Em princípio, o sistema de armazenamento empregado em uma máquina parece não influenciar o processo de perícia. No entanto, analisando a atividade em seus detalhes, sob aspectos como finalidade (e a necessidade ou não do processo litúrgico de produção de provas), estado da máquina, criticidade do ativo e disponibilidade de meios, percebemos que a realização da perícia sob métodos usuais mostra-se inviável tecnicamente ou inválida nos seus aspectos legais.
O tipo de análise mais comum é a chamada post-mortem, realizada após o sistema ter sido desligado, retirado do seu ambiente de produção. Neste caso, a busca concentra-se nos discos, mais especificamente em arquivos, logs do sistema e MACtimes. É a mais indicada para incidentes antigos e para máquinas que não são críticas ou que podem ser facilmente substituídas.
Nesse momento se apresenta a primeira das dificuldades da perícia em RAID: Normalmente este sistema é empregado em servidores de missão crítica, difíceis de tirar de produção.
Um ponto fundamental da análise post-mortemé a cópia bit-a-bit dos discos rígidos, outra fase que pode tornar-se inviável quando falamos em máquinas de grande capacidade de armazenamento, que podem empregar desde dois até mais de uma dezena de discos.
Outra técnica de análise, a live analysis ou live acquisition, é muitas vezes utilizada antes de se iniciar a post-mortem, por ser a única chance de coletar certos tipos de informação, tais como: Conteúdos de memória RAM, cache, swap, processos em execução, usuários logados e conexões de rede. Sua filosofia também permite o uso de monitoramento de arquivos, processos, conexões, pacotes, etc.
Essa técnica pode ser adaptada para a pesquisa em máquinas RAID e em produção. Nesses casos, a análise se concentra no estudo de arquivos específicos, tornando-se óbvio dizer que a técnica de hash para validação da integridade dos dados é descabida. Se necessário, será preciso valer-se de um procedimento bem documentado acompanhado de Ata Notarial.
Nenhum comentário:
Postar um comentário