A Ciência Forense busca solucionar um mistério (crime) fazendo uso de vestígios e evidências.
Quando vestígios como objetos e/ou marcas se tornam importantes para provar a ocorrência de
um crime, eles passam a ser evidências de que um fato aconteceu.
Disciplinas forenses como as de balística, química e análise de documentos já existem há bastante tempo. No entanto, com a intensificação dos crimes digitais, auxiliada pela sensação de anonimato e pela facilidade de obtenção de programas mal intensionados, tornou-se necessária a criação de uma disciplina forense aplicada à informática, visando dar sentido às informações coletadas e avaliar se elas produzirão ou não um resultado confiável.
Infelizmente, é impossível recuperar o passado. O que a análise forense faz é utilizar os dados
disponíveis para tirar conclusões sobre o que realmente aconteceu em um incidente. Quanto mais
informações forem adquiridas, mais consistente fica a investigação e mais plausível fica a
ocorrência de um fato. Porém, é importante salientar que um registro isoladamente não prova que
um evento aconteceu e a ausência de um registro não prova que um fato não aconteceu.
A preservação da integridade dos dados é de extrema importância, pois ao menor indício de que os dados são inconsistentes, a justiça não aceitará as evidências como provas da ocorrência do crime. Cabe ao perito garantir que ninguém sem autorização faç uso do computador investigado.
Feito isso, a análise forense aplicada à computação segue quatro passos básicos:
- Coleta de evidências.
- Exame - identificar quais evidências são importantes para a resolução do caso.
- Análise - reconstruir o crime, identificar os envolvidos e estabelecer relações entre eventos e pessoas.
- Resultados / Documentação - criar um relatório completo sobre o crime e quais etapas da investigação levaram à resolução do caso.
As principais ferramentas forenses usadas pelo peritos são o EnCase (alternativa paga usada em ambientes Windows) e o TCT - The Coroner's Toolkit (alternativa gratuita para ambientes UNIX). Existem outras como o Autopsy e o TamoioBSD, programa ainda em desenvolvimeto pelo Grupo de Resposta a Incidentes de Segurança - GRIS, da UFRJ.