ferramentas forenses recuperação de dados
76 pág.

ferramentas forenses recuperação de dados


DisciplinaRedes de Computadores20.567 materiais258.961 seguidores
Pré-visualização14 páginas
de arquivos 
ReiserFS. Sendo assim, apenas as ferramentas Scalpel e Foremost tiveram um desempenho 
aproveitável para este sistema, como visto no Gráfico 4, que se assemelhou ao desempenho 
demonstrado para o sistema Ext4. 
Cenário 01 - ReiserFS
17
12
0 0
3 3
0 00 0 0 0
5
10
25 25
0
5
10
15
20
25
30
Foremost Scalpel Autopsy \u2013 TSK FTK Imager
Total Parcial - Fragmentos de arquivos Parcial - Metadados Nulo
 
Gráfico 4 \u2013 Quantidade de dados recuperados para o Cenário 1 e o sistema ReiserFS 
 57 
O desempenho das ferramentas sofreu uma melhora significativa, como demonstrado 
no Gráfico 5, ao analisar uma imagem do sistema FAT16. Para esta imagem, ambas as 
ferramentas Autopsy e FTK Imager tiveram 100% de aproveitamento. 
Cenário 01 - Fat16
19
13
25 25
1 2 0 00 0 0 0
5
10
0 0
0
5
10
15
20
25
30
Foremost Scalpel Autopsy \u2013 TSK FTK Imager
Total Parcial - Fragmentos de arquivos Parcial - Metadados Nulo
 
Gráfico 5 \u2013 Quantidade de dados recuperados para o Cenário 1, usando o sistema FAT16 
O desempenho das ferramentas para o sistema FAT32 foi semelhante ao mostrado 
para o seu sistema predecessor, como pode ser visto no Gráfico 6. 
Cenário 01 - Fat32
19
13
25 25
1 2 0 00 0 0 0
5
10
0 0
0
5
10
15
20
25
30
Foremost Scalpel Autopsy \u2013 TSK FTK Imager
Total Parcial - Fragmentos de arquivos Parcial - Metadados Nulo
 
Gráfico 6 \u2013 Quantidade de dados recuperados para o Cenário 1, usando o sistema FAT32 
Submetidas à imagem do sistema NTFS, nenhuma ferramenta obteve 100% de 
sucesso, como mostrado no Gráfico 7. Mesmo a Autopsy, ao recuperar quase todos os 
arquivos da imagem, não conseguiu o mesmo para os seus metadados. As ferramentas Scalpel 
e Foremost não demonstraram nenhuma mudança em seu comportamento com relação aos 
 58 
demais sistemas testados. O FTK Imager conseguiu o seu pior desempenho com relação à 
recuperação de dados neste sistema. 
Cenário 01 - NTFS
18
13
24
01
2
0 00 0 1 1
6
10
0
24
0
5
10
15
20
25
30
Foremost Scalpel Autopsy \u2013 TSK FTK Imager
Total Parcial - Fragmentos de arquivos Parcial - Metadados Nulo
 
Gráfico 7 \u2013 Quantidade de dados recuperados para o Cenário 1, usando o sistema NTFS 
As ferramentas Foremost e Scalpel tiveram desempenhos semelhantes, o que se 
justifica pelo fato da segunda ser baseada na primeira, como explicado na seção 2.3.2, 
entretanto o Foremost se mostrou ligeiramente superior ao Scalpel para o Cenário1. Como 
pode ser observado, as ferramentas tendem a recuperar melhor os arquivos quando usadas 
sobre sistemas Windows, apesar da ferramenta FTK Imager ter tido um desempenho muito 
bom ao recuperar todo o conteúdo dos arquivos do sistema Ext2. 
 
 
3.4.2 Cenário 2 
 
 
Neste cenário, foram copiados arquivos diversos para as partições já usadas antes para 
os testes do Cenário 1 de forma que ocupassem todo o espaço disponível. O que se espera é 
medir a capacidade de recuperação de arquivos das ferramentas quando os arquivos a serem 
recuperados tenham sido sobrescritos por outros dados. 
Como pode ser visto nos gráficos desta seção, o desempenho das ferramentas foi quase 
sempre nulo. As ferramentas FTK Imager e Autopsy tiveram um desempenho semelhante 
 59 
para todas as imagens, exceto para a Ext4, que não é um sistema reconhecido pelo FTK 
Imager. 
As ferramentas Foremost e Scalpel, para todas as imagens de sistema deste cenário, 
não conseguiram recuperar nenhum arquivo. 
As ferramentas Autopsy e FTK Imager obtiveram resultados semelhantes para as 
análises dos sistemas Ext2 (Gráfico 8), Ext3(Gráfico 9), FAT16 (Gráfico 10) e FAT32 
(Gráfico 11), recuperando quase todos os nomes dos arquivos. O que se conclui é que ambas, 
mesmo sem ter acesso aos dados sobrescritos, ainda conseguem visualizar algumas 
informações de quase 100% dos arquivos anteriormente gravados nestas partições. 
Cenário 02 - Ext2
0 0 0 00 0 0 00 0
21 21
25 25
4 4
0
5
10
15
20
25
30
Foremost Scalpel Autopsy \u2013 TSK FTK Imager
Total Parcial - Fragmentos de arquivos Parcial - Metadados Nulo
 
