a tomar pessoa boa noite vamos para mais uma aula sobre análise registro da a segunda parte e aí vamos nessa aí na semana passada me fizesse rir essa agenda né que era arquitetura do windows e falou aqui dentro do registro do windows na verdade né falou sobre a captura do risco do windows como faz o exame na parte de local inicialização rápida né verificou lá o auto-run tá e hoje a gente vai ver aqui um pouco sobre chave de programa instalado no registro né a perícia forense fosse usb aqui você sabe recentemente aí na próxima a gente vê na área e rei do desligamento e aí mas esse recuperação identificação tá então a chave de programa de instalar do registro ela pode encontrar a chave de registro que indicam que um programa ele está ou estava instalado né isso pode ser e não é um processo de investigação tá então encontrar um programa de serigrafia ou criptografia que a eles por essa indicação de que alguns suspeitos né algum arquivo suspeito sector grafado tá ou foi o culto para que o investidor não pudesse ver ok e aí aqui tem alguma chave de registro em alguns caminhos aqui que podem a ter informação sobre o programa instalado então tem aquele local machine software microsoft windows corrente bachchan uninstall então algum problema foi instalado né e aí e desinstalado posteriormente tá então eu tenho aqui de com a gente veste um stall eu tenho o do corrente em usa né tem um lado aqui localmachine sopra ou 64 32 de novo então aqui atenção é que se houver mais usados respeito né tem que olhar né que o corrente uso ele abre por usuário então aqui eu posso ter esse tempo é mais nos olhos na máquina então aqui eu vou ter que olhar em cada usuário tá e aqui no local mais fina né se a versão o convite está bem então aqui com esse hulk né instala perdeu o que é que ter um código do produto sou silêncio e ned é que eu tenho logo aqui corrente usa solta microsoft sala produto o código do produto né normal tá bom bom então é chave do programa instalado registro é possível usar ferramentas né automatizado isso é procurar e o item isso aí catando lá em cada registro desse tá bem então a gente encontra de parte de programa se a gente não encontrado diretamente algum registro né eu posso parte do programa racha das aplicações eu vou cair tem que ser o culto né de ser relacionado aquele problema que ela publica sobre gente tá procurando então annie só como ela tem uma ferramenta gratuita para isso né que roda no windows também tem umas ferramentas e roda no windows era fazer a busca não é de registro hino de forma automatizada tá é um baseado em algum critério de busca aqui de um exemplo mas eu quero pesquisar sobre isso crypton digita que eu faço isso e metrô que tro clips e coloca que se devia ou não ou não né se tem de 1254 balde forma aqui quais são os rivais naquele vai procurar tá e manda um scan o tucano oi jaque se eu quiser eu errar que se sente viveu já fiz uma bruxa aqui no sesi dizer a ele sai procurando aqui olha aqui corrente usa crh carro e você é e mostra que os caminhos tá aqui aí ó onde é que tá a vó dele programa 7zip vai dizer ponto x é tá ok e quando foi a chave foi modificada né pelo menos foi instalado esse aqui tá disse que isso aqui foi foi uma colar no seu lado aqui foi modificada a chave também bom então é importante saber que nem todos os programas tá eles precisam estar especial instalar uma chave de registro também então antes de ser utilizad acontece aquele registro né do quando você vai executar o programa portátil por exemplo né ele não instala do que a gente executa direto do usb também e aí você pode procurar por ele com alguns alça específicos ou dentro da pasta prefetch do windows eu faço essa prefere que é quando um aplicação né o sol você vai utilizar um problema ele é ele armazena algumas informações vamos assim pré-configuradas ali para que quando você execute novamente aquele pegar uma demora tanto para abrir tá então ele pode ter início do que que você