SlideShare uma empresa Scribd logo

Perícia Forense - Análise dos Sistemas de Arquivos

Thaís Favore
Thaís Favore

O documento discute técnicas de análise forense de sistemas de arquivos para investigar invasões, incluindo preparar o sistema de arquivos da vítima, capturar informações de arquivos, enviar imagens de disco pela rede, analisar MACtimes e hashes de arquivos existentes e excluídos, e rastrear arquivos excluídos até sua localização original.

Internet
1 de 27
Baixar para ler offline
Perícia Forense Análise dos Sistemas de Arquivos IANN NAVAS RODOLFO GONÇALVES SOFIA TRINDADE THAÍS FAVORE PROFº GUILHERME SONCINI DA COSTA
Introdução •Um sistema de arquivos é um conjunto de estruturas lógicas e de rotinas, que permitem ao sistema operacional controlar o acesso ao disco rígido. •Exemplo de invasão comum à protocolo de compartilhamento de arquivos.
Preparando o sistema de arquivos da vítima para análise •Ferramenta grave-roober; ◦ Captura informações, atributos como registros de data/hora de acesso arquivos de configurações e arquivos de log. •Exatidão das informações dependem da integridade da máquina e versão do Kernel.
Capturando informações de arquivos da vítima •Copiar arquivos individuais: Apenas copia o conteúdo dos arquivos (Data/Hora de acessos são perdidas por exemplo); •Fazer um backup: Informações a mais como data e hora da modificação mas não de último acesso. Backup não captura arquivos excluídos.
Capturando informações de arquivos da vítima •Copiar partições de discos individuais: Cria uma cópia idêntica incluindo informações até dos espaços não alocados, técnica neutra; •Copiar disco inteiro: Cópia idêntica de todas as informações do disco, incluindo todos os espaços de armazenamento.
Enviando uma imagem de disco pela rede •Quando os discos ficam conectados nas máquina da vítima, o procedimento de geração de imagens pode ser muito simples; •1º exemplo de geração de imagem: deve ser usado em uma rede confiável (Remover a máquina da vítima da rede, e conectar diretamente na rede do investigador).
Enviando uma imagem de disco pela rede
Enviando uma imagem de disco pela rede •2º exemplo de geração de imagem: quando a rede não é confiável deve-se usar criptografia;
Montando as imagens de disco em umá máquina de análise •Cuidados são necessários para montar uma imagem, tais como desativar programas não-confiáveis, desativar arquivos no sistema de arquivos em que a imagem foi gerada.
Montando as imagens de disco em uma máquina de análise •É necessário cuidado ao montar imagens de disco a partir de uma máquina não confiável. O objetivo é que a imagem montada possa ser lida, para evitar alteração de dados. Quando se trabalha com imagens de discos inteiros as coisas se complicam, pois, é necessário analisar múltiplas partições.
E se o Netcat não estiver disponível para receber ou enviar imagem de disco? •Uma das opções então é fazer o download de 200 kbytes dos arquivos-fonte e compilar um programa C a fim de criar o programa executável Netcat. Mas isso poderia causar vários danos às informações excluídas e existentes. Nessas situações um programa Perl consegue realizar o trabalho.
MACtimes de arquivos existentes •O comando MACtime produz um relatório com a data/hora dos arquivos (de acordo com o fuso horário padrão), a partir dos arquivos de log do sistema.
Análise detalhada dos arquivos existentes •Para isso, recomenda-se dividir o relatório MACtime em partes menores de informações. Para compararmos um arquivo desconhecido com uma grande lista de arquivos conhecidos, e ao mesmo tempo economizar tempo e espaço, podemos comparar seus hashes MD5, hashes criptografados.
Análise detalhada dos arquivos existentes •Arquivos que fazem referência tanto a um programa de login como um programa interpretador de comandos são suspeitos, pois permitem que alguns usuários driblem o procedimento de login do sistema. •O próximo passo é procurar indícios a partir de arquivos excluídos, que podem confirmar ou contradizer essas descobertas.
O que acontece quando um arquivo é excluído? •Quando um arquivo é excluído, o nome do arquivo desaparece de uma listagem de diretório. Alguns sistemas de arquivos (como o FAT16 e FAT32) apenas ocultam o nome do arquivo de uma maneira especial, subentendendo- se assim que estes foram excluídos. Já outros, não preservam as conexões entre as entradas de diretório e os atributos de arquivo, tornando-se assim o processo de exclusão mais destrutivo.
Entrada do diretório pai •Na exclusão de um arquivo, a entrada de diretório com o nome do arquivo e número de inode é marcada como não utilizada; •O nome dos arquivos excluídos ainda podem ser encontrados lendo o diretório com o comando strings. ◦ Já no caso do Linux, como este não permite a leitura de diretórios por usuários, é possível contornar essa restrição utilizando o utilitário icat.
Atributos do diretório pai •Os atributos de última leitura, última modificação e última alteração do status do diretório são todos os configurados com data/hora dessa atualização. Portanto, mesmo se o próprio arquivo excluído não estiver mais disponível, a data/hora da última modificação no diretório revelará a atividade passada dentro desse diretório.
Blocos de inode •Nos sistemas UNIX, ainda pode haver um arquivo excluído ativo. Algum processo ainda pode ter o arquivo aberto para leitura ou outras atividades. O utilitário ils tem uma opção para localizar esses arquivos excluídos que continuam ativos no sistemas, sendo possível assim deletá-los. Depois de serem deletados, o bloco de inode é marcado como não utilizado no bitmap de alocação de inodes.
Blocos de dados •Blocos de dados de um arquivo excluído são marcados como não utilizados no bitmap de alocação de blocos de dados, mas seu conteúdo permanece inalterado. O sistema de arquivos Ext2fs do Linux tem opção para apagar blocos de dados de arquivos na exclusão, mas esse recurso atualmente não está implementado.
MACtimes de arquivos excluídos •A análise MACtime revela indicações sobre o que o usuário fez e quando fez nos arquivos analisados. Com o utilitário grave-robber é possível coletar informações sobre o arquivo excluído, e estas serão utilizadas para investigação.
Análise de arquivos excluídos •Foi utilizado o comando icat para recuperar o conteúdo dos arquivos excluídos. Antes, infelizmente, devido a seus números de inode, eles eram irrecuperáveis. Os arquivos foram truncados antes de serem excluídos. A recuperação destes com o icat foi mais bem sucedida, pois eles foram facilmente identificados pelo hash MD5, que é um algoritmo que busca identificar arquivos ou informações.
Reconhecendo arquivos fora do lugar pelo seu número de inode •À medida que o sistema operacional é instalado no disco e à medida que os arquivos são criados, os números de inode são atribuídos pelo sistema de arquivos. Normalmente, o sistema operacional base é instalado em um diretório de cada vez. Portanto, entradas sucessivas nos diretórios de sistema tendem a ter números de inode sucessivos, facilitando assim o reconhecimento dos arquivos.
Rastreando um arquivo excluído até sua localização original •Com implementação do Linux Ext2fs ou FreeBSD, existe maneiras fáceis de se rastrear o arquivo no seu local original de criação; •Criação de relatórios e rastrear diretórios excluídos; ◦ Fls do Sheuth Kit. ◦ Ferramenta ffind.
Rastreamento do arquivo excluído pelo seu inode •Todas informações de um pequeno arquivo podem ser encontradas na mesma zona; •Classificamos todos os arquivos por um número de inode para examinar os números das áreas mais prováveis. ◦ Inode: Estrutura de dados que possui informações sobre arquivo ou diretório.
Filho prodígio volta pra casa •Em sua segunda visita o invasor instalou um arquivo cujo inode (60257) estava muito fora da sequência dos arquivos próximos. Seguindo a análise pode se supor que o arquivo do invasor foi criado em outra zona e foi movido para a zona atual /bin/login/.
Perda da inocência •Pode-se ver que o invasor não teve o capricho de apagar os rastros deixados durante a criação e a transferência do arquivo nos diretórios, com isso é possível concluir que foi utilizada uma invasão rápida e automatizada;
Perda da inocência •A ausência de preocupação pode ser associada com ataques de grandes redes de computadores, para que esse tipo de invasão seja eficaz é preciso um batalhão de sistemas a sua disposição, assim quando um soldado é abatido é fácil de ser substituído.

