Que tipo de formato de disco rígido e normalmente executado na fábrica em que a unidade é montada?

Tecnologia

Você já parou para pensar em como funciona um disco rígido? Esse componente é, sem sombra de dúvidas, um dos mais importantes que existem nos PCs. Sem eles, placas de vídeo, memórias e o sistema operacional em si não poderiam ser executados. Mesmo com a chegada dos SSDs, eles ainda não perderam o seu espaço.

O que pouca gente sabe é que essa tecnologia teve a sua origem na década de 50. De lá para cá, muita coisa evoluiu, mas os princípios básicos de funcionamento se mantiveram os mesmos. Eles se tornaram menores, ampliaram a sua capacidade de armazenamento e ficaram mais rápido no que diz respeito ao acesso de informações, mas as estruturas ainda são similares.

Por dentro dos discos rígidos

Os discos rígidos, também conhecidos por HDs (sigla em inglês para hard disk), não têm esse nome por acaso. Os locais onde os dados são gravados são chamados de platters, discos extremamente rígidos que proporcionam alta qualidade de gravação e leitura. É de suma importância que os materiais utilizados para a gravação sejam assim, pois simples deformações na superfície podem resultar em erros de leitura.

Os platters são compostos por duas camadas: a primeira é chamada de substrato e a segunda é feita de um material magnético. É importante ressaltar que não pode haver nenhum tipo de sujeira em contato com esses componentes, por isso o local em que eles passam por processos químicos são completamente livres de poeira e outras partículas contaminantes.

Depois de passarem por um processo chamado electroplating, eles recebem uma camada protetora de forma que se crie uma uniformidade na superfície. Sobre o disco, os dados serão gravados em altas velocidades, que podem ir de 5,6 mil a 10 mil RPM (rotações por minuto).

Posteriormente, os platters são montados sobre eixos de alumínio, de forma que qualquer trepidação não seja suficiente para impactar na gravação de dados. Cada disco rígido pode ter vários discos dentro dele – o que permite aumentar o espaço de armazenamento. Dessa forma, cria-se uma estrutura robusta capaz de armazenar com segurança os dados gerados pelo sistema operacional.

Leitura e gravação de dados no HD: como funcionam esses processos

Tanto a gravação quanto a leitura dos dados em um disco rígido são possíveis graças às cabeças de leitura eletromagnéticas. Presas a um braço móvel de alumínio, elas conseguem acessar toda a superfície do disco rígido e, a uma alta velocidade, se encarregam tanto de ler os dados já gravados quanto de gravar as novas informações.

Há outros itens no processo. Dois poderosos ímãs de neodímio e passagens de correntes elétricas de diferentes intensidades influenciam diretamente na velocidade de movimentação das cabeças de leitura. Os dados são gravados em trilhas que medem centésimos de milímetros. Todo esse processo ocorre sem que haja contato das cabeças de leitura com a superfície do disco.

Os dados são gravados no disco rígido em bits, ou seja, são interpretados como 0 ou 1 pelo computador. As sequências de bits, que formam os arquivos gravados no disco rígido, é que são posteriormente lidas para que possam ser interpretadas e transformadas nos dados acessados pelo sistema operacional. Como são estruturas sensíveis, picos de energia ou mesmo quedas podem resultar em defeitos no funcionamento dos componentes.

Embora tenha funções similares, o processo de gravação de dados e o funcionamento dos SSDs é completamente diferente dos HDs. Por essa razão, esses dispositivos – que podem ser considerados a evolução natural dos HDs – ainda são mais caros. Entretanto, apresentam uma série de vantagens como maior velocidade e maior segurança de dados, tudo isso em tamanhos menores.

Terminologia Forense Digital foi uma leitura/assunto de bastante relevância dentro da área, encontrei este material detalhando e resolvi compartilhar pois trata-se de mais uma ótima fonte para consulta.

Terminologia Relacionada a Imagens

Os seguintes termos são encontrados ao discutir o processo de criação de imagens de armazenamento mídia, como discos rígidos, pen drives, arquivos, e telefones.

Hash: Um identificador numérico exclusivo gerado por um algoritmo matemático para verificar se uma imagem é idêntica à mídia de origem (hash verificado). Quando uma imagem é concluída, a próxima etapa do processo é a verificação de hash para certificar que a imagem forense contenha uma cópia exata dos dados que estão sendo copiados.

O primeiro hash é gerado contra a evidência e um segundo hash é gerado contra a imagem forense concluída. No final do processo de geração de imagens, os dois hashes são comparados. Se os hashes coincidirem, a imagem será autêntica. Um hash pode ser calculado usando muitos algoritmos diferentes, como MD5, SHA1 e SHA256.

Imagem: Uma cópia forense verificada de dados digitais. Geralmente comprimido e criado usando várias ferramentas, dependendo do dispositivo. Uma imagem é comumente observada no formato .E01 devido ao amplo suporte para o formato.

