Aquisição de provas
O que é Aquisição de provas?
Aquisição de provasRecolha defensável de provas digitais a partir de sistemas, redes e serviços na nuvem, com ferramentas e procedimentos forensicamente sólidos.
A aquisição é a etapa formal de uma investigação em que os dados são capturados a partir da sua fonte para análise posterior. Alvos comuns: discos físicos, discos virtuais, RAM, dispositivos móveis, cargas na nuvem e capturas de rede. Pode ser física (imagem bit a bit com FTK Imager, dd ou Guymager), lógica (ao nível do ficheiro com KAPE ou Velociraptor) ou em direto (dados voláteis com WinPmem, LiME ou Magnet RAM Capture). Os profissionais geram hash na aquisição, preferem bloqueadores de escrita por hardware, trabalham sobre cópias e documentam cada passo na cadeia de custódia. NIST SP 800-86 e ISO/IEC 27037 enfatizam a ordem de volatilidade e o impacto mínimo sobre a fonte.
● Exemplos
- 01
Aquisição de imagem bit a bit de um SSD de 1 TB com Guymager através de um bloqueador de escrita por hardware.
- 02
Extração dos Microsoft 365 Unified Audit Logs via Graph API para preservar atividade na nuvem.
● Perguntas frequentes
O que é Aquisição de provas?
Recolha defensável de provas digitais a partir de sistemas, redes e serviços na nuvem, com ferramentas e procedimentos forensicamente sólidos. Pertence à categoria Forense e resposta da cibersegurança.
O que significa Aquisição de provas?
Recolha defensável de provas digitais a partir de sistemas, redes e serviços na nuvem, com ferramentas e procedimentos forensicamente sólidos.
Como se defender contra Aquisição de provas?
As defesas contra Aquisição de provas costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Aquisição de provas?
Nomes alternativos comuns: Recolha de provas, Aquisição forense.