Bytes Suspeitos
Anotações sobre forense digital
Site BytesSuspeitos em testes
Anotações
Diretórios com importância forense
- \Windows\System32\config
- Arquivos principais do registro (DEFAULT, SAM, SECURITY, SOFTWARE, SYSTEM)
- \Windows\System32\winevt\Logs
- Arquivos de eventos (Application.evtx, Security.evtx, System.evtx)
- \Windows\System32\spool
- Arquivos de spool (*.SHD e *.SPL) podem estar em algum subdiretório também
- \Windows\System32\drivers\etc
- Local do arquivo host e outros hardcodes de rede
- \ProgramData\Microsoft\Search\Data\Applications\Windows
- Bases de dados EDB (Windows.edb procuras no windows)
- \Recycle.Bin\%SID
- Lixeira do windows
- \Users\user_name
- Arquivo do registro do usuário (NTUSER.DAT)
- \Users\user_name\AppData\Local\Microsoft\Windows
- Arquivo UsrClass.dat com histórico dos shellbags
- \Users\user_name\AppData\Roaming\Microsoft\Windows\Recent
- Links dos "Recents File Lists"
- \Users\user_name\AppData\Local\Microsoft\Windows\Explorer
- Arquivos thumbcache_*.db com as miniaturas (thumbnails)
- \Users\user_name\AppData\Local\Packages\Microsoft.Windows.Cortana_xxxx\AppData\Indexed DB
- Histórico do Cortana em IndexedDB.edb
- \Users\user_name\AppData\Local\Packages\Microsoft.Windows.Cortana_xxxx\LocalState\ESEDatabase_CortanaCoreInstance
- Dados adicionais do Cortana em CortanaCireDb.dat
Outros aplicativos
- \Users\user_name\AppData\Local\Packages\Microsoft.SkypeApp_kzf8qxf38zg5c\LocalState\s4l-live%003a.cid.6413a4160701880e.db
- Histórico do Skype
- \Users\user_name\AppData\Local\eMule\config\known2_64.met
- Histórico do eMule
| Data | Versão | Base/Alteração | Autor |
|---|---|---|---|
| 4-dez-2019 | 1.0 | Ref. e kng | CH4172 |
| 12-mar-2021 | 2.0 | Kng - diretórios e histórico | CH4172 |
Anotação:1002, última modificação:12-Mar-2021, tema:Windows