Preservação de provas
O que é Preservação de provas?
Preservação de provasDisciplina forense que protege as provas digitais contra alteração, perda ou contaminação para que continuem admissíveis e fiáveis durante a investigação.
A preservação garante que os dados identificados como potencialmente relevantes mantêm o estado original desde a recolha até ao tribunal. Os profissionais isolam fontes, interrompem processos destrutivos, suspendem a rotação de registos, aplicam legal holds e usam bloqueadores de escrita na criação de imagens. Cada item é hasheado (MD5, SHA-256) na aquisição e reverificado para provar integridade, enquanto a cadeia de custódia documenta operadores, locais e acessos. As provas voláteis (RAM, cache ARP, ligações ativas) são capturadas primeiro porque desaparecem com o desligamento. NIST SP 800-86, ISO/IEC 27037 e as boas práticas ACPO codificam estes procedimentos.
● Exemplos
- 01
Emitir legal hold para interromper a rotação dos logs de auditoria de caixas de correio numa investigação interna.
- 02
Capturar memória volátil com WinPmem antes de desligar um servidor suspeito de ransomware.
● Perguntas frequentes
O que é Preservação de provas?
Disciplina forense que protege as provas digitais contra alteração, perda ou contaminação para que continuem admissíveis e fiáveis durante a investigação. Pertence à categoria Forense e resposta da cibersegurança.
O que significa Preservação de provas?
Disciplina forense que protege as provas digitais contra alteração, perda ou contaminação para que continuem admissíveis e fiáveis durante a investigação.
Como se defender contra Preservação de provas?
As defesas contra Preservação de provas costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Preservação de provas?
Nomes alternativos comuns: Conservação de provas, Preservação forense.