Users Guide
Análise 77
Análise
Existem vários tipos diferentes de análise dos dados de evidências que
o investigador precisa ser capaz de conduzir, inclusive análise de assinatura de
arquivos e de hash, e extensa indexação e pesquisas de palavras-chave. Todas
essas análises exigem uma capacidade de processamento considerável, visto
que os arquivos de evidências de um único caso podem chegar a tamanhos na
faixa de um terabyte e o processamento desses arquivos pode levar dezenas de
horas – ou até mesmo dias – usando arquiteturas de data center comumente
definidas hoje em dia. Os investigadores que tentam fazer essa análise em uma
única estação de trabalho precisam levar essa questão em consideração ao
programarem o processamento do caso, visto que a análise e a indexação de
um único caso podem esgotar os ativos de hardware do investigador. A solução
Dell Digital Forensics oferece as significativas vantagens do processamento
distribuído, o que pode reverter completamente a situação. Abordaremos
o processamento distribuído em breve, mas primeiro vamos examinar alguns
dos tipos de análise tipicamente encontrados pelo investigador forense.
Tipos de análises
Análise de hash
Uma função de hash usa algoritmos criptográficos para criar uma impressão
digital dos dados. O hash pode ser usado para comparar um hash dos dados
originais com o dos dados forenses analisados, o que pode ser aceito em tribunal
como prova de que os dois grupos de dados são idênticos. A análise de hash
compara os valores de hash do arquivo do caso com valores de hash conhecidos
armazenados.
Archive
Triage
Ingest
Store
Present