prática de forense computacional · 2020. 6. 8. · atribuição-semderivações-semderivados cc...

[email protected]

Prática de Forense Computacional

Versão 3.0

Abril de 2020

Atribuição-SemDerivações-SemDerivados

CC BY-NC-ND

https://creativecommons.org/licenses/by-nc-nd/4.0/legalcode


https://creativecommons.org/licenses/by-nc-nd/4.0/


CC BY-NC-ND

[email protected]

Sobre o Autor

Engenheiro Eletricista (UFPA) com 26 anos de experiência na área de TIC, 19 anos atuando na área de Segurança da Informação e com mais de 17 anos de trabalho em Administração de Redes Windows, Linux e Novell nas maiores empresas públicas do Brasil (ECT, SERPRO, PRODEPA), certificado em Linux (LPIC-1) e Forense Computacional (DSFE), com especialização em Gestão de Segurança da Informação (UNISUL) e aperfeiçoamento em Gestão da Inovação (UFSC); professor universitário na graduação nos cursos de Sistemas de Informação (FEAPA) e Redes de Computadores (UNAMA), tendo ministrado aulas nas especializações em Redes Linux e Segurança Computacional (IESAM), além de também já ter ministrado aulas de Gerenciamento de Serviços de TIC, Gestão de Riscos e Forense Computacional como instrutor e monitor em grandes instituições nacionais (ESR/RNP), atuando em Forense Computacional Corporativa, Análise de Vulnerabilidades e Pentest no setor público (SERPRO). Vencedor do Prêmio Infosec Competence Leaders Brazil 2018/2019 na categoria “Application Security”.

Fonte: https://infosec.competenceleaders.com/.

Contatos: [email protected] / http://www.lamarca.eng.br.

2/82


http://www.lamarca.eng.br/

mailto:[email protected]

https://infosec.competenceleaders.com/Application-Security/





CC BY-NC-ND

[email protected]

SSUMÁRIOUMÁRIO

1. Introdução......................................................................................................................................... 41.1. Fases da Perícia Forense Computacional.................................................................................4

2. Preparação do ambiente da prática de laboratório............................................................................5

3. Aquisição Forense utilizando o Deft Zero..........................................................................................63.1. Requisitos..................................................................................................................................63.2. Ferramenta................................................................................................................................63.3. Procedimentos..........................................................................................................................63.4. Aquisição Forense utilizando distribuição Linux Deft Zero ........................................................7

4. Exame Forense Post-mortem utilizando comandos Linux e TSK....................................................174.1. Requisitos................................................................................................................................174.2. Ferramentas............................................................................................................................174.3. Procedimentos........................................................................................................................174.4. Copiar Imagem Forense para disco local da Estação Forense...............................................184.5. Checar hashes da Imagem Forense........................................................................................194.6. Montar Imagem Forense no sistema de arquivos....................................................................204.7. Comandos strings e grep........................................................................................................214.8. The Sleuth Kit (TSK)................................................................................................................22

5. Exame Forense Post-mortem utilizando Autopsy............................................................................255.1. Requisitos................................................................................................................................255.2. Ferramentas............................................................................................................................255.3. Procedimentos........................................................................................................................255.4. Exame Forense Post-mortem utilizando o Autopsy na distribuição Linux Caine.....................26

6. Exame Forense Post-mortem utilizando IPED................................................................................386.1. Requisitos................................................................................................................................386.2. Ferramenta..............................................................................................................................386.3. Procedimentos........................................................................................................................396.4. Exame Forense Post-mortem utilizando o IPED no Windows.................................................40

7. Exame Live Forensics utilizando VirtualBox....................................................................................457.1. Requisitos................................................................................................................................457.2. Ferramenta..............................................................................................................................457.3. Procedimentos........................................................................................................................457.4. Gerar .vmdk para criar MV para Live Forensics......................................................................467.5. Criação de MV para Live Forensics.........................................................................................47

8. Exame Live Forensics de Sistema Operacional Windows...............................................................528.1. Requisitos................................................................................................................................528.2. Ferramentas............................................................................................................................528.3. Procedimentos........................................................................................................................528.4. Criação de disco rígido virtual adicional e vinculação de imagem ISO com ferramentas forenses no VirtualBox...................................................................................................................538.5. Preparação do disco rígido virtual no Windows.......................................................................588.6. Aquisição Live Forensics de memória RAM com FTK Imager.................................................628.7. Exame de memória RAM com Volatility no Caine...................................................................658.8. Exame Live Forensics com WinAudit......................................................................................678.9. Exame Live Forensics com Win-UFO......................................................................................698.10. Exame Live Forensics com ferramentas forenses da NirSoft................................................73

9. Referências.....................................................................................................................................82

3/82






CC BY-NC-ND

[email protected]. 1. IINTRODUÇÃONTRODUÇÃO

A Forense Computacional é uma ramificação da Ciência da Computação, podendo, entretanto, também ser considerada como um ramo da Criminalística, compondo uma área de conhecimento comum entre ambas (MELO, 2008).

Segundo Patrícia Peck (PINHEIRO, 2007), a Computação Forense (Computer Forensics) compreende a aquisição, preservação, restauração e análise de evidências computacionais, quer sejam componentes físicos ou dados que foram processados eletronicamente e armazenados em mídias computacionais.

1.1. 1.1. FFASESASES DADA P PERÍCIAERÍCIA F FORENSEORENSE C COMPUTACIONALOMPUTACIONAL

No processo de Perícia Forense Computacional toda a informação relevante deve ser coletada para análise e, conforme as evidências digitais são encontradas, serem extraídas, restauradas (caso as evidências estejam danificadas ou cifradas), documentadas e devidamente preservadas (REIS, GEUS).

Este processo, segundo Cagnani (CAGNANI, SANTOS), pode ser dividido em quatro fases bem distintas, sendo elas: identificação das evidências, preservação das evidências, análise das evidências, e apresentação das evidências.

FFIGURAIGURA 01: 01: FFASESASES DODO PROCESSOPROCESSO DEDE P PERÍCIAERÍCIA F FORENSEORENSE C COMPUTACIONALOMPUTACIONAL..

4/82






CC BY-NC-ND

[email protected]. 2. PPREPARAÇÃOREPARAÇÃO DODO AMBIENTEAMBIENTE DADA PRÁTICAPRÁTICA DEDE LABORATÓRIOLABORATÓRIO

Os arquivos para a prática de laboratório dos procedimentos apresentados devem ser baixados a partir do link:

https://drive.google.com/drive/folders/1v3kmxG8P6v2FTTERAe22Vww1VeW2OEwz?usp=sharing

São 3 arquivos:

Forense_Coleta.dd – Imagem Forense;

Forense_Coleta.info – arquivo de metadados da Imagem Forense;

Forense_Coleta.ova – máquina virtual da aquisição da Imagem Forense.

