A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

PERÍCIA EM INFORMÁTICA Aula 04 – Exames forenses em dispositivos de armazenamento computacional - Extração Curso de Sistemas de Informação. Prof. Diovani.

Apresentações semelhantes


Apresentação em tema: "PERÍCIA EM INFORMÁTICA Aula 04 – Exames forenses em dispositivos de armazenamento computacional - Extração Curso de Sistemas de Informação. Prof. Diovani."— Transcrição da apresentação:

1 PERÍCIA EM INFORMÁTICA Aula 04 – Exames forenses em dispositivos de armazenamento computacional - Extração Curso de Sistemas de Informação. Prof. Diovani Milhorim

2 Exames em dispositivos de armazenamento • Fases do exame - dispositivos de armazenamento. • Preservação • Extração • Análise • Formalização

3 Exames em dispositivos de armazenamento • Fases do exame - dispositivos de armazenamento. • Extração Recuperação de todas as informações contidas na cópia dos dados provenientes da fase de preservação da evidência. Todos os procedimentos são realizados na cópia (imagem ou espelho) da evidência

4 Exames em dispositivos de armazenamento • Fases do exame - dispositivos de armazenamento. • Extração Informações não se restrigem apenas aquelas visíveis inicialmente. Arquivos podem ser ocultos, temporários, criptografados, fragmentos deletados, etc... A busca de uma informação pode se tornar bastante complexa à medida que estes foram ocultos, criptografados ou mesmo apagados do sistema de arquivos.

5 Exames em dispositivos de armazenamento • Fases do exame - dispositivos de armazenamento. • Extração Lembrando: Arquivos de um sistema não são apagados simplesmente. Na verdade o que ocorre é a liberação do espaço em disco pertencente ao arquivo para gravação. Pode-se localizar arquivos inteiros ou fragmentos de arquivos apagados com softwares específicos.

6 Exames em dispositivos de armazenamento • Fases do exame - dispositivos de armazenamento. • Extração Busca de assinatura Assinatura: cabecalho de um tipo de arquivo que o indentifica. O processo de busca de um arquivo pela sua assinatura é chamado de “data carving”.

7 Exames em dispositivos de armazenamento • Fases do exame - dispositivos de armazenamento. • Extração Recuperação de dados: Ferramentas mais utilizadas • Sleuth kit (TSK) – apanhado de ferramentas forenses • Autopsy – interface gráfica do TSK • Ontrack data recovery (ferramenta com custo)

8 Exames em dispositivos de armazenamento • Fases do exame - dispositivos de armazenamento. • Extração Recuperação de dados: Prática 01 Analisar imagem de um sistema de arquivo para determinar a existência de arquivos deletados.

9 Exames em dispositivos de armazenamento • Fases do exame - dispositivos de armazenamento. Prática 01 Passo 01: Criando diretório de imagens: #mkdir /opt/imagens Criando imagem do disco #dd if=/dev/sdb1 conv=notrunc,noerror,sync > /opt/imagens/pendrive01.img

10 Exames em dispositivos de armazenamento • Fases do exame - dispositivos de armazenamento. Prática 01 Passo 02: Utilizando o autopsy : No navegador: localhost:9999/autospy

11 Exames em dispositivos de armazenamento • Fases do exame - dispositivos de armazenamento. Prática 01 Passo 03: • Criando um case. • Adicionando imagem • Criando MD5 • Opção “file analysys” • Busca por arquivos deletados


Carregar ppt "PERÍCIA EM INFORMÁTICA Aula 04 – Exames forenses em dispositivos de armazenamento computacional - Extração Curso de Sistemas de Informação. Prof. Diovani."

Apresentações semelhantes


Anúncios Google