Guia de Investigação Computacional para Windows

14/6/2014 Guia bsico de investigao computacional para Windows: Viso geral
http://technet.microsoft.com/pt-br/library/dd458998(d=printer).aspx 1/5
Guia bsico de investigao
computacional para Windows
0 de 2 pessoas classificaram isso como til
Viso geral
Publicado em: 11 de janeiro de 2007
Os avanos tecnolgicos e a conectividade Internet tm deixado os computadores e as redes de
computadores expostos a atividades criminosas, como invases no autorizadas, fraudes no sistema
financeiro e roubo de identidade e de propriedade intelectual. Os computadores podem ser utilizados
para a prtica de ataques contra redes de computadores e destruio de dados. Os emails podem ser
usados para importunar as pessoas, transmitir imagens pornogrficas e para realizar outras atividades
mal-intencionadas. Tais atividades expem as organizaes a riscos de ordem tica, legal e financeira,
obrigando-as muitas vezes a realizar investigaes computacionais internas.
Este guia discute os processos e as ferramentas a serem utilizados nas investigaes computacionais
internas. Ele introduz um modelo de mltiplas fases, baseado em procedimentos com boa aceitao na
comunidade investigativa computacional. Tambm apresenta um exemplo de cenrio aplicado de uma
investigao interna em um ambiente que inclui os computadores baseados no Microsoft Windows. A
investigao utiliza as ferramentas Windows Sysinternals (utilitrios avanados que podem ser empregados
para examinar os computadores baseados em Windows) bem como as ferramentas e comandos
disponveis no Windows.
Algumas das polticas e procedimentos usados nas investigaes resultantes de incidentes de segurana
computacional podero existir tambm nos planos de recuperao de desastres. Embora esses planos
estejam fora do escopo deste guia, importante para as organizaes estabelecerem procedimentos que
possam ser usados em situaes de emergncia ou de desastre. As organizaes devem tambm
identificar e gerenciar os riscos de segurana sempre que possvel. Para obter mais informaes, consulte
o Guia de gerenciamento de riscos de segurana.
Nesta pgina
Modelo de investigao computacional
Processo de tomada de deciso inicial
Resumo do captulo
Pblico-alvo
Advertncias e avisos de iseno de responsabilidade
Crditos e referncias
Convenes de estilo
Suporte e comentrios
Modelo de investigao computacional
Segundo Warren G. Kruse II e Jay G. Heiser, autores de Computer Forensics: Incident Response Essentials,
forenses computacionais so "a preservao, identificao, extrao, documentao e interpretao dos
meios relacionados ao computador para a anlise da causa raiz e/ou das evidncias." O modelo de
investigao computacional apresentado na figura a seguir organiza os diferentes elementos forenses
computacionais em um fluxo lgico.
As quatro fases de investigao e de acompanhamento dos processos mostradas na figura devem ser
aplicadas quando se trabalha em cima de evidncias digitais. As fases podem ser resumidas conforme
descrito a seguir:
Avaliar a situao. Anlise do escopo da investigao e ao a ser adotada.
Obter dados. Reunio, proteo e preservao das evidncias originais.
Analisar dos dados. Exame e correlao das evidncias digitais com os eventos de interesse que
iro auxili-lo na elaborao do caso.
Relatar a investigao. Reunio e organizao das informaes coletadas que iro compor o
relatrio final.
Informaes detalhadas sobre cada uma das fases se encontram disponveis nos captulos deste guia.
Incio da pgina
Processo de tomada de deciso inicial
Antes de iniciar cada uma das fases de investigao geral, deve-se aplicar o processo de tomada de
deciso inicial mostrado na figura a seguir.
Voc deve determinar se envolver ou no as autoridades, com o auxlio dos consultores jurdicos. Caso o
envolvimento das autoridades seja necessrio, voc dever prosseguir com as investigaes internas, a
menos que as autoridades lhe aconselhem o contrrio. Talvez as autoridades no estejam disponveis para
auxiliar na investigao do incidente, por isso necessrio que voc continue a gerenciar o incidente e a
investigao para a submisso posterior s autoridades.
Dependendo do tipo de incidente investigado, a preocupao inicial deve ser evitar novos danos
organizao por parte daqueles que causaram o incidente. A investigao importante, mas em primeiro
lugar vem a proteo da organizao, a menos que existam questes de segurana nacional envolvidas.
Se as autoridades no estiverem envolvidas, a sua organizao dever possuir polticas e procedimentos
operacionais padro que guiem o processo investigativo. Consulte a seo "Crimes relacionados ao uso
de computadores" em Apndice: Recursos neste guia para os tipos de crimes que precisam ser relatados
s autoridades.
Incio da pgina
Resumo do captulo
Este guia composto de cinco captulos e um apndice, que so descritos brevemente na lista
apresentada a seguir. Os quatro primeiros captulos oferecem informaes sobre as quatro fases do
processo investigativo interno:
Captulo 1: Avaliar a situao explica como conduzir uma avaliao completa da situao e se
preparar para a investigao interna.
Captulo 2: Obter dados fornece diretrizes sobre as maneiras de se reunir a evidncia digital.
Captulo 3: Analisar os dados examina as tcnicas padro para a anlise das evidncias.
Captulo 4: Relatar a investigao explica como escrever o relatrio do resultado da investigao.
Captulo 5: Exemplo de cenrio aplicado descreve um cenrio fictcio que ilustra o acesso no
autorizado s informaes confidenciais.
Apndice: Recursos inclui informaes sobre como preparar uma investigao computacional,
informaes de contato sobre os crimes relacionados ao uso de computadores, e obter
treinamento de investigao computacional, planilhas de trabalho que podem ser utilizadas nessas
investigaes e listas de determinadas ferramentas.
Incio da pgina
Pblico-alvo
Este guia dirigido aos profissionais de TI que necessitam de uma compreenso geral sobre as
investigaes computacionais, incluindo vrios dos procedimentos que podem ser utilizados em tais
investigaes e protocolos para relatar os incidentes.
Incio da pgina
Advertncias e avisos de iseno de responsabilidade
Este guia no constitui uma orientao jurdica e no substitui assessoria jurdica especfica ou consultas
com advogados. Procure sempre consultar os seus assessores jurdicos antes de decidir pela
implementao de qualquer um dos processos descritos. As ferramentas e tecnologias descritas neste
guia so as mais atuais at a data do seu lanamento, e esto sujeitas alterao posterior.
Tambm importante compreender que as restries jurdicas podem limitar a sua capacidade de
implementar tais procedimentos. Por exemplo, os Estados Unidos possuem vrias leis relacionadas aos
direitos das pessoas suspeitas de cometer atos ilcitos. A menos que as restries legais estejam
especificamente mencionadas nas polticas e procedimentos estabelecidos pela organizao, importante
que se obtenha aprovaes por escrito de valor judicial de seus consultores jurdicos, gerentes, e
principais acionistas para toda a investigao interna.
Observao
Este guia no inclui informaes sobre o desenvolvimento dos procedimentos e polticas em resposta ao
incidente, orientao quanto gerao de imagens de dados especficos do produto, orientao sobre a
criao de um laboratrio forense, ou sobre investigaes em ambientes de outros sistemas operacionais
alm do Windows. Para obter informaes sobre o desenvolvimento de procedimentos e polticas em
resposta ao incidente, consulte o site Microsoft Operations Framework (MOF).
Incio da pgina
Crditos e referncias
As informaes contidas neste guia se baseiam nas informaes fornecidas por especialistas reconhecidos
da indstria e por outras orientaes, incluindo as seguintes publicaes:
Exame forense de evidncia digital: Um guia para as autoridades, do Instituto Nacional de Justia,
uma agncia do Departamento de Justia dos Estados Unidos.
Guia para a integrao das tcnicas forenses em resposta aos incidentes documento gerado em
PDF pelo Instituto Nacional de Padres e Tecnologia.
"RFC3227 Diretrizes para coleta e arquivamento das evidncias" por D. Brezinski e T. Killalea.
Incio da pgina
Convenes de estilo
Essa orientao utiliza as convenes de estilo descritas na tabela a seguir.
Elemento Significado
Fonte em negrito Indica caracteres digitados exatamente como mostrados, incluindo comandos,
comutadores e nomes de arquivos. Os elementos de interface do usurio
tambm so identificados em negrito.
Fonte em itlico Os ttulos de livros e outras publicaes substanciais aparecem em itlico.
<Itlico> Os espaos reservados em itlico e entre colchetes <Itlico> representam as
variveis.
Monospace font
Define as amostras de scripts e cdigos.
Observao Adverte o leitor para as informaes suplementares.
Importante Adverte o leitor para as informaes suplementares que so essenciais.
Incio da pgina
Suporte e comentrios
A equipe do SASC (Solution Accelerators Security and Compliance) deseja saber a sua opinio sobre este
e outros Solution Accelerators. Contribua enviando os seus comentrios e sugestes para
secwish@microsoft.com. Aguardamos contato.
O Solution Accelerators fornece orientao prescritiva e automao para a integrao dos produtos
cruzados. Ele oferece contedo e ferramentas de eficcia comprovada para que voc possa planejar,
elaborar, implantar e realizar as operaes de tecnologia da informao de maneira segura. Para
visualizar a grande variedade de Solution Accelerators e para obter informaes adicionais, visite a pgina
Solution Accelerators no Microsoft TechNet.
14/6/2014 Guia bsico de investigao computacional para Windows: Captulo 1: Avaliar a situao
http://technet.microsoft.com/pt-br/library/cc162832(d=printer).aspx 1/6
Captulo 1: Avaliar a situao
Publicado em: 1 de novembro de 2007
Este captulo descreve os recursos necessrios para uma investigao interna, como conduzir uma
avaliao completa da situao e como estabelecer o escopo. Use o processo em cinco etapas, conforme
mostra a figura a seguir.
Figura 1.1. Fase de avaliao do modelo de investigao computacional
Nesta pgina
Notificar os tomadores de deciso e obter autorizao
Examinar leis e diretivas
Identificar membros da equipe de investigao
Conduzir uma avaliao completa
Preparar-se para obter evidncias
Notificar os tomadores de deciso e obter autorizao
Para conduzir uma investigao computacional, primeiro voc precisa obter a autorizao adequada, a
menos que os procedimentos e as diretivas existentes forneam autorizao para resposta a incidentes.
Em seguida, voc precisa conduzir uma avaliao completa da situao e definir um curso de ao. Use as
seguintes prticas recomendadas:
Caso no exista nenhum procedimento ou diretiva estipulado para resposta a incidentes, notifique
os tomadores de deciso e obtenha autorizao por escrito de um deles para conduzir a
investigao computacional.
Documente todas as aes que voc empreender relacionadas a essa investigao. Garanta que
seja feito um resumo documentado, completo e preciso das decises e dos eventos ocorridos
durante o incidente e a resposta ao incidente. Essa documentao pode acabar sendo usada na
Justia para determinar o curso de ao seguido durante a investigao.
Dependendo do escopo do incidente e da ausncia de ameaas vida ou segurana nacional, a
primeira prioridade proteger a organizao contra mais danos. Depois que a organizao estiver
segura, as prximas prioridades so a restaurao de servios (se necessrio) e a investigao do
incidente.
As decises que voc tomar podero ser questionadas tanto quanto as evidncias. Como a evidncia
computacional complexa, diferentes investigaes (conduzidas por um concorrente, por exemplo)
podem chegar a concluses diferentes e recomendar decises diferentes.
Incio da pgina
Examinar leis e diretivas
No incio de uma investigao computacional, importante compreender as leis aplicveis investigao e
as diretivas internas da organizao existentes. Observe as consideraes importantes e prticas
recomendadas a seguir:
Determine se voc tem autoridade legal para conduzir uma investigao. A sua organizao tem
procedimentos e diretivas que contemplam os direitos de privacidade de funcionrios, prestadores
de servio e outras pessoas que usam a sua rede? Esses procedimentos e diretivas especificam as
circunstncias nas quais o monitoramento permitido? Muitas organizaes estabelecem em seus
procedimentos e diretivas que no h nenhuma expectativa de privacidade no uso de correio,
telefone, servios da Web, email ou equipamentos da organizao e que a empresa se reserva o
direito de monitorar e pesquisar esses recursos como condio para a admisso. Tais
procedimentos e diretivas devem ser examinados pelos consultores jurdicos da organizao, e
todos os funcionrios, prestadores de servio e visitantes devem ser notificados de sua existncia.
Se voc no tiver certeza de que tem a autoridade necessria, contate sua gerncia, os consultores
legais ou (se necessrio) as autoridades locais.
Procure os consultores jurdicos para saber como evitar problemas de tratamento inadequado da
investigao. Esses problemas podem incluir:
Comprometimento de dados pessoais dos clientes.
Violao de alguma lei estadual ou federal, como regras de privacidade federais.
Incorrncia em responsabilidade civil ou criminal por interceptao ilegal de equipamentos
de comunicao eletrnicos. Considere a possibilidade de usar faixas de aviso.
Exibio de informaes confidenciais ou privilegiadas. Dados confidenciais que possam
comprometer a confidencialidade de informaes do cliente s podero ser disponibilizados
como parte da documentao relacionada investigao se estiverem diretamente ligados a
ela.
Certifique-se de que os seguintes problemas de confidencialidade e privacidade do cliente sejam
resolvidos:
Todos os dados devem ser transferidos de forma segura, armazenados em computadores
locais (e no em servidores de rede) e de difcil acesso.
Todos os dados (inclusive documentao) devem ser guardados pelo perodo especificado
pelos consultores jurdicos ou pela diretiva local aps o encerramento da investigao
computacional. Se os dados fizerem parte de uma possvel ocorrncia criminal, consulte as
autoridades competentes encarregadas da investigao. Caso se trate de uma demanda civil,
pea a opinio dos consultores jurdicos da sua organizao. Alm disso, examine todas as
questes de reteno de dados relacionadas Lei Sarbanes-Oxley de 2002 ou outros
requisitos legais para reteno de dados.
Mantenha cpias digitais e impressas de evidncias, bem como a cadeia de custdia de todas as
evidncias, em caso de ao legal. A preservao da cadeia de custdia obtida com a
manuteno de toda documentao verificvel que indique quem tratou da evidncia, quando o fez
e o local/data/hora em que a evidncia foi armazenada. O armazenamento seguro de evidncias
necessrio; caso contrrio, a custdia no poder ser verificada.
Incio da pgina
Identificar membros da equipe de investigao
Determinar quem deve responder a um incidente importante para a conduo de uma investigao
computacional interna com xito. O ideal que a participao na equipe seja definida antes que ela se
faa necessria para uma investigao real. importante que as equipes de investigao sejam
estruturadas corretamente e tenham as qualificaes adequadas. Sua organizao deve estabelecer a
participao na equipe como parte de um processo de planejamento para recuperao de desastres. Use
as prticas recomendadas a seguir como diretrizes para formar uma equipe de investigao:
Identifique uma pessoa que saiba como conduzir uma investigao. Lembre-se que a credibilidade
e as qualificaes da pessoa encarregada da investigao costumam ser inspecionadas caso a
situao resulte em processos legais em um tribunal de justia.
Identifique os membros da equipe e esclarea as responsabilidades de cada um deles.
Designe um membro da equipe para ser o chefe tcnico da investigao. Essa funo requer uma
