• Share
  • Email
  • Embed
  • Like
  • Save
  • Private Content
3. hdd file_systems
 

3. hdd file_systems

on

  • 364 views

 

Statistics

Views

Total Views
364
Views on SlideShare
364
Embed Views
0

Actions

Likes
0
Downloads
1
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    3. hdd file_systems 3. hdd file_systems Document Transcript

    • Informática Forense e Reengenharia Mestrado em Engenharia de Segurança Informática Escola Superior de Tecnologia e Gestão Instituto Politécnico de Beja Francisco Luís Sumário Estrutura de um HDD Endereçamento Formatação Importância do File System FAT, NTFS Swap File, Slack Space e Unallocated Space Informática Forense e Reengenharia 1
    • Hard Disk Drive Os discos magnéticos são chamados de pratos (platter) sendo os dados escritos nos mesmos por braços com cabeças de leitura/escrita São classificados como dispositivos de armazenamento de memória não volátil, de acesso randómico, digital, magnético Informática Forense e Reengenharia Estrutura Sector Cluster Platters Heads Informática Forense e Reengenharia 2
    • Estrutura Partícula de fumo Cabeça Partícula de pó (0.0381mm) Cabelo humano (0.0762mm) Impressão digital Head fly / Floating height - (0.000127mm) Informática Forense e Reengenharia Endereçamento CHS addressing – Cada sector pode ser endereçado pelo cylinder, head, e sector (C e H começam em 0, S começa em 1) Logical block addressing (LBA) – esquema comum para indicar a localização de blocos de dados armazenados nos HDDs. • LBA é um esquema de endereçamento linear simples; Os blocos são localizados através de um índice, representado por um inteiro, onde o primeiro bloco é o LBA 0, o segundo bloco LBA 1 e assim sucessivamente Informática Forense e Reengenharia 3
    • Tamanho O tamanho de uma drive pode ser calculado • Bytes = C * H * S/t * 512 bytes • C (começa em 0, não esqueçer) Informática Forense e Reengenharia Endereçamento CHS – 1 0 1 LBA - 8 CHS – 1 0 2 LBA - 9 CHS – 1 0 3 LBA - 10 CHS – 3 0 1 LBA - 25 CHS – 3 0 2 LBA - 25 Informática Forense e Reengenharia 4
    • Um sector 571 BYTES SYNC AREA HEADER TIMING CHS DATA AREA 512 BYTES CRC VALUE ERROR CORRECTION Informática Forense e Reengenharia Lado de um prato DATA AREA 512 BYTES SECTOR DATA AREA 512 BYTES T R A C K Informática Forense e Reengenharia 5
    • Tipos de Formatação Low-level formatting – formatação feita pelo fabricante. Esta formatação agrupa a estrutura magnética do disco em áreas denominadas sectores. High-level formatting – é específica do sistema operativo: ex: Microsoft (DOS, FAT, NTFS e ReFS - Resilient File System) ou com variedades Open Source Initiative (OSI) como ext*, ReiserFS e XFS Informática Forense e Reengenharia Drive física Um computador não pode usar uma drive física até que ela tenha sido particionada e o MBR escrito no disco, com pelo menos uma partição identificada Para usar a drive o computador vai ler o primeiro sector da drive – LBA Sector 0 (CHS 001) O Sector 0 vai conter o Master Boot Record (MBR) O MBR tem 3 áreas – boot code, partition table e signature bytes Informática Forense e Reengenharia 6
    • MBR e MPT Os primeiros 446 bytes do MBR contêm o post-BIOS boot strap code. Este código indica ao computador onde é que pode encontrar o OS e transfere o “controlo” para aquele endereço. É consultada a tabela constante dos 64 bytes seguintes (a Master Partition Table) que se encontra dividida em 4 entradas, cada uma com 16 bytes. Os últimos 2 bytes contêm 0xAA55 (assinatura do MBR – Magic ou Validation number) Informática Forense e Reengenharia Informática Forense e Reengenharia 7
    • Particionamento DOS/Windows 9x • FDisk Windows XP/Vista/7 • Diskpart Linux • fdisk device Informática Forense e Reengenharia Informática Forense e Reengenharia 8
    • Informática Forense e Reengenharia Informática Forense e Reengenharia 9
    • Informática Forense e Reengenharia MPT Byte 0 – Indicador de Boot • • 80 = Boot (Active) Partition 00 = Non Boot Partition 80 202100 00 DF140C 00 FEFFFF 00 000000 07 DF130C0008000000200300 07 FEFFFF0028030000581706 07 FEFFFF00801A060008870C 00 0000000000000000000000 Informática Forense e Reengenharia 10