Recomendados

Perícia Forense - Análise dos Sistemas de Arquivos
Perícia Forense - Análise dos Sistemas de ArquivosPerícia Forense - Análise dos Sistemas de Arquivos
Perícia Forense - Análise dos Sistemas de ArquivosSofia Trindade
 
Dispositivos de Bloco
Dispositivos de BlocoDispositivos de Bloco
Dispositivos de BlocoIvani Nascimento
 
DESMISTIFICANDO A FSTAB - Ricardo José Maraschini
DESMISTIFICANDO A FSTAB - Ricardo José Maraschini DESMISTIFICANDO A FSTAB - Ricardo José Maraschini
DESMISTIFICANDO A FSTAB - Ricardo José Maraschini Tchelinux
 
Arquivos de Inicialização do Linux
Arquivos de Inicialização do LinuxArquivos de Inicialização do Linux
Arquivos de Inicialização do LinuxIvani Nascimento
 
Introdução Linux
Introdução LinuxIntrodução Linux
Introdução LinuxIvani Nascimento
 
SO-08 Sistemas de Arquivos
SO-08 Sistemas de ArquivosSO-08 Sistemas de Arquivos
SO-08 Sistemas de ArquivosEduardo Nicola F. Zagari
 
Sistema de arquivos
Sistema de arquivosSistema de arquivos
Sistema de arquivosVirgínia
 
