSoftwares Instalados
● HKLM\SOFTWARE\Microsoft\Windows\CurrentVe
rsion\Uninstall
– Aplicativos 64 bits
– InstallLocation
● HKLM\SOFTWARE\Wow6432Node\Microsoft\Win
dows\CurrentVersion\Uninstall
– Aplicativos 32 bits instalados em um sistema 64 bits
– InstallLocation
44
Atividades do UsuárioAtividades do Usuário
● Últimos aplicativos executados pelo usuário
– HKCU\Software\Microsoft\Windows\CurrentVersion\Ex
plorer\UserAssist
● Está em ROT13
● Documentos recentes
– HKCU\Software\Microsoft\Windows\CurrentVersion\Ex
plorer\RecentDocs
– MRUListEx
45
Informações de redeInformações de rede
● Identificar interface de rede
– HKLM\Software\Microsoft\Windows 
NT\CurrentVersion\NetworkCards
● ServiceName
● Description
● Identificar configurações para as interfaces de rede
– HKLM\SYSTEM\ControlSet001\services\Tcpip\Parameters\Interfaces
● ID da interface = ServiceName
● EnableDHCP (importante)
● Configurações TCP/IP
● MAC Address não armazenado
46
● Alterações do registroAlterações do registro
● Quando uma chave ou um valor é alterado no 
registro, é gravada a data e hora dessa alteração. 
A informação desta data e hora é chamada de 
Last Written Time.
● (Essa informação não é armazenada no Registry dos 
sistemas operacionais Windows 95, 98 e ME.)
47
● Alterações do registroAlterações do registro
● Para sua obtenção, você pode simplesmente 
exportar a chave para um arquivo texto ou usar 
utilitários como o Keytime, RegScan ou 
AccessData Registry Viewer.
● Podem ser usadas também ferramentas mais 
completas, como o FTK e o Encase (pagas), ou o 
Sleuth Kit (open source), por exemplo.
48
RegRipper – modo textoRegRipper – modo texto
● rip -l
● rip -r HIVE -p PLUGIN
[Todos]
● Ordenar todas as entradas de uma chave do 
registro pela data da última modificação
– rip -r <HIVE> -p regtime_tln
49
Quesitaçao do RequerenteQuesitaçao do Requerente
● Queira Sr Perito informar qual versão do sistema 
operacional periciado e desde quando;
– winnt_cv
50
Quesitaçao do RequerenteQuesitaçao do Requerente
● Queira Sr Perito informar qual versão do sistema 
operacional periciado e desde quando;
– winnt_cv
● Queira o Sr Perito Informar se ha no computador 
programas de comunicação instantânea que 
poderiam ser utilizados para compartilhamento do 
arquivo, objeto de investigação; 
– Installer
51
Quesitaçao do RequerenteQuesitaçao do Requerente
● Queira Sr Perito informar qual versão do sistema 
operacional periciado e desde quando;
– winnt_cv
● Queira o Sr Perito Informar se ha no computador 
programas de comunicação instantânea que 
poderiam ser utilizados para compartilhamento do 
arquivo, objeto de investigação; 
– Installer
● Se positivo a anterior, qual usuário de sistema 
utilizava o software;
– listsoft
52
Quesitaçao do RequerenteQuesitaçao do Requerente
● Queira o Sr perito informar se neste computador 
houve algum acesso remoto;
– ntusernetwork
53
Quesitaçao do RequerenteQuesitaçao do Requerente
● Queira o Sr perito informar se neste computador 
houve algum acesso remoto;
– ntusernetwork
● Queira o Sr perito informar a ultima vez que o 
usuário fez login no computador;
– logonusername
54
Quesitaçao do RequerenteQuesitaçao do Requerente
● Queira o Sr perito informar se neste computador 
houve algum acesso remoto;
– ntusernetwork
● Queira o Sr perito informar a ultima vez que o 
usuário fez login no computador;
– logonusername
● Queira o Sr perito informar se o arquivo, objeto de 
investigação, foi recentemente acessado;
– recentdocs_timeline
 
55
Quesitaçao do RequerenteQuesitaçao do Requerente
