Translated ['forensics/basic-forensic-methodology/anti-forensic-techniqu

2025-02-17 14:38:27 +00:00 · 2024-01-13 22:32:20 +00:00 · 2024-01-13 22:32:20 +00:00 · c459fdd56b
commit c459fdd56b
parent 1200789055
13 changed files with 541 additions and 345 deletions
--- a/forensics/basic-forensic-methodology/anti-forensic-techniques.md
+++ b/forensics/basic-forensic-methodology/anti-forensic-techniques.md
@ -1,60 +1,152 @@
 # Timestamps

-Um invasor pode estar interessado em **alterar os carimbos de data/hora dos arquivos** para evitar ser detectado.\
-É possível encontrar os carimbos de data/hora dentro do MFT nos atributos `$STANDARD_INFORMATION` __ e __ `$FILE_NAME`.
+Um atacante pode estar interessado em **alterar os timestamps de arquivos** para evitar ser detectado.\
+É possível encontrar os timestamps dentro do MFT nos atributos `$STANDARD_INFORMATION` __ e __ `$FILE_NAME`.

-Ambos os atributos têm 4 carimbos de data/hora: **Modificação**, **acesso**, **criação** e **modificação do registro MFT** (MACE ou MACB).
+Ambos os atributos têm 4 timestamps: **Modificação**, **acesso**, **criação** e **modificação do registro MFT** (MACE ou MACB).

-O **Windows Explorer** e outras ferramentas mostram as informações de **`$STANDARD_INFORMATION`**.
+O **Windows explorer** e outras ferramentas mostram a informação de **`$STANDARD_INFORMATION`**.

 ## TimeStomp - Ferramenta Anti-forense

-Esta ferramenta **modifica** as informações de carimbo de data/hora dentro de **`$STANDARD_INFORMATION`** **mas não** as informações dentro de **`$FILE_NAME`**. Portanto, é possível **identificar** **atividades suspeitas**.
+Esta ferramenta **modifica** a informação de timestamp dentro de **`$STANDARD_INFORMATION`** **mas** **não** a informação dentro de **`$FILE_NAME`**. Portanto, é possível **identificar** **atividade** **suspeita**.

 ## Usnjrnl

-O **USN Journal** (Update Sequence Number Journal), ou Change Journal, é um recurso do sistema de arquivos Windows NT (NTFS) que **mantém um registro das alterações feitas no volume**.\
+O **USN Journal** (Update Sequence Number Journal), ou Change Journal, é um recurso do sistema de arquivos Windows NT (NTFS) que **mantém um registro de alterações feitas no volume**.\
 É possível usar a ferramenta [**UsnJrnl2Csv**](https://github.com/jschicht/UsnJrnl2Csv) para procurar modificações neste registro.

 ![](<../../.gitbook/assets/image (449).png>)

-A imagem anterior é a **saída** mostrada pela **ferramenta** onde é possível observar que algumas **alterações foram realizadas** no arquivo.
+A imagem anterior é o **output** mostrado pela **ferramenta** onde se pode observar que algumas **alterações foram realizadas** no arquivo.

 ## $LogFile

-Todas as alterações de metadados em um sistema de arquivos são registradas para garantir a recuperação consistente das estruturas críticas do sistema de arquivos após uma falha do sistema. Isso é chamado de [write-ahead logging](https://en.wikipedia.org/wiki/Write-ahead\_logging).\
-Os metadados registrados são armazenados em um arquivo chamado “**$LogFile**”, que é encontrado em um diretório raiz de um sistema de arquivos NTFS.\
+Todas as alterações de metadados em um sistema de arquivos são registradas para garantir a recuperação consistente de estruturas críticas do sistema de arquivos após uma falha do sistema. Isso é chamado de [write-ahead logging](https://en.wikipedia.org/wiki/Write-ahead_logging).\
+Os metadados registrados são armazenados em um arquivo chamado “**$LogFile**”, que é encontrado no diretório raiz de um sistema de arquivos NTFS.\
 É possível usar ferramentas como [LogFileParser](https://github.com/jschicht/LogFileParser) para analisar este arquivo e encontrar alterações.

 ![](<../../.gitbook/assets/image (450).png>)

-Novamente, na saída da ferramenta, é possível ver que **algumas alterações foram realizadas**.
+Novamente, no output da ferramenta é possível ver que **algumas alterações foram realizadas**.

-Usando a mesma ferramenta, é possível identificar a **qual momento os carimbos de data/hora foram modificados**:
+Usando a mesma ferramenta é possível identificar **para qual tempo os timestamps foram modificados**:

 ![](<../../.gitbook/assets/image (451).png>)

-* CTIME: Hora de criação do arquivo
-* ATIME: Hora de modificação do arquivo
-* MTIME: Hora de modificação do registro MFT do arquivo
-* RTIME: Hora de acesso ao arquivo
+* CTIME: Tempo de criação do arquivo
+* ATIME: Tempo de modificação do arquivo
+* MTIME: Tempo de modificação do registro MFT do arquivo
+* RTIME: Tempo de acesso do arquivo

-## Comparação entre `$STANDARD_INFORMATION` e `$FILE_NAME`
+## Comparação `$STANDARD_INFORMATION` e `$FILE_NAME`

-Outra maneira de identificar arquivos suspeitos modificados seria comparar o tempo em ambos os atributos procurando por **incompatibilidades**.
+Outra forma de identificar arquivos modificados suspeitos seria comparar o tempo em ambos os atributos procurando por **incompatibilidades**.

 ## Nanosegundos

-Os carimbos de data/hora do **NTFS** têm uma **precisão** de **100 nanossegundos**. Então, encontrar arquivos com carimbos de data/hora como 2010-10-10 10:10:**00.000:0000 é muito suspeito**.
+Os timestamps do **NTFS** têm uma **precisão** de **100 nanosegundos**. Então, encontrar arquivos com timestamps como 2010-10-10 10:10:**00.000:0000 é muito suspeito**.

 ## SetMace - Ferramenta Anti-forense

-Esta ferramenta pode modificar ambos os atributos `$STARNDAR_INFORMATION` e `$FILE_NAME`. No entanto, a partir do Windows Vista, é necessário um sistema operacional ativo para modificar essas informações.
+Esta ferramenta pode modificar ambos os atributos `$STARNDAR_INFORMATION` e `$FILE_NAME`. No entanto, a partir do Windows Vista, é necessário um sistema operacional ativo para modificar essa informação.

-# Ocultação de dados
+# Ocultação de Dados

-O NFTS usa um cluster e o tamanho mínimo de informação. Isso significa que se um arquivo ocupa um cluster e meio, o **meio restante nunca será usado** até que o arquivo seja excluído. Então, é possível **ocultar dados neste espaço ocioso**.
+NTFS usa um cluster e o tamanho mínimo de informação. Isso significa que se um arquivo ocupa um cluster e meio, o **meio restante nunca será usado** até que o arquivo seja excluído. Então, é possível **ocultar dados neste espaço livre**.

-Existem ferramentas como o slacker que permitem ocultar dados neste espaço "oculto". No entanto, uma análise do `$logfile` e `$usnjrnl` pode mostrar que alguns dados foram adicionados:
+Existem ferramentas como slacker que permitem ocultar dados neste espaço "oculto". No entanto, uma análise do `$logfile` e `$usnjrnl` pode mostrar que alguns dados foram adicionados:

-![](<../../.gitbook/assets/image
+![](<../../.gitbook/assets/image (452).png>)
+
+Então, é possível recuperar o espaço livre usando ferramentas como FTK Imager. Note que esse tipo de ferramenta pode salvar o conteúdo ofuscado ou até criptografado.
+
+# UsbKill
+
+Esta é uma ferramenta que **desligará o computador se qualquer alteração nas portas USB** for detectada.\
+Uma maneira de descobrir isso seria inspecionar os processos em execução e **revisar cada script python em execução**.
+
+# Distribuições Linux ao Vivo
+
+Essas distribuições são **executadas dentro da memória RAM**. A única maneira de detectá-las é **caso o sistema de arquivos NTFS seja montado com permissões de escrita**. Se for montado apenas com permissões de leitura, não será possível detectar a intrusão.
+
+# Exclusão Segura
+
+[https://github.com/Claudio-C/awesome-data-sanitization](https://github.com/Claudio-C/awesome-data-sanitization)
+
+# Configuração do Windows
+
+É possível desativar vários métodos de registro do Windows para tornar a investigação forense muito mais difícil.
+
+## Desativar Timestamps - UserAssist
+
+Esta é uma chave de registro que mantém datas e horas de quando cada executável foi executado pelo usuário.
+
+Desativar o UserAssist requer dois passos:
+
+1. Definir duas chaves de registro, `HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_TrackProgs` e `HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_TrackEnabled`, ambas para zero para sinalizar que queremos o UserAssist desativado.
+2. Limpar suas subárvores de registro que se parecem com `HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\<hash>`.
+
+## Desativar Timestamps - Prefetch
+
+Isso salvará informações sobre os aplicativos executados com o objetivo de melhorar o desempenho do sistema Windows. No entanto, isso também pode ser útil para práticas forenses.
+
+* Executar `regedit`
+* Selecionar o caminho do arquivo `HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SessionManager\Memory Management\PrefetchParameters`
+* Clicar com o botão direito em `EnablePrefetcher` e `EnableSuperfetch`
+* Selecionar Modificar em cada um deles para mudar o valor de 1 (ou 3) para 0
+* Reiniciar
+
+## Desativar Timestamps - Último Tempo de Acesso
+
+Sempre que uma pasta é aberta de um volume NTFS em um servidor Windows NT, o sistema leva um tempo para **atualizar um campo de timestamp em cada pasta listada**, chamado de último tempo de acesso. Em um volume NTFS muito utilizado, isso pode afetar o desempenho.
+
+1. Abrir o Editor de Registro (Regedit.exe).
+2. Navegar até `HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem`.
+3. Procurar por `NtfsDisableLastAccessUpdate`. Se não existir, adicionar este DWORD e definir seu valor para 1, o que desativará o processo.
+4. Fechar o Editor de Registro e reiniciar o servidor.
+
+## Apagar Histórico USB
+
+Todas as **Entradas de Dispositivos USB** são armazenadas no Registro do Windows sob a chave **USBSTOR** que contém subchaves criadas sempre que você conecta um Dispositivo USB ao seu PC ou Laptop. Você pode encontrar esta chave aqui `HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR`. **Apagando isso** você apagará o histórico USB.\
+Você também pode usar a ferramenta [**USBDeview**](https://www.nirsoft.net/utils/usb_devices_view.html) para ter certeza de que os apagou (e para apagá-los).
+
+Outro arquivo que salva informações sobre os USBs é o arquivo `setupapi.dev.log` dentro de `C:\Windows\INF`. Isso também deve ser excluído.
+
+## Desativar Cópias de Sombra
+
+**Listar** cópias de sombra com `vssadmin list shadowstorage`\
+**Apagar** elas executando `vssadmin delete shadow`
+
+Você também pode apagá-las via GUI seguindo os passos propostos em [https://www.ubackup.com/windows-10/how-to-delete-shadow-copies-windows-10-5740.html](https://www.ubackup.com/windows-10/how-to-delete-shadow-copies-windows-10-5740.html)
+
+Para desativar cópias de sombra:
+
+1. Ir ao botão de início do Windows e digitar "services" na caixa de texto de pesquisa; abrir o programa Serviços.
+2. Localizar "Volume Shadow Copy" na lista, destacá-lo e, em seguida, clicar com o botão direito > Propriedades.
+3. No menu suspenso "Tipo de inicialização", selecionar Desativado e, em seguida, clicar em Aplicar e OK.
+
+![](<../../.gitbook/assets/image (453).png>)
+
+Também é possível modificar a configuração de quais arquivos serão copiados na cópia de sombra no registro `HKLM\SYSTEM\CurrentControlSet\Control\BackupRestore\FilesNotToSnapshot`
+
+## Sobrescrever arquivos excluídos
+
+* Você pode usar uma **ferramenta do Windows**: `cipher /w:C` Isso indicará ao cipher para remover quaisquer dados do espaço disponível não utilizado no disco dentro da unidade C.
+* Você também pode usar ferramentas como [**Eraser**](https://eraser.heidi.ie)
+
+## Apagar logs de eventos do Windows
+
+* Windows + R --> eventvwr.msc --> Expandir "Logs do Windows" --> Clicar com o botão direito em cada categoria e selecionar "Limpar Log"
+* `for /F "tokens=*" %1 in ('wevtutil.exe el') DO wevtutil.exe cl "%1"`
+* `Get-EventLog -LogName * | ForEach { Clear-EventLog $_.Log }`
+
+## Desativar logs de eventos do Windows
+
+* `reg add 'HKLM\SYSTEM\CurrentControlSet\Services\eventlog' /v Start /t REG_DWORD /d 4 /f`
+* Dentro da seção de serviços desativar o serviço "Log de Eventos do Windows"
+* `WEvtUtil.exec clear-log` ou `WEvtUtil.exe cl`
+
+## Desativar $UsnJrnl
+
+* `fsutil usn deletejournal /d c:`
--- a/forensics/basic-forensic-methodology/docker-forensics.md
+++ b/forensics/basic-forensic-methodology/docker-forensics.md
@ -1,24 +1,22 @@
-# Forense do Docker
+# Docker Forensics