    • MPT Byte 4 – Type Code da Partição • • • • 07 = NTFS 0C = FAT32 0F = Extended ... 80 202100 00 DF140C 00 FEFFFF 00 000000 07 DF130C0008000000200300 07 FEFFFF0028030000581706 07 FEFFFF00801A060008870C 00 0000000000000000000000 Informática Forense e Reengenharia Partition Codes 00 Empty 0C Windows95 FAT32 (LBA) 01 DOS 12-bit FAT 0E Windows95 FAT16 (LBA) 04 DOS 16-bit FAT <32M 0F Windows95 Extended (LBA) 05 DOS Extended 11 Hidden DOS FAT12 06 DOS 16-bit FAT >=32M 12 Compaq diagnostics 07 HPFS / NTFS 16 Hidden DOS FAT16 (big) 0A OS/2 Boot Manager 17 Hidden HPFS/NTFS 14 Hidden DOS FAT16 0B Windows95 FAT32 Informática Forense e Reengenharia 11
    • Partition Codes 3C PartitionMagic recovery 83 Linux native(15) 43 Linux native (sharing disk with DRDOS) 84 OS/2 hidden C: drive 55 EZ-Drive (disk manager) 86 NTFS volume set 64 Novell Netware 286 87 NTFS volume set 65 Novell Netware 386 F2 DOS 3.3+ secondary 85 Linux extended 70 DiskSecure Multi-Boot 82 Linux swap Informática Forense e Reengenharia Partições hidden Hidden partitions têm Type Codes válidos 11,14,16 e17 Quando um sistema arranca, se a partição for hidden, não vai ficar acessível e não lhe vai ser assignada uma drive letter No entanto o software forense vai conseguir ver a partição e o seu conteúdo Porquê esconder partições? Informática Forense e Reengenharia 12
    • Partição vs Drive lógica Uma partição pode ser criada, mas não é uma drive lógica enquanto não for formatada ou se o file system não foi reconhecido pelo OS Informática Forense e Reengenharia Drive física MBR R e s e r v a d o SECTOR T R A C K Área para drives lógicas Informática Forense e Reengenharia 13
    • Esquema de particionamento standard DOS/Windows Outros podem colocar informação na reserved area Algumas aplicações podem esconder informação ali. Ex: programas de encriptação podem colocar código nesta área para protecção do sistema Outros programas usam esta área para instalar parte de um esquema de autenticação Informática Forense e Reengenharia Disk signiture O MBR tem, como últimos 32 bits do bootstrap code, o denominado Windows NT disk signature. Serve como identificador único do dispositivo. Tem este nome porque foi introduzido no Windows NT 3.5, sendo agora usado por diversos OS, incluindo o kernel 2.6 ou posterior de Linux based OS. O Windows NT (e posteriores Microsoft OS) usam a disk signature como um índex para todos os dispositivos ligados naquele OS; Estas assinaturas são guardadas no Registry, tendo aqui a função principal de guardar o mapeamento entre as partições do disco e as drive letters. Uma key (entre muitas outras) onde o Windows NT disk signature aparece: Windows XP • HKEY_LOCAL_MACHINESYSTEMMountedDevices Se a disk signature no MBR fosse 0xD9 B9 7F 02 (nesta ordem) e se a primeira partição corresponder à drive lógica C: no Windows, a REG_BINARY data no key value DosDevicesC: deve ser : • 0xD9 B9 7F 02 00 7E 00 00 00 00 00 00 Informática Forense e Reengenharia 14
    • Informática Forense e Reengenharia Informática Forense e Reengenharia 15
    • Informática Forense e Reengenharia Sectores vs Clusters O file system faz o mapeamento entre o espaço físico na drive (sector) e o endereço lógico que contém o ficheiro Um cluster (ou allocation unit) é o espaço mais pequeno de alocação para um ficheiro Informática Forense e Reengenharia 16
    • Tabela de Clusters (NTFS) Volume size Windows NT 3.51 Windows NT 4.0 Windows 2000, Windows XP, Windows Server 2003, Windows Vista, and Windows Server 2008 7 MB–512 MB 512 bytes 4 KB 4 KB 512 MB–1 GB 1 KB 4 KB 4 KB 1 GB–2 GB 2 KB 4 KB 4 KB 2 GB–2 TB 4 KB 4 KB 4 KB 2 TB–16 TB Not Supported* Not Supported* 4 KB 16TB–32 TB Not Supported* Not Supported* 8 KB 32TB–64 TB Not Supported* Not Supported* 16 KB 32 KB 64TB–128 TB Not Supported* Not Supported* 128TB–256 TB Not Supported* Not Supported* 64 KB > 256 TB Not Supported Not Supported Not Supported * means not supported due to the limitations of the