You are on page 1of 18

ANLISE E RECUPERAO DE DADOS COM FERRAMENTAS FORENSES

Felipe Goi Guidolin <felipe.goi.ti@gmail.com> Luiz Gustavo Galves Mhlmann <mahlmann@gmail.com> Orientador
Universidade Luterana do Brasil (Ulbra) Curso Superior de Tecnologia em Redes de Computadores Campus Canoas Av. Farroupilha, 8.001 Bairro So Jos CEP 92.425-900 Canoas RS.

30 de novembro de 2012

RESUMO
O presente artigo faz uma anlise de ferramentas de recuperao de dados forenses com o objetivo de conhecer como e em que cenrios elas podem ser empregadas. O tipo de anlise escolhida foi a Post Mortem, com imagens de discos sendo utilizadas para os testes. Dentre as diversas ferramentas disponveis no mercado, foram eleitas quatro delas para que sejam efetuadas as anlises: Foremost, Scalpel, The Sleuth Kit (TSK)/Autopsy e FIK Imager, sendo uma delas proprietria e as demais de cdigo livre. Assim como nas ferramentas foram elencadas algumas, os sistemas de arquivos tambm foram elencados em trs tipos, para a criao das imagens: ext3, ext4 e NTFS. Os dados foram sabatinados em quatro cenrios diferentes. No primeiro, os arquivos so excludos de forma simples de parties de 100MB. No cenrio 2, as parties que tiveram seus arquivos apagados tm seu espao completamente preenchido por outros arquivos, que no possuem qualquer relao com os primeiros. No terceiro cenrio, os arquivos so excludos de parties com espao de armazenamento de 200MB. No quarto, e ltimo cenrio, um arquivo que ocupe 40% do disco copiado para as parties de 200MB, que tiverem seus dados apagados. O emprego das ferramentas de recuperao das informaes serve ao propsito principal: da recuperao dos dados perdidos e anlise dos diferentes comportamentos ocorridos, conforme o tipo de sistema que analisado, bem como do cenrio no qual est inserido. Palavras-chave: Recuperao de Dados; Imagens; Partio; Sistema de Arquivos; Post Mortem.

ABSTRACT
Title: Analysis and Data Recovery Tools with Forensic This article is an analysis tool for forensic data recovery in order to know how and in what scenarios they can be employed. The type of analysis chosen was the "Post Mortem" with disk images being used for testing. Among the various tools available on the market, four of them were elected to be performed analyzes: Foremost, Scalpel, The Sleuth Kit (TSK) / Autopsy Imager and FIK. Being one proprietary and the other open source. As with some tools were listed, file systems were also listed three types, the creation of images: ext3, ext4 and NTFS. Data were sabatinados in four different scenarios. In the first files are simply deleted partition of 100MB. In scenario 2, the partitions that have their files deleted, its space is completely filled by other files, which have no relation to the first. In the third scenario, files are deleted partition with 200MB of storage space. In the fourth and last scenario, a file that occupies 40% of the disk is copied to the partition of 200MB, which have their data deleted. The use of recovery tools the information serves the primary purpose of which is the recovery of lost data and analysis of different behaviors occurring, depending on the type of system is examined as well as the setting in which it is inserted. Key-words: Data recovery; Images; Partition; File System; Post Mortem.

INTRODUO

Nos dias atuais, manter os dados comuns ou mesmo confidenciais a salvo um grande desafio. Infelizmente, nem todos os gestores de Tecnologia da Informao (TI) esto preparados para isso. Ademais, devemos nos preocupar, tambm, com a perda do maior ativo das corporaes, a informao. Esta pode ser perdida de forma acidental ou provocada, quando os servidores da empresa so invadidos. Tal recuperao pode ser efetuada por usurios comuns, os que apagam acidentalmente suas informaes ou, ainda, por cibercriminosos, o que acaba implicando uma srie de investigaes comandadas por peritos forenses. Com o intuito de levantar evidncias que os levem at os culpados. Grande parte dos dados e documentos utilizados no desenvolvimento das atividades laborais, escolares ou mesmo domiciliares esto guardadas em algum dispositivo digital de armazenamento. Junto com a popularizao dos computadores, veio a da Internet. Esse fato contribuiu significativamente para melhoria das comunicaes e para a troca de arquivos e informaes. Uma terceira etapa dessa evoluo foi o aumento significativo da capacidade de armazenamento dos discos rgidos (HD), e que so disponibilizados ao mercado consumidor por preos muito atraentes. No satisfeitas com os trs passos 1

anteriores, as pessoas aumentaram o consumo de bens responsveis pela gerao de contedos digitais, como gravador de voz, cmera digital, celulares, filmadoras digitais, entre outros. Com toda essa carga de informao armazenada nos computadores, esses se tornam um verdadeiro dossi acerca das atividades de uma pessoa seja ela de natureza fsica ou jurdica. atravs dos equipamentos digitais e vestgios encontrados em uma cena de crime, que podemos traar um perfil do criminoso. Apesar da grande importncia das evidncias aparentes, os dados que foram excludos com o intuito de dificultar as investigaes ou mesmo por no serem mais pertinentes a seus proprietrios podem trazer uma carga de informaes elucidativas para a investigao. Para dificultar ainda mais o processo investigativo, muitos invasores de computadores utilizam-se de tcnicas antiforenses, apagando os arquivos utilizados para esconder os seus registros de atividades. Objetiva-se, com o presente artigo, efetuar uma anlise qualitativa de quatro ferramentas forenses mais utilizadas para a recuperao de dados dentro de um sistema de arquivos. Sero utilizados, para o desenvolvimento deste, mtodos de pesquisa bibliogrfica e experimental, em que sero testadas as ferramentas dentro de um ambiente controlado.

DEFINIES E CONCEITOS

Ao longo deste captulo, sero apresentadas as definies e conceitos acerca da anlise forense computacional com o intuito de facilitar a compreenso global e seu contexto.

