Escolar Documentos
Profissional Documentos
Cultura Documentos
MT
CE-Conselho
D FE
Digital Princípios Forenses
Machine Translated by Google
Objetivos do Módulo
Objetivos do Módulo
A aquisição de dados é a primeira etapa proativa no processo de investigação forense. A aquisição de dados
forenses não envolve apenas a cópia de arquivos de um dispositivo para outro. Por meio da aquisição de dados
forenses, os investigadores visam extrair cada bit de informação presente na memória e no armazenamento do
sistema da vítima, a fim de criar uma cópia forense dessas informações.
Além disso, essa cópia forense deve ser criada de forma que a integridade dos dados seja preservada de forma
verificável e possa ser usada como prova no tribunal. Este módulo discute os conceitos fundamentais de
aquisição de dados e as várias etapas envolvidas na metodologia de aquisição de dados.
Ao concluir este módulo, o aluno deverá ter cumprido os seguintes objetivos de aprendizagem:
Fluxo do módulo
01 03
Entenda os dados Determinar os dados
Fundamentos de Aquisição Formato de Aquisição
04
02 Entenda os dados
Discutir diferentes tipos Metodologia de Aquisição
de aquisição de dados
Esta seção discute conceitos fundamentais na aquisição de dados e elabora a aquisição ativa e inativa.
Dados
Aquisição
ÿ Aquisição de dados é o uso de métodos estabelecidos para extrair informações armazenadas eletronicamente (ESI) de suspeitos
computador ou mídia de armazenamento para obter informações sobre um crime ou incidente
ÿ Os investigadores devem ser capazes de verificar a precisão dos dados adquiridos e o processo completo deve ser auditável
e aceitável no tribunal
Aquisição de dados
A aquisição de dados forenses é um processo de geração de imagens ou coleta de informações usando métodos
estabelecidos de várias mídias de acordo com certos padrões para seu valor forense. É o uso de métodos
estabelecidos para extrair informações armazenadas eletronicamente (ESI) de computadores suspeitos ou mídias
de armazenamento para obter informações sobre um crime ou incidente. Com o avanço da tecnologia, o processo
de aquisição de dados está se tornando cada vez mais preciso, simples e versátil. No entanto, os investigadores
precisam garantir que a metodologia de aquisição usada seja forense. Especificamente, a metodologia de aquisição
adotada deve ser verificável e repetível. Isso aumenta a admissibilidade dos dados ou evidências adquiridos no
tribunal.
Um fator fundamental a considerar na aquisição de dados forenses é o tempo. Embora os dados em algumas
fontes, como discos rígidos, permaneçam inalterados e possam ser coletados mesmo após o desligamento do
sistema, os dados em algumas fontes, como a RAM, são altamente voláteis e dinâmicos e, portanto, devem ser
coletados em tempo real. A partir dessa perspectiva, a aquisição de dados pode ser categorizada como aquisição
de dados ao vivo ou aquisição de dados mortos.
Na aquisição de dados ao vivo, os dados são adquiridos de um computador que já está ligado (travado ou em modo
de hibernação). Isso permite a coleta de dados voláteis que são frágeis e perdidos quando o sistema perde energia
ou é desligado. Esses dados residem em registros, caches e RAM. Além disso, dados voláteis como os da RAM
são dinâmicos e mudam rapidamente e, portanto, devem ser coletados em tempo real. Na aquisição de dados
mortos ou estáticos, são coletados dados não voláteis que permanecem inalterados no sistema mesmo após o
desligamento. Os investigadores podem recuperar esses dados de discos rígidos, bem como de espaço livre,
arquivos de troca e espaço em disco não alocado. Outras fontes de dados não voláteis incluem CD-ROMs, pen
drives USB, smartphones e PDAs.
Em seguida, nos aprofundaremos em mais detalhes dessas duas categorias de aquisição de dados, juntamente
com as fontes de dados que elas capturam.
Aquisição ao Vivo
ÿ A aquisição de dados ao vivo envolve a coleta de dados voláteis de um sistema ativo ÿ As
informações voláteis ajudam a determinar a linha do tempo lógica do incidente de segurança e o possível
usuários responsáveis
ÿ A aquisição ao vivo pode então ser seguida pela aquisição estática/morta, onde um investigador desliga a máquina suspeita, remove
o disco rígido e então adquire sua imagem forense
ÿ Tempo de atividade atual do sistema ÿ Troque arquivos e arquivos temporários ÿ Conexões de rede
Aquisição ao Vivo
O processo de aquisição de dados ao vivo envolve a coleta de dados voláteis de dispositivos quando eles estão ativos
ou ligados. As informações voláteis, como as presentes no conteúdo da memória RAM, cache, DLLs, etc., são
dinâmicas e podem ser perdidas caso o dispositivo a ser investigado seja desligado. Portanto, deve ser adquirido em
tempo real. O exame de informações voláteis ajuda a determinar o cronograma lógico de um incidente de segurança e
os usuários que provavelmente serão responsáveis por ele.
A aquisição ao vivo pode então ser seguida pela aquisição estática/morta, onde o investigador desliga a máquina
suspeita, remove o disco rígido e então adquire sua imagem forense.
A aquisição de dados ao vivo pode ajudar os investigadores a obter informações, mesmo que os dados de valor
probatório sejam armazenados na nuvem usando um serviço como Dropbox ou Google Drive.