Gráfico 8 \u2013 Quantidade de dados recuperados para o Cenário 2, usando o sistema Ext2 
Cenário 02 - Ext3
0 0 0 00 0 0 00 0
23 22
25 25
2 3
0
5
10
15
20
25
30
Foremost Scalpel Autopsy \u2013 TSK FTK Imager
Total Parcial - Fragmentos de arquivos Parcial - Metadados Nulo
 
Gráfico 9 \u2013 Quantidade de dados recuperados para o Cenário 2, usando o sistema Ext3 
 60 
Cenário 02 - Fat16
0 0 0 00 0 0 00 0
22 22
25 25
3 3
0
5
10
15
20
25
30
Foremost Scalpel Autopsy \u2013 TSK FTK Imager
Total Parcial - Fragmentos de arquivos Parcial - Metadados Nulo
 
Gráfico 10 \u2013 Quantidade de dados recuperados para o Cenário 2, usando o sistema FAT16 
Cenário 02 - Fat32
0 0 0 00 0 0 00 0
22 21
25 25
3 2
0
5
10
15
20
25
30
Foremost Scalpel Autopsy \u2013 TSK FTK Imager
Total Parcial - Fragmentos de arquivos Parcial - Metadados Nulo
 
Gráfico 11 \u2013 Quantidade de dados recuperados para o Cenário 2, usando o sistema FAT32 
O resultado dos testes do Cenário 2 para o sistema Ext4 pode ser visualizado no 
Gráfico 12. A ferramenta Autopsy obteve um desempenho muito semelhante ao demonstrado 
para os outros sistemas de mesma natureza, ou seja, Ext2 e Ext3, no mesmo cenário. O FTK 
Imager não reconhece este sistema, Ext4, nem o ReiserFS, mostrado no Gráfico 13, onde 
todas as ferramentas obtiveram resultados nulos. 
O desempenho das ferramentas sobre um sistema NTFS é mostrado no Gráfico 14. 
Como pode ser observado, o Autopsy e o FTK Imager conseguem recuperar apenas 
metadados de um dos arquivos. 
 61 
Cenário 02 - Ext4
0 0 0 00 0 0 00 0
21
0
25 25
5
25
0
5
10
15
20
25
30
Foremost Scalpel Autopsy \u2013 TSK FTK Imager
Total Parcial - Fragmentos de arquivos Parcial - Metadados Nulo
 
Gráfico 12 \u2013 Quantidade de dados recuperados para o Cenário 2, usando o sistema Ext4 
Cenário 02 - ReiserFS
0 0 0 00 0 0 00 0 0 0
25 25 25 25
0
5
10
15
20
25
30
Foremost Scalpel Autopsy \u2013
TSK
FTK Imager
Total Parcial - Fragmentos de arquivos Parcial - Metadados Nulo
 
Gráfico 13 \u2013 Quantidade de dados recuperados para o Cenário 2 e o sistema ReiserFS 
Cenário 02 - NTFS
0 0 0 00 0 0 00 0 1 1
25 25 24 24
0
5
10
15
20
25
30
Foremost Scalpel Autopsy \u2013 TSK FTK-Imager
Total Parcial - Fragmentos de arquivos Parcial - Metadados Nulo
 
Gráfico 14 \u2013 Quantidade de dados recuperados para o Cenário 2, usando o sistema NTFS 
 62 
Do Cenário 2, de onde os arquivos foram apagados e sobrescritos com dados que 
preencheram todo o tamanho da partição, esperava-se que o conteúdo de todos os arquivos 
fosse sobrescritos, como de fato foi comprovado pelos resultados das ferramentas. 
Observou-se que duas das ferramentas, Autopsy e FTK Imager ainda conseguem 
recuperar algumas informações da maioria dos arquivos nos sistemas de arquivos que essas 
ferramentas reconheciam, com exceção do NTFS onde a recuperação dos metadados foi quase 
nula. Essa capacidade das ferramentas de ainda recuperarem informações dos arquivos 
apagados e sobrescritos pode ser explicada pela gravação dos metadados dos novos arquivos 
não ocupar todo o espaço na tabela de partição antes preenchido pelos metadados dos 
arquivos apagados. Isso pode ter acontecido porque os arquivos apagados foram sobrescritos 
por uma quantidade menor de arquivos, com tamanho maior. 
 
 
3.4.3 Cenário 3 
 
 
Não houve mudanças nos resultados deste cenário ao