2.1

Sistema Invadido

Para que as evidncias apuradas sejam aceitas como vlidas, devem ser observadas algumas peculiaridades. Segundo Ieong (2006), so elas: Reconhecimento: o investigador deve exaurir todos os recursos em mos para descobrir, coletar, extrair preservar e analisar os dados de forma que estes se tornem uma evidncia vlida. Confiana: para que o dado coletado no seja repudiado, deve-se garantir que ele seja copiado tal qual o na realidade, ou seja, deve-se manter tanto sua integridade no contedo como a data e hora do ltimo acesso, seus donos e permisses, etc. Relevncia: deve-se garantir que apenas os dados relevantes, ou seja, que possam ser realmente aproveitados para a resoluo do caso em questo sejam gastos da melhor forma possvel. Segundo Eleutrio e Machado (2011), a computao forense tem como objetivo principal determinar a dinmica, a materialidade e autoria de ilcitos ligados rea de informtica tendo como questo principal a identificao e o processamento de evidncias digitais em provas materiais de crime, por meio de mtodos tcnico-cientficos, conferindo-lhe validade probatria em juzo. A computao forense digital utilizada por peritos, quando o crime a ser investigado envolva informaes digitais que estejam armazenadas, em equipamentos para esta finalidade, ou em computadores de usurios. Podem utilizar-se das tcnicas de anlise forense computacional administradores de rede que suspeitem que seus dados estejam sendo apropriados por pessoas malintencionadas e que ensejam o prejuzo da corporao. Entretanto, caso as evidncias sejam coletadas por esse segundo nicho de profissionais, elas serviro apenas para apresentao diretoria da empresa porque no podero ser utilizadas em uma ao judicial. O primeiro passo a ser adotado antes do incio da coleta de dados o planejamento, a fim de que nenhum dado que seja voltil se perca. Aps concluda a etapa de planejamento, inicia-se a coleta de dados crticos. Esses dados somente podem ser obtidos ainda com o equipamento ligado e ainda conectado rede. A essa etapa d-se o nome de anlise viva (Live Analysis). Concludo o levantamento, anteriormente referido, o equipamento j pode ser desligado para que tenha incio a segunda etapa de coleta de evidncias denominada anlise morta (Post Mortem). A anlise morta somente poder ser executada se o equipamento a ser analisado puder ser desligado e a unidade de armazenamento retirada. Essa unidade ser copiada bit a bit para outro local e toda a anlise ser desencadeada em cima da cpia preservando os dados originais. S a partir desse momento o perito ir iniciar a coleta de evidncias que serviro de provas materiais. 2

Muitas vezes, o perito no pode realizar a anlise anterior porque o equipamento em questo um servidor muitas vezes o nico da empresa e do qual toda a atividade econmica desempenhada depende de seu funcionamento. Outra questo, segundo Melo (2009), o atual tamanho das unidades de armazenamento, que j esto na grandeza dos Terabytes, fazendo com que uma cpia bit a bit torne-se laboriosa pela questo tempo e custo envolvidos.

2.2

Preservao

Devem ser tomados alguns cuidados ao utilizar o equipamento investigado, porque uma ao trivial, como a abertura de uma pasta, ir efetuar mudana nos dados e acabar prejudicando o processo investigativo. Se o equipamento em questo encontrar-se desligado, jamais deve-se lig-lo novamente porque esta simples ao ir alterar algumas evidncias, tais como: datas de ltimo acesso a arquivos do sistema operacional e a gerao de novos arquivos temporrios de sistema mesmo que no seja executada nenhuma ao. A tcnica de espelhamento a mais utilizada, visto que consiste em uma cpia fiel dos dados. Para isso, o disco de destino dever ter, no mnimo, capacidade igual ao de origem. Deve-se redobrar o cuidado quanto capacidade de armazenamento, pois muitos HDs disponveis para venda possuem a mesma capacidade nominal, mas, se for observada a capacidade real, sero encontradas algumas discrepncias muito significativas. Se o dispositivo de destino tiver sua capacidade real maior que o de origem, necessrio garantir que o espao restante esteja realmente limpo, sem nenhum dado, para que no haja interferncia no resultado final da anlise. Para isso, deve-se utilizar um processo chamado wipe, que nada mais que a excluso de um arquivo ou de uma partio inteira e a gravao de bytes na rea que anteriormente estava ocupada. Com isso, um software que execute uma leitura binria no disco rgido encontrar apenas os dados que foram gravados atravs do processo de duplicao e no os que estavam armazenados anteriormente. De nada adianta, tambm, utilizar um HD de destino que contenha setores defeituosos, pois os dados de origem que estiverem alocados na mesma posio da falha no sero copiados e, com isso, a duplicao fica incompleta e perdem-se evidncias muitas vezes cruciais investigao. Estudos recentes indicam, ainda, que esses setores tendem a aumentar e, com isso, aumentar a perda de dados e evidncias.

2.3

Sistema de Arquivos

Usando uma definio simples, pode-se dizer que Sistema de Arquivos so estruturas lgicas que permitem que um sistema operacional consiga escrever, acessar e organizar dados dentro de um disco rgido. Ou seja, a forma utilizada pelo sistema para encontrar um dado ou um arquivo necessrio no disco depois de gravado. Basicamente, todos os sistemas fazem uso de uma tabela onde so associados os metadados de um arquivo e o espao ocupado por ele no disco. (JOSILENE, 2010, p. 24) Para que os dados possam ser gravados e acessados, o HD dividido em setores. Os blocos ou clusters o agrupamento desses setores, e o nome pelo qual chamado e o tamanho so determinados pelo sistema. Na Figura 1, pode-se verificar um exemplo da localizao dos clusters.

