Wiki CompFor
Windows, Registro, navegadores e artefatos de uso

Análise forense Windows em imagens de computador

Categoria: Windows, Registro, navegadores e artefatos de uso

Objetivo do tema

Consolidar orientações, limitações e achados recorrentes sobre análise forense Windows em imagens de computador no contexto de exames de computação forense.

Contexto técnico consolidado

As conversas reunidas mencionam ferramentas/tecnologias como UFED, IPED, Magnet AXIOM, FTK, Hashcat, BitLocker. Os termos mais recorrentes neste tema incluem: windows, mas, imagem, pode, pra, maquina, essa, ftk, bitlocker, vai. O conteúdo abaixo foi consolidado a partir de mensagens anonimizadas do grupo, preservando as discussões de origem para conferência.

Pontos consolidados

  • Construir timeline de uso de usuário e sistema.
  • Priorizar artefatos diretamente relacionados aos quesitos.
  • Manter rastreabilidade entre achado e arquivo de origem.

Ferramentas, sistemas ou marcas citadas

UFEDIPEDMagnet AXIOMFTKHashcatBitLocker

Palavras-chave recorrentes

windowsmasimagempodepramaquinaessaftkbitlockervaipeloestoueleterpastae01criptografialinha

Discussões de origem e mensagens relacionadas

Resumo gerado automaticamente a partir das mensagens anonimizadas. Conferir as mensagens de origem antes de uso em caso concreto.

Origem 001 — 17/08/2017 08:39 a 08:39 — Excelente material para investigar as ações realizadas em uma seção de usuário a

17/08/2017 08:39 · Membro 0020
Pessoal, excelente material para investigar as ações realizadas em uma seção de usuário a partir de uma imagem de uma máquina windows. Trata-se de um desafio promovido pela SANS, mas é muito bom e bem explicativo. http://www.4n6k.com/2015/05/forensics-quickie-ntuserdat-analysis.html

Origem 002 — 14/09/2017 21:05 a 21:16 — Recebi, n olhei ainda se o livro é bom

14/09/2017 21:05 · Membro 0001
Recebi, n olhei ainda se o livro é bom
14/09/2017 21:14 · Membro 0006
Quem baixar libera no grupo
14/09/2017 21:16 · Membro 0001
<Mídia oculta>
9781783554096-PRACTICAL_WINDOWS_FORENSICS

Origem 003 — 06/12/2017 13:37 a 13:37 — Análise forense Windows em imagens de computador

06/12/2017 13:37 · Membro 0015
https://pplware.sapo.pt/smartphones-tablets/windows_phone/root-smartphone-windows-em-breve/

Origem 004 — 21/02/2018 08:49 a 08:49 — Elaboração de laudo e relatório técnico pericial

21/02/2018 08:49 · Membro 0015
Tenho um laudo [ID-CASO] positivando keylogger.. Começou pelos programas q iniciavam junto com Windows

Origem 005 — 29/05/2019 13:47 a 13:47 — Análise forense Windows em imagens de computador

29/05/2019 13:47 · Membro 0023
Bom dia Senhores. Alguém pode me sugerir um programa que faça leitura de SIMcard, pra windows. ?

Origem 006 — 15/08/2019 08:32 a 11:33 — O que vocês usam para dar split em uma imagem grande do dd

