Pasco – Registro de atividades do IE

Autor: Paulo Neukamp  //  Categoria: Dicas


A ferramenta Pasco, foi concebida por Keith J. Jones em 2003, com o intuito de facilitar a manipulação de arquivos index.dat, que armazenam todas as atividades dos usuários na Internet. Sua função é converter os dados de entrada (hex) em um arquivo de texto delimitado, de modo que o investigador possa importar os resultados para uma planilha de sua escolha e poder analizá-los posteriormente.

Existem duas maneiras de executar a ferramenta Pasco:

Modo normal ou Modo de recuperação. O modo de recuperação ignora as informações da tabela hash e reconstrói qualquer registro de atividade válido em cada byte 0x80. Este modo pode recuperar atividades que não foram encontradas no modo normal.

Os parâmetros do comando Pasco são relativamente simples:

# ./pasco

Usage: pasco [options] <filename>

-d Undelete Activity Records

-t Field Delimiter (TAB by default)

O parâmetro "-d" aciona o modo recuperação.

O parâmetro "-t" irá permitir que o investigador mude o delimitador dos campos (o padrão é Ler mais…

Dados Voláteis

Autor: Paulo Neukamp  //  Categoria: Dicas, Scripts

Uma das primeiras ações do perito ao chegar no local da investigação é a coleta dos dados voláteis, pois os mesmos serão perdidos caso o equipamento seja desligado. Pensando nisso e numa forma de agilizar este processo que é composto de uma série de comandos, segue um script para amenizar este tarefa.

O script abaixo, necessita do pacote zenity para ser executado (# apt-get install zenity) e trabalha de forma interativa, sendo assim, leia com atenção o que lhe é solicitado para que o mesmo funcione corretamente.

FDTK-V1.0 + PenDrive

Autor: Paulo Neukamp  //  Categoria: Dicas

Utilizando a FDTK-UbuntuBr a partir de uma Pen-Drive sem reiniciar o equipamento.

Baixe a versão doc


Uma das vantagens de se utilizar a emulação de hardware do Qemu em vez de utilizar o boot pelo USB é que ele permite seu pen drive ou disco rígido portátil em qualquer PC disponível e executar um sistema operacional completo sem reiniciar o equipamento.

Ler mais…

2 visitantes online agora
1 visitantes, 1 bots, 0 membros
Máx. de visitantes hoje: 9 às 12:04 am UTC
Este mês: 35 às 10-08-2019 03:29 pm UTC
Este ano: 35 às 09-17-2019 05:56 pm UTC
No total: 35 às 09-17-2019 05:56 pm UTC