pessoa com excelentes qualificaes tcnicas e experincia em investigaes computacionais. Em
investigaes que envolvam partes suspeitas com boas qualificaes tcnicas, convm selecionar
membros da equipe de investigao que sejam mais qualificados do que as referidas partes.
Mantenha a equipe de investigao o mais enxuta possvel para garantir confidencialidade e
proteger a organizao contra vazamentos de informaes indesejados.
Contrate uma equipe de investigao externa confivel caso a sua organizao no tenha pessoal
com as qualificaes necessrias.
Certifique-se de que cada membro possui a autorizao e o distanciamento necessrios para
conduzir as tarefas que lhe forem atribudas. Isso importante principalmente se houver
funcionrios de terceiros (consultores, por exemplo) envolvidos na investigao.
Important
A natureza voltil das evidncias digitais torna fundamental a conduo das investigaes em tempo hbil.
Lembre-se de assegurar a disponibilidade de todos os membros da equipe para o perodo em que durar
as investigaes.
Incio da pgina
Conduzir uma avaliao completa
necessria uma avaliao completa da situao que seja documentada com clareza para priorizar suas
aes e justificar os recursos para a investigao interna. Essa avaliao deve definir o atual e o possvel
impacto do incidente nos negcios, identificar a infra-estrutura afetada e obter o mais completo
entendimento possvel da situao. Essas informaes o ajudaro a definir um curso de ao apropriado.
Use as seguintes prticas recomendadas para conduzir uma avaliao completa:
Use todas as informaes disponveis para descrever a situao, sua possvel gravidade, quem
pode ser afetado e, se disponvel, as partes suspeitas.
Identifique o impacto e a confidencialidade da investigao em sua organizao. Por exemplo,
avalie se ela envolve dados do cliente, detalhes financeiros, registros mdicos ou informaes
confidenciais da companhia. Lembre-se de avaliar o possvel impacto nas relaes pblicas.
Provavelmente essa avaliao estar alm dos conhecimentos do TI e dever ser feita em conjunto
pela gerncia e pelos consultores jurdicos.
Analise o impacto do incidente nos negcios durante a investigao. Relacione o nmero de horas
necessrias para se recuperar do incidente, o tempo de inatividade, o custo dos equipamentos
danificados, a perda de receita e o valor de segredos comerciais. Tal avaliao deve ser realista, e
no inflacionada. Os custos reais do incidente sero determinados posteriormente.
Analise os recursos intangveis afetados, como o futuro impacto na reputao, nas relaes com os
clientes e no estado de esprito dos funcionrios. No aumente a gravidade do incidente. A
finalidade dessa anlise meramente informativa, apenas para ajudar a entender o escopo do
incidente. O impacto real ser determinado posteriormente. Provavelmente essa avaliao estar
alm dos conhecimentos do TI e dever ser feita em conjunto pela gerncia e pelos consultores
jurdicos.
Use as prticas recomendadas a seguir para identificar, analisar e documentar a infra-estrutura e os
computadores afetados pela situao. Muitas dessas diretrizes j devem ter sido seguidas como parte de
um processo de avaliao de riscos para preparar um plano de recuperao de desastres.
Identifique as redes envolvidas e o nmero e tipo de computadores afetados.
Obtenha a documentao sobre a topologia da rede, que deve incluir um diagrama detalhado com
informaes de infra-estrutura sobre servidores, hardware de rede, firewalls, conexes com a
Internet e outros computadores na rede.
Identifique dispositivos de armazenamento externos (thumb drives, cartes de memria flash, discos
ticos e magnticos) e quaisquer computadores remotos que possam estar includos.
Capture o trfego de rede durante um perodo de tempo caso a anlise dinmica seja necessria, o
que s acontece se voc acreditar que existe trfego suspeito de entrada na rede. Geralmente, esse
tipo de anlise executada somente depois que a auditoria e o registro em log tiverem se
esgotado como fontes de evidncia. O Microsoft Windows XP e o Windows Server 2003
possuem ferramentas de captura de rede internas como o Netcap e a Rasdiag, que podem
capturar trfego local de rede sem precisar instalar produtos como o Netmon ou o Ethereal. Use
ferramentas como o Monitor de Rede do Windows (NetMon) e a TDIMon do Windows Sysinternals
para fazer anlise de dados da rede. As ferramentas do Windows Sysinternals podem ser baixadas
da pgina Windows Sysinternals no Microsoft TechNet.
Important
A deteco de rede (capturando trfego de rede) pode ser uma violao de privacidade,
dependendo do escopo da captura. Por isso, seja cauteloso em relao implantao de
ferramentas de captura de rede em sua rede.
Use as ferramentas para examinar o estado dos aplicativos de software e dos sistemas
operacionais em computadores com probabilidade de serem afetados. Algumas ferramentas teis
para essa tarefa so os logs de aplicativos do Windows, os logs do sistema e o conjunto PsTools
do Windows Sysinternals.
Examine o arquivo e os servidores de aplicativos afetados. Use ferramentas do Windows
Sysinternals (como PsTools, PsFile e ShareEnum) e logs de segurana internos do Windows para
examinar e documentar a atividade nesses servidores.
Important
Algumas das informaes reunidas durante essa avaliao (como dados e processos em execuo na
memria) so capturadas pelas suas ferramentas em tempo real. Voc deve assegurar que todos os
registros e logs gerados sejam armazenados de forma segura para impedir a perda de dados volteis.
Alm disso, as prticas recomendadas a seguir podem ajud-lo a obter um entendimento completo da
situao.
Crie uma linha do tempo e mapeie tudo para ela. Uma linha do tempo importante principalmente
para incidentes globais. Documente qualquer discrepncia entre a data/hora de hosts (como
computadores desktop) e a data/hora do sistema (como o servio Tempo do Windows no Windows
Server 2003).
Identifique e entreviste qualquer pessoa que poderia estar envolvida no incidente, como usurios e
administradores do sistema. Em algumas situaes, podem ser pessoas de fora da organizao. As
entrevistas com usurios e funcionrios afetados quase sempre do bons resultados e uma viso
detalhada da situao e devem ser conduzidas por entrevistadores experientes.
Documente todos os resultados das entrevistas. Voc precisar deles mais tarde para entender
totalmente a situao.
Recupere informaes (logs) provenientes de dispositivos de rede com face interna e externa, como
firewalls e roteadores, que possam ser usados em um possvel caminho de ataque.
Algumas informaes, como endereo IP e propriedade do nome de domnio, so pblicas por
natureza. Por exemplo, voc pode usar a ferramenta Whois do Windows Sysinternals ou o ARIN
(Registro Americano para Nmeros na Internet) para identificar o proprietrio de um endereo IP.
Incio da pgina
Preparar-se para obter evidncias
Para se preparar para a fase Obter os dados, voc deve verificar se determinou corretamente as aes e
os resultados da fase Avaliar a situao. Um documento detalhado contendo todas as informaes que
voc considera relevantes fornece um ponto de partida para a prxima fase e para a preparao do
relatrio final. Alm disso, compreenda que, se o incidente se tornar mais do que uma simples
investigao interna e requerer processos judiciais, possvel que todos os processos usados na reunio
de evidncias possam ser usados por terceiros independentes para tentar alcanar os mesmo resultados.
Um documento como esse deve fornecer informaes detalhadas sobre a situao e incluir:
Uma estimativa inicial do impacto da situao nos negcios da organizao.
Isso foi til para voc?
Um diagrama detalhado da topologia da rede que destaque os sistemas de computador afetados
e fornea detalhes sobre como isso pode ter ocorrido.
Resumos de entrevistas com usurios e administradores do sistema.
Resultados de interaes legais e com terceiros.
Relatrios e logs gerados por ferramentas usadas durante a fase de avaliao.
Um curso de ao proposto.
Important
A criao de documentao consistente, precisa e detalhada durante o processo de investigao
computacional ajudar na investigao em andamento. Essa documentao costuma ser fundamental para
o sucesso do projeto e nunca deve passar despercebida. Durante a criao da documentao, esteja
ciente de que ela consiste em evidncias que podem ser usadas em processos judiciais. Antes de passar
para a prxima fase, certifique-se de ter obtido aprovao de um tomador de decises para a
documentao que voc criou durante a fase de avaliao.
Incio da pgina
Neste artigo
Viso geral
Captulo 2: Obter os dados
Captulo 3: Analisar os dados
Captulo 4: Relatar a investigao
Captulo 5: Exemplo de cenrio aplicado
Apndice: Recursos
Agradecimentos
Download
Obtenha o guia bsico de investigao computacional para Windows
Notificaes de atualizao
Inscreva-se para receber informaes sobre atualizaes e novas verses
Comentrios
Envie-nos seus comentrios ou suas sugestes
Incio da pgina
2014 Microsoft
Sim No
14/6/2014 Guia bsico de investigao computacional para Windows: Captulo 2: Obter os dados
Guia bsico de investigao computacional
para Windows
Este captulo discute as maneiras de se obter os dados necessrios investigao. Alguns dados de
investigao computacional so frgeis, altamente volteis e podem ser facilmente modificados ou
danificados. Desta forma, necessrio garantir que os dados sejam coletados e preservados corretamente
antes de feita a sua anlise. Use o processo em trs etapas, conforme mostra a figura a seguir:
Figura 2.1. Fase de aquisio do modelo de investigao computacional
Nesta pgina
Elaborar um kit de ferramentas de investigao computacional
Coletar dados
Armazenar e arquivar
Elaborar um kit de ferramentas de investigao computacional
A sua empresa precisar de um conjunto de ferramentas de hardware e software para a aquisio dos dados
durante uma investigao. Tal kit de ferramentas pode conter um laptop equipado com os programas e
ferramentas, sistemas operacionais e patches, mdias de aplicativos, dispositivos de backup protegidos contra
gravao, mdias vazias, equipamento bsico de rede e cabos adequados. Teoricamente, o kit de ferramentas
ser criado com antecedncia e os membros da equipe se familiarizaro com as ferramentas antes de
realizarem uma investigao.
Observao:
Consulte as sees "Preparando a sua organizao para uma investigao computacional" e "Ferramentas" do
Apndice Apndice: Recursos apresentados neste guia para uma lista de ferramentas de software sugeridas
que podem ser includas no kit de ferramentas de investigao computacional e para as diretrizes a serem
seguidas durante a elaborao do kit de ferramentas.
Incio da pgina
Coletar dados
A coleta de dados da evidncia digital pode ser executada tanto localmente como em uma rede. A obteno
de dados localmente possui a vantagem de um controle maior sobre o(s) computador(es) e os dados
A Microsoft est realizando uma pesquisa online para saber
sua opinio sobre o site do MSDN. Se voc optar por
participar, a pesquisa online lhe ser apresentada quando
voc sair do site do MSDN.
Deseja participar?
Sim No
Politica de Privacidade
envolvidos. Todavia, nem sempre isso vivel (por exemplo, quando os computadores se encontram em
ambientes protegidos ou em outros locais de difcil acesso, ou quando servidores de alta disponibilidade
estiverem envolvidos). Outros fatores, como o sigilo nas investigaes, a natureza das evidncias a serem
reunidas e o prazo para as investigaes iro determinar de forma definitiva se as evidncias devem ser
coletadas localmente ou pela rede.
Important
Ao utilizar ferramentas para coletar os dados, importante determinar inicialmente a necessidade de se
instalar ou no um programa de rootkit. Os rootkits so componentes de software que assumem o controle
total de um computador, ocultando a sua existncia das ferramentas de diagnstico padro. Por operarem
em um nvel de hardware muito baixo, os rootkits podem interceptar e modificar chamadas do sistema. No
possvel localizar um rootkit procurando por seu arquivo executvel, j que o rootkit remove a si prprio da
lista dos resultados encontrados na busca. A verificao nas portas no revela que as portas utilizadas pelo
rootkit esto abertas, pois o rootkit evita que o verificador detecte a porta aberta. Desta forma, fica difcil
assegurar a no-existncia de rootkits. Uma ferramenta disponvel que voc pode utilizar o Microsoft
Windows Sysinternals RootkitRevealer.
Ao obter dados em uma rede, necessrio considerar o tipo de dado a ser coletado e a quantidade de
esforo a ser empregada. Considere quais os tipos de dados que voc precisa obter para servirem de base
na acusao s partes transgressoras. Por exemplo, talvez seja necessrio obter dados de diversos
computadores atravs de diferentes conexes de redes, ou talvez fazer cpia de um volume lgico de um
nico computador j seja suficiente.
O processo recomendado de obteno de dados apresentado a seguir:
1. Crie uma documentao precisa que lhe permitir mais tarde identificar e autenticar as evidncias
coletadas. Lembre-se de anotar quaisquer itens de potencial interesse e registrar as atividades que
possam ser relevantes mais tarde nas investigaes. A chave para uma investigao bem sucedida a
prpria documentao, incluindo informaes como as apresentadas a seguir:
Quem executou a ao e por qu. Qual era o objetivo a ser alcanado?
Como executaram a ao, incluindo as ferramentas utilizadas e os procedimentos seguidos.
Quando a ao foi executada (data e hora) e quais os seus resultados.
2. Determine quais os mtodo de investigao a serem utilizados. Normalmente, usada uma
combinao de investigaes online e offline.
Nas investigaes offline, a anlise adicional executada sobre uma cpia baseada em bits da
evidncia original. (Uma cpia baseada em bits uma cpia completa de todos os dados
provenientes da fonte qual a investigao se destina, incluindo informaes como o setor de
inicializao, parties, e espao de disco no-alocado.) Deve-se utilizar o mtodo de
investigao offline sempre que possvel, pois ele minimiza o risco de danos possveis
evidncia original. Todavia, este mtodo apropriado apenas para situaes onde pode ser
criada uma imagem, sendo assim, ele no pode ser usado para a obteno de dados volteis.
Em uma investigao online, a anlise realizada na evidncia original. Deve-se tomar bastante
cuidado ao executar a anlise online dos dados em funo do risco de alterao das evidncias
que podem ser necessrias como provas de um caso.
3. Identificar e documentar as fontes potenciais de dados, incluindo o seguinte:
Servidores. As informaes sobre servidores incluem o papel do servidor, os logs (como logs
de eventos), arquivos e aplicativos.
Os logs provenientes de dispositivos de rede de face interna e externa, como firewalls,
roteadores, servidores proxy, servidores de acesso a redes (NAS), e sistemas de deteco de
invaso (IDS) que podem ser usados em um eventual caminho para o ataque.
Componentes de hardware internos, como adaptadores de rede (que incluem informaes
sobre o controle de acesso mdia (MAC)) e placas PCMCIA. Observe tambm os tipos de
portas externas, como as Firewire, USB e PCMCIA.
Dispositivos de armazenagem que precisam ser adquiridos (internos e externos), incluindo
discos rgidos, dispositivo de armazenagem em rede e mdias removveis. No esquea dos
dispositivos mveis portteis, como o PocketPC, dispositivos do Smartphone e MP3 players
como o Zune.
4. Quando tiver que capturar dados volteis, considere com cuidado a ordem pela qual os dados sero
coletados. A evidncia voltil pode ser destruda com facilidade. Informaes como processos de
execuo, dados carregados na memria, tabelas de roteamento e arquivos temporrios podem ser
perdidos para sempre quando o computador desligado. As informaes sobre as ferramentas e
comandos que facilitam a reunio dessas informaes se encontram disponveis na seo
