Lista de figuras



Baixar 8.5 Mb.
Página3/12
Encontro30.10.2016
Tamanho8.5 Mb.
1   2   3   4   5   6   7   8   9   ...   12

CAPÍTULO 2

FUNDAMENTAÇÃO TEÓRICA


Neste capítulo, é mostrada a fundamentação teórica necessária para o melhor entendimento do estudo de caso proposto. São estabelecidos conceitos relacionados com a computação forense e alguns de seus métodos de análise. Em seguida, é dada uma visão geral sobre os sistemas de arquivos que constituíram os ambientes para os exames deste trabalho. E, por fim, são detalhadas as ferramentas que são o objeto do estudo em si.

2.1 COMPUTAÇÃO FORENSE


Computação forense é o termo usado para designar a ciência de investigação criminal aplicada em sistemas digitais (MELO, 2009). Esta é a ciência usada pelos peritos quando são encontrados vesgios que envolvam equipamentos que possam armazenar algum tipo de dado eletrônico numa cena de crime, mas suas práticas também podem ser utilizadas por administradores de sistemas que suspeitem que a sua rede esteja sendo usada por pessoas ou para finalidades não autorizadas, mas não desejem iniciar um processo judicial propriamente dito.


Antes de começar a coleta dos dados, deve-se primeiro planejar como a investigação será realizada para que evidências sensíveis e voláteis não sejam perdidas.
Um aspecto a ser considerado dentro de uma investigação é se ela será executada em um sistema desligado ou em uso. Alguns dados críticos somente podem ser obtidos com a máquina ainda ligada e em rede, esta é a chamada análise viva (Live Analysis). Quando estes dados não forem necessários ou já terem sido coletados, o computador poder ser desligado e

23

seu sistema analisado sem o perigo de este ser alterado. Esta análise é conhecida como Post


Mortem (MELO, 2009).
A análise Post Mortem deve ser escolhida quando o sistema a ser analisado possa ser desligado e o dispositivo de armazenamento recolhido. Para isso, os dados são transferidos bit a bit (ou bloco a bloco) para outro local e esta cópia será analisada enquanto o original é mantido a salvo de modificações em um local adequado. Com o clone da mídia em mãos, o investigador seguirá o planejamento inicial para encontrar dados que servirão de prova para uma determinada hipótese.
No entanto, muitas vezes este tipo de análise não pode ser efetuado por motivos que fogem ao controle do perito. Segundo Melo (2009), o crescimento dos HDs, com alguns chegando a 1TB (um terabyte) de tamanho, faz com que esta cópia bit a bit torne-se cada vez mais complicada e dispendiosa. Outro fator que impede o desligamento de uma máquina para a cópia de sua mídia de armazenamento é de questão econômica. Eventualmente , o computador a ser examinado é um servidor de cujo funcionamento depende toda uma empresa. Cada minuto com um serviço fora do ar pode acarretar perdas de grandes valores em multas e/ou clientes. Mas, mesmo quando os dois motivos anteriores não se enquadrem no momento, alguns dados periciais simplesmente se perdem ao se desligar o sistema, como, por exemplo, clientes logados na máquina, dados da memória volátil, arquivos abertos no momento, processos ativos etc.
Sendo assim, outra técnica chamada Análise Viva (Live analysis) é usada. Esta abordagem está sendo cada vez mais seguida quando os dados voláteis do sistema são de suma importância para o caso investigado ou quando o sistema, por algum motivo, não possa ser desligado (MELO, 2009).
Alguns problemas neste tipo de investigação podem ser apontados. Um deles é que, ao se extrair um dado, o estado da máquina e outros dados são modificados. Outro que se pode observar é que os diversos dados dentro de uma máquina, dependendo de como eles são armazenados, têm veis de volatilidade diferente. Sendo assim, deve-se respeitar a ordem de volatilidade dos dados no momento de extraí-los, sempre observando a relevância dos mesmos dentro do caso.
Ao analisar um sistema ainda ligado, o perito deve ter cuidado para afetá -lo o mínimo possível. Ou seja, qualquer aplicativo utilizado como toda e qualquer dependência necessária