 <details>

-<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
+<summary><strong>Aprenda hacking no AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>

- Você trabalha em uma **empresa de segurança cibernética**? Você quer ver sua **empresa anunciada no HackTricks**? ou você quer ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Verifique os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
+Outras formas de apoiar o HackTricks:

- Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
-
- Adquira o [**swag oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
-
- **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo do Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo do telegram**](https://t.me/peass) ou **siga-me** no **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
-
- **Compartilhe seus truques de hacking enviando PRs para o [repositório hacktricks](https://github.com/carlospolop/hacktricks) e [hacktricks-cloud repo](https://github.com/carlospolop/hacktricks-cloud)**.
+* Se você quer ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
+* Adquira o [**material oficial PEASS & HackTricks**](https://peass.creator-spring.com)
+* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
+* **Junte-se ao grupo** 💬 [**Discord**](https://discord.gg/hRep4RUj7f) ou ao grupo [**telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
+* **Compartilhe suas técnicas de hacking enviando PRs para os repositórios github** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).

 </details>

-## Modificação do contêiner
+## Modificação de Container

-Há suspeitas de que algum contêiner do Docker tenha sido comprometido:
+Há suspeitas de que algum container docker foi comprometido:
 ```bash
 docker ps
 CONTAINER ID        IMAGE               COMMAND             CREATED             STATUS              PORTS               NAMES
@ -38,8 +36,8 @@ A /var/lib/mysql/mysql/time_zone_leap_second.MYI
 A /var/lib/mysql/mysql/general_log.CSV
 ...
 ```
-No comando anterior, **C** significa **Alterado** e **A**, **Adicionado**.\
-Se você encontrar algum arquivo interessante como `/etc/shadow` que foi modificado, você pode baixá-lo do contêiner para verificar atividades maliciosas com:
+No comando anterior, **C** significa **Changed** (Modificado) e **A,** **Added** (Adicionado).\
+Se você descobrir que algum arquivo interessante como `/etc/shadow` foi modificado, você pode baixá-lo do container para verificar atividades maliciosas com:
 ```bash
 docker cp wordpress:/etc/shadow.
 ```
@ -49,28 +47,28 @@ docker run -d lamp-wordpress
 docker cp b5d53e8b468e:/etc/shadow original_shadow #Get the file from the newly created container
 diff original_shadow shadow
 ```
-Se você encontrar que **algum arquivo suspeito foi adicionado**, você pode acessar o container e verificá-lo:
+Se você descobrir que **algum arquivo suspeito foi adicionado**, você pode acessar o container e verificar:
 ```bash
 docker exec -it wordpress bash
 ```
-## Modificações de imagens
+## Modificações em Imagens

-Quando você recebe uma imagem docker exportada (provavelmente em formato `.tar`), você pode usar o [**container-diff**](https://github.com/GoogleContainerTools/container-diff/releases) para **extrair um resumo das modificações**:
+Quando você recebe uma imagem docker exportada (provavelmente no formato `.tar`) você pode usar [**container-diff**](https://github.com/GoogleContainerTools/container-diff/releases) para **extrair um resumo das modificações**:
 ```bash
 docker save <image> > image.tar #Export the image to a .tar file
 container-diff analyze -t sizelayer image.tar
 container-diff analyze -t history image.tar
 container-diff analyze -t metadata image.tar
 ```
-Então, você pode **descompactar** a imagem e **acessar os blobs** para procurar por arquivos suspeitos que possam ter sido encontrados no histórico de alterações:
+Então, você pode **descomprimir** a imagem e **acessar os blobs** para procurar por arquivos suspeitos que você pode ter encontrado no histórico de alterações:
 ```bash
 tar -xf image.tar
 ```
 ### Análise Básica

-Você pode obter **informações básicas** da imagem em execução:
+Você pode obter **informações básicas** da imagem executando:
 ```bash
-docker inspect <image> 
+docker inspect <image>
 ```
 Você também pode obter um resumo do **histórico de alterações** com:
 ```bash
@ -83,7 +81,7 @@ dfimage -sV=1.36 madhuakula/k8s-goat-hidden-in-layers>
 ```
 ### Dive

-Para encontrar arquivos adicionados/modificados em imagens docker, você também pode usar a ferramenta [**dive**](https://github.com/wagoodman/dive) (baixe-a em [**releases**](https://github.com/wagoodman/dive/releases/tag/v0.10.0)):
+Para encontrar arquivos adicionados/modificados em imagens docker, você também pode usar a ferramenta [**dive**](https://github.com/wagoodman/dive) (baixe-a a partir dos [**releases**](https://github.com/wagoodman/dive/releases/tag/v0.10.0)):
 ```bash
 #First you need to load the image in your docker repo
 sudo docker load < image.tar                                                                                                                                                                                                         1 ⨯
@ -92,16 +90,30 @@ Loaded image: flask:latest
 #And then open it with dive:
 sudo dive flask:latest
 ```
-Isso permite que você **navegue pelos diferentes blobs das imagens do Docker** e verifique quais arquivos foram modificados/adicionados. **Vermelho** significa adicionado e **amarelo** significa modificado. Use a tecla **tab** para mover para a outra visualização e a tecla **espaço** para expandir/contrair pastas.
+Isso permite que você **navegue pelos diferentes blobs das imagens docker** e verifique quais arquivos foram modificados/adicionados. **Vermelho** significa adicionado e **amarelo** significa modificado. Use **tab** para mover para a outra visualização e **espaço** para expandir/colapsar pastas.

-Com o `die`, você não poderá acessar o conteúdo das diferentes etapas da imagem. Para fazer isso, você precisará **descompactar cada camada e acessá-la**.\
-Você pode descompactar todas as camadas de uma imagem a partir do diretório onde a imagem foi descompactada executando:
+Com o die você não será capaz de acessar o conteúdo dos diferentes estágios da imagem. Para fazer isso, você precisará **descomprimir cada camada e acessá-la**.\
+Você pode descomprimir todas as camadas de uma imagem a partir do diretório onde a imagem foi descomprimida executando:
 ```bash
 tar -xf image.tar
 for d in `find * -maxdepth 0 -type d`; do cd $d; tar -xf ./layer.tar; cd ..; done
 ```
 ## Credenciais da memória

-Observe que, ao executar um contêiner docker dentro de um host, **você pode ver os processos em execução no contêiner a partir do host** apenas executando `ps -ef`.
+Note que quando você executa um container docker dentro de um host **você pode ver os processos em execução no container a partir do host** apenas executando `ps -ef`

-Portanto (como root), você pode **despejar a memória dos processos** do host e procurar por **credenciais** assim [**como no exemplo a seguir**](../../linux-hardening/privilege-escalation/#process-memory).
+Portanto (como root) você pode **despejar a memória dos processos** do host e procurar por **credenciais** [**como no seguinte exemplo**](../../linux-hardening/privilege-escalation/#process-memory).
+
+<details>
+
+<summary><strong>Aprenda hacking no AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
+
+Outras formas de apoiar o HackTricks:
+
+* Se você quer ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF** Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
+* Adquira o [**material oficial PEASS & HackTricks**](https://peass.creator-spring.com)
+* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
+* **Junte-se ao grupo** 💬 [**Discord**](https://discord.gg/hRep4RUj7f) ou ao grupo [**telegram**](https://t.me/peass) ou **siga**-me no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
+* **Compartilhe suas técnicas de hacking enviando PRs para os repositórios github** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
+
+</details>
--- a/forensics/basic-forensic-methodology/file-integrity-monitoring.md
+++ b/forensics/basic-forensic-methodology/file-integrity-monitoring.md
@ -1,18 +1,33 @@
-# Baseline
+<details>

-Uma linha de base consiste em tirar uma foto de certas partes de um sistema para **compará-la com um status futuro para destacar mudanças**.
+<summary><strong>Aprenda hacking no AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
+
+Outras formas de apoiar o HackTricks:
+
+* Se você quer ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
+* Adquira o [**material oficial PEASS & HackTricks**](https://peass.creator-spring.com)
+* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
+* **Junte-se ao grupo** 💬 [**Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo do telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
+* **Compartilhe suas técnicas de hacking enviando PRs para os repositórios github** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
+
+</details>
+
+
+# Linha de Base
+
+Uma linha de base consiste em tirar um instantâneo de certas partes de um sistema para **compará-lo com um status futuro para destacar mudanças**.

 Por exemplo, você pode calcular e armazenar o hash de cada arquivo do sistema de arquivos para poder descobrir quais arquivos foram modificados.\
-Isso também pode ser feito com as contas de usuário criadas, processos em execução, serviços em execução e qualquer outra coisa que não deva mudar muito, ou nada.
+Isso também pode ser feito com as contas de usuários criadas, processos em execução, serviços em execução e qualquer outra coisa que não deveria mudar muito, ou de todo.

 ## Monitoramento de Integridade de Arquivos

 O monitoramento de integridade de arquivos é uma das técnicas mais poderosas usadas para proteger infraestruturas de TI e dados empresariais contra uma ampla variedade de ameaças conhecidas e desconhecidas.\
-O objetivo é gerar uma **linha de base de todos os arquivos** que você deseja monitorar e, em seguida, **verificar periodicamente** esses arquivos em busca de possíveis **alterações** (no conteúdo, atributo, metadados, etc.).
+O objetivo é gerar uma **linha de base de todos os arquivos** que você deseja monitorar e, em seguida, **periodicamente** **verificar** esses arquivos para possíveis **mudanças** (no conteúdo, atributo, metadados, etc.).

-1\. **Comparação de linha de base**, em que um ou mais atributos de arquivo serão capturados ou calculados e armazenados como uma linha de base que pode ser comparada no futuro. Isso pode ser tão simples quanto a hora e a data do arquivo, no entanto, como esses dados podem ser facilmente falsificados, uma abordagem mais confiável é geralmente usada. Isso pode incluir avaliar periodicamente o checksum criptográfico para um arquivo monitorado (por exemplo, usando o algoritmo de hash MD5 ou SHA-2) e, em seguida, comparar o resultado com o checksum calculado anteriormente.
