Recolha da Prova Digital: por onde devemos começar?

A recolha da prova digital é uma etapa fundamental na investigação forense digital, que visa identificar, preservar e extrair dados de dispositivos eletrónicos de forma a garantir a sua integridade e admissibilidade em tribunal. Qual deve ser a prioridade, tendo em conta o nível de volatilidade?

Aquando da obtenção da prova digital, deveremos ter em conta o grau/nível de volatilidade dos componentes. Nesse sentido, o processo deve começar pelos componentes mais voláteis, como é o caso da memória RAM, para os que são menos voláteis, como são os discos rígidos.

Recolha da Prova Digital: Lista de possível sequência

• Memória RAM
  • Se o sistema estiver ligado deve recolher primeiro informações da RAM (com ferramentas como a Belkasoft RAM Capturer, etc.).
• Tabela de encaminhamento e buffers
• Estado de rede (ligações ativas, sessões abertas)
  • Identificação das sessões ativas na máquina. Lista de portos lógicos TCP e UDP
• Sistemas de ficheiros temporários
• Lista de ficheiros ativos e criados no sistema
• Ficheiros de paginação da memória, das áreas SWAP e dos estados de hibernação ou suspensão do sistema
• Conteúdo do sistema de ficheiros
• Informações sobre o hardware

Esta hierarquia é conhecida como o Princípio da Ordem de Volatilidade (Order of Volatility), e é uma das boas práticas em forense digital.

No que diz respeito às boas práticas, deve-se, sempre que possível, documentar o estado do sistema antes da recolha. Utilizar ferramentas forenses apropriadas e gerar hashes para garantir a integridade dos dados. Evite interferência com o sistema durante a recolha (usar write blockers, etc.). Mais artigos sobre análise forense aqui.