Upload
hakhue
View
223
Download
7
Embed Size (px)
Citation preview
Informática Forense: clonagem de sistema de arquivos NTFS usando a ferramenta ntfsclone
COORDENAÇÃO DE INFORMÁTICAIFPB – Campus Picuí
Acesso Rodovia PB 151, s/nº., Cenecista, Picuí/PB CEP: 58187-000
http://www.ifpb.edu.br/campi/picui/
MINISTÉRIO DA EDUCAÇÃO
INSTITUTO FEDERAL DE EDUCAÇÃO, CIÊNCIA E TECNOLOGIA DA PARAÍBA CAMPUS PICUÍ
CURSO TÉCNICO
UELISON DA COSTA DANTAS
INFORMÁTICA FORENSE: CLONAGEM DE SISTEMA DE ARQUIVOS NTFS USANDO A FERRAMENTA NTFSCLONE.
PICUÍ-PB
FEVEREIRO / 2014
UELISON DA COSTA DANTAS
INFORMÁTICA FORENSE: CLONAGEM DE SISTEMA DE ARQUIVOS NTFS
USANDO A FERRAMENTA NTFSCLONE.
Monografia apresentada como pré-requisito para conclusão do Curso Técnico Manutenção e Suporte em Informática.
Orientador:Prof. M. Sc. João Ricardo Freire de Melo.
PICUÍ-PB
FEVEREIRO / 2014
UELISON DA COSTA DANTAS
INFORMÁTICA FORENSE: CLONAGEM DE SISTEMA DE ARQUIVOS NTFS USANDO A FERRAMENTA NTFSCLONE.
Monografia apresentada como pré-requisito para conclusão do Curso Técnico Manutenção e
Suporte em Informática, apreciada pela Banca Examinadora composta pelos seguintes
membros:
____________________________________________Prof. M. Sc. João Ricardo Freire de Melo
Orientador
____________________________________________Prof. Esp. Anderson Bráulio Nóbrega da Silva
Prof. M.Sc. Antônio Carlos Buriti da Costa FilhoProf. D.Sc. Edvaldo da Silva Pires
Prof. M.Sc. Pablo Andrey Arruda de AraújoExaminador
SITUAÇÃO: ( ) APROVADO
( ) REPROVADO
DATA: DD/MM/2014
AGRADECIMENTOS
Agradeço primeiramente a Deus, por me conceder a força necessária para a conclusão
do curso e do presente trabalho.
Agradeço também ao meu professor, João Ricardo Freire de Melo, ao qual tenho um
imenso carinho, não apenas acadêmico, mas enquanto pessoa e amigo que considero, por toda
a dedicação, paciência e competência que teve na orientação da elaboração deste trabalho.
A todos os professores e funcionários do instituto Federal de Educação Ciência e
Tecnologia da Paraíba - Campus Picuí
Aos meus familiares, em especial, ao meu pai e a minha mãe, por estarem ao meu
lado em momentos críticos, onde o apoio que me foi cedido pelos tais foi essencial para o
meu sucesso até o exato momento.
Não poderia deixar de agradecer a todos os meus amigos que tiveram e tem um papel
muito importante, não apenas nesta etapa, mas, em todas as áreas da minha vida.
RESUMO
A crescente massa de usuários dos meios tecnológicos possibilitou a criação de uma
nova espécie de crimes, eles são chamados de “cibercrimes”. Esse tipo de crime torna-se mais
complexo a cada dia que passa, pois, diferente dos crimes comuns que utilizam meios já
familiarizados pelas autoridades, os crimes cibernéticos estão em constante mudança devido a
grande diversidade tecnológica que cresce a cada dia. É para contribuir na resolução desses
crimes que existe uma área específica da informática voltada para a coleta, análise,
preservação, identificação e validação das evidências, que é a informática forense. Ela conta
com técnicas, profissionais específicos, e até mesmo ferramentas próprias do ramo. A
ferramenta a qual iremos apresentar neste trabalho é a “Ntfsclone”, ela é uma ferramenta do
pacote FDTK, que é um software livre voltado para o ramo da informática forense que
contém várias ferramentas dessa área, ele foi criado a partir da distribuição Linux, Ubuntu.
Ela é usada para clonar sistemas de arquivo NTFS. Em um processo de análise das evidências
é crucial para a obtenção de bons resultados, que os objetos analisados não sofram alterações
e é justamente nessa perspectiva que o “ntfsclone” atua, ele clona o sistema de arquivo do
disco rígido por completo, sendo assim, as alterações efetivadas posteriores a clonagem,
podem ser revertidas usando o clone do sistema de arquivo.
PALAVRAS-CHAVE: Informática Forense, clonagem, Sistema de arquivo NTFS e
Ntfsclone.
ABSTRACT
The growing mass of users of technological means possible to create a new kind of crime,
they are called "cybercrime". This type of crime becomes more complex with each passing
day because, unlike ordinary crimes using means already familiar authorities, cyber crimes
are constantly changing due to the great technological diversity that grows every day. It is to
help in solving these crimes that there is a specific area of computer science focused on the
collection, analysis, preservation, identification and validation of evidence, which is the
computer forensics. It relies on techniques, specific professionals, and even own tools Branch.
The tool which we will present in this work is the "ntfsclone", it is a tool FDTK package,
which is a free software aimed at the field of computer forensics containing various tools in
this area, it was created from the Linux distribution Ubuntu. It is used to clone NTFS file
systems. In a process of analysis of the evidence is crucial to obtain good results, we analyzed
the objects remains unchanged and it is precisely this perspective that the "ntfsclone" acts, it
clones the file system of the hard drive completely, so changes effected subsequent cloning,
can be reversed using the clone file system.
