Lista de figuras



Baixar 8.5 Mb.
Página7/12
Encontro30.10.2016
Tamanho8.5 Mb.
1   2   3   4   5   6   7   8   9   ...   12

Figura 4 Visualização de um arquivo recuperando usando o FTK Imager


2.3.5 Evitando a recuperação de dados

Como visto, recuperar dados em um HD, apesar de ser um processo muitas vezes complicado e dispendioso, é perfeitamente possível. Caso os dados armazenados sejam confidenciais, ao descartar um HD é recomendável que se execute alguns procedimentos para que seja eliminada qualquer possibilidade de recuperação de dados.


Apenas sobrescrever os arquivos gravados anteriormente não é o suficiente. O mais recomendável atualmente, com todas as técnicas avançadas de recuperação, é utilizar um aplicativo chamado "shred" e executá-lo via linha de comando como mostrado a seguir:

38
shred -n 5 -vz /dev/hda




Desta forma, o programa escreverá, em todo disco (/dev/hda), dados alearios repetindo o mesmo procedimento (-vz) cinco vezes seguidas (-n 5). Esta é a forma lógica mais recomendável para eliminar a possibilidade de recuperação de dados, segundo Morimoto

(2007). Utiliza-se também o aplicativo wipe, substituindo o conteúdo da mídia por zeros, através de comandos apropriados. Outra forma seria destruir o disco fisicamente.

39

CAPÍTULO 3

EXAMES


Neste capítulo, serão detalhados os passos seguidos para desenvolver os testes sobre as ferramentas. A escolha das ferramentas e dos tipos de sistemas de arquivos foi feita através de pesquisa sobre quais eram os mais utilizados atualmente.

Os testes foram realizados sobre uma plataforma Linux Ubuntu 9.04, Kernel 2.6.28-

17, para os testes com as ferramentas Foremost, Scalpel e TSK/Autopsy; e, sobre Windows XP, SP3, para os testes com a ferramenta FTK Imager. Ambos os sistemas usam uma plataforma de 32 bits.



3.1 MONTANDO OS SISTEMAS DE ARQUIVOS


Os sistemas de arquivos escolhidos para os testes, como mencionado no Capítulo 2, foram: Ext2, Ext3, Ext4, ReiserFS, FAT16, FAT32 e NTFS.
A instalação dos sistemas de arquivos para os testes foi feita criando-os em arquivos dentro do sistema em uso e montando-os como partições. O passo a passo para a instalação e montagem de cada um deles é descrito na Tabela 1, seguindo um modelo de Jones (2007). Foram escolhidas partições de tamanhos diferentes (100MB e 200MB) para facilitar a manipulação de arquivos dentro delas e a posterior análise dos dados.
As montagens dos sistemas de 100MB e 200MB foram feitas em momentos diferentes, pois os dispositivos de loopback (/dev/loopX”) são limitados em número e cada um não pode ser ocupado totalmente e ao mesmo tempo por dois ou mais sistemas de arquivos.

40

Imagens – 100M Imagens – 200M


dd if=/dev/zero of=ext2.img bs=1k count=100000


dd if=/dev/zero of=ext2.img bs=1k count=200000


Ext2

losetup /dev/loop0 ext2.img losetup /dev/loop0 ext2.img mkfs.ext2 -c /dev/loop0 100000 mkfs.ext2 -c /dev/loop0 200000 mount -t ext2 /dev/loop0 /mnt/disk-1/ mount -t ext2 /dev/loop0 /mnt/disk-1/



dd if=/dev/zero of=ext3.img bs=1k count=100000

dd if=/dev/zero of=ext3.img bs=1k count=200000




Ext3

losetup /dev/loop1 ext3.img losetup /dev/loop1 ext3.img mkfs.ext3 -c /dev/loop1 100000 mkfs.ext3 -c /dev/loop1 200000 mount -t ext3 /dev/loop1 /mnt/disk-2/ mount -t ext3 /dev/loop1 /mnt/disk-2/