"Ferramentas" doApndice: Recursos deste guia.
5. Use os seguintes mtodos para coletar os dados da mdia de armazenagem e registrar as informaes
sobre configurao da mdia.
Se precisar remover quaisquer dispositivos de armazenagem interna, desligue antes o
computador. Todavia, antes de desligar o computador, voc deve verificar se todos os dados
volteis foram capturados, sempre que possvel.
Determine se voc deve remover o dispositivo de armazenagem do computador suspeito e
utilizar o seu prprio sistema para obter os dados. Talvez no seja possvel remover o
dispositivo de armazenamento em funo das consideraes e incompatibilidades do hardware.
Normalmente, no devem ser desconectados dispositivos de armazenamento como dispositivos
RAID, dispositivos de armazenamento com dependncia de hardware (por exemplo,
equipamento legado), ou dispositivos em sistemas de armazenamento em rede, como as redes
de rea de armazenamento (SANs).
Crie uma cpia baseada em bits das evidncias em um destino de backup, assegurando que os
dados originais estejam protegidos contra gravao. A anlise dos dados subseqentes deve
ser realizada a partir dessa cpia e no da evidncia original. A orientao passo a passo para
a gerao de imagem est fora do escopo deste guia, mas parte integrante da coleta de
evidncias.
Important
Utilize ferramentas aceitas pela indstria ao adquirir uma cpia baseada em bits. Por exemplo, o
EnCase da Guidance Software ou o FTK da AccessData.
Documente os dispositivos de armazenamento interno e certifique-se de incluir informaes
sobre as suas configuraes. Por exemplo, anote o modelo e o nome do fabricante, as
configuraes de jumper e o tamanho do dispositivo. Alm disso, inclua o tipo de interface e a
condio da unidade.
6. Verifique os dados coletados. Crie somas de verificao e assinaturas digitais sempre que possvel
para ajudar a manter os dados copiados idnticos ao original. Em certas circunstncias (por exemplo,
quando h um setor danificado na mdia de armazenamento), talvez no seja possvel criar uma cpia
perfeita. Certifique-se de ter obtido a melhor cpia possvel com os recursos e as ferramentas
disponveis. possvel utilizar a ferramenta Microsoft File Checksum Integrity Verifier (FCIV) para
computar um hash criptogrfico SHA1 ou MD5 do contedo de um arquivo.
Incio da pgina
Armazenar e arquivar
Quando a evidncia coletada e est pronta para a anlise, de suma importncia armazen-la e arquiv-la
de forma a preservar a sua segurana e integridade. Voc deve seguir todos os procedimentos de
armazenamento e arquivamento existentes na sua organizao.
As prticas recomendadas para armazenar e arquivar dados incluem os seguintes itens:
Guarde fisicamente e armazene a evidncia em um local prova de violaes.
Certifique-se de que nenhuma pessoa no-autorizada tenha acesso s evidncias, rede ou a qualquer
outro elemento. Documente quem possui acesso fsico e atravs da rede s informaes.
Proteja o equipamento de armazenamento de campos magnticos. Utilize solues de armazenamento
de controle esttico para proteger o equipamento de armazenamento de eletricidade esttica.
Faa pelo menos duas cpias das evidncias coletadas e armazene uma cpia em um local externo
seguro.
Certifique-se de que cada evidncia se encontra segura fisicamente (por exemplo, guardando-a em um
cofre) e tambm segura digitalmente (por exemplo, atribuindo uma senha para a mdia de
armazenamento).
Documente claramente a cadeia de custdia da evidncia. Crie uma lista de controle de entrada e sada
que inclua informaes como o nome da pessoa que examinar a evidncia, a data e hora exatas em
que a evidncia foi verificada e a data e hora exatas em que a evidncia foi devolvida. Um modelo de
Planilha Cadeia da documentao de registro de custdia est includo junto s planilhas
mencionadas no Apndice: Recursos deste guia.
Incio da pgina
Neste artigo
Viso geral
Apndice: Recursos
Agradecimentos
Download
Comentrios
14/6/2014 Guia bsico de investigao computacional para Windows: Captulo 3: Analisar os dados
Este tpico ainda no foi avaliado como
Este captulo discute diferentes abordagens e prticas recomendadas aceitas pela indstria para analisar
as evidncias reunidas durante a fase de obteno de dados de uma investigao interna. Use o processo
em trs etapas, conforme mostra a figura a seguir.
Figura 3.1. Fase de anlise do modelo de investigao computacional
Importante:
A anlise online dos dados, que examina um computador durante sua execuo, quase sempre
necessria. Normalmente, ela realizada devido a restries de tempo em uma investigao ou para
capturar dados volteis. Ao executar essa anlise, deve-se tomar bastante cuidado para garantir que o
risco de afetar outras evidncias seja mnimo.
Nesta pgina
Analisar os dados da rede
Analisar os dados do host
Analisar as mdias de armazenamento
Analisar os dados da rede
Em muitas investigaes, no necessrio analisar dados da rede. Em vez disso, as investigaes se
concentram em examinar imagens dos dados. Quando a anlise da rede for necessria, use o seguinte
procedimento:
1. Examine os logs de servios de rede para os eventos que sejam do seu interesse. comum haver
grandes quantidades de dados, por isso voc deve focar em critrios especficos para eventos
importantes, como nome de usurio, data e hora ou o recurso que est sendo acessado.
2. Examine os logs do firewall, do servidor proxy, do sistema de deteco de intruses (IDS) e do
servio de acesso remoto. Muitos desses logs contm informaes fornecidas por conexes de
entrada e sada monitoradas e apresentam informaes de identificao, como endereo IP, hora
do evento e autenticao. Convm examinar os dados dos logs em uma ferramenta adequada para
anlise de dados, como o Microsoft SQL Server 2005.
3. Exiba quaisquer logs de monitor de rede ou de sniffer (farejador) de pacote que possam ajud-lo a
determinar as atividades ocorridas na rede. Alm disso, determine se as conexes que voc est
examinando esto criptografadas, pois no possvel ler o contedo de uma sesso criptografada.
Mesmo assim, voc pode ainda deduzir a hora da conexo e se alguma parte suspeita estabeleceu
uma sesso com um servidor especfico.
Incio da pgina
Analisar os dados do host
Os dados do host fornecem informaes sobre componentes como aplicativos e o sistema operacional.
Use o procedimento a seguir para analisar a cpia dos dados do host recebidos na fase Obter os dados.
1. Identifique o que voc est procurando. provvel que haja uma grande quantidade de dados do
host e somente uma parte deles seja relevante para o incidente. Por isso, o ideal tentar criar
critrios de pesquisa para eventos de interesse. Por exemplo, voc poderia usar a ferramenta
Microsoft Windows Sysinternals Strings para pesquisar os arquivos localizados na pasta
\Windows\Prefetch. Essa pasta contm informaes como, por exemplo, quando e onde os
aplicativos foram iniciados. Para obter informaes sobre como usar a ferramenta Strings e enviar
ou canalizar os resultados para um arquivo de texto, consulte o Captulo 5: Exemplo de cenrio
aplicado, neste guia.
2. Examine os dados do sistema operacional (como informaes sobre descompasso do relgio) e
todos os dados carregados na memria do computador host para tentar determinar se algum
processo ou aplicativo mal-intencionado est em execuo ou programado para ser executado. Por
exemplo, voc pode usar a ferramenta Sysinternals AutoRuns do Windows para mostrar quais
programas esto configurados para execuo durante o logon ou o processo de inicializao.
3. Examine os aplicativos, os processos e as conexes de rede em execuo. Por exemplo, voc pode
procurar processos em execuo que tenham um nome adequado mas que estejam sendo
executados em locais fora do padro. Use ferramentas como Windows Sysinternals
ProcessExplorer, LogonSession e PSFile para realizar essas tarefas. Consulte a seo "Ferramentas"
no Apndice: Recursos deste guia para obter informaes sobre elas.
Incio da pgina
Analisar as mdias de armazenamento
As mdias de armazenamento coletadas durante a fase Obter os dados contero muitos arquivos. Voc
precisar analis-los para determinar sua relevncia para o incidente, o que pode ser uma tarefa rdua,
pois mdias de armazenamento como discos rgidos e fitas de backup costumam conter centenas de
milhares de arquivos.
Identifique os arquivos com maior probabilidade de serem relevantes para analisar depois mais
detalhadamente. Use o seguinte procedimento para extrair e analisar dados das mdias de
armazenamento coletadas:
1. Sempre que possvel, execute anlise offline em uma cpia bit a bit da evidncia original.
2. Determine se foi usada criptografia de dados, como o EFS (Sistema de Arquivos com Criptografia)
no Microsoft Windows. Vrias chaves do Registro podem ser examinadas para determinar se o EFS
j foi usado no computador. Para obter uma lista das chaves especficas do Registro, consulte a
seo "Determinando se o EFS est sendo usado em um computador" do artigo "O sistema de
arquivos com criptografia no Windows XP e no Windows Server 2003", no Microsoft TechNet. Caso
voc suspeite que foi usada criptografia de dados, precisar determinar se pode ou no recuperar
e ler os dados criptografados. Isso depender de diferentes circunstncias, como a verso do
Windows, a maneira como o EFS foi implantado e se este um computador associado a um
domnio. Para obter mais informaes sobre o EFS, consulte "O sistema de arquivos com
criptografia", no Microsoft TechNet. Ferramentas de terceiros para recuperao do EFS tambm
esto disponveis, como a Advanced EFS Data Recovery da Elcomsoft.
3. Se necessrio, descompacte os arquivos e arquivos mortos compactados. Embora a maioria dos
softwares forenses seja capaz de ler arquivos compactados a partir de uma imagem de disco,
talvez seja necessrio descompactar os arquivos mortos para examinar todos os arquivos na mdia
que voc est analisando.
4. Crie um diagrama da estrutura de diretrio. Ele pode ser til para representar graficamente a
estrutura dos diretrios e arquivos na mdia de armazenamento, permitindo analisar os arquivos de
modo eficiente.
5. Identifique os arquivos de interesse. Se voc j sabe quais arquivos foram afetados pelo incidente
de segurana, concentre a investigao neles primeiro. Os conjuntos de hash criados pela National
Software Reference Library podem ser usados para comparar arquivos conhecidos (como os de
aplicativos e do sistema operacional) com os originais. Os arquivos que coincidirem normalmente
podero ser eliminados da investigao. Voc tambm pode usar sites informativos como
filespecs.com, Wotsit's Format, ProcessLibrary.com e DLL Help da Microsoft para ajud-lo a
identificar arquivos e a categorizar e coletar informaes sobre formatos de arquivo existentes.
6. Examine o Registro o banco de dados que contm informaes de configurao do Windows
para conhecer o processo de inicializao do computador, saber quais aplicativos esto instalados
(inclusive aqueles carregados durante a inicializao) e obter informaes de logon como nome de
usurio e domnio. Para obter informaes gerais sobre o Registro e descries detalhadas de seu
contedo, consulte Referncias do Registro do Windows Server 2003 Resource Kit. Diversas
ferramentas esto disponveis para analisar o Registro, como o RegEdit (fornecido com o sistema
operacional Windows), o Windows Sysinternals RegMon for Windows e o Registry Viewer da
AccessData.
7. Pesquise o contedo de todos os arquivos reunidos para ajudar a identificar aqueles que possam
ser interessantes. Diversas pesquisas inteligentes podem ser executadas com o uso das ferramentas
descritas na seo "Ferramentas" no Apndice: Recursos deste guia. Por exemplo, voc pode usar a
ferramenta Windows Sysinternals Streams para revelar se existem fluxos de dados NTFS alternados
sendo utilizados em arquivos ou pastas. Esses fluxos de dados podem ocultar informaes dentro
de um arquivo, fazendo parecer que ele no contm nenhum byte de dados quando visualizado no
Windows Explorer, embora, na realidade, o arquivo contenha dados ocultos.
8. Estude os metadados de arquivos de interesse usando ferramentas como a Encase da Guidance
Software, o Forensic Toolkit (FTK) da AccessData ou o ProDiscover da Technology Pathways.
Atributos de arquivo como carimbos de data/hora podem mostrar a hora da criao, do ltimo
acesso e das ltimas gravaes, o que pode ser til na investigao de um incidente.
9. Use visualizadores de arquivos para exibir o contedo dos arquivos identificados, o que lhe
permitir examinar e visualizar determinados arquivos sem o aplicativo original que os criou. Essa
abordagem protege os arquivos contra danos acidentais e quase sempre mais econmica do que
usar o aplicativo nativo. Observe que os visualizadores de arquivos so especficos para cada tipo
de arquivo. Caso no haja um disponvel, use o aplicativo nativo para examinar o arquivo.
Depois de analisar todas as informaes disponveis, voc deve chegar a uma concluso. Nesta etapa,
importante ter muito cuidado para no atribuir a culpa dos danos parte errada. No entanto, se voc tiver
certeza das suas descobertas, pode comear a fase Relatar a investigao.
Incio da pgina
Neste artigo
Viso geral
Apndice: Recursos
Agradecimentos
Download
Obtenha o Guia bsico de investigao computacional para Windows
Comentrios
Incio da pgina 4 de 8
2014 Microsoft
Sim No
14/6/2014 Guia bsico de investigao computacional para Windows: Captulo 4: Relatar a investigao
Este captulo aborda como organizar as informaes reunidas e a documentao criada durante a
investigao computacional, e tambm como escrever o relatrio final. Use o processo em duas etapas
mostrado na figura a seguir:
Figura 4.1. Fase de relatrio do modelo de investigao computacional
Nesta pgina
Reunir e organizar informaes
Escrever o relatrio
Reunir e organizar informaes
Durante as fases iniciais da investigao computacional, voc cria a documentao com as atividades
especficas de cada fase. A partir dessa documentao necessrio identificar as informaes que so
relevantes para a investigao e organiz-las em categorias apropriadas. Use o procedimento a seguir
para reunir e organizar a documentao necessria para o relatrio final.
1. Rena toda a documentao e anotaes das fases de avaliao, obteno e anlise. Inclua todas
as informaes gerais adequadas.
2. Identifique as partes da documentao que so relevantes investigao.
3. Identifique fatos que sustentem as concluses que sero feitas no relatrio.
4. Crie uma lista de todas as evidncias a serem mencionadas no relatrio.
5. Liste todas as concluses que sero feitas no relatrio.
6. Organize e classifique as informaes reunidas para garantir um relatrio claro e conciso. Consulte
a seo a seguir, "Escrever o relatrio, e o Sample - Internal Investigation Report.doc(no
Apndice: Recursos deste guia) para ajud-lo a organizar as informaes.
Incio da pgina
Escrever o relatrio
Depois que as informaes estiverem organizadas nas categorias adequadas, possvel us-las para
escrever o relatrio final. Para obter o melhor resultado na investigao imprescindvel que o relatrio
seja claro, conciso e voltado para o pblico-alvo apropriado.
A lista a seguir identifica as sees recomendadas e as informaes que devem ser includas nessas
sees.
Objetivo do relatrio. Explique com clareza o objetivo do relatrio, o pblico-alvo e as razes
pelas quais o relatrio foi elaborado.
Autor do relatrio. Liste todos os autores e co-autores do relatrio, incluindo seus cargos,
responsabilidades durante a investigao e detalhes de contato.
Resumo das ocorrncias. Apresente a ocorrncia e explique o seu impacto. O resumo deve ser
escrito de forma que uma pessoa sem conhecimentos tcnicos, como um juiz ou jri, possa
entender o que ocorreu e como ocorreu.
Evidncia. Fornea descries da evidncia obtida durante a investigao. Ao descrever a evidncia,
declare como, quando e por quem ela foi obtida.
Detalhes. Fornea uma descrio detalhada das evidncias analisadas e o mtodo de anlise
