Roteiro de atividades

Sessão de aprendizagem 8

Análise forense em Windows

Atividade 1 – Coleta de evidências em

Windows

Execute os passos descritos na sessão em sua

estação e documente todos os passos tomados,

criando fichas de evidência do mesmo modo como foi

feito nas sessões anteriores. Você deve coletar

informações sobre o ambiente onde está sua máquina,

documentar as informações externas, capturar a tela,

coletar imagem da memória e informações sobre o

horário da máquina.

Não é necessário coletar uma cópia da imagem de

disco, mas colocar em seu relatório os comandos

necessários para realizar essa operação.

Atividade 2 – Classificando as ferramentas

Use o tempo destinado a este exercício para estudar

as ferramentas presentes no pacote de ferramentas.

Prepare um relatório descrevendo a função de cada

ferramenta. Quais ferramentas podem ser utilizadas

para coletar uma imagem da memória RAM da

máquina?

Quais ferramentas permitem fazer cópias do disco?

Qual delas você acha que é a ferramenta mais

completa, no sentido de coletar mais informações úteis

ao investigador?

Atividade 3 – Busca de outras ferramentas

para Windows

Pesquise na internet outras ferramentas para realizar

análise forense em sistemas Windows. Faça um

relatório descrevendo as ferramentas que encontrar e

as características que as tornam interessantes.

Dica: comece com os links de Forensic Windows

Tools e Forensics Tools fornecidos na bibliografia.