O **CHFI** valida habilidades em perícia digital (forense). Prepara para detectar ataques, coletar evidências digitais legalmente e analisar incidentes de segurança para tribunais ou auditorias internas.
Resposta : Coletar dados voláteis (como RAM) e, em seguida, criar uma imagem forense do disco.
A coleta de evidências 'live' (em um sistema em funcionamento) apresenta desafios únicos, pois a informação mais valiosa (dados voláteis na RAM) é efêmera. Investigadores forenses utilizam técnicas e ferramentas especializadas para capturar esses dados antes que sejam perdidos, garantindo que nenhuma pista importante seja apagada.
Resposta : Um registro de transações que rastreia as alterações feitas no sistema de arquivos para garantir a consistência e permitir a recuperação.
Sistemas de arquivos modernos frequentemente utilizam um 'journal' para registrar as operações antes que elas sejam efetivamente aplicadas. Isso melhora a robustez do sistema, permitindo que ele se recupere de falhas de forma consistente, e também pode conter informações valiosas para investigações forenses sobre alterações recentes no sistema de arquivos.
Resposta : Identificar configurações do sistema, atividades do usuário e eventos de segurança.
O Registro do Windows é um banco de dados hierárquico que armazena configurações e opções para o sistema operacional e para os aplicativos que o utilizam. Em forense digital, a análise desses artefatos pode revelar informações cruciais sobre o uso do sistema, a instalação de programas, conexões USB, atividades de rede e muito mais, auxiliando na reconstrução de eventos.
Resposta : Imagem física é uma cópia bit a bit de todo o dispositivo de armazenamento, enquanto imagem lógica captura arquivos e diretórios selecionados pelo sistema operacional.
Na forense digital, a criação de imagens de dispositivos de armazenamento é um passo crítico. Uma imagem física é uma réplica exata de todo o meio de armazenamento, setor por setor, capturando dados apagados e não alocados. Uma imagem lógica, por outro lado, é uma cópia de arquivos e pastas conforme visto pelo sistema operacional, sendo mais rápida, mas menos completa.
Resposta : Análise de Carving (File Carving).
Quando um disco é formatado e sobrescrito, os metadados tradicionais do sistema de arquivos que apontam para os dados dos arquivos são perdidos ou alterados. O 'File Carving' é uma técnica forense poderosa que ignora os metadados e busca diretamente por padrões de dados conhecidos (assinaturas de arquivos) no fluxo bruto de dados, permitindo a recuperação de fragmentos ou arquivos inteiros.