Baixe o app para aproveitar ainda mais
Prévia do material em texto
Formação em Formação em Computação ForenseComputação Forense Teoria e PraticaTeoria e Pratica Prof. Marcos Monteiro http://www.marcosmonteiro.com.br contato@marcosmonteiro.com.br http://www.marcosmonteiro.com.br/ mailto:contato@marcosmonteiro.com.br 2 V. Analise Forense em Windows 3 Famílias de WindowsFamílias de Windows 4 Processo de Boot Processo de Boot 1.Computador é ligado. 2.Primeiro setor do disco de boot é lido (MBR) para memória e executado. Setor de 512 bytes que contém programa independente "boot" (bootstrap) 446 bytes – bootstrap 66 bytes - tabela de partições 3.Boot lê diretório raiz do dispositivo de boot e busca Ntldr (XP)/ Windows boot manager (Vista). 4.Ntldr é colocado na memória e executado. Este arquivo carrega o Windows. 5 Processo de Boot Processo de Boot 5.Ntldr/WBM lê boot.ini (única informação que não fica no registro - opções de inicialização do sistema) 6.Lê alguns drivers padrão e posteriormente lê o registro para encontrar os demais drivers 7.Executivo entra em cena e faz suas próprias inicializações 8.Último passo é o gerenciador de sessão (primeiro processo realmente do usuário) 6 cmdcmd ● O cmd.exe é a interface de linha de comando do Windows. ● É case insensitive. ● É possível autocompletar PATH por meio da tecla “Tab”. ● Quando manipular arquivo e diretório com espaço, use aspas. Por exemplo, Meus Documentos seria “Meus Documentos“. 7 Comandos Básicos do CMDComandos Básicos do CMD ● dir: Exibe uma lista de arquivos e subdiretórios em um diretório. ● tree: Exibe de forma gráfica a estrutura de pastas de uma unidade ou caminho. ● type: Exibe o conteúdo de um ou mais arquivos de texto. ● attrib: Exibe ou altera atributos de arquivo. ● del: Exclui um ou mais arquivos. ● cd: Exibe o nome da pasta ou altera a pasta atual. ● md: Cria uma pasta ● rd: Remove (exclui) uma pasta. (rmdir) ● vol: Exibe o nome e o número de série do disco, caso existam. ● 8 Comandos Básicos do CMDComandos Básicos do CMD ● set: Exibe, define ou remove variáveis de ambiente do cmd.exe. ● find: Localiza uma cadeia de caracteres de texto em um ou mais arquivos. ● echo: Exibe mensagens ou ativa ou desativa o eco de comando. ● cls: Limpa a tela. ● arp: Exibe e modifica as tabelas de conversão de endereços IP para endereços físicos usadas pelo protocol de resolução de endereços (ARP). ● hostname: Imprime o nome do host atual. ● sort: Ordena a entrada. ● whoami: Obtém informações sobre o usuário atual conectado. 9 Mudando o STDOUTMudando o STDOUT ● comando > arquivo ● Redireciona a saída do comando para o arquivo. ● comando >> arquivo ● Redireciona a saída do comando para o final do arquivo. ● comando < arquivo ● Define o arquivo como entrada do comando. ● comandoA | comandoB ● A saída do comandoA se torna entrada para o comandoB. ● | clip ● Redireciona a saída das ferramentas de linha de comando para a área de transferência do Windows. ● 10 ExemploExemplo 11 FTK Imager – DUMP da RAMFTK Imager – DUMP da RAM 12 (hash) 13 hashhash ● É determinístico. ● É unidirecional. ● Efeito avalanche. ● Uma boa função de hash: – deve ser fácil computar o hash para qualquer mensagem – deve ser difícil gerar uma mensagem a partir do hash – deve ser difícil modificar a mensagem sem modificar o hash – deve ser difícil encontrar duas mensagens diferentes com o mesmo hash 14 hashhash ● md5deep ● shardeep ● fsum 15 Colisão de HashColisão de Hash 16 Registry - Forense Windows 17 Registry - Registry - Forense Windows Forense Windows ● Serve para controle do sistema Operacional ● Condensa as configurações de controle do sistema operacional ● Controla hardware, software e usuários – Usado para armazenar as informações necessárias à configuração do sistema – Refletido para um ou mais usuários 18 Registry - Registry - comocomo ● O Windows faz referência continuamente ao registro durante a sua operação – perfis de cada usuário – aplicativos instalados – tipos de documentos que cada aplicativo pode criar – configurações da folha de propriedades para ícones de pastas