Lista de figuras

Baixar 8.5 Mb.

Página	12/12
Encontro	30.10.2016
Tamanho	8.5 Mb.

1 ... 4 5 6 7 8 9 10 11 12

3.3.4 Exame 4 – FTK Imager

Os exames com esta ferramenta seguiram o procedimento que será detalhado a seguir. A ferramenta é ativada simplesmente com um clique duplo sobre o seu arquivo executável, “FTK Imager.exe”. Dentro de sua interface gráfica, para incluir uma nova imagem a ser analisada, basta ir ao botão “Add Evidence Item” e dentro da janela que se abre,
escolher o item “Image File”, clicar em Avançar, escolher a imagem e clicar em concluir.
A imagem é então incluída dentro do programa, que tenta recuperar todos os dados da partição ou disco do qual a imagem foi feita.

3.4 RESULTADOS

Nesta seção serão expostos os resultados dos testes realizados, que serão divididos em cenários para simplificar a explicação e a dedução da conclusão. Cada cenário foi explanado no item 3.2.

Os resultados foram separados em quatro tipos:
Total: quando o seu conteúdo pode ser visto por completo. O resultado foi encaixado nesta categoria mesmo quando as ferramentas não conseguiram recuperar os metadados dos arquivos. As ferramentas Scalpel e Foremost não conseguem recuperar os nomes dos arquivos para nenhum sistema de arquivos e as demais ferramentas também não conseguem recuperar estes metadados em alguns sistemas e cenários.
Parcial – Fragmentos de arquivos: quando o arquivo é recuperado e visualizado em pedaços. Exemplo: parte de uma figura.

Parcial – Metadados: quando apenas os nomes dos arquivos são recuperados e nenhum fragmento do arquivo pode ser visto. Os metadados são todos os atributos dos arquivos diferentes do conteúdo, tais como nome, extensão, tamanho, datas de criação e última alteração. Neste trabalho, foi considerada recuperação de metadados quando pelo menos o nome do arquivo foi recuperado. Nos casos em que as ferramentas puderam recuperar outros metadados dos arquivos, como tamanho e datas de modificação, último acesso e criação, isso será explicitado.
Nulo: quando nada do que é recuperado for válido, ou seja, quando não é possível ser visualizado nenhum fragmento ou metadado dos arquivos.

Seguem observações gerais sobre o comportamento das ferramentas utilizadas:

O Autopsy não reconheceu o sistema de arquivos ReiserFS;

O FTK Imager não reconheceu os sistemas ReiserFS e Ext4;

O Foremost e o Scalpel não recuperam metadados originais.

São utilizados gráficos para ilustrar os resultados obtidos após a execução dos exames de cada cenário. Nesses gráficos, o número de arquivos recuperados pelas ferramentas é indicado no eixo X e as ferramentas, no eixo Y. As cores das barras representam o tipo de recuperação, conforme informado nesta seção.

3.4.1 Cenário 1

Os resultados para os testes do Cenário 1 estão ilustrados em gráficos divididos por sistema de arquivos.
O desempenho das ferramentas ao tentar recuperar os arquivos descritos na Tabela 2 que foram apagados de partições formatadas com os sistemas Ext2, Ext3, Ext4, ReiserFS, FAT16, FAT32, e NTFS é mostrado, respectivamente, nos Gráficos 1 a 7.

Para o sistema Ext2, mostrado no Gráfico 1, a ferramenta FTK Imager foi a que obteve o melhor desempenho, conseguindo recuperar todos os arquivos. No entanto, deve-se observar que os arquivos foram recuperados sem seus nomes originais ou extensões. Estes dados puderam ser apenas vistos separadamente em outra seção da ferramenta. O Autopsy conseguiu a recuperação apenas dos nomes dos arquivos, enquanto as demais ferramentas apenas recuperaram alguns arquivos ou fragmentos deles.

Cenário 01 - Ext2

30

25 25

25

20

₁₅16

15
10 7 ₆

₅3 3

0 0

0

00 0

00 0

Foremost Scalpel Autopsy – TSK FTK Imager
Total Parcial - Fragmentos de arquivos Parcial - Metadados Nulo

Gráfico 1 – Quantidade de dados recuperados para o Cenário 1, usando o sistema Ext2

Os resultados para o sistema de arquivos Ext3, mostrados no Gráfico 2, são semelhantes aos do Gráfico 1, exceto no tocante à ferramenta FTK Imager, que, desta vez, obteve o mesmo desempenho da Autopsy, ou seja, apenas alguns metadados foram recuperados. Do sistema Ext3 no Cenário 1, verifica-se, portanto, que apenas as ferramentas Foremost e Scalpel foram capazes de recuperar o conteúdo integral ou fragmentos dos arquivos, lembrando que as mesmas não são capazes de recuperar nomes de arquivos.