● Queira o Sr perito informar se neste computador houve 
algum acesso remoto;
– ntusernetwork
● Queira o Sr perito informar a ultima vez que o usuário fez 
login no computador;
– logonusername
● Queira o Sr perito informar se o arquivo, objeto de 
investigação, foi recentemente acessado;
– recentdocs_timeline
● Queira o Sr perito informar se neste computador fora 
conectado algum pendrive e se é possível identificar 
quais ou quais:
– removdev 
56
[Sistema][Sistema]
● rip -r system -p mountdev
● rip -r system -p timezone
● rip -r software -p winnt_cv | more
● rip -r SYSTEM -p shutdown
● rip -r SYSTEM -p eventlog
● rip -r SYSTEM -p prefetch
● rip -r SYSTEM -p services
● rip -r SOFTWARE -p spp_clients
57
[Usuários][Usuários]
● rip -r SAM -p samparse
● rip -r SOFTWARE -p profilelist
● rip -r NTUSER.DAT -p environment
● rip -r NTUSER.DAT -p mp2 (Mount Points)
● rip -r NTUSER.DAT -p printers
● rip -r NTUSER.DAT -p recentdocs
● rip -r NTUSER.DAT -p runmru
● rip -r NTUSER.DAT -p userassist_tln
● rip -r NTUSER.DAT -p ie_settings
● rip -r NTUSER.DAT -p listsoft
● rip -r NTUSER.DAT -p knowndev
● rip -r UsrClass.dat -p shellbags_tln
● rip -r UsrClass.dat -p shellbags_xp
● rip -r NTUSER.DAT -p shellfolders
●
58
[Computador/Domínio][Computador/Domínio]
● rip -r SECURITY -polacdms (SID)
● rip -r SYSTEM -p compname
● rip -r SECURITY -p auditpol
● rip -r SYSTEM -p eventlog
● rip -r SYSTEM -p disablelastaccess
● rip -r SYSTEM -p services
59
OutrosOutros
● [Programas x Extensões]
– rip -r SOFTWARE -p assoc
 
● [Programas Instalados]
– rip -r SOFTWARE -p uninstall_tln
 
● [Dados para o Cain & Abel]
– rip -r NTUSER.DAT -p cain
60
[Browsers][Browsers]
● rip -r SOFTWARE -p defbrowser
● rip -r SOFTWARE -p ie_version
● rip -r SYSTEM -p netassist (extensões do Firefox)
● rip -r NTUSER.DAT -p gthist (histórico da Google 
Toolbar)
61
[USB][USB]
● rip -r SYSTEM -p devclass
● rip -r SYSTEM -p usb
● rip -r SYSTEM -p usbdevices
● rip -r SYSTEM -p usbstor
● rip -r SYSTEM -p usbstor2
● rip -r SYSTEM -p usbstor3
62
[Rede][Rede]
● rip -r SYSTEM -p shares
● rip -r SOFTWARE -p ssid
● rip -r SYSTEM -p macaddr
● rip -r SOFTWARE -p macaddr
● rip -r SOFTWARE -p networklist
● rip -r SOFTWARE -p networkcards
● rip -r SYSTEM -p nic2
● rip -r SYSTEM -p nic_mst2 [Gets NICs from 
System hive; looks for MediaType = 2 (wireless)]
63
Windows Registry RecoveryWindows Registry Recovery
64
Príncípio da localidade de referência Príncípio da localidadede referência 
● Localidade de referência é uma propriedade importante para o projeto 
de sistemas computacionais eficientes em diversos cenários reais. 
Nesses sistemas, o acesso aos recursos tende a não ser igualmente 
provável. Além disso, o projeto de sistemas pode considerar o padrão 
de acesso aos recursos como forma de aumentar o desempenho. Um 
exemplo de recurso que apresenta alta localidade de referência é a 
memória.
● Existem, basicamente, dois tipos de localidade de referência: a temporal 
e a espacial. A localidade de referência temporal refere-se ao acesso de 
um mesmo recurso duas ou mais vezes em um curto intervalo de 
tempo. A localidade de referência espacial, refere-se ao acesso de dois 
recursos que estejam próximos em um curto intervalo de tempo ou 
também pode ser definida como a possibilidade de executar o programa 
ou recurso seguinte. O uso da hierarquia de memória, como caches, 
memória RAM e disco rígido, por exemplo, tem forte impacto sobre o 
desempenho dos computadores graças à localidade de referência.
