Análise de artefactos
O que é Análise de artefactos?
Análise de artefactosExame dos vestígios digitais deixados por sistemas operativos e aplicações para reconstruir ações do utilizador, execução de programas e comportamento do atacante.
A análise de artefactos foca-se nos resíduos persistentes e voláteis gerados por sistemas operativos e aplicações: Prefetch, ShimCache, AmCache, jump lists, ficheiros LNK, histórico do navegador, reciclagem, registos de eventos do Windows, journald e muitos outros. Cada artefacto responde a uma questão probatória específica, como se um binário foi executado ou que ficheiros um utilizador abriu. Os analistas recolhem artefactos com KAPE, Velociraptor ou FTK Imager e analisam-nos com EZ Tools, Plaso ou Autopsy. A interpretação depende da versão do sistema operativo, pois formatos e retenção variam entre Windows, macOS e Linux.
● Exemplos
- 01
Analisar o Prefetch do Windows para provar que uma amostra de malware renomeada foi executada duas vezes numa estação.
- 02
Examinar ShellBags para confirmar que um atacante navegou numa partilha sensível.
● Perguntas frequentes
O que é Análise de artefactos?
Exame dos vestígios digitais deixados por sistemas operativos e aplicações para reconstruir ações do utilizador, execução de programas e comportamento do atacante. Pertence à categoria Forense e resposta da cibersegurança.
O que significa Análise de artefactos?
Exame dos vestígios digitais deixados por sistemas operativos e aplicações para reconstruir ações do utilizador, execução de programas e comportamento do atacante.
Como se defender contra Análise de artefactos?
As defesas contra Análise de artefactos costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Análise de artefactos?
Nomes alternativos comuns: Análise de artefactos forenses, Análise de artefactos de host.