15/08/2019 08:32 · Membro 0004
Bom dia. O que vocês usam para dar split em uma imagem grande do *dd* enquanto está sendo gerada? Ex: uma imagem de 32gb em arquivos de 2gb? É com gzip?
15/08/2019 08:33 · Membro 0001
Tá gerando a imagem com o tablout?
15/08/2019 08:34 · Membro 0004
imagem do celular, com o twrp
15/08/2019 09:06 · Membro 0004
se conseguir aviso aqui
15/08/2019 09:07 · Membro 0076
Ou isso. Pode ser.
15/08/2019 09:07 · Membro 0076
Pode concatenar 3 comandos também. Extrai, compacta e divide.
15/08/2019 09:07 · Membro 0004
dd if=/dev/block/mmcblk0 bs=4k | gzip -c | split -b 2000m - /external_sd/memoria.img.gz
15/08/2019 09:08 · Membro 0004
é esse que estou tentando
15/08/2019 09:08 · Membro 0076
Se conseguir, avise. Boa sorte
15/08/2019 09:34 · Membro 0051
So vi agora as msgs. No Rio a gente faz sempre com dd | split. Sem o tar nem gzip
15/08/2019 09:35 · Membro 0051
O tar não tem muita funcionalidade nessa história. O gzip seria pra colocar compactação em cada segmento.
15/08/2019 09:35 · Membro 0004
usei o gzip pra ver se diminuia o tamanho, mas aparentemente nao compactou muito
15/08/2019 09:35 · Membro 0051
Vc terá problemas pra analisar o gzip
15/08/2019 09:36 · Membro 0051
Terá q descompactar cada segmento para poder analisar
15/08/2019 09:39 · Membro 0004
que ferramenta usa pra fazer o merge no windows
15/08/2019 09:39 · Membro 0051
Se não funcionar o comando, só falar q eu mando aqui a linha q usamos
15/08/2019 09:39 · Membro 0051
Isso é um problema heheh
15/08/2019 09:39 · Membro 0004
hum vou ter q fazer o merge no linux entao
15/08/2019 09:40 · Membro 0004
com o proprio split
15/08/2019 09:40 · Membro 0051
No Linux basta fazer o cat imagem.* > saída.dd
15/08/2019 09:40 · Membro 0051
Não sei se o FTK imager faz no Windows. Testa ele ai
15/08/2019 09:41 · Membro 0048
No windows é copy /b arq1+aq2+...+arqn arqfinal.bin
15/08/2019 11:28 · Membro 0004
Pessoal, consegui extrair o conteúdo da memória com *dd if=/dev/block/mmcblk0 bs=4k | split -b 2000m - /external_sd/memoria.img.gz* , entretanto, quando fui abrir no UFED a partição estava criptografada. Consegui a senha com a usuária, mas assim que coloquei o UFED acusou que não reconhecia a criptografia. Então, já era.
15/08/2019 11:29 · Membro 0004
Só para compartilhar os resultados com vcs.
15/08/2019 11:32 · Membro 0003
A criptografia usa uma parte reservada de memória como parte da chave
15/08/2019 11:33 · Membro 0004
só consegui obter dados descriptografados, acredito que dados básicos do restore do celular

Origem 007 — 13/09/2019 12:28 a 13:15 — Update que corrige uso excessivo de CPU do Windows 10 quebra busca do

13/09/2019 12:28 · Membro 0044
Update que corrige uso excessivo de CPU do Windows 10 quebra busca do sistema - https://olhardigital.com.br/noticia/update-que-corrige-uso-excessivo-de-cpu-do-windows-10-quebra-busca-do-sistema/90253
13/09/2019 13:15 · Membro 0023
Senhores, bom dia. Alguém teria uma cotação recente de uma estação forense? Pode ser Harpia, Z820, FRED.. qualquer uma.. só pra ter uma noção do preço e colocar numa requisição aqui..

Origem 008 — 09/07/2020 17:05 a 17:05 — Cara, que coincidência... Instalei hoje um windows XP numa máquina virtual

09/07/2020 17:05 · Membro 0076
Cara, que coincidência... Instalei hoje um windows XP numa máquina virtual.

Origem 009 — 11/03/2021 07:08 a 08:49 — Análise forense Windows em imagens de computador

11/03/2021 07:08 · Membro 0003
Não precisa abrir todos, o notepad++ pode fazer por pasta
11/03/2021 07:21 · Membro 0048
Tem ubuntu no próprio windows 10
11/03/2021 08:04 · Membro 0015
essa nao sabia. valeu
11/03/2021 08:04 · Membro 0015
STK-20210311-WA0001.webp (arquivo anexado)
11/03/2021 08:08 · Membro 0048
Wsl2. Funciona muito bem direto no kernel do windows. Tem o kali eu acho tb.
11/03/2021 08:37 · Membro 0003
https://docs.microsoft.com/pt-br/windows/wsl/install-win10
11/03/2021 08:37 · Membro 0003
Tem várias distribuições disponíveis a partir da Microsoft store, eu uso o Ubuntu no meu
11/03/2021 08:49 · Membro 0020
https://g1.globo.com/economia/tecnologia/blog/altieres-rohr/post/2021/03/11/aplicativos-na-play-store-do-android-instalaram-ladrao-de-senhas-bancarias-alerta-empresa.ghtml A maioria dos apps se disfarçava de serviços de VPN, com nomes como "Cake VPN", "Pacific VPN" e "eVPN". Alguns também se passavam por reprodutores de música, como o "BeatPlayer" e o "MusicPlayer".

