A recolha da prova digital é uma etapa fundamental na investigação forense digital, que visa identificar, preservar e extrair dados de dispositivos eletrónicos de forma a garantir a sua integridade e admissibilidade em tribunal. Qual deve ser a prioridade, tendo em conta o nível de volatilidade?
Aquando da obtenção da prova digital, deveremos ter em conta o grau/nível de volatilidade dos componentes. Nesse sentido, o processo deve começar pelos componentes mais voláteis, como é o caso da memória RAM, para os que são menos voláteis, como são os discos rígidos.
Recolha da Prova Digital: Lista de possível sequência
- Memória RAM
- Se o sistema estiver ligado deve recolher primeiro informações da RAM (com ferramentas como a Belkasoft RAM Capturer, etc.).
- Tabela de encaminhamento e buffers
- Estado de rede (ligações ativas, sessões abertas)
- Identificação das sessões ativas na máquina. Lista de portos lógicos TCP e UDP
- Sistemas de ficheiros temporários
- Lista de ficheiros ativos e criados no sistema
- Ficheiros de paginação da memória, das áreas SWAP e dos estados de hibernação ou suspensão do sistema
- Conteúdo do sistema de ficheiros
- Informações sobre o hardware
Esta hierarquia é conhecida como o Princípio da Ordem de Volatilidade (Order of Volatility), e é uma das boas práticas em forense digital.
No que diz respeito às boas práticas, deve-se, sempre que possível, documentar o estado do sistema antes da recolha. Utilizar ferramentas forenses apropriadas e gerar hashes para garantir a integridade dos dados. Evite interferência com o sistema durante a recolha (usar write blockers, etc.). Mais artigos sobre análise forense aqui.