Introdução
Para qualquer profissional de computação forense, é imperativo aprender o máximo possível de técnicas forenses. Isso não apenas maximiza suas chances de lidar com uma ampla gama de situações, mas também permite que as soluções surjam mais rapidamente.
Este artigo trata sobre a técnica denominada Forense ao vivo (Live forense). Para conhecer mais técnicas de Análise Forense, acesse: Técnicas de Análise Forense Computacional
Forense ao vivo (Live forense)
A análise forense ao vivo, também conhecida como Live Response, tenta descobrir, controlar e eliminar ameaças em um ambiente de sistema ativo e em execução.
A análise forense de dados ao vivo é uma parte da perícia computacional, que é um ramo da ciência forense digital pertencente à evidência legal encontrada em computadores. Computação forense lida com o exame de sistemas de computador de uma forma forense, com o objetivo de identificar, preservar, recuperar, analisar e apresentar factos que possam se tornar evidências em um julgamento. A análise forense de dados ao vivo segue esse objetivo, mas é focada apenas em sistemas computacionais que estão ligados.
O objetivo principal é adquirir dados voláteis que, de outra forma, seriam perdidos se o sistema estivesse desligado ou seria substituído se o sistema permanecesse ativado por um período mais longo.
Na perícia computacional tradicional, tiramos instantâneos de unidades de memória e armazenamento como imagens e realizamos análises sobre essas imagens em um ambiente isolado. É claro que isso pode transbordar o pipeline de análise, já que a imagem está longe de ser um processo eficiente em termos de tempo. É aí que a análise forense ao vivo entra em cena.
Ao contrário da perícia computacional tradicional, a análise forense ao vivo lida com ameaças ativas em tempo de execução. Você pode pensar em análise forense ao vivo como uma resposta ativa, em contraste com a natureza passiva da análise forense tradicional.
A análise forense ao vivo é útil se você planeja enfrentar uma ameaça no local. Deve-se notar que a diferença entre a perícia forense tradicional e a perícia forense reside apenas nos tempos de resposta; você ainda precisa seguir as mesmas etapas de identificação, quantificação e eliminação da ameaça. A análise forense ao vivo permite acesso quase instantâneo a chaves de registro, contas de usuário do sistema, conexões ativas e objetos de memória.
Os cenários forenses ao vivo são de curta duração. Então, para ser bem sucedido, é preciso estar focado em reduzir a fonte da ameaça. Isso significa que, em vez de forçar seu caminho para a identificação do problema, você deve procurar por arquivos de “suspeitos usuais” no sistema, como diretórios TEMP. No Windows, uma boa maneira de iniciar a análise forense ao vivo é o pico no diretório APPDATA do usuário ativo, especialmente na pasta ROAMING.
Exemplo de Forense ao vivo (Live forense)
Um exemplo comum de análise forense ao vivo é a análise da memória do sistema. Analise todos os processos em execução, sendo particularmente cauteloso com mutexes. Ao isolar alguns processos suspeitos, você pode prosseguir para a análise de código dos referidos processos.
