Torne-se um analista de logs hoje

Olá pessoal

Bom, há bastante tempo pensava em criar um tópico como este e nunca tinha tempo para escrever tudo de uma vez, por isso fui escrevendo aos poucos por se tratar de um assunto tanto quanto delicado, ao meu ver.

Acredito que saber analisar um log e ter ciência do que está presente em seu computador é um detalhe trivial que, na minha opinião, deveria ser do interesse de todo internauta e tratado com mais transparência na web, e não com a burocracia imposta em inúmeros fóruns. Afinal, a cada minuto praticamente novos malwares são criados -- um mais sofisticado que o outro -- e saber como lidar com estas pragas é algo importantíssimo. Contudo, um dos meios mais simples para isto, creio eu, que seja uma análise de log. Por quê? Sabendo interpretar um log, você saberá onde a contaminação está e possivelmente evitar que ela espalhe no sistema. Sim, antivirus, firewalls e qualquer outro 'utensilho' que possua a capacidade de defender o computador de pragas virtuais são instrumentos EXTREMAMENTE importantes, porém, todos sabem que estes programas não são 100% efetivos, sobretudo, quando o PC está infectado o desespero bate a porta de muitos, e a impaciência em identificar/remover a ameaça o mais rápido torna-se natural.

No intuito de auxiliar àqueles que pretendem se especializar em tal atividade e não sabem como começar ou estiverem com dificuldades, gostaria de fazer deste tópico um espaço para dúvidas, sugestões, dicas, discussões (pacíficas, por favor), troca de experiências sobre análises de logs, utilização de ferramentas, procedimentos adequados e etc.

Caso você tenha alguma dúvida sobre um log qualquer, sobre alguma ameaça, indecisão e etc, poste aqui!

Nota Importante: Este tópico não é destinado a pedidos de análises, somente dúvidas, partilha de conhecimentos e dicas. Se você está com problemas em seu PC e deseja que os amigos analistas façam uma vistoria em seu log, poste nesta área.

Abaixo deixo alguns fatores interessantes que me ajudaram muito quando comecei e tenho por mim que possa ser útil a todos. peço que compartilhem seus conhecimentos também, ou dúvidas, sintam-se em casa!


É, este é um ponto essencial para quem gosta da área técnica da informática. Querendo ou não, o tempo de experiência de um usuário conta muito em qualquer situação, não somente na tecnologia, é claro. Entretanto, muitos chegam a desistir de seus propósitos pois julgam-se incapazes de adquirir o conhecimento de uma pessoa experiente, e esse é o primeiro erro. Experiência requer tempo e tempo requer estudo. Tudo depende somente de você, não se menospreze. Particularmente defino o termo experiência com quatro palavras: interesse, estudo, dedicação e prática.

Se você não gosta de mexer com determinada área e não está disposto a aprender, faça um bem para a humanidade e caia fora dessa!
Agora se você quer realmente aumentar seu conhecimento, maravilha!


Não se engane, saber analisar um log não exige conhecimentos apenas em segurança. Entender o significado de termos técnicos da informática (em geral), saber trabalhar com os diferentes tipos de sistemas operacionais (especialmente o Windows pois estamos tratando de análises de logs), manusear suas funções, conhecer seus arquivos e seus termos técnicos, explorar seus recursos e etc, são fatores de suma importância nesta tarefa, senão os maiores. Não conhecer o ambiente cujo encontra-se prejudicado são dez pontos a mais para o malware.

No Windows muitos malwares afetam áreas delicadas como o registro, a MBR, o kernel, dependendo do tipo, contaminam arquivos legítimos e retardam as funções e o andamento. Portanto, é preciso conhecer bem estas áreas para saber o que deve e não deve ser feito lá. Nunca aja por impulso ou achismo!