FIGURA 1 Diviso do disco em clusters, setores e trilhas (SIMO, 2012). 3

Cada sistema operacional utilizado tem um sistema de arquivos prprio. No Windows, sistema operacional da Microsoft, atualmente o utilizado o NTFS. Nas distribuies Linux, so o Ext3 e o Ext4, mas existem ainda outros. 2.3.1 Sistema de Arquivos NTFS O NTFS (New Tecnology File System) foi desenvolvido pela Microsoft quando ela resolveu criar o Windows NT, e utilizado por esse sistema operacional e todos os que dele derivaram. Ele j foi concebido com suporte a endereamentos de cluster na ordem de 64bits e com 512bytes de tamanho para cada um destes independente do tamanho da partio. Neste conceito, o que seria vantajoso em termos de espao, seria extremamente desvantajoso em termos de processamento de informao, uma vez que o processador teria muito mais trabalho para encontrar os dados em meio grande quantidade de clusters. Desse modo, ficou estabelecido que, para as parties maiores que 2GB, o tamanho dos clusters foi fixado em 4KB por default e este valor poderia ser alterado pelo usurio (MARIMOTO 2007). Outra vantagem do NTFS a gravao inteligente dos arquivos, na qual esses so salvos de forma sequencial no HD. Para alocao de novos arquivos, esse sistema tenta gravar os dados na menor rea que ele consiga se encaixar totalmente. Dessa forma, ele otimiza o processo de ocupao da partio e diminui a fragmentao dos dados. 2.3.2 Sistema de Arquivos Ext No sistema Linux, o formato de arquivos utilizados o Ext (Extended File System). Atualmente, o Ext3 o mais utilizado pelas distribuies existentes, sendo que em algumas j utilizado o sistema de arquivos Ext4, a ltima verso dos sistemas de arquivos Linux. A primeira verso do formato Ext suportava parties de, no mximo, 2GB o que j era muito pouco quando lanado. Isso sem falar que os arquivos eram facilmente fragmentados, demorando mais tempo que o necessrio quando fosse solicitada a abertura destes. Depois de transcorridos, aproximadamente, 9 anos do lanamento do Ext, surgiu o Ext3 com um recurso chamado journaling, uma espcie de log que preservado durante todo o processamento dos dados e quando os arquivos so alterados. Esse recurso muito til quando o sistema desligado de forma incorreta, pois so observadas apenas as informaes contidas no log e, com isso, efetuada a recuperao do mesmo. Alm disso, o Ext3 possui entradas de 32bits, o que significa que podem existir parties de at 32GB. A gravao dos dados inicia buscando o primeiro bloco disponvel no incio do sistema de arquivos. Com o intuito de minimizar a fragmentao dos dados e a movimentao da cabea de leitura do disco rgido, esse sistema de arquivos trabalha de forma pr-ativa, reservando conjuntos de blocos para pastas e arquivos que estejam em franco crescimento. Em 21 de agosto de 2008, foi lanado o sistema de arquivos Ext4. Com endereamento de 48bits, as parties podem ser de, at, 1EB (Exabyte1), sendo ilimitada a quantidade de subdiretrios enquanto, no Ext3, a quantidade mxima estava na ordem de 32000. Com o Ext4, foi reduzida, ainda mais, a fragmentao de arquivos em relao ao seu antecessor. Isso se deve ao fato de serem utilizados diversos recursos de forma simultnea que, segundo Jones (2009), so: Pr-Alocao de Arquivos: blocos adjacentes aos utilizados por um arquivo que esteja em edio so reservados, de forma estimada, para serem utilizados aps a finalizao e gravao das alteraes sofridas por este. Atraso na Alocao de Blocos: os dados apenas so gravados fisicamente no disco, quando estritamente necessrio. Quanto mais adiado o processo de gravao puder ocorrer, mais blocos sero disponibilizados e, com isso, a probabilidade de as partes do arquivo serem gravadas de maneira sequencial aumenta significativamente. Mltipla Alocao de Blocos: atravs da utilizao deste recurso, o processamento e a fragmentao de dados s reduzidos, pois quanto mais blocos forem alocados ao mesmo tempo, um nmero menor de chamadas do algoritmo de alocao necessrio e, consequentemente, as chances de os arquivos serem fragmentados tambm so reduzidas.

1EB=1024PB, 1PB=1024TB e 1TB=1024GB.

Mesmo com todos esses recursos simultneos sendo utilizados, com o passar do tempo, os arquivos acabam sendo fragmentados. Ento, entra em cena o recurso de desfragmentao online sem a necessidade de que sejam adquiridas ou mesmo instaladas novas ferramentas que faz a realocao dos arquivos. A ferramenta de FSCK, presente no Ext4, possui um recurso muito interessante, que a marcao de blocos no utilizados com o intuito de que esses no sejam verificados durante o processo de correo. Com isso, acelera-se todo o processo de verificao.

2.4

Alguns Exames Forenses Computacionais

Conforme Eleutrio e Machado (2011), embasados em suas experincias profissionais, os principais exames forenses so: Exames e procedimentos em locais de crime de informtica: tm como principais objetivos o mapeamento, identificao e correta preservao dos equipamentos, a fim de que passem por uma refinada seleo do que deve ser apreendido para ser analisado em laboratrio posteriormente. Exames em dispositivos de armazenamento computacional: esses exames possuem quatro fases bem distintas, mas interdependentes, que so a preservao, extrao, anlise e formalizao. Para que isso ocorra, muitas vezes, faz-se necessrio recuperar arquivos apagados, quebrar senhas ou mesmo virtualizar as informaes contidas na mdia de armazenamento que est sendo investigada. Tais mdias de armazenamento podem ser HDs, DVDs, CDs, Blu Ray, pen drives ou outra mdia onde os dados possam ser armazenados. Exames em aparelhos de telefone celular: o simples processo de extrao de informaes, como fotos, mensagens, listas de contato e ligaes que ficam armazenadas na memria do aparelho e, com isso, formalizar as informaes. Exames em sites da internet: o processo de aquisio de informaes, verificao e cpia, de contedos disponveis na rede nos mais diversos sites e servidores de diferentes finalidades e empresas. E, com isso, chega-se ao responsvel pela divulgao atravs do endereamento IP. Exames em e-mails: a anlise da mensagem com a finalidade de obter alguns dados que levem ao verdadeiro remetente do e-mail. Os dados analisados consistem na data, hora e no endereo IP que enviou tal correspondncia.

EXAMES

Realizaram-se os testes, tendo como sistema operacional base para o cenrio Linux a distribuio Mandriva Linux 2011, Kernel 2.6.38.7-desktop-lmnb2. Foram utilizadas as ferramentas Foremost, Scalpel e TSK/Autopsy. No ambiente Microsoft, os testes foram realizados tendo como base o Windows 7 Professional e a ferramenta a ser analisada foi a FTK Imager. Os sistemas operacionais do ambiente de testes so de 32bits.

