Um tipo de perícia comum envolve a verificação de software ilegal (pirata) em empresas. Embora o trabalho investigativo seja relativamente direto, alguns cuidados são necessários.
.jpeg)
O primeiro passo é determinar quantos equipamentos precisam ser periciados. Idealmente, cada computador deve ser periciado individualmente, mas em casos com muitos equipamentos, isso pode ser inviável. O tempo médio por dispositivo varia de 3 a 5 minutos. Um representante da empresa deve acompanhar o perito em cada equipamento.
Suponhamos que haja 50 estações Windows em rede, que podem ser periciadas em cerca de 4 horas.
O primeiro procedimento é realizar um "scan" na rede no início dos trabalhos. É crucial ter um pendrive contendo todas as ferramentas executáveis em modo "portátil", ou seja, sem necessidade de instalação nos computadores periciados.
Um software útil para esse scan de rede é o SoftPerfect Network Scanner. Após a conclusão do scan, salve o arquivo no pendrive em formato "csv". Esse software é executado apenas no primeiro computador periciado.
A partir daí, inicia-se um processo cíclico em cada computador. As ações e softwares utilizados incluem:
1. freepcaudit.exe - para inventário de hardware e software.
2. LastActivityView - para listar os últimos eventos realizados no computador.
3. Executar regedit /e d:\nome-da-estacao.reg "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall" - para salvar o conteúdo da chave de registro "Uninstall".
4. Copiar os logs de Aplicativos do Event Viewer.
Esses passos devem ser repetidos em todos os computadores. Antes de passar para o próximo equipamento, preencha um formulário de coleta de evidências de software contendo informações como fabricante, modelo, número de série e sistema operacional.
Ao finalizar a coleta, compare o número de equipamentos com o arquivo de scan inicial para garantir a cobertura completa.
Gerar um documento com o hash de todos os arquivos coletados e solicitar a assinatura de testemunhas garantirá a integridade dos dados.
Durante a análise forense, cada arquivo coletado deve ser examinado em busca de evidências de software ilegal. O laudo pericial deve ser preparado, incluindo os documentos preenchidos em campo e uma mídia contendo os arquivos coletados.
Observações:
- Em ambientes com muitos equipamentos, a coleta pode ser feita remotamente usando aplicativos como Network Asset Tracker.
- Para inventariar estações MAC, use o comando system_profiler -detailLevel full > Desktop/arquivo.txt.
- Para inventariar sistemas Linux, use o comando find / -iname "*nome-do-software*".
0 Comentários