#FISL 13: Perícia digital com software livre


O Evandro Della Vecchia ([email protected]), perito criminal do governo do RS, apresentou conceitos, técnicas e ferrametnas usadas em perícia digital, também chamada de forense digital. Vamos aos detalhes:
  • Post mortem x live forensics
    • Máquina desligada – sem acesso a dados da memória, somente armazenamento não volátil;
    • Máquina ligada – pode acessar dados em memória e obter melhores resultados, especialmente em casos como de criptografia de disco;
  • De dados ou equipamentos
    • Dado é mais comum;
    • Citou um exemplo de equipamento, onde foram identificadas características que permitiam determinar data e hora de impressão de documentos e modelo de impressora utilizado, a partir da versão impressa;
  • Fases
    • Identificação – mostrou situações curiosas, onde pen drives “esquisitos” poderiam passar despercebidos (ursos de pelúcia, pregadores, canetas, etc);
    • Coleta – uso de ferramentas como dd, helix, dcfldd (mostra andamento) para obter informações de discos e partições e viabilizar a análise dos dados sem comprometer os dados originais. Uso de hash para garantia de integridade;
    • Exame e Análise – uso de ferramentas como mmls para obter informação de partições,  análise do setor de boot e extração de partição com dd, excluindo os 32 setores iniciais do disco para facilitar o uso posterior. Uso de fsstat para obter informações do sistema de arquivos, e istat para detalhes de inodes, além do foremost para recuperação de arquivos, no estudo de caso imagens;
    • Conclusão – laudo com o resultado do exame e análise.