Origem 010 — 16/03/2021 19:09 a 20:11 — Imagem forense de mídia protegida por BitLocker

16/03/2021 19:09 · Membro 0076
Pessoal, recebi um HD aparentemente criptografado. Tem algo que possa ser feito. Nem que seja detectar qual a criptografia, tentar um força-bruta etc?
16/03/2021 19:18 · Membro 0020
https://hashcat.net/hashcat/
16/03/2021 19:20 · Membro 0020
Cheguei a iniciar o estudo com essa ferramenta... Mas esbarrei na limitação de hardware... Mas a ferramenta parece promissora, porém a documentação não é muito boa
16/03/2021 19:25 · Membro 0042
Caso seja um HD externo com bitlocker, que em algum momento tenha sido montado em uma máquina Windows, que por sua vez tenha hibernado com ele conectado, a chave possivelmente estará em algum arquivo de hibernação
16/03/2021 19:29 · Membro 0076
Acho que se fosse BitLocker, o Windows reconheceria como uma partição válida, né? No caso que peguei, coloca o HD na máquina e o Windows pede para formatar. Usando uma ferramenta de disco, estou vendo que tem muitos dados aleatórios. Então, penso que pode ser um HD criptografado ou então é um HD que alguém passou um WIPE nele com dados aleatórios. Mas queria saber se tem como distinguir entre essas duas possibilidades.
16/03/2021 19:30 · Membro 0088
abrindo num visualizador feito o ftk imager
16/03/2021 19:30 · Membro 0088
ou algum editor em hexa decimal / string
16/03/2021 19:30 · Membro 0088
você vai poder ter uma noção se vai estar sem criptografia
16/03/2021 19:31 · Membro 0020
No meu caso eu gerei a imagem e01 e no meio das partições o axiom identificou uma possivelmente criptografia
16/03/2021 19:33 · Membro 0020
Até tentei essa função do axiom com um dicionário mas deu erro durante o processo
16/03/2021 19:42 · Membro 0076
Beleza. Obrigado pela dica.
16/03/2021 20:01 · Membro 0129
estou com um dispositivo bloqueado por senha numerica
16/03/2021 20:01 · Membro 0129
motorola xt1772
16/03/2021 20:02 · Membro 0129
tentei as alternativas disponiveis e nada
16/03/2021 20:02 · Membro 0129
alguem sugere algum saida alternativa
16/03/2021 20:07 · Membro 0117
Verifica se ainda tem a opção de backup user data no recovery
16/03/2021 20:11 · Membro 0129
[NOME] to meio novo nisso. Rapaz como que coloco o dispositivo nesse modo?

Origem 011 — 16/04/2021 11:42 a 13:20 — Se você processou no AXION e marcou aqueles artefatos de sistema operacional ele

16/04/2021 11:42 · Membro 0023
Bom dia, Srs. É possível identificar numa máquina, os últimos ips locais atribuídos à ela?
16/04/2021 11:43 · Membro 0105
No Event viewer não trouxe para vc? Já verificou lá?
16/04/2021 12:24 · Membro 0020
Se você processou no AXION e marcou aqueles artefatos de sistema operacional ele já mostra direto na interface. Senão, em C:\Windows\System32\winevt\Logs tem, se não me falha a memória, o system.evtx aí é interessante baixar alguma ferramenta pra visualizar (no site da nirsoft tem umas interessantes)
16/04/2021 12:24 · Membro 0105
Vai estar em log de Windows- segurança
16/04/2021 12:26 · Membro 0105
Vai ter uns filtros semelhante a isso
16/04/2021 12:26 · Membro 0105
Ou pode usar filtros nesse estilo
16/04/2021 12:53 · Membro 0020
Se estiver na máquina local, encontrei isso aqui:

What you could do is take a look at the Wifi networks to which the laptop connected and remembered.

