Duplicação Forense Computacional Recuperação de Arquivos Apagados

Documentos relacionados
RECUPERAÇÃO DE DADOS EM PEN-DRIVE UTILIZANDO AS FERRAMENTAS AUTOPSY E FOREMOST: FASES PARA O PROCESSAMENTO DE EVIDÊNCIAS

Laboratório de Hardware

Introdução à Informática. Maria José

Perícia forense computacional aplicada a dispositivos de armazenamento e smartphones android

Introdução à Computação: Sistemas de Computação

implementação Nuno Ferreira Neves Faculdade de Ciências de Universidade de Lisboa Fernando Ramos, Nuno Neves, Sistemas Operativos,

Aula 05 Forense Computacional. Ferramentas Open Source

Guia: como instalar o Ubuntu Linux

Librix. A LIBERDADE DO LINUX COM A QUALIDADE ITAUTEC Guia de referência

Guia do Usuário. idocs Content Server v

Display de Propaganda. Manual Usuário Aplicativo Desktop Rev. 1.1

Sistemas de Arquivos NTFS, FAT16, FAT32, EXT2 e EXT3

LASERTECK SOFTECK FC MANUAL DO USUÁRIO

ITIL v3 - Operação de Serviço - Parte 1

Motorola Phone Tools. Início Rápido

Projeto CONDIGITAL Geoformas Guia do Professor

Manual do Usuário - ProJuris Web - Biblioteca Jurídica Página 1 de 20

ROTEIRO PARA EMISSÃO DE CERTIFICADO DIGITAL A1

Sistemas de Arquivos. André Luiz da Costa Carvalho

Atualização, Backup e Recuperação de Software. Número de Peça:

Atualização, backup e recuperação de software

Malwares Segurança da Informação. S.O.S. Concursos Prof: Tiago Furlan Lemos

13/10/11 TIPOS DE UTILITÁRIOS UTILITÁRIOS 0798 INTRODUÇÃO À PROGRAMAÇÃO TIPOS DE UTILITÁRIOS TIPOS DE UTILITÁRIOS

Apresentação. Objetivo. Facilitador. Dados Principais. Claudemir Queiroz. Tecnologia Abordada Forense Computacional

BACHARELADO EM SISTEMAS DE INFORMAÇÃO EaD UAB/UFSCar Sistemas de Informação - prof. Dr. Hélio Crestana Guardia

MF = (M1 * 0,4) + (M2 * 0,6) MF < 6 MF = (MF * 0,6) + (EXA * 0,4)

Professor. Thiago Miranda Material:

Gravando Dados e Cópias de CD s com o Nero 6.0 Disciplina Operação de Sistemas Aplicativos I

SISTEMAS OPERACIONAIS

SUPLEMENTO Nº 02. O presente Suplemento tem por finalidade introduzir no Edital da Licitação as seguintes alterações:

SOP - TADS Sistemas de Arquivos Cap 4 Tanenmbaum

Instalar uma versão do Ubuntu de 32 bits ou de 64 bits?

Atualização, backup e recuperação de software

Serviço Nacional de Aprendizagem Comercial E.E.P. Senac Pelotas Centro Histórico Programa Nacional de Acesso ao Ensino Técnico e Emprego

13/03/ :24 Leite Júnior

Gerência do Sistema de Arquivos. Adão de Melo Neto

Nero AG SecurDisc Viewer

VITOR, LUCÉLIA WIKBOLDT, NATANIEL AFONSO RELATÓRIO FINAL DE PROJETO FERRAMENTAS DE DIAGNÓSTICOS HIREN S CD

Capítulo 13 Pastas e Arquivos

Usar FTK Imager para gerar evidências, exportar arquivos de evidências, criar imagens forenses e converter imagens existentes.

Atualização, backup e recuperação de software

HD e Memória Virtual. Qual as vantagens e desvantagens da Memória Virtual?

[Detalhe: cfdisk -z /dev/sdx zera totalmente o disco (x é o que aparece no final; no nosso caso f /dev/sdf)]

Curso de Informática Básica

O Windows também é um programa de computador, mas ele faz parte de um grupo de programas especiais: os Sistemas Operacionais.

Manual Sistema Débito Web Adsis/Disao Criado em 23/04/2012

Sistema Integrado de Gerenciamento ARTESP. MANUAL DO USUÁRIO - SIGA Extranet GRD e Projetos. MANUAL DO USUÁRIO SIGA EXTRANET GRD e Projetos

Montagem e Manutenção. Luís Guilherme A. Pontes

Sistemas Operacionais. Prof. André Y. Kusumoto

Sistemas Operacionais Aula 2

Gerenciamento de memória

Medical Office 2015 Instruções de Instalação e Configuração

Pronto! Todos os instaladores correspondentes do filtro aplicado no passo 4 serão disponibilizados para download.