e aplicativos – o hardware existente no sistema – portas que são usadas – Dispositivos conectados 19 Registro – FormatoRegistro – Formato ● Arquivo binário ● Informações armazenadas de modo hierárquico ● Estrutura semelhante à do sistemas de arquivos – Diretórios = chaves – Arquivos = Valores ● Nome, tipo, dado 20 Formatos de Data/hora do RegistroFormatos de Data/hora do Registro ● Formato Windows/MS-DOS - 32 bits – Os outros 16 bits definem a data: ● Dias => bit 0 ao bit 4 ● Meses => bit 5 ao bit 8 ● Anos => bit 9 ao bit 15 (início em 1980) ● Por exemplo, o valor hexadecimal: – 0xA4567E21 => 0x217E56A4 ● Em binário será: 00100001011111100101011010100100 ● 0010000-1011-11110 - 01010-110101-00100 – Ano–Mês–Dia Hora-Minuto-Segundos x 2 ● 30 de novembro de 1996, 10h53min08s 21 Formatos de Data/hora do RegistroFormatos de Data/hora do Registro ● Formato Windows - 64 bits – Intervalo de 100 ns. – Intervalo contado a partir da 00h00min00s do dia 1° de janeiro de 1601. – Formato usado na MFT (Master File Table) do sistema de arquivos NTFS. ● Formato Unix - 32 bits – Número de segundos a partir de 00h00min00s do dia 1° de janeiro de 1970. – Usado em algumas chaves do Registry. 22 59F76153 (BIG ENDIAN) 5361F759 (LITLE ENDIAN) 23 Registro do Windows - ChavesRegistro do Windows - Chaves ● Desde Windows 2000 são 6 chaves: – HKEY_LOCAL_MACHINE – HKEY_USERS – HKEY_PERFORMANCE_DATA – HKEY_CLASSES_ROOT – HKEY_CURRENT_CONFIG – HKEY_CURRENT_USER 24 Registry Path Hive e Arquivos HKLM\SAM SAM, SAM.LOG HKLM\SECURITY Security, Security.LOG HKLM\SOFTWARE Software, Software.LOG, Software.sav HKLM\SYSTEM System, System.LOG, System.sav HKLM\HARDWARE Hive dinâmico/volátil HKU\.DEFAULT Default, Default.LOG, Default.sav HKU\SID NTUSER.DAT HKU\SID_CLASSES UsrClass.dat, UsrClass.dat.LOG 25 Novidades – a partir do WINDOWS 8Novidades – a partir do WINDOWS 8 ● Foi adicionado o arquivo de hive amcache.hve para substituir o arquivo RecentFileCache.bcf de versões anteriores do Windows. ● Caminho: <DRIVE>\Windows\AppCompat\Programs\Amcac he.hve ● Neste arquivo podem ser encontradas informações sobre aplicações recentemente executadas. 26 Novidades – a partir do WINDOWS 8Novidades – a partir do WINDOWS 8 ● Foram acrescentados alguns hives adicionais. Exemplos dos arquivos a partir dos quais são montados esses hives são: – BBI (Browser-Based Interface), – COMPONENTS, – DRIVERS – ELAM (Early Lauch Anti-Malware). ● c:\Windows\System32\Config\ 27 hivehive ● BBI - Browser-Based Interface. – Dados de configuração do Windows Live. – Usado também pelas Metro Apps. ● ELAM - Early Launch AntiMalware – Dados de configuração do Windows Defender e aplicativos como antivírus e firewalls. ● COMPONENTS E DRIVERS – Existem dados duplicados no caso dos hives “montados” a partir dos arquivos COMPONENTS e DRIVERS, ou seja, as informações estão em outros hives. 28 HKEY_LOCAL_MACHINE (info sis local)HKEY_LOCAL_MACHINE (info sis local) ● HARDWARE – hardware e driver controlador – Construída em momento de carga pelo gerenciador plug-and-play – volátil. – Não fica armazenada em disco 29 HKEY_LOCAL_MACHINE (info sis local)HKEY_LOCAL_MACHINE (info sis local) ● SAM – Usuários, senhas, grupos, etc... – Segurança necessária para o acesso dos usuários ao sistema – Arquivos de suporte ● Sam, Sam.log, Sam.sav – LOG – um log de transação das mudanças nas chaves e os valores das hives; – SAV – cópia da hive feita logo após o fim do modo texto do setup do Windows. 30 HKEY_LOCAL_MACHINE (info sis local)HKEY_LOCAL_MACHINE (info sis local) ● SECURITY – Política geral de segurança (tamanho da senha, tentativas de acesso antes do bloqueio, etc... – Arquivos de suporte ● Security, Security.log, Security.sav 31 HKEY_LOCAL_MACHINE (info sis local)HKEY_LOCAL_MACHINE (info sislocal) ● SOFTWARE – Fabricantes de software armazenam suas preferências – Arquivos de suporte ● Software, Software.log, Software.sav 32 HKEY_LOCAL_MACHINE (info sis local)HKEY_LOCAL_MACHINE (info sis local) ● SYSTEM – Info sobre inicialização do sistema – Arquivos de suporte ● System, System.alt, System.log, System.sav – Arquivo .ALT – uma cópia de backup da hive HKEY_LOCAL_MACHINE\SYSTEM (o Windows 2003 não tem este arquivo); 33 HKEY_USERSHKEY_USERS ● Perfil de todos usuários ● Arquivos de suporte – Default, Default.log, Default.sav 34 HKEY_CLASSES_ROOTHKEY_CLASSES_ROOT ● Associação de extensões e programas – Atalho para HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES 35 HKEY_CURRENT_CONFIGHKEY_CURRENT_CONFIG ● Atalho para configuração atual do hardware Computador\HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\Hardware Profiles\Current 36 HKEY_CURRENT_USERHKEY_CURRENT_USER ● Não existe ● Aponta para o usuário atualmente conectado, visando encontrar as preferências 37 Registro – Tipos de valoresRegistro – Tipos de valores ● String ● Binary ● DWORD ● QWORD ● Multi-String ● Expandable String 38 Registro – ArquivosRegistro – Arquivos ● Residentes em memória ● Windows\System32\Config – SAM – SECURITY – SOFTWARE – SYSTEM ● Perfil do usuário – NTUSER.DAT ● Boot – BCD 39 Software RegRipperSoftware RegRipper ● Escrito em Perl por Harlan Carvey ● bit.ly/regripper ● Interface gráfica – rr.exe ● Linha de comando – rip.exe ● Suporte a plugins 40 AccessData Registry ViewerAccessData Registry Viewer 41 Informações do SOInformações do SO ● Qual SO, data de Instalação, PATH do Sistema: – HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion 42 Fuso HorárioFuso Horário ● HKLM\SYSTEM\ControlSet\Control\TimeZoneInformation – DisableAutoDaylightTimeSet ou DynamicDaylightTimeDisabled (Horario de Verão); – StandardName ou TimeZoneKeyName (Fuso) 43 Softwares InstaladosSoftwares Instalados ● HKLM\SOFTWARE\Microsoft\Windows\CurrentVe rsion\Uninstall – Aplicativos 64 bits – InstallLocation ● HKLM\SOFTWARE\Wow6432Node\Microsoft\Win dows\CurrentVersion\Uninstall – Aplicativos 32 bits instalados em um sistema 64 bits – InstallLocation 44 Atividades do UsuárioAtividades do Usuário ● Últimos aplicativos executados pelo usuário – HKCU\Software\Microsoft\Windows\CurrentVersion\Ex plorer\UserAssist ● Está em ROT13 ● Documentos recentes – HKCU\Software\Microsoft\Windows\CurrentVersion\Ex plorer\RecentDocs – MRUListEx 45 Informações de redeInformações de rede ● Identificar interface de rede – HKLM\Software\Microsoft\Windows NT\CurrentVersion\NetworkCards ● ServiceName ● Description ● Identificar configurações para as interfaces de rede – HKLM\SYSTEM\ControlSet001\services\Tcpip\Parameters\Interfaces ● ID da interface = ServiceName ● EnableDHCP (importante) ● Configurações TCP/IP ● MAC Address não armazenado 46 ● Alterações do registroAlterações do registro ● Quando uma chave ou um valor é alterado no registro, é gravada a data e hora dessa alteração. A informação desta data e hora é chamada de Last Written Time. ● (Essa informação não é armazenada no Registry dos sistemas operacionais Windows 95, 98 e ME.) 47 ● Alterações do registroAlterações do registro ● Para sua obtenção, você pode simplesmente exportar a chave para um arquivo texto ou usar utilitários como o Keytime, RegScan ou AccessData Registry Viewer. ● Podem ser usadas também ferramentas mais completas, como o FTK e o Encase (pagas), ou o Sleuth Kit (open source), por exemplo. 48 RegRipper – modo textoRegRipper – modo texto ● rip -l ● rip -r HIVE -p PLUGIN [Todos] ● Ordenar todas as entradas de uma chave do registro pela data da última modificação – rip -r <HIVE> -p regtime_tln 49 Quesitaçao do RequerenteQuesitaçao do Requerente ● Queira Sr Perito informar qual versão do sistema operacional periciado e desde quando; – winnt_cv 50 Quesitaçao do RequerenteQuesitaçao do Requerente ● Queira Sr Perito informar qual versão do sistema operacional periciado e desde quando; – winnt_cv ● Queira o Sr Perito Informar se ha no computador programas de comunicação instantânea que poderiam ser utilizados para compartilhamento do arquivo, objeto de investigação; – Installer 51 Quesitaçao do RequerenteQuesitaçao do Requerente ● Queira Sr Perito informar qual versão do sistema operacional periciado e desde quando; – winnt_cv ● Queira o Sr Perito Informar se ha no computador