dd if=/dev/zero of=ext4.img bs=1k count=100000


dd if=/dev/zero of=ext4.img bs=1k count=200000


Ext4

losetup /dev/loop2 ext4.img losetup /dev/loop2 ext4.img mkfs.ext4 -c /dev/loop2 100000 mkfs.ext4 -c /dev/loop2 200000 mount -t ext4 /dev/loop2 /mnt/disk-3/ mount -t ext4 /dev/loop2 /mnt/disk-3/


dd if=/dev/zero of=reiserfs.img bs=1k count=100000


dd if=/dev/zero of=reiserfs.img bs=1k count=200000


ReiserFS
losetup /dev/loop3 reiserfs.img losetup /dev/loop3 reiserfs.img mkfs.reiserfs -f /dev/loop3 mkfs.reiserfs -f /dev/loop3
mount -t reiserfs /dev/loop3 /mnt/disk-

4/ mount -t reiserfs /dev/loop3 /mnt/disk-4/

dd if=/dev/zero of=fat16.img bs=1k count=100000

dd if=/dev/zero of=fat16.img bs=1k count=200000




FAT16

losetup /dev/loop4 fat16.img losetup /dev/loop4 fat16.img mkfs.vfat -F 16 /dev/loop4 mkfs.vfat -F 16 /dev/loop4


mount -t vfat /dev/loop4 /mnt/disk-5/ mount -t vfat /dev/loop4 /mnt/disk-5/

dd if=/dev/zero of=fat32.img bs=1k count=100000


dd if=/dev/zero of=fat32.img bs=1k count=200000


FAT32
losetup /dev/loop5 fat32.img losetup /dev/loop5 fat32.img
mkfs.vfat -F 32 /dev/loop5 mkfs.vfat -F 32 /dev/loop5
mount -t vfat /dev/loop5 /mnt/disk-6/ mount -t vfat /dev/loop5 /mnt/disk-6/

dd if=/dev/zero of=ntfs.img bs=1k count=100000


dd if=/dev/zero of=ntfs.img bs=1k count=200000

NTFS
losetup /dev/loop6 ntfs.img losetup /dev/loop6 ntfs.img

mkfs.ntfs /dev/loop6 200000 mkfs.ntfs /dev/loop6 400000


mount -t ntfs /dev/loop6 /mnt/disk-7/ mount -t ntfs /dev/loop6 /mnt/disk-7/


Tabela 1 - Passo a passo da criação e montagem das partições utilizadas nos testes

41

Estas partições, montadas como mostrado na Tabela 1, foram tomadas como base para o preparo das imagens que foram submetidas às ferramentas de análise forense. As imagens são arquivos correspondentes aos sistemas que serão examinados e tiveram seu conceito explicado na seção 2.3.


Os comandos da Tabela 1 realizam para cada sistema de arquivos e tamanho da imagem:

1. Wipe da partição, escrevendo zero em todo o seu conteúdo;

2. Criação do sistema de arquivos na partição, utilizando todo o seu tamanho;
3. Montagem da partição no sistema de arquivos, tornando-a disponível para uso no sistema operacional, onde será possível copiar e apagar arquivos.
A preparação das imagens utilizadas neste trabalho, através de escritas, exclusões e reescritas de dados das mesmas, é organizada em cenários, apresentados na sessão 3.2.

3.2 CERIOS


A abordagem escolhida para os testes foi a de comparar o desempenho de cada ferramenta frente a diferentes sistemas de arquivos e cenários, que serão detalhados mais adiante.


Assim, vinte e cinco (25) arquivos de extensões diversas foram copiados para as partições montadas que, por questão de uniformidade, são os mesmos arquivos usados para todos os testes, os quais são elencados na Tabela 2 e formam ao todo um tamanho de 32,7
MB.
Como o objetivo é a recuperação de arquivos apagados do disco, foram preparados quatro cenários diferentes para a realização dos testes, cada um simulando uma situação em que os arquivos a serem recuperados poderiam ser expostos dentro de um sistema de arquivos.