65
Príncípio da localidade de referência Príncípio da localidade de referência 
● Em forense:
– Arquivos Recentes
– Área de Trabalho
– Menu Iniciar
– “Enviar para…”
66
Arquivos RecentesArquivos Recentes
● C:\Users\%UserName
%\AppData\Roaming\Microsoft\Windows\Recent
● C:\Users\%UserName%\ntuser.dat
● Ferramenta: Recentfilesview
67
JUMP LISTS – WINDOWS 7, 8 e 10JUMP LISTS – WINDOWS 7, 8 e 10
● jumplist é aquele menu acessado quando você 
clica com o botão direito do mouse sobre o ícone 
de um programa na Barra de tarefas. Ele fornece 
atalhos para algumas das funções principais do 
software em questão;
● Ferramenta: jumplistsview
68
Windows SHELLBAGSWindows SHELLBAGS
● Os sistemas Windows registram as preferências de 
visualização de pastas e do desktop. Portanto, quando 
a pasta ou o desktop é visitado novamente, o Windows 
pode se lembrar da posições dos itens, por exemplo.
– Essas preferências de visualização que são armazenadas 
nas chaves do Registry são conhecidas como "ShellBags".
– Sendo assim, as ShellBags podem indicar quais pastas os 
usuários do sistema operacional acessaram ou alteraram.
– Existem duas chaves principais no Registry: BagMRU e 
Bags.
● Ferramenta:ShellBagsView.
69
USER ASSIST KEYSUSER ASSIST KEYS
● São chaves do Registro com informações sobre a 
execução de aplicativos e o uso de atalhos asso-
ciados a tais aplicações, relativo a cada usuário do 
sistema operacional.
● Arquivo Ntuser.dat ou User.dat.Ou, para o usuário 
corrente: HKCU.
● HKCU\Software\Microsoft\Windows\CurrentVersion\Ex
plorer\UserAssist\<GUID>\Count, Sendo o GUID o 
Global Unique Identifier.
● Ferramentas: userassistview ou UserAssist
70
Windows Indexing Service Windows Indexing Service 
● Windows Index Search ou Windows Desktop 
Index Search 
– Add-on até o Windows XP. Depois do Vista, foi 
integrado ao S.O. 
● Serviço: Windows Search 
– Armazena os dados em arquivos .EDB (Extensible 
Storage Engine Database) 
● O que é? 
– Indexador: armazena as pesquisas no Windows 
Explorer, e-mails abertos, dentre outros 
71
Windows Indexing Service Windows Indexing Service 
● Windows Index Search ou Windows Desktop 
Index Search 
– Arquivos .EDB 
– Pode ser interpretado por ferramentas, tais como 
EseDbViewer ou ESEDatabaseView 
● Se a base de dados estiver suja (desmontada 
incorretamente), necessita usar uma ferramenta 
para reconstruir a base de dados esentutl.exe 
– Onde é gravada essa base de dados (Windows 7, 8 e 
10)
● C:\ProgramData\Microsoft\Search\Data\Applications\Windo
ws\Windows.edb 
72
Windows Indexing Service Windows Indexing Service 
● Windows Index Search ou Windows Desktop 
Index Search 
– Onde buscar no registro as pesquisas do Usuário ? 
● No arquivo de registro do Usuário NTUSER.DAT 
HKU\informant\Software\Microsoft\Windows\CurrentVersion\
Explorer\WordWheelQuery\ 
● Como identificar que o Windows Index está ativo? 
– Buscar o arquivo windows.edb no Sistema 
HKLM\SYSTEM\ControlSet001\services\WSearch 
73
BuscaBusca
● Identificar se o usuário realizou buscas no 
mecanismo de pesquisa do Windows Explorer e 
Quais os termos foram pesquisados.
● hive ntuser.dat: 
\Software\Microsoft\Windows\CurrentVersion\Expl
orer\WordWheelQuery
74
Cortana Cortana 
● “Cortana” – Assistente Pessoal (Windows 10) 
– Buscas no Sistema e na WEB 
– Pode criar lembretes/agenda 
– Pode escrever e-mails 
– Users\user_name\AppData\Local\Packages\Microsoft.Wi
ndows.Cortana_xxxx\AppData\Indexed 
DB\IndexedDB.edb 
– Users\user_name\AppData\Local\Packages\Microsoft.Wi
ndows.Cortana_xxxx\LocalState\ESEDatabase_Cortana
CoreInstance\CortanaCireDb.dat 
75
Thumbs Thumbs 
● Arquivo oculto criado pelo sistema operacional 
Windows e contém as imagens que você 
visualiza no modo Exibir, Miniaturas, do Windows 
Explorer. 
● Como desativar no Sistema ? 
– Windows XP 
● Windows Explorer - menu Ferramentas, Opções de Pasta, 
guia Modo de Exibição e selecionar a opção "Não 
armazenar miniaturas em cache" 
– Windows 7/8/10 
● Windows Explorer - menu Ferramentas, Opções de Pasta, 
guia Modo de Exibição e selecionar a opção “Sempre 
mostrar ícones, nunca thumbnails" 
76
ThumbsThumbs
● Onde encontro os arquivos de thumbs?
– Windows XP (thumbs.db) Na mesma pasta onde 
estão os arquivos associados ao thumbs 
● Windows 7/8/10 (thumbcache)
– Users\user_name\AppData\Local\Microsoft\Windows\
Explorer\ thumbcache_32.db thumbcache_96.db 
thumbcache_256.db thumbcache_1024.db 
● thumbcache_32.db 
● thumbcache_96.db 
● thumbcache_256.db 
● thumbcache_1024.db 
77
Lixeira do WindowsLixeira do Windows
● Cada drive contem um diretório para aquivos 
deletados; itens deletados são armazenados no 
diretório drive:\$Recycle.bin do Windows Vista e 
versões posteriores.
● Arquivos deletados no antigo sistema de arquivo FAT 
(Win 98 e anterior) estão armazenados em 
drive:\RECYCLED, nos sitemas NTFS eles estão em 
drive:\RECYCLER;
● Não há limites de tamanho na lixeira do vista e 
posterior, enquanto que versões mais antigas o limite 
máximo erá de 3,99GB; itens maiores que a 
capacidade da lixeira não podiam ser armazenados na 
lixeira.
78
Lixeira do WindowsLixeira do Windows
● No Vista e versões posteriores do Windows os 
arquivos são armazenados no Recycle Bin e são 
renomeados como $Ry.ext enquanto nas versóes 
antigas era Dxy.ext onde x é o drive e o y é um 
sequencial que inicia com 1 e .ext é a a extensão 
original do arquivo.
● Se o arquivo INFO é deletado ele é recriado 
quando reiniciar o Windows;
79
LIXEIRA DO LIXEIRA DO WINDOWS WINDOWS – Windows XP– Windows XP
● O principal arquivo a ser analisado é o INFO2, 
que contém, dentre outras informações:
– Caminho e nome do arquivo original
– Número do drive
– Data e hora da remoção
● Aplicativo:
– rifiuti 
80
LIXEIRA DO LIXEIRA DO WINDOWS WINDOWS – – RECYCLE BIN RECYCLE BIN 
● Está na raiz de cada unidade NTFS dividas pelo 
SIDs:
– \$Recycle.Bin\%SID%, sendo o SID o Security 
Indentifier daquele usuário.
● Não vai para lixeira arquivos deletados:
– Por SHIFT + DEL;
– Arquivos deletados em unidades de rede (mapeadas);
– Arquivos apagados via linha de comando.
81
LIXEIRA DO LIXEIRA DO WINDOWS WINDOWS – Windows 7– Windows 7
● Não há INFO2;
● Quando deletado, o arquivo original é renomeado 
para $R seguido de caracteres aleatórios, 
mantendo a extensão original.
● Um arquivo $I com os mesmos caracteres e 
extensão é criado, contendo vários dados: nome 
original/path, hora de deleção e tamanho original.