Open a command line (cmd.exe) and type the following command:



netsh wlan show profiles
16/04/2021 12:53 · Membro 0020
Vai listar os profiles das redes Wifi
16/04/2021 12:55 · Membro 0023
A máquina no caso usa conexão ethernet
16/04/2021 12:55 · Membro 0023
Cabo
16/04/2021 12:57 · Membro 0020
Sabendo o Mac da máquina, tu vais encontrar essa informação no router na aba de dhcp
16/04/2021 13:14 · Membro 0003
O negócio é sofisticado
16/04/2021 13:18 · Membro 0023
Fazer o caminho inverso, no caso, né? Partir do roteador..?
16/04/2021 13:20 · Membro 0020
Isso, primeiro faz na máquina "ipconfig /all" ou arp -a e depois procura lá no router... Ele deve ter a configuração lá

Origem 012 — 07/06/2021 11:38 a 12:16 — Bootloader, desbloqueio OEM e risco de wipe

07/06/2021 11:38 · Membro 0005
Bom dia, pessoal!
Alguém saberia como extrair contatos, chamadas e mensagens sms do RM-1109, windows 10 mobile?
07/06/2021 11:53 · Membro 0005
Hehehehehehehehehehe é o que estou fazendo, obrigado!
07/06/2021 11:53 · Membro 0048
Esses Lumia são dor de cabeça. Os últimos que fiz foi por printscreen no próprio celular
07/06/2021 11:54 · Membro 0048
já tentei 1x JTAG e não consegui soldar os fios na PCB de tão miúdos e juntos que eram os contatos.
07/06/2021 11:55 · Membro 0005
Eles são problemáticos mesmo, mas perguntei pra ver se teria alguma novidade. Obrigado pelo retorno, [NOME]!
07/06/2021 12:13 · Membro 0054
Existia um projeto (hoje descontinuado), referente à solução Windows Phone Internals (WPInternals). Ele permite o desbloqueio do bootloader, bem como acesso root para alguns aparelhos da família Lumia.

Mas, pelo readme do aplicativo, parece que o modelo RM-1109 não fora testado pelo desenvolvedor, à época.

Em uma pesquisa rápida aqui, a ferramenta até encontra os arquivos necessários para o procedimento. Mas, há um risco, pela ausência de testes.

De todo modo, é algo que pode dar uma pesquisada, depois de garantir esse registro fotográfico dos dados, que o colega já está fazendo.
07/06/2021 12:16 · Membro 0117
https://gus33000.me/2019/01/05/secureboot-flaw-for-all-wp-devices-literally/

Parece que vazou um arquivo que permite fazer em todos. Mas como você falou, um pouco arriscado pela falta de testes. Se tiver um aparelho para teste seria o ideal.

Origem 013 — 05/11/2021 12:39 a 13:47 — Análise forense Windows em imagens de computador

05/11/2021 12:39 · Membro 0020
https://g1.globo.com/mundo/noticia/2021/11/05/funcionario-de-hospital-ingles-confessa-assassinatos-e-abuso-de-dezenas-de-cadaveres.ghtml
05/11/2021 12:39 · Membro 0020
Devem ter encontrado um acervo de mais de duas décadas de luz da infância
05/11/2021 12:42 · Membro 0048
"Dois discos rígidos estavam escondidas em uma caixa, aparafusada na parte de trás de uma cômoda e colocada dentro de um guarda-roupa."
05/11/2021 13:02 · Membro 0083
Pessoal, boa tarde! Alguém sabe informar se é possível encontrarmos o IP (externo) de uma máquina Windows em determinado intervalo de tempo (mais especificamente em um software de bate papo)?
05/11/2021 13:03 · Membro 0020
Vai encontrar nos logs do router
05/11/2021 13:04 · Membro 0083
Do roteador mesmo?
05/11/2021 13:32 · Membro 0020
Sim, lá registra o horário e o IP externo que o provedor associou
05/11/2021 13:47 · Membro 0083
O problema é que só tenho o HD