Os investigadores também podem adquirir dados de contêineres ou discos não criptografados que estão abertos no
sistema e são criptografados automaticamente quando o sistema é desligado. Se o suspeito tentou sobrescrever os
dados no disco rígido físico para evitar a detecção, existe a possibilidade de que os investigadores encontrem vestígios
desses dados sobrescritos examinando o conteúdo da RAM.
Dependendo da fonte de onde são obtidos, os dados voláteis são de dois tipos:
ÿ Dados do sistema
Informações do sistema são as informações relacionadas a um sistema, que podem servir como evidência
em um incidente de segurança. Essas informações incluem a configuração atual e o estado de execução do
computador suspeito. As informações voláteis do sistema incluem perfil do sistema (detalhes sobre
configuração), atividade de login, data e hora atuais do sistema, histórico de comandos, tempo de atividade
atual do sistema, processos em execução, arquivos abertos, arquivos de inicialização, dados da área de
transferência, usuários conectados, DLLs e bibliotecas compartilhadas. As informações do sistema também
incluem dados críticos armazenados nos espaços vazios da unidade de disco rígido.
ÿ Dados de rede
As informações de rede são as informações relacionadas à rede armazenadas no sistema suspeito e nos
dispositivos de rede conectados. As informações de rede voláteis incluem conexões e portas abertas,
informações de roteamento e configuração, cache ARP, arquivos compartilhados e serviços acessados.
Além dos dados acima, a aquisição ao vivo pode ajudar os investigadores a obter o seguinte.
ÿ Dados de contêineres ou discos não criptografados que estão abertos no sistema, que são
criptografado automaticamente quando o sistema é desligado
ÿ Histórico de navegação privada e dados de serviços de armazenamento remoto, como Dropbox (serviço de
nuvem), examinando a memória de acesso aleatório (RAM)
01 Registros e cache
07 Mídia de arquivo
https:// tools.ietf.org
Ordem de Volatilidade
Ao realizar a aquisição de dados ao vivo, os investigadores precisam coletar dados considerando sua volatilidade
potencial e o impacto da coleta no sistema suspeito. Como nem todos os dados têm o mesmo nível de volatilidade,
os investigadores devem coletar primeiro os dados mais voláteis e depois proceder à coleta dos dados menos
voláteis.
A ordem de volatilidade para um sistema de computação típico de acordo com as Diretrizes RFC 3227 para
A coleta e arquivamento de evidências é a seguinte:
3. Arquivos de sistema temporários: Arquivos de sistema temporários tendem a persistir por mais tempo no
computador em comparação com tabelas de roteamento e caches ARP. Esses sistemas são eventualmente
substituídos ou alterados, às vezes em segundos ou minutos depois.
4. Disco ou outra mídia de armazenamento: Qualquer coisa armazenada em um disco permanece por um
tempo. No entanto, às vezes, devido a imprevistos, esses dados podem ser apagados ou substituídos.
Portanto, os dados do disco também podem ser considerados um tanto voláteis, com uma vida útil de
alguns minutos.
6. Configuração física e topologia de rede: A configuração física e a topologia de rede são menos
voláteis e têm uma vida útil mais longa do que alguns outros logs
7. Mídia de arquivo: Um DVD-ROM, um CD-ROM ou uma fita contém os dados menos voláteis
porque as informações digitais não mudam nessas fontes de dados automaticamente, a menos
que sejam danificadas por força física
Aquisição morta
01 02 03
A aquisição morta é definida como a A aquisição morta geralmente envolve a Exemplos de dados estáticos: e-mails,
aquisição de dados de uma máquina aquisição de dados de dispositivos de documentos do Word, atividades na Web,
suspeita que está desligada armazenamento, como discos rígidos, DVD planilhas, espaço livre, espaço em disco
ROMs, unidades USB, cartões não alocado e vários arquivos excluídos
flash e smartphones
Aquisição morta
Dados estáticos referem-se a dados não voláteis, que não mudam de estado mesmo após o desligamento do sistema.
A aquisição morta refere-se ao processo de extração e coleta desses dados de maneira inalterada a partir da mídia de
armazenamento. As fontes de dados não voláteis incluem discos rígidos, DVD-ROMs, unidades USB, flashcards, smartphones
e discos rígidos externos. Esse tipo de dados existe na forma de e-mails, documentos de processamento de texto, atividades
na web, planilhas, espaço livre, arquivos de troca, espaço em disco não alocado e vários arquivos excluídos. Os investigadores
podem repetir o processo de aquisição de mortos em evidências de disco bem preservadas.
ÿ Registos do sistema
ÿ Registros de eventos/sistema
ÿ Setores de inicialização
ÿ Não trabalhe em evidências digitais ÿ Produzir duas ou mais cópias da mídia original
originais. Crie um fluxo de bits/ ÿ A primeira é a cópia de trabalho a ser
imagem lógica de uma unidade/
arquivo suspeito para funcionar usado para análise
sobre.
ÿ As outras cópias atuam como as
cópias de biblioteca/controle que são
armazenadas para fins de divulgação ou
no caso de a cópia de trabalho ser
corrompida
Uma regra prática é uma prática recomendada que ajuda a garantir um resultado favorável quando aplicada. No
caso de uma investigação forense digital, quanto melhor for a qualidade das evidências, melhor será o resultado da
análise e a probabilidade de solucionar o crime em geral.
Os investigadores nunca devem realizar uma investigação forense ou qualquer outro processo na evidência original
ou fonte de evidência, pois isso pode alterar os dados e tornar a evidência inadmissível no tribunal.
