Vanessa Finoto, profile picture
Carregado porVanessa Finoto
DOCX, PDF152 visualizações

PERSISTÊNCIA DAS INFORMAÇÕES DE ARQUIVOS EXCLUÍDOS

O documento discute a persistência de informações em arquivos excluídos no disco rígido. Ao excluir um arquivo, o registro é removido do índice do sistema operacional, mas os dados permanecem no disco até serem sobrescritos. Com ferramentas de recuperação, é possível recuperar arquivos excluídos, mesmo após formatação. Os atributos MACtimes de arquivos excluídos (data da última modificação, acesso e alteração) também persistem por meses ou anos, fornecendo pistas val

Incorporar apresentação

Baixar para ler offline
Faculdade de Tecnologia de Jales EMERSON SOUZA AZEVEDO JONATHAN TRIVELATO CALEFI LUIZ ROBERTO REINOSO VANESSA FINOTO PERSISTÊNCIA DAS INFORMAÇÕES DE ARQUIVOS EXCLUÍDOS Jales 2015
1 – Introdução Computadores excluem arquivos com frequência. Esses arquivos podem ser temporários, arquivos criados pelo sistema operacional ou aplicativos como o Office, ou arquivos criados pelos usuários. Em ambos os casos, mesmo depois de serem excluídos da lixeira, tais arquivos podem ser recuperados. Mas porquê? Quando um arquivo é gravado no disco rígido, é criado um índice pelo sistema, com o principal objetivo de facilitar a rapidez com que os dados são acessados. Quando você exclui um arquivo, o registro dele é excluído deste índice, deixando de ser visualizado pelo sistema operacional, porém todos os dados relativos a ele ainda estão gravados no disco rígido. Esses dados podem permanecer por dias ou anos, até serem sobrescritos ou apagados. Com o uso de aplicativos como o Recuva, é possível a recuperação de muitos arquivos, mesmo após a formatação do disco rígido. 2 – Exemplos da persistência de informações excluídas Para explicar e exemplificar o caso de estudo aqui relacionado, usaremos o aplicativo Recuva e o Sistema Operacional Windows 7. Após a instalação do aplicativo Recuva no Windows 7, foi executada uma varredura no disco rígido a procura de arquivos excluídos. A figura a seguir mostra o resultado da pesquisa e o arquivo selecionado nos mostrou ser interessante pela razão do tempo, modo de exclusão e tamanho:
O arquivo selecionado foi excluído da lixeira e ainda continuou presente, podendo ser recuperado quase que intacto. 3 – Medindo a persistência do conteúdo de um arquivo excluído Após ter sido selecionada a recuperação do arquivo, ele foi salvo como mostra a figura a seguir: Em análise ao arquivo recuperado, verificamos que o mesmo foi recuperado com mais de 98% sem erros, o que torna o ato de deletar arquivos um sério problema a empresas que usam computadores para armazenamento de dados e arquivos com informações sigilosas. O exemplo acima foi descrito usando um sistema operacional da Microsoft, mas isso estende-se a sistemas que usam o Linux como base para seu funcionamento. Nesses sistemas, existe um aplicativo “free”, denominado Testdisk, que trabalha no mesmo padrão do Recuva, e possibilita a recuperação de dados nos sistemas derivados do padrão Linux.
4 - Medindo a persistência dos MACtimes de arquivos excluídos. Para falar sobre este assusto primeiro temos que entender o que significa MAC times: são campos de metadados do sistema de arquivos que registram o último instante em que ocorreram certos eventos pertinentes a um dado arquivo. Os eventos são geralmente descritos como, quando o conteúdo do arquivo foi modificado; "acesso", quando alguma parte do arquivo foi acessada/lida; "alteração", quando metadados de permissão ou de propriedade do arquivo foram modificados. Contudo, o acrônimo MAC é derivado dos termos: *Mtime: data/hora da ultima modificação do arquivo. *Atime: data/hora do ultimo acesso/leitura do arquivo. *Ctime: data/hora da ultima alteração do arquivo. Estruturas mantidas pelo sistema de arquivos do Unix. As informações de atributo de um arquivo excluído podem sobreviver por meses ou até mesmo anos, as vezes as razões da sobrevivência são bastante sutis, envolvendo a combinação de sorte e a existência de áreas de baixa atividade nos sistemas de arquivos. 