Pró-Reitoria de Pós-Graduação Curso de Perícia Digital Trabalho de Conclusão de Curso RECUPERAÇÃO DE DADOS EM SISTEMAS DE ARQUIVOS FAT32

Pró-Reitoria de Pós-Graduação Curso de Perícia Digital Trabalho de Conclusão de Curso RECUPERAÇÃO DE DADOS EM SISTEMAS DE ARQUIVOS FAT32 Autor: Gabriel Alexandre de Freitas Silva Orientador: Prof. MSc. Paulo Roberto Corrêa Leão Brasília - DF 2013

GABRIEL ALEXANDRE DE FREITAS SILVA RECUPERAÇÃO DE DADOS EM SISTEMAS DE ARQUIVOS FAT32 Artigo apresentado ao curso de pósgraduação em Perícia Digital da Universidade Católica de Brasília como requisito para obtenção do título de especialista em Perícia Digital. Orientador: Prof. MSc. Paulo Roberto Corrêa Leão Brasília 2013

Artigo de autoria de Gabriel Alexandre de Freitas Silva, intitulado RECUPERAÇÃO DE DADOS EM SISTEMAS DE ARQUIVOS FAT32, apresentado como requisito parcial para obtenção do grau de especialista em Perícia Digital da Universidade Católica de Brasília, em 26 de Outubro de 2013, defendido e aprovado, pela banca examinadora abaixo assinada: Professor MSc. Paulo Roberto Corrêa Leão Orientador Curso de Perícia Digital UCB Professor Dr. Paulo Quintiliano da Silva Examinador Curso de Perícia Digital UCB Brasília 2013

RECUPERAÇÃO DE DADOS EM SISTEMAS DE ARQUIVOS FAT32 GABRIEL ALEXANDRE DE FREITAS SILVA Resumo: Sabendo que a computação forense tem por objetivo determinar a dinâmica, materialidade e autoria de ilícitos na área de informática, e que a recuperação de arquivos de mídias de armazenamento tem papel fundamental na execução dessa tarefa, tem-se como objetivo desta pesquisa empírica verificar até em que nível os arquivos salvos em uma mídia de armazenamento podem ser recuperados. Como existe uma grande diversidade de sistemas de arquivos utilizados atualmente e várias opções de ferramentas disponíveis para realizar a tarefa de recuperação de dados. Para isso optou-se por delimitar um escopo que abrangesse a recuperação de arquivos especificamente em sistemas FAT32, uma vez que é o sistema de arquivos mais utilizado em mídias de armazenamento removíveis atualmente. Para realizar tal análise, o funcionamento do sistema de arquivos e de algumas ferramentas utilizadas por peritos, foi estudado e selecionado duas ferramentas, que utilizam técnicas de recuperação de dados diferentes (The SleuthKit e Foremost), para montar os casos de teste (experimentos) e analisar o processo de recuperação dos dados. Após a execução dos casos de teste e da análise dos resultados foi possível medir a eficiência de cada técnica e ferramenta e identificar os casos em que os resultados de cada uma delas podem ser mais bem aproveitados. Palavras-chave: FAT32. Recuperação de arquivos. Sleuth Kit. Foremost. 1. INTRODUÇÃO A Computação Forense, como descrito por Eleutério e Machado (2011), tem por objetivo determinar a dinâmica, a materialidade e a autoria de ilícitos na área de informativa, utilizando processamento de evidências digitais por meio de métodos técnico-científicos. Portanto, o processo de levantamento de informações com base em dispositivos de armazenamento tem alto valor significativo, o que torna o processo de recuperação de arquivos extremamente importante. Saber quais técnicas adotar e quais ferramentas utilizar em cada caso tem a mesma importância. Com base nisso, percebe-se que um dos grandes problemas encontrados pelos peritos, é a recuperação de informações relevantes de uma mídia de armazenamento de forma eficaz, por isso é sempre interessante analisar as técnicas e ferramentas existentes para identificar sua eficiência e eficácia e, então, identificar as soluções mais adequadas a cada problema encontrado na área. Dentre as técnicas existes, existem duas, em especial, que são mais utilizadas. São elas: a recuperação lógica de arquivos; e data carving. Na primeira técnica, o sistema de arquivos é analisado em busca das informações de arquivos (apagados ou não), na segunda técnica a partição de armazenamento é analisada em busca de padrões de arquivos conhecidos. Ambas são altamente importantes na recuperação de dados, cada um com propósitos e resultados diferentes. Para cada

uma dessas técnicas existem, também, diversas ferramentas disponíveis para o perito utilizar. Um perito escolhe as ferramentas mais adequadas de acordo com seu objetivo final, o que define a técnica a ser adotada e onde a técnica será aplicada. O onde especifica, normalmente, a mídia de armazenamento sendo analisada. Entende-se, então, que, além da técnica, a escolha da ferramenta depende também do sistema de arquivos na mídia em análise. Atualmente, existem diversos sistemas de arquivos disponíveis para uso, o que pode dificultar o trabalho do perito e, muitas vezes, atrapalhar a execução e conclusão de seu trabalho, caso não haja o conhecimento das técnicas adequadas e das ferramentas mais compatíveis com o sistema de arquivos sendo analisado. Dentre essa grande diversidade de sistemas de arquivos, o mais utilizado, atualmente, para dispositivos de armazenamento portáveis é o sistema FAT32 da Microsoft. Por não possuir um overhead de controle muito grande, o seu uso é ideal para possibilitar a transferência rápida de arquivos e o melhor aproveitamento do espaço disponível para armazenamento, pontos importantíssimos no seu funcionamento e na utilização de mídias de armazenamento portáteis. Tendo como base o problema de recuperação de dados e arquivos em mídias de armazenamento, com o foco no sistema de arquivos FAT32 e utilizando ferramentas amplamente adotadas no meio da forense, deseja-se, como objetivo geral dessa pesquisa, analisar, através de um caso de testes, até onde os arquivos existentes em mídias formatadas com FAT32, podem ter seus arquivos recuperados. A princípio, espera-se recuperar arquivos apagados recentemente usando a técnica de recuperação lógica e arquivos de outras formatações usando a técnica data carving. Após essa análise, espera-se identificar qual o melhor tipo de ferramenta a ser adotado em cada caso e até quando e como os arquivos, alocados em sistemas FAT32, podem ser recuperados, estando eles apagados ou não. 2. CONCEITOS E DEFINIÇÕES Como passo inicial, foi necessário estudar os temas relacionados ao problema, com o objetivo de ter uma base conceitual para identificar as técnicas e ferramentas mais adequadas para realizar o caso de testes. Para tanto, foi necessário entender o funcionamento de sistemas de arquivos FAT32, estudar ferramentas existentes e identificar aquelas que melhorem se adaptam à recuperação de dados em sistemas FAT32. A seguir são descritos os referenciais que compôs e serviu de base pra os experimentos propostos neste trabalho. 2.1. SISTEMAS DE ARQUIVOS A preparação de uma mídia de armazenamento se divide em duas etapas: formatação física e lógica. Na formatação física, o disco é organizado em setores com, geralmente, 512 bytes. Opcionalmente, a mídia pode ser divida em partições com formatações lógicas diferentes. A formatação lógica aplica um sistema de arquivos à partição.