+1\. **Comparação de linha de base,** onde um ou mais atributos de arquivo serão capturados ou calculados e armazenados como uma linha de base que pode ser comparada no futuro. Isso pode ser tão simples quanto a data e hora do arquivo, no entanto, como esses dados podem ser facilmente falsificados, uma abordagem mais confiável é normalmente usada. Isso pode incluir avaliar periodicamente o checksum criptográfico de um arquivo monitorado, (por exemplo, usando o algoritmo de hash MD5 ou SHA-2) e depois comparar o resultado com o checksum previamente calculado.

-2\. **Notificação de alteração em tempo real**, que é tipicamente implementada dentro ou como uma extensão do kernel do sistema operacional que sinalizará quando um arquivo for acessado ou modificado.
+2\. **Notificação de mudança em tempo real**, que é tipicamente implementada dentro ou como uma extensão do kernel do sistema operacional que sinalizará quando um arquivo é acessado ou modificado.

 ## Ferramentas

@ -26,16 +41,14 @@ O objetivo é gerar uma **linha de base de todos os arquivos** que você deseja

 <details>

-<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
+<summary><strong>Aprenda hacking no AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>

- Você trabalha em uma **empresa de segurança cibernética**? Você quer ver sua **empresa anunciada no HackTricks**? ou você quer ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
+Outras formas de apoiar o HackTricks:

- Descubra [**The PEASS Family**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
-
- Adquira o [**swag oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
-
- **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo do Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo do telegram**](https://t.me/peass) ou **siga-me** no **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
-
- **Compartilhe suas técnicas de hacking enviando PRs para o [repositório hacktricks](https://github.com/carlospolop/hacktricks) e [hacktricks-cloud repo](https://github.com/carlospolop/hacktricks-cloud)**.
+* Se você quer ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
+* Adquira o [**material oficial PEASS & HackTricks**](https://peass.creator-spring.com)
+* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
+* **Junte-se ao grupo** 💬 [**Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo do telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
+* **Compartilhe suas técnicas de hacking enviando PRs para os repositórios github** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).

 </details>
--- a/forensics/basic-forensic-methodology/partitions-file-systems-carving/ext.md
+++ b/forensics/basic-forensic-methodology/partitions-file-systems-carving/ext.md
@ -1,6 +1,21 @@
+<details>
+
+<summary><strong>Aprenda hacking no AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
+
+Outras formas de apoiar o HackTricks:
+
+* Se você quer ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
+* Adquira o [**material oficial PEASS & HackTricks**](https://peass.creator-spring.com)
+* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
+* **Junte-se ao grupo** 💬 [**Discord**](https://discord.gg/hRep4RUj7f) ou ao grupo [**telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
+* **Compartilhe suas técnicas de hacking enviando PRs para os repositórios github** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
+
+</details>
+
+
 # Ext - Sistema de Arquivos Estendido

-O **Ext2** é o sistema de arquivos mais comum para partições **sem journaling** (**partições que não mudam muito**) como a partição de inicialização. O **Ext3/4** são **com journaling** e são usados geralmente para as **outras partições**.
+**Ext2** é o sistema de arquivos mais comum para partições **sem journaling** (**partições que não mudam muito**), como a partição de boot. **Ext3/4** são **com journaling** e geralmente são usados para as **demais partições**.

 Todos os grupos de blocos no sistema de arquivos têm o mesmo tamanho e são armazenados sequencialmente. Isso permite que o kernel derive facilmente a localização de um grupo de blocos em um disco a partir de seu índice inteiro.

@ -8,34 +23,34 @@ Cada grupo de blocos contém as seguintes informações:

 * Uma cópia do superbloco do sistema de arquivos
 * Uma cópia dos descritores do grupo de blocos
-* Um mapa de bits de bloco de dados que é usado para identificar os blocos livres dentro do grupo
-* Um mapa de bits de inode, que é usado para identificar os inodes livres dentro do grupo
-* tabela de inode: consiste em uma série de blocos consecutivos, cada um dos quais contém um número predefinido de inodes da Figura 1 do Ext2. Todos os inodes têm o mesmo tamanho: 128 bytes. Um bloco de 1.024 bytes contém 8 inodes, enquanto um bloco de 4.096 bytes contém 32 inodes. Observe que no Ext2, não é necessário armazenar em disco um mapeamento entre um número de inode e o número de bloco correspondente porque o último valor pode ser derivado do número de grupo de blocos e da posição relativa dentro da tabela de inode. Por exemplo, suponha que cada grupo de blocos contenha 4.096 inodes e que desejamos saber o endereço no disco do inode 13.021. Nesse caso, o inode pertence ao terceiro grupo de blocos e seu endereço no disco é armazenado na 733ª entrada da tabela de inode correspondente. Como você pode ver, o número de inode é apenas uma chave usada pelas rotinas do Ext2 para recuperar rapidamente o descritor de inode apropriado no disco
-* blocos de dados, contendo arquivos. Qualquer bloco que não contenha nenhuma informação significativa é dito ser livre.
+* Um bitmap de blocos de dados que é usado para identificar os blocos livres dentro do grupo
+* Um bitmap de inodes, que é usado para identificar os inodes livres dentro do grupo
+* tabela de inodes: consiste em uma série de blocos consecutivos, cada um contendo um número predefinido de inodes. Todos os inodes têm o mesmo tamanho: 128 bytes. Um bloco de 1.024 bytes contém 8 inodes, enquanto um bloco de 4.096 bytes contém 32 inodes. Note que no Ext2, não é necessário armazenar em disco um mapeamento entre um número de inode e o número de bloco correspondente, pois o último valor pode ser derivado do número do grupo de blocos e da posição relativa dentro da tabela de inodes. Por exemplo, suponha que cada grupo de blocos contenha 4.096 inodes e que queremos saber o endereço no disco do inode 13.021. Neste caso, o inode pertence ao terceiro grupo de blocos e seu endereço no disco está armazenado na 733ª entrada da tabela de inodes correspondente. Como você pode ver, o número do inode é apenas uma chave usada pelas rotinas do Ext2 para recuperar rapidamente o descritor de inode apropriado no disco
+* blocos de dados, contendo arquivos. Qualquer bloco que não contenha informações significativas é considerado livre.

 ![](<../../../.gitbook/assets/image (406).png>)

 ## Recursos Opcionais do Ext

-Os **recursos afetam onde** os dados estão localizados, **como** os dados são armazenados em inodes e alguns deles podem fornecer **metadados adicionais** para análise, portanto, os recursos são importantes no Ext.
+**Recursos afetam onde** os dados estão localizados, **como** os dados são armazenados nos inodes e alguns deles podem fornecer **metadados adicionais** para análise, portanto, os recursos são importantes no Ext.

-O Ext tem recursos opcionais que seu sistema operacional pode ou não suportar, existem 3 possibilidades:
+Ext possui recursos opcionais que seu sistema operacional pode ou não suportar, existem 3 possibilidades:

 * Compatível
 * Incompatível
-* Compatível somente leitura: pode ser montado, mas não para gravação
+* Compatível Apenas Leitura: Pode ser montado, mas não para escrita

-Se houver **recursos incompatíveis**, você não poderá montar o sistema de arquivos, pois o sistema operacional não saberá como acessar os dados.
+Se houver recursos **incompatíveis**, você não poderá montar o sistema de arquivos, pois o sistema operacional não saberá como acessar os dados.

 {% hint style="info" %}
 Um atacante suspeito pode ter extensões não padrão
 {% endhint %}

-**Qualquer utilitário** que leia o **superbloco** poderá indicar os **recursos** de um **sistema de arquivos Ext**, mas você também pode usar `file -sL /dev/sd*`
+**Qualquer utilitário** que leia o **superbloco** será capaz de indicar os **recursos** de um **sistema de arquivos Ext**, mas você também pode usar `file -sL /dev/sd*`

 ## Superbloco

-O superbloco é os primeiros 1024 bytes do início e é repetido no primeiro bloco de cada grupo e contém:
+O superbloco é os primeiros 1024 bytes a partir do início e é repetido no primeiro bloco de cada grupo e contém:

 * Tamanho do bloco
 * Total de blocos
@ -44,8 +59,8 @@ O superbloco é os primeiros 1024 bytes do início e é repetido no primeiro blo
 * Total de inodes
 * Inodes por grupo de blocos
 * Nome do volume
-* Última hora de gravação
-* Última hora de montagem
+* Última vez de escrita
+* Última vez de montagem
 * Caminho onde o sistema de arquivos foi montado pela última vez
 * Status do sistema de arquivos (limpo?)

@ -54,88 +69,88 @@ O superbloco é os primeiros 1024 bytes do início e é repetido no primeiro blo
 fsstat -o <offsetstart> /pat/to/filesystem-file.ext
 #You can get the <offsetstart> with the "p" command inside fdisk
 ```
-Você também pode usar a aplicação GUI gratuita: [https://www.disk-editor.org/index.html](https://www.disk-editor.org/index.html)\
+Você também pode usar o aplicativo GUI gratuito: [https://www.disk-editor.org/index.html](https://www.disk-editor.org/index.html)\
 Ou você também pode usar **python** para obter informações do superbloco: [https://pypi.org/project/superblock/](https://pypi.org/project/superblock/)

 ## inodes

-Os **inodes** contêm a lista de **blocos** que **contêm** os dados reais de um **arquivo**.\
-Se o arquivo for grande, um inode **pode conter ponteiros** para **outros inodes** que apontam para os blocos/mais inodes que contêm os dados do arquivo.
+Os **inodes** contêm a lista de **blocos** que **contêm** os **dados** reais de um **arquivo**.\
+Se o arquivo for grande, um inode **pode conter ponteiros** para **outros inodes** que apontam para os blocos/mais inodes contendo os dados do arquivo.

 ![](<../../../.gitbook/assets/image (416).png>)

-Nos sistemas de arquivos **Ext2** e **Ext3**, os inodes têm tamanho de **128B**, o **Ext4** atualmente usa **156B**, mas aloca **256B** no disco para permitir uma expansão futura.
+Em **Ext2** e **Ext3**, os inodes têm tamanho de **128B**, **Ext4** atualmente usa **156B**, mas aloca **256B** em disco para permitir uma futura expansão.