5 - A persistência da força bruta de MACtimes de arquivos excluídos. Antes de começarmos a falar sobre este tema, vou esclarecer o que é Rootkit e Coroner's Toolkit. Rootkit: é um software na maioria das vezes malicioso, criado para esconder ou camuflar a existência de certos processos ou programas de métodos normais de detecção e permitir acesso exclusivo a um computador e suas informações. Permite a um usuário controlar de maneira absoluta outro computador. A principal característica deste tipo de arquivo é esconder-se nos sistemas operacionais para que esses usuários mal intencionados possam fazer o que quiserem quando bem entenderem, ou seja é uma porta em que se pode entrar e sair livremente, fazendo o que bem entender, mesmo sem ter a permissão do dono do computador. Coroner's Toolkit: Captura informações de ferramentas MACtimes e exibe o acesso de arquivos mortos ou vivos, tem a capacidade de analisar todo o sistema Unix. Depois de entendermos melhor sobre estes dois itens agora sim, podemos iniciar nosso assunto principal a persistência da força bruta de MACtimes de arquivos
excluídos, para descobrir a solidez das informações de um arquivo excluído, foi feito a instalação de um Rootkit, após instalado o mesmo foi compilado, alguns arquivos do sistema foram removidos e substituídos por códigos do Rootkit assegurando que este novos arquivos tenham os mesmos MACtimes e tamanhos dos arquivos originais, depois foi realizado o download da distribuição do código-fonte do Coroner's Toolkit, e desempacotando este códigos exatamente no mesmo diretório do Rootkit, conscientemente foi destruído grandes quantidades de informações, foi sobrescrito os blocos de dados e os blocos de atributo (MACtimes) que pertenciam aos arquivos deletados do Rootkit, foram destruídos todas as informações sobre a data/hora do ultimo acesso para arquivos relacionados ao programa, e mesmo depois de toda essa destruição o Coroner's Toolkit ainda localizou os atributos de 476 arquivos e diretórios excluídos, que existiam durante o incidente do rootkit. A sobrevivência dos MACtimes deste arquivos era tão forte que era praticamente impossível que qualquer pessoa que saiba oque procura não percebesse mesmo após vários dias. Utilizando MACtimes para detecção de Malware. O malware, é distribuído na forma de repositório de arquivos ou seja: o software substitui um arquivo mas mantém os mesmos registros de data/hora da última modificação do arquivo original, com isso é possível fazer uma análise dos arquivos de computadores e descobrir que a um malware fazendo alterações nos arquivos de uma máquina. 6 - A persistência de longo prazo de MACtimes de arquivos excluídos O sinal sobrevive mesmo quando o evento é seguido de atividades significativas do sistema de arquivos. O exemplo de força bruta não informa por quanto tempo as informações sobre o MACtime de arquivos excluídos podem sobreviver. Ficamos surpresos em descobrir que as informações sobre o MACtimes de arquivos excluídos retroagiam até um ano ou mais, em geral ao momento em que o sistema de arquivos foi criado no disco. A figura 7.5 mostra os atributos MACtime de arquivos excluídos para uma maquina de servidor FreeBSD que passa a maior parte do tempo realizando trabalho de rotina: enviar e receber e-mails; foenecer serviços de rede como DNS, FTP e WWW; e
