Curso de Forense Computacional - Aula 4.3 - Parte 3 - Introdução à Análise de Registro do Windows

o olá pensava mais uma aula hoje a parte 3 da da parte de lages registro do windows tá e já viu a gente iniciado né duas aulas anteriores sobre isso e falou sobre até do registro capturando o registro é o exame o carro de inicialização automática aí na aula anterior que fala sobre o exame né chave perícia em o tipo se vai se ver aqui recentemente e agora a gente vai falar sobre análise ele na hora do chico amendoim de recuperação da chave do egito excluídas identificação do formato do arquivo tá gente já falou sobre exclusivo esse último assunto mas ele só vai ver como é que funciona isso dentro do registro né que a gente viu com octopus né vai ver também coisa novamente mas a gente vai entender agora de onde é que eu tô você pega isso tá então iniciando com análise de rede então sempre que um usuário né ele é utilizando o computador e se conecta a internet eu vou entrar nesse windows ele vai gravar isso já está em uma chave de registro então o registro de vista todas as placas de rede nesse que foram usadas na máquina suspeita tá ganhar mais que você está investigando bom então você vai ter que analisar ali a vocês isso é uma placa de rede a base para uma placa de virtual tá uma placa conectada via usb coisa desse tipo tá e aí ele resiste o perfil da conexão wireless também nasceu o nome o endereço ip máscara dhcp tá bem bom então aqui tem alguma chave está na vai atrás chaves que tratam sobre essa nave rede então eu tenho aqui a primeira aqui aquilo colocar uma china hklm só o seu microsoft windows nt corrente inveja neto network cards né mostra hoje as placas de rede na de baixo eu tenho que ir o clash internet tá eu mostrar todas as conexões e foi feita nas redes wireless mostra todos os as conexões através de um de sem fio né através de uma ide tá então é isso aí você usa aqui dentro do segundo atura a mês né e aí você coleta informações mais precisas informações mais abrangente a respeito das redes wireless mostradas a queda vai dormir da cna ou está e a última ele mostra os perfis aqui tá que a gente vai ver também que a como data de conexão tá bom então vamos ver aqui mais detalhado é isso aqui é o corrente veste network card tá recebeu o caminho que completo tem uma que eu tenho nessa máquina especial nada três do desculpa duas duas placas tá a3 e a4 era uma placa realtek pci-e gf tá vendo aqui o modelo da minha placa na descrição dela bem mostra que é uma placa e agora vamos pra cá ter net tá e eu número 3 né não tá aqui na imagem mas o número três era uma placa wireless tá o dispositivo ali ó bom então aqui é o outro outra chave né outro registro embora networklist nlhe cash internet e aqui eu mostro tá vendo ocultado aqui todas as conexões de rede interna que foram capilares nesse nesse nesse dispositivo tá então até aqui com essa pa uma coisa com com. br embaixo gov br o fn. br tá e aqui mostra vai dessas conexões tá ligada conexão dessa eu tenho umas informações é um veja o quanto a essas informações importantes na investigação né para identificar e onde é que o disco onde é que o a max respeita tava né se conectar via wireless ele connect ou a via cabo de rede exemplo se ele é proibido de acessar de conectar da determinada empresa né e aí o cara chega lá com notebook acesso notebook é ou fiz cada para fazer uma análise então é possível verificar aqui a tabela de registro que de fato a pessoa conector mesmos autorização tá bom então outra outra chave de registro né aqui outro é outra registro né aquele ele é o alex muito falou né então eu tenho aqui ó 026 eco 76 de 60 1462 cb então cada aí aqui é uma rede wireless que foi conectado anteriormente tá então a gente vai precisar identificar através desse registo peças-chave para aqui na próximo a próxima chave de registro aqui na próximo registro esse acionado na meia e tem várias para as chaves aqui a gente vai ver que eu tenho aqui por exemplo que foi conectado dns fixa cpf ponto baixo e pronto natal são eventos que fizemos como capítulo do oeste por ano passado e