O documento fornece informações sobre análise de registro em Windows. Ele lista livros e documentos de referência sobre o assunto, ferramentas gratuitas e comerciais para análise de registro, e detalha conceitos como estrutura, localização e operações básicas do registro do Windows.
Este documento discute a aquisição e análise de memória em investigações forenses em Windows. Ele fornece uma lista de referências como livros, papers e ferramentas que podem ser usadas para realizar análises de memória e comparar as abordagens de análise de memória ao vivo versus imagens de memória. O documento também discute as limitações da resposta ao vivo e apresenta um exemplo laboratorial para testar ferramentas de resposta ao vivo.
Perícia Forense - Análise dos Sistemas de ArquivosSofia Trindade
O documento discute técnicas de análise forense de sistemas de arquivos para investigar invasões. Ele descreve como preparar o sistema de arquivos da vítima, capturar informações de arquivos, enviar imagens de disco pela rede, montar imagens para análise, analisar atributos e conteúdo de arquivos existentes e excluídos, e rastrear arquivos excluídos até sua localização original.
Perícia Forense - Análise dos Sistemas de ArquivosThaís Favore
O documento discute técnicas de análise forense de sistemas de arquivos para investigar invasões, incluindo preparar o sistema de arquivos da vítima, capturar informações de arquivos, enviar imagens de disco pela rede, analisar MACtimes e hashes de arquivos existentes e excluídos, e rastrear arquivos excluídos até sua localização original.
Iccyber 2012 sandro suffert - apura - evolucao das tecnicas de investigacao...Sandro Suffert
O documento resume as principais técnicas de investigação digital em ambientes corporativos, incluindo a evolução histórica, os principais riscos, ferramentas de apoio e abordagens híbridas de resposta a incidentes e perícia computacional. É destacada a importância da preparação, detecção, triagem e resposta rápida a incidentes com o uso de soluções de monitoramento, análise forense e coleta de evidências digitais.
1. O documento discute os avanços tecnológicos em perícia computacional e resposta a incidentes, incluindo o aumento no tamanho de mídias e fontes de dados, novidades tecnológicas, melhorias em ferramentas de análise, triagem e técnicas de análise.
2. As técnicas de análise evoluíram com novas abordagens como hashing fuzzy, análise de blocos de arquivos e entropia, além de linhatimes superiores.
3. Houve também
201108 sandro süffert - desafios em forense computacional e resposta a incide...Sandro Suffert
1) O documento discute desafios em computação forense e resposta a incidentes, abordando equipamentos de laboratórios, áreas de aplicação, modalidades de perícia digital e taxonomia de eventos cibernéticos.
2) São apresentados exemplos de softwares e hardwares utilizados em perícia digital, como duplicadores de mídias, computadores especializados e ferramentas de aquisição remota e preservação de evidências.
3) Os principais desafios citados são o aumento no volume de
Este documento apresenta as informações sobre o Desafio Forense ICCyber 2012, incluindo ferramentas digitais como Sleuthkit, Volatility e Wireshark que podem ser úteis para resolver o desafio. O objetivo é descobrir uma frase final respondendo às etapas do desafio.
Este documento discute a aquisição e análise de memória em investigações forenses em Windows. Ele fornece uma lista de referências como livros, papers e ferramentas que podem ser usadas para realizar análises de memória e comparar as abordagens de análise de memória ao vivo versus imagens de memória. O documento também discute as limitações da resposta ao vivo e apresenta um exemplo laboratorial para testar ferramentas de resposta ao vivo.
Perícia Forense - Análise dos Sistemas de ArquivosSofia Trindade
O documento discute técnicas de análise forense de sistemas de arquivos para investigar invasões. Ele descreve como preparar o sistema de arquivos da vítima, capturar informações de arquivos, enviar imagens de disco pela rede, montar imagens para análise, analisar atributos e conteúdo de arquivos existentes e excluídos, e rastrear arquivos excluídos até sua localização original.
Perícia Forense - Análise dos Sistemas de ArquivosThaís Favore
O documento discute técnicas de análise forense de sistemas de arquivos para investigar invasões, incluindo preparar o sistema de arquivos da vítima, capturar informações de arquivos, enviar imagens de disco pela rede, analisar MACtimes e hashes de arquivos existentes e excluídos, e rastrear arquivos excluídos até sua localização original.
Iccyber 2012 sandro suffert - apura - evolucao das tecnicas de investigacao...Sandro Suffert
O documento resume as principais técnicas de investigação digital em ambientes corporativos, incluindo a evolução histórica, os principais riscos, ferramentas de apoio e abordagens híbridas de resposta a incidentes e perícia computacional. É destacada a importância da preparação, detecção, triagem e resposta rápida a incidentes com o uso de soluções de monitoramento, análise forense e coleta de evidências digitais.
1. O documento discute os avanços tecnológicos em perícia computacional e resposta a incidentes, incluindo o aumento no tamanho de mídias e fontes de dados, novidades tecnológicas, melhorias em ferramentas de análise, triagem e técnicas de análise.
2. As técnicas de análise evoluíram com novas abordagens como hashing fuzzy, análise de blocos de arquivos e entropia, além de linhatimes superiores.