manter arquivos de log. As informações contidas no servidor decaem gradualmente à medida que voltamos no tempo. Quaisquer atributos ctime de arquivos excluídos que sobrevivam além dos primeiros 100 dias do histórico possivelmente serão resultados de atividades não-rotineira na máquina. O gráfico de atime, (no meio) mostra a última vez em que um arquivo foi acessado antes de ser excluído. As informações sobre o atime retroagem até centenas de dias assim como o gráfico de ctime. O ultimo acesso de arquivos excluídos são tão persistentes quanto qualquer atributo de arquivo excluído, pois elas não mais são atualizadas. A distribuição do atributo mtime (tempo para a modificação de arquivo). O sistema de arquivos FreeBSD configura o mtime como a data/hora da exclusão e, portanto, seu gráfico é idêntico ao de ctime. 7 - O impacto da atividade dos usuários sobre MACtimes de arquivos excluídos A análise de uma estação de trabalho pessoal é mais complexa, pois o comportamento do sistema é dominado por atividades menos previsíveis do usuário. A figura 7.6 mostra os padrões de MACtime de arquivos excluídos para uma estação de trabalho pessoal. Além disso, a máquina também realiza uma quantidade limitada de serviços rotineiros de Web e DNS. Os padrões de MACtime para essa máquina são significativamente deferentes daqueles para o servidor dedicado na figura anterior. O gráfico de ctime (tempos para exclusão) de arquivos excluídos e o gráfico atime (tempo para o último acesso de leitura) mostram o decaimento do histórico recente. A existência do componente independente de data/hora significa que alguns arquivos não têm nenhuma correlação entre a data/hora da última atualização e a data/hora da exclusão. Isso e consistente com o comportamento do principal usuário. De acordo com o usuário, os arquivos foram acumulados ao longo do tempo a uma velocidade constante. Em poucos meses, o usuário exclui um grande número de arquivos para liberar algum espaço. 9- A confiabilidade das informações de arquivos excluídos
Os mactimes ou conteúdos de arquivos excluídos fornecem ao investigador excelentes oportunidades. Pois alguns usuários quando apaga um documento pensa que foi excluído para sempre e, portanto, tem menos probabilidade de adulterá-las. Se um arquivo de log foi modificado, é possível que parte do arquivo antes de ser alterado possa ser recuperada na forma original. Os mactimes ou conteúdos de arquivos excluídos só herdam algumas limitações sendo que uma delas é relativamente fácil de sobrescrever, porém não de uma forma seletiva. Por exemplo, o usuário pode conseguir modificar o mactime, mas não o arquivo. Assim criando pequenos números de arquivos grandes dando oportunidade para pericia achar os arquivos. Depois da exclusão, forjar o Mactime é arriscado, pois pode haver a corrupção do sistema. 10 - Por que informações de arquivo excluído sobrevivem intactas Sistemas de arquivos de alto desempenho evitam movimentos do cabeçote de disco mantendo as informações relacionadas juntas, além de reduzir o tempo ao percorrer diretórios para acessar um arquivo. O tipo de sistema de arquivos UF3 ou Ext3fs é organizado em disco é dividida em múltiplas zonas, sendo que cada zona contém seu próprio bitmap de alocação, blocos de dados de arquivo e blocos de atributo inode. Normalmente, as informações sobre um pequeno arquivo são armazenadas inteiramente dentro de uma zona. Mantendo as informações relacionadas dentro da mesma zona do sistema de arquivos UFS tendem a clusterizar, isto é agrupar os arquivos de diferentes usuários ou aplicativos de acordo com as diferentes zonas do sistema. Por isso o tempo de sobrevivência das informações excluídas depende fortemente do volume das atividades de gravação em arquivo dentro da sua zona. 11 – Conclusão Neste capitulo aprendemos que as informações de arquivos excluídos podem sobreviver intactas por meses ou mesmo até anos. Informações sobre o MACtime de um arquivo deletado são diferente pois sua informação só mudam quando for sobrescrita, ou seja, até lá fica congelada no tempo sem
que haja algum tipo de modificação . Informações de arquivos excluídos são como fóssil, porém um fator importante para ajudar os peritos numa investigação.