Em vez disso, os investigadores podem criar uma imagem de fluxo de bits duplicada de uma unidade ou arquivo
suspeito para visualizar os dados estáticos e analisá-los. Essa prática não apenas preserva a evidência original,
mas também oferece a opção de recriar uma duplicata se algo der errado.
ÿ A segunda cópia é a biblioteca/cópia de controle armazenada para fins de divulgação ou, para ser usada se
a cópia de trabalho for corrompida
Se os investigadores precisarem realizar imagens drive-to-drive, eles podem usar mídia em branco para copiar em
novas unidades embrulhadas.
Depois de duplicar a mídia original, os investigadores devem verificar a integridade das cópias comparando-as com
o original usando valores de hash como MD5.
Fluxo do módulo
01 03
Entenda os dados Determinar os dados
Fundamentos de Aquisição Formato de Aquisição
04
02 Entenda os dados
Discutir diferentes tipos Metodologia de Aquisição
de aquisição de dados
Arquivo de disco para imagem de fluxo de bits Fluxo de bits de disco para disco
ÿ É o método mais comum usado por investigadores forenses ÿ A cópia de disco para imagem não é possível em situações em que
ÿ Ferramentas utilizadas: ProDiscover, EnCase, FTK, The Sleuth Kit, X-Ways ÿ Para superar essa situação, os investigadores podem criar uma cópia de
Forense, etc fluxo de bits de disco para disco da mídia de destino
ÿ Aquisição Lógica
Em uma situação com restrições de tempo e onde o investigador está ciente de quais arquivos precisam ser
adquiridos, a aquisição lógica pode ser considerada ideal. A aquisição lógica reúne apenas os arquivos
necessários para a investigação do caso.
Por exemplo:
ÿ Aquisição Esparsa
A aquisição esparsa é semelhante à aquisição lógica. Por meio desse método, os investigadores podem
coletar fragmentos de dados não alocados (excluídos). Este método é útil quando não é necessário
inspecionar toda a unidade.
Uma imagem de fluxo de bits é uma cópia bit a bit de qualquer mídia de armazenamento que contém uma
cópia clonada de toda a mídia, incluindo todos os seus setores e clusters. Essa cópia clonada da mídia de
armazenamento contém todos os dados latentes que permitem aos investigadores recuperar arquivos e
pastas excluídos. Os investigadores costumam usar imagens de fluxo de bits da mídia suspeita para evitar
a contaminação da mídia original. Além disso, a maioria das ferramentas forenses de computador, como
FTK Imager e EnCase, pode ler imagens de fluxo de bits, o que facilita ainda mais o processo de
investigação. Existem dois tipos de procedimentos de geração de imagens de fluxo de bits — disco para
arquivo de imagem de fluxo de bits e disco para disco de fluxo de bits.
o Bit-stream disk-to-image-file
Investigadores forenses geralmente usam esse método de aquisição de dados. É um método flexível
que permite a criação de uma ou mais cópias da unidade suspeita. Ferramentas como ProDiscover,
EnCase, FTK, The Sleuth Kit, X-Ways Forensics, etc., podem ser usadas para criar arquivos de imagem.
Os investigadores não podem criar um arquivo de disco para imagem de fluxo de bits nas seguintes
situações:
Nesses casos, uma cópia de disco para disco de fluxo de bits do disco ou unidade original pode ser
executada. Ao criar uma cópia de disco para disco, a geometria do disco de destino, incluindo seu
cabeçote, cilindro e configuração de trilha, pode ser modificada para se alinhar com a unidade suspeita.
Isso resulta em um processo de aquisição de dados suave. Ferramentas como EnCase, SafeBack e
Tableau Forensic Imager podem ajudar a criar uma cópia de fluxo de bits de disco para disco da
unidade suspeita.
Fluxo do módulo
01 03
Entenda os dados Determinar os dados
Fundamentos de Aquisição Formato de Aquisição
04
02 Entenda os dados
Discutir diferentes tipos Metodologia de Aquisição
de aquisição de dados
Formato bruto ÿ O formato bruto cria uma cópia bit a bit da unidade suspeita. As imagens
neste formato geralmente são obtidas usando o comando dd .
Vantagens Desvantagens
Formato proprietário
ÿ Capacidade de dividir uma imagem em vários segmentos, a fim de ÿ Formato de arquivo de imagem criado por uma
salvá -los em mídias de destino menores, como CD/DVD, mantendo ferramenta pode não ser suportado por outra(s) ferramenta(s)
sua integridade
Determinar os dados
Formato de Aquisição
(continua)
ÿ Sem limitação de tamanho para arquivos de disco para imagem ÿ Design simples e personalizável
Perícia Forense Avançada ÿ Opção para compactar os arquivos de imagem ÿ Acessível por meio de várias plataformas de computação e
ÿ As extensões de arquivo incluem .afm para metadados AFF e .afd para arquivos de imagem segmentados
1 2 3
Redesenho e revisão de Tipos básicos de objetos Informações abstratas
AFF para gerenciar e usar grandes AFF4: volumes, fluxos e modelo que permite o armazenamento
quantidades de imagens de gráficos. de dados de imagem de disco em
disco, reduzindo o tempo de Eles são referenciados um ou mais locais enquanto as
aquisição e os requisitos de universalmente por meio de um informações sobre os dados são
4 5
Armazena mais tipos de Oferece modelo de dados unificado
O formato bruto cria uma cópia bit a bit da unidade suspeita. As imagens neste formato geralmente são
obtidas usando o comando dd .