3. Houve também
201108 sandro süffert - desafios em forense computacional e resposta a incide...Sandro Suffert
1) O documento discute desafios em computação forense e resposta a incidentes, abordando equipamentos de laboratórios, áreas de aplicação, modalidades de perícia digital e taxonomia de eventos cibernéticos.
2) São apresentados exemplos de softwares e hardwares utilizados em perícia digital, como duplicadores de mídias, computadores especializados e ferramentas de aquisição remota e preservação de evidências.
3) Os principais desafios citados são o aumento no volume de
Este documento apresenta as informações sobre o Desafio Forense ICCyber 2012, incluindo ferramentas digitais como Sleuthkit, Volatility e Wireshark que podem ser úteis para resolver o desafio. O objetivo é descobrir uma frase final respondendo às etapas do desafio.
O documento descreve o que é o registro do Windows, sua estrutura hierárquica de grupos, chaves e valores, e alguns dos principais grupos como HKEY_CLASSES_ROOT, HKEY_CURRENT_USER, HKEY_LOCAL_MACHINE e suas funções. Exemplos de como fazer backup do registro e alterar informações sobre hardware são dados.
O documento discute sistemas operacionais multiprogramáveis e processos. Explica que um processo é um programa em execução que armazena informações do programa. Descreve que um processo é formado por contexto de hardware, contexto de software e espaço de endereçamento. Resume também que o bloco de controle de processo armazena informações importantes sobre o estado e recursos de um processo.
Como administrar SQL Server no Linux - Rodrigo CrespiTchelinux
Este documento discute a administração do SQL Server no Linux, comparando a arquitetura e instalação entre Windows e Linux. Ele também cobre ferramentas de análise de desempenho e recursos disponíveis no Linux para monitorar e otimizar bancos de dados SQL Server.
O documento discute vários tópicos sobre administração e segurança em sistemas Linux. Aborda conceitos como login, grupos de usuários, agendamento de tarefas, interface gráfica X Window, shell script, kernel, logs, redes e criptografia.
Este documento apresenta um minicurso introdutório ao sistema operacional Linux. O minicurso aborda conceitos básicos do Linux, como distribuições, ambientes gráficos e estrutura de diretórios. Além disso, ensina sobre instalação de pacotes, shell scripting, administração do sistema e configuração de rede através da resolução de problemas.
O documento descreve o framework Yocto para compilação cruzada de sistemas embarcados Linux. Yocto permite:
1) Compilar software para várias arquiteturas a partir de código-fonte, gerando pacotes e imagens de sistema;
2) Personalizar facilmente sistemas operacionais através de configurações em tempo de compilação;
3) Contar com uma vasta comunidade e milhares de pacotes disponíveis.
O documento descreve um curso sobre sistemas operativos servidores. Ele inclui instruções sobre como selecionar, instalar e configurar um sistema operativo servidor, incluindo a promoção a controlador de domínio, configuração de DHCP e otimização do desempenho. O documento também discute gestão de recursos do servidor, backups, segurança e gestão de energia.
O documento discute os conceitos de processos em sistemas operacionais, incluindo a estrutura de um processo, contexto de hardware e software, e gerenciamento de processos. Processos armazenam informações de programas em execução e são formados por contexto de hardware, software e espaço de endereçamento. O bloco de controle de processo gerencia as informações de cada processo.
Implementação de PCs, parte 2 de 4: Migração dos dados e configurações dos us...Marcelo Matias
O documento fornece diretrizes sobre a melhor implementação do User State Migration Tool (USMT) para migração de dados e configurações de usuários entre sistemas operacionais Windows. Ele discute o planejamento da migração, o processo de captura e restauração de dados, e melhores práticas como exclusão seletiva de itens, uso de hardlinks e configurações personalizadas.
Introdução ao SystemTap - João Avelino Bellomo Filho - Tchelinux Caxias 2018Tchelinux
O documento apresenta uma introdução à ferramenta SystemTap para debug e monitoramento do kernel Linux. Ele descreve os recursos do SystemTap, como sondas de kernel e user space, tapsets e exemplos de scripts para monitorar funções, módulos e syscalls.
Este documento fornece um resumo sobre sistemas operativos clientes. Discute as principais versões do Windows, como MS-DOS, Windows XP, Windows 7 e Windows 8. Também aborda partições de disco, sistemas de arquivos e a instalação de sistemas operativos em máquinas virtuais.
O documento fornece uma introdução ao sistema operacional Linux, descrevendo seus requisitos de hardware, métodos de instalação, nomes de dispositivos, particionamento de disco, processos de inicialização e comandos básicos para administração e manutenção do sistema.
PostgreSQL Tuning: O elefante mais rápido que um leopardoelliando dias
O documento fornece dicas sobre como otimizar o desempenho de um banco de dados PostgreSQL. Ele discute problemas comuns de desempenho, escolhas de configuração erradas, melhorias de hardware e software, parâmetros do sistema operacional e do PostgreSQL, ferramentas de teste de desempenho e escalabilidade.
Palestra ministrada em sala de aula para turma de concluintes do curso de Administração - Hab. em Comércio Exterior da URI - Campus de Erechim, no ano de 2009.
BackTrack é uma distribuição Linux focada em segurança que inclui ferramentas para enumeração de sistemas e exploração de vulnerabilidades. O documento descreve como instalar o BackTrack a partir do zero, criando partições e formatando os sistemas de arquivos, e fornece exemplos de como usar ferramentas como XProbe2 para obter informações sobre sistemas remotos.
