Curso de Forense Computacional - Aula 4.4 - Análise Forense em Recursos do Windows

bom então vamos lá pessoal hoje para nossa aula né análise porém sem recursos do windows a gente já vi nas aulas anteriores sobre registro do windows né agora não vi um pouco sobre alguns recursos que tem no início acorda gente pode tirar proveito de como o examinador sa como analista forense beleza então a gente nossa agenda de hoje né arquivo prefetch do windows tá entender comer como é isso começar arquivo o que que ele pode ajudar as miniaturas do windows o arquivos além de caros aquivos a adição de atalhos ao longo dos eventos algum unidade de disco e minidrop do windows também então o que é uma arquivo prefere tá perfeito é um recurso usado pelo windows para acelerar o carregamento de aplicações então quando a obrigação executada pela primeira vez é um aplicativo para festa e criado baseado naquela aplicação tá aí nesse arquivo de registrado os arquivos necessários para execução da aplicação na e a última vez que ela foi executada tá então o único não é toda vez que eu executar aquela aplicação novamente né ele vai sentar de forma mais rápido porque os arquivos estão ali mudada com os caminhos para ele tá então eu consigo ganhar velocidade de rendimentos uma melhor experiência do usuário né o windows beleza então o com a investigação canais aqui o prefere ele ele pode informar para gente pode problemas foram executados sistema alvo da e ainda aqueles que deu sim desinstalado após a execução vocês tavam programa né a segunda letra uma vez só ele já criou um arquivo prefere se tá lá com aquele arquivo você instalou mas o arquivo prefere continuar lá tá é uma configuração do arquivo prefere ele é armazenado dentro dessa chave de registro aí o hq local machine system com a gente encontrou sete contra sete homenager memory management perfect for homer's beleza então esse é o índice de armazenar os aqui o prefeito dentro da pasta cê dois pontos né você se postará diretório cena que é o mais comum tá que é o de fogo né mas pode falar que local windows barra frete tá então todos aqueles preferência nomeado a seguinte forma neve só isso não nome da aplicação e execução aparece primeiro né depois de um regime né e hoje o caracteres que eles se rest vai indicar qual o local que aplicação for executada tá e depois de ter uma extensão chamada ponto pf certo quando se vê o o nome né traz um código e depois ponto b f sabe que aquele ali é um arquivo prefere tudo bem bom então airsoft é possui uma ferramenta portátil para leitura de arquivo prefere que é o imperfect viu também tá bem e tem a do eric zimmerman tá gente comentou em aos até de hoje é o exemplos também tem também uma ferramenta portátil para leitura que é o prefeito e passa né de comando qual você segunda é o pack m de ponta xl - de ou diretório lá do prefeito e você consegue exportar isso para dentro do risoto com testei por exemplo ela e você abra o resultado está aqui na o outro eric zimmerman tá a tradição aqui privilégio de ele se eu não for encontrado tá aqui o 11 tempo e ele começa a mostrar aqui eles prefere o 266 prefere então aqui eu vou essa fg né usei 77 service zip 7z e z a e o resto tá de 88 dígitos quando foi criado outra vez foi modificado necessário tá eu toda informação que tava o resto vai dobrar tá e quando o seu rodadas vez foi executado beleza já foi recrutado rancounters 104 vezes beleza pessoal e aí tem uma mudada enorme aqui de informações tiago falou como é que mostrando a 266 artigos para festa beleza tranquilo aí subir para o césio e agora a sobre miniaturas do windows tá então o whindersson e armazenar não tem vida àquelas meninas duas né de arquivo gráfico rj peg bpm a gente vai coloca tv lá