É necessária a instalação do software de virtualização VirtualBox que pode ser baixado a partir do link:

https://www.virtualbox.org/wiki/Downloads

Além disso, é preciso baixar as imagens ISO das distribuições Linux Deft Zero 2018.2 e Caine 10.0, nos respectivos links:

http://na.mirror.garr.it/mirrors/deft/zero/deftZ-2018-2.iso

(MD5: cd410c27ac580f0efd1d7eab408b4edb)

https://mirror.parrotsec.org/parrot/iso/caine/caine10.0.iso

(MD5: 02aee7d40404190dcddcaa78ed20f505)

(SHA256: 93adeca6695042d22b5189557db6d09f3ab21fda7e991e296e7764476f59982e)

Também é preciso fazer o download do IPED a partir do link:

https://servicos.dpf.gov.br/ferramentas/IPED/3.15.6/IPED-3.15.6-with-extra-tools.zip

Por último, o Java 64 bits faz-se necessário para o funcionamento do IPED:

https://www.java.com/pt_BR/download/manual.jsp

https://javadl.oracle.com/webapps/download/AutoDL?BundleId=238729_478a62b7d4e34b78b671c754eaaf38ab

5/82















CC BY-NC-ND

[email protected]. 3. AAQUISIÇÃOQUISIÇÃO F FORENSEORENSE UTILIZANDOUTILIZANDO OO D DEFTEFT Z ZEROERO

Fazendo parte do Processo Forense Computacional, a Fase de Coleta é a primeira a ser executada e é o início do Cadeia de Custódia das evidências.

Portanto, os procedimentos relativos a Fase de Coleta são extremamente importantes no âmbito de uma Análise Forense Computacional, devendo ser executados com todo o rigor e atenção para evitar possíveis contestações e até mesmo a anulação de toda a Análise Forense ora em curso.

Objetivando descrever os procedimentos adotados para a referida fase do Processo Forense Computacional, o presente documento apresenta os passos necessários para a Coleta Forense a ser realizada.

3.1. 3.1. RREQUISITOSEQUISITOS

Para a execução dos procedimentos devem ser providenciados os seguintes materiais:

• 1 HD USB externo maior que o HD original;

• Lacres para acondicionar os equipamentos;

• 1 pendrive (mínimo de 1 GB);

3.2. 3.2. FFERRAMENTAERRAMENTA

Para efetuar a Aquisição Forense, utilizar-se-á a distribuição Linux forense Deft Zero 2018.2 (live CD) (http://www.deftlinux.net/) ou posterior, disponível em:


(MD5: cd410c27ac580f0efd1d7eab408b4edb)

3.3. 3.3. PPROCEDIMENTOSROCEDIMENTOS

Fluxo de aquisição forense via Deft Linux para HD USB externo:

• Ligar a estação de trabalho retida;

• Abrir SETUP, configurar para boot via pendrive e desabilitar boot via HD;

• Conectar HD USB externo (receptor da Imagem Forense);

• Inicializar boot via pendrive da distribuição Linux forense Deft Zero;

• Gerar cópia forense para HD USB externo (receptor).

6/82



http://www.deftlinux.net/





CC BY-NC-ND

[email protected]. 3.4. AAQUISIÇÃOQUISIÇÃO F FORENSEORENSE UTILIZANDOUTILIZANDO DISTRIBUIÇÃODISTRIBUIÇÃO L LINUXINUX D DEFTEFT Z ZEROERO

Seguem abaixo imagens contendo os passos da Aquisição Forense utilizando a distribuição Linux live Deft Zero:

FFIGURAIGURA ORENSEORENSE..

FFIGURAIGURA 03: 03: SSELECIONARELECIONAR EE EXECUTAREXECUTAR OO PROGRAMAPROGRAMA F FILEILE M MANAGERANAGER PCM PCMANANFM.FM.

7/82






CC BY-NC-ND

[email protected]

FFIGURAIGURA 04: 04: IIDENTIFICARDENTIFICAR OO HD HD INTERNOINTERNO ( (ORIGEMORIGEM DADA A AQUISIÇÃOQUISIÇÃO F FORENSEORENSE) ) EE OO HD USB HD USB EXTERNOEXTERNO ( (DESTINODESTINO DADA A AQUISIÇÃOQUISIÇÃO F FORENSEORENSE).).

FFIGURAIGURA 05: 05: SSELECIONARELECIONAR OO HD USB HD USB EXTERNOEXTERNO..

8/82






CC BY-NC-ND

[email protected]

FFIGURAIGURA 06: 06: MMONTARONTAR OO HD USB HD USB EXTERNOEXTERNO EMEM M MODOODO DEDE E ESCRITASCRITA (WRITE MODE). (WRITE MODE).

FFIGURAIGURA 07: 07: IIDENTIFICARDENTIFICAR OO CAMINHOCAMINHO DEDE MONTAGEMMONTAGEM DODO HD USB HD USB EXTERNOEXTERNO: /: /MEDIAMEDIA//ROOTROOT/</<NOMENOME DADA MÍDIAMÍDIA>.>.

9/82






CC BY-NC-ND

[email protected]

FFIGURAIGURA 08: 08: SSELECIONARELECIONAR EE EXECUTAREXECUTAR G GUYMAGERUYMAGER..

FFIGURAIGURA 09: 09: SSELECIONARELECIONAR OO HD HD INTERNOINTERNO ( (ORIGEMORIGEM DADA A AQUISIÇÃOQUISIÇÃO F FORENSEORENSE).).

10/82






CC BY-NC-ND

[email protected]

FFIGURAIGURA 10: 10: CCLICARLICAR COMCOM OO BOTÃOBOTÃO DIREITODIREITO DODO MOUSEMOUSE EMEM CIMACIMA DODO HD HD INTERNOINTERNO EE SELECIONARSELECIONAR AA OPÇÃOOPÇÃO A ADQUIRIRDQUIRIR I IMAGEMMAGEM (A(ACQUIRECQUIRE IMAGEIMAGE).).

FFIGURAIGURA 11: 11: MMODIFICARODIFICAR ASAS OPÇÕESOPÇÕES DODO G GUYMAGERUYMAGER CONFORMECONFORME PRÓXIMASPRÓXIMAS FIGURASFIGURAS..

11/82






CC BY-NC-ND

[email protected]

FFIGURAIGURA 12: 12: SSELECIONARELECIONAR AA OPÇÃOOPÇÃO “L “LINUXINUX DDDD RAWRAW IMAGEIMAGE ( (FILEFILE EXTENSIONEXTENSION . .DDDD OROR . .XXXXXX)”.)”.

FFIGURAIGURA 13: 13: DDESMARCARESMARCAR AA OPÇÃOOPÇÃO “S “SPLITPLIT IMAGEIMAGE FILESFILES”.”.

12/82






CC BY-NC-ND

[email protected]

FFIGURAIGURA 14: 14: SSELECIONARELECIONAR AA OPÇÃOOPÇÃO “I “IMAGEMAGE DIRECTORYDIRECTORY”.”.

FFIGURAIGURA 15: 15: SSELECIONARELECIONAR OO CAMINHOCAMINHO PARAPARA OO HD USB HD USB EXTERNOEXTERNO ( (DESTINODESTINO DADA A AQUISIÇÃOQUISIÇÃO F FORENSEORENSE).).

