Em primeiro lugar, a computação forense é um método de manipulação de evidências de computador para obter informações para investigação de crimes. Basicamente, possui três partes:
Aquisição de dados: é o processo seguro para obter dados da fonte original sem danificar ou modificar. Contudo existem várias ferramentas para fazer isso, dependendo do sistema operacional e de outros detalhes, como o estado da evidência. Mas explicaremos as ferramentas baseadas em Linux.
Preservação de dados: a evidência digital adquirida deve ser preservada em seu estado original, utilizando algoritmos de hash criptográficos.
Análise de dados: compreender os dados adquiridos analisando e extraindo informações deles. Possui várias etapas próprias, como identificação de partições, horários de MAC e outros.
Ao ser analisado, o responsável é responsável por redigir um relatório.
Aquisição de dados
Aliás, na Computação Forense poderíamos separar os dados que precisamos obter em dois, voláteis e não voláteis . Então, dependendo do que estamos focando, usaremos diferentes tipos de ferramentas.
Assim, se desligamos a máquina do suspeito, usaremos dados voláteis, portanto, se possível, esses dados devem ser coletados antes de desligar a máquina.
Se o suspeito instalou rootkits para destruir evidências ao receber o comando de desligamento normal, existe a possibilidade de perda de conteúdo importante.
Na Computação Forense, cadeia de custódia é um registro de como as evidências foram tratadas, para posterior denúncia. Agora, a cadeia de custódia começa quando o tratamento das evidências começa.
Antes de começar, devemos preparar as ferramentas: Uma máquina poderosa para o investigador.
Devemos primeiro adquirir os dados que são mais voláteis, pois estão em constante mudança. Na verdade, estamos mudando enquanto coletamos dados, então devemos tentar deixar o mínimo possível de pegada.
É uma tarefa difícil, pois as ferramentas normais que usamos não são uma opção, por exemplo, usar CP irá modificar o tempo de acesso ao arquivo original.
As ferramentas de computação forense mais importantes para hackers e profissionais de segurança
As ferramentas de computação forense são usadas com mais frequência pelas indústrias de segurança para testar as vulnerabilidades em redes e aplicativos. Portanto coletando evidências para encontrar um indicador de comprometimento e tomar as medidas de mitigação apropriadas.
Aqui você pode encontrar a lista de ferramentas que cobre a análise Forense de Execução e responder aos incidentes em todo o Meio Ambiente.
Um ramo muito importante da ciência da computação é a ciência forense, o que torna mais fácil para as agências investigarem crimes relacionados à Internet. Ao contrário de antes, o computador se expandiu para todos os dispositivos relacionados aos dados digitais.
A perícia informática ajuda nas investigações de crimes que usam dados digitais para encontrar as pessoas por trás de um determinado crime.
Os desenvolvedores criaram muitas ferramentas forenses melhores, e os critérios para escolher a melhor pelas agências de investigação. Nesse sentido, são baseados em vários fatores, incluindo orçamento, recursos e equipe de especialistas disponível sobre a ferramenta.
Muito impressionante tudo isso, não é mesmo!
Pensando nisso acho que você pode se interessar por um outro artigo que temos aqui no site sobre sites e apps hackers, então fica aqui a minha dica para você conferir depois.
1. Estrutura forense digital
Digital Forensics Framework é uma ferramenta de código aberto que vem sob a licença GPL. Ele pode ser usado por profissionais ou iniciantes sem muitos problemas.
A ferramenta pode ser usada para uma cadeia de custódia digital, para acessar dispositivos remotos ou locais, no sistema operacional Windows ou Linux. Ou seja, para recuperar arquivos ocultos ou excluídos, uma busca rápida por metadados de arquivos e várias outras coisas.
2. Abra a arquitetura de computação forense
Desenvolvido pela Agência Nacional de Polícia Holandesa, esta Open Computer Forensics Architecture (OCFA) é uma estrutura modular de computação forense.
O objetivo principal é automatizar o processo forense digital para agilizar a investigação. Logo, dar aos investigadores táticos acesso direto aos dados apreendidos por meio de uma interface de pesquisa e navegação fácil de usar.