KEYWORDS: Computer forensics, cloning, NTFS file system and ntfsclone
LISTA DE ILUSTRAÇÕES
Figura 01 – Exemplo de um formulário de cadeia de custódia.................................................15
Figura 02 – Parte interna do disco rígido..................................................................................20
Figura 03 – Divisão do disco rígido em trilhas e setores..........................................................21
Figura 04 – Inicialização do FDTK..........................................................................................27
Figura 05 – Área de trabalho do FDTK....................................................................................28
Figura 06 – Caminho para acessar o editor de partições...........................................................29
Figura 07 – Editor de partições.................................................................................................29
Figura 08 – Caminho para criar uma nova partição..................................................................30
Figura 09 – Configuração da nova partição..............................................................................30
Figura 10 – Aplicando as operações da nova partição..............................................................31
Figura 11 – Caminho que dar acesso a ferramenta “Ntfsclone”...............................................32
Figura 12 – Abas de orientação do “Ntfsclone”.......................................................................32
Figura 13 – Terminal do “Ntfsclone”.......................................................................................33
Figura 14 – Comandos de preparação para a clonagem do sistema NTFS...............................33
Figura 15 – Comando para clonar o sistema de arquivo NTFS................................................34
Figura 16 – Clonagem executada com sucesso.........................................................................35
Figura 17 – Comando complementar........................................................................................35
SUMÁRIO
1 INTRODUÇÃO.................................................................................................................10
2 INFORMÁTICA FORENSE...........................................................................................11
2.1 COMPUTADOR E A INTERNET............................................................................................11
2.2 CIBERCRIMES....................................................................................................................12
2.3 PERITO DIGITAL...............................................................................................................12
2.4 METODOLOGIAS...............................................................................................................13
3 SISTEMAS DE ARQUIVOS...........................................................................................19
3.1 FUNCIONAMENTO DO DISCO RÍGIDO................................................................................19
3.2 SISTEMAS DE ARQUIVOS DO WINDOWS............................................................................21
3.2.1 FAT...............................................................................................................................21
3.2.2 NTFS............................................................................................................................24
3.3 RECUPERAÇÃO NO SISTEMA DE ARQUIVOS......................................................................25
4 NTFSCLONE....................................................................................................................26
4.1 FDTK...............................................................................................................................26
4.2 USANDO O NTFSCLONER..........................................................................................27
5 CONCLUSÃO...................................................................................................................37
REFERÊNCIAS......................................................................................................................38
1 INTRODUÇÃO
A popularização dos dispositivos eletrônicos, fez com que esses se integrassem a vida
cotidiana da humanidade. Escola, trabalho, lazer, os dispositivos estão presentes em todas as
áreas, de forma até que não seria exagero dizer que sem os mesmos seria impossível manter o
mesmo ritmo de vida que temos hoje. Esses aparelhos possibilitam a integração de seus
usuários à rede mundial, a qual interliga bilhões de pessoas. Essa interligação proporcionou o
aumento e a criação de novos crimes, que são mais complexos quanto à análise e identificação
da origem.
As vítimas deste tipo de crime são as mais variadas possíveis, mas, principalmente
pessoas que fazem uso dessas tecnologias sem nenhuma preocupação com a sua segurança, o
que é bom do ponto de vista dos criminosos que geralmente dispõem de um bom nível de
conhecimento podendo causar danos de diversos tipos, principalmente financeiros. Outro alvo
dos criminosos são as empresas que trabalham com sistemas em rede.
A informática forense tem como função analisar, coletar, interpretar, preservar,
validar, identificar, documentar e apresentar evidências com validade probatórias em juízo.
E para conseguir o objetivo almejado, a informática faz uso de técnicas e ferramentas
próprias, são inúmeras ferramentas que compõe o processo de análise, cada etapa exige o uso
de uma ferramenta com especificações bem definidas.
Esse trabalho tem como objetivo apresentar o ramo informática forense fazendo uso de
tecnologias para análise e identificação de crimes, mais especificamente, mostrar o objetivo e
o uso da ferramenta “Ntfsclone”, a qual será exposta detalhadamente a seguir.
10
2 INFORMÁTICA FORENSE
A computação forense é uma ciência direcionada a executar operações como, adquirir,
analisar, recuperar e preservar dados que foram computados eletronicamente.
A sua função é fazer a vistoria de evidências computacionais, seja em mídias físicas
ou em arquivos processados eletronicamente em algum momento. No caso dos crimes
cometidos por computadores a apuração geralmente é de dados em arquivos, lógicos e
virtuais, sendo função do perito identificar, armazenar, preservar e analisar o mesmo.
2.1 COMPUTADOR E A INTERNET
O computador foi criado com a intenção inicial de fazer cálculos, mais
especificamente para calcular a trajetória de projéteis para o laboratório de balística do
exercito americano, com o tempo ele foi se desenvolvendo e ganhado aplicações em outras
áreas. No período da guerra fria a corrida tecnológica era intensa, principalmente entre a
Rússia e o EUA. Em meio a essa corrida, a Rússia mandou ao espaço o primeiro satélite
artificial, em reação E.U.A criou a ARPA (advanced Research and projects Agency –
Agencia de pesquisas em projetos avançados), a ARPA criou em 1969 a primeira rede de
computadores denominada de ARPANET.
Com pouco tempo o fluxo de mensagens pessoais na rede aumentou, eram milhares, e
isso alavancou o desenvolvimento dos utilitários da rede, por isso foi necessário a divisão
desta rede em duas a MILNET, que seria responsável pela comunicação das bases militares, e
a atual ARPANET, que seria destinadas a pesquisas em universidades, desde começou a se
pensar em uma rede internacional, que interligasse computadores, que estivessem
geograficamente muito distantes. Depois de certo tempo a ARPANET foi substituída pela
NSFNET, que ficou popular com o nome de internet.
A ampliação dos serviços de rede veio com a criação de Tim Berners-Lee, do WWW
(word wide web) e com a criação do protocolo TCP (protocolo de controle de transmissão), na
verdade a diversidade de protocolos era um dos problemas pelos quais as redes de
computadores não conseguiam se comunicar entre si. Com pouco tempo o TCP virou padrão
nas redes, possibilitando assim a comunicação entre redes distintas, desde então a internet
passou a ser um dos meios de comunicação mais utilizado em todo o planeta.
11
Com a vasta utilização, para inúmeros fins, a internet se fez necessária em várias
áreas, pelos seus notáveis benefícios ela foi infiltrando-se cada vez mais em empresas,
escolas, bibliotecas e em diversos outros ambientes.
O termo utilizado para esse “ambiente virtual” é ciberespaço, nele as pessoas trocam
informações, difundem ideias, marcam encontros e desperdiçam uma boa parte do seu tempo
conectados a rede, alguns usuário sequer tem preocupação quanto ao horário de acesso,
chegando a passar noites em claro acessando.
2.2 CIBERCRIMES
A quantidade de dados que viajam pelo ciberespaço é enorme, os dados vão desde os
insignificantes até os mais pessoais, por esse motivo a internet tornou-se alvo de destaque no
mundo do crime, a disponibilidade desses dados pode fazer com que eles caiam em mãos
erradas.
O Cibercrimes concretiza-se na obtenção de algum dado pessoal sem a autorização de
seu dono.
Há uma grande variedade quanto à nomenclatura desse tipo de crime, como crime
digital, crime virtual, webcrime, entre outras, todas expressam o mesmo sentido, que é a
classificação do crime em um ambiente virtual.
2.3 PERITO DIGITAL
Um perito é um profissional com um grande conhecimento e habilidade específica em
uma área da ciência, no caso da ciência forense digital. Ele é responsável por averiguar os
fatos e as circunstâncias de um delito a fim de esclarecer um caso, fazendo ele o uso de
métodos que possibilitem o estudo de forma coordenada e coerente.
Os peritos quando acionados, atuam em Côrtes e tribunais, o que faz com que a sua
responsabilidade seja imensa, ele tem que ser claro quanto à apuração dos dados, pois um erro
seu poderá resultam em uma condenação injusta.
