Exportar (0) Imprimir
Expandir Tudo
Expandir Minimizar

Guia básico de investigação computacional para Windows

Apêndice: Recursos

Publicado em: 11 de janeiro de 2007

Este apêndice fornece informações sobre os diversos recursos que podem ser usados para conduzir uma investigação computacional.

Nesta página

Preparando sua organização para uma investigação computacional
Planilhas e exemplos
Crimes relacionados ao uso de computadores
Treinamento
Ferramentas

Preparando sua organização para uma investigação computacional

Para preparar sua organização para uma investigação computacional interna, você deve montar e deixar à mão um kit de ferramentas de investigação computacional com software e dispositivos que possam ser usados para obter evidências. Tal kit de ferramentas deve ser composto de um laptop equipado com ferramentas de software adequadas, patches e sistemas operacionais diferentes, mídias de aplicativos, dispositivos de backup, mídias em branco, equipamento básico de rede e cabos. A preparação desse kit pode ser uma tarefa constante à medida que você descubra a necessidade de vários recursos e ferramentas, dependendo das investigações que precise conduzir.

Use as diretrizes a seguir ao criar e usar um kit de ferramentas de investigação computacional:

  • Decida quais ferramentas você planeja usar antes de começar a investigação. Além do Microsoft® Windows® Sysinternals e de outras ferramentas do Windows mencionadas neste documento, normalmente o kit de ferramentas inclui software forense computacional dedicado, como a Encase da Guidance Software, o Forensic Toolkit (FTK) da AccessData ou o ProDiscover da Technology Pathways.

  • Trate de arquivar e preservar as ferramentas. Você pode precisar de uma cópia de backup do software e das ferramentas de investigação computacional que está usando na investigação para provar como coletou e analisou os dados.

  • Liste cada sistema operacional que provavelmente você examinará e verifique se tem as ferramentas necessárias para examinar cada um deles. Por exemplo, ferramentas do Windows Sysinternals (descritas mais adiante neste apêndice) como PsInfo, PsLogList e ProcessExplorer podem ser usadas para examinar computadores com Windows XP e Windows Server® 2003.

  • Inclua uma ferramenta para coletar e analisar metadados.

  • Inclua uma ferramenta para criar cópias lógicas e bit a bit.

  • Inclua ferramentas para coletar e examinar dados voláteis, como o estado do sistema. Alguns exemplos do Windows Sysinternals incluem ListDLLs, LogonSessions, PendMoves, Autoruns e ProcessExplorer. As ferramentas do Windows incluem Systeminfo, Ipconfig, Netstat e Arp.

  • Inclua uma ferramenta para gerar somas de verificação e assinaturas digitais em arquivos e outros dados, como a FCIV (File Checksum Integrity Validator). Essa ferramenta está disponível no artigo 841290 da Base de Dados de Conhecimento Microsoft, Disponibilidade e descrição do utilitário File Checksum Integrity Verifier.

  • Se você precisar coletar evidências físicas, inclua uma câmera digital no kit de ferramentas.

Além disso, verifique se o seu kit de ferramentas atende aos seguintes critérios:

  • As ferramentas de obtenção de dados são precisas. Em geral, a precisão é mais facilmente obtida se você usar software forense computacional conhecido.

  • As ferramentas não modificam a hora de acesso dos arquivos.

  • O dispositivo de armazenamento do examinador é forensicamente estéril, o que significa que a unidade de disco não contém nenhum dado antes de ser usada. Você pode determinar se um dispositivo de armazenamento é forensicamente estéril executando uma soma de verificação nele. Se ela retornar somente zeros, o dispositivo não contém nenhum dado.

  • As ferramentas e o hardware do examinador são usados apenas para o processo de investigação computacional, e não para outras tarefas.

Planilhas e exemplos

A tabela a seguir fornece uma lista de planilhas e exemplos que podem ser usados durante a investigação computacional. Alguns desses recursos estão disponíveis como documentos separados do Word e estão incluídos no arquivo do Centro de Download da Microsoft do qual você extraiu este guia. Outros estão disponíveis por meio de um link para o site do Instituto Nacional de Justiça.

