MODULE 04 - Data Acquisition and Duplication

Machine Translated by Google
MT
CE-Conselho
D FE
Digital Princípios Forenses
Fundamentos de Perícia Forense Digital Exame 112-53

Aquisição e Duplicação de Dados
Objetivos do Módulo
Entendendo a Aquisição de Dados

Fundamentos
Compreendendo os diferentes tipos

de aquisição de dados

Formatar

Metodologia
Copyright © por EC-Council. Todos os direitos reservados. A reprodução é estritamente proibida.
Objetivos do Módulo
A aquisição de dados é a primeira etapa proativa no processo de investigação forense. A aquisição de dados
forenses não envolve apenas a cópia de arquivos de um dispositivo para outro. Por meio da aquisição de dados
forenses, os investigadores visam extrair cada bit de informação presente na memória e no armazenamento do
sistema da vítima, a fim de criar uma cópia forense dessas informações.
Além disso, essa cópia forense deve ser criada de forma que a integridade dos dados seja preservada de forma
verificável e possa ser usada como prova no tribunal. Este módulo discute os conceitos fundamentais de
aquisição de dados e as várias etapas envolvidas na metodologia de aquisição de dados.
Ao concluir este módulo, o aluno deverá ter cumprido os seguintes objetivos de aprendizagem:
ÿ Compreender os fundamentos de aquisição de dados
ÿ Explicar os diferentes tipos de aquisição de dados
ÿ Descrever o formato de aquisição de dados
ÿ Compreender a metodologia de aquisição de dados
Módulo 04 Página 186 Digital Forensics Essentials Copyright © por EC-Council

Todos os direitos reservados. A reprodução é estritamente proibida.

Fluxo do módulo
01 03
Entenda os dados Determinar os dados
Fundamentos de Aquisição Formato de Aquisição
04
02 Entenda os dados
Discutir diferentes tipos Metodologia de Aquisição
Entenda os fundamentos da aquisição de dados

Para realizar um exame forense em uma fonte potencial de evidência, o primeiro passo é criar uma réplica
dos dados que residem na mídia encontrada na cena do crime, como um disco rígido ou qualquer outro
dispositivo de armazenamento digital. Os investigadores forenses podem realizar o processo de aquisição
de dados no local ou primeiro transportar o dispositivo para um local seguro.
Esta seção discute conceitos fundamentais na aquisição de dados e elabora a aquisição ativa e inativa.


Dados
Aquisição
ÿ Aquisição de dados é o uso de métodos estabelecidos para extrair informações armazenadas eletronicamente (ESI) de suspeitos
computador ou mídia de armazenamento para obter informações sobre um crime ou incidente
ÿ Os investigadores devem ser capazes de verificar a precisão dos dados adquiridos e o processo completo deve ser auditável
e aceitável no tribunal
Aquisição ao Vivo Aquisição Morta (Aquisição Estática)

Aquisição de dados
Categorias Envolve a coleta de dados de Envolve a coleta de dados de um sistema que
um sistema que está ligado está DESLIGADO
Aquisição de dados
A aquisição de dados forenses é um processo de geração de imagens ou coleta de informações usando métodos
estabelecidos de várias mídias de acordo com certos padrões para seu valor forense. É o uso de métodos
estabelecidos para extrair informações armazenadas eletronicamente (ESI) de computadores suspeitos ou mídias
de armazenamento para obter informações sobre um crime ou incidente. Com o avanço da tecnologia, o processo
de aquisição de dados está se tornando cada vez mais preciso, simples e versátil. No entanto, os investigadores
precisam garantir que a metodologia de aquisição usada seja forense. Especificamente, a metodologia de aquisição
adotada deve ser verificável e repetível. Isso aumenta a admissibilidade dos dados ou evidências adquiridos no
tribunal.
Um fator fundamental a considerar na aquisição de dados forenses é o tempo. Embora os dados em algumas
fontes, como discos rígidos, permaneçam inalterados e possam ser coletados mesmo após o desligamento do
sistema, os dados em algumas fontes, como a RAM, são altamente voláteis e dinâmicos e, portanto, devem ser
coletados em tempo real. A partir dessa perspectiva, a aquisição de dados pode ser categorizada como aquisição
de dados ao vivo ou aquisição de dados mortos.
Na aquisição de dados ao vivo, os dados são adquiridos de um computador que já está ligado (travado ou em modo
de hibernação). Isso permite a coleta de dados voláteis que são frágeis e perdidos quando o sistema perde energia
ou é desligado. Esses dados residem em registros, caches e RAM. Além disso, dados voláteis como os da RAM
são dinâmicos e mudam rapidamente e, portanto, devem ser coletados em tempo real. Na aquisição de dados
mortos ou estáticos, são coletados dados não voláteis que permanecem inalterados no sistema mesmo após o
desligamento. Os investigadores podem recuperar esses dados de discos rígidos, bem como de espaço livre,
arquivos de troca e espaço em disco não alocado. Outras fontes de dados não voláteis incluem CD-ROMs, pen
drives USB, smartphones e PDAs.
Em seguida, nos aprofundaremos em mais detalhes dessas duas categorias de aquisição de dados, juntamente
com as fontes de dados que elas capturam.


Aquisição ao Vivo
ÿ A aquisição de dados ao vivo envolve a coleta de dados voláteis de um sistema ativo ÿ As
informações voláteis ajudam a determinar a linha do tempo lógica do incidente de segurança e o possível
usuários responsáveis
ÿ A aquisição ao vivo pode então ser seguida pela aquisição estática/morta, onde um investigador desliga a máquina suspeita, remove
o disco rígido e então adquire sua imagem forense
Tipos de dados capturados durante a aquisição ao vivo
Dados do sistema Dados de rede
ÿ Configuração atual ÿ Processos em execução ÿ Tabelas de roteamento
ÿ Estado de execução ÿ Usuários logados ÿ Cache ARP
ÿ Data e hora ÿ DLLs ou bibliotecas compartilhadas ÿ Configuração de rede
ÿ Tempo de atividade atual do sistema ÿ Troque arquivos e arquivos temporários ÿ Conexões de rede
Aquisição ao Vivo
O processo de aquisição de dados ao vivo envolve a coleta de dados voláteis de dispositivos quando eles estão ativos
ou ligados. As informações voláteis, como as presentes no conteúdo da memória RAM, cache, DLLs, etc., são
dinâmicas e podem ser perdidas caso o dispositivo a ser investigado seja desligado. Portanto, deve ser adquirido em
tempo real. O exame de informações voláteis ajuda a determinar o cronograma lógico de um incidente de segurança e
os usuários que provavelmente serão responsáveis por ele.
A aquisição ao vivo pode então ser seguida pela aquisição estática/morta, onde o investigador desliga a máquina
suspeita, remove o disco rígido e então adquire sua imagem forense.
A aquisição de dados ao vivo pode ajudar os investigadores a obter informações, mesmo que os dados de valor
probatório sejam armazenados na nuvem usando um serviço como Dropbox ou Google Drive.
Os investigadores também podem adquirir dados de contêineres ou discos não criptografados que estão abertos no
sistema e são criptografados automaticamente quando o sistema é desligado. Se o suspeito tentou sobrescrever os
dados no disco rígido físico para evitar a detecção, existe a possibilidade de que os investigadores encontrem vestígios
desses dados sobrescritos examinando o conteúdo da RAM.
Dependendo da fonte de onde são obtidos, os dados voláteis são de dois tipos:
ÿ Dados do sistema
Informações do sistema são as informações relacionadas a um sistema, que podem servir como evidência
em um incidente de segurança. Essas informações incluem a configuração atual e o estado de execução do
computador suspeito. As informações voláteis do sistema incluem perfil do sistema (detalhes sobre
configuração), atividade de login, data e hora atuais do sistema, histórico de comandos, tempo de atividade
atual do sistema, processos em execução, arquivos abertos, arquivos de inicialização, dados da área de
transferência, usuários conectados, DLLs e bibliotecas compartilhadas. As informações do sistema também
incluem dados críticos armazenados nos espaços vazios da unidade de disco rígido.