A perícia digital existe com o objetivo de auxiliar no solucionamento de crimes
digitais estando totalmente ligada a segurança da informação.
12
2.4 METODOLOGIAS
No ramo da ciência forense existe um princípio chamado Troca de Locard, foi criado
pelo cientista Edmon Locard que diz: “em um contato entre dois indivíduos haverá uma
permuta”, ou seja, no contato entre o criminoso e o ambiente haverá uma troca de elementos,
o criminoso levará o objeto roubado, porém deixará no local do crime vestígios de si mesmo e
esses vestígios por menores que sejam são elementos cruciais para que o perito possa levantar
as hipóteses e posteriores evidências do caso.
Em outubro de 1999, foi realizada na cidade de Londres a International Hi-Tech
Crime and Forense Conferense (IHCFC), na oportunidade foram mostrados alguns padrões
de metodologias, a serem usadas pelos profissionais forenses, essas metodologias tinham em
comum a proposta do alto nível de qualificação da análise e do profissional forense que iria
executa-lo, a fim de afirmar a confiabilidade do exame. Com o foco voltado para o
desenvolvimento de um padrão metodológico, foi proposto a criação do Standard Operating
Procedures (SOPs), no qual iria conter procedimentos e técnicas aceitas na comunidade
científica internacional.
Não é a função deste trabalho, detalhar esses padrões, porém, eles são importantes,
pois, expressam as configurações referentes aos procedimentos usados em análises no ramo
da informática forense.
Quanto às evidências, elas podem se apresentar de várias formas, um computador é
um aparelho eletrônico formado por vários dispositivos que podem conter muitas
informações, seja em arquivos multimídia, lista de usuários, disco rígido, banco de dados,
internet, e-mail eletrônico, teclas pressionadas, processos executados, lembretes, dígitos,
histórico de navegação do browser, planilhas, arquivos de texto e entre outros.
Ao se tratar de uma investigação, nada pode ser descartado inicialmente. O endereço
MAC de uma placa de rede pode, por exemplo, comprovar a que houve comunicação entre
dois computadores, o armazenamento das chamadas de um celular pode mostrar o início e
duração da chamada e assim por diante.
A coleta de informações tem que ser feita com muita cautela, tendo cuidado para que
nada se perca nenhum vestígio do criminoso pode ser ignorado.
O departamento de justiça dos estados unidos elaborou um documento que descreve as
técnicas aplicadas à análise do ambiente do crime, no qual se baseiam-se também os
profissionais atuantes da perícia Brasileira (regras a seguir).
13
Ao chegar ao local para apurar pistas, os profissionais devem inicialmente deixa-lo
como foi encontrado e evitar o contato com qualquer coisa, deixar tudo em seu estado inicial é
a primeira das preocupações que tem que ter, pois em uma simples ligação de um computador
muitos dados são alterados, por exemplo, um login, a hora e outros dados do ultimo acesso. É
preciso que o resultado do exame seja fruto de uma análise do objeto ou do local com o estado
tal qual foi encontrado. A descrição do local deve ser feita cumprindo as regras da perícia
local.
É necessário que seja feito um registro do local antes que se tenha qualquer ação, o
registro deve conter fotos do local inteiro, vídeos mostrando todo o ambiente, deve haver um
detalhamento rigoroso, especificando coisas como: estado do computador, estado do monitor,
posição do mouse em relação ao teclado, periféricos conectados ao computador, informações
que não estão no computador (anotações de senhas, contas de usuários, cadernos, fotografias,
documentos, softwares entre outros), ou seja, todas as evidências, sejam elas eletrônicas ou
não, devem ser armazenadas com cuidado, preservadas e analisadas.
Após a coleta de informações sobre o estado do local tal qual foi achado, existem
procedimentos específicos para cada caso, por exemplo, ao detectar um computador ligado e
que ele não esteja em rede com outro computador, primeiro se deve olhar se o monitor esta
ligado, desligado, se estiver ligado, verifica-se se ele esta em stand-by ou com algum tipo de
proteção de tela, após fotografar e anotar seu estado inicial, é necessário mover o mouse
vagarosamente observado a reação do computador, o que pode ocorrer é a tela principal do
sistema operacional aparecer, apresentar os processos que estavam sendo executados, pedir
uma senha ou até mesmo nada ocorrer.
Com os dados em mão o que tem a ser feito é puxar o cabo de força da CPU, não se
deve ser executado nenhum comando para desligar a máquina para que o estado inicial dela
seja preservado inclusive o estado dos programas que estavam sendo executados, os disquetes
devem ser retirados, porém, CD’s, DVD’s e drivers ópticos não devem ser retirados, as
entradas do CPU que não estiverem em uso devem ser lacradas com fita adesiva para evitar
interferência em seus contatos. No caso de notebook vale salientar que ele dispõe de fonte de
energia, o que se faz necessário a retirada da bateria, além de retirar o recarregado.
No caso de terem vários computadores no mesmo local é possível a existência de rede,
se ela realmente existir, recomenda-se a análise de profissionais habilitados na área específica
para orientar a remoção e evitar ao máximo a perda de qualquer dado.
14
Provavelmente no ambiente do crime, muitos dispositivos eletrônicos poderão ser
encontrados, porém, só poderão ser operados em caso de emergência, pois, muitos
dispositivos como, celulares, cartões de memória, pen drivers, roteadores, câmeras digitais e
outros mais, podem sofrer a perda de seus arquivos se não forem manuseados de forma
correta. Os dispositivos ou mídia magnética devem ser postos em embalagens anti-estáticas,
não é viável conduzir esse tipo de material em uma embalagem qualquer, visto que o mesmo
pode produzir energia estática.
Para o transporte, todas as evidências precisam ser embaladas, não é indicado
transporta-las por tempo prolongado, fatores como: calor, frio, umidade e vibrações podem
danifica-las.
Como já citado acima Todas as informações e materiais coletadas, deverá ser descrito
em um documento pelo profissional competente. Para isso é necessário o conhecimento
técnico que há de possibilitar uma boa e correta descrição dos equipamentos, assegurando a
cadeia de custódia.
Figura 1 – Exemplo de um formulário de cadeia de custódia
15
16
Fonte: http://www.ebah.com.br/content/ABAAAA-hcAE/realizando-pericia
A cadeia de custódia tem que conter os dados dos objetos tal qual foram encontrados,
sem nenhuma alteração.
As fontes de evidências podem ser muitas dependendo do caso, porém, no presente
trabalho será dado destaque as fontes que são encontradas em um computador.
Uma das maiores, se não a maior fonte que um profissional forense computacional
pode ter é o sistema de arquivos do computador, todos os dados devem ser examinados e
identificados para que seja possível descobrir a sua função no sistema investigado. Os espaços
não alocados e espaços com arquivos excluídos do dispositivo de armazenamento tem que ter
uma atenção especial, pois, podem conter evidências de ações ilegais.