– Ferramenta: rifiuti-vista
82
PREFETCH PREFETCH 
● A pasta Prefetch (por padrão, localizada em 
%Windir%\Prefetch) podemos identificar os 
programas mais comuns executados pelos 
usuários de um sistema operacional Windows
● Ferramentas:
– Windows File Analyzer (WFA).
– Prefetch Info (linha de comando).
83
ARQUIVOS DE IMPRESSÃO – PASTA SPOOLARQUIVOS DE IMPRESSÃO – PASTA SPOOL
● Path padrão: %Windir%\System32\Spool
– Cada trabalho de impressãoconsiste de dois arquivos de mesmo 
nome: 
● .SHD : arquivo shadow;
– traz informações sobre o trabalho de impressão:
● Nome do usuário;
● Impressora;
● Nome do arquivo a ser impresso;
● Modo de impressão;
● .SPL: arquivo spool.
– O arquivo .SPL traz as mesmas informações (em um outro formato), além dos dados 
que efetivamente serão impressos em formatos como:
– RAW, EMF ou XPS (Windows Vista)
● Ferramenta:
● SPLVIEWER;
● PASpoolView;
● EMFSpoolViewer;
84
Dica – Impressoras InstaladasDica – Impressoras Instaladas
HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentV
ersion\Print\Printers\
85
Event LogsEvent Logs
● Os arquivos de logs de eventos do Windows são 
base de dados com registros que relatam o 
sistema, segurança e aplicações;
– Sistema = SysEvent.evt
– Segurança = SecEvent.evt
– Aplicações = AppEvent.evt
● Os logs de eventos estão armazenados em:
– %systemroot%\system32\config\
●
86
Event LogsEvent Logs
● Application
– Programas
– Eventos de outras aplicações do S.O.
– Eventos de aplicativo (programa). Os eventos são 
classificados como erro, aviso ou informações
● System
– Eventos do SO e serviços.
– Os eventos são classificados como erro, aviso ou 
informações
87
Event LogsEvent Logs
● Security
– Eventos relacionados à segurança. Esses eventos 
são chamados de auditorias e são classificados como 
bem-sucedido ou com falha
– Sucesso na auditoria
● A ação foi bem sucedida, bem como seu registro
– Falha de auditoria
● A ação falhou, mas o registro foi bem sucedido
– Visível somente ao Adm
88
Ligaram e desligaram quando?Ligaram e desligaram quando?
● Event ID 6005 : 
– Indica quando o Computador foi Ligado*;
● Event ID 6006 : 
– Indica que o Computador foi Desligado*;
● Event ID 6008 : 
– Indica que o computador foi Desligado 
incorretamente*
89
Log de Segurança
● 528 - Logon com êxito
● 529 - Falha de logon - nome de usuário desconhecido ou 
senha inválida
● 530 - Falha de logon - tempo de logon Conta restrição 
violação
● 531 - Falha de logon - Conta desativada atualmente (Feito 
tentativa de logon em usuário desativado)
● 532 - Falha de logon - A conta de usuário especificada 
expirou
90
Log de Segurança
● 533 - Falha de logon - O usuário não autorizado a efetuar 
logon no computador
● 534 - Falha de logon - O usuário não recebeu o tipo de 
logon solicitado neste 
● 538 - Usuário Logoff
● 539 - Falha de logon - Conta bloqueada
● 540 - Logon de rede de sucesso
91
Event LogsEvent Logs
● Windows NT
– .evt
– Ferramenta: Dumpevt
● Ex:dumpevt /logfile=sec /outfile=E:\Casos\Caso01.txt
● Windows > Vista
– .evtx
– C:\Windows\System32\Winevt\Logs
– Próprio Windows abre (eventvwr)
92
Navegadores de InternetNavegadores de Internet
● Artefatos que deixam nos sistemas:
– Arquivos Temporários (cache)
– Cookies
– Configurações nos Browsers (favorites, history)
● Apagar o histórico de um browser não necessariamente 
apaga esse artefato no banco de dados associado, somente 
não é mais mostrado pelos navegadores esta informação 
apagada
93
Internet ExplorerInternet Explorer
● Windows XP:
– Index.dat
– c:\documents and settings\user\local settings\temporary 
internet files\
● Windows 7 e superiores:
– WebcacheV01.dat
– c:\Users\user\AppData\Local\Microsoft\Windows\Webca
che
● Ferramenta: Pasco , IECacheView 
94
Internet ExplorerInternet Explorer
● Do arquivo NTUSER.DAT ou USER.DAT de um usuário específico podemos obter:
– Software\Microsoft\Internet Explorer\Typed URLs
– => Barra de endereços do browser
● \Software\Microsoft\Internet Explorer\Intelliforms
– => Senhas do autocompletar criptografadas.
