Pró-Reitoria de Pós-Graduação Curso de Perícia digital Trabalho de Conclusão de Curso

Transcrição

1 Pró-Reitoria de Pós-Graduação Curso de Perícia digital Trabalho de Conclusão de Curso RECUPERAÇÃO DE DADOS EM SISTEMAS DE ARQUIVOS NTFS: FOREMOST E SLEUTH KIT UMA ANÁLISE COMPARATIVA Autor: Davi Cezário Borges Orientador: Prof. MSc. Paulo Roberto Corrêa Leão BRASÍLIA - DF 2014

2 DAVI CEZÁRIO BORGES RECUPERAÇÃO DE DADOS EM SISTEMAS DE ARQUIVOS NTFS: FOREMOST E SLEUTH KIT UMA ANÁLISE COMPARATIVA Artigo apresentado ao curso de pós-graduação em Perícia Digital da Universidade Católica de Brasília, como requisito parcial para obtenção do Título de Especialista em Perícia Digital. Orientador: Prof. MSc. Paulo roberto Corrêa Leão Examinador: Prof. MSc. Marcelo Beltrão Caiado Brasília 2014

3 Artigo de autoria de Davi Cezário Borges, intitulado RECUPERAÇÃO DE DADOS EM SISTEMAS DE ARQUIVOS NTFS: FOREMOST E SLEUTH KIT UMA ANÁLISE COMPARATIVA, apresentado como requisito parcial para obtenção do grau de Especialista em Perícia Digital da Universidade Católica de Brasília, em 28 de outubro de 2014, defendido e aprovado, pela banca examinadora abaixo assinada: Professor MSC Paulo Roberto Corrêa Leão Orientador Curso de Perícia Digital - UCB Professor MSC Marcelo Beltrão Caiado Examinador Curso de Perícia Digital - UCB Brasília 2014

4 3 RECUPERAÇÃO DE DADOS EM SISTEMAS DE ARQUIVOS NTFS: FOREMOST E SLEUTH KIT UMA ANÁLISE COMPARATIVA DAVI CEZÁRIO BORGES Resumo: Diante das várias situações em que são necessárias para recuperação de dados em Sistemas de Arquivos, surgiu uma infinidade de ferramentas e técnicas que tornam possível esta recuperação. Assim, com a expectativa de auxiliar na escolha de uma ferramenta de recuperação de dados, este trabalho é uma pesquisa empírica que teve como o objetivo analisar, cenários de testes em mídias formatadas com NTFS, delimitando esta recuperação de dados através de duas técnicas e algumas ferramentas previamente indicadas. Para percorrer o caminho e desenvolver esta pesquisa metodologicamente utilizou-se, quanto a natureza de uma pesquisa Básica; quanto a forma de abordagem do problema uma pesquisa Qualitativa; quanto aos fins este trabalho enquadra nos cinco tipos previstos e quanto aos meios é uma pesquisa Bibliográfica, Laboratorial, Experimental e Estudo de Caso. Como instrumentos de pesquisa foram criados casos fictícios, os quais foram submetidos a testes com as técnicas de recuperação por Cluster (recuperação lógica) e por Data Carving (Patterns) e as respectivas ferramentas: The Sleuth Kit para a técnica Cluster, e Foremost para a técnica de Patterns, em seguida realizada comparação destas duas ferramentas. Isso mostrou que ambas as ferramentas e suas respectivas técnicas são eficientes para recuperação de dados, porém cada uma com um desempenho diferente, fato que confirma que a escolha de ferramenta e técnica depende de cada caso e objetivo a ser alcançado. Palavras-chave: NTFS. Sistema de arquivos. Recuperação de arquivos. Foremost. Sleuth Kit. 1. INTRODUÇÃO Qualquer atividade ou trabalho a ser desenvolvido pelo ser humano necessita de técnicas e ferramentas adequadas, e quanto mais específicas estas forem tanto melhor, mais eficiente e eficaz será o resultado. Na computação forense, cujo objetivo segundo Reis (2005, p 66) é identificar, recuperar, analisar e documentar material de evidências computacionais como provas utilizáveis em tribunal, não poderia ser diferente. Há que se saber quais técnicas e ferramentas utilizar em cada caso para se chegar ao resultado desejado. Na antiguidade o perito em batalha se colocava fora da possibilidade de derrota e esperava que o inimigo expusesse a sua vulnerabilidade. Garantir-nos de não ser derrotado está em nossas mãos, porém a oportunidade de derrotar o inimigo é dada por ele mesmo. (QUEIROZ; VARGAS, p. V). Esta citação, quanto à oportunidade da derrota do inimigo ser dada por ele mesmo, confirma a grande importância do processo de levantamento de informações baseados em dispositivos de armazenamento. Do mesmo modo, qual a melhor e mais adequada técnica e ferramenta para cada caso. Dentre os vários sistemas de arquivos existentes, será analisado o sistema NTFS (New Technology File System) por estar presente em varias versões dos sistemas operacionais MS Windows, portanto é largamente utilizada além de que boa parte das Análises forenses