programas de comunicação instantânea que poderiam ser utilizados para compartilhamento do arquivo, objeto de investigação; – Installer ● Se positivo a anterior, qual usuário de sistema utilizava o software; – listsoft 52 Quesitaçao do RequerenteQuesitaçao do Requerente ● Queira o Sr perito informar se neste computador houve algum acesso remoto; – ntusernetwork 53 Quesitaçao do RequerenteQuesitaçao do Requerente ● Queira o Sr perito informar se neste computador houve algum acesso remoto; – ntusernetwork ● Queira o Sr perito informar a ultima vez que o usuário fez login no computador; – logonusername 54 Quesitaçao do RequerenteQuesitaçao do Requerente ● Queira o Sr perito informar se neste computador houve algum acesso remoto; – ntusernetwork ● Queira o Sr perito informar a ultima vez que o usuário fez login no computador; – logonusername ● Queira o Sr perito informar se o arquivo, objeto de investigação, foi recentemente acessado; – recentdocs_timeline 55 Quesitaçao do RequerenteQuesitaçao do Requerente ● Queira o Sr perito informar se neste computador houve algum acesso remoto; – ntusernetwork ● Queira o Sr perito informar a ultima vez que o usuário fez login no computador; – logonusername ● Queira o Sr perito informar se o arquivo, objeto de investigação, foi recentemente acessado; – recentdocs_timeline ● Queira o Sr perito informar se neste computador fora conectado algum pendrive e se é possível identificar quais ou quais: – removdev 56 [Sistema][Sistema] ● rip -r system -p mountdev ● rip -r system -p timezone ● rip -r software -p winnt_cv | more ● rip -r SYSTEM -p shutdown ● rip -r SYSTEM -p eventlog ● rip -r SYSTEM -p prefetch ● rip -r SYSTEM -p services ● rip -r SOFTWARE -p spp_clients 57 [Usuários][Usuários] ● rip -r SAM -p samparse ● rip -r SOFTWARE -p profilelist ● rip -r NTUSER.DAT -p environment ● rip -r NTUSER.DAT -p mp2 (Mount Points) ● rip -r NTUSER.DAT -p printers ● rip -r NTUSER.DAT -p recentdocs ● rip -r NTUSER.DAT -p runmru ● rip -r NTUSER.DAT -p userassist_tln ● rip -r NTUSER.DAT -p ie_settings ● rip -r NTUSER.DAT -p listsoft ● rip -r NTUSER.DAT -p knowndev ● rip -r UsrClass.dat -p shellbags_tln ● rip -r UsrClass.dat -p shellbags_xp ● rip -r NTUSER.DAT -p shellfolders ● 58 [Computador/Domínio][Computador/Domínio] ● rip -r SECURITY -polacdms (SID) ● rip -r SYSTEM -p compname ● rip -r SECURITY -p auditpol ● rip -r SYSTEM -p eventlog ● rip -r SYSTEM -p disablelastaccess ● rip -r SYSTEM -p services 59 OutrosOutros ● [Programas x Extensões] – rip -r SOFTWARE -p assoc ● [Programas Instalados] – rip -r SOFTWARE -p uninstall_tln ● [Dados para o Cain & Abel] – rip -r NTUSER.DAT -p cain 60 [Browsers][Browsers] ● rip -r SOFTWARE -p defbrowser ● rip -r SOFTWARE -p ie_version ● rip -r SYSTEM -p netassist (extensões do Firefox) ● rip -r NTUSER.DAT -p gthist (histórico da Google Toolbar) 61 [USB][USB] ● rip -r SYSTEM -p devclass ● rip -r SYSTEM -p usb ● rip -r SYSTEM -p usbdevices ● rip -r SYSTEM -p usbstor ● rip -r SYSTEM -p usbstor2 ● rip -r SYSTEM -p usbstor3 62 [Rede][Rede] ● rip -r SYSTEM -p shares ● rip -r SOFTWARE -p ssid ● rip -r SYSTEM -p macaddr ● rip -r SOFTWARE -p macaddr ● rip -r SOFTWARE -p networklist ● rip -r SOFTWARE -p networkcards ● rip -r SYSTEM -p nic2 ● rip -r SYSTEM -p nic_mst2 [Gets NICs from System hive; looks for MediaType = 2 (wireless)] 63 Windows Registry RecoveryWindows Registry Recovery 64 Príncípio da localidade de referência Príncípio da localidadede referência ● Localidade de referência é uma propriedade importante para o projeto de sistemas computacionais eficientes em diversos cenários reais. Nesses sistemas, o acesso aos recursos tende a não ser igualmente provável. Além disso, o projeto de sistemas pode considerar o padrão de acesso aos recursos como forma de aumentar o desempenho. Um exemplo de recurso que apresenta alta localidade de referência é a memória. ● Existem, basicamente, dois tipos de localidade de referência: a temporal e a espacial. A localidade de referência temporal refere-se ao acesso de um mesmo recurso duas ou mais vezes em um curto intervalo de tempo. A localidade de referência espacial, refere-se ao acesso de dois recursos que estejam próximos em um curto intervalo de tempo ou também pode ser definida como a possibilidade de executar o programa ou recurso seguinte. O uso da hierarquia de memória, como caches, memória RAM e disco rígido, por exemplo, tem forte impacto sobre o desempenho dos computadores graças à localidade de referência. 