Processo Forense

Existem muitos métodos e técnicas que definem as etapas de uma investigação forense; no entanto, tem sido minha experiência na realização de investigações e no ensino de cursos forenses de nível superior. A metodologia a seguir parece funcionar melhor. Portanto, as etapas básicas de uma investigação forense são as seguintes: 

1     Preparar – Treinamento forense específico, políticas e procedimentos corporativos abrangentes, bem como investigações e exames práticos, o prepararão para um “evento”. Certificações forenses especializadas ou de tratamento de incidentes são consideradas de grande valor para os investigadores forenses.

2)     Identificar – Ao se aproximar de uma cena de incidente – revise o que está ocorrendo na tela do computador. Se os dados estiverem sendo excluídos, puxe o plugue da tomada; caso contrário, execute a captura em tempo real dos dados “voláteis” do sistema.

3)     Preservar – Depois que os dados “voláteis” específicos do sistema forem recuperados, desligue a máquina, remova-os da cena e ligue-os em um ambiente isolado. Execute uma captura de imagem completa do sistema de fluxo de bits dos dados na máquina, lembrando de “misturar” a imagem com os dados originais para fins de verificação.

4)     Selecionar – Depois de ter uma cópia verificada dos dados disponíveis, inicie a investigação dos dados selecionando possíveis arquivos de evidências, conjuntos de dados e locais em Psicóloga Curitiba que os dados podem ser armazenados. Isole os dados específicos do evento dos dados normais do sistema para um exame mais aprofundado.

5)     Examine – procure possíveis locais de armazenamento oculto de dados, como espaço livre, espaço não alocado e na frente do espaço da tabela de alocação de arquivos (FAT) nos discos rígidos. Lembre-se de procurar nas entradas do registro ou nos diretórios raiz possíveis indicadores adicionais da atividade de armazenamento de dados.

6     Classificar – avalie dados em locais potenciais para obter relevância para a investigação atual. Os dados estão diretamente relacionados ao caso, ou suportam eventos do caso, ou não estão relacionados ao caso?

7)     Analisar – Revise dados de locais relevantes. Garanta que os dados sejam legíveis, legíveis e relevantes para a investigação. Avalie-o para o tipo de evidência: É evidência direta do problema alegado ou está relacionado ao problema?

8)     Presente – Correlacione todos os dados revisados ​​para documentos de investigação (warrants, documentos corporativos etc.). Prepare o relatório de dados para apresentação – em um tribunal ou para oficiais corporativos.