3.1

Montagem do Sistema de Arquivos

Foi realizada a instalao dos sistemas de arquivos para os testes, criando em arquivos dentro do sistema utilizado e posteriormente montados como parties. A ordem de instalao e montagem de cada um deles descrito na Tabela 1, conforme o modelo de Jones (2007). Foram estabelecidas parties de diferentes tamanhos, 100MB e 200MB para facilitar a manipulao de arquivos e a anlise dos dados, na sequncia. Com a limitao de o dispositivo de loopback no poder ser ocupado de forma total e concomitante por dois ou mais sistemas de arquivos, a montagem dos sistemas de 100MB e 200MB foi executada em diferentes momentos.

Formato

Imagens 100MB dd if=/dev/zero of=ext3.img bs=1k count=100000 losetup /dev/loop0 ext3.img

Imagens 200MB dd if=/dev/zero of=ext3.img bs=1k count=200000 losetup /dev/loop0 ext3.img mkfs.ext4 c /dev/loop0 200000 mkdir /mnt/disco1 mount t ext3 /dev/loop0 /mnt/disco1 dd if=/dev/zero of=ext4.img bs=1k count=200000 losetup /dev/loop1 ext4.img mkfs.ext4 c /dev/loop1 200000 mkdir /mnt/disco2 mount t ext4 /dev/loop1 /mnt/disco2 dd if=/dev/zero of=ext3.img bs=1k count=200000 losetup /dev/loop2 ntfs.img mkfs.ntfs c /dev/loop2 200000 mkdir /mnt/disco3 mount t ext3 /dev/loop2 /mnt/disco3

ext3

mkfs.ext3 c /dev/loop0 100000 mkdir /mnt/disco1 mount t ext3 /dev/loop0 /mnt/disco1 dd if=/dev/zero of=ext4.img bs=1k count=100000 losetup /dev/loop1 ext4.img

ext4

mkfs.ext4 c /dev/loop1 100000 mkdir /mnt/disco2 mount t ext4 /dev/loop1 /mnt/disco2 dd if=/dev/zero of=ntfs.img bs=1k count=100000 losetup /dev/loop2 ntfs.img

NTFS

mkfs.ntfs c /dev/loop2 100000 mkdir /mnt/disco3 mount t ext3 /dev/loop2 /mnt/disco3

Tabela 1 Ordem de montagem das parties utilizadas no processo de testagem. As parties tm por objetivo serem a base das imagens analisadas pelas ferramentas forenses. Essas imagens nada mais so que uma cpia fiel do sistema a ser analisado. Os comandos apresentados na Tabela 1 para cada um dos sistemas de arquivos apresentados e tamanhos de imagem realizam as seguintes aes: Criao de um arquivo inicializado; Simulao de um dispositivo em bloco; Criao do sistema de arquivos com o dispositivo de bloco; Criao do ponto de montagem; Montagem do sistema de arquivos.

Abaixo, na Figura 2, pode-se verificar a criao da imagem de 100MB com o sistema de arquivos ext3. Na Figura 3, pode-se verificar a criao da imagem de 200MB, com o mesmo sistema de arquivos anterior.

Figura 2 Criao da imagem de 100MB com sistema de arquivos ext3.

Figura 3 - Criao da imagem de 200MB com sistema de arquivos ext4. 7

As imagens foram preparadas executando-se diversos processos de escrita, excluso, incluso e alterao de dados. Todas essas aes formam as imagens e foram organizadas em cenrios, que sero apresentados em seguida.

3.2

Cenrios

Foram escolhidos vinte e cinco (25) arquivos os mesmos para todos os testes de extenses diferentes, os quais foram copiados para as parties montadas. Todos foram relacionados na Tabela 2 e perfazem um tamanho de 28,1MB. Objetiva-se, neste trabalho, recuperar arquivos apagados do disco. Para tal, foram preparados quatro cenrios onde foram aplicados diversos testes. Sendo que cada uma das simulaes representa uma situao de exposio dos mesmos dentro de um sistema de arquivos. TIPO Imagens JPG Imagens GIF Imagens BMP Imagens PNG udio MP3 Vdeo FLV PDF Apresentao (Power Point) Planilhas (Excel) Documento (Word) Arquivos zip Arquivos exe 3.2.1 Sistema de Arquivos NTFS TAMANHO 19KB e 549KB 197KB, 149KB, 12KB e 169KB 5.626KB E 901KB 1315KB 4.949KB e 7.824KB 755KB 638KB 184KB, 371KB e 1.586KB 67KB e 103KB 16KB, 67KB e 21KB 54KB e 27KB 2.519KB e 723

Tabela 2 Arquivos copiados para as imagens que as ferramentas tentaram recuperar. Neste primeiro teste, exemplifica-se o caso de excluso de arquivo do disco e o incio da tentativa de recuperao, sem que o sistema tenha sofrido quaisquer alteraes. Tem-se por objetivo a testagem do desempenho das ferramentas e o comportamento dos sistemas durante o processo de recuperao dos arquivos que foram excludos recentemente. Nas parties de 100MB, formatadas conforme a Tabela 1, foram seguidos os seguintes passos: Cpia dos 25 arquivos; Desmontagem e montagem; Excluso dos arquivos; Desmontagem e montagem.

Nota-se que o processo de desmontagem e montagem repete-se em diferentes momentos com o intuito de excluir quaisquer pedaos que informao que, por ventura, tenham restado no buffer dos sistemas. Caso isso no seja seguido, os resultados podem ser invalidados, visto que estariam contaminados com as informaes na memria do sistema. Foi executado o script <sistema_arquivos>_01.dd Figura 4, a fim de gerar as imagens para execuo dos testes do primeiro cenrio. 8

#!/bin/bash # Imagens com os arquivos deletados e sobrescritos com as parties totalmente populadas de dados. Os arquivos utilizados para sobrescrever os do Cenrio 1 foram igualmente deletados. dd if=/dev/loop0 of=/home/goi/arquivostcc/cenario2/ext3_02.dd dd if=/dev/loop1 of=/home/goi/arquivostcc/cenario2/ext4_02.dd dd if=/dev/loop2 of=/home/goi/arquivostcc/cenario2/ntfs_02.dd

Figura 4 Script de criao das imagens do primeiro cenrio. 3.2.2 Cenrio 2 Nesta etapa do processo, as parties das quais os arquivos foram apagados tero seu espao disponvel totalmente ocupado por novos arquivos, sem qualquer vnculo com os primeiros. Por sua vez, tambm esses foram apagados da partio antes da criao da imagem a ser analisada. A probabilidade de os arquivos do Cenrio 1 terem sido completamente apagados grande. Utilizase, ento, as ferramentas para testar sua capacidade de recuperao com o intuito de encontrar algum arquivo ou mesmo fragmentos desses. Utilizaram-se, neste cenrio, as mesmas parties de 100MB do Cenrio 1. E foram executados os seguintes processos: Cpia de arquivos que no possuam nenhuma relao com os existentes no Cenrio 1, para preenchimento de todo espao disponvel; Desmontagem e montagem; Limpeza da partio; Desmontagem e montagem.

Para gerar a imagem deste cenrio e que ser utilizada posteriormente, foi executado o script apresentado na Figura 5, <sistema_arquivos>_02.dd.
#!/bin/bash # Imagens com os arquivos deletados e sobrescritos com as parties totalmente populadas de dados. Os arquivos utilizados para sobrescrever os do Cenrio 1 foram igualmente deletados. dd if=/dev/loop0 of=/home/goi/arquivostcc/cenario2/ext3_02.dd dd if=/dev/loop1 of=/home/goi/arquivostcc/cenario2/ext4_02.dd dd if=/dev/loop2 of=/home/goi/arquivostcc/cenario2/ntfs_02.dd

Figura 5 - Script de criao das imagens do segundo cenrio. 3.2.3 Cenrio 3 Neste terceiro cenrio, repete-se o processo do primeiro. Entretanto deve-se atentar ao fato de que o tamanho desta partio o dobro da primeira, 200MB. Criou-se essa diferenciao com o propsito de sobrar bastante espao livre. O comportamento do terceiro cenrio o mesmo apresentado no primeiro, com a diferena do espao de armazenamento disponvel, que maior, permitindo, assim, que os arquivos sejam distribudos em mais reas do disco. O script apresentado na Figura 6, <sistema_arquivos>_03.dd, gera a imagem para posterior anlise das ferramentas de recuperao.

#!/bin/bash # Imagens com os arquivos deletados e sobrescritos com as parties totalmente populadas de dados. Os arquivos utilizados para sobrescrever os do Cenrio 1 foram igualmente deletados. dd if=/dev/loop0 of=/home/goi/arquivostcc/cenario3/ext3_03.dd dd if=/dev/loop1 of=/home/goi/arquivostcc/cenario3/ext4_03.dd dd if=/dev/loop2 of=/home/goi/arquivostcc/cenario3/ntfs_03.dd

Figura 6 - Script de criao das imagens do terceiro cenrio. 3.2.4 Cenrio 4 Para a execuo dos testes neste quarto cenrio, foi utilizado um nico arquivo com um tamanho de 80MB, o qual ocupa quase a metade do espao disponvel e excede o tamanho dos arquivos a serem recuperados. Conforme a manipulao e a formatao do sistema em teste, os arquivos que devem sofrer o processo de recuperao podem ou no ter sido sobrescritos, dificultando ou facilitando o trabalho das ferramentas testadas. O arquivo adicionado no segundo momento tambm foi removido antes da gerao das imagens. A partio utilizada foi a mesma de 200MB, empregada para a gerao de imagem do Cenrio 3. Os processos adotados so: Cpia de um arquivo qualquer de 80MB; Desmontagem e montagem; Limpeza da partio; Desmontagem e montagem.

Conforme indicado na figura abaixo, Figura 7, geraram-se as imagens de acordo com o script <sistema_arquivos>_04.dd para anlise em um segundo momento.

#!/bin/bash # Imagens com os arquivos deletados e sobrescritos para que restem espaos vazios, com seu prprio tamanho. O arquivo de sobrescrio utilizado tambm foi deletado. dd if=/dev/loop0 of=/home/goi/arquivostcc/cenario4/ext3_04.dd dd if=/dev/loop1 of=/home/goi/arquivostcc/cenario4/ext4_04.dd dd if=/dev/loop2 of=/home/goi/arquivostcc/cenario4/ntfs_04.dd

Figura 7 - Script de criao das imagens do quarto cenrio. Na tabela abaixo, Tabela 3, esto listados os arquivos de imagens de cada cenrio. CENRIO 1 ext3 ext4 ntfs ext3_01.dd ext4_01.dd ntfs_01.dd CENRIO 2 ext3_02.dd ext4_02.dd ntfs_02.dd CENRIO 3 ext3_03.dd ext4_03.dd ntfs_03.dd CENRIO 4 ext3_04.dd ext4_04.dd ntfs_04.dd

Tabela 3 Lista dos arquivos de imagem a serem analisados, de cada um dos cenrios.

3.3

Realizao dos Exames

Aps todo o processo de gerao das imagens, ter incio a realizao das anlises. Ao longo desta seo, ser detalhado todo o processo de testagem e comportamento de cada ferramenta.

10

3.3.1

Foremost

A ferramenta foi instalada de forma padro, sem que tenha sido executada nenhuma configurao adicional. As anlises foram realizadas individualmente, sendo iniciados os testes atravs de uma linha de comando. A execuo da ferramenta e a inicializao do teste tiveram incio ao ser digitada a seguinte linha de comando; foremost i <nome_da_imagem> -o <pasta_de_destino> Tal comando dever ser repetido para cada um dos sistemas de arquivo e cenrios testados. Iniciada a busca, todos os tipos de arquivos suportados pelo Foremost seriam buscados dentro da imagem especificada. Um exemplo de teste da ferramenta realizar o teste da imagem da partio ext4 do cenrio 1. O retorno da ferramenta deu-se na pasta de nome resultados_cenario1, onde o comando foi executado. Como exemplo prtico da linha de comando, cita-se: foremost i ext3_01.dd ext3_01 Para cada cenrio testado, a ferramenta gerava uma pasta com os arquivos separados por pastas, segregados de acordo com as extenses. 3.3.2 Scalpel

Os testes realizados pelo Scalpel, bem como suas sadas, so semelhantes ao Foremost. Entretanto, diferentemente da ferramenta anterior, foram necessrios alguns ajustes na mesma para que funcionasse conforme o desejado - diferentemente do software anterior, em que as opes eram chamadas atravs de linha de comando e sim atravs da edio de um arquivo chamado scalpel.conf. Na Figura 8, pode-se observar um trecho do arquivo scalpel.conf.