Cenário 01 - Ext3

30
25
20 ₁₅₁₆

15
10 7 ₆

₅3 3

25 25

00 0 0 0

0

00 0

Foremost Scalpel Autopsy – TSK FTK Imager

Total Parcial - Fragmentos de arquivos Parcial - Metadados Nulo

Gráfico 2 – Quantidade de dados recuperados para o Cenário 1, usando o sistema Ext3

56

As ferramentas Scalpel e Foremost mostram um desempenho melhor ao lidar com imagens do sistema Ext4 no Cenário 1. Entretanto, como não são capazes de recuperar metadados, a melhor abordagem para este caso e para os anteriores é utilizar mais de uma ferramenta. O FTK Imager não reconheceu o sistema Ext4. Estes resultados podem ser melhor visualizados no Gráfico 3.

Cenário 01 - Ext4

30

25 25

25
20 17
₁₅13

10

5 ³2

0 0

0
00 0

00 0

Foremost Scalpel Autopsy – TSK FTK Imager

Total Parcial - Fragmentos de arquivos Parcial - Metadados Nulo

Gráfico 3 – Quantidade de dados recuperados para o Cenário 1, usando o sistema Ext4

As ferramentas FTK Imager e Autopsy não reconheceram o sistema de arquivos ReiserFS. Sendo assim, apenas as ferramentas Scalpel e Foremost tiveram um desempenho aproveitável para este sistema, como visto no Gráfico 4, que se assemelhou ao desempenho demonstrado para o sistema Ext4.

Cenário 01 - ReiserFS

30

25 25

25
20 17
15 12

10

₅3 3

0 0

0
00 0

00 0

Foremost Scalpel Autopsy – TSK FTK Imager

Total Parcial - Fragmentos de arquivos Parcial - Metadados Nulo

Gráfico 4 – Quantidade de dados recuperados para o Cenário 1 e o sistema ReiserFS

O desempenho das ferramentas sofreu uma melhora significativa, como demonstrado no Gráfico 5, ao analisar uma imagem do sistema FAT16. Para esta imagem, ambas as ferramentas Autopsy e FTK Imager tiveram 100% de aproveitamento.

Cenário 01 - Fat16

30
25

19

20
₁₅13
10

5

25 25

₀5 ₁2 ₀

0
00 0

00 0

Foremost Scalpel Autopsy – TSK FTK Imager

Total Parcial - Fragmentos de arquivos Parcial - Metadados Nulo

Gráfico 5 – Quantidade de dados recuperados para o Cenário 1, usando o sistema FAT16

O desempenho das ferramentas para o sistema FAT32 foi semelhante ao mostrado para o seu sistema predecessor, como pode ser visto no Gráfico 6.

Cenário 01 - Fat32

30
25

19

20
₁₅13
10

25 25
10

₀5 ₁2 ₀

0
00 0

00 0

Foremost Scalpel Autopsy – TSK FTK Imager
Total Parcial - Fragmentos de arquivos Parcial - Metadados Nulo

Gráfico 6 – Quantidade de dados recuperados para o Cenário 1, usando o sistema FAT32
Submetidas à imagem do sistema NTFS, nenhuma ferramenta obteve 100% de sucesso, como mostrado no Gráfico 7. Mesmo a Autopsy, ao recuperar quase todos os arquivos da imagem, não conseguiu o mesmo para os seus metadados. As ferramentas Scalpel e Foremost não demonstraram nenhuma mudança em seu comportamento com relação aos

demais sistemas testados. O FTK Imager conseguiu o seu pior desempenho com relação à recuperação de dados neste sistema.

Cenário 01 - NTFS

30
25
₂₀18
15
10 ₆

5 ₁

24

13

10

00²¹0

24

00 ¹

Foremost Scalpel Autopsy – TSK FTK Imager

Total Parcial - Fragmentos de arquivos Parcial - Metadados Nulo

Gráfico 7 – Quantidade de dados recuperados para o Cenário 1, usando o sistema NTFS

As ferramentas Foremost e Scalpel tiveram desempenhos semelhantes, o que se justifica pelo fato da segunda ser baseada na primeira, como explicado na seção 2.3.2, entretanto o Foremost se mostrou ligeiramente superior ao Scalpel para o Cenário1. Como pode ser observado, as ferramentas tendem a recuperar melhor os arquivos quando usadas sobre sistemas Windows, apesar da ferramenta FTK Imager ter tido um desempenho muito bom ao recuperar todo o conteúdo dos arquivos do sistema Ext2.

