Cópia Forense: sabe o que é uma análise “post mortem”?

A análise forense digital é um conjunto de procedimentos utilizados para identificar, preservar, analisar e apresentar dados digitais com valor probatório. No âmbito das cópias forenses, sabe o que é uma análise "post mortem"?

A cópia forense (ou imagem forense) numa análise post-mortem refere-se à criação de uma réplica bit-a-bit de dispositivos de armazenamento (discos rígidos, SSDs, pendrives) para preservar dados, em modo desligado. Esse processo é fundamental em investigações digitais para garantir a integridade e a admissibilidade legal das evidências.

Etapas comuns do Processo de uma análise post-mortem

• Remoção do equipamento e isolamento
  • Remoção física do dispositivo do sistema original.
  • Utilização de write-blockers - bloqueador físico ou lógico (hardware ou software) para impedir qualquer alteração acidental dos dados na cópia
• Criação da Imagem Forense
  • Utilização de ferramentas como FTK Imager, Guymager ou dd para criar cópias bit a bit em formatos forenses (por exemplo, E01 ou AFF4).
  • Fundamental ter capacidade de armazenamento suficiente para cópia do conteúdo original
  • Cálculo da hash (MD5, SHA) para garantir a integridade da cópia e permitir a sua validação futura.
• Análise da Imagem
  • Investigação de ficheiros, recuperação de dados apagados e análise de metadados num ambiente controlado, sem risco de alterar a evidência original.

A cópia forense post mortem é o método de referência para preservar evidências digitais sem alterações, tendo como foco os dados não voláteis armazenados em suportes físicos. O sucesso do processo depende do uso rigoroso de write-blockers, da verificação por hash e da utilização de ferramentas especializadas de análise forense.