Boot Camp Manual de Instalação e Configuração

Guia de Usuário do Servidor do Avigilon Control Center. Versão 5.6

Gerenciamento de Entrada e Saída Hélio Crestana Guardia e Hermes Senger

Cópia de Segurança e Recuperação Manual do utilizador

22/07/2011. Resumo. Leandro Galafassi CHFI, CEH, ITIL

Apontamentos do livro de AI Linux. 1.5 Modo texto e modo gráfico

Tecnologia da Informação. Prof Odilon Zappe Jr

Professor: Macêdo Firmino Disciplina: Sistemas Operacionais de Rede

Vírus e outras ameaças

Sistemas Operacionais Arquivos. Carlos Ferraz Jorge Cavalcanti Fonsêca

Fiery EXP8000 Color Server SERVER & CONTROLLER SOLUTIONS. Impressão no Mac OS

Paragon NTFS para Mac OS X

APÓS A INSTALAÇÃO, MÃOS À OBRA. E AO TECLADO. MANUAL DE INSTALAÇÃO


Sistemas Operacionais

PERÍCIA FORENSE COMPUTACIONAL: PROCEDIMENTOS, FERRAMENTAS DISPONÍVEIS E ESTUDO DE CASO

Fiery Driver Configurator

Sumário. 1 Explorando o Windows Gerenciando contas de usuário Parte 1 Conhecendo o Windows 7

Driver da KODAK D4000 Duplex Photo Printer para WINDOWS

Aula 03 Forense Computacional. Laboratório Forense & Investigação Forense

Notas de lançamento do software para os scanners Kodak da série i700

GERENCIAMENTO DE DISPOSITIVOS

TERMOS E CONDIÇÕES DE USO

UNIPAMPA Universidade Federal do Pampa. Núcleo de Tecnologia da Informação (NTI)

Desenvolvido por: Rafael Botelho

Agendador de Rotinas

PROJETO CERTIDÃO WEB

Capítulo 11: Implementação de Sistemas de Arquivos. Operating System Concepts 8 th Edition

A computação forense e perícia digital na sociedade contemporânea

DIGPROP Manual de Instalação

Pacote de Idiomas do ImageNow Guia de Introdução

MINISTÉRIO DO PLANEJAMENTO. Ação: Reorganizar e padronizar o armazenamento de informações nos drives da Rede Depex

2-Introdução e Conceitos Básicos das TIC

Entendendo as Permissões de Arquivos no GNU/Linux

AULA 5 Sistemas Operacionais

PROGRAMAÇÃO PARA DISPOSITIVOS MÓVEIS

Linux Caixa Mágica 14. Como Gravar um Live CD. Julho 2009 Versão 1.1

GUIA DE PRODUTOS 2016 SOLUÇÕES DE VÍDEO DIGITAL

Julgue os itens a seguir, referentes a programas de navegação, programas de correio eletrônico e sítios de busca e pesquisa na Internet.

NAPNE / SIEP. Softwares Educativos MANUAL GCOMPRIS

SISTEMA OPERACIONAL MAC OS

Cópia de Segurança e Recuperação Manual do utilizador

RECUPERANDO DADOS COM REDO BACKUP E RECOVERY

Transcrição:

Duplicação Forense Computacional Recuperação de Arquivos Apagados Carlos Gustavo A. da Rocha

Introdução Relembrando: Todos os procedimentos periciais devem estar respaldados juridicamente para serem úteis em um processo investigativo As atividades periciais realizadas sem amparo legal tornam o autor (perito) tão ou mais ilegal que os sujeitos investigados (responsáveis pelos vestígios periciados).