Vantagens
Desvantagens
ÿ Ferramentas (principalmente de código aberto) podem não reconhecer/coletar setores marginais (ruins) de
a unidade suspeita
As ferramentas freeware têm um limite baixo de novas tentativas de leitura em pontos de mídia fracos em uma unidade, enquanto as
ferramentas de aquisição comercial usam mais tentativas para garantir que todos os dados sejam coletados
Formato proprietário
Ferramentas forenses comerciais adquirem dados da unidade suspeita e salvam os arquivos de imagem em seus próprios
formatos. Eles oferecem certos recursos que incluem o seguinte:
ÿ Opção para compactar os arquivos de imagem do disco/drive de provas para economizar espaço
a mídia de destino
ÿ Capacidade de dividir uma imagem em vários segmentos, a fim de salvá-los em mídias de destino menores, como CD/
DVD, mantendo sua integridade
ÿ Capacidade de incorporar metadados no arquivo de imagem, que inclui data e hora de aquisição, valores de hash
dos arquivos, detalhes do caso, etc.
Desvantagens
ÿ Formato de arquivo de imagem criado por uma ferramenta pode não ser suportado por outra(s) ferramenta(s)
AFF é um formato de aquisição de dados de código aberto que armazena imagens de disco e metadados relacionados.
O objetivo por trás do desenvolvimento do formato era criar um formato de imagem de disco aberto que fornecesse aos usuários
uma alternativa a um formato proprietário.
As extensões de arquivo AFF são .afm para metadados AFF e .afd para arquivos de imagem segmentados. Não há restrições de
implementação impostas pelo AFF aos investigadores forenses, pois é um formato de código aberto.
O AFF tem um design simples e é acessível por meio de várias plataformas de computação e sistemas operacionais. Ele fornece a
opção de compactar os arquivos de imagem e aloca espaço para gravar metadados dos arquivos de imagem ou arquivos
segmentados. Ele fornece verificações de consistência interna para auto-autenticação.
A imagem de disco real no AFF é um único arquivo, composto de segmentos com dados de unidade e metadados. O
conteúdo do arquivo AFF pode ser compactado e descompactado. O AFFv3 oferece suporte às extensões de arquivo AFF,
AFD e AFM.
Michael Cohen, Simson Garfinkel e Bradly Schatz criaram o Advanced Forensic Framework 4 (AFF4) como uma versão
redesenhada e renovada do formato AFF, projetado para suportar mídia de armazenamento com grandes capacidades. Os
criadores se referiram ao seu design como sendo orientado a objetos, pois o formato consiste em objetos genéricos
(volumes, fluxos e gráficos) com comportamento acessível externamente. Esses objetos podem ser endereçados por seus
nomes dentro do universo AFF4.
Eles são referenciados universalmente por meio de um URL exclusivo. É um modelo de informação abstrato que permite o
armazenamento de dados de imagem de disco em um ou mais locais, enquanto as informações sobre os dados são
armazenadas em outro lugar. Ele armazena mais tipos de informações organizadas no arquivo de evidências. Oferece
modelo de dados unificado e esquema de nomenclatura.
O formato pode suportar um grande número de imagens e oferece uma seleção de formatos de contêiner, como Zip e Zip64
para arquivos binários e diretórios simples. Ele também suporta armazenamento da rede e o uso de WebDAV (uma extensão
do protocolo HTTP) que permite a criação de imagens diretamente para um servidor HTTP central.
Esse formato também oferece suporte a mapas, que são transformações de dados de cópia zero. As transformações de
cópia zero poupam a CPU de ter que executar a tarefa de copiar dados de uma área de memória para outra, aumentando
assim sua eficiência.
Por exemplo, sem armazenar uma nova cópia de um arquivo esculpido (arquivo sendo extraído), apenas um mapa dos
blocos alocados para este arquivo pode ser armazenado. AFF4 suporta assinatura de imagem e criptografia.
Este formato também oferece transparência de imagem aos clientes.
O design AFF4 adota um esquema de identificadores exclusivos globalmente para identificar e referir-se a todas as
evidências. Os tipos básicos de objeto AFF4 incluem o seguinte:
ÿ Streams: São objetos de dados que podem auxiliar na leitura ou escrita, por exemplo,
segmentos, imagens e mapas
Fluxo do módulo
01 03
Entenda os dados Determinar os dados
Fundamentos de Aquisição Formato de Aquisição
04
02 Entenda os dados
Discutir diferentes tipos Metodologia de Aquisição
de aquisição de dados
Desligar o computador
Não
Determinar os dados
Remova o disco rígido
Método de Aquisição
Plano de contingência
A seguir estão as etapas envolvidas na metodologia de aquisição de dados forenses. Eles são discutidos detalhadamente
no restante desta seção.
ÿ Exemplo:
O método de aquisição de dados que deve ser adotado depende da situação que se apresenta ao investigador.
A seguir estão alguns fatores-chave que devem ser considerados na determinação do método de aquisição de
dados.