Uma imagem pode ser considerada como um contêiner que armazena e protege todos os dados extraídos de um dispositivo. As imagens podem ser segmentadas em partes especificadas (geralmente dividimos imagens .E01 em segmentos de 2 GB).

Imagem Física: Uma cópia direta de 1:1 bit-a-bit de um dispositivo de armazenamento físico. Inclui todos os arquivos, pastas, espaço não alocado. Inclui arquivos apagados. Imagens físicas são o tipo mais comum de imagem em computadores e unidades. As imagens físicas geralmente serão o formato .E01 quando compactadas (mais comum) ou .001, .BIN, .dd não compactadas.

Imagem Lógica: Recomendado quando se quer realizar uma imagem somente de uma partição, ou a imagem de várias partições do disco. Também usamos as imagens forense lógica quando se quer obter uma imagem forense de um RAID (imagem de cada drive lógico será armazenada em mídias distintas). Encontrado nos formatos lógicos .AD1 e .L01 (FTK e EnCase, respectivamente).

Imagem Alvo: Uma cópia direcionada de pastas e / ou arquivos específicos. Assim como uma imagem lógica, uma imagem direcionada captura dados ao vivo e não excluídos. Isso geralmente é usado quando é necessário preservar arquivos específicos em um computador sem coletar todo o disco rígido. Isso resulta em um processo de imagem muito mais rápido.

Dados ao Vivo: Também conhecidos como dados “ativos”, são arquivos que não são excluídos e podem ser coletados usando todos os métodos de imagem. Dados ao vivo residem em espaço “alocado” em um disco.

Dados excluídos: dados que residem em “espaço livre”. Quando um arquivo é excluído, o espaço no disco no qual o arquivo reside é marcado como "livre" ou disponível para novas gravações e é removido da exibição.

Espaço alocado: o espaço em um meio de armazenamento em uso pelo sistema operacional em que os arquivos residem. Quando um arquivo é criado, um sistema operacional como o Windows procurará espaço livre no espaço alocado da unidade.

Espaço Não Alocado: Espaço em um meio de armazenamento que não está alocado ou em uso pelo sistema operacional (não é usado para armazenar arquivos). Mesmo ao formatar um disco rígido, os dados que foram perdidos ainda podem persistir no espaço não alocado.

Espaço Livre: Espaço disponível em um meio de armazenamento onde os dados podem ser armazenados. Novos arquivos são gravados no espaço livre.

Meio de armazenamento: Qualquer dispositivo que armazene dados digitais - flash drives, discos rígidos, CDs, DVDs, cartões SD e muito mais se enquadram nessa categoria (unidade, disco, disco).

Slack Space: O espaço não utilizado no final de um arquivo em um sistema de arquivos que usa clusters de tamanho fixo se o arquivo for menor que o tamanho de bloco fixo, o espaço não utilizado será simplesmente deixado sem uso. Geralmente contém informações excluídas de usos anteriores do bloco.

Análise: O processo amplamente automatizado de classificação, organização e tradução de dados. Muitas ferramentas forenses analisarão uma imagem forense e fornecerão uma análise dos resultados depois de classificar a maioria dos dados em categorias ou de plotar dados em linhas e colunas.

Sistema de arquivos: Usado para controlar como os dados são armazenados e recuperados em um meio de armazenamento. Frequentemente responsável pela manutenção de metadados, como datas de criação e localização.

Partição: Uma seção de um disco usada para armazenar dados. Um único disco rígido pode ser particionado em várias partições. Cada partição geralmente serve um propósito distinto. Cada partição é independente das outras.

Montagem: O processo de obter uma imagem ou unidade forense e carregá-la no ambiente do Windows por meio de uma ferramenta de montagem para fins de geração de imagens ou revisão. Por exemplo, uma imagem de um computador pode ser montada e seu conteúdo navegado no Windows Explorer como se fosse uma unidade que estava conectada.

Imagem ao vivo: Uma imagem realizada quando um computador está ligado. Normalmente, um disco rígido é removido para criar uma imagem para evitar a alteração de dados na evidência. No entanto, em questões civis, onde é necessária a preservação e coleta de documentos, é comum executar softwares lite (não instalados) como o FTK Imager no computador de evidências e criar uma cópia forense da evidência em uma unidade externa conectada ao computador de evidências. Imagens ao vivo também são úteis quando o computador é criptografado.

Bloco de gravação: uma ferramenta de software ou hardware usada para impedir alterações na mídia de evidência ao conectá-lo. Impede que o examinador faça alterações na evidência ao criar a imagem forense.

Volume: um volume está em qualquer lugar em que os dados podem ser armazenados em um dispositivo. Um teclado pode ser conectado a um computador via USB, mas não pode armazenar dados. No entanto, uma unidade flash conectada a um computador via USB contém um volume para armazenar dados.

