Publicação

Escultura de arquivo (File Carving)

foto de
André Rodrigues CONTEÚDO EM DESTAQUE

Introdução

Para qualquer profissional de computação forense, é imperativo aprender o máximo possível de técnicas forenses. Isso não apenas maximiza suas chances de lidar com uma ampla gama de situações, mas também permite que as soluções surjam mais rapidamente.

Este artigo trata sobre a técnica denominada Forense ao vivo (Live forense). Para conhecer mais técnicas de Análise Forense, acesse: Técnicas de Análise Forense Computacional

Escultura de arquivo (File Carving)

Uma técnica forense que usa conteúdo de arquivo, em vez de metadados de arquivo, para localizar ou recuperar o arquivo.

Como discutido acima, quando um arquivo é excluído, isso não significa necessariamente que ele foi apagado da unidade. Normalmente, o sistema operacional simplesmente perde o controle do arquivo, também conhecido como metadados do arquivo. Assim, você não pode acessar o arquivo através de seu sistema de arquivos, já que ele está alheio à própria existência do arquivo.

Você ainda pode recuperar esses arquivos com base em seu conteúdo, e essa recuperação é conhecida como gravação de arquivo. A gravação de arquivos extrai dados significativos e estruturados de uma parte não estruturada e não alocada da unidade. É mais útil quando as entradas de arquivo ou diretório estão corrompidas ou ausentes.

Exemplo de Escultura de arquivo (File Carving)

Um exemplo famoso de estrutura de arquivo foi quando os Navy Seals dos EUA invadiram o complexo de Osama bin Laden e removeram todas as unidades de armazenamento encontradas no interior. Escultura foi empregada para dissecar essas unidades, e as informações adquiridas depois ajudaram a reforçar a segurança nacional.

Comentários