Porém, não preciso dizer que um conhecimento aguçado sobre segurança da informação é o detalhe "chave" nessa questão, né? Calma, calma... não estou dizendo que você precisa ter um diploma superior ou ser um professor da Harvard para entender os conceitos dessa matéria. Pesquise, pergunte, leia, explore conhecimentos/experiências alheias -- pois eles são os que mais irão lhe ajudar nessa estrada. Não tenha vergonha de perguntar porque a única pessoa que vai sair perdendo é você. Se curtir do assunto e quiser fazer um curso superior futuramente, daí é com você.

Antes de qualquer coisa, lembre-se que você estará manipulando dados sensíveis de sua pessoa ou, principalmente, de outras (o que aumenta cem vezes mais a sua responsabilidade).

Todavia, logicamente, não pense que você precisa saber tudo de tudo ou deve ser isento de falhas, porque simplesmente não existe ser humano capaz disso. Computador é um mundo!


Pessoal, sejamos realistas, analisar um log não é bicho de sete cabeças. Programação é uma área muito mais complexa, por exemplo.

Falando a grosso modo, analisar um log nada mais é do que verificar se um arquivo é legítimo (seja de um programa, jogo, sistema) ou malicioso, em cada uma das entradas. Foque-se inicialmente na localização de cada arquivo, seus nomes e suas extensões. Esqueça, por ora, da parte adicional dos logs.

Copie o nome ou a localização completa do arquivo e jogue no Google. Observe a descrição que os resultados lhe darão, leia várias opiniões distintas antes de agir. Dê preferência para sites especializados como Bleeping Computer, ProcessLibrary e ThreatExpert. No entanto, ainda assim muito cuidado, pois estes sites também podem fornecer informações incorretas. Se você achou no Google um caso parecido com o que está enfrentando e o mesmo foi bem resolvido, você pode tê-lo como um guia ou uma referência. Mas lembre-se que cada caso é um caso. Se ferramentas específicas e preparos de scripts foram publicados no caso encontrado, não copie-o!

Estude e pesquise bastante os processos, nomes de arquivos, suas localizações corretas, o que fazem, para que servem, enfim... aquela famosa decoréba clássica para você ir se familiarizando com os danados. Perguntem sempre que houver dúvidas, não sintam-se acanhados em não saber do que se trata algo. Alguém pode tirar sua dúvida em menos de minutos. Se ainda assim houverem suspeitas sob o arquivo, submeta-o ao VirusTotal.

Está craque nos processos, arquivos e tudo mais? É hora de trabalhar nos detalhes adicionais do log. Mas o que seriam estes detalhes? São as seções correspondentes a cada parte do log, aquelas informações complementares que são impressas juntamente com as entradas para deixar o analista ambientado. No entanto, veja bem, cada log contém um tipo de detalhe adicional diferente. Darei um exemplo tendo como base um log do OTL.

Ao gerar um log do OTL, no meio daquelas incontáveis informações, você enxergará seções como:

a — Files/Folders - Created Within 30 Days
b — Files - Modified Within 30 Days
c — Driver Services (SafeList)
d — Win32 Services (SafeList)
e — Processes (SafeList)
f — Chrome, Firefox, Internet Explorer
g — [2012/03/10 09:41:41 | 000,001,894 | ---- | M] [ ---HDRS--- ]
h — LOP Check

Explicação

a — Lista os arquivos e pastas criados nos últimos 30 dias. O número de dias pode ser alterado diretamente na interface do OTL
b — Lista os arquivos e pastas modificados nos últimos 30 dias. Não confunda com os arquivos criados, pois estes já existiam e foram modificadas por algum motivo
c — Lista os arquivos responsáveis pelos dispositivos e drivers dos programas, como drivers de som, rede, gráfico e etc
d — Lista os serviços presentes no Windows, mais especificamente no services.msc
e — Lista os arquivos carregados na memória (Gerenciador de Tarefas) na hora em que o relatório foi gerado
f — Listam os componentes instalados em cada um dos browsers, seja extensões, plugins, toolbars, barras de busca, home page, configurações proxy, etc
g — Data em que o arquivo foi criado/modificado (depende da seção) || hora que o arquivo foi criado/modificado || tamanho do arquivo em bytes || a letra M significa Modified (modificado), se no lugar de M houver a letra C significará Created (Criado) | a letra H significa Hidden (Oculto), a D significa Directory (Diretório/Pasta), a R significa Readonly (Somente Leitura) e a S significa System (arquivo do sistema)
h — Lista o diretório onde o malware Lop.com costuma residir: C:\Users\[nome de usuario]\AppData\Roaming.