#--------------------------------------------------------------------------------------------------# HTML #--------------------------------------------------------------------------------------------------# # htm n 50000 <html> </html> # #--------------------------------------------------------------------------------------------------# ADOBE PDF #--------------------------------------------------------------------------------------------------# pdf y 5000000 %PDF %EOF\x0d REVERSE pdf y 5000000 %PDF %EOF\x0a REVERSE

Figura 8 Trecho do arquivo scalpel.conf A fim de que sejam recuperados os arquivos de determinadas extenses, deve-se retirar o sinal de # que a precede. Aps concludo o processo de seleo das extenses, deve-se salvar o arquivo e iniciar o processo de testagem de todos os cenrios e sistemas, conforme o exemplo, Cenrio 1 e uma imagem de sistema ext 3, da linha de comando abaixo: scalpel ext3_01.dd c /etc/scalpel/scalpel.conf o ext3_01 Para receber o resultado da ferramenta, criada uma pasta com o nome ext02_2, e os arquivos so divididos em subpastas de acordo com suas extenses. 3.3.3 TSK/Autopsy

Os exames realizados pela ferramenta TSK so executados atravs de uma ferramenta grfica via web, o Autopsy. Para ativar o Autopsy, utiliza-se, dentro da pasta onde a ferramenta foi compilada, a linha de 11

comando: /usr/bin/autopsy [-c] [-C] [-d evid_locker] [-i device filesystem mnt] [-p port] [remoteaddr] Os argumentos utilizados acima ativam as seguintes opes: -c: forar um cookie na URL; -C: no forar cookies na URL; -d dir: especificar o diretrio de evidncias; -i device filesystem mnt: especifica informaes para anlise viva; -p port: especifica a porta do servidor; remoteaddr: especifica o host do navegador (padro: localhost).

A imagem que deve ser analisada ser includa atravs do navegador. Entretanto deve-se previamente ter criado e configurado o novo caso utilizando o boto New Case Figura 9 e o host (equipamento que ir sofrer o processo de anlise).

Figura 9 Tela de abertura da ferramenta Autopsy. Ao clicar sobre o boto Analyze, ter incio o processo de verificao da imagem que foi selecionada. Aps o trmino do processo anterior, ter incio a fase de anlise da imagem. Concludo o processo de anlise, deve-se clicar sobre o boto File Analysis para verificar uma lista de arquivos passveis de recuperao. Para recuperar um arquivo, neste tipo de anlise, basta selecion-lo e clicar no boto Export, indicando o local onde o mesmo deve ser salvo. Alguns dados de determinados tipos, podem, inclusive, ser visualizados sem a necessidade do salvamento em disco. Esses dois procedimentos s sero realmente vlidos em caso de recuperao real. A ferramenta permite, ainda, a recuperao de fragmentos e/ou metadados de arquivos, mas no autoriza a visualizao do contedo. 3.3.4 FTK Imager

A presente ferramenta inicia seu funcionamento apenas com um duplo clique sobre seu executvel, FTK Imager.exe. Atravs de sua interface grfica amigvel, possvel a incluso das imagens a serem analisadas, clicando em Add Evidence Item e na sequncia escolher o item Image File, pressionar o boto avanar, efetuar a escolha da imagem e, por fim, pressionar o boto concluir. 12

O procedimento acima citado incluiu a imagem dentro do software e este, por sua vez, tenta recuperar o maior nmero de dados possveis da partio ou dispositivo ao qual pertence imagem.

3.4

Resultados
Para facilitar o entendimento, os resultados foram separados em quatro grupos:

Total: somente quando o contedo puder ser visualizado de forma completa. Encaixam-se inclusive nesse grupo os resultados das ferramentas que no foram capazes de recuperar os metadados dos arquivos. Os softwares Scalpel e Foremost no conseguem recuperar os nomes dos arquivos para nenhum sistema, enquanto as demais no foram capazes de recuperar esses metadados em alguns sistemas e cenrios. Parcial Fragmentos de arquivos: quando a recuperao do arquivo foi possvel, mas visualizado em pedaos como, por exemplo, pedaos de uma figura. Parcial Metadados: quando apenas os atributos dos arquivos diferentes do contedo, tais como nome, extenso, tamanho, datas de criao e ltima alterao nenhum fragmento do arquivo pode ser visualizado. Nulo: quando as informaes recuperadas forem invlidas, ou seja, no possvel a visualizao dos metadados ou de nenhum fragmento. 3.4.1 Cenrio 1

Os resultados obtidos pelas ferramentas ao tentar recuperar os arquivos apresentados na Tabela 2, que foram apagados das parties com os sistemas ext3, ext4 e NTFS so apresentados, no Grfico 1.

CENRIO 1
6 10 01 1 Metadados 1 20 16 Total 5 10 Metadados 0 3 20 17 Total 15 25 Metadados 0 7 6 0 3 30 Total 0 10 Foremost 0 24 NTFS

13 25

24

ext4

13 16

0 0 25

ext3

20 Scalpel

30 Autopsy - TSK

40 FTK Imagem

50

60

Grfico 1 Comparativo das ferramentas nos diferentes sistemas de arquivos. 3.4.2 Cenrio 2

No Cenrio 2, foram copiados diversos arquivos para as parties j anteriormente utilizadas para os testes do primeiro cenrio de forma que todo espao disponvel fosse ocupado. O que est em jogo neste cenrio a capacidade de recuperao de arquivos, das ferramentas, quando esses tiverem sido sobrescritos por outros. Como se pode notar no Grfico 2, o desempenho das ferramentas foi quase sempre nulo. As ferramentas FTK Imager e Autopsy tiveram desempenhos muito prximos para todas imagens, exceto ext4, o qual no reconhecido pelo FTK Imager. 13