Outra fonte de extrema importância são arquivos do tipo log. A função desse tipo de
arquivo é guardar um registro detalhado dos processos executados em um sistema operacional
ou em um programa. Data, hora, local de execução do processo, dados alterados, esses são
alguns dos conteúdos de um registro log. Um navegador web guarda em seu log, por exemplo,
a hora, a data e o endereço de todos os sites visitados.
O boot é outro tipo de fonte, ele tem a função de inicializar o sistema operacional
quando o computador é ligado, carrega os drivers dos dispositivos e os programas necessários
para a inicialização, investigando o Boot, é possível identificar as rotinas do computador e os
programas que são iniciados, se houver algum processo malicioso iniciando junto com o Boot
o mesmo poderá ser detectado.
Os periféricos de um computador pode armazenar temporariamente ou não um
arquivo, eles podem conter informações importantes sobre seu usuário ou sobre o próprio
computador.
Quanto às técnicas, Existem muitas delas específicas para análise no ramo da
computação forense, a seguir apresentaremos algumas:
Criptografia e Criptoanálise
A origem da palavra criptografia é grega kryptós, que significa escondido, e gráphein
que significa escrita. Sendo assim, o ato de criptografar uma mensagem, é o mesmo que
transformá-la, por meio de algoritmo, em outra que seja ilegível para um receptor que não
saiba interpreta-la ou descriptografa-la. A criptoanálise decifra a mensagem mesmo que não
conheça a chave utilizada para criar a informação codificada.
17
O estudo da criptografia não se limita apenas ao campo forense, ele é muito extenso,
os profissionais dessa área são chamados de criptólogo ou criptoanalista.
É dever do perito computacional, ter um bom conhecimento nessa área, visto que, no
mundo do crime existem muitas pessoas que tem um vasto conhecimento de tecnologia, por
isso, é necessário que o profissional esteja sempre atualizado e atento as novas técnicas de
criptografia que vão surgindo.
Esteganografia
Esteganografia é a pesquisa e utilização de técnicas que permitem escrever e ocultar
mensagens dentro de imagens ou de outras mensagens, essa palavra também tem origem
grega e significa “escrita encoberta”. Sua origem é antiga. Existe uma história clássica, que
conta que um homem chamado Histiaeus, raspou a cabeça, para gravar em sua nuca uma
mensagem e depois deixou o cabelo crescer para escondê-la. As aplicações da esteganografia
são muitas dentre as tais, as mais utilizadas são as:
- Verificação de marca d’agua em papeis e em outros casos que é preciso se prevenir de
tentativa de falsificação;
- Manejamento de informações confidenciais;
Ela também pode ser utilizada em textos, vídeos, áudio e até em pacotes do protocolo
TCP/IP.
A criptografia e a esteganografia andam de mãos dadas, a diferença é que a
esteganografia não chama muito atenção, por ser uma imagem, vídeo ou até mesmo uma lista
telefônica comum que esconde uma mensagem cujo formato não atrai muita atenção. Já a
criptografia por ser um texto cifrado acaba sempre por chamar a atenção.
Estegoanálise é o nome dado à área da pesquisa, detecção e tratamento de pacotes
esteganografados, geralmente a técnica de análise consiste na comparação do arquivo alterado
com o arquivo original. A variação da taxa de compressão do arquivo pode ser um caso de
esteganografia, os erros de compressão são considerados lugares muito bons para se
esteganografar uma mensagem. Contanto, a alta compressão reduz o número de dados
disponíveis para esconder a “carga ultil”, aumentando a densidade de dados cifrados e
facilitando assim a detecção.
Para a análise é necessário que o perito tenha o conhecimento de formatos de imagens
para a avaliação de tamanho em disco.
Existem vários softwares que permitem a gravação e a detecção de mensagens
de textos em imagens, nos quais podemos citar o Stegdetect, Stego Watch e Camouflage.18
Wipe
Refere-se a uma técnica que na verdade é anti-forense. Quando se solicita a exclusão
de um dado, o sistema operacional marca aquele espaço como livre para a utilização, o que
possibilita ao dado a sua recuperação. Essa técnica sobrescreve várias vezes o espaço do disco
que alocava o arquivo, evitando assim a recuperação do dado. Quanto mais vezes forem
executadas a técnicas, menos chance se tem de recuperar o dado.
Data Hiding
É um dos métodos mais utilizados hoje em dia, ele consiste no armazenamento de
informações em espaços não convencionados do sistema como: o setor Swap, espaços não
alocados do sistema e segmentos marcados com BadBlocks.
Embora ferramentas sejam indispensáveis nas análises e exames periciais, é crucial
que o perito disponha de um bom conhecimento científico e tecnológico. Não adianta apenas
saber usar as ferramentas, também é preciso o conhecimento do assunto que esta sendo
analisado.
MD5 Cheker – integridade dos arquivos
Uma técnica muito utilizada para manter a integridade dos arquivos e ao mesmo
tempo garantir a confiabilidade do exame, é a aplicação Hash, trata-se de um processo, onde
são criadas combinações de letras e números que condizem somente ao arquivo analisado,
para se garantir identidade da informação é gerada uma chave, no conteúdo copiado é
executado um programa com a mesma chave, pelo fato de não ocorrer mudanças no arquivo
hash, a integridade do arquivo é garantida. Um utilitário que possibilita essa técnica é o MD5
Checker. Basta selecionar o arquivo e a ferramenta cria um código.
19
3 SISTEMAS DE ARQUIVOS
Podemos conceituar um sistema de arquivo como um conjunto de estruturas lógicas e
de rotinas que possibilitam o controle do acesso ao disco rígido através do sistema
operacional. A complexidade do sistema de arquivos é proporcional a o número de acesso e a
capacidade de armazenamento dos discos rígidos, por isso existe uma notável diversidade de
sistemas de arquivos.
É impossível fazer uso de um disco rígido ou de qualquer outra unidade de
armazenamento mantendo os dados acessíveis e organizados sem usar um sistema de
arquivos, pois, essa é uma função específica do mesmo, ele é responsável por determinar onde
e como serão gravados, modificados, nomeados/renomeados os arquivos e a forma sequencial
com a qual eles serão lidos, ou seja, toda a movimentação com dados em uma unidade de
armazenamento necessita de um sistema de arquivo, para possibilitar essa movimentação de
dados, caso contrário os dados não passariam de um monte de bits aglomerados em um
hardware sem nenhum proveito.
Existe uma grande diversidade de sistemas de arquivos, que vai desde os que são
usados em aplicações simples como um cartão de memória, até os que organizam aplicações
complexas como um servidor de internet, que geralmente exige do sistema um nível muito
maior de organização e de segurança das informação nele contida.