13/82






CC BY-NC-ND

[email protected]

FFIGURAIGURA 16: 16: CCAMINHOAMINHO PARAPARA OO HD USB HD USB EXTERNOEXTERNO ( (DESTINODESTINO DADA A AQUISIÇÃOQUISIÇÃO FORENSEFORENSE): /): /MEDIAMEDIA//ROOTROOT/</<NOMENOME DADA MÍDIAMÍDIA>.>.

FFIGURAIGURA 17: 17: MMARCARARCAR OPÇÃOOPÇÃO “C “CALCULATEALCULATE SHA-1”. SHA-1”.

14/82






CC BY-NC-ND

[email protected]

FFIGURAIGURA 18: 18: NNOMEAROMEAR ARQUIVOARQUIVO DADA I IMAGEMMAGEM F FORENSEORENSE (I (IMAGEMAGE FILENAMEFILENAME) ) EE ARQUIVOARQUIVO DEDE INFORMAÇÕESINFORMAÇÕES (I (INFONFO FILENAMEFILENAME).).

FFIGURAIGURA 19: 19: A APERTARPERTAR OO BOTÃOBOTÃO “ “SSTARTTART"" PARAPARA INICIARINICIAR AA A AQUISIÇÃOQUISIÇÃO F FORENSEORENSE..

15/82






CC BY-NC-ND

[email protected]

FFIGURAIGURA 20: 20: E ESPERARSPERAR AA FINALIZAÇÃOFINALIZAÇÃO DADA A AQUISIÇÃOQUISIÇÃO F FORENSEORENSE..

FFIGURAIGURA 21: 21: V VERIFICARERIFICAR SESE FORAMFORAM CRIADOSCRIADOS OSOS ARQUIVOSARQUIVOS < <NOMENOME DADA IMAGEMIMAGEM FORENSEFORENSE>.>.DDDD EE < <NOMENOME DADA IMAGEMIMAGEM FORENSEFORENSE>.>.INFOINFO NONO PONTOPONTO DEDE MONTAGEMMONTAGEM DODO HD USB HD USB EXTERNOEXTERNO ( (DESTINODESTINO DADA A AQUISIÇÃOQUISIÇÃO FORENSEFORENSE).).

Desligar a estação de trabalho e desconectar as mídias USB (pendrive e HD USB externo).

Referência: https://youtu.be/4T1i9b7KU-k

16/82


https://youtu.be/4T1i9b7KU-k





CC BY-NC-ND

[email protected]. 4. EEXAMEXAME F FORENSEORENSE PPOSTOST--MORTEMMORTEM UTILIZANDOUTILIZANDO COMANDOSCOMANDOS L LINUXINUX EE TSK TSK



• Um computador com poder computacional adequado à realização do processamento;

• 1 HD USB externo contendo a Imagem Forense coletada na fase anterior de Coleta Forense.

4.2. 4.2. FFERRAMENTASERRAMENTAS

Para efetuar o Exame Forense, utilizar-se-á a distribuição Linux forense Caine 10.0 (https://www.caine-live.net) ou posterior, disponível em:




O The Sleuth Kit (https://sleuthkit.org) vem instalado por padrão no Caine.


Inicializar a estação forense com o Caine 10.0, anexar o HD contendo a imagem forense e iniciar o exame com os comandos nativos do Linux e do The Sleuth Kit.

17/82


https://sleuthkit.org/


https://www.caine-live.net/





CC BY-NC-ND

[email protected]. 4.4. CCOPIAROPIAR I IMAGEMMAGEM F FORENSEORENSE PARAPARA DISCODISCO LOCALLOCAL DADA E ESTAÇÃOSTAÇÃO F FORENSEORENSE

$ mkdir Perda_Total

$ cd Perda_Total

$ time cp /media/sdb1/Forense_Coleta.* .

FFIGURAIGURA 22: C 22: CRIAÇÃORIAÇÃO DODO DIRETÓRIODIRETÓRIO DEDE TRABALHOTRABALHO EE CÓPIACÓPIA DADA I IMAGEMMAGEM F FORENSEORENSE..

Referência: https://youtu.be/n-S0dkxVAnQ

18/82


https://youtu.be/n-S0dkxVAnQ





CC BY-NC-ND

[email protected]. 4.5. CCHECARHECAR HASHESHASHES DADA I IMAGEMMAGEM F FORENSEORENSE

$ time md5sum Forense_Coleta.dd && time shasum Forense_Coleta.dd

$ cat Forense_Coleta.info

FFIGURAIGURA 24: V 24: VISUALIZAÇÃOISUALIZAÇÃO DOSDOS HASHESHASHES DODO ARQUIVOARQUIVO . .INFOINFO..

19/82






CC BY-NC-ND

[email protected]. 4.6. MMONTARONTAR I IMAGEMMAGEM F FORENSEORENSE NONO SISTEMASISTEMA DEDE ARQUIVOSARQUIVOS

$ sudo mkdir /mnt/Perda_Total

$ fdisk -l Forense_Coleta.dd

$ echo '512 * 63' | bc

$ sudo mount -o ro,loop,offset=32256 Forense_Coleta.dd /mnt/Perda_Total

$ ls /mnt/Perda_Total

FFIGURAIGURA 25: C 25: CRIAÇÃORIAÇÃO DODO DIRETÓRIODIRETÓRIO PARAPARA OO PONTOPONTO DEDE MONTAGEMMONTAGEM, , MONTAGEMMONTAGEM DADA I IMAGEMMAGEM F FORENSEORENSE EE LISTAGEMLISTAGEM DODO CONTEÚDOCONTEÚDO NONO DIRETÓRIODIRETÓRIO MONTADOMONTADO..

Referência: https://youtu.be/p87sY2mQvIc

20/82


https://youtu.be/p87sY2mQvIc





CC BY-NC-ND

[email protected]. 4.7. CCOMANDOSOMANDOS STRINGSSTRINGS EE GREPGREP

$ time strings Forense_Coleta.dd > Perda_Total.dd.strings

$ grep -i rootkit --color Perda_Total.dd.strings

$ grep -i backdoor --color Perda_Total.dd.strings

$ grep -i portscan --color Perda_Total.dd.strings

$ grep -i keylog --color Perda_Total.dd.strings

$ grep -i exploit --color Perda_Total.dd.strings

$ grep -i scan --color Perda_Total.dd.strings

FFIGURAIGURA 26: C 26: CRIAÇÃORIAÇÃO DODO ARQUIVOARQUIVO DEDE STRINGSSTRINGS EE PESQUISAPESQUISA COMCOM OO GREPGREP..