42

TIPO TAMANHO TIPO TAMANHO


Figuras JPG 83KB, 35KB Áudio WMA 2311KB
Figuras GIF 1722KB, 40KB, 5KB,

8KB Adobe PDF 212KB
Figuras BMP 2132KB,1013KB Apresentações (Power

Point) 80KB, 100KB
Figura PNG 57KB Planilhas (Excel) 18KB, 167KB
Vídeo AVI 11295KB Documento (Word) 76KB, 84KB
Vídeo WMV 4964KB Arquivos ZIP 170KB, 950KB
Vídeo FLV 3660KB Arquivos EXE 161KB, 2847KB
Áudio MP3 1360KB
Tabela 2 Arquivos copiados para as imagens, os quais as ferramentas tentarão recuperar


3.2.1 Cenário 1

Este cenário exemplifica o caso em que um arquivo tenha sido apagado do disco e a sua recuperação tenha sido iniciada sem que o sistema tenha sofrido quaisquer alterações. O objetivo é testar o desempenho das ferramentas e o comportamento dos sistemas na tentativa de recuperar os arquivos recentemente apagados.


Foram usadas as partições formatadas de 100MB e em cada uma delas feito o seguinte processo:

Cópia dos 25 arquivos;



Desmontagem/montagem;

Limpeza da partição (remoção dos arquivos);

Desmontagem/montagem.

43


O processo de desmontagem/montagem é repetido para apagar quaisquer resquícios que possam ter sobrado no buffer dos sistemas. Isto poderia comprometer os resultados dos testes caso a ferramenta recuperasse a arquivo não por ter podido retirá-lo de dentro da partição, mas por ele ainda estar na memória do sistema.

Depois disso, o seguinte script foi executado e assim obtidas as imagens,
“<sistema>_01.dd”, prontas para os testes deste primeiro cenário.:

#!/bin/bash


##Imagens com os arquivos simplesmente deletados
dd if=/dev/loop0 of=/home/josilene/TCC/img-testes1/ext2_01.dd dd if=/dev/loop1 of=/home/josilene/TCC/img-testes1/ext3_01.dd dd if=/dev/loop2 of=/home/josilene/TCC/img-testes1/ext4_01.dd

dd if=/dev/loop3 of=/home/josilene/TCC/img-testes1/reiserfs_01.dd dd if=/dev/loop4 of=/home/josilene/TCC/img-testes1/fat16_01.dd



dd if=/dev/loop5 of=/home/josilene/TCC/img-testes1/fat32_01.dd dd if=/dev/loop6 of=/home/josilene/TCC/img-testes1/ntfs_01.dd

3.2.2 Cenário 2


Neste cenário, as partões de onde os arquivos foram apagados são agora preenchidas com outros arquivos diversos, sem relação com os primeiros, de forma tal que a partição pareça 100% ocupada. Os arquivos que foram usados na sobrescrição também foram apagados da partição antes da criação da imagem para os testes.
Neste caso, os arquivos escritos e apagados no Cenário 1 têm uma chance quase total de terem sido sobrescritos. Busca-se, então, verificar se as ferramentas conseguem ainda recuperar algum arquivo ou fragmentos quando estes são submetidos a uma situação como esta.
Para este segundo cenário, foram usadas as partições de 100MB antes usadas para compor o Cenário 1. Em cada uma delas foi feito o seguinte processo:

44

Cópia de arquivos diversos de forma a preencher todo o espaço da partição;



Desmontagem/montagem;

Limpeza da partição;

Desmontagem/montagem.

Depois disso, o seguinte script foi executado de forma a obter as imagens,
“<sistema>_02.dd”, que seriam utilizadas para os testes do Cenário 2:

#!/bin/bash


#Imagens com os arquivos deletados e sobrescritos com as partições deixadas com 100% de espaço usado. Os arquivos usados para sobrescricao também foram deletados
dd if=/dev/loop0 of=/home/josilene/TCC/img-testes1/ext2_02.dd dd if=/dev/loop1 of=/home/josilene/TCC/img-testes1/ext3_02.dd dd if=/dev/loop2 of=/home/josilene/TCC/img-testes1/ext4_02.dd

dd if=/dev/loop3 of=/home/josilene/TCC/img-testes1/reiserfs_02.dd dd if=/dev/loop4 of=/home/josilene/TCC/img-testes1/fat16_02.dd



dd if=/dev/loop5 of=/home/josilene/TCC/img-testes1/fat32_02.dd dd if=/dev/loop6 of=/home/josilene/TCC/img-testes1/ntfs_02.dd