 Estrutura do inode:

-| Offset | Tamanho | Nome              | Descrição                                       |
-| ------ | ------- | ----------------- | ----------------------------------------------- |
-| 0x0    | 2       | Modo do arquivo   | Modo e tipo de arquivo                          |
-| 0x2    | 2       | UID               | 16 bits inferiores do ID do proprietário         |
-| 0x4    | 4       | Tamanho Il        | 32 bits inferiores do tamanho do arquivo         |
-| 0x8    | 4       | Atime             | Hora de acesso em segundos desde a época         |
-| 0xC    | 4       | Ctime             | Hora de alteração em segundos desde a época      |
-| 0x10   | 4       | Mtime             | Hora de modificação em segundos desde a época    |
-| 0x14   | 4       | Dtime             | Hora de exclusão em segundos desde a época       |
-| 0x18   | 2       | GID               | 16 bits inferiores do ID do grupo                |
-| 0x1A   | 2       | Contagem de links | Contagem de links rígidos                        |
-| 0xC    | 4       | Blocos Io         | 32 bits inferiores da contagem de blocos         |
-| 0x20   | 4       | Flags             | Sinalizadores                                    |
-| 0x24   | 4       | União osd1        | Linux: versão I                                  |
-| 0x28   | 69      | Bloco\[15]        | 15 pontos para bloco de dados                    |
-| 0x64   | 4       | Versão            | Versão do arquivo para NFS                       |
-| 0x68   | 4       | Arquivo ACL baixo | 32 bits inferiores de atributos estendidos (ACL, etc.) |
-| 0x6C   | 4       | Tamanho do arquivo hi | 32 bits superiores do tamanho do arquivo (somente ext4) |
-| 0x70   | 4       | Fragmento obsoleto | Um endereço de fragmento obsoleto                |
-| 0x74   | 12      | Osd 2             | Segunda união dependente do sistema operacional  |
-| 0x74   | 2       | Blocos hi         | 16 bits superiores da contagem de blocos         |
-| 0x76   | 2       | Arquivo ACL hi    | 16 bits superiores de atributos estendidos (ACL, etc.) |
-| 0x78   | 2       | UID hi            | 16 bits superiores do ID do proprietário         |
-| 0x7A   | 2       | GID hi            | 16 bits superiores do ID do grupo                |
-| 0x7C   | 2       | Checksum Io       | 16 bits inferiores do checksum do inode          |
+| Offset | Size | Name              | DescriptionF                                     |
+| ------ | ---- | ----------------- | ------------------------------------------------ |
+| 0x0    | 2    | Modo do Arquivo   | Modo e tipo do arquivo                           |
+| 0x2    | 2    | UID               | 16 bits inferiores do ID do proprietário         |
+| 0x4    | 4    | Tamanho Il        | 32 bits inferiores do tamanho do arquivo         |
+| 0x8    | 4    | Atime             | Tempo de acesso em segundos desde a época        |
+| 0xC    | 4    | Ctime             | Tempo de alteração em segundos desde a época     |
+| 0x10   | 4    | Mtime             | Tempo de modificação em segundos desde a época   |
+| 0x14   | 4    | Dtime             | Tempo de exclusão em segundos desde a época      |
+| 0x18   | 2    | GID               | 16 bits inferiores do ID do grupo                |
+| 0x1A   | 2    | Contagem de Hlink | Contagem de links físicos                        |
+| 0xC    | 4    | Blocos Io         | 32 bits inferiores da contagem de blocos         |
+| 0x20   | 4    | Flags             | Bandeiras                                        |
+| 0x24   | 4    | União osd1        | Linux: Versão I                                  |
+| 0x28   | 69   | Bloco\[15]        | 15 pontos para bloco de dados                    |
+| 0x64   | 4    | Versão            | Versão do arquivo para NFS                       |
+| 0x68   | 4    | ACL do arquivo baixo | 32 bits inferiores dos atributos estendidos (ACL, etc) |
+| 0x6C   | 4    | Tamanho do arquivo alto | 32 bits superiores do tamanho do arquivo (somente ext4) |
+| 0x70   | 4    | Fragmento obsoleto | Endereço de fragmento obsoleto                   |
+| 0x74   | 12   | Osd 2             | Segunda união dependente do sistema operacional  |
+| 0x74   | 2    | Blocos alto       | 16 bits superiores da contagem de blocos         |
+| 0x76   | 2    | ACL do arquivo alto | 16 bits superiores dos atributos estendidos (ACL, etc.) |
+| 0x78   | 2    | UID alto          | 16 bits superiores do ID do proprietário         |
+| 0x7A   | 2    | GID alto          | 16 bits superiores do ID do grupo                |
+| 0x7C   | 2    | Checksum Io       | 16 bits inferiores do checksum do inode          |

-"Modificar" é o carimbo de data/hora da última vez que o _conteúdo_ do arquivo foi modificado. Isso é frequentemente chamado de "_mtime_".\
-"Mudança" é o carimbo de data/hora da última vez que o _inode_ do arquivo foi alterado, como ao alterar permissões, propriedade, nome do arquivo e o número de links rígidos. É frequentemente chamado de "_ctime_".
+"Modify" é o carimbo de data/hora da última vez que o _conteúdo_ do arquivo foi modificado. Isso é frequentemente chamado de "_mtime_".\
+"Change" é o carimbo de data/hora da última vez que o _inode_ do arquivo foi alterado, como ao mudar permissões, propriedade, nome do arquivo e o número de links físicos. É frequentemente chamado de "_ctime_".

-Estrutura do inode estendido (Ext4):
+Estrutura estendida do inode (Ext4):

-| Offset | Tamanho | Nome         | Descrição                                         |
-| ------ | ------- | ------------ | ------------------------------------------------- |
-| 0x80   | 2       | Tamanho extra | Quantos bytes além dos 128 padrão são usados      |
-| 0x82   | 2       | Checksum hi  | 16 bits superiores do checksum do inode           |
-| 0x84   | 4       | Ctime extra  | Bits extras de hora de alteração                  |
-| 0x88   | 4       | Mtime extra  | Bits extras de hora de modificação                |
-| 0x8C   | 4       | Atime extra  | Bits extras de hora de acesso                     |
-| 0x90   | 4       | Crtime       | Hora de criação do arquivo (segundos desde a época) |
-| 0x94   | 4       | Crtime extra | Bits extras de hora de criação                    |
-| 0x98   | 4       | Versão hi    | 32 bits superiores da versão                      |
-| 0x9C   |         | Não utilizado | Espaço reservado para futuras expansões           |
+| Offset | Size | Name         | Description                                 |
+| ------ | ---- | ------------ | ------------------------------------------- |
+| 0x80   | 2    | Tamanho extra | Quantos bytes além do padrão de 128 são usados |
+| 0x82   | 2    | Checksum alto | 16 bits superiores do checksum do inode     |
+| 0x84   | 4    | Ctime extra  | Bits extras do tempo de alteração           |
+| 0x88   | 4    | Mtime extra  | Bits extras do tempo de modificação         |
+| 0x8C   | 4    | Atime extra  | Bits extras do tempo de acesso              |
+| 0x90   | 4    | Crtime       | Tempo de criação do arquivo (segundos desde a época) |
+| 0x94   | 4    | Crtime extra | Bits extras do tempo de criação do arquivo  |
+| 0x98   | 4    | Versão alto  | 32 bits superiores da versão                |
+| 0x9C   |      | Não usado    | Espaço reservado para futuras expansões     |

 Inodes especiais:

-| Inode | Finalidade especial                                  |
+| Inode | Propósito Especial                                   |
 | ----- | ---------------------------------------------------- |
-| 0     | Nenhum inode, a numeração começa em 1                |
-| 1     | Lista de blocos defeituosos                           |
+| 0     | Não existe tal inode, a numeração começa em 1        |
+| 1     | Lista de blocos defeituosos                          |
 | 2     | Diretório raiz                                       |
-| 3     | Cotas de usuário                                     |
-| 4     | Cotas de grupo                                       |
+| 3     | Cotas de usuários                                    |
+| 4     | Cotas de grupos                                      |
 | 5     | Carregador de inicialização                          |
-| 6     | Diretório de recuperação excluído                     |
+| 6     | Diretório de recuperação de arquivos excluídos       |
 | 7     | Descritores de grupo reservados (para redimensionar o sistema de arquivos) |
-| 8     | Diário                                               |
-| 9     | Excluir inode (para snapshots)                       |
-| 10    | Réplica de inode                                     |
-| 11    | Primeiro inode não reservado (geralmente lost + found) |
+| 8     | Jornal                                               |
+| 9     | Inode de exclusão (para snapshots)                   |
+| 10    | Inode de réplica                                     |
+| 11    | Primeiro inode não reservado (geralmente perdido + encontrado) |

 {% hint style="info" %}
-Observe que o tempo de criação só aparece no Ext4.
+Note que o tempo de criação só aparece no Ext4.
 {% endhint %}

-Ao saber o número do inode, você pode facilmente encontrar seu índice:
+Conhecendo o número do inode, você pode facilmente encontrar seu índice:

-* **Grupo de blocos** onde um inode pertence: (Número do inode - 1) / (Inodes por grupo)
-* **Índice dentro do grupo**: (Número do inode - 1) mod (Inodes/grupos)
+* **Grupo de blocos** a que um inode pertence: (Número do inode - 1) / (Inodes por grupo)
+* **Índice dentro do seu grupo**: (Número do inode - 1) mod(Inodes por grupo)
 * **Deslocamento** na **tabela de inodes**: Número do inode \* (Tamanho do inode)
 * O "-1" é porque o inode 0 é indefinido (não usado)
 ```bash
@ -146,26 +161,26 @@ icat -o <start offset> /path/to/image.ext 657103 #Cat the file
 ```
 Modo de Arquivo

-| Número | Descrição                                                                                           |
+| Número | Descrição                                                                                         |
 | ------ | --------------------------------------------------------------------------------------------------- |
 | **15** | **Reg/Slink-13/Socket-14**                                                                          |
-| **14** | **Diretório/Bit de Bloco 13**                                                                       |
-| **13** | **Dispositivo de Caractere/Bit de Bloco 14**                                                       |
+| **14** | **Diretório/Bloco Bit 13**                                                                          |
+| **13** | **Dispositivo Char/Bloco Bit 14**                                                                        |
 | **12** | **FIFO**                                                                                            |
 | 11     | Set UID                                                                                             |
 | 10     | Set GID                                                                                             |
-| 9      | Bit Pegajoso (sem ele, qualquer pessoa com permissões de escrita e execução em um diretório pode excluir e renomear arquivos) |
-| 8      | Leitura do Proprietário                                                                             |
-| 7      | Escrita do Proprietário                                                                             |
-| 6      | Execução do Proprietário                                                                            |
-| 5      | Leitura do Grupo                                                                                    |
-| 4      | Escrita do Grupo                                                                                    |
-| 3      | Execução do Grupo                                                                                   |
-| 2      | Leitura de Outros                                                                                    |
-| 1      | Escrita de Outros                                                                                    |
-| 0      | Execução de Outros                                                                                   |
+| 9      | Sticky Bit (sem ele, qualquer um com permissões de Escrita & exec em um diretório pode deletar e renomear arquivos)  |
+| 8      | Leitura do Proprietário                                                                                          |
+| 7      | Escrita do Proprietário                                                                                         |
+| 6      | Execução do Proprietário                                                                                          |
+| 5      | Leitura do Grupo                                                                                          |
+| 4      | Escrita do Grupo                                                                                         |
+| 3      | Execução do Grupo                                                                                          |
+| 2      | Leitura de Outros                                                                                         |
+| 1      | Escrita de Outros                                                                                        |
+| 0      | Execução de Outros                                                                                         |

-Os bits em negrito (12, 13, 14, 15) indicam o tipo de arquivo que o arquivo é (um diretório, um socket...) apenas uma das opções em negrito pode existir.
+Os bits em negrito (12, 13, 14, 15) indicam o tipo de arquivo (um diretório, socket...) apenas uma das opções em negrito pode existir.

 Diretórios

@ -174,10 +189,10 @@ Diretórios
 | 0x0    | 4       | Inode     |                                                                                                                                                              |
 | 0x4    | 2       | Rec len   | Comprimento do registro                                                                                                                                                |
 | 0x6    | 1       | Name len  | Comprimento do nome                                                                                                                                                  |
-| 0x7    | 1       | Tipo de Arquivo | <p>0x00 Desconhecido<br>0x01 Regular</p><p>0x02 Diretório</p><p>0x03 Dispositivo de Caractere</p><p>0x04 Dispositivo de Bloco</p><p>0x05 FIFO</p><p>0x06 Socket</p><p>0x07 Link Simbólico</p> |
-| 0x8    |         | Nome      | String de nome (até 255 caracteres)                                                                                                                           |
+| 0x7    | 1       | File type | <p>0x00 Desconhecido<br>0x01 Regular</p><p>0x02 Diretório</p><p>0x03 Dispositivo Char</p><p>0x04 Dispositivo de Bloco</p><p>0x05 FIFO</p><p>0x06 Socket</p><p>0x07 Link Simbólico</p> |
+| 0x8    |         | Nome      | String do nome (até 255 caracteres)                                                                                                                           |

-**Para aumentar o desempenho, blocos de diretório de hash raiz podem ser usados.**
+**Para aumentar o desempenho, blocos de diretório Root hash podem ser usados.**

 **Atributos Estendidos**

@ -186,44 +201,42 @@ Podem ser armazenados em
 * Espaço extra entre inodes (256 - tamanho do inode, geralmente = 100)
 * Um bloco de dados apontado por file\_acl no inode

-Podem ser usados para armazenar qualquer coisa como um atributo do usuário se o nome começar com "user". Dessa forma, os dados podem ser ocultados.
+Podem ser usados para armazenar qualquer coisa como um atributo do usuário se o nome começar com "user". Assim, dados podem ser ocultados dessa forma.

