São dados que podem permanecer na máquina durante longos períodos de tempo e podem ser recuperados mesmo após a mesma ser desligada. Nada mais são do que conteúdo de arquivos, logs (registro de atividades realizadas por algum programa) do sistema e MACtimes. Se o perito forense estiver apenas interessado nos arquivos armazenados no disco ou rastros de um incidente que já aconteceu há algum tempo, a análise post-mortem é mais indicada. Tal análise começa com a cópia do HD, mas antes de seguirmos, é válido entender como o disco rígido é organizado. Ele apresenta diversos pratos como o representado na figura abaixo. A divisão é feita em círculos concêntricos chamados trilhas (em amarelo) e em partes das trilhas chamada setores (em azul). Os setores possuem um número definido de bytes - usualmente 512.

Aqui, não se deve fazer uma simples cópia do disco. O melhor procedimento é criar uma imagem do disco (cópia bit a bit), o que inclui arquivos excluídos* e impede a modificação do atime. Procedimentos como um backup modificam o atime e acabam destruindo evidências em uma investigação. Por precaução, é interessante desabilitar as atualizações de atime antes de analisar os registros de data e hora em que um arquivo foi acessado. Um utilitário criado para criar uma duplicata adequada da mídia é o dd (Disk Definition), para Linux.

* A obtenção de arquivos excluídos do sistema é discutida na seção 6.

Deve-se usar ferramentas especiais para a obtenção dos atributos de tempo de um arquivo, devido à sua volatilidade, como já vimos. Um relatório MACtime é visivelmente detalhado, mas a perícia passa a ficar mais simples quando as informações começam a se relacionar.

Um arquivo de registro chamado journal grava as atualizações feitas no disco antes de elas serem armazenadas no sistema de arquivos. Apesar de parecer perda de tempo, essa técnica permite que o sistema seja recuperado com eficiência após uma falha. Atividades de leitura e gravação geram registros de tempo no journal do sistema. Dessa forma, temos uma série de datas e horas de MACtimes, não apenas os últimos acessos. Por isso, podemos dizer que o journal é uma ótima máquina do tempo.

Arquivos como os de log locais, arquivos de configuração e até artefatos deixados para trás pelo invasor podem conter informações preciosas sobre uma invasão mal intencionada. Como exemplo, podemos citar um invasor desastrado que ativou um serviço já ativado. Quando isso acontece, é registrado no log um alerta de serviço duplicado, acabando por denunciar a invasão.

Garantir a integridade dos dados coletados é imprescindível, pois, caso contrário, as pistas encontradas não serão consideradas como provas.

Tal garantia é conseguida identificando os arquivos através de um número de hash. Um hash é uma seqüência de números e letras formada conforme as característcas de um arquivo. Ou seja, para um determinado arquivo, existe um código de hash que o identifica e o diferencia dos demais arquivos. Os algoritmos mais difundidos para a criação de chaves hash são o MD5 (Message Digest Algorithm 5) e o SHA (Secure Hash Algorithm) . Dessa maneira, é possível comparar os arquivos segundo um conjunto de códigos, evitando um enorme tempo de comparação dos arquivos em si. Um exemplo de programa que realiza essa função é o MD5 Checker.

Exemplo: o arquivo exemplo.txt com o texto “Redes” gera o seguinte código: 2A9C31CDB6A758C90485380AAEAD1130. Se mudássemos o texto para “Rede”, o código ficaria assim: F5E5714978904472691FEAED59B1EEF9.

Existem equipamento especiais, usados por peritos forenses, que permitem capturar informações importantes contidas em um celular. Isso envolve mensagens SMS, chamadas recebidas e realizadas, imagens e vídeos e os números contidos na agenda.