Valor de hash: Os valores de hash podem ser calculados para arquivos individuais. Esta é uma string única e qualquer alteração no arquivo, por menor que seja, resultará em um valor de hash drasticamente diferente. Os valores de hash são usados para validar arquivos ou detectar alterações em uma cópia.

Memória de acesso aleatório (RAM): RAM é o armazenamento físico usado por um computador que pode ser acessado rapidamente. No entanto, é volátil e não sobreviverá a uma reinicialização ou perda de energia. Ao criar uma imagem da VM ou RAM, é importante capturar estes dados antes de desligar o dispositivo. O computador usará espaço de RAM para armazenar informações enquanto realiza trabalhos diferentes. É comum encontrar documentos ou senhas na RAM.

Memória virtual (VM): RAM virtual é armazenada em um disco rígido para fornecer um espaço temporário para dados da RAM para residir até que seja necessário novamente por um programa. Quando a RAM física é preenchida, os dados são trocados da VM para a RAM física. (às vezes referido como espaço de troca) Exemplo: arquivo de paginação. sys no Windows. Esses arquivos podem ser analisados para dados.

Clone: Duplicando o conteúdo de um disco para outro mídia e imagem adquirida para verificar a precisão da cópia.

Ferramentas de software forense

As ferramentas a seguir são padrão do setor e amplamente utilizadas pela aplicação da lei e pelo setor privado. Nenhuma ferramenta pode cobrir tudo - é comum usar várias ferramentas para um caso. Algumas dessas ferramentas podem ser usadas para criar imagens forenses também.

FTK Forensic Tool Kit da AccessData: Um poderoso programa de análise digital que processa e indexa dados de várias fontes e formatos. Permite-nos tomar uma imagem forense de um computador e processá-lo. Uma vez processado, um examinador pode realizar pesquisas, filtrar dados e visualizar dados excluídos

EnCase do Guidance Software: Assim como o FTK, o EnCase processa e indexa dados para pesquisas e análises. Muitos examinadores usam um ou outro - até os dois. Sua equipe de coleções forense IST é certificada em FTK.

Magnet Axiom: Anteriormente conhecido como IEF (Internet Evidence Finder), o Axiom é a principal ferramenta de análise de dados da web. A Axiom processa imagens forenses e outras fontes de dados e analisa dados relacionados à atividade da web, como histórico da web, cookies da web, histórico de downloads, bate-papo da web, webmail e muito mais. O Axiom também simplifica o processo de análise de artefatos de sistemas comumente encontrados, como histórico de USB e histórico de documentos.

Cellebrite UFED: Às vezes chamado de UFED, Touch Ultimate ou UFED 4 PC, o Cellebrite é uma poderosa ferramenta de coleta e análise de dispositivos móveis. Cellebrite é capaz de extrair dados de telefones, tablets, unidades de GPS, drones e muito mais. É capaz de vários tipos de extrações e fornece um poderoso ambiente de revisão para conduzir análises. Cellebrite armazena a maioria das extrações em .UFD, .ZIP e Formatos .BIN.

Oxygen Forensic Suite: Um programa forense para dispositivos móveis. O Oxygen armazena os dados extraídos do celular no formato .OFB, que geralmente é convertido em um formato amigável da Cellebrite.

Autopsy: Uma plataforma forense digital leve e gratuita. Capaz de processar, esculpir e pesquisar.

Aid4Mail: Uma ferramenta versátil de preservação e conversão de e-mail. O Aid4Mail nos permite obter e-mails de várias fontes e domínios. Uma vez coletado, o Aid4Mail pode converter os dados em um arquivo .PST para ingestão na Relatividade.

X-Ways: Outra suíte forense com todos os recursos, como o FTK e o EnCase, o X-Ways é capaz de processar dados digitais de uma variedade de fontes.

SIFT: Ao contrário dos programas listados aqui, o SIFT é um sistema operacional inteiro executado no Linux. É composto por várias ferramentas gratuitas e é popular entre as agências de aplicação da lei e o setor privado.

BlackLight da BlackBag: Uma poderosa plataforma de análise forense, como o FTK e o EnCase, a BlackLight pode lidar com evidências de várias fontes. A grande diferença entre o BlackLight e as outras ferramentas é a capacidade de analisar imagens de computadores Apple (Mac) com uma análise mais inteligente.

MPE (Mobile Phone Examiner) da AccessData: o MPE é a resposta da AccessData para a Cellebrite. Devido ao domínio da Cellebrite no mercado forense de telefonia móvel, a maioria das outras ferramentas dedicadas é insuficiente. O MPE, como outros concorrentes da Cellebrite, não suporta quase tantos dispositivos nem analisa tantos aplicativos quanto o Cellebrite.

Griffeye: Uma nova ferramenta de software forense que processa dados e permite a análise inteligente através do uso de analisadores personalizados e reconhecimento de fotos.

Utilitários de Hardware Forense

Essas ferramentas ajudam a manter a segurança e a melhorar o fluxo de trabalho do processo. dispositivo mais comuna.