com visualização grande por exemplo né então você mostra lá e você consegue ver previamente então o william serrar madeira se miniatura né no arquivo chamado damos ponto de bebê tá local de cash é quantas horas relacionamento os arquivos como eu falei vezes aqui mas ele podem formar sugestão de arquivos que foram os por isso né então eu disse a você bota para ver o arquivo né ele mostra aumento dura e você escuta aquele aquela aquela imagem aquele que for ir lá tá lá o a miniatura né daquele daquele imagem armazenada tá em baixa qualidade tem uma parte do vídeo se eu fosse usar usar terminar tudo isso uma calça metalizada jose profirio tá ep data lembrando aí cfw ele não ele não mostra poder formas de colocar o visualizar arquivos ocultos na análise de serviço que a 15 partes do rosto está logo ao a história nome padrão vai ter um grampo cash espaço x ponto de bebê tá então a gente tem aqui o campo esse vídeo é tá consegue baixar aqui dentro da paz viu ponto enterrado e pouco vai ou e aqui tem um da vivo na presença e saiu do pneu e nas imagens abaixo damas. de bené vai ter a dama para itapevi esse mês de vídeo de besta e aí consegue extrair esses arquivos tá e visualizá-los aqui ó dalton também gente não poder pg tá claro é uma qualidade baixa tá vendo eu tenho muitos pais aqui baixo mas eu tenho consegue tirar o saúde alguma coisa se quiser alguma coisa formada fixa juvenil ou uma imagem fotográfica não permitida na pela empresa de alguém táxi compartilhado que a pessoa pagou a gente consegue visualizar esses esses não precisa ser miniaturas aqui tá bem tá tranquilo estão outra fator importante são os arquivos aline car né seus arquivos de atalho tá que aponta nessa thaisa pega uma ponta uma aplicação na um arquivo dentro do próprio está fez novamente né você cria né a maioria né vai apresentar de trabalho mas claro que tem vários locais você pode armazenar isso inclusive tem algo são gerados automaticamente pelo windows não instala um programa ele de vez cria ali aquele atalho na área de trabalho né tá então mais isso aqui isso aí que eu tenho informações úteis sobre o computador e a hora que eu arquivo foi criado tá então os arquivos de atalho ele contem informações importantes como quer ter busto como é que time do próprio nk e do arquivo vinculado tá então se o arquivo principal foi excluído ou removido para outra mídia o nk permanece lá no então a gente consegue ver mesmo que eu escolhi do lado tá indo para indicar onde tava esse arquivo no início tá bem então o tamanho do arquivo vinculado qual o caminho original do arquivo naqueles água armazenada o número de série número do nome do volume que cozinha aquele arquivo vinculado tá então eu tenho um volume no unidade de disco ele vai lá mostrar pelo menos o link ah tá qual foi esse volume tá então endereço mac do adaptador de rede tem que abrir o direito de computador eu digitar é um computador na rede beleza então você tem aqui ó eu tenho esse arquivo teste um tá vendo uma metade aqui proposital tô com o botão direito você clica lá propriedade né e consegue esse aqui vou sair vai ficar aqui ó você usa no nome do usuário do que uma está teste. de xt tá o destino dele e foi aberto aqui ó tá lá caminho tá dentro dele beleza dentro de atalho o nome do arquivo aqui em cima e ele se atalho aqui e fazer colocar aqui a furos treco né tá e aqui esse foi o estrago referência nada porque ele é um atalho oi desculpa para esse destino aqui embaixo beleza isso o propriedade do próprio windows tá isso não é uma análise live ou você monta ele somente cintura então a gente tem algumas ferramentas para fazer análise automatizada de sair então uma delas é o windows falhou análise tudo bem pode ser encontrada aqui no www.