dentro se fizemos o cdf bom dia que mostra de foguetes dessa rede tá aqui em hexadecimal é a gente consegue converter isso aqui para binário né binário para prender esse piu é que vocês estão o endereço ip direto é que a gente vai ver que é o endereço ip tá guetta do endereço ip público tá bem que 33 gente ficou então cada 010103 f lavar casa no final aqui mas que foi cortada da imagem tenho ai de né que é faz referência a wide mostrado aqui tá então eu tenho aqui por exemplo 026 é com 76 deltas é e aqui você tem e sai aqui 0103 no final lá tem aquela numeração lá inicial tá estou machado no registro anterior tudo bem é que a gente consegue ver a chave consegue ver o leque pessoal ficou conectada na forma de william tudo bem e aqui tens profae né então eu consigo verificar a conexão de rede está na daqui worklist profae está na mesmo caminho aqui microsoft desemprego a gente fecha aí tô aqui lixo profae eu consigo ver aqui e sai de e nesse dia eu tenho informações a respeito daí a data que foi criada a última verdade doutor vestido uma conexão o nome e o professor o nome da rede estiver aqui o dark waves né que é até que não conhece a comunidade virtual tá que estuda a segurança em redes sem fio né aí a bronze tudo que você imaginar fm controle drone guerra eletrônica bluetooth low-energy bluetooth geral lms dr tudo aqui que não conhece é muito bom vou mandar' o like aqui depois para vocês da como deve só que não te ligar tá sempre tem coisa bacana lá vale a pena conhecer e beleza então nós que informações quando foi criada essa rede nesse pc e a última vez que ela foi conectada tá tranquilo oi e aí como é que a gente vai para identificar a hora do desligamento do windows já importantes pode fazer nada depois bose também e analisar quente a gente vai ficar quando foi a última vez que ele foi desligado tá então fica dentro de serviço na carne é localmachine cês tem corrente control set contra o windows e aqui tá o caminho para te dar o time e ele mostra que é um acorde ficar são tá um esse mal que com a quantificação existe sofre de específicos para fazer sua decodificação tá e mostrar para vocês né como analistas é a investigação como perito que for a qual foi a alta última data do desligamento não é oferecido ao time tá dentro desse dessa chave de registro então um dos programas que ele pode analisar e pode verificar isso é o the cold tá que ele fica disponível aqui www.

digital. com até tivi. net e aqui você a diferença mal little wing tá aqui em cima no forma que valor velho inputs e o verbo e você pode aquele valor lá 9646 75 igual tá especificada que eu 9646 75 tá então o valor da chave desse registro o time zone nesse site você vai mostrar e aquele rocha pessoa times da tabela tá na loja aqui ó o windows foi o time utc oi tá sete de julho 2020 pack windows free fire o time com o windows reconhecer isso aqui né então 8:26 aqui eu tenho luna que acontecer tá é isso aqui é importante demais já falou nas aulas anteriores sobre essa questão do time né não subscreveu o relatório isso aqui tá parece que eles forma correta tá e aqui eu tenho o valor né brt tá - 3 - 3 é brt não é brst tá bem em brst que não sabe o são light né que é o horário de verão então agora ele vai ver se eu recuperação de chave de registro é excluído está tem alguma chave de registro importantes e uma análise ela pode ser excluída tá e finalmente não tem um pra gente poder recuperar essa chave de excluída existe um sol do eric zimmerman chamado rack e me deu o eric semana através desse item o ponto aí ou aqui a página do encima quer são os executivos né que as ferramentas do eric se mesmo que ele desenvolve muita mas muita ferramenta para fazer nariz forense em windows tá então uma delas é esse régis você que escolhe o rack md que que ele faz o registro viu né para buscar né suporta multi river nós você pode escolher se você quer um river vários divas tá que você se lembra né que é o system suporte tá ele km o local machine corrente usa tá e eu plugs e morna então ele mostra tudo o que você quer pesquisar aqui tá o sofá na o rei se explora então ver 1.

