Mobile Forensics
Análise Forense Rápida (Português)
Análise Forense Rápida (Português)
  • Introdução
  • Preparações
    • Conhecimento
    • Segurança
    • Confiança
    • Backup
  • Metodologia
  • Verificação de computadores Windows
    • Revisão de programas abertos na inicialização
    • Revisar processos em execução
    • Revisar conexões de rede
    • Extrair dados para análise adicional
  • Verificação de computadores Mac
    • Revisar programas abertos na inicialização
    • Revisar processos em execução
    • Revisar extensões do kernel
    • Revisar conexões de rede
    • Revisar logs do XProtect
    • Extrair dados para análise adicional
  • Verificação de smartphones
    • Arquitetura do sistema do smartphone
    • Verificar dispositivos vinculados a aplicativos de bate-papo
    • Verificar mensagens suspeitas
    • Monitorar o tráfego de rede
    • Nota: Monitoramento do tráfego de rede no Linux
  • Verificação básica de dispositivos Android
    • Revisar aplicativos instalados
    • Verificar armazenamento
    • Verificar se o telefone utiliza o app Android Device Policy (Política de Dispositivo Android)
    • Verificar se foi feito root no telefone
    • Verificar se as opções do desenvolvedor estão ativadas
    • Analisar aplicativos
    • Extrair dados para análise adicional
    • Opcional: verificar se há indicadores de instalação de stalkerware
  • Verificação avançada de dispositivos Android
    • Wireshark
    • MVT
    • Outras ferramentas
  • Verificação de dispositivos iOS
    • Revisar contas do iCloud
    • Revisar aplicativos instalados
    • Verificar perfis de gerenciamento de dispositivos móveis
    • Verificar atalhos
    • Verificar Jailbreaks
    • Ativar e verificar o relatório de privacidade do aplicativo
    • Extrair dados para análise adicional
    • Analisando dados extraídos
    • Sobre o modo de Isolamento
  • Verificação de dispositivos remotamente
    • Computadores Mac
    • Android
  • Concluindo uma coleta de evidências forenses
  • Referências e aprendizado adicional
  • Licença e créditos
Powered by GitBook
On this page
  • 1. Verificar a assinatura da imagem
  • 2. Verifique se há nome e caminho de aplicativo suspeito
  • 3. Procurando programas no VirusTotal
  1. Verificação de computadores Mac

Revisar processos em execução

PreviousRevisar programas abertos na inicializaçãoNextRevisar extensões do kernel

Last updated 4 months ago

Um computador infectado com spyware deve ter alguns processos mal-intencionados em execução o tempo todo, monitorando o sistema e coletando dados a serem transmitidos para o dos atacantes. Portanto, outra etapa necessária na triagem de um computador macOS suspeito é extrair a lista de processos em execução e verificar se algum deles apresenta características suspeitas

A melhor ferramenta para fazer isso é o desenvolvido pela Objective-See. Primeiro, é necessário fazer o download do programa em , descompactar o arquivo que contém o programa (clicar duas vezes nele deve funcionar, na maioria dos casos) e clicar duas vezes no programa TaskExplorer para iniciá-lo. Na inicialização, ele solicitará sua senha para obter privilégios de administrador e listar todos os processos em execução.

Antes de prosseguir com essa verificação, é recomendável que você feche todos os aplicativos visíveis em execução, a fim de reduzir ao mínimo as saídas das ferramentas que serão executadas.

NB: a interface do TaskExplorer não está disponível em português.

1. Verificar a assinatura da imagem

Você pode filtrar as tarefas para ver apenas os aplicativos não assinados escrevendo #unsigned na barra de filtragem e pressionando Enter :

2. Verifique se há nome e caminho de aplicativo suspeito

Como na seção de inicialização, é interessante verificar se há algum aplicativo que tenha um nome e um caminho suspeitos. O nome do aplicativo pode ser falsificado, mas, em alguns casos, o malware está usando nomes falsos com erros de digitação (como Crhome) ou strings aleatórias.

O caminho do aplicativo fornece uma indicação de onde o aplicativo está sendo executado. Qualquer aplicativo executado em um local que não seja Biblioteca ou Aplicativos deve ser investigado mais a fundo.

Para evitar a verificação de aplicativos legítimos assinados pela Apple, você pode filtrar as tarefas com a hashtag #nonapple na barra de filtro:

3. Procurando programas no VirusTotal

Você deve investigar mais a fundo qualquer tarefa identificada por pelo menos um antivírus como maliciosa ou não conhecida pelo VirusTotal.

Da mesma forma que o KnockKnock, o TaskExplorer verifica a assinatura dos aplicativos em execução. Essas informações são mostradas com um ícone de cadeado próximo ao nome do aplicativo: um cadeado verde fechado significa que o aplicativo pertence à Apple, um cadeado preto fechado significa que o aplicativo não é assinado pela Apple e um cadeado laranja aberto significa que o aplicativo não é assinado.

Da mesma forma que o Autoruns visto na seção , o TaskExplorer também verifica a impressão digital do arquivo no VirusTotal. À direita de cada tarefa em execução, você verá dois números que representam primeiro o número de antivírus que identificaram esse arquivo como malicioso e, em seguida, o número total de antivírus testados. Um ponto de interrogação aparecerá se esse programa não for conhecido pelo VirusTotal.

Observação: as mesmas considerações e avisos explicados na também se aplicam aqui. Certifique-se de lê-las antes de prosseguir.

Revisar programas abertos na inicialização
seção anterior
servidor de Comando e Controle
TaskExplorer
sua página oficial