Segundo Mota Filho (2012), os sistemas de arquivos fazem referência para o modo como os dados são armazenados, organizados e acessados numa mídia de armazenamento. É um artifício imposto pelo sistema operacional, e não pelo hardware, portanto, para que um sistema operacional reconheça um determinado sistema de arquivos, ele deve conhecer a lógica de leitura desse sistema de arquivos. Já Carlos Morimoto (2005) diz que um sistema de arquivos é formado por um conjunto de estruturas e rotinas que possibilita o controle do disco rígido pelo sistema operacional. Portanto, os sistemas de arquivos definem, para os sistemas operacionais, a forma como os arquivos devem ser acessados, armazenados e organizados em uma partição de disco. Mota Filho (2012) demonstra ainda, que esses sistemas dividem o espaço de armazenamento em vários blocos, usados para guardar os dados dos arquivos (um bloco é o agrupamento de um ou mais setores). Cada arquivo pode preencher um ou mais blocos, entretanto, os sistemas de arquivos não permitem que mais de um arquivo ocupe um único bloco ao mesmo tempo, isso significa que, mesmo não sendo completamente preenchido pelo arquivo, o restante do bloco será considerado ocupado, já que não pode ser utilizado por outros arquivos. Com base nisso, pode-se perceber que, no caso do armazenamento de arquivos pequenos e que não ocupam blocos inteiros, blocos maiores tendem a causar um desperdício maior de espaço de armazenamento, porém, blocos menores podem ser mais custosos de ler e controlar. Por essa razão, blocos maiores tendem a ser ideais para o armazenamento de arquivos grandes, enquanto blocos menores são mais bem utilizados por arquivos pequenos. Carlos (2005) acrescenta que à medida que a capacidade dos discos, o volume de acessos e arquivos aumentam, a tarefa de controle torna-se mais complicada, exigindo o uso de sistemas de arquivos cada vez mais complexos e robustos. Existem diversos tipos de sistemas de arquivos e cada sistema operacional possui aqueles com os quais é compatível. O MS Windows, de acordo com sua versão, por exemplo, trabalha com os seguintes sistemas de arquivos: FAT16, FAT32, NTFS e, mais recentemente, o exfat. (MOTA FILHO, 2012). 2.2. SISTEMAS DE ARQUIVOS FAT32 O sistema FAT (File Allocation Table), criado entre 1970 e 1980, foi desenvolvido para funcionar com a primeira versão do sistema operacional MS-DOS. Era, originalmente, um sistema de arquivos simples usado em disquetes com pouco espaço de armazenamento (Microsoft Corporation, 2000). Com a evolução das mídias, houve o aumento do espaço possível para armazenamento e, junto a isso, a necessidade de melhorar os sistemas FAT. A lógica dos sistemas FAT limita o número máximo de clusters (equivalente a bloco) gerenciáveis, daí a necessidade de criar novas versões para controlar partições maiores. O FAT32, se comparado aos seus antecessores, possui grandes melhorias. Dentre elas, pode-se citar a redução do tamanho e o aumento da quantidade dos clusters usados pelo sistema de arquivos, fator crucial para diminuir, em até 15%, o

desperdício de espaço. Como já mencionado, outra mudança significativa é o tamanho máximo da partição suportada pelo sistema de arquivos. O FAT16 utiliza 16 bits para identificar seus blocos (por isso o nome FAT16), enquanto o FAT32 utiliza 32 bits, ou seja, o FAT16 consegue controlar até 2 16 blocos, enquanto o FAT32 consegue controlar até 2 32 blocos, por consequência, o tamanho de armazenamento suportado pelo FAT32 é muito maior que o suportado por seu antecessor. A Microsoft Corporation (2000), na especificação do sistema FAT32, organiza o sistema de arquivos em quatro regiões, sendo elas: a) Reserved Region: Responsável por definir configurações de boot e configurações do sistema de arquivos. Dados como tamanho do setor do disco, quantidade de setores por bloco e número de blocos da partição serão encontrados nessa região. b) FAT Region: Destinada ao armazenamento da tabela de controle dos arquivos na partição. c) Root Directory Region: Região destinada ao diretório raiz da partição. Nas versões mais antigas, o diretório raiz está sempre nessa mesma posição. A partir do FAT32, essa região deixa de existir, já que o diretório raiz pode estar em qualquer posição na partição. d) File and Directory Data Region: Região destinada ao armazenamento efetivo dos dados arquivos e diretórios controlados pelo sistema de arquivos. A Figura 1, apresentada por Stoffregen (2005), mostra como essas regiões estariam organizadas numa partição formatada com FAT32. Figura 1 Ilustração das regiões no sistema FAT32 Fonte: Stoffregen (2005) Os sistemas FAT dividem a partição em duas partes: uma parte voltada para o controle e outra para o armazenamento efetivo dos dados. A parte de controle, que deu origem ao nome do sistema, é uma tabela que, através de um número composto por uma determinada quantidade de bits, identifica os blocos de armazenamento. Mueller; Bruno (2013) descrevem que, para proteger a partição, normalmente, são mantidas duas cópias da tabela FAT, como mostra a Figura 1, para o caso de uma ser corrompida ou danificada. Os blocos dos arquivos podem estar espalhados na superfície do disco sem, necessariamente, estar numa ordem; por isso a necessidade da tabela para indicar os blocos. A quantidade de bits utilizados para identificar os blocos tem impacto direto no tamanho máximo de blocos gerenciáveis