Tableau Bridge: é o cliente de sincronização on-line mais a funcionalidade de consulta ao vivo. A funcionalidade de consulta ativa permite a manutenção de conexões ativas entre fontes de dados publicadas no Tableau Online e dados relacionais locais. As pontes permitem que um examinador conecte uma unidade a um computador para geração de imagens, análise e muito mais, evitando gravações ou edições na evidência.

Duplicadora Forense do Tableau: Os duplicadores forenses são a versão de hardware das ferramentas de criação de imagens de software. A evidência (unidade de origem) é conectada em um lado (lado protegido contra gravação) e a unidade de destino no lado oposto (lado da gravação). O Tableau pode criar clones de um disco, criar imagens e depois verificar a imagem. O Tableau são soluções de imagem rápidas e confiáveis para discos rígidos SATA, discos rígidos externos, dispositivos USB como pen drives e muito mais.

Bloqueador de Gravação USB: Assim como o Tableau Bridge, o USB Write Blocker é uma ferramenta forense profissional para investigar dispositivos de armazenamento em massa USB, como pen drives e atua como uma ponte entre os dispositivos USB e um computador para proteger a evidência USB quando está conectado um computador. Isso inclui unidades externas e unidades flash e é usado por pesquisadores, técnicos e equipe de TI.

Wiebetech: É uma linha de análise forense digital, investigação digital e ferramentas de TI usadas para investigações remotas, e-Discovery e segurança corporativa.

Unidade Externa: Uma unidade externa é uma unidade de disco rígido (HDD) ou uma unidade de estado sólido (SSD) conectada a um computador do lado de fora e não do lado de dentro. Para este dispositivo onde as imagens são normalmente armazenadas ao criar imagens

Ferramentas de Imagem Dedicada

Embora muitas ferramentas listadas na seção Software Forense sejam capazes de criar imagens de mídias de armazenamento, essas ferramentas são criadas exclusivamente para geração de imagens ou auxílio no processo de geração de imagens (montagem e bloqueio de gravação).

FTK Imager: Software de imagem muito poderoso, mas leve. Geralmente colocado em uma unidade externa e conectado no computador a ser coletado, o FTK Imager é capaz de criar imagens em vários formatos da maioria dos dispositivos. O FTK Imager pode criar imagens verificadas lógicas, físicas e direcionadas nos formatos .E01 e .AD1

EnCase Imager: O EnCase Imager pode criar imagens nos formatos .E01 e .L01. Você não pode procurar conteúdo de arquivo dentro de uma imagem usando o EnCase Imager.

Arsenal Image Mounter: Esta ferramenta nos permite montar imagens de vários formatos e definir o tamanho do cluster personalizado. O Arsenal Image Mounting é usado quando outras ferramentas não conseguem lidar com situações de montagem problemáticas.

P2 Explorer da Paraben: Uma ferramenta de montagem de imagens forenses projetada para ajudar os pesquisadores a gerenciar e examinar evidências. Com o P2X Pro, você pode montar imagens forenses como discos lógicos e físicos locais somente leitura.

MacQuisition da BlackBag: Esta ferramenta reside em um dongle USB e é usada para inicializar e adquirir com segurança dados de mais de 185 modelos diferentes de computadores Macintosh em seu ambiente nativo. Esta é a ferramenta de imagem Mac mais confiável e poderosa do mercado para aquisição de dados ao vivo, coleta de dados direcionados e imagens forenses de evidências.

Artefatos Forenses do Windows

Esses termos geralmente são encontrados quando se discute a análise - a revisão dos dados depois de coletados e processados com frequência em um software forense em um computador com Windows. (montagem e bloqueio de escrita).

Arquivo LNK: Também conhecido como arquivo “Atalho” ou “Link”, os arquivos LNK fornecem acesso rápido a outro arquivo, como um programa ou documento.

O arquivo LNK registra informações sobre o arquivo ao qual está vinculado e é criado apenas se esse arquivo for aberto a partir do computador ou até mesmo de mídia externa, como uma unidade flash. Por exemplo, se um usuário abrir um documento do Word, será criado um arquivo LNK que registrará os metadados do documento do Word no momento da abertura: Data de criação, Data de modificação, Data de acesso, local e tamanho. Este arquivo LNK é atualizado toda vez que o arquivo é acessado.

Lista JMP: Listas de Atalhos são um recurso da Barra de Tarefas do Windows que fornece ao usuário acesso rápido aos arquivos e ações do aplicativo acessados recentemente. Listas de Atalhos estão vinculadas a cada uma das aplicações. Por exemplo,

Se você clicar e segurar um ícone de programa no seu menu Iniciar, uma lista de arquivos acessados recentemente será preenchido na tela para o respectivo aplicativo

Shellbag: Um conjunto de chaves do Registro que mantêm o tamanho, a visualização, o ícone e a posição de uma pasta quando observados. O valor forense é que não só registra o histórico de pastas para mídia interna, mas também para mídia externa. Mesmo que uma unidade criptografada seja conectada a um computador e navegada, a lista de pastas ainda será gravada sempre que um usuário navegar pela unidade.

