Curso de Forense Computacional - Aula 3.6 - Analisando imagens forenses em memória RAM

bom então vamos lá pessoal para mais uma aula hoje de nós a evidência tá e hoje a gente vai falar da falou sobre nicho ou não da de disco talvez vai falar um pouco sobre memória tá da minha funcionalidade deixe agora fala sobre o nada easy rápido aqui como ele faz a memória tá então para analisar a memória ram a gente tem dois ferramentas de garoto que está concentrada populares que abre line que é uma ferramenta pai e avô lá tira sequer da formatura de pão deixo tá tchau sofre livre então para aula de hoje

vai usar esse sempre demoro tá abaixa que a gente consegue ver esse link que tá até essas por esse link e dentro do kit rubi eu vou lá te ver se tem lá vários outros separa foi daqui que eu peguei já botei o link direto para você está bem bom então não fala sobre o edilaine tá é um programa do windows que investir nessa nessa é fatos é para memória ram tá tem um dentro do lado line tem o meu moraes e moraes é uma forma de comando percorre analisar arquivos de memória ram então a

captura viário online ele é mais completo do que envia outras captura imagens mais simples tá então hoje lá em ter essa essa interface inicial aqui tá então tem um colete deita e na análise dentro tá então primeiro a gente vai para o coletar ele tem três tipos de coleta né quando eu tô de padrão é de fogo ele agora até quantidade mínima de dados tá todo o processo se drive descarregado aí eu coloquei obra jeito aí coleta maioria dos dados que eu rezo lá eu preciso de autoanálise não é esse aqui é o mais recomendado

e tem algum coletor de bush para eu assim né que ele é qual é a data que vai responder a usar o sininho para você cria um arquivo do dlc que é o os indicadores de comprometimento né você muda e ele vai procurar somente aqueles indicadores daquela memória tá interessante também então você vai lá coleta poder fo a desculpa é a coleta abrangente né que é isso aqui comprehensive colega aqui em fazer qual o shampoo nacional que vai rodar táxi aqui em cima é um princípio collection windows tá nesse exemplo é uma dica e o

script você vai aparecer essa essa tabela aqui nessa a janela e que você vai escolher quais são né hoje parece quer baixar esse comer md5 strings acha ruim aos drive o hulk e aquário em mente então você vem aqui bom e depois você vai escolher qual é o destino que você vai que o pacote coletor vai ser salvo tá você criado e salvo né então aqui esse ia um pen drive né você pode pendurar ele semana que a gente falou que a gente viu nas aulas anteriores lá sobre coleta né a usar o dá piti

o seu não ficar aí mesmo tá você pode pen drive vai no terceiro equipamento suspeito né e pelo goulart o pen drive fazer tá beleza durante lá ainda bem de uma forma segura lá na frente a pouco tempo collection né e aí no final ele aparece a mensagem nessa coletor foi criado e salvador locais especificados é da marca do vídeo você a você vai desejar ele tá você tem que fazer as coisas que não vai doar nada ponto baixo tá que é o scrip traga de falar aqui preferencialmente você coloca esqueça de um usb nome

da removível né então eu escrevi lá rodar o coletor a como você configurou esse é o resultado na paz chamada sétimo análise é show em cada vez que você executar o escrito ele vai executar de dentro de um sérgio não dá mais certo um diferença tá beleza então quando a coleta finalizado neto fez resultado de volto para a sua marca de análise né então a cidade o dono clique análise é chicco tomar que aí ele vai localizar tudo que eu desse lado da partida do lado de sasha e vai abrir o slime para você analisar

beleza aqui tá uma imagem a meu ir é o meu o caio estava entrando com cai tem um palavra do ar e de lá o inscreva-se ponto bate né o slide tranquilo ah tá entendi essa daqui que ele funciona tanto para x86 né outro para xv a quarta e aqui roletando né criamos o nosso coletor só vamos um pen drive chegamos lá fizemos a coleta não executando zojila e fazemos a coleta e agora vai fazer guarda mais tá então a partir de um arquivo de memória salvo certo a escola só botar para analisar a vir

embora até aqui só vamos lá no disco oder passar o dele tá aqui é o clientes que aquele link que eu passei para você vinícius dal bom então vamo lá o que você quer salvar o dinheiro tava lá e fecha o ano a memória latam a localização digitar o coração da análise e começa a analisar a criar nessa nova análise da nossa águia nada então esse aqui é conversa vamos ver se revira se vai virar volto lá dentro dos animais diferença de da imagem por isso da memória tá então isso que pode durar de minutos

