Fundamentos da Forense Digital

A informação volátil é informação que se perde quando um sistema é desligado ou perde energia. A informação volátil existe geralmente na memória física, ou RAM, e consiste em informação sobre processos, ligações de rede, ficheiros abertos, área de transferência (clipboard), e semelhantes. Esta informação descreve o estado do sistema num determinado momento.

Ao executar uma análise em live-data forensics, uma das primeiras coisas que os investigadores devem recolher é o conteúdo da memória RAM. Ao recolher esta informação em primeiro lugar, é minimizado o impacto da sua recolha de dados sobre o conteúdo da RAM, no entanto esta captura poderá causar instabilidade no sistema ou levar mesmo a um Blue Screen of Death (BSoD), levando diversos autores a indicarem que este procedimento seja realizado posteriormente à recolha de outras informações voláteis, sendo priorizada consoante a cada situação.

Alguns dos tipos específicos de informação volátil que deve se recolhida:

·       Memória RAM

·       Data e hora do sistema

·       Informação de rede

·       Utilizadores logados

·       Arquivos abertos

·       Ligações de rede

·       Informações sobre processos em execução

·       Mapeamento entre processos e portos

·       Estado da rede

·       Conteúdo da Área de Transferência (clipboard)

·       Informações sobre serviços e drivers

·       Histórico de comandos executados

·       Unidades mapeadas

·       Partilhas

·       Senhas e chaves criptográficas

 

Destes, é necessário identificar para cada caso em concreto, quais as informações mais voláteis e que serão mais importantes obter em primeiro lugar. Apresenta-se uma possível sequência de informações mediante a sua ordem de volatilidade (Figura 31).

Figura 31 - Possível sequência de informações por ordem de volatilidade