CyberGlossary

Forense e resposta

Forense de disco

Também conhecido como: Forense de armazenamento, Forense de discos rígidos

Definição

Análise de suportes de armazenamento não voláteis (HDD, SSD, USB) para recuperar e interpretar artefactos do sistema de ficheiros, aplicações e sistema operativo.

A forense de disco é o ramo histórico central da forense digital: trabalha sobre imagens bit a bit e reconstrói atividade a partir de sistemas de ficheiros (NTFS, APFS, ext4, FAT), jornais, metadados, slack e espaço não alocado. Os investigadores analisam registos de MFT, USN, $LogFile, prefetch, jump lists, atalhos, perfis de navegador, eventos do Windows e shellbags para construir linhas do tempo. Ferramentas como Autopsy/Sleuth Kit, EnCase, X-Ways, FTK e Plaso/log2timeline automatizam o parsing e a timeline. Os desafios atuais incluem cifragem integral (BitLocker, FileVault, LUKS), TRIM/garbage collection em SSDs e conteúdos sincronizados na nuvem, geridos segundo NIST SP 800-86 e ISO/IEC 27037.

Exemplos

  • Recuperação de documentos eliminados a partir do espaço não alocado NTFS com Autopsy.
  • Análise de prefetch e ShimCache para confirmar execução de um binário malicioso.

Termos relacionados