3.4.2 Cenário 2

Neste cenário, foram copiados arquivos diversos para as partições já usadas antes para os testes do Cenário 1 de forma que ocupassem todo o espaço disponível. O que se espera é medir a capacidade de recuperação de arquivos das ferramentas quando os arquivos a serem recuperados tenham sido sobrescritos por outros dados.
Como pode ser visto nos gráficos desta seção, o desempenho das ferramentas foi quase sempre nulo. As ferramentas FTK Imager e Autopsy tiveram um desempenho semelhante

para todas as imagens, exceto para a Ext4, que não é um sistema reconhecido pelo FTK Imager.

As ferramentas Foremost e Scalpel, para todas as imagens de sistema deste cenário, não conseguiram recuperar nenhum arquivo.
As ferramentas Autopsy e FTK Imager obtiveram resultados semelhantes para as análises dos sistemas Ext2 (Gráfico 8), Ext3(Gráfico 9), FAT16 (Gráfico 10) e FAT32

(Gráfico 11), recuperando quase todos os nomes dos arquivos. O que se conclui é que ambas, mesmo sem ter acesso aos dados sobrescritos, ainda conseguem visualizar algumas informações de quase 100% dos arquivos anteriormente gravados nestas partições.

Cenário 02 - Ext2

30

25 25

25
20

21 21

15
10

4 4

00 0

0

00 0 0 0 0 0

Foremost Scalpel Autopsy – TSK FTK Imager
Total Parcial - Fragmentos de arquivos Parcial - Metadados Nulo

Gráfico 8 – Quantidade de dados recuperados para o Cenário 2, usando o sistema Ext2

Cenário 02 - Ext3

30

25 25

25

23 ₂₂

20
15
10
5 2 ³

00 0

0

00 0 0 0 0 0

Foremost Scalpel Autopsy – TSK FTK Imager

Total Parcial - Fragmentos de arquivos Parcial - Metadados Nulo

Gráfico 9 – Quantidade de dados recuperados para o Cenário 2, usando o sistema Ext3

60
Cenário 02 - Fat16

30

25 25

25
20

22 22

15
10
₅3 3

00 0

0

00 0 0 0 0 0

Foremost Scalpel Autopsy – TSK FTK Imager

Total Parcial - Fragmentos de arquivos Parcial - Metadados Nulo

Gráfico 10 – Quantidade de dados recuperados para o Cenário 2, usando o sistema FAT16

Cenário 02 - Fat32

30

25 25

25
20

22 ₂₁

15
10
5 ³2

00 0

0

00 0 0 0 0 0

Foremost Scalpel Autopsy – TSK FTK Imager

Total Parcial - Fragmentos de arquivos Parcial - Metadados Nulo

Gráfico 11 – Quantidade de dados recuperados para o Cenário 2, usando o sistema FAT32

O resultado dos testes do Cenário 2 para o sistema Ext4 pode ser visualizado no Gráfico 12. A ferramenta Autopsy obteve um desempenho muito semelhante ao demonstrado para os outros sistemas de mesma natureza, ou seja, Ext2 e Ext3, no mesmo cenário. O FTK Imager não reconhece este sistema, Ext4, nem o ReiserFS, mostrado no Gráfico 13, onde todas as ferramentas obtiveram resultados nulos.

O desempenho das ferramentas sobre um sistema NTFS é mostrado no Gráfico 14. Como pode ser observado, o Autopsy e o FTK Imager conseguem recuperar apenas metadados de um dos arquivos.

61
Cenário 02 - Ext4

30

25 25 25

25 ₂₁
20

15
10
5

00 0

0
00 0

5
0 0 0 0 0

Foremost Scalpel Autopsy – TSK FTK Imager

Total Parcial - Fragmentos de arquivos Parcial - Metadados Nulo

Gráfico 12 – Quantidade de dados recuperados para o Cenário 2, usando o sistema Ext4

Cenário 02 - ReiserFS

³⁰25 25 25 25

25
20
15
10

0⁵0 0

0
00 0

00 0

00 0

Foremost Scalpel Autopsy –

TSK

FTK Imager

Total Parcial - Fragmentos de arquivos Parcial - Metadados Nulo

Gráfico 13 – Quantidade de dados recuperados para o Cenário 2 e o sistema ReiserFS