Origem 014 — 06/04/2022 08:27 a 08:52 — Imagem forense de mídia protegida por BitLocker

06/04/2022 08:27 · Membro 0009
Bom dia! Montar um imagem de disco para acessar a pasta do usuário... No FTKImager não indo. Alguma sugestão? Obg
06/04/2022 08:28 · Membro 0048
Disco com NTFS?
06/04/2022 08:28 · Membro 0048
Deve estar com bitlocker talvez
06/04/2022 08:29 · Membro 0048
disco todo está cifrado ou só o perfil do usuário
06/04/2022 08:30 · Membro 0048
Nem sempre o perfil de usuário está configurado para ficar dentro do /Users
06/04/2022 08:31 · Membro 0048
é possível deixar uma partição sem bitlocker [SEGREDO] com bitocker. E aí, pode-se gravar o perifl na com bitlocker
06/04/2022 08:32 · Membro 0048
Vc também pode cifrar só o perfil com bitlocker salvo engano, mas é raro fazerem isso
06/04/2022 08:33 · Membro 0048
Pode-se tb usar encriptação básica do windows para esses diretórios. Já usei um tempo. o Tal EFS
06/04/2022 08:33 · Membro 0009
A pasta do usuário não tá cifrada. Essa mesma imagem foi processada no FTK e tenho acesso à pasta do usuário.
06/04/2022 08:35 · Membro 0009
A intenção seria rodar uma ferramenta à parte só na pasta do usuário.
06/04/2022 08:35 · Membro 0048
O que o FTKImager acusa de erro?
06/04/2022 08:35 · Membro 0048
Vc vê a pasta e na hora de abrir ele dá erro?
06/04/2022 08:36 · Membro 0112
q tipo de imagem é? E01?
06/04/2022 08:37 · Membro 0112
vc tentou montar num linux?
06/04/2022 08:37 · Membro 0048
Qual a versão do ftkimager? É a mais atual?
06/04/2022 08:41 · Membro 0048
vc montou a imagem no windows
06/04/2022 08:41 · Membro 0048
seu windows não conhece esse usuário e não vai deixar vc acessar
06/04/2022 08:42 · Membro 0009
Mas às vezes consigo montar pelo Imager e acessar.
06/04/2022 08:43 · Membro 0048
se vc pega um disco de windows moderno e monta em um outro windows, se o diretório é excluviso de perfil e seu usuário corrente é normal, o windows vai dar acesso conforme as permissões do NTFS
06/04/2022 08:44 · Membro 0093
Monta pelo método file system
06/04/2022 08:45 · Membro 0093
Última opção no ftkimager..
06/04/2022 08:46 · Membro 0093
<Mídia oculta>
Aqui.
06/04/2022 08:47 · Membro 0009
<Mídia oculta>
Isso, [MENCAO] consigo com essa opção. Mas dessa vez não foi. 😩
06/04/2022 08:48 · Membro 0093
O ftkimager você abriu como administrador?
06/04/2022 08:48 · Membro 0009
Vou tentar aqui. Boa dica
06/04/2022 08:49 · Membro 0048
Muito bem lembrado
06/04/2022 08:50 · Membro 0048
Mas acho que ele geralmente requer poder de adminstrador não?
06/04/2022 08:50 · Membro 0048
Acho que o problema não deve ser esse não. Ele monta tudo, o problema é que essa pasta tem restrição do próprio NTFS
06/04/2022 08:51 · Membro 0048
Pastas de Perfil não são autorizadas para "Everyone"
06/04/2022 08:51 · Membro 0009
<Mídia oculta>
Não foi 🤦🏻‍♂️
06/04/2022 08:52 · Membro 0088
vc pode baixar os arquivos dessas pastas direto do ftk imager

Origem 015 — 11/05/2022 12:05 a 12:11 — Análise de Registro Windows e arquivo NTUSER.DAT