e, por consequência, no tamanho máximo da partição reconhecida pelo sistema de arquivos. Os diretórios, nos sistemas FAT, são arquivos compostos por estruturas sequenciais de 32 bytes. O único diretório que sempre deve existir, na árvore de arquivos, é o diretório raiz, que nas versões anteriores estava posicionado sempre na mesma posição. A partir do FAT32, a posição do diretório raiz é definida dentre as propriedades da região reservada, permitindo que sua posição varie de acordo com a necessidade. Todos os diretórios listam, sequencialmente, os arquivos e subdiretórios, assim como o tamanho, datas de criação, acesso e modificação e características de cada um. Junto das propriedades de cada arquivo, encontra-se, também, a localização do primeiro bloco ocupado pelo arquivo. A localização dos blocos seguintes, ocupados pelo arquivo, é encontrada a partir da tabela que deu origem ao nome do sistema de arquivos. A FAT é um conjunto sequencial de identificadores de blocos, ou seja, no FAT16, um conjunto sequencial de inteiros de 16 bits. No FAT32, a tabela é composta por uma sequência de inteiros de 32 bits que apontam para os blocos ocupados pelos arquivos e também para a localização do próximo identificador de bloco ocupado pelo arquivo. Sem a Tabela FAT não seria possível encontrar todas as partes dos arquivos, já que, na identificação do arquivo (dentro de um diretório), encontramos apenas a localização do primeiro bloco ocupado pelo arquivo. A partir dessa primeira identificação, é possível localizar os próximos blocos (Microsoft Corporation, 2000). Através da Figura 2, pode-se ter uma ideia de como localizar e recuperar um arquivo ocupando uma sequencia de blocos espalhados na superfície da partição. Figura 2: Exemplo da trilha de identificações de blocos na tabela FAT Fonte: Stoffregen (2005). Como Stoffregen (2005) explica, a localização do primeiro bloco é indicada pelo registro do arquivo no diretório onde ele se encontra. A localização do próximo bloco é indicada pelo registro de 32 bits dentro da FAT na mesma localização da identificação do primeiro bloco. A localização do terceiro bloco é indicada pela identificação do segundo e assim por diante até que a identificação do bloco, na FAT, seja uma sequência de 1 s (0xFFFFFFFF) indicando o último bloco do arquivo.

Portanto, através do identificador na tabela, podem-se recuperar duas informações: o identificado do próximo bloco contendo dados do arquivo e o próximo registro da tabela a ser verificado (se houver um próximo bloco). A recuperação de arquivos a partir de seus registros em diretórios pode ser visualizada na Figura 3. Figura 3: Exemplo de recuperação de arquivos usando a tabela FAT Fonte: Richard Mueller e Luigi Burno (2013). A Tabela FAT permite que o arquivo ocupe blocos não necessariamente sequenciais, o que pode causar a fragmentação do arquivo pela superfície da partição, porém, graças à sua lógica de funcionamento e mapeamento dos blocos ocupados pelos arquivos, ela possibilita a recuperação de todas as partes do arquivo fragmentado na sequência correta, como o caso do FILE2 na Figura 3. O FAT32 e o NTFS são os dois sistemas de arquivos, da Microsoft, mais utilizados atualmente. Apesar de suas limitações, o FAT32 tende a possuir um desempenho e um aproveitamento de espaço melhor que o NTFS, já que o overhead de controle é menor. Por essa razão, o FAT32 ainda é o sistema de arquivos mais utilizados em mídias removíveis menores como pendrives e cartões SD. Além disso, a grande maioria dos dispositivos, que possuem entradas USB e leitores de cartões (como televisões, rádios e DVDs), é configurada para aceitar mídias nesse mesmo formato. 2.3. RECUPERAÇÃO DE DADOS No armazenamento não volátil, existem diversos fatores que podem ameaçar a disponibilidade e integridade dos dados, entretanto, existem diversas formas de se prevenir ou contornar esses problemas. O método de recuperação a ser adotado depende não só de como os dados se perderam, mas também do tipo de informação que se deseja recuperar. Em alguns casos, o arquivo completo não pode ser recuperado, mas mesmo uma parte do arquivo pode ser útil. Como Vacca (2005) descreve a exclusão efetiva de dados, em uma mídia de armazenamento não volátil, se dá apenas com a sobrescrita deles, portanto, os arquivos apagados, de um sistema de arquivos, não são necessariamente sobrescritos, podendo ser recuperados com determinadas ferramentas. Com o objetivo de melhorar o desempenho, os sistemas de arquivos não costumam sobrescrever os dados durante a ação de exclusão, já que o trabalho de