utilizado. Exponha as concluses da anlise. Liste os procedimentos seguidos durante a
investigao e todas as tcnicas de anlise usadas. Inclua provas que sustentem as concluses,
como relatrios de utilitrios e entradas de log. Justifique cada uma das concluses. Rotule os
documentos probatrios, numere todas as pginas e refira-se a eles pelos nomes dos rtulos
quando mencion-los na anlise. Por exemplo, Log do Firewall do servidor, prova D. Alm disso,
apresente informaes sobre todos os que conduziram ou estavam envolvidos na investigao. Se
necessrio, fornea uma lista de testemunhas.
Concluso. Resuma os resultados da investigao. A concluso deve ser especificamente
relacionada ao resultado da investigao. Mencione algumas evidncias que confirmem a
concluso, mas no fornea muitos detalhes sobre como as evidncias foram obtidas (tal
informao deve ser includa na seo Detalhes). Justifique sua concluso, e apresente
documentao e evidncias probatrias. A concluso deve ser a mais clara e inequvoca possvel.
Em muitos casos, ser declarada no incio do relatrio por representar a informao acionvel.
Documentos probatrios. Inclua todas as informaes gerais mencionadas durante o relatrio,
como os diagramas da rede, documentos que descrevam os procedimentos de investigao
computacional usados e as vises gerais das tecnologias envolvidas na investigao. importante
que os documentos probatrios apresentem informaes suficientes para que o leitor do relatrio
entenda o mximo possvel sobre a ocorrncia. Como mencionado anteriormente, use letras para
rotular todos os documentos probatrios e numere todas as pginas do documento. Apresente
uma lista completa dos documentos probatrios.
Se for possvel que o relatrio seja apresentado para um pblico diversificado, considere
criar um glossrio dos termos utilizados. Um glossrio ser de grande valor se as
autoridades competentes no conhecerem as questes tcnicas ou quando um juiz ou jri
precisarem examinar os documentos.
Observao:
provvel que, durante uma investigao, informaes valiosas sobre o uso dos processos de
investigao computacional sejam coletadas. Tambm possvel adquirir experincia e um melhor
entendimento dos procedimentos operacionais e de segurana. Examine a documentao de resposta da
ocorrncia e a documentao operacional existente e incorpore essas informaes nas suas investigaes.
Caso voc no tenha essa documentao ou deseje adotar um formato padro, possvel utilizar as
diretrizes e modelos do Microsoft Operations Framework (MOF). Para obter mais informaes sobre o
MOF, visite a home page do Microsoft Operations Framework.
Incio da pgina
Viso geral
Apndice: Recursos
Agradecimentos
Download
Comentrios
2014 Microsoft
Sim No
14/6/2014 Guia bsico de investigao computacional para Windows: Captulo 5: Exemplo de cenrio aplicado
Este cenrio ilustra o acesso no autorizado a informaes confidenciais internas em uma instituio
financeira americana o Woodgrove Bank. O cenrio fictcio, assim como as pessoas e as organizaes
nele mencionadas.
Ele foi criado para fornecer uma viso geral das ferramentas e tecnologias usadas para a coleta e o
exame de dados. Em uma situao real de violao de segurana, voc deve procurar a gerncia, os
consultores jurdicos ou as autoridades competentes para saber que tcnicas investigativas deve usar.
Alm disso, embora os autores reconheam que a gerao de imagens de uma unidade suspeita
importante no trabalho investigativo, esse assunto est alm do escopo deste guia e ser apenas citado
durante a fase de obteno de dados do cenrio.
Nesta pgina
Cenrio
Avaliar a situao
Obter evidncias de acesso a dados confidenciais
Coleta remota de evidncias
Coleta local de evidncias
Analisar as evidncias coletadas
Relatar as evidncias
Configurao do laboratrio do cenrio aplicado
Cenrio
Chegou ao conhecimento de Ray Chow, o administrador de sistema corporativo do Woodgrove National
Bank, que algum estava se exibindo contando que sabia o salrio de muitos funcionrios do banco. Ray
descobriu o nome do funcionrio que alegava saber essas informaes: Mike Danseglio. Mike trabalha no
departamento de emprstimos e no deveria ter acesso a nenhum arquivo do RH (Recursos Humanos).
O Woodgrove National Bank tem uma diretiva relacionada ao uso apropriado de computadores do banco.
Esta diretiva estabelece que no h nenhuma expectativa de privacidade ao usar computadores da
empresa para qualquer finalidade, inclusive servios de email e acesso a sites da Web. A diretiva tambm
determina que nenhum programa seja carregado em nenhum computador sem a permisso por escrito
do diretor de TI e que qualquer tentativa de driblar senhas ou obter acesso no autorizado a arquivos do
banco ser razo para demisso ou ao penal. Alm disso, a diretiva permite que a equipe de TI instale
dispositivos de monitoramento de rede, como sniffers (farejadores) ou outros dispositivos de captura de
pacotes, para manter a segurana da rede ou investigar possveis abusos.
Ray quer assegurar-se de que usar procedimentos de investigao computacional aceitos para investigar
essa questo e informar suas descobertas. Ele acredita que as informaes podem ter sido originalmente
obtidas do servidor de arquivos de RH e planeja seguir o modelo de investigao computacional em
quatro fases, conforme mostra a figura a seguir:
Figura 5.1. Viso geral do modelo de investigao computacional
Importante:
Consulte a seo "Configurao do laboratrio do cenrio aplicado" no final deste captulo para obter
informaes sobre como emular este cenrio e acompanhar usando as ferramentas.
Incio da pgina
Avaliar a situao
Ray se rene com a gerncia para avaliar a situao. A gerncia indica que o acesso no autorizado e a
distribuio de informaes confidenciais de folha de pagamento so razes para demisso, mas que a
empresa no processar um funcionrio por tais aes.
A diretiva do Woodgrove National Bank estabelece que a gerncia deve consultar o departamento jurdico
interno para verificar as leis locais e determinar se alguma outra diretiva afeta as investigaes sobre
acesso indevido de funcionrio a sistemas de computador restritos.
O departamento jurdico do Woodgrove National Bank concede permisso por escrito a Ray para
examinar o contedo do computador de Mike Danseglio na empresa. A gerncia e o departamento
jurdico pedem para serem informados sobre o resultado da investigao. Pedem tambm que Ray faa
um acompanhamento das etapas para proteger os dados confidenciais de modo mais eficiente no futuro
caso ele descubra que ocorreu uma violao.
A primeira tarefa de Ray identificar os computadores envolvidos na investigao e documentar a
configurao de hardware de cada um. Uma vez concluda a tarefa, Ray desenha um diagrama lgico
desses computadores, conforme mostra a figura a seguir.
Figura 5.2. Diagrama lgico dos computadores envolvidos na investigao
Ray ento considera as diferentes opes para prosseguir com a investigao. Como algumas das
informaes que ele necessita obter so dados volteis, Ray decide comear a investigao computacional
interna analisando os dados dinmicos. Em seguida, ele cria uma imagem da unidade de Mike Danseglio e
examina a evidncia esttica.
Ray cria uma unidade USB com as ferramentas apropriadas para uma investigao dinmica. (A seo
"Ferramentas" no Apndice: Recursos deste guia descreve as ferramentas mencionadas neste captulo.)
A prxima tarefa de Ray duplicar o disco rgido da parte suspeita de forma a proteger e preservar as
evidncias caso ele localize informaes que precisem ser relatadas s autoridades competentes.
Ray anota itens de potencial interesse, documenta o que necessrio para conseguir identificar e
autenticar as evidncias coletadas posteriormente na investigao e cria um log de auditoria das aes
executadas durante a investigao.
Incio da pgina
Obter evidncias de acesso a dados confidenciais
A gerncia do Woodgrove National Bank autoriza Ray a examinar a estrutura de diretrio no servidor de
arquivos do RH (WNB-HQ-FS1) e os arquivos de folha de pagamento a fim de determinar se um indivduo
no autorizado leu os arquivos. Ray poderia ir para o computador de Mike Danseglio imediatamente e
procurar as evidncias ou comear pelo servidor e tentar localizar as evidncias nos logs de auditoria. Ele
tambm quer saber quais os direitos de usurio que Mike Danseglio tem em relao s pastas de RH.
Ray decide usar a abordagem em duas etapas a seguir para obter as evidncias:
1. Examinar o servidor de arquivos de RH para procurar evidncias de acesso no autorizado a pastas
e arquivos confidenciais. Esse exame pode ou no confirmar a suspeita da gerncia de que Mike
Danseglio acessou esses arquivos sem a devida autorizao.
2. Examinar o contedo da unidade de Mike Danseglio local e remotamente em busca de dados
confidenciais. Ray planeja usar uma combinao de ferramentas nativas do Microsoft Windows
(como Ipconfig, Systeminfo e Netstat) com ferramentas do Windows Sysinternals (como AccessChk,
PsLoggedOn e PsFile).
Ray entrevista membros da equipe de RH e examina o servidor de arquivos. Ele observa que os arquivos
de folha de pagamento so resumidos uma vez por ms em arquivos de planilha que so mantidos na
pasta HR\Internal\Payroll. O grupo RH MGRS o nico que deve ter permisso de leitura e gravao para
essa pasta, e Mike Danseglio no faz parte dele. Ray precisa determinar se possvel algum acessar a
pasta do Departamento de RH que contm as informaes salariais dos funcionrios do banco.
Ray exibe os logs de eventos do servidor de arquivos de RH. Antes ele configurou a auditoria na pasta
HR\Internal para poder rastrear xitos e falhas de acesso. Ray anota todas as etapas realizadas para abrir
e exibir o log de eventos de Segurana.
Diversas entradas no log se destacam, como a mostrada na captura de tela a seguir. Algumas entradas
indicam que a conta de usurio mdanseglio acessou o arquivo HR\Internal\Payroll\090806PR-A139.xls.
Figura 5.3. Entradas do log de eventos de Segurana que indicam que a conta de usurio mdanseglio
acessou o arquivo 090806PR-A139.xls na pasta HR\Internal\Payroll
Primeiro, Ray cria as pastas \evidence e \tools na unidade USB. Para garantir a integridade dos arquivos
de evidncias que criar, Ray executar um hash criptogrfico MD5 em qualquer arquivo que copiar do
computador de Mike para a pasta de evidncias.
Os hashes criptogrficos MD5 so criados por meio da execuo de um algoritmo em um arquivo para
criar uma impresso digital exclusiva de 128 bits do contedo do arquivo. Se algum vier a questionar a
integridade dos dados coletados por Ray (por exemplo, insinuar que o arquivo pode ter sido editado
posteriormente), Ray poder fornecer o valor da soma de verificao MD5 original para comparao e
validao.
Ray exporta o conjunto de logs para uma unidade USB chamada HR01. Ele usar essa mesma unidade USB
para a coleta de evidncias.
Observao:
A conexo de uma unidade USB a um computador baseado no Windows adiciona uma entrada no arquivo
Setupapi.log e altera a seguinte chave do Registro:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Enum\Storage\RemovableMedia
Ray decide determinar quais permisses esto atribudas pasta HR\Internal executando a ferramenta
AccessChk do Windows Sysinternals no servidor. Essa ferramenta mostra quais permisses o usurio ou
grupo especificado possui para arquivos, chaves do Registro ou servios do Windows. Ray executa a
ferramenta na unidade USB, que aparece como unidade F:, digitando o seguinte em um prompt de
comando:
Observao:
A ferramenta AccessChk do Sysinternals requer um processo de instalao e deixar uma impresso digital
na unidade local na seguinte chave do Registro: HKEY_CURRENT_USER\Software\Sysinternals\AccessChk
Ray observa que a conta de usurio mdanseglio tem permisses de leitura e gravao para as subpastas
\Benefits, \Payroll e \Reviews da pasta \HR\Internal, conforme mostra a captura de tela a seguir:
Figura 5.4. Resultados de AccessChk que indicam que a conta de usurio mdanseglio tem permisses
de leitura e gravao para as subpastas de HR\Internal
Ray suspeita que erros na configurao das permisses do servidor de RH permitiram que Mike Danseglio
acessasse a pasta HR\Internal. Ray gasta alguns minutos investigando os direitos de usurio de Mike
Danseglio e observa que ele membro de um grupo chamado branch01mgrs. Esse grupo tem permisses
de leitura e gravao para as pastas de HR\Internal.
Ray quer saber se Mike Danseglio est conectado no momento a algum servidor na rede. Ele usa a
PsLoggedOn, uma ferramenta que exibe usurios conectados localmente ou atravs de recursos a um
computador local ou remoto. Ray insere o carto USB nesse computador e digita o seguinte no prompt de
comando:
Os resultados, mostrados na captura de tela a seguir, indicam que Mike Danseglio est conectado a WNB-
HQ-FS1 neste momento.
Figura 5.5. Resultados de Psloggedon indicando que a conta de usurio mdanseglio est conectada a
WNB-HQ-FS1
Ray remove Mike Danseglio do grupo branch01mgrs e verificar novamente os direitos de usurio dele
para a pasta HR\Internal.
f:\tools>accesschk mdanseglio c:\hr\internal
f:\tools>psloggedon mdanseglio
Depois de examinar detalhadamente os logs de eventos de Segurana e os resultados de AccessChk
procura de outras possveis configuraes de permisso incorretas para a pasta HR\Internal, Ray comea
a investigar o contedo do computador de Mike Danseglio usando tcnicas remotas.
Incio da pgina
Coleta remota de evidncias
Ray decide reunir informaes remotamente do computador de Mike Danseglio antes de faz-lo
localmente e vai ao escritrio durante o final de semana para fazer uma cpia forensicamente legtima do
disco rgido de Mike. Em uma situao real, Ray deveria executar toda a investigao forense em uma
imagem do disco rgido do computador da parte suspeita. Entretanto, este cenrio ilustra o uso de
ferramentas e tcnicas para reunir evidncias volteis local e remotamente.
Ray usa uma unidade USB conectada ao seu computador que contm diversas ferramentas. A unidade USB
armazenar todas as evidncias por ele coletadas e um registro em arquivo de texto de todos os
comandos que ele digitar.
Ray usa o procedimento bsico a seguir, que lhe permite marcar a hora de incio do exame, coletar as
evidncias no computador de Mike Danseglio pela rede, registrar todas as etapas investigatrias e criar
um hash MD5 das evidncias que coletar.
Importante:
Algumas ferramentas do Sysinternals, como PsExec, PsFile e PsLogList, esto bloqueadas pela configurao
padro do Firewall do Windows. Para acompanhar este exemplo aplicado e usar essas ferramentas para
examinar quais informaes podem ser reunidas pela rede, voc precisa clicar na guia Excees no
Firewall do Windows e habilitar Compartilhamento de Arquivos e Impressoras. Entretanto, voc NO
precisa compartilhar nada.
Em computadores de destino que tenham o Firewall do Windows habilitado e o Compartilhamento de
Arquivos e Impressoras desabilitado (a configurao padro), as ferramentas Systeminfo, Ipconfig, Arp,
Netstat, Schtasks, PsFile, PsList e PsLogList devem ser executadas diretamente no computador de destino.
Nesse caso, execute cada uma dessas ferramentas diretamente no sistema de destino e canalize os
resultados para o arquivo evidence2.txt criado na seo "Coleta local de evidncias", mais adiante neste
captulo.
1. Acessar a unidade USB.
Ray acessa a unidade USB e a pasta \tools que contm as ferramentas de linha de comando, como
PsExec e FCIV (File Checksum Integrity Validator).
2. Anotar a data e hora de incio do exame.
Ray canaliza os resultados dos comandos de data e hora para registrar a hora de incio da
investigao em um novo arquivo chamado mdevidence.txt, criado na pasta \evidence da unidade
USB. (Ray obter a hora do sistema no computador de Mike Danseglio na etapa 3.) Alm disso, Ray
procura qualquer discrepncia entre a data e hora do BIOS e a data e hora atual.
j:
cd tools