5 4 Computacionais terem evidências de prova em uma mídia de armazenamento com este sistema de arquivos. Existem muitas situações e casos, nos quais se torna necessária a recuperação de informações computacionais, bem como uma diversidade de técnicas e ferramentas disponíveis no mercado, tanto livres quanto proprietárias, que podem ser resumidas nas que implementam duas técnicas: recuperação lógica (Cluster) e por padrões (Pattern). Há também, uma boa variedade de técnicas e ferramentas que auxiliam e capacitam essa recuperação e, também vários sistemas de arquivos. Sendo assim este trabalho se propõe a analisar cenários de testes em mídias, utilizando um disco rígido com a formatação NTFS no qual será realizada uma sequência de gravações, deleções, formatação da mídia utilizada, seguida de tentativa de recuperação dos dados armazenados visando identificar qual delas é mais adequada à necessidade, considerando a situação em que os dados se encontram independente de terem sido excluídos ou não. Este trabalho foi dividido em três partes: Introdução que apresenta a contextualização do trabalho e seus propósitos. Desenvolvimento o que foi dividido em três partes: Referencial Teórico, Metodologia, Estudo de caso e Análises. No Referencial Teórico foram tratados os conceitos envolvidos no trabalho: o que é sistema de arquivos, uma breve elucidação sobre o NTFS, o que é a recuperação de arquivos e sobre ferramentas de recuperação de arquivos. No item Metodologia foram apresentados os métodos e instrumentos utilizados neste estudo. E fechando o desenvolvimento os procedimentos com base em um Estudo de caso, o passo a passo desde a preparação do ambiente de testes, envolvendo os próprios testes até a recuperação seguidos da análise dos resultados encontrados. Por último a conclusão e a proposição de trabalhos a serem desenvolvidos futuramente com base neste estudo. 2. REFERENCIAL TEÓRICO Para uma melhor compreensão sobre recuperação de dados em sistemas de arquivo é de grande importância conhecer como funcionam os sistemas em relação às informações e às ferramentas e técnicas que serviram de base para o estudo de casos apresentados neste trabalho SISTEMAS DE ARQUIVOS Segundo Morimoto (2005) sistema de arquivos "é um conjunto de estruturas lógicas e de rotinas, que permitem ao sistema operacional gerir o acesso ao disco rígido". Para Mota Filho, os sistemas de arquivos relacionam à forma como os dados são armazenados, organizados e acessados em um local de armazenamento digital. É um artificio imposto pelo sistema operacional e não pelo hardware. (MOTA FILHO, 2012, p 153). Já para Brian Carrier, Sistema de arquivos consiste em dados estruturais e de usuários que estão organizados de tal forma que o computador sabe onde encontrá-los. Sistema de arquivos tem procedimentos e estruturas que podem armazenar um arquivo numa matriz de armazenamento. (CARRIER, 2005, p ). Consequentemente, os sistemas de arquivos determinam para os sistemas operacionais a maneira em que estes se organizam, acessam, recuperam e armazenam dados em uma mídia de armazenamento.