exclusão efetiva (ou sobrescrita) desses dados demoraria tanto quanto a escrita. Ao invés disso, os sistemas de arquivos usam uma espécie de exclusão lógica, onde o espaço ocupado pelo arquivo removido recebe o status de livre, dessa forma, a área fica livre para receber novos dados. Portanto, para recuperar arquivos simplesmente removidos pelo sistema de arquivos, basta verificar os dados de controle do próprio sistema de arquivos e procurar pelos arquivos apagados, que ainda podem estar na partição. A recuperação de dados após um dano lógico ou uma formatação, entretanto, não pode contar com o sistema de arquivos, já que o sistema de arquivos atual não possui informações sobre arquivos pertencentes a formatações antigas. Dessa forma, para recuperar dados sem as informações do sistema de arquivos, usam-se algoritmos que procuram e identificam padrões de arquivos na superfície da mídia. Essa técnica é conhecida como Data Carving (CNWRecovery, 2013), ou File Carving. O escaneamento desse tipo de algoritmo não leva em consideração o sistema de arquivos, portanto, não é possível encontrar metadados controlados pelo sistema de arquivos (como nomes, datas etc), e sim apenas os dados brutos, entretanto, essa técnica permite a recuperação de arquivos mesmo quando eles não são mais reconhecidos pelo sistema de arquivos. Em casos extremos, onde não é possível recuperar arquivos completos de nenhuma das formas citadas, há ainda a possibilidade de recuperar dados relevantes como fragmentos de arquivos e imagens. Mesmo que o arquivo completo não possa ser recuperado, o fragmento ou uma informação recuperada já podem ser úteis, principalmente na computação forense. Várias ferramentas forenses utilizam as lógicas citadas para fazer o trabalho de recuperação de arquivos em uma mídia ou partição. Muitas delas conseguem trabalhar, também, com imagens de mídias de armazenamento. Imagem é o termo dado a uma cópia de uma mídia de armazenamento ou partição em um determinado momento. Essa cópia se torna independente e pode até mesmo ser montada e utilizada como uma mídia de armazenamento normal, sem a possibilidade de alterar os dados da mídia original. A criação de imagens é essencial na forense, já que a prova original (a mídia de armazenamento sendo periciada) não deve ser modificada. A imagem criada pelo perito também não deve ser modificada, mas os problemas decorrentes de uma modificação acidental da cópia de trabalho (a imagem), por exemplo, são, infinitamente, menores do que a modificação da prova original. Por essa razão, antes de realizar a perícia, cria-se uma cópia da mídia para ser usada como uma cópia de trabalho. Dessa forma, qualquer possível alteração, acidental ou não, não impactará a prova original. Por possuir menos controle de segurança dos dados, o FAT32 está sujeito a danificar dados dependendo das circunstâncias em que se encontra, ao contrário do NTFS, por exemplo, que possui um controle maior sobre seus dados. Se, por exemplo, a energia é cortada durante um processo de transferência de arquivos para uma partição FAT32, não existe nenhum tipo de registro ou controle sobre o processo executado, portanto, após reiniciar a máquina, os arquivos sendo transferidos poderão estar corrompidos. 2.4. FERRAMENTAS DE RECUPERAÇÃO DE DADOS

Como já mencionado, existem ferramentas especializadas na recuperação de dados em uma mídia de armazenamento. Vacca (2005) menciona a possibilidade de recuperação de dados apagados do sistema de arquivos utilizando determinadas ferramentas e procedimentos. Porém, existem, também, ferramentas que conseguem recuperar arquivos sem conhecer o sistema de arquivos da mídia, e até arquivos de formatações anteriores. A escolha da ferramenta a ser utilizada varia de acordo com a necessidade. Ferramentas que se baseiam no sistema de arquivos para recuperar os dados são dependentes da integridade e do conhecimento dele, por exemplo, se uma ferramenta não conhece um sistema de arquivos específico, ela não conseguirá recuperar os arquivos nesse sistema de arquivos, já ferramentas que buscam padrões de arquivos, sem levar em consideração o sistema de arquivos, apenas lendo os dados brutos, conseguem recuperar dados até de sistemas de arquivos desconhecidos, porém, os metadados dos arquivos não serão recuperados. Ferramentas como Autopsy, por exemplo, disponibilizam todas as funcionalidades através de uma interface gráfica altamente intuitiva. Ferramentas desse tipo costumam fornecer todas as funcionalidades necessárias para recuperação e análise dos dados recuperados, fornecendo, inclusive, a visualização de imagens, vídeos e arquivos de diversos formatos. Entretanto, em alguns casos, o uso de interface gráfica, pode não ser possível, para tanto, existem ferramentas como Foremost e The Sleuth Kit, que disponibilizam todas as funcionalidades através de linha de comando. Ferramentas que trabalham em linha de comando, normalmente, focam na funcionalidade de recuperação, deixando o trabalho de análise e visualização de arquivos para programas diferentes. O Autopsy, assim como outras ferramentas desse mesmo tipo, realizam diversas atividades em paralelo à extração, como organização de arquivos pelo tipo, identificação de e-mails, localização de palavras-chave etc. Tais atividades facilitam o trabalho do perito, já que todas as informações são apresentadas automaticamente e visualmente ao usuário através de uma interface gráfica. O Autopsy, em especial, usa como base o The Sleuth Kit para realizar o trabalho de extração e adiciona diversas funcionalidades para apresentação e organização dos dados e arquivos recuperados. A Figura 4 apresenta um exemplo da interface do Autopsy. Figura 4: Ilustração da interface gráfica do Autopsy. O Sleuth Kit é uma coleção de programas voltados para a análise de discos, e é compatível com os sistemas de arquivos mais utilizados atualmente, a técnica de recuperação adotada utilizando o Sleuth Kit é a recuperação por inode. como explica Silva Santos (2012). O foremost é uma ferramenta usada para recuperar arquivos baseando-se no padrão dos dados encontrados na superfície da partição, sem levar

em consideração o sistema de arquivos. O Quadro 1 apresenta os formatos reconhecidos pela versão do Foremost. Quadro 1: Formatos de arquivos reconhecios pelo Foremost Figuras Vídeos Executáveis Áudio Texto Documentos Outros jpg, gif, png, bmp avi, mpg, wmv, mov exe wav htm, xpp pdf, doc riff, ole, zip, rar Ambas as ferramentas trabalham através de linha de comando, sem uma interface gráfica ou qualquer funcionalidade de apresentação dos dados recuperados, portanto, qualquer visualização de arquivos deve ser feita através de outras ferramentas e programas. Existe uma variedade muito grande de possíveis ferramentas e a escolha de uma ferramenta que melhor se adequa a necessidade depende do que se deseja recuperar em paralelo com as funcionalidades que a ferramenta disponibiliza. 3. METODOLOGIA Com base no objetivo de identificar as melhores ferramentas a serem utilizadas em cada caso, testando a eficiência de cada uma em um mesmo ambiente, preparou-se um caso de teste onde uma imagem, criada especialmente com essa finalidade, será analisada por duas ferramentas. Uma das ferramentas analisará o sistema de arquivos com o objetivo de recuperar os arquivos ainda controlados pelo FAT32. A outra ferramenta analisará a superfície da imagem em busca de padrões de arquivos com o objetivo de encontrar arquivos não reconhecidos pelo sistema de arquivos atual. Ao utilizar as duas ferramentas dentro do mesmo contexto, poderemos identificar e comparar os resultados de cada uma, identificando, através desses resultados, em que casos é melhor adotar cada ferramenta. As ferramentas adotadas para examinar e recuperar dados do sistema de arquivos foram The Sleuth Kit e Foremost, por serem ambas ferramentas livres e opensource. O Sleuth Kit será utilizado com o objetivo de recuperar arquivos removidos e ainda conhecidos pelo sistema de arquivos atual, enquanto o Foremost será utilizado para recuperar arquivos presentes na superfície da partição, sem levar em consideração o sistema de arquivos. 3.1. MONTAGEM DA IMAGEM PARA ANÁLISE A análise acontecerá com base em uma imagem inicial de 100mb contendo, em sua superfície, arquivos de texto, figuras, documentos do Microsoft Office, PDFs e arquivos de formatos desconhecidos pelo Foremost (.jar,.jude).