Mais conteúdo relacionado

PDF
Sistemas de arquivos feito em latex
porBruno Teixeira
 
PPTX
Apresentação Mac OS
porguestf2a4bc5
 
PDF
Administração de Redes Linux - I
porMarcelo Barros de Almeida
 
PPTX
Sistemas Operacionais - Conceitos Básicos
porCarlos Eduardo Teruel
 
DOC
Sistema Operacional de Tempo Real(vx works)
porJose Silva
 
PPTX
Escalonamento no Windows
porFelipe Costa
 
PDF
Sis arqlinux
porzirimbas
 
PPT
Introdução ao linux
porFilipe Jesus
 
Sistemas de arquivos feito em latex
porBruno Teixeira
 
Apresentação Mac OS
porguestf2a4bc5
 
Administração de Redes Linux - I
porMarcelo Barros de Almeida
 
Sistemas Operacionais - Conceitos Básicos
porCarlos Eduardo Teruel
 
Sistema Operacional de Tempo Real(vx works)
porJose Silva
 
Escalonamento no Windows
porFelipe Costa
 
Sis arqlinux
porzirimbas
 
Introdução ao linux
porFilipe Jesus
 

Mais procurados

PDF
Seguranca da Informação -Práticas de segurança
porLuiz Arthur
 
PPT
Procedimentos de Backup
porelliando dias
 
PDF
ORACLE ADVANCED SECURITY
porWashington Luiz Vaz
 
PPTX
Sistemas operativos - Arch Linux
porDanielAraujo224
 
PDF
Sistemas Operativos - Processos e Threads
porPedro De Almeida
 
PDF
Sistemas de Arquivos do Windows
porJoeldson Costa Damasceno
 
PDF
Aula 02-processos-e-threads-tanenbaum-parte-1
porCristiano Pires Martins
 
PPTX
Sistema de arquivos
porVirgínia
 
PPT
Sistemas operacionais processos
porCarlos Melo
 
PDF
Antonio menezes solaris
porWesclay Oliveira
 
PPTX
Auditoria de banco_de_dados_sql_server_em_conformidade_com_a_sox
porSQLServerRS
 
PDF
Mecanismo de configuração do Kernel
porAna Cristina Aparecida
 
DOCX
TRABALHO DE TI
porjpsilvasantos2020
 
DOC
Imprimir
porguest5c8c80a
 
PPTX
S.o aula 1920
porArmando Rivarola
 
PPTX
Processos
porRodrigo Piovesana
 
Seguranca da Informação -Práticas de segurança
porLuiz Arthur
 
Procedimentos de Backup
porelliando dias
 
ORACLE ADVANCED SECURITY
porWashington Luiz Vaz
 
Sistemas operativos - Arch Linux
porDanielAraujo224
 
Sistemas Operativos - Processos e Threads
porPedro De Almeida
 
Sistemas de Arquivos do Windows
porJoeldson Costa Damasceno
 
Aula 02-processos-e-threads-tanenbaum-parte-1
porCristiano Pires Martins
 
Sistema de arquivos
porVirgínia
 
Sistemas operacionais processos
porCarlos Melo
 
Antonio menezes solaris
porWesclay Oliveira
 
Auditoria de banco_de_dados_sql_server_em_conformidade_com_a_sox
porSQLServerRS
 
Mecanismo de configuração do Kernel
porAna Cristina Aparecida
 
TRABALHO DE TI
porjpsilvasantos2020
 
Imprimir
porguest5c8c80a
 
S.o aula 1920
porArmando Rivarola
 
Processos
porRodrigo Piovesana
 

Semelhante a PERSISTÊNCIA DAS INFORMAÇÕES DE ARQUIVOS EXCLUÍDOS

PPTX
Perícia Forense - Análise dos Sistemas de Arquivos
porSofia Trindade
 
PDF
Material sobre sistemas de arquivos do Windows,como é a organização e o supor...
porJulio Oliveira
 
ODP
teAula 11
porJorge Ávila Miranda
 
PPT
Sgf
porsayma vm
 
DOC
Sistemas de arquivos artigo
porDaiana de Ávila
 
PPT
Backups e restauração de dados
porelliando dias
 
PDF
Uma Apresentação sobre sistemas de arquivo
porMateusSoares325300
 
PPT
Gerência de Armazenamento: Implementação do Sistema de Arquivos
porAlexandre Duarte
 
PPTX
ADS e GTI
porMarcellus Dutra
 
PPT
Gerência de Armazenamento: Interface do Sistema de Arquivos
porAlexandre Duarte
 
PPSX
IMEI trabalho
pornuke_portugal
 
PPTX
Implementação de segurança para redes de computadores
porAdolfo Stochiero de Assis Mates
 
PPTX
PERÍCIA FORENSE COMPUTACIONAL
porvanessa finoto
 
PDF
Sistema de Arquivos
porAna Cristina Aparecida
 
PPTX
Sistemas operacionais sistemas de arquivos-atualizado-senai
porCarlos Melo
 
PPTX
Resolvendo problemas do dia a-dia com o windows server
porDanilo Augusto Leite
 
PDF
Recuperacao de arquivos excluidos
porData Security
 
PDF
Mod 3 Windows
porWalter Cunha
 
Perícia Forense - Análise dos Sistemas de Arquivos
porSofia Trindade
 
Material sobre sistemas de arquivos do Windows,como é a organização e o supor...
porJulio Oliveira
 
teAula 11
porJorge Ávila Miranda
 
Sgf
porsayma vm
 
Sistemas de arquivos artigo
porDaiana de Ávila
 
Backups e restauração de dados
porelliando dias
 
Uma Apresentação sobre sistemas de arquivo
porMateusSoares325300
 
Gerência de Armazenamento: Implementação do Sistema de Arquivos
porAlexandre Duarte
 