ÿ Dados de rede
As informações de rede são as informações relacionadas à rede armazenadas no sistema suspeito e nos
dispositivos de rede conectados. As informações de rede voláteis incluem conexões e portas abertas,
informações de roteamento e configuração, cache ARP, arquivos compartilhados e serviços acessados.
Além dos dados acima, a aquisição ao vivo pode ajudar os investigadores a obter o seguinte.
ÿ Dados de contêineres ou discos não criptografados que estão abertos no sistema, que são
criptografado automaticamente quando o sistema é desligado
ÿ Histórico de navegação privada e dados de serviços de armazenamento remoto, como Dropbox (serviço de
nuvem), examinando a memória de acesso aleatório (RAM)


ÿ Ao coletar evidências, um investigador precisa avaliar a ordem de

volatilidade dos dados dependendo da máquina suspeita e da situação
Ordem de
Volatilidade De acordo com o RFC 3227, segue abaixo um exemplo da ordem
de volatilidade para um sistema típico:
01 Registros e cache
02 Tabela de roteamento, tabela de processos, estatísticas do kernel e memória
03 Arquivos de sistema temporários
04 Disco ou outra mídia de armazenamento
Registro remoto e monitoramento de dados relevantes para o sistema em questão

05
06 Configuração física e topologia de rede
07 Mídia de arquivo
https:// tools.ietf.org
Ordem de Volatilidade
Ao realizar a aquisição de dados ao vivo, os investigadores precisam coletar dados considerando sua volatilidade
potencial e o impacto da coleta no sistema suspeito. Como nem todos os dados têm o mesmo nível de volatilidade,
os investigadores devem coletar primeiro os dados mais voláteis e depois proceder à coleta dos dados menos
voláteis.
A ordem de volatilidade para um sistema de computação típico de acordo com as Diretrizes RFC 3227 para
A coleta e arquivamento de evidências é a seguinte:
1. Registros, cache do processador: As informações nos registros ou no cache do processador no computador

existem por nanossegundos. Ele está em constante mudança e pode ser classificado como o dado mais
volátil.
2. Tabela de roteamento, tabela de processos, estatísticas do kernel e memória: A tabela de roteamento,

o cache ARP e as estatísticas do kernel residem na memória comum do computador. Estes são um pouco
menos voláteis do que as informações nos registros, com uma vida útil de cerca de dez nanossegundos.
3. Arquivos de sistema temporários: Arquivos de sistema temporários tendem a persistir por mais tempo no
computador em comparação com tabelas de roteamento e caches ARP. Esses sistemas são eventualmente
substituídos ou alterados, às vezes em segundos ou minutos depois.
4. Disco ou outra mídia de armazenamento: Qualquer coisa armazenada em um disco permanece por um
tempo. No entanto, às vezes, devido a imprevistos, esses dados podem ser apagados ou substituídos.
Portanto, os dados do disco também podem ser considerados um tanto voláteis, com uma vida útil de
alguns minutos.


5. Registro remoto e monitoramento de dados relacionados ao sistema de destino: Os dados

que passam por um firewall fazem com que um roteador ou switch gere logs. O sistema pode
armazenar esses logs em outro lugar. Esses logs podem se sobrescrever em uma hora, um dia
ou uma semana. No entanto, estes são geralmente dados menos voláteis.
6. Configuração física e topologia de rede: A configuração física e a topologia de rede são menos
voláteis e têm uma vida útil mais longa do que alguns outros logs
7. Mídia de arquivo: Um DVD-ROM, um CD-ROM ou uma fita contém os dados menos voláteis
porque as informações digitais não mudam nessas fontes de dados automaticamente, a menos
que sejam danificadas por força física


Aquisição morta
01 02 03
A aquisição morta é definida como a A aquisição morta geralmente envolve a Exemplos de dados estáticos: e-mails,
aquisição de dados de uma máquina aquisição de dados de dispositivos de documentos do Word, atividades na Web,
suspeita que está desligada armazenamento, como discos rígidos, DVD planilhas, espaço livre, espaço em disco
ROMs, unidades USB, cartões não alocado e vários arquivos excluídos
flash e smartphones
Aquisição morta
Dados estáticos referem-se a dados não voláteis, que não mudam de estado mesmo após o desligamento do sistema.
A aquisição morta refere-se ao processo de extração e coleta desses dados de maneira inalterada a partir da mídia de
armazenamento. As fontes de dados não voláteis incluem discos rígidos, DVD-ROMs, unidades USB, flashcards, smartphones
e discos rígidos externos. Esse tipo de dados existe na forma de e-mails, documentos de processamento de texto, atividades
na web, planilhas, espaço livre, arquivos de troca, espaço em disco não alocado e vários arquivos excluídos. Os investigadores
podem repetir o processo de aquisição de mortos em evidências de disco bem preservadas.
Os dados estáticos recuperados de um disco rígido incluem o seguinte:
ÿ Arquivos temporários (temp)
ÿ Registos do sistema
ÿ Registros de eventos/sistema
ÿ Setores de inicialização
ÿ Cache do navegador da Web
ÿ Cookies e arquivos ocultos


Regras práticas para aquisição de dados
ÿ Não trabalhe em evidências digitais ÿ Produzir duas ou mais cópias da mídia original
originais. Crie um fluxo de bits/ ÿ A primeira é a cópia de trabalho a ser
imagem lógica de uma unidade/
arquivo suspeito para funcionar usado para análise
sobre.
ÿ As outras cópias atuam como as
cópias de biblioteca/controle que são
armazenadas para fins de divulgação ou
no caso de a cópia de trabalho ser
corrompida
ÿ Ao criar cópias do original

ÿ Use mídia limpa para armazenar mídia, verifique a integridade das cópias
cópias com o original
Regras práticas para aquisição de dados
Uma regra prática é uma prática recomendada que ajuda a garantir um resultado favorável quando aplicada. No
caso de uma investigação forense digital, quanto melhor for a qualidade das evidências, melhor será o resultado da
análise e a probabilidade de solucionar o crime em geral.
Os investigadores nunca devem realizar uma investigação forense ou qualquer outro processo na evidência original
ou fonte de evidência, pois isso pode alterar os dados e tornar a evidência inadmissível no tribunal.
Em vez disso, os investigadores podem criar uma imagem de fluxo de bits duplicada de uma unidade ou arquivo
suspeito para visualizar os dados estáticos e analisá-los. Essa prática não apenas preserva a evidência original,
mas também oferece a opção de recriar uma duplicata se algo der errado.
É essencial produzir duas cópias da mídia original antes de iniciar a investigação

processo:
ÿ Uma cópia é usada como cópia de trabalho para análise
ÿ A segunda cópia é a biblioteca/cópia de controle armazenada para fins de divulgação ou, para ser usada se
a cópia de trabalho for corrompida
Se os investigadores precisarem realizar imagens drive-to-drive, eles podem usar mídia em branco para copiar em
novas unidades embrulhadas.
Depois de duplicar a mídia original, os investigadores devem verificar a integridade das cópias comparando-as com
o original usando valores de hash como MD5.


Fluxo do módulo
01 03
04
02 Entenda os dados
Discutir diferentes tipos de aquisição de dados

Esta seção explica os tipos de aquisição de dados e quando os investigadores forenses podem
usá-los.


Tipos de Aquisição de Dados

Aquisição Lógica Aquisição Esparsa
ÿ A aquisição lógica permite que um ÿ Aquisição esparsa é semelhante a

investigador capture apenas arquivos aquisição lógica, que além disso coleta
selecionados ou tipos de arquivos de interesse para o fragmentos de dados não alocados,
caso permitindo que os investigadores adquiram
arquivos excluídos
ÿ Exemplos de aquisição lógica incluem:
ÿ Use este método quando a inspeção de toda a
unidade não for necessária
ÿ Investigação de e-mail que requer coleta
de arquivos .pst ou .ost do Outlook
ÿ Coleta de registros específicos de um

grande servidor RAID
Tipos de aquisição de dados (continuação)

Fluxo de bits A imagem de fluxo de bits cria uma cópia bit a bit de uma unidade suspeita, que é uma cópia clonada de toda
a unidade, incluindo todos os seus setores e clusters, o que permite que os investigadores forenses recuperem
Imagem arquivos ou pastas excluídos
Arquivo de disco para imagem de fluxo de bits Fluxo de bits de disco para disco
ÿ É o método mais comum usado por investigadores forenses ÿ A cópia de disco para imagem não é possível em situações em que
ÿ A unidade suspeita é muito antiga e incompatível com a

software de imagem
ÿ O arquivo de imagem criado é uma réplica bit a bit do suspeito
dirigir ÿ Investigador precisa recuperar credenciais usadas para sites e contas
de usuários
ÿ Ferramentas utilizadas: ProDiscover, EnCase, FTK, The Sleuth Kit, X-Ways ÿ Para superar essa situação, os investigadores podem criar uma cópia de
Forense, etc fluxo de bits de disco para disco da mídia de destino
ÿ Ao criar uma cópia de disco para disco, os investigadores podem ajustar

a geometria do disco de destino (seu cabeçote, cilindro e configuração
de trilha) para alinhar com a unidade suspeita. Isso resulta em um
processo de aquisição de dados suave.
ÿ Ferramentas utilizadas: Encase, Tableau Forensic Imager, etc.
Tipos de Aquisição de Dados

Embora a aquisição de uma cópia bit a bit da evidência em um sistema possa parecer ideal, isso pode
exigir uma quantidade significativa de tempo para discos grandes. Em situações com restrições de tempo
e recursos, dois outros tipos principais de aquisição de dados, ou seja, aquisição lógica e aquisição
esparsa, podem ser mais adequados.