1. Tamanho da unidade suspeita: Se a unidade suspeita for grande, o investigador deve optar pela cópia
de disco para imagem. Além disso, se o tamanho do disco de destino for significativamente menor que
o da unidade suspeita, os investigadores precisam adotar métodos para reduzir o tamanho dos dados,
como os seguintes:
o Usando métodos de compactação que usam um algoritmo para reduzir o tamanho do arquivo. Ferramentas de
arquivamento como PKZip, WinZip e WinRAR podem ajudar a compactar arquivos.
o Teste de compactação sem perdas aplicando um hash MD5, SHA-2 ou SHA-3 em um arquivo antes e depois da
compactação. A compactação é bem-sucedida somente se os valores de hash corresponderem.
Em alguns casos, quando a unidade suspeita é muito grande, os investigadores forenses podem utilizar as seguintes
técnicas:
ÿ Use sistemas de backup de fita como Super Digital Linear Tape (SDLT) ou Áudio Digital
Armazenamento de dados digitais/fita (DAT/DDS)
ÿ Use SnapBack e SafeBack, que possuem drivers de software para gravar dados em uma fita
sistema de backup de uma unidade suspeita através do padrão PCI/SCSI
2. Tempo necessário para adquirir a imagem: O tempo necessário para aquisição de dados aumenta com o aumento do
tamanho das unidades suspeitas. Por exemplo, uma unidade suspeita de 1 TB pode exigir mais de 11 horas para a
conclusão do processo de aquisição de dados. Nesses casos, os investigadores precisam priorizar e adquirir apenas os
dados que são de valor probatório.
Ao adquirir apenas os dados necessários para a investigação, os investigadores podem reduzir o tempo e o esforço.
o Se o investigador não puder reter o impulso original, como em uma demanda de descoberta para um caso de litígio
civil, ele deve verificar se a aquisição lógica é aceitável em
tribunal.
o Se os investigadores puderem manter a unidade, eles devem criar uma cópia dela usando uma ferramenta de aquisição
de dados confiável, já que a maioria das demandas de descoberta fornece apenas uma oportunidade para capturar
dados.
É de suma importância escolher a ferramenta certa no processo de aquisição de dados forenses, e isso depende do
tipo de técnica de aquisição utilizada pelo investigador forense.
As ferramentas de imagem devem ser validadas e testadas para garantir que produzam resultados precisos e repetíveis.
Essas ferramentas devem atender a certos requisitos, alguns dos quais são obrigatórios (recursos e tarefas que a
ferramenta deve possuir ou executar), enquanto outros são opcionais (recursos que são desejáveis que a ferramenta
possua).
Requisitos obrigatórios
A seguir estão os requisitos obrigatórios para cada ferramenta usada para o processo de criação de imagens de disco:
ÿ A ferramenta deve registrar erros de E/S de forma acessível e legível, incluindo o tipo e localização do erro
ÿ A ferramenta deve ter a capacidade de passar pela revisão científica e por pares. Os resultados devem ser
repetível e verificável por terceiros, se necessário
ÿ A ferramenta deve adquirir completamente todos os setores de dados visíveis e ocultos do digital
fonte
ÿ A ferramenta deve criar uma cópia bit-stream do conteúdo original quando não houver erros
ao acessar a mídia de origem
ÿ A ferramenta deve criar uma cópia de fluxo de bits qualificada (uma cópia de fluxo de bits qualificada é definida como uma
duplicata, exceto em áreas identificadas do fluxo de bits) quando ocorrerem erros de E/S ao acessar a mídia de origem
ÿ A ferramenta deve copiar um arquivo somente quando o destino for maior ou igual ao tamanho da fonte, e documentar o
conteúdo no destino que não faz parte da cópia
ÿ A documentação da ferramenta deve estar correta, ou seja, o usuário deve obter os resultados esperados
executá-lo de acordo com os procedimentos documentados da ferramenta
Requisitos opcionais
A seguir estão os requisitos opcionais que são desejáveis para ferramentas usadas na geração de imagens de disco
processo:
ÿ A ferramenta deve calcular um valor de hash para a cópia completa do fluxo de bits gerada a partir de um arquivo de imagem
de origem, compará-lo com o valor de hash de origem calculado no momento da criação da imagem e exibir o resultado em
um arquivo de disco
ÿ A ferramenta deve dividir a cópia do fluxo de bits em blocos, calcular valores de hash para cada bloco, compará-los com o valor
de hash dos dados do bloco original calculado no momento da criação da imagem e exibir o resultado em um arquivo de
disco
ÿ A ferramenta deve registrar um ou mais itens em um arquivo de disco (os itens incluem versão da ferramenta, identificação do
disco do assunto, quaisquer erros encontrados, ações da ferramenta, tempos de início e término da execução, configurações
da ferramenta e comentários do usuário)
ÿ A ferramenta deve criar uma duplicata de fluxo de bits qualificada e ajustar o alinhamento dos cilindros aos limites do cilindro
das partições do disco quando o destino for de uma geometria física diferente
ÿ A ferramenta deve criar uma cópia de fluxo de bits de partições individuais de acordo com as instruções do usuário
ÿ A ferramenta deve tornar a tabela de partição do disco de origem visível para os usuários e registrar
conteúdo
ÿ A ferramenta deverá criar um arquivo de imagem em um suporte magnético ou eletrônico fixo ou removível
mídia que é usada para criar uma cópia bit-stream do original
ÿ A ferramenta deve criar uma cópia bit-stream em uma plataforma conectada por meio de um
link de comunicação para uma plataforma diferente contendo o disco de origem
ÿ Alemão: VSITR
ÿ NIST SP 800-88
Antes da aquisição e duplicação de dados, um método apropriado de sanitização de dados deve ser usado para
apagar permanentemente qualquer informação anterior armazenada na mídia de destino. A destruição de dados
usando métodos de destruição de dados padrão do setor é essencial para dados confidenciais que não se deseja
que caiam em mãos erradas. Esses padrões dependem dos níveis de sensibilidade. A exclusão e descarte de
dados em dispositivos eletrônicos é apenas virtual, mas permanece fisicamente, representando uma ameaça à
segurança.
