Na investigação digital forense, os artefactos são fundamentais, pois fornecem pistas e evidências chave sobre as atividades que ocorreram nos sistemas durante um incidente. Hoje vamos falar sobre artefactos no Windows fundamentais para a investigação.
Em análise forense, um artefacto forense é qualquer dado ou evidência que pode ser analisado para reconstruir eventos, identificar suspeitos ou entender o que aconteceu num sistema ou num cenário de crime.
A análise desses artefactos permite aos analistas:
- Reconstruir linhas do tempo de eventos, identificando quando é que os ficheiros foram criados, modificados ou eliminados; quando é que as aplicações foram executadas ou quando ocorreram ligações de rede.
- Determinar a extensão de uma intrusão, identificando quais sistemas foram comprometidos e que dados foram acedidos ou exfiltrados.
- Identificar atividade de malware ou ferramentas utilizadas por atacantes, bem como as técnicas, táticas e procedimentos (TTPs).
Principais artefactos forenses no Windows
- Registo do Windows (Windows Registry):
- Armazena configurações e informações sobre o sistema e os utilizadores, incluindo programas instalados, dispositivos ligados e preferências de configuração.
- Ficheiros Prefetch
- Informações sobre programas recentemente executados, ajudando a identificar a frequência de utilização e padrões de execução.
- Ficheiros de Paginação e Hibernação
- Podem armazenar fragmentos da memória RAM, incluindo processos ativos antes da suspensão ou shutdown do sistema.
- Registos de Eventos (Event Logs)
- Onde se pode encontrar histórico de atividades do sistema, como inícios de sessão, erros, falhas de software e alertas de segurança.
- Ficheiros Temporários e Cache
- Podem conter vestígios de documentos, imagens e outros dados recentemente utilizados ou processados
- Atividade de Rede
- Registos de conexões, histórico de navegação e outros dados de comunicação que podem revelar interações com redes externas.
- Metadados de Ficheiros
- Guardam informações como data de criação, última modificação e autoria, ajudando a reconstruir a linha do tempo de eventos
A análise detalhada destes artefactos permite identificar atividades suspeitas, detetar intrusões e compreender ações realizadas num sistema Windows, sendo essencial para investigações de segurança e processos judiciais.
Mais artigos sobre análise forense aqui.