Lista de figuras



Baixar 8.5 Mb.
Página5/12
Encontro30.10.2016
Tamanho8.5 Mb.
1   2   3   4   5   6   7   8   9   ...   12

2.2.4 Sistema de arquivos NTFS


As limitações do sistema FAT, somadas ao seu baixo desempenho e pouca segurança em ambientes de servidores, fizeram com que a Microsoft pensasse em outro sistema mais robusto, o NTFS (New Technology File System). Este sistema nasceu suportando um endereçamento de cluster de 64bits com um tamanho de 512 bytes para cada um deles independente do tamanho da partição. Com este tamanho, no entanto, o que seria ganho em questão espaço se perderia em desempenho que o processador teria muito mais trabalho de encontrar os dados em meio a um número tão grande de clusters. Sendo assim, ficou estabelecido que para partições maiores que 2G, o tamanho dos clusters seria fixado em 4KB por padrão (este valor pode ser modificado pelo usuário) (MORIMOTO, 2007).
Os atributos de arquivo armazenados na MFT (Master File Table), como é chamada a tabela de alocação no NTFS, são mais complexos que no FAT. Neste último, apenas são

30


gravados atributos de arquivos, diretório etc. Segundo Morimoto (2007), na MFT, são gravados também seu nome MS-DOS, dados para uma possível futura auditoria e informações de permissões. Muitas vezes, toda esta informação se torna grande demais para ser armazenada na MFT. Quando isto ocorre, ela é gravada em clusters livres do HD e a MFT apenas aponta onde estão.
O sistema NTFS grava os arquivos no disco de forma inteligente, procurando armazenar os dados dos arquivos de forma que eles fiquem em áreas sequenciais do HD. Para alocação de novos arquivos, segundo Carrier (2005), o sistema NTFS utiliza o esquema de tentar gravar os dados na menor área em que ele consiga se encaixar totalmente. Esta é uma maneira de otimizar a ocupação da partição e reduzir a fragmentação. Por exemplo, temos um arquivo que ocuparia cinco clusters para ser armazenado. Se o primeiro conjunto de clusters sequenciais encontrado tiver um tamanho 10, outro mais à frente tiver 7 e nenhum outro tiver tamanho entre 5 e 7, este último será o escolhido.
Para comparar o desempenho entre um sistema FAT e um NTFS, deve-se levar em consideração qual o uso que será dado para ele. O NTFS, por ser mais complexo, funciona melhor quando aplicado em sistemas que utilizam grandes volumes de arquivos e possuem bons processadores. o FAT é mais utilizado em meras fotográficas, celulares etc., onde a manipulação de dados é mais simples e o tamanho das partições, como já dito anteriormente, é menor.

2.3 FERRAMENTAS FORENSES




Dados são apagados continuamente em um sistema de arquivos. Mas o que se sabe é que nenhum arquivo é realmente apagado de um disco a não ser que seja sobrescrito por outros dados. Apagar o conteúdo ocupado por um arquivo no disco gastaria tempo e um trabalho considerável do Sistema Operacional e do disco gido propriamente dito. Em vez disso, o Sistema Operacional adota um método mais prático e otimizado, que consiste em marcar como livres para uso” tanto os blocos ocupados pelo arquivo que se deseja apagar

31


como a entrada correspondente ao arquivo em seu diretório. Ferramentas diversas são desenvolvidas com a finalidade de recuperar dados.
As ferramentas forenses podem recuperar dados diretamente de um dispositivo sico ou gico, como um disco gido ou uma partição desse disco, respectivamente. Elas também podem recuperar dados a partir de uma imagem.

Imagem de um sistema de arquivos, de uma partição de dados ou de um disco

(CD/DVD/HD) é um termo utilizado para designar uma fotografia ou cópia exata de um momento deste sistema, partição ou disco. Ela não refletirá nenhuma alteração posterior ao instante de sua criação.


A criação de imagens no contexto forense é bastante útil para preservar o dispositivo original de alterações ou para casos em que o sistema a ser examinado precisa continuar em funcionamento no seu ambiente de produção. Cria-se a imagem do sistema para realização dos exames e libera-se a mídia original para uso.
Serão focadas nesta seção apenas as ferramentas que foram alvo dos testes deste trabalho, quais sejam: Foremost, Scalpel, The Sleuth Kit, Autopsy e FTK Imager.