MBR Informática Forense e Reengenharia Tabela de Clusters (FAT 32) 7 MB–16MB Not supported Not supported Windows 2000, Windows XP, Windows Server 2003, Windows Vista, and Windows Server 2008 Not supported 16 MB–32 MB 512 bytes 512 bytes Not supported 32 MB–64 MB 512 bytes 512 bytes 512 bytes 64 MB–128 MB 1 KB 1 KB 1 KB 128 MB–256 MB 2 KB 2 KB 2 KB 256 MB–8GB 4 KB 4 KB 4 KB 8GB–16GB 8 KB 8 KB 8 KB 16GB–32GB 16 KB 16 KB 16 KB 32GB–2TB 32 KB Not supported Not supported > 2TB Not supported Not supported Not supported Volume size Windows NT 3.51 Windows NT 4.0 Fonte: http://support.microsoft.com/kb/140365 Informática Forense e Reengenharia 17
    • Tabela de Clusters (Fat 16) Volume size 7 MB–8 MB 8 MB–32 MB 32 MB–64 MB 64 MB–128 MB 128 MB–256 MB 256 MB–512 MB 512 MB–1 GB 1 GB–2 GB 2 GB–4 GB 4 GB–8 GB 8 GB–16 GB > 16 GB Windows NT 3.51 Not supported 512 bytes 1 KB 2 KB 4 KB 8 KB 16 KB 32 KB 64 KB Not supported Not supported Not supported Windows NT 4.0 Not supported 512 bytes 1 KB 2 KB 4 KB 8 KB 16 KB 32 KB 64 KB 128 KB* 256 KB* Not supported Windows 2000, Windows XP, Windows Server 2003, Windows Vista, and Windows Server 2008 Not supported 512 bytes 1 KB 2 KB 4 KB 8 KB 16 KB 32 KB 64 KB Not supported Not supported Not supported * means only available on media with a sector size greater than 512 bytes. Fonte: http://support.microsoft.com/kb/140365 Informática Forense e Reengenharia Tabela de Clusters (exFAT) Volume size 7 MB–256 MB 256 MB–32 GB 32 GB–256 TB > 256 TB Windows XP, Windows Server 2003, Windows Vista and Windows Server 2008 4 KB 32 KB 128 KB Not supported Fonte: http://support.microsoft.com/kb/140365 Informática Forense e Reengenharia 18
    • Importância do file system High-level formatting: cria o file system e possibilita que o OS armazene ficheiros, dando a possibilidade de os dividir, e de os gravar em clusters separados O OS usa o file system para saber onde é que a informação reside (localização e dispersão – sequência da mesma) e para saber a quantidade de espaço de armazenamento disponível Desta forma o OS pode “juntar” as diferentes partes que compõem o ficheiro para que seja visualizada ou executado Informática Forense e Reengenharia Importância do file system Localização de ficheiros Forma de ocultação de dados (Hidden data) Eliminação de ficheiros Informática Forense e Reengenharia 19
    • FAT - File Allocation Table System Area MBR Boot Rec Reserved Data Area Sector Sector FAT 1 Sector Sector FAT 2 Cluster Root Directory (FAT 12 e 16) Informática Forense e Reengenharia FAT Quando é criado um novo ficheiro • • • Nome na Root Directory Tabelas de FATS actualizadas Escreve no(s) sector(s) do cluster(s) que encontrou livre Informática Forense e Reengenharia 20
    • FAT - Diferenças FAT12 • Cada entrada na FAT tem 12 bits • Normalmente usada nas floppy disks • Tamanho máximo da partição 32 MB (256 MB para clusters de 64 KB) FAT16 • Cada entrada na FAT tem 16 bits • Normalmente usada nas pens USB e cartões de memória • Tamanho máximo da partição 2GB (4 GB para clusters de 64 KB) FAT32 • Cada entrada na FAT tem 32 bits • Normalmente usada em discos rígidos • Tamanho máximo do ficheiro 2GB • Tamanho máximo da partição 2TB Informática Forense e Reengenharia NTFS - New Technology File System Data Area MBR Reserved Sector Sector Sector Sector Cluster Informática Forense e Reengenharia 21
    • NTFS NTFS usa uma série de ficheiros de metadata, também denominados NTFS System Files Os ficheiros de Metadata começam com um $ Metadata é: informação que é usada apenas pelo file system e que serve para aceder a outra informação Informática Forense e Reengenharia NTFS Metadata File Name File Name Master File Table (MFT) $MFT Master File Table 2 (MFT2) or Master File $MFTMirr Table Mirror MFT Description Record # This is the MFT itself. This seems to be a bit of a chicken-and-egg problem--how can a record in the MFT contain the MFT? :^) It doesn't. This first MFT record 0 contains descriptive information about the MFT. This is consistent with how NTFS works--since the MFT itself is