3.1 FUNCIONAMENTO DO DISCO RÍGIDO
Não há como falar em sistema de arquivo e não falar em disco rígido, visto que, a
atuação do sistema de arquivo acontece no mesmo.
O disco rígido é um dispositivo de funcionamento mecânico e executa uma função
essencial para o funcionamento do computador, o armazenamento permanente dos dados.
Pelo fato de o disco rígido ser um dispositivo de funcionamento mecânico e bastante sensível,
grande parte dos usuários tem receio quanto a segurança de suas informações, porém, apesar
dessa característica, a maioria dos discos rígidos de uso normal, são usados e substituídos sem
apresentar nenhum problema físico.
Basicamente o disco rígido é dividido em duas partes: a mecânica e a eletrônica. A
mecânica coleta os dados armazenados e os encaminha a parte eletrônica que irá decodifica-
los e encaminha-los ao bus do sistema.
20
Dentro da parte física do disco rígido encontramos pratos (geralmente feitos de
alumínio) que são cobertos por um material magnético e expandidas com partículas de metal
que são sensíveis ao magnetismo, os dados são gravados nos pratos através das variações no
campo magnético das partículas de metal. Temos também as cabeças que são os componentes
responsáveis pela leitura e gravação nos discos, elas ficam em uma posição acima dos discos,
porém sem os tocar, a pressão do ar gerada pela rotação dos pratos impossibilita o contato
propriamente dito entre o disco e as cabeças.
Figura 2: Parte interna do disco rígido
Fonte:
http://www.infowester.com/hd.php
Logicamente o disco rígido é dividido em trilhas e setores, isso se dá para facilitar o
processo de organização dos dados que serão lidos e gravados no disco. As trilhas, nada mais
são que, círculos que variam de tamanho conforme a sua proximidade do cilindro presente no
centro dos discos, as trilhas recebem numeração que vai de 0 até o número máximo de trilhas
do disco. As trilhas se dividem ainda em setores, que são pequenas partes da trilha que tem a
capacidade de 512 bytes.
21
Figura 3: Divisão do disco rígido em trilhas e setores.
Fonte:http://tecinfoevl.blogspot.com.br/2013/03/sistemas-operacionais-hardware-e.html
O conhecimento dessas divisões é de extrema importância para entender o
funcionamento de um sistema de arquivos.
3.2 SISTEMAS DE ARQUIVOS DO WINDOWS
O Windows é um sistema operacional privado. Nele encontramos três tipos de
sistemas de arquivos, que são eles: FAT16, FAT32 e NTFS.
Os sistemas de arquivos foram evoluindo com o passar do tempo, na história dos
computadores é essencial que o software acompanhe o desenvolvimento do hardware, caso
contrário, não faria nenhuma diferença se a evolução acontecesse de forma individual, visto
que, ambos trabalham em conjunto.
3.2.1 FAT
O FAT é um dos padrões mais antigos, ele foi lançado por volta de 1997 com o
objetivo de rodar no sistema operacional MS-DOS, porém ele perdurou até o Windows 95.
FAT é a abreviação de File Allocation Table (tabela de alocação de arquivos).
Esse sistema tem como base de seu funcionamento tabelas, que designam o usuário ao
local onde estão contidos os dados dos arquivos, a necessidade dessa estrutura dar-se pelo fato
de o espaço designado ao armazenamento estar fragmentado em blocos, sendo que um
22
arquivo pode ocupar vário desses blocos, porém, nem sempre essa ocupação ocorre de forma
sequencial, os blocos que contém o conteúdo de um arquivo podem perfeitamente ocupar
lugares distintos do espaço de armazenamento, o que torna necessário o uso da tabela para
“guiar” a localização dos dados.
Com a evolução das unidades de armazenamento foi necessário que fosse feita uma
“manutenção” no sistema de arquivo para que ele pudesse acompanhar o desempenho e a
capacidade do hardware, essa “manutenção” tinha como objetivo retirar as restrições que
limitavam o sistema de arquivo FAT, ela ficou conhecida como FAT12 e FAT16. Antes da
“manutenção”, em alguns casos era necessário dividir a capacidade de armazenamento em
partições para que fosse possível fazer uso de toda a capacidade, por exemplo, o FAT16 só
trabalha com no máximo 2Gigabits, dessa forma, para que fosse possível usa-lo em uma
unidade de 5 Gigabits era necessário dividir a unidade em três partições, duas de 2gigabits e
uma de 1Gigabits, caso contrário, não haveria como fazer uso de toda a unidade.
Tendo em vista a diminuição dessas dificuldades a Microsoft apresentou em 1996 o
FAT32, ele foi usado em microcomputadores que utilizava o sistema operacional Windows 95
(versão OSR 2), Windows 98 e ainda apresentava compatibilidade com sistemas subsequentes
como, Windows XP e o Windows 200.
Partindo do ponto de vista de que um disco rígido é dividido em trilhas e as trilhas em
setores, cada setor geralmente dispondo da capacidade de 512 bytes, é cabível deduzir que o
sistema FAT realize processos de modo direto nos setores, porém, a realização dos processos
é um pouco mais complexa.
O FAT trabalha com cluster (unidade de alocação), que são grupos de setores que
contem tamanhos uniformes, ou seja, os tamanhos dos clusters de uma unidade de
armazenamento não podem variar. No sistema FAT 16 o cluster pode tem a opção de ter as
seguintes capacidades por cluster: 2KB, 4KB, 8KB, 16KB e 32KB.
Os arquivos armazenados na unidade de armazenamento (disco rígido) pode fazer uso
de quantos clusters forem necessários para a gravação de seus dados, por exemplo, um
arquivo de 74KB pode gravar seus dados em cinco clusters de 16KB, dessa forma, irá restar
um pouco de espaço em um dos clusters, porém, esse espaço não poderá ser utilizado por
outro dado, pois, apenas um único arquivo pode utilizar um cluster por vez, uma vez que
sobrar espaço, ele ficará sem utilidade, pelo menos enquanto parte do cluster estiver sendo
utilizado por outro arquivo, Identificamos assim, um dos principais (se não o principal)
problemas do sistema de arquivo FAT, o desperdício de espaço. A capacidade dos clusters é 23
configurada na instalação do sistema operacional, mais especificamente, na parte de
formatação do disco rígido.
3.2.1.1 FAT16
Usa 16 bits para endereçar os dados, isso quer dizer que, esse sistema tem aptidão para
trabalhar com no máximo 65536 (2 elevado a 16) clusters. Como o número máximo de
clusters é 65536 e a capacidade máxima de 32KB, conclui-se então que o sistema de arquivo
FAT16 suporta a capacidade de até 2Gigabites por disco rígido ou por partição, o cálculo é
feito da seguinte forma 65536 x 32 = 2.097.152 Kb ou 2Gigabites.