6 5 Mota Filho, Elucida que sistemas de arquivos são divididos em duas partes, área de dados e a área de controle. Na área de controle serão encontrados os metadados dos arquivos na partição e na área de dados o conteúdo dos arquivos. Também mostra que os sistemas de arquivos são compostos por blocos que armazenam os dados. Um arquivo ocupa ou não um ou vários blocos, porem dois arquivos não podem preencher um mesmo bloco mesmo que este não esteja completamente preenchido, do contrario poderá acontecer um conflito de bits. (2012, p. 153). Na visão de Morimoto, Conforme cresce a capacidade dos discos e aumenta o volume de arquivos e acessos, esta tarefa torna-se mais e mais complicada, exigindo o uso de sistemas de arquivos cada vez mais complexos e robustos.(morimoto, 2005). Existem numerosos sistemas de arquivos que são adaptáveis aos sistemas operacionais para os quais foram projetados. Os sistemas de arquivos utilizados no GNU/Linux, mais conhecidos são: Ext2, Ext3, Ext4, RaiserFS, XFS, JFS, ISO 9660, NFS, AFS, Coda, SMBfs, /proc, ramfs, devfs, já no MS Windows, dependendo da versão, ele trabalha ainda com os subsequentes sistemas de arquivos: FAT16, FAT32, NTFS e o exfat (FAT64) SISTEMAS DE ARQUIVOS NTFS O sistema de arquivos NTFS teve o inicio do seu desenvolvimento pela Microsoft nos primórdios da década de 90. O NTFS tem muitos conceitos do antigo projeto OS/2 desenvolvido na década de 80 em conjunto com a IBM, que foi interrompido com a divergência entre as empresas. Ele foi criado com a pretensão de ser tão bom que demoraria a tornar-se obsoleto mesmo com a evolução dos discos rígidos e da segurança dos arquivos. O NTFS foi criado para solucionar as limitações do sistema de arquivos FAT o qual tinha somente 16 bits para endereçamento por cluster, isso limitava a quantidade de clusters endereçáveis em um sistema, consequentemente o tamanho máximo de uma partição, que era limitada a 2 GB. O NTFS desde o seu lançamento já continha 64 bits para endereçamento por clusters, pois o sistema de arquivo foi projetado com perspectiva do aumento da capacidade das mídias de armazenamento. Outra característica dos sistemas FAT, é a falta de segurança, por não ter controle de acesso a arquivos ou pastas, isto torna difícil implementar aplicações e redes que necessitam de segurança e gerenciamento. Por outro lado NTFS implementa o recurso de jounaling, ou seja, guarda as informações de cada transação feita pelo sistema de arquivos em logs. Esta gravação é realizada antes da transação ser efetivada no sistema. Este procedimento salvaguarda, que no caso de uma operação em progresso ser interrompida por falha no sistema ou desligamento acidental deste, seja recuperada ou desfeita. Para a realização de uma perícia numa mídia de armazenamento, os logs são muito importantes, por conterem todas as transações realizadas no sistema de arquivos, como arquivos copiados ou excluídos, senhas utilizadas, nome do usuário, etc. Segundo o site NTFS.com (NTFS, 2010) a formatação de uma partição em NTFS resulta na MFT (Master File Table) além de vários outros arquivos de sistema. Para Carrier (2005) a MFT é a parte mais importante do NTFS, por conter informações sobre todos os arquivos e diretórios, como a localização destes na partição. Assim como outras informações e estruturas no NTFS, o MFT também é um arquivo. A Figura 1 mostra a constituição do MFT. Figura 1: Estrutura do MFT

7 6 Fonte: (NTFS.COM, 2010). A MFT possui entradas de dados, no qual estão armazenados os nomes e atributos dos arquivos. Dentre os atributos dos arquivos estão o nome de identificação, versão, nome MS- DOS, permissões do arquivo, quais usuários podem acessa-los e espaço reservado para auditoria (MORIMOTO, 2007). Todo arquivo ou diretório tem pelo menos uma entrada na MFT, que possui um 1 KB de tamanho e é definido pelo boot sector. As entradas na tabela são chamadas de file record. A quantidade de informações muitas vezes excede o tamanho do espaço disponível no MFT, então o excedente é gravado em clusters livres no HD, restando somente o ponteiro para o endereço de onde está alocada a informação. Enfim, o NTFS foi criado com características que superam e o torna mais eficiente que o FAT. Dentre elas a possibilidade de criação de partições, utilização de caráteres Unicode ao invés do ASCII, oferece tolerância a falhas e corrige problemas automaticamente e, no caso de detecção de defeitos, realiza uma formatação rápida e facilita a recuperação por manter os registros de transações no próprio sistema. Ainda possibilita a encriptação dos dados impedindo acessos não autorizados, a compactação de pastas e arquivos individuais sem comprometimento do sistema. Estas características o tornam confiável e seguro RECUPERAÇÃO DE DADOS Há múltiplos elementos que afetam a integridade, disponibilidade e confiabilidade dos dados em mídias de armazenamento não volátil como, por exemplo: quando arquivos foram apagados ou corrompidos, quer seja acidentalmente, quer seja de forma criminosa. Segundo Vacca (2005, p. 705) os dados podem se tornar inacessíveis, por vários motivos: devido a problemas de software, vírus de computador, falha mecânica ou elétrica, ou um ato humano deliberadamente. Vacca (2005, p. 191) ainda afirma que recuperação de dados é o processo de avaliação e extração de dados de mídias danificadas e devolução dos mesmos em formato intacto. Muitas pessoas, mesmo especialistas em computação, não reconhecem a possibilidade de recuperação de dados como opção durante uma crise de dados, mas é possível recuperar arquivos que foram apagados e senhas que foram esquecidas ou recuperar discos rígidos inteiros que foram fisicamente danificados.

