Ferramentas de informática forense

Em geral, um investigador forense computacional irá usar uma ferramenta a fim de recolher dados de um sistema (por exemplo, um computador ou rede de computadores) sem alterar os dados no sistema. Este aspecto de uma investigação, os cuidados tomados para evitar a alteração dos dados originais, é um princípio fundamental da análise de informática forense e algumas das ferramentas disponíveis incluem a funcionalidade projetado especificamente para defender este princípio. Na realidade, nem sempre é fácil de coletar dados sem alterar o sistema de alguma forma (até mesmo o ato de desligar um computador para baixo, a fim de transportá-lo vai causar alterações mais prováveis ​​para os dados que o sistema), mas um investigador experiente irá sempre se esforçar para proteger a integridade dos dados originais, sempre que possível. A fim de fazer isso, os exames forenses de muitos computadores envolvem a realização de uma cópia exata de todos os dados em um disco. Esta cópia é chamado de uma imagem e o processo de fazer uma imagem é muitas vezes referido como imagem latente. É esta imagem que é normalmente objecto de análise subsequente.

Outro conceito-chave é que os dados apagados, e suas partes, pode ser recuperável. De um modo geral, quando os dados são apagados, não é fisicamente limpo a partir do sistema, mas sim apenas uma referência para a localização dos dados (em um disco rígido ou outro meio) é removido. Assim, os dados ainda podem estar presentes, mas o sistema operacional do computador não "sabe" sobre ele. Por imagem e análise de todos os dados de um disco, em vez de apenas as partes conhecidas para o sistema operacional, pode ser possível recuperar os dados que tenham sido acidentalmente ou propositadamente excluídos.

Embora a maioria das ferramentas do mundo real são projetados para realizar uma tarefa específica (o martelo para martelar pregos, a chave de fenda para girar um parafuso, etc), algumas ferramentas são projetadas para ser multi-funcional. Da mesma forma algumas ferramentas de informática forense são projetados com um único objetivo em mente, enquanto outros podem oferecer toda uma gama de funcionalidade. A natureza única de cada investigação irá determinar qual ferramenta do kit de ferramentas do investigador é o mais adequado para a tarefa em mãos.

Bem como diferindo em termos de funcionalidade e complexidade, ferramentas informáticas forenses também diferem em custo. Alguns dos líderes de mercado, produtos comerciais milhares de custo de dólares, enquanto outras ferramentas são totalmente gratuitos. Mais uma vez, a natureza do exame forense e a meta da investigação determinará as ferramentas mais apropriadas a serem usadas.

A coleção de ferramentas disponíveis para o investigador continua a se expandir e muitas ferramentas são atualizadas regularmente pelos seus desenvolvedores para que possam trabalhar com as últimas tecnologias. Além disso, algumas ferramentas oferecem funcionalidade semelhante, mas uma interface de usuário diferente, enquanto outros são únicos na informação que prestam ao examinador. Neste contexto, é a tarefa do examinador forense computacional para julgar quais ferramentas são as mais adequadas para uma investigação, tendo em conta a natureza dos elementos que precisam ser coletados e do fato de que pode em algum momento ser apresentado a um tribunal de justiça. Sem dúvida, o crescente número de casos civis e criminais, onde computador ferramentas forenses desempenham um papel significativo torna este um campo fascinante para todos os envolvidos....