Roteiro de atividades
Sessรฃo de aprendizagem 9 Anรกlise forense avanรงada em Windows
Atividade 1 – Levantando informações do sistema Execute em sua estação os comandos, informações básicas do sistema, processos em execução e bibliotecas utilizadas, fazendo um relatório do que encontrar. Existem usuários suspeitos no sistema? Há compartilhamento de disco? Dos processos e bibliotecas encontrados, liste aqueles que você não soube identificar para que servem.
Atividade 2 – Identificando processos comprometidos 1. Procure na internet mais informações sobre os processos listados acima como desconhecidos. Além disso, pesquise os processos em execução que podem ser confundidos com programas maliciosos. Exemplo: o processo svchost.exe pode ser confundido com diversos vírus; encontre informações na internet que confirmem essa informação. Relate não somente o site onde achou a informação, mas exemplos de programas maliciosos que podem ser confundidos com os processos do sistema. 2. Pesquise os serviços instalados em sua estação. Faça um relatório sobre todos os programas auto-executáveis, procurando na internet informações sobre eles, assim como foi feito no exercício anterior.
Atividade 3 – Novas ferramentas Use o tempo restante para procurar na internet novas ferramentas que podem ser utilizadas para conseguir outras informações além das que vimos nesta sessão. Faça um relatório dos sites que encontrar, com uma breve descrição das ferramentas.