8 7 Mota Filho (2013, p.181) esclarece que arquivos ou áreas de disco só serão realmente apagadas se escrevermos dados por cima dos que já existem". Esses sistemas de arquivos realizam somente uma exclusão lógica não sobrescrevendo a informação a ser excluída da mídia de armazenamento, apena inserindo na área de controle correspondente ao arquivo à informação de que a área equivalente ao arquivo está disponível para a escrita. A exclusão lógica é utilizada ao invés da exclusão definitiva, pois sobrescrever cada arquivo no momento que foi excluído seria muito oneroso computacionalmente, por levar um tempo consideravelmente maior em comparação ao processo utilizado pelos sistemas de arquivos. Assim depois de arquivos serem excluídos pelo sistema operacional, estes podem ser recuperados por ferramentas especializadas, desde que não tenha sido sobrescritos. As estratégias e ou técnicas a serem utilizadas para a recuperação de dados depende de como os dados se perderam, da categoria dos dados a serem recuperados e do estado destes. Há casos em que o dano ao disco rígido é tamanho que torna impossível a recuperação de quaisquer dados que estejam na mídia. Existem diversas técnicas de recuperação de dados, em especial, há duas que são mais utilizadas que é a Recuperação Lógica, de Arquivos e Data Carving (ou File Carving). Na primeira técnica é feita uma análise na área de controle (Clusters) presentes na superfície da mídia de armazenamento, com as informações contidas nessa área é possível recuperar totalmente ou parte dos dados. Essa técnica não será efetiva depois de uma formatação, por ter sido criada uma nova tabela de dados de controle e o sistema de arquivos atual não tem controle sobre os dados da formatação anterior. Caso a mídia de armazenamento tenha sido formatada após a perda de arquivos ou a perda seja em consequência da formatação, pode ser utilizada a técnica Data Carving, pois essa varre a superfície do disco em busca de padrões, caso ache um padrão relevante ele os regenera, estando os arquivos completos ou em parte FERRAMENTAS DE RECUPERAÇÃO DE DADOS Muitas situações requerem a recuperação de dados no sistema de arquivos, sejam simplesmente por uma perda acidental ou intencional, ou mesmo para se chegar à autoria, especificação e características de atos criminosos. Sendo assim foi desenvolvida uma variedade de aplicativos e ferramentas qualificados para essa recuperação que segundo Vacca, (2005) mesmo depois de apagados, podem ser recuperados bastando para isso ferramentas e procedimentos adequados. É que na verdade quando se apaga um arquivo ou dado, ele não é eliminado da máquina, ele apenas perde a forma, o endereço, mas continua lá no mesmo lugar, porém torna se invisível para o sistema. Há isso há uma infinidade de ferramentas proprietárias, bem como as ferramentas software livre e ferramentas gratuitas que são disponibilizadas na internet, algumas são ideais para uso antes da maquina ser desligada, outras que capacitam recuperação mesmo depois da maquina ter sido desligada, as chamada post-mortem e há algumas ferramentas conhecidas como ferramentas forenses que podem recuperar dados diretamente de um dispositivo físico ou lógico, como um disco rígido ou uma partição desse disco bem como recuperar dados a partir de uma imagem. Enfim existe uma variedade de ferramentas e suas respectivas técnicas; cada uma objetivando um tipo de análise de forma que a escolha depende do objetivo, do sistema utilizado e da versatilidade da ferramenta. Serão focadas nesta seção apenas as ferramentas que foram alvo dos testes deste trabalho, quais sejam: Foremost que é usada para recuperação de arquivos baseando-se em seus cabeçalhos, legendas e estruturas de dados internos; Scalpel que é uma ferramenta baseada no Foremost

9 8 procurando melhorar o seu desempenho e utilização da memória no momento da análise; o The Sleuth Kit (TSK) que é um kit de varias ferramentas forenses. E normalmente é usado juntamente com Autopsy e o FTK imager 3. METODOLOGIA Os tipos de metodologias utilizadas para desenvolver esta pesquisa foram: a. Quanto à natureza é uma pesquisa básica, pois buscou gerar um novo conhecimento de interesse universal com o intuito de testar e avaliar técnicas e ferramentas de recuperação de dados em sistemas NTFS sem se preocupar com uma aplicação pratica previsto (GIL, 2010, p. 27). b. Quanto à forma de abordagem do problema é uma pesquisa qualitativa, pois visa estudar o resultado de cada uma das técnicas de recuperação de dados avaliando sua capacidade e valorizando, acima de tudo, a qualidade destes (SAMPIERI;COLLADO;LUCIO, 2006, p. 5). c. Quanto aos fins, é uma pesquisa Exploratória porque é um estudo de caso e proporciona uma maior familiaridade com o problema (GIL, 2010, p. 27); Descritiva, porque descreve os fatos fenômenos dos casos estudados (GIL, 2010, p. 27); Explicativa, porque visa esclarecer a reação dos casos estudados em relação às ferramentas e técnicas utilizadas (GIL, 2010, p. 28); Intervencionista porque analisa os resultados de cada intervenção no sistema com as diferentes ferramentas e técnicas estudadas (VERGARA, 1998, p. 45); e metodológica, pois foi realizada a partir da criação de caso os quais tiveram sua realidade manipulada pela intervenção de técnicas e ferramentas de recuperação de dados em sistemas e submetida à avaliação quanto à reação dos mesmos a cada intervenção (VERGARA, 1998, p. 45). d. Quanto aos meios é uma pesquisa Bibliográfica, pois foi realizado com base em trabalhos já publicados em diversas mídias (GIL, 2010 p. 29); Laboratorial, porque foi realizada numa máquina virtual que é um sistema isolado (VERGARA, 1998, p. 46); Experimental, porque foi realizada com base em casos que foram criados e manipulados de forma controlada através de ferramentas e técnicas de recuperação de dados em sistemas exclusivamente com o objetivo de observar suas variáveis (GIL, 2010 p. 31); e Estudo de Caso, porque foi realizado através da criação, observação, análise e avaliação de casos (GIL, 2010 p. 37) INSTRUMENTOS E TÉCNICAS UTILIZADOS PARA PROVAR O PRESSUPOSTO Foi preparado um caso de teste em que foi criada uma imagem, especialmente para ser analisada por ferramentas, mais especificamente duas, com intenção de identificar a melhor ferramenta para cada caso em especifico. A primeira ferramenta a ser analisada cujo nome TSK, averigua os dados de controle presentes no sistema de arquivos atual, ou seja, são conhecidos pelo sistema vigente. A segunda ferramenta a ser analisada cujo nome Foremost,