ADS e GTI
porMarcellus Dutra
 
Gerência de Armazenamento: Interface do Sistema de Arquivos
porAlexandre Duarte
 
IMEI trabalho
pornuke_portugal
 
Implementação de segurança para redes de computadores
porAdolfo Stochiero de Assis Mates
 
PERÍCIA FORENSE COMPUTACIONAL
porvanessa finoto
 
Sistema de Arquivos
porAna Cristina Aparecida
 
Sistemas operacionais sistemas de arquivos-atualizado-senai
porCarlos Melo
 
Resolvendo problemas do dia a-dia com o windows server
porDanilo Augusto Leite
 
Recuperacao de arquivos excluidos
porData Security
 
Mod 3 Windows
porWalter Cunha
 

Mais de Vanessa Finoto

PPTX
Backup
porVanessa Finoto
 
PPTX
Apresentação SQLServer
porVanessa Finoto
 
PPT
Escalonamento
porVanessa Finoto
 
PPT
Apresentação Metodologia Ágil: Família Crystal de Cockburn
porVanessa Finoto
 
DOCX
Crystal metodologia ágil
porVanessa Finoto
 
DOCX
Privacidade
porVanessa Finoto
 
DOCX
Medic time
porVanessa Finoto
 
Backup
porVanessa Finoto
 
Apresentação SQLServer
porVanessa Finoto
 
Escalonamento
porVanessa Finoto
 
Apresentação Metodologia Ágil: Família Crystal de Cockburn
porVanessa Finoto
 
Crystal metodologia ágil
porVanessa Finoto
 
Privacidade
porVanessa Finoto
 
Medic time
porVanessa Finoto
 

PERSISTÊNCIA DAS INFORMAÇÕES DE ARQUIVOS EXCLUÍDOS

  • 1.
    Faculdade de Tecnologiade Jales EMERSON SOUZA AZEVEDO JONATHAN TRIVELATO CALEFI LUIZ ROBERTO REINOSO VANESSA FINOTO PERSISTÊNCIA DAS INFORMAÇÕES DE ARQUIVOS EXCLUÍDOS Jales 2015
  • 2.
    1 – Introdução Computadoresexcluem arquivos com frequência. Esses arquivos podem ser temporários, arquivos criados pelo sistema operacional ou aplicativos como o Office, ou arquivos criados pelos usuários. Em ambos os casos, mesmo depois de serem excluídos da lixeira, tais arquivos podem ser recuperados. Mas porquê? Quando um arquivo é gravado no disco rígido, é criado um índice pelo sistema, com o principal objetivo de facilitar a rapidez com que os dados são acessados. Quando você exclui um arquivo, o registro dele é excluído deste índice, deixando de ser visualizado pelo sistema operacional, porém todos os dados relativos a ele ainda estão gravados no disco rígido. Esses dados podem permanecer por dias ou anos, até serem sobrescritos ou apagados. Com o uso de aplicativos como o Recuva, é possível a recuperação de muitos arquivos, mesmo após a formatação do disco rígido. 2 – Exemplos da persistência de informações excluídas Para explicar e exemplificar o caso de estudo aqui relacionado, usaremos o aplicativo Recuva e o Sistema Operacional Windows 7. Após a instalação do aplicativo Recuva no Windows 7, foi executada uma varredura no disco rígido a procura de arquivos excluídos. A figura a seguir mostra o resultado da pesquisa e o arquivo selecionado nos mostrou ser interessante pela razão do tempo, modo de exclusão e tamanho:
  • 3.
    O arquivo selecionadofoi excluído da lixeira e ainda continuou presente, podendo ser recuperado quase que intacto. 3 – Medindo a persistência do conteúdo de um arquivo excluído Após ter sido selecionada a recuperação do arquivo, ele foi salvo como mostra a figura a seguir: Em análise ao arquivo recuperado, verificamos que o mesmo foi recuperado com mais de 98% sem erros, o que torna o ato de deletar arquivos um sério problema a empresas que usam computadores para armazenamento de dados e arquivos com informações sigilosas. O exemplo acima foi descrito usando um sistema operacional da Microsoft, mas isso estende-se a sistemas que usam o Linux como base para seu funcionamento. Nesses sistemas, existe um aplicativo “free”, denominado Testdisk, que trabalha no mesmo padrão do Recuva, e possibilita a recuperação de dados nos sistemas derivados do padrão Linux.
  • 4.