O histórico de pastas é gravado para todas as pastas observadas a partir de uma tela que registra as datas e horários em que as pastas foram observadas. Os examinadores usam esse artefato para determinar onde, em um computador ou unidade, um usuário navegou.

Registro: O Registro armazena centenas de milhares de valores que ajudam o Windows a ser executado. Isso inclui uma riqueza de informações do sistema e do usuário. Geralmente, os dados armazenados no Registro são usados para criar o histórico de dispositivos USB, MRUs (documentos utilizados mais recentemente) e muito mais. O registro é dividido em componentes chamados Hives. Cada Hive é responsável por gerenciar diferentes aspectos do sistema operacional Windows, como SOFTWARE, SYSTEM, NTUSER.DAT (dados sobre usuários individuais) e SECURITY.

Pagefile.sys: Pagefile.sys é o arquivo de paginação do Windows, também conhecido como arquivo de troca ou arquivo de memória virtual. É o que o Windows usa quando fica sem memória física ou RAM.

Artefatos Forenses da Apple

Esses termos são frequentemente encontrados quando se discute a análise - a revisão dos dados depois de coletados e processados com freqüência dentro de um software forense em um computador da Apple.

Lista de preferências (PLIST): Arquivos que armazenam várias preferências, configurações de informações do usuário e registros do sistema para vários aplicativos e o Mac OS. Por exemplo, o ipod.plist registra informações sobre iPhones e iPods conectados.

Arquivos de log (.log): Um arquivo que registra eventos que ocorrem em um sistema operacional, software executado ou mensagens entre diferentes usuários de um software de comunicação. Arquivos de log de sistemas que registram várias alterações e eventos no Mac OS. Eles podem registrar dados do sistema e do usuário por meio de vários registros que armazenam informações por curtos períodos de tempo.

Eventos do sistema de arquivos (FSevents): Revela eventos do sistema de arquivos que ocorreram no passado, como arquivo, pasta, link simbólico e criações de links, remove, renomeia, modifica, altera permissões e muito mais. Eles são úteis para examinar eventos que envolvem montar e desmontar unidades externas e imagens de disco, atividades no diretório de perfil de um usuário, edição de documentos, atividades na Internet, arquivos movidos para a lixeira, arquivos baixados e muito mais.Estes arquivos de eventos também são criados pelo Mac OS em mídia externa (a menos que a unidade seja desconectada antes de poder ser criada).

Fontes de Evidência

Esses termos abrangem fontes de evidências comuns (e menos comuns). Use esta lista para explorar os possíveis locais que os dados podem residir.

Disco Rígido Interno da Área de Trabalho: Unidades usadas em desktops, iMacs e alguns servidores. (conexão magnética girando do disco magnético, 3.5inch). Tempos de imagem de 2 a 5 horas.

Disco rígido interno para notebook: Unidades usadas em laptops menores que os discos rígidos internos para desktop. (conexão magnética girando do disco magnético, 2.5inch). Tempos de imagem de 2 a 5 horas.

SSD: Solid State Drive. 2,5 polegadas. Usa armazenamento de estado sólido em oposição a um disco magnético giratório. Conexão SATA. Não há partes móveis. A criação de imagens no SSD é sempre mais rápida. 1-3 horas

SSD Stick: Um stick de estado sólido fino usado para armazenamento em laptops e computadores. Alguns computadores, incluindo laptops, terão um único dispositivo SSD M2 e um pequeno disco rígido de 2,5 polegadas. Os MacBooks mais novos e mais finos usam bastões SSD. Os tempos de geração de imagens são de 1 a 3 horas. Os MacBooks às vezes podem ser concluídos em cerca de 45 minutos.

Servidor: um computador usado para compartilhar dados em uma rede com outros computadores (clientes). Servidores geralmente têm uma capacidade de armazenamento muito maior. Devido à grande capacidade da maioria dos servidores e à ocasional necessidade de criar uma imagem de um servidor em uma rede, os tempos de imagem são extremamente maiores. Mesmo com uma conexão direta, a geração de imagens pode ser de 20 a 40 horas. Em uma rede com volumes menores, os tempos de geração de imagens podem ser ainda maiores. A criação de imagens é executada em segundo plano e tem impacto mínimo nos usuários que acessam dados em um servidor. Quando uma imagem do servidor é concluída, uma lista de exceções será gerada, fornecendo uma lista de arquivos que não puderam ser visualizados. Estes podem ser tentados novamente como uma imagem menor separada desde que os arquivos sejam fechados e não estejam sendo usados por qualquer pessoa na rede.