tá usando que você tá abrindo tá e aí no caso dispositivo usb tranquilo meu sol relação a isso um dispositivo usb né a gente agora do programa instalado se adesiva encontrar agora de você vai receber desde o registro né que o windows ele mantém um blog né do história com todos os dispositivos usb que já foram conectados a isso é importante você saber outra suspeita que a infecção foi feita via algum dispositivo conectado né tá então o alguém conectar depois conectar o notebook acontecer alguma coisa né somente para a resposta a incidentes aí então a momento da conexão tá ou na casa de crime também na verdade se o suspeito né ele comentou usb para copiar alguma coisa ficar tem como verificar se foi aquele usb quente possível não qual foi tá é que você viu muita conexão que você ver qual foi a conta de usuário que foi conectada qual foi a rede o fornecedor o aí do produto né a revisão que teve esse produto e número de série dele se tiver o número de série cadastrada tá então ele é o windows ele armazena as informações em cinco chave de registro tá e cada cada uma dessas aparece a informação de o que é preciso de fazer uma relação entre essas chaves tá bonitão ideia de como é que o invasor né sendo utilizado alguns possível móvel removível né e para conduzir essa ação também então essa chave sua vaga aqui localmachine assim sem corrente contra o 7 no sbt store tem um só ah tá então nessa chave de armazena todos os dispositivos usb que foram conectados desde a instalação do windows tá então tá tudo lá e formação se possível como ele do fornecedor aí do produto né número de série tá e tem observação aqui é que se o segundo caracteres número de série for um e comercial né você que tava mexendo na tela ou inclusive gerou esse número número de sair aleatoriamente tá ele não não é do dispositivo também bom então aqui está o exemplo né aqui localmachine tá o caminho dono da do registro na itália chave aqui eu tenho esse vem kingston não produto trava é o 3. 0 eu tenho aqui o número de série dele tá é que tem um outro dispositivo foi conectado tá bem disco e aqui tem informações a respeito desse meu dispositivo ou sozinha mídia removível tranquilo é tão outro a outra chave eu ver aqui local machine system malta a gente vai citar que ele armazena as alocações de letra tá e de unidade também a daqui local machine sistema de vai se você vir aqui ó o caminho moto ele vai se eu consigo ver aqui embaixo na de oeste vai essa letra aí eu tenho aqui o data travel eu trava 3. 0 have a revisão da pm app0 de 55 é 628 fc tá vendo aqui é aquele serial que a gente tava olhando lá tá ele foi montada com a letra i oi e aí quando você quiser fazer de tanta cave alguma coisa assim eu nós vamos algum problema com este cartão você você pega lá letra aí né você consegue saber que foi desde dispositivo que ele foi montado tá bom então outra chave né olha aqui com a gente usa solta microsoft windows corrente vejam explorar mouse pointer 12 legista qual usuário está usando indústria quando um dispositivo usb conectado então ele regi também a hora da última gravação de cada dispositivo conectado ao sistema tá então tá aqui ela tem um dispositivo né o número a data que ele fez criada tá sendo que na daqui a pouco eu falo então aqui eu tenho um usb né que de informações técnicas a respeito do dispositivo usb conectado na última vez que o dispositivo usb conectado ao computador investigado também né então eu tenho aqui o caminho é 0255 na o número de segue lá no the voice é aquele gol e foi ligar na porta 3.
0 usb e só o service contém flag endereço que foi utilizado clássico editar uma uma gama de informações a respeito aqui do nosso tipo assim vai se ver analisado só então estou indo para investigar a identificar a primeira vez que a o que é conectado tá aí procurar pelo número de série usb mas ele fica dentro desse caminhão aqui né nos normais não sei dois pontos nas e dois ponto windows infissi setup. app dev. ico.