Tabela A.1. Planilhas e exemplos

Nome do documento

Local

Planilha – Cadeia da documentação de registro de custódia.doc

Planilha – Análise do impacto.doc

Exemplo – Relatório de investigação interna.doc

Link para o Guia básico de investigação computacional para Windows no Centro de Download da Microsoft.

Evidência computacional

Evidência no disco rígido

Mídia removível

Apêndice C. Planilhas de exemplo no Exame forense de evidência digital: Um guia de aplicação das leis, do Instituto Nacional de Justiça, uma agência do Departamento de Justiça dos Estados Unidos.

Crimes relacionados ao uso de computadores

Cc162853.note(pt-br,TechNet.10).gif Note

Grande parte das informações desta seção é proveniente da página Crimes de propriedade intelectual e relacionados ao uso de computadores e da Internet, na seção Propriedade Intelectual & Crimes Computacionais do site do Departamento de Justiça dos Estados Unidos.

Você deve primeiro procurar os consultores jurídicos para saber se é necessário reportar crimes relacionados ao uso de computadores às autoridades competentes no nível municipal, estadual, federal ou internacional, dependendo do escopo do crime. Muito provavelmente, as autoridades municipais ou estaduais serão as primeiras que você deverá contatar. Caso se trate de um crime federal relacionado ao uso de computadores, talvez você precise reportá-lo ao escritório regional das autoridades competentes. Como mencionado anteriormente, o uso desta diretriz é aplicável somente nos Estados Unidos.

Estes são os órgãos que investigam crimes relacionados ao uso da Internet nos Estados Unidos:

Esses órgãos têm escritórios em todo o território americano. As informações para contato estão disponíveis em listas telefônicas ou através de pesquisa pela Internet. Geralmente, crimes federais podem ser reportados por meio de um telefonema para o escritório regional de uma das autoridades competentes. Se a organização estiver inscrita na Força-tarefa contra Crimes Eletrônicos (ECTF), no InfraGard ou na Associação Internacional de Investigação sobre os Crimes Tecnológicos (HTCIA), a pessoa de contato apropriada já deve ser conhecida. Contatar alguém que já é conhecido e que conhece a sua organização simplifica o processo.

Muitos órgãos possuem agentes treinados especializados em casos de hacker.

Órgãos municipais

Em algumas situações, a melhor opção é contatar um órgão municipal. Esses órgãos e forças-tarefa contra crimes tecnológicos provavelmente têm pessoal treinado para investigar um incidente. Alguns órgãos que possuem pessoal treinado: Força-tarefa REACT, que atende à área da Baía de San Francisco, a Equipe CATCH, que atende à região de San Diego, e outros órgãos policiais.

As informações na tabela a seguir podem ajudá-lo a determinar qual órgão federal você deverá contatar para certos tipos de crime.

Tabela A.2. Autoridades competentes para diferentes tipos de crime

Tipo de crime

Órgãos apropriados

Exploração de menores e fraude na Internet que tenha ligação com correio

Serviço Americano de Inspeção Postal

Centro de Reclamações de Fraude na Internet

Exploração sexual de crianças e pornografia envolvendo menores

Polícia Municipal

O escritório regional do FBI

Se importado, Departamento Americano de Imigração e Serviços Alfandegários

Centro de Reclamações de Fraude na Internet

Invasão de computadores (hacking)

O escritório regional do FBI

Serviço Secreto dos Estados Unidos da América

Centro de Reclamações de Fraude na Internet

Órgão policial ou força-tarefa municipal contra crimes tecnológicos

Pirataria de direitos autorais (gravação de músicas, filmes e software)

O escritório regional do FBI

Se importado, Departamento Americano de Imigração e Serviços Alfandegários

Centro de Reclamações de Fraude na Internet

Órgão policial ou força-tarefa municipal contra crimes tecnológicos

Falsificação de dinheiro

Serviço Secreto dos Estados Unidos da América

Roubo de identidade ou de dados do cliente

O escritório regional do FBI

Serviço Secreto dos Estados Unidos da América (Divisão de Crimes Financeiros)