Cenário 02 - NTFS

30

25 25 ₂₄₂₄

25
20
15

10
5

00 0

00 0

00 ¹

00 ¹

Foremost Scalpel Autopsy – TSK FTK-Imager
Total Parcial - Fragmentos de arquivos Parcial - Metadados Nulo

Gráfico 14 – Quantidade de dados recuperados para o Cenário 2, usando o sistema NTFS

62

Do Cenário 2, de onde os arquivos foram apagados e sobrescritos com dados que preencheram todo o tamanho da partição, esperava-se que o conteúdo de todos os arquivos fosse sobrescritos, como de fato foi comprovado pelos resultados das ferramentas.
Observou-se que duas das ferramentas, Autopsy e FTK Imager ainda conseguem recuperar algumas informações da maioria dos arquivos nos sistemas de arquivos que essas ferramentas reconheciam, com exceção do NTFS onde a recuperação dos metadados foi quase nula. Essa capacidade das ferramentas de ainda recuperarem informações dos arquivos apagados e sobrescritos pode ser explicada pela gravação dos metadados dos novos arquivos não ocupar todo o espaço na tabela de partição antes preenchido pelos metadados dos arquivos apagados. Isso pode ter acontecido porque os arquivos apagados foram sobrescritos por uma quantidade menor de arquivos, com tamanho maior.

3.4.3 Cenário 3

Não houve mudanças nos resultados deste cenário ao compará-los aos do Cenário 1, quando as ferramentas atuaram sobre as partições nos sistemas Ext2 (Gráfico 15), FAT16
(Gráfico 16) e FAT32 (Gráfico 17).

Cenário 03 - Ext2

30
25
20 ₁₅₁₆

15
10 7 ₆

₅3 3

0 0

0

25

0 0 0

25

00 0

Foremost Scalpel Autopsy – TSK FTK Imager
Total Parcial - Fragmentos de arquivos Parcial - Metadados Nulo

Gráfico 15 – Quantidade de dados recuperados para o Cenário 3, usando o sistema Ext2

63
Cenário 03 - Fat16

30
25

19

20
₁₅13
10

5

25 25

₀5 ₁2 ₀

0
00 0

00 0

Foremost Scalpel Autopsy – TSK FTK Imager

Total Parcial - Fragmentos de arquivos Parcial - Metadados Nulo

Gráfico 16 – Quantidade de dados recuperados para o Cenário 3, usando o sistema FAT16

Cenário 03 - Fat32

30
25

19

20
₁₅13
10

25 25

10

₀5 ₁2 ₀

0
00 0

00 0

Foremost Scalpel Autopsy – TSK FTK Imager
Total Parcial - Fragmentos de arquivos Parcial - Metadados Nulo

Gráfico 17 – Quantidade de dados recuperados para o Cenário 3, usando o sistema FAT32

No entanto, uma pequena diferença em relação ao Cenário 1 é notada nos resultados das ferramentas Foremost e Scalpel, que obtiveram um ligeiro declínio no desempenho para o sistema de arquivos Ext3 (Gráfico 18) e, por outro lado, obtiveram uma melhora nos resultados para os sistemas Ext4 (Gráfico 19), ReiserFS (Gráfico 20) e NTFS (Gráfico 21), recuperando mais arquivos no Cenário 3 do que no Cenário 1.

64
Cenário 03 - Ext3

30
25
20 ₁₆

14

15
10 ⁸7
5 2 2

25 25

00 0 0 0

0

00 0

Foremost Scalpel Autopsy – TSK FTK Imager

Total Parcial - Fragmentos de arquivos Parcial - Metadados Nulo

Gráfico 18 – Quantidade de dados recuperados para o Cenário 3, usando o sistema Ext3

Cenário 03 - Ext4

30

25 25

25
20 ₁₆
15 12

10

10

₄5

₅3

00 0 0 0

0

00 0

Foremost Scalpel Autopsy – TSK FTK Imager

Total Parcial - Fragmentos de arquivos Parcial - Metadados Nulo

Gráfico 19 – Quantidade de dados recuperados para o Cenário 3, usando o sistema Ext4

Cenário 03 - ReiserFS

30
25

19

20
₁₅13

10

25 25

0¹²0

0

00 0

00 0

Foremost Scalpel Autopsy – TSK FTK Imager
Total Parcial - Fragmentos de arquivos Parcial - Metadados Nulo

Gráfico 20 – Quantidade de dados recuperados para o Cenário 3 e o sistema ReiserFS

65
Cenário 03 - NTFS

30
25

19

20
15
10

5

₀5 ₁

0

25

13

10

2

00 0 0

24

00 ¹

Foremost Scalpel Autopsy – TSK FTK Imager

Total Parcial - Fragmentos de arquivos Parcial - Metadados Nulo

Gráfico 21 – Quantidade de dados recuperados para o Cenário 3, usando o sistema NTFS
Os resultados dos testes para este cenário são semelhantes aos obtidos para o Cenário

1, o que já era esperado, dado que o processo de criação das imagens foi praticamente o mesmo, diferindo apenas no tamanho das partições.