No QUOTE mencionei apenas alguns exemplos que, na prática, são as seções mais comuns. Porém, no log podem haver outras seções.

Para muitos, estes detalhes podem confundir um pouco. Mas, na verdade, eles não servem para nada, senão ajudar o analista a saber qual área do log ele está analisando e eventualmente até ajudar na hora de preparar um script, talvez. Entenda estes detalhes como se fossem uma espécie de bússola. Como assim swampedman? Imagine se não houvesse a divisão de seções no log, todas as entradas juntas em um só lugar, arquivos de diferentes finalidades juntos, drivers, plugins e toolbars todos reunidos um sobre o outro... Seria uma "vitamina" bagunçada, composta de ingredientes vitais à saúde do micro + ingredientes letais ao PC. Isso sim, iria confundir totalmente e levar o analista a cometer erros desnecessários.

É fato que poucos desenvolvedores disponibilizam tutoriais públicos de como utilizar suas ferramentas, com raras exceção de autores como Old Timer (OTL) e jpshortstuff (SystemLook) que disponibilizam na íntegra uma documentação de suas principais ferramentas -- as quais podem ser conferidas aqui e aqui. A maioria dos desenvolvedores consideram estes materiais altamente "inflamáveis" nas mãos erradas e, honestamente, em certas ocasiões eles têm razão.

Todavia, acredite, dificilmente as partes adicionais dos logs serão fundamentais para a remoção dos arquivos, a não ser servir como ponto de referência para o analista e ajudar a preparar um script, como já mencionei.

Dúvidas em alguma seção adicional? Indague no tópico, afinal, a intenção do mesmo é esclarecê-las.


Este é um assunto que você DEVE saber. Pesquise sobre os diversos tipos de malwares, os sintomas que cada classe estimula no sistema, suas consequências e métodos corretos de detecção/remoção. Além disso, saiba diferenciá-los uns dos outros. Citando os mais populares temos:

Adware
Spyware
Trojan Horse ou Cavalo de Tróia
Worm
Backdoor
Rootkit
Bootkit
Scareware ou Rogue
Banker
Ransomware
File Infector ou Vírus Polimórfico
Keylogger

Cada um deles provoca uma reação característica no sistema. Tenha em mente que, durante uma análise, saber com o que você está lidando no log é um fator culminante. Exemplo de alguns deles:

— Adwares normalmente instigam a abertura abusiva de pop-ups, instalam toolbars e searches nos browsers;
— Bankers, que são designados a roubar dados pessoais, podem adicionar endereços IP's de bancos no HOSTS e configurar proxies maliciosos nos browsers (principalmente no IE);
— Rogues podem instalaar softwares (geralmente de segurança) fraudulentos na máquina e emitir mensagens solicitando a compra de tais programas. Nesta página e nesta você confere atualizações frequentes de novos rogues diariamente;

Ressalto ainda que malwares não atuam padronizadamente, isto é, mesmo que o sintoma principal de tal malware seja causar "x" anomalias, ele pode perfeitamente causar "y" anomalias no sistema. Portanto, como dizia a música do Engenheiros do Hawaii: olho vivo e faro fino! Nunca subestime-os, ou, superestime-se.

Em especial, estude sobre os rootkits. São malwares comuns hoje em dia e de difícil remoção, é o caso do ZeroAcess e TDSS/TDL2. Muitos logs não mostram entradas relacionadas a rootkits. Por isso, torna-se coerente efetuar uma análise anti-rootkit específica no computador, inclusive, fóruns especializados já solicitam um log do OTL + GMER para adiantar o processo. Estude logs de ferramentas como TDSSKiller, RootRepeal e GMER.