BackTrack é uma distribuição Linux focada em segurança que inclui ferramentas para enumeração de sistemas e exploração de vulnerabilidades. O documento descreve como instalar o BackTrack a partir do zero, criando partições e formatando os sistemas de arquivos, e explica brevemente algumas das ferramentas incluídas como Nmap para varredura de portas e XProbe2 para detecção de sistema operacional.
Este documento fornece uma introdução sobre Linux embarcado, discutindo:
1) Uma breve história do Linux e sistemas embarcados;
2) Os principais componentes de um sistema Linux embarcado, incluindo hardware, bootloader, kernel, bibliotecas e ferramentas;
3) Considerações sobre seleção de hardware e construção de sistemas embarcados com Linux.
1) O documento descreve as etapas da inicialização de um sistema operacional, incluindo a execução do POST pela BIOS, a leitura do MBR pelo BIOS e o carregamento do núcleo do sistema operacional.
2) É explicado que o MBR contém informações sobre as partições do disco rígido que permitem ao BIOS carregar o código de inicialização da partição de boot.
3) As principais etapas da inicialização são a execução do POST pela BIOS, a leitura do MBR para identificar a partição de boot e o
Este documento descreve diversos softwares de diagnóstico de hardware e suas funcionalidades, com destaque para o Sisoftware SANDRA. O SANDRA fornece análises completas do sistema, hardware e desempenho através de módulos de informação, benchmark e relatórios.
O documento apresenta os principais comandos e arquivos do Linux relacionados à identificação e configuração de hardware. Detalha o mapeamento de dispositivos como placas de rede, barramentos PCI e USB, além de portas seriais e drivers de dispositivos através de módulos carregados no kernel.
As classes de modelagem podem ser comparadas a moldes ou
formas que definem as características e os comportamentos dos
objetos criados a partir delas. Vale traçar um paralelo com o projeto de
um automóvel. Os engenheiros definem as medidas, a quantidade de
portas, a potência do motor, a localização do estepe, dentre outras
descrições necessárias para a fabricação de um veículo
Mais conteúdo relacionado
Semelhante a Forense windows registro_sandro_suffert
O documento descreve o que é o registro do Windows, sua estrutura hierárquica de grupos, chaves e valores, e alguns dos principais grupos como HKEY_CLASSES_ROOT, HKEY_CURRENT_USER, HKEY_LOCAL_MACHINE e suas funções. Exemplos de como fazer backup do registro e alterar informações sobre hardware são dados.
O documento discute sistemas operacionais multiprogramáveis e processos. Explica que um processo é um programa em execução que armazena informações do programa. Descreve que um processo é formado por contexto de hardware, contexto de software e espaço de endereçamento. Resume também que o bloco de controle de processo armazena informações importantes sobre o estado e recursos de um processo.
Como administrar SQL Server no Linux - Rodrigo CrespiTchelinux
Este documento discute a administração do SQL Server no Linux, comparando a arquitetura e instalação entre Windows e Linux. Ele também cobre ferramentas de análise de desempenho e recursos disponíveis no Linux para monitorar e otimizar bancos de dados SQL Server.
O documento discute vários tópicos sobre administração e segurança em sistemas Linux. Aborda conceitos como login, grupos de usuários, agendamento de tarefas, interface gráfica X Window, shell script, kernel, logs, redes e criptografia.
Este documento apresenta um minicurso introdutório ao sistema operacional Linux. O minicurso aborda conceitos básicos do Linux, como distribuições, ambientes gráficos e estrutura de diretórios. Além disso, ensina sobre instalação de pacotes, shell scripting, administração do sistema e configuração de rede através da resolução de problemas.
O documento descreve o framework Yocto para compilação cruzada de sistemas embarcados Linux. Yocto permite:
1) Compilar software para várias arquiteturas a partir de código-fonte, gerando pacotes e imagens de sistema;
2) Personalizar facilmente sistemas operacionais através de configurações em tempo de compilação;
3) Contar com uma vasta comunidade e milhares de pacotes disponíveis.
O documento descreve um curso sobre sistemas operativos servidores. Ele inclui instruções sobre como selecionar, instalar e configurar um sistema operativo servidor, incluindo a promoção a controlador de domínio, configuração de DHCP e otimização do desempenho. O documento também discute gestão de recursos do servidor, backups, segurança e gestão de energia.
O documento discute os conceitos de processos em sistemas operacionais, incluindo a estrutura de um processo, contexto de hardware e software, e gerenciamento de processos. Processos armazenam informações de programas em execução e são formados por contexto de hardware, software e espaço de endereçamento. O bloco de controle de processo gerencia as informações de cada processo.
Implementação de PCs, parte 2 de 4: Migração dos dados e configurações dos us...Marcelo Matias
O documento fornece diretrizes sobre a melhor implementação do User State Migration Tool (USMT) para migração de dados e configurações de usuários entre sistemas operacionais Windows. Ele discute o planejamento da migração, o processo de captura e restauração de dados, e melhores práticas como exclusão seletiva de itens, uso de hardlinks e configurações personalizadas.
