A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

PERÍCIA EM INFORMÁTICA

Apresentações semelhantes


Apresentação em tema: "PERÍCIA EM INFORMÁTICA"— Transcrição da apresentação:

1 PERÍCIA EM INFORMÁTICA
Aula 04 – Exames forenses em dispositivos de armazenamento computacional - Extração Curso de Sistemas de Informação. Prof. Diovani Milhorim

2 Exames em dispositivos de armazenamento
Fases do exame - dispositivos de armazenamento. Preservação Extração Análise Formalização

3 Exames em dispositivos de armazenamento
Fases do exame - dispositivos de armazenamento. Extração Recuperação de todas as informações contidas na cópia dos dados provenientes da fase de preservação da evidência. Todos os procedimentos são realizados na cópia (imagem ou espelho) da evidência

4 Exames em dispositivos de armazenamento
Fases do exame - dispositivos de armazenamento. Extração Informações não se restrigem apenas aquelas visíveis inicialmente. Arquivos podem ser ocultos, temporários, criptografados, fragmentos deletados, etc... A busca de uma informação pode se tornar bastante complexa à medida que estes foram ocultos, criptografados ou mesmo apagados do sistema de arquivos.

5 Exames em dispositivos de armazenamento
Fases do exame - dispositivos de armazenamento. Extração Lembrando: Arquivos de um sistema não são apagados simplesmente. Na verdade o que ocorre é a liberação do espaço em disco pertencente ao arquivo para gravação. Pode-se localizar arquivos inteiros ou fragmentos de arquivos apagados com softwares específicos.

6 Exames em dispositivos de armazenamento
Fases do exame - dispositivos de armazenamento. Extração Busca de assinatura Assinatura: cabecalho de um tipo de arquivo que o indentifica. O processo de busca de um arquivo pela sua assinatura é chamado de “data carving”.

7 Exames em dispositivos de armazenamento
Fases do exame - dispositivos de armazenamento. Extração Recuperação de dados: Ferramentas mais utilizadas Sleuth kit (TSK) – apanhado de ferramentas forenses Autopsy – interface gráfica do TSK Ontrack data recovery (ferramenta com custo)

8 Exames em dispositivos de armazenamento
Fases do exame - dispositivos de armazenamento. Extração Recuperação de dados: Prática 01 Analisar imagem de um sistema de arquivo para determinar a existência de arquivos deletados.

9 Exames em dispositivos de armazenamento
Fases do exame - dispositivos de armazenamento. Prática 01 Passo 01: Criando diretório de imagens: #mkdir /opt/imagens Criando imagem do disco #dd if=/dev/sdb1 conv=notrunc,noerror,sync > /opt/imagens/pendrive01.img

10 Exames em dispositivos de armazenamento
Fases do exame - dispositivos de armazenamento. Prática 01 Passo 02: Utilizando o autopsy : No navegador: localhost:9999/autospy

11 Exames em dispositivos de armazenamento
Fases do exame - dispositivos de armazenamento. Prática 01 Passo 03: Criando um case. Adicionando imagem Criando MD5 Opção “file analysys” Busca por arquivos deletados


Carregar ppt "PERÍCIA EM INFORMÁTICA"

Apresentações semelhantes


Anúncios Google