Agora, jamais hesite em aconselhar o usuário a formatar a máquina em circunstâncias drásticas. Dependendo do caso, o malware deixa o sistema absolutamente instável e danifica-o inteiro ou parcialmente. Neste caso, formatação é a melhor e mais segura opção.



Curiosamente, observo que o que mais desperta interesse entre analistas novatos é a famosa e poderosa criação de scripts. Resumidamente, são linhas de comando que executam uma tarefa pré-definida pelo usuário. Os scripts podem ser validados por intermédio de ferramentas autorizadas ou criados a partir do Bloco de Notas mesmo (no caso, o .BAT). É óbvio que para criar um .BAT você deve ter um conhecimento, no mínimo, intermediário de Windows -- teoricamente nos comandos do prompt. Já para os scripts executados através de ferramentas autorizadas você precisa conhecer bem a ferramenta em questão e como preparar estes fixes.

Não preciso salientar que a criação de scripts é expressamente recomendada a usuários com uma certa experiência. Mas, ei, take it easy my friend! Se depender de mim, você chegará lá rapidinho. Não há necessidade de grupos de estudos, como os oferecidos em determinados fóruns, ou escolas técnicas para isso. É só uma questão de atenção e prática.

OBS: Usufrue sempre de uma máquina virtual para treinar e fazer testes.

Selecionando por popularidade, as ferramentas que fornecem um método de correção via script são: ComboFix (CFScript.txt), OTL, OTM, OTS e Avenger. Com exceção da OTL e OTM, cada ferramenta suporta uma sintaxe distinta em seu script. O que é uma sintaxe? Nos scripts, a sintaxe é o "cérebro" da linha de comando, isto é, a ferramenta executará uma ação sob as entradas baseado no que foi definido na sintaxe.

Exemplos:

Files to delete: {SINTAXE}
C:\WINDOWS\malware.exe {ENTRADA}

Driver:: {SINTAXE}
malware {ENTRADA}

P.S.: A sintaxe tem de ser colocada sempre antes da entrada e nunca se esqueça de que elas são parcialmente sensitives, por isso, atente-se na pontuação e nos nomes.

Antes de preparar qualquer script, você deve ter a absoluta certeza de que as entradas que serão corrigidas são 100% maliciosas e/ou totalmente inválidas. E após prepará-lo, revise-o várias vezes para ver se não há nenhum caractere ou entrada errados. Um equívoco sequer pode levar a ilações absurdas, desde um sistema inoperante até um comprometimento total do SO. Portanto, a atenção na hora de criar um script deve ser triplicada. Ciente destes adendos, sigamos em frente...

Para facilitar o estudo de vocês, separei as sintaxes principais das ferramentas comentadas anteriormente.

Link das sintaxes. Vocês ainda podem conferir a explicação de cada sintaxe nos artigos abaixo:

OTM e OTL
ComboFix
Avenger (tutorial oficial feito pelo desenvolvedor, em inglês)

Dados necessários para a criação de um script

1º Identificar a entrada maliciosa
2º Caminho completo para se chegar a infecção (entrada)
3º Definir a sintaxe apropriada para a correção da entrada
4º Juntar tudo e executar o script

Aplicando na prática

Para deixar este post mais didático, e treinar os mais entusiasmados, resolvi preparar um singelo exercício básico. Só para usar como demonstração, peguei uma parte do log do OTL.

Se quiser fazer o exercício, segue os links.

OBS: Não olhe o resultado agora. Faça o exercício primeiro e depois confira se acertou.

Exercício
Resultado

Se você acertou tudo, parabéns! Se não acertou, não fique chateado e tampouco desanime. Pratique sempre.



Existe um arsenal de ferramentas para vários tipos de contaminações ao alcance de todos. Especialmente temos a nossa inteira disposição o Malwarebytes, Kaspersky Removal Tool, Rescue Disk's e Scanners Online que são acessórios excelentes e não requerem conhecimento avançado para manuseá-los.

