__          ___      .______        _______.
                                                       |  |        /   \     |   _  \      /       |
                                                       |  |       /  ^  \    |  |_)  |    |   (----`
                                                       |  |      /  /_\  \   |   _  <      \   \    
                                                       |  `----./  _____  \  |  |_)  | .----)   |   
                                                       |_______/__/     \__\ |______/  |_______/    

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ www.octanelabs.net
                             In God We Trust. All Others, We Investigate

Josueh

Manter a integridade da Data/Hora do Windows é muito importante pois está envolvido em diversas partes do Sistema Operacional Windows.

Durante operações de Resposta a Incidentes ou de Computação Forense há sempre a dúvida se é possível determinar 100% se a Data/Hora do Windows foi alterada. É possível confiar 100% no timestamps dos objetos? A questão é que, às vezes, o Perito pode ser levado a conclusões erradas por ter analisado poucos vestígios; além disso, analisar uma alteração de data é muito mais simples do que uma alteração de horário, que é menos aparente em termos de vestígios.

O Projeto Josueh surgiu com o objetivo de auxiliar o Perito em Computação Forense a evidenciar se a Data/Horário do Windows ou BIOS foram alteradas analisando informações de diversas fontes do Sistema Operacional a partir de um Dump de Memória ou Imagem de Disco Forense.

Participantes: Alex Chiaranda, Diego Fuschini, Tony Rodrigues

Página do Projeto: https://sourceforge.net/projects/josueh/

Veja outros projetos do Octane Labs