Preservação

A aquisição e preservação dos dados na forense computacional

Embora as técnicas de investigação da Computação Forense sejam usadas em contextos relacionados às investigações criminais, os princípios e procedimentos são praticamente os mesmos quando utilizados para desvendar qualquer tipo de ataque em uma empresa (ALTHEIDE; CARVEY; DAVIDSON, 2011). Enquanto o tipo de investigação pode variar muito, as fontes dos vestígios geralmente são as mesmas: dados gerados e manipulados por computador.

Um dado no computador é, em sua base, uma sequência de 1s e 0s. Em última instância, é essa cadeia que as buscas realizam.

Por muito tempo, a investigação se concentrou em meios de armazenamento magnéticos e ópticos, o que aumenta a preocupação em coletar dumps de memória em um sistema em execução e do tráfego de dados em redes.

O objetivo da investigação forense é encontrar fatos e, por meio deles, recriar a verdade sobre o acontecimento. O examinador descobre a verdade sobre um acontecimento descobrindo e expondo os vestígios que foram deixados no sistema. Esses vestígios podem ser transformados em provas. (mais…)