Estrutura de diretorios
Estrutura de diretoriosEstrutura de diretorios
Estrutura de diretoriosIvani Nascimento
 

Recomendados

Perícia Forense - Análise dos Sistemas de Arquivos
Perícia Forense - Análise dos Sistemas de ArquivosPerícia Forense - Análise dos Sistemas de Arquivos
Perícia Forense - Análise dos Sistemas de ArquivosSofia Trindade
 
Dispositivos de Bloco
Dispositivos de BlocoDispositivos de Bloco
Dispositivos de BlocoIvani Nascimento
 
DESMISTIFICANDO A FSTAB - Ricardo José Maraschini
DESMISTIFICANDO A FSTAB - Ricardo José Maraschini DESMISTIFICANDO A FSTAB - Ricardo José Maraschini
DESMISTIFICANDO A FSTAB - Ricardo José Maraschini Tchelinux
 
Arquivos de Inicialização do Linux
Arquivos de Inicialização do LinuxArquivos de Inicialização do Linux
Arquivos de Inicialização do LinuxIvani Nascimento
 
Introdução Linux
Introdução LinuxIntrodução Linux
Introdução LinuxIvani Nascimento
 
SO-08 Sistemas de Arquivos
SO-08 Sistemas de ArquivosSO-08 Sistemas de Arquivos
SO-08 Sistemas de ArquivosEduardo Nicola F. Zagari
 
Sistema de arquivos
Sistema de arquivosSistema de arquivos
Sistema de arquivosVirgínia
 
Estrutura de diretorios
Estrutura de diretoriosEstrutura de diretorios
Estrutura de diretoriosIvani Nascimento
 
Gerenciamento de Arquivos Nos Sistemas Operacionais
Gerenciamento de Arquivos Nos Sistemas OperacionaisGerenciamento de Arquivos Nos Sistemas Operacionais
Gerenciamento de Arquivos Nos Sistemas OperacionaisLeandro Júnior
 
Sistemas Operacionais - Gnu/Linux Gerenciamento de Arquivos
Sistemas Operacionais - Gnu/Linux Gerenciamento de ArquivosSistemas Operacionais - Gnu/Linux Gerenciamento de Arquivos
Sistemas Operacionais - Gnu/Linux Gerenciamento de ArquivosLuiz Arthur
 
Linux instalação
Linux instalaçãoLinux instalação
Linux instalaçãoMarcosfShirafuchi
 
Sistemas operacionais sistemas de arquivos-atualizado-senai
Sistemas operacionais sistemas de arquivos-atualizado-senaiSistemas operacionais sistemas de arquivos-atualizado-senai
Sistemas operacionais sistemas de arquivos-atualizado-senaiCarlos Melo
 
Sistemas operacionais de redes particionamento de discos ii
Sistemas operacionais de redes particionamento de discos iiSistemas operacionais de redes particionamento de discos ii
Sistemas operacionais de redes particionamento de discos iiCarlos Melo
 
Obtendo ajuda no Linux
Obtendo ajuda no LinuxObtendo ajuda no Linux
Obtendo ajuda no LinuxIvani Nascimento
 
Aula 3: Introdução a sistema de arquivos
Aula 3: Introdução a sistema de arquivosAula 3: Introdução a sistema de arquivos
Aula 3: Introdução a sistema de arquivoscamila_seixas
 
Aula 05 informática aplicada - discos e sistemas de arquivos
Aula 05 informática aplicada - discos e sistemas de arquivosAula 05 informática aplicada - discos e sistemas de arquivos
Aula 05 informática aplicada - discos e sistemas de arquivosRobson Ferreira
 
Linux - Partições e Raid
Linux - Partições e RaidLinux - Partições e Raid
Linux - Partições e RaidFrederico Madeira
 
Apostila 8 sistema de arquivos
Apostila 8 sistema de arquivosApostila 8 sistema de arquivos
Apostila 8 sistema de arquivosPaulo Fonseca
 
Linux x Windowns
Linux x WindownsLinux x Windowns
Linux x WindownsSENAC RIO
 
Gerência de Armazenamento: Sistemas de Entrada e Saída
Gerência de Armazenamento: Sistemas de Entrada e SaídaGerência de Armazenamento: Sistemas de Entrada e Saída
Gerência de Armazenamento: Sistemas de Entrada e SaídaAlexandre Duarte
 
Sistemas de arquivos
Sistemas de arquivosSistemas de arquivos
Sistemas de arquivosIvani Nascimento
 
Curso Linux
Curso LinuxCurso Linux
Curso Linuxapantaliao
 
Operadores de redirecionamento
Operadores de redirecionamentoOperadores de redirecionamento
Operadores de redirecionamentoIvani Nascimento
 
Sistemas de Arquivos do Windows
Sistemas de Arquivos do WindowsSistemas de Arquivos do Windows
Sistemas de Arquivos do WindowsJoeldson Costa Damasceno
 