3.2.3 Cenário 3


Para formação do terceiro cenário, o processo do primeiro cenário foi repetido, com exceção de que o tamanho das partições foi maior, 200MB. Esta diferenciação foi necessária para que sobrasse bastante espaço na partição, servindo, assim, aos propósitos dos testes do quarto cenário. Espera-se que o comportamento deste terceiro cenário seja o mesmo do primeiro, com exceção de que neste mais espaço para os arquivos se espalharem na partição, dependendo do algoritmo de escrita em disco do sistema utilizado.
Para obtenção das imagens para o terceiro cenário, “<sistema>_03.dd, que serão utilizadas para posterior análise das ferramentas de recuperação de dados, foi usado com o script a seguir:

45


#!/bin/bash
##Imagens com os arquivos deletados com o tamanho de aproximadamente

200MB
dd if=/dev/loop0 of=/home/josilene/TCC/img-testes1/ext2_03.dd dd if=/dev/loop1 of=/home/josilene/TCC/img-testes1/ext3_03.dd dd if=/dev/loop2 of=/home/josilene/TCC/img-testes1/ext4_03.dd

dd if=/dev/loop3 of=/home/josilene/TCC/img-testes1/reiserfs_03.dd dd if=/dev/loop4 of=/home/josilene/TCC/img-testes1/fat16_03.dd

dd if=/dev/loop5 of=/home/josilene/TCC/img-testes1/fat32_03.dd dd if=/dev/loop6 of=/home/josilene/TCC/img-testes1/ntfs_03.dd



3.2.4 Cenário 4

Neste cenário, é utilizado para a sobrescrição apenas um arquivo com um tamanho de

71 MB, que é um pouco mais do que o dobro do tamanho do total dos arquivos a serem recuperados. Como as partições a serem usadas são de aproximadamente 200MB, sobra espaço o suficiente para acomodar este arquivo sem que os demais sejam tocados. Ou seja, dependendo da formatação e da manipulação dos dados do sistema testado, os arquivos que deveriam ser recuperados podem ter sido sobrescritos ou não, respectivamente dificultando e facilitando o trabalho das ferramentas de recuperação de dados aqui testadas. Espera -se, portanto, que o desempenho das ferramentas para o quarto cenário seja melhor do que o demonstrado para o segundo cenário. O arquivo usado para a sobrescrição também foi apagado do disco antes da criação das imagens.
Para o Cenário 4, foram usadas as mesmas partições de 200MB utilizadas anteriormente para formar as imagens do Cenário 3. Em cada uma delas foi feito o seguinte processo:

Cópia de um arquivo qualquer de 71MB;



Desmontagem/montagem;

46

Limpeza da partição;



Desmontagem/montagem;
Depois disso, foram criadas, usando com o script abaixo, as imagens das partições para o Cenário 4, “<sistema>_04.dd, usadas para posterior análise com as ferramentas de recuperação:

#!/bin/bash


##Imagens com os arquivos deletados e sobrescritos de forma a sobrar espaço com o mesmo tamanho deles. Os arquivos usados para sobrescricao tambem foram deletados.
dd if=/dev/loop0 of=/home/josilene/TCC/img-testes1/ext2_04.dd dd if=/dev/loop1 of=/home/josilene/TCC/img-testes1/ext3_04.dd dd if=/dev/loop2 of=/home/josilene/TCC/img-testes1/ext4_04.dd

dd if=/dev/loop3 of=/home/josilene/TCC/img-testes1/reiserfs_04.dd dd if=/dev/loop4 of=/home/josilene/TCC/img-testes1/fat16_04.dd



dd if=/dev/loop5 of=/home/josilene/TCC/img-testes1/fat32_04.dd dd if=/dev/loop6 of=/home/josilene/TCC/img-testes1/ntfs_04.dd
Os arquivos das imagens resultantes para cada um dos cenários são listados na Tabela
.3