Introdução ao SystemTap - João Avelino Bellomo Filho - Tchelinux Caxias 2018Tchelinux
O documento apresenta uma introdução à ferramenta SystemTap para debug e monitoramento do kernel Linux. Ele descreve os recursos do SystemTap, como sondas de kernel e user space, tapsets e exemplos de scripts para monitorar funções, módulos e syscalls.
Este documento fornece um resumo sobre sistemas operativos clientes. Discute as principais versões do Windows, como MS-DOS, Windows XP, Windows 7 e Windows 8. Também aborda partições de disco, sistemas de arquivos e a instalação de sistemas operativos em máquinas virtuais.
O documento fornece uma introdução ao sistema operacional Linux, descrevendo seus requisitos de hardware, métodos de instalação, nomes de dispositivos, particionamento de disco, processos de inicialização e comandos básicos para administração e manutenção do sistema.
PostgreSQL Tuning: O elefante mais rápido que um leopardoelliando dias
O documento fornece dicas sobre como otimizar o desempenho de um banco de dados PostgreSQL. Ele discute problemas comuns de desempenho, escolhas de configuração erradas, melhorias de hardware e software, parâmetros do sistema operacional e do PostgreSQL, ferramentas de teste de desempenho e escalabilidade.
Palestra ministrada em sala de aula para turma de concluintes do curso de Administração - Hab. em Comércio Exterior da URI - Campus de Erechim, no ano de 2009.
BackTrack é uma distribuição Linux focada em segurança que inclui ferramentas para enumeração de sistemas e exploração de vulnerabilidades. O documento descreve como instalar o BackTrack a partir do zero, criando partições e formatando os sistemas de arquivos, e fornece exemplos de como usar ferramentas como XProbe2 para obter informações sobre sistemas remotos.
BackTrack é uma distribuição Linux focada em segurança que inclui ferramentas para enumeração de sistemas e exploração de vulnerabilidades. O documento descreve como instalar o BackTrack a partir do zero, criando partições e formatando os sistemas de arquivos, e explica brevemente algumas das ferramentas incluídas como Nmap para varredura de portas e XProbe2 para detecção de sistema operacional.
Este documento fornece uma introdução sobre Linux embarcado, discutindo:
1) Uma breve história do Linux e sistemas embarcados;
2) Os principais componentes de um sistema Linux embarcado, incluindo hardware, bootloader, kernel, bibliotecas e ferramentas;
3) Considerações sobre seleção de hardware e construção de sistemas embarcados com Linux.
1) O documento descreve as etapas da inicialização de um sistema operacional, incluindo a execução do POST pela BIOS, a leitura do MBR pelo BIOS e o carregamento do núcleo do sistema operacional.
2) É explicado que o MBR contém informações sobre as partições do disco rígido que permitem ao BIOS carregar o código de inicialização da partição de boot.
3) As principais etapas da inicialização são a execução do POST pela BIOS, a leitura do MBR para identificar a partição de boot e o
Este documento descreve diversos softwares de diagnóstico de hardware e suas funcionalidades, com destaque para o Sisoftware SANDRA. O SANDRA fornece análises completas do sistema, hardware e desempenho através de módulos de informação, benchmark e relatórios.
O documento apresenta os principais comandos e arquivos do Linux relacionados à identificação e configuração de hardware. Detalha o mapeamento de dispositivos como placas de rede, barramentos PCI e USB, além de portas seriais e drivers de dispositivos através de módulos carregados no kernel.
Semelhante a Forense windows registro_sandro_suffert (20)
As classes de modelagem podem ser comparadas a moldes ou
formas que definem as características e os comportamentos dos
objetos criados a partir delas. Vale traçar um paralelo com o projeto de
um automóvel. Os engenheiros definem as medidas, a quantidade de
portas, a potência do motor, a localização do estepe, dentre outras
descrições necessárias para a fabricação de um veículo
Este certificado confirma que Gabriel de Mattos Faustino concluiu com sucesso um curso de 42 horas de Gestão Estratégica de TI - ITIL na Escola Virtual entre 19 de fevereiro de 2014 a 20 de fevereiro de 2014.
Em um mundo cada vez mais digital, a segurança da informação tornou-se essencial para proteger dados pessoais e empresariais contra ameaças cibernéticas. Nesta apresentação, abordaremos os principais conceitos e práticas de segurança digital, incluindo o reconhecimento de ameaças comuns, como malware e phishing, e a implementação de medidas de proteção e mitigação para vazamento de senhas.