10 9 averigua a superfície do disco em busca de padrões de bits, sem levar em consideração o sistema de arquivos dos dados no disco. Estas ferramentas foram eleitas para os testes e recuperações de dados, por serem open source, não sendo necessário ônus para adquiri-las ou testa-las PROCEDIMENTO O estudo de caso foi desenvolvido em uma maquina virtual, que é um sistema isolado, utilizando a distribuição Debian do sistema operacional GNU/Linux, neste foi criado uma partição e então formatada e montada utilizando o sistema de arquivos NTFS. Foram definidos dois cenários de estudo em que os três procedimentos iniciais são os mesmos: criação das imagens, formatação do sistema de arquivos e montagem da partição. Depois cada um dos cenários tem seus próprios procedimentos. Ao termino dos procedimentos de cada cenário, foram realizadas as restaurações dos arquivos. No primeiro cenário foram gravados diversos arquivos de diversos formatos e tamanhos e logo após todos foram excluídos, em seguida foi feita a restauração dos arquivos. No segundo cenário diferentemente do primeiro cenário, foram efetuadas duas formatações, na primeira formatação foram incluídos diversos arquivos de diversos formatos e tamanhos e excluídos uma pequena porção destes arquivos, então foi desmontado e se realizou a segunda formatação. Após sua montagem foram gravados arquivos diferentes dos da primeira formatação e na sequencia foram excluídos alguns destes arquivos, finalmente foi feita a restauração dos arquivos Montagem do sistema de arquivos Para o caso de estudo em questão foram realizados testes e para estes foi criada uma partição formatada utilizando o sistema de arquivo NTFS para cada cenário contendo o tamanho de 150 MB. Esta partição passou pelos processos de adição, exclusão de arquivos e formatação do sistema de arquivos, com pequenas diferenças em cada cenário que estará inserido Preparação das partições Antes da manipulação dos dados na partição foi necessária a preparação desta (criação, formatação e montagem da partição). Para este proposito foram necessários os seguintes passos: a) A imagem é criada, contendo zeros em todo o seu conteúdo, executando o seguinte comando: #dd if=/dev/zero of=image.dd bs=1m count=150

11 10 b) O sistema de arquivos NTFS é criado na imagem do passo anterior, executando o seguinte comando: #mkfs.ntfs -F imagem.dd c) O sistema de arquivos é montado no sistema operacional, executando o seguinte comando: #mount -o loop image.dd /mnt/ Cenário 1 Como citado anteriormente, neste cenário, após o processo de preparação da imagem, foram copiados diversos arquivos para a partição, posteriormente todos estes foram excluídos. 1. Os arquivos dispostos no Quadro 1 foram inseridos ao sistema de arquivos, com os respectivos tipos e tamanhos: Quadro 1: Lista dos arquivos adicionados no cenário 1. TIPO TAMANHO Adobe PDF 6.534KB, 509KB Figuras JPG 1.410KB, 77KB, 3.820KB, 592KB, 27KB, 1.326KB, 54KB. Figuras PNG 199 KB, 115 KB, 420 KB, 35 KB, 124 KB, 291 KB. Áudio MP KB, 7446 KB, KB. Vídeo AVI KB Documentos DOC 116 KB, 19 KB, 77 KB. Documentos DOCX 33 KB, 351 KB, 17 KB, 21 KB, 12 KB, 22 KB, 411 KB. Vídeo MP KB Pasta Compactada ZIP 874 KB Documento XLSX 26 KB Arquivo JAR 181 KB Arquivo JAVA 2 KB O resultado do passo 1, presente no sistema de arquivos foi visualizado pelo comando: # ls -lh /mnt, conforme este apresentado na figura 2.