 Entradas de Atributos Estendidos

 | Offset | Tamanho | Nome         | Descrição                                                                                                                                                                                                        |
 | ------ | ------- | ------------ | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------ |
-| 0x0    | 1       | Comprimento do Nome     | Comprimento do nome do atributo                                                                                                                                                                                           |
-| 0x1    | 1       | Índice do Nome   | <p>0x0 = sem prefixo</p><p>0x1 = prefixo user.</p><p>0x2 = system.posix_acl_access</p><p>0x3 = system.posix_acl_default</p><p>0x4 = trusted.</p><p>0x6 = security.</p><p>0x7 = system.</p><p>0x8 = system.richacl</p> |
-| 0x2    | 2       | Offset do Valor   | Deslocamento do primeiro inode ou início do bloco                                                                                                                                                                    |
-| 0x4    | 4       | Blocos de Valor | Bloco de disco onde o valor é armazenado ou zero para este bloco                                                                                                                                                               |
-| 0x8    | 4       | Tamanho do Valor   | Comprimento do valor                                                                                                                                                                                                    |
+| 0x0    | 1       | Name len     | Comprimento do nome do atributo                                                                                                                                                                                           |
+| 0x1    | 1       | Name index   | <p>0x0 = sem prefixo</p><p>0x1 = prefixo user.</p><p>0x2 = system.posix_acl_access</p><p>0x3 = system.posix_acl_default</p><p>0x4 = trusted.</p><p>0x6 = security.</p><p>0x7 = system.</p><p>0x8 = system.richacl</p> |
+| 0x2    | 2       | Value offs   | Offset a partir da primeira entrada do inode ou início do bloco                                                                                                                                                                    |
+| 0x4    | 4       | Value blocks | Bloco de disco onde o valor está armazenado ou zero para este bloco                                                                                                                                                               |
+| 0x8    | 4       | Value size   | Comprimento do valor                                                                                                                                                                                                    |
 | 0xC    | 4       | Hash         | Hash para atributos no bloco ou zero se no inode                                                                                                                                                                      |
-| 0x10   |         | Nome         | Nome do atributo sem NULL no final                                                                                                                                                                                   |
+| 0x10   |         | Nome         | Nome do atributo sem NULL final                                                                                                                                                                                   |
 ```bash
 setfattr -n 'user.secret' -v 'This is a secret' file.txt #Save a secret using extended attributes
 getfattr file.txt #Get extended attribute names of a file
 getdattr -n 'user.secret' file.txt #Get extended attribute called "user.secret"
 ```
-## Visualização do sistema de arquivos
+## Visão do Sistema de Arquivos

 Para ver o conteúdo do sistema de arquivos, você pode **usar a ferramenta gratuita**: [https://www.disk-editor.org/index.html](https://www.disk-editor.org/index.html)\
-Ou você pode montá-lo em seu linux usando o comando `mount`.
+Ou você pode montá-lo no seu Linux usando o comando `mount`.

-[https://piazza.com/class\_profile/get\_resource/il71xfllx3l16f/inz4wsb2m0w2oz#:\~:text=The%20Ext2%20file%20system%20divides,lower%20average%20disk%20seek%20time.](https://piazza.com/class\_profile/get\_resource/il71xfllx3l16f/inz4wsb2m0w2oz#:\~:text=O%20sistema%20de%20arquivos%20Ext2%20divide,o%20tempo%20médio%20de%20busca%20no%20disco.) 
+[https://piazza.com/class\_profile/get\_resource/il71xfllx3l16f/inz4wsb2m0w2oz#:\~:text=The%20Ext2%20file%20system%20divides,lower%20average%20disk%20seek%20time.](https://piazza.com/class\_profile/get\_resource/il71xfllx3l16f/inz4wsb2m0w2oz#:\~:text=The%20Ext2%20file%20system%20divides,lower%20average%20disk%20seek%20time.)


 <details>

-<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
+<summary><strong>Aprenda hacking no AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>

- Você trabalha em uma **empresa de segurança cibernética**? Você quer ver sua **empresa anunciada no HackTricks**? ou você quer ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
+Outras formas de apoiar o HackTricks:

- Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
-
- Adquira o [**swag oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
-
- **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo do Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo do telegram**](https://t.me/peass) ou **siga-me** no **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
-
- **Compartilhe suas técnicas de hacking enviando PRs para o [repositório hacktricks](https://github.com/carlospolop/hacktricks) e [hacktricks-cloud repo](https://github.com/carlospolop/hacktricks-cloud)**.
+* Se você quer ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
+* Adquira o [**merchandising oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
+* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
+* **Junte-se ao grupo** 💬 [**Discord**](https://discord.gg/hRep4RUj7f) ou ao grupo [**telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
+* **Compartilhe suas técnicas de hacking enviando PRs para os repositórios do GitHub** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).

 </details>
--- a/forensics/basic-forensic-methodology/partitions-file-systems-carving/file-data-carving-recovery-tools.md
+++ b/forensics/basic-forensic-methodology/partitions-file-systems-carving/file-data-carving-recovery-tools.md
@ -1,39 +1,37 @@
 <details>

-<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
+<summary><strong>Aprenda hacking no AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>

- Você trabalha em uma **empresa de segurança cibernética**? Você quer ver sua **empresa anunciada no HackTricks**? ou você quer ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Verifique os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
+Outras formas de apoiar o HackTricks:

- Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
-
- Adquira o [**swag oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
-
- **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-me** no **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
-
- **Compartilhe seus truques de hacking enviando PRs para o [repositório hacktricks](https://github.com/carlospolop/hacktricks) e [repositório hacktricks-cloud](https://github.com/carlospolop/hacktricks-cloud)**.
+* Se você quer ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
+* Adquira o [**material oficial PEASS & HackTricks**](https://peass.creator-spring.com)
+* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
+* **Junte-se ao grupo** 💬 [**Discord**](https://discord.gg/hRep4RUj7f) ou ao grupo [**telegram**](https://t.me/peass) ou **siga**-me no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
+* **Compartilhe suas técnicas de hacking enviando PRs para os repositórios do** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) no github.

 </details>

 <figure><img src="/.gitbook/assets/image (675).png" alt=""><figcaption></figcaption></figure>

-Encontre as vulnerabilidades que mais importam para que você possa corrigi-las mais rapidamente. O Intruder rastreia sua superfície de ataque, executa varreduras proativas de ameaças, encontra problemas em toda a sua pilha de tecnologia, desde APIs até aplicativos da web e sistemas em nuvem. [**Experimente gratuitamente**](https://www.intruder.io/?utm\_source=referral\&utm\_campaign=hacktricks) hoje.
+Encontre vulnerabilidades que importam mais para que você possa corrigi-las mais rapidamente. Intruder rastreia sua superfície de ataque, executa varreduras proativas de ameaças, encontra problemas em toda a sua pilha tecnológica, de APIs a aplicativos web e sistemas em nuvem. [**Experimente gratuitamente**](https://www.intruder.io/?utm\_source=referral\&utm\_campaign=hacktricks) hoje.

 {% embed url="https://www.intruder.io/?utm_campaign=hacktricks&utm_source=referral" %}

 ***

-# Ferramentas de Carving e Recuperação
+# Ferramentas de Carving & Recuperação

 Mais ferramentas em [https://github.com/Claudio-C/awesome-datarecovery](https://github.com/Claudio-C/awesome-datarecovery)

 ## Autopsy

-A ferramenta mais comum usada em forense para extrair arquivos de imagens é o [**Autopsy**](https://www.autopsy.com/download/). Baixe-o, instale-o e faça com que ele ingira o arquivo para encontrar arquivos "ocultos". Note que o Autopsy é projetado para suportar imagens de disco e outros tipos de imagens, mas não arquivos simples.
+A ferramenta mais comum usada em forense para extrair arquivos de imagens é o [**Autopsy**](https://www.autopsy.com/download/). Baixe-o, instale-o e faça-o processar o arquivo para encontrar arquivos "ocultos". Note que o Autopsy é construído para suportar imagens de disco e outros tipos de imagens, mas não arquivos simples.

 ## Binwalk <a href="#binwalk" id="binwalk"></a>

-**Binwalk** é uma ferramenta para buscar arquivos binários como imagens e arquivos de áudio para encontrar arquivos e dados embutidos.\
-Pode ser instalado com `apt`, no entanto, a [fonte](https://github.com/ReFirmLabs/binwalk) pode ser encontrada no github.\
+**Binwalk** é uma ferramenta para pesquisar arquivos binários como imagens e arquivos de áudio em busca de arquivos e dados embutidos.\
+Pode ser instalado com `apt`, no entanto, o [código-fonte](https://github.com/ReFirmLabs/binwalk) pode ser encontrado no github.\
 **Comandos úteis**:
 ```bash
 sudo apt install binwalk #Insllation
@ -43,7 +41,7 @@ binwalk --dd ".*" file #Displays and extracts all files from the given file
 ```
 ## Foremost

-Outra ferramenta comum para encontrar arquivos ocultos é o **foremost**. Você pode encontrar o arquivo de configuração do foremost em `/etc/foremost.conf`. Se você apenas deseja procurar por alguns arquivos específicos, descomente-os. Se você não descomentar nada, o foremost procurará pelos tipos de arquivo configurados por padrão.
+Outra ferramenta comum para encontrar arquivos ocultos é o **foremost**. Você pode encontrar o arquivo de configuração do foremost em `/etc/foremost.conf`. Se você deseja procurar apenas por alguns arquivos específicos, descomente-os. Se você não descomentar nada, o foremost procurará pelos tipos de arquivos configurados por padrão.
 ```bash
 sudo apt-get install foremost
 foremost -v -i file.img -o output
@ -51,77 +49,76 @@ foremost -v -i file.img -o output
 ```
 ## **Scalpel**

-**Scalpel** é outra ferramenta que pode ser usada para encontrar e extrair **arquivos embutidos em um arquivo**. Nesse caso, você precisará descomentar no arquivo de configuração (_/etc/scalpel/scalpel.conf_) os tipos de arquivo que deseja extrair.
+**Scalpel** é outra ferramenta que pode ser usada para encontrar e extrair **arquivos embutidos em um arquivo**. Neste caso, será necessário descomentar do arquivo de configuração (_/etc/scalpel/scalpel.conf_) os tipos de arquivo que deseja que ela extraia.
 ```bash
 sudo apt-get install scalpel
 scalpel file.img -o output
 ```
 ## Bulk Extractor

-Esta ferramenta está incluída no kali, mas você pode encontrá-la aqui: [https://github.com/simsong/bulk\_extractor](https://github.com/simsong/bulk\_extractor)
+Esta ferramenta está incluída no Kali, mas você pode encontrá-la aqui: [https://github.com/simsong/bulk\_extractor](https://github.com/simsong/bulk\_extractor)

 Esta ferramenta pode escanear uma imagem e irá **extrair pcaps** dentro dela, **informações de rede (URLs, domínios, IPs, MACs, e-mails)** e mais **arquivos**. Você só precisa fazer:
 ```
 bulk_extractor memory.img -o out_folder
 ```
-Navegue por **todas as informações** que a ferramenta coletou (senhas?), **analise** os **pacotes** (leia [**Análise de Pcaps**](../pcap-inspection/)), procure por **domínios estranhos** (domínios relacionados a **malware** ou **inexistentes**).
+Navegue por **todas as informações** que a ferramenta coletou (senhas?), **analise** os **pacotes** (leia[ **Análise de Pcaps**](../pcap-inspection/)), procure por **domínios estranhos** (domínios relacionados a **malware** ou **inexistentes**).