Métodos como formatação do disco rígido ou exclusão de partições não podem excluir completamente os dados
do arquivo. No entanto, é importante destruir os dados e protegê-los de recuperação, após a coleta de evidências
do computador. Portanto, a única maneira de apagar completamente os dados e protegê-los da recuperação é
sobrescrever os dados aplicando um código de zeros sequenciais ou
uns.
Além disso, uma vez que os dados de destino são coletados e analisados, a mídia deve ser descartada
adequadamente para evitar a recuperação de dados e proteger sua confidencialidade.
Os investigadores podem seguir diferentes padrões conforme abaixo ao higienizar a mídia de destino:
ÿ Padrão Russo, GOST P50739-95 (6 passes): É um método de limpeza que escreve zeros em
a primeira passagem e, em seguida, bytes aleatórios na próxima passagem
ÿ (Alemão) VSITR (7 passagens): Este método sobrescreve em 6 passagens com sequências alternativas
de 0x00 e 0xFF, e com 00xAA na última (7ª) passagem
ÿ (Americano) DoD 5220.22-M (7 passagens): Este padrão destrói os dados na área necessária da unidade
substituindo por 010101 na primeira passagem, 101010 na segunda passagem e repetindo esse processo
três vezes. Esse método substitui essa área com caracteres aleatórios, que é a 7ª passagem.
ÿ (Americano) NAVSO P-5239-26 (RLL) (3 passagens): Este é um algoritmo de substituição de três passagens
que verifica na última passagem
NIST SP 800-88: A orientação NIST SP 800-88 proposta explica três métodos de sanitização-
ÿ Limpar: Técnicas lógicas aplicadas para limpar dados em todas as áreas de armazenamento usando os
comandos padrão de leitura e gravação
ÿ Expurgo: Envolve técnicas físicas ou lógicas para inviabilizar a recuperação dos dados de destino, usando
técnicas laboratoriais de ponta
ÿ Destroy: Possibilita a inviabilização da recuperação dos dados do alvo com o uso de técnicas laboratoriais de
ponta, o que resulta na impossibilidade de utilização da mídia para armazenamento de dados
O Instituto Nacional de Padrões e Tecnologia emitiu um conjunto de diretrizes conforme abaixo para ajudar as
organizações a sanear os dados para preservar a confidencialidade das informações.
ÿ A aplicação de controles de acesso complexos e criptografia pode reduzir as chances de um invasor obter
acesso direto a informações confidenciais
ÿ Uma organização pode dispor dos dados de mídia não tão úteis por meio interno ou externo
transferência ou por reciclagem para cumprir a sanitização de dados
ÿ Técnicas eficazes de higienização e rastreamento de mídia de armazenamento são cruciais para garantir
proteção de dados confidenciais por organizações contra invasores
A destruição física da mídia envolve técnicas, como a trituração cruzada. Os departamentos podem destruir a mídia
no local ou por meio de terceiros que atendam aos padrões de confidencialidade.
Os investigadores devem considerar o tipo de mídia de destino que estão usando para copiar ou duplicar os dados e
selecionar um método de sanitização apropriado para garantir que nenhuma parte dos dados anteriores permaneça
na mídia de destino que armazenará os arquivos de evidência. A mídia anterior pode alterar as propriedades ou alterar
os dados e sua estrutura.
ÿ Esses dados geralmente correspondem a processos em execução, usuários logados, registros, DLLs, dados da área de transferência, arquivos abertos, etc.
Como o conteúdo da RAM e outros dados voláteis são dinâmicos, os investigadores precisam ter cuidado ao
adquirir esses dados. Trabalhar em um sistema ativo pode alterar o conteúdo da RAM ou os processos em
execução no sistema. Qualquer ação involuntária pode alterar datas e horários de acesso a arquivos, usar
bibliotecas compartilhadas ou DLLs, acionar a execução de malware ou, no pior dos casos, forçar uma
reinicialização, tornando o sistema inacessível. Portanto, o exame de um sistema ativo e a aquisição de dados
voláteis devem ser conduzidos com cuidado. Enquanto a maioria dos dados voláteis são recuperados examinando
o sistema ativo, aproximadamente a mesma quantidade de dados pode ser obtida examinando a imagem
adquirida da memória do sistema. As seções a seguir descrevem como adquirir dados voláteis de sistemas
Windows, Linux e Mac.
Ferramentas forenses como o Belkasoft Live RAM Capturer podem ser usadas para extrair todo o conteúdo da
memória volátil do computador. Esta ferramenta salva os arquivos de imagem no formato .mem.
O Belkasoft Live RAM Capturer é uma ferramenta forense de código aberto que permite a extração confiável de
todo o conteúdo da memória volátil do computador, mesmo se protegida por um sistema anti-depuração ou anti-
dumping ativo. Compilações separadas de 32 bits e 64 bits estão disponíveis para minimizar a pegada da
ferramenta. Despejos de memória capturados com Belkasoft Live RAM Capturer podem ser analisados com Live
RAM Analysis usando o software Belkasoft Evidence Center. O Belkasoft Live RAM Capturer é compatível com
todas as versões e edições do Windows, incluindo XP, Vista, Windows 7, 8 e 10, 2003 e 2008 Server.
