ferramentas forenses recuperação de dados
76 pág.

ferramentas forenses recuperação de dados


DisciplinaRedes de Computadores20.575 materiais259.100 seguidores
Pré-visualização14 páginas
GIF \u2013 Graphics Interchange Format (tipo de formato de imagem) 
HD \u2013 Hard Disk (tipo de mídia de dados) 
HTM \u2013 Hypertext Markup Language (formato de documento para web) 
JPEG/JPG \u2013 Joint Photographic Experts Group (tipo de formato de imagem) 
MB \u2013 Megabytes (unidade de medida de armazenamento digital) 
MFT \u2013 Master File Table (tabela de alocação de arquivos no NTFS) 
MP3 \u2013 Moving Picture Experts Group 1 (MPEG) Audio Layer 3 (formato de compactação de 
áudio) 
MPG \u2013 Moving Picture Group (formato de compactação de video) 
MS-DOS \u2013 MicroSoft Disk Operating System (sistema de arquivos) 
NTFS \u2013 New Technology File System (sistema de arquivos) 
PDF \u2013 Portable Document Format (formato de arquivo) 
 
PGP \u2013 Pretty Good Privacy (formato de arquivo para programa de criptografia e 
decriptografia de dados) 
PNG \u2013 Portable Network Graphics (tipo de formato de imagem) 
RA \u2013 Real Audio (formato de audio) 
RIFF \u2013 Resource Interchange File Format (meta formato de armazenamento de dados) 
RPM \u2013 Red Hat Package Manager (formato de gerenciador de pacotes) 
TB \u2013 Terabytes (unidade de medida de armazenamento digital) 
TSK \u2013 The Sleuth Kit (ferramenta forense) 
WMV \u2013 Windows Media Video (formato de video) 
 
 
SUMÁRIO 
 
 
RESUMO ................................................................................................................................. 15 
ABSTRACT ............................................................................................................................ 16 
INTRODUÇÃO ...................................................................................................................... 17 
CAPÍTULO 1 
FUNDAMENTAÇÃO METODOLÓGICA ......................................................................... 18 
1.1 JUSTIFICATIVA ............................................................................................................... 18 
1.2 OBJETIVOS ....................................................................................................................... 20 
1.3 METODOLOGIA ............................................................................................................... 21 
CAPÍTULO 2 
FUNDAMENTAÇÃO TEÓRICA ......................................................................................... 22 
2.1 COMPUTAÇÃO FORENSE ............................................................................................. 22 
2.2 SISTEMAS DE ARQUIVOS ............................................................................................. 24 
2.2.1 Sistemas de arquivos EXT ............................................................................................... 26 
2.2.2 Sistema de arquivos ReiserFS ......................................................................................... 27 
2.2.3 Sistemas de arquivos FAT ............................................................................................... 28 
2.2.4 Sistema de arquivos NTFS .............................................................................................. 29 
2.3 FERRAMENTAS FORENSES .......................................................................................... 30 
2.3.1 Foremost .......................................................................................................................... 31 
2.3.2 Scalpel ............................................................................................................................. 33 
2.3.3 The Sleuth Kit e Autopsy Browser .................................................................................. 34 
2.3.4 FTK Imager ..................................................................................................................... 36 
2.3.5 Evitando a recuperação de dados..................................................................................... 37 
 
 
CAPÍTULO 3 
EXAMES ................................................................................................................................. 39 
3.1 MONTANDO OS SISTEMAS DE ARQUIVOS .............................................................. 39 
3.2 CENÁRIOS ........................................................................................................................ 41 
3.2.1 Cenário 1.......................................................................................................................... 42 
3.2.2 Cenário 2.......................................................................................................................... 43 
3.2.3 Cenário 3.......................................................................................................................... 44 
3.2.4 Cenário 4.......................................................................................................................... 45 
3.3 DESCRIÇÃO DOS EXAMES ........................................................................................... 47 
3.3.1 Exame 1 - Foremost ......................................................................................................... 47 
3.3.2 Exame 2 - Scalpel ............................................................................................................ 48 
3.3.3 Exame 3 - TSK/ Autopsy................................................................................................. 50 
3.3.4 Exame 4 \u2013 FTK Imager ................................................................................................... 53 
3.4 RESULTADOS .................................................................................................................. 53 
3.4.1 Cenário 1.......................................................................................................................... 54 
3.4.2 Cenário 2.......................................................................................................................... 58 
3.4.3 Cenário 3.......................................................................................................................... 62 
3.4.4 Cenário 4.......................................................................................................................... 65 
3.4.5 Visão geral dos resultados ............................................................................................... 70 
CONCLUSÃO ......................................................................................................................... 72 
REFERÊNCIAS BIBLIOGRÁFICAS ................................................................................. 74 
 15 
RESUMO 
 
 
A recuperação de dados, sensíveis ou comuns, é muito necessária atualmente devido ao 
enorme uso de equipamentos de armazenamento de dados. Este procedimento é adotado tanto 
por usuários comuns, que têm os seus arquivos perdidos por acidente, como por 
investigadores forenses em busca de evidências de crimes, sejam eles digitais ou não. Este 
trabalho analisa ferramentas de recuperação de dados forenses com o objetivo de estabelecer 
como e em que cenários elas podem ser usadas. O tipo de análise forense escolhido é o Post 
Mortem, com imagens de disco sendo usadas para os testes. Quatro ferramentas são 
analisadas: Foremost, Scalpel, Autopsy/The Sleuth Kit e FTK Imager, sendo uma delas 
proprietária e as demais em código livre. Sete tipos de sistemas de arquivos são usados para a 
criação das imagens de disco: Ext2, Ext3, Ext4, ReiserFS, FAT16, FAT32 e NTFS. Os dados 
são submetidos a quatro cenários diferentes. No primeiro, os arquivos são simplesmente 
apagados de partições de 100MB. No segundo, as partições de 100MB, que tiveram seus 
dados apagados, são completamente preenchidas por outros dados. No terceiro, os arquivos 
são simplesmente apagados de partições de 200MB.