Introdução (2) Relembrando: A contestação de técnicas periciais utilizadas (quando provada tecnicamente) pode inviabilizar todo o esforço pericial Cyberadvogados Na maioria das vezes é mais fácil provar que as técnicas utilizadas foram inadequadas que provar que o acusado é inocente

Introdução (3) Cyberadvogados brasileiros Renato Blum Omar Kaminski Patrícia Peck

Padrões de Exame Forense Computacional Assinatura de Mídias de Prova Funções de Hash (mais utilizado) Assinaturas Digitais (utiliza uma função de hash)

Assinatura de Mídias de Prova (2) A aplicação da função hash garante a integridade de um documento, mídia ou dispositivo, na medida em que qualquer alteração em seu conteúdo altera o resultado da função hash aplicada sobre o mesmo Realiza o mapeamento de uma sequência de bits de tamanho arbitrário para uma sequência de bits de tamanho fixo

Assinatura de Mídias de Prova (3) O resultado é chamado de hash do arquivo Os algoritmos da função hash foram desenvolvidos de tal forma que seja muito difícil encontrar duas mensagens produzindo o mesmo hash (resistência à colisão) e, que a partir do hash seja impossível reproduzir a sequencia que o originou Arquivo Partição Dispositivo Função hash assinatura hash

Assinatura de Mídias de Prova (4) Algoritmos mais conhecidos MD5 Message Digest Algorithm 5 128bits Padrão até a descoberta de possibilidades de geração de colisões Arquivo Partição Dispositivo MD5 assinatura hash

Assinatura de Mídias de Prova (5) Algoritmos mais conhecidos (2) SHA Secure Hash Algorithm 160 bits Padrão (mínimo) recomendado atualmente Suas variantes mais usadas são SHA256 e SHA512 Arquivo Partição Dispositivo SHA assinatura hash

Assinatura de Mídias de Prova (6) Comandos para cálculo de hash são instalados por padrão nas principais distribuições Linux md5sum, sha1sum, sha256sum, Podem ser aplicados em arquivos, partições, dispositivos, $ md5sum /etc/passwd 70c18e9eb8bd801c191dfcb6fcbe7ec1 /etc/passwd $ sudo sha1sum /dev/sda1 3b8ca4447e54a1c67142041ad49c52ff7a3e0fe7 /dev/sda1

Planejamento da perícia O que coletar e analisar? Mídias Memória Tráfego de rede

Planejamento da perícia (2) Escolha da ferramenta (critérios) deve levar em consideração Dispositivos, mídias e softwares envolvidos Sistemas Operacionais Estado dos Dados Legislação local e internacional aplicável

Planejamento da perícia (3) Dimensionar recursos necessários Ferramentas necessárias x disponíveis Tempo necessário x disponível Equipe necessária x disponível Capacitação suficiente? Garantir (ou não) a viabilidade antes do início das atividades

Mídia de prova Objeto (físico) real da investigação O equipamento (e seus periféricos) e mídias complementares que podem conter as provas procuradas Arquivos armazenados em disco ou memória, dados trafegados em rede,

Mídia de destino Destino dos dados capturados e/ou copiados da mídia de provas Imagem pericial sobre a qual devem ser realizados os procedimentos de análise e busca por provas. Necessário o uso de assinatura hash para atestar a integridade. Se possível com testemunhas

Análise ao Vivo Perícia em tempo real Análise feita diretamente sobre a mídia de provas Não ideal Comum em diligências para vistoria Delito não comprovado Manipulação de evidências pode inviabilizar perícia posterior (alteração de mídia de provas)

Análise OffLine "Post Mortem" Feita após a coleta de dados Sobre a mídia de destino Em análise de tráfego, é realizada sobre a mídia de destino na estação pericial, após a coleta e criação do hash

Duplicação Forense Aquisição de uma imagem de um disco rígido (ou outra mídia de armazenamento) é, em muitos casos, o ponto de partida de uma investigação A técnica conhecida como dead analysis determina que o disco a ser analisado deve ser clonado bit a bit e qualquer análise deve ser feita nessa cópia, de forma a manter a mídia analisada íntegra A imagem deve copiar todos os dados do disco, incluindo as partes não utilizadas (imagens RAW)

Duplicação Forense (2) Imagens RAW Pontos positivos Formato facilmente analisável Independe de ferramentas específicas Muitas ferramentas disponíveis, tanto para linha de comando (CLI) quanto para interface gráfica (GUI) Disponível em utilitários tanto para Linux quanto para Windows Muito útil também em análises de malware

Duplicação Forense (3) Imagens RAW Pontos negativos Não possui compactação Caso sejam compactados com (zip, gzip etc), eles não poderão ser analizados dessa forma, requerendo que sejam descompactados antes de serem usados Algumas operações são excessivamente lentas em função do tamanho dos arquivos

Duplicação Forense (4) Exemplos de outros tipos de imagens Expert Witness Propietário do Encase Permite compactação (sem perda) Advanced Forensic Format (AFF) Tentativa de padronização e solução de problemas Usa compactação, tratamento de erros e oferece bibliotecas para adaptação

