Análise forense Windows em imagens de computador
Categoria: Windows, Registro, navegadores e artefatos de uso
Objetivo do tema
Consolidar orientações, limitações e achados recorrentes sobre análise forense Windows em imagens de computador no contexto de exames de computação forense.
Contexto técnico consolidado
As conversas reunidas mencionam ferramentas/tecnologias como UFED, IPED, Magnet AXIOM, FTK, Hashcat, BitLocker. Os termos mais recorrentes neste tema incluem: windows, mas, imagem, pode, pra, maquina, essa, ftk, bitlocker, vai. O conteúdo abaixo foi consolidado a partir de mensagens anonimizadas do grupo, preservando as discussões de origem para conferência.
Pontos consolidados
- Construir timeline de uso de usuário e sistema.
- Priorizar artefatos diretamente relacionados aos quesitos.
- Manter rastreabilidade entre achado e arquivo de origem.
Ferramentas, sistemas ou marcas citadas
UFEDIPEDMagnet AXIOMFTKHashcatBitLockerPalavras-chave recorrentes
windowsmasimagempodepramaquinaessaftkbitlockervaipeloestoueleterpastae01criptografialinhaDiscussões de origem e mensagens relacionadas
Resumo gerado automaticamente a partir das mensagens anonimizadas. Conferir as mensagens de origem antes de uso em caso concreto.
Origem 001 — 17/08/2017 08:39 a 08:39 — Excelente material para investigar as ações realizadas em uma seção de usuário a
Pessoal, excelente material para investigar as ações realizadas em uma seção de usuário a partir de uma imagem de uma máquina windows. Trata-se de um desafio promovido pela SANS, mas é muito bom e bem explicativo. http://www.4n6k.com/2015/05/forensics-quickie-ntuserdat-analysis.html
Origem 002 — 14/09/2017 21:05 a 21:16 — Recebi, n olhei ainda se o livro é bom
Recebi, n olhei ainda se o livro é bom
Quem baixar libera no grupo
<Mídia oculta>
9781783554096-PRACTICAL_WINDOWS_FORENSICS
9781783554096-PRACTICAL_WINDOWS_FORENSICS
Origem 003 — 06/12/2017 13:37 a 13:37 — Análise forense Windows em imagens de computador
https://pplware.sapo.pt/smartphones-tablets/windows_phone/root-smartphone-windows-em-breve/
Origem 004 — 21/02/2018 08:49 a 08:49 — Elaboração de laudo e relatório técnico pericial
Tenho um laudo [ID-CASO] positivando keylogger.. Começou pelos programas q iniciavam junto com Windows
Origem 005 — 29/05/2019 13:47 a 13:47 — Análise forense Windows em imagens de computador
Bom dia Senhores. Alguém pode me sugerir um programa que faça leitura de SIMcard, pra windows. ?
Origem 006 — 15/08/2019 08:32 a 11:33 — O que vocês usam para dar split em uma imagem grande do dd
Bom dia. O que vocês usam para dar split em uma imagem grande do *dd* enquanto está sendo gerada? Ex: uma imagem de 32gb em arquivos de 2gb? É com gzip?
Tá gerando a imagem com o tablout?
imagem do celular, com o twrp
se conseguir aviso aqui
Ou isso. Pode ser.
Pode concatenar 3 comandos também. Extrai, compacta e divide.
dd if=/dev/block/mmcblk0 bs=4k | gzip -c | split -b 2000m - /external_sd/memoria.img.gz
é esse que estou tentando
Se conseguir, avise. Boa sorte
So vi agora as msgs. No Rio a gente faz sempre com dd | split. Sem o tar nem gzip
O tar não tem muita funcionalidade nessa história. O gzip seria pra colocar compactação em cada segmento.
usei o gzip pra ver se diminuia o tamanho, mas aparentemente nao compactou muito
Vc terá problemas pra analisar o gzip
Terá q descompactar cada segmento para poder analisar
que ferramenta usa pra fazer o merge no windows
Se não funcionar o comando, só falar q eu mando aqui a linha q usamos
Isso é um problema heheh
hum vou ter q fazer o merge no linux entao
com o proprio split
No Linux basta fazer o cat imagem.* > saída.dd
Não sei se o FTK imager faz no Windows. Testa ele ai
No windows é copy /b arq1+aq2+...+arqn arqfinal.bin
Pessoal, consegui extrair o conteúdo da memória com *dd if=/dev/block/mmcblk0 bs=4k | split -b 2000m - /external_sd/memoria.img.gz* , entretanto, quando fui abrir no UFED a partição estava criptografada. Consegui a senha com a usuária, mas assim que coloquei o UFED acusou que não reconhecia a criptografia. Então, já era.