Referência: https://youtu.be/5gEynZvyMV8

21/82


https://youtu.be/5gEynZvyMV8





CC BY-NC-ND

[email protected]. 4.8. TTHEHE S SLEUTHLEUTH K KITIT (TSK) (TSK)

$ mmstat Forense_Coleta.dd

$ mmls Forense_Coleta.dd

$ fsstat -o 63 Forense_Coleta.dd | more

$ fls -o 63 Forense_Coleta.dd

$ fls -r -m '/' -o 63 Forense_Coleta.dd > bodyfile.txt

$ mactime -b bodyfile.txt -d > timeline.csv

$ libreoffice timeline.csv

FFIGURAIGURA 27: T 27: TIPOIPO DODO VOLUMEVOLUME EE INFORMAÇÕESINFORMAÇÕES SOBRESOBRE ASAS PARTIÇÕESPARTIÇÕES..

22/82






CC BY-NC-ND

[email protected]

FFIGURAIGURA 28: U 28: USOSO DODO OFFSETOFFSET PARAPARA OBTEROBTER MAISMAIS INFORMAÇÕESINFORMAÇÕES SOBRESOBRE AA PARTIÇÃOPARTIÇÃO..

FFIGURAIGURA 29: L 29: LISTAGEMISTAGEM DOSDOS ARQUIVOSARQUIVOS ALOCADOSALOCADOS EE DELETADOSDELETADOS, , CRIAÇÃOCRIAÇÃO DEDE TIMELINETIMELINE DADA ATIVIDADEATIVIDADE DOSDOS ARQUIVOSARQUIVOS..

23/82






CC BY-NC-ND

[email protected]

FFIGURAIGURA 30: V 30: VISUALIZAÇÃOISUALIZAÇÃO DODO ARQUIVOARQUIVO CSVCSV DEDE TIMELINETIMELINE..

Referência: https://youtu.be/aMf8V1B7jbg

24/82


https://youtu.be/aMf8V1B7jbg





CC BY-NC-ND

[email protected]. 5. EEXAMEXAME F FORENSEORENSE PPOSTOST--MORTEMMORTEM UTILIZANDOUTILIZANDO A AUTOPSYUTOPSY

Fazendo parte do Processo Forense Computacional, a Fase de Exame é a segunda a ser executada e é o início da busca por evidências.

Portanto, os procedimentos relativos a Fase de Exame lidam, geralmente, com uma massa enorme de dados que serão processados para posterior análise em fase subsequente da Análise Forense Computacional.

Objetivando descrever os procedimentos adotados para a referida fase do Processo Forense Computacional, o presente documento apresenta os passos necessários para o Exame Forense a ser realizado.






Para efetuar o Exame Forense, utilizar-se-á a distribuição Linux forense Caine 10.0 (https://www.caine-live.net) ou posterior, disponível em:




O software utilizado para processar a imagem forense será o Autopsy 4.9.1 (https://www.sleuthkit.org/autopsy/), já pré-instalado no Caine 10.0.


Inicializar a estação forense com o Caine 10.0, anexar o HD contendo a imagem forense e iniciar o a execução do Autopsy.

25/82


https://www.sleuthkit.org/autopsy/







CC BY-NC-ND

[email protected]. 5.4. EEXAMEXAME F FORENSEORENSE PPOSTOST--MORTEMMORTEM UTILIZANDOUTILIZANDO OO A AUTOPSYUTOPSY NANA DISTRIBUIÇÃODISTRIBUIÇÃO L LINUXINUX C CAINEAINE

Seguem abaixo imagens contendo os passos do Exame Forense post-mortem:

FFIGURAIGURA 31: 31: IINICIARNICIAR OO A AUTOPSYUTOPSY..

26/82






CC BY-NC-ND

[email protected]

FFIGURAIGURA 32: 32: SSELECIONARELECIONAR “ “NNEWEW C CASEASE”.”.

FFIGURAIGURA 33: 33: DDEFINIREFINIR “ “CCASEASE N NAMEAME” ” EE “ “BBASEASE D DIRECTORYIRECTORY”.”.

27/82






CC BY-NC-ND

[email protected]

FFIGURAIGURA 34: 34: CCLICARLICAR NONO BOTÃOBOTÃO “ “NNEXTEXT”.”.

FFIGURAIGURA 35: 35: DDEFINIREFINIR “ “CCASEASE / N / NUMBERUMBER” ” EE “ “EEXAMINERXAMINER”.”.

28/82






CC BY-NC-ND

[email protected]

FFIGURAIGURA 36: 36: CCLICARLICAR NONO BOTÃOBOTÃO “ “FFINISHINISH”.”.

FFIGURAIGURA 37: 37: SSELECIONARELECIONAR “ “DDISKISK I IMAGEMAGE OROR VM F VM FILEILE” ” EE CLICARCLICAR NONO BOTÃOBOTÃO “ “NNEXTEXT”.”.

29/82






CC BY-NC-ND

[email protected]

FFIGURAIGURA 38: 38: SSELECIONARELECIONAR AA FONTEFONTE DEDE DADOSDADOS: : SELECIONARSELECIONAR AA TIMEZONETIMEZONE GMT-3:00 A GMT-3:00 AMERICAMERICA/B/BELEMELEM..

FFIGURAIGURA 39: 39: CCLICARLICAR NONO BOTÃOBOTÃO “ “BBROWSEROWSE”.”.

30/82






CC BY-NC-ND

[email protected]

FFIGURAIGURA 40: 40: PPROCURARROCURAR NONO SISTEMASSISTEMAS DEDE ARQUIVOSARQUIVOS AA I IMAGEMMAGEM F FORENSEORENSE..

FFIGURAIGURA 41: 41: SSELECIONARELECIONAR OO DIRETÓRIODIRETÓRIO “ “MEDIAMEDIA” ” EE CLICARCLICAR EMEM “ “OOPENPEN”.”.

31/82






CC BY-NC-ND

[email protected]

FFIGURAIGURA 42: 42: SSELECIONARELECIONAR OO CAMINHOCAMINHO PARAPARA OO HD USB HD USB EXTERNOEXTERNO ( (QUEQUE CONTÊMCONTÊM AA I IMAGEMMAGEM F FORENSEORENSE).).

FFIGURAIGURA 43: 43: SSELECIONARELECIONAR DIRETÓRIODIRETÓRIO ( (SESE EXISTIREXISTIR) ) ONDEONDE ESTÁESTÁ AA I IMAGEMMAGEM F FORENSEORENSE..

32/82






CC BY-NC-ND

[email protected]

FFIGURAIGURA 44: 44: SSELECIONARELECIONAR OO ARQUIVOARQUIVO DADA I IMAGEMMAGEM F FORENSEORENSE..

FFIGURAIGURA 45: 45: CCLICARLICAR NONO BOTÃOBOTÃO “ “OOPENPEN”.”.

33/82






CC BY-NC-ND

[email protected]

FFIGURAIGURA 46: 46: C CLICARLICAR NONO BOTÃOBOTÃO “ “NNEXTEXT”.”.

FFIGURAIGURA 47: 47: S SELECIONARELECIONAR OSOS MÓDULOSMÓDULOS QUEQUE SERÃOSERÃO EXECUTADOSEXECUTADOS NONO IINGESTNGEST EE CLICARCLICAR NONO BOTÃOBOTÃO “ “NNEXTEXT””..