Formulário do FTC para Reclamação do Consumidor

Centro de Reclamações de Fraude na Internet

Órgão policial ou força-tarefa municipal contra crimes tecnológicos

Ameaças de bomba divulgadas pela Internet

O escritório regional do FBI

O escritório regional da divisão de campo do ATF

Órgão policial ou força-tarefa municipal contra crimes tecnológicos

Spam e fraude na Internet

O escritório regional do FBI

Serviço Secreto dos Estados Unidos da América (Divisão de Crimes Financeiros)

Formulário do FTC para Reclamação do Consumidor

Se spams relacionados a investimentos ou fraude financeira, Centro de Reclamações e Dicas de Informantes do SEC

Centro de Reclamações de Fraude na Internet

Órgão policial ou força-tarefa municipal contra crimes tecnológicos

Importunação na Internet

O escritório regional do FBI

Órgão policial ou força-tarefa municipal contra crimes tecnológicos

Tráfico de senhas

O escritório regional do FBI

Serviço Secreto dos Estados Unidos da América

Centro de Reclamações de Fraude na Internet

Órgão policial ou força-tarefa municipal contra crimes tecnológicos

Roubo de segredos comerciais

O escritório regional do FBI

Órgão policial ou força-tarefa municipal contra crimes tecnológicos

Falsificação de marca registrada

O escritório regional do FBI

Se importado, Departamento Americano de Imigração e Serviços Alfandegários

Centro de Reclamações de Fraude na Internet

Órgão policial ou força-tarefa municipal contra crimes tecnológicos

Tráfico de armas de fogo ou de dispositivos incendiários ou explosivos pela Internet

O escritório regional do FBI

O escritório regional da divisão de campo do ATF

Treinamento

Faça com que pelo menos alguns membros da equipe de resposta a incidentes participem de um treinamento formal de investigação computacional. Sem o treinamento apropriado, dificilmente a equipe será eficiente na investigação. Na verdade, examinadores não qualificados podem afetar negativamente a investigação destruindo evidências voláteis por engano.

Para obter uma lista de órgãos, organizações, autoridades federais competentes e instituições acadêmicas sem fins lucrativos que fornecem treinamento forense computacional, consulte o "Apêndice G. Lista de recursos de treinamento" no Exame forense de evidência digital: Um guia de aplicação das leis, do Instituto Nacional de Justiça, uma agência do Departamento de Justiça dos Estados Unidos.

Ferramentas

Cada investigação provavelmente será diferente. As ferramentas que você usará devem ser apropriadas para obter as informações que procura, mas é sempre bom reunir mais evidências do que o necessário.

Esta seção fornece informações sobre as ferramentas do Windows Sysinternals e outras ferramentas do Windows que podem ajudá-lo a conduzir uma investigação computacional interna. Os tipos de ferramentas são representados por ícones na primeira coluna da seguinte tabela:

Tabela A.3. Tipos de ferramentas

Ícone

Descrição

  Cc162853.60a80b39-03c6-486c-b4c4-86010954219c(pt-br,TechNet.10).gif

Este ícone representa uma ferramenta de linha de comando.

  Cc162853.4ca6dc59-46e6-4293-8352-95061fd425a9(pt-br,TechNet.10).gif

Este ícone representa uma ferramenta com uma interface GUI que requer instalação e altera a unidade de destino.

As tabelas a seguir fornecem informações sobre as diversas ferramentas que podem ser usadas em investigações computacionais.

Ferramentas do Windows Sysinternals

Tabela A.4. Informações sobre ferramentas do Windows Sysinternals

Tipo de ferramenta

Nome

Descrição

  Cc162853.60a80b39-03c6-486c-b4c4-86010954219c(pt-br,TechNet.10).gif

AccessChk v2.0

Exibe o acesso a arquivos, chaves do Registro ou serviços do Windows pelo usuário ou grupo que você especificar.