Discos e sistemas de arquivos em Linux
Discos e sistemas de arquivos em LinuxDiscos e sistemas de arquivos em Linux
Discos e sistemas de arquivos em LinuxFábio dos Reis
 
Diretórios linux
Diretórios linuxDiretórios linux
Diretórios linuxssuser64f954
 
Programação para Kernel Linux - Parte 1
Programação para Kernel Linux - Parte 1Programação para Kernel Linux - Parte 1
Programação para Kernel Linux - Parte 1Ivo Calado
 
Comandos linux
Comandos linuxComandos linux
Comandos linuxIvani Nascimento
 
Material sobre sistemas de arquivos do Windows,como é a organização e o supor...
Material sobre sistemas de arquivos do Windows,como é a organização e o supor...Material sobre sistemas de arquivos do Windows,como é a organização e o supor...
Material sobre sistemas de arquivos do Windows,como é a organização e o supor...Julio Oliveira
 
PERSISTÊNCIA DAS INFORMAÇÕES DE ARQUIVOS EXCLUÍDOS
PERSISTÊNCIA DAS INFORMAÇÕES DE ARQUIVOS EXCLUÍDOSPERSISTÊNCIA DAS INFORMAÇÕES DE ARQUIVOS EXCLUÍDOS
PERSISTÊNCIA DAS INFORMAÇÕES DE ARQUIVOS EXCLUÍDOSVanessa Finoto
 

Mais conteúdo relacionado

Mais procurados

Gerenciamento de Arquivos Nos Sistemas Operacionais
Gerenciamento de Arquivos Nos Sistemas OperacionaisGerenciamento de Arquivos Nos Sistemas Operacionais
Gerenciamento de Arquivos Nos Sistemas OperacionaisLeandro Júnior
 
Sistemas Operacionais - Gnu/Linux Gerenciamento de Arquivos
Sistemas Operacionais - Gnu/Linux Gerenciamento de ArquivosSistemas Operacionais - Gnu/Linux Gerenciamento de Arquivos
Sistemas Operacionais - Gnu/Linux Gerenciamento de ArquivosLuiz Arthur
 
Sistemas operacionais sistemas de arquivos-atualizado-senai
Sistemas operacionais sistemas de arquivos-atualizado-senaiSistemas operacionais sistemas de arquivos-atualizado-senai
Sistemas operacionais sistemas de arquivos-atualizado-senaiCarlos Melo
 
Sistemas operacionais de redes particionamento de discos ii
Sistemas operacionais de redes particionamento de discos iiSistemas operacionais de redes particionamento de discos ii
Sistemas operacionais de redes particionamento de discos iiCarlos Melo
 
Aula 3: Introdução a sistema de arquivos
Aula 3: Introdução a sistema de arquivosAula 3: Introdução a sistema de arquivos
Aula 3: Introdução a sistema de arquivoscamila_seixas
 
Aula 05 informática aplicada - discos e sistemas de arquivos
Aula 05 informática aplicada - discos e sistemas de arquivosAula 05 informática aplicada - discos e sistemas de arquivos
Aula 05 informática aplicada - discos e sistemas de arquivosRobson Ferreira
 
Apostila 8 sistema de arquivos
Apostila 8 sistema de arquivosApostila 8 sistema de arquivos
Apostila 8 sistema de arquivosPaulo Fonseca
 
Linux x Windowns
Linux x WindownsLinux x Windowns
Linux x WindownsSENAC RIO
 
Gerência de Armazenamento: Sistemas de Entrada e Saída
Gerência de Armazenamento: Sistemas de Entrada e SaídaGerência de Armazenamento: Sistemas de Entrada e Saída
Gerência de Armazenamento: Sistemas de Entrada e SaídaAlexandre Duarte
 
Operadores de redirecionamento
Operadores de redirecionamentoOperadores de redirecionamento
Operadores de redirecionamentoIvani Nascimento
 
Discos e sistemas de arquivos em Linux
Discos e sistemas de arquivos em LinuxDiscos e sistemas de arquivos em Linux
Discos e sistemas de arquivos em LinuxFábio dos Reis
 
Programação para Kernel Linux - Parte 1
Programação para Kernel Linux - Parte 1Programação para Kernel Linux - Parte 1
Programação para Kernel Linux - Parte 1Ivo Calado
 

Mais procurados (20)

Gerenciamento de Arquivos Nos Sistemas Operacionais
Gerenciamento de Arquivos Nos Sistemas OperacionaisGerenciamento de Arquivos Nos Sistemas Operacionais
Gerenciamento de Arquivos Nos Sistemas Operacionais
 
Sistemas Operacionais - Gnu/Linux Gerenciamento de Arquivos
Sistemas Operacionais - Gnu/Linux Gerenciamento de ArquivosSistemas Operacionais - Gnu/Linux Gerenciamento de Arquivos
Sistemas Operacionais - Gnu/Linux Gerenciamento de Arquivos
 