3. X-Ways Forensics
O X-Ways Forensics é um ambiente de trabalho avançado para examinadores forenses de computador. Ele roda em Windows XP / 2003 / Vista / 2008/7/8 / 8.1 / 2012/10 *32 bits / 64 bits, padrão / PE / FE.
Dentre todas as opções acima, esta ferramenta é mais eficiente de usar e geralmente é executada com muito mais rapidez. Assim, encontra arquivos excluídos e resultados de pesquisa, e oferece muitos recursos que outros não têm.
É potencialmente mais confiável, tem uma fração do custo e não tem nenhum hardware complexo ou requisitos de banco de dados.
O X-Ways Forensics é totalmente portátil e funciona a partir de um stick USB em qualquer sistema Windows. Visite o site para saber mais.
4. Reconhecimento de registro
Registry Recon, desenvolvido pelo Arsenal Recon. Aliás, é uma poderosa ferramenta de computação forense usada para extrair, recuperar e analisar dados de registro de sistemas Windows.
O nome do produto vem da palavra francesa reconhecimento, o conceito militar de sondar territórios hostis em busca de informações táticas.
5. EnCase
OpenText, é o criador do EnCase®, o padrão ouro em segurança forense. A plataforma forense multifuncional fornece profunda visibilidade de 360 graus em todos os terminais em várias áreas do processo forense digital.
Esta ferramenta pode descobrir rapidamente evidências e dados potenciais de vários dispositivos e também produz um relatório com base nas evidências. O EnCase manteve sua reputação como o padrão ouro em investigações criminais e foi eleito a Melhor Solução Computacional Forense por oito anos consecutivos
6. O Kit Detetive
O Sleuth Kit® é uma ferramenta baseada em UNIX e Windows que ajuda na análise forense de computadores.
É uma coleção de ferramentas de linha de comando e uma biblioteca C que permite analisar imagens de disco e recuperar arquivos delas. Contudo é usado em autópsia e realiza análises aprofundadas de sistemas de arquivos.
7. Volatilidade
A volatilidade é usada para resposta a incidentes e análise de malware em uma estrutura de análise forense de memória. Usando isso, você pode extrair informações de processos em execução, soquetes de rede, DLLs e seções de registro.
Ele também tem suporte para extrair informações de arquivos de despejo de memória do Windows e arquivos de hibernação. Este software está disponível gratuitamente sob licença GPL.
8. Llibforensics
Libforensics é uma biblioteca para o desenvolvimento de aplicativos forenses digitais . Ele foi desenvolvido em Python e vem com várias ferramentas de demonstração para extrair informações de vários tipos de evidências.
9. O kit de ferramentas do Coroner’s
O Coroner’s Toolkit ou TCT também é uma boa ferramenta de análise forense digital. Pois, ele roda em vários sistemas operacionais relacionados ao Unix.
Ele pode ser usado para ajudar na análise de desastres de computador e recuperação de dados. Mas, é um conjunto de ferramentas forenses de código aberto para realizar análises post-mortem em sistemas UNIX.
10. Bulk Extrator
Bulk Extractor também é uma ferramenta forense digital importante e popular . Ele verifica as imagens de disco, arquivo ou diretório de arquivos para extrair informações úteis.
Nesse sentido, ele ignora a estrutura do sistema de arquivos, por isso é mais rápido do que outros tipos semelhantes de ferramentas disponíveis. É basicamente usado por agências de inteligência e aplicação da lei na resolução de crimes cibernéticos
Conclusão
No mundo conectado de hoje, todos devem estar preparados para sua segurança no mundo online, principalmente grandes corporações.
Ataques cibernéticos têm até o potencial de paralisar uma nação inteira. Portanto, proteger essas redes não é uma escolha opcional, mas uma necessidade absoluta.
Dessa forma fique atento a tudo que foi exposto nesse artigo, pois a melhor maneira de se prevenir é ter conhecimento sobre o que está acontecendo.
E se você quiser fazer parte da elite do mercado de cibersegurança, junte-se a nós e venha ser um Acadiano.
Para continuar sempre bem informado sobre os principais assuntos em segurança da informação siga nosso blog e acompanhe todas as notícias.
Treinamento autorizado EC-CouncilTREINAMENTO E CERTIFICAÇÃO CHFI – CERTIFIED COMPUTER HACKING FORENSIC INVESTIGATOR