org para windows vista 7 e 8 o windows with setup ponto upgrade no blog para o windows 10 tá daqui eu abro ele é um arquivo o mundo alguns milhares e linhas tá que tem que ir dispositivos na horário tá tudo drive data do drive confiante possível conectado o tipo tá e aí para não ficar só nisso né na mulher que catando cada cinco chave a gente pode procurar o tesouro usb deview tá isso aqui para o ainda está não só precisar de soft também então você dá dois fique lá bem simples ele mostra aqui ó da trava aquele king roxa está kingston datatraveler 3. 10 usb ou serial dele aqui né a vamos que foi modificado tá ia sair do sai 2020 e aqui aqui a primeira vez na sexta qual 2020 só aqui tem uma outra quantidade enorme aqui dispositivo usb conectado com seu número de série tal é que bem mais fácil né tem aqui tem mais de mim né a na esquerda você consegue sair catando aqui veio olhar registro por registro tá tá procurando o esposo que você quer saber tá então facilita bastante aí também porém nem todos os dispositivos usb então vou deixar rasto tá então dispositivo que usa o mtp né que é o protocolo de transferência de mídia ao android e blackberry connect a passagem firefox ou coisas do tipo ele não não deixa não não deixa o registro não deixa acho na verdade o registro então é preciso de uma ferramenta especializada para fazer análise isso aí né como é usb detective tá ele tá aqui o sbt crise. com tá tem uma a combina de lixo né uma versão como uma como não tivesse não conversando com ele tá e aí ele gosta semelhante que a gente que nós saber demais só que engloba também os dispositivos que utilizaram com o mtp da almoço esse é o mídia transfer prático tudo bem pessoal eu só falo sobre informações sobre o windows é a gente consegue encontrar informações relativas tinha operacional através da chave de registro tá é importante conquistar é bom essas informações de relatório pericial depende da situação tá então você informações pode ser encontrada alguma na chave é da klm localmachine então só microsoft windows nt corrente version então tá aqui da corrente veste eu consigo ver que o produto nem windows 10 e aí você vê o resultado se arruma e etc datacenter para servir né você vê qual é o pfnm a data de instalação reinstalação ou produto que eles al4 a versão do windows tá e aí uma gama de informação a edição que você tá pronto cdpef name então uma cuidado informações enorme você consegue ver é sobre o senhor nacional eu decidi registro tá aqui eu tô com o registro do regedit aberto e ao ter ano mas a gente consegue ver isso isso aqui sabe que é um arquivo né o arquivo sofra a gente consegue mexer isso e qualquer editor de texto tá claro que não é a simples né e trivial como daqui bonitinho né mas consegue ferramentas de outra forma também bom então é contra o nome computador até o outro caminho né tem um local machine lm systems current control set com o vitor comprou de anime couples anime tá aqui eu consigo ver o nome tá quanto aqui bom então é a outra forma às vezes tem os arquivos mais usados recentemente né o chamam de mel rio são registro no registro na área de manter um hobby das atividades realizadas o sistema não é possível encontrar os últimos arquivos acessados nos processos carregados na tela inicial do sistema outros arquivos executados configurações de rede e aí dentro das outras coisas mais tá aí os arquivos atualizados mais recentes ou mr urna é o most recently usa essa lista de programas usados na recentemente ótimo saber que o sistema operacional windows salva dentro do registro do windows tá então desculpa também são visíveis para qualquer usuário no menu suspenso do programa né então como ainda é capaz de você verá a lista de sites visitados e aí o índice ele faz isso não apenas para ela mas também para outros programas como o microsoft office e outros vários programas tá aqui tá chave de registro né do que você pode encontrar olha aqui que a gente usa sofre a explorar a type your url here your ad água que corrente usar microsoft office explore new open save the hope of rules and dogs a que você consegue ver uma gama de arquivos de aplicação aí de url que você visitou anteriormente tá aqui mais recente visita visitados através de dentro da chave de registro tá então tá aqui né eu consigo ver isso com roupa em você faz os dias também é uma ferramenta danysoft que automatiza a isa tá então a gente vai te procurar um por hoje consegue ver se aqui né dentro de você tá qual foi os últimos arquivos abertos então tem um hash as pontinhas pg teste.
cs vrt2 real e qual é esse entendeu e aqui quando foi aberto a hora que eu marquei com modificada quando foi criado ele pega aquele mktime e mostra para a gente que usar qual o tipo de extensão tudo bem ó e aqui é o execute o programa deles na programe-se que é outra ferramenta de sobra tá esse aterramento de só que ele fica dentro do você pode baixar claro lá no site da me solta mas ele também fica dentro do carne né lembra que ele falou sobre cai no chão processar oferece específico né para para isso né para esse fim então dentro do carne quando você monta o dispositivo usb ele quando você pluga a e se fosse vai ser bem quando você joga ele no windows por exemplo ele fora tem uma várias ferramentas de investigação uma delas essa quantidade de de sofre dani solta lá e quando você pluga ele para ir aí quando é que eu vou botar ele abre o cai tão importante perceber isso então você consegue ter um dispositivo usb não pendrive por exemplo para fazer investigação na máquina a quente não mas na live ele conta essa quantidade de positivos ou uma máquina pode volta né que você consegue trocar ela no sb é colocar o seu hd do picado lá já é mas diferença analisar ali também tá é bom esse negócio 2. 0 é importante por o cara você vai ter 50 cada velocidade de leitura e gravação não é inscrito é o cuzinho da esposa ele ficam as mais lenta que o modo usb 3.
