PERCIA EM INFORMTICA Aula 04 Exames forenses em

PERÍCIA EM INFORMÁTICA Aula 04 – Exames forenses em dispositivos de armazenamento computacional - Extração Curso de Sistemas de Informação. Prof. Diovani Milhorim

Exames em dispositivos de armazenamento • Fases do exame - dispositivos de armazenamento. • Preservação • Extração • Análise • Formalização

Exames em dispositivos de armazenamento • Fases do exame - dispositivos de armazenamento. • Extração Recuperação de todas as informações contidas na cópia dos dados provenientes da fase de preservação da evidência. Todos os procedimentos são realizados na cópia (imagem ou espelho) da evidência

Exames em dispositivos de armazenamento • Fases do exame - dispositivos de armazenamento. • Extração Informações não se restrigem apenas aquelas visíveis inicialmente. Arquivos podem ser ocultos, temporários, criptografados, fragmentos deletados, etc. . . A busca de uma informação pode se tornar bastante complexa à medida que estes foram ocultos, criptografados ou mesmo apagados do sistema de arquivos.

Exames em dispositivos de armazenamento • Fases do exame - dispositivos de armazenamento. • Extração Lembrando: Arquivos de um sistema não são apagados simplesmente. Na verdade o que ocorre é a liberação do espaço em disco pertencente ao arquivo para gravação. Pode-se localizar arquivos inteiros ou fragmentos de arquivos apagados com softwares específicos.

Exames em dispositivos de armazenamento • Fases do exame - dispositivos de armazenamento. • Extração Busca de assinatura Assinatura: cabecalho de um tipo de arquivo que o indentifica. O processo de busca de um arquivo pela sua assinatura é chamado de “data carving”.

Exames em dispositivos de armazenamento • Fases do exame - dispositivos de armazenamento. • Extração Recuperação de dados: Ferramentas mais utilizadas • Sleuth kit (TSK) – apanhado de ferramentas forenses • Autopsy – interface gráfica do TSK • Ontrack data recovery (ferramenta com custo)

Exames em dispositivos de armazenamento • Fases do exame - dispositivos de armazenamento. • Extração Recuperação de dados: Prática 01 Analisar imagem de um sistema de arquivo para determinar a existência de arquivos deletados.

Exames em dispositivos de armazenamento • Fases do exame - dispositivos de armazenamento. Prática 01 Passo 01: Criando diretório de imagens: #mkdir /opt/imagens Criando imagem do disco #dd if=/dev/sdb 1 conv=notrunc, noerror, sync > /opt/imagens/pendrive 01. img

Exames em dispositivos de armazenamento • Fases do exame - dispositivos de armazenamento. Prática 01 Passo 02: Utilizando o autopsy : No navegador: localhost: 9999/autospy

Exames em dispositivos de armazenamento • Fases do exame - dispositivos de armazenamento. Prática 01 Passo 03: • Criando um case. • Adicionando imagem • Criando MD 5 • Opção “file analysys” • Busca por arquivos deletados