PERÍCIA EM INFORMÁTICA
11
PERÍCIA EM INFORMÁTICA Aula 04 – Exames forenses em dispositivos de armazenamento computacional - Extração Curso de Sistemas de Informação. Prof. Diovani Milhorim
description
PERÍCIA EM INFORMÁTICA. Aula 04 – Exames forenses em dispositivos de armazenamento computacional - Extração Curso de Sistemas de Informação. Prof. Diovani Milhorim. Exames em dispositivos de armazenamento. Fases do exame - dispositivos de armazenamento. Preservação Extração Análise - PowerPoint PPT Presentation
Transcript of PERÍCIA EM INFORMÁTICA
PERÍCIA EM INFORMÁTICA
Aula 04 – Exames forenses em dispositivos de armazenamento computacional - Extração
Curso de Sistemas de Informação.
Prof. Diovani Milhorim
Exames em dispositivos de armazenamento
• Fases do exame - dispositivos de armazenamento.
• Preservação• Extração• Análise• Formalização
Exames em dispositivos de armazenamento
• Fases do exame - dispositivos de armazenamento.
• Extração
Recuperação de todas as informações contidas na cópia dos dados provenientes da fase de preservação da evidência.
Todos os procedimentos são realizados na cópia (imagem ou espelho) da evidência
Exames em dispositivos de armazenamento
• Fases do exame - dispositivos de armazenamento.
• Extração
Informações não se restrigem apenas aquelas visíveis inicialmente.
Arquivos podem ser ocultos, temporários, criptografados, fragmentos deletados, etc...
A busca de uma informação pode se tornar bastante complexa à medida que estes foram ocultos, criptografados ou mesmo apagados do sistema de arquivos.
Exames em dispositivos de armazenamento
• Fases do exame - dispositivos de armazenamento.
• Extração
Lembrando:
Arquivos de um sistema não são apagados simplesmente. Na verdade o que ocorre é a liberação do espaço em disco pertencente ao arquivo para gravação. Pode-se localizar arquivos inteiros ou fragmentos de arquivos apagados com softwares específicos.
Exames em dispositivos de armazenamento
• Fases do exame - dispositivos de armazenamento.
• Extração
Busca de assinatura
Assinatura: cabecalho de um tipo de arquivo que o indentifica.
O processo de busca de um arquivo pela sua assinatura é chamado de “data carving”.
Exames em dispositivos de armazenamento
• Fases do exame - dispositivos de armazenamento.
• Extração
Recuperação de dados: Ferramentas mais utilizadas
• Sleuth kit (TSK) – apanhado de ferramentas forenses• Autopsy – interface gráfica do TSK• Ontrack data recovery (ferramenta com custo)
Exames em dispositivos de armazenamento
• Fases do exame - dispositivos de armazenamento.
• Extração
Recuperação de dados: Prática 01
Analisar imagem de um sistema de arquivo para determinar a existência de arquivos deletados.
Exames em dispositivos de armazenamento
• Fases do exame - dispositivos de armazenamento.
Prática 01
Passo 01: Criando diretório de imagens:
#mkdir /opt/imagens
Criando imagem do disco
#dd if=/dev/sdb1 conv=notrunc,noerror,sync > /opt/imagens/pendrive01.img
Exames em dispositivos de armazenamento
• Fases do exame - dispositivos de armazenamento.
Prática 01
Passo 02:
Utilizando o autopsy :
No navegador: localhost:9999/autospy
Exames em dispositivos de armazenamento
• Fases do exame - dispositivos de armazenamento.
Prática 01
Passo 03:
• Criando um case.• Adicionando imagem• Criando MD5• Opção “file analysys”• Busca por arquivos deletados
