06-ForenseWindows8

8/10/2019 06-ForenseWindows8

1/69

GTS'21 Anlise Forense Computacional no Windows 8 :: Ricardo Klber

Ricardo Klber Martins Galvowww.ricardokleber.com

[email protected]@ricardokleber

Anlise Forense

Computacional no

Sistema Operacional


2/69


Microsoft Windows 8A nova cara do sistema Desktop da Microsoft

Motivao:- Alm da esttica o que mudou

(estruturalmente)?

- Tcnicas e ferramentas convencionais

so suficientes para uma percia

(an!lise forense computacional)?


3/69


Novidadesdo Windows 8Por que isso importante?

Avano no "#mero de $su!rios:

http://www.blogmicrosoftbrasil.com.br/windows-8-aos-seis-meses-uma-sessao-de-perguntas-e-respostas-com-tami-reller/

- %m seis meses&&&

- ' mil*es de licenas vendidas em + meses

- , mil*es de apps .ai/ados pela 0indo1s 2tore3onte: Tami 4eller 5mar6etin7 e finanas da Microsoft8

(9,';)


4/69


Novidadesdo Windows 8Por que isso importante?

Avano no "#mero de $su!rios:

http://www.w3schools.com/browsers/browsers_os.asp


5/69


Microsoft Windows 8Anlise Forense Computacional

Analisando a %strutura do "ovo 2istema:- o7s)

- >i/eira (4ec=cle in)


6/69


Microsoft Windows 8Anlise Estrutural !ser "nterface

Metro-2t=le


7/69


Microsoft Windows 8Anlise Estrutural !ser "nterface

A tela a@ul da morte mudou

Mas continua AZUL :P

- $ser o7s

- 4ec=cle in


8/69


9/69


Microsoft Windows 8Anlise Estrutural Artifacts

>ocal 3olderMetro Apps


10/69



>ocal 3older:- Arma@ena dados de cada usu!rio em pasta especfica

%Root%!sers%!ser%"pp#ata$ocal

- $ser o7s

- 4ec=cle in


11/69


>ocal 3older :: B que ! de novo (e relevante) ? Atividades 4ecentes do $su!rio

%Root%!sers%!ser%"pp#ataRoaming

icrosoft&indowsRecent"utomatic#estinations

icrosoft&indowsRecent'ustom#estinations

Coo6ies (usados recentemente)

%Root%!sers%!ser%"pp#ataRoaming

icrosoft&indows'ookies


- $ser o7s

- 4ec=cle in


12/69



Metro Apps: Aplicativos (Apps) instalados e e/i.idos no Des6top

Cada App no Des6top tem um arquivo (te/to) de re7istro

indicando o App que o criou e a sua locali@ao

%Root%!sers%!ser%"pp#ata$ocalicrosoft&indows"pplication (hortcurts

- $ser o7s

- 4ec=cle in


13/69


14/69




15/69



Communication App: Concentra dados de acesso a servios (


16/69


17/69


18/69


Microsoft Windows 8Anlise Estrutural #e$istr%

- $ser o7s

- 4ec=cle in

2AM2N2T%M

2B3T0A4%

2%C$4


19/69



- $ser o7s

- 4ec=cle in

2AM ::


20/69



2AM :: B que ! de novo (e relevante) ? "ome de $su!rio na


21/69



2N2T%M ::


22/69



2N2T%M ::