    4 - Medindoa persistência dos MACtimes de arquivos excluídos. Para falar sobre este assusto primeiro temos que entender o que significa MAC times: são campos de metadados do sistema de arquivos que registram o último instante em que ocorreram certos eventos pertinentes a um dado arquivo. Os eventos são geralmente descritos como, quando o conteúdo do arquivo foi modificado; "acesso", quando alguma parte do arquivo foi acessada/lida; "alteração", quando metadados de permissão ou de propriedade do arquivo foram modificados. Contudo, o acrônimo MAC é derivado dos termos: *Mtime: data/hora da ultima modificação do arquivo. *Atime: data/hora do ultimo acesso/leitura do arquivo. *Ctime: data/hora da ultima alteração do arquivo. Estruturas mantidas pelo sistema de arquivos do Unix. As informações de atributo de um arquivo excluído podem sobreviver por meses ou até mesmo anos, as vezes as razões da sobrevivência são bastante sutis, envolvendo a combinação de sorte e a existência de áreas de baixa atividade nos sistemas de arquivos. 5 - A persistência da força bruta de MACtimes de arquivos excluídos. Antes de começarmos a falar sobre este tema, vou esclarecer o que é Rootkit e Coroner's Toolkit. Rootkit: é um software na maioria das vezes malicioso, criado para esconder ou camuflar a existência de certos processos ou programas de métodos normais de detecção e permitir acesso exclusivo a um computador e suas informações. Permite a um usuário controlar de maneira absoluta outro computador. A principal característica deste tipo de arquivo é esconder-se nos sistemas operacionais para que esses usuários mal intencionados possam fazer o que quiserem quando bem entenderem, ou seja é uma porta em que se pode entrar e sair livremente, fazendo o que bem entender, mesmo sem ter a permissão do dono do computador. Coroner's Toolkit: Captura informações de ferramentas MACtimes e exibe o acesso de arquivos mortos ou vivos, tem a capacidade de analisar todo o sistema Unix. Depois de entendermos melhor sobre estes dois itens agora sim, podemos iniciar nosso assunto principal a persistência da força bruta de MACtimes de arquivos
  • 5.
    excluídos, para descobrira solidez das informações de um arquivo excluído, foi feito a instalação de um Rootkit, após instalado o mesmo foi compilado, alguns arquivos do sistema foram removidos e substituídos por códigos do Rootkit assegurando que este novos arquivos tenham os mesmos MACtimes e tamanhos dos arquivos originais, depois foi realizado o download da distribuição do código-fonte do Coroner's Toolkit, e desempacotando este códigos exatamente no mesmo diretório do Rootkit, conscientemente foi destruído grandes quantidades de informações, foi sobrescrito os blocos de dados e os blocos de atributo (MACtimes) que pertenciam aos arquivos deletados do Rootkit, foram destruídos todas as informações sobre a data/hora do ultimo acesso para arquivos relacionados ao programa, e mesmo depois de toda essa destruição o Coroner's Toolkit ainda localizou os atributos de 476 arquivos e diretórios excluídos, que existiam durante o incidente do rootkit. A sobrevivência dos MACtimes deste arquivos era tão forte que era praticamente impossível que qualquer pessoa que saiba oque procura não percebesse mesmo após vários dias. Utilizando MACtimes para detecção de Malware. O malware, é distribuído na forma de repositório de arquivos ou seja: o software substitui um arquivo mas mantém os mesmos registros de data/hora da última modificação do arquivo original, com isso é possível fazer uma análise dos arquivos de computadores e descobrir que a um malware fazendo alterações nos arquivos de uma máquina. 6 - A persistência de longo prazo de MACtimes de arquivos excluídos O sinal sobrevive mesmo quando o evento é seguido de atividades significativas do sistema de arquivos. O exemplo de força bruta não informa por quanto tempo as informações sobre o MACtime de arquivos excluídos podem sobreviver. Ficamos surpresos em descobrir que as informações sobre o MACtimes de arquivos excluídos retroagiam até um ano ou mais, em geral ao momento em que o sistema de arquivos foi criado no disco. A figura 7.5 mostra os atributos MACtime de arquivos excluídos para uma maquina de servidor FreeBSD que passa a maior parte do tempo realizando trabalho de rotina: enviar e receber e-mails; foenecer serviços de rede como DNS, FTP e WWW; e
  • 6.