Observação: ao realizar a aquisição ao vivo, o investigador deve estar ciente do fato de que
trabalhar em um sistema ativo pode alterar o conteúdo da RAM ou os processos em execução
no sistema. Qualquer ação involuntária executada no sistema pode tornar o sistema inacessível.
A proteção contra gravação refere-se a uma ou mais medidas que impedem que uma mídia de armazenamento seja
gravada ou modificada. Ele pode ser implementado por um dispositivo de hardware ou por um programa de software no
computador que acessa a mídia de armazenamento. A ativação da proteção contra gravação permite que os dados sejam
lidos, mas proíbe a gravação ou modificação.
No contexto da aquisição de dados forenses, a mídia de evidência - que se refere ao armazenamento no dispositivo
original do qual os dados devem ser copiados para um dispositivo de armazenamento separado - deve ser protegida
contra gravação para protegê-la de modificações.
A proteção contra gravação é importante porque os investigadores forenses devem estar confiantes sobre a integridade
das evidências que obtêm durante a aquisição, análise e gerenciamento. As provas devem ser legítimas para serem
aceitas pelas autoridades do tribunal.
Portanto, o investigador precisa implementar um conjunto de procedimentos para impedir a execução de qualquer
programa que possa alterar o conteúdo do disco.
ÿ Use sistema operacional e software que não podem gravar no disco, a menos que instruído
ÿ Empregar uma ferramenta de bloco de gravação de disco rígido para proteger contra gravações de disco
Ferramentas de bloqueio de gravação de hardware e software fornecem acesso somente leitura a discos rígidos e outros dispositivos de
armazenamento sem comprometer sua segurança. As principais diferenças entre essas soluções surgem durante as etapas de instalação e uso.
ÿ
Se o bloqueador de gravação de hardware for usado:
o Exemplos de dispositivos de hardware: CRU® WiebeTech® USB WriteBlocker™, Tableau Forensic USB Bridge, etc.
ÿ
Se o bloqueador de gravação de software for usado:
Os dados não voláteis podem ser adquiridos de um disco rígido durante os processos de aquisição ativos e inativos.
Os investigadores podem usar ferramentas de aquisição remota, como Netcat, ou CDs ou USBs inicializáveis por meio de
ferramentas como CAINE para realizar a aquisição ao vivo de um disco rígido.
O processo de aquisição de mortos pode ser realizado através das seguintes etapas:
ÿ Bloqueie o disco rígido para garantir que ele forneça apenas acesso somente leitura ao disco rígido e evite qualquer
modificação ou adulteração de seu conteúdo
ÿ Executar qualquer ferramenta de aquisição forense adequada para fins de aquisição/coleta de dados
estação de trabalho ÿ AccessData FTK Imager é um programa de imagem de disco que pode visualizar dados recuperáveis de um disco de qualquer tipo e também
criar cópias, chamadas imagens forenses, desses dados
http:// accessdata.com
Etapa 6: Adquirir dados não voláteis (usando uma estação de trabalho forense do Windows)
Para adquirir uma imagem forense de um disco rígido durante a aquisição inoperante, os investigadores precisam remover
o disco rígido, conectá-lo a uma estação de trabalho forense, habilitar um bloqueador de gravação e executar uma
ferramenta de imagem forense como o AccessData FTK Imager na estação de trabalho.
FTK Imager é uma ferramenta de visualização e imagem de dados. Ele também pode criar cópias perfeitas (imagens
forenses) de dados de computador sem fazer alterações na evidência original.
Características
ÿ Crie imagens forenses de discos rígidos locais, CDs e DVDs, pen drives ou outros dispositivos USB, pastas inteiras
ou arquivos individuais de vários locais na mídia
ÿ Permite visualizar arquivos e pastas em discos rígidos locais, unidades de rede, CDs e DVDs,
pen drives ou outros dispositivos USB
ÿ Permite montar uma imagem para uma exibição somente leitura que aproveita o Windows Internet
Explorer para exibir o conteúdo da imagem exatamente como o usuário a viu na unidade original
ÿ Recupera arquivos que foram excluídos da Lixeira, mas ainda não foram
substituído na unidade
ÿ Cria hashes de arquivos para verificar a integridade dos dados usando uma das duas funções de
hash disponíveis no FTK Imager: Message Digest 5 (MD5) e Secure Hash Algorithm
(SHA-1)
Ferramentas de imagem
Evidência de imagem Primeira cópia de
Se você possui mais de uma ferramenta de imagem, como Pro
Evidências Digitais
DiscoverForensics ou AccessData FTK Imager, é recomendável
criar a primeira imagem com uma ferramenta e a segunda imagem com
a outra ferramenta. Caso possua apenas uma ferramenta, faça duas ou mais
Segunda cópia de
imagens do drive utilizando a mesma ferramenta. Evidências Digitais Evidência de imagem Evidências Digitais
Considere o uso de uma ferramenta de aquisição de Esteja preparado para lidar com unidades criptografadas
hardware (como UFED Ultimate ou IM SOLO-4 G3 IT que precisam que o usuário forneça a chave de
RUGGEDIZED) que pode acessar a unidade descriptografia para descriptografar. A Microsoft inclui
no nível do BIOS para copiar dados no Host um recurso de criptografia de disco completo (BitLocker)
Área Protegida (HPA) com edições selecionadas do Windows Vista e posteriores.