11/05/2022 12:05 · Membro 0015
Tentei aqui mas sem sucesso. Voltei a versão 7.46 e funcionou. Percebi que da 7.5x adiante o PA é chamado pelo Cellebrite.Main.Loader.exe
11/05/2022 12:07 · Membro 0088
Creio que o registro do windows esteja misturando as versões
11/05/2022 12:07 · Membro 0088
já aconteceu aqui, alguns erros diferentes por conta disso
11/05/2022 12:11 · Membro 0015
Ja usei o sfc do Windows, cclener,

Origem 016 — 21/11/2023 12:46 a 12:46 — Existem ferramentas pra quebra de autenticação do Windows Hello (PIN + TPM), dos

21/11/2023 12:46 · Membro 0050
Pessoal, existem ferramentas pra quebra de autenticação do Windows Hello (PIN + TPM), dos sistema Windows 10 e 11, que explorem vulnerabildiades no TPM, assim como o Premium faz pra TEE de celuares?

Origem 017 — 21/02/2024 12:06 a 12:26 — Análise forense Windows em imagens de computador

21/02/2024 12:06 · Membro 0178
Boa tarde pessoal. Estou precisando criar uma imagem a partir da linha de comando do software AccessData FTK Imager 4.7.1.2. Fiz algumas pesquisas e achei o seguinte comando (linha adaptada para realização dos testes)
21/02/2024 12:06 · Membro 0178
ftkimager.exe \\.\PHYSICALDRIVE4 f:\IMAGENS EXTRAIDAS\UNIDADE_L\EvidenceItem001 --e01 --compress 9 --case-number UNIDADE_L --evidence-number 1 --description "IMAGEM DA UNIDADE L" --examiner "APO" --notes "FAZENDO TESTE DA CRIAÇÃO DA IMAGEM VIA LINHA DE COMANDO."
21/02/2024 12:06 · Membro 0178
ao tentar executar o comando pela linha a mensagem é exibida
21/02/2024 12:07 · Membro 0178
vi que não existe o executável (ftkimager.exe) na pasta C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AccessData\FTK Imager
21/02/2024 12:08 · Membro 0178
fiz uma pesquisa e parece que há um pacote apenas com esses códigos para executar via comando
21/02/2024 12:08 · Membro 0178
alguém sabe onde encontrar? Ou disponibilizar ?
21/02/2024 12:09 · Membro 0178
vi que existe um download com os arquivos necessários para execução via CMD, só que não obtive ainda êxito em encontrar. Quem sabe alguém aqui pode ajudar. Desde já, agradeço a atenção de todos
21/02/2024 12:13 · Membro 0166
por que tu tá fazendo via linha de comando? é versão 32 bits rodando dentro de Virtual Machine?
21/02/2024 12:13 · Membro 0166
tem uma versão mega antiga do FTK que salvo engano só roda via linha de comando pra casos de Windows 32 bits
21/02/2024 12:20 · Membro 0039
<Mídia oculta>
ftkimager.rar
21/02/2024 12:26 · Membro 0178
Muito obrigado. Encontrei um aqui. Grande abraço.

Origem 018 — 28/05/2024 15:50 a 15:50 — Análise forense Windows em imagens de computador

28/05/2024 15:50 · Membro 0162
Alguém já instalou esta atualização do Windows 11 "Atualização da Configuração do Windows (KB5035942)" no computador que utiliza o UFED? <Mensagem editada>

Origem 019 — 27/06/2024 09:42 a 10:00 — Uso do IPED na triagem, indexação e análise

27/06/2024 09:42 · Membro 0178
Opa pessoal. Estou precisando de uma ajuda aqui. Foi quesitado o seguinte
27/06/2024 09:42 · Membro 0178
c) Localização de acesso à rede WI-FI a partir do dia 19 de fevereiro de 2024, inclusive;
27/06/2024 09:42 · Membro 0178
trata-se de um notebook com a presença de SSD. Sugestões ?
27/06/2024 09:44 · Membro 0166
eu pegaria no registro do Windows o último IP
27/06/2024 09:44 · Membro 0166
vai ter o IP do roteador...
27/06/2024 09:44 · Membro 0166
diria que não tem como afirmar nada porque o IP é privad
27/06/2024 09:54 · Membro 0048
Se listar os acessos WIFI a partir dessa data já ajuda, não é?
27/06/2024 09:59 · Membro 0178
Como proceder? winver v.20200525
(Software) Get Windows version & build info