Cenário 1 Cenário 2 Cenário 3 Cenário 4

Ext2 ext2_01.dd ext2_02.dd ext2_03.dd ext2_04.dd

Ext3 ext3_01.dd ext3_02.dd ext3_03.dd ext3_04.dd

Ext4 ext4_01.dd ext4_02.dd ext4_03.dd ext4_04.dd

ReiserFS reiserfs_01.dd reiserfs_02.dd reiserfs_03.dd reiserfs_04.dd

FAT16 fat16_01.dd fat16_02.dd fat16_03.dd fat16_04.dd

FAT32 fat32_01.dd fat32_02.dd fat32_03.dd fat32_04.dd

NTFS ntfs_01.dd ntfs_02.dd ntfs_03.dd ntfs_04.dd

Tabela 3 - Lista dos arquivos de imagens correspondentes aos cerios

47

3.3 DESCRIÇÃO DOS EXAMES


A realização dos exames para cada ferramenta é detalhada nesta seção. Será descrito como foi executado cada teste e qual o comportamento para cada ferramenta.



3.3.1 Exame 1 - Foremost


Os exames com o Foremost foram realizados através de uma linha de comando para cada imagem. Nenhuma configuração adicional foi feita na ferramenta depois de sua instalação, que também seguiu o padrão.
Para executar a ferramenta e inicializar o teste foi usado o comando abaixo, o qual foi repetido para cada sistema e cenário:

foremost -i gem> -o


s
ta_de_destino>

Com este comando, todos os tipos de arquivos suportados pela ferramenta seriam buscados dentro da imagem especificada. Um exemplo de como foi realizado o teste é mostrado abaixo. O teste mostrado no exemplo foi realizado sobre uma imagem do Cenário 1 com o sistema Ext2. A saída da ferramenta foi gerada numa pasta de nome ext2_01” no mesmo local de onde o comando foi executado.


foremost -i ext2_01.dd -o ext2_01



48


Desta forma, para cada cenário e sistema o teste era executado e, assim, era gerada uma pasta com os arquivos recuperados separados em pastas individuais de acordo com a sua extensão como mostrado na Figura 5.



Figura 5 Saída gerada pelo foremost


3.3.2 Exame 2 - Scalpel


Os testes do Scalpel e as saídas geradas pelos comandos são semelhantes aos do Foremost. No entanto, para que o teste funcionasse, foi necessário que as configurações padrão da ferramenta fossem modificadas. Diferentemente do Foremost, a escolha do tipo de

49


arquivo a ser recuperado não é feita por linha de comando, mas diretamente em seu arquivo de configuração, scalpel.conf”. Um trecho dele pode ser visto a seguir:

#---------------------------------------------------------------------

# HTML


#---------------------------------------------------------------------

#

# htm n 50000



Baixar 8.5 Mb.

Compartilhe com seus amigos:
1   2   3   4   5   6   7   8   9   ...   12




©bemvin.org 2020
enviar mensagem

    Página principal
Prefeitura municipal
santa catarina
Universidade federal
prefeitura municipal
pregão presencial
universidade federal
outras providências
processo seletivo
catarina prefeitura
minas gerais
secretaria municipal
CÂmara municipal
ensino fundamental
ensino médio
concurso público
catarina município
Dispõe sobre
reunião ordinária
Serviço público
câmara municipal
público federal
Processo seletivo
processo licitatório
educaçÃo universidade
seletivo simplificado
Secretaria municipal
sessão ordinária
ensino superior
Relatório técnico
Universidade estadual
Conselho municipal
técnico científico
direitos humanos
científico período
espírito santo
pregão eletrônico
Curriculum vitae
Sequência didática
Quarta feira
prefeito municipal
distrito federal
conselho municipal
língua portuguesa
nossa senhora
educaçÃo secretaria
segunda feira
Pregão presencial
recursos humanos
Terça feira
educaçÃO ciência
agricultura familiar