o que é uma imagem Forense? O que é um Clone? Como uma imagem Forense é diferente de um Clone? Estas são perguntas que abordamos com frequência no Capsicum. Embora em seu rosto isso pareça ser facilmente respondido, é muito mais sutil do que você imagina. Ao longo dos anos, tem havido muitos termos usados para descrever uma imagem Forense versus um Clone e o processo de fazer um backup forense. Termos como imagem espelhada, cópia exata, imagem de fluxo de bits, duplicação de disco, clonagem de disco e espelhamento tornaram cada vez mais difícil entender o que exatamente está sendo produzido ou solicitado.
em termos gerais, os backups forenses são obtidos capturando todos os dados de uma mídia de origem (computadores, telefones celulares, tablets, etc.) de forma forense, para que todos os dados originais sejam um estado inalterado. Isso significa que todo o conteúdo da mídia de origem está sendo coletado, incluindo espaço não utilizado, todos os dados do slack, todo o espaço não alocado e outras mídias.
como você distingue uma imagem e um Clone?
uma imagem Forense é uma duplicata abrangente de mídia eletrônica, como uma unidade de disco rígido. Artefatos (Informações ou dados criados como resultado do uso de dispositivos eletrônicos que mostram a actividade do passado), tais como arquivos apagados, excluídos fragmentos de arquivos e dados ocultos podem ser encontradas na margem de atraso (o espaço não utilizado e que é criada entre o fim-de-arquivo marcador e o fim da unidade de disco rígido de cluster no qual o arquivo é armazenado e espaço não alocado (A porção não utilizada de uma unidade de disco rígido). Essa duplicata exata dos dados é chamada de cópia bit a bit da mídia de origem e é chamada de imagem. As imagens são instantâneos petrificados, que são usados para análise e preservação de evidências. As imagens não podem ser usadas como cópias de trabalho.
um Clone Forense também é uma duplicata abrangente de mídia eletrônica, como uma unidade de disco rígido. Artefatos como arquivos excluídos, fragmentos de arquivos excluídos e dados ocultos podem ser encontrados em seu espaço frouxo e não alocado. Essa duplicata exata dos dados é chamada de cópia bit a bit da mídia de origem e é chamada de Clone. Clones são instantâneos de trabalho, que são modificáveis e não necessariamente preservados. Clone são usados como cópias de trabalho para substituir evidências originais para análise, bem como fins de preservação de dados.
um hash (um esquema de detecção de erro que executa o cálculo no valor binário do pacote/Quadro e, em seguida, que é anexado ao pacote/quadro como um campo de comprimento fixo. Uma vez que o pacote/Quadro é recebido, um cálculo semelhante é realizado. Se o resultado não corresponder ao primeiro cálculo, ocorreu uma alteração de dados durante a transmissão. O cálculo pode ser uma soma (soma de Verificação), um restante de uma divisão ou o resultado de uma função de hash) de um dispositivo original pode validar se a mídia é uma duplicata exata (cópia forense sonora). Qualquer variação no valor hash de um original em seu Clone ou imagem confirmará que eles não são cópias exatas. Isso é importante saber ao lidar com questões legais.
por que isso importa em seu escritório de advocacia para um caso legal?
embora um Clone possa ser usado para análise forense digital, ele é normalmente usado para criar cópias de trabalho ou unidade de substituição exata.
as imagens são usadas principalmente para analisar forense e preservar dados originais. Eles são petrificados e em seu formato de imagem não podem ser modificados.
Capsicum recentemente teve um caso muito intimamente relacionado a este tópico. Um advogado foi levado a acreditar que uma imagem e um Clone eram os mesmos. O advogado pediu uma imagem para que eles pudessem rever os arquivos de um computador. Os especialistas da Capsicum realizaram uma reunião de coleta de requisitos e conseguiram chegar à raiz de quais produtos de trabalho eram necessários. Conseguimos explicar que, sem ferramentas forenses, a imagem não era legível. Explicamos ainda que, embora um Clone pudesse ser revisado e pesquisado, os dados originais seriam modificados. No final, depois de colaborar com o advogado, produzimos Clone e Image. Na Capsicum, fornecemos profundo conhecimento técnico e somos bem versados em liderar ou participar de sua investigação eletrônica. Não importa o nível de complexidade, a equipe de especialistas em tecnologia e direito da Capsicum Groups está equipada com a tecnologia de ponta e estratégias intensivas para o seu sucesso. Saiba mais sobre nossos serviços de recuperação forense e segurança cibernética na Filadélfia, Nova York e sul da Flórida, conectando-se conosco por meio de nossa página de contato ou ligando para 1-888-220-3101.
Aqui estão alguns artigos adicionais escrito por Capsicum, que poderá ser de interesse:
Como dividir um PDF Protegido
Só Texto Me: Top 5 Perguntas Forense Digital Especialistas São feitas a Respeito de Mensagem de Texto, Provas
Metadados: The Smoking Gun