34/82






CC BY-NC-ND

[email protected]

FFIGURAIGURA 48: 48: A AGUARDARGUARDAR TÉRMINOTÉRMINO DADA ADIÇÃOADIÇÃO DADA FONTEFONTE DEDE DADOSDADOS..

FFIGURAIGURA 49: 49: C CLICARLICAR NONO BOTÃOBOTÃO “ “FFINISHINISH”.”.

35/82






CC BY-NC-ND

[email protected]

FFIGURAIGURA 50: 50: A ACOMPANHARCOMPANHAR PROGRESSOPROGRESSO DODO IINGESTNGEST..

FFIGURAIGURA 51: 51: C CLICARLICAR NONO BOTÃOBOTÃO “ “CCLOSELOSE”.”.

36/82






CC BY-NC-ND

[email protected]

FFIGURAIGURA 52: 52: A AGUARDARGUARDAR OO TÉRMINOTÉRMINO DEDE “ “AANALYZINGNALYZING FILESFILES FROMFROM < <IMAGEMIMAGEM..DDDD>>”.”.

Referência: https://youtu.be/gasM2YwA-lk

37/82


https://youtu.be/gasM2YwA-lk





CC BY-NC-ND

[email protected]. 6. EEXAMEXAME F FORENSEORENSE PPOSTOST--MORTEMMORTEM UTILIZANDOUTILIZANDO IPED IPED






Para efetuar o Exame Forense, utilizar-se-á o IPED (Indexador e Processador de Evidências Digitais), disponível em:


É necessária a instalação do Java 64 bits:



38/82










CC BY-NC-ND

[email protected]. 6.3. PPROCEDIMENTOSROCEDIMENTOS

Configurar o Java, anexar o HD contendo a Imagem Forense e iniciar a execução do IPED.

FFIGURAIGURA 53: 53: L LIMITARIMITAR HEAPHEAP DODO J JAVAAVA AA METADEMETADE DADA MEMÓRIAMEMÓRIA RAM. RAM.

39/82






CC BY-NC-ND

[email protected]. 6.4. EEXAMEXAME F FORENSEORENSE P POSTOST--MORTEMMORTEM UTILIZANDOUTILIZANDO OO IPED IPED NONO W WINDOWSINDOWS

Seguem abaixo imagens contendo os passos do Exame Forense post-mortem:

FFIGURAIGURA 54: 54: CCONFIGURARONFIGURAR ARQUIVOARQUIVO “ “IPEDCIPEDCONFIGONFIG..TXTTXT”.”.

FFIGURAIGURA 55: 55: CCONFIGURARONFIGURAR ARQUIVOARQUIVO “ “LLOCALOCALCCONFIGONFIG..TXTTXT”.”.

40/82






CC BY-NC-ND

[email protected]:\IPED\iped-3.15.6>java -jar iped.jar -d <E:\nome da imagem forense.dd> -o C:\IPED\<nome do caso>

FFIGURAIGURA 56: 56: EEXECUTARXECUTAR OO . .JARJAR DODO IPED IPED INFORMANDOINFORMANDO CAMINHOCAMINHO PARAPARA I IMAGEMMAGEM F FORENSEORENSE ( (PARÂMETROPARÂMETRO - -DD) ) EE DESTINODESTINO DODO RELATÓRIORELATÓRIO ( (PARÂMETROPARÂMETRO - -OO).).

FFIGURAIGURA 57: 57: AAGUARDARGUARDAR INICIALIZAÇÃOINICIALIZAÇÃO DODO IPED. IPED.

41/82






CC BY-NC-ND

[email protected]

FFIGURAIGURA 58: 58: AAGUARDARGUARDAR AA INDEXAÇÃOINDEXAÇÃO EE PROCESSAMENTOPROCESSAMENTO DADA I IMAGEMMAGEM F FORENSEORENSE..

FFIGURAIGURA 59: 59: AAGUARDARGUARDAR OO FIMFIM DADA INDEXAÇÃOINDEXAÇÃO EE DODO PROCESSAMENTOPROCESSAMENTO DADA I IMAGEMMAGEM F FORENSEORENSE..

42/82






CC BY-NC-ND

[email protected]

FFIGURAIGURA 60: 60: FIMFIM DADA INDEXAÇÃOINDEXAÇÃO EE DODO PROCESSAMENTOPROCESSAMENTO DADA I IMAGEMMAGEM F FORENSEORENSE..

FFIGURAIGURA 61: 61: EEXECUTARXECUTAR OO PROGRAMAPROGRAMA “ “IPED-SIPED-SEARCHEARCHAAPPPP..EXEEXE”.”.

43/82






CC BY-NC-ND

[email protected]

FFIGURAIGURA 62: 62: UUTILIZARTILIZAR OO PROGRAMAPROGRAMA “ “IPED-SIPED-SEARCHEARCHAAPPPP..EXEEXE”.”.

Referência: https://youtu.be/Fcjcdddg-pY

44/82


https://youtu.be/Fcjcdddg-pY





CC BY-NC-ND

[email protected]. 7. EEXAMEXAME LLIVEIVE FFORENSICSORENSICS UTILIZANDOUTILIZANDO V VIRTUALIRTUALBBOXOX






Para efetuar o Exame Live Forensics, utilizar-se-á o VirtualBox disponível em:



Gerar uma segunda Imagem Forense, mapeá-la no sistema de arquivos, criar arquivo de disco rígido virtual apontando para este mapeamento e executar o VirtualBox para criar uma máquina virtual (MV) utilizando o disco criado.

45/82







CC BY-NC-ND

[email protected]. 7.4. GGERARERAR . .VMDKVMDK PARAPARA CRIARCRIAR MV MV PARAPARA LLIVEIVE FFORENSICSORENSICS

$ time cp Forense_Coleta.dd Perda_Total.dd

$ sudo losetup /dev/loop1 Perda_Total.dd

$ sudo VBoxManage internalcommands createrawvmdk -filename Perda_Total.vmdk -rawdisk /dev/loop1

$ sudo virtualbox &

FFIGURAIGURA 63: 63: SSEGUNDAEGUNDA CÓPIACÓPIA DADA I IMAGEMMAGEM F FORENSEORENSE, , MAPEAMENTOMAPEAMENTO DODO I IMAGEMMAGEM F FORENSEORENSE COMOCOMO UMUM DISPOSITIVODISPOSITIVO DEDE BLOCOBLOCO,, CRIAÇÃOCRIAÇÃO DEDE DISCODISCO VIRTUALVIRTUAL AA PARTIRPARTIR DESTEDESTE DISPOSITIVODISPOSITIVO PARAPARA UTILIZAÇÃOUTILIZAÇÃO NONO V VIRTUALIRTUALBBOXOX..

Referência: https://youtu.be/d7oJ8rSIAcI

46/82


https://youtu.be/d7oJ8rSIAcI





CC BY-NC-ND

[email protected]. 7.5. CCRIAÇÃORIAÇÃO DEDE MV MV PARAPARA LLIVEIVE FFORENSICSORENSICS

FFIGURAIGURA 64: 64: CCRIAÇÃORIAÇÃO DEDE NOVANOVA MV. MV.

