Home 01 - Conceitos 07 - Forense e Antiforense 09 - Ferramentas Forenses

No contexto das ferramentas forenses, os softwares comerciais EnCase e FTK (Forensic Toolkit) são descritos pelas fontes como soluções robustas e completas que dominam o mercado profissional, sendo essenciais para transformar dados brutos em evidências admissíveis em juízo.

Abaixo, detalho o que as fontes dizem sobre cada um e como eles se inserem no cenário geral da computação forense:

1. EnCase (Guidance Software)

O EnCase é apontado como a ferramenta mais popular entre investigadores de diversos países, especialmente para perícias em ambientes Windows.

  • Abrangência: É um conjunto de ferramentas que cobre todas as fases da investigação: criação de imagens, visualização, aquisição, recuperação, análise, preservação e documentação.
  • Interface e Usabilidade: Possui uma interface gráfica organizada que permite três formas diferentes de visualização, incluindo galerias de fotos. Sua documentação é destacada por ser clara, extensa e ilustrada.
  • O Formato E01: O EnCase introduziu o formato de imagem E01, que se tornou um padrão de mercado. Este formato inclui um cabeçalho com metadados (dados do perito, data da coleta), setores brutos com checksums de integridade (CRC) e um rodapé com o hash MD5 final.
  • Limitações: As fontes mencionam que o EnCase pode não detectar intrusões em áreas ocultas do disco como a HPA (Host Protected Area) ou DCO (Device Configuration Overlay). Além disso, é citado como uma ferramenta vulnerável a ataques de negação de serviço como o Zip da Morte.

2. FTK - Forensic Toolkit (AccessData)

O FTK é descrito como uma ferramenta de fácil utilização para profissionais que já possuem familiaridade com o processo forense.

  • Funcionalidades: Assim como o EnCase, o perito pode usá-lo para aquisição, análise, preservação e documentação. Ele inclui utilitários para recuperação de dados e discos, visualizadores de registros e limpadores de mídia para salvar imagens de forma íntegra.
  • Compatibilidade e Versatilidade: O software possui sua própria ferramenta de criação de imagens (FTK Imager), mas se destaca por conseguir ler imagens produzidas por outros softwares, como EnCase (E01), Linux DD e Safeback.
  • Poder de Análise: É destacado na etapa de análise por suas funcionalidades fundamentais, como a busca por palavras-chave, navegação eficiente por pastas e o uso do KFF (Known File Filter).

3. O Contexto Amplo das Ferramentas Forenses

As fontes situam o EnCase e o FTK dentro de um ecossistema que exige requisitos técnicos elevados:

  • Indexação de Dados: Ambos os softwares utilizam técnicas de indexação, criando estruturas que permitem acessar milhões de arquivos com velocidade, facilitando a organização em subgrupos para a análise do especialista.
  • Controle de Acesso e Criptografia: Um requisito essencial dessas ferramentas é a capacidade de processar arquivos criptografados, acessar espaços não alocados e garantir o acesso a informações que foram excluídas ou ocultas.
  • Comparação com Outras Ferramentas: Enquanto EnCase e FTK são as opções comerciais de alto custo, as fontes citam o IPED (desenvolvido pela Polícia Federal brasileira) como uma alternativa interessante e o The Sleuth Kit (TSK) / Autopsy como as principais referências de software livre e código aberto.
  • Bugs e Vulnerabilidades: O material alerta que a maioria dos softwares forenses possui bugs e pode ser alvo de técnicas antiforense que exploram falhas na validação de dados para comprometer o funcionamento da ferramenta durante a perícia.

Em suma, o EnCase e o FTK são apresentados como o “padrão ouro” comercial, oferecendo integração de processos e facilidade de uso, embora o investigador deva estar ciente de suas vulnerabilidades e da existência de ferramentas alternativas para casos específicos.