Linux instalação
Linux instalaçãoLinux instalação
Linux instalação
 
Sistemas operacionais sistemas de arquivos-atualizado-senai
Sistemas operacionais sistemas de arquivos-atualizado-senaiSistemas operacionais sistemas de arquivos-atualizado-senai
Sistemas operacionais sistemas de arquivos-atualizado-senai
 
Sistemas operacionais de redes particionamento de discos ii
Sistemas operacionais de redes particionamento de discos iiSistemas operacionais de redes particionamento de discos ii
Sistemas operacionais de redes particionamento de discos ii
 
Obtendo ajuda no Linux
Obtendo ajuda no LinuxObtendo ajuda no Linux
Obtendo ajuda no Linux
 
Aula 3: Introdução a sistema de arquivos
Aula 3: Introdução a sistema de arquivosAula 3: Introdução a sistema de arquivos
Aula 3: Introdução a sistema de arquivos
 
Aula 05 informática aplicada - discos e sistemas de arquivos
Aula 05 informática aplicada - discos e sistemas de arquivosAula 05 informática aplicada - discos e sistemas de arquivos
Aula 05 informática aplicada - discos e sistemas de arquivos
 
Linux - Partições e Raid
Linux - Partições e RaidLinux - Partições e Raid
Linux - Partições e Raid
 
Apostila 8 sistema de arquivos
Apostila 8 sistema de arquivosApostila 8 sistema de arquivos
Apostila 8 sistema de arquivos
 
Linux x Windowns
Linux x WindownsLinux x Windowns
Linux x Windowns
 
Gerência de Armazenamento: Sistemas de Entrada e Saída
Gerência de Armazenamento: Sistemas de Entrada e SaídaGerência de Armazenamento: Sistemas de Entrada e Saída
Gerência de Armazenamento: Sistemas de Entrada e Saída
 
Sistemas de arquivos
Sistemas de arquivosSistemas de arquivos
Sistemas de arquivos
 
Curso Linux
Curso LinuxCurso Linux
Curso Linux
 
Operadores de redirecionamento
Operadores de redirecionamentoOperadores de redirecionamento
Operadores de redirecionamento
 
Sistemas de Arquivos do Windows
Sistemas de Arquivos do WindowsSistemas de Arquivos do Windows
Sistemas de Arquivos do Windows
 
Discos e sistemas de arquivos em Linux
Discos e sistemas de arquivos em LinuxDiscos e sistemas de arquivos em Linux
Discos e sistemas de arquivos em Linux
 
Diretórios linux
Diretórios linuxDiretórios linux
Diretórios linux
 
Programação para Kernel Linux - Parte 1
Programação para Kernel Linux - Parte 1Programação para Kernel Linux - Parte 1
Programação para Kernel Linux - Parte 1
 
Comandos linux
Comandos linuxComandos linux
Comandos linux
 

Semelhante a Perícia Forense - Análise dos Sistemas de Arquivos

Material sobre sistemas de arquivos do Windows,como é a organização e o supor...
Material sobre sistemas de arquivos do Windows,como é a organização e o supor...Material sobre sistemas de arquivos do Windows,como é a organização e o supor...
Material sobre sistemas de arquivos do Windows,como é a organização e o supor...Julio Oliveira
 
PERSISTÊNCIA DAS INFORMAÇÕES DE ARQUIVOS EXCLUÍDOS
PERSISTÊNCIA DAS INFORMAÇÕES DE ARQUIVOS EXCLUÍDOSPERSISTÊNCIA DAS INFORMAÇÕES DE ARQUIVOS EXCLUÍDOS
PERSISTÊNCIA DAS INFORMAÇÕES DE ARQUIVOS EXCLUÍDOSVanessa Finoto
 
Sistemas de arquivos cap 04 (iii unidade)
Sistemas de arquivos cap 04 (iii unidade)Sistemas de arquivos cap 04 (iii unidade)
Sistemas de arquivos cap 04 (iii unidade)Faculdade Mater Christi
 
Sistemas de arquivos feito em latex
Sistemas de arquivos feito em latexSistemas de arquivos feito em latex
Sistemas de arquivos feito em latexBruno Teixeira
 
Sistemas de Arquivos.pptx
Sistemas de Arquivos.pptxSistemas de Arquivos.pptx
Sistemas de Arquivos.pptxstenio medeiros
 
Unidade 3.3 Estrutura de Diretórios Linux
Unidade 3.3 Estrutura de Diretórios LinuxUnidade 3.3 Estrutura de Diretórios Linux
Unidade 3.3 Estrutura de Diretórios LinuxJuan Carlos Lamarão
 
A.S.O 1 Aula1 (1º Unidade)
A.S.O 1 Aula1 (1º Unidade)A.S.O 1 Aula1 (1º Unidade)
A.S.O 1 Aula1 (1º Unidade)Cleiton Cunha
 
(In)secure security software spotlight
(In)secure security software spotlight(In)secure security software spotlight
(In)secure security software spotlightFrancisco Neves
 