FFIGURAIGURA 65: 65: DDEFINIÇÃOEFINIÇÃO DODO NOMENOME EE TIPOTIPO DADA MV. MV.

47/82






CC BY-NC-ND

[email protected]

FFIGURAIGURA 66: 66: EESCOLHASCOLHA DODO DISCODISCO RÍGIDORÍGIDO VIRTUALVIRTUAL CRIADOCRIADO..

FFIGURAIGURA 67: 67: AACRESCENTARCRESCENTAR DISCODISCO RÍGIDORÍGIDO VIRTUALVIRTUAL CRIADOCRIADO..

48/82






CC BY-NC-ND

[email protected]

FFIGURAIGURA 68: 68: SSELEÇÃOELEÇÃO DODO ARQUIVOARQUIVO DODO DISCODISCO RÍGIDORÍGIDO VIRTUALVIRTUAL CRIADOCRIADO..

FFIGURAIGURA 69: 69: EESCOLHASCOLHA DODO DISCODISCO RÍGIDORÍGIDO VIRTUALVIRTUAL CRIADOCRIADO..

49/82






CC BY-NC-ND

[email protected]

FFIGURAIGURA 70: 70: FFINALIZAÇÃOINALIZAÇÃO DADA CRIAÇÃOCRIAÇÃO DADA MV. MV.

FFIGURAIGURA 71: 71: IINICIARNICIAR MV. MV.

50/82






CC BY-NC-ND

[email protected]

FFIGURAIGURA 72: 72: MV MV RODANDORODANDO..

Referência: https://youtu.be/qhoKbI7tCzM

51/82


https://youtu.be/qhoKbI7tCzM





CC BY-NC-ND

[email protected]. 8. EEXAMEXAME LLIVEIVE FFORENSICSORENSICS DEDE S SISTEMAISTEMA O OPERACIONALPERACIONAL W WINDOWSINDOWS




• 1 HD USB externo contendo a Imagem Forense duplicada na item anterior.


Para efetuar o Exame Live Forensics o download uma máquina virtual com Windows 7 deverá ser feito a partir do link:

https://developer.microsoft.com/en-us/microsoft-edge/tools/vms/

Além disso, os seguintes softwares forenses deverão ser baixados:

Access FTK Imager 3.2.0:

https://accessdata.com/product-download/ftk-imager-version-3.2.0

WinAudit:

Pode ser baixado também junto com o imagem do Caine 10.0:


Win-UFO:

https://www.tiforense.com.br/download-win-ufo-ultimate-forensics-outflow/https://drive.google.com/file/d/17ECdOM7DrhWCP_nYf2FHz5yFOCP6nxec/view?usp=sharing

OBS.: pode ser baixado também junto com o imagem do Caine 8.0:

https://caine.mirror.garr.it/mirrors/caine/caine8.0.iso

NirSoft:

https://www.nirsoft.net/computer_forensic_software.html

OBS.: pode ser baixado também junto com o imagem do Caine 10.0:


Ou baixar a imagem ISO “Live_Forensics_Tools.iso” diretamente no link:

https://drive.google.com/drive/folders/1j8db06M36Wwe_Pnl5TxL5U-HlAql-cuL?usp=sharing


Importar a MV, criar um novo disco rígido virtual, vincular imagem ISO com ferramentas forenses e executar os softwares conforme a seguir.

52/82


https://drive.google.com/drive/folders/1j8db06M36Wwe_Pnl5TxL5U-HlAql-cuL?usp=sharing



https://caine.mirror.garr.it/mirrors/caine/caine8.0.iso

https://drive.google.com/file/d/17ECdOM7DrhWCP_nYf2FHz5yFOCP6nxec/view?usp=sharing

https://www.tiforense.com.br/download-win-ufo-ultimate-forensics-outflow/








CC BY-NC-ND

[email protected]. 8.4. CCRIAÇÃORIAÇÃO DEDE DISCODISCO RÍGIDORÍGIDO VIRTUALVIRTUAL ADICIONALADICIONAL EE VINCULAÇÃOVINCULAÇÃO DEDE IMAGEMIMAGEM ISO ISO COMCOM FERRAMENTASFERRAMENTAS FORENSESFORENSES NONO V VIRTUALIRTUALBBOXOX

FFIGURAIGURA 73: 73: A ABRIRBRIR “C “CONFIGURAÇÕESONFIGURAÇÕES” ” DADA MV. MV.

FFIGURAIGURA 74: 74: A ABRIRBRIR “A “ARMAZENAMENTORMAZENAMENTO” ” DADA MV. MV.

53/82






CC BY-NC-ND

[email protected]

FFIGURAIGURA 75: 75: A ACRESCENTARCRESCENTAR DISCODISCO RÍGIDORÍGIDO VIRTUALVIRTUAL AA “C “CONTROLADORAONTROLADORA: IDE”.: IDE”.

FFIGURAIGURA 76: 76: C CLICARLICAR EMEM “C “CRIARRIAR NOVONOVO DISCODISCO”.”.

54/82






CC BY-NC-ND

[email protected]

FFIGURAIGURA 77: 77: M MARCARARCAR “ “VMDK (VVMDK (VIRTUALIRTUAL M MACHINEACHINE D DISKISK))” ” EE CLICARCLICAR EMEM “C “CONTINUARONTINUAR”.”.

FFIGURAIGURA 78: 78: M MANTERANTER “D “DINAMICAMENTEINAMICAMENTE ALOCADOALOCADO” ” EE CLICARCLICAR EMEM “C “CONTINUARONTINUAR”.”.

55/82






CC BY-NC-ND

[email protected]

FFIGURAIGURA 79: 79: N NOMEAROMEAR DISCODISCO RÍGIDORÍGIDO VIRTUALVIRTUAL, , DEFINIRDEFINIR TAMANHOTAMANHO EE CLICARCLICAR EMEM “C “CRIARRIAR”.”.

FFIGURAIGURA 80: 80: C CLICARLICAR EMEM “V “VAZIOAZIO” ” EE SELECIONARSELECIONAR AA IMAGEMIMAGEM ISO “ ISO “LLIVEIVE_F_FORENSICSORENSICS_T_TOOLOOL..ISOISO”.”.

56/82






CC BY-NC-ND

[email protected]

FFIGURAIGURA 81: 81: C CLICARLICAR EMEM “O “OKK”.”.

FFIGURAIGURA 82: 82: I INICIARNICIAR MV. MV.

57/82






CC BY-NC-ND

[email protected]. 8.5. PPREPARAÇÃOREPARAÇÃO DODO DISCODISCO RÍGIDORÍGIDO VIRTUALVIRTUAL NONO W WINDOWSINDOWS

FFIGURAIGURA 83: 83: E EXECUTARXECUTAR “ “DDISKISK M MANAGEMENTANAGEMENT”.”.