etec. com barra wf a ponta html então o windows fala navais ele além de ver os arquivos hoje a de atalho selene catar ele consegue decodificar os arquivos com uma outra mineiro da cabeça que começou a falar do xp você de se ter uma ideia né google picasa tambineio fecha estojo tambineio arquivos análise pret tá arquivo do short curto né que eu vou esse vem cá tá index ponto data e ele sai com o binha na laje tá lembra lá da recuperação de arquivo né e ela do windows e acho que a primeira 4. 1 lá partir do registro ele falou a análise né que a gente analisar lixeira tá então esse windows faz na laje ele consegue fazer isso forma automatizada então a gente baixa eles com barba né e abra aqui não faz eu entrei aqui ó eu quero que quer beijar na tua menina tá beijo prefere shortcode o index mundo da atriz ficou bem tá então vamos ver aqui o churrasco dica objetivo agora na sala tem um chat que aqui no waze tá mostra que volume que falou volume serial o label do arquivo tá então a umidade aqui f2pool se chama arquivos eu tenho que o faial name o teste atalho o usa da e mostra tudo aqui ó a gente vai não falhou indica qual é o diretório que ele quer analisar ele sai pegando tá é uma observação relação ao cliente e vai ter aqui ele é chato né que é o nosso mac time aqui que eu vou mostrar eu vou pegar o volume aqui mostrar para vocês que aqui tem uma diferença em relação farma lages e outras ferramentas que vive já tá então eu tenho uma forma descobri aqui eu tenho o link passa tá que a outra ferramenta que a gente também baixa de forma gratuita desenvolvi na tô com uma forma de digito parece digital tá não só foi esse então ele consegue fazer se passa ali desse deixar o link né do ele cá isaac hoje parava de ficar e se conectar meu sistema de arquivos nome do volume tá exporta isso do formato do mês sem se ver é muito ser é que você tá e mais atributos são extraídos a partir desse dessa ferramentas aí ó embaixo aqui de glee tem que ele é free paulo bomfim personagem começa o ios né então mulher e forma ah está então quando você faz abre aqui né no teu save aqui eu tenho esse serviço faz a exportação do arquivo tá você vai se ver eu tenho aqui o para você abrir o diretório ou arquivo e ficou com aquilo especifique uma pasta né diretórios lá talvez são alguns deles atual e aqui abriu o benchmark vó fez ponto teste teste batalha contra lenica ele mostra o caminho aqui no final a local beijo tá tem mais tem que fazer boot como ele falou ali no site né coloca na a o curso ali lá para a direita tem um só que aqui ele mostra o resultado correto tá na data correta em relação ao faial navais lá windows para análise até de uma média tá algum motivo deixar de mostrar o aquilo fire with accessibility o mcqueen forma errada tava foi criado no dia sete de julho 2020 tá vendo aqui então eu amo ele mais forte vai me de 5 né para você comprar outra coisa tudo bem mostra que o mac do dispositivo não levou o nome o nome do o lutador que você perfeito que foi capilar desse arquivo lnk tá somente com um atalho veja como é importante isso a gente consegue carregar né hotel obter uma quantidade enorme de informações daquele alvo sabe aquela que ela mata suspeito tranquilo em relação a isso aí pessoal a beleza agora vamos ver a parte de logo e dever de domingo está tão eventos eles são importantes na tanto errado aí só se tu vai ver que importante lembrar que ocorre no sistema para cima do windows tá então e cerveja são importantes de forma que eles são registrados no chamado no blog esse certo então é vende com pouca memória né quantidade de excessiva de acesso falha do login o que tô fazer login várias vezes com karine se ela errada ou sabia fundo algum problema isso faz a receber funda com problema é ou prevenir o futuro de um futuro problema tá e damos eu sei que vai desativar de login de um único usuário né e depois desse horário faz login então realmente alguém conseguiu comer de força blusa a consegui acessar criar aquela curso tá ou uma conta fraca conseguia falar com então a gente consegue perceber isso antes e já avisa o usuário já trocar sei fazer uma coisa tipo já inibe né ou se for a por meio de uma caminho de rede você consegui bloquear aquele pelo fazer um cansativo e ele tá então ajude terminar a aquele ter mais do ar aplicação fez um determinado horário né eu não consigo verificar por meio do blog a quantidade de acessos a erro 200 formspring exemplo aqui do whindersson tá erro não desculpa código http 200 então consigo ver quanto custa uma sessão de burro ele se for relacionar bem seu 404 115 alguma coisa aí com significado também é tipo de aplicação de serviço tá dns fornecido windows server tão ruim da xp 2000 2003 a 3 aqui logo de