65 Príncípio da localidade de referência Príncípio da localidade de referência ● Em forense: – Arquivos Recentes – Área de Trabalho – Menu Iniciar – “Enviar para…” 66 Arquivos RecentesArquivos Recentes ● C:\Users\%UserName %\AppData\Roaming\Microsoft\Windows\Recent ● C:\Users\%UserName%\ntuser.dat ● Ferramenta: Recentfilesview 67 JUMP LISTS – WINDOWS 7, 8 e 10JUMP LISTS – WINDOWS 7, 8 e 10 ● jumplist é aquele menu acessado quando você clica com o botão direito do mouse sobre o ícone de um programa na Barra de tarefas. Ele fornece atalhos para algumas das funções principais do software em questão; ● Ferramenta: jumplistsview 68 Windows SHELLBAGSWindows SHELLBAGS ● Os sistemas Windows registram as preferências de visualização de pastas e do desktop. Portanto, quando a pasta ou o desktop é visitado novamente, o Windows pode se lembrar da posições dos itens, por exemplo. – Essas preferências de visualização que são armazenadas nas chaves do Registry são conhecidas como "ShellBags". – Sendo assim, as ShellBags podem indicar quais pastas os usuários do sistema operacional acessaram ou alteraram. – Existem duas chaves principais no Registry: BagMRU e Bags. ● Ferramenta:ShellBagsView. 69 USER ASSIST KEYSUSER ASSIST KEYS ● São chaves do Registro com informações sobre a execução de aplicativos e o uso de atalhos asso- ciados a tais aplicações, relativo a cada usuário do sistema operacional. ● Arquivo Ntuser.dat ou User.dat.Ou, para o usuário corrente: HKCU. ● HKCU\Software\Microsoft\Windows\CurrentVersion\Ex plorer\UserAssist\<GUID>\Count, Sendo o GUID o Global Unique Identifier. ● Ferramentas: userassistview ou UserAssist 70 Windows Indexing Service Windows Indexing Service ● Windows Index Search ou Windows Desktop Index Search – Add-on até o Windows XP. Depois do Vista, foi integrado ao S.O. ● Serviço: Windows Search – Armazena os dados em arquivos .EDB (Extensible Storage Engine Database) ● O que é? – Indexador: armazena as pesquisas no Windows Explorer, e-mails abertos, dentre outros 71 Windows Indexing Service Windows Indexing Service ● Windows Index Search ou Windows Desktop Index Search – Arquivos .EDB – Pode ser interpretado por ferramentas, tais como EseDbViewer ou ESEDatabaseView ● Se a base de dados estiver suja (desmontada incorretamente), necessita usar uma ferramenta para reconstruir a base de dados esentutl.exe – Onde é gravada essa base de dados (Windows 7, 8 e 10) ● C:\ProgramData\Microsoft\Search\Data\Applications\Windo ws\Windows.edb 72 Windows Indexing Service Windows Indexing Service ● Windows Index Search ou Windows Desktop Index Search – Onde buscar no registro as pesquisas do Usuário ? ● No arquivo de registro do Usuário NTUSER.DAT HKU\informant\Software\Microsoft\Windows\CurrentVersion\ Explorer\WordWheelQuery\ ● Como identificar que o Windows Index está ativo? – Buscar o arquivo windows.edb no Sistema HKLM\SYSTEM\ControlSet001\services\WSearch 73 BuscaBusca ● Identificar se o usuário realizou buscas no mecanismo de pesquisa do Windows Explorer e Quais os termos foram pesquisados. ● hive ntuser.dat: \Software\Microsoft\Windows\CurrentVersion\Expl orer\WordWheelQuery 74 Cortana Cortana ● “Cortana” – Assistente Pessoal (Windows 10) – Buscas no Sistema e na WEB – Pode criar lembretes/agenda – Pode escrever e-mails – Users\user_name\AppData\Local\Packages\Microsoft.Wi ndows.Cortana_xxxx\AppData\Indexed DB\IndexedDB.edb – Users\user_name\AppData\Local\Packages\Microsoft.Wi ndows.Cortana_xxxx\LocalState\ESEDatabase_Cortana CoreInstance\CortanaCireDb.dat 75 Thumbs Thumbs ● Arquivo oculto criado pelo sistema operacional Windows e contém as imagens que você visualiza no modo