12 11 Figura 2: Resultado do passo 1 no cenário Foram excluídos todos os arquivos presentes no sistema de arquivos, executando o seguinte comando: #rm /mnt/* 3. A partição foi desmontada para análise: #umount /mnt/ Cenário 2 Neste cenário, após o processo de preparação da imagem, foram copiados alguns arquivos e depois excluídos alguns e a partição formatada para depois repetir o processo com arquivos diferentes tanto na copia dos arquivos quando na exclusão de parte deles. 1. Os arquivos dispostos no Quadro 2 foram inseridos no sistema de arquivos na primeira formatação, com os respectivos tamanhos e tipos: Quadro 2: Lista dos arquivos adicionados no cenário 2 da primeira formatação. TIPO TAMANHO Adobe PDF KB, 509KB. Figuras JPG KB, 77 KB, KB, 592 KB. Figuras PNG 199 KB, 115 KB, 420 KB. Áudio MP KB, KB. Vídeo AVI KB. Documentos DOC 116 KB, 19 KB. Documentos DOCX 33 KB, 351 KB.

13 12 O resultado do passo 1, presente no sistema de arquivos foi visualizado pelo comando: # ls -lh /mnt, conforme este apresentado na figura 3. Figura 3: Resultado do passo 1 no cenário Foram excluídos os arquivos do sistema de arquivos listados no quadro 3: Quadro 3: Lista dos arquivos excluídos no cenário 2 da primeira formatação. TIPO TAMANHO Adobe PDF KB. Figuras JPG KB, 592 KB. Documentos DOC 33 KB. O resultado do passo 2, presente no sistema de arquivos foi visualizado pelo comando: # ls -lh /mnt, conforme este apresentado na figura 4. Figura 4: Resultado do passo 2 no cenário A partição foi desmontada, executando o seguinte comando: umount /mnt/ 4. A imagem foi formatada novamente, executando o seguinte comando: #mkfs.ntfs -F imagem.dd 5 O sistema de arquivos foi montado no sistema operacional, executando o seguinte comando: #mount -o loop image.dd /mnt/ 6. Os arquivos dispostos no Quadro 4 foram inseridos no sistema de arquivos na segunda formatação, com os respectivos tamanhos e tipos:

14 13 Quadro 4: Lista dos arquivos adicionados no cenário 2 da segunda formatação. TIPO TAMANHO Vídeo MP KB. Áudio MP KB. Pasta Compactada ZIP 874 KB. Documentos DOCX 17 KB, 21 KB, 12 KB, 22 KB, 411 KB. Documentos DOC 77 KB. Documento XLSX 26 KB. Figura PNG 35 KB, 124 KB, 291 KB. Figura JPG 27 KB, KB, 54 KB. Arquivo JAR 181 KB. Arquivo JAVA 2 KB. O resultado do passo 6, presente no sistema de arquivos foi visualizado pelo comando: # ls -lh /mnt, conforme este apresentado na figura 5. Figura 5: Resultado do passo 6 no cenário Foram excluídos os arquivos do sistema de arquivos listados no quadro 5: Quadro 5: Arquivos a serem excluídos na segunda formatação do Cenário 2. TIPO TAMANHO Figura JPG 54 KB, 27 KB. Figura PNG 124 KB. Documentos DOC 77 KB. Documentos DOCX 411 KB, 21 KB. Vídeo MP KB. O resultado do passo 7, presente no sistema de arquivos foi visualizado pelo comando: # ls -lh /mnt, conforme este apresentado na figura 6.

15 14 Figura 6: Resultado do passo 7 no cenário A partição foi desmontada para os procedimentos de restauração. #umount /mnt/ 3.3. RESTAURAÇÃO DE DADOS UTILIZANDO O THE SLEUTH KIT O TSK como citado anteriormente realiza recuperação a partir da verificação dos dados presentes na área de controle do sistema de arquivo atual, e usualmente não tem a capacidade para recuperar arquivos de formatações realizadas anteriormente. Com a finalidade de que seja efetuada a recuperação de dados, corrompidos, removidos, ou perdidos, o TSK, como aludido anteriormente, utiliza a técnica de Recuperação Lógica de dados. Existem diversas aplicações disponíveis no TSK, porém para a ocasião será utilizado o fls e o icat. O fls esquadrinha a superfície do disco em busca de arquivos e diretórios controlados pelo sistema de arquivos e retorna a lista destes arquivos e diretórios encontrados e o número identificador no sistema de arquivo (Cluster). O icat recupera o conteúdo do arquivo com base nos números de identificação (Cluster) de cada arquivo. Por essa técnica são recuperados, na maioria dos casos, o nome do arquivo, as datas de criação, modificação e acesso, e o tamanho do arquivo. Para a listagem dos arquivos removidos no sistema de arquivos, utiliza-se o comando: #fls -rd image.dd As Figuras 7 e 8 mostram os resultados do comando para ambos os cenários respectivamente.