A imagem criada passará pelo processo de formatação duas vezes, sendo que no primeiro vários arquivos serão adicionados, alguns serão apagados e outros serão adicionados. Na segunda formatação, que acontecerá por cima da primeira, também receberá diversos arquivos, terá alguns apagados e outros adicionados. Os detalhes do processo de criação da imagem estão listados abaixo: a) Cria-se a imagem com a superfície coberta por zeros com o comando: # dcfldd if=/dev/zero of=imagem.dd bs=1m count=100 b) Cria-se o sistema de arquivos FAT32 através do comando: # mkfs.msdos -F 32 imagem.dd c) Monta-se o sistema de arquivos no computador com o comando: # mount -o loop imagem.dd /mnt/ d) Os arquivos apresentados pelo Quadro 2 são adicionados ao sistema de arquivos de acordo com a hierarquia apresentada (todos com nome começando em 0 ): Quadro 2: Lista dos primeiros arquivos adicionados na primeira formatação 0h.MP4 0a.png 0c.jpg 0f.jpg 0g.doc 0i.pdf 0j.jpg diretorio1/0d.mp3 diretorio1/0e.jpg O resultado final desse passo, no sistema de arquivos, pode ser visto pela execução do comando: # ls Rlh /mnt, como mostra a Figura 5. Figura 5: Resultado do passo 4 na preparação da imagem. e) Os arquivos apresentados pelo Quadro 3 são removidos. Quadro 3: Lista dos primeiros arquivos removidos na primeira formatação. 0c.jpg 0g.doc 0i.pdf 0j.jpg O resultado desse passo, no sistema de arquivos, pode ser visualizado na Figura 6 (comando # ls Rlh /mnt).

Figura 6: Resultado do passo 5 na preparação da imagem. f) Os arquivos apresentados pelo Quadro 4 são adicionados na hierarquia de arquivos (todos com nome começando em 1 ): Quadro 4: Arquivos adicionados na primeira formatação após uma exclusão. 1b.png 1c.pdf 1d.docx 1e.avi 1f.mp3 1h.docx diretorio1/1i.doc O resultado final desse passo, no sistema de arquivos, pode ser visto pela execução do comando: # ls Rlh /mnt, como mostra a Figura 7. Figura 7: Resultado do passo 6 na preparação da imagem. g) A partição é desmontada com o comando: # umount /mnt h) A partição sofre uma nova formatação com o comando: # mkfs.msdos -F 32 imagem.dd i) A partição é montada no sistema de arquivos do computador mais uma vez com o comando: # mount -o loop imagem.dd /mnt/ j) Os arquivos apresentados peloa Quadro 5 são adicionados na hierarquia de arquivos (todos com nome começando em 2 ):

Quadro 5: Lista dos primeiros arquivos adicionados na segunda formatação. 2f.doc 2h.docx 2i.jpg diretorio1/2a.png diretorio2/2j.png diretorio3/2b.jpg diretorio3/2c.jude diretorio3/2e.zip O resultado final desse passo, no sistema de arquivos, pode ser visto pela execução do comando: # ls Rlh /mnt, como mostra a Figura 8. Figura 8: Resultado do passo 10 na preparação da imagem. k) Os arquivos apresentados pelo Quadro 6 são removidos: Quadro 6: Lista dos primeiros arquivos removidos na primeira formatação. 2f.doc diretorio3/2b.jpg O resultado desse passo, no sistema de arquivos, pode ser visualizado na Figura 9 (comando # ls Rlh /mnt):

Figura 9: Resultado do passo 11 na preparação da imagem. l) Os arquivos apresentados pelo Quadro 7 são adicionados na hierarquia de arquivos (todos com nome começando em 3 ): Quadro 7: Lista de arquivos adicionados na segunda formatação após uma exclusão. 3d.docx 3g.docx 3h.docx diretorio1/3e.png diretorio1/3f.jpg diretorio2/3c.docx diretorio3/3i.mp3 diretorio3/3j.png O resultado final desse passo, no sistema de arquivos, pode ser visto pela execução do comando: # ls Rlh /mnt, como mostra a Figura 10. Figura 10: Resultado do passo 12 na preparação da imagem.

m) Os arquivos listados no Quadro 8 são removidos: Quadro 8: Lista de arquivos removidos após a segunda adição de arquivos na segunda formatação. 2h.docx 3g.docx diretorio1/3f.jpg diretorio2/2j.png diretorio3/3j.png O resultado desse passo, no sistema de arquivos, pode ser visualizado na Figura 11 (comando # ls Rlh /mnt): Figura 11: Resultado do passo 13 na preparação da imagem. n) A imagem é desmontada para que possa ser analisada: # umount /mnt 3.2. RECUPERAÇÃO DE ARQUIVOS USANDO THE SLEUTH KIT Como já mencionado, o Sleuth Kit é capaz de recuperar arquivos em uma imagem com base nas informações dos sistemas de arquivos presente da partição ou imagem, portanto, está limitado a recuperar arquivos da última formatação da partição. No caso de teste, o Sleuth Kit será utilizado para recuperar arquivos removidos no sistema de arquivos da segunda formatação, já que a primeira formatação foi sobrescrita pela segunda. Para recuperar os arquivos removidos pelo sistema de arquivos, a técnica escolhida utilizará o fls e o icat, que são ferramentas contidas no conjunto do TSK (The Sleuth Kit). O fls será usado para identificar e escanear o sistema de arquivos

