Segundo (Carrier, B., 2005), os dados digitais em um disco rígido podem ser interpretados em
camadas de abstração, como disco, volume, arquivos e aplicação. A regra geral é que sejam
adquiridos dados na camada mais baixa em que a evidência possa ser achada. Na maioria dos
casos, todos os setores do disco devem ser adquiridos/copiados.
Como exemplo, quando apenas um volume do disco rígido é adquirido, com a cópia de todos
os setores do volume ou partição, será possível realizar procedimentos de recuperação de
arquivos apagados. Entretanto, caso a partição tenha sido redimensionada, os setores que
anteriormente pertenciam àquela partição não estarão inclusos na cópia.
No caso de cópia lógica de arquivos, com em um backup de uma empresa, onde apenas os
arquivos visíveis nas tabelas de alocação são copiados, não será possível realizar um
procedimento de recuperação de arquivos.
Em alguns casos, como em análises de IDS, pode ser necessário copiar somente arquivos
lógicos, como registros de operações (logs).
O resultado da duplicação forense pode ser uma cópia forense ou uma imagem forense (Costa,
M.A.S.L., 2011). Na primeira, todo o conteúdo da evidência é copiado bit-a-bit para uma
mídia de destino, enquanto que na segunda o conteúdo é copiado para um arquivo que guarda
as informações relativas à geometria do conteúdo. A imagem forense pode ser do tipo
simples, encapsulada ou simples com dados adicionais (Carrier. B., 2005), mostrados na
Figura 2-7. Os itens abaixo descrevem esses formatos.
Figura 2-7: Formatos de Arquivos de Saída, adaptado de (Carrier, B., 2005)
Cada formato tem seu uso específico, dependendo do objetivo da perícia. Em casos de
recuperação de documentos apagados e busca de palavras chave, o encapsulamento é
mandatório para evitar contaminação com dados do disco destino. Se o objetivo é executar o
sistema operacional na máquina física, o encapsulamento não deve ser usado. A execução
virtual do sistema operacional da máquina pode usar um arquivo encapsulado, entretanto o
desempenho da execução é inferior ao da execução na máquina física.
Assim, deve-se levar em conta, na escolha do formato de saída do arquivo de cópia, a maneira
que o mesmo será usado, e qual ferramenta de análise irá acessá-lo. Os programas Encase
para Windows ou FTK (Forensic ToolKit) apresentam emulação de disco, onde as
informações do arquivo de imagem podem ser acessadas pelo sistema operacional como se
fosse um disco de sistema, ou usadas para gravar um clone do disco origem.
2.4.1. Imagem Simples
Uma imagem simples, ou bruta (Raw image) contem apenas os dados do disco origem, e é
fácil compará-lo com os dados de origem. Uma imagem simples pode ser copiada
integralmente para um único arquivo ou segmentada em vários arquivos de mesmo tamanho.
Uma grande desvantagem desse tipo de imagem é a possibilidade da ocorrência de
contaminação da cópia, quando dados anteriores do disco destino são misturados aos dados de
origem. Para evitar a contaminação, é necessário que o disco destino seja sanitizado usando o
processo de wipe, onde um valor, tipicamente Zero ou Um, é gravado em todos os setores do
disco.
Esse tipo de imagem é amplamente usado, pois pode ser lida por diferentes ferramentas de
análise forense (Garfunkel, S., et all, 2006). Entretanto, esse formato não é comprimido,
exigindo que o disco destino tenha pelo menos tanto espaço quanto o disco origem.
2.4.2. Imagem Incorporada
Uma imagem incorporada ou encapsulada (Embedded image), contem os dados do disco de
origem e dados adicionais sobre a aquisição, como valores de hash, informações temporais e
de setores defeituosos detectados na aquisição do disco de origem. Também é possível
segmentar esse tipo de imagem em vários arquivos. Uma imagem encapsulada não sofre com
o problema de contaminação, entretanto a sanitização do disco destino é sempre
recomendada, para evitar o uso do argumento legal que a cópia possa estar contaminada.
Em alguns formatos, é possível realizar compressão do arquivo de saída, obtendo assim uma
economia de espaço no disco de destino. Entretanto, esse procedimento não será efetivo se os
dados do disco origem forem muito variáveis, como vídeos ou imagens. Outro ponto
importante é que a ferramenta usada na etapa de análise da perícia deve suportar compressão
de arquivo, e que o hardware do computador seja poderoso o bastante para que o atraso no
acesso ao arquivo comprimido, causado pela descompressão dos dados, seja desprezível.
Existem formatos que independem da ferramenta de análise, como o AFF (Advanced Forensic
Format), o AFF4 (Advanced Forensic Format 4) e o gfzip (Generic Forensic Zip). Outros
formatos são usados em ferramentas de análise específicas. Alguns formatos específicos de
ferramentas de análise são: Expert Witness, ASR, IDIF, ProDiscover, Pyflag, RAID, Safeback
e SDi32 (Garfunkel, S., et all, 2006). A Tabela 2-7 mostra a ferramenta de análise associada
a cada padrão, se o formato é proprietário (se a especificação do formato é disponível
publicamente) e se o formato comprimido pode ser pesquisado sem a necessidade de
descompressão de todo o arquivo.
Tabela 2-7: Características dos formatos de imagens, adaptada de (Garfunkel, S., et all, 2006)
Nome do formato Ferramenta de Análise É Proprietário? Compressão de Dados é
Expert Witness Encase Sim Sim
ASR SMART Não Não
IDIF, IRBF, IEIF ILook Investigator Sim Sim
ProDiscover Image File Prodiscover Não Sim
sgzip Pyflag Não Sim
Nome do formato Ferramenta de Análise É Proprietário? Compressão de Dados é
Safeback Safeback Sim -
SDi32 Vogon International´s SDi32 Não Não
O formato Expert Witness, usado pelo Encase da Guidance Software, talvez seja o padrão de
facto para análise forense. É composto de um cabeçalho com informações sobre o caso,
seguido de blocos de dados com códigos CRC para cada bloco de 64 setores, e finaliza com o
código hash dos dados (Garfunkel, S., et all, 2006).
2.4.3. Imagem Simples com Dados Adicionais
Há também a possibilidade de criação de uma imagem simples, e que os dados adicionais
sejam gravados em um arquivo separado. Uma desvantagem desse formato, alerta (Garfunkel,
S., et all, 2006), é que há a possibilidade desses arquivos sejam perdidos ou confundidos com
dados de outro disco rígido.
No documento
PROPOSTA DE MÉTODO PARA AUMENTO DE DESEMPENHO NA DUPLICAÇÃO FORENSE DE DISCOS RÍGIDOS DANIEL JOSÉ SALOMONI
(páginas 38-41)