a horas dependendo da capacidade do tamanho do da capacidade de processamento do seu computador também aí ele inicia aqui quando termina ali finaliza e bota aqui nesse sua investigação nastácia ver esse lixo então as pode o pegar um armar uma coleção um trecho aqui pode começar aqui que eu vou o histórico de data e pode começa aquele fato né que é para fazer uma investigação interna tá quê oi beleza e aí aqui olha essa aqui é meu esse guetta rosto beijo mais tarde nós vai chegar jogo livre aí vai abrir a essa tela para você

está o processo que eu vou em cima canto superior esquerdo do rush homem roxo time line e aqui ó me desculpa aí aqui tá bom dia beleza time line aqui em cima e aqui tá o iniciado tá tudo esse processo 2012 o nome do processo tá bem oi do processo tá oi e o caminho que tá aquele aquele arquivo tá você tá querendo já que o do processo beleza então vocês arquivos criados modificados e alterados dentro do mcqueen o dono daqui criar o registro modificado o início do processo beleza então aqui tem próximas creme pronto

você consegue ver todos os processos tá então talvez é que o seu número do zap beleza é que você vê hexplore alguém me de nutella sl oi beleza é importante ver isso aqui você procurar que você tem algum processo estranho tá pode fazer isso nesse manual né no olho aqui ou fazer isso para automatizar independente do processo então vamos ver aqui processo será que nem você ver o pianinho pipe aí né que é o pianinho processo pai né porque ele é o processo identifiquei isso né é como o senhor passar a identificar aquele processo tá

então e a ver que eu tenho sms ou se né vão máquina windows tem o meu system tenho que um blog tá o céu se vê no blog no vídeo não é o saldo e ponta se quiser vem aqui é que tem vários processos né algo suspeito aqui né esse william underline sl tá novamente o acrobat de vem com a cr alguma coisa assim 32 hoje não tem nada a ver com esse nome aqui na não precisa diferente aí dentro e fora é o e fica aí com a pulga atrás da orelha tá bom então

vem beber a parte de portas tá e demonstrar conexões aqui da parte de rede então eu tenho aqui ó dentro do xperia ponta x é uma conexão com a ip116 de 12 né isso aqui é o ip local de desculpa ter esse ip assim bem remoto 4165 40 porta 8080 né então lá o ip externo você que você pode ser passível de investigação também né que é esse porque essa porta né pessoalmente tentando se passar por um servidor web tava faltando egito então olha isso aí com carinho então você pode colocar aqui embaixo né somente

as portas estabelecidas foram estabelecidas e vai ver que desde que fora 484 tá lembrando que esse reflexo desse processo ele é o processo o pai daquele processo do adobe lá o mal assombrada se consegue também ver os reinos tá então tudo aqui do windows tá aqui o whindersson sou a máscara etc e aqui ó vontade de desse processo tá o pipe o que é de 1640 então vai desistir ele está modificando ali tranquilo isso foi cordyline tá então essa coleta do espírito não foi feito por lá então ele acaba não tendo tanto tanto recurso tanto

formas de vida e gostaria outra ferramenta excelente né eu vou lá dele tá só tá aqui me tirando e quem tem vários são até alguns salvando para ter algo interessante tem usa para fazer teste para estudar aqui então para gente comer de forma simples objetiva e racional que o walter investir vado a que o investigado esteja utilizando então plugin usa-se o imei info avó tem que ter só faltava essa né só que ter livre e você consegue usar vários plug-ins vários plugins para ele para analisar melhor então o primeiro passo é o controle beijinho tá

que ele possui a função de extrair informações diferentes de um profissional que estava funcionando uma vez né ou menos f é para dizer qual o arquivo na qual é o fábio que você vai para iniciar é o ponto alto brasil se você fez você pode botar um redirecionador aqui e do aqui dentro do ibge ficou triste porque você curso disse outras vezes precisa rodar o comando novamente dependendo do tamanho dessa memória tá é esse processo ele demora um pouquinho você só vai isso dentro de um aquilo ela facilita você é na ah tá vou tá

está eu vou falar direito aqui mas desses tem o pai então vai para o pai traz traz ue foi mostrar várias informações do volante eles não os perfis - profile para windows que tem né tem pelo menos unidos a ele mostra aqui tá vários perfis esse perfil seu sistema operacional então acho que comentou isso igual no interior ou como o shampoo acionar o pés que ele tá usando no momento ele vai de alterar como é que a disposição da memória ele tá a tem que organiza a memória lixo para novas memórias alguns problemas então isso

podem interferir com você vai ler a mesma valer tá abrir boa tava lá em sua memória então tá muito perfeito gerente ele falou tá então - f os animais agora barra avenida de portugal e beijinho isso tá é o plug gente vai utilizar para nós agora sobre o inicial é coisa coletar informações iniciais então eu mostro aqui nesse computadorizado então tem que ir possivelmente aqui o windows 7 sp1 x86 32-bit com esse pet aqui na 2346 né então atualização aqui do whindersson o sugerido tá você pode usar outros aqui também mas cheguei aqui na tão

