Página Inicial  
 1. Introdução 
 2. Informações Cronológicas 
 Máquinas do Tempo 
 MACtimes 
 3. Análise Morta 
 Dados Não Voláteis 
 Copiar o Disco 
 MACtimes 
 Journaling 
 Análise dos Detalhes dos Arquivos  
 Integridade dos Dados  
 Dados de Celulares e Smartphones  
 4. Análise Viva  
Dados Voláteis  
Tráfego da Rede  
 5. Malware 
 Backdoors  
 Cavalos de Tróia (Trojan)  
 Spywares  
 Vírus  
 Prevenção e Cura  
 6. Persistência de Informações Ex...  
 Exclusão (Delete) 
 Formatação 
 7. Anti-Análise Forense 
 Criptografia 
 Esteganografia 
 Rootkits 
 Método Gutmann 
 Desmagnetizador 
 Destruição 
 Método DoD 5220.22-M 
 8. Conclusão 
 9. Perguntas 
 10. Bibliografia 
2. Informações Cronológicas
Máquinas do Tempo
Saber quando uma seqüência de eventos ocorreu pode ser mais importante do que saber o que ocorreu. Quando várias ocorrências são interligadas e sabe-se em que momento cada uma delas ocorreu, o investigador adquire um contexto que pode alterar completamente as impressões sobre um caso.
MACtimes
São atributos de tempo de um arquivo (mtime, atime e ctime).
- mtime (Modification time): mostra a última data e hora em que o arquivo foi modificado.
- atime (Access time): mostra a última data e hora em que um diretório ou arquivo foi acessado/lido.

- ctime (Creation time): mostra a data e hora em que arquivo foi criado.

MACtimes podem ser coletados bastante tempo depois de um incidente. Eles, porém, são muito efêmeros. A simples abertura de um diretório ou arquivo mudará o seu atime, assim como algumas ferramentas de gerenciamento de arquivos com interface gráfica (métodos adequados para uma análise que não modifique os MACtimes são discutidos na seção seguinte). Outro problema dos MACtimes é que eles exibem apenas quando uma ação foi feita, e não quem a fez.
Outra desvantagem dos MACtimes é o fato de eles serem facilmente forjados. Técnicas que dificultam o trabalho do perito forense são discutidas na seção 7.
<< Anterior | Início | Seguinte >>