Avançado Defesa (Blue Team)

Forense digital básica

Forense digital é a disciplina de coletar, preservar e analisar evidências digitais de forma que possam ser usadas em investigações internas ou processos legais. A ordem e o método importam tanto quanto os dados encontrados.

Princípio fundamental: preservar antes de analisar

Nunca analisar o sistema original diretamente. Qualquer acesso modifica metadados (atime, mtime). O processo correto:

Sistema comprometido


  Coleta de evidência (write blocker + imagem bit-a-bit)


  Hash da imagem (MD5 + SHA-256 — dupla verificação)


  Análise na cópia forense


  Documentação + cadeia de custódia

Ordem de volatilidade

Capturar do mais volátil para o menos volátil:

1. Registros de CPU e cache
2. Memória RAM (maior perda — processo vivo, conexões, chaves de criptografia)
3. Estado de rede (conexões TCP ativas, ARP, rota)
4. Processos em execução
5. Disco (menos volátil, sobrevive a reboot)
6. Logs remotos / SIEM
7. Backups, mídias físicas

Coleta de memória RAM

# Linux — com avml (Amazon Volatile Memory Library)
avml /mnt/evidencias/memoria-2026-06-25.lime

# Windows — com WinPmem (execução como Administrador)
winpmem_mini_x64.exe memory.raw

# Verificar hash imediatamente após captura
sha256sum memoria-2026-06-25.lime > memoria-2026-06-25.lime.sha256

Imagem de disco

# Linux — dd com log de progresso
dd if=/dev/sdb bs=4M conv=noerror,sync status=progress | \
  tee disco-evidencia.img | sha256sum > disco-evidencia.img.sha256

# Verificar integridade
sha256sum -c disco-evidencia.img.sha256

Alternativa: dcfldd ou ewfacquire (formato E01 com metadados embutidos).

Análise de memória com Volatility 3

# Listar processos no dump de memória
vol -f memoria.lime windows.pslist

# Verificar conexões de rede abertas no momento da captura
vol -f memoria.lime windows.netstat

# Dump de processo suspeito para análise de malware
vol -f memoria.lime windows.dumpfiles --pid 4512

# Detectar injeção de código em processos legítimos
vol -f memoria.lime windows.malfind

Análise de disco com Autopsy / TSK

Áreas-chave para investigar:

Windows:
  - $MFT (Master File Table) — histórico de arquivos deletados
  - Prefetch (%SystemRoot%\Prefetch) — execuções anteriores
  - Amcache.hve — rastreia binários executados
  - NTUSER.DAT — atividade do usuário, chaves de run
  - Event Logs (%SystemRoot%\System32\winevt\Logs)
  - Shellbags — pastas acessadas via Explorer

Linux:
  - /var/log/, /home/*/.bash_history
  - /tmp e /dev/shm — staging de malware
  - /etc/crontab, /etc/cron.d/ — persistência
  - journalctl -xe — logs do systemd

Cadeia de custódia

Documento que garante que a evidência não foi adulterada:

Evidência: Disco HD 1TB — S/N: WD-XYZ123
Coletado por: Ana Lima (analista forense)
Data/hora: 2026-06-25 14:30 UTC
Hash SHA-256: a3f1b2c4...
Transferido para: cofre físico — lacre nº 00482
Analisado por: cópia forense (hash verificado antes da análise)

Ferramentas essenciais

FerramentaFunção
Volatility 3Análise de memória
Autopsy / TSKAnálise de disco
Wireshark / tcpdumpAnálise de PCAP
KAPEColeta rápida de artefatos Windows
FTK ImagerImagem forense + verificação de hash