ÿ Aquisição Lógica
Em uma situação com restrições de tempo e onde o investigador está ciente de quais arquivos precisam ser
adquiridos, a aquisição lógica pode ser considerada ideal. A aquisição lógica reúne apenas os arquivos
necessários para a investigação do caso.
Por exemplo:
o Coleta de arquivos .pst ou .ost do Outlook em investigações de e-mail
o Coleta de registros específicos de um grande servidor RAID
ÿ Aquisição Esparsa
A aquisição esparsa é semelhante à aquisição lógica. Por meio desse método, os investigadores podem
coletar fragmentos de dados não alocados (excluídos). Este método é útil quando não é necessário
inspecionar toda a unidade.
ÿ Imagem de fluxo de bits
Uma imagem de fluxo de bits é uma cópia bit a bit de qualquer mídia de armazenamento que contém uma
cópia clonada de toda a mídia, incluindo todos os seus setores e clusters. Essa cópia clonada da mídia de
armazenamento contém todos os dados latentes que permitem aos investigadores recuperar arquivos e
pastas excluídos. Os investigadores costumam usar imagens de fluxo de bits da mídia suspeita para evitar
a contaminação da mídia original. Além disso, a maioria das ferramentas forenses de computador, como
FTK Imager e EnCase, pode ler imagens de fluxo de bits, o que facilita ainda mais o processo de
investigação. Existem dois tipos de procedimentos de geração de imagens de fluxo de bits — disco para
arquivo de imagem de fluxo de bits e disco para disco de fluxo de bits.
o Bit-stream disk-to-image-file
Investigadores forenses geralmente usam esse método de aquisição de dados. É um método flexível
que permite a criação de uma ou mais cópias da unidade suspeita. Ferramentas como ProDiscover,
EnCase, FTK, The Sleuth Kit, X-Ways Forensics, etc., podem ser usadas para criar arquivos de imagem.
o Bit-stream de disco para disco
Os investigadores não podem criar um arquivo de disco para imagem de fluxo de bits nas seguintes
situações:
• A unidade suspeita é muito antiga e incompatível com o software de imagem
• Há uma necessidade de recuperar credenciais usadas para sites e contas de usuário
Nesses casos, uma cópia de disco para disco de fluxo de bits do disco ou unidade original pode ser
executada. Ao criar uma cópia de disco para disco, a geometria do disco de destino, incluindo seu
cabeçote, cilindro e configuração de trilha, pode ser modificada para se alinhar com a unidade suspeita.
Isso resulta em um processo de aquisição de dados suave. Ferramentas como EnCase, SafeBack e
Tableau Forensic Imager podem ajudar a criar uma cópia de fluxo de bits de disco para disco da
unidade suspeita.


Fluxo do módulo
01 03
04
02 Entenda os dados
Determinar o formato de aquisição de dados

Esta seção explica os vários formatos nos quais os dados podem ser adquiridos de mídias suspeitas e
como escolher o formato apropriado para uma determinada situação.


Formato bruto ÿ O formato bruto cria uma cópia bit a bit da unidade suspeita. As imagens
neste formato geralmente são obtidas usando o comando dd .
Vantagens Desvantagens
ÿ Transferências rápidas de dados ÿ Requer a mesma quantidade de armazenamento que

da mídia original
ÿ Pequenos erros de leitura de dados na unidade de origem
são ignorados ÿ Ferramentas (principalmente de código aberto)

podem falhar ao reconhecer/coletar setores
ÿ Lido pela maioria das ferramentas forenses
marginais (ruins) da unidade suspeita
Determinar o formato de aquisição de dados (continuação)
Formato proprietário
ÿ Ferramentas forenses comerciais adquirem dados da unidade

suspeita e salvam os arquivos de imagem em seus próprios formatos
Eles oferecem certos recursos que incluem o seguinte:
ÿ Opção para compactar os arquivos de imagem do disco/drive de evidências Desvantagens

para economizar espaço na mídia de destino
ÿ Capacidade de dividir uma imagem em vários segmentos, a fim de ÿ Formato de arquivo de imagem criado por uma
salvá -los em mídias de destino menores, como CD/DVD, mantendo ferramenta pode não ser suportado por outra(s) ferramenta(s)
sua integridade
ÿ Capacidade de incorporar metadados no arquivo de imagem, que

inclui data e hora de aquisição, valores de hash dos arquivos, detalhes
do caso, etc.


Determinar os dados
Formato de Aquisição
(continua)
ÿ Advanced Forensics Format é um formato de aquisição de código aberto com o seguinte

metas de design
ÿ Sem limitação de tamanho para arquivos de disco para imagem ÿ Design simples e personalizável
Perícia Forense Avançada ÿ Opção para compactar os arquivos de imagem ÿ Acessível por meio de várias plataformas de computação e
Formato (AFF) sistemas operacionais

ÿ Aloca espaço para gravar metadados dos arquivos de imagem ou
arquivos segmentados ÿ Verificações de consistência interna para auto
autenticação
ÿ As extensões de arquivo incluem .afm para metadados AFF e .afd para arquivos de imagem segmentados
Determinar o formato de aquisição de dados (continuação)

Estrutura forense avançada 4 (AFF4)
1 2 3
Redesenho e revisão de Tipos básicos de objetos Informações abstratas
AFF para gerenciar e usar grandes AFF4: volumes, fluxos e modelo que permite o armazenamento
quantidades de imagens de gráficos. de dados de imagem de disco em
disco, reduzindo o tempo de Eles são referenciados um ou mais locais enquanto as
aquisição e os requisitos de universalmente por meio de um informações sobre os dados são
armazenamento URL exclusivo. armazenadas em outro lugar
4 5
Armazena mais tipos de Oferece modelo de dados unificado
informações organizadas e esquema de nomenclatura

no arquivo de evidências

Formato bruto
O formato bruto cria uma cópia bit a bit da unidade suspeita. As imagens neste formato geralmente são
obtidas usando o comando dd .


Vantagens
ÿ Transferências rápidas de dados
ÿ Pequenos erros de leitura de dados na unidade de origem são ignorados
ÿ Lido pela maioria das ferramentas forenses
Desvantagens
ÿ Requer a mesma quantidade de armazenamento da mídia original
ÿ Ferramentas (principalmente de código aberto) podem não reconhecer/coletar setores marginais (ruins) de
a unidade suspeita
As ferramentas freeware têm um limite baixo de novas tentativas de leitura em pontos de mídia fracos em uma unidade, enquanto as
ferramentas de aquisição comercial usam mais tentativas para garantir que todos os dados sejam coletados
Formato proprietário
Ferramentas forenses comerciais adquirem dados da unidade suspeita e salvam os arquivos de imagem em seus próprios
formatos. Eles oferecem certos recursos que incluem o seguinte:
ÿ Opção para compactar os arquivos de imagem do disco/drive de provas para economizar espaço
a mídia de destino
ÿ Capacidade de dividir uma imagem em vários segmentos, a fim de salvá-los em mídias de destino menores, como CD/
DVD, mantendo sua integridade
ÿ Capacidade de incorporar metadados no arquivo de imagem, que inclui data e hora de aquisição, valores de hash
dos arquivos, detalhes do caso, etc.
Desvantagens
ÿ Formato de arquivo de imagem criado por uma ferramenta pode não ser suportado por outra(s) ferramenta(s)
Formato forense avançado (AFF)
AFF é um formato de aquisição de dados de código aberto que armazena imagens de disco e metadados relacionados.
O objetivo por trás do desenvolvimento do formato era criar um formato de imagem de disco aberto que fornecesse aos usuários
uma alternativa a um formato proprietário.
As extensões de arquivo AFF são .afm para metadados AFF e .afd para arquivos de imagem segmentados. Não há restrições de
implementação impostas pelo AFF aos investigadores forenses, pois é um formato de código aberto.
O AFF tem um design simples e é acessível por meio de várias plataformas de computação e sistemas operacionais. Ele fornece a
opção de compactar os arquivos de imagem e aloca espaço para gravar metadados dos arquivos de imagem ou arquivos
segmentados. Ele fornece verificações de consistência interna para auto-autenticação.
AFF suporta os dois algoritmos de compressão a seguir:
ÿ Zlib, que é mais rápido, mas menos eficiente
ÿ LZMA, que é mais lento, mas mais eficiente