● \Software\Microsoft\Protected Storage System Provider
– => Páginas onde foi utilizada a função de autocompletar
● Do hive SOFTWARE podemos obter:
– Software\Microsoft\Windows\CurrentVersion\
– Internet Settings\URL History
● => Informa por quantos dias o histórico é mantido e a pasta onde está armazenado
● COOKIES
– C:\Users\[User Name]\AppData\ Roaming\Microsoft\Windows\Cookies
– C:\Users\[User Name]\AppData\Roaming\ \Microsoft\Windows\Cookies\Low
●
●
95
Edge BrowserEdge Browser
● Semelhante ao IE10, não grava mais dados no 
index.dat, grava principalmente em bancos de dados 
EDB;
● Configurações do EDGE
– Users\user_name\AppData\Local\Packages\Microsoft.Microsof
tEdge_xxxxx\AC\MicrosoftEdge\User\Default\DataStore\Data\n
ouser1\xxxxx\DBStore\spartan.edb
● Cache do EDGE
– Users\user_name\AppData\Local\Packages\Microsoft.Microsof
tEdge_xxxx\AC\#!001\MicrosoftEdge\Cache\
● Última sessão ativa do EDGE
– Users\user_name\AppData\Local\Packages\Microsoft.Microsof
tEdge_xxxx\AC\MicrosoftEdge\User\Default\Recovery\Active\
●
96
Histórico EDGEHistórico EDGE
● Arquivo de histórico:
– Users\user_name\AppData\Local\Microsoft\Windows\
WebCache\WebCacheV01.dat
● Na verdade trata-se de um banco de dados .EDB
– Pode ser analisado através das ferramentas 
EseDbViewer ou ESEDatabaseView
– Arquivo sujo (não desmontado corretamente): usar o 
esentutl.exe
– Nesse arquivo também são gravados os Cookies
97
FireFoxFireFox
● Armazena seus dados em bancos de dados 
SQLite3
– Várias ferramentas abertas abrem esses bancos de 
dados
● SQLite Viewer
● Firefox armazena seus dados em uma pasta 
dentro do profile de cada usuário
– Pasta contém o profiles.ini
● Profiles.ini contém outras pastas onde são encontrados:
– Formhistory.sqlite
– Downloads.sqlite
– Cookies.sqlite
– Places.sqlite
98
FirefoxFirefox
● Cache
– Diretório de cache do firefox contém vários arquivos 
binários
– Ferramentas que abrem esses arquivos:
– NirSoft
– Woanware (conjunto de ferramentas forenses free)
● http://www.woanware.co.uk/forensics/index.html
99
ChromeChrome
● Armazena os dados em diretório do usuário
● Usa banco de dados SQLite
– Cookies
– History: tables downloads, urls, visits
● Datas armazenadas no formato Jan 1, 1601 UTC
– Dados de Login
– Web Data (autofill)
– Thumbnails (dos sítios WEB visitados)
● Chrome bookmarks
● Arquivos com objetos JSON
10
0
OutlookOutlook
● Formato de armazenamento padrão:
– PST (Personal Storage Table)
– OST for offline storage of email
● Informações do formato:
– msdn.microsoft.com/en-us/library/ff385210.aspx
● Local de armazenamento:
– PST (Personal Storage Table)
Feerramenta: freekernelpstviewer.exe
101
OutlookOutlook
● PST (Personal Storage Table)
– Windows XP
● \Documents and Settings\user\Local Settings\Application 
Data\Microsoft\Outlook
– Windows Vista, 7, 8 e 10
● \Users\user\AppData\Local\Microsoft\Outlook
● OST (Offline Storage Table)
– Windows XP
● \Documents and Settings\user\Local Settings\Application 
Data\Microsoft\Outlook
– Windows Vista, 7, 8 e 10
● \Users\user\AppData\Local\Microsoft\Outlook
●
10
2
Analise 
de Memória RAM
10
3
Analise de DUMP de MemóriaAnalise de DUMP de Memória
●Combinação de comandos:
●strings
●grep , egrep ou fgrep 
●Comando de analise de memória:
●# volatility
●volatility -h
10
4
Analise de DUMP de MemóriaAnalise de DUMP de Memória
10
5
Analise de DUMP de MemóriaAnalise de DUMP de Memória
10
6
Analise de DUMP de MemóriaAnalise de DUMP de Memória
10
7
Analise de DUMP de MemóriaAnalise de DUMP de Memória
10
8
Analise de DUMP de MemóriaAnalise de DUMP de Memória
Exemplo
10
9
VolatilityVolatility
● pslist 
– Processos
● psscan 
– Processos ocultos
● pstree 
– Arvore de processos
● psxview 
– mostra ocultos ou terminados, fácil de identificar possível malware.