Só para compartilhar os resultados com vcs.
A criptografia usa uma parte reservada de memória como parte da chave
só consegui obter dados descriptografados, acredito que dados básicos do restore do celular
Origem 007 — 13/09/2019 12:28 a 13:15 — Update que corrige uso excessivo de CPU do Windows 10 quebra busca do
Update que corrige uso excessivo de CPU do Windows 10 quebra busca do sistema - https://olhardigital.com.br/noticia/update-que-corrige-uso-excessivo-de-cpu-do-windows-10-quebra-busca-do-sistema/90253
Senhores, bom dia. Alguém teria uma cotação recente de uma estação forense? Pode ser Harpia, Z820, FRED.. qualquer uma.. só pra ter uma noção do preço e colocar numa requisição aqui..
Origem 008 — 09/07/2020 17:05 a 17:05 — Cara, que coincidência... Instalei hoje um windows XP numa máquina virtual
Cara, que coincidência... Instalei hoje um windows XP numa máquina virtual.
Origem 009 — 11/03/2021 07:08 a 08:49 — Análise forense Windows em imagens de computador
Não precisa abrir todos, o notepad++ pode fazer por pasta
Tem ubuntu no próprio windows 10
essa nao sabia. valeu
STK-20210311-WA0001.webp (arquivo anexado)
Wsl2. Funciona muito bem direto no kernel do windows. Tem o kali eu acho tb.
https://docs.microsoft.com/pt-br/windows/wsl/install-win10
Tem várias distribuições disponíveis a partir da Microsoft store, eu uso o Ubuntu no meu
https://g1.globo.com/economia/tecnologia/blog/altieres-rohr/post/2021/03/11/aplicativos-na-play-store-do-android-instalaram-ladrao-de-senhas-bancarias-alerta-empresa.ghtml A maioria dos apps se disfarçava de serviços de VPN, com nomes como "Cake VPN", "Pacific VPN" e "eVPN". Alguns também se passavam por reprodutores de música, como o "BeatPlayer" e o "MusicPlayer".
Origem 010 — 16/03/2021 19:09 a 20:11 — Imagem forense de mídia protegida por BitLocker
Pessoal, recebi um HD aparentemente criptografado. Tem algo que possa ser feito. Nem que seja detectar qual a criptografia, tentar um força-bruta etc?
https://hashcat.net/hashcat/
Cheguei a iniciar o estudo com essa ferramenta... Mas esbarrei na limitação de hardware... Mas a ferramenta parece promissora, porém a documentação não é muito boa
Caso seja um HD externo com bitlocker, que em algum momento tenha sido montado em uma máquina Windows, que por sua vez tenha hibernado com ele conectado, a chave possivelmente estará em algum arquivo de hibernação
Acho que se fosse BitLocker, o Windows reconheceria como uma partição válida, né? No caso que peguei, coloca o HD na máquina e o Windows pede para formatar. Usando uma ferramenta de disco, estou vendo que tem muitos dados aleatórios. Então, penso que pode ser um HD criptografado ou então é um HD que alguém passou um WIPE nele com dados aleatórios. Mas queria saber se tem como distinguir entre essas duas possibilidades.
abrindo num visualizador feito o ftk imager
ou algum editor em hexa decimal / string
você vai poder ter uma noção se vai estar sem criptografia
No meu caso eu gerei a imagem e01 e no meio das partições o axiom identificou uma possivelmente criptografia
Até tentei essa função do axiom com um dicionário mas deu erro durante o processo
Beleza. Obrigado pela dica.
estou com um dispositivo bloqueado por senha numerica
motorola xt1772
tentei as alternativas disponiveis e nada
alguem sugere algum saida alternativa
Verifica se ainda tem a opção de backup user data no recovery
[NOME] to meio novo nisso. Rapaz como que coloco o dispositivo nesse modo?
Origem 011 — 16/04/2021 11:42 a 13:20 — Se você processou no AXION e marcou aqueles artefatos de sistema operacional ele
Bom dia, Srs. É possível identificar numa máquina, os últimos ips locais atribuídos à ela?
No Event viewer não trouxe para vc? Já verificou lá?