Aula 5 - Sistemas Operacionais - Sistema de Arquivos (1).pptx
Aula 5 - Sistemas Operacionais - Sistema de Arquivos (1).pptxAula 5 - Sistemas Operacionais - Sistema de Arquivos (1).pptx
Aula 5 - Sistemas Operacionais - Sistema de Arquivos (1).pptxRicardoCristovao2
 
Sistema Operacional - Aula003
Sistema Operacional - Aula003Sistema Operacional - Aula003
Sistema Operacional - Aula003Cláudio Amaral
 
Módulo 7 – Tratamento de ficheiros.pptx
Módulo 7 – Tratamento de ficheiros.pptxMódulo 7 – Tratamento de ficheiros.pptx
Módulo 7 – Tratamento de ficheiros.pptxBrancaSilva12
 
Aula 04 informática aplicada - comando básicos
Aula 04 informática aplicada - comando básicosAula 04 informática aplicada - comando básicos
Aula 04 informática aplicada - comando básicosRobson Ferreira
 
Módulo 2 - Microsoft Windows 7
Módulo 2 - Microsoft Windows 7Módulo 2 - Microsoft Windows 7
Módulo 2 - Microsoft Windows 7Paulo Guimarães
 
Sistema de ficheiros
Sistema de ficheirosSistema de ficheiros
Sistema de ficheirosATEC
 

Semelhante a Perícia Forense - Análise dos Sistemas de Arquivos (20)

Material sobre sistemas de arquivos do Windows,como é a organização e o supor...
Material sobre sistemas de arquivos do Windows,como é a organização e o supor...Material sobre sistemas de arquivos do Windows,como é a organização e o supor...
Material sobre sistemas de arquivos do Windows,como é a organização e o supor...
 
PERSISTÊNCIA DAS INFORMAÇÕES DE ARQUIVOS EXCLUÍDOS
PERSISTÊNCIA DAS INFORMAÇÕES DE ARQUIVOS EXCLUÍDOSPERSISTÊNCIA DAS INFORMAÇÕES DE ARQUIVOS EXCLUÍDOS
PERSISTÊNCIA DAS INFORMAÇÕES DE ARQUIVOS EXCLUÍDOS
 
Aula 13 instalação de hardware
Aula 13 instalação de hardwareAula 13 instalação de hardware
Aula 13 instalação de hardware
 
Sd01 (si) sistemas de arquivos
Sd01 (si) sistemas de arquivosSd01 (si) sistemas de arquivos
Sd01 (si) sistemas de arquivos
 
Sistemas de arquivos cap 04 (iii unidade)
Sistemas de arquivos cap 04 (iii unidade)Sistemas de arquivos cap 04 (iii unidade)
Sistemas de arquivos cap 04 (iii unidade)
 
Sistemas de arquivos feito em latex
Sistemas de arquivos feito em latexSistemas de arquivos feito em latex
Sistemas de arquivos feito em latex
 
teAula 11
teAula 11teAula 11
teAula 11
 
Sistemas de Arquivos.pptx
Sistemas de Arquivos.pptxSistemas de Arquivos.pptx
Sistemas de Arquivos.pptx
 
Unidade 3.3 Estrutura de Diretórios Linux
Unidade 3.3 Estrutura de Diretórios LinuxUnidade 3.3 Estrutura de Diretórios Linux
Unidade 3.3 Estrutura de Diretórios Linux
 
Formatação
FormataçãoFormatação
Formatação
 
Coroner's toolkit
Coroner's toolkitCoroner's toolkit
Coroner's toolkit
 
A.S.O 1 Aula1 (1º Unidade)
A.S.O 1 Aula1 (1º Unidade)A.S.O 1 Aula1 (1º Unidade)
A.S.O 1 Aula1 (1º Unidade)
 
(In)secure security software spotlight
(In)secure security software spotlight(In)secure security software spotlight
(In)secure security software spotlight
 
Kali linux
Kali linux Kali linux
Kali linux
 
Aula 5 - Sistemas Operacionais - Sistema de Arquivos (1).pptx
Aula 5 - Sistemas Operacionais - Sistema de Arquivos (1).pptxAula 5 - Sistemas Operacionais - Sistema de Arquivos (1).pptx
Aula 5 - Sistemas Operacionais - Sistema de Arquivos (1).pptx
 
Sistema Operacional - Aula003
Sistema Operacional - Aula003Sistema Operacional - Aula003
Sistema Operacional - Aula003
 
Módulo 7 – Tratamento de ficheiros.pptx
Módulo 7 – Tratamento de ficheiros.pptxMódulo 7 – Tratamento de ficheiros.pptx
Módulo 7 – Tratamento de ficheiros.pptx
 
Aula 04 informática aplicada - comando básicos
Aula 04 informática aplicada - comando básicosAula 04 informática aplicada - comando básicos
Aula 04 informática aplicada - comando básicos
 
