Livro Kit de Ferramentas Forense – Ambiente Microsoft

Livro Kit de Ferramentas Forense – Ambiente Microsoft

Por onde começar uma investigação forense? O que procurar em um Sistema Operacional invadido? Ou melhor, onde procurar? Para responder a estas perguntas dividi este livro em sete tópicos:

1 – Kit de Ferramentas

Conjunto de softwares confiáveis usados na investigação.

2 – Iniciando uma Investigação

Neste tópico estão os passos iniciais de toda investigação.

3 – Investigando o Sistema

Será através deste tópico que você aprenderá a identificar quais processos estão em execução e quais portas estão abertas no SO, a analisar arquivos de logs, a investigar o registro do Windows, compartilhamentos etc.

4 – Investigando os Usuários

Quem está conectado ao sistema neste momento? Quem logou ou tentou logar no computador recentemente? Descubra quem são os usuários que utilizam ou utilizaram o equipamento.

5 – Investigando os Arquivos

Recupere arquivos excluídos, investigue arquivos na lixeira, descubra arquivos temporários, ocultos e impressos.

6 – Investigando os Vestígios de Acesso à Internet

Descubra quais sites foram acessados pelo suspeito, identifique os arquivos temporários da Internet, analise o histórico e o item favoritos do browser.

7 – Finalizando uma Investigação

Neste último grupo estão os passos finais de uma investigação. Capture a data e hora do final da perícia, documente os comandos utilizados e garanta a integridade das evidências.

O livro “Kit de Ferramentas Forense – Ambiente Microsoft” foi publicado em dois formatos: como eBook (Amazon Kindle) e como Livro.

Para COMPRAR o eBook no site da Amazon clique no ícone abaixo.

Para COMPRAR o Livro em formato papel clique no ícone abaixo.

Sumário

Introdução

Kit de Ferramentas

Iniciando uma Investigação

Criando o Arquivo de Hash do Kit de Ferramentas
Usando um Prompt de Comando Confiável
Capturando a Data e a Hora do Início da Investigação

Investigando o Sistema

Descobrindo o Nome do Computador
Descobrindo a Versão do Windows
Descobrindo o MAC Address da Placa de Rede
Descobrindo Conexões ao Sistema
Descobrindo Quais Portas estão Abertas no Sistema
Descobrindo Quais Processos estão em Execução
Analisando as Atividades do SO em Tempo-Real
Procurando por Logs de Aplicativos
Investigando os Logs de Evento
Investigando os Logs de Evento com o Utilitário PsLogList
Investigando os Logs de Evento com a Ferramenta Dumpel
Investigando os Logs de Evento com o Utilitário Event Viewer
Investigando o Registro do Sistema
Analisando o Registro através do Prompt de Comando
Descobrindo Arquivos com Inicialização Automática
Identificando Rootkits no Sistema
Investigando Discagem Automática
Decifrando Senhas do Sistema Operacional
Descobrindo Serviços de Controle e Acesso Remoto
Procurando por Recursos Compartilhados
Descobrindo Tarefas Agendadas
Detectando Sniffer na Rede

Investigando os Usuários

Descobrindo Quem está Conectado ao Sistema
Detectando Quais Usuários Logaram ou Tentaram Logar no Computador
Descobrindo Contas e Grupos de Usuários
Descobrindo a Primeira vez que o Usuário Logou no Sistema
Descobrindo a Última vez que o Usuário Logou no Sistema

Investigando os Arquivos

Analisando as Horas de Modificação, Criação e Acesso de Todos os Arquivos
Descobrindo Informações através de Buscas por Palavras-Chave
Descobrindo o Tipo do Arquivo e suas Associações
Descobrindo Quem tem Acesso ao Arquivo
Comparando Arquivos
Descobrindo se o Arquivo está Criptografado
Recuperando Arquivos Excluídos
Investigando Arquivos na Lixeira
Investigando Arquivos Temporários
Investigando Links de Atalhos
Descobrindo Arquivos Incomuns
Descobrindo Arquivos Ocultos
Descobrindo Quais Arquivos Foram Acessados
Descobrindo Buscas Realizadas no Sistema
Procurando por Arquivos Impressos
Procurando Vírus em Arquivos Suspeitos
Procurando por Arquivos Usados Recentemente

Investigando os Vestígios de Acesso à Internet

Investigando Arquivos Temporários do Browser
Investigando o Histórico do Browser
Investigando a Barra de Endereços do Browser
Investigando o Menu Favoritos do Browser
Descobrindo Informações em Cookies

Finalizando uma Investigação

Capturando a Data e a Hora do Final da Investigação
Documentando os Comandos Usados na Investigação
Garantindo a Integridade do Kit e das Provas

Apêndices

Apêndice I – Kit de Ferramentas
Apêndice II – Eventos de Auditoria
Apêndice III – Security Identifier (SID)
Apêndice IV – Portas e Serviços
Apêndice V – Determinando a Origem dos Ataques
Apêndice VI – Mais Informações em

About Andrey R. Freitas

Gerente de TI, Projetos e Sistemas; Professor; Consultor; Escritor e Pesquisador em gestão de custos em Cloud AWS.