Nuvem: armazenamento remoto acessado via web. A maioria dos provedores de armazenamento em nuvem tem algum tipo de registro de atividades disponível para assinantes premium. O conteúdo armazenado nas contas da nuvem pode ser sincronizado com um dispositivo como uma unidade externa e gravado ou capturado usando uma ferramenta forense.

Backups do Cloud PC: algumas empresas utilizam serviços de backup, como o Carbonite, o Azure e o iDrive, para fazer backup do armazenamento em nuvem. Esses backups geralmente podem ser exportados para uma unidade externa.

HDD externo alimentado: Unidades externas com velocidades de gravação mais rápidas. Essas unidades requerem energia por meio de uma tomada de parede e uma conexão USB a um computador. Geralmente muito grande capacidade. Os exemplos incluem o WD MyBook, Seagate Backup Plus e Buffalos

Microsoft Office365: Um serviço online que fornece e-mail, armazenamento em nuvem, SharePoint, Skype, Office e muito mais. O e-mail do Office365 pode ser coletado pela criação de exportações de caixa de correio por meio de uma conta de administrador. Os dados exportados podem ser filtrados por caixa de correio e data.

Microsoft Exchange: Servidor de e-mail e servidor de agendamento desenvolvido pela Microsoft. O e-mail do Exchange é armazenado em bancos de dados .EDB. Esses arquivos .EDB podem ser preservados de servidores Exchange offline. Ao executar uma imagem ao vivo de um servidor Exchange em execução, o banco de dados .EDB ficará inacessível. Por esse motivo, é melhor trabalhar com o departamento de TI da empresa

Flash Drive: Mídia externa pequena utilizando armazenamento flash.

HDD Externo: Um HD externo que se conecta a um computador via conexão USB

Cartões de Memória: Pequenos cartões de memória flash usados para expandir o armazenamento em telefones celulares, câmeras digitais, etc. Exemplos incluem MicroSD, SD, Sony Memory Stick Pro Duo, CF, SDHC.

Celulares: A maioria dos telefones celulares pode ser adquirida e analisada. A capacidade do telefone é cada vez maior e a quantidade de dados que os usuários armazenam também aumenta.

Tablet: a maioria dos tablets usa o mesmo firmware encontrado em telefones celulares - Android e iOS.

Máquinas Virtuais: as VMs podem ser adquiridas de duas maneiras. Um - de dentro da VM usando software de imagem forense, como o FTK Imager. Dois - de fora da VM, preservando o arquivo real em que a VM reside (geralmente, VHD ou VMDK).

Google Takeout: ao olhar para uma conta que envolve um serviço do Google, como o Google Maps, o Gmail, o Google Drive, o Hangouts, o YouTube ou mais, às vezes é melhor exportar esses dados usando o Google Takeout. Esses dados podem, às vezes, revelar o que um usuário está fazendo em um telefone Android até o minuto - aplicativo por aplicativo. 

Termos do dispositivo móvel

Esses termos geralmente são encontrados ao discutir dispositivos móveis, como telefones e tablets.

Backups: Um backup de um dispositivo móvel. Muitos fabricantes e provedores oferecerão um sistema proprietário de backup.

Banco de dados: Usado por aplicativos de celular para armazenar e recuperar informações. Mantém o espaço livre, o que permite a recuperação de dados excluídos, como mensagens de texto e chamadas.

Faraday Bag / Cage: Um “saco” que bloqueia as ondas de rádio, impedindo que os telefones celulares se comuniquem com um sinal externo, como uma torre ou rede Wi-Fi. Útil em questões criminais, quando um suspeito pode enviar um sinal de apagamento remoto para um telefone inteligente.

Aplicativo (App): Um programa que é executado em um dispositivo móvel. Softwares como o Cellebrite geralmente suportam aplicativos populares e analisam dados automaticamente. Outros aplicativos precisarão ser analisados manualmente para traduzir dados em formatos legíveis.

iCloud: A plataforma de backup em nuvem para dispositivos Apple. O iCloud possui os 3 backups mais recentes para dispositivos vinculados a um AppleID.

AppleID: Conta usada para gerenciar dispositivos Apple. Um AppleID conectado a vários dispositivos geralmente compartilha ou sincroniza dados de um para outro. Dados excluídos de um dispositivo podem ser encontrados em outro.

Conta do Google: Conta usada para gerenciar dispositivos Android. Uma conta do Google conectada a vários dispositivos geralmente compartilha ou sincroniza dados de um para outro. Dados excluídos de um dispositivo ainda podem ser encontrados em outro.

Samsung Backup: plataforma de backup da Samsung. Armazena mensagens, contatos, fotos etc.

