Computação Forense Básica
Guia para Windows • Segurança

✍️ Tom Cloward, CCE, CISSP ✍️ Frank Simorjay, CISSP, CET 📅 2008 Microsoft Corporation / CMP Media

Visão geral: Guia básico de investigação computacional para Windows • O Malware Removal Starter Kit • Criando um kit de investigação com o Windows PE • Preservando informações para análise forense.

As pessoas maliciosas podem usar um computador de inúmeras formas para executar atividades ilegais — invadir sistemas, vazar segredos comerciais, liberar novos vírus, usar mensagens de phishing para furtar informações pessoais e assim por diante. O que você não ouve com frequência são informações sobre todas as formas como os computadores podem ser usados na investigação dessas atividades.

📦 Sobre os Solution Accelerators

🕵️ Guia básico de investigação

Discute processos e ferramentas para investigação interna. Quatro fases: avaliar, obter, analisar e relatar. Aborda quando envolver autoridades e uso de ferramentas Sysinternals.

🔗 Link: go.microsoft.com/fwlink/?LinkId=80344

🧹 Malware Removal Starter Kit

Orientação para criar CD-ROM inicializável do Windows PE e remover malware. Inclui plano de resposta a incidentes, 4 estágios: identificar, limitar, remover e verificar.

🔗 Link: go.microsoft.com/fwlink/?LinkId=93103

💿 CD-ROM do Windows PE

Dois pré-requisitos: CD-ROM Windows PE + dispositivo de armazenamento externo (USB). O disco inicializável executará ferramentas sem alterar dados do disco rígido. Mínimo de 512 MB de RAM.

                Processo: instalar AIK, baixar Sysinternals Suite, configurar ferramentas, criar ISO. Detalhes no Malware Removal Starter Kit.
            

🔌 Unidade externa USB

Use um pen drive USB (montado automaticamente pelo Windows PE) para salvar arquivos de saída. Recomenda-se limpar completamente a unidade antes da investigação (substituir superfície). Inclua um formulário de cadeia de custódia (exemplo no guia).

⚙️ Executando uma investigação

1. Inicialize com o CD do Windows PE (configure BIOS para boot por CD).

2. Acesse as ferramentas: cd \tools

3. Use Bginfo.exe ou Drive Manager para identificar unidades (ex: X:\ boot, C:\ disco alvo, F:\ USB).

📊 Figura 1: Drive Manager mostrando discos (X:\, C:\, F:\)

🦠 Verificando malware (modo somente leitura)

Ferramenta de Remoção de Software Mal-Intencionado:

x:\tools\windows-KB890830-v1.29.exe /N

Relatório gerado em: %windir%\debug\mrt.log

McAfee AVERT Stinger: configurar para Report only (Figura 2).

📋 Figura 2: Modo "Report only" no McAfee AVERT Stinger

💾 Salvando arquivos fundamentais

Criar pasta na unidade externa (F:\) e registrar data/hora:

f:
Mkdir f:\evidence_files
Date /t >> f:\evidence_files\Evidence_start.txt
Time /t >> f:\evidence_files\Evidence_start.txt
            

Copiar hive do registro (config):

xcopy c:\windows\system32\config\*.* f:\registrybkup /s /e /k /v

Copiar dados do usuário (exemplo):

Mkdir f:\evidence_files\HR_Evidence
Mkdir f:\evidence_files\documents_and_settings
Mkdir f:\evidence_files\users
xcopy c:\HR\*.* f:\evidence_files\HR_Evidence /s /e /k /v
xcopy "c:\documents and settings\*.*" f:\evidence_files\documents_and_settings /s /e /k /v
xcopy c:\users\*.* f:\evidence_files\users /s /e /k /v
            

Testbox1: ~95 MB (config) + 500 MB (dados). Importante planejar espaço.

🛠️ Ferramentas Sysinternals para localizar dados

StringsExtrai texto de arquivos binários.

SigcheckVerifica versão e assinatura de arquivos.

StreamsExamina fluxos de dados NTFS alternados.

ListDLLsLista DLLs carregadas.

AutorunsMostra programas executados na inicialização.

Process ExplorerGerencia processos e handles.

📍 Figura 3 (original) lista cinco aplicativos úteis e descreve como ajudam na investigação.

⚖️

📌 Observações importantes

Não é possível usar este método em disco criptografado ou volume RAID. Se o disco estiver danificado, etapas adicionais são necessárias.

Esta é uma abordagem básica, não certificada pela International Society of Forensic Computer Examiners. Se houver possibilidade de procedimento legal, envolva um examinador certificado ou autoridades.

Reprodução parcial ou completa sem autorização é proibida.

📘 Guia básico 🛡️ Malware Kit