Mobile Forensics
Análise Forense Rápida (Português)
Análise Forense Rápida (Português)
  • Introdução
  • Preparações
    • Conhecimento
    • Segurança
    • Confiança
    • Backup
  • Metodologia
  • Verificação de computadores Windows
    • Revisão de programas abertos na inicialização
    • Revisar processos em execução
    • Revisar conexões de rede
    • Extrair dados para análise adicional
  • Verificação de computadores Mac
    • Revisar programas abertos na inicialização
    • Revisar processos em execução
    • Revisar extensões do kernel
    • Revisar conexões de rede
    • Revisar logs do XProtect
    • Extrair dados para análise adicional
  • Verificação de smartphones
    • Arquitetura do sistema do smartphone
    • Verificar dispositivos vinculados a aplicativos de bate-papo
    • Verificar mensagens suspeitas
    • Monitorar o tráfego de rede
    • Nota: Monitoramento do tráfego de rede no Linux
  • Verificação básica de dispositivos Android
    • Revisar aplicativos instalados
    • Verificar armazenamento
    • Verificar se o telefone utiliza o app Android Device Policy (Política de Dispositivo Android)
    • Verificar se foi feito root no telefone
    • Verificar se as opções do desenvolvedor estão ativadas
    • Analisar aplicativos
    • Extrair dados para análise adicional
    • Opcional: verificar se há indicadores de instalação de stalkerware
  • Verificação avançada de dispositivos Android
    • Wireshark
    • MVT
    • Outras ferramentas
  • Verificação de dispositivos iOS
    • Revisar contas do iCloud
    • Revisar aplicativos instalados
    • Verificar perfis de gerenciamento de dispositivos móveis
    • Verificar atalhos
    • Verificar Jailbreaks
    • Ativar e verificar o relatório de privacidade do aplicativo
    • Extrair dados para análise adicional
    • Analisando dados extraídos
    • Sobre o modo de Isolamento
  • Verificação de dispositivos remotamente
    • Computadores Mac
    • Android
  • Concluindo uma coleta de evidências forenses
  • Referências e aprendizado adicional
  • Licença e créditos
Powered by GitBook
On this page
  • Como iniciar o KnockKnock
  • Análise de resultados
  • 1. Verifique as assinaturas dos aplicativos (image signature)
  • 2. Verifique os nomes e os caminhos dos programas
  • 3. Checar os resultados da verificação do VirusTotal
  1. Verificação de computadores Mac

Revisar programas abertos na inicialização

PreviousVerificação de computadores MacNextRevisar processos em execução

Last updated 4 months ago

A maioria dos spywares precisa encontrar uma maneira de ser executada na inicialização quando o computador é reiniciado. Portanto, é interessante revisar a lista de programas executados na inicialização para identificar possíveis malwares. O programa desenvolvido pela Objective-See permite listar esses programas.

Como iniciar o KnockKnock

Primeiro, é necessário fazer o download do programa em depois descompactar o arquivo que contém o programa (clicar duas vezes nele deve funcionar na maioria dos casos) e clicar duas vezes no programa KnockKnock para iniciá-lo.

NB: a interface do KnockKnock não está disponível em português.

KnockKnock

Análise de resultados

Veja a seguir algumas sugestões de padrões a serem observados.

1. Verifique as assinaturas dos aplicativos (image signature)

Nota: no contexto de detecção e análise de malware. Image pode significar imagem de disco de instalação de um aplicativo (disk image), ou a representação binária do executável do aplicativo já instalado.

Nas versões modernas do macOS, os aplicativos legítimos geralmente precisam ser “assinados” com um certificado de desenvolvedor. Esses certificados permitem verificar quem é o produtor de um determinado programa (como Google, Adobe ou outro). Os aplicativos que não são assinados normalmente são mais controlados e examinados pelos mecanismos de segurança do macOS. Uma primeira verificação útil é checar se um aplicativo está assinado ou não. Para visualizar a assinatura do aplicativo, clique no ícone (!) Info à direita do nome do aplicativo. Observe que, por padrão, os programas assinados pela Apple são filtrados.

2. Verifique os nomes e os caminhos dos programas

O KnockKnock mostra o nome que foi dado ao aplicativo por seus desenvolvedores. Essas informações podem ser falsificadas, mas, às vezes, os invasores são preguiçosos o suficiente para escrever incorretamente nomes legítimos falsificados (por exemplo, “Micorsoft Ofice” ou “Crhome”) ou simplesmente deixar caracteres e números aleatórios.

Os aplicativos do macOS geralmente são instalados em algumas pastas, dependendo do tipo de aplicativo. O fato de um aplicativo ser executado na inicialização a partir de uma pasta não padrão não significa que ele seja mal-intencionado, mas é definitivamente suspeito e deve ser verificado mais detalhadamente.

Aqui estão as pastas padrão:

  • Extensões de navegador normalmente são executadas em /Usuários/<nome de usuário>/Biblioteca/Application Support.Na versão em inglês: /Users/<username>/Library/Application Support

  • Extensões do kernel: /Biblioteca/Extensions ou /Sistema/Biblioteca/Extensions/. Na versão em inglês: /Library/Extensions ou /System/Library/Extensions/

  • Outros aplicativos: Biblioteca e Aplicativos. Na versão em inglês: Library e Applications

3. Checar os resultados da verificação do VirusTotal

Qualquer arquivo identificado como mal-intencionado por pelo menos um antivírus, no VirusTotal, deve ser verificado (embora haja alguns falsos positivos, tenha isso em mente se apenas um número muito pequeno de antivírus estiver detectando-o como mal-intencionado). Um arquivo não conhecido pelo VirusTotal também é suspeito, pois seu banco de dados contém os aplicativos legítimos mais comuns.

Uma vez iniciado, você precisa pressionar o botão Start Scan. O KnockKnock fará a varredura dos locais conhecidos onde um software persistente ou malware possa estar instalado e verificará se eles são conhecidos pelo .

KnockKnock

O KnockKnock não determina automaticamente quais programas são mal-intencionados ou não. Assim como no restante desta , é necessário que você se familiarize o suficiente com seus resultados para identificar rapidamente quaisquer anomalias ou entradas que não reconheça. Também é importante que você converse com o proprietário do sistema para identificar quais programas são desconhecidos para ele.

KnockKnock
KnockKnock

Durante a verificação, o KnockKnock checa a impressão digital dos aplicativos executados na inicialização no banco de dados do e mostra o resultado no menu.

VT
VT

Observação: conforme , em circunstâncias normais, você deve desconectar da Internet o computador que está sendo testado. Sem uma conexão com a Internet, não é possível fazer uma verificação imediata com o VirusTotal. No entanto, é possível salvar os resultados do KnockKnock clicando em Configurações > Salvar resultados da verificação e, posteriormente, abrir os resultados em um computador separado com conexão à Internet.

VirusTotal
metodologia
VirusTotal
discutido em Segurança
KnockKnock
sua página oficial