Se você processou no AXION e marcou aqueles artefatos de sistema operacional ele já mostra direto na interface. Senão, em C:\Windows\System32\winevt\Logs tem, se não me falha a memória, o system.evtx aí é interessante baixar alguma ferramenta pra visualizar (no site da nirsoft tem umas interessantes)
Vai estar em log de Windows- segurança
Vai ter uns filtros semelhante a isso
Ou pode usar filtros nesse estilo
Se estiver na máquina local, encontrei isso aqui:
What you could do is take a look at the Wifi networks to which the laptop connected and remembered.
Open a command line (cmd.exe) and type the following command:
netsh wlan show profiles
What you could do is take a look at the Wifi networks to which the laptop connected and remembered.
Open a command line (cmd.exe) and type the following command:
netsh wlan show profiles
Vai listar os profiles das redes Wifi
A máquina no caso usa conexão ethernet
Cabo
Sabendo o Mac da máquina, tu vais encontrar essa informação no router na aba de dhcp
O negócio é sofisticado
Fazer o caminho inverso, no caso, né? Partir do roteador..?
Isso, primeiro faz na máquina "ipconfig /all" ou arp -a e depois procura lá no router... Ele deve ter a configuração lá
Origem 012 — 07/06/2021 11:38 a 12:16 — Bootloader, desbloqueio OEM e risco de wipe
Bom dia, pessoal!
Alguém saberia como extrair contatos, chamadas e mensagens sms do RM-1109, windows 10 mobile?
Alguém saberia como extrair contatos, chamadas e mensagens sms do RM-1109, windows 10 mobile?
Hehehehehehehehehehe é o que estou fazendo, obrigado!
Esses Lumia são dor de cabeça. Os últimos que fiz foi por printscreen no próprio celular
já tentei 1x JTAG e não consegui soldar os fios na PCB de tão miúdos e juntos que eram os contatos.
Eles são problemáticos mesmo, mas perguntei pra ver se teria alguma novidade. Obrigado pelo retorno, [NOME]!
Existia um projeto (hoje descontinuado), referente à solução Windows Phone Internals (WPInternals). Ele permite o desbloqueio do bootloader, bem como acesso root para alguns aparelhos da família Lumia.
Mas, pelo readme do aplicativo, parece que o modelo RM-1109 não fora testado pelo desenvolvedor, à época.
Em uma pesquisa rápida aqui, a ferramenta até encontra os arquivos necessários para o procedimento. Mas, há um risco, pela ausência de testes.
De todo modo, é algo que pode dar uma pesquisada, depois de garantir esse registro fotográfico dos dados, que o colega já está fazendo.
Mas, pelo readme do aplicativo, parece que o modelo RM-1109 não fora testado pelo desenvolvedor, à época.
Em uma pesquisa rápida aqui, a ferramenta até encontra os arquivos necessários para o procedimento. Mas, há um risco, pela ausência de testes.
De todo modo, é algo que pode dar uma pesquisada, depois de garantir esse registro fotográfico dos dados, que o colega já está fazendo.
https://gus33000.me/2019/01/05/secureboot-flaw-for-all-wp-devices-literally/
Parece que vazou um arquivo que permite fazer em todos. Mas como você falou, um pouco arriscado pela falta de testes. Se tiver um aparelho para teste seria o ideal.
Parece que vazou um arquivo que permite fazer em todos. Mas como você falou, um pouco arriscado pela falta de testes. Se tiver um aparelho para teste seria o ideal.
Origem 013 — 05/11/2021 12:39 a 13:47 — Análise forense Windows em imagens de computador
https://g1.globo.com/mundo/noticia/2021/11/05/funcionario-de-hospital-ingles-confessa-assassinatos-e-abuso-de-dezenas-de-cadaveres.ghtml
Devem ter encontrado um acervo de mais de duas décadas de luz da infância
"Dois discos rígidos estavam escondidas em uma caixa, aparafusada na parte de trás de uma cômoda e colocada dentro de um guarda-roupa."
Pessoal, boa tarde! Alguém sabe informar se é possível encontrarmos o IP (externo) de uma máquina Windows em determinado intervalo de tempo (mais especificamente em um software de bate papo)?
Vai encontrar nos logs do router
Do roteador mesmo?
Sim, lá registra o horário e o IP externo que o provedor associou
O problema é que só tenho o HD
Origem 014 — 06/04/2022 08:27 a 08:52 — Imagem forense de mídia protegida por BitLocker
Bom dia! Montar um imagem de disco para acessar a pasta do usuário... No FTKImager não indo. Alguma sugestão? Obg
Disco com NTFS?
