Mobile Forensics
Análise Forense Rápida (Português)
Análise Forense Rápida (Português)
  • Introdução
  • Preparações
    • Conhecimento
    • Segurança
    • Confiança
    • Backup
  • Metodologia
  • Verificação de computadores Windows
    • Revisão de programas abertos na inicialização
    • Revisar processos em execução
    • Revisar conexões de rede
    • Extrair dados para análise adicional
  • Verificação de computadores Mac
    • Revisar programas abertos na inicialização
    • Revisar processos em execução
    • Revisar extensões do kernel
    • Revisar conexões de rede
    • Revisar logs do XProtect
    • Extrair dados para análise adicional
  • Verificação de smartphones
    • Arquitetura do sistema do smartphone
    • Verificar dispositivos vinculados a aplicativos de bate-papo
    • Verificar mensagens suspeitas
    • Monitorar o tráfego de rede
    • Nota: Monitoramento do tráfego de rede no Linux
  • Verificação básica de dispositivos Android
    • Revisar aplicativos instalados
    • Verificar armazenamento
    • Verificar se o telefone utiliza o app Android Device Policy (Política de Dispositivo Android)
    • Verificar se foi feito root no telefone
    • Verificar se as opções do desenvolvedor estão ativadas
    • Analisar aplicativos
    • Extrair dados para análise adicional
    • Opcional: verificar se há indicadores de instalação de stalkerware
  • Verificação avançada de dispositivos Android
    • Wireshark
    • MVT
    • Outras ferramentas
  • Verificação de dispositivos iOS
    • Revisar contas do iCloud
    • Revisar aplicativos instalados
    • Verificar perfis de gerenciamento de dispositivos móveis
    • Verificar atalhos
    • Verificar Jailbreaks
    • Ativar e verificar o relatório de privacidade do aplicativo
    • Extrair dados para análise adicional
    • Analisando dados extraídos
    • Sobre o modo de Isolamento
  • Verificação de dispositivos remotamente
    • Computadores Mac
    • Android
  • Concluindo uma coleta de evidências forenses
  • Referências e aprendizado adicional
  • Licença e créditos
Powered by GitBook
On this page
  1. Verificação de computadores Windows

Extrair dados para análise adicional

PreviousRevisar conexões de redeNextVerificação de computadores Mac

Last updated 4 months ago

O é uma ferramenta que permite fazer uma descarga (dump) das informações de inicialização e processos reais, juntamente com a memória para análise posterior. Ela é realmente útil, por exemplo, se você não tiver tempo para verificar tudo no computador e quiser verificar novamente se há algo suspeito mais tarde. Você deve executar esse programa a partir de uma chave USB com espaço de armazenamento suficiente, clicar duas vezes no arquivo binário e seguir as instruções.

pcqf

A menos que você tenha um bom motivo para fazer isso, é recomendável não tirar um instantâneo da memória, pois ele contém muitas informações privadas (pode conter senhas, por exemplo).

Uma vez concluído, ele criará uma pasta nomeada pelo ID da aquisição (uma sequência de números hexadecimais), que contém:

  • Um arquivo profile.json que contém informações básicas sobre o sistema do computador.

  • Um arquivo process_list.json que contém uma lista de processos em execução.

  • Um arquivo autoruns.json que contém uma lista de todos os itens com persistência no sistema.

  • Uma pasta autoruns_bins/ que contém cópias dos arquivos e executáveis marcados para persistência no arquivo JSON anterior.

  • Uma pasta process_bins/ que contém cópias dos processos em execução.

  • Se solicitado, uma pasta memory/ conterá um despejo de memória física, bem como alguns metadados.

pcqf