eventos naquela aplicativos isso eu sei que hoje e para windows server tá pronta aqui no windows seven a mais aqui viu o dns e vice diretor se visse aqui via de saída tá tem uns arquivos para esses o endereço travessa domingos ele fica localizado dentro de você dois pontos nessa costurar dos e lembrando né o windows system32 barra config beleza oi e agora se for do windows vista até o 1078 10 atualizado a um arquivo em formato xml e logo deverá instalar o dvd ele tem um ponto é vtx no final não é uma extenção ftx e o luigi esses pesos milha 2013 tem um ponto deve ter beleza então eles podem ser montado aqui muda o caminho tá é windows system32 oe é ver-te barra blogs tá e aqui tá esse diretórios para vocês tá bem então application o rádio aí vem entender que explora aqui mesmo service microsoft rio básica embaixo que você queira e etc tá mas ainda tem aqui cinco tipos de eventos na que pode ser registrado principais ali que é o erro tá que é um problema significativo que ocorreu na cor do serviço não é carregado na inicialização para o teu urn é o efeito não significativo mas pode ser algo mais sério no futuro ao que merece atenção tá então informei que dia que a operação foi bem-sucedida de um objeto da criação de usuário é a mesma coisa também então eu tenho outro né osso que vocês audit é que aponta para um vidro de segurança bem sucedido também então alguém regresso com sucesso e o filho de alguém que é quando alvo é o inverso do sul sexual diz né então quando usar não consegue fazer o domínio por exemplo ele dá um feriado de beleza então eu tenho algum dos em se ele disponibiliza aquela melhor psl a eventos que devem ser monitorados em relação à questão de segurança para você ficar atento tá então aqui a tabela a seguir lista os eventos que você pode você deve monitorar em seu ambiente de acordo com as recomendações fornecidas e monitoramento ativo e alegre para assinar e de comprometimento tá então lá também mostra o id do evento aqui embaixo né ou ainda vai ter dado do êxodo dos atual a cliques idade daquele daquele medida que ele é feito aí o resumo do evento tá então aqui eu tenho uma lista na lista é bem maior tá o que é só um primo que vem tem noção de como é que é eu tenho aí do evento na que mostra tá vendo produz atual na crise tá daquele ali daquele evento resumo né mateus 4759 né por isso que eu desses tinham alterada uma corrente padrão de segurança monitorada né 4616 eu tenho segurança separação de função habilitado grupos especiais atribuídos falando tá tipo adicionar histórico essa dia culta na coleção de 66 tá logo desculpa o blog foi alterado tá longo do dia foi limpo tem 1100 um beleza então é importante ficar atento com isso aí nesse apêndice l então eu esqueci episódio pra quem trabalha com esporte esse dente tá então hoje preciso para levar de qualquer vez eu dou entrada de logo aí né é o usuário então eu tenho aqui lá no evento é o nome de usuário da conta que fez o login na máquina é o em que o evento ocorreu né não é só lembrando que esse usuário de fato liga a pessoa tá claro tal suspeita mas nada acontece né sem segundas com vocês mas tipo você entra no local a máquina está logada lá e qualquer pessoa pode fazer os aquela mais para fazer qualquer coisa né tá e as vezes que a gente administrador então a pessoa deixa a madrugada e sair para tomar um café por exemplo empresa então tá lá chega alguém como as intenções já sabe que o horário já tomou café sabe a hora que ela sai ali entra ali não tem ninguém na sala tem pessoas percebida fazer um trabalho lá em beto pen drive vai lá faz alguma coisa e tá usuário da pessoa que saiu né tem umas ele era fauna e o inocência né pode ser que não eu não sei fazer a pessoa vai lá e faz uso dela tá então é importante correlacionar que já falou várias vezes eu preci preci precisa com relação a vários faço tá para poder tomar a noite vai tomar a decisão de fátima e correlação dos fatos para poder montar o histórico ali tá ele vai passar aqui aí direita para fazer aquele julgamento numa casa uma decisão beleza em relação a isso ou análise parecer não toma decisão né ele simplesmente faz um relatório dele né o laudo para quem oficial e aí ele mostra akane para quem de direito né beleza então são juiz foi gestor forever beleza deu tem usuários em mais de duas vezes né que a gente falou agorinha né o número gerado pelo menos que ele fica o tipo do evento ea criticidade desse evento tá a origem né que eu sou objeto que fez aquele evento acontecesse o problema seu rua escuta ativa do login o rdp tá o computador nome de computador que o evento ocorreu tem uma data ea hora que o evento ocorreu no importante pra gente montar aquela cronologia tá que quando morreu o