Exibir, Miniaturas, do Windows Explorer. ● Como desativar no Sistema ? – Windows XP ● Windows Explorer - menu Ferramentas, Opções de Pasta, guia Modo de Exibição e selecionar a opção "Não armazenar miniaturas em cache" – Windows 7/8/10 ● Windows Explorer - menu Ferramentas, Opções de Pasta, guia Modo de Exibição e selecionar a opção “Sempre mostrar ícones, nunca thumbnails" 76 ThumbsThumbs ● Onde encontro os arquivos de thumbs? – Windows XP (thumbs.db) Na mesma pasta onde estão os arquivos associados ao thumbs ● Windows 7/8/10 (thumbcache) – Users\user_name\AppData\Local\Microsoft\Windows\ Explorer\ thumbcache_32.db thumbcache_96.db thumbcache_256.db thumbcache_1024.db ● thumbcache_32.db ● thumbcache_96.db ● thumbcache_256.db ● thumbcache_1024.db 77 Lixeira do WindowsLixeira do Windows ● Cada drive contem um diretório para aquivos deletados; itens deletados são armazenados no diretório drive:\$Recycle.bin do Windows Vista e versões posteriores. ● Arquivos deletados no antigo sistema de arquivo FAT (Win 98 e anterior) estão armazenados em drive:\RECYCLED, nos sitemas NTFS eles estão em drive:\RECYCLER; ● Não há limites de tamanho na lixeira do vista e posterior, enquanto que versões mais antigas o limite máximo erá de 3,99GB; itens maiores que a capacidade da lixeira não podiam ser armazenados na lixeira. 78 Lixeira do WindowsLixeira do Windows ● No Vista e versões posteriores do Windows os arquivos são armazenados no Recycle Bin e são renomeados como $Ry.ext enquanto nas versóes antigas era Dxy.ext onde x é o drive e o y é um sequencial que inicia com 1 e .ext é a a extensão original do arquivo. ● Se o arquivo INFO é deletado ele é recriado quando reiniciar o Windows; 79 LIXEIRA DO LIXEIRA DO WINDOWS WINDOWS – Windows XP– Windows XP ● O principal arquivo a ser analisado é o INFO2, que contém, dentre outras informações: – Caminho e nome do arquivo original – Número do drive – Data e hora da remoção ● Aplicativo: – rifiuti 80 LIXEIRA DO LIXEIRA DO WINDOWS WINDOWS – – RECYCLE BIN RECYCLE BIN ● Está na raiz de cada unidade NTFS dividas pelo SIDs: – \$Recycle.Bin\%SID%, sendo o SID o Security Indentifier daquele usuário. ● Não vai para lixeira arquivos deletados: – Por SHIFT + DEL; – Arquivos deletados em unidades de rede (mapeadas); – Arquivos apagados via linha de comando. 81 LIXEIRA DO LIXEIRA DO WINDOWS WINDOWS – Windows 7– Windows 7 ● Não há INFO2; ● Quando deletado, o arquivo original é renomeado para $R seguido de caracteres aleatórios, mantendo a extensão original. ● Um arquivo $I com os mesmos caracteres e extensão é criado, contendo vários dados: nome original/path, hora de deleção e tamanho original. – Ferramenta: rifiuti-vista 82 PREFETCH PREFETCH ● A pasta Prefetch (por padrão, localizada em %Windir%\Prefetch) podemos identificar os programas mais comuns executados pelos usuários de um sistema operacional Windows ● Ferramentas: – Windows File Analyzer (WFA). – Prefetch Info (linha de comando). 83 ARQUIVOS DE IMPRESSÃO – PASTA SPOOLARQUIVOS DE IMPRESSÃO – PASTA SPOOL ● Path padrão: %Windir%\System32\Spool – Cada trabalho de impressãoconsiste de dois arquivos de mesmo nome: ● .SHD : arquivo shadow; – traz informações sobre o trabalho de impressão: ● Nome do usuário; ● Impressora; ● Nome do arquivo a ser impresso; ● Modo de impressão; ● .SPL: arquivo spool. – O arquivo .SPL traz as mesmas informações (em um outro formato), além dos dados que efetivamente serão impressos em formatos como: – RAW, EMF ou XPS (Windows Vista) ● Ferramenta: ● SPLVIEWER; ● PASpoolView; ● EMFSpoolViewer; 84 Dica – Impressoras InstaladasDica – Impressoras Instaladas HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentV ersion\Print\Printers\ 85 Event LogsEvent Logs ● Os arquivos de logs de eventos do Windows são base de dados com registros que relatam o sistema, segurança e aplicações; – Sistema = SysEvent.evt – Segurança = SecEvent.evt – Aplicações = AppEvent.evt ● Os logs de eventos estão armazenados em: – %systemroot%\system32\config\ ● 86 Event LogsEvent Logs ● Application – Programas – Eventos de outras aplicações do