2.3.1 Foremost


A ferramenta Foremost, segundo o seu site oficial, http://foremost.sourceforge.net/, é uma aplicação desenvolvida originalmente pela US Air Force Office of Special Investigations, sendo usada para recuperação de arquivos baseando-se em seus cabeçalhos, legendas e estruturas de dados internos. Esta é uma ferramenta de código aberto que pode ser instalada sem custos adicionais em sistemas Linux e é usada para recuperação de dados em arquivos de imagens de discos ou diretamente nas mídias de armazenamento. Não é informado nos manuais do aplicativo que sistemas de arquivos são suportados por ele, no entanto, através dos testes realizados para o propósito deste trabalho, podemos afirmar que ele suporta os seguintes sistemas: Ext2, Ext3, Ext4, ReiserFS, FAT16, FAT32 e NTFS.

32


A instalação do Foremost foi feita com o código fonte da ferramenta obtido de seu site oficial. Este procedimento foi seguido pela razão de que no repositório de pacotes do Ubuntu ainda não estava disponível a versão mais recente desta ferramenta. A versão utilizada foi a
1.5.6.
A utilização dessa ferramenta é feita através da linha de comando do Linux, seguindo a sintaxe a seguir.

Sintaxe da linha de comando do Foremost:

foremost [-h][-V][-d][-vqwQT][-bsize>][-o

] [-type>][-s][-i]


A descrição para as opções acima podem ser obtidas no manual da ferramenta. Segue um exemplo da utilização da ferramenta:


foremost –t jpeg -i imagem_01.dd -o foremost_01

O comando acima, executado no mesmo diretório do arquivo “imagem_01.dd”,
extrairá desse arquivo de imagem todos os arquivos do tipo jpeg para a pasta de nome

“foremost_01” (esta pasta é criada no momento da extração dos dados, neste caso, na mesma pasta onde o comando é dado).


Seguem os tipos de arquivos que podem ser recuperados pela ferramenta Foremost, segundo o manual que é instalado no sistema junto com a própria ferramenta: jpg, gif, png, bmp, avi, exe, mpg, wav, riff, wmv, mov, pdf, ole, doc, zip, rar, htm e cpp.
Esta ferramenta gera um arquivo em formato de texto com um resumo da operação e uma pasta para cada tipo de arquivo encontrado.

33

2.3.2 Scalpel



A ferramenta Scalpel, segundo o seu site oficial,
http://www.digitalforensicssolutions.com/Scalpel/, é uma ferramenta baseada no foremost-

0.69 com a finalidade de melhorar o seu desempenho e o uso de memória durante a análise. Esta é uma aplicação de digo aberto (opensource) recomendada para ser instalada em sistemas Linux, mas a instalação em outros sistemas é possível bastando para isto compilar os fontes da ferramenta no sistema desejado. A última versão do Scalpel foi lançada em agosto de 2006. Assim como ocorre com o Foremost, não é informado nos manuais do aplicativo que sistemas de arquivos são suportados por ele, mas foi constatado através dos testes neste trabalho que ele suporta os seguintes sistemas: Ext2, Ext3, Ext4, ReiserFS, FAT16, FAT32 e NTFS.
A versão do site oficial do Scalpel e a dos repositórios do sistema utilizado para os testes era a mesma, assim, esta ferramenta foi instalada usando o procedimento mais simples, que é através de aplicativos do próprio sistema. A versão utilizada foi a 1.60.
A utilização dessa ferramenta também é feita através da linha de comando, seguindo a sintaxe a seguir.

Sintaxe da linha de comando do Scalpel:


scalpel [-b] [-c ] [-d] [-h] [-i e>] [-m size>] [-n] [-o ] [-O] [-p] [-r]
[-s ] [-t] [-u] [-V] [-v] [FILES]...

A descrição de cada opção do comando acima pode ser obtida no manual da ferramenta que é instalado junto com a mesma.

Exemplo de uso do Scalpel:


scalpel imagem_01.dd -c /etc/scalpel/scalpel.conf -o scalpel_01

34


Os tipos de arquivos que podem ser recuperados pela ferramenta devem ser escolhidos no arquivo de configuração da ferramenta. As opções que estão disponíveis na última versão lançada são: art, gif, jpg, png, bmp, avi, mov, mpg, fws, doc, pst, ost, dbx, idx, mbx, wpc, htm, pdf, mail, PGP, txt, RPM, wav, ra, dat, zip, java, max e pins.

