1 / 11

PERÍCIA EM INFORMÁTICA

PERÍCIA EM INFORMÁTICA. Aula 04 – Exames forenses em dispositivos de armazenamento computacional - Extração Curso de Sistemas de Informação. Prof. Diovani Milhorim. Exames em dispositivos de armazenamento. Fases do exame - dispositivos de armazenamento. Preservação Extração Análise

brigid
Download Presentation

PERÍCIA EM INFORMÁTICA

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. PERÍCIA EM INFORMÁTICA Aula 04 – Exames forenses em dispositivos de armazenamento computacional - Extração Curso de Sistemas de Informação. Prof. Diovani Milhorim

  2. Exames em dispositivos de armazenamento • Fases do exame - dispositivos de armazenamento. • Preservação • Extração • Análise • Formalização

  3. Exames em dispositivos de armazenamento • Fases do exame - dispositivos de armazenamento. • Extração Recuperação de todas as informações contidas na cópia dos dados provenientes da fase de preservação da evidência. Todos os procedimentos são realizados na cópia (imagem ou espelho) da evidência

  4. Exames em dispositivos de armazenamento • Fases do exame - dispositivos de armazenamento. • Extração Informações não se restrigem apenas aquelas visíveis inicialmente. Arquivos podem ser ocultos, temporários, criptografados, fragmentos deletados, etc... A busca de uma informação pode se tornar bastante complexa à medida que estes foram ocultos, criptografados ou mesmo apagados do sistema de arquivos.

  5. Exames em dispositivos de armazenamento • Fases do exame - dispositivos de armazenamento. • Extração Lembrando: Arquivos de um sistema não são apagados simplesmente. Na verdade o que ocorre é a liberação do espaço em disco pertencente ao arquivo para gravação. Pode-se localizar arquivos inteiros ou fragmentos de arquivos apagados com softwares específicos.

  6. Exames em dispositivos de armazenamento • Fases do exame - dispositivos de armazenamento. • Extração Busca de assinatura Assinatura: cabecalho de um tipo de arquivo que o indentifica. O processo de busca de um arquivo pela sua assinatura é chamado de “data carving”.

  7. Exames em dispositivos de armazenamento • Fases do exame - dispositivos de armazenamento. • Extração Recuperação de dados: Ferramentas mais utilizadas • Sleuth kit (TSK) – apanhado de ferramentas forenses • Autopsy – interface gráfica do TSK • Ontrack data recovery (ferramenta com custo)

  8. Exames em dispositivos de armazenamento • Fases do exame - dispositivos de armazenamento. • Extração Recuperação de dados: Prática 01 Analisar imagem de um sistema de arquivo para determinar a existência de arquivos deletados.

  9. Exames em dispositivos de armazenamento • Fases do exame - dispositivos de armazenamento. Prática 01 Passo 01: Criando diretório de imagens: #mkdir /opt/imagens Criando imagem do disco #dd if=/dev/sdb1 conv=notrunc,noerror,sync > /opt/imagens/pendrive01.img

  10. Exames em dispositivos de armazenamento • Fases do exame - dispositivos de armazenamento. Prática 01 Passo 02: Utilizando o autopsy : No navegador: localhost:9999/autospy

  11. Exames em dispositivos de armazenamento • Fases do exame - dispositivos de armazenamento. Prática 01 Passo 03: • Criando um case. • Adicionando imagem • Criando MD5 • Opção “file analysys” • Busca por arquivos deletados

More Related