  Cc162853.4ca6dc59-46e6-4293-8352-95061fd425a9(pt-br,TechNet.10).gif

AccessEnum v1.3

Exibe quem tem acesso a quais diretórios, arquivos e chaves do Registro em um computador. Use-a para encontrar locais onde as permissões não foram aplicadas corretamente.

  Cc162853.4ca6dc59-46e6-4293-8352-95061fd425a9(pt-br,TechNet.10).gif

Autoruns v8.53

Exibe programas configurados para iniciar automaticamente quando um computador inicializar e um usuário fizer logon (também exibe a lista completa de locais no Registro e em arquivos onde os aplicativos podem definir configurações de inicialização automática).

  Cc162853.60a80b39-03c6-486c-b4c4-86010954219c(pt-br,TechNet.10).gif

Autorunsc v8.53

A versão de linha de comando do programa Autoruns (descrita na entrada anterior).

  Cc162853.60a80b39-03c6-486c-b4c4-86010954219c(pt-br,TechNet.10).gif

Diskmon

Captura toda a atividade do disco rígido. Funciona como uma luz de atividade de disco de software na bandeja do sistema.

  Cc162853.60a80b39-03c6-486c-b4c4-86010954219c(pt-br,TechNet.10).gif

DiskView

Utilitário de setor de disco gráfico; visualizador de discos.

  Cc162853.60a80b39-03c6-486c-b4c4-86010954219c(pt-br,TechNet.10).gif

Du v1.3

Exibe o uso do disco pelo diretório.

  Cc162853.4ca6dc59-46e6-4293-8352-95061fd425a9(pt-br,TechNet.10).gif

Filemon v7.03

Exibe toda a atividade do sistema de arquivos em tempo real.

  Cc162853.60a80b39-03c6-486c-b4c4-86010954219c(pt-br,TechNet.10).gif

Handle v3.2

Exibe arquivos abertos e o processo que os abriu.

  Cc162853.60a80b39-03c6-486c-b4c4-86010954219c(pt-br,TechNet.10).gif

ListDLLs v2.25

Exibe todas as DLLs carregadas no momento, inclusive o local onde estão carregadas e seus números de versão (imprime os nomes de caminho completo dos módulos carregados).

  Cc162853.60a80b39-03c6-486c-b4c4-86010954219c(pt-br,TechNet.10).gif

LogonSessions v1.1

Lista sessões de logon ativas.

  Cc162853.60a80b39-03c6-486c-b4c4-86010954219c(pt-br,TechNet.10).gif

PendMoves v1.1

Exibe os comandos de exclusão e renomeação de arquivos que serão executados na próxima vez que o computador for iniciado.

  Cc162853.4ca6dc59-46e6-4293-8352-95061fd425a9(pt-br,TechNet.10).gif

Portmon v3.02

Exibe a atividade da porta paralela e serial (também mostrará uma parte dos dados que estão sendo enviados e recebidos).

  Cc162853.4ca6dc59-46e6-4293-8352-95061fd425a9(pt-br,TechNet.10).gif

Process Explorer v10.2

Exibe arquivos, chaves do Registro e outros objetos que os processos abriram, quais DLLs eles carregaram, os proprietários dos processos, etc.

  Cc162853.60a80b39-03c6-486c-b4c4-86010954219c(pt-br,TechNet.10).gif

PsExec v1.72

Executa processos remotamente.

  Cc162853.60a80b39-03c6-486c-b4c4-86010954219c(pt-br,TechNet.10).gif

PsFile v1.01

Exibe arquivos abertos.

  Cc162853.60a80b39-03c6-486c-b4c4-86010954219c(pt-br,TechNet.10).gif

PsInfo v1.71

Exibe informações sobre um computador.

  Cc162853.60a80b39-03c6-486c-b4c4-86010954219c(pt-br,TechNet.10).gif

PsList v1.27

Exibe informações sobre processos e ameaças.