Duplicação Forense (5) Exemplos de Softwares Norton Ghost?? Imagem.GHO e.ghs (formatos propietários) Imagem de disco de máquinas virtuais.vmdk (Vmware).VDI (virtualbox) Image Center (Drive Image)?? Imagem.PQI (formato propietário)

Duplicação Forense (6) Exemplos de Softwares (2) Acronis True Image Imagem.TIB (formato propietário) Drive Snapshot Imagem.SNA (formato propietário) Data duplicator dd Imagem no padrão RAW Linux, Windows

Duplicação Forense (7) Dispositivo x Partição Um dispositivo de armazenamento ou mídia (disco rígido, pendrive...) possui uma tabela interna que indica como o dispositivo está dividido em partições CDs e pendrives, na maioria das vezes, possuem apenas uma partição Discos, porém, comumente são particionados de forma a organizar melhor o armazenamento de arquivos Dependendo da situação será mais adequado criar a imagem do dispositivo inteiro ou uma de suas partições

Duplicação Forense (8) Data Duplicator dd (Windows/Linux) Exemplo de duplicação de dispositivo dd if=/dev/sdc of=data-img.raw Exemplo de duplicação de partição dd if=/dev/sdd1 of=data-img2.raw

Duplicação Remota Em algumas situações é necessário ou desejável executar o comando de duplicação em uma máquina e salvar a imagem do dispositivo/partição em outra Exemplo de duplicação remota de partição Túnel seguro dcfldd if=/dev/hdb1 ssh user@host_destino dcfldd of=imagem.raw

Após a duplicação Após a coleta dos dados, sua manipulação pode ser feita pelo próprio perito ou posteriormente por outro Extração é o processo de retirar das mídias periciadas as informações disponíveis Recuperação é o processo de buscar dados removidos total ou parcialmente, propositalmente ou não Carving normalmente refere-se a um processo de recuperação de dados corrompidos, intencionalmente escondidos etc

Ferramentas para recuperação de dados (windows) Active Uneraser Ontrack Easy Recovery Pro Winternals Disk Commander Prosoft Media Tools GetDataBack for FAT/NTFS FTK Imager Testdisk / Photorec

Magic Numbers Os arquivos de um mesmo tipo (pdf, jpg, mp3, zip, doc, ) possuem um formato padrão O conhecimento deste formato é essencial para o funcionamento das ferramentas de recuperação Possibilita encontrar e identificar um arquivo exclusivamente pelo seu conteúdo, não levando em consideração nome, SO, sistema de arquivos etc Um utilitário (não diretamente relacionado a forense) que demonstra esta funcionalidade é o file do linux

Sistemas de arquivos O que torna possível recuperar arquivos apagados? Um dispositivo formatado em FAT é dividido como mostrado a seguir Tabelas de arquivos Arquivos Informações sobre o sistema de arquivos Setor de boot

Sistemas de arquivos (FAT) Nas duas tabelas de arquivos ficam armazenados metadados sobre cada arquivo existente no dispositivo Nome, tamanho, data de alteração, local onde está armazenado fisicamente no disco, Quando criamos um novo arquivo uma nova entrada é criada nestas tabelas, com informações relacionadas ao mesmo

Sistemas de arquivos (FAT) Criação de novos arquivos x Livro.doc, 700k, 11/09/2011 11:53, x y x foto.jpg, 600k, 23/05/2010 15:12, y

Sistemas de Arquivos (FAT) Quando removemos um arquivo apenas as informações da tabela de arquivos são apagadas O conteúdo do arquivo permanece intacto no dispositivo y x Livro.doc, 700k, 11/09/2011 11:53, x foto.jpg, 600k, 23/05/2010 15:12, y

Sistemas de Arquivos (FAT) Neste caso, o conteúdo do arquivo Livro.doc está intacto no dispositivo, e pode ser recuperado, bastando usar um programa feito especificamente para isto y x Livro.doc, 700k, 11/09/2011 11:53, x foto.jpg, 600k, 23/05/2010 15:12, y

FTK imager Ferramenta proprietária, desenvolvida pela empresa AccessData Download gratuito em sua página Executa no SO Windows Versão de linha de comando para linux Suporta diversos tipos de dispositivos e partições FAT, NTFS, EXT,

FTK imager

TestDisk Ferramenta de código aberto Disponível para vários SOs Linux, Windows e MacOS X Suporta a correção de erros em tabelas de partições e recuperação de arquivos apagados FAT, NTFS, EXT

TestDisk

2024 © DocPlayer.com.br Política de Privacidade | Termos de serviço | Feedback