O que é recuperação de dados forenses?
A recuperação de dados forenses é um processo usado para recuperar dados que serão usados para fins legais. Essa técnica é classicamente usada em investigações criminais ou civis, projetadas para fornecer informações que podem ser usadas em tribunal, embora a recuperação forense de dados também possa ser usada por empresas de auditoria e em uma variedade de outras circunstâncias. Esse processo é realizado por técnicos treinados que estudaram ciência da computação, tecnologia da informação e forense.
A necessidade de recuperação de dados não é incomum; muitas pessoas experimentaram arquivos perdidos ou corrompidos em algum momento de suas vidas e algumas estão familiarizadas com as técnicas que podem ser usadas para restaurar ou reconstruir esses dados. A recuperação de dados forenses é semelhante, mas um pouco mais complexa, porque também inclui o acesso a áreas de um computador que normalmente não seriam vistas ou usadas para verificar atividades específicas de interesse, além da recuperação de dados que visa recuperar dados deliberadamente apagado, danificado ou corrompido.
Às vezes, a recuperação de dados forenses é tão simples quanto tentar reconstruir as informações em um disco rígido, disco ou cartão de memória danificado. Em outros momentos, pode incluir a ressurreição de dados perdidos ou excluídos, o desvio de sistemas de segurança ou o estudo de um sistema de computador para procurar vestígios de atividades ilegais. A recuperação de dados forenses pode ser aplicada a situações que variam de casos suspeitos de contabilidade criativa à análise de um computador que pertence a um predador sexual e busca informações incriminadoras ou identificadoras.
Em vez de procurar especificamente arquivos, que é o que a maioria das pessoas faz quando se envolve na recuperação de dados, os especialistas em recuperação de dados forenses estão principalmente interessados em informações. Eles não se importam necessariamente em qual formulário a informação é apresentada e podem usar uma variedade de técnicas para preencher as peças que faltam ou tornar as informações significativas. Por exemplo, um técnico pode descobrir e restaurar uma partição danificada ou excluída, procurando rastros de informações que possam revelar como e quando a partição foi usada.
Como os especialistas em recuperação de dados forenses podem estar trabalhando com computadores que foram semeados com medidas de segurança para impedir investigações legais, eles devem usar procedimentos especiais para evitar o acionamento de falhas que possam comprometer ou apagar os dados. Eles também devem poder trabalhar com informações de uma maneira que não as altere ou comprometa. Por exemplo, um técnico pode copiar os dados de um disco rígido encontrado em uma cena de crime para outro disco rígido, selando novamente o disco rígido original em evidência e trabalhando com a cópia dos dados.