Esta ferramenta gera saídas semelhantes à Foremost.



2.3.3 The Sleuth Kit e Autopsy Browser


The Sleuth Kit (TSK) é um apanhado de ferramentas forenses. Ele é comumente usado em conjunto com o Autopsy Browser, que lhe proporciona uma interface gráfica para facilitar o manejo e a visualização do resultado da análise. Ambas são ferramentas de digo aberto que, segundo o seu site oficial, http://www.sleuthkit.org/, podem ser instaladas em diversos sistemas Windows ou Unix (Linux, OS X, Cygwin, FreeBSD, OpenBSD e Solaris) e suporta imagens com os sistemas FATx, NTFS, Ext2 e Ext3.
A instalação do TSK e Autopsy foi feita através de seus fontes, pois, assim como ocorre com o Foremost, a versão dos repositórios do sistema é mais antiga que a disponível no site das ferramentas. As versões instaladas foram 3.1.0 e 2.22 para o TSK e para o Autopsy, respectivamente. A ferramenta TSK deve ser instalada antes da Autopsy.

web:

Segue a sintaxe da linha de comando para ativação da ferramenta Autopsy em modo


autopsy [-c] [-C] [-d evid_locker] [-i device filesystem mnt] [-p port] [remoteaddr]


A descrição das opções pode ser obtida no manual da ferramenta. A Figura 2 mostra o comando mais simples para ativar o Autopsy, cuja saída informa o endereço a ser utilizado no browser ou navegador para acesso à ferramenta web.



35



Figura 2 - Ativação da ferramenta Autopsy por linha de comando

Ao digitar no navegador o endereço informado na Figura 2, a tela inicial do Autopsy é apresentada, conforme ilustrado na Figura 3.
A imagem a ser analisada deve ser incluída através do browser após a configuração do caso e do host (máquina a ser analisada) iniciando ao clicar no botão New Case, como mostra a Figura 3. A tela para configurar o host será apresentada logo após a do caso. Todo o processo é intuitivo.



Figura 3 - Tela inicial da ferramenta Autopsy

36


Ao demandar a análise da imagem escolhida, depara-se com diversas técnicas de busca de evidência da ferramenta, que são todas divididas em abas. Cada uma delas é descrita no site de ajuda da ferramenta, http://www.sleuthkit.org/autopsy/desc.php.
Os arquivos recuperados podem ser vistos diretamente no browser, gravados todos de uma vez para o diretório de análise da imagem de disco do Autopsy ou apenas os escolhidos são gravados um a um para qualquer diretório determinado pelo investigador.

Outra ferramenta web usada como alternativa para o TSK é a PTK

(http://ptk.dflabs.com/). Esta ferramenta foi testada, no entanto, não foi incluída nos resultados finais deste trabalho por ser apenas uma interface gráfica como o Autopsy e prover, naturalmente, os mesmos resultados na recuperação de dados que esta última.




Baixar 8.5 Mb.

Compartilhe com seus amigos:
1   2   3   4   5   6   7   8   9   ...   12




©bemvin.org 2020
enviar mensagem

    Página principal
Prefeitura municipal
santa catarina
Universidade federal
prefeitura municipal
pregão presencial
universidade federal
outras providências
processo seletivo
catarina prefeitura
minas gerais
secretaria municipal
CÂmara municipal
ensino fundamental
ensino médio
concurso público
catarina município
Dispõe sobre
reunião ordinária
Serviço público
câmara municipal
público federal
Processo seletivo
processo licitatório
educaçÃo universidade
seletivo simplificado
Secretaria municipal
sessão ordinária
ensino superior
Relatório técnico
Universidade estadual
Conselho municipal
técnico científico
direitos humanos
científico período
espírito santo
pregão eletrônico
Curriculum vitae
Sequência didática
Quarta feira
prefeito municipal
distrito federal
conselho municipal
língua portuguesa
nossa senhora
educaçÃo secretaria
segunda feira
Pregão presencial
recursos humanos
Terça feira
educaçÃO ciência
agricultura familiar