23/69

Microsoft Windows 8


24/69



2B3T0A4% :: B que ! de novo (e relevante) ? Metro Apps


25/69

Microsoft Windows 8


26/69


Microsoft Windows 8&utras Estruturas '#e$istro()ives* para Anlise

< (ro1ser-ased ive $sado em conUunto com os Metro Apps

%(stem Root%&indows(stem3'onfig+

%vents V9+;9aWX-9';.-W''W-H99+-Hc.'dWH'X;Y

roker+d 0ent+nformation 9lags )ackage9ull*ame !ser(id 0ent


27/69



CBMJB"%"T2%(stem Root%&indows(stem3'onfig'>)>**


28/69



D4


29/69


Microsoft Windows 8Anlise Estrutural Event +o$s

>o7s de %ventos (%vent >o7s)%(stemRoot%&indows(stem3wine0t$ogs

2=stem&evt/

2etup&evt/

2ecurit=&evt/ Bperational&evt/

Application&evt/

Eard1are%vents&evt/

ZZZZZZZ&evt/

- $ser o7s

- 4ec=cle in

Mudou a localizaoAlterou a extenso (.evt p/ .evtx)Diversificou

(cada App tem seu log especfico)

Microsoft Windows 8


30/69


Microsoft Windows 8Anlise Estrutural +i,eira '#ec%cle -in*

>i/eira : Jasta Onica [ 2i/eira)

Jasta pode ser referenciada para recuperao de arquivos

apa7ados utili@ando ferramentas especficas

- $ser o7s

- 4ec=cle in

Microsoft Windows 8


31/69


Microsoft Windows 8Anlise Estrutural &utros #ecursos

4ecover= Drive (JC 4efres JC 4eset)itloc6er (Driver %ncr=ption)

26= Drive (3ree Cloud)

Arquivos Adicionais (classificados) de caces Tum.s "ovo formato 5 ferramenta Iinetto fail :( 8


32/69



Estudo de CasoEstudo de Caso

Colocando aColocando a

mo na massa...mo na massa...

Microsoft Windows 8


33/69



4oteiro do %studo de Caso:

-


34/69


Microsoft Windo s 8Anlise Forense Computacional


35/69


36/69

Microsoft Windows 8


37/69


Anlise Forense Computacional


38/69




39/69



ive-$2:

Distri.uio $tili@ada: Qali >inu/ '& http://www.kali.org

2u.stituto da Distri.uio ac6Trac6 Diversas ferramentas para An!lise 3orense Jentest 3erramenta $tili@ada para ima7em ^ dcfldd


40/69


Anlise de Arquivo com "ma$em do Disco

Coletando inu/: "autilus

; nautilus /media/win8

; mkdir /media/win8

; mount /imagens/win8_part2.dd /media/win8 -o roloop

Microsoft Windows 8A li E l A i


41/69


Anlise Estrutural Artifacts

>ocal 3older ::($su!rio 4


42/69





43/69





44/69



45/69





46/69



Coletando


47/69

Anlise Forense do Windows 8Anlise de Arquivo com "ma$em do Disco


48/69



An!lise do 4e7istro :: %/emplo de $so do 34%D

&indows 0ersion info

&indows 0ersion: &indows 8 nterterprise 0aluation build B22uild string: B22.win8_rtm.2EF-CEtended build string: B22.A38C.8Afre.win8_rtm.2EF-CE+nstall date: 23/2F/2 A:C8:CCRegistered owner: [email protected] organiSation:)roduct +#: 22E8-C2222-2222-""2BC)roduct e: RR3#P-EPNB


49/69




!ser accounts

"dministradorR+#: F22 D2222229CG'omment: 'onta interna para a administra57o docomputador/domTnio$ast login time: 2/2E/A 2A:2F:2

$ast pw change: 2/2E/A 2A:28:8$ast failed login: n/a"ccount epires: n/a

R+#: 22 D2222223BG9ull name: R+'"R#> ?"$1">$ast login time: n/a$ast pw change: 23/2F/2 E:3C:E$ast failed login: n/a"ccount epires: BEF/2/ :FF:33


50/69






51/69


se de qu o co a$e do sco

An!lise do 4e7istro :: %/emplo de $so docntp1

tpw

; chntpw -l ("chntpw 0ersion 2.BB.A 282FA DsitfourG DcG )etter * ,agen

,i0e U("O name Dfrom headerG: U(stemRoot(stem3'onfig("O

R>>< = at offset: 22222 K (ubke indeing tpe is: AAAc UlfO

D...G

L R+# -L---------- !sername ------------L "dminM L- $ockM --L

L 2fC L "dministrador L "#+* L dis/lock L

L 2fF L 'on0idado L L dis/lock L

L 23eb L ,ome?roup!serH L L L

L 23eB L R+'"R#> L "#+* L L

L 23ec L teste_222 L L L



52/69


q $

An!lise do 4e7istro :: %/emplo de $so docntp1

tpw

; chntpw -e ("