da imagem identificando os metadados dos arquivos e diretórios controlados pelo sistema de arquivos. O fls consegue encontrar, inclusive, os metadados de arquivos removidos. O icat será utilizado para recuperar os dados efetivos de um ou mais arquivos dentro de um sistema de arquivos de uma imagem através de sua identificação. No caso do FAT32, a identificação é o número do bloco inicial do arquivo. Como os arquivos recuperados ainda são controlados pelo sistema de arquivos, dados como nome do arquivo, datas de criação, modificação e acesso e tamanho dos arquivos também serão recuperados. O comando utilizado para listar os arquivos removidos recursivamente no sistema de arquivos é: # fls rd imagem.dd A Figura 12 apresenta o resultado do comando na imagem de teste. Figura 12: Listagem dos arquivos removidos ainda reconhecidos pelo sistema de arquivos. Através de uma rápida análise identificam-se 10 arquivos removidos. Através do nome, identificam-se cinco arquivos pertencentes ao sistema de arquivos atual (arquivos com nomes começando em 2 e 3 ), porém, identificam-se, também, pelo nome, cinco arquivos pertencentes à primeira formatação (arquivos com nomes começando em 0 e 1 ). Para recuperar os dados efetivos dos arquivos, a ferramenta icat é utilizada, através do padrão de comando: # icat imagem.dd [identificação] > [nome do arquivo destino] Os comandos executados para recuperar todos os arquivos removidos no sistema de arquivos estão listados na Figura 13: Figura 13: Comandos para recuperar os arquivos encontrados no sistema de arquivos. O número de arquivos recuperados é relativamente pequeno se comparado ao número de arquivos perdidos, porém, todas as informações dos arquivos recuperados, como nome e datas podem ser recuperadas.

3.3. RECUPERAÇÃO DE ARQUIVOS USANDO O FOREMOST Para recuperar dados de arquivos de um sistema de arquivos danificado ou após uma formatação, ou seja, arquivos não controlados pelo sistema de arquivos, mas ainda existentes na superfície do disco, será utilizado o Foremost. Como o Foremost se baseia nos padrões dos arquivos, ele não depende do sistema de arquivos para localizar e recuperar arquivos e, portanto, é capaz de recuperar arquivos ainda existentes na superfície do disco, mesmo que o sistema de arquivos não os conheça. O Foremost conhece uma grande diversidade de tipos de arquivos, incluindo JPEG, PNG, GIF, arquivos Microsoft Office (como DOC e PPT), HTML etc. Além disso, por possuir uma implementação genérica, é possível cadastrar novos padrões para a identificação de outros tipos de arquivos. Para recuperar os arquivos da imagem de teste, o seguinte comando é utilizado: # foremost o resultado2 imagem.dd Através do arquivo de sumário criado pelo Foremost (audit.txt) pode-se fazer uma análise rápida do resultado do Foremost. A Figura 14 apresenta o resumo dos arquivos recuperados pelo Foremost. Figura 14: Resumo de arquivos recuperados pelo Foremost. O Foremost é capaz de recuperar diversos tipos de arquivos, como mostra a Figura 14. A quantidade total de arquivos que passaram pela imagem é 34, portanto, o Foremost, provavelmente, recuperou vários arquivos mais de uma vez. Os 11 arquivos contidos no sistema de arquivos atual também devem estar entre os arquivos recuperados. Para facilitar a análise dos arquivos recuperados, os arquivos recuperados foram divididos em dois diretórios: Resultado1 e Resultado2, que receberam os arquivos recuperados pelo Sleuth Kit e pelo Foremost respectivamente. 3.4. CLASSIFICAÇÃO DOS ARQUIVOS RECUPERADOS Para facilitar a identificação dos arquivos recuperados, foi criado, inicialmente, um diretório contendo a hierarquia de todos os arquivos que passaram pela imagem. Através do comando fdupes é possível identificar os arquivos recuperados, principalmente para o caso do Foremost, que não recupera metadados, como nome do arquivo, identificando-se, inclusive, quais, dentre os arquivos recuperados, ainda estão no sistema de arquivos atual da imagem. Os arquivos que não forem identificados pelo fdupes, provavelmente, estarão corrompidos ou incompletos. Levando em consideração que os diretórios com os arquivos recuperados (Resultado1 e Resultado2), o diretório contendo a hierarquia original e o diretório

onde o sistema de arquivos atual da imagem está montado estão no mesmo diretório, o comando executado para identificar os arquivos foi: # fdupes r. A Figura 15 mostra um trecho do resultado apresentado pelo fdupes: Figura 15: Trecho da identificação dos arquivos recuperados. Através de uma análise rápida, pode-se perceber que o Foremost recuperou vários arquivos replicados e outros arquivos também controlados pelo sistema de arquivos e muitos que não foram encontrados na hierarquia original, que, provavelmente, estão corrompidos. Já o Sleuth Kit recuperou menos arquivos, porém, trazendo metadados, além de superar as expectativas, trazendo arquivos da primeira formatação. Por fim, para identificar, de uma forma visual, os arquivos não identificados através do fdupes, serão utilizados programas de visualização de arquivos, de acordo com o tipo do arquivo recuperado. 4. RESULTADOS A identificação final dos arquivos pode ser visualizada no Quadro 9. Quadro 9: Identificação de arquivos recuperados. Arquivos Arquivos recuperados pelo recuperados pelo The Sleuth Kit Foremost Arquivos Originais png/00086685.png - 0a.png - jpg/00099413.jpg - 0c.jpg - jpg/00113384.jpg - 0f.jpg - - - 0g.doc - - - 0h.MP4 - pdf/00091556.pdf - 0i.pdf - jpg/00096602.jpg - 0j.jpg - png/00114613.png - 1b.png - pdf/00115512.pdf - 1c.pdf - docx/00151377.docx orphan/1d~1.doc 1d.docx - Arquivos na formatação Formatação Atual

avi/00116782.avi orphan/1e.avi 1e.avi - - - 1f.mp3 - docx/00113663.docx - 1h.docx - - - 2f.doc - docx/00003281.docx 2h.docx 2h.docx - jpg/00004054.jpg - 2i.jpg 2i.jpg docx/00011058.docx - 3d.docx 3d.docx docx/00011106.docx 3g.docx 3g.docx - - - 3h.docx 3h.docx - orphan/0d.mp3 diretorio1/0d.mp3 - jpg/00102111.jpg orphan/0e.jpg diretorio1/0e.jpg - - orphan/1i.doc diretorio1/1i.doc - png/00004956.png - diretorio1/2a.png diretorio1/2a.png png/00016494.png - diretorio1/3e.png diretorio1/3e.png jpg/00016540.jpg diretorio1/3f.jpg diretorio1/3f.jpg - png/00009874.png png/00017520.png diretorio2/2j.png diretorio2/2j.png - jar/00018780.jar - diretorio2/3a.jar diretorio2/3a.jar xlsx/00018757.xlsx - diretorio2/3b.xlsx diretorio2/3b.xlsx docx/00017317.docx - diretorio2/3c.docx diretorio2/3c.docx jpg/00003788.jpg - diretorio3/2b.jpg - - diretorio3/2c.jude diretorio3/2c.jude zip/00003857.zip - diretorio3/2e.zip diretorio3/2e.zip png/00012632.png - diretorio3/3i.mp3 diretorio3/3i.mp3 png/00012632.png diretorio3/3j.png diretorio3/3j.png - Após a identificação dos arquivos recuperados, pode-se ter uma noção melhor do resultado do teste. Os arquivos mostrados em laranja apresentaram algum tipo de problema, mas ainda puderam ser aproveitados, ou seja, apesar de estarem corrompidos ou incompletos, de certa forma, os dados recuperados ainda faziam sentido e puderam ser usados. No caso do vídeo, por exemplo, a reprodução apresentou algumas falhas, porém o vídeo foi reproduzido até o final. 4.1. RESULTADOS DO SLEUTH KIT Para analisar o caso do Sleuth Kit, para o caso de arquivos não removidos recuperados da formatação atual, será adotado o valor total dos arquivos existentes, uma vez que o método adotado permitira a recuperação de qualquer arquivo não removido ainda existente na segunda formatação. Dentre os sete arquivos removidos da segunda partição, apenas dois não foram recuperados, entretanto, essa falta é compensada pela recuperação de cinco arquivos da formatação anterior. O Gráfico 1 apresenta, de forma quantitativa, os arquivos recuperados pelo Sleuth Kit nas duas formatações:

Gráfico 1: Relação quantitativa de arquivos recuperados pelo Sleuth Kit. 40 35 30 25 20 15 10 5 0 5 12 Não removidos 0 4 5 16 11 11 Removidos Total Não removidos 5 7 Removidos 16 18 Total 21 34 Priemira Formatação Segunda Formatação Total Geral Recuperados pelo Sleuth Kit Total de arquivos Como demonstrado pelo Gráfico 1, o Sleuth Kit, na segunda formatação, é capaz de recuperar, obviamente, todos os arquivos não removidos, e chega muito perto de recuperar todos os arquivos removidos na partição. Entretanto, na primeira formatação, o Sleuth Kit foi capaz de recuperar apenas cinco arquivos, que, provavelmente, pelos números dos blocos listados pelo comando fls, foram arquivos identificados e separados pelo próprio formatador, e não pelo Sleuth Kit. 4.2. RESULTADOS DO FOREMOST Dentre os 101 arquivos recuperados pelo Foremost, apenas 27 estão entre os arquivos existentes na hierarquia original. Arquivos não presentes na hierarquia original foram encontrados no conteúdo de outros arquivos (como imagens dentro de documentos do Word ou PDFs) e foram ignorados na análise dos resultados, juntamente com os arquivos duplicados (recuperados mais de uma vez). Dentre os 11 arquivos existentes na formatação atual, dois não foram recuperados e dentre os 34 da hierarquia original, oito não foram recuperados. O Gráfico 2 apresenta, quantitativamente, os arquivos recuperados da primeira e segunda formatação (separados em arquivos removidos e arquivos não removidos).

Gráfico 2: Relação quantitativa de arquivos recuperados pelo Foremost. 40 35 30 25 20 15 10 5 0 8 12 Não removidos 3 4 11 16 9 11 Removidos Total Não removidos 6 7 Removidos 15 18 Total 26 34 Priemira Formatação Segunda Formatação Total Geral Recuperados pelo Foremost Total de arquivos Percebe-se que o Foremost, principalmente na segunda formatação, chegou muito perto de recuperar todos os arquivos da formatação. Dentre os não recuperados, nessa formatação, um arquivo possui formato não reconhecido pelo Foremost, portanto, se levarmos em consideração, apenas os formatos que ele propõe recuperar, teremos apenas dois arquivos não recuperados. Dentre o total de arquivos da hierarquia original, dois não possuem formato reconhecido pelo Foremost, e, portanto, não puderam ser identificados por ele. O restante dos arquivos não recuperados podem não ter sido encontrados por dois motivos possíveis: a) Os arquivos foram sobrescritos: nesse caso, o Foremost não encontrou os arquivos porque o local onde o padrão do arquivo, usado pelo Foremost para reconhecê-lo, foi sobrescrito por outro arquivo. b) Os arquivos foram fragmentados: em alguns casos, o arquivo pode ser fragmentado pelo sistema de arquivos, impossibilitando sua recuperação total ou mesmo parcial. O Gráfico 3 apresenta a comparação de arquivos recuperados e não recuperados em bytes. Gráfico 3: Relação de dados recuperados em MegaBytes. 72.1MB 77.5MB 85.7MB 28.7MB 34MB 42.1MB 5.2MB 5.4MB 4.2MB 4.2MB 3.9MB 3.9MB 8.1MB 8.2MB Não removidos Removidos Total Não removidos Removidos Total Priemira Formatação Segunda Formatação Total Geral Recuperados pelo Foremost Total de arquivos