CENRIO 2
Nulo Metadados Fragmentos de Arquivos Total Nulo Metadados Fragmentos de Arquivos Total Nulo Metadados Fragmentos de Arquivos Total 25 01 1 0 0 0 0 0 0 0 0 0 Foremost 25 21 25 0 5 25 25 24 24

ext4

NTFS

ext3

25 23

25 22

23

10

20 Scalpel

30

40

50

60

70

80

90

100

Autopsy - TSK

FTK Imagem

Grfico 2 Comparativo das ferramentas nos diferentes sistemas de arquivos. Neste cenrio, onde os arquivos foram apagados e sobrescritos com dados que preencham todo o tamanho da partio, esperava-se que o contedo de todos os arquivos fosse sobrescrito, o que de fato foi comprovado. Foi possvel observar, ainda, que duas das ferramentas Autopsy e FTK Imager ainda so capazes de recuperar algumas informaes da maioria dos dados nos sistemas de arquivos que eesas ferramentas reconheciam, excetuando-se o NTFS, onde a recuperao dos metadados foi quase nula. A recuperao dos arquivos pode ter ocorrido devido ao tamanho dos arquivos apagados, porque esses foram sobrescritos por uma quantidade menor de dados, com um tamanho maior. 3.4.3 Cenrio 3

Neste cenrio, no houve mudanas nos resultados, quando comparados ao Cenrio 1. No entanto uma pequena diferena em relao ao primeiro cenrio notada nos resultados obtidos pelas ferramentas Foremost e Scalpel, que sofreram um rpido declnio no desempenho para o sistema de arquivos ext3. Por outro lado, houve uma melhora nos resultados obtidos pelo sistema ext4 e NTFS, recuperando um nmero maior de dados no cenrio atual que no cenrio 1.

14

CENRIO 3
5 10 0 Nulo 0 1 Metadados Fragmentos de Arquivos 1 20 19 Total 5 10 0 Nulo 0 25 Metadados 4 30 Fragmentos de Arquivos 16 Total 14 Nulo 25 Metadados 0 8 7 0 Fragmentos de Arquivos Total 2 20 0 Foremost 10 Scalpel 20 24

NTFS

ext4

13 25 0 12 16 0 0 25

25

ext3

30

40 FTK Imagem

50

60

Autopsy - TSK

Grfico 3 Comparativo das ferramentas nos diferentes sistemas de arquivos. Os resultados dos testes para este cenrio so semelhantes aos verificados no primeiro cenrio, o que j estava previsto, uma vez que o processo de criao das imagens foi praticamente o mesmo, apenas diferindo no tamanho das parties. Como para todos os cenrios anteriores, o ideal para este cenrio usar mais de uma ferramenta para obter a maior quantidade de contedo recuperado e das informaes sobre os arquivos (metadados). 3.4.4 Cenrio 4

No Cenrio 4, foram utilizadas as mesmas imagens do Cenrio 3, onde aps os arquivos serem apagados, apenas um arquivos de 80MB foi copiado para sobrescrever a partio. A inteno foi deixar espao suficiente para que, dependendo do modo de operar do sistema de arquivos usado, os arquivos a serem recuperados no sejam todos sobrescritos.

CENRIO 4
17 19 1 Metadados 0 1 020 8 4 50 Total 9 25 0 24 0 Metadados 2 20 14 11 0 Total 25 24 Metadados 0 0 Total 0 0 10 Foremost 20 Scalpel 30 19 24 NTFS

25

ext4

ext3

25 24

11

40

50

60

70

80

Autopsy - TSK

FTK Imagem

Grfico 4 Comparativo das ferramentas nos diferentes sistemas de arquivos. 15

Para o cenrio atual, a utilizao de mais de uma ferramenta com o intuito de aperfeioar os resultados funcionaria apenas no que diz respeito ao sistema ext4. Para os demais, a utilizao da ferramenta que apresentou o melhor resultado j o suficiente. Com a comparao entre os diferentes cenrios e sistemas de arquivos, foi possvel concluir que o comportamento das ferramentas alterado de acordo com o sistema em que os dados so alocados. Na prxima seo, h um resumo dos resultados obtidos pelas ferramentas forenses em cada um dos sistemas de arquivo. 3.4.5 Resumo dos Resultados

Revendo os resultados de todas as imagens para todos os cenrios, pode-se ter uma ideia de qual abordagem utilizar para cada sistema de arquivos a ser analisado. Este breve resumo de quais procedimentos devem ser adotados apresentado a seguir. Sistema ext3: As ferramentas Autopsy e FTK Imager obtiveram desempenhos muito parecidos, independente do Cenrio, ou seja, apenas recuperam metadados. Assim, a melhor abordagem para este sistema usar mais de uma ferramenta, incluindo tambm o Foremost ou Scalpel, e buscar realizar associaes entre nomes e contedos. Mesmo assim, poucos arquivos so recuperados. Sistema ext4: Apesar da ferramenta FTK Imager no reconhecer este sistema e o Autopsy recuperar apenas metadados, as ferramentas Foremost e Scalpel conseguiram recuperar uma quantidade maior de arquivos ao comparar estes resultados com o do outro sistema Linux. Logo essas duas ferramentas Foremost e Scalpel so recomendadas quando se tratar de recuperar arquivos no sistema ext4. Sistema NTFS: Nenhuma ferramenta conseguiu ter sucesso ao recuperar metadados. Apenas um arquivo teve os seus metadados recuperados para todos os cenrios. Com relao ao contedo dos arquivos, estes so recuperados quase totalmente quando no h indcios de terem sido sobrescritos. Quando totalmente sobrescritos, nada recuperado e com os dados parcialmente sobrescritos, a ferramenta Foremost foi a que apresentou melhor resultado ao recuperar a maior quantidade de arquivos. A ferramenta FTK Imager, para todos cenrios, conseguiu recuperar apenas os metadados de um arquivo, sem recupear o contedo de nenhum deles.