16 15 Figura 7: Listagem dos arquivos reconhecidos pelo sistema de arquivos do cenário 1. Figura 8: Listagem dos arquivos reconhecidos pelo sistema de arquivos do cenário 2 Após uma breve análise de ambos os cenários puderam ser vistos diversos arquivos removidos e alguns arquivos órfãos não pertencentes às formatações atuais, porem ainda estão sob o controle do sistema de arquivos. Para a recuperação dos arquivos é utilizado a seguinte sintaxe: #icat [imagem] [identificação] > [destino] Para recuperar os arquivos presentes na imagem de acordo com as figuras 7 e 8 os comandos tiveram um padrão semelhante apresentado na figura 9:

17 16 Figura 9: Exemplo de comandos para recuperar os arquivos encontrados no sistema de arquivos. No cenário 1 a quantidade de arquivos recuperados dos arquivos excluídos foi quase total, além de recuperar os metadados dos arquivos, como nome e datas. Já no cenário 2 a quantidade de arquivos recuperados, em questão percentual, foi consideravelmente pequena, apesar dos metadados também terem sidos recuperados RESTAURAÇÃO DE DADOS UTILIZANDO O FOREMOST Como já foi dito, a ferramenta Foremost varre a mídia de armazenamento em busca de padrões conhecidos por ele. O Foremost pode recuperar vários tipos de dados, dentre eles podem ser recuperados os formatos: jpg, gif, png avi, exe, mpg (mp3, mp4...), wav, riff, wmv, mov, pdf, arquivos do Microsoft Word (PowerPoint, Word, Excel, acess), arquivos compactados e encapsulados, htm, código fonte 'C', além de realizar busca por todos os formatos disponíveis ou sem filtros. Apesar de o Foremost ser uma ferramenta poderosa, possui uma limitação, não lida com dados fragmentados. Possivelmente devido a esta situação, terá um menor desempenho que o TSK. A recuperação de dados pela ferramenta Foremost foi efetuada por meio de linha de comando, e não houve necessidade de modificação as configurações padrões da ferramenta em questão. Para a recuperação de dados presente nas imagens, sem a utilização de filtros para o tipo de dado, foi empregada a seguinte sintaxe: #foremost -o [destino dos arquivos] [imagem] Portando a ferramenta examinou a mídia de armazenamento, buscando todos os tipos de dados suportados. Consequentemente foi gerada a seguinte pasta com os tipos de arquivos, separados em pastas individuais conforme a figura 10.

18 17 Figura 10: Saída Gerada pelo Foremost 3.5. RESULTADOS Após a análise dos dois cenários foram gerados gráficos percentuais, a quantidade de arquivos recuperados está expressa no gráfico em valores aproximados. Os resultados foram discriminados em 3 classes quanto aos dados recuperados: a. Total: Quando o conteúdo e os metadados foram recuperados por completo. Nesse casso o Foremost não entra, pois ele não recupera metadados. b. Parcial: Quando somente é recuperado o metadado ou o conteúdo sendo este completo ou somente parte. c. Nulo: Quando nada do que foi recuperado pode ser visualizado ou arquivo não foi recuperado Cenário 1 No primeiro cenário foram inseridos 34 arquivos e todos estes excluídos do sistema de arquivos e então foi feita a tentativa de recuperação e análise. O desempenho da recuperação de dados, que foram excluídos do sistema de arquivos no cenário 1 foi ilustrado de forma percentual no gráfico 1.

19 18 Gráfico 1: Relação de dados recuperados no Cenário 1 120% 100% 79% 80% 97% 60% 40% 20% 0% 0% Foremost 21% 0% Sleuth Kit 3% Total Fragmentos nulo Nenhuma das ferramentas testadas obteve 100% de desempenho, porém pode ser observado que o TSK conseguiu recuperar quase todos os arquivos, deixando de recuperar, somente 1 arquivo, tendo os que foram recuperados seus metadados e conteúdos, em comparação ao Foremost que não conseguiu recuperar 7 arquivos, além de não conseguir recuperar os metadados dos arquivos.

20 Cenário 2 O desempenho da recuperação dos dados, tanto os que foram excluídos, quanto os que permaneceram no sistema de arquivos no cenário 2 está ilustrado de forma percentual no gráfico 2. Gráfico 2: Relação de dados recuperados no Cenário 2 120% 100% 100% 100% 80% 60% 83% 100% 40% 20% 0% 17% 0% 0% 0% 0% 0% 0% 0% Foremost Sleuth Kit Foremost Sleuth Kit Primeira Formatação Segunda Formatação Total Fragmentos nulo A recuperação de arquivos do cenário 2, avaliando somente a segunda formatação, foi muito semelhante ao cenário 1, porém desta vez o TSK recuperou todos os 18 arquivos copiados, independente de ter sido excluído ou não. É possível notar que nenhuma das duas ferramentas conseguiu recuperar arquivos, nem parcial, nem totalmente, que pertencia à primeira formatação. Ao contrário do que era esperado, o Foremost não conseguiu recuperar nenhum arquivo pertencente à primeira partição ANÁLISES DOS RESULTADOS Ao analisar os resultados das ferramentas TSK e Foremost, no cenário 1 ambas tiveram desempenho muito próximos, tendo uma pequena divergência entre elas, sendo apenas 21% ou 6 arquivos recuperados de diferença, porém nenhuma das duas ferramentas conseguiu recuperar 100% dos dados. No cenário 2 a diferença, percentual de recuperação das ferramentas foi semelhante, embora ambas apresentaram melhora, isto após a segunda formatação. O TSK conseguiu recuperar 100% dos dados da segunda formatação, porém infelizmente nenhum das duas ferramentas teve êxito em recuperar dados da primeira formatação.