Por outro lado, grande parte dos usuários não sabem quando usar uma, quando usar outra, e acabam que indicando qualquer uma. Tome nota de que existem as ferramentas que combatem malwares estritamente específicos e aquelas que lidam com qualquer tipo de infecção. As que trabalham com qualquer infecção são as mais conhecidas, dentre elas, ComboFix, MBAM e Removal Tool. As demais são menos populares e exigem que o user tenha conhecimento de causa, isto é, saiba a exata infecção para indicá-las.

Contudo, MBAM e ComboFix são programas indubitavelmente versáteis, destarte, eles conseguem detectar uma quantidade estupenda de malwares. Então, caso não consiga identificar o tipo da ameaça que está no log, eles podem ser sugeridos. Só tome cuidado com o ComboFix, pois é um aplicativo brutalmente poderoso e avançado.

Outro detalhe importante: sempre que for analisar um log, solicite logs mais completos como os do RSIT, DDS, OTL ou OTS (se você souber). Eles exibem entradas cruciais que o HijackThis não mostra.

Abaixo estão algumas outras opções igualmente boas.

OTA => Automatiza a criação de scripts com o OTS e Avenger. Muito útil para quem não consegue criar um script no OTS.

GooredFix => Lida com o malware goored e outras infecções capazes de provocar redirecionamentos imprevisíveis nos navegadores.

FSS ou Farbar Service Scanner => Excelente aplicativo que gera um relatório completo dos arquivos, valores do registro e serviços responsáveis pela conexão da Internet, após a conexão ser prejudicada por algum malware.

OTH => Mais uma bela ferramenta do Old Timer, auxiliar a OTL, que pode finalizar todos os processos ativos na memória e rodar um scan com o OTL.

HostsXpert => Limpa e reseta o arquivo HOSTS do Windows. Utilizado para remover endereços maliciosos do HOSTS => entradas O1 do HijackThis e OTL.

ZHPDiag => Efetua um diagnóstico completíssimo no sistema e gera um log. Seu relatório chega a ser até mais preciso que o do OTL e OTS, por exemplo => Tutorial oficial (em francês).

AdwCleaner => Remove adwares (toolbars, searches, home pages, pastas, valores de registro e tudo mais associado ao adware).

ToolbarShooter => Também remove toolbars maliciosos (como o AdwCleaner) => changelog ToolbarShooter.

Norman Malware Cleaner => Ferramenta excelente que lida com inúmeros tipos de ameaças.

BankerFix => Identifica e remove uma grande quantidade de trojans bankers => changelog BankerFix

Dr.Web CureIt => Mais um extraordinário programa na caça de malwares e vírus de diferentes gêneros.

USBFix => Na minha opinião, trata-se do melhor aplicativo para a limpeza de dispositivos móveis e PCs infectados por worms provenientes destes dispositivos.

FindyKill ou FyK => Detecta e remove o malware Bagle, além de restaurar as funcionalidades do Windows desativados pelo malware, como modo de segurança e a exibição arquivos ocultos => changelog FindyKill, tutorial em francês e alguns dos arquivos criados pelo Bagle.

Registry Search => Facilita a procura de chaves e valores específicos no Registro (Regedit).

TFC => Muito recomendada para efetuar uma limpeza no PC após uma remoção de malwares.

HitmanPro => Programa que realiza um diagnóstico on-demand no sistema para encontrar ameaças desconhecidas e/ou vulnerabilidades, mas para remover as infecções somente comprando a solução.

Inherit => Ferramenta criada por sUBs (autor do ComboFix) que tenta forçar a execução de aplicativos que os malwares estão impedindo ou danificaram.

RogueKiller => Remove uma quantidade grande de softwares rogues => changelog RogueKiller e tutorial oficial (em inglês).

DevDiag => Lista todos os dispositivos e drivers da máquina (podendo encontrar drivers maliciosos) e identifica problemas neles (chegando ser útil no dia-a-dia mesmo).

WC32 => Tenta desinfectar ficheiros do tipo htm, .html, .php, .doc, .asp, .pdf contaminados pelo file infector Virut sem danificá-los.