evento que você apagar o que é descrição de que aquele evento tá bom bom e uma forma de visualizar esses eventos do windows de uma ferramenta do próprio mesmo que chamada do event viewer visualizador de existe tá e aí a gente consegue abril e ver aqui os aplicações até o queijo security setup system full board vezes e aí consegue verificar aqui ó e alguém alguém dissesse eu tenho você acredita e de né eu tenho o nome da máquina tá ou nome de usuário account name né qual foi o nome do domínio ao longo e neila que nível de ser que ele se a máquina o evento é dia 4672 tá é uma categoria de tarefa de longo especial ao disso você está seu você tiver logo loguinho ver se você digo ele consegue ver de teus aqui quem mais informações também tá e aí bom então a gente pode examinar um por um né usar somente devem de ver em outra ferramenta chamada de fogo eventlog viu né que é dali sofre também que é uma ferramenta assim pra windows vista 7 8 e 10 essa aí 22 full event logo envio ele ele mostra uma tabela sora com todos os detalhes e todos os event tá de log do windows tá porque a descrição de eventos né viu que lá na frente viu o negócio para mim a gente consegue ver separada fiquei assim que você fazer pesquisa separada tá dentro do fui virtual a gente consegue ver a tabela só com todos os se vende tá bem então aqui eu consigo permite visualizar a semente computador local ou um doador remoto na rede tá ele é é verde armazenados os arquivos ponto é btx tá na extensão da vida deixe a gente viu 17 vista 8 10 então ele tem medo exportar a lista de eventos para um arquivo txt csv html receber a vacina do interface gráfica ou linha de comando tá então a gente a visualizar os eventos no gráfico o napoli excel tá bem e consegue exportar isso aí para lhe no dossiê né que é uma ferramenta de visualização e gerenciamento de segurança servis segurança tá então tem que eu fui virtual de envio beleza e tem que ter os eventos tá isso aqui é o da própria não sofre mais e se você quer que o nível de informação zé qual o canal né application systems isso aí microsoft o provedor da descrição daquele ali tá e o evento em relação a daquele evento tá bem tranquilo em relação ao po eventlog viu agora a gente tem outra ferramenta que é o logo e passa 2.

2 tá essa ferramenta pela microsoft que o url e consegue baixar né aqui o logo e passa uma ferramenta poderosa e versátil que prover a questão de universal de quebra eu tenho que fazer quero isso para acessar logo esse baseado em texto tá aí você consegue um texto e aqui você viesse ver e consegue suportar isso também para vai fazer isso querem fazer consultas via sql tá no uso eventlog tá ou de registro e arquivo de sistemas lactiv direto alumínio de forma geral beleza é o lado e passa uma ferramenta vias ele está em linha de comando que você executa o logo e passa ali mas que logo e passa embaixo né cedo pegamos fábio eu tinha que ter acuidade de opções né ele fosse uma aquela vez que ele né o curso de sql sql date aba como cliente a calda pronto logo onde dobrar como é que logo e passa é fácil que você fazer ela tá velha vocês sql né perdem ficar informações dentro do evento do de logo element tá eu tenho aqui um exemplo lá dentro desse beterraba aqui embaixo eu tenho vários exemplos de passar para fazer a consulta de sql aqui desde o zé do evento e viu eh tá então é que eu peguei esse microsoft windows terminal service local sesc minas já operation on tv tem x tá vendo aqui embaixo então eu peguei isso aqui lá do evento e viu do do arquivo de log né lembra lá system32 a config o weverton weverton barbosa tem um arquivo lá então peguei esse copinho pra dentro da primeira baixa do blog ponto blog passa quando eu quiser e fiz essa consulta aqui tá passei ela disse que tem bom dia 21 tá quer saber se foi algo logon com sucesso davi a independência são local então ele mostra aqui ó quando foi feita ó quatro nove de abril 2025 de março de joguinho tá tudo aqui 2020 eu tenho que a hora que foi feito isso tá eu tenho aqui o domínio né o nome da máquina e aqui o usuário que foi feito isso e aquilo sou sem pita você foi local né pressão ou se foi algum ip externo tá e aí eu consigo verificar e fazer isso aqui através do login e passa e de uma consulta tá dia de comando tá consegui conseguiu exportar isso aqui para verificar no cheia se ver não deixa de ser da vida beleza pessoal bom então aqui tá lá o glitter lâmina disposi tem um lado várias pessoas que a gente pode copiar né jogar lá dentro tá lembrando de ou copiar o arquivo alterar o arquivo do blog tá então arquivo do óleo beleza então eu tenho que ir outra ferramenta né o login passa studio é uma ferramenta geolita que faz o uso embaixo do logo e passa 2.