A imagem de disco real no AFF é um único arquivo, composto de segmentos com dados de unidade e metadados. O
conteúdo do arquivo AFF pode ser compactado e descompactado. O AFFv3 oferece suporte às extensões de arquivo AFF,
AFD e AFM.
Estrutura forense avançada 4 (AFF4)
Michael Cohen, Simson Garfinkel e Bradly Schatz criaram o Advanced Forensic Framework 4 (AFF4) como uma versão
redesenhada e renovada do formato AFF, projetado para suportar mídia de armazenamento com grandes capacidades. Os
criadores se referiram ao seu design como sendo orientado a objetos, pois o formato consiste em objetos genéricos
(volumes, fluxos e gráficos) com comportamento acessível externamente. Esses objetos podem ser endereçados por seus
nomes dentro do universo AFF4.
Eles são referenciados universalmente por meio de um URL exclusivo. É um modelo de informação abstrato que permite o
armazenamento de dados de imagem de disco em um ou mais locais, enquanto as informações sobre os dados são
armazenadas em outro lugar. Ele armazena mais tipos de informações organizadas no arquivo de evidências. Oferece
modelo de dados unificado e esquema de nomenclatura.
O formato pode suportar um grande número de imagens e oferece uma seleção de formatos de contêiner, como Zip e Zip64
para arquivos binários e diretórios simples. Ele também suporta armazenamento da rede e o uso de WebDAV (uma extensão
do protocolo HTTP) que permite a criação de imagens diretamente para um servidor HTTP central.
Esse formato também oferece suporte a mapas, que são transformações de dados de cópia zero. As transformações de
cópia zero poupam a CPU de ter que executar a tarefa de copiar dados de uma área de memória para outra, aumentando
assim sua eficiência.
Por exemplo, sem armazenar uma nova cópia de um arquivo esculpido (arquivo sendo extraído), apenas um mapa dos
blocos alocados para este arquivo pode ser armazenado. AFF4 suporta assinatura de imagem e criptografia.
Este formato também oferece transparência de imagem aos clientes.
O design AFF4 adota um esquema de identificadores exclusivos globalmente para identificar e referir-se a todas as
evidências. Os tipos básicos de objeto AFF4 incluem o seguinte:
ÿ Volumes: Armazenam segmentos, que são blocos indivisíveis de dados
ÿ Streams: São objetos de dados que podem auxiliar na leitura ou escrita, por exemplo,
segmentos, imagens e mapas
ÿ Gráficos: Coleções de declarações RDF


Fluxo do módulo
01 03
04
02 Entenda os dados
Entenda a metodologia de aquisição de dados

Os investigadores forenses devem adotar uma abordagem sistemática e forense sólida ao
adquirir dados de mídia suspeita. Isso é para aumentar as chances de que a prova seja
admissível no tribunal. Esta seção detalha as várias etapas que os investigadores devem seguir
ao adquirir dados de valor probatório.


Metodologia de Aquisição de Dados

Começar Sim
Se o computador
Adquirir dados voláteis
estiver ligado?
Desligar o computador
Não
Determinar os dados
Remova o disco rígido
Método de Aquisição
Proteger contra gravação o dispositivo suspeito
Selecione a ferramenta de aquisição de dados Adquirir dados não voláteis
Plano de contingência
Higienize a mídia de destino Validar aquisição de dados
Metodologia de Aquisição de Dados

Ao realizar a aquisição de dados forenses, as possíveis abordagens devem ser cuidadosamente
consideradas e as metodologias destinadas a proteger a integridade e a precisão da evidência original
devem ser seguidas. A aquisição de dados deve ser realizada de acordo com as políticas
departamentais ou organizacionais e em conformidade com os padrões, regras e leis aplicáveis. Além
disso, os investigadores devem realizar o processo de aquisição de dados de maneira forense e
autenticar a integridade da imagem adquirida usando algoritmos de hash.
Figura 4.1: Diagrama de blocos da metodologia de aquisição de dados


A seguir estão as etapas envolvidas na metodologia de aquisição de dados forenses. Eles são discutidos detalhadamente
no restante desta seção.
1. Determinando o método de aquisição de dados
2. Determinando a ferramenta de aquisição de dados
3. Sanitizando a mídia de destino
4. Aquisição de dados voláteis
5. Ativando a proteção contra gravação na mídia de evidência
6. Aquisição de dados não voláteis
7. Planejamento para contingência
8. Validação da aquisição de dados


Passo 1: Determinar o Melhor Método de Aquisição de Dados

ÿ Um investigador precisa identificar o melhor método de aquisição de dados
adequado para a investigação, dependendo da situação que o investigador se
depara
ÿ Essas situações incluem: Lógico/Esparso
Camada de aplicação
ÿ Tamanho da unidade suspeita
ÿ Tempo necessário para adquirir a imagem
ÿ Se o investigador pode reter a unidade suspeita

Camada do sistema de arquivos
ÿ Exemplo:
ÿ Caso a unidade de evidência original precise ser devolvida ao proprietário, como no

Camada de Partição/Volume
caso de uma demanda de descoberta para um processo civil, verifique com o
solicitante (advogado ou supervisor) se a aquisição lógica do disco é aceitável. Se
não, você pode ter que voltar para o solicitante.
imagem completa
Camada de disco
ÿ Os investigadores precisam adquirir apenas os dados que se destinam a ser

adquirido
Passo 1: Determinar o Melhor Método de Aquisição de Dados
O método de aquisição de dados que deve ser adotado depende da situação que se apresenta ao investigador.
Figura 4.2: Determinar o método de aquisição de dados
A seguir estão alguns fatores-chave que devem ser considerados na determinação do método de aquisição de
dados.
1. Tamanho da unidade suspeita: Se a unidade suspeita for grande, o investigador deve optar pela cópia
de disco para imagem. Além disso, se o tamanho do disco de destino for significativamente menor que
o da unidade suspeita, os investigadores precisam adotar métodos para reduzir o tamanho dos dados,
como os seguintes:
o Usando ferramentas de compactação de disco da Microsoft, como DriveSpace e DoubleSpace, que

exclua o espaço livre em disco entre os arquivos.


o Usando métodos de compactação que usam um algoritmo para reduzir o tamanho do arquivo. Ferramentas de
arquivamento como PKZip, WinZip e WinRAR podem ajudar a compactar arquivos.
o Teste de compactação sem perdas aplicando um hash MD5, SHA-2 ou SHA-3 em um arquivo antes e depois da
compactação. A compactação é bem-sucedida somente se os valores de hash corresponderem.
Em alguns casos, quando a unidade suspeita é muito grande, os investigadores forenses podem utilizar as seguintes
técnicas:
ÿ Use sistemas de backup de fita como Super Digital Linear Tape (SDLT) ou Áudio Digital
Armazenamento de dados digitais/fita (DAT/DDS)
ÿ Use SnapBack e SafeBack, que possuem drivers de software para gravar dados em uma fita
sistema de backup de uma unidade suspeita através do padrão PCI/SCSI
2. Tempo necessário para adquirir a imagem: O tempo necessário para aquisição de dados aumenta com o aumento do
tamanho das unidades suspeitas. Por exemplo, uma unidade suspeita de 1 TB pode exigir mais de 11 horas para a
conclusão do processo de aquisição de dados. Nesses casos, os investigadores precisam priorizar e adquirir apenas os
dados que são de valor probatório.
Ao adquirir apenas os dados necessários para a investigação, os investigadores podem reduzir o tempo e o esforço.
3. Se a unidade suspeita pode ser retida:
o Se o investigador não puder reter o impulso original, como em uma demanda de descoberta para um caso de litígio
civil, ele deve verificar se a aquisição lógica é aceitável em
tribunal.
o Se os investigadores puderem manter a unidade, eles devem criar uma cópia dela usando uma ferramenta de aquisição
de dados confiável, já que a maioria das demandas de descoberta fornece apenas uma oportunidade para capturar
dados.