SecurityCheck => Verifica se há módulos de proteção instalados no PC (antivirus, firewall, anti-spyware, etc) e se estão ativos, se o Service Pack , Java, IE e Adobe estão atualizados. Ótima ferramenta para averiguar se o sistema está atualizado ou se há falhas de segurança.

GabKiller => Identifica uma variedade boa de ameaças, em especial dialers e adwares.

Navilog1 => Remove variantes do rogue NaviPromo => changelog Navilog1.

CacaoRemover => Elimina o add-on Cacaoweb instalado no Firefox que, por várias razões, é considerado um objeto suspeito.

Rkill => Programa que tenta encerrar processos maliciosos conhecidos para que a ferramenta de segurança rode sem problemas => Instruções de uso oficial.

Unhide => Restaura as configurações de pastas e do registro modificados pelo rogue FakeHDD (fraudulenta solução que se passa por um software de reparação) => tutorial oficial.

MBRCheck => Verifica a integridade da MBR do sistema que pode estar comprometida por bootkits, como Whistler/Black Internet.

aswMBR => Poderosa ferramenta que realiza um scan profundo na MBR a procura de bootkits que possivelmente possa ter contaminado-a.

MBRScan => Também verifica a MBR em busca de ameaças .

MBR Repair => Repara uma MBR que pode ter sido prejudicada por um bootkit.

LopSD2 => Remove o malware Lop.com, embora não seja uma infecção tão comum atualmente.

ANOTB => Muito útil para comparar dois logs e exibir as modificações existentes no último log.

RappAntivir => Obtém o relatório de detecção/remoção de scan do Avira Antivir. Funciona somente em PCs com esse antivirus instalado, é lógico.

Com o tempo adicionarei outras ferramentas nessa lista.




Toda vez que um usuário posta um log para ser analisado, comumente ele acrescenta uma breve (ou completa) descrição de seu problema. Não passe batido nisso pois você pode identificar a causa do problema ali mesmo. Leia com calma, pesquise para ver se há caso semelhante, faça um reconhecimento de campo. Nada melhor do que iniciar o auxílio tendo ideia de possíveis correções.



Leia freneticamente. Sempre acompanhe notícias, matérias, artigos, tutoriais e tudo mais relacionado à segurança em sites especializados. Para maior comodidade assine os feeds RSS desses sites. Esteja ciente de novas ameaças, novas técnicas, novos produtos, novos meios de remoção/detecção, reviews e etc. Atente-se em cada detalhizinho, por menor que seja. Isso vai lhe ajudar muito em todos os sentidos.

OBS: Vou reunir os sites dos quais eu assino os feeds e acrescentarei ao tópico mais tarde, para quem estiver interessado!

Mas, principalmente, pratique. Use a máquina virtual a seu favor, infecte-a, instale um monte de coisas, mexa no Windows e, por final, gere um log. Observe cada linhazinha do log e tente interpretar. Tome uma xícara de café, belisque uns petiscos, coloque um CD do Dream Theater (Six Degrees é uma boa pedida ) e, finalmente, identifique a infecção no meio dos diversos arquivos e entradas. O começo é sempre chato e exaustivo, todos passamos por esse processo, é normal. Mas com o tempo você se acostuma.



Como ponto de curiosidade e sabedoria abrangente, experimente encontrar um log de diferentes versões do Windows, como 98, 2000, 2003 Server, 2008 Server, XP, Vista e 7 (x86 e x64), por exemplo. Você perceberá que os arquivos, as localizações e as demais informações serão distintas umas das outras.

Os logs do Vista e do 7 são bem semelhantes. Mas, se tiver oportunidade, veja um log do Win 2003. Para quem está mais familiarizado com 7 e XP, vai estranhar bastante.

É interessante conhecer os outros sistemas, embora não existam tantos casos relacionados a estes SOs.



Para fazer um grand finale do post, deixo abaixo oito dicas complementares.