 ## PhotoRec

 Você pode encontrá-lo em [https://www.cgsecurity.org/wiki/TestDisk\_Download](https://www.cgsecurity.org/wiki/TestDisk\_Download)

-Ele vem com versões GUI e CLI. Você pode selecionar os **tipos de arquivo** que deseja que o PhotoRec procure.
+Vem com versões GUI e CLI. Você pode selecionar os **tipos de arquivo** que deseja que o PhotoRec procure.

 ![](<../../../.gitbook/assets/image (524).png>)

 ## binvis

-Verifique o [código](https://code.google.com/archive/p/binvis/) e a [página da web da ferramenta](https://binvis.io/#/).
+Confira o [código](https://code.google.com/archive/p/binvis/) e a [ferramenta de página web](https://binvis.io/#/).

-### Recursos do BinVis
+### Características do BinVis

-* Visualizador de **estrutura** visual e ativo
+* Visualizador de estrutura **ativo e visual**
 * Múltiplos gráficos para diferentes pontos de foco
-* Foco em partes de uma amostra
-* **Visualização de strings e recursos**, em executáveis PE ou ELF, por exemplo
-* Obtenção de **padrões** para criptoanálise de arquivos
-* **Identificação** de esteganografia por padrões
-* **Comparação visual** de binários
+* Foco em porções de uma amostra
+* **Visualização de strings e recursos**, em executáveis PE ou ELF, por exemplo.
+* Obtenção de **padrões** para criptoanálise em arquivos
+* **Detecção** de algoritmos de empacotamento ou codificação
+* **Identificação** de Esteganografia por padrões
+* **Diferenciação binária visual**

-O BinVis é um ótimo **ponto de partida para se familiarizar com um alvo desconhecido** em um cenário de caixa-preta.
+BinVis é um ótimo **ponto de partida para se familiarizar com um alvo desconhecido** em um cenário de caixa-preta.

-# Ferramentas Específicas de Recuperação de Dados
+# Ferramentas Específicas para Carving de Dados

 ## FindAES

-Procura por chaves AES pesquisando em seus agendamentos de chaves. Capaz de encontrar chaves de 128, 192 e 256 bits, como as usadas pelo TrueCrypt e BitLocker.
+Procura por chaves AES buscando seus agendamentos de chave. Capaz de encontrar chaves de 128, 192 e 256 bits, como as usadas por TrueCrypt e BitLocker.

-Faça o download [aqui](https://sourceforge.net/projects/findaes/).
+Baixe [aqui](https://sourceforge.net/projects/findaes/).

 # Ferramentas Complementares

-Você pode usar o [**viu**](https://github.com/atanunq/viu) para ver imagens no terminal.\
+Você pode usar [**viu**](https://github.com/atanunq/viu) para ver imagens a partir do terminal.\
 Você pode usar a ferramenta de linha de comando do Linux **pdftotext** para transformar um PDF em texto e lê-lo.


 <figure><img src="/.gitbook/assets/image (675).png" alt=""><figcaption></figcaption></figure>

-Encontre as vulnerabilidades que mais importam para que você possa corrigi-las mais rapidamente. O Intruder rastreia sua superfície de ataque, executa varreduras proativas de ameaças, encontra problemas em toda a sua pilha de tecnologia, desde APIs até aplicativos da web e sistemas em nuvem. [**Experimente gratuitamente**](https://www.intruder.io/?utm\_source=referral\&utm\_campaign=hacktricks) hoje.
+Encontre vulnerabilidades que importam mais para que você possa corrigi-las mais rapidamente. Intruder rastreia sua superfície de ataque, executa varreduras proativas de ameaças, encontra problemas em toda a sua pilha de tecnologia, de APIs a aplicativos web e sistemas em nuvem. [**Experimente gratuitamente**](https://www.intruder.io/?utm\_source=referral\&utm\_campaign=hacktricks) hoje.

 {% embed url="https://www.intruder.io/?utm_campaign=hacktricks&utm_source=referral" %}

 <details>

-<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
+<summary><strong>Aprenda hacking no AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>

- Você trabalha em uma **empresa de cibersegurança**? Você quer ver sua **empresa anunciada no HackTricks**? ou você quer ter acesso à **versão mais recente do PEASS ou baixar o HackTricks em PDF**? Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
+Outras maneiras de apoiar o HackTricks:

- Descubra [**The PEASS Family**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
-
- Adquira o [**swag oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
-
- **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-me** no **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
-
- **Compartilhe seus truques de hacking enviando PRs para o [repositório hacktricks](https://github.com/carlospolop/hacktricks) e [repositório hacktricks-cloud](https://github.com/carlospolop/hacktricks-cloud)**.
+* Se você quiser ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
+* Adquira o [**merchandising oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
+* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
+* **Junte-se ao grupo** 💬 [**Discord**](https://discord.gg/hRep4RUj7f) ou ao grupo [**telegram**](https://t.me/peass) ou **siga**-me no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
+* **Compartilhe suas dicas de hacking enviando PRs para os repositórios do GitHub** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).

 </details>
--- a/forensics/basic-forensic-methodology/partitions-file-systems-carving/file-data-carving-tools.md
+++ b/forensics/basic-forensic-methodology/partitions-file-systems-carving/file-data-carving-tools.md
@ -1,16 +1,14 @@
 <details>

-<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
+<summary><strong>Aprenda hacking no AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>

- Você trabalha em uma **empresa de segurança cibernética**? Você quer ver sua **empresa anunciada no HackTricks**? ou você quer ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
+Outras formas de apoiar o HackTricks:

- Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
-
- Adquira o [**swag oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
-
- **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo do Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo do telegram**](https://t.me/peass) ou **siga-me** no **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
-
- **Compartilhe suas técnicas de hacking enviando PRs para o [repositório hacktricks](https://github.com/carlospolop/hacktricks) e [hacktricks-cloud repo](https://github.com/carlospolop/hacktricks-cloud)**.
+* Se você quer ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
+* Adquira o [**material oficial PEASS & HackTricks**](https://peass.creator-spring.com)
+* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
+* **Junte-se ao grupo** 💬 [**Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo do telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
+* **Compartilhe suas técnicas de hacking enviando PRs para os repositórios github do** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).

 </details>

@ -19,12 +17,12 @@

 ## Autopsy

-A ferramenta mais comum usada em forense para extrair arquivos de imagens é o [**Autopsy**](https://www.autopsy.com/download/). Baixe-o, instale-o e faça com que ele ingira o arquivo para encontrar arquivos "ocultos". Note que o Autopsy é construído para suportar imagens de disco e outros tipos de imagens, mas não arquivos simples.
+A ferramenta mais comum usada em forense para extrair arquivos de imagens é o [**Autopsy**](https://www.autopsy.com/download/). Baixe-o, instale-o e faça-o processar o arquivo para encontrar arquivos "ocultos". Note que o Autopsy é construído para suportar imagens de disco e outros tipos de imagens, mas não arquivos simples.

 ## Binwalk <a id="binwalk"></a>

-**Binwalk** é uma ferramenta para procurar arquivos binários como imagens e arquivos de áudio para arquivos e dados incorporados.  
-Ele pode ser instalado com `apt`, no entanto, a [fonte](https://github.com/ReFirmLabs/binwalk) pode ser encontrada no github.  
+**Binwalk** é uma ferramenta para procurar arquivos binários como imagens e arquivos de áudio em busca de arquivos e dados embutidos.
+Pode ser instalado com `apt`, no entanto, o [código-fonte](https://github.com/ReFirmLabs/binwalk) pode ser encontrado no github.
 **Comandos úteis**:
 ```bash
 sudo apt install binwalk #Insllation
@ -34,7 +32,7 @@ binwalk --dd ".*" file #Displays and extracts all files from the given file
 ```
 ## Foremost

-Outra ferramenta comum para encontrar arquivos ocultos é o **foremost**. Você pode encontrar o arquivo de configuração do foremost em `/etc/foremost.conf`. Se você quiser procurar apenas por alguns arquivos específicos, descomente-os. Se você não descomentar nada, o foremost procurará pelos tipos de arquivo configurados por padrão.
+Outra ferramenta comum para encontrar arquivos ocultos é o **foremost**. Você pode encontrar o arquivo de configuração do foremost em `/etc/foremost.conf`. Se você deseja procurar apenas por alguns arquivos específicos, descomente-os. Se você não descomentar nada, o foremost procurará pelos tipos de arquivos configurados por padrão.
 ```bash
 sudo apt-get install foremost
 foremost -v -i file.img -o output
@ -42,16 +40,16 @@ foremost -v -i file.img -o output
 ```
 ## **Scalpel**

-**Scalpel** é outra ferramenta que pode ser usada para encontrar e extrair **arquivos embutidos em um arquivo**. Neste caso, você precisará descomentar no arquivo de configuração (_/etc/scalpel/scalpel.conf_) os tipos de arquivos que deseja extrair.
+**Scalpel** é outra ferramenta que pode ser usada para encontrar e extrair **arquivos embutidos em um arquivo**. Neste caso, você precisará descomentar do arquivo de configuração \(_/etc/scalpel/scalpel.conf_\) os tipos de arquivo que deseja extrair.
 ```bash
 sudo apt-get install scalpel
 scalpel file.img -o output
 ```
 ## Bulk Extractor

-Esta ferramenta vem incluída no kali, mas você também pode encontrá-la aqui: [https://github.com/simsong/bulk\_extractor](https://github.com/simsong/bulk_extractor)
+Esta ferramenta está inclusa no Kali, mas você pode encontrá-la aqui: [https://github.com/simsong/bulk\_extractor](https://github.com/simsong/bulk_extractor)

-Esta ferramenta pode escanear uma imagem e **extrair pcaps** dentro dela, **informações de rede \(URLs, domínios, IPs, MACs, e-mails\)** e mais **arquivos**. Você só precisa fazer:
+Esta ferramenta pode escanear uma imagem e irá **extrair pcaps** dentro dela, **informações de rede \(URLs, domínios, IPs, MACs, e-mails\)** e mais **arquivos**. Você só precisa fazer:
 ```text
 bulk_extractor memory.img -o out_folder
 ```
@ -61,37 +59,35 @@ Navegue por **todas as informações** que a ferramenta coletou \(senhas?\), **a

 Você pode encontrá-lo em [https://www.cgsecurity.org/wiki/TestDisk\_Download](https://www.cgsecurity.org/wiki/TestDisk_Download)

-Ele vem com uma versão GUI e CLI. Você pode selecionar os **tipos de arquivos** que deseja que o PhotoRec pesquise.
+Ele vem com versão GUI e CLI. Você pode selecionar os **tipos de arquivo** que deseja que o PhotoRec procure.

 ![](../../../.gitbook/assets/image%20%28524%29.png)

-# Ferramentas Específicas de Carving de Dados
+# Ferramentas Específicas para Carving de Dados

 ## FindAES

-Procura por chaves AES pesquisando suas agendas de chaves. Capaz de encontrar chaves de 128, 192 e 256 bits, como as usadas pelo TrueCrypt e BitLocker.
+Procura por chaves AES buscando seus agendamentos de chave. Capaz de encontrar chaves de 128, 192 e 256 bits, como as usadas por TrueCrypt e BitLocker.