3. Obter informaes bsicas sobre o computador de destino.
Ray executa uma srie de comandos nativos do Windows para obter informaes sobre o
computador de Mike.
Observao:
A PsExec rene informaes remotamente usando servios que j esto no computador de destino,
como Cmd e Ipconfig. Ela tambm pode ser usada para carregar servios pela rede para serem
executados no computador de destino. Ray no deseja instalar nenhum aplicativo no computador
de Mike; apenas executa servios para os quais o sistema operacional Windows XP no computador
de Mike tem suporte.
4. Executar ferramentas remotas que usam APIs (interfaces de programao de aplicativo) locais.
Agora Ray executa vrias ferramentas para determinar se outros computadores tm arquivos
abertos no computador de Mike, descobrir quais processos esto sendo executados no
computador e obter os logs de eventos de Segurana e do Sistema no computador.
A PsFile mostra arquivos abertos remotamente. Essa ferramenta usa APIs remotas do
Windows e no precisa ser carregada no computador de destino.
A PsList mostra informaes sobre ameaas e processos em execuo em um computador.
Essa ferramenta usa APIs remotas do Windows e no precisa ser carregada no computador
de destino.
date /t > j:\evidence\mdevidence.txt
time /t >> j:\evidence\mdevidence.txt

j:
cd tools
psexec \\hqloan164 systeminfo >> j:\evidence\mdevidence.txt
psexec \\hqloan164 ipconfig /all >> j:\evidence\mdevidence.txt
psexec \\hqloan164 arp -a >> j:\evidence\mdevidence.txt
psexec \\hqloan164 netstat -b >> j:\evidence\mdevidence.txt
psexec \\hqloan164 schtasks >> j:\evidence\mdevidence.txt

psfile \\hqloan164 >> j:\evidence\mdevidence.txt
pslist -t \\hqloan164 >> j:\evidence\mdevidence.txt
psloglist -s \\hqloan164 >> j:\evidence\mdevidence.txt
psloglist -s sec \\hqloan164 >> j:\evidence\mdevidence.txt