Extração lógica: Uma extração básica de dados de um dispositivo móvel que é limitada às opções de exportação pré-configuradas do telefone. Geralmente definido pelo fabricante e normalmente muito limitado e fornece pouco ou nenhum dado excluído. Vários tipos de extração podem ser combinados em um, e uma extração lógica é melhor ao executar outros tipos de extrações. Por exemplo, os dispositivos Samsung Galaxy impedem que um examinador extraia mensagens usando os métodos de extração mais poderosos, no entanto, as mensagens podem ser extraídas usando um método lógico e combinadas posteriormente.

File System Extraction (FSE): A extração mais comum na maioria dos telefones celulares. Um FSE permite que um examinador extraia bancos de dados e outros dados do sistema de um dispositivo móvel para analisar software de análise de dispositivos móveis, como o UFED Physical Analyzer da Cellebrite. Esses bancos de dados geralmente contêm dados excluídos. Extrações do FSE incluem dados do aplicativo. Além dos bancos de dados, essa extração só pode acessar o espaço alocado, ou seja, nenhum dado excluído fora do que está contido nos bancos de dados ou outros arquivos que atuam como contêineres. Dependendo da quantidade de dados em um telefone, essa extração pode demorar entre 20 minutos a 4 horas.

Extração Física: Esse tipo de extração é o único verdadeiro formato de “imagem” dentre todos os tipos de extração. É uma imagem verificada de 1: 1 do chip de armazenamento interno do telefone. Ele permite que um examinador acesse o espaço livre / não alocado para recuperar / gravar quaisquer dados excluídos. Geralmente, esse tipo de extração não é suportado em dispositivos que executam patches de segurança, versões de firmware ou compilações recentes. Isso significa que a maioria dos dispositivos não permitirá uma extração física até meses após a atualização.

Versão de firmware (iOS): a versão do firmware em execução em um dispositivo móvel da Apple. As atualizações de firmware da Apple têm uma alta base de instalação do usuário e variam entre diferentes dispositivos, versões e datas de lançamento.

Atualizações de Firmware: A maioria das atualizações corrigirá várias explorações usadas por ferramentas forenses. Leva tempo para as ferramentas acompanharem as atualizações para garantir que os dados sejam analisados com precisão. Um banco de dados usado para armazenar mensagens de texto pode manipular dados de maneira diferente quando uma nova atualização é liberada.

SMS: Short Message ou comumente conhecido como mensagens de texto. Normalmente, o SMS é enviado e recebido pela rede de uma operadora de telefonia usando o número de telefone do assinante.

MMS: Mensagem multimídia. Como o SMS, uma mensagem MMS é enviada e recebida pela rede de uma operadora de telefonia. As mensagens MMS contêm anexos, como fotos, vídeo e áudio.

Mensagem de bate-papo: Uma mensagem trocada usando um aplicativo de terceiros, como Skype, Snapchat, Facebook Messenger, etc. As ferramentas de análise forense geralmente separam o SMS / MMS das mensagens de bate-papo. Mensagens de bate-papo residem em bancos de dados exclusivos vinculados ao aplicativo de terceiros.

iMessage: iMessage é um serviço de mensagens instantâneas criado e implementado pela Apple para dispositivos Apple. Os iMessages são normalmente sincronizados em dispositivos Apple em uso pelo mesmo AppleID. O iMessages compartilha um banco de dados com mensagens SMS / MMS em dispositivos iOS.

Limpeza remota: Os dispositivos Android e Apple podem ser apagados remotamente através do GooglePlay.com e do iCloud.com. Isso pode ser feito fazendo login na conta do Google ou AppleID vinculada ao dispositivo. Os locais dos dispositivos conectados a essas contas podem ser rastreados e remotamente apagados ou bloqueados com o apertar de um botão.

Modo de Download: Um modo especial com nomes diferentes em diferentes fabricantes de dispositivos móveis (modo de Firmware, Modo de Flash, Fastboot). A inicialização do telefone no modo de download permite um ponto de acesso direto para criar uma imagem física em vários dispositivos. Nem sempre é possível, mas o modo de download é uma ótima maneira de ignorar códigos de bloqueio ou telefones que não são mais inicializados.

Loop de inicialização: Um dispositivo móvel que percorre o processo de inicialização. Os dados ainda podem ser extraídos usando o modo de download ou reparando o loop de inicialização.

ROM: Memória somente leitura. A ROM armazena o sistema operacional dos dados do sistema do telefone.

Partição de recuperação: Essa parte do armazenamento do telefone permite que o usuário restaure um dispositivo para as configurações de fábrica, limpando os dados do usuário. Essa partição de recuperação pode ser substituída por uma partição de recuperação personalizada que permite que um examinador crie backups de dispositivos Android.

Jail Break: Modificando um dispositivo móvel para remover restrições impostas pelo fabricante ou operador. Permitir a instalação de software não autorizado. Este termo é geralmente usado ao descrever a modificação de dispositivos iOS.

Raiz: Muito parecido com uma pausa na cadeia, o enraizamento de um telefone celular fornece acesso a dados na “raiz” ou no nível mais alto do sistema de arquivos do celular. É equivalente a um jailbreak, mas este termo é usado quando se discute a modificação de dispositivos Android.

