FORMATAÇÃO DOS DADOS ADQUIRIDOS

Segundo (Carrier, B., 2005), os dados digitais em um disco rígido podem ser interpretados em

camadas de abstração, como disco, volume, arquivos e aplicação. A regra geral é que sejam

adquiridos dados na camada mais baixa em que a evidência possa ser achada. Na maioria dos

casos, todos os setores do disco devem ser adquiridos/copiados.

Como exemplo, quando apenas um volume do disco rígido é adquirido, com a cópia de todos

os setores do volume ou partição, será possível realizar procedimentos de recuperação de

arquivos apagados. Entretanto, caso a partição tenha sido redimensionada, os setores que

anteriormente pertenciam àquela partição não estarão inclusos na cópia.

No caso de cópia lógica de arquivos, com em um backup de uma empresa, onde apenas os

arquivos visíveis nas tabelas de alocação são copiados, não será possível realizar um

procedimento de recuperação de arquivos.

Em alguns casos, como em análises de IDS, pode ser necessário copiar somente arquivos

lógicos, como registros de operações (logs).

O resultado da duplicação forense pode ser uma cópia forense ou uma imagem forense (Costa,

M.A.S.L., 2011). Na primeira, todo o conteúdo da evidência é copiado bit-a-bit para uma

mídia de destino, enquanto que na segunda o conteúdo é copiado para um arquivo que guarda

as informações relativas à geometria do conteúdo. A imagem forense pode ser do tipo

simples, encapsulada ou simples com dados adicionais (Carrier. B., 2005), mostrados na

Figura 2-7. Os itens abaixo descrevem esses formatos.

Figura 2-7: Formatos de Arquivos de Saída, adaptado de (Carrier, B., 2005)

Cada formato tem seu uso específico, dependendo do objetivo da perícia. Em casos de

recuperação de documentos apagados e busca de palavras chave, o encapsulamento é

mandatório para evitar contaminação com dados do disco destino. Se o objetivo é executar o

sistema operacional na máquina física, o encapsulamento não deve ser usado. A execução

virtual do sistema operacional da máquina pode usar um arquivo encapsulado, entretanto o

desempenho da execução é inferior ao da execução na máquina física.

Assim, deve-se levar em conta, na escolha do formato de saída do arquivo de cópia, a maneira

que o mesmo será usado, e qual ferramenta de análise irá acessá-lo. Os programas Encase

para Windows ou FTK (Forensic ToolKit) apresentam emulação de disco, onde as

informações do arquivo de imagem podem ser acessadas pelo sistema operacional como se

fosse um disco de sistema, ou usadas para gravar um clone do disco origem.

2.4.1. Imagem Simples

Uma imagem simples, ou bruta (Raw image) contem apenas os dados do disco origem, e é

fácil compará-lo com os dados de origem. Uma imagem simples pode ser copiada

integralmente para um único arquivo ou segmentada em vários arquivos de mesmo tamanho.

Uma grande desvantagem desse tipo de imagem é a possibilidade da ocorrência de

contaminação da cópia, quando dados anteriores do disco destino são misturados aos dados de

origem. Para evitar a contaminação, é necessário que o disco destino seja sanitizado usando o

processo de wipe, onde um valor, tipicamente Zero ou Um, é gravado em todos os setores do

disco.

Esse tipo de imagem é amplamente usado, pois pode ser lida por diferentes ferramentas de

análise forense (Garfunkel, S., et all, 2006). Entretanto, esse formato não é comprimido,

exigindo que o disco destino tenha pelo menos tanto espaço quanto o disco origem.

2.4.2. Imagem Incorporada

Uma imagem incorporada ou encapsulada (Embedded image), contem os dados do disco de

origem e dados adicionais sobre a aquisição, como valores de hash, informações temporais e

de setores defeituosos detectados na aquisição do disco de origem. Também é possível

segmentar esse tipo de imagem em vários arquivos. Uma imagem encapsulada não sofre com

o problema de contaminação, entretanto a sanitização do disco destino é sempre

recomendada, para evitar o uso do argumento legal que a cópia possa estar contaminada.

Em alguns formatos, é possível realizar compressão do arquivo de saída, obtendo assim uma

economia de espaço no disco de destino. Entretanto, esse procedimento não será efetivo se os

dados do disco origem forem muito variáveis, como vídeos ou imagens. Outro ponto

importante é que a ferramenta usada na etapa de análise da perícia deve suportar compressão

de arquivo, e que o hardware do computador seja poderoso o bastante para que o atraso no

acesso ao arquivo comprimido, causado pela descompressão dos dados, seja desprezível.

Existem formatos que independem da ferramenta de análise, como o AFF (Advanced Forensic

Format), o AFF4 (Advanced Forensic Format 4) e o gfzip (Generic Forensic Zip). Outros

formatos são usados em ferramentas de análise específicas. Alguns formatos específicos de

ferramentas de análise são: Expert Witness, ASR, IDIF, ProDiscover, Pyflag, RAID, Safeback

e SDi32 (Garfunkel, S., et all, 2006). A Tabela 2-7 mostra a ferramenta de análise associada

a cada padrão, se o formato é proprietário (se a especificação do formato é disponível

publicamente) e se o formato comprimido pode ser pesquisado sem a necessidade de

descompressão de todo o arquivo.

Tabela 2-7: Características dos formatos de imagens, adaptada de (Garfunkel, S., et all, 2006)

Nome do formato Ferramenta de Análise É Proprietário? Compressão de Dados é

Expert Witness Encase Sim Sim

ASR SMART Não Não

IDIF, IRBF, IEIF ILook Investigator Sim Sim

ProDiscover Image File Prodiscover Não Sim

sgzip Pyflag Não Sim

Nome do formato Ferramenta de Análise É Proprietário? Compressão de Dados é

Safeback Safeback Sim -

SDi32 Vogon International´s SDi32 Não Não

O formato Expert Witness, usado pelo Encase da Guidance Software, talvez seja o padrão de

facto para análise forense. É composto de um cabeçalho com informações sobre o caso,

seguido de blocos de dados com códigos CRC para cada bloco de 64 setores, e finaliza com o

código hash dos dados (Garfunkel, S., et all, 2006).

2.4.3. Imagem Simples com Dados Adicionais

Há também a possibilidade de criação de uma imagem simples, e que os dados adicionais

sejam gravados em um arquivo separado. Uma desvantagem desse formato, alerta (Garfunkel,

S., et all, 2006), é que há a possibilidade desses arquivos sejam perdidos ou confundidos com

dados de outro disco rígido.