PRODUÇÃO E CONSUMO DE ENERGIA DA PRÉ-HISTÓRIA À ERA CONTEMPORÂNEA E SUA EVOLU...Faga1939
Este artigo tem por objetivo apresentar como ocorreu a evolução do consumo e da produção de energia desde a pré-história até os tempos atuais, bem como propor o futuro da energia requerido para o mundo. Da pré-história até o século XVIII predominou o uso de fontes renováveis de energia como a madeira, o vento e a energia hidráulica. Do século XVIII até a era contemporânea, os combustíveis fósseis predominaram com o carvão e o petróleo, mas seu uso chegará ao fim provavelmente a partir do século XXI para evitar a mudança climática catastrófica global resultante de sua utilização ao emitir gases do efeito estufa responsáveis pelo aquecimento global. Com o fim da era dos combustíveis fósseis virá a era das fontes renováveis de energia quando prevalecerá a utilização da energia hidrelétrica, energia solar, energia eólica, energia das marés, energia das ondas, energia geotérmica, energia da biomassa e energia do hidrogênio. Não existem dúvidas de que as atividades humanas sobre a Terra provocam alterações no meio ambiente em que vivemos. Muitos destes impactos ambientais são provenientes da geração, manuseio e uso da energia com o uso de combustíveis fósseis. A principal razão para a existência desses impactos ambientais reside no fato de que o consumo mundial de energia primária proveniente de fontes não renováveis (petróleo, carvão, gás natural e nuclear) corresponde a aproximadamente 88% do total, cabendo apenas 12% às fontes renováveis. Independentemente das várias soluções que venham a ser adotadas para eliminar ou mitigar as causas do efeito estufa, a mais importante ação é, sem dúvidas, a adoção de medidas que contribuam para a eliminação ou redução do consumo de combustíveis fósseis na produção de energia, bem como para seu uso mais eficiente nos transportes, na indústria, na agropecuária e nas cidades (residências e comércio), haja vista que o uso e a produção de energia são responsáveis por 57% dos gases de estufa emitidos pela atividade humana. Neste sentido, é imprescindível a implantação de um sistema de energia sustentável no mundo. Em um sistema de energia sustentável, a matriz energética mundial só deveria contar com fontes de energia limpa e renováveis (hidroelétrica, solar, eólica, hidrogênio, geotérmica, das marés, das ondas e biomassa), não devendo contar, portanto, com o uso dos combustíveis fósseis (petróleo, carvão e gás natural).
1. Forense em Windows
Análise de Registro
Sandro Süffert - http://suffert.com
CTO, Techbiz Forense Digital
Versão:3
Criação: 07/03/2009 – Última atualização: 26/09/2010
2. Forense em Windows
• Temas:
– A: Aquisição e Análise de Memória (8hs)
– B: Análise de Registro (8hs)
3. Tema B: Material de Referência
Livros:
I - Windows Forensic Analysis v2, Harlan Carvey
Capítulos 3 – Windows Memory Analysis, Capítulo 4 – Registry Analysis
II - EnCE – The Official Encase Certified Examiner Study Guide, 2nd Edition, Steve Bunting
Capítulos 3 – First Response e 9 – Windows Operating System Artifacts e 10 – Advanced Windows - Registry
III - Malware Forensics – Investigating and Analyzing Malicious Code, James Aquilina, - Eoghan Casey, Cameron Malin
Capítulos 3 – Memory Forensics: Analyzing Physical and Process Memory Dumps e 9 – Analysis of a Suspect Program
IV – Microsoft Windows Registry Guide, 2nd Edition
V - Windows Registry Forensics – Harlan Carvey
4. Tema B: Material de Referência
Papers / Documentações:
“Inside the Registry” Windows NT Magazine – Mark Russinovich
http://technet.microsoft.com/en-us/library/cc750583.aspx
Windows 7 UserAssist Registry Keys - Didier Stevens: Into The Box Magazine.
http://intotheboxes.wordpress.com/2010/04/05/into-the-boxes-issue-0x1/
Guide To Profiling USB Device Thumbdrives and Drive Enclosure on Win7, Vista, and XP – DVD 3
http://blogs.sans.org/computer-forensics/files/2009/09/USBKEY-Guide.pdf
http://blogs.sans.org/computer-forensics/files/2009/09/USB_Drive_Enclosure-Guide.pdf
RegRipper Documentation - http://regripper.net/RR/Documents/Documents.zip - DVD 3
Registry Reference Deleted Apps ACMRU Windows Forensic Analysis - RegRipper version 2.02 Cheat Sheet
AccessData Registry Viewer Documentation - DVD 3: http://www.accessdata.com/supplemental.html
Registry Quick Find Chart Registry Offset UserAssist Registry Key
Forensic Analysis of the Windows Registry in Memory - Brendan Dolan-Gavitt: http://www.dfrws.org/2008/proceedings/p26-dolan-gavitt.pdf
Recovering Deleted Data From the Windows Registry - Timothy Morgan: http://www.dfrws.org/2008/proceedings/p33-morgan.pdf
Forensic Analysis of Unnalocated Space in Windows Registry Hive Files – Jolantha Thomasen (University of Liverpool)
http://www.sentinelchicken.com/data/JolantaThomassenDISSERTATION.pdf
5. Tema B: Ferramentas
