Ordem de volatilidade
O que é Ordem de volatilidade?
Ordem de volatilidadePrioridade de aquisicao definida pela RFC 3227 que obriga os responders forenses a coletar primeiro a evidencia mais efemera, antes que seja sobrescrita ou perdida.
A ordem de volatilidade e um principio fundamental de DFIR, codificado na RFC 3227, que classifica evidencias digitais pela velocidade com que mudam ou desaparecem. A ordem canonica e: registradores e cache de CPU, memoria de kernel e processos, estado de rede e caches ARP, processos em execucao, sistemas de arquivos temporarios, armazenamento persistente, dados de logging e monitoramento remoto e, por fim, configuracao fisica e midias de arquivamento. Os responders devem imagear fontes volateis antes de desligar ou reiniciar, pois RAM, sessoes de rede e estado de roteamento se perdem com o shutdown. Em IR moderna de Windows isso costuma significar capturar memoria com WinPmem ou DumpIt e triagear artefatos volateis com KAPE ou Velociraptor antes dos procedimentos de desligamento forense.
● Exemplos
- 01
Adquirir um dump de memoria e a saida de netstat antes de desligar um host que esta fazendo beacon.
- 02
Coletar chaves de sessao TLS da RAM antes que sejam apagadas no logout.
● Perguntas frequentes
O que é Ordem de volatilidade?
Prioridade de aquisicao definida pela RFC 3227 que obriga os responders forenses a coletar primeiro a evidencia mais efemera, antes que seja sobrescrita ou perdida. Pertence à categoria Forense e resposta da cibersegurança.
O que significa Ordem de volatilidade?
Prioridade de aquisicao definida pela RFC 3227 que obriga os responders forenses a coletar primeiro a evidencia mais efemera, antes que seja sobrescrita ou perdida.
Como funciona Ordem de volatilidade?
A ordem de volatilidade e um principio fundamental de DFIR, codificado na RFC 3227, que classifica evidencias digitais pela velocidade com que mudam ou desaparecem. A ordem canonica e: registradores e cache de CPU, memoria de kernel e processos, estado de rede e caches ARP, processos em execucao, sistemas de arquivos temporarios, armazenamento persistente, dados de logging e monitoramento remoto e, por fim, configuracao fisica e midias de arquivamento. Os responders devem imagear fontes volateis antes de desligar ou reiniciar, pois RAM, sessoes de rede e estado de roteamento se perdem com o shutdown. Em IR moderna de Windows isso costuma significar capturar memoria com WinPmem ou DumpIt e triagear artefatos volateis com KAPE ou Velociraptor antes dos procedimentos de desligamento forense.
Como se defender contra Ordem de volatilidade?
As defesas contra Ordem de volatilidade costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Ordem de volatilidade?
Nomes alternativos comuns: Ordem de volatilidade, Ordem RFC 3227.
● Termos relacionados
- forensics-ir№ 787
pagefile.sys
Arquivo de swap de memoria virtual do Windows no volume do sistema; pode conter fragmentos de memoria de processos, credenciais, chaves, linhas de comando e payloads decifrados.
- forensics-ir№ 474
hiberfil.sys
Arquivo de hibernacao comprimido do Windows que armazena um snapshot quase completo da memoria fisica no momento da hibernacao, permitindo acesso forense a RAM mesmo com a maquina desligada.
- forensics-ir№ 043
Amcache.hve
Colmeia do registro do Windows que armazena metadados detalhados (incluindo SHA-1) de cada executavel que rodou ou esteve presente no sistema, oferecendo forte evidencia de execucao em Windows moderno.
- forensics-ir№ 677
MFT (Master File Table)
Estrutura central de metadados do NTFS que armazena um registro de 1024 bytes por arquivo ou diretorio do volume e sustenta praticamente toda a forense do sistema de arquivos do Windows.
- forensics-ir№ 001
$UsnJrnl ($J)
Journal de numeros de sequencia de atualizacao do NTFS que registra cada operacao do sistema de arquivos e oferece aos forenses uma linha do tempo de alta resolucao de criacoes, modificacoes e exclusoes.