A PsLogList esvazia o contedo do log de eventos do computador por padro; no
necessrio nenhum parmetro adicional. Ray executa este comando com o parmetro sec
para obter o log de eventos de Segurana.
5. Criar um registro de todas as tarefas.
O Windows rastreia automaticamente todos os comandos executados em um prompt de comando.
Ray usa o comando Doskey para capturar esse registro e canaliza as informaes do histrico para
um arquivo chamado mdevidence-doskey.txt.
6. Executar uma soma de verificao MD5 nos arquivos de evidncias.
Ray usa a ferramenta FCIV para executar uma soma de verificao MD5 nos arquivos de evidncias.
Observao:
Exibir limitaes pode fazer com que o comando precedente seja exibido em mais de uma linha. Ele deve
ser inserido como uma nica linha no prompt de comando.
A ferramenta FCIV computa e verifica valores de hashes criptogrficos. Essa ferramenta est disponvel no
artigo 841290 da Base de Dados de Conhecimento Microsoft.
Ray deseja examinar remotamente as pastas no computador de Mike Danseglio. Para fazer isso, ele usa a
PsExec para abrir um prompt de comando no computador de Mike. No prompt de comando, Ray digita
os seguintes comandos:
Embora todos os usurios sejam obrigados a manter os documentos no servidor de rede, Ray observa
que Mike Danseglio possui uma pasta chamada Personal em seu computador. Essa pasta inclui uma
planilha e uma subpasta denominada \xxxpixset.
Depois de examinar remotamente as pastas no computador de Mike, Ray est pronto para informar suas
descobertas e investigar o computador de Mike localmente.
Jill Shrader, gerente do departamento de RH, liga para o celular de Ray e pergunta sobre o status da
investigao. Ray explica que coletou as seguintes informaes:
A conta de usurio de Mike Danseglio tinha permisses de leitura e gravao para a pasta
doskey /h > j:\evidence\mdevidence-doskey.txt
fciv j:\evidence\mdevidence.txt >> j:\evidence\md5mdevidence.txt
psexec \\hqloan164 cmd
cd c:\documents and settings\mdanseglio\my documents
dir /s

\HR\Internal porque ele foi adicionado incorretamente ao grupo branch01mgrs, que tem
permisses para essa pasta e suas subpastas.
O computador de Mike tem uma pasta Personal no disco rgido que contm pelo menos uma
planilha.
O computador de Mike contm dois programas no autorizados que lhe permitem monitorar o
trfego de rede e verificar a rede procura de servios e computadores.
O computador de Mike tem uma grande coleo de arquivos de imagem no disco rgido que Ray
suspeita serem imagens pornogrficas.
Incio da pgina
Coleta local de evidncias
O ideal que as investigaes computacionais sejam conduzidas em imagens do disco rgido. Neste
exemplo, porm, Ray executa uma srie de ferramentas diretamente no computador de Mike Danseglio.
Essas ferramentas so executadas a partir de uma unidade USB e no requerem instalao no computador
local. No entanto, como mencionado anteriormente neste captulo, a insero da unidade USB deixar uma
impresso digital no Registro.
Importante:
Se o computador de Mike Danseglio tivesse o Firewall do Windows habilitado com o Compartilhamento de
Arquivos e Impressoras desabilitado, Ray executaria as ferramentas Systeminfo, Ipconfig, Arp, Netstat,
Schtasks, PsFile, PsList e PsLogList localmente no computador de Mike. Ray digitaria os comandos listados
na seo "Coleta remota de evidncias", mencionada anteriormente neste captulo, mas removeria a
referncia a \\hqloan164 antes de canalizar os resultados para o arquivo evidence2.txt criado por ele
nesta seo.
Ray planeja executar as seguintes tarefas no computador de Mike:
Pesquisar evidncias de arquivos confidenciais na unidade.
Obter cpias de qualquer arquivo suspeito.
Examinar os arquivos.
Ray faz logon no computador de Mike usando a conta de Administrador para acessar a pasta pessoal de
Mike. Depois de conectar a unidade USB utilizada na coleta de evidncias ao computador de Mike, Ray usa
o seguinte procedimento bsico:
1. Acessar a pasta Personal de Mike Danseglio.
Ray acessa a pasta Personal de Mike Danseglio com os comandos a seguir.
c:
cd "documents and settings\mdanseglio\my documents\personal"

2. Anotar a data e hora de incio do exame.
Ray canaliza os resultados dos comandos Date e Time para registrar a hora de incio da
investigao. Ele canaliza os resultados em um novo arquivo chamado mdevidence2.txt, criado na
pasta \evidence da unidade USB.
Observao:
A unidade USB est designada como unidade F: no computador de Mike.
3. Obter informaes sobre a estrutura de diretrio.
Ray usa o comando Dir para examinar o contedo da pasta Personal de Mike. Primeiro, ele canaliza
os resultados para a tela para exibi-los e observa um arquivo de planilha e a pasta \xxxpixset. Em
seguida, Ray canaliza os resultados do comando Dir para o arquivo de evidncias usando trs
parmetros diferentes: /tc para mostrar a hora da criao, /ta para mostrar a hora do ltimo
acesso e /tw para mostrar a hora da ltima gravao.
Ray acessa a unidade USB e a pasta \tools que contm as ferramentas de linha de comando.
5. Reunir informaes do arquivo de Mike Danseglio.
Ray usa o utilitrio Du para examinar o contedo da pasta Meus Documentos de Mike Danseglio e
qualquer subpasta. Ele usa o parmetro l 5 para pesquisar em uma profundidade de cinco pastas.
Primeiro, Ray examina os resultados na tela (mostrados na captura de tela a seguir) antes de
canalizar as evidncias para o arquivo mdevidence2.txt.
date /t > f:\evidence\mdevidence2.txt
time /t >> f:\evidence\mdevidence2.txt

dir /ta >> f:\evidence\mdevidence2.txt
dir /tc >> f:\evidence\mdevidence2.txt
dir /tw >> f:\evidence\mdevidence2.txt

f:
cd tools

Figura 5.6. Resultados da execuo do utilitrio Du
6. Copiar arquivos suspeitos para a pasta \evidence_files.
Embora tenha criado uma imagem da unidade inteira de Mike Danseglio, Ray decide copiar os
arquivos da pasta Personal de Mike Danseglio para uma nova pasta chamada evidence_files, que
ele cria na unidade USB. Ele examinar a pasta e os arquivos durante o processo de anlise.
Observao:
Ray obteve uma cpia do arquivo original durante o processo de gerao de imagens. Ele poder
executar um hash no arquivo original encontrado na unidade dinmica se quiser comparar esse
arquivo cpia do arquivo na unidade USB.
Ray usa o comando Xcopy com os seguintes parmetros: /s para copiar subpastas, /e para copiar
subpastas mesmo se elas estiverem vazias, /k para reter o atributo somente leitura em arquivos de
destino se estiverem presentes nos arquivos de origem e /v para verificar cada arquivo medida
que ele for gravado no arquivo de destino, garantindo que os arquivos de destino so idnticos
aos de origem.
7. Examinar o contedo da Lixeira.
Ray examina rapidamente o contedo da Lixeira no computador de Mike Danseglio, que contm
du l 5
du l 5 >> f:\evidence\mdevidence2.txt

f:
md evidence_files
c:
cd \documents and settings\mdanseglio\my documents\personal
xcopy *.* f:\evidence_files /s /e /k /v

vrios arquivos excludos, conforme mostra a figura a seguir. Ray sabe que o processo de gerao
de imagens da unidade obteve uma cpia desses arquivos, caso ele queira analisar os arquivos
mais tarde. Depois de observar o contedo da Lixeira, Ray est pronto para analisar as evidncias
coletadas remota e localmente.
Figura 5.7. Vrios arquivos de imagem localizados na Lixeira
Incio da pgina
Analisar as evidncias coletadas
Ray tem dois arquivos de evidncias: mdevidence.txt e mdevidence2.txt. Ele tambm tem uma cpia da
pasta Personal de Mike Danseglio. Ray usa o procedimento a seguir em seu computador para analisar as
informaes contidas nesses arquivos.
1. Analisar as informaes do processo.
Ray examina o arquivo mdevidence.txt. Os resultados de PsList so muito interessantes, porque
indicam que Mike Danseglio est executando alguns aplicativos no autorizados, como Wireshark e
nMapWin, conforme mostra a captura de tela a seguir.
Ray sabe que comum encontrar violaes no relacionadas ao executar uma investigao em um
computador suspeito. Ele tambm entende que nem todos os aplicativos sero facilmente
reconhecidos (como os listados neste cenrio) e que possvel que eles tenham sido instalados
sem o conhecimento de Mike.
Figura 5.8. Resultados da execuo de Pslist no computador de Mike Danseglio
Ray acessa a unidade USB e a pasta \tools que contm as ferramentas de linha de comando.
3. Procurar cadeias de caracteres suspeitas no arquivo de planilha.
Ray procura pela cadeia de caracteres confidencial nas cpias dos arquivos provenientes da pasta
Personal de Mike. Para fazer isso, ele usa o comando Find com o parmetro /I (que ignora o uso de
maisculas e minsculas nos caracteres ao pesquisar na cadeia) e o parmetro /c (que fornece o
nmero de linhas que contm a cadeia de caracteres).
Primeiro, Ray canaliza os resultados para a tela. Parece que o arquivo 090806PR-A139.xls contm
uma correspondncia, conforme mostra a captura de tela a seguir. Por isso, Ray executa o
comando uma segunda vez para canalizar os resultados para um arquivo chamado mdevidence-
review.txt.
j:
cd tools

j:
cd \evidence_files
Observao:
Exibir limitaes pode fazer com que o comando precedente seja exibido em mais de uma linha. Ele
deve ser inserido como uma nica linha no prompt de comando.
Figura 5.9. Resultados da pesquisa de confidencial, localizada em 090806PR-A139.XLS
4. Ray primeiro copia 090806PR-A139.xls para a pasta \evidence_files e depois usa a ferramenta
Strings para listar as cadeias de caracteres ASCII e Unicode contidas no arquivo de planilha.
Os resultados (mostrados na captura de tela a seguir) indicam que o arquivo de planilha contm
informaes de folha de pagamento. Ray executa a ferramenta Strings novamente e canaliza os
resultados para o arquivo mdevidence-review.txt.
Observao:
Exibir limitaes pode fazer com que o comando precedente seja exibido em mais de uma linha. Ele
deve ser inserido como uma nica linha no prompt de comando.
find /i /c "confidential" *.*
find /i /c "confidential" *.* > j:\evidence\mdevidence-review.txt

