Thursday, January 7, 2010

A ferramenta EnCase

A ferramenta forense EnCase é um sistema integrado de análise forense baseado no ambiente Windows. Ele é muito utilizado por profissionais da segurança de computadores, policiais e orgãos do governo em todo o mundo. O processo utilizado pelo EnCase começa, basicamente, com a aquisição das imagens dos discos rígidos relacionados ao caso investigado. Depois da criação das imagens, chamadas de Evidence Files, pode-se adicioná-las a um único caso e conduzir a análise em todas elas simultaneamente.

É muito importante observar que o EnCase não opera na mídia original ou discos espelhados, ele monta os Evidence Files como discos virtuais protegidos contra escritas. Então, o EnCase reconstrói o sistema de arquivos contido em cada Evidence File, permitindo ao investigador visualizar, ordenar e analisar os dados, através de uma interface gráfica. Esta proteção contra escrita é muito importante, uma vez que é obrigação do investigador garantir que não haverá quaisquer alterações nos dados analisados.

Mesmo sabendo que o uso de uma ferramenta não substitui o conhecimento científico, a cada dia surgem ferramentas que permitem ao examinador a otimização de seu trabalho e, segundo o fabricante do EnCase, o uso desta ferramenta ajuda a reduzir o tempo de investigação em até 65%.

Nos EUA, o EnCase é largamente usado por agências governamentais, polícia, fisco, e em investigações militares e corporativas.

Embora o uso de ferramentas como o EnCase auxilie o examinador na coleta e análise dos dados, o conhecimento científico e tecnológico é fator primordial para o sucesso da tarefa.

O EnCase está hoje na versão 6.15 e já se fala da versão 7.0 ainda no primeiro semestre deste ano.

No comments:

Post a Comment