Como Obter Evidência Em Ajustes De Discos

O ambiente comum numa cena de delito cibernético é encontrar-se com equipamento de escritório, dispositivos extraíveis (USB, discos duros externos), entre outros. Mas quando o investigador forense se enfrenta a uma cena onde há equipamentos de computadores tipo servidores, como os ajustes RAID ou um conjunto redundante de discos independentes, que fazem referência a um sistema com grande capacidade de armazenamento que usa múltiplos discos duros (podem conter, ditos sistemas, uma infinidade de informação); é nesse momento que o investigador forense deve ter a sagacidade de perceber qual a informação que se requer e como vai assegurar-se, mantendo sua integridade.

Muitas das técnicas e ferramentas existentes para a análise forense foram evolucionando no tema, mas padecem de um defeito: estão orientadas ao mundo do PC e somente ao acesso físico do hardware, discos duros de tamanho razoável, possibilidade de desconectar o sistema e confiscá-lo.

Se um experto forense encontra um caso desses onde o servidor está apagado, pode suceder várias coisas: uma delas é realizar a imagem forense através de EnCase® Forensic, fazendo-se de maneira ordenada; posteriormente realizar a reconstrução do RAID através de EnCase® e finalmente visualizar seu conteúdo como se fora somente uma unidade de disco.

Ademais, o experto forense ao enfrentar-se a este tipo de ajustes dentro de uma organização deve ter a habilidade de responder a este incidente realizando uma conexão remota através da ferramenta EnCase® Enterprise e avaliar a possibilidade de fazer aquisições físicas ou lógicas de acordo ao tipo de investigação e evidências que esteja buscando; também pode capturar dados voláteis (memória, processo e registro) do que esteja acontecendo dentro da organização de maneira ágil, oportuna e tendo resultados imediatos.

RELACIONADOS

O Reto Forense Em Discos De Estado Sólido (SSD) 

A Evidência Digital na América Latina

Os Básicos de Forense: A Tabela Mestra de Arquivos ($MFT)

Grupo de LinkedIn: Usuários do EnCase - Português 


No comments :

Post a Comment