domingo, 19 de junho de 2022

USB Forensics – Reconstrução de evidências digitais de uma unidade USB

A análise forense digital de USB forense inclui preservação, coleta, validação,  identificação, análise, interpretação, documentação e apresentação de evidências digitais derivadas de fontes digitais com o objetivo de facilitar ou promover a reconstrução de eventos considerados criminosos.

Imagem de disco - USB Forense: -

Uma imagem de disco é definida como um arquivo de computador que contém o conteúdo e a estrutura de um dispositivo de armazenamento de dados, como um disco rígido, unidade de CD, telefone, tablet, RAM ou USB.

A imagem do disco consiste no conteúdo real do dispositivo de armazenamento de dados, bem como nas informações necessárias para replicar a estrutura e o layout do conteúdo do dispositivo.

No entanto, uma ampla gama de ferramentas conhecidas é usada de acordo com o tribunal para realizar a análise.

As ferramentas padrão são autorizadas exclusivamente de acordo com a lei, os examinadores forenses não têm permissão para realizar imagens com ferramentas desconhecidas, novas ferramentas.

Ferramentas padrão : Encase Forensic Imager e sua extensão (Imagename.E01)

Forensic Toolkit Imaging & Analysis:

Como o software forense Encase custa em torno de US$ 2.995,00 a US$ 3.594,00, então, nesta geração de imagens e análises serão realizadas com o software FTK Forensic feito pela AccessData.

FTK Inclui um gerador de imagens de disco autônomo é uma ferramenta simples, mas concisa.


Verifique o menu suspenso , até aqui selecionado HP USB for Analysis.


Dados da Árvore de Evidências


Expandir a árvore de evidências do dispositivo USB representará a visão geral dos dados excluídos no passado.
Aprofunde ainda mais para verificar e investigar o tipo de evidência excluída.
Aviso: Recomenda-se não trabalhar com evidências originais na investigação, porque copiar acidentalmente novos dados para o USB substituirá os arquivos excluídos anteriores no USB. 
A integridade das evidências falhará, portanto, sempre trabalhe com cópia de imagem forense.









 

Nenhum comentário:

Postar um comentário