Acessando o Drive
no nível do BIOS
Chave de descriptografia
hardware
Disco rígido
Ferramenta de Aquisição
Unidade Criptografada Unidade descriptografada
concluir o processo de investigação, fornecendo soluções alternativas para as ferramentas de software ou hardware com falha.
Os investigadores devem criar pelo menos duas imagens das evidências digitais coletadas, a fim de preservá-las.
Se uma cópia da evidência digital recuperada for corrompida, os investigadores poderão usar a outra cópia.
ÿ Ferramentas de Imagem
Se você possui mais de uma ferramenta de imagem, como Pro-DiscoverForensics ou AccessData FTK Imager, é
recomendável criar a primeira imagem com uma ferramenta e a segunda imagem com a outra ferramenta. Caso
possua apenas uma ferramenta, faça duas ou mais imagens do drive utilizando a mesma ferramenta.
Considere o uso de uma ferramenta de aquisição de hardware (como UFED Ultimate ou IM SOLO-4 G3 IT
RUGGEDIZED) que pode acessar a unidade no nível do BIOS para copiar dados no Host
Área Protegida (HPA)
ÿ Descriptografia de Unidade
Esteja preparado para lidar com unidades criptografadas que precisam que o usuário forneça a chave de descriptografia
para descriptografar. A Microsoft inclui um recurso de criptografia de disco completo (BitLocker) com edições selecionadas
do Windows Vista e posteriores.
Um aspecto importante da computação forense é a validação de evidências digitais. Isso é essencial para verificar a
integridade dos dados. A validação da aquisição de dados envolve calcular o valor de hash da mídia de destino e compará-
la com sua contraparte forense para garantir que os dados foram completamente adquiridos.
O número exclusivo (valor de hash) é chamado de impressão digital, que representa a exclusividade de um arquivo ou
unidade de disco. Quando dois arquivos têm os mesmos valores de hash, eles são considerados idênticos, mesmo que
tenham nomes de arquivo diferentes, pois os valores de hash são gerados com base em seu conteúdo real. Mesmo uma
pequena modificação no conteúdo de um arquivo altera completamente seu valor de hash. Além disso, um hash é uma
função unidirecional, o que implica que a descriptografia é impossível sem uma chave.
A seguir estão alguns algoritmos de hash que podem ser usados para validar os dados adquiridos:
ÿ CRC-32: O algoritmo de código de redundância cíclica-32 é uma função hash baseada na ideia de divisão polinomial.
O número 32 indica que o tamanho do valor de hash ou soma de verificação resultante é de 32 bits. A soma de
verificação identifica erros após a transmissão ou armazenamento de dados.
ÿ MD5: Este é um algoritmo usado para verificar a integridade dos dados criando um resumo de mensagem de 128 bits
a partir da entrada de dados de qualquer tamanho. Cada valor de hash MD5 é exclusivo para essa entrada de
dados específica.
ÿ SHA-1: Secure Hash Algorithm-1 é uma função hash criptográfica desenvolvida pela Agência de Segurança Nacional
dos Estados Unidos e é um Padrão de Processamento de Informações Federais dos EUA emitido pelo NIST. Ele
cria um valor de hash de 160 bits (20 bytes) chamado resumo de mensagem. Esse valor de hash é um número
hexadecimal de 40 dígitos.
ÿ SHA-256: Este é um algoritmo de hash criptográfico que cria um hash único e de tamanho
fixo de 256 bits (32 bytes). Portanto, é ideal para tecnologias anti-adulteração, validação
de senha, assinaturas digitais e autenticação de hash de desafio.
cmdlet Get-FileHash calcula o valor de hash para um arquivo de evidência usando o algoritmo de hash especificado ÿ Esse valor de hash é
usado em toda a investigação para validar a integridade do evidência ÿ Os investigadores também podem usar programas forenses comerciais
ÿ Por exemplo:
Observação: na maioria das ferramentas forenses de computador, os arquivos de imagem em formato bruto não contêm metadados. Para aquisições brutas, portanto,
uma validação manual separada é recomendada durante a análise.
ÿ Os computadores Windows vêm com o utilitário PowerShell, que tem a capacidade de executar o cmdlet
ÿ Este valor de hash é usado durante toda a investigação para validar a integridade do
evidência
ÿ Os investigadores também podem usar programas forenses comerciais de computador, que possuem recursos de
validação integrados que podem ser usados para validar os arquivos de evidências
ÿ Por exemplo:
o Quando você carrega a imagem no ProDiscover, ele compara o valor de hash desta imagem com o valor de
hash da mídia original
o Se os hashes não coincidirem, a ferramenta notifica que a imagem está corrompida, dando a entender que
a evidência não pode ser considerada confiável
Observação: na maioria das ferramentas forenses de computador, os arquivos de imagem em formato bruto não
contêm metadados. Para aquisições brutas, portanto, uma validação manual separada é recomendada durante a análise.
Resumo do módulo
Este módulo discutiu os fundamentos de aquisição de dados
Resumo do módulo
Este módulo discutiu os fundamentos da aquisição de dados. Explicou os diferentes tipos de aquisição
de dados e discutiu em detalhes os formatos de aquisição de dados. Finalmente, este módulo
apresentou uma discussão detalhada sobre a metodologia de aquisição de dados.
No próximo módulo, discutiremos em detalhes as contramedidas para derrotar as técnicas anti-forenses.