Deve estar com bitlocker talvez
disco todo está cifrado ou só o perfil do usuário
Nem sempre o perfil de usuário está configurado para ficar dentro do /Users
é possível deixar uma partição sem bitlocker [SEGREDO] com bitocker. E aí, pode-se gravar o perifl na com bitlocker
Vc também pode cifrar só o perfil com bitlocker salvo engano, mas é raro fazerem isso
Pode-se tb usar encriptação básica do windows para esses diretórios. Já usei um tempo. o Tal EFS
A pasta do usuário não tá cifrada. Essa mesma imagem foi processada no FTK e tenho acesso à pasta do usuário.
A intenção seria rodar uma ferramenta à parte só na pasta do usuário.
O que o FTKImager acusa de erro?
Vc vê a pasta e na hora de abrir ele dá erro?
q tipo de imagem é? E01?
vc tentou montar num linux?
Qual a versão do ftkimager? É a mais atual?
vc montou a imagem no windows
seu windows não conhece esse usuário e não vai deixar vc acessar
Mas às vezes consigo montar pelo Imager e acessar.
se vc pega um disco de windows moderno e monta em um outro windows, se o diretório é excluviso de perfil e seu usuário corrente é normal, o windows vai dar acesso conforme as permissões do NTFS
Monta pelo método file system
Última opção no ftkimager..
<Mídia oculta>
Aqui.
Aqui.
<Mídia oculta>
Isso, [MENCAO] consigo com essa opção. Mas dessa vez não foi. 😩
Isso, [MENCAO] consigo com essa opção. Mas dessa vez não foi. 😩
O ftkimager você abriu como administrador?
Vou tentar aqui. Boa dica
Muito bem lembrado
Mas acho que ele geralmente requer poder de adminstrador não?
Acho que o problema não deve ser esse não. Ele monta tudo, o problema é que essa pasta tem restrição do próprio NTFS
Pastas de Perfil não são autorizadas para "Everyone"
<Mídia oculta>
Não foi 🤦🏻♂️
Não foi 🤦🏻♂️
vc pode baixar os arquivos dessas pastas direto do ftk imager
Origem 015 — 11/05/2022 12:05 a 12:11 — Análise de Registro Windows e arquivo NTUSER.DAT
Tentei aqui mas sem sucesso. Voltei a versão 7.46 e funcionou. Percebi que da 7.5x adiante o PA é chamado pelo Cellebrite.Main.Loader.exe
Creio que o registro do windows esteja misturando as versões
já aconteceu aqui, alguns erros diferentes por conta disso
Ja usei o sfc do Windows, cclener,
Origem 016 — 21/11/2023 12:46 a 12:46 — Existem ferramentas pra quebra de autenticação do Windows Hello (PIN + TPM), dos
Pessoal, existem ferramentas pra quebra de autenticação do Windows Hello (PIN + TPM), dos sistema Windows 10 e 11, que explorem vulnerabildiades no TPM, assim como o Premium faz pra TEE de celuares?
Origem 017 — 21/02/2024 12:06 a 12:26 — Análise forense Windows em imagens de computador
Boa tarde pessoal. Estou precisando criar uma imagem a partir da linha de comando do software AccessData FTK Imager 4.7.1.2. Fiz algumas pesquisas e achei o seguinte comando (linha adaptada para realização dos testes)
ftkimager.exe \\.\PHYSICALDRIVE4 f:\IMAGENS EXTRAIDAS\UNIDADE_L\EvidenceItem001 --e01 --compress 9 --case-number UNIDADE_L --evidence-number 1 --description "IMAGEM DA UNIDADE L" --examiner "APO" --notes "FAZENDO TESTE DA CRIAÇÃO DA IMAGEM VIA LINHA DE COMANDO."
ao tentar executar o comando pela linha a mensagem é exibida
vi que não existe o executável (ftkimager.exe) na pasta C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AccessData\FTK Imager
fiz uma pesquisa e parece que há um pacote apenas com esses códigos para executar via comando
alguém sabe onde encontrar? Ou disponibilizar ?
vi que existe um download com os arquivos necessários para execução via CMD, só que não obtive ainda êxito em encontrar. Quem sabe alguém aqui pode ajudar. Desde já, agradeço a atenção de todos
por que tu tá fazendo via linha de comando? é versão 32 bits rodando dentro de Virtual Machine?
tem uma versão mega antiga do FTK que salvo engano só roda via linha de comando pra casos de Windows 32 bits
<Mídia oculta>
ftkimager.rar
ftkimager.rar
Muito obrigado. Encontrei um aqui. Grande abraço.
