Skip to content
LEFORENSE

LEFORENSE

Computação Forense, onde o conhecimento é compartilhado!

  • INICIO
  • ARTIGOS FORENSE
  • TUTORIAIS
  • GUIA DE REMOÇÃO
  • LIVROS
  • GRUPOS TELEGRAM
  • Home
  • Resposta a incidente em Forense
  • Ferramentas
  • Forense
  • Forense Aquisição
  • Forense RAM

Resposta a incidente em Forense

Coleta forense baseado em resposta a incidentes para ambientes Windows, inclusive executando via rede.
2 min read

Indice

  • 1 DFIRriage - Digital forensic acquisition tool for Windows
    • 1.1 Fonte
    • 1.2 Instalação
    • 1.3 Recursos
    • 1.4 Fazendo a coleta local
  • 2 Resultado
  • 3 DTFind
  • 4 Conclusão

Imagine a situação, houve um vazamento de informação na sua empresa, você suspeita quem foi mas não quer gerar nenhuma situação desconfortante ao suspeito, já que é um colaborador na empresa que você trabalha. Como fazer uma analise rápida e sem suspeita?

DFIRriage - Digital forensic acquisition tool for Windows

Essa situação pode ser resolvida pelo DFIRTriage, é uma aplicação desenvolvida em Python, que houve uma atualização recente depois de três anos sem ter atualização. Cheguei até fazer um FORK desse programa e chamei ele de F1RSTriage e adaptei ao meu cenário na empresa, fiz até uma melhoria para fazer coleta de multiplos usuários para quem tem Active Directory. 

Este programa DFIRTriage (original) é uma “mão na roda” para resolver problemas de coleta forense de forma rápida e simples, seja você executando ou fazendo uma coleta via PSEXEC.

Fonte

DFIRTriage esta disponível no GITHUB, no endereço: https://github.com/travisfoley/dfirtriage

Instalação

git clone https://github.com/travisfoley/dfirtriage

Recursos

DFIRTriage irá realizar a coleta forense nos seguintes itens:

  • Dump de memória RAM; (obrigatório/opcional)
  • Verifica se esta executando com privilegios administrativos;
  • Detecta a arquitetura do sistema (32/64Bits)
  • Coleta e Parse de Prefetch;
  • Coleta de historico do Power Shell;
  • Ultimas atividades do usuário;
  • HASh de: (usuários, system32, windows, temp)
  • Informações de rede;
  • Windows update log;
  • Windows defender log;
  • Dump e Parsing das HIVES do Registro do Windows;
  • Coleta de dispositivos USB;
  • Historico de navegação do usuário;
  • Hash de todos os arquivos coletados;

Ao terminar a coleta, também tera a disposição o programa “DTFIND”, que permite fazer busca dentro dos arquivos coletados, mais abaixo demostrarei.

Fazendo a coleta local

A coleta é muito tranquila, basta abrir uma tela de prompt ou executar com duplo clique. Importante estar executando como administrador! Neste exemplo, foi executado sem dump de ram.

Resultado

O resultado, sera compactado com o nome do computador . data e hora de execução. Ao descompactar teremos:

Ao descompactar o LiveResponseData.zip terá todos os arquivos coletados, demostrar neste post seria muito extenso, vale a pena conferir, alguns exemplos:

DTFind

DTFind permite você procurar palavras dentro dos arquivos coletados. No exemplo abaixo no item “1” coloquei a palavra chave “github.com” e no item “2” o diretório da coleta (descompactada)

Este é o resultado:

Conclusão

Esta aplicação para Windows é simples e objetiva na coleta forense. Para ambientes corporativos em que não é necessário realizar uma coleta forense “disco a disco” pode ser uma solução excelente. Este programa costumo utilizar na empresa para debugar sobre malwares e encontrar possíveis brecha de segurança cometido pelo usuário.

No repositório do Github, há uma explicação de como executar ele via PSEXEC.

Tags: coleta dfirtriage forense

Continue Reading

Previous: Procurando usuários por todas as redes sociais
Next: Obtendo localização de um alvo

Related Stories

Descobrindo a senha do Windows (Live-System)
6 min read
  • Ferramentas
  • Forense
  • Forense RAM

Descobrindo a senha do Windows (Live-System)

29 de junho de 2020
LeForense the Flag (PLACAR E RESPOSTAS)
1 min read
  • Forense

LeForense the Flag (PLACAR E RESPOSTAS)

14 de junho de 2020
Tabela $MFT quais segredos temos?
3 min read
  • Forense

Tabela $MFT quais segredos temos?

11 de maio de 2020

Talvez queira ler...

Download do CHROME pelo PowerShell
2 min read
  • Segurança da Informação

Download do CHROME pelo PowerShell

20 de fevereiro de 2022
Procurando onde o e-mail está registrado…
1 min read
  • OSINT

Procurando onde o e-mail está registrado…

15 de fevereiro de 2022
Ninja Cookie
1 min read
  • Segurança da Informação

Ninja Cookie

8 de fevereiro de 2021
Coleção de Cheat Sheets
5 min read
  • Segurança da Informação

Coleção de Cheat Sheets

7 de fevereiro de 2021
Este site esta licenciado pelas regras CC BY | DarkNews by AF themes.