Introdução à Informática Forense

Dirigido a pessoas dedicadas ou não à segurança informática e tenham ou não experiência ou formação em temas de informática forense. Dirigido a profissionais que procuram um maior conhecimento acerca dos principais fundamentos sobre os que trabalham as principais ferramentas de informática forense.

Duração: 3 dias

Objetivos

• Procedimentos de aproximação, ferramentas e conhecimento geral de uma análise forense.
• Análise práctica dos fundamentos e as possíveis dificultades de uma Análise Informática Forense.
• Análise práctica do processo e algumas ferramentas utilizadas na Análise Informática Forense.

Programa

Módulo 1

Procedimentos de aproximação, ferramentas e conhecimento geral de uma análise forense.

1.1 Introdução à informática / auditoria forense

• Definição: o que é exactamente a informática forense.
• Finalidade de uma análise forense.
• Principais razões que desencadeiam uma análisis forense.
• A cadeia de custódia.

1.2 Vertentes de uma análise forense

1.2.1 Dispositivos de armazenamento

• Identificação de objetivos
• Preservação de evidências
  • Metodologia de trabajo
  • Procedimento de clonagem
  • Revisão de checksum
  • Ferramenta
• Recuperação e análise
  • Recuperação de dados eliminados / perdidos
  • Aplicação de técnicas de análise sobre os datos adquiridos
• Apresentação de resultados e objetivos do processo de análise forense
  • Importância da documentação durante o processo
  • Regras para a realização de um bom relatório
  • Ferramentas e técnicas de análise forense

1.3 Conclusões

Módulo 2

Análise práctica dos fundamentos e as possíveis dificuldades de uma análise informática forense

2.1 Analisando os fundamentos forenses

• Estructura física de um disco rígido
• Estructura lógica de um disco rígido
  • FAT
  • NTFS
  • EXT2, EXT3, EXT4
  • HFS+
• Eliminação de dados
  • O que é realmente a eliminação
  • Eliminação segura
• Recuperação de dados eliminados

2.2 Possíveis dificuldades numa análise forense

• Sectores defeituosos
• Condições de trabalho adversas
• Discos rígidos danificados
• Sistemas RAID
• Encriptação
• Antiforénse

Módulo 3

Realização práctica do processo de recompilação de evidências e análise das mesmas. Os assistentes familizar-se-ão com o processo e com as ferramentas geralmente utilizadas em Análise Informática Forense.

3.1 Recompilação de evidências

• Metodologia de trabalho
• Diferentes ferramentas para clonagem de discos rígidos e telefones móveis

3.2 Análise de dados e reconstrução de evidências

3.2.1 Análise informática com distintas ferramentas software de investigação

Utilização de ferramentas:

• EnCase
• WinHex
• Sleuthkit

3.2.2 Metadados. Informação disponível. Como visualizar os dados e compôr evidências

3.2.3 Análise "manual". Recuperação de dados. Recuperação detalhada de e-mails. Visualização de arquivos e ficheiros

3.2.4 Análise a quente. Possibilidades de investigação e recoleção de evidências sem modificar conteúdos do dispositivo a investigar

3.2.5 Análise remota. O quê e como investigar a distância com software forense através da Network.

3.3 Análise de sistemas operativos

3.3.1 O que queremos procurar

3.3.2 Onde procurar

3.4 Relatório técnico

Amostras de relatório com distintos conteúdos segundo o tipo de investigação.