    manter arquivos delog. As informações contidas no servidor decaem gradualmente à medida que voltamos no tempo. Quaisquer atributos ctime de arquivos excluídos que sobrevivam além dos primeiros 100 dias do histórico possivelmente serão resultados de atividades não-rotineira na máquina. O gráfico de atime, (no meio) mostra a última vez em que um arquivo foi acessado antes de ser excluído. As informações sobre o atime retroagem até centenas de dias assim como o gráfico de ctime. O ultimo acesso de arquivos excluídos são tão persistentes quanto qualquer atributo de arquivo excluído, pois elas não mais são atualizadas. A distribuição do atributo mtime (tempo para a modificação de arquivo). O sistema de arquivos FreeBSD configura o mtime como a data/hora da exclusão e, portanto, seu gráfico é idêntico ao de ctime. 7 - O impacto da atividade dos usuários sobre MACtimes de arquivos excluídos A análise de uma estação de trabalho pessoal é mais complexa, pois o comportamento do sistema é dominado por atividades menos previsíveis do usuário. A figura 7.6 mostra os padrões de MACtime de arquivos excluídos para uma estação de trabalho pessoal. Além disso, a máquina também realiza uma quantidade limitada de serviços rotineiros de Web e DNS. Os padrões de MACtime para essa máquina são significativamente deferentes daqueles para o servidor dedicado na figura anterior. O gráfico de ctime (tempos para exclusão) de arquivos excluídos e o gráfico atime (tempo para o último acesso de leitura) mostram o decaimento do histórico recente. A existência do componente independente de data/hora significa que alguns arquivos não têm nenhuma correlação entre a data/hora da última atualização e a data/hora da exclusão. Isso e consistente com o comportamento do principal usuário. De acordo com o usuário, os arquivos foram acumulados ao longo do tempo a uma velocidade constante. Em poucos meses, o usuário exclui um grande número de arquivos para liberar algum espaço. 9- A confiabilidade das informações de arquivos excluídos
  • 7.
    Os mactimes ouconteúdos de arquivos excluídos fornecem ao investigador excelentes oportunidades. Pois alguns usuários quando apaga um documento pensa que foi excluído para sempre e, portanto, tem menos probabilidade de adulterá-las. Se um arquivo de log foi modificado, é possível que parte do arquivo antes de ser alterado possa ser recuperada na forma original. Os mactimes ou conteúdos de arquivos excluídos só herdam algumas limitações sendo que uma delas é relativamente fácil de sobrescrever, porém não de uma forma seletiva. Por exemplo, o usuário pode conseguir modificar o mactime, mas não o arquivo. Assim criando pequenos números de arquivos grandes dando oportunidade para pericia achar os arquivos. Depois da exclusão, forjar o Mactime é arriscado, pois pode haver a corrupção do sistema. 10 - Por que informações de arquivo excluído sobrevivem intactas Sistemas de arquivos de alto desempenho evitam movimentos do cabeçote de disco mantendo as informações relacionadas juntas, além de reduzir o tempo ao percorrer diretórios para acessar um arquivo. O tipo de sistema de arquivos UF3 ou Ext3fs é organizado em disco é dividida em múltiplas zonas, sendo que cada zona contém seu próprio bitmap de alocação, blocos de dados de arquivo e blocos de atributo inode. Normalmente, as informações sobre um pequeno arquivo são armazenadas inteiramente dentro de uma zona. Mantendo as informações relacionadas dentro da mesma zona do sistema de arquivos UFS tendem a clusterizar, isto é agrupar os arquivos de diferentes usuários ou aplicativos de acordo com as diferentes zonas do sistema. Por isso o tempo de sobrevivência das informações excluídas depende fortemente do volume das atividades de gravação em arquivo dentro da sua zona. 11 – Conclusão Neste capitulo aprendemos que as informações de arquivos excluídos podem sobreviver intactas por meses ou mesmo até anos. Informações sobre o MACtime de um arquivo deletado são diferente pois sua informação só mudam quando for sobrescrita, ou seja, até lá fica congelada no tempo sem
  • 8.
    que haja algumtipo de modificação . Informações de arquivos excluídos são como fóssil, porém um fator importante para ajudar os peritos numa investigação.