Cópia Forense: sabe o que é uma análise “post mortem”?
A análise forense digital é um conjunto de procedimentos utilizados para identificar, preservar, analisar e apresentar dados digitais com valor probatório. No âmbito das cópias forenses, sabe o que é uma análise "post mortem"?
A cópia forense (ou imagem forense) numa análise post-mortem refere-se à criação de uma réplica bit-a-bit de dispositivos de armazenamento (discos rígidos, SSDs, pendrives) para preservar dados, em modo desligado. Esse processo é fundamental em investigações digitais para garantir a integridade e a admissibilidade legal das evidências.
Etapas comuns do Processo de uma análise post-mortem
- Remoção do equipamento e isolamento
- Remoção física do dispositivo do sistema original.
- Utilização de write-blockers - bloqueador físico ou lógico (hardware ou software) para impedir qualquer alteração acidental dos dados na cópia
- Criação da Imagem Forense
- Utilização de ferramentas como FTK Imager, Guymager ou dd para criar cópias bit a bit em formatos forenses (por exemplo, E01 ou AFF4).
- Fundamental ter capacidade de armazenamento suficiente para cópia do conteúdo original
- Cálculo da hash (MD5, SHA) para garantir a integridade da cópia e permitir a sua validação futura.
- Análise da Imagem
- Investigação de ficheiros, recuperação de dados apagados e análise de metadados num ambiente controlado, sem risco de alterar a evidência original.
A cópia forense post mortem é o método de referência para preservar evidências digitais sem alterações, tendo como foco os dados não voláteis armazenados em suportes físicos. O sucesso do processo depende do uso rigoroso de write-blockers, da verificação por hash e da utilização de ferramentas especializadas de análise forense.