A diferença significativa entre os dados recuperados e os dados encontrados está num arquivo de 42MB que não possui um formato reconhecido pelo Foremost. Se tirarmos o valor desse arquivo, os dados recuperados ficam muito próximos dos dados na hierarquia original, como mostra o Gráfico 4 (sem levar em consideração os arquivos com formato não reconhecido pelo Foremost). Gráfico 4: Relação de dados recuperados em MegaBytes sem considerar os formatos não reconhecidos pelo Foremost. 42.1MB 42.9MB 28.7MB 29.3MB 34MB 34.7MB 5.2MB 5.4MB 4.2MB 4.2MB 3.9MB 3.9MB 8.1MB 8.1MB Não removidos Removidos Total Não removidos Removidos Total Priemira Formatação Segunda Formatação Total Geral Recuperados pelo Foremost Total de arquivos Como visto no Gráfico 4, sem levar em consideração os dados de arquivos não reconhecidos pelo Foremost, ou seja, se levarmos em consideração apenas o que a ferramenta promete recuperar, tem-se um resultado muito mais positivo, já que a quantidade de dados recuperados é extremamente próxima a quantidade total de dados contidos na hierarquia original dos dados. 4.3. COMPARAÇÂO DE RESULTADOS Em relação à segunda formatação, os resultados são muito próximos, uma vez que ambas as ferramentas conseguiram recuperar quase todos os arquivos existentes (apagados ou não). O Sleuth Kit, porém, conseguiu um resultado um pouco melhor, tanto em quantidade quanto em qualidade, já que trás, mais dados recuperados e, além disso, trás os metadados desses arquivos, informações muito úteis na recuperação de arquivos. Já em relação à primeira formatação, o Foremost obteve um resultado melhor, já que trouxe muito mais dados do que o Sleuth Kit, porém, o Sleuth Kit superou as expectativas e encontrou alguns arquivos da primeira formatação, mesmo não tendo isso como objetivo inicial. 5. CONCLUSÃO Após a análise, classificação e catalogação dos arquivos recuperados, podese constatar, em geral, o que já havia sido previsto. O Foremost possui a capacidade de recuperar arquivos sem levar em consideração o sistema de arquivos atual, possibilitando a recuperação de arquivos presentes na formatação atual, removidos e até de formatações passadas, enquanto o Sleuth Kit possui a

capacidade de recuperar arquivos baseando-se no sistema de arquivos atual, podendo recuperar, inclusive, metadados do arquivo, não podendo, porém, recuperar arquivos de formatações passadas. Deve-se dar um destaque à recuperação, inesperada, de arquivos da primeira formatação pelo Sleuth Kit. Como os arquivos, teoricamente, não eram mais conhecidos pelo sistema de arquivos atual, não haveria como a ferramenta encontra-los, porém, no momento da formatação, esses arquivos foram encontrados e alocados em uma pasta utilizada pelo sistema de arquivos para armazenar arquivos perdidos, possibilitando à ferramenta encontra-los e recuperá-los. Apesar de inusitada e não confiável, a recuperação de arquivos dessa forma pode ser muito útil durante um trabalho de perícia. 5.1. TRABALHOS FUTUROS Como trabalhos futuros, pode-se realizar novas análises utilizando novas ferramentas, como a ferramenta Autopsy, citada anteriormente, para verificar se outros arquivos podem ser recuperados e se novos resultados podem ser obtidos. Aconselha-se também, realizar novos testes utilizando mais formatos de arquivos não reconhecidos pelo Foremost para explorar ainda mais a capacidade de recuperação de ambas as ferramentas. 6. RESUMO NA LÍNGUA ESTRATNGEIRA DATA RECOVERING FROM FAT32 FILE SYSTEMS GABRIEL ALEXANDRE DE FREITAS SILVA Abstract: Knowing that the computer forensics aimed at determining the dynamics, materiality and authorship of illegality in computer science, and that the recovery of files from storage media has a fundamental role in performing this task, this empirical research has as objective to verify at what level the files saved on a storage media can be recovered. As there is a great diversity of files systems currently used and a range of tools available to perform the task of data recovery, it was chosen to define a scope that encompasses file recovery specifically in FAT32, since it is the file system most used on removable media storage currently. To perform this analysis, the operation of some tools and file systems, used by experts, was studied and two tools among them were selected (The Sleuthkit and Foremost), each one using a different data recovery technique, for mounting the test cases (experiments) and then analyzing the results of the data recovering process. After the execution of test cases and analyzing the results it was possible to measure the efficiency of each technique and tool and identify cases where the results of each of them can be put to better use. Keywords: FAT32. Data Recovering. Sleuth Kit. Foremost.

7. REFERÊNCIAS CNWRECOVERY. Data Carving. Disponível em <http://www.cnwrecovery.com/guide/html/data_carving.html>. Acesso em: 03 jul. 2013. ELEUTÉRIO, Pedro Monteiro da Silva; MACHADO, Marcio Pereira. Desvendando a Computação Forense. São Paulo: Novatec, 2011. FOREMOST. Introduction. Disponível em <http://foremost.sourceforge.net/>; Acessado em: 05 mai. 2013. MICROSOFT CORPORATION. FAT32 File System Specification. 2000. MORIMOTO, Carlos; Sistemas de arquivos. 2005. Disponível em < http://www.hardware.com.br/termos/sistema-de-arquivos>; Acessado em 05 set. 2013. MOTA FILHO, João Eriberto. Descobrindo o Linux. 3 ed. São Paulo: Novatec, 2012. MUELLER Richard, BRUNO Luigi, The FAT File System. Disponível em http://social.technet.microsoft.com/wiki/contents/articles/6771.the-fat-filesystem.aspx>; Acessado em: 06 jun. 2013. SILVA SANTOS, Diego Ribeiro. Importância das Técnicas de Recuperação de Arquivos. Brasília: Edição própria. 2012. STOFFREGEN, Paul. Understanding FAT32 Filesystems. 2005. Disponível em <http://www.pjrc.com/tech/8051/ide/fat32.html>; Acessado em: 05 mai 2013. THE SLEUTH KIT. Home. Disponível em <http://www.sleuthkit.org/>; Acessado em: 05 mai 2013. VACCA, John R. Computer Forensics: Computer Crime Scene Investigation. 2a ed. Boston: Charles River Media, 2005.