1) Virtual Machines:
1.0) VMWare Workstation, Server ou Player: http://www.vmware.com - DVD 2
1.1) VM SIFT Workstation 2.0: https://computer-forensics2.sans.org/community/siftkit/ - DVD 0
1.2) VM de Laboratório: “XPDUMMY” – DVD 1 e 2
2) Ferramentas Free/GPL:
2.1 - FTKImager - http://www.accessdata.com/downloads.html#FTKImager – DVD 2
2.2 - Process Monitor - Sysinternals - http://technet.microsoft.com/en-us/sysinternals/bb896645.aspx - DVD 3
2.4 – Reg Ripper (+ RegSlack, + RegScan, +RipXp) - http://regripper.net/?page_id=150 - DVD 3
2.5 – Registry Viewer - AccessData: http://www.accessdata.com/downloads.html#ForensicProducts – DVD 3
2.6 – Registry Summary Report Files - AccessData: http://www.accessdata.com/downloads/rsrfiles/AllRSRFiles.zip - DVD 3
2.7 – RegExtract (GUI/CLI) – WoanWare: http://www.woanware.co.uk/downloads/ - DVD 3
2.8 – RegShot - http://sourceforge.net/projects/regshot/files/ - DVD 3
2.9 – RegLookup - http://projects.sentinelchicken.org/reglookup/download/ - DVD 3
2.10 – USBDeview - http://www.nirsoft.net/utils/usb_devices_view.html - DVD 3
2.11 – USBDeviceForensics - http://www.woanware.co.uk/usbdeviceforensics/ - DVD 3
2.12 – UserAssist - http://blog.didierstevens.com/programs/userassist/ - DVD 3
2.12 – FGET – https://www.hbgary.com/community/free-tools/ – DVD 2
2.13 – TimeLord - http://computerforensics.parsonage.co.uk/timelord/timelord.htm - DVD 3
2.14 – MiTec Windows Registry Recovery – http://www.mitec.cz/wrr.html DVD 3
3) Ferramentas Comerciais:
3.1 – AccessData FTK 3.1 + Registry Viewer – http://www.accessdata.com
3.2 – Encase Forensics 6.17 – http://www.guidancesoftware.com
UserAssist Decoder V3.3 Enscript - https://support.guidancesoftware.com/forum/downloads.php?do=file&id=832 – DVD 3
Registry Examiner Enpack - https://support.guidancesoftware.com/forum/downloads.php?do=file&id=752 – DVD 3
6. Organização e Ordenação de dados
• Bases: binária (0,1) /decimal (0-9) / hexadecimal (0-F):
“Dezoito” = decimal 18 (10+8), hexadecimal 12 (16 + 2), binário = 00010010 (2^2 + 2^4) = (4+16)
• Bit/Byte/Word/Dword/Qword:
– 1 bit 1
– 4 bits = 1 nibble 0001
– 8 bits = 2 nibbles = 1byte 0000-0001
– 16 bits = 2 bytes = 1 word 0000-0000 0000-0001
– 32 Bits = 4 bytes = 2 words = 1 Dword 0000-0000 0000-0000 0000-0000 0000-0001
– 64 Bits = 8 bytes = 4 words = 2 Dwords = 1 Qword 0000-0000 0000-0000 0000-0000 0000-0000
0000-0000 0000-0000 0000-0000 0000-0001
• Ordenação das Unidades (Bit..Word)
– Big Endian: leitura a partir do bit mais significativo – esquerda pra direita (Intel)
– Little Endian: leitura a partir do bit menos significativo – direita pra esquerda (Motorola)
• ASCII (1 byte): 1=0x31, A=0x41 / Unicode (2 bytes) a=0x0061, β = 0x03B2
7. Registro - definição
“A central hierarchical database used in Microsoft Windows
9x,Windows CE, Windows NT, and Windows 2000 * used to store
information necessary to configure the system for one or more
users, applications and hardware devices.”
Microsoft Computer Dictionary, 5th edition
* todas versões modernas do Windows possuem Registro
8. Registro - definição
– Banco de dados hierárquico que contém informações
de configuração
• Registro em disco (ex: c:windowssystem32config*)
• Registro LIVE (Memória)
• Registro presente em espaço não alocado e arq. hibernação
– Exemplos de informações armazenadas em registro:
– Configurações de inicialização
– Configurações de Hardware
– Configurações de Drivers
– Configurações de Usuários
– Configurações de aplicações
– Dados do usuário logado (current user)
9. Registro - história
– Informações de configuração no DOS e versões
iniciais do Windows (até 3.11) eram controladas
por arquivos:
• autoexec.bat
• config.sys
• win.ini
• system.ini
– Definiam que programas eram executados
automaticamente e o ambiente do sistema e
interação com os usuários
10. Registro
– Nas versões modernas do Windows, estes
arquivos em texto claro foram substituídos por um
banco de dados central e hierárquico responsável
por manter as configurações de:
• Sistema Operacional
• Aplicações
• Dispositivos de Hardware
• Usuários
11. Registro
• Administradores podem modificar o registro:
– Registry Editor (c:windowsRegedit.exe, ..system32Regedt32.exe)
– C:windowssystem32Reg.exe
– Group Policy (MMC - )
– System Policy
– Registry (.reg) files
– WMIC (Windows Management Instrumentation)
– VisualBasic script files (Métodos RegRead, RegDelete, RegWrite)
http://support.microsoft.com/kb/256986
12. Registro
• No Windows NT e 2000:
– o regedit era usado para procurar por chaves de
registro, mas não tinha suporte à certos tipos de
dados (REG_EXPAND_SZ e REG_MULTI_SZ)
– o regedt32.exe não permitia a importação e
exportação de arquivos “.reg” (hive files)
• A partir do Windows XP e 2003, o regedit.exe
possui todas as funcionalidades, e o
regedt32.exe apenas o executa.
