Recuperando Dados

Por muitas vezes, a investigação de um crime se reduz a coletar uma evidência armazenada em um meio digital, com os dados convenientemente íntegros e organizados no HD (ou algum outro tipo de mídia). Porém, muitos malfeitores tentam esconder ou apagar esses dados com medo da possível descoberta da evidência de um crime. A seguir discutiremos os métodos para a recuperação de dados escondidos ou apagados.

Muitas pessoas acreditam que ao simplesmente deletar um arquivo ele se torna irrecuperável. Essa crença é errada, pois quando um arquivo é deletado a única coisa apagada é o dado do ponteiro que remete à localização do arquivo no disco, fazendo com que o espaço apontado seja considerado livre para escrita de um novo dado. Dessa forma, basta simplesmente recuperar e reorganizar os fragmentos de dados espalhados pelo HD (ou outro tipo de mídia), que o arquivo pode ser obtido inteiro ou parcialmente. Para executar tal tarefa, basta somente utilizar uma ferramenta de recuperação de dados de acordo com as características do sistema de alocação de arquivos usado pelo sistema operacional. Qualquer pessoa pode encontrar uma dessas ferramentas hoje na WEB, devido também à sua grande utilidade prática no dia a dia de recuperar arquivos acidentalmente apagados.

Outro tópico importante é a recuperação dos dados fazendo análise física do disco. Mesmo em um HD destruído ou com os arquivos sobrescritos, ainda é possível fazer uma análise magnética para dizer qual era o dado que estava armazenado anteriormente. Isso acontece porque o alinhamento vertical e horizontal das cabeças leitoras do disco não é exatamente o mesmo cada vez que uma operação de escrita no setor é realizada, deixando vestígios dos dados antigos. Esse processo é lento e caro, e geralmente é feito somente por especialistas com equipamentos refinados. Análises físicas podem ser feitas em qualquer mídia de armazenamento onde haja a remanescência dos dados, como todas as que utilizam o magnetismo para guardar informação. Cartões de memória para câmeras digitais e pendrives também estão entre os dispositivos onde há remanescência.

Muitos criminosos utilizam métodos de criptografia fracos para proteger seus arquivos. Basta somente utilizar a ferramenta adequada para quebrar a criptografia, seja por força bruta ou algum processo mais refinado, e então recuperar os dados. Já no caso da esteganografia, o método utilizado é fazer comparações entre as estatísticas esperadas do arquivo e estatísticas deixadas por softwares esteganográficos. O processo de verificar a existência de dados escondidos é simples, porém recuperar alguma informação desses dados é difícil. Há uma seção especial no site sobre isso.

Essa técnica procura dados localizados áreas armazenáveis de informação no disco que são desperdiçadas. Um setor do disco é uma unidade fixa de espaço, como 512 bytes. Hard Disks armazenam as informações em linhas radiais, e nenhuma linha tem a mesma circunferência que outra. Dessa forma, para um HD manter os dados armazenados em setores iguais para todas as linhas, algum espaço é desperdiçado quando sobra uma fração de um setor em alguma linha. Esse espaço desperdiçado é chamado de intervalo de setor, e é possível esconder dados nele.
Outra forma de esconder os dados é quando um arquivo é armazenado em um setor de tamanho maior que ele, deixando um espaço sobrando nesse setor. O dado pode ser escrito dentro deste espaço sem problemas, porém quando o setor for sobrescrito a informação contida nele é perdida. Alguns sistemas operacionais utilizam função de preenchimento para completar os espaços que faltam em um setor baseados no estado da memória RAM, tornando possível algum investigador também poder descobrir o que o usuário tinha na memória volátil quando o arquivo foi escrito em disco.

Localizando evidências esquecidas

Muita quantidade de dados é automaticamente armazenada no computador quando aplicativos são utilizados. Históricos da Internet geralmente são facilmente reavidos, já que a maioria dos navegadores não apaga seus dados de forma a evitar sua recuperação. Inúmeros outros aplicativos usam alguma forma de armazenamento que o usuário não percebe ou que não é transparente ao usuário, deixando mais vestígios no disco. Outra fonte de informação que pode ser facilmente recuperada é o arquivo de paginamento ou a área de troca de memória do sistema operacional, onde os dados da memória RAM menos utilizados são salvos no HD. A maioria dos sistemas operacionais utilizam algo parecido a isso para maximizar a performance.