Etapa 2: selecione a ferramenta de aquisição de dados

Requisitos Obrigatórios
01 A ferramenta não deve alterar o conteúdo original
A ferramenta deve registrar erros de E/S de forma acessível e legível, incluindo o

ÿ Os investigadores precisam 02
tipo de erro e localização do erro
escolher a ferramenta
certa para aquisição de A ferramenta deve ter a capacidade de passar pela revisão científica e por pares .
dados com base no tipo 03 Os resultados devem ser repetíveis e verificáveis por terceiros, se
de técnica de aquisição necessário.
que escolherem. Quando
A ferramenta deve alertar o usuário se a origem for maior que o destino
se trata de ferramentas de 04
imagem, eles precisam
escolher as ferramentas
A ferramenta deve criar uma cópia bit-stream do conteúdo original quando não
que atendem a 05
houver erros no acesso à mídia de origem
determinados requisitos.
A ferramenta deve criar uma cópia de fluxo de bits qualificada (uma cópia de
06 fluxo de bits qualificada é definida como uma duplicata, exceto em áreas identificadas
do fluxo de bits) quando ocorrerem erros de E/S ao acessar a mídia de origem
Etapa 2: selecione a ferramenta de aquisição de dados
É de suma importância escolher a ferramenta certa no processo de aquisição de dados forenses, e isso depende do
tipo de técnica de aquisição utilizada pelo investigador forense.
As ferramentas de imagem devem ser validadas e testadas para garantir que produzam resultados precisos e repetíveis.
Essas ferramentas devem atender a certos requisitos, alguns dos quais são obrigatórios (recursos e tarefas que a
ferramenta deve possuir ou executar), enquanto outros são opcionais (recursos que são desejáveis que a ferramenta
possua).
Requisitos obrigatórios
A seguir estão os requisitos obrigatórios para cada ferramenta usada para o processo de criação de imagens de disco:
ÿ A ferramenta não deve alterar ou fazer alterações no conteúdo original
ÿ A ferramenta deve registrar erros de E/S de forma acessível e legível, incluindo o tipo e localização do erro
ÿ A ferramenta deve ser capaz de comparar a origem e o destino, e alertar o usuário se o

destino é menor que a origem
ÿ A ferramenta deve ter a capacidade de passar pela revisão científica e por pares. Os resultados devem ser
repetível e verificável por terceiros, se necessário
ÿ A ferramenta deve adquirir completamente todos os setores de dados visíveis e ocultos do digital
fonte
ÿ A ferramenta deve criar uma cópia bit-stream do conteúdo original quando não houver erros
ao acessar a mídia de origem


ÿ A ferramenta deve criar uma cópia de fluxo de bits qualificada (uma cópia de fluxo de bits qualificada é definida como uma
duplicata, exceto em áreas identificadas do fluxo de bits) quando ocorrerem erros de E/S ao acessar a mídia de origem
ÿ A ferramenta deve copiar um arquivo somente quando o destino for maior ou igual ao tamanho da fonte, e documentar o
conteúdo no destino que não faz parte da cópia
ÿ A documentação da ferramenta deve estar correta, ou seja, o usuário deve obter os resultados esperados
executá-lo de acordo com os procedimentos documentados da ferramenta
Requisitos opcionais
A seguir estão os requisitos opcionais que são desejáveis para ferramentas usadas na geração de imagens de disco
processo:
ÿ A ferramenta deve calcular um valor de hash para a cópia completa do fluxo de bits gerada a partir de um arquivo de imagem
de origem, compará-lo com o valor de hash de origem calculado no momento da criação da imagem e exibir o resultado em
um arquivo de disco
ÿ A ferramenta deve dividir a cópia do fluxo de bits em blocos, calcular valores de hash para cada bloco, compará-los com o valor
de hash dos dados do bloco original calculado no momento da criação da imagem e exibir o resultado em um arquivo de
disco
ÿ A ferramenta deve registrar um ou mais itens em um arquivo de disco (os itens incluem versão da ferramenta, identificação do
disco do assunto, quaisquer erros encontrados, ações da ferramenta, tempos de início e término da execução, configurações
da ferramenta e comentários do usuário)
ÿ A ferramenta deve criar uma duplicata de fluxo de bits qualificada e ajustar o alinhamento dos cilindros aos limites do cilindro
das partições do disco quando o destino for de uma geometria física diferente
ÿ A ferramenta deve criar uma cópia de fluxo de bits de partições individuais de acordo com as instruções do usuário
ÿ A ferramenta deve tornar a tabela de partição do disco de origem visível para os usuários e registrar
conteúdo
ÿ A ferramenta deverá criar um arquivo de imagem em um suporte magnético ou eletrônico fixo ou removível
mídia que é usada para criar uma cópia bit-stream do original
ÿ A ferramenta deve criar uma cópia bit-stream em uma plataforma conectada por meio de um
link de comunicação para uma plataforma diferente contendo o disco de origem


Etapa 3: higienizar a mídia de destino

ÿ Os investigadores devem higienizar adequadamente a mídia de destino
para remover quaisquer dados anteriores que residam nela, antes de
serem usados para coletar dados forenses
ÿ Após a investigação, eles devem descartar esta mídia por

seguindo os mesmos padrões, de forma a mitigar o risco de divulgação
não autorizada de informações e garantir sua confidencialidade
ÿ A seguir estão alguns padrões para sanitizar meios:
ÿ Padrão Russo, GOST P50739-95
ÿ Alemão: VSITR
ÿ Americano: NAVSO P-5239-26 (MFM)
ÿ Americano: DoD 5220.22-M
ÿ Americano: NAVSO P-5239-26 (RLL)
ÿ NIST SP 800-88
Etapa 3: higienizar a mídia de destino
Antes da aquisição e duplicação de dados, um método apropriado de sanitização de dados deve ser usado para
apagar permanentemente qualquer informação anterior armazenada na mídia de destino. A destruição de dados
usando métodos de destruição de dados padrão do setor é essencial para dados confidenciais que não se deseja
que caiam em mãos erradas. Esses padrões dependem dos níveis de sensibilidade. A exclusão e descarte de
dados em dispositivos eletrônicos é apenas virtual, mas permanece fisicamente, representando uma ameaça à
segurança.
Métodos como formatação do disco rígido ou exclusão de partições não podem excluir completamente os dados
do arquivo. No entanto, é importante destruir os dados e protegê-los de recuperação, após a coleta de evidências
do computador. Portanto, a única maneira de apagar completamente os dados e protegê-los da recuperação é
sobrescrever os dados aplicando um código de zeros sequenciais ou
uns.
Além disso, uma vez que os dados de destino são coletados e analisados, a mídia deve ser descartada
adequadamente para evitar a recuperação de dados e proteger sua confidencialidade.
Os investigadores podem seguir diferentes padrões conforme abaixo ao higienizar a mídia de destino:
ÿ Padrão Russo, GOST P50739-95 (6 passes): É um método de limpeza que escreve zeros em
a primeira passagem e, em seguida, bytes aleatórios na próxima passagem
ÿ (Alemão) VSITR (7 passagens): Este método sobrescreve em 6 passagens com sequências alternativas
de 0x00 e 0xFF, e com 00xAA na última (7ª) passagem
ÿ (Americano) NAVSO P-5239-26 (MFM) (3 passagens): Este é um algoritmo de substituição de três

passagens que verifica na última passagem


ÿ (Americano) DoD 5220.22-M (7 passagens): Este padrão destrói os dados na área necessária da unidade
substituindo por 010101 na primeira passagem, 101010 na segunda passagem e repetindo esse processo
três vezes. Esse método substitui essa área com caracteres aleatórios, que é a 7ª passagem.
ÿ (Americano) NAVSO P-5239-26 (RLL) (3 passagens): Este é um algoritmo de substituição de três passagens
que verifica na última passagem
NIST SP 800-88: A orientação NIST SP 800-88 proposta explica três métodos de sanitização-
ÿ Limpar: Técnicas lógicas aplicadas para limpar dados em todas as áreas de armazenamento usando os
comandos padrão de leitura e gravação
ÿ Expurgo: Envolve técnicas físicas ou lógicas para inviabilizar a recuperação dos dados de destino, usando
técnicas laboratoriais de ponta
ÿ Destroy: Possibilita a inviabilização da recuperação dos dados do alvo com o uso de técnicas laboratoriais de
ponta, o que resulta na impossibilidade de utilização da mídia para armazenamento de dados
O Instituto Nacional de Padrões e Tecnologia emitiu um conjunto de diretrizes conforme abaixo para ajudar as
organizações a sanear os dados para preservar a confidencialidade das informações.
ÿ A aplicação de controles de acesso complexos e criptografia pode reduzir as chances de um invasor obter
acesso direto a informações confidenciais
ÿ Uma organização pode dispor dos dados de mídia não tão úteis por meio interno ou externo
transferência ou por reciclagem para cumprir a sanitização de dados
ÿ Técnicas eficazes de higienização e rastreamento de mídia de armazenamento são cruciais para garantir
proteção de dados confidenciais por organizações contra invasores
ÿ Todas as organizações e intermediários são responsáveis por informações eficazes

gerenciamento e sanitização de dados
A destruição física da mídia envolve técnicas, como a trituração cruzada. Os departamentos podem destruir a mídia
no local ou por meio de terceiros que atendam aos padrões de confidencialidade.
Os investigadores devem considerar o tipo de mídia de destino que estão usando para copiar ou duplicar os dados e
selecionar um método de sanitização apropriado para garantir que nenhuma parte dos dados anteriores permaneça
na mídia de destino que armazenará os arquivos de evidência. A mídia anterior pode alterar as propriedades ou alterar
os dados e sua estrutura.