13. Registro
• Regedit permite que o administrador navegue
pela estrutura do registro, a partir de cinco
“root hives”:
16. Registro - Localizações
HKCR: Configurações relacionadas a aplicações responsáveis por abertura de
diferentes tipos de aplicação / extensões *
HKCU: contém o perfil ativo do usuário logado
HKLM: informações de configuração de harware e softwares do sistema
HKU: contém todos os profiles de usuários do sistema
HKCC: contém o perfil de harware utilizado pelo sistema na inicialização
HKLMSystem %WINDIR%system32configSystem
HKLMSAM %WINDIR%system32configSAM
HKLMSecurity %WINDIR%system32configSecurity
HKLMSoftware %WINDIR%system32configSoftware
* HKCR = HKCUSoftwareClasses + HKLMSoftwareClasses
HKLMHardware hive volátil
HKLMSystemClone hive volátil
HKUDefault %WINDIR%system32configDefault
HKEY_USERS<User SID> NTUSER.DAT em
Documents and Settings<User> (2000/XP/2003)
Users<User> (Vista/7/2008)
17. Tipos de Dados (Data Types):
• REG_BINARY Dados Binários (raw)
• REG_DWORD Inteiro de 4-bytes (32-bit)
• REG_SZ String de tamanho fixo
• REG_EXPAND_SZ String de tamanho variável
• REG_MULTI_SZ Múltiplas Strings separadas por espaço ou vírgula
• REG_NONE Sem tipo de dados
• REG_QWORD Inteiro de 8 bytes (64-bit)
• REG_LINK String Unicode nomeando um link simbólico
• REG_RESOURCE_LIST Arrays listando uma lista de recursos
• REG_RESOURCE_REQUIREMENTS_LIST Arrays listando recursos de hardware para drivers
• REG_FULL_RESOURCE_DESCRIPTOR Arrays listando listas de recursos de um dispositivo de harware
18. Estruturas dos Hives de Registro
• Útil para extração de dados relacionados ao
registro do arquivo de paginação, memória e
espaço não alocado.
– Melhor documentação: Inside the Registry, Mark Russinovich -
http://technet.microsoft.com/en-us/library/cc750583.aspx
19. Registro - Estruturas
Célula Descrição
Célula que contém uma chave de registro, também chamada de ‘key node’. A chave (key cell) contém
Key cell uma assinatura (kn = chave, kl = link simbólico), o timestamp do update mais recente, o índice
de sua chave-pai, o índice da chave ‘sub-key-list’ que identifica suas sub-chaves, um índice para
a ‘security descriptor’ da chave, um índice para uma chave string que especidica o nome de
classe da chave, e o nome da chave (ex: CurrentControlSet).
Value cell Célula que contém informações sobre o valor da chave. Contém uma assinatura (kv), o tipo do
valor (ex: REG_DWORD, REG_BINARY), e o nome do valor (ex: Boot-Execute). A ‘value cell’
também contém o índice para a célula que contém os dados do valor.
Subkey-list cell
Célula composta por uma lista de indices para ‘key cells’ que são sub-chaves de um pai comum.
Value-list cell
Célula composta por uma lista de índices para ‘value cells’ que são valores de um pai comum.
Security-
descriptor cell Célula que contém um ‘security descriptor’. Contém uma assinatura (ks) e um contador de
referência que registra o número de ‘key nodes’ que compartilham este ‘security descriptor’.
20. Estrutura do Hive de Registro
fonte: Forensic Analysis of Unnalocated Space in Windows Registry Hive Files – Jolantha Thomasen (University of Liverpool)
21. Assinaturas de células de registro
• Assinaturas (headers)de células:
– key cell "nk"
– security descriptor cell "sk"
– subkey list cell "lk", "lh", "ri", "li"
– value cell "vk“
• Sem assinatura:
– class name cell
– value list cell
– value data cell
fonte: Forensic Analysis of Unnalocated Space in Windows Registry Hive Files – Jolantha Thomasen (University of Liverpool)
22. Estrutura do Hive - exemplo
“The figure shows one base block and two bins. The first bin is
empty, and the second bin contains several cells. Logically, the
hive has only two keys: the Root key, and a Subkey of Root.
Root has two values, Val 1 and Val 2. A subkey-list cell locates
the root key's subkey, and a value-list cell locates the root
key's values. The free spaces in the second bin are empty cells.”
fonte: http://technet.microsoft.com/en-us/library/cc750583.aspx
23. Estrutura do Hive
semelhança com a página de memória
“To deal with noncontiguous memory buffers storing hive data in memory, the Configuration Manager adopts a
strategy similar to what NT's Memory Manager uses to map virtual memory addresses to physical memory
addresses.
The Configuration Manager employs a two-level scheme, that takes as input a cell index (i.e., a hive file offset)
and returns as output both the address in memory of the block the cell index resides in and the address in
memory of the bin the cell resides in. Remember that a bin can contain one or more blocks and that hives grow
in bins, so NT always represents a bin with a contiguous memory buffer. Therefore, all blocks within a bin occur
within the same portion of a paged pool.”
fonte: http://technet.microsoft.com/en-us/library/cc750583.aspx
27. Chaves de Registro - referências
• Registry Quick Find Chart 7-22-08.pdf (AD)
• DVD3AccessData_Registry_ViewerRegistry...pdf
• Windows Forensics Analysis 2 - regref.xls
• DVD3WFA2_Registry_ChartWFA2_ch4_regref.xls
• Categorias:
28. Análise de Registro
Algumas chaves de registro contém informações
importantes para várias investigações.