  Cc162853.60a80b39-03c6-486c-b4c4-86010954219c(pt-br,TechNet.10).gif

PsLoggedOn v1.32

Exibe os usuários conectados a um computador.

  Cc162853.60a80b39-03c6-486c-b4c4-86010954219c(pt-br,TechNet.10).gif

PsLogList v2.63

Esvazia registros de logs de eventos.

  Cc162853.60a80b39-03c6-486c-b4c4-86010954219c(pt-br,TechNet.10).gif

PsService v2.2

Exibe e controla serviços.

  Cc162853.4ca6dc59-46e6-4293-8352-95061fd425a9(pt-br,TechNet.10).gif

Regmon v7.03

Exibe toda a atividade do Registro em tempo real.

  Cc162853.4ca6dc59-46e6-4293-8352-95061fd425a9(pt-br,TechNet.10).gif

RootkitRevealer

Verifica se há malware baseado em rootkit.

  Cc162853.4ca6dc59-46e6-4293-8352-95061fd425a9(pt-br,TechNet.10).gif

ShareEnum v1.6

Verifica compartilhamentos de arquivos em uma rede e exibe as configurações de segurança deles para eliminar configurações aplicadas incorretamente.

  Cc162853.60a80b39-03c6-486c-b4c4-86010954219c(pt-br,TechNet.10).gif

Streams v1.53

Revela fluxos de dados NTFS alternados.

  Cc162853.60a80b39-03c6-486c-b4c4-86010954219c(pt-br,TechNet.10).gif

Strings v2.3

Procura cadeias de caracteres ANSI e UNICODE em imagens binárias.

  Cc162853.60a80b39-03c6-486c-b4c4-86010954219c(pt-br,TechNet.10).gif

TCPVcon v2.34

Exibe soquetes ativos.

  Cc162853.4ca6dc59-46e6-4293-8352-95061fd425a9(pt-br,TechNet.10).gif

TCPView v2.4

Exibe todos os pontos de extremidade TCP e UDP abertos e o nome do processo que possui cada um deles.

  Cc162853.4ca6dc59-46e6-4293-8352-95061fd425a9(pt-br,TechNet.10).gif

TDIMon v1.01

Exibe informações de TCP/IP.

  Cc162853.4ca6dc59-46e6-4293-8352-95061fd425a9(pt-br,TechNet.10).gif

Tokenmon v1.01

Exibe atividade relacionada à segurança, como logon, logoff, utilização de privilégios e representação.

Ferramentas do Windows

Tabela A.5. Informações sobre ferramentas do Windows

Tipo de ferramenta

Nome

Descrição

  Cc162853.60a80b39-03c6-486c-b4c4-86010954219c(pt-br,TechNet.10).gif

ARP

Exibe tabelas do protocolo ARP.

  Cc162853.60a80b39-03c6-486c-b4c4-86010954219c(pt-br,TechNet.10).gif

Date

Exibe a configuração de data atual.

  Cc162853.60a80b39-03c6-486c-b4c4-86010954219c(pt-br,TechNet.10).gif

Dir

Exibe uma lista de arquivos e subdiretórios.

  Cc162853.60a80b39-03c6-486c-b4c4-86010954219c(pt-br,TechNet.10).gif

Doskey

Exibe o histórico de comandos de um shell CMD.EXE aberto.

  Cc162853.60a80b39-03c6-486c-b4c4-86010954219c(pt-br,TechNet.10).gif

Ipconfig

Exibe a configuração do computador local.

  Cc162853.60a80b39-03c6-486c-b4c4-86010954219c(pt-br,TechNet.10).gif

Net

Atualiza, corrige ou exibe a rede ou suas configurações.

  Cc162853.60a80b39-03c6-486c-b4c4-86010954219c(pt-br,TechNet.10).gif

Netstat

Exibe estatísticas de protocolo e informações sobre a conexão atual.

  Cc162853.60a80b39-03c6-486c-b4c4-86010954219c(pt-br,TechNet.10).gif

Time

Exibe a configuração de hora atual.