FFIGURAIGURA 84: 84: C CLICARLICAR OO DISCODISCO RÍGIDORÍGIDO VIRTUALVIRTUAL ( (DDISKISK11) ) EE SELECIONARSELECIONAR “ “NNEWEW S SIMPLEIMPLE V VOLUMEOLUME”.”.

58/82






CC BY-NC-ND

[email protected]

FFIGURAIGURA 85: 85: C CLICARLICAR EMEM “ “NNEXTEXT”.”.


59/82






CC BY-NC-ND

[email protected]


FFIGURAIGURA 88: 88: D DEFINIREFINIR “ “VVOLUMEOLUME LABELLABEL” ” EE CLICARCLICAR EMEM “ “NNEXTEXT”.”.

60/82






CC BY-NC-ND

[email protected]

FFIGURAIGURA 89: 89: C CLICARLICAR EMEM “ “FFINISHINISH”.”.

FFIGURAIGURA 90: 90: D DISCOISCO RÍGIDORÍGIDO VIRTUALVIRTUAL PRONTOPRONTO PARAPARA USOUSO..

61/82






CC BY-NC-ND

[email protected]. 8.6. AAQUISIÇÃOQUISIÇÃO LLIVEIVE FFORENSICSORENSICS DEDE MEMÓRIAMEMÓRIA RAM RAM COMCOM FTK I FTK IMAGERMAGER

FFIGURAIGURA 91: 91: E EXECUTARXECUTAR “ “AACCESSCCESSDDATAATA FTK I FTK IMAGERMAGER3-2-03-2-0” ” AA PARTIRPARTIR DADA IMAGEMIMAGEM ISO “ ISO “LLIVEIVE_F_FORENSICSORENSICS_T_TOOLSOOLS”.”.

FFIGURAIGURA 92: 92: C CLICARLICAR NONO ÍCONEÍCONE DEDE MEMÓRIAMEMÓRIA RAM. RAM.

62/82






CC BY-NC-ND

[email protected]

FFIGURAIGURA 93: 93: C CLICARLICAR EMEM “ “BBROWSEROWSE” ” PARAPARA DEFINIRDEFINIR OO “ “DDESTINATIONESTINATION PATHPATH”.”.

FFIGURAIGURA 94: 94: S SELECIONARELECIONAR OO DIRETÓRIODIRETÓRIO DEDE DESTINODESTINO DODO DUMPDUMP DEDE MEMÓRIAMEMÓRIA..

63/82






CC BY-NC-ND

[email protected]

FFIGURAIGURA 95: 95: C CLICARLICAR EMEM “ “CCAPTUREAPTURE M MEMORYEMORY”.”.

FFIGURAIGURA 96: 96: C CLICARLICAR EMEM “ “CCLOSELOSE”.”.

Referência: https://youtu.be/MVlJanALqFw

64/82


https://youtu.be/MVlJanALqFw





CC BY-NC-ND

[email protected]. 8.7. EEXAMEXAME DEDE MEMÓRIAMEMÓRIA RAM RAM COMCOM V VOLATILITYOLATILITY NONO C CAINEAINE

$ VBoxManage c lonemedium disk /home/per i to /V i r tua lBox\ VMs/ IE11\ - \ W i n 7 / P e r d a _ T o t a l _ L i v e . v m d k / h o m e / p e r i t o / V i r t u a l B o x \ V M s / I E 1 1 \ - \ Win7/Perda_Total_Live.raw --format RAW

$ sudo mkdir /mnt/Perda_Total_Live

$ fdisk -l /home/perito/VirtualBox\ VMs/IE11\ -\ Win7/Perda_Total_Live.raw

$ echo '512 * 128' | bc

$ sudo mount -o ro,loop,offset=65536 /home/perito/VirtualBox\ VMs/IE11\ -\ Win7/Perda_Total_Live.raw /mnt/Perda_Total_Live

$ mkdir /home/perito/Perda_Total-Live_Forensics

$ cp -r /mnt/Perda_Total_Live/Perda_Total/* /home/perito/Perda_Total-Live_Forensics

$ cd /home/perito/Perda_Total-Live_Forensics

FFIGURAIGURA 97: 97: C COMANDOSOMANDOS PARAPARA CONVERSÃOCONVERSÃO DEDE VMDKVMDK EMEM RAW, RAW, MONTAGEMMONTAGEM DADA IMAGEMIMAGEM DODO DISCODISCO RÍGIDORÍGIDO VIRTUALVIRTUAL NONO SISTEMASISTEMA DEDE ARQUIVOSARQUIVOS EE CÓPIACÓPIA DODO DIRETÓRIODIRETÓRIO ONDEONDE ESTÁESTÁ OO DUMPDUMP DEDE MEMÓRIAMEMÓRIA..

65/82






CC BY-NC-ND

[email protected]$ volatility -f memdump.mem imageinfo > imageinfo.txt

$ volatility -f memdump.mem --profile=Win7SP0x86 pslist > pslist.txt

$ volatility -f memdump.mem --profile=Win7SP0x86 filescan > filescan.txt

$ volatility -f memdump.mem --profile=Win7SP0x86 dlllist > dlllist.txt

$ volatility -f memdump.mem --profile=Win7SP0x86 consoles > consoles.txt

FFIGURAIGURA 98: 98: CCOMANDOSOMANDOS DODO V VOLATILITYOLATILITY PARAPARA EXAMEEXAME DEDE DUMPDUMP DEDE MEMÓRIAMEMÓRIA RAM. RAM.

66/82






CC BY-NC-ND

[email protected]. 8.8. EEXAMEXAME LLIVEIVE FFORENSICSORENSICS COMCOM W WININAAUDITUDIT

FFIGURAIGURA 99: 99: EEXECUTARXECUTAR OO PROGRAMAPROGRAMA “ “WWININAAUDITUDIT”.”.

FFIGURAIGURA 100: 100: PROGRAMAPROGRAMA W WININAAUDITUDIT EMEM EXECUÇÃOEXECUÇÃO..

67/82






CC BY-NC-ND

[email protected]

FFIGURAIGURA 101: 101: E ESCOLHERSCOLHER OO DIRETÓRIODIRETÓRIO PARAPARA SALVARSALVAR OO RELATÓRIORELATÓRIO DODO W WININAAUDITUDIT..

FFIGURAIGURA 102: 102: R RELATÓRIOELATÓRIO DODO W WININAAUDITUDIT..

Referência: https://youtu.be/0gRqtcOmwIY

68/82


https://youtu.be/0gRqtcOmwIY





CC BY-NC-ND

[email protected]. 8.9. EEXAMEXAME LLIVEIVE FFORENSICSORENSICS COMCOM W WININ-UFO-UFO

FFIGURAIGURA 103: 103: E EXECUTARXECUTAR OO PROGRAMAPROGRAMA " "WWININ-UFO-UFO”.”.

FFIGURAIGURA 104: 104: C CLICARLICAR EMEM “ “AACCEPTCCEPT”.”.

69/82






CC BY-NC-ND

[email protected]

FFIGURAIGURA 105: 105: C CLICARLICAR EMEM “ “YYESES” ” PARAPARA CRIARCRIAR RELATÓRIORELATÓRIO..

