Na perícia forense computacional, os estados de um computador encontrado em uma cena de crime são referidos tecnicamente como Análise Live (sistema ligado) e Análise Post-mortem ou Dead Analysis (sistema desligado).

Abaixo estão as explicações técnicas para cada termo:

1. Análise Live (Sistema Ligado)

Também chamada de análise ao vivo ou análise em tempo de execução, é o procedimento realizado enquanto o computador está em funcionamento.

• Objetivo: Capturar dados que seriam perdidos se o computador fosse desligado, conhecidos como dados voláteis.
• Alvos da coleta: O principal foco é a memória RAM, que pode conter senhas, chaves de criptografia, processos em execução, conexões de rede ativas e documentos abertos.
• Riscos: Este método aumenta a superfície de exposição da evidência e pode alterá-la de forma involuntária, porém é frequentemente a única forma de acessar dados protegidos por criptografia ativa.

2. Análise Post-mortem (Sistema Desligado)

Também conhecida como Dead Analysis ou Análise a Frio, ocorre quando o equipamento é examinado após ter sido desligado.

• Objetivo: Garantir o grau máximo de preservação e integridade da evidência, trabalhando sobre uma cópia idêntica dos dados (imagem forense).
• Procedimento: O perito cria uma imagem bit-a-bit do disco rígido ou de mídias não voláteis (como pendrives e SSDs). Para evitar qualquer alteração nos dados originais durante este processo, utilizam-se bloqueadores de escrita (write blockers) via hardware ou software.
• Dilema do Desligamento: Se um perito encontra um sistema ligado mas decide pela análise post-mortem, a recomendação técnica comum é “puxar o plugue” da tomada em vez de realizar um desligamento normal pelo sistema operacional. Isso evita que scripts maliciosos ou malwares detectem o desligamento e apaguem vestígios propositalmente.

Em resumo, a escolha entre uma análise Live ou Post-mortem depende da necessidade de coletar dados da memória RAM ou da presença de criptografia no sistema no momento da apreensão.