Este documento apresenta uma palestra sobre técnicas de investigação forense computacional quando não há logs ou registros disponíveis. Apresenta 10 pistas que podem ser usadas para resolver casos, e fornece referências adicionais para aprendizado sobre tópicos como análise de sistemas de arquivos, bancos de dados e registros do Windows.

1. Without a Trace: What to do when it seems
there’s nothing to do
Tony Rodrigues, CISSP, CFCP
inv.forense arroba gmail ponto com

2. Quem sou ?
• Tony Rodrigues, CISSP, CFCP, Security+
• Gestor/TI e Consultor em Segurança de Informações
• Perito/Investigador em Computação Forense
• Blog: http://forcomp.blogspot.com
Without a Trace

3. Agenda
• Introdução
– “Infelizmente, não temos logs, senhor !”
• 10 vestígios para ganhar o dia
• Conclusão
A apresentação completa estará
disponível no site do H2HC
Without a Trace

4. Referências
• The Sleuth Kit
– http://www.sleuthkit.org/index.php
• Kevvie Fowler - SQL Server Forensics
– http://www.applicationforensics.com/
• David Litchfield - Oracle Forensics
– http://www.ngssoftware.com /
• WFA
– http://www.mitec.cz/Downloads/WFA%20Guidance.pdf
• File System Forensic Analysis (Wesley, Carrier 2005)
• Estrutura INFO2
– http://www.csisite.net/INFO2.htm
• Windows Forensics Analysis (H Carvey)
• Mandiant
– http://www.mandiant.com/products/free_software
• MoonSols (Win32dd/win64dd)
– http://moonsols.com/
Without a Trace

5. Referências II
• SQLJuicer
– http://code.google.com/p/sqljuicer/
• Log2Timeline
– http://log2timeline.net/
• Shadow Explorer
– http://www.shadowexplorer.com/
• RegRipper
– http://regripper.net/
• Byte Investigator
– http://sourceforge.net/projects/byteinvestigato/
• Volatility
– https://www.volatilesystems.com/default/volatility
Without a Trace

6. Sugestões de Leitura
http://forcomp.blogspot.com
http://www.e-evidence.info
Without a Trace

7. Perguntas !
Importante:
Perguntar “Mas não eram só 10 ???” não é permitido...
Without a Trace

8. Obrigado !
inv.forense arroba gmail
ponto com
(Tony Rodrigues)
Without a Trace