Como para os demais resultados mostrados até agora, o ideal para este cenário é usar mais de uma ferramenta para obter o maior número tanto de conteúdo de arquivos recuperados como de informações sobre os arquivos (metadados). Excetuem-se, naturalmente, os casos em que uma só ferramenta consegue recuperar todos os dados como ocorre com o Autopsy (sistemas FAT16, FAT32 e NTFS) e FTK Imager (Ext2, FAT16 e FAT32) para o Cenário 3.

3.4.4 Cenário 4

Neste cenário, foram usadas as mesmas imagens do Cenário 3, onde após os arquivos serem apagados, apenas um arquivo de 71MB foi copiado para sobrescrever a partição. Como já explicado na seção 3.2.3, a intenção foi deixar espaço suficiente para que, dependendo do modo de operar do sistema de arquivos usado, os arquivos a serem recuperados não sejam

todos sobrescritos. Aqui também pode ser observado o comportamento dos sistemas de arquivos.

O desempenho das ferramentas frente a uma imagem do sistema Ext2 submetida ao Cenário 4 é mostrado no Gráfico 22. Comparando os resultados com os do Cenário 2, a mudança foi mínima. As ferramentas Autopsy e FTK Imager apenas conseguiram recuperar mais alguns metadados (nomes) dos arquivos, o que mostra que estes foram muito provavelmente sobrescritos.
O mesmo comportamento foi verificado nos resultados para o sistema Ext3, ilustrado no Gráfico 23.

Cenário 04 - Ext2

³⁰25 25

25
20
15
10

24 24

0⁵0 0

0
00 0

00 ¹

00 ¹

Foremost Scalpel Autopsy – TSK FTK Imager
Total Parcial - Fragmentos de arquivos Parcial - Metadados Nulo

Gráfico 22 – Quantidade de dados recuperados para o Cenário 4, usando o sistema Ext2

Cenário 04 - Ext3

30

25 25

25

24 24

20
15

10
5

00 0

00 0

00 ¹

00 ¹

Foremost Scalpel Autopsy – TSK FTK Imager

Total Parcial - Fragmentos de arquivos Parcial - Metadados Nulo

Gráfico 23 – Quantidade de dados recuperados para o Cenário 4, usando o sistema Ext3

Com relação ao sistema Ext4, mostrado no Gráfico 24, pode-se notar uma melhora significativa nos resultados das ferramentas Foremost e Scalpel em comparação com o

Cenário 2. Como aconselhado para os Cenários 1 e 3, onde uma ferramenta recupera os metadados e outra, os arquivos, a abordagem recomendada é usar mais de uma ferramenta e tentar fazer associações entre metadados (nome, extensão, tamanho, datas) e conteúdo.

Cenário 04 - Ext4

30

₂₄25

25
20

14

15 ₁₁12

5 2 2

0 0

0
00 ¹

00 0

Foremost Scalpel Autopsy – TSK FTK Imager

Total Parcial - Fragmentos de arquivos Parcial - Metadados Nulo

Gráfico 24 – Quantidade de dados recuperados para o Cenário 4, usando o sistema Ext4

Diante da análise da imagem do sistema ReiserFS, nenhuma ferramenta conseguiu recuperar nem metadados nem conteúdo dos arquivos, como pode ser visualizado no Gráfico
25.

Cenário 04 - ReiserFS

³⁰25 25 25 25

25
20
15
10

0⁵0 0

0
00 0

00 0

00 0

Foremost Scalpel Autopsy –

TSK

FTK Imager

Total Parcial - Fragmentos de arquivos Parcial - Metadados Nulo

Gráfico 25 – Quantidade de dados recuperados para o Cenário 4 e o sistema ReiserFS

O sistema FAT16 mostra um comportamento, como visto no Gráfico 26, que se assemelha ao dos sistemas Ext2 e Ext3 no que diz respeito à recuperação de dados. Assim como para aqueles, apenas as ferramentas Autopsy e FTK Imager conseguiram recuperar os metadados (nomes) dos arquivos. Não houve recuperação de conteúdo.