Passo 4: Adquira Dados Voláteis

ÿ A aquisição de dados voláteis envolve a coleta de dados que são perdidos quando o computador é desligado ou reiniciado
ÿ Esses dados geralmente correspondem a processos em execução, usuários logados, registros, DLLs, dados da área de transferência, arquivos abertos, etc.
Adquira dados voláteis de uma máquina Windows
ÿ Belkasoft Live RAM Capturer é uma ferramenta forense

que permite extrair todo o conteúdo da memória
volátil de um computador
ÿ Salva os arquivos de imagem no formato .mem
Observação: ao realizar a aquisição ao vivo, o investigador deve estar

ciente do fato de que trabalhar em um sistema ativo pode alterar o
conteúdo da RAM ou os processos em execução no sistema. Qualquer
ação involuntária executada no sistema pode tornar o sistema inacessível.
https:// belkasoft.com
Passo 4: Adquira Dados Voláteis
Como o conteúdo da RAM e outros dados voláteis são dinâmicos, os investigadores precisam ter cuidado ao
adquirir esses dados. Trabalhar em um sistema ativo pode alterar o conteúdo da RAM ou os processos em
execução no sistema. Qualquer ação involuntária pode alterar datas e horários de acesso a arquivos, usar
bibliotecas compartilhadas ou DLLs, acionar a execução de malware ou, no pior dos casos, forçar uma
reinicialização, tornando o sistema inacessível. Portanto, o exame de um sistema ativo e a aquisição de dados
voláteis devem ser conduzidos com cuidado. Enquanto a maioria dos dados voláteis são recuperados examinando
o sistema ativo, aproximadamente a mesma quantidade de dados pode ser obtida examinando a imagem
adquirida da memória do sistema. As seções a seguir descrevem como adquirir dados voláteis de sistemas
Windows, Linux e Mac.
Adquira dados voláteis de uma máquina Windows
Ferramentas forenses como o Belkasoft Live RAM Capturer podem ser usadas para extrair todo o conteúdo da
memória volátil do computador. Esta ferramenta salva os arquivos de imagem no formato .mem.
Belkasoft Live RAM Capturer
Fonte: https:// belkasoft.com
O Belkasoft Live RAM Capturer é uma ferramenta forense de código aberto que permite a extração confiável de
todo o conteúdo da memória volátil do computador, mesmo se protegida por um sistema anti-depuração ou anti-
dumping ativo. Compilações separadas de 32 bits e 64 bits estão disponíveis para minimizar a pegada da
ferramenta. Despejos de memória capturados com Belkasoft Live RAM Capturer podem ser analisados com Live
RAM Analysis usando o software Belkasoft Evidence Center. O Belkasoft Live RAM Capturer é compatível com
todas as versões e edições do Windows, incluindo XP, Vista, Windows 7, 8 e 10, 2003 e 2008 Server.


Figura 4.3: Capturando RAM de uma máquina
Observação: ao realizar a aquisição ao vivo, o investigador deve estar ciente do fato de que
trabalhar em um sistema ativo pode alterar o conteúdo da RAM ou os processos em execução
no sistema. Qualquer ação involuntária executada no sistema pode tornar o sistema inacessível.


Etapa 5: ativar a proteção contra

gravação na mídia de evidência
ÿ É necessário proteger contra gravação a unidade suspeita usando bloqueadores de
gravação para preservar e proteger as evidências contidas nela
ÿ Um bloqueador de gravação é um dispositivo de hardware ou aplicativo de software que

permite a aquisição de dados da mídia de armazenamento sem alterar seu conteúdo
ÿ Bloqueia comandos de gravação, permitindo assim acesso somente leitura à mídia

de armazenamento
ÿ Se o bloqueador de gravação de hardware for usado:
• Instale um dispositivo bloqueador de gravação
• Inicialize o sistema com o sistema operacional controlado pelo examinador
• Exemplos de dispositivos de hardware: CRU® WiebeTech® USB WriteBlocker ,

Tableau Forensic Bridges, etc.
ÿ Se o bloqueador de gravação de software for usado:
• Inicialize o sistema com o sistema operacional controlado pelo examinador
• Ativar proteção contra gravação
• Exemplos de aplicativos de software: SAFE Block, MacForensicsLab Write Controller,

etc.
Etapa 5: ativar a proteção contra gravação na mídia de evidência
A proteção contra gravação refere-se a uma ou mais medidas que impedem que uma mídia de armazenamento seja
gravada ou modificada. Ele pode ser implementado por um dispositivo de hardware ou por um programa de software no
computador que acessa a mídia de armazenamento. A ativação da proteção contra gravação permite que os dados sejam
lidos, mas proíbe a gravação ou modificação.
No contexto da aquisição de dados forenses, a mídia de evidência - que se refere ao armazenamento no dispositivo
original do qual os dados devem ser copiados para um dispositivo de armazenamento separado - deve ser protegida
contra gravação para protegê-la de modificações.
A proteção contra gravação é importante porque os investigadores forenses devem estar confiantes sobre a integridade
das evidências que obtêm durante a aquisição, análise e gerenciamento. As provas devem ser legítimas para serem
aceitas pelas autoridades do tribunal.
Portanto, o investigador precisa implementar um conjunto de procedimentos para impedir a execução de qualquer
programa que possa alterar o conteúdo do disco.
A seguir, algumas medidas que fornecem mecanismos de defesa contra alterações:
ÿ Defina um jumper de hardware para tornar o disco somente leitura
ÿ Use sistema operacional e software que não podem gravar no disco, a menos que instruído
ÿ Empregar uma ferramenta de bloco de gravação de disco rígido para proteger contra gravações de disco


Ferramentas de bloqueio de gravação de hardware e software fornecem acesso somente leitura a discos rígidos e outros dispositivos de
armazenamento sem comprometer sua segurança. As principais diferenças entre essas soluções surgem durante as etapas de instalação e uso.
ÿ
Se o bloqueador de gravação de hardware for usado:
o Instale um dispositivo bloqueador de gravação
o Inicialize o sistema com o sistema operacional controlado pelo examinador
o Exemplos de dispositivos de hardware: CRU® WiebeTech® USB WriteBlocker™, Tableau Forensic USB Bridge, etc.
ÿ
Se o bloqueador de gravação de software for usado:
o Inicialize o sistema com o sistema operacional controlado pelo examinador
o Ativar proteção contra gravação
o Exemplos de aplicativos de software: SAFE Block, MacForensicsLab Write Controller,

etc.


Passo 6: Adquira Não Volátil

Dados
Os dados não voláteis podem ser adquiridos tanto na aquisição ao vivo
01 quanto na aquisição morta. Envolve principalmente a aquisição de

dados de um disco rígido.
Não há diferença significativa na quantidade de dados adquiridos de
02 um disco rígido entre os métodos de aquisição ativos e inativos
A aquisição ao vivo de um disco rígido é realizada usando

ferramentas de aquisição remota (por exemplo, netcat) e CDs ou USBs
inicializáveis (por exemplo, CAINE); enquanto a aquisição morta envolve
03 remover o disco rígido da unidade suspeita, conectá-lo a uma estação de
trabalho forense, bloquear a gravação do disco rígido e executar uma
ferramenta de aquisição forense no disco
Etapa 6: adquirir dados não voláteis
Os dados não voláteis podem ser adquiridos de um disco rígido durante os processos de aquisição ativos e inativos.
Os investigadores podem usar ferramentas de aquisição remota, como Netcat, ou CDs ou USBs inicializáveis por meio de
ferramentas como CAINE para realizar a aquisição ao vivo de um disco rígido.
O processo de aquisição de mortos pode ser realizado através das seguintes etapas:
ÿ Remova o disco rígido da unidade suspeita
ÿ Conecte-o a uma estação de trabalho forense para realizar a aquisição
ÿ Bloqueie o disco rígido para garantir que ele forneça apenas acesso somente leitura ao disco rígido e evite qualquer
modificação ou adulteração de seu conteúdo
ÿ Executar qualquer ferramenta de aquisição forense adequada para fins de aquisição/coleta de dados


Etapa 6: Adquira dados não voláteis (usando um Windows

Estação de trabalho forense)
ÿ Para adquirir a imagem forense de um disco rígido durante a aquisição inativa, remova o disco rígido, conecte-o a um
estação de trabalho, habilite o bloqueador de gravação e execute uma ferramenta de imagem forense (por exemplo, AccessData FTK Imager) na
estação de trabalho ÿ AccessData FTK Imager é um programa de imagem de disco que pode visualizar dados recuperáveis de um disco de qualquer tipo e também
criar cópias, chamadas imagens forenses, desses dados
http:// accessdata.com
Etapa 6: Adquirir dados não voláteis (usando uma estação de trabalho forense do Windows)
Para adquirir uma imagem forense de um disco rígido durante a aquisição inoperante, os investigadores precisam remover
o disco rígido, conectá-lo a uma estação de trabalho forense, habilitar um bloqueador de gravação e executar uma
ferramenta de imagem forense como o AccessData FTK Imager na estação de trabalho.
AccessData FTK Imager
Fonte: https:// accessdata.com
FTK Imager é uma ferramenta de visualização e imagem de dados. Ele também pode criar cópias perfeitas (imagens
forenses) de dados de computador sem fazer alterações na evidência original.
Características
ÿ Crie imagens forenses de discos rígidos locais, CDs e DVDs, pen drives ou outros dispositivos USB, pastas inteiras
ou arquivos individuais de vários locais na mídia
ÿ Permite visualizar arquivos e pastas em discos rígidos locais, unidades de rede, CDs e DVDs,
pen drives ou outros dispositivos USB
ÿ Permite visualizar o conteúdo de imagens forenses armazenadas em uma máquina local ou

unidade de rede
ÿ Permite montar uma imagem para uma exibição somente leitura que aproveita o Windows Internet
Explorer para exibir o conteúdo da imagem exatamente como o usuário a viu na unidade original
ÿ Exporta arquivos e pastas de imagens forenses
ÿ Recupera arquivos que foram excluídos da Lixeira, mas ainda não foram
substituído na unidade


ÿ Cria hashes de arquivos para verificar a integridade dos dados usando uma das duas funções de
hash disponíveis no FTK Imager: Message Digest 5 (MD5) e Secure Hash Algorithm
(SHA-1)
Figura 4.4: Selecionando o diretório de destino para armazenar o arquivo de imagem
Figura 4.5: Imagem criada com sucesso


Passo 7: Plano de Contingência

ÿ Os investigadores devem se preparar para contingências, como quando o hardware ou software não funciona,
ou ocorre uma falha durante a aquisição
Aquisição de Dados do Disco Rígido X-Ways Forense Primeira cópia de

Evidências Digitais
Os investigadores devem criar pelo menos duas imagens das
evidências digitais coletadas, a fim de preservá-las. Se uma cópia da
evidência digital recuperada for corrompida, os investigadores poderão usar a
Segunda cópia de
outra cópia. Evidências Digitais
Forense Pro-Discover Evidências Digitais
Ferramentas de imagem
Evidência de imagem Primeira cópia de
Se você possui mais de uma ferramenta de imagem, como Pro
Evidências Digitais
DiscoverForensics ou AccessData FTK Imager, é recomendável
criar a primeira imagem com uma ferramenta e a segunda imagem com
a outra ferramenta. Caso possua apenas uma ferramenta, faça duas ou mais
Segunda cópia de
imagens do drive utilizando a mesma ferramenta. Evidências Digitais Evidência de imagem Evidências Digitais
Etapa 7: Plano de contingência (continuação)
Ferramenta de Aquisição de Hardware Descriptografia da unidade
Considere o uso de uma ferramenta de aquisição de Esteja preparado para lidar com unidades criptografadas
hardware (como UFED Ultimate ou IM SOLO-4 G3 IT que precisam que o usuário forneça a chave de
RUGGEDIZED) que pode acessar a unidade descriptografia para descriptografar. A Microsoft inclui
no nível do BIOS para copiar dados no Host um recurso de criptografia de disco completo (BitLocker)
Área Protegida (HPA) com edições selecionadas do Windows Vista e posteriores.
Acessando o Drive
no nível do BIOS
Chave de descriptografia
hardware
Disco rígido
Ferramenta de Aquisição
Unidade Criptografada Unidade descriptografada
Passo 7: Plano de Contingência
Na investigação forense digital, o planejamento de contingência refere-se a um programa de backup que um

investigador deve ter caso determinado hardware ou software não funcione ou ocorra uma falha durante uma
aquisição. O planejamento de contingência é necessário para todas as investigações cibernéticas, pois
auxilia os investigadores na preparação para eventos inesperados. Especificamente, é um processo que ajuda na


concluir o processo de investigação, fornecendo soluções alternativas para as ferramentas de software ou hardware com falha.
Os planos de contingência devem incluir:
ÿ Aquisição de Dados do Disco Rígido
Os investigadores devem criar pelo menos duas imagens das evidências digitais coletadas, a fim de preservá-las.
Se uma cópia da evidência digital recuperada for corrompida, os investigadores poderão usar a outra cópia.
Figura 4.6: Aquisição de dados do disco rígido
ÿ Ferramentas de Imagem
Se você possui mais de uma ferramenta de imagem, como Pro-DiscoverForensics ou AccessData FTK Imager, é
recomendável criar a primeira imagem com uma ferramenta e a segunda imagem com a outra ferramenta. Caso
possua apenas uma ferramenta, faça duas ou mais imagens do drive utilizando a mesma ferramenta.
Figura 4.7: Aquisição de dados usando ferramentas de imagem
ÿ Ferramentas de Aquisição de Hardware
Considere o uso de uma ferramenta de aquisição de hardware (como UFED Ultimate ou IM SOLO-4 G3 IT
RUGGEDIZED) que pode acessar a unidade no nível do BIOS para copiar dados no Host
Área Protegida (HPA)
Figura 4.8: Aquisição de dados usando a ferramenta de aquisição de hardware


ÿ Descriptografia de Unidade
Esteja preparado para lidar com unidades criptografadas que precisam que o usuário forneça a chave de descriptografia
para descriptografar. A Microsoft inclui um recurso de criptografia de disco completo (BitLocker) com edições selecionadas
do Windows Vista e posteriores.
Figura 4.9: Descriptografia da unidade


Etapa 8: validar os dados

Aquisição
A validação da aquisição de dados envolve o cálculo do valor de hash da

mídia de destino e a comparação com sua contraparte forense para garantir
que os dados sejam completamente adquiridos
O número único (valor de hash) é referido como uma “impressão

digital”
Como os valores de hash são únicos, se dois arquivos tiverem o mesmo

valor de hash, eles serão 100% idênticos, mesmo que os nomes dos arquivos
sejam diferentes
Algoritmos utilitários que produzem valores de hash incluem CRC-32,

MD5, SHA-1 e SHA-256
Etapa 8: validar a aquisição de dados
Um aspecto importante da computação forense é a validação de evidências digitais. Isso é essencial para verificar a
integridade dos dados. A validação da aquisição de dados envolve calcular o valor de hash da mídia de destino e compará-
la com sua contraparte forense para garantir que os dados foram completamente adquiridos.
O número exclusivo (valor de hash) é chamado de impressão digital, que representa a exclusividade de um arquivo ou
unidade de disco. Quando dois arquivos têm os mesmos valores de hash, eles são considerados idênticos, mesmo que
tenham nomes de arquivo diferentes, pois os valores de hash são gerados com base em seu conteúdo real. Mesmo uma
pequena modificação no conteúdo de um arquivo altera completamente seu valor de hash. Além disso, um hash é uma
função unidirecional, o que implica que a descriptografia é impossível sem uma chave.
A seguir estão alguns algoritmos de hash que podem ser usados para validar os dados adquiridos:
ÿ CRC-32: O algoritmo de código de redundância cíclica-32 é uma função hash baseada na ideia de divisão polinomial.
O número 32 indica que o tamanho do valor de hash ou soma de verificação resultante é de 32 bits. A soma de
verificação identifica erros após a transmissão ou armazenamento de dados.
ÿ MD5: Este é um algoritmo usado para verificar a integridade dos dados criando um resumo de mensagem de 128 bits
a partir da entrada de dados de qualquer tamanho. Cada valor de hash MD5 é exclusivo para essa entrada de
dados específica.
ÿ SHA-1: Secure Hash Algorithm-1 é uma função hash criptográfica desenvolvida pela Agência de Segurança Nacional
dos Estados Unidos e é um Padrão de Processamento de Informações Federais dos EUA emitido pelo NIST. Ele
cria um valor de hash de 160 bits (20 bytes) chamado resumo de mensagem. Esse valor de hash é um número
hexadecimal de 40 dígitos.