strings j:\evidence_files\090806PR-A139.xls
strings j:\evidence_files\090806PR-A139.XLS >> j:\evidence\mdevidence-review.txt
Figura 5.10. Resultados da execuo do utilitrio Strings no arquivo de planilha
Ray tem certeza de que localizou uma cpia no autorizada de um arquivo de folha de pagamento
do RH no computador de Mike Danseglio.
Incio da pgina
Relatar as evidncias
Ray analisa e correlaciona as evidncias e depois escreve um relatrio resumindo suas descobertas. Um
relatrio de exemplo est disponvel no material que acompanha este guia, mencionado na seo
"Planilhas" do Apndice: Recursos. Nesse relatrio, Ray inclui recomendaes para proteger os dados
confidenciais contra futuras violaes. Ele tambm verifica a integridade dos dados nos arquivos de
evidncias e os armazena de forma apropriada, gravando os arquivos e o relatrio final em um CD.
O relatrio de Ray inclui as seguintes informaes:
Objetivo do relatrio.. O objetivo do relatrio avisar gerncia do Woodgrove Bank sobre o
incidente e determinar como os resultados da investigao podem ser usados para impedir futuras
violaes de segurana.
Autor do relatrio.. Ray se identifica, informa seu cargo e afirma que executou responsabilidades
de chefe tcnico.
Resumo do incidente.. Esta seo lista as suspeitas iniciais e o impacto do incidente nos negcios.
Evidncia.. Esta seo inclui a lista de processos em execuo, o diretrio pessoal encontrado no
computador de Mike Danseglio, as imagens explcitas encontradas, a lista de aplicativos inaceitveis
que estavam sendo executados e o local de um arquivo confidencial que contm informaes de
folha de pagamento.
Anlise. Esta seo inclui os resultados das investigaes local e remota, que provam que imagens
pornogrficas foram baixadas, permisses foram incorretamente configuradas e um arquivo
confidencial contendo informaes de folha de pagamento foi acessado.
Concluso. Esta seo resume o resultado da investigao e inclui recomendaes para evitar
incidentes semelhantes no futuro.
Documentos probatrios.. Esta seo inclui diagramas da rede e uma lista dos procedimentos de
investigao computacional e tecnologias usados na investigao.
Depois de enviar seu relatrio, Ray aguarda autorizao para executar etapas investigatrias adicionais ou
quaisquer outras aes que a gerncia deseje que ele realize.
Observao:
Cada investigao pode ser diferente. Voc deve usar ferramentas que sejam apropriadas para a tarefa
exigida e que o ajudem a obter as informaes que procura, mas sempre bom reunir mais evidncias do
que o necessrio.
Incio da pgina
Configurao do laboratrio do cenrio aplicado
Para emular este cenrio aplicado em um ambiente de laboratrio de teste, voc precisar concluir as
seguintes etapas:
1. Implantar computadores e criar um domnio no servio de diretrio Active Directory.
2. Criar usurios e grupos no Active Directory.
3. Criar pastas e arquivos em determinados computadores.
4. Atribuir compartilhamento e permisses.
5. Configurar a auditoria.
Implantar computadores e criar domnio
A tabela a seguir lista os computadores e sistemas operacionais que sero necessrios:
Tabela 5.1. Computadores e sistemas operacionais usados no laboratrio do cenrio aplicado
Nome do computador Sistema operacional
WNB-HQ-DC Windows Server 2003 R2
WNB-HQ-FS1 Windows Server 2003 R2
HQ-IT-PC10 Windows XP Professional SP2
HQLOAN164 Windows XP Professional SP2
Depois de instalar o sistema operacional em cada computador, execute Dcpromo em WNB-HQ-DC para
instalar o Active Directory e o DNS.
Criar usurios e grupos
A tabela a seguir lista os grupos e usurios que precisam ser definidos no MMC (Console de
Gerenciamento Microsoft) Usurios e Computadores do Active Directory.
Tabela 5.2. Grupos e usurios mencionados no laboratrio do cenrio aplicado
Grupos Usurios
Administrador de sistema corporativo Ray Chow
Admins. do Domnio Ray Chow
HR MGRS Jenny Gottfried, Roland Winkler, Jill Shrader
Branch01Mgrs Mike Danseglio, Nuria Gonzalez
No servidor de arquivos WNB-HQ-FS1, o grupo Admins. do Domnio adicionado como membro do
grupo Administradores local.
Criar pastas e arquivos
A tabela a seguir lista nomes de dispositivo, estruturas de diretrio e arquivos includos que sero
necessrios:
Tabela 5.3. Dispositivos, pastas e arquivos usados no laboratrio do cenrio aplicado
Dispositivo
(computador
ou carto
USB)
Pastas Arquivos
WNB-HQ-FS1
(servidor de
arquivos)
\HR\Internal\Benefits
\HR\Internal\Payroll
\HR\Internal\Review
\Tools
090806PR-A139.xls
(Esta pasta contm todas as ferramentas do
SysInternal e a ferramenta FCIV, conforme listado
na seo "Ferramentas" do Apndice: Recursos.)
HQLOAN164
(computador
de Mike
Danseglio)
\Documents and
Settings\mdanseglio\Meus
Documentos\Personal
\Documents and
Settings\mdanseglio\Meus
Documentos\Personal\xxxpixset
090806PR-A139.xls
(Esta pasta contm vrios arquivos .jpg que
contm xxx no nome de arquivo. Vrios arquivos
xxx*.* foram excludos dessa pasta e se encontram
na Lixeira.)
HQ-IT-PC10
(computador
de Ray Chow)
\Tools (Esta pasta contm todas as ferramentas do
Carto USB
(carto USB de
Ray Chow)
\Evidence
\Evidence_Files
\Tools
(Esta pasta contm todas as ferramentas do
Atribuir compartilhamento e permisses
A tabela a seguir lista as pastas de arquivos e as permisses de compartilhamento necessrias para o
servidor de arquivos WNB-HQ-FS1:
Tabela 5.4. Pastas e permisses de compartilhamento no laboratrio do cenrio aplicado
Pasta Permisses de compartilhamento
\HR Branch01Mgrs (Controle Total, Alterar, Ler)
HR MGRS (Controle Total, Alterar, Ler)
\Tools No compartilhada; somente para uso local por usurios que tenham credenciais
administrativas no servidor.
Configurar a auditoria
No controlador de domnio WNB-HQ-DC, a diretiva Auditoria de acesso a objeto est configurada para
fazer a auditoria tanto de Success como de Failure. Essa configurao foi definida por meio do MMC
Diretiva de Segurana de Domnio e do MMC Diretiva de Segurana de Controlador de Domnio.
No servidor de arquivos WNB-HQ-FS1, a auditoria est configurada para o grupo Usurios do Domnio na
pasta \HR\Internal. Para alcanar essa configurao, clique com o boto direito do mouse na pasta e
selecione Propriedades, Segurana, Avanada e depois Auditoria. Em seguida, insira o grupo Usurios
de Domnio.
Incio da pgina
Neste artigo
Viso geral
Apndice: Recursos
Agradecimentos
Download
Comentrios
14/6/2014 Guia bsico de investigao computacional para Windows: Apndice: Recursos
http://technet.microsoft.com/pt-br/library/a9a5c2a9-cce3-4edb-a92c-10983899240a(d=printer).aspx 1/10
Apndice: Recursos
Este apndice fornece informaes sobre os diversos recursos que podem ser usados para conduzir uma
investigao computacional.
Nesta pgina
Preparando sua organizao para uma investigao computacional
Planilhas e exemplos
Crimes relacionados ao uso de computadores
Treinamento
Ferramentas
Preparando sua organizao para uma investigao computacional
Para preparar sua organizao para uma investigao computacional interna, voc deve montar e deixar
mo um kit de ferramentas de investigao computacional com software e dispositivos que possam ser
usados para obter evidncias. Tal kit de ferramentas deve ser composto de um laptop equipado com
ferramentas de software adequadas, patches e sistemas operacionais diferentes, mdias de aplicativos,
dispositivos de backup, mdias em branco, equipamento bsico de rede e cabos. A preparao desse kit
pode ser uma tarefa constante medida que voc descubra a necessidade de vrios recursos e
ferramentas, dependendo das investigaes que precise conduzir.
Use as diretrizes a seguir ao criar e usar um kit de ferramentas de investigao computacional:
Decida quais ferramentas voc planeja usar antes de comear a investigao. Alm do Microsoft
Windows Sysinternals e de outras ferramentas do Windows mencionadas neste documento,
normalmente o kit de ferramentas inclui software forense computacional dedicado, como a Encase
da Guidance Software, o Forensic Toolkit (FTK) da AccessData ou o ProDiscover da Technology
Pathways.
Trate de arquivar e preservar as ferramentas. Voc pode precisar de uma cpia de backup do
software e das ferramentas de investigao computacional que est usando na investigao para
provar como coletou e analisou os dados.
Liste cada sistema operacional que provavelmente voc examinar e verifique se tem as ferramentas
necessrias para examinar cada um deles. Por exemplo, ferramentas do Windows Sysinternals
(descritas mais adiante neste apndice) como PsInfo, PsLogList e ProcessExplorer podem ser usadas
para examinar computadores com Windows XP e Windows Server 2003.
Inclua uma ferramenta para coletar e analisar metadados.
Inclua uma ferramenta para criar cpias lgicas e bit a bit.
Inclua ferramentas para coletar e examinar dados volteis, como o estado do sistema. Alguns
exemplos do Windows Sysinternals incluem ListDLLs, LogonSessions, PendMoves, Autoruns e
ProcessExplorer. As ferramentas do Windows incluem Systeminfo, Ipconfig, Netstat e Arp.
Inclua uma ferramenta para gerar somas de verificao e assinaturas digitais em arquivos e outros
dados, como a FCIV (File Checksum Integrity Validator). Essa ferramenta est disponvel no artigo
841290 da Base de Dados de Conhecimento Microsoft, Disponibilidade e descrio do utilitrio File
Checksum Integrity Verifier.
Se voc precisar coletar evidncias fsicas, inclua uma cmera digital no kit de ferramentas.
Alm disso, verifique se o seu kit de ferramentas atende aos seguintes critrios:
As ferramentas de obteno de dados so precisas. Em geral, a preciso mais facilmente obtida
se voc usar software forense computacional conhecido.
As ferramentas no modificam a hora de acesso dos arquivos.
O dispositivo de armazenamento do examinador forensicamente estril, o que significa que a
unidade de disco no contm nenhum dado antes de ser usada. Voc pode determinar se um
dispositivo de armazenamento forensicamente estril executando uma soma de verificao nele.
Se ela retornar somente zeros, o dispositivo no contm nenhum dado.
As ferramentas e o hardware do examinador so usados apenas para o processo de investigao
computacional, e no para outras tarefas.
Incio da pgina
Planilhas e exemplos
A tabela a seguir fornece uma lista de planilhas e exemplos que podem ser usados durante a investigao
computacional. Alguns desses recursos esto disponveis como documentos separados do Word e esto
includos no arquivo do Centro de Download da Microsoft do qual voc extraiu este guia. Outros esto
disponveis por meio de um link para o site do Instituto Nacional de Justia.
Tabela A.1. Planilhas e exemplos
Nome do documento Local
Planilha Cadeia da
documentao de
registro de
custdia.doc
Planilha Anlise do
impacto.doc
Exemplo Relatrio de
investigao
interna.doc
Link para o Guia bsico de investigao computacional para Windows no
Centro de Download da Microsoft.
Evidncia
computacional
Evidncia no disco
rgido
Apndice C. Planilhas de exemplo no Exame forense de evidncia digital: Um
guia de aplicao das leis, do Instituto Nacional de Justia, uma agncia do
Departamento de Justia dos Estados Unidos.
Mdia removvel
Incio da pgina
Crimes relacionados ao uso de computadores
Note
Grande parte das informaes desta seo proveniente da pgina Crimes de propriedade intelectual e
relacionados ao uso de computadores e da Internet, na seo Propriedade Intelectual & Crimes
Computacionais do site do Departamento de Justia dos Estados Unidos.
Voc deve primeiro procurar os consultores jurdicos para saber se necessrio reportar crimes
relacionados ao uso de computadores s autoridades competentes no nvel municipal, estadual, federal ou
internacional, dependendo do escopo do crime. Muito provavelmente, as autoridades municipais ou
estaduais sero as primeiras que voc dever contatar. Caso se trate de um crime federal relacionado ao
uso de computadores, talvez voc precise report-lo ao escritrio regional das autoridades competentes.
Como mencionado anteriormente, o uso desta diretriz aplicvel somente nos Estados Unidos.
Estes so os rgos que investigam crimes relacionados ao uso da Internet nos Estados Unidos:
Departamento Federal de Investigao (FBI)