Outras chaves contém informações relevantes a
alguns tipos de investigações, como fraudes,
invasões ou uso indevido de recursos
computacionais.
29. Lab 0 – Visualização de Arquivos
Windows XP:
Control Panel -> Folder Options -> View
Windows 7:
Control Panel -> Appearance and Personalization ->
-> Folder Options -> Show hidden files and folders
1
2
3
30. Lab 0 - Teste do ambiente
– Logar na máquina virtual “XPDUMMY”
• Usuário: administrator
• Senha: password
– Configurar rede:“host-only / private network”
31. Lab 0 – Teste do ambiente
– Logar na máquina virtual “SIFT 2.0”
• Usuário: sansforensics
• Senha: forensics
– Configurar rede:“host-only / private network”
32. Lab 1 – FTK Imager (XPDUMMY)
Obtenha os arquivos de registro da máquina XPDUMMY
33. Lab 1 – FTKImager – Máquina Host
Obtenha os arquivos de registro da máquina HOST (notebook)
39. LAB 2 – Registry Ripper - plugins
NTUSER.DAT – TypedURLs: URLs Digitadas no Internet Explorer:
SOFTWARE – Current Version: Dados do sistema e registro:
41. Lab 2 - MuiCache
Presente no arquivo NTUSER.DAT – possui lista de aplicações executadas por um usuário
XP: HKCUSoftwareMicrosoftWindowsShellNoRoamMUICache
Vista/7: HKCUSoftwareClassesLocal SettingsSoftwareMicrosoftWindowsShellMuiCache
Ferramenta para análise de Windows “Live”: http://www.nirsoft.net/utils/muicache_view.html
49. Lab 2 – Tools - UserAssist
Estatísticas da execução de programas via Windows Explorer (NTUSER.DAT)
XP – pode ser desabilidado: Vista/7:
HKEY_CURRENT_USER
Software
Microsoft
Windows
CurrentVersion
Explorer
UserAssist
Settings
Nolog
(DWORD=1)
http://blog.didierstevens.com
51. Lab 2 – Tools – UserAssist
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerUserAssist
Windows XP – UserAssist:
Cifra - ROT13 (A->N, B->O, ...)
Inicia o contador em 5.
Windows 7/2008 beta – UserAssist:
Cifra – Vignère (key: BWHQNKTEZYFSLMRGXADUJOPIVC)
Windows 7/2008 – UserAssist:
Cifra – ROT13 / inicia o contador em 0 / contador de foco em aplicações
fonte: Windows 7 UserAssist Registry Keys - Didier Stevens: Into The Box Magazine.
53. Lab 2 – UserAssist
HKEY_CLASSES_ROOT -
HKEY_LOCAL_MACHINESOFTWAREClassesCLSID
GUID Name
0D6D4F41-2994-4BA0-8FEF-620E43CD2812 Internet Explorer 7
75048700-EF1F-11D0-9888-006097DEACF9 system32shell32.dll
... ...
“A GUID (globally unique identifier) is a 128-bit integer (16 bytes) that can be
used across all computers and networks wherever a unique identifier is required.
Such an identifier has a very low probability of being duplicated.”
http://msdn.microsoft.com/en-us/library/system.guid.aspx
70. Lab 6: Live Registry
root@SIFT-Workstation:/usr/local/src/volatility# perl rip.pl -r
/media/usb/fdpro_dump/20100817_fdpro_xpdummy_dump.bin@0xe17c9888 -f sam
Parsed Plugins file.
Launching samparse v.20080415
User Information
-------------------------
Username : Administrator [500]
Full Name :
User Comment : Built-in account for administering the computer/domain
Last Login Date : Fri Aug 13 21:47:26 2010 Z
Pwd Reset Date : Wed Jun 27 22:54:58 2007 Z
Pwd Fail Date : Fri Aug 13 00:59:01 2010 Z
Login Count : 55
--> Password does not expire
(...)
71. Lab 7 – regslack
Análise de estruturas no espaço não alocado (slack) de registro
Jolanta Thomassen (University of Liverpool)
72. Lab 8 – System Restore Points
– O Windows XP possui uma funcionalidade
chamada System Restore, que mantém pontos de
restauração – inclusive do registro - para que seja
possível a restauração de configurações no caso
de um problema ou pane
• Por default um ponto de restauração é criado
diariamente pelo serviço System Restore.
• Pontos de restauração também são criados quando
aplicações ou drivers não assinados são instalados e
durante o AutoUpdate.
73. Lab 8 – System Restore Points
• HKLMSOFTWAREMicrosoftWindows
NTCurrent VersionSystemRestore
– Chave RPGlobalInterval - Valor em segundos
(86400 = 1 dia) periodicidade da execução
– http://support.microsoft.com/kb/295659
74. Lab 8 – System Restore Points
<= XP
Vista/7 =>
76. Lab 8 – Usrclass.dat - Virtualização
– A partir do Windows Vista, quando um usuário sem
privilégios de administrador executa uma aplicação que
os requer, e tenta escrever em uma chave e registro
• Ex: tentativa de escrita em HKLMSoftwareApp,
automaticamente será redirecionada para HKEY_USERS{User
SID}_ClassesVirtualStoreMachineSoftware
– Estas chaves não estão no hive NTUSER.DAT, mas sim
em AppDataLocalMicrosoftWindowsusrclass.dat