24


para o seu funcionamento devem estar instalados na máquina do investigador ou em um CD especialmente preparado para isso. Este cuidado em especial deve ser tomado não apenas para não afetar o sistema em si, mas também para assegurar que os aplicativos estão livres d e possíveis alterações que um atacante possa ter efetuado nos mesmos. Além disso, todos os dados colhidos devem ser gravados em outra mídia juntamente com seus hashes1.
Outro tipo de investigação é a forense de rede, que é usada quando os dados periciais estão em arquivos e aplicões usadas para fazer computadores se ligarem em rede ou nos dados provenientes desta ligação. Neste tipo de análise, dispositivos de rede são destrinchados e ferramentas apropriadas são usadas para captar tráfego e estado de rede.
Neste trabalho será focada a análise Post Mortem, dado que serão testadas ferramentas de recuperação de arquivos apagados de sistemas de arquivos. No nosso caso, os sistemas são desligados e imagens bit a bit são retiradas.
A seguir, serão apresentados os sistemas de arquivos que foram usados para o desenvolvimento dos exames deste trabalho.

2.2 SISTEMAS DE ARQUIVOS




Diante da proposta deste trabalho de demonstrar a desenvoltura de ferramentas de recuperação de dados, os primeiros fatores influenciadores que se apresentam são os diferentes tipos de sistemas de arquivos. Faz-se necessário, portanto, descrever um pouco estes sistemas.
Usando uma definição simples, pode-se dizer que Sistemas de Arquivos são estruturas lógicas que permitem que um sistema operacional consiga escrever, acessar e organizar dados dentro de um disco gido. Ou seja, é a forma utilizada pelo sistema para encontrar um dado
1 Tipo de assinatura de tamanho fixo, gerada a partir de uma entrada de tamanho aleatório. Esta entrada pode ser desde dias inteiras a mensagens de email.

25


ou arquivo necessário no disco depois de gravado. Basicamente, todos os sistemas fazem uso de uma tabela onde são associados os metadados de um arquivo e o espaço ocupado por ele no disco.
Para gravação de dados, um HD é dividido em setores. Estes setores são agrupados em blocos ou clusters (a forma como é chamado depende do sistema) cujo tamanho é determinado pelo sistema. A Figura 1 exemplifica a localização dos clusters no disco.



Figura 1 - Divisão do disco em clusters, setores e trilhas (MOURA, 2009)

Cada sistema operacional procura utilizar de um sistema de arquivos próprio para assim otimizar os seus recursos. Nos sistemas Windows, por exemplo, os mais usados ultimamente são o FAT32 e o NTFS. Nos sistemas Linux, os mais usados são o Ext3, ReiserFS e, o mais recente, Ext4, mas também encontramos o JFS e o XFS, entre outros.


Este trabalho focará nos sistemas que foram testados, os quais são: Ext2, Ext3, Ext4, ReiserFS, FAT16, FAT32 e NTFS.

26



Baixar 8.5 Mb.

Compartilhe com seus amigos:
1   2   3   4   5   6   7   8   9   ...   12




©bemvin.org 2020
enviar mensagem

    Página principal
Prefeitura municipal
santa catarina
Universidade federal
prefeitura municipal
pregão presencial
universidade federal
outras providências
processo seletivo
catarina prefeitura
minas gerais
secretaria municipal
CÂmara municipal
ensino fundamental
ensino médio
concurso público
catarina município
Dispõe sobre
reunião ordinária
Serviço público
câmara municipal
público federal
Processo seletivo
processo licitatório
educaçÃo universidade
seletivo simplificado
Secretaria municipal
sessão ordinária
ensino superior
Relatório técnico
Universidade estadual
Conselho municipal
técnico científico
direitos humanos
científico período
espírito santo
pregão eletrônico
Curriculum vitae
Sequência didática
Quarta feira
prefeito municipal
distrito federal
conselho municipal
língua portuguesa
nossa senhora
educaçÃo secretaria
segunda feira
Pregão presencial
recursos humanos
Terça feira
educaçÃO ciência
agricultura familiar