específica quanto essa tá então a aqui embaixo né tem o tem as camadas poder processador ou tipo de imagem cpu aqui aí meio direita em time tá foi meio de ser e aqui o e-mail de local a local e deitar-me a quando foi feita cortando-lhe a imagem local beleza aqui é o descer é que ele vai deslocar o bicho de sete the scheme teresa e esse importante também não é para analisar essa questão da data tava conta que foi coletado quando que começou o processo de fibras inicial não sei fazer minha que ele time line

sabe então aqui o ps lista de plugin tá que ele fica processo que estava execução utilizando um ciclo ips e o resultado esse plugin serão alvo não aquele texto que você mandar lá o e direcionador tá que ele falou tá então é o plugin parece parece entre me mostra toda a água de processo por isso que a gente viu no red line é mostrando muito sucesso paz e processos feio tá todo forma organizada mas eu quero análises aprofundadas nos processos tava ps3 e o ps diz que ele morre ele retorna 97 não zumbi do processo

o pedrinho que pedir as tragédias reduz acessórios entre outros tá sempre aqui então não tem aula aos está em pé de quatro bebês de zero não tem nenhum das trevas renasce s10 rodeio iniciou beleza desculpa e aqui eu tenho outro processo aqui ó fiz etna endereço de memória física beleza e aqui o horário vários processos não vê box sério você vê que visual box lsm e etc tá bebê então eu tenho outro tipo de nosso país e neste não pude tá ponto x é então já vi você no terminal usando o chrome aí você que

a igreja ele falou para fazer análise né então aqui e aí vai mandar cotação naquele segundo e se você caiu executou para fazer o w então aqui já sei através do ps lista aqui ou damp dessa memória foi executada através dessa carne mesmo tá é tão file scan não é possível encontrar o suspeito nos arquivos que estavam estão sendo executados no momento do w então para isso parecer cultural por mim fire scan é um açaí deixe comando mostra diversas informações como permissão de leitura e escrita que o programa possui local onde se encontra no agradeça

então eu tchau vou ponto pai no pênis f tá dizendo o bota aqui o caminho né tô aqui da mesma hora da mesma hora o próprio tá a gente escolheu o pai o scan e aí tô jogando isso aqui dentro do desterro não tem que recuperar de novo tá ele que a saída do fábio scanner bosch offsets a a cuidar de ponteiros terrenos aqui como é que tá o e os acessos tá pce pdf bandeira pelo nome do livro bem agora mas aqui eu tenho o acesso ridge racer né qual é o tipo de permissão

que ele tem aqui à disposição dele né o caminho do daquele arquivo dentro do diretório do bicho na verdade demais não tem um galera elite né que ele mostra a gente bibliotecas dinâmicas carregar né análise dos processos de arquivo e não foi possível encontrar nada o seu então especialista pretende usar pessoal a dll que foram carregados para ver se encontro alguma coisa né então mesmo esquema aqui você põe o profile no final da llx e tal daqui a opção vai jogar isso dentro de um arquivo também e aí você vai analisar aqui as idéias que

foram carregados para cada processo tá então tempo processo sms ponto zero e adida 5236 então tá aqui insistem ruth e aqui o caminho a base o tamanho tá aderir carregada a esse outro passe aqui vou csrss contas quiser acreditar 04 que o like comando foi executado ele é comunidade dll que foi executada foi carregado tá beleza e assim o chrome você cair mesmo aqui embaixo só e eu pude o quanto de de daniele né de processo foi dele eric é carregada dentro desse processo tá na outra forma eu console tá então de verificar os freios

fica na console ali vai executar de térmico humano é então fazer fazer esse ch tá o rosto né ver se você não precisa ficar esse diretamente tá do console abrir o cmd executar ou pude mas aí pode ser o caso aqui dcsh para um filme ou pode ser através de outro pô mano tá bom então analise rede aqui eu tenho netscan tá eu disse plugin medscan que baixo e mostra isso aqui não é uma tabela dinheiro né eu mostro qual off-set a protocolo endereço a porta tá tava local e bota né e o modo aqui

que tava tava lista estava lá sabe finalizando e eles ainda tá aqui eu perdi no processo beleza e aqui eu tenho ssh de nós fizer a porta 22 porta 22 avenida se ver hoje você tá eu tenho bola dividida além da dessa patrícia lira foi eu vou desse de volta aí do blog mente aqui que é o gel ele é uma interface gráfica para o vórtice ah tá e aqui você consegue fazer o mesmo esquema lembrou 11 meses qual a plataforma né você escolher e aqui que ele ficou monte né que você quer executar para