3.2.1.2 FAT32
Usa 32 bits para endereçar os dados, isso quer dizer que, esse sistema tem aptidão para
trabalhar com até 2terabytes, minimizando assim, um dos problemas do FAT16 que é a pouca
capacidade de armazenamento por partição. No sistema FAT16 o tamanho do cluster tinha
que aumentar conforme a capacidade do disco rígido, já no FAT 32, além de ele oferecer
suporte a discos com maior capacidade de armazenamento, os tamanhos dos clusters
diminuíram, proporcionando assim a diminuição da perda de espaço, que também era um
problema do FAT16.
Considerando que a capacidade máxima do FAT32 é de 2TB, a forma pra
calcular a capacidade do sistema, muda um pouco. Se fizermos o calculo anterior iremos
perceber que pelo cálculo a capacidade é bem maior que 2TB (2 elevado a 32, multiplica o
resultado pelo tamanho máximo do cluster, 32, teríamos então o resultado de 128 TB), porém,
não é o que acontece na prática. Isso acontece por dois motivos:
1º Apesar de cada endereçamento ter o tamanho de 32 bits, no FAT32, a maior
quantidade possível de clusters é calculada com 28 bits apenas, sendo assim, o cálculo seria: 2
elevado a 28, pegando esse resultado e multiplicaria ele por 32, chegaríamos a um total de
8TB, que apesar de estar mais próximo de 2TB, ainda apresenta uma considerável diferença
em sua capacidade.
Segundo a empresa desenvolvedora do sistema FAT32, a Microsoft, considerou o 2
elevado a 32 como número dos setores e não o número de clusters, visto que, se acontecesse o
contrário, a grade capacidade do sistema poderia apresentar problema na etapa do boot, pela
sua limitação. Sendo assim o cálculo correto é feito da seguinte forma, 2 elevado a 32
multiplicado por 0,5, que dá um resultado de 2.147.483.648KB ou 2 TB.
24
3.2.2 NTFS
O sistema de arquivo NTFS é Hoje o sistema de arquivo mais utilizado nos sistemas
operacionais da Microsoft, ele foi estreado em 1993, pelo sistema operacional Windows NT,
que era um sistema para servidores.
Como foi visto anteriormente, antes do NTFS, a Microsoft possuía o sistema FAT, que
apresentava um bom desempenho para uso doméstico, porém, limitava a produção de novos
projetos por uma série de características, como por exemplo, a quantidade de espaço
inutilizado por se ter um cluster com um tamanho grande se comparado a alguns restos de
arquivos.
O NTFS não foi feito apenas pela Microsoft, a empresa utilizou como fundamento o
HPFS (High Performance File System), que é um sistemas da empresa IBM. Isso foi resultado
de uma parceria entre essas empresas, por volta de 1980, ambas fizeram um acordo para
juntas, desenvolver um sistema chamado OS/2, seria um sistema de ponta para época, o
mesmo teria destaque pela sua eficácia na parte gráfica do sistema. Porém com o passar do
tempo a Microsoft e a IBM tiveram vários desentendimentos, o que resultou na ruptura da
parceria. Após o término da parceria, a IBM continuou o trabalho com o OS/2 e a Microsoft
com o Windows NT. Durante o tempo da parceria a Microsoft teve acesso aos sistemas que
seriam utilizados no OS/2 e um desses sistemas era o HPFS, o qual posteriormente serviu de
base para o NTFS.
A boa aceitação do NTFS no mercado se deu pelas suas boas especificações em
relação a sistemas anteriores, a recuperação de dados, por exemplo, é uma de suas
características, o desligamento inesperado de um computador, pode resultar na perda de
dados, porém, o sistema de arquivos NTFS consegue fazer com que os dados voltem ao seu
estado inicial, isso se dá pelo fato de o NTFS consultar um arquivo de log que registra as
operações efetuadas e identifica partes com problemáticas do sistema durante o boot, além
disso, o NTFS suporta redundâncias.
Alguns sistemas de arquivos renomados, tem destaque em relação a segurança de seus
dados, por implementarem em seu sistema a gerência das permissões de acesso, com diversas
categorias, para os diversos usuários, assim, é possível controlar quem e como irá acessar os
arquivos.
A possibilidade de trabalha com disco rígido de alta capacidade de armazenamento
mantendo um bom desempenho, também é uma característica importante desse sistema.
25
Diferente dos sistemas FAT16 e FAT32 que usam respectivamente 16 e 32 bits, o
sistema de arquivo NTFS usa 64 bits de endereçamento. A capacidade máxima de um cluster
é de 64 KB, usando a capacidade máxima de um cluster, o NTFS tem a possibilidade dar
suporte a uma unidade de armazenamento de até 256 TB.
3.3 RECUPERAÇÃO NO SISTEMA DE ARQUIVOS
Como citado acima uma das preocupações primordiais de um perito é a integridade de
um dado, por isso ele deve ter um bom conhecimento sobre o remanejamento de dados e
sobre a estrutura de um disco rígido, a fim de diminuir a possibilidade de perda de dados.
Existem vários sistemas de arquivos, porém, iremos destacar aqui apenas dois, o FAT32 e o
NTFS, esses dois são os sistemas de arquivos mais utilizados.
Há casos em que com o objetivo de não deixar suspeitas, o criminoso apaga os
arquivos do disco rígido, ficando na responsabilidade do perito restaura-los, existem várias
ferramentas para a recuperação de arquivos apagados do disco rígido, mas, a maioria delas
exigem um certo nível de conhecimento sobre o assunto, as ferramentas que não exigem tanto
conhecimento assim, não tem a mesma eficiência das outras.
Não são todos os arquivos que são passíveis de recuperação, são vários os fatores que
influenciam na recuperação de um arquivo, por exemplo, a data de exclusão, o tamanho do
arquivo, o tipo e entre outros fatores.
Dentre essas ferramentas podemos citar o Norton Go BackTM, PC Inspector File
Recovery, Easy Recovery e Active File Recovery.
O EnCase é um tipo de KIT, ele consiste em um software muito utilizado por agências
do governo, polícia, fisco investigações e corporativas dos estados unidos, é uma das
ferramentas preferidas dos peritos, pelo fato de não ter características invasivas, assegurar a
integridade dos dados e proporcionar relatórios minuciosamente detalhados.
26
4 NTFSCLONE
O “Ntfsclone” ferramenta é uma das mais de 100 ferramentas do FDTK e ela tem o
objetivo de clonar sistemas de arquivos NTFS de um computador. Uma das exigências
primordiais para a análise das evidências é a integridade dos objetos que serão analisados,
apesar de o perito ter total liberdade de manuseio do objeto a ser analisado, é preciso que o
excesso de contato com tal seja evitado, visto que, isso poderia ocasionar na alteração dos
objetos e consequentemente a alteração das evidências.