S.O. – Eventos de aplicativo (programa). Os eventos são classificados como erro, aviso ou informações ● System – Eventos do SO e serviços. – Os eventos são classificados como erro, aviso ou informações 87 Event LogsEvent Logs ● Security – Eventos relacionados à segurança. Esses eventos são chamados de auditorias e são classificados como bem-sucedido ou com falha – Sucesso na auditoria ● A ação foi bem sucedida, bem como seu registro – Falha de auditoria ● A ação falhou, mas o registro foi bem sucedido – Visível somente ao Adm 88 Ligaram e desligaram quando?Ligaram e desligaram quando? ● Event ID 6005 : – Indica quando o Computador foi Ligado*; ● Event ID 6006 : – Indica que o Computador foi Desligado*; ● Event ID 6008 : – Indica que o computador foi Desligado incorretamente* 89 Log de Segurança ● 528 - Logon com êxito ● 529 - Falha de logon - nome de usuário desconhecido ou senha inválida ● 530 - Falha de logon - tempo de logon Conta restrição violação ● 531 - Falha de logon - Conta desativada atualmente (Feito tentativa de logon em usuário desativado) ● 532 - Falha de logon - A conta de usuário especificada expirou 90 Log de Segurança ● 533 - Falha de logon - O usuário não autorizado a efetuar logon no computador ● 534 - Falha de logon - O usuário não recebeu o tipo de logon solicitado neste ● 538 - Usuário Logoff ● 539 - Falha de logon - Conta bloqueada ● 540 - Logon de rede de sucesso 91 Event LogsEvent Logs ● Windows NT – .evt – Ferramenta: Dumpevt ● Ex:dumpevt /logfile=sec /outfile=E:\Casos\Caso01.txt ● Windows > Vista – .evtx – C:\Windows\System32\Winevt\Logs – Próprio Windows abre (eventvwr) 92 Navegadores de InternetNavegadores de Internet ● Artefatos que deixam nos sistemas: – Arquivos Temporários (cache) – Cookies – Configurações nos Browsers (favorites, history) ● Apagar o histórico de um browser não necessariamente apaga esse artefato no banco de dados associado, somente não é mais mostrado pelos navegadores esta informação apagada 93 Internet ExplorerInternet Explorer ● Windows XP: – Index.dat – c:\documents and settings\user\local settings\temporary internet files\ ● Windows 7 e superiores: – WebcacheV01.dat – c:\Users\user\AppData\Local\Microsoft\Windows\Webca che ● Ferramenta: Pasco , IECacheView 94 Internet ExplorerInternet Explorer ● Do arquivo NTUSER.DAT ou USER.DAT de um usuário específico podemos obter: – Software\Microsoft\Internet Explorer\Typed URLs – => Barra de endereços do browser ● \Software\Microsoft\Internet Explorer\Intelliforms – => Senhas do autocompletar criptografadas. ● \Software\Microsoft\Protected Storage System Provider – => Páginas onde foi utilizada a função de autocompletar ● Do hive SOFTWARE podemos obter: – Software\Microsoft\Windows\CurrentVersion\ – Internet Settings\URL History ● => Informa por quantos dias o histórico é mantido e a pasta onde está armazenado ● COOKIES – C:\Users\[User Name]\AppData\ Roaming\Microsoft\Windows\Cookies – C:\Users\[User Name]\AppData\Roaming\ \Microsoft\Windows\Cookies\Low ● ● 95 Edge BrowserEdge Browser ● Semelhante ao IE10, não grava mais dados no index.dat, grava principalmente em bancos de dados EDB; ● Configurações do EDGE – Users\user_name\AppData\Local\Packages\Microsoft.Microsof tEdge_xxxxx\AC\MicrosoftEdge\User\Default\DataStore\Data\n ouser1\xxxxx\DBStore\spartan.edb ● Cache do EDGE – Users\user_name\AppData\Local\Packages\Microsoft.Microsof tEdge_xxxx\AC\#!001\MicrosoftEdge\Cache\ ● Última sessão ativa do EDGE – Users\user_name\AppData\Local\Packages\Microsoft.Microsof tEdge_xxxx\AC\MicrosoftEdge\User\Default\Recovery\Active\ ● 96 Histórico EDGEHistórico EDGE ● Arquivo de histórico: – Users\user_name\AppData\Local\Microsoft\Windows\ WebCache\WebCacheV01.dat ● Na verdade trata-se de um banco de dados .EDB – Pode ser analisado através das ferramentas EseDbViewer ou ESEDatabaseView – Arquivo sujo (não desmontado corretamente): usar o esentutl.exe – Nesse arquivo também são gravados os Cookies 97 FireFoxFireFox ● Armazena seus dados em bancos de dados SQLite3 – Várias ferramentas abertas abrem esses bancos de