110
VolatilityVolatility
● getsids - mostra os usuarios que executou
● dlllist – as DLLs
● printkey melhora o formato
● userassist - informações do usuário:
● volatility print key -f DUMP userassist
● connections conexoes (netstat)
● connscan consoes ocultas
● filescan - exibe os arquivos abertos no momento do 
dump
volatitity sheet sheet —output=xlsx —output-
file=arquivo.xlsx
111
Arquivo SwapArquivo Swap
● O arquivo de swap é um espaço no disco usado como a 
extensão da memória virtual da RAM do computador; 
arquivos de swap contem informaçõessobre:
● Arquivos abertos e seus conteúdos;
● websites visitados;
● chats online;
● e-mails enviados e recebidos;
● No Windows o swap é um arquivo oculto no diretório raiz 
chamado pagafile.sys
● O registro exibe o caminho do arquivo:
● HLM\SYSTEM\CurrentControlSet\Control\Session 
Manager\Memory Management.
	Slide 1
	Slide 2
	Slide 3
	Slide 4
	Slide 5
	Slide 6
	Slide 7
	Slide 8
	Slide 9
	Slide 10
	Slide 11
	Slide 12
	Slide 13
	Slide 14
	Slide 15
	Slide 16
	Slide 17
	Slide 18
	Slide 19
	Slide 20
	Slide 21
	Slide 22
	Slide 23
	Slide 24
	Slide 25
	Slide 26
	Slide 27
	Slide 28
	Slide 29
	Slide 30
	Slide 31
	Slide 32
	Slide 33
	Slide 34
	Slide 35
	Slide 36
	Slide 37
	Slide 38
	Slide 39
	Slide 40
	Slide 41
	Slide 42
	Slide 43
	Slide 44
	Slide 45
	Slide 46
	Slide 47
	Slide 48
	Slide 49
	Slide 50
	Slide 51
	Slide 52
	Slide 53
	Slide 54
	Slide 55
	Slide 56
	Slide 57
	Slide 58
	Slide 59
	Slide 60
	Slide 61
	Slide 62
	Slide 63
	Slide 64
	Slide 65
	Slide 66
	Slide 67
	Slide 68
	Slide 69
	Slide 70
	Slide 71
	Slide 72
	Slide 73
	Slide 74
	Slide 75
	Slide 76
	Slide 77
	Slide 78
	Slide 79
	Slide 80
	Slide 81
	Slide 82
	Slide 83
	Slide 84
	Slide 85
	Slide 86
	Slide 87
	Slide 88
	Slide 89
	Slide 90
	Slide 91
	Slide 92
	Slide 93
	Slide 94
	Slide 95
	Slide 96
	Slide 97
	Slide 98
	Slide 99
	Slide 100
	Slide 101
	Slide 102
	Slide 103
	Slide 104
	Slide 105
	Slide 106
	Slide 107
	Slide 108
	Slide 109
	Slide 110
	Slide 111