Home Videos Forense para Cache RDP – Remote Desktop Protocol

Forense para Cache RDP – Remote Desktop Protocol

por - TI Forense

Como continuação da série “Introdução ao Windows Forensics”, este vídeo apresenta a Análise Forense do Cache do Protocolo de Área de Trabalho Remota (RDP). Você sabia que, quando você usa o cliente RDP mstsc.exe no Windows, o cache é armazenado em seu perfil de usuário? O cache consiste em dados de bitmap compactados que você precisa extrair antes de poder visualizá-los. O objetivo do cache, como você pode imaginar, é melhorar o desempenho armazenando seções da tela que raramente são alteradas.

Neste vídeo, vamos dar uma olhada em uma ferramenta que pode extrair esses arquivos de bitmap, permitindo-nos remontar seções da tela manualmente (não ao contrário de montar um quebra-cabeça). Muitas vezes, podemos coletar dados como nomes de arquivos, ícones, planos de fundo e vários outros dados que podem ser úteis para nos ajudar a determinar as ações de um determinado usuário (ou, no mínimo, ajudar a concentrar nossa investigação).

Introduction to Windows Forensics:

BMC-Tools:
https://github.com/ANSSI-FR/bmc-tools

RDP Cached Bitmap Extractor:
https://www.guidancesoftware.com/app/RDP-Cached-Bitmap-Extractor

Background Music Courtesy of Modern Vintage Gamer:
https://www.youtube.com/modernvintagegamer

Fonte: https://www.youtube.com/channel/UCy8ntxFEudOCRZYT1f7ya9Q

Artigos Similares

Deixe seu comentário