O documento aborda a persistência de informações de arquivos excluídos, e como atributos como mactime, ctime e atime podem fornecer valiosas evidências para investigação forense. A pesquisa demonstra que dados apagados podem ser recuperáveis por longos períodos, dependendo da atividade do sistema e do tipo de sistema de arquivos. Conclui-se que essas informações são cruciais para entender o comportamento do sistema e a confiabilidade dos dados excluídos.

1. FACULDADE DE TECNOLOGIA DE JALES
FATEC JALES
PERÍCIA FORENSE COMPUTACIONAL
Emerson Souza Azevedo
Jonathan Trivelato Calefi
Luiz Roberto Reinoso
Vanessa Finoto

2. PERSISTÊNCIA DAS INFORMAÇÕES DE
ARQUIVOS EXCLUÍDOS
1. Introdução

3. PERSISTÊNCIA DAS INFORMAÇÕES DE
ARQUIVOS EXCLUÍDOS
2. Exemplos da persistência de informações
excluídas

4. PERSISTÊNCIA DAS INFORMAÇÕES DE
ARQUIVOS EXCLUÍDOS
Figura 1 - Exemplos da persistência de informações excluídas

5. PERSISTÊNCIA DAS INFORMAÇÕES DE
ARQUIVOS EXCLUÍDOS
3. Medindo a persistência do conteúdo de um
arquivo excluído.

6. PERSISTÊNCIA DAS INFORMAÇÕES DE
ARQUIVOS EXCLUÍDOS
Figura 2 - Exemplos Medindo a persistência do conteúdo de um arquivo
excluído

7. PERSISTÊNCIA DAS INFORMAÇÕES DE
ARQUIVOS EXCLUÍDOS
4. Medindo a persistência dos MACtimes de
arquivos excluidos.
 O que são MACtimes?
 O que é Rootkit?

8. PERSISTÊNCIA DAS INFORMAÇÕES DE
ARQUIVOS EXCLUÍDOS
5. Persistência da força bruta de MACtimes de
arquivos excluidos.
6. Utilizando MACtimes para detecção de vírus.

9. PERSISTÊNCIA DAS INFORMAÇÕES DE
ARQUIVOS EXCLUÍDOS
7. Persistência de longo prazo de MACtimes de
arquivos excluidos.
 E surpreendente descobrir que as informações sobre
o MACtimes de arquivos excluídos retroagiam até um
ano ou mais.

10. PERSISTÊNCIA DAS INFORMAÇÕES DE
ARQUIVOS EXCLUÍDOS
 Teste feito para mostra os atributos MACtime de
arquivos excluídos para um servidor.
 Quaisquer atributos ctime para atividades não-
rotineiras na máquina sobrevivem além dos
primeiros 100 dias do histórico.

11. PERSISTÊNCIA DAS INFORMAÇÕES DE
ARQUIVOS EXCLUÍDOS
 O gráfico de atime mostra a última vez em que um
arquivo foi acessado antes de ser excluído e é tão
persistentes quanto quais quer atributo de arquivo
excluído.
 A distribuição do atributo mtime (tempo para a
modificação de arquivo). O sistema configura o
mtime como a data/hora da exclusão.

12. PERSISTÊNCIA DAS INFORMAÇÕES DE
ARQUIVOS EXCLUÍDOS
8. O impacto da atividade dos usuários sobre
MACtimes de arquivos excluídos.

13. PERSISTÊNCIA DAS INFORMAÇÕES DE
ARQUIVOS EXCLUÍDOS
9. A confiabilidades das informações de arquivos
excluídos
 Arquivos excluídos são excelentes oportunidades
para o investigador

14. PERSISTÊNCIA DAS INFORMAÇÕES DE
ARQUIVOS EXCLUÍDOS
 Arquivos excluídos herdam algumas limitações;
 Probabilidade de ser incompletas;
 Forjar MACtime pode ser arriscado;

15. PERSISTÊNCIA DAS INFORMAÇÕES DE
ARQUIVOS EXCLUÍDOS
10. Por que informações de arquivo excluído
sobrevivem intactas
 Sistemas de arquivos de alto desempenho
 sobrevivência das informações excluídas depende
fortemente do volume das atividades

16. PERSISTÊNCIA DAS INFORMAÇÕES DE
ARQUIVOS EXCLUÍDOS
Figura 3 – Organização em disco
Disco interno
Sistema de arquivos UNIX
Zona do sistema de arquivos
rótulo partição partição partição
zona zona partiçãopartição partição
Super
bloco
Bitmap
De inode
Blocos de
inode
Bitmap
De dados
Blocos de
dados

17. PERSISTÊNCIA DAS INFORMAÇÕES DE
ARQUIVOS EXCLUÍDOS
 Zona de alta atividade - arquivo sobrescritos de
maneira rápida.
 Zona de baixa atividade - arquivo sobrescritos de
maneira devagar.

18. PERSISTÊNCIA DAS INFORMAÇÕES DE
ARQUIVOS EXCLUÍDOS
10. Conclusão
 Informações sobrevive intactas;
 MACtime fornece detalhes do comportamento do
sistema;

19. PERSISTÊNCIA DAS INFORMAÇÕES DE
ARQUIVOS EXCLUÍDOS
10. Conclusão
 Informações sobre o MACtime de arquivos excluidos
são diferente.
 MACtime fornece detalhes do comportamento do
sistema;

20. OBRIGADO
TODOS PELA ATENÇÃO