ÿ SHA-256: Este é um algoritmo de hash criptográfico que cria um hash único e de tamanho
fixo de 256 bits (32 bytes). Portanto, é ideal para tecnologias anti-adulteração, validação
de senha, assinaturas digitais e autenticação de hash de desafio.


Etapa 8: validar a aquisição de dados – métodos de validação do Windows

ÿ Os computadores Windows vêm com o utilitário PowerShell , que tem a capacidade de executar o cmdlet ÿ O
cmdlet Get-FileHash calcula o valor de hash para um arquivo de evidência usando o algoritmo de hash especificado ÿ Esse valor de hash é
usado em toda a investigação para validar a integridade do evidência ÿ Os investigadores também podem usar programas forenses comerciais
de computador, que possuem recursos de validação integrados que podem

ser usado para validar os arquivos de evidência
ÿ Por exemplo:
ÿ Os arquivos .eve do ProDiscover contêm metadados em

arquivos segmentados ou arquivos de aquisição, incluindo o
valor de hash para a mídia original
ÿ Quando você carrega a imagem no ProDiscover, ele compara o valor

de hash desta imagem com o valor de hash da mídia original
ÿ Caso os hashes não coincidam, a ferramenta notifica que a

imagem está corrompida, dando a entender que a prova não
pode ser considerada confiável
Observação: na maioria das ferramentas forenses de computador, os arquivos de imagem em formato bruto não contêm metadados. Para aquisições brutas, portanto,
uma validação manual separada é recomendada durante a análise.
Etapa 8: validar a aquisição de dados - métodos de validação do Windows
ÿ Os computadores Windows vêm com o utilitário PowerShell, que tem a capacidade de executar o cmdlet
ÿ O cmdlet Get-FileHash calcula o valor de hash para um arquivo de evidência usando o

algoritmo de hash especificado
ÿ Este valor de hash é usado durante toda a investigação para validar a integridade do
evidência
Figura 4.10: Calculando o valor do hash
ÿ Os investigadores também podem usar programas forenses comerciais de computador, que possuem recursos de
validação integrados que podem ser usados para validar os arquivos de evidências
ÿ Por exemplo:
o Os arquivos .eve do ProDiscover contêm metadados em arquivos segmentados ou arquivos de aquisição,

incluindo o valor de hash para a mídia original


o Quando você carrega a imagem no ProDiscover, ele compara o valor de hash desta imagem com o valor de
hash da mídia original
o Se os hashes não coincidirem, a ferramenta notifica que a imagem está corrompida, dando a entender que
a evidência não pode ser considerada confiável
Observação: na maioria das ferramentas forenses de computador, os arquivos de imagem em formato bruto não
contêm metadados. Para aquisições brutas, portanto, uma validação manual separada é recomendada durante a análise.


Resumo do módulo
Este módulo discutiu os fundamentos de aquisição de dados
Ele discutiu os diferentes tipos de aquisição de dados
Também discutiu em detalhes o formato de aquisição de dados
Finalmente, este módulo terminou com uma

discussão detalhada sobre a metodologia de aquisição de dados
No próximo módulo, discutiremos em detalhes como

derrotar técnicas anti-forenses
Resumo do módulo
Este módulo discutiu os fundamentos da aquisição de dados. Explicou os diferentes tipos de aquisição
de dados e discutiu em detalhes os formatos de aquisição de dados. Finalmente, este módulo
apresentou uma discussão detalhada sobre a metodologia de aquisição de dados.
No próximo módulo, discutiremos em detalhes as contramedidas para derrotar as técnicas anti-forenses.


MODULE 04 - Data Acquisition and Duplication

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

MODULE 04 - Data Acquisition and Duplication

Enviado por

Direitos autorais:

Formatos disponíveis

Machine Translated by Google

Fundamentos de Perícia Forense Digital Exame 112-53

Entendendo a Aquisição de Dados

Compreendendo os diferentes tipos

Entendendo a Aquisição de Dados

Entendendo a Aquisição de Dados

Copyright © por EC-Council. Todos os direitos reservados. A reprodução é estritamente proibida.

ÿ Compreender os fundamentos de aquisição de dados

ÿ Explicar os diferentes tipos de aquisição de dados

ÿ Descrever o formato de aquisição de dados

ÿ Compreender a metodologia de aquisição de dados

Módulo 04 Página 186 Digital Forensics Essentials Copyright © por EC-Council

Fundamentos de Perícia Forense Digital Exame 112-53

Copyright © por EC-Council. Todos os direitos reservados. A reprodução é estritamente proibida.

Entenda os fundamentos da aquisição de dados

Módulo 04 Página 187 Digital Forensics Essentials Copyright © por EC-Council

Fundamentos de Perícia Forense Digital Exame 112-53

Aquisição ao Vivo Aquisição Morta (Aquisição Estática)

Copyright © por EC-Council. Todos os direitos reservados. A reprodução é estritamente proibida.

Módulo 04 Página 188 Digital Forensics Essentials Copyright © por EC-Council

Fundamentos de Perícia Forense Digital Exame 112-53

Tipos de dados capturados durante a aquisição ao vivo

Dados do sistema Dados de rede

ÿ Configuração atual ÿ Processos em execução ÿ Tabelas de roteamento

ÿ Estado de execução ÿ Usuários logados ÿ Cache ARP

ÿ Data e hora ÿ DLLs ou bibliotecas compartilhadas ÿ Configuração de rede

Copyright © por EC-Council. Todos os direitos reservados. A reprodução é estritamente proibida.

Módulo 04 Página 189 Digital Forensics Essentials Copyright © por EC-Council

Fundamentos de Perícia Forense Digital Exame 112-53

Módulo 04 Página 190 Digital Forensics Essentials Copyright © por EC-Council

Fundamentos de Perícia Forense Digital Exame 112-53

ÿ Ao coletar evidências, um investigador precisa avaliar a ordem de

02 Tabela de roteamento, tabela de processos, estatísticas do kernel e memória

03 Arquivos de sistema temporários

04 Disco ou outra mídia de armazenamento

Registro remoto e monitoramento de dados relevantes para o sistema em questão

06 Configuração física e topologia de rede

Copyright © por EC-Council. Todos os direitos reservados. A reprodução é estritamente proibida.

1. Registros, cache do processador: As informações nos registros ou no cache do processador no computador

2. Tabela de roteamento, tabela de processos, estatísticas do kernel e memória: A tabela de roteamento,

Módulo 04 Página 191 Digital Forensics Essentials Copyright © por EC-Council

Fundamentos de Perícia Forense Digital Exame 112-53

5. Registro remoto e monitoramento de dados relacionados ao sistema de destino: Os dados

Módulo 04 Página 192 Digital Forensics Essentials Copyright © por EC-Council

Fundamentos de Perícia Forense Digital Exame 112-53

Copyright © por EC-Council. Todos os direitos reservados. A reprodução é estritamente proibida.

Os dados estáticos recuperados de um disco rígido incluem o seguinte:

ÿ Arquivos temporários (temp)

ÿ Cache do navegador da Web

ÿ Cookies e arquivos ocultos

Módulo 04 Página 193 Digital Forensics Essentials Copyright © por EC-Council

Fundamentos de Perícia Forense Digital Exame 112-53

Regras práticas para aquisição de dados

ÿ Ao criar cópias do original

Copyright © por EC-Council. Todos os direitos reservados. A reprodução é estritamente proibida.

Regras práticas para aquisição de dados

É essencial produzir duas cópias da mídia original antes de iniciar a investigação

ÿ Uma cópia é usada como cópia de trabalho para análise

Módulo 04 Página 194 Digital Forensics Essentials Copyright © por EC-Council

Fundamentos de Perícia Forense Digital Exame 112-53

Copyright © por EC-Council. Todos os direitos reservados. A reprodução é estritamente proibida.

Discutir diferentes tipos de aquisição de dados

Módulo 04 Página 195 Digital Forensics Essentials Copyright © por EC-Council

Fundamentos de Perícia Forense Digital Exame 112-53