 Baixe [aqui](https://sourceforge.net/projects/findaes/).

 # Ferramentas Complementares

-Você pode usar o [**viu** ](https://github.com/atanunq/viu)para ver imagens no terminal.  
-Você pode usar a ferramenta de linha de comando do linux **pdftotext** para transformar um pdf em texto e lê-lo.
+Você pode usar [**viu**](https://github.com/atanunq/viu) para ver imagens do terminal.
+Você pode usar a ferramenta de linha de comando do Linux **pdftotext** para transformar um PDF em texto e lê-lo.



 <details>

-<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
+<summary><strong>Aprenda hacking no AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>

- Você trabalha em uma **empresa de segurança cibernética**? Você quer ver sua **empresa anunciada no HackTricks**? ou você quer ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
+Outras formas de apoiar o HackTricks:

- Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
-
- Adquira o [**swag oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
-
- **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo do Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo do telegram**](https://t.me/peass) ou **siga-me** no **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
-
- **Compartilhe suas técnicas de hacking enviando PRs para o [repositório hacktricks](https://github.com/carlospolop/hacktricks) e [hacktricks-cloud repo](https://github.com/carlospolop/hacktricks-cloud)**.
+* Se você quer ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF** Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
+* Adquira o [**merchandising oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
+* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
+* **Junte-se ao grupo** 💬 [**Discord**](https://discord.gg/hRep4RUj7f) ou ao grupo [**telegram**](https://t.me/peass) ou **siga**-me no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
+* **Compartilhe suas técnicas de hacking enviando PRs para os repositórios do** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) no github.

 </details>
--- a/forensics/basic-forensic-methodology/pcap-inspection/dnscat-exfiltration.md
+++ b/forensics/basic-forensic-methodology/pcap-inspection/dnscat-exfiltration.md
@ -1,16 +1,14 @@
 <details>

-<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
+<summary><strong>Aprenda hacking no AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>

- Você trabalha em uma **empresa de cibersegurança**? Quer ver sua **empresa anunciada no HackTricks**? ou quer ter acesso à **versão mais recente do PEASS ou baixar o HackTricks em PDF**? Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
+Outras formas de apoiar o HackTricks:

- Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
-
- Adquira o [**material oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
-
- **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo do Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo do telegram**](https://t.me/peass) ou **siga**-me no **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
-
- **Compartilhe suas técnicas de hacking enviando PRs para o [repositório hacktricks](https://github.com/carlospolop/hacktricks) e [repositório hacktricks-cloud](https://github.com/carlospolop/hacktricks-cloud)**.
+* Se você quer ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
+* Adquira o [**material oficial PEASS & HackTricks**](https://peass.creator-spring.com)
+* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
+* **Participe do grupo** 💬 [**Discord**](https://discord.gg/hRep4RUj7f) ou do grupo [**telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
+* **Compartilhe suas técnicas de hacking enviando PRs para os repositórios do GitHub** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).

 </details>

@ -45,16 +43,14 @@ python3 dnscat_decoder.py sample.pcap bad_domain
 ```
 <details>

-<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
+<summary><strong>Aprenda hacking no AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>

- Você trabalha em uma **empresa de cibersegurança**? Quer ver sua **empresa anunciada no HackTricks**? ou quer ter acesso à **versão mais recente do PEASS ou baixar o HackTricks em PDF**? Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
+Outras formas de apoiar o HackTricks:

- Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
-
- Adquira o [**material oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
-
- **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo do Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo do telegram**](https://t.me/peass) ou **siga-me** no **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
-
- **Compartilhe seus truques de hacking enviando PRs para o [repositório hacktricks](https://github.com/carlospolop/hacktricks) e [repositório hacktricks-cloud](https://github.com/carlospolop/hacktricks-cloud)**.
+* Se você quer ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
+* Adquira o [**material oficial PEASS & HackTricks**](https://peass.creator-spring.com)
+* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
+* **Junte-se ao grupo** 💬 [**Discord**](https://discord.gg/hRep4RUj7f) ou ao grupo [**telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
+* **Compartilhe suas técnicas de hacking enviando PRs para os repositórios do** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) no github.

 </details>
--- a/forensics/basic-forensic-methodology/pcap-inspection/usb-keyboard-pcap-analysis.md
+++ b/forensics/basic-forensic-methodology/pcap-inspection/usb-keyboard-pcap-analysis.md
@ -1,28 +1,41 @@
-Se você tiver um arquivo pcap de uma conexão USB com muitas interrupções, provavelmente é uma conexão de teclado USB.
+<details>
+
+<summary><strong>Aprenda hacking no AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
+
+Outras formas de apoiar o HackTricks:
+
+* Se você quer ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
+* Adquira o [**material oficial PEASS & HackTricks**](https://peass.creator-spring.com)
+* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
+* **Junte-se ao grupo** 💬 [**Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo do telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
+* **Compartilhe suas técnicas de hacking enviando PRs para os repositórios github** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
+
+</details>
+
+
+Se você tem um pcap de uma conexão USB com muitas Interrupções, provavelmente é uma conexão de Teclado USB.

 Um filtro do wireshark como este pode ser útil: `usb.transfer_type == 0x01 and frame.len == 35 and !(usb.capdata == 00:00:00:00:00:00:00:00)`

-Pode ser importante saber que os dados que começam com "02" são pressionados usando a tecla shift.
+Pode ser importante saber que os dados que começam com "02" são pressionados usando shift.

 Você pode ler mais informações e encontrar alguns scripts sobre como analisar isso em:

 * [https://medium.com/@ali.bawazeeer/kaizen-ctf-2018-reverse-engineer-usb-keystrok-from-pcap-file-2412351679f4](https://medium.com/@ali.bawazeeer/kaizen-ctf-2018-reverse-engineer-usb-keystrok-from-pcap-file-2412351679f4)
-* [https://github.com/tanc7/HacktheBox\_Deadly\_Arthropod\_Writeup](https://github.com/tanc7/HacktheBox_Deadly_Arthropod_Writeup)
+* [https://github.com/tanc7/HacktheBox_Deadly_Arthropod_Writeup](https://github.com/tanc7/HacktheBox_Deadly_Arthropod_Writeup)



 <details>

-<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
+<summary><strong>Aprenda hacking no AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>

- Você trabalha em uma **empresa de segurança cibernética**? Você quer ver sua **empresa anunciada no HackTricks**? ou você quer ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
+Outras formas de apoiar o HackTricks:

- Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
-
- Adquira o [**swag oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
-
- **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) **grupo do Discord** ou ao [**grupo do telegram**](https://t.me/peass) ou **siga-me** no **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
-
- **Compartilhe suas técnicas de hacking enviando PRs para o [repositório hacktricks](https://github.com/carlospolop/hacktricks) e [hacktricks-cloud repo](https://github.com/carlospolop/hacktricks-cloud)**.
+* Se você quer ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
+* Adquira o [**material oficial PEASS & HackTricks**](https://peass.creator-spring.com)
+* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
+* **Junte-se ao grupo** 💬 [**Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo do telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
+* **Compartilhe suas técnicas de hacking enviando PRs para os repositórios github** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).

 </details>
--- a/forensics/basic-forensic-methodology/pcap-inspection/usb-keystrokes.md
+++ b/forensics/basic-forensic-methodology/pcap-inspection/usb-keystrokes.md
@ -1,4 +1,19 @@
-Se você tiver um arquivo pcap contendo a comunicação via USB de um teclado como o seguinte:
+<details>
+
+<summary><strong>Aprenda hacking no AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
+
+Outras formas de apoiar o HackTricks:
+
+* Se você quer ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
+* Adquira o [**material oficial PEASS & HackTricks**](https://peass.creator-spring.com)
+* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
+* **Participe do grupo** 💬 [**Discord**](https://discord.gg/hRep4RUj7f) ou do grupo [**telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
+* **Compartilhe suas técnicas de hacking enviando PRs para os repositórios github** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
+
+</details>
+
+
+Se você tem um pcap contendo a comunicação via USB de um teclado como o seguinte:

 ![](<../../../.gitbook/assets/image (613).png>)

@ -7,7 +22,7 @@ Você pode usar a ferramenta [**ctf-usb-keyboard-parser**](https://github.com/ca
 tshark -r ./usb.pcap -Y 'usb.capdata && usb.data_len == 8' -T fields -e usb.capdata | sed 's/../:&/g2' > keystrokes.txt
 python3 usbkeyboard.py ./keystrokes.txt
 ```
-Você pode encontrar mais informações e alguns scripts sobre como analisar isso em:
+Você pode ler mais informações e encontrar alguns scripts sobre como analisar isso em:

 * [https://medium.com/@ali.bawazeeer/kaizen-ctf-2018-reverse-engineer-usb-keystrok-from-pcap-file-2412351679f4](https://medium.com/@ali.bawazeeer/kaizen-ctf-2018-reverse-engineer-usb-keystrok-from-pcap-file-2412351679f4)
 * [https://github.com/tanc7/HacktheBox_Deadly_Arthropod_Writeup](https://github.com/tanc7/HacktheBox_Deadly_Arthropod_Writeup)
@ -15,16 +30,14 @@ Você pode encontrar mais informações e alguns scripts sobre como analisar iss

 <details>

-<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
+<summary><strong>Aprenda hacking em AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>

- Você trabalha em uma **empresa de segurança cibernética**? Você quer ver sua **empresa anunciada no HackTricks**? ou você quer ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
+Outras formas de apoiar o HackTricks:

- Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
-
- Adquira o [**swag oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
-
- **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo do Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo do telegram**](https://t.me/peass) ou **siga-me** no **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
-
- **Compartilhe seus truques de hacking enviando PRs para o [repositório hacktricks](https://github.com/carlospolop/hacktricks) e [hacktricks-cloud repo](https://github.com/carlospolop/hacktricks-cloud)**.
+* Se você quer ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
+* Adquira o [**merchandising oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
+* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
+* **Junte-se ao grupo** 💬 [**Discord**](https://discord.gg/hRep4RUj7f) ou ao grupo [**telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
+* **Compartilhe suas técnicas de hacking enviando PRs para os repositórios do github** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).

 </details>
--- a/forensics/basic-forensic-methodology/pcap-inspection/wifi-pcap-analysis.md
+++ b/forensics/basic-forensic-methodology/pcap-inspection/wifi-pcap-analysis.md
@ -1,16 +1,14 @@
 <details>

-<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
+<summary><strong>Aprenda hacking no AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>

- Você trabalha em uma **empresa de segurança cibernética**? Você quer ver sua **empresa anunciada no HackTricks**? ou você quer ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
+Outras formas de apoiar o HackTricks:

- Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
-
- Adquira o [**swag oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
-
- **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo do Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo do telegram**](https://t.me/peass) ou **siga-me** no **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
-
- **Compartilhe suas técnicas de hacking enviando PRs para o [repositório hacktricks](https://github.com/carlospolop/hacktricks) e [hacktricks-cloud repo](https://github.com/carlospolop/hacktricks-cloud)**.
+* Se você quer ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
+* Adquira o [**material oficial PEASS & HackTricks**](https://peass.creator-spring.com)
+* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
+* **Junte-se ao grupo** 💬 [**Discord**](https://discord.gg/hRep4RUj7f) ou ao grupo [**telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
+* **Compartilhe suas técnicas de hacking enviando PRs para os repositórios github do** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).

