A análise forense computacional necessita de um conjunto
de ferramentas que ajudarão o investigador a coletar, documentar,
preservar e processar as informações coletadas no sistema investigado.
Este conjunto de ferramentas deve ter uma estação forense, que é
o computador onde é feita a coleta e a análise das informações.
Todos os dispositivos de hardware e softwares utilitários para realizar
a análise das informações estão disponíveis nesta estação. Um notebook
seria o ideal, pois tem alta mobilidade, além disso, a máquina teria
que ter uma alta capacidade de processamento, armazenagem de dados
e interface de rede. Em relação ao sistema operacional desta máquina,
depende de cada investigador, mas o ambiente Linux possui uma grande
vantagem em relação aos outros, pois ele oferece suporte a uma vasta
variedade de sistemas de arquivos, como o FAT, NTFS e UFS. Mas,
em algumas situações, é necessário utilizar a mesma plataforma do
sistema a ser investigado. Para isso, pode-se instalar múltiplos
sistemas operacionais nesta estação, possibilitando a escolha na
inicialização ou através de programas como o VMWare.
Mas algumas vezes, a coleta de informações e a
análise precisam ser feitas diretamente no sistema investigado.
Frequentemente, os invasores alteram alguns programas
da máquina invadida, e assim, o investigador precisa de uma série
de utilitários para fazer sua investigação. Como por exemplo, o
CD ROM ISO 9660, que pode ser acessado por qualquer plataforma e
contém diversos arquivos binários e scripts caso o investigador
necessite. Outra ferramenta, às vezes necessária, é algum sistema
operacional gravado em alguma mídia removível. Além disso, é preciso
de ferramentas para desmontagem de máquinas, identificação, transporte
e armazenagem dos materiais coletados, e documentação das atividades.
Devido às necessidades exclusivas da análise forense, foram criadas
ferramentas especialmente desenvolvidas para essa investigação,
e as mais importantes serão apresentadas a seguir.
|