VOLAT

A atuação de um perito, seja em uma diligência de busca e apreensão, ou sendo o primeiro a responder a um incidente, ou a uma emergência computacional, deve ser orientada por algumas normas e procedimentos encontrados, em linguagem simples, e de maneira ordenada, na NBR ISO/IEC 27037 e na RFC 3227. Estes documentos especificam como deve ser realizada a Cadeia de Custódia, esta que representa o tipo de ação principal durante a coleta, a aquisição e o armazenamento de evidências e que, ao ser seguido corretamente, deixa o laudo pericial robusto e resistente aos tipos de impugnação mais comuns que, em sua grande maioria, apontam para falhas cometidas durante estas fases.

Para que informações importantes não sejam perdidas e o material coletado seja considerado íntegro, sem qualquer vestígio de manipulação, é necessário observar quais dispositivos computacionais estão em funcionamento e quais não estão. Este curso dinâmico traz conceitos importantes, referentes à aplicação correta da Cadeia de Custódia aos equipamentos que estiverem em execução; uma breve explicação sobre a ordem de volatilidade das evidências, ou seja, em quais componentes do sistema as informações se perdem com mais facilidade e rapidez; e foco principal na versão mais recente de uma das principais e melhores ferramenta para análise de evidências voláteis, o Volatility 3.

A fase correspondente, a análise de um dump de memória RAM, será realizada, em tempo real. Através dos diversos plugins do Volatility 3, serão visualizados os processos exec utados, ou em execução; quais comandos estes processos, por sua vez, estavam executando; dados sobre os horários de início, término e duração de cada processo; se há ou não um malware em ação; quais conexões foram estabelecidas e se ainda permanecem abertas e/ou foram fechadas, entre diversas outras evidências consideradas relevantes para um determinado tipo de perícia e que serão vistas durante a utilização da ferramenta.