Origem 018 — 28/05/2024 15:50 a 15:50 — Análise forense Windows em imagens de computador
Alguém já instalou esta atualização do Windows 11 "Atualização da Configuração do Windows (KB5035942)" no computador que utiliza o UFED? <Mensagem editada>
Origem 019 — 27/06/2024 09:42 a 10:00 — Uso do IPED na triagem, indexação e análise
Opa pessoal. Estou precisando de uma ajuda aqui. Foi quesitado o seguinte
c) Localização de acesso à rede WI-FI a partir do dia 19 de fevereiro de 2024, inclusive;
trata-se de um notebook com a presença de SSD. Sugestões ?
eu pegaria no registro do Windows o último IP
vai ter o IP do roteador...
diria que não tem como afirmar nada porque o IP é privad
Se listar os acessos WIFI a partir dessa data já ajuda, não é?
Como proceder? winver v.20200525
(Software) Get Windows version & build info
ProductName Windows 10 Pro
ReleaseID 2009
BuildLab 22621.ni_release.[TELEFONE]
BuildLabEx 22621.1.amd64fre.ni_release.[TELEFONE]
CompositionEditionID Enterprise
InstallDate 2024-05-04 17:22:52Z
InstallTime 2024-05-04 17:22:52Z
(Software) Get Windows version & build info
ProductName Windows 10 Pro
ReleaseID 2009
BuildLab 22621.ni_release.[TELEFONE]
BuildLabEx 22621.1.amd64fre.ni_release.[TELEFONE]
CompositionEditionID Enterprise
InstallDate 2024-05-04 17:22:52Z
InstallTime 2024-05-04 17:22:52Z
estou fazendo a análise pelo IPED
Origem 020 — 28/06/2024 14:14 a 15:01 — Aparentemente resolveu mesmo aqui, consegui abrir a extração e já mudei de janela
aparentemente resolveu mesmo aqui, consegui abrir a extração e já mudei de janela, maximizei, minimizei, tudo funcionando
Não tem essa chave no meu regedit. Acaba no CurrentControlSet. Não tem o Control. 🤷♂️
está no local_machine mesmo?
Sim. Tentei procurar via F3 também no regedit inteiro e não achei. Estou procurando aqui ainda.
segundo chatgpt tem essa chave tanto no windows 10 como no windows 11
Aqui é Windows 10. Se não tiver essa chave, deve ter uma correspondente.
Achei aqui. Não sei por que, na primeira vez andando caminho por caminho eu não achei. Mas o caminho é esse mesmo. 🤷♂️
altera e depois reinicia que resolve
Alguém pode reenviar essa imagem, só pra eu verificar se é o mesmo erro que tenho obtido?
Você tinha comentado que estava com o mesmo problema também.
É esse mesmo… vou testar essa solução aqui também…
A orientação do suporte da Cellebrite é fazer a reinstalação… as vezes soluciona, mas sempre o erro volta a aparecer.
Origem 021 — 11/10/2024 10:30 a 10:39 — Análise forense Windows em imagens de computador
Eu vi que tem como emular o linux no windows sem ser por máquina virtual, mas nem o chatgpt me ajudou nisso. Tentei o cygwin, se não me engano
no windows é simples. Instala o kali pelo App Store da Microsoft que ele já usa o WSL (windows Subsystem Linux)
De fato, também tem o ubuntu.
Bom do Kali que já vêm com básico para forense e atividades semelhantes.
Bom do Kali que já vêm com básico para forense e atividades semelhantes.
Vou dar uma olhada no vídeo. Eu não estava querendo usar dual boot ou máquina virtual, daí fiquei tentando ver como rodar alguns programas diretamente do windows. Acho que é pelo wsl mesmo. Valeu
Origem 022 — 03/04/2025 12:54 a 14:33 — Root e extração em dispositivo Positivo
Boa tarde. Estou com uma demanda na qual o 91 solicita: "rime de Invasão de Dispositivo ¿ Verificar se houve a instalação de algum programa, vírus ou
qualquer outro software que tenha a função de copiar ou espionar dados do computador/notebook. Se
a resposta for positiva, informar a data em que o software foi instalado."
qualquer outro software que tenha a função de copiar ou espionar dados do computador/notebook. Se
a resposta for positiva, informar a data em que o software foi instalado."
Vou verificar através do kaspersky se detecta algum tipo de trojan, vírus, etc. Alguma dica a mais que pode auxiliar no exame. Agradeço, desde já, a colaboração de todos. Grande abraço.
alem de passar um antivirus vc pode olhar programas que iniciam com windows, chave:: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
e examinar o C:\Windows\Prefetch\
e examinar o C:\Windows\Prefetch\