Preservação de evidências digitais voláteis em sistemas in vivo

O uso cada vez mais intensivo e disseminado dos sistemas computacionais pode torná-los alvos, ou mesmo ferramentas, para as mais variadas condutas antijurídicas. A correta preservação do conteúdo da memória volátil (RAM) de sistemas em produção pode contribuir para a aquisição de evidências digitais normalmente indisponíveis em análises post mortem, tais como os processos em execução, conexões de rede ativas ou ainda chaves e hashes criptográficos. Entretanto, dada a dinâmica e volatilidade características desta evidência, sua preservação costuma representar considerável desafio ao first responder. A falta de metodologia adequada e de processo eficiente para automatização das tarefas repetitivas do trabalho pericial dificultam a validação e reprodutibilidade dos resultados obtidos, podendo, em função disto, comprometer a confiabilidade e valor probatório destes. Neste sentido, destaca-se aqui a aplicação do EDRM - modelo de referência reconhecido e aderente ao ambiente corporativo, o qual representa uma visão conceitual do processo de e-discovery.