  Cc162853.60a80b39-03c6-486c-b4c4-86010954219c(pt-br,TechNet.10).gif

Find

Pesquisa uma cadeia de caracteres em arquivos.

  Cc162853.60a80b39-03c6-486c-b4c4-86010954219c(pt-br,TechNet.10).gif

Schtasks

Exibe tarefas agendadas.

  Cc162853.60a80b39-03c6-486c-b4c4-86010954219c(pt-br,TechNet.10).gif

Systeminfo

Fornece informações gerais sobre o computador.

  Cc162853.60a80b39-03c6-486c-b4c4-86010954219c(pt-br,TechNet.10).gif

Vol

Exibe o nome e o número de série do disco, caso existam.

  Cc162853.60a80b39-03c6-486c-b4c4-86010954219c(pt-br,TechNet.10).gif

Nome do host

Exibe a parte do nome de host do nome completo do computador.

  Cc162853.60a80b39-03c6-486c-b4c4-86010954219c(pt-br,TechNet.10).gif

Openfiles

Consulta, exibe ou desconecta arquivos abertos ou abertos por usuários da rede.

  Cc162853.60a80b39-03c6-486c-b4c4-86010954219c(pt-br,TechNet.10).gif

FCIV

File Checksum Integrity Verifier. Use para computar um hash criptográfico SHA1 ou MD5 do conteúdo de um arquivo.

  Cc162853.4ca6dc59-46e6-4293-8352-95061fd425a9(pt-br,TechNet.10).gif

Bloco de Notas

Use para examinar metadados associados a um arquivo.

  Cc162853.60a80b39-03c6-486c-b4c4-86010954219c(pt-br,TechNet.10).gif

Reg

Use para exibir, modificar, exportar, salvar ou excluir hives, valores e chaves do Registro.

  Cc162853.60a80b39-03c6-486c-b4c4-86010954219c(pt-br,TechNet.10).gif

Netcap

Reúne informações de rastreamento da rede a partir da linha de comando.

  Cc162853.60a80b39-03c6-486c-b4c4-86010954219c(pt-br,TechNet.10).gif

Sc

Use para se comunicar com os serviços e o Controlador de Serviço. (A consulta Sc é útil para esvaziar todos os serviços e seus estados.)

  Cc162853.60a80b39-03c6-486c-b4c4-86010954219c(pt-br,TechNet.10).gif

Assoc

Exibe ou modifica associações de extensão de nome de arquivo.

  Cc162853.60a80b39-03c6-486c-b4c4-86010954219c(pt-br,TechNet.10).gif

Ftype

Exibe ou modifica tipos de arquivo usados em associações de extensão de nome de arquivo.

  Cc162853.60a80b39-03c6-486c-b4c4-86010954219c(pt-br,TechNet.10).gif

Gpresult

Determina o conjunto de diretivas resultante.

  Cc162853.60a80b39-03c6-486c-b4c4-86010954219c(pt-br,TechNet.10).gif

Tasklist

Lista módulos carregados e processos em execução.

  Cc162853.4ca6dc59-46e6-4293-8352-95061fd425a9(pt-br,TechNet.10).gif

MBSA

Determina o status do patch de segurança e outras vulnerabilidades conhecidas.

  Cc162853.4ca6dc59-46e6-4293-8352-95061fd425a9(pt-br,TechNet.10).gif

Rsop.msc

Mostra o conjunto de diretivas resultante.

  Cc162853.60a80b39-03c6-486c-b4c4-86010954219c(pt-br,TechNet.10).gif

Rasdiag

Coleta informações de diagnóstico sobre serviços remotos e as coloca em um arquivo.



Download

Obtenha o guia básico de investigação computacional para Windows

Notificações de atualização

Inscreva-se para receber informações sobre atualizações e novas versões

Comentários

Envie-nos seus comentários ou suas sugestões



Isso foi útil para você?
(1500 caracteres restantes)
Agradecemos os seus comentários
Mostrar:
© 2014 Microsoft