1) Descarte sempre analisadores automatizados, como o do Hijackthis.de. Primeiro por se tratar de um sistema genérico que se baseia em votos de qualquer indivíduo. Segundo por lhe fazer tomar um vício, e uma vez viciado nesta análise robotizada, dificilmente você terá sucesso em realizar uma análise humana futuramente e se tornar um analista de verdade. Terceiro por ser um serviço nada recomendável por especialistas da área, aliás, nem mesmo o autor original do HijackThis, Merijn Bellekom, consentiu ou aconselhou/aconselha o uso deste aplicativo -- palavras do próprio neste post.

2) Analise cada entrada do log com cautela. Leia uma por uma, vá anotando as mais suspeitas, mas não ignore as demais, afinal, as aparências enganam. Se está em dúvidas, diga ao usuário que envie o arquivo ao VirusTotal. Solução mais segura não há.

3) Errar é humano. Experiente também erra (alguns inclusive intitulam-se como "The Best" por conta própria e possuem o péssimo hábito de não reconhecerem seus erros). Porém, no quesito "análise de log", o erro normalmente é resultado da desatenção e do descuido do analista. Claro, sistema operacional é um ambiente totalmente imprevisível, então, mesmo que você não tenha errado em nada esteja sempre preparado por possíveis sequelas e resultados inesperados.

4) Tire suas dúvidas antes de tirar conclusões precipitadas. Fóruns sempre têm membros que manjam do assunto. Sim, alguns deles (de mau com a vida) não compartilham seus conhecimentos; outros, por sua vez, criticam quem compartilha. Mas não existem só eles, ignore-os. Sobretudo, como coloquei no começo do post, este tópico foi feito para esclarecer dúvidas referentes ao assunto discutido aqui mesmo.

5) Acompanhe análises de logs em outros fóruns. Confesso que uma das coisas que mais me ajudou nas análises foi acompanhar outros casos em fóruns gringos (especialmente franceses e americanos). Aprendi muito vendo aqueles Jackie-Chans-Gringos analisarem logs. Os caras são feras. Você acaba por descobrir novas ferramentas, novos procedimentos e, acima de tudo, aprender com pessoas que entendem muito do assunto. Contudo, não acompanhe somente análises de logs, passeie nos setores de notícias e dicas do fórum para descobrir novos horizontes. Cadastre-se nos fóruns especializados e tire suas dúvidas lá também.

6) Inglês é primordial. Pessoal, o inglês é a língua-mãe da Internet. Praticamente todos os logs são gerados neste idioma. Não saber nada de inglês e estudar informática a fundo, é quase a mesma coisa que dar um tiro no escuro. Saiba o significado dos termos técnicos, tente interpretar um texto, uma mensagem, as opções e etc. Pratique bastante seu inglês pois isso vai colaborar ainda mais nas análises. Uma boa pedida é ser participante assíduo de fóruns americanos/ingleses, como somos do GdH . Assim você terá contato direto com nativos da língua-mãe.

7) Esteja preparado (ou quase?) para tudo. Analisar log aparentemente é fácil mas, acredite, um dia você pode apanhar com algum deles. Chega um momento em que todos os recursos que você conhece poderão não dar mais conta do recado, e nesta hora, você terá três opções eminentes: realizar uma pesquisa mais minuciosa sobre o problema, recomendar a formatação do disco ou pedir ajuda a outros colegas analistas para ver se eles têm uma ideia. Se a terceira opção parecer mais viável, não seja orgulhoso. Duas mentes sábias pensam melhor que uma... avaliando ambos os pontos de vista, você pode chegar à solução!

8) NUNCA tire conclusões de um arquivo pelo nome dele. Outro equívoco grotesco é declarar que um arquivo é malicioso por ter um nome suspeito. Em logs você pode se deparar com arquivos do tipo serkf01521459.sys e, ao jogar no Google este nome, ele retornará 0 resultados. Muitos pensaríam: "Ah, se nem o Google conhece pode remover"! Nada disso. Pergunte ao dono do log ou, melhor ainda, envie ao VirusTotal.

No mais, é isso!
Espero que tenham gostado. Boa sorte e sucesso a todos.

Deixem suas dúvidas, comentários e críticas aqui!

Abração
swampedman