não ir embora e vai lá executa aqui então esse nicho né e vai mostrar quais são os comandos que estão a 15 que são paulo contra xr winder winder underline sl tá vendo aqui embaixo então alper 1640 opções de 1484 tavam 7 aqui e etc e a beleza aqui eu tenho o ps3 tá ele mostra tudo eu posso especificar os processos aqui tá eu quero quartos 84 que era o elenco explora tá então vontade de processo aqui alguém que explora 14 a 44 1640 que o suspeito ali beleza tá aqui o command line executou a

do homem só tá e aqui o próprio campinense você quiser pegar esse processo aqui e exportar ele para fazer uma análise mais apurada ou fazer um gerir reversa tá então para fazer o da ficou comestível usar o w virustotal para ver se algum higiene lá de antivírus reconhece saúde para o enterro mais beleza então ele mostra aqui né em cima facilitador e que embaixo macho caminho eu vou cortar x era no windows tá eles f ali bruno fala tem que ter tem tanto para o windows forms o outro aqui são f né então bota aqui

o caminho né tá botei um dois pontos proc dumb para que data e o piauí 1640 ó e aqui a gente vai analisar agora né o que a gente falou do mal no celular direto para o volante aquele foi só para gente ver a era do cliente também muito bem mas o primeiro pode ser ali por um vizinho na de comune gerais para outra outra imagem aqui o cliente que eu entrar na sua rapidinho entender como é que todos os processos então a bola teve de menos é ficou imagine fofo né é que eu vou

mostrar os perfis jeryds tá aonde a xp sp2 into being sp-326 aqui o e-mail the date time lá em mente louco a gente comer todo 60 ou três quatro dele aqui eu usei rupestre tá e vejo aqui ó executando é o do system black explora e aquele header winter.is lap16 40 a beleza e aqui ah eu vou fazer um com scan né a esse a gente do comentou na aula mas se minha internet está que aí eu vou vai ficar de conexões de ele dentro que tirei da memória tá então veja que eu 72 16

de 112 28 e aqui o ip tá 4168 5.048 seu tripé aqui então analisando aqui ó vou ter acesso profile brockdorff né que a gente viu lá no workbench que é para fazer o danfe desse processo tá o traço duplo de traço de é ponto ele vai fazer qual é o diretório que vai exportar esse tanto tá então você pode inclusive criar um diretório aqui antes vai brincar de dampe e fazer se então pedir igual a lâmpida e aí ele vai fazer vai sair executado você tem mulher para o 1640 para x é beleza e

aqui você pode fazer também o dá para quem vai processo deve da mesma é baseado naquele naquele processo certo ele demonstra aqui duas formas oi e aí se a gente for caçar por aquele perando maura url.com 4685 140 a gente vai ver aqui que ele é um negócio meio estranho e meio cabuloso são com os domínios né referenciado por ele tem aqui o game server ponto aí o tá a o número da rede nada laécio tá descrição né o leque agora que você pode que está então você vê alguma coisa estranha quando ele foi estado

tá pela primeira vez ali ó bom então a memória agora tem que ele tá lá quando ele fizer bandsports né isso aqui ele vai mostrar diretório aqui tá no eu estou indo já tá bem então eu acho que aqui ó o arquivo exportado tá com a memória e o processo certo aplicativo o cliente consegue fazer aqui ó o strings 1640 pontos de mp na mesma hora e procurar pelo a fazer um greve né o filtro dentro do ipê pai tô pesquisando então é procurar ver aqui tem um puxo né mandando para o posto aqui para

cá até por eu usei né no ano mozilla o rosto a porta 8080 tá aqui tem uma pode ficar são outro tipo de mito que a gente pode fazer é do ponto cor né se tem algum aguçado que está procurando específico aí vai ver uma grande quantidade aqui de ipê ela desculpa de domínio relacionado a banco tá então for serpentes ms bank bank service que provavelmente a esse mole tá coleta de informações relacionadas a a banco né bem copa américa e aí fazendo esses filtração por meio daquele p&d se comando posto aqui bom então essa

é uma análise inicial e aí a gente pode mandar também dentro lá do virustotal né e colocar tanto a gente pode fazer uma hash tá com qual rege de se calcular o ref e a cadê o régis e aqui na desse processo aqui da memória na verdade que aquele executei o ponto minha casa ou a gente chegar o resto dentro do vidro os pontos ou jogar o arquivo direto eu fiquei ele também dá certo e aí vai analisar e vai mostrar aqui a cuidado e detecção de foi foi encontrado tá beleza então é isso consegue

ver de mais detalhes em relação que que ele entrou viu tem de foi a convidada de que colocou e o que o virustotal detector tá beleza pessoal então é isso aí tem que falar sobre o volante dele e fazer uma resposta inicial tá deu mais de memória aí demora beleza bom então se tiver doido escreve aí tá nós tamo junto e aí