Por sua vez, a ferramenta NTFSCLONER tem uma função muito importante no
processo de análise dos dados, uma vez clonado o sistema de arquivo de um disco rígido por
completo, o perito não tem a necessidade de manuseia a todo o momento a unidade de
armazenamento, pois, a imagem oferecida pelo NTFSCLONER suprirá todas as necessidades
do perito quanto aos dados e arquivos armazenados no disco rígido.
4.1 FDTK
O FDTK é fruto de um trabalho de conclusão de curso. Paulo NeuKamp é o criador e
mantém até hoje o software que criou, o FDTK. Estudou na faculdade Unisinos, ao terminar o
seu curso fez estudos na área da computação forense, porém os estudos era apenas uma das
etapas do seu projeto, o maior desafio era colocar o conhecimento adquirido em prática, e foi
com essa finalidade inicial que nasceu a distribuição Linux específica para a área da perícia
forense, o FDTK.
FDTK é uma abreviação para “Forense Digital ToolKit”, ele é uma distribuição Linux
criado a partir de uma das distribuições mais conhecidas, o Unbuntu. Ele é a junção de mais
de 100 ferramentas, as quais podem perfeitamente suprir todas as necessidades de um
processo de investigação forense em todas as suas etapas. A sua instalação é facultativa, pois,
ele permite ser usado como LiveCd, sendo assim, o seu usuário tem a possibilidade tanto de
instalar e ter uma estação forense ao seu dispor, como salvar a sua imagem em um Cd e usa-lo
normalmente sem instalar. Outra característica marcante do FDTK é a sua interface de fácil
manuseio, ao acessar alguma ferramenta do programa, junto com a interface da ferramenta
abrem automaticamente algumas abas de auxílio ao usuário, que tem conteúdo como
comandos, orientações de manuseio, entre outras dicas. Além de tudo isso, o FDTK pode ser
27
encontrado facilmente na versão em português do Brasil, o que irá facilitar mais ainda o seu
uso.
Como qualquer outro software do ramo da informática forense o FDTK não pode
sozinho oferecer provas incontestáveis diante de um processo, pois, essa não é a função do
mesmo, o software é apenas uma das etapas do processo da análise forense, as provas e
evidências devem ser fruto de uma boa análise e de uma perícia justa e muito bem
documentada.
O FDTK é um software livre como todas as outras distribuições Linux e o seu
download pode ser realizado através do link:
http://ftp.unicamp.br/pub/iso/fdtk-ubuntu-br/3.0/FDTK-V3.iso.
4.2 USANDO O NTFSCLONER
A primeira coisa a se fazer é baixar a imagem do FDTK no site do mesmo e grava-la
em um CD, o CD será o responsável por dar boot no sistema. Após gravação da imagem,
coloque o CD no driver óptico e reinicie o computador. Após dar o boot pelo CD o
computador irá apresentar em sua tela a imagem que segue abaixo. Figura 04: inicialização do FDTK
Nesta
tela
inicial
do
programa temos algumas opções, as mais importantes são: a opção “testar o Ubuntu sem
28
qualquer mudança no seu computador” (a primeira opção) e a opção “Instalar Ubuntu” (a
segunda opção). Na primeira opção o programa pode ser utilizado sem a instalação, já na
segunda opção, o programa será instalado na máquina.
Como o objetivo deste trabalho não é criar uma estação forense, a opção que iremos
utilizar é a Primeira opção. Figura 05: Área de trabalho do FDTK
Após
escolher a opção teste, temos então o acesso ao terminal do FDTK, com as categorias de
ferramentas, aplicativos, especificações do sistema e etc. Porém, de todas as opções de acesso
que temos nesse terminal, as que de fato irão nos interessar para usar a ferramenta
NTFSCLONE são duas das que temos no lado esquerdo superior da tela, “Locais” e
“Sistemas”, com essas duas opções faremos uso das ferramentas necessárias para clonar o
sistema de arquivo.
Agora para dar continuidade a clonagem é necessário criar um destino para a imagem
que será gerada pelo programa. Vejamos o que fazer para criar um local para armazenamento
da imagem.
29
Figura 06: caminho para acessar o editor de partições
Iremos criar uma nova partição e usa-la como local de armazenamento da imagem,
para isso é necessário acessar o editor de partições do FDTK, a figura acima mostra o
caminho para ter acesso ao mesmo. Sistema > Administração > Editor de partições. Figura 07: Editor de partições
30
A figura 7, mostra o terminal do editor de partições, nessa ferramenta podemos
observar os detalhes das partições do HD e fazer algumas modificações no mesmo. A partição
com cor verde corresponde ao sistema NTFS o qual iremos clonar, a parte cinza é uma parte
do HD que esta livre, ou seja, pode ser usado para outra finalidade (neste caso, usaremos para
criar a partição para armazenar a imagem criada pelo programa). Agora iremos criar a
partição. Figura 08: caminho para criar uma nova partição
Para
criar
uma
nova
partição iremos clicar com o botão direito do mouse na faixa que corresponde ao espaço livre
(não alocado) do HD, ao clicar, uma nova aba com novas opções será aberta, nesta aba
acessaremos a opção “Novo”. Figura 09: configuração da nova partição
31
Como mostrado na figura 09, Para criar uma nova partição, a ferramenta apresenta
uma série de especificações que são escolhidas pelo usuário, são elas:
- Tamanho mínimo (8 MB) e máximo (8793): refere-se ao intervalo de capacidade que o
usuário pode escolher,
- Criar como: Nessa opção é indicado usar a especificação “partição primária”, em
alguns casos, existe a opção “partição lógica”, que pode também servir como escolha, porém,
não é a ideal.
- Sistema de arquivos: é uma das especificações mais importantes no processo de
criação de uma partição, pois, é nesta opção que podemos especificar o tipo de sistema
operacional que poderá abrir o arquivo. Neste caso, foi escolhido o sistema de arquivos
“ext3”, por se tratar de um sistema que oferece um relevante nível de segurança aos arquivos.
- Rótulo: Trata-se apenas do nome dado a partição, ele é importante para facilitar a
identificação da partição no disco rígido.
Após concluir as especificações clique em “Adicionar”. Figura 10: Aplicando as operações da nova partição
A
seguinte tela se apresentará ao clicar em “Adicionar”, aí já podemos observar as duas
partições, a que já tinha antes e a que foi criada, ambas com suas especificações. Após
completar o processo de criação da partição é necessário aplica-lo ao sistema, para que a
32
partição funcione corretamente. Para aplicar é só clicar em “editar” e “Aplicar todas as
operações”.