21 20 4. CONCLUSÃO Através da análise dos gráficos gerados a partir da recuperação dos dados, foi observado um resultado diferente do esperado no qual seria a ferramenta Foremost a de melhor desempenho e qualidade, já que esta consegue recuperar pelos padrões de bits não se limitando ao sistema de arquivos, sendo este sistema atual ou não. Porem este só teria um melhor desempenho que o TSK se os dados presentes nas partições não estivessem fragmentados, pois o Foremost lida somente com arquivos não fragmentados, e isto era desconhecido por mim antes da realização do trabalho. O TSK é capaz de recuperar arquivos que são controlados pelo sistema de arquivos atual, portanto ao contrário do Foremost, o TSK consegue recuperar os metadados dos arquivos (nome, data de criação...), porem este não tem capacidade para recuperar dados de formatações anteriores. Apesar de o Foremost ser capaz de recuperar arquivos de formatações anteriores no cenário 2, nas situações analisadas, não foi possível obter êxito, possivelmente pelo fato do NTFS ser um sistema dinâmico que manipula seus arquivos de maneira que evite a fragmentação destes. Isso mostrou que ambas as ferramentas e suas respectivas técnicas são eficientes para a recuperação de dados, porém cada uma com um desempenho diferente; fato que confirma que a escolha da ferramenta e técnica depende de cada caso e objetivo 4.1. TRABALHOS FUTUROS Como trabalhos futuros, podem ser realizados testes com outros cenários diversos, além de outros programas, como o Scalpel, o Autopsy e até o FTK imager, além de realizar testes e análises utilizando outros sistemas de arquivos, como: Ext2, Ext3, Ext4, ReiserFS, FAT16 e FAT RESUMO EM LINGUA ESTRANGEIRA DATA RECOVERY FILES SYSTEMS NTFS: FOREMOST AND SLEUTH KIT A COMPARATIVE ANALYSIS DAVI CEZÁRIO BORGES Abstract: Faced with the various situations that are needed for data recovery in File Systems, a multitude of tools and techniques that make this possible recovery emerged. Thus, with the expectation of help in choosing a data recovery tool, this work is an empirical study that had as objective to analyze, test scenarios for media formatted with NTFS, delimiting this data recovery using two techniques and some tools previously indicated. To walk the path and develop this research methodologically was used, and the nature of a Basic Research; as a way to approach the problem one Qualitative research; about ends this work fits in the five

22 21 types mentioned and as to the means is a Bibliography, Laboratory, Experimental and Case Study Research. The research tools used fictional cases, which were tested with recovery techniques for Cluster (logical recovery) and Data Carving (Patterns) and their tools were created: The Sleuth Kit for Cluster technique, and Foremost for Patterns technique then performed comparing these two tools. This showed that both tools and their techniques are efficient for data recovery, but each with a different performance, confirming the fact that the choice of tool and technique depends on each case and goal to be achieved. Keywords: NTFS. File System. File Recovery. Foremost. Sleuth Kit. 5. REFERÊNCIAS CARRIER, Brian. File System Forensic analysis. 1 ed. Boston: Addison-Wesley, FOREMOST. Introduction. Disponível em < Acessado em: 05 mai GIL, Antonio C. Como Elaborar Projetos de Pesquisa. 5 ed. São Paulo: Atlas, MÉTODOS de Pesquisa. Universidade Federal do Rio Grande do Sul, MORIMOTO, Carlos Eduardo. Master File Table Disponível em < Acesso em 09 out Sistemas de arquivos Disponível em < Acesso em 18 ago NTFS Definição de NTFS Disponível em < Acesso em 17 out MOTA FILHO, João Eriberto. Descobrindo o Linux. 3 ed. São Paulo: Novatec, QUEIROZ, Claudemir; VARGAS, Raffael. Investigação e perícia forense computacional. 1 ed. Rio de Janeiro: Brasport, REIS, Marcelo Abdalla dos. Forense computacional e sua aplicação em segurança imunológica. Campinas f. Dissertação (Mestrado em Ciência da Computação) - Universidade Federal do Rio de Janeiro, VACCA, John R. Computer forensics: Computer Crime Scene Investigation. 2a ed. Boston: Charles river Media, VERGARA, Sylvia C. Projeto e Relatórios de Pesquisa em Administração. 2 ed. São Paulo: Atlas S.A., 1998.

23 22