Em esta oportunidade
nos ajudou uma Ex-Perito Forense do Corpo Técnico de Investigações da
Promotoria Geral da Nação na Colômbia, que leva mais de 10 anos no rubro realizando
este tipo de investigações. Ela sempre usou EnCase Forensic V5 e V6 para sua
análise, mas agora está trabalhando com Media Development S.A., uma contratante
da Guidance Software, e também trabalha
com ARCCL (Aliança Regional Contra o Cibercrime). Ela recentemente começou a usar
o EnCase Forensic V7 exclusivamente. Depois de um ano usando a versão mais
atual do EnCase Forensic, ela afirma que é muito melhor que as versões
anteriores. A seguir, ela compartilhou comparações e observações das
características que diferenciam a V7 das versões anteriores do software.
Ela nos contou que a
primeira mudança radical que ela percebeu foi a interface gráfica do EnCase
Forensic V7, que apresenta a informação de uma maneira mais amigável ao usuário
que a interface da V6. Percebeu também que toda a funcionalidade está mais
organizada, mostrando todas as configurações desde um menu inicial que permite
lançar tarefas que aparecem em um formato de guias, tal como em um navegador
web. Em versões anteriores tínhamos que acessar diferentes janelas para executar
funções diferentes, criando uma provável confusão ao usuário:
EnCase Forensic V7 melhorou marcadamente porque agora os peritos ou
examinadores têm a garantia de trabalhar seus casos com maior força, eficácia e
obtendo melhores resultados. Entre outras das características destacáveis de
V7, ela menciona que é mais potente no momento da aquisição de imagens de
diferentes dispositivos. Esta nova versão pode coletar dados da memória física
(RAM) e de todos os processos que estão sendo executados em um dispositivo,
exibindo de uma maneira rápida e eficiente todo o que contém a evidência
examinada:
Outra das vantagens
que ela destacou da atualização desde uma versão previa do produto é a
facilidade para identificar diferenças entre diferentes tipos de elementos, uma
coisa que ela sempre pensou que faltava nas versões anteriores. Entre as novidades
que achou mais inesperadas mencionou o menu de dispositivos, no qual se podem
realizar aquisições de dispositivos que não eram tão comuns na época das
versões anteriores, como smartphones e tablets; com suporte para sistemas iOS, Blackberry,
Android e Symbian, entre outros:
Na V7, ela nos conta, podemos
processar e indexar a evidência em um só passo e através de uma só janela. Isto
agiliza drasticamente a quantidade de tempo necessária para obter resultados,
gerando informes completos sobre os dados encontrados e, como é característico
da tecnologia EnCase, mantendo sempre a integridade da evidência. Além disso,
devo adicionar que o processamento da evidência pode ser realizado junto com o
a aquisição, reduzindo ainda mais o tempo necessário para poder fazer sua
análise. Esta funcionalidade é personalizável, permitindo que o investigador
decida a melhor maneira de maximizar o uso do seu tempo:
O processamento de evidência não é a única coisa que a V7 melhorou, os
resultados produzidos pelo processamento são mostrados de uma maneira muito
mais amigável e compreensível, o que não acontecia na V6 que mostrava a maioria
dos resultados sem formato (formato plano). Outra característica importante da V7
é a possibilidade de efetuar tarefas comuns de investigação de maneira
automatizada, graças a uma variedade robusta de EnScripts que permitem
visualizar os resultados de uma maneira mais organizada:
Na imagem a seguir vemos outra novidade
da V7, ao processar o módulo que obtém a informação do sistema, conseguimos
rapidamente datas relacionadas à criação e manipulação de um dispositivo, como
datas de instalações, quando foi acessado o dispositivo por última vez, quando
foi apagado, etc. Estes resultados são essenciais nas Investigações Forenses, e
agora podem ser encontrados sem a necessidade de investigar exaustivamente o
registro do sistema:
A V7 de EnCase Forensics também
mostra muito melhor os resultados relacionados a dispositivos de armazenamento externos,
indicando números de série, marcas, usuários, datas de conexão aos computadores
da empresa, etc. Esta parte agrada muito aos investigadores, porque na V6 teríamos
que processar varias opções para poder reunir as características de um
dispositivo de armazenamento externo, agora reunidos em um só passo:
Os investigadores forenses que ainda
não conhecem os benefícios oferecidos pelo EnCase Forensic V7 deveriam assumir
o desafio de atualizar suas ferramentas, posto que a V7 oferece possibilidades
que nenhuma outra ferramenta atual tem para a análise de evidência digital, possibilidades
que excedem o mencionado neste artículo. A V7 também tem atualizações notáveis
para a análise de e-mail (recriando mensagens e conversas completas), criação
de reportes personalizável, etc.
As pessoas que provam EnCase Forensic V7 asseguram
uma notável melhoria na sua capacidade e velocidade de análise. Não duvide em mudar
para o EnCase Forensic V7, você poderá
processar mais, mais rápido e com melhores resultados.
RELACIONADOS
Que Papel Desempenham Os Metadados Dentro De Uma Evidência?
Como Obter Evidencia Em Ajustes De Discos
O Reto Forense Em Discos De Estado Sólido (SSD)
Grupo de LinkedIn: Usuários do EnCase - Português
Como Obter Evidencia Em Ajustes De Discos
O Reto Forense Em Discos De Estado Sólido (SSD)
Grupo de LinkedIn: Usuários do EnCase - Português
No comments :
Post a Comment