Artefatos do Windows - Cheat Sheet by Ooclaar

Entender os artefatos do sistema operacional é vital para investigações de incidentes e atividades de **[[Threat Hunting]]**. Esses vestígios contam a história do que foi executado, alterado ou acessado no computador, ajudando o analista a reconstruir eventos e medir o impacto de uma invasão. ## Por que isso importa? 1. Reconstrução da linha do tempo de atividades. 2. Detecção de comportamento malicioso. 3. Medição de danos e definição de contramedidas. --- ## Principais Artefatos | Artefato | O que é? | Por que investigar? | | -------------------------------------------- | ------------------------------------------------------- | ------------------------------------------------------------------- | | **Prefetch** | Arquivos que aceleram a abertura de programas. | Revelam quais executáveis foram iniciados e quando. | | **Shimcache (AppCompatCache)** | Cache de compatibilidade de aplicativos. | Lista programas executados, mesmo que tenham sido apagados depois. | | **Amcache** | Banco de dados sobre aplicativos instalados/executados. | Contém nome, hash e caminho de execução de cada binário. | | **Windows Registry** | Banco de dados de configurações do Windows. | Guarda chaves usadas para persistência, autorun, drivers e mais. | | **Logs / Event Viewer** | Registros detalhados de eventos do sistema. | Mostram falhas, logins, criação de serviços, etc. | | **Tarefas Agendadas** | Automação de rotinas via Task Scheduler. | Podem ser abusadas para executar malware em horários específicos. | | **Serviços** | Processos que iniciam com o sistema. | Alvos comuns para garantir persistência. | | **Shadow Copy** | Cópias de volumes e arquivos. | Úteis para recuperar dados apagados ou sobrescritos. | | **WMI (Windows Management Instrumentation)** | Camada de gerenciamento do Windows. | Pode ser usada por atacantes para executar código ou manter acesso. | --- ## O que você consegue descobrir? - Horário exato em que um programa malicioso rodou. - Quais contas de usuário foram utilizadas. - Alterações em arquivos críticos ou no registro. - Métodos de persistência criados pelo invasor. - Dados ou backups que podem ser recuperados. --- ## Coleta Básica dos Artefatos > As ferramentas variam; escolha as que melhor se encaixam no seu ambiente. 1. Prefetch, Shimcache e Amcache: Ferramentas recomendadas: `PECmd`, `AppCompatCacheParser`, `AmcacheParser`. 2. Registry: Exportação via `reg save` ou coleta de hives (`SAM`, `SYSTEM`, `SOFTWARE`, `NTUSER.DAT`). 3. Logs/Event Viewer: Copiar arquivos `.evtx` em `%SystemRoot%\System32\winevt\Logs\`. 4. Tarefas Agendadas e Serviços: Listar via `schtasks /query /xml`, `sc query`, ou scripts PowerShell. 5. Shadow Copy: Enumerar com `vssadmin list shadows`, montar com `mklink` ou ferramentas de terceiros. 6. WMI: Consultar via `wmiexec`, `Get-WmiObject`, ou utilitários como `WMIDump`. --- ## Conclusão Dominar esses artefatos permite: - Responder rapidamente a incidentes. - Aumentar a eficácia do Threat Hunting. - Fortalecer defesas futuras identificando lacunas exploradas. Quanto melhor você entender cada artefato, mais completa será a narrativa do incidente que conseguirá montar — e mais rápido eliminará a ameaça.