Forense caso 00c

De Eriberto Wiki
Revisão de 13h43min de 29 de setembro de 2011 por Eriberto (discussão | contribs) (Criou página com '{{cabeçalho forense|00c - Análise avançada específica para MS Windows|Brasília, DF, 29 de setembro de 2011|29 de setembro de 2011}} left|150pxNeste …')
(dif) ← Edição anterior | Revisão atual (dif) | Versão posterior → (dif)
Ir para navegação Ir para pesquisar

by (C) João Eriberto Mota Filho <eriberto (a) eriberto pro br>

Caso para estudo, ligado diretamente ao artigo perícia forense computacional, existente neste wiki.

Última atualização: veja o rodapé desta página.



Caso 00c - Análise avançada específica para MS Windows


Brasília, DF, 29 de setembro de 2011


Atualização em: 29 de setembro de 2011




Neste exercício serão utilizadas alguma ferramentas GNU/Linux específicas para investigação de dados em ambiente MS Windows.

Um determinado usuário, chamado Sávio, baixou algumas imagens no seu computador mas depois apagou usando uma ferramenta chamada Eraser, que é um Software Livre que realiza uma ação de wipe. No entando, o arquivo thumbs.db permaneceu na máquina. Além disso, ele navegou em alguns sites via Internet Explorer.

Serão feitas várias perguntas. Por tratar-se de um exercício avançado, serão citadas ferramentas e técnicas que deverão ser empregadas para obter resultados.




Exercício de aplicação



Exercício: responda às perguntas a seguir, analisando o ambiente de usuário fornecido e a imagem de memória, ambos encontrados no aqrquivo caso_00c.tar.bz2 (22 MB comprimidos, 980 MB descomprimidos).

O hash MD5 da imagem comprimida é 59888d317634cd4b134e66333bf8d37a.

Para descompactar a imagem, utilize o comando: 

$ tar -xvjf caso_00c.tar.bz2


versão do windows - cat ram.dd.strings |egrep '(KB[0-9]{6})'| grep -i windows url senha do sávio

Disponível em “https://eriberto.pro.br/wiki/index.php?title=Forense_caso_00c&oldid=1380