68
Cenário 04 - Fat16

30

25 25

25
20

₂₂23

15
10
5 ³2

00 0

0

00 0 0 0 0 0

Foremost Scalpel Autopsy – TSK FTK Imager

Total Parcial - Fragmentos de arquivos Parcial - Metadados Nulo

Gráfico 26 – Quantidade de dados recuperados para o Cenário 4, usando o sistema FAT16

Uma melhora bem mais significativa para o sistema FAT32, comparando-se com os resultados do Cenário 2, é mostrada no Gráfico 27. Quase todos os arquivos foram recuperados tanto em conteúdo como em metadados, sendo que as ferramentas Autopsy e FTK Imager tiveram um melhor desempenho com relação às Foremost e Scalpel, lembrando que estas últimas não se mostram capazes de recuperar metadados.

Cenário 04 - Fat32

30
25

19

20

₁₅13
10

24 24

10

₀5 ₁2 ₀

0
00 ¹

00 ¹

Foremost Scalpel Autopsy – TSK FTK Imager

Total Parcial - Fragmentos de arquivos Parcial - Metadados Nulo

Gráfico 27 – Quantidade de dados recuperados para o Cenário 4, usando o sistema FAT32

Os resultados para a imagem do sistema NTFS, mostrados no Gráfico 28, são bastante singulares, não deixando que sejam comparados com as demais imagens analisadas. A ferramenta Foremost foi a que obteve um melhor desempenho neste sistema. Menos da metade dos arquivos foram recuperados pelas ferramentas Foremost, Scalpel e Autopsy. O FTK Imager teve o desempenho menos satisfatório e conseguiu recuperar apenas o nome de um dos arquivos. O Autopsy recuperou os metadados (nome, tamanho, data de modificação)

de apenas um arquivo que não estava entre os cinco que tiveram seu conteúdo recuperado por esta ferramenta.

Cenário 04 - NTFS

30
25
20 ₁₇

24
19 19

15
10 ⁸
5
0

₄5

0 0 0 0 ¹

00 ¹

Foremost Scalpel Autopsy – TSK FTK Imager
Total Parcial - Fragmentos de arquivos Parcial - Metadados Nulo

Gráfico 28 – Quantidade de dados recuperados para o Cenário 4, usando o sistema NTFS

Para o Cenário 4, a abordagem de usar mais de uma ferramenta para otimizar os resultados funcionaria apenas no que diz respeito ao sistema Ext4. Pra os demais sistemas, utilizar a ferramenta que obteve o melhor desempenho já é o suficiente para que o melhor resultado seja alcançado.
Ao comparar os resultados do Cenário 4 e os do Cenário 2, observam-se melhoras para o sistema Ext4 ao usar as ferramentas Scalpel ou Foremost, dado que desta vez, cerca de metade dos arquivos foram recuperados. O FAT32 obteve melhoras muito mais significativas com relação à recuperação de dados quando todas as ferramentas conseguiram recuperar o conteúdo de diversos arquivos, com destaque para as ferramentas Autopsy e FTK Imager, que conseguiram recuperar conteúdo e metadados de quase todos os arquivos. Os resultados para o sistema NTFS também obtiveram melhoras, pois, apesar da baixa recuperação demonstrada pelas ferramentas no Cenário 4, as recuperações do Cenário 2 foram nulas para todas elas.
Com esta comparação entre cenários e sistemas de arquivos, pode-se concluir que o comportamento das ferramentas é alterado de acordo com o sistema de alocação de dados usado pelos sistemas de arquivos.
A seção 3.4.5 traz um resumo dos resultados obtidos pelas ferramentas forenses para cada sistema de arquivos.

70

3.4.5 Visão geral dos resultados

Revendo os resultados de todas as imagens para todos os cenários, podemos ter uma idéia de que abordagem usar para cada sistema de arquivos a ser analisado. Um resumo de que procedimento é aconselhado se adotar é apresentado a seguir.