Bom, criada a partição, vamos ao ponto principal deste trabalho, agora iremos
trabalhar direto com a ferramenta ntfsclone. Figura 11: Caminho que dar acesso a ferramenta “Ntfsclone”
A
figura
11
mostra o caminho para a ferramenta que usaremos nesse processo, “Aplicativos”, “Forense
digital”, “Exame de dados”, “Partições NTFS” e “ntfsclone”. Junto com a tela para digitação
dos comandos abrirá algumas telas de ajuda. Figura 12: Abas de orientação do “Ntfsclone”
As
abas
de
ajuda,
são
33
auxiliares, servem apenas para orientar usuários que não estão acostumados a usar o terminal,
por isso, a fechamos para usar o terminal. Figura 13: Terminal do “Ntfsclone”
Temos na figura acima o terminal pronto para acesso, podemos então começar a usar
os comandos que darão continuidade ao processo de clonagem do sistema de arquivo NTFS. Figura 14: comandos de preparação para a clonagem do sistema NTFS
34
Na figura 14, foram executados dois comandos, foram eles o:
Sudo –i: tem a função de ceder ao usuário o acesso direto ao Root ou administrador,
dessa forma, o usuátio tem permissão para executar os comandos necessários para essa
operação;
Mount /dev/sda2 /mnt: O “mount” montará o dispositivo “/dev/sda2” que no caso é a
partição que criamos para guardar o clone do sistema de arquivo.
Com o dispositivo montado, iremos executar o comando que de fato irá clonar o
sistema de arquivo. Figura 15: comando para clonar o sistema de arquivo NTFS
Ntfsclone -s –o /mnt/winxp_completo.img /dev/sda1, esse é o principal comando para
esse processo, pois, se trata do comando que irá clonar a partição. Ntfsclone -s -o é o
comando que clona as partições, /mnt é o caminho para onde irá ser enviado o clone, ou seja,
é a partição que criamos e que esta montada dentro do /mnt, /winxp_completo.img é o nome
que por padrão deve ser um nome (escolhido pelo usuário) seguido por ponto e as siglas img,
o final /dev/sda1 é a origem, ou seja, é o lugar de onde será tirado o clone.
35
Figura 16: Clonagem executada com sucesso
A
figura
16
mostra
que o
processo foi completado com sucesso, após a execução do comando anteriormente citado é
dessa forma que o terminal deve ficar, agora o clone já foi criado e estar guardado na partição
EXT3. Figura 17: Comando complementar
Para
completar o processo digite no terminal o comando: dd if=/dev/das of=/mnt/backup.mbr 36
bs=512 count=64 (assim como é mostrado na figura 17), após digitar, aperte “Enter” para
executar, esse comando irá criar um backup da estrutura do HD, sendo assim se houver algum
problema e o disco rígido perder as partições, fazendo uso desse backup o usuário irá
conseguir restaura-lo.
37
5 CONCLUSÃO
É perceptível que o ramo da informática forense cresce a cada dia que se passa, talvez
não tanto de forma proporcional aos crimes, pois os criminosos sempre acham algum espaço
para efetuar as suas ilegalidades, mesmo assim a evolução das técnicas e ferramentas forenses
é visível.
A partir desse trabalho concluo que todas as evidências encontradas em um caso de
um crime cibernético são de extrema importância para o esclarecimento do mesmo, por
menores e insignificantes que ela pareça, pois, os cibercrimes são de uma resolução
complexa, e exigem uma análise aguçada.
A ferramenta “Ntfsclone” desempenha um papel de considerável importância para a
informática forense, a mesma tem a função ampla de contribuir na apuração clara das
evidências e proporciona ao perito certa liberdade de manuseia o objeto analisado, pois, como
já foi visto acima, caso haja alguma alteração (intenciona ou não) no objeto, o clone do
sistema de arquivos pode restaurar o estado inicial do mesmo.
O campo da informática forense ainda precisa crescer bastante, visto que, enquanto
escrevo esse TCC (trabalho de conclusão de curso), novas tecnologias e novas técnicas estão
sendo criadas seja para contribuir ou para dificultar (no caso de técnicas criminosas) o
trabalho dos peritos.
38
REFERÊNCIAS
ALECRIM, Emerson. Sistemas de arquivos NTFS. Dispovível em: <
http://www.infowester.com/ntfs.php>. Acesso em 10 de Fevereiro de 2014.
BUSTAMANTE, L. Computação Forense: Novo campo de atuação do profissional de
informática disponível em:
<http://imasters.uol.com.br/artigo/4288/forense/computação_forense_novo_campo_de_atuaca
o_do_profissional_de_informatica>.
CAMPOS, Luis Fernando Laguardia. Curso Técnico de Eletrônica – Eletrônica IV: Estrutura
de um Disco Rígido. Disponível em:
<http://www.proflflcampos.xpg.com.br/material/estruturadisco.pdf>. Acesso em 18 de
fevereiro de 2014.
ELEUTÉRIO, P.M.S.; MACHADO, M.P. Desvendando a Computação Forense. São Paulo:
Novatec, 2011.
ERICO, Meneses Leão. Sistemas Operacionais. Disponível em:
<http://portfoliodigital.net/home/[email protected]/Academy/IPP%20-%20Instituto
%20Politecnico%20Porto/2011-12/SIRC/Livros/SO_Livro.pdf>. Acesso em 10 de Janeiro de
2014.
FIGUEIREDO, Jorge Ramos. Análise Forense Computacional. 4ª ed. Ceará: Acadepol, 2008.
FLORES, Giancarlo Vargas. Clonando uma Partição Windows com o NTFSCLONE no
Ubuntu. Disponível em: < http://www.mestral.com.br/a_ntfsclone.html>. Acesso em 23 de
fevereiro de 2014.
GOLDMAN, Alfredo. Computação Forense. Disponivel em:
<http://grenoble.ime.usp.br/~gold/cursos/2008/movel/gradSemCorrecao/FelipeBulleC.pdf>.
Acesso em 15 de outubro de 2013.
39
HUDSON, Andrew. NTFS: Um Sistema de Arquivos com Integridade e Complexidade.
Disponível em: < http://www.hardware.com.br/artigos/ntfs/>. Acesso em 15 de Fevereiro de
2014.
MARÍLIA, Vieira Ribeiro. Informática Forense. Taquaritinga: Fatec TQ, 2012.
NEUKAMP, Paulo. Mini Curso Forense Digital. Disponível em: <
http://www.fdtk.com.br/files/Minicurso_Forense-2012-1.pdf>. Acesso em 23 de fevereiro de
2014.
NEUKAMP, Paulo.FDTK-UbuntuBR – Forense Digital ToolKit. Disponível em: <
http://fdtk.com.br/www/sobre/>. Acesso em 23 de fevereiro de 2014.
TACIO, Paulo. Linux Forense em Português – Brasil. Disponível em: <
http://www.mundodoshackers.com.br/linux-forense-em-portugues-brasil>. Acesso em 15 de
Fevereiro de 2014.
TORRES, Gabriel. Sistema de Arquivo. Disponível em: <
http://www.clubedohardware.com.br/artigos/313>. Acesso em 12 de Fevereiro de 2014.
40