FFIGURAIGURA 106: 106: C CLICARLICAR EMEM “ “YYESES” ” PARAPARA CONTINUARCONTINUAR..

70/82






CC BY-NC-ND

[email protected]

FFIGURAIGURA 107: 107: S SELECIONARELECIONAR DIRETÓRIODIRETÓRIO PARAPARA SALVARSALVAR OO RELATÓRIORELATÓRIO (OBS.: (OBS.: TEMTEM QUEQUE SERSER OBRIGATORIAMENTEOBRIGATORIAMENTE EMEM OUTRAOUTRA UNIDADEUNIDADE).).

FFIGURAIGURA 108: 108: D DEFINIREFINIR INFORMAÇÕESINFORMAÇÕES DODO CASOCASO..

71/82






CC BY-NC-ND

[email protected]

FFIGURAIGURA 109: 109: A AGUARDARGUARDAR TÉRMINOTÉRMINO DADA GERAÇÃOGERAÇÃO DODO RELATÓRIORELATÓRIO..

FFIGURAIGURA 110: 110: R RELATÓRIOELATÓRIO DODO W WININ-UFO.-UFO.

Referência: https://youtu.be/N-g5rSvVPQY

72/82


https://youtu.be/N-g5rSvVPQY





CC BY-NC-ND

[email protected]. 8.10. EEXAMEXAME LLIVEIVE FFORENSICSORENSICS COMCOM FERRAMENTASFERRAMENTAS FORENSESFORENSES DADA N NIRIRSSOFTOFT

FFIGURAIGURA 111: 111: F FERRAMENTASERRAMENTAS FORENSESFORENSES DADA N NIRIRSSOFTOFT..

FFIGURAIGURA 112: 112: “ “CCURRURRPPORTSORTS””..

73/82






CC BY-NC-ND

[email protected]

FFIGURAIGURA 113: 113: “ “CCURRURRPPROCESSROCESS””..

FFIGURAIGURA 114: 114: “ “EEVENTVENTLLOGOGCCHANNELSHANNELSVVIEWIEW””..

74/82






CC BY-NC-ND

[email protected]

FFIGURAIGURA 115: 115: “ “EEVENTVENTLLOGOGSSOURCESOURCESVVIEWIEW””..

FFIGURAIGURA 116: 116: “ “EEXECUTEDXECUTEDPPROGRAMSROGRAMSLLISTIST””..

75/82






CC BY-NC-ND

[email protected]

FFIGURAIGURA 117: 117: “ “FFULLULLEEVENTVENTLLOGOGVVIEWIEW””..

FFIGURAIGURA 118: 118: “ “IECIECACHEACHEVVIEWIEW””..

76/82






CC BY-NC-ND

[email protected]

FFIGURAIGURA 119: 119: “ “LLASTASTAACTIVITYCTIVITYVVIEWIEW””..

FFIGURAIGURA 120: 120: “ “MMYYEEVENTVENTVVIEWERIEWER””..

77/82






CC BY-NC-ND

[email protected]

FFIGURAIGURA 121: 121: “ “OOPENEDPENEDFFILESILESVVIEWIEW””..

FFIGURAIGURA 122: 122: “ “RRECENTECENTFFILESILESVVIEWIEW””..

78/82






CC BY-NC-ND

[email protected]

FFIGURAIGURA 123: 123: “ “UUNINSTALLNINSTALLVVIEWIEW””..

FFIGURAIGURA 124: 124: “ “USBDUSBDEVIEWEVIEW””..

79/82






CC BY-NC-ND

[email protected]

FFIGURAIGURA 125: 125: “ “UUSERSERPPROFILESROFILESVVIEWIEW””..

FFIGURAIGURA 126: 126: “ “WWININLLOGOGOONNVVIEWIEW””..

80/82






CC BY-NC-ND

[email protected]

FFIGURAIGURA 127: 127: AARQUIVOSRQUIVOS DEDE DUMPDUMP, , LOGLOG EE RELATÓRIOSRELATÓRIOS GERADOSGERADOS PELOPELO FTK I FTK IMAGERMAGER, W, WININAAUDITUDIT, W, WININ-UFO -UFO EE PELOSPELOS PROGRAMASPROGRAMAS DADA N NIRIRSSOFTOFT..

81/82






CC BY-NC-ND

[email protected]. 9. RREFERÊNCIASEFERÊNCIAS

Carvey, Harlan – Windows Forensic Analysis Toolkit: Advanced Analysis Techniques for Windows 3E

Skulkin, Oleg / de Courcier, Scar – Windows Forensics Cookbook

https://sleuthkit.org


https://sleuthkit.org/autopsy/docs/user-docs/3.1/

https://www.caine-live.net

http://www.deftlinux.net

https://www.virtualbox.org

https://servicos.dpf.gov.br/ferramentas/IPED/3.15.6/

https://www.marcosmonteiro.com.br/index.php/dicas/dicas/735-indexador-da-policia-federal-iped

https://serverfault.com/questions/174909/mount-block-file-on-osx

https://ss64.com/osx/hdiutil.html

http://commandlinemac.blogspot.com/2008/12/using-hdiutil.html

http://osxdaily.com/2007/03/28/easily-convert-dmg-images-to-iso/

https://sobrelinux.info/questions/2789/how-to-use-a-real-partition-with-windows-7-installed-in-a-virtualbox-vm





https://www.volatilityfoundation.org

https://www.marcosmonteiro.com.br/index.php/dicas/dicas/728-forense-na-memoria-ram

http://periciadigitaldf.blogspot.com/2016/07/imagens-e01ewf.html

http://periciadigitaldf.blogspot.com/2016/07/imagens-aff.html

http://periciadigitaldf.blogspot.com/2016/08/conversao-de-imagens.html

82/82


http://periciadigitaldf.blogspot.com/2016/08/conversao-de-imagens.html

http://periciadigitaldf.blogspot.com/2016/07/imagens-aff.html

http://periciadigitaldf.blogspot.com/2016/07/imagens-e01ewf.html

https://www.marcosmonteiro.com.br/index.php/dicas/dicas/728-forense-na-memoria-ram

https://www.volatilityfoundation.org/





https://sobrelinux.info/questions/2789/how-to-use-a-real-partition-with-windows-7-installed-in-a-virtualbox-vm

http://osxdaily.com/2007/03/28/easily-convert-dmg-images-to-iso/

http://commandlinemac.blogspot.com/2008/12/using-hdiutil.html

https://ss64.com/osx/hdiutil.html

https://serverfault.com/questions/174909/mount-block-file-on-osx

https://www.marcosmonteiro.com.br/index.php/dicas/dicas/735-indexador-da-policia-federal-iped

https://servicos.dpf.gov.br/ferramentas/IPED/3.15.6/

https://www.virtualbox.org/

http://www.deftlinux.net/


https://sleuthkit.org/autopsy/docs/user-docs/3.1/


https://sleuthkit.org/




prática de forense computacional · 2020. 6. 8. · atribuição-semderivações-semderivados cc...

Documents