 </details>

@ -25,23 +23,25 @@ Quando você recebe uma captura cujo tráfego principal é Wifi usando o WireSha

 ## Força Bruta

-Uma das colunas dessa tela indica se **alguma autenticação foi encontrada dentro do pcap**. Se for esse o caso, você pode tentar força bruta usando `aircrack-ng`:
+Uma das colunas dessa tela indica se **alguma autenticação foi encontrada dentro do pcap**. Se esse for o caso, você pode tentar forçar a entrada usando `aircrack-ng`:
 ```bash
 aircrack-ng -w pwds-file.txt -b <BSSID> file.pcap
 ```
+Por exemplo, ele recuperará a frase-senha WPA protegendo um PSK (pre shared-key), que será necessária para descriptografar o tráfego mais tarde.
+
 # Dados em Beacons / Canal Lateral

-Se você suspeita que **dados estão sendo vazados dentro dos beacons de uma rede Wifi**, você pode verificar os beacons da rede usando um filtro como o seguinte: `wlan contém <NOMEdaREDE>`, ou `wlan.ssid == "NOMEdaREDE"` e procurar por strings suspeitas nos pacotes filtrados.
+Se você suspeita que **dados estão sendo vazados dentro de beacons de uma rede Wifi**, você pode verificar os beacons da rede usando um filtro como o seguinte: `wlan contains <NAMEofNETWORK>`, ou `wlan.ssid == "NAMEofNETWORK"` procure dentro dos pacotes filtrados por strings suspeitas.

-# Encontrar Endereços MAC Desconhecidos em uma Rede Wifi
+# Encontrar Endereços MAC Desconhecidos em Uma Rede Wifi

-O seguinte link será útil para encontrar as **máquinas que enviam dados dentro de uma rede Wifi**:
+O seguinte link será útil para encontrar as **máquinas enviando dados dentro de uma Rede Wifi**:

 * `((wlan.ta == e8:de:27:16:70:c9) && !(wlan.fc == 0x8000)) && !(wlan.fc.type_subtype == 0x0005) && !(wlan.fc.type_subtype ==0x0004) && !(wlan.addr==ff:ff:ff:ff:ff:ff) && wlan.fc.type==2`

-Se você já conhece os **endereços MAC, pode removê-los da saída** adicionando verificações como esta: `&& !(wlan.addr==5c:51:88:31:a0:3b)`
+Se você já conhece **endereços MAC, você pode removê-los da saída** adicionando verificações como esta: `&& !(wlan.addr==5c:51:88:31:a0:3b)`

-Depois de detectar **endereços MAC desconhecidos** comunicando-se dentro da rede, você pode usar **filtros** como o seguinte: `wlan.addr==<endereço MAC> && (ftp || http || ssh || telnet)` para filtrar seu tráfego. Note que os filtros ftp/http/ssh/telnet são úteis se você tiver descriptografado o tráfego.
+Uma vez que você tenha detectado endereços **MAC desconhecidos** comunicando dentro da rede, você pode usar **filtros** como o seguinte: `wlan.addr==<MAC address> && (ftp || http || ssh || telnet)` para filtrar o tráfego dele. Note que filtros ftp/http/ssh/telnet são úteis se você descriptografou o tráfego.

 # Descriptografar Tráfego

@ -49,22 +49,16 @@ Editar --> Preferências --> Protocolos --> IEEE 802.11--> Editar

 ![](<../../../.gitbook/assets/image (426).png>)

-
-
-
-
 <details>

-<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
+<summary><strong>Aprenda hacking AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>

- Você trabalha em uma **empresa de segurança cibernética**? Você quer ver sua **empresa anunciada no HackTricks**? ou você quer ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Verifique os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
+Outras maneiras de apoiar o HackTricks:

- Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
-
- Adquira o [**swag oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
-
- **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-me** no **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
-
- **Compartilhe suas técnicas de hacking enviando PRs para o [repositório hacktricks](https://github.com/carlospolop/hacktricks) e [hacktricks-cloud repo](https://github.com/carlospolop/hacktricks-cloud)**.
+* Se você quer ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF** Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
+* Adquira o [**merchandising oficial PEASS & HackTricks**](https://peass.creator-spring.com)
+* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
+* **Junte-se ao grupo** 💬 [**Discord**](https://discord.gg/hRep4RUj7f) ou ao grupo [**telegram**](https://t.me/peass) ou **siga**-me no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
+* **Compartilhe suas técnicas de hacking enviando PRs para os repositórios github** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).

 </details>
--- a/forensics/basic-forensic-methodology/specific-software-file-type-tricks/README.md
+++ b/forensics/basic-forensic-methodology/specific-software-file-type-tricks/README.md
@ -1,4 +1,19 @@
-Aqui você pode encontrar truques interessantes para tipos de arquivos e/ou softwares específicos:
+<details>
+
+<summary><strong>Aprenda hacking no AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
+
+Outras formas de apoiar o HackTricks:
+
+* Se você quer ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, verifique os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
+* Adquira o [**material oficial PEASS & HackTricks**](https://peass.creator-spring.com)
+* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
+* **Junte-se ao grupo do** 💬 [**Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo do telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
+* **Compartilhe suas técnicas de hacking enviando PRs para os repositórios github do** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
+
+</details>
+
+
+Aqui você pode encontrar truques interessantes para tipos de arquivos específicos e/ou softwares:

 {% page-ref page=".pyc.md" %}

@ -24,16 +39,14 @@ Aqui você pode encontrar truques interessantes para tipos de arquivos e/ou soft

 <details>

-<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
+<summary><strong>Aprenda hacking no AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>

- Você trabalha em uma **empresa de segurança cibernética**? Você quer ver sua **empresa anunciada no HackTricks**? ou você quer ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
+Outras formas de apoiar o HackTricks:

- Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
-
- Adquira o [**swag oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
-
- **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo do Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo do telegram**](https://t.me/peass) ou **siga-me no** **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
-
- **Compartilhe seus truques de hacking enviando PRs para o [repositório hacktricks](https://github.com/carlospolop/hacktricks) e [hacktricks-cloud repo](https://github.com/carlospolop/hacktricks-cloud)**.
+* Se você quer ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, verifique os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
+* Adquira o [**material oficial PEASS & HackTricks**](https://peass.creator-spring.com)
+* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
+* **Junte-se ao grupo do** 💬 [**Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo do telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
+* **Compartilhe suas técnicas de hacking enviando PRs para os repositórios github do** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).

 </details>
--- a/forensics/basic-forensic-methodology/specific-software-file-type-tricks/desofuscation-vbs-cscript.exe.md
+++ b/forensics/basic-forensic-methodology/specific-software-file-type-tricks/desofuscation-vbs-cscript.exe.md
@ -1,3 +1,18 @@
+<details>
+
+<summary><strong>Aprenda hacking no AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
+
+Outras formas de apoiar o HackTricks:
+
+* Se você quer ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
+* Adquira o [**material oficial PEASS & HackTricks**](https://peass.creator-spring.com)
+* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
+* **Participe do grupo** 💬 [**Discord**](https://discord.gg/hRep4RUj7f) ou do grupo [**telegram**](https://t.me/peass) ou **siga**-me no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
+* **Compartilhe suas técnicas de hacking enviando PRs para os repositórios github** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
+
+</details>
+
+
 Algumas coisas que podem ser úteis para depurar/desofuscar um arquivo VBS malicioso:

 ## echo
@ -16,39 +31,37 @@ cscript.exe file.vbs
 ```aspnet
 Function writeBinary(strBinary, strPath)

-    Dim oFSO: Set oFSO = CreateObject("Scripting.FileSystemObject")
+Dim oFSO: Set oFSO = CreateObject("Scripting.FileSystemObject")

-    ' below lines purpose: checks that write access is possible!
-    Dim oTxtStream
+' below lines purpose: checks that write access is possible!
+Dim oTxtStream

-    On Error Resume Next
-    Set oTxtStream = oFSO.createTextFile(strPath)
+On Error Resume Next
+Set oTxtStream = oFSO.createTextFile(strPath)

-    If Err.number <> 0 Then MsgBox(Err.message) : Exit Function
-    On Error GoTo 0
+If Err.number <> 0 Then MsgBox(Err.message) : Exit Function
+On Error GoTo 0

-    Set oTxtStream = Nothing
-    ' end check of write access
+Set oTxtStream = Nothing
+' end check of write access

-    With oFSO.createTextFile(strPath)
-        .Write(strBinary)
-        .Close
-    End With
+With oFSO.createTextFile(strPath)
+.Write(strBinary)
+.Close
+End With

 End Function
 ```
 <details>

-<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
+<summary><strong>Aprenda hacking no AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>

- Você trabalha em uma **empresa de segurança cibernética**? Você quer ver sua **empresa anunciada no HackTricks**? ou você quer ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
+Outras formas de apoiar o HackTricks:

- Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
-
- Adquira o [**swag oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
-
- **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo do Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo do telegram**](https://t.me/peass) ou **siga-me** no **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
-
- **Compartilhe seus truques de hacking enviando PRs para o [repositório hacktricks](https://github.com/carlospolop/hacktricks) e [hacktricks-cloud repo](https://github.com/carlospolop/hacktricks-cloud)**.
+* Se você quer ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
+* Adquira o [**material oficial PEASS & HackTricks**](https://peass.creator-spring.com)
+* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
+* **Junte-se ao grupo** 💬 [**Discord**](https://discord.gg/hRep4RUj7f) ou ao grupo [**telegram**](https://t.me/peass) ou **siga**-me no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
+* **Compartilhe suas técnicas de hacking enviando PRs para os repositórios github** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).

 </details>
--- a/forensics/basic-forensic-methodology/specific-software-file-type-tricks/png-tricks.md
+++ b/forensics/basic-forensic-methodology/specific-software-file-type-tricks/png-tricks.md
@ -1,3 +1,34 @@
-Arquivos PNG, em particular, são populares em desafios CTF, provavelmente por sua compressão sem perda de dados adequada para ocultar dados não visuais na imagem. Arquivos PNG podem ser dissecados no Wireshark. Para verificar a correção ou tentar reparar PNGs corrompidos, você pode usar o [pngcheck](http://libpng.org/pub/png/apps/pngcheck.html).
+<details>

-Você pode tentar reparar PNGs corrompidos usando ferramentas online como [https://online.officerecovery.com/pixrecovery/](https://online.officerecovery.com/pixrecovery/).
+<summary><strong>Aprenda hacking no AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
+
+Outras formas de apoiar o HackTricks:
+
+* Se você quer ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
+* Adquira o [**material oficial PEASS & HackTricks**](https://peass.creator-spring.com)
+* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
+* **Junte-se ao grupo** 💬 [**Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo do telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
+* **Compartilhe suas técnicas de hacking enviando PRs para os repositórios github do** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
+
+</details>
+
+
+Arquivos PNG, em particular, são populares em desafios de CTF, provavelmente por sua compressão sem perdas adequada para esconder dados não visuais na imagem. Arquivos PNG podem ser dissecados no Wireshark. Para verificar a correção ou tentar reparar PNGs corrompidos você pode usar [pngcheck](http://libpng.org/pub/png/apps/pngcheck.html)
+
+Você pode tentar reparar PNGs corrompidos usando ferramentas online como [https://online.officerecovery.com/pixrecovery/](https://online.officerecovery.com/pixrecovery/)
+
+
+
+<details>
+
+<summary><strong>Aprenda hacking no AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
+
+Outras formas de apoiar o HackTricks:
+
+* Se você quer ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
+* Adquira o [**material oficial PEASS & HackTricks**](https://peass.creator-spring.com)
+* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
+* **Junte-se ao grupo** 💬 [**Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo do telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
+* **Compartilhe suas técnicas de hacking enviando PRs para os repositórios github do** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
+
+</details>