540 agora em julho 2020 tá então você consegue escolher quem faz open você vai lá no arquivo lá dos e windows a system config né aí você vê lá os invernos arquivos e você escolhe qual que você quer para escolher mais de uma peça segura a tecla control e vai selecionando todos os dias é que você coloca para rodar ele vai mostrar que coisa que tem vermelho foram chaves que foram excluídas tá daqui a configuração alguém me disse com verde ltd sr tá na descrição e valores do que estavam ali dentro desse a chave de registro tá para fazer análise e registros excluídos eric zimmerman tantos né o executivo sair é contrário de sofre enorme tá é reconhecido pela pelas sensações recomendamos ferramenta do eric zimmerman tá e não identificação do formato do arquivo não é isso é o que a gente já falou acho que umas três horas já sofri isso nas duas ou três horas a respeito sobre isso então o que é isso não é isso que eu peguei numa o conceito e para você ler treinador do hassan ele fala que é uma análise de assinatura um processo em que os cabeçalhos e extensões do arquivo são comparados com as entradas de um banco de dados de cabeçalho de extensões conhecidas para descobrir se foi feita alguma tentativa de ocultar o tipo original do arquivo né então a gente vai pegar e fazer a média né eu tenho aqui uma base né o banco idade e tem aqui meu arquivo modificado não então vamos fazer esse mete ali bom analisar é normalmente o que não fica nos primeiros 20 baixo assinatura e tem meu cabeçalho também tanto que a gente fez uma avaliação né fez um exercício anterior que tinha isso daí eu dou trailer né o extensão lá no final né ele foi modificado no rodapé e aí não mostrava a imagem no local correto tá então pode acontecer então o que a gente verificar é o ex browser a gente avistou accessed né que algo mais vão ser rudimentar é o acesso ao mesmo arquivo por arquivo a gente tem que analisar e tem que procurar o médico e não vê né assinatura do arquivo e sair procurando se a criatura base de fato com o convidar escrito aqui na extensão como é que se browser ele é mais tranquilo ele dessa informação para gente né então ele consegue ficar né a mais de 1000 arquivos faz o fogo você tiver formato diferente de arquivos tá ele vai procurar essa assinatura dentro do arquivo e vai mostrar qual é aquele tipo de arquivo né então aqui abriram é o ex browser dot net roblox então é abriu aqui um é possível que a vi com dois meses então abre aqui um teste ponto guilherme mostra a extensão pronto. pdf só que quando a gente clica dentro que bem rápida banho tamanho do arquivo aí vai mostrar que hora que é um png só formato png mais do cabral tamanho ao arquivo de compressão né o orgulho de compressão lz77 tá o tamanho do arquivo onde está armazenado e etc beleza e é aqui né a outra ferramenta que a gente pode fazer e verificar e a sobre o a detecção e falha na assinatura e através do tobi está e já verificou isso antes que a gente que rodar o modo de gestão né chamado ex tensão smash técnica que ele morre aqui ó ela tá sou tá você importa né cria o o meu caso você já tiver criado né bota para rodar o teste modo você vê aqui olha que tem ciúmes mechtex ele vai mostrar aqui ó o ponto da tá pronto data conto data e ver a extenção tá e aqui qual de fato é a aplicação né tem oportunidade então esse aqui são provavelmente né pela assinatura são alguma o arquivo do office cartão ms office e aqui esse ponto. png ela em março aí mas não aprendiam bmp tá tá aqui beber o size é que eu tenho meu mac time é o molde pai aquelas crianças beleza nesse arquivo aqui então tá uma de conforme aqui deixa umidade em relação a assinatura do arquivo tá e não está descrito como extensão tudo bem ó e aqui tá mismetti a outra aqui naquele a 12 aqui em cima da eu consigo mostrar aqui eu posso um fez cave é que você subir' mexe né atenção ponto.

pdf ele mostra aqui somente um arquivos lá esse aqui foi de um exercício né que tava comentando anteriormente então atenção ponto.