Sistema Ext2: O melhor desempenho foi da ferramenta FTK Imager, que recupera conteúdo e metadados, apesar de separadamente. Com relação às ferramentas opensource, a melhor abordagem é usar mais de uma ferramenta para poder recuperar dados e metadados e, ainda assim, poucos arquivos têm tanto conteúdo como metadados recuperados.
Sistema Ext3: As ferramentas Autopsy e FTK Imager obtiveram o mesmo desempenho independentemente do cenário, ou seja, apenas recuperaram metadados. Assim, a melhor abordagem para este sistema é usar mais de uma ferramenta, incluindo também o Foremost ou Scalpel, e buscar fazer associações entre nomes e conteúdos. Mesmo assim, poucos arquivos são recuperados.
Sistema Ext4: Apesar da ferramenta FTK Imager não reconhecer este sistema e o Autopsy recuperar apenas metadados, as Foremost e Scalpel conseguiram recuperar uma quantidade maior de arquivos ao comparar estes resultados com os dos outros sistemas Linux. Logo essas duas ferramentas, Foremost e Scalpel, são recomendadas quando se tratar de recuperar arquivos no sistema Ext4.
Sistema ReiserFS: As ferramentas Autopsy e FTK Imager não funcionaram para este sistema em nenhum cenário e as ferramentas Foremost e Scalpel conseguiram recuperar o conteúdo de alguns arquivos apenas nos Cenários 1 e 3, ou seja, quando não havia dados sobrescritos.
Sistema FAT16: As ferramentas Autopsy e FTK Imager conseguiram recuperar todos os dados para os Cenários 1 e 3 e as Scalpel e Foremost, alguns deles. No entanto, para os demais Cenários 2 e 4, apenas o Autopsy e o FTK Imager conseguiram recuperar os metadados de alguns arquivos e as outras ferramentas efetuaram nenhuma recuperação.
Sistema FAT32: Quando os dados são totalmente sobrescritos, apenas metadados são recuperados usando-se as ferramentas Autopsy e FTK Imager. Para os demais cenários, a

recuperação é quase sempre total usando uma ou outra ferramenta, sendo recomendado utilizar o Autopsy ou o FTK Imager, dado a maior quantidade de arquivos recuperados e o fato de que ambas recuperam também as informações relacionadas a eles.
Sistema NTFS: Nenhuma ferramenta conseguiu ter sucesso ao recuperar metadados. Apenas um arquivo teve os seus metadados recuperados para todos os cenários. Com relação ao conteúdo dos arquivos, estes são recuperados quase totalmente quando não há indício de terem sido sobrescritos. Quando totalmente sobrescritos, nada é recuperado e com os dados parcialmente sobrescritos, a ferramenta Foremost foi a que apresentou o melhor desempenho ao recuperar a maior quantidade de arquivos. A ferramenta FTK Imager, para todos os cenários, conseguiu recuperar apenas os metadados de um arquivo, sem recuperar o conteúdo de nenhum deles.

72

CONCLUSÃO

Com o aumento da capacidade de armazenamento dos equipamentos eletrônicos, a diminuição de seus preços, junto à massificação de seu uso, a probabilidade de serem perdidos dados importantes por simples descuido cresce na mesma proporção. Pelo mesmo motivo, os crimes usando estes equipamentos também aumentam a cada dia.

Pensando nisso, diversas ferramentas são desenvolvidas com o intuito de recuperar estes dados que, apesar de apagados do disco, ou mesmo por este motivo, podem vir a ser importantes. Neste trabalho, foi testada uma parcela destas ferramentas.
Ao submeter estas ferramentas a quatro cenários diferentes de perda de dados, pode-se concluir que é relativamente simples recuperar dados que tenham sido apagados imediatamente do disco. No entanto, à medida que o sistema é usado e novos dados são inseridos nele, fica cada vez mais difícil fazer esta recuperação de forma simples e medidas mais sofisticadas devem ser tomadas para chegar a este objetivo.
Como apresentado neste trabalho, nenhuma ferramenta é totalmente eficiente para todos os sistemas de arquivos ou cenários em que os seus dados possam estar inseridos. A melhor abordagem é, antes de iniciar o procedimento de recuperação, observar qual o sistema de arquivos em que a partição analisada é formatada e verificar se o sistema tinha sido muito utilizado desde que o arquivo procurado foi apagado do disco.
Para os sistemas de arquivos mais comuns nos sistemas operacionais do Windows, as ferramentas que apresentaram melhores resultados na recuperação de conteúdo de arquivos apagados foram o Autopsy e a FTK Imager. O Autopsy alcançou algum resultado positivo para todos os sistemas Windows em todos os cenários. O FTK Imager se igualou ao Autopsy em todos os resultados com exceção da análise de um sistema NTFS para o Cenário 4, onde o FTK Imager não recuperou arquivo algum. Excepcionalmente, para este último resultado a melhor ferramenta foi a Foremost.
Para os sistemas de arquivos mais utilizados em sistemas operacionais Linux, quando há alguma recuperação de conteúdo dos arquivos, as ferramentas que se mostraram melhores foram o Foremost e o Scalpel. Para estes casos, recomenda-se o uso adicional da ferramenta

Autopsy para tentar recuperar também os nomes dos arquivos e correlacionar nomes com conteúdo. A exceção neste caso fica por conta do desempenho do FTK Imager para o sistema Ext2 nos Cenários 1 e 3, quando a ferramenta conseguiu recuperar todos os arquivos com conteúdo e nome, apesar de fazê-lo em pastas diferentes de sua interface gráfica.
Outra conclusão que pode ser retirada é o quão difícil é apagar definitivamente um dado de um disco. Informações confidenciais existem e discos ultrapassados têm seu uso suspenso diariamente em grandes empresas. Para que estes dados tenham sua confidencialidade respeitada, procedimentos cautelosos devem ser tomados para que estes discos sejam descartados com segurança e informações sensíveis não corram o risco de serem divulgadas sem a devida autorização de seus responsáveis.

