recuperacao_arquivos

8/17/2019 recuperacao_arquivos

1/19

Eriberto - set. 2015 Eriberto - set. 2015

Jo ã o Eriberto Mota Filho Jo ã o Eriberto Mota FilhoCuritiba, PR, 17 set. 15Curitiba, PR, 17 set. 15

T é cnicas forensesT é cnicas forenses para a recupera çã o para a recupera çã o

de arquivosde arquivos


2/19


Sum árioSum ário✔✔ Discos e mem óriaDiscos e mem ória✔✔ Formata ção e dele çãoFormata ção e dele ção✔✔ Mais sobre arquivos...Mais sobre arquivos...

✔✔ Demonstra ção de recupera ção de arquivosDemonstra ção de recupera ção de arquivos✔✔ Dele ção segura de arquivos e discosDele ção segura de arquivos e discos✔✔ Conclus ãoConclus ão


3/19



✔✔ Demonstra ção de recupera ção de arquivosDemonstra ção de recupera ção de arquivos✔✔ Dele ção segura de arquivos e discosDele ção segura de arquivos e discos✔✔ Conclus ãoConclus ão


4/19


Discos e mem óriaDiscos e mem ória✔✔ Discos s ão fisicamente organizados, basicamente, por trilhasDiscos s ão fisicamente organizados, basicamente, por trilhas

divididas em setores, que podem ser f í sicos ou l ógicos.divididas em setores, que podem ser f í sicos ou l ógicos. ✔ ✔ Cada setor l ógico possui 512 bytes. H á um projeto deCada setor l ógico possui 512 bytes. H á um projeto demigra ção para 4096, conhecido como advanced format.migra ção para 4096, conhecido como advanced format.

SetorSetor


5/19


Discos e mem óriaDiscos e mem ória ✔ ✔ As proje ções verticais das trilhas nos diversos pratos formam As proje ções verticais das trilhas nos diversos pratos formamos cilindros.os cilindros.

✔ ✔ A menor quantidade de dados que uma controladora pode A menor quantidade de dados que uma controladora podeacessar em um disco é um setor f í sico.acessar em um disco é um setor f í sico.

✔ ✔ Parti ções de disco precisam ser formatadas logicamente paraParti ções de disco precisam ser formatadas logicamente parareceberem dados.receberem dados.

✔ ✔ Formatar logicamente é estabelecer um filesystem.Formatar logicamente é estabelecer um filesystem. ✔ ✔ Filesystems s ão compostos por blocos (agrupamento deFilesystems s ão compostos por blocos (agrupamento desetores) e s ão divididos em área de controle e área de dados.setores) e s ão divididos em área de controle e área de dados.


6/19


Discos e mem óriaDiscos e mem ória✔✔ Os blocos de um filesystem podem ter tamanho pr é-definido.Os blocos de um filesystem podem ter tamanho pr é-definido.✔✔ Geralmente, os blocos possuem um tamanho default de 4 KB.Geralmente, os blocos possuem um tamanho default de 4 KB.

✔✔ Os blocos comp õem tanto a área de controle quanto a área deOs blocos comp õem tanto a área de controle quanto a área dedados.dados.

✔✔ Os blocos da área de controle s ão denominados inodes.Os blocos da área de controle s ão denominados inodes.


7/19


Discos e mem óriaDiscos e mem ória✔✔ Modelo von Neumman: tudo passa pela mem ória!Modelo von Neumman: tudo passa pela mem ória!

CPU

Mem ó ria

E S


8/19


Discos e mem óriaDiscos e mem ória✔✔ A mem ória RAM é composta por p áginas, que s ão similares A mem ória RAM é composta por p áginas, que s ão similares

aos blocosaos blocos em filesystems. H á área de controle e área deem filesystems. H á área de controle e área dedados.dados.

✔✔ O tamanho da p ágina é ditado pela arquitetura de hardware.O tamanho da p ágina é ditado pela arquitetura de hardware.

Exemplo: 4 KB para x86 e x86-64.Exemplo: 4 KB para x86 e x86-64.✔✔ Como tudo passa pela mem ória, é poss í vel a recupera ção deComo tudo passa pela mem ória, é poss í vel a recupera ção de

v ários tipos de dados, como textos, senhas, processos em v ários tipos de dados, como textos, senhas, processos emexecu ção etc.execu ção etc.

✔✔ A volatilidade da A volatilidade da mem ó riamem ó ria ......✔✔ Aquisi ção e an álise de Aquisi ção e an álise de mem ó riamem ó ria em diversos SO: lime-em diversos SO: lime-

forensics, dumpit, volatility etc.forensics, dumpit, volatility etc.


9/19



✔✔

Demonstra ção de recupera ção de arquivosDemonstra ção de recupera ção de arquivos✔✔ Dele ção segura de arquivos e discosDele ção segura de arquivos e discos✔✔ Conclus ãoConclus ão


10/19


Formata ção e dele çãoFormata ção e dele ção✔✔ Escrita em disco x dele ção de dados.Escrita em disco x dele ção de dados.


11/19


Formata ção e dele çãoFormata ção e dele ção✔✔ Escrita em disco x dele ção de dados.Escrita em disco x dele ção de dados.✔✔ Deletar n ão apaga a área de dados!Deletar n ão apaga a área de dados!✔✔ Apagar de verdade significa escrever por cima (wipe e Apagar de verdade significa escrever por cima (wipe e

zerofill). Isso n ão é comum, pois representaria um esfor çozerofill). Isso n ão é comum, pois representaria um esfor çocomputacional imenso.computacional imenso.