Módulo 2 - Microsoft Windows 7
Módulo 2 - Microsoft Windows 7Módulo 2 - Microsoft Windows 7
Módulo 2 - Microsoft Windows 7
 
Sistema de ficheiros
Sistema de ficheirosSistema de ficheiros
Sistema de ficheiros
 

Mais de Thaís Favore

Intrusos e Honeypots
Intrusos e HoneypotsIntrusos e Honeypots
Intrusos e HoneypotsThaís Favore
 
Categorias de escalonamento e objetivos do algoritmo de escalonamento
Categorias de escalonamento e objetivos do algoritmo de escalonamentoCategorias de escalonamento e objetivos do algoritmo de escalonamento
Categorias de escalonamento e objetivos do algoritmo de escalonamentoThaís Favore
 

Mais de Thaís Favore (6)

Intrusos e Honeypots
Intrusos e HoneypotsIntrusos e Honeypots
Intrusos e Honeypots
 
Projeto
ProjetoProjeto
Projeto
 
Oracle
OracleOracle
Oracle
 
Mouse Ocular
Mouse OcularMouse Ocular
Mouse Ocular
 
Categorias de escalonamento e objetivos do algoritmo de escalonamento
Categorias de escalonamento e objetivos do algoritmo de escalonamentoCategorias de escalonamento e objetivos do algoritmo de escalonamento
Categorias de escalonamento e objetivos do algoritmo de escalonamento
 
