ESTUDO DE CASO DE ANÁLISE FORENSE DE ARQUIVOS APAGADOS EM ÁREA NÃO ALOCADA DA MEMÓRIA
Resumo
Em análise computacional forense é necessário buscar vestígios em todas as partições do disco analisado. Contudo, muitas vezes as evidências foram apagadas previamente ou por que já se passou muito tempo e o usuário não necessitava mais daquele arquivo ou na tentativa de ocultar provas. Sendo assim, este artigo demonstra na prática como é feito o estudo e análise de arquivos apagados e que se encontram na área não alocada do disco não volátil (HDD, SSD, etc.) dos dispositivos de memória. Para se fazer tal análise foi feita uma breve revisão sobre algoritmos hash, para buscas de arquivos através de valores de hashes conhecidos, assim como foi feita uma análise de cabeçalhos em hexadecimal para que fosse possível determinar qual o tipo de arquivo em questão, qual o tamanho do arquivo original e qual origem de tais arquivos antes da sua exclusão. Para que fosse feita uma pratica alcançável para todos os usuários foram utilizados softwares forenses gratuitos Guymager, para criação de imagens, e Autopsy para análise dos dados recuperados. Apesar de haver programas gratuitos e comerciais para análise forense, a interpretação dos dados se faz necessária e se mostrou capaz de recuperar e identificar arquivos que haviam sidos previamente apagados da memória, mesmo que tivessem sidos parcialmente sobrescritos.
Palavras-chave
Computação forense; File carving; Recuperação de dados
Todo conteúdo da revista está sob a licença
Revista de Sistemas e Computação. ISSN 2237-2903