✔✔ Formatar, geralmente, n ão altera a área de dados. Apenas é Formatar, geralmente, n ão altera a área de dados. Apenas é refeita a área de controle.refeita a área de controle.

✔✔ Na mem ória tamb ém n ão é comum ocorrer uma real dele çãoNa mem ória tamb ém n ão é comum ocorrer uma real dele çãode algo. As áreas s ão declaradas livres para poderem serde algo. As áreas s ão declaradas livres para poderem sersuperpostas.superpostas.


12/19



✔✔



13/19


Mais sobre arquivos...Mais sobre arquivos...✔✔ Arquivos ocupam blocos e, ao serem apagados, na verdade, Arquivos ocupam blocos e, ao serem apagados, na verdade,

apenas estar ão pass í veis de superposi ção.apenas estar ão pass í veis de superposi ção.✔✔ Escrever parcialmente em um bloco significa preservar partesEscrever parcialmente em um bloco significa preservar partes

anteriores de um arquivo. Isso gera os slack spaces.anteriores de um arquivo. Isso gera os slack spaces.

✔✔ A maioria dos arquivos possui patterns, que s ão padr ões que A maioria dos arquivos possui patterns, que s ão padr ões queos identificam.os identificam.

✔✔ Exemplo de pattern: todo JPG inicia com 0xFFD8FF.Exemplo de pattern: todo JPG inicia com 0xFFD8FF.


14/19



✔✔



15/19


Demonstra ção de recupera ção de arquivosDemonstra ção de recupera ção de arquivos✔✔ Demonstra ção de uma dele ção.Demonstra ção de uma dele ção.✔✔ Demonstra ção de uma formata ção.Demonstra ção de uma formata ção.✔✔ Recupera ção via inode.Recupera ção via inode.✔✔

Recupera ção via pattern.Recupera ção via pattern.✔✔ Recupera ção com dd ou dcfldd.Recupera ção com dd ou dcfldd.✔✔ Recupera ção de fragmentos com strings.Recupera ção de fragmentos com strings.✔✔ Obs.: h á guias de comandos e exerc í cios (casos) dispon í veisObs.: h á guias de comandos e exerc í cios (casos) dispon í veis

em http://eriberto.pro.br/forense.em http://eriberto.pro.br/forense.


16/19



✔✔



17/19


Dele ção segura de arquivos e discosDele ção segura de arquivos e discos✔✔ Wipe e derivados (eraser no Windows) apagam somente osWipe e derivados (eraser no Windows) apagam somente os

dados, quando aplicados em arquivos. Os inodesdados, quando aplicados em arquivos. Os inodespermanecem!!! Á reas pr é vias tamb ém permanecer ão.permanecem!!! Á reas pr é vias tamb ém permanecer ão.

✔✔ Wipe e dd (dcfldd) podem ser aplicados em dispositivosWipe e dd (dcfldd) podem ser aplicados em dispositivos

inteiros. Ex:inteiros. Ex: # dcfldd if=/dev/zero of=/dev/sda# dcfldd if=/dev/zero of=/dev/sda . Esta última. Esta últimaação chama-se zerofill.ação chama-se zerofill.✔✔ Com dd ou dcfldd, pode-se criar um arquivo com conte údoCom dd ou dcfldd, pode-se criar um arquivo com conte údo

não significativo que preencha toda a área livre de umnão significativo que preencha toda a área livre de umfilesystem. Ex: #filesystem. Ex: # dcfldd if=/dev/zero of=/teste.txtdcfldd if=/dev/zero of=/teste.txt

✔✔ Com o procedimento anterior, os slack spaces de blocosCom o procedimento anterior, os slack spaces de blocosocupados permanecem!!!ocupados permanecem!!!

✔✔ O pacote secure-delete (O pacote secure-delete ( # apt-get install secure-delete# apt-get install secure-delete ) possui) possuiexecut á veis para limpar (wipe) mem ória, swap etc.execut á veis para limpar (wipe) mem ória, swap etc.


18/19



✔✔



19/19


Conclus ãoConclus ão✔✔ Apagar dados, na ampla concep ção da ideia, n ão é uma a ção Apagar dados, na ampla concep ção da ideia, n ão é uma a ção

natural.natural.

✔✔ Formatar um disco é, na verdade, reestabelecer a área deFormatar um disco é, na verdade, reestabelecer a área decontrole.controle.

✔✔ Há boas possibilidades de arquivos apagados ou discosHá boas possibilidades de arquivos apagados ou discosformatados acidentalmente serem recuperados. Issoformatados acidentalmente serem recuperados. Issodepender á de t écnica e de paci ência.depender á de t écnica e de paci ência.

✔✔ Fragmentos ou arquivos completos apagados poder ão serFragmentos ou arquivos completos apagados poder ão ser

preservados por anos, principalmente em HDs grandes.preservados por anos, principalmente em HDs grandes.

Esta palestra est á dispon í vel em:Esta palestra est á dispon í vel em:

http://eriberto.pro.brhttp://eriberto.pro.brSiga-me no Twitter @eribertomotaSiga-me no Twitter @eribertomota

recuperacao_arquivos

Documents

Transcript of recuperacao_arquivos