Escolar Documentos
Profissional Documentos
Cultura Documentos
6.54.58-Aula 3 - Computação Forense - Parte 3
6.54.58-Aula 3 - Computação Forense - Parte 3
6.54.58-Aula 3 - Computação Forense - Parte 3
Softwares
cópias de um ou mais discos de origem para outros discos de destino (um ou mais
discos), não havendo esses equipamentos, a duplicação pode ser feita com softwares
específicos que não causam alterações nas evidências existentes no material
questionado.
Pode haver não somente riscos de alterações das informações armazenadas, mas
os dados contidos nos equipamentos computacionais podem ser perdidos com o passar
do tempo, em virtude do fim da vida útil dos materiais de fabricação, quebra dos
dispositivos mecânicos ou desmagnetização. Em razão desta fragilidade, é comum no
meio computacional fazer cópias de segurança dos dados (CONSTANTINO, 2012).
arquivos temporários (mesmo sem o usuário executar qualquer ação). Uma conexão de
pen drive na porta USB também pode gerar a gravação de dados no dispositivo.
Nesse sentido, podemos concluir que toda e qualquer atividade deve ser
executada buscando a garantia de que as informações armazenadas não irão sofrer
alterações. Assim, os exames forenses devem, sempre que possível, ser feitos em
cópias fiéis do material original (ALMEIDA, 2011). Ao finalizar a etapa de
preservação, o material questionado ou original que tenha sido copiado deve ser
lacrado e guardado como evidência em local específico (CONSTANTINO, 2012).
Após todos os cuidados para a preservação das provas, a perito parte para a etapa
seguinte que é a busca e coleta de evidências. A atuação pericial em um sistema violado
se inicia a partir do momento em que o profissional de segurança tenta identificar como
aconteceu o delito e qual a extensão do prejuízo causado, isto é, ele busca informações
e aspectos do sistema operacional que foram afetados. Posteriormente à etapa de
reconhecimento inicial, o perito procede à coleta e análise de evidências para obter o
máximo de dados periciais digitais possíveis (BEGOSSO, 2010).
As imagens Bit copy (cópia bit a bit) de discos rígidos com dados alocados e não
alocados podem conter informações importantes para a investigação, sendo que os
últimos (dados não alocados) podem ser intencionalmente excluídos, como podem ser
excluídos automaticamente gerando uma exclusão temporária de arquivos.
Infelizmente, muitas vezes esses dados não são facilmente acessados. Porém,
uma pesquisa nos dados brutos pode recuperar documentos de texto importantes, ainda
que esses não auxiliem na obtenção de informações presentes em imagens ou arquivos
compactados. Além disso, também acontece de não se ter conhecimento de antemão
das sequências exatas que devem ser procuradas (ALHERBAWI, SHUKUR,
SULAIMAN, 2013).
3
FORENSE DIGITAL E DOCUMENTOSCOPIA
Identificação e recuperação
Uma investigação deve ser conduzida primeiramente pela revisão das evidências
disponíveis e pela identificação de evidências perdidas ou apagadas. Esta etapa é
indispensável, principalmente porque leva o perito a informações não vistas e evita
conclusões incorretas ou incompletas sobre um determinado caso (CASEY, KATZ,
LEWTHWAITE, 2013).
Quando se tem informações a respeito dos arquivos que podem ter sido perdidos,
é preciso que esses sejam recuperados. Existem diversas formas de recuperar arquivos
do espaço não alocado, dentre as quais a maioria das técnicas faz uso de informações
do sistema de arquivos para localizar e recuperar aqueles excluídos. As vantagens dessa
abordagem são principalmente sua rapidez e a obtenção de metainformação (como data
de último acesso, resolução, ISO) que frequentemente pode ser recuperada.
Com isso, esses trechos se tornam inacessíveis para o usuário comum, mas os
peritos conseguem recuperá-los e acessá-los a partir de técnicas e procedimentos
específicos. Se o processo de recuperação demora a ser realizado, o profissional se
deparará com grande dificuldade de recuperação das informações do dispositivo, tendo
em vista que o espaço no disco nesse momento já é marcado como livre. Assim, o
4
FORENSE DIGITAL E DOCUMENTOSCOPIA
Windows:
5
FORENSE DIGITAL E DOCUMENTOSCOPIA
A. arquivos compactados;
B. arquivos mal nominados;
C. arquivos criptografados;
D. arquivos protegidos por senha;
E. Atributos de arquivos;
F. clusters marcados como ruins;
G. ID de segurança: ID de segurança da Microsoft é localizado no registro na lista
de perfis que possui dados do computador.
4. Slack space: Espaço existente no fim do arquivo do último Cluster que contém
dados do computador;
Linux/Unix:
2. O comando Is deve ser usado para visualizar o conteúdo do disco, para listar
todos os arquivos, inclusive os ocultos e listar os diretórios de forma recursiva.