CONCLUSO

Atualmente, trs fatores contribuem com o aumento da quantidade de dados perdidos, que so o aumento da capacidade de armazenamento de informaes em equipamentos eletrnicos, a queda vertiginosa nos preos e, atrelado a isso, a massificao do uso. Tais motivos levaram a um crescimento alarmante nos crimes digitais. Com o intuito de recuperar os dados que, apesar de excludos do disco talvez por este motivo , possam ser importantes, so desenvolvidas vrias ferramentas de recuperao de dados. Foram utilizadas quatro destas ferramentas, cada uma a quatro cenrios diferentes, de perda de dados. Com a experincia prtica adquirida, durante os testes controlados, pde-se notar o quo simples recuperar os dados que tenham sido apagados imediatamente do disco. Entretanto, se a interveno demorar muito para ocorrer, fica mais difcil a recuperao e os mtodos mais sofisticados, visto que novos dados sero acrescidos. Durante o desenvolvimento das atividades e conforme os relatos existentes ao longo deste artigo, pde-se observar que nenhuma ferramenta totalmente eficiente. Para todos os sistemas de arquivos ou cenrios em que os dados possam estar inseridos, o melhor , antes de iniciar o processo de recuperao, verificar qual o sistema de arquivos est em uso e descobrir se o sistema teve utilizao aps o desaparecimento do primeiro arquivo apagado. Foi possvel concluir o quo complexo excluir, definitivamente, uma informao de um disco. Informaes confidenciais existem aos milhares, assim como milhares de discos ultrapassados tm seu uso suspenso diariamente, em grandes corporaes. A fim de que esses dados sigilosos tenham sua confidencialidade respeitada, rigorosos procedimentos devem ser seguidos para que tais discos rgidos sejam descartados com segurana, e as informaes sensveis no corram o risco de serem divulgadas, sem a devida autorizao de seus proprietrios. 16

Alm do j exposto acima, durante os levantamentos bibliogrficos foram encontradas informaes conflitantes e que no transmitiam segurana de sua veracidade. Tais informaes mereceram um tempo maior de estudo e testagem a fim de se obter o resultado correto. Um dos principais conflitos encontrados foi, o fato, de alguns autores afirmarem que mesmo executando o processo de wipe em um disco seria possvel recuperar todas as informaes, visto que a agulha do disco rgido jamais passa no mesmo lugar duas vezes. Ao longo dos testes foi possvel demonstrar que alguns arquivos e/ou parte deles passvel de recuperao e outros no. Tal recuperao depende muito mais da ferramenta empregada, visto que nos quatro cenrios apresentados, cada uma teve um resultado diferente sendo os dados foram recuperados em maior ou menor grau. Indica-se para trabalhos futuros a ampliao da gama de ferramentas utilizadas sejam elas proprietrias ou livres. A incluso da mtrica do tempo de exame e recuperao dos dados, para que se possa decidir qual ferramenta utilizar baseando-se no tempo gasto versus quantidade de informao recuperada. interessante, ainda, incluir algumas ferramentas de wipe e informar qual o nvel de eficcia na limpeza, e at qual camada a mesma atinge, e posterior recuperao de dados.

AGRADECIMENTO(S)
Agradeo especial e carinhosamente aos meus pais, Helena Nair Goi Guidolin e Luiz Carlos da Silva Guidolin, pelo amor incondicional, pela confiana depositada, pelo respeito e por terem feito o possvel e impossvel para me oferecerem a oportunidade de estudar; Aos meus familiares, pelo incentivo, por compreenderem a importncia dessa conquista e aceitar a minha ausncia quando necessrio; Aos meus amigos, pela torcida positiva, pela amizade e por ajudarem a tornar a vida muito mais divertida; Aos meus colegas do SENAC Passo DAreia, docentes como eu ou administrativos, pela torcida positiva, pela amizade e por ajudarem a tornar a vida muito mais significativa.

REFERNCIAS
CARRIER, Brian. File System Forensic Analysis. Addison-Wesley, 2005. CHISUM, W.J.; Turvey, B. Evidence Dynamics: Locard's Exchange Principle & Crime Reconstruction. Journal of Behavioral Profiling, v1, n 1, jan. 2000. COURTNEY, Scott. An In-Depth Look at Reiserfs. Disponvel em: <http://www.linuxplanet.com/linuxplanet/tutorials/2926/4/>. Acesso em: 26 ago. 2012. DFLABS. PTK an alternative computer forensic framework. Disponvel em: <http://ptk.dflabs.com/> Acesso em: 28 ago. 2012. FOREMOST. Disponvel em: <http://foremost.sourceforge.net/>. Acesso em: 2 set. 2012. IEONG, Ricci S.C. FORZA Digital forensics investigation framework that incorporate legal issues. Digital Investigation, Amsterdam, v. 3, s.1, p. 29-36, set. 2006. JONES, M. Tim. Anatomia do Sistema de Arquivos do Linux. Disponvel em: <http://www.ibm.com/developerworks/br/library/l-linux-filesystem/index.html>. Acesso em: 30 ago. 2012. JONES, Tim M. Anatomia do Ext4. Disponvel em: <http://www.ibm.com/developerworks/br/library/l-anatomy-ext4/index.html>. Acesso em: 30 ago. 2012. MELO, Sandro. Computao Forense com Software Livre: Conceitos, Tcnicas, Ferramentas e Estudos de Casos. 1a ed. Rio de Janeiro: Alta Books, 2009.

17

MORIMOTO, Carlos E. Hardware, o Guia Definitivo. Disponvel em: <http://www.gdhpress.com.br/hardware/>. Acesso em: 25 set. 2012. MOURA, M. Curso de Administrao Computao I. 2009. Disponvel em: <http://computacao.web44.net/adm_comp/tutoriais/hard3.html>. Acesso em: 10 ago.2012. SCALPEL: A Frugal, High Performance File Carver. Disponvel em: <http://www.digitalforensicssolutions.com/Scalpel/>. Acesso em: 2 set. 2012. THE SLEUTH KIT (TSK) & Autopsy: Open Source Digital Investigation Tools. Disponvel em: <http://www.sleuthkit.org/>. Acesso em: 2 out. 2012. SILVERSTONE, Professor Andr. Conhecendo o HD do Computador. Disponvel em: <http://professorsilvertone.blogspot.com.br/2012/05/conhecendo-o-hd-do-computador.html> Acesso em: 10 out. 2012 ELEUTRIO, Pedro Monteiro da Silva; MACHADO, Marcio Pereira. Desvendando a Computao Forense. So Paulo: Novatec Editora, 2010. FARMER, Dam; VENEMA, Wietse. Percia Forense Computacional: Teoria e Prtica. So Paulo: Pearson, 2006.

18

You might also like