Quando um PC Windows está envolvido em uma investigação de computador, há várias opções em como proceder a qualquer investigação forense computacional. Os passos são ditados pelo cenário global. Pode haver momentos em que o computador não pode ser removido da rede para a análise, por causa da ruptura que pode resultar as atividades em rede, ou a falta de uma unidade de substituição adequada.
Métodos de Investigação Forense em PCs
Outras vezes, a única evidência de qualquer incidência podem ser os dados que estão atualmente na memória. Estas situações podem exigir o que é conhecido como o Processo de Resolução ao vivo.
Os dados coletados durante uma resposta ao vivo consiste de dois conjuntos principais; vide abaixo:
Dados Voláteis
Os dados voláteis são os que não são armazenados, mas que existem temporariamente.
Dados Voláteis
Um processo de resposta ao vivo deve conter informações como as conexões atuais, os processos que estão sendo executados e os arquivos que estão abertos. Por outro lado, também existem os dados que não são voláteis.
Dados Que Não São Voláteis
Esse tipo de dados coletados durante a resposta ao vivo, como os logs do sistema, podem ser coletados em um formato de fácil leitura. O formato binário pode estar disponível durante a duplicação forense normal, mas será difícil de coletar após o computador ter sido desligado.
Os dados são coletados por estarem executando uma série de comandos, enquanto o comando produz os dados que normalmente seriam enviados para o console. Os dados devem ser salvos para posterior análise, e, deverão ser transmitidos para a estação de trabalho forense, em vez do disco rígido local.
Dados Que Não São Voláteis
A estação de trabalho forense deve ser uma máquina isolada, na qual o investigador forense considera confiável. A chance de substituir qualquer evidência sobre a unidade local é então evitada, se uma duplicação forense é de fato realizada. Existem vários métodos para transferir dados para a estação de trabalho forense, conforme citamos:
Netcat
O primeiro método utilizado é chamado de “canivete suíço” ou também conhecido como Netcat. O Netcat simplesmente cria canais de TCP. O Netcat pode ser executado em modo de escuta, como um servidor de telnet ou no modo de conexão como um cliente telnet.
Uma variante do Netcat chamada Cryptcat também pode ser utilizada na maioria dos casos, porque ele criptografa os dados através dos canais TCP. O Cryptcat utiliza a mesma linha de comando do Netcat, oferecendo as vantagens adicionais de segurança e autenticação. Os invasores podem ser detectados, pois os bits de editada serão mostrados como unencrypted na estação de trabalho forense.
Roteamento
A resposta ao vivo permitirá uma fácil detecção dos movimentos atacantes para discernir as intenções de um invasor. Servidores comprometidos são frequentemente usados para redirecionar o tráfego. O benefício de redirecionar o tráfego é evitar dispositivos de segurança como um firewall. A tabela de roteamento pode ser examinada para observar as rotas de dados.