ProductName Windows 10 Pro
ReleaseID 2009
BuildLab 22621.ni_release.[TELEFONE]
BuildLabEx 22621.1.amd64fre.ni_release.[TELEFONE]
CompositionEditionID Enterprise
InstallDate 2024-05-04 17:22:52Z
InstallTime 2024-05-04 17:22:52Z
27/06/2024 10:00 · Membro 0178
estou fazendo a análise pelo IPED

Origem 020 — 28/06/2024 14:14 a 15:01 — Aparentemente resolveu mesmo aqui, consegui abrir a extração e já mudei de janela

28/06/2024 14:14 · Membro 0003
aparentemente resolveu mesmo aqui, consegui abrir a extração e já mudei de janela, maximizei, minimizei, tudo funcionando
28/06/2024 14:36 · Membro 0076
Não tem essa chave no meu regedit. Acaba no CurrentControlSet. Não tem o Control. 🤷‍♂️
28/06/2024 14:37 · Membro 0003
está no local_machine mesmo?
28/06/2024 14:40 · Membro 0076
Sim. Tentei procurar via F3 também no regedit inteiro e não achei. Estou procurando aqui ainda.
28/06/2024 14:41 · Membro 0003
segundo chatgpt tem essa chave tanto no windows 10 como no windows 11
28/06/2024 14:42 · Membro 0076
Aqui é Windows 10. Se não tiver essa chave, deve ter uma correspondente.
28/06/2024 14:51 · Membro 0076
Achei aqui. Não sei por que, na primeira vez andando caminho por caminho eu não achei. Mas o caminho é esse mesmo. 🤷‍♂️
28/06/2024 14:54 · Membro 0003
altera e depois reinicia que resolve
28/06/2024 14:59 · Membro 0023
Alguém pode reenviar essa imagem, só pra eu verificar se é o mesmo erro que tenho obtido?
28/06/2024 15:00 · Membro 0003
Você tinha comentado que estava com o mesmo problema também.
28/06/2024 15:00 · Membro 0023
É esse mesmo… vou testar essa solução aqui também…
28/06/2024 15:01 · Membro 0023
A orientação do suporte da Cellebrite é fazer a reinstalação… as vezes soluciona, mas sempre o erro volta a aparecer.

Origem 021 — 11/10/2024 10:30 a 10:39 — Análise forense Windows em imagens de computador

11/10/2024 10:30 · Membro 0155
Eu vi que tem como emular o linux no windows sem ser por máquina virtual, mas nem o chatgpt me ajudou nisso. Tentei o cygwin, se não me engano
11/10/2024 10:33 · Membro 0048
no windows é simples. Instala o kali pelo App Store da Microsoft que ele já usa o WSL (windows Subsystem Linux)
11/10/2024 10:35 · Membro 0048
De fato, também tem o ubuntu.
Bom do Kali que já vêm com básico para forense e atividades semelhantes.
11/10/2024 10:39 · Membro 0155
Vou dar uma olhada no vídeo. Eu não estava querendo usar dual boot ou máquina virtual, daí fiquei tentando ver como rodar alguns programas diretamente do windows. Acho que é pelo wsl mesmo. Valeu

Origem 022 — 03/04/2025 12:54 a 14:33 — Root e extração em dispositivo Positivo

03/04/2025 12:54 · Membro 0178
Boa tarde. Estou com uma demanda na qual o 91 solicita: "rime de Invasão de Dispositivo ¿ Verificar se houve a instalação de algum programa, vírus ou
qualquer outro software que tenha a função de copiar ou espionar dados do computador/notebook. Se
a resposta for positiva, informar a data em que o software foi instalado."
03/04/2025 12:55 · Membro 0178
Vou verificar através do kaspersky se detecta algum tipo de trojan, vírus, etc. Alguma dica a mais que pode auxiliar no exame. Agradeço, desde já, a colaboração de todos. Grande abraço.
03/04/2025 14:33 · Membro 0185
alem de passar um antivirus vc pode olhar programas que iniciam com windows, chave:: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
e examinar o C:\Windows\Prefetch\