Por que o antivírus emite alertas em arquivos no cache de navegação?

Por que o antivírus emite alertas em arquivos no cache de navegação?Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo de dados etc.) vá até o fim da reportagem e utilize o espaço de comentários ou envie um e-mail para g1seguranca@globomail.com. A coluna responde perguntas deixadas por leitores no pacotão, às quintas-feiras.

>>> Vírus nos arquivos temporários da internet
Gostaria de uma ajuda. Meu aparelho tem um antivírus chamado PSafe Total e sempre que passo o antivírus ele detecta problema no cache de navegação. Clico em resolver problemas e é resolvido, porém o problema sempre volta.
Já fiz os procedimentos para limpar o cache de navegação e continua o mesmo problema.
O que devo fazer, vocês podem me ajudar?Welington, duas coisas devem ser ressaltadas a aqui.

A primeira é que é muito normal que pragas digitais sejam encontradas no cache de navegação. O cache de navegação contém todos os arquivos baixados pelo seu navegador de internet, e isso, evidentemente, pode incluir códigos que sites maliciosos tentaram executar em seu computador. Se o seu navegador está atualizado, você deve estar protegido e esses códigos nem conseguiram executar. Porém, o antivírus vai sempre detectar o problema e alertar você, porque ele não sabe se o código foi executado ou não.

Isso significa que, quando você voltar a navegar na internet, cedo ou tarde algum outro código malicioso pode vir a ser baixado pelo seu navegador, resultando em um novo alerta do antivírus (seja um alerta em tempo real ou no próximo exame do computador).

A segunda possibilidade a ser considerada é a de falsos positivos (“alarmes falsos”). Como o cache de navegação de internet tende a possuir uma grande variedade de arquivoé possível que o antivírus acabe se enganando e detectando como vírus algo que não devia estar lá.

Por conta dessas duas questões, na maioria dos casos um problema detectado no cache de navegação não deve ser motivo para preocupação. Para tirar dúvida, tente fazer uma pesquisa pelo nome da praga identificado pelo antivírus. Alguns antivírus usam nomes específicos para os códigos tipicamente baixados da web, como “HTML…” ou “JS/…”. Mas isso varia conforme o antivírus não é uma regra absoluta.s, também é possível que o antivírus acabe se enganando e detectando como vírus algo que não devia estar lá.

Por conta dessas duas questões, na maioria dos casos um problema detectado no cache de navegação não deve ser motivo para preocupação. Para tirar dúvida, tente fazer uma pesquisa pelo nome da praga identificado pelo antivírus. Alguns antivírus usam nomes específicos para os códigos tipicamente baixados da web, como “HTML…” ou “JS/…”. Mas isso varia conforme o antivírus não é uma regra absoluta.A possibilidade de o seu computador realmente estar infectado também existe, mas um arquivo detectado no cache de internet não é um forte indício disso.

Importante: não confunda o cache de internet com toda a árvore de pastas “AppData”. A AppData em si é um local comum para vírus; o cache de internet, especificamente, que não é – e ele só uma subpasta da “AppData”.

Disco rígido precisa ser particionado antes de ser usado. Antes de mudar as partições, é mais seguro fazer um backup >>> Recuperação de dados
Gostaria de saber como são feitas as etapas da recuperação de dados, mesmo após destruição dos discos rígidos. Assim como são feitas em segurança forense.
Gustavo Andrade.

A recuperação de dados e a forense são duas coisas diferentes, embora relacionadas. A perícia em si é a análise do disco ou dispositivo para a coleta de evidências específicas, seja para investigações de incidentes internas em uma empresa ou em processos criminais. Se o disco já está legível no momento da coleta, não é necessário passar por um processo de recuperação de leitura.A recuperação de dados depende do estado do disco rígido. Se ele foi fisicamente destruído e as mídias (platters) foram quebradas, recuperar os dados vai ser muito difícil. Se houve erro na placa lógica ou em outro componente, é possível substituir a peça por outra idêntica ou equivalente e assim ter a unidade novamente funcionando.

Na prática, é como se disco rígido fosse “consertado” pelo menos temporariamente para permitir a leitura dos dados. É preciso identificar por que a unidade parou de funcionar, isolar ou arrumar o problema e buscar uma ferramenta capaz de ler a unidade mesmo no estado em que ela se encontra. Quando há leves danos nas mídias, por exemplo, é possível usar ferramentas que tentem extrair uma última vez os dados com repetidas tentativas de leitura.

Se o problema não é físico, dados apagados podem ser recuperados por características físicas e lógicas do funcionamento dos dispositivos de armazenamento. A parte física tem a ver com o estado do disco magnético ou da memória NAND (no caso de SSDs), enquanto a parte lógica tem a ver com a operação do software. Por exemplo: arquivos substituídos nem sempre são colocados fisicamente no mesmo lugar que o anterior no disco, permitindo que os dados sejam recuperados por uma ferramenta que leia os dados “puros” no disco.Em SSDs, operações de escrita são naturalmente distribuídas por toda memória NAND para aumentar a longevidade do hardware, o que pode abrir certas possibilidades para a recuperação de dados. Porém, SSDs voltados para o uso em desktops tendem a usar a tecnologia “Trim”, que piora imensamente as chances de recuperação de dados.

Resumindo: não existe receita pronta.

Com um disco ou SSD legível em mãos, a perícia forense segue algumas regras para que a evidência (o disco original) seja preservada ao máximo. Para esse fim, é realizada uma “imagem” (termo técnico para cópia integral do disco) e toda o trabalho do perito é idealmente realizado nesta imagem.

É na imagem que o perito busca por informações relevantes. Existem diversas ferramentas cuja utilização dependerá do objetivo. Assim, o analista pode resgatar históricos de navegação, senhas, e-mails e outros dados a partir da imagem, normalmente otimizando a coleta a arquivos que possuam termos-chave de seu interesse para acelerar o processo. Como a imagem do disco é uma cópia perfeita da unidade, bit a bit, ele pode ainda usar ferramentas de recuperação de dados para encontrar arquivos que tenham sido apagados do disco original mesmo na imagem. É aqui que a forense e a recuperação de dados estabelecem uma ligação forte entre si.

Porém, a recuperação de dados como um todo exige um conjunto de habilidades diferente da computação forense em sentido estrito: uma envolve conhecimentos em eletrônica (para identificação de problemas e troca de chips) e softwares específicos para leitura de discos magnéticos e memória NAND, enquanto a outra envolve ferramentas de coleta de dados específicos, processamento de diversos formatos de arquivo e eventual quebra de criptografia ou outros truques para ocultar dados, bem como conhecimento jurídico para a validade de provas e cadeia de custódia.

Como toda área envolvendo perícia, todo conhecimento é útil e colabora com o resultado final. Sendo assim, é perfeitamente possível que um perito domine ambas as áreas, e ele será um profissional melhor nesse caso. As linhas de estudo divergem bastante, porém, e é perfeitamente possível saber recuperar dados sem ser um perito ou fazer perícia sem um extenso conhecimento em recuperação de dados, deixando esta tarefa para especialistas na área.

2 Comments

  1. I just want to tell you that I am new to blogging and really loved your web blog. More than likely I’m going to bookmark your website . You definitely come with great stories. Kudos for sharing with us your website.

  2. I simply want to say I’m new to blogging and certainly loved this blog site. Very likely I’m going to bookmark your blog . You actually come with incredible well written articles. Thanks a lot for revealing your web site.

Submit a Comment

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *