ver mais
Publicação

Técnicas de Análise Forense Computacional

Favoritar Ver depois Sugerir leitura
foto de
André Rodrigues CONTEÚDO EM DESTAQUE
30

Introdução

Para qualquer profissional de computação forense, é imperativo aprender o máximo possível de técnicas forenses. Isso não apenas maximiza suas chances de lidar com uma ampla gama de situações, mas também permite que as soluções surjam mais rapidamente.

A seguir, apresento técnicas de Forense Computacional que podem ajudar a quem deseja conhecer um pouco mais desta atividade profissional. 

Forense ao vivo (Live Forensics)

A análise forense ao vivo, também conhecida como Live Response, tenta descobrir, controlar e eliminar ameaças em um ambiente de sistema ativo e em execução.  

Na perícia computacional tradicional, fazemos instantâneos de unidades de memória e armazenamento como imagens e criamos análises sobre essas imagens em um ambiente isolado. 

A análise forense ao vivo entra, ao contrário da perícia computacional tradicional, lida com ameaças ativas em tempo de execução. 
Para saber mais sobre esta técnica, acesse: Forense ao vivo (Live Forensics)

Recuperação de dados (Data Recovery)

A recuperação de dados é a restauração de dados que foram danificados, excluídos ou perdidos. À medida que nossas vidas se tornam mais e mais baseadas em dados, a maioria não pode se dar ao luxo de perder esses dados para sempre. Isso pode incluir dados pessoais, incluindo fotos e vídeos da família, ou dados profissionais, como documentos, informações confidenciais da empresa e afins.

Para saber mais sobre esta técnica, acesse: Recuperação de dados (Data Recovery)

Recuperação de senha (Password Recovery)

Não são raras situações de perda ou esquecimento de senhas. Recuperação de senha pode ser usada quebrando a senha para a força bruta, que tenta todas as possibilidades de tratamento necessárias para essa senha. 

Para saber mais sobre esta técnica, acesse: Recuperação de senha (Password Recovery)

Escultura de arquivo (File Carving)

Como discutido acima, quando um arquivo é excluído, isso não significa necessariamente que ele foi apagado da unidade.  Normalmente, o sistema operacional simplesmente perde o controle do arquivo, também conhecido como metadados do arquivo. 

Você ainda pode recuperar esses arquivos com base em seu conteúdo, e essa recuperação é conhecida como gravação de arquivo.  A gravação de arquivos extrai dados significativos e estruturados de uma parte não estruturada e não alocada da unidade.

Para saber mais sobre esta técnica, acesse: Escultura de arquivo (File Carving)

Filtragem de Arquivos Conhecidos (Known File Filtering)

A filtragem de arquivos conhecida faz uso dos populares hashes criptográficos MD5 ou SHA1, em conjunto com os valores hash dos arquivos de instalação do aplicativo.

Uma grande desvantagem da filtragem de arquivos conhecida é que ela só funciona se os hashes coincidirem perfeitamente.

Para saber mais sobre esta técnica, acesse: Estrutura de arquivo (File Carving)

Pesquisa por String e Palavra-chave (String and Keyword Searching)

Técnica que envolve encontrar frases ou palavras especiais que fossem relevantes para a consulta. A pesquisa dessas sequências especiais de caracteres pode acelerar bastante as investigações forenses, principalmente se o conjunto de dados for muito grande.

Para saber mais sobre esta técnica, acesse: Pesquisa por String e Palavra-chave (String and Keyword Searching) 

Análise de cabeçalho (Header Analysis)

Os usuários de e-mail podem ser usados ​​para se infiltrar no sistema de alguém, se a parte receptora não tiver cuidado.  A maioria dos clientes faz um trabalho recomendável ao identificar esses e-mails suspeitos, que podem ser transferidos para a seção de spam ou removidos completamente do servidor.

Para saber mais sobre esta técnica, acesse: Análise de cabeçalho (Header Analysis)

Análise da linha do tempo (Timeline Analysis)

Há uma cadeia de eventos que precede a ocorrência incorreta, e geralmente é útil descobrir quais foram esses eventos. A análise da linha do tempo alcança exatamente isso - usa carimbos de data e hora e outros artefatos de tempo descritivo para exibir todos os eventos que estão ocorrendo no sistema em ordem cronológica.

Para saber mais sobre esta técnica, acesse: Análise da linha do tempo (Timeline Analysis)

Análise Gráfica de Imagem (Graphical Image Analysis)

A análise gráfica de imagens é uma agregação de várias técnicas usadas para extrair informações significativas de tais imagens.  No metadados de imagens de fotografias podemos encontrar alguns dados de localização baseados em GPS que indica a longitude e latitude do local onde a fotografia foi tirada. A estes dados, damos o nome de geotags).

Para saber mais sobre esta técnica, acesse: Análise Gráfica de Imagem (Graphical Image Analysis)

Correlação de Eventos (Event correlation)

A correlação de eventos é uma das técnicas forenses digitais mais utilizadas. Com esta técnica, analisa-se logs de atividade de uma rede para estabelecer a cadeia de eventos. 

Para saber mais sobre esta técnica, acesse: Correlação de Eventos (Event correlation)

Criptoanálise / Esteganálise (Cryptanalysis/Steganalysis)

Técnica que utiliza-se da decodificação de dados que foram ocultados por criptografia ou esteganografia. A criptoanálise é utilizada, por exemplo quando se tenta decodificar mensagens que foram interceptadas pela lei. Técnicas típicas incluem descriptografia de força bruta e ataques man-in-the-middle. 

Para saber mais sobre esta técnica, acesse: Criptoanálise / Esteganálise (Cryptanalysis/Steganalysis)

Sandbox

As sandboxes são ambientes virtuais seguros que podem ser usados ​​para testar programas de fontes não verificadas. Os sandboxes atribuem uma parte dos recursos de hardware para executar máquinas virtuais, incluindo núcleos de CPU, memória e espaço em disco.

Para saber mais sobre esta técnica, acesse: Sandboxing

Sniffing de rede

O sniffing de rede, ou sniffing de pacotes, é uma técnica usada por investigadores para capturar pacotes de dados sendo transferidos através de uma rede.  Sniffers interceptam pacotes de dados e, dependendo de suas capacidades, podem abrir esses pacotes para revelar dados brutos carregados dentro dele.

Para saber mais sobre esta técnica, acesse: sniffing de rede

Mineração de dados (Data Mining)

As empresas, grandes e pequenas, estão começando a migrar para a digitalização de suas operações. E, conforme o volume de dados aumenta, também aumenta a complexidade de sua análise. Mineração de dados refere-se à manipulação de grandes quantidades de dados para extrair informações úteis.

Para saber mais sobre esta técnica, acesse: Mineração de dados

Visualização de Evidências 

Uma extensão da análise da linha do tempo (discutida na Parte 1 deste artigo), a visualização de evidências tenta representar evidências em um formato visual. Como as imagens são mais intuitivas do que o texto, a visualização de evidências pode acelerar bastante o processo de investigação, além de identificar novos padrões pertinentes.

Para saber mais sobre esta técnica, acesse: Visualização de Evidências

COMPARTILHE: Denunciar
foto de André Rodrigues
André Rodrigues
Analista de Infraestrutura
204 Seguidores
148 Publicações
Seguir
Analista de infraestrutura e conteudista da equipe Portal GSTI

Comentários