Como trabalhos e estudos futuros são indicados:

A inclusão de mais ferramentas de recuperação de dados, tanto proprietárias, como de código aberto;
Testar o desempenho das ferramentas forenses por tipo de arquivos apagados, como multimídia, documentos, planilhas, entre outros;
O estudo mais aprofundado sobre o comportamento de sistemas operacionais no que diz respeito à gravação e sobrescrição de dados em disco.

74

REFERÊNCIAS BIBLIOGRÁFICAS

ACCESSDATA Product Downloads. Disponível em:

://www.accessdata.com/downloads.html >. Acesso em: 2 mar. 2010.

CARRIER, Brian. File System Forensic Analysis. Addison-Wesley, 2005.

CHISUM, W.J.; Turvey, B. Evidence Dynamics: Locard's Exchange Principle & Crime

Reconstruction. Journal of Behavioral Profiling, v1, n 1, jan. 2000.

COURTNEY, Scott. An In-Depth Look at Reiserfs. Disponível em:

://www.linuxplanet.com/linuxplanet/tutorials/2926/4/>. Acesso em: 26 fev. 2010.

DFLABS. PTK an alternative computer forensic framework. Disponível em:

://ptk.dflabs.com/>. Acesso em: 2 mar. 2010.

FOREMOST. Disponível em: ://foremost.sourceforge.net/>. Acesso em: 2 mar. 2010.

GIL, A. C. Como elaborar projetos de pesquisa. 4a. ed. São Paulo: Atlas, 2002.

IEONG, Ricci S.C. FORZA – Digital forensics investigation framework that incorporate legal issues. Digital Investigation, Amsterdam, v. 3, s.1, p. 29-36, set. 2006.

JONES, M. Tim. Anatomia do Sistema de Arquivos do Linux. Disponível em:

://www.ibm.com/developerworks/br/library/l-linux-filesystem/index.html>. Acesso em:

30 jan. 2010.

JONES, Tim M. Anatomia do Ext4. Disponível em:

://www.ibm.com/developerworks/br/library/l-anatomy-ext4/index.html>. Acesso em: 10

fev. 2010.

75

MELO, Sandro. Computação Forense com Software Livre: Conceitos, Técnicas, Ferramentas e Estudos de Casos. 1a ed. Rio de Janeiro: Alta Books, 2009.

MORIMOTO, Carlos E. Hardware, o Guia Definitivo. Disponível em:

://www.gdhpress.com.br/hardware/>. Acesso em: 3 fev. 2010.

MOURA, M. hard_13hd4.png. Curso de Administração – Computação I. 2009. Disponível em: ://computacao.web44.net/adm_comp/tutoriais/hard3.html>. Acesso em: 10 fev.

2010.

SCALPEL: A Frugal, High Performance File Carver. Disponível em:

://www.digitalforensicssolutions.com/Scalpel/>. Acesso em: 2 mar. 2010.

THE SLEUTH KIT (TSK) & Autopsy: Open Source Digital Investigation Tools. Disponível em: ://www.sleuthkit.org/>. Acesso em: 2 mar. 2010.

VACCA, John R. Computer Forensics: Computer Crime Scene Investigation. 2a ed. Boston: Charles River Media, 2005.

Catálogo: material
material -> Aula prática de Openvas open Vulnerability Assessment System
material -> Comunicação Apache com ssl
material -> Colégio o bom pastor educaçÃo física profº alesson belo material de dança de salão salsa
material -> Aquanautas: Misterio das Profundezas / ng wild / bbb traductor: Natalia Valenzuela
material -> Teorias Sociológicas
material -> DefiniçÃO: o atletismo é um conjunto de esportes constituído por três modalidades: corrida, lançamentos e saltos. De modo geral, o atletismo é praticado em estádios, com exceção de algumas corridas de longa distância, praticadas em vias públicas ou no

Baixar 8.5 Mb.

Compartilhe com seus amigos:

1 ... 4 5 6 7 8 9 10 11 12