Servio Secreto dos Estados Unidos da Amrica (USSS)
Departamento Americano de Imigrao e Servios Alfandegrios (ICE)
Servio Americano de Inspeo Postal
Escritrio de lcool, Tabaco e Armas de Fogo (ATF)
Agncia de Represso a Entorpecentes (DEA)
Esses rgos tm escritrios em todo o territrio americano. As informaes para contato esto
disponveis em listas telefnicas ou atravs de pesquisa pela Internet. Geralmente, crimes federais podem
ser reportados por meio de um telefonema para o escritrio regional de uma das autoridades
competentes. Se a organizao estiver inscrita na Fora-tarefa contra Crimes Eletrnicos (ECTF), no
InfraGard ou na Associao Internacional de Investigao sobre os Crimes Tecnolgicos (HTCIA), a pessoa
de contato apropriada j deve ser conhecida. Contatar algum que j conhecido e que conhece a sua
organizao simplifica o processo.
Muitos rgos possuem agentes treinados especializados em casos de hacker.
rgos municipais
Em algumas situaes, a melhor opo contatar um rgo municipal. Esses rgos e foras-tarefa contra
crimes tecnolgicos provavelmente tm pessoal treinado para investigar um incidente. Alguns rgos que
possuem pessoal treinado: Fora-tarefa REACT, que atende rea da Baa de San Francisco, a Equipe
CATCH, que atende regio de San Diego, e outros rgos policiais.
As informaes na tabela a seguir podem ajud-lo a determinar qual rgo federal voc dever contatar
para certos tipos de crime.
Tabela A.2. Autoridades competentes para diferentes tipos de crime
Tipo de crime rgos apropriados
Explorao de menores e fraude na
Internet que tenha ligao com correio
Servio Americano de Inspeo Postal
Centro de Reclamaes de Fraude na Internet
Explorao sexual de crianas e
pornografia envolvendo menores
Polcia Municipal
O escritrio regional do FBI
Se importado, Departamento Americano de Imigrao e
Servios Alfandegrios
Invaso de computadores (hacking) O escritrio regional do FBI
Servio Secreto dos Estados Unidos da Amrica
rgo policial ou fora-tarefa municipal contra crimes
tecnolgicos
Pirataria de direitos autorais (gravao de
msicas, filmes e software)
tecnolgicos
Falsificao de dinheiro Servio Secreto dos Estados Unidos da Amrica
Roubo de identidade ou de dados do
cliente
Servio Secreto dos Estados Unidos da Amrica (Diviso
de Crimes Financeiros)
Formulrio do FTC para Reclamao do Consumidor
tecnolgicos
Ameaas de bomba divulgadas pela
Internet
O escritrio regional da diviso de campo do ATF
tecnolgicos
Spam e fraude na Internet O escritrio regional do FBI
Servio Secreto dos Estados Unidos da Amrica (Diviso
de Crimes Financeiros)
Formulrio do FTC para Reclamao do Consumidor
Se spams relacionados a investimentos ou fraude
financeira, Centro de Reclamaes e Dicas de Informantes
do SEC
tecnolgicos
Importunao na Internet O escritrio regional do FBI
tecnolgicos
Trfico de senhas O escritrio regional do FBI
Servio Secreto dos Estados Unidos da Amrica
tecnolgicos
Roubo de segredos comerciais O escritrio regional do FBI
tecnolgicos
Falsificao de marca registrada O escritrio regional do FBI
tecnolgicos
Trfico de armas de fogo ou de
dispositivos incendirios ou explosivos
pela Internet
O escritrio regional da diviso de campo do ATF
Incio da pgina
Treinamento
Faa com que pelo menos alguns membros da equipe de resposta a incidentes participem de um
treinamento formal de investigao computacional. Sem o treinamento apropriado, dificilmente a equipe
ser eficiente na investigao. Na verdade, examinadores no qualificados podem afetar negativamente a
investigao destruindo evidncias volteis por engano.
Para obter uma lista de rgos, organizaes, autoridades federais competentes e instituies acadmicas
sem fins lucrativos que fornecem treinamento forense computacional, consulte o "Apndice G. Lista de
recursos de treinamento" no Exame forense de evidncia digital: Um guia de aplicao das leis, do Instituto
Nacional de Justia, uma agncia do Departamento de Justia dos Estados Unidos.
Incio da pgina
Ferramentas
Cada investigao provavelmente ser diferente. As ferramentas que voc usar devem ser apropriadas
para obter as informaes que procura, mas sempre bom reunir mais evidncias do que o necessrio.
Esta seo fornece informaes sobre as ferramentas do Windows Sysinternals e outras ferramentas do
Windows que podem ajud-lo a conduzir uma investigao computacional interna. Os tipos de ferramentas
so representados por cones na primeira coluna da seguinte tabela:
Tabela A.3. Tipos de ferramentas
cone Descrio
Este cone representa uma ferramenta de linha de comando.
Este cone representa uma ferramenta com uma interface GUI que requer instalao e altera a
unidade de destino.
As tabelas a seguir fornecem informaes sobre as diversas ferramentas que podem ser usadas em
investigaes computacionais.
Ferramentas do Windows Sysinternals
Tabela A.4. Informaes sobre ferramentas do Windows Sysinternals
Tipo de
ferramenta
Nome Descrio
AccessChk v2.0 Exibe o acesso a arquivos, chaves do Registro ou servios do Windows
pelo usurio ou grupo que voc especificar.
AccessEnum
v1.3
Exibe quem tem acesso a quais diretrios, arquivos e chaves do
Registro em um computador. Use-a para encontrar locais onde as
permisses no foram aplicadas corretamente.
Autoruns v8.53 Exibe programas configurados para iniciar automaticamente quando
um computador inicializar e um usurio fizer logon (tambm exibe a
lista completa de locais no Registro e em arquivos onde os aplicativos
podem definir configuraes de inicializao automtica).
Autorunsc
v8.53
A verso de linha de comando do programa Autoruns (descrita na
entrada anterior).
Diskmon Captura toda a atividade do disco rgido. Funciona como uma luz de
atividade de disco de software na bandeja do sistema.
DiskView Utilitrio de setor de disco grfico; visualizador de discos.
Du v1.3 Exibe o uso do disco pelo diretrio.
Filemon v7.03 Exibe toda a atividade do sistema de arquivos em tempo real.
Handle v3.2 Exibe arquivos abertos e o processo que os abriu.
ListDLLs v2.25 Exibe todas as DLLs carregadas no momento, inclusive o local onde
esto carregadas e seus nmeros de verso (imprime os nomes de
caminho completo dos mdulos carregados).
LogonSessions
v1.1
Lista sesses de logon ativas.
PendMoves
v1.1
Exibe os comandos de excluso e renomeao de arquivos que sero
executados na prxima vez que o computador for iniciado.
Portmon v3.02 Exibe a atividade da porta paralela e serial (tambm mostrar uma
parte dos dados que esto sendo enviados e recebidos).
Process
Explorer v10.2
Exibe arquivos, chaves do Registro e outros objetos que os processos
abriram, quais DLLs eles carregaram, os proprietrios dos processos,
etc.
PsExec v1.72 Executa processos remotamente.
PsFile v1.01 Exibe arquivos abertos.
PsInfo v1.71 Exibe informaes sobre um computador.
PsList v1.27 Exibe informaes sobre processos e ameaas.
PsLoggedOn
v1.32
Exibe os usurios conectados a um computador.
PsLogList v2.63 Esvazia registros de logs de eventos.
PsService v2.2 Exibe e controla servios.
Regmon v7.03 Exibe toda a atividade do Registro em tempo real.
RootkitRevealer Verifica se h malware baseado em rootkit.
ShareEnum
v1.6
Verifica compartilhamentos de arquivos em uma rede e exibe as
configuraes de segurana deles para eliminar configuraes
aplicadas incorretamente.
Streams v1.53 Revela fluxos de dados NTFS alternados.
Strings v2.3 Procura cadeias de caracteres ANSI e UNICODE em imagens binrias.
TCPVcon v2.34 Exibe soquetes ativos.
TCPView v2.4 Exibe todos os pontos de extremidade TCP e UDP abertos e o nome
do processo que possui cada um deles.
TDIMon v1.01 Exibe informaes de TCP/IP.
Tokenmon
v1.01
Exibe atividade relacionada segurana, como logon, logoff, utilizao
de privilgios e representao.
Ferramentas do Windows
Tabela A.5. Informaes sobre ferramentas do Windows
Tipo de
ferramenta
Nome Descrio
ARP Exibe tabelas do protocolo ARP.
Date Exibe a configurao de data atual.
Dir Exibe uma lista de arquivos e subdiretrios.
Doskey Exibe o histrico de comandos de um shell CMD.EXE aberto.
Ipconfig Exibe a configurao do computador local.
Net Atualiza, corrige ou exibe a rede ou suas configuraes.
Netstat Exibe estatsticas de protocolo e informaes sobre a conexo atual.
Time Exibe a configurao de hora atual.
Find Pesquisa uma cadeia de caracteres em arquivos.
Schtasks Exibe tarefas agendadas.
Systeminfo Fornece informaes gerais sobre o computador.
Vol Exibe o nome e o nmero de srie do disco, caso existam.
Nome do
host
Exibe a parte do nome de host do nome completo do computador.
Openfiles Consulta, exibe ou desconecta arquivos abertos ou abertos por usurios da
rede.
FCIV File Checksum Integrity Verifier. Use para computar um hash criptogrfico
SHA1 ou MD5 do contedo de um arquivo.
Bloco de
Notas
Use para examinar metadados associados a um arquivo.
Reg Use para exibir, modificar, exportar, salvar ou excluir hives, valores e chaves
do Registro.
Netcap Rene informaes de rastreamento da rede a partir da linha de comando.
Sc Use para se comunicar com os servios e o Controlador de Servio. (A
consulta Sc til para esvaziar todos os servios e seus estados.)
Assoc Exibe ou modifica associaes de extenso de nome de arquivo.
Ftype Exibe ou modifica tipos de arquivo usados em associaes de extenso de
nome de arquivo.
Gpresult Determina o conjunto de diretivas resultante.
Tasklist Lista mdulos carregados e processos em execuo.
MBSA Determina o status do patch de segurana e outras vulnerabilidades
conhecidas.
Rsop.msc Mostra o conjunto de diretivas resultante.
Rasdiag Coleta informaes de diagnstico sobre servios remotos e as coloca em
um arquivo.
Incio da pgina
Neste artigo
Viso geral
Apndice: Recursos
Agradecimentos
Download
Comentrios
2014 Microsoft
Sim No
14/6/2014 Guia bsico de investigao computacional para Windows: Agradecimentos
Agradecimentos
O grupo SA-SC (Solution Accelerators - Security and Compliance) deseja agradecer equipe que produziu
o Guia bsico de investigao computacional para Windows. As seguintes pessoas foram diretamente
responsveis ou deram uma contribuio substancial elaborao, ao desenvolvimento e ao teste dessas
solues.
Autores, colaboradores e redatores
Valentine Boiarkine - Wadeware LLC
Ross Carter
Laura Chappell - Protocol Analysis Institute
Paul Cullimore
Thomas Quilty - BD Consulting and Investigations, Inc.
Paul Slater - Wadeware LLC
Ken Stavinoha
Editor
Steve Wacker - Wadeware LLC
Revisores
John Addeo - Dimension Data
Sargento Eric Apple - Patrulha rodoviria do estado de Washington
Curt Bryson - Washington Mutual
Harlan Carvey - Windows Forensics and Incident Recovery
Fred Cotton - Defense Computer Investigations Training Program
Stacia L. Jackson - Lockheed Martin Information Technology
Detetive Scott Jarmon - Patrulha rodoviria do estado de Washington
Mark Menz - Cientista forense
Mike Menz - Hewlett Packard
14/6/2014 Guia bsico de investigao computacional para Windows: Agradecimentos
Martin Novak - Instituto Nacional de Justia
John Redd VII- Infinite Consulting
James Sibley - Vice Promotor Pblico, Condado de Santa Clara, Califrnia
Detetive Todd Taylor - Patrulha rodoviria do estado de Washington
Revisores (Microsoft)
Shawn Aebi, Kate Baroni, Rich Benack, Christopher Budd, Derick Campbell,
Chase Carpenter, Tom Cloward, Jason Cooper, Greg Cottingham, Mike Danseglio,
Charles Denny, Karl Grunwald, John Howie, Christopher Johnsen, Lesley Kipling,
Troy Larson, Mark Miller, Bob McCoy, Craig Nelson, Sanjay Pandit,
Alexandre Hollanda Silva, Mike Smith-Lonergan
Gerentes de produto
Alain Meeus
Jim Stuart
Gerente de programa
Vlad Pigin
Gerente de liberao
Karina Larson
Testadores
Gaurav Singh Bora
Thammarai Selvi Rajendran - Infosys Technologies Ltd.
Vijayanand Senniappan - Infosys Technologies Ltd.
Incio da pgina
Neste artigo
Viso geral
Apndice: Recursos
Agradecimentos
Download

Guia de Investigação Computacional para Windows

Încărcat de

Informații document

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Guia de Investigação Computacional para Windows

Încărcat de

Drepturi de autor:

Formate disponibile

14/6/2014 Guia bsico de investigao computacional para Windows: Viso geral

S-ar putea să vă placă și