O Evandro Della Vecchia (evandro@poasec.org), perito criminal do governo do RS, apresentou conceitos, técnicas e ferrametnas usadas em perícia digital, também chamada de forense digital. Vamos aos detalhes:
- Post mortem x live forensics
- Máquina desligada - sem acesso a dados da memória, somente armazenamento não volátil;
- Máquina ligada - pode acessar dados em memória e obter melhores resultados, especialmente em casos como de criptografia de disco;
- De dados ou equipamentos
- Dado é mais comum;
- Citou um exemplo de equipamento, onde foram identificadas características que permitiam determinar data e hora de impressão de documentos e modelo de impressora utilizado, a partir da versão impressa;
- Fases
- Identificação - mostrou situações curiosas, onde pen drives "esquisitos" poderiam passar despercebidos (ursos de pelúcia, pregadores, canetas, etc);
- Coleta - uso de ferramentas como dd, helix, dcfldd (mostra andamento) para obter informações de discos e partições e viabilizar a análise dos dados sem comprometer os dados originais. Uso de hash para garantia de integridade;
- Exame e Análise - uso de ferramentas como mmls para obter informação de partições, análise do setor de boot e extração de partição com dd, excluindo os 32 setores iniciais do disco para facilitar o uso posterior. Uso de fsstat para obter informações do sistema de arquivos, e istat para detalhes de inodes, além do foremost para recuperação de arquivos, no estudo de caso imagens;
- Conclusão - laudo com o resultado do exame e análise.
Nenhum comentário:
Postar um comentário