dados ● SQLite Viewer ● Firefox armazena seus dados em uma pasta dentro do profile de cada usuário – Pasta contém o profiles.ini ● Profiles.ini contém outras pastas onde são encontrados: – Formhistory.sqlite – Downloads.sqlite – Cookies.sqlite – Places.sqlite 98 FirefoxFirefox ● Cache – Diretório de cache do firefox contém vários arquivos binários – Ferramentas que abrem esses arquivos: – NirSoft – Woanware (conjunto de ferramentas forenses free) ● http://www.woanware.co.uk/forensics/index.html 99 ChromeChrome ● Armazena os dados em diretório do usuário ● Usa banco de dados SQLite – Cookies – History: tables downloads, urls, visits ● Datas armazenadas no formato Jan 1, 1601 UTC – Dados de Login – Web Data (autofill) – Thumbnails (dos sítios WEB visitados) ● Chrome bookmarks ● Arquivos com objetos JSON 10 0 OutlookOutlook ● Formato de armazenamento padrão: – PST (Personal Storage Table) – OST for offline storage of email ● Informações do formato: – msdn.microsoft.com/en-us/library/ff385210.aspx ● Local de armazenamento: – PST (Personal Storage Table) Feerramenta: freekernelpstviewer.exe 101 OutlookOutlook ● PST (Personal Storage Table) – Windows XP ● \Documents and Settings\user\Local Settings\Application Data\Microsoft\Outlook – Windows Vista, 7, 8 e 10 ● \Users\user\AppData\Local\Microsoft\Outlook ● OST (Offline Storage Table) – Windows XP ● \Documents and Settings\user\Local Settings\Application Data\Microsoft\Outlook – Windows Vista, 7, 8 e 10 ● \Users\user\AppData\Local\Microsoft\Outlook ● 10 2 Analise de Memória RAM 10 3 Analise de DUMP de MemóriaAnalise de DUMP de Memória ●Combinação de comandos: ●strings ●grep , egrep ou fgrep ●Comando de analise de memória: ●# volatility ●volatility -h 10 4 Analise de DUMP de MemóriaAnalise de DUMP de Memória 10 5 Analise de DUMP de MemóriaAnalise de DUMP de Memória 10 6 Analise de DUMP de MemóriaAnalise de DUMP de Memória 10 7 Analise de DUMP de MemóriaAnalise de DUMP de Memória 10 8 Analise de DUMP de MemóriaAnalise de DUMP de Memória Exemplo 10 9 VolatilityVolatility ● pslist – Processos ● psscan – Processos ocultos ● pstree – Arvore de processos ● psxview – mostra ocultos ou terminados, fácil de identificar possível malware. 110 VolatilityVolatility ● getsids - mostra os usuarios que executou ● dlllist – as DLLs ● printkey melhora o formato ● userassist - informações do usuário: ● volatility print key -f DUMP userassist ● connections conexoes (netstat) ● connscan consoes ocultas ● filescan - exibe os arquivos abertos no momento do dump volatitity sheet sheet —output=xlsx —output- file=arquivo.xlsx 111 Arquivo SwapArquivo Swap ● O arquivo de swap é um espaço no disco usado como a extensão da memória virtual da RAM do computador; arquivos de swap contem informaçõessobre: ● Arquivos abertos e seus conteúdos; ● websites visitados; ● chats online; ● e-mails enviados e recebidos; ● No Windows o swap é um arquivo oculto no diretório raiz chamado pagafile.sys ● O registro exibe o caminho do arquivo: ● HLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management. Slide 1 Slide 2 Slide 3 Slide 4 Slide 5 Slide 6 Slide 7 Slide 8 Slide 9 Slide 10 Slide 11 Slide 12 Slide 13 Slide 14 Slide 15 Slide 16 Slide 17 Slide 18 Slide 19 Slide 20 Slide 21 Slide 22 Slide 23 Slide 24 Slide 25 Slide 26 Slide 27 Slide 28 Slide 29 Slide 30 Slide 31 Slide 32 Slide 33 Slide 34 Slide 35 Slide 36 Slide 37 Slide 38 Slide 39 Slide 40 Slide 41 Slide 42 Slide 43 Slide 44 Slide 45 Slide 46 Slide 47 Slide 48 Slide 49 Slide 50 Slide 51 Slide 52 Slide 53 Slide 54 Slide 55 Slide 56 Slide 57 Slide 58 Slide 59 Slide 60 Slide 61 Slide 62 Slide 63 Slide 64 Slide 65 Slide 66 Slide 67 Slide 68 Slide 69 Slide 70 Slide 71 Slide 72 Slide 73 Slide 74 Slide 75 Slide 76 Slide 77 Slide 78 Slide 79 Slide 80 Slide 81 Slide 82 Slide 83 Slide 84 Slide 85 Slide 86 Slide 87 Slide 88 Slide 89 Slide 90 Slide 91 Slide 92 Slide 93 Slide 94 Slide 95 Slide 96 Slide 97 Slide 98 Slide 99 Slide 100 Slide 101 Slide 102 Slide 103 Slide 104 Slide 105 Slide 106 Slide 107 Slide 108 Slide 109 Slide 110 Slide 111
Compartilhar