Forense de disco
O que é Forense de disco?
Forense de discoAnálise de suportes de armazenamento não voláteis (HDD, SSD, USB) para recuperar e interpretar artefactos do sistema de ficheiros, aplicações e sistema operativo.
A forense de disco é o ramo histórico central da forense digital: trabalha sobre imagens bit a bit e reconstrói atividade a partir de sistemas de ficheiros (NTFS, APFS, ext4, FAT), jornais, metadados, slack e espaço não alocado. Os investigadores analisam registos de MFT, USN, $LogFile, prefetch, jump lists, atalhos, perfis de navegador, eventos do Windows e shellbags para construir linhas do tempo. Ferramentas como Autopsy/Sleuth Kit, EnCase, X-Ways, FTK e Plaso/log2timeline automatizam o parsing e a timeline. Os desafios atuais incluem cifragem integral (BitLocker, FileVault, LUKS), TRIM/garbage collection em SSDs e conteúdos sincronizados na nuvem, geridos segundo NIST SP 800-86 e ISO/IEC 27037.
● Exemplos
- 01
Recuperação de documentos eliminados a partir do espaço não alocado NTFS com Autopsy.
- 02
Análise de prefetch e ShimCache para confirmar execução de um binário malicioso.
● Perguntas frequentes
O que é Forense de disco?
Análise de suportes de armazenamento não voláteis (HDD, SSD, USB) para recuperar e interpretar artefactos do sistema de ficheiros, aplicações e sistema operativo. Pertence à categoria Forense e resposta da cibersegurança.
O que significa Forense de disco?
Análise de suportes de armazenamento não voláteis (HDD, SSD, USB) para recuperar e interpretar artefactos do sistema de ficheiros, aplicações e sistema operativo.
Como se defender contra Forense de disco?
As defesas contra Forense de disco costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Forense de disco?
Nomes alternativos comuns: Forense de armazenamento, Forense de discos rígidos.