Ocd ("#omains"ccount!sers222223B

("#omains"ccount!sers222223BOcat +nternet!ser*ame

1alue U+nternet!ser*ameO of tpe R?_+*"R= data length CC V2cW

:22222 E3 22 A3 22 A 22 E 22 AC 22 EF 22 E3 22 A 22 s.c.a.r.d.u.s.k.:2222 A' 22 AF 22 A 22 E3 22 C2 22 AE 22 A# 22 A 22 [email protected].

:2222 AB 22 A' 22 22 A3 22 A9 22 A# 22 i.l...c.o.m.

("#omains"ccount!sers222223BOcat ?i0en*ame1alue U?i0en*ameO of tpe R?_+*"R= data length C V2eW

:22222 F 22 CB 22 C3 22 C 22 F 22 CC 22 C9 22 R.+.'.".R.#.>.

("#omains"ccount!sers222223BOcat (urname1alue U(urnameO of tpe R?_+*"R= data length V2cW

:22222 CE 22 C 22 C' 22 FA 22 C 22 C9 22 ?.".$.1.".>.



53/69


q $

An!lise do 4e7istro :: %/emplo de $so do4e74ipper

(eleciona "rXui0o ,+1

"rXui0o onde ser6 geradoDR+)G o relat4rio

)lugin !tiliSado



54/69



; cat resultado_sam.tt

D...GD*


55/69



; cat resultado_sam.tt

D...GD*


56/69



57/69


2enas de $su!rios por 3ora ruta

; mkdir /media/win8

; mount /imagens/win8_part2.dd /media/win8 -o roloop

; bkhi0e/media/win8/&indows/(stem3/config/(=(


58/69


Dump da MemFria do 2istema:

- 3erramenta $tili@ada:

Moon2ols 0indo1s Memor= Tool6it 3ree1are (Communit= Iersion)

%uros (Jrofessional Iersion) http://www.moonsols.com/windows-memor-toolkit/

%/ecut!vel .ai/ado e e/ecutado direto de um pendrive

Dump 7erado direto no pendrive :#ump+t.ee

rkwin8-232C2-EFCC.raw


59/69



60/69


2uporte do Iolatilit= para 0indo1sH:

- Ierso ;& (em desenvolvimento) Addition of 0indo1s H 2erver ,', 2upportTestin7

- Tutorial da nova verso:https://0olatilit.googlecode.com/s0n/branches/scudette/docs/inde.html

- Ierso Atual(desenvolvimento) 5,W,,';8 Jrevie1 4elease &,:https://0olatilit.googlecode.com/files/0olatilit-tp.Sip

-


61/69


62/69


63/69


64/69



65/69


Oltima Dica so.re o Iolatilit=:

- Ierso ;& (em desenvolvimento) Tra@L adicionalmenteL ferramenta de Dump de MemFria:

WinPMEM

/usr/share/0olatilit-3.2-tp/tools/windows/winpmem

Ierso '&'

Cop=ri7t ,', Micael Coen scudette7mail&com

>icena: Apace ,&


66/69

Perguntas


67/69




68/69


4efer`ncias A7radecimentos: Amanda C& 3& Tomson (Te Peor7e 0asin7ton $niversit=) :: 0indo1s H 3orensic Puide

bos runt= (Marsal $niversit=) :: 0indo1s H: A 3orensic 3irst >oo6

3orensic


69/69


Ricardo Klber Martins Galvowww.ricardokleber.com

[email protected]@ricardokleber

Anlise Forense

Computacional no

Sistema Operacional

Documents

06-ForenseWindows8