Termos básicos do Windows

Esses termos geralmente são encontrados ao se discutir o Windows

UFD: O formato de arquivo de extração Cellebrite. O arquivo .UFD nos permite carregar os dados de extração (geralmente no formato .zip).

Explorer: Através do Explorer, os usuários podem navegar em seu computador através de uma estrutura de arquivos e pastas dentro de um ambiente Windows.

Gerenciador de dispositivos: recurso do Windows para observar dispositivos e hardware conectados.

Gerenciamento de disco: recurso do Windows que fornece informações sobre unidades conectadas e volumes / partições de cada unidade.

Termos básicos da Apple / Mac

Esses termos geralmente são encontrados ao se discutir computadores da Apple.

Master Boot Record (MBR): O índice para cada arquivo armazenado no ambiente do Windows. Armazena metadados e localização de cada arquivo que reside no computador. Este arquivo não é acessível pelo usuário. É um dos primeiros arquivos analisados ao processar uma unidade em software forense.

Finder: Assim como o Explorer para Windows, o Finder fornece acesso a arquivos e pastas, exibe janelas e geralmente controla as interações no ambiente do Mac OS.

Trash: Arquivos do usuário excluídos por um usuário serão copiados para o lixo, bem como o Windows. Esses arquivos ainda permanecem no espaço alocado e podem ser restaurados.

Exclusão Segura: Um método de exclusão incorporado ao MacOS que permite que um usuário exclua o arquivo completamente, sobrescrevendo os blocos nos quais o arquivo reside e ignorando a lixeira. A única maneira de recuperar dados excluídos dessa maneira é capturar a memória virtual (VM), a memória RAM ou acessar um backup por meio de um Time Machine Backup ou Time Capsule.

Launch Pad: Um lançador de aplicativos para o macOS. A interface gráfica do usuário em tela cheia do Launchpad fornece uma maneira alternativa de iniciar aplicativos no macOS, em comparação com outras opções, como o Dock ou o Finder.

Utilitário de Disco: Um utilitário de software para executar tarefas relacionadas ao disco no macOS. Usado para formatar unidades, montar, proteger a exclusão de disco e muito mais.

Gerenciador de Inicialização: Um ambiente de inicialização especial acessado mantendo pressionada a tecla Opção ao ligar um computador Mac. Permite que o usuário carregue o MacQuisition ou qualquer outra unidade conectada ao computador que tenha um sistema operacional inicializável instalado, como o macOS ou o Windows.

Modo de Recuperação: Sistema de recuperação integrado para macOS. Conecta o macOS à Internet via Wi-Fi e faz o download do firmware apropriado para reparar ou restaurar o sistema operacional, restaurar dados de um backup do Time Machine ou obter ajuda on-line. Acessado segurando "Command + R" ao ligar o Mac.

FileVault: criptografia macOS da Apple.

Senha de Firmware: Uma senha de firmware impede a inicialização de qualquer dispositivo de armazenamento interno ou externo que não seja o disco de inicialização selecionado.

Time Machine: Aplicativo de software de backup integrado ao macOS. O software foi projetado para funcionar com o AirPort, bem como com outras unidades de disco internas e externas. Cria backups incrementais de arquivos que podem ser restaurados em uma data posterior. Ele permite que o usuário restaure todo o sistema ou arquivos específicos do Recovery HD ou do disco de instalação do macOS.

Boot Camp: Utilitário integrado que permite ao usuário instalar o Windows em computadores Mac. Ambos os ambientes podem ser usados no Mac.

Termos de Artefato da Web

Esses termos são frequentemente encontrados ao discutir a análise da web

Parallels: Um programa de terceiros que permite ao usuário criar um ambiente virtual do Windows que pode ser usado em uma janela em um computador Mac.

Cookie: um pequeno volume de dados enviado de um website e armazenado no navegador da web do usuário enquanto o usuário está navegando nesse website.

Cache: Armazenamento temporário (armazenamento em cache) de documentos da Web, como páginas e imagens em HTML, para reduzir o uso da largura de banda, a carga do servidor e o atraso percebido. Documentos, fotos e muito mais podem ser encontrados aqui.

Navegação privada: sites pesquisados em modos privados armazenam menos informações. No entanto, a atividade ainda é revelada através de outros arquivos relacionados à ação de visitar um site.

Download e leitura completa do material original pode ser efetuada através do site:

http://www.istmanagement.com/ist-discover-e-digital-forensic-terms.html

Quais são os dois motivos para instalar uma segunda unidade de disco rígido em um computador existente?

Quais são os três métodos que podem ser usados para desbloquear um smartphone Escolha três?

Quais três tarefas podem ser feitas com o botão home de um dispositivo IOS?

Como um usuário pode impedir que outras pessoas espionam o tráfego de rede ao operar um PC em um ponto de acesso de Wi