Segurança de redes
Segurança de redesSegurança de redes
Segurança de redes
 

Perícia Forense - Análise dos Sistemas de Arquivos

  • 1. Perícia Forense Análise dos Sistemas de Arquivos IANN NAVAS RODOLFO GONÇALVES SOFIA TRINDADE THAÍS FAVORE PROFº GUILHERME SONCINI DA COSTA
  • 2. Introdução •Um sistema de arquivos é um conjunto de estruturas lógicas e de rotinas, que permitem ao sistema operacional controlar o acesso ao disco rígido. •Exemplo de invasão comum à protocolo de compartilhamento de arquivos.
  • 3. Preparando o sistema de arquivos da vítima para análise •Ferramenta grave-roober; ◦ Captura informações, atributos como registros de data/hora de acesso arquivos de configurações e arquivos de log. •Exatidão das informações dependem da integridade da máquina e versão do Kernel.
  • 4. Capturando informações de arquivos da vítima •Copiar arquivos individuais: Apenas copia o conteúdo dos arquivos (Data/Hora de acessos são perdidas por exemplo); •Fazer um backup: Informações a mais como data e hora da modificação mas não de último acesso. Backup não captura arquivos excluídos.
  • 5. Capturando informações de arquivos da vítima •Copiar partições de discos individuais: Cria uma cópia idêntica incluindo informações até dos espaços não alocados, técnica neutra; •Copiar disco inteiro: Cópia idêntica de todas as informações do disco, incluindo todos os espaços de armazenamento.
  • 6. Enviando uma imagem de disco pela rede •Quando os discos ficam conectados nas máquina da vítima, o procedimento de geração de imagens pode ser muito simples; •1º exemplo de geração de imagem: deve ser usado em uma rede confiável (Remover a máquina da vítima da rede, e conectar diretamente na rede do investigador).
  • 7. Enviando uma imagem de disco pela rede
  • 8. Enviando uma imagem de disco pela rede •2º exemplo de geração de imagem: quando a rede não é confiável deve-se usar criptografia;
  • 9. Montando as imagens de disco em umá máquina de análise •Cuidados são necessários para montar uma imagem, tais como desativar programas não-confiáveis, desativar arquivos no sistema de arquivos em que a imagem foi gerada.
  • 10. Montando as imagens de disco em uma máquina de análise •É necessário cuidado ao montar imagens de disco a partir de uma máquina não confiável. O objetivo é que a imagem montada possa ser lida, para evitar alteração de dados. Quando se trabalha com imagens de discos inteiros as coisas se complicam, pois, é necessário analisar múltiplas partições.
  • 11. E se o Netcat não estiver disponível para receber ou enviar imagem de disco? •Uma das opções então é fazer o download de 200 kbytes dos arquivos-fonte e compilar um programa C a fim de criar o programa executável Netcat. Mas isso poderia causar vários danos às informações excluídas e existentes. Nessas situações um programa Perl consegue realizar o trabalho.
  • 12. MACtimes de arquivos existentes •O comando MACtime produz um relatório com a data/hora dos arquivos (de acordo com o fuso horário padrão), a partir dos arquivos de log do sistema.
  • 13. Análise detalhada dos arquivos existentes •Para isso, recomenda-se dividir o relatório MACtime em partes menores de informações. Para compararmos um arquivo desconhecido com uma grande lista de arquivos conhecidos, e ao mesmo tempo economizar tempo e espaço, podemos comparar seus hashes MD5, hashes criptografados.
  • 14. Análise detalhada dos arquivos existentes •Arquivos que fazem referência tanto a um programa de login como um programa interpretador de comandos são suspeitos, pois permitem que alguns usuários driblem o procedimento de login do sistema. •O próximo passo é procurar indícios a partir de arquivos excluídos, que podem confirmar ou contradizer essas descobertas.
  • 15. O que acontece quando um arquivo é excluído? •Quando um arquivo é excluído, o nome do arquivo desaparece de uma listagem de diretório. Alguns sistemas de arquivos (como o FAT16 e FAT32) apenas ocultam o nome do arquivo de uma maneira especial, subentendendo- se assim que estes foram excluídos. Já outros, não preservam as conexões entre as entradas de diretório e os atributos de arquivo, tornando-se assim o processo de exclusão mais destrutivo.
  • 16. Entrada do diretório pai •Na exclusão de um arquivo, a entrada de diretório com o nome do arquivo e número de inode é marcada como não utilizada; •O nome dos arquivos excluídos ainda podem ser encontrados lendo o diretório com o comando strings. ◦ Já no caso do Linux, como este não permite a leitura de diretórios por usuários, é possível contornar essa restrição utilizando o utilitário icat.
  • 17. Atributos do diretório pai •Os atributos de última leitura, última modificação e última alteração do status do diretório são todos os configurados com data/hora dessa atualização. Portanto, mesmo se o próprio arquivo excluído não estiver mais disponível, a data/hora da última modificação no diretório revelará a atividade passada dentro desse diretório.
  • 18. Blocos de inode •Nos sistemas UNIX, ainda pode haver um arquivo excluído ativo. Algum processo ainda pode ter o arquivo aberto para leitura ou outras atividades. O utilitário ils tem uma opção para localizar esses arquivos excluídos que continuam ativos no sistemas, sendo possível assim deletá-los. Depois de serem deletados, o bloco de inode é marcado como não utilizado no bitmap de alocação de inodes.
  • 19. Blocos de dados •Blocos de dados de um arquivo excluído são marcados como não utilizados no bitmap de alocação de blocos de dados, mas seu conteúdo permanece inalterado. O sistema de arquivos Ext2fs do Linux tem opção para apagar blocos de dados de arquivos na exclusão, mas esse recurso atualmente não está implementado.
  • 20. MACtimes de arquivos excluídos •A análise MACtime revela indicações sobre o que o usuário fez e quando fez nos arquivos analisados. Com o utilitário grave-robber é possível coletar informações sobre o arquivo excluído, e estas serão utilizadas para investigação.
  • 21. Análise de arquivos excluídos •Foi utilizado o comando icat para recuperar o conteúdo dos arquivos excluídos. Antes, infelizmente, devido a seus números de inode, eles eram irrecuperáveis. Os arquivos foram truncados antes de serem excluídos. A recuperação destes com o icat foi mais bem sucedida, pois eles foram facilmente identificados pelo hash MD5, que é um algoritmo que busca identificar arquivos ou informações.
  • 22. Reconhecendo arquivos fora do lugar pelo seu número de inode •À medida que o sistema operacional é instalado no disco e à medida que os arquivos são criados, os números de inode são atribuídos pelo sistema de arquivos. Normalmente, o sistema operacional base é instalado em um diretório de cada vez. Portanto, entradas sucessivas nos diretórios de sistema tendem a ter números de inode sucessivos, facilitando assim o reconhecimento dos arquivos.
  • 23. Rastreando um arquivo excluído até sua localização original •Com implementação do Linux Ext2fs ou FreeBSD, existe maneiras fáceis de se rastrear o arquivo no seu local original de criação; •Criação de relatórios e rastrear diretórios excluídos; ◦ Fls do Sheuth Kit. ◦ Ferramenta ffind.
  • 24. Rastreamento do arquivo excluído pelo seu inode •Todas informações de um pequeno arquivo podem ser encontradas na mesma zona; •Classificamos todos os arquivos por um número de inode para examinar os números das áreas mais prováveis. ◦ Inode: Estrutura de dados que possui informações sobre arquivo ou diretório.
  • 25. Filho prodígio volta pra casa •Em sua segunda visita o invasor instalou um arquivo cujo inode (60257) estava muito fora da sequência dos arquivos próximos. Seguindo a análise pode se supor que o arquivo do invasor foi criado em outra zona e foi movido para a zona atual /bin/login/.
  • 26. Perda da inocência •Pode-se ver que o invasor não teve o capricho de apagar os rastros deixados durante a criação e a transferência do arquivo nos diretórios, com isso é possível concluir que foi utilizada uma invasão rápida e automatizada;
  • 27. Perda da inocência •A ausência de preocupação pode ser associada com ataques de grandes redes de computadores, para que esse tipo de invasão seja eficaz é preciso um batalhão de sistemas a sua disposição, assim quando um soldado é abatido é fácil de ser substituído.