just "a file", so it also needs a record in the MFT! 1 Log File $LogFile 2 This is a mirror of the first 16 records of the real Master File Table. It is stored either in the middle of the partition (for Windows NT 3.5 and earlier) or the end of the partition (for Windows NT 4.0 and later). The mirror is a "backup" that is used to ensure that the first few records of the MFT, which of course describe the metadata files themselves, can be accessed in case of a disk error on the original MFT. The transaction logging file for the volume. This is part of NTFS's file system recoverability feature. Contains key information about the volume (partition) itself, such as its name, NTFS version, creation time, and so on. See the complete list of NTFS file attributes for more information. Volume Descriptor $Volume 3 Attribute Definition Table $AttrDef 4 Root Directory / Folder "." (single period) 5 This is a pointer to the root directory or folder of the volume. Cluster Allocation Bitmap $Bitmap 6 Contains a "map" showing which clusters on the volume are used and which are available for use. Volume Boot Code $Boot 7 Bad Cluster File $BadClus 8 Quota Table $Quota 9 Upper Case Table $UpCase 10 This table contains the names and descriptions of the various types of NTFS file attributes used on the volume. (It doesn't contain the attributes themselves, but rather descriptions of what the attributes mean. Remember--metadata.) This record contains a copy of the volume boot code (or a pointer to it). The volume boot code is also found in the volume boot sector. A list of all clusters on the volume that have been marked as "bad" (meaning, an error was detected on the volume somewhere in those clusters, so the file system wants to be sure not to use them again.) Table containing quota information, if disk quotas are being used on the volume. Only used for NTFS 5.0 or later. Table containing information for converting file names to the Unicode (16-bit) file naming system for international compatibility. Fonte: http://www.pcguide.com/ref/hdd/file/ntfs/archFiles-c.html Informática Forense e Reengenharia 22
    • File slack Espaço entre o fim do ficheiro e o fim do cluster • Pode conter prova! File1.txt 768 bytes AKA slack space Cluster / Block File slack Espaço entre o último byte do ficheiro e o primeiro byte do cluster seguinte 1280 bytes Sector 512 bytes Informática Forense e Reengenharia RAM slack e Residual data RAM slack 256 bytes Residual data 1024 bytes Sector 512 bytes Informática Forense e Reengenharia 23
    • Swap File O swap file é um ficheiro de sistema (hidden) usado como memória virtual, quando não existe memória física “disponível” para a execução de um programa Este ficheiro contém porções de ficheiros Windows NT/XP /Vista/7 • pagefile.sys Windows 9X • win386.swp Informática Forense e Reengenharia Unallocated Space É o espaço marcado pelo OS como estando livre Quando um ficheiro é apagado, continua a residir em disco até ser overwritten Informática Forense e Reengenharia 24
    • TSK fls - File List Suporta: fls –f list • • • • • • • • • • • • • • • ntfs (NTFS) fat (FAT (Auto Detection)) ext (ExtX (Auto Detection)) iso9660 (ISO9660 CD) hfs (HFS+) ufs (UFS (Auto Detection)) raw (Raw Data) swap (Swap Space) fat12 (FAT12) fat16 (FAT16) fat32 (FAT32) ext2 (Ext2) ext3 (Ext3) ufs1 (UFS1) ufs2 (UFS2) Informática Forense e Reengenharia TSK Suporta ficheiros de imagem • fls -i list • raw (Single raw file (dd)) • ewf (Expert Witness format (encase)) • split (Split raw files) Para ter suporte a AFF tem que se instalar primeiro fls USB2.E01 Informática Forense e Reengenharia 25
    • Informática Forense e Reengenharia TSK r/r 93: imagesCA9JULLA.jpg • r/r – Ficheiro “regular” • d/d – directoria • 93 – metadata block # ("inode") • imagesCA9JULLA.jpg – nome do ficheiro Informática Forense e Reengenharia 26
    • TSK icat USB2.E01 93 > 93.jpg • gnome-open 93.jpg ffind - File Find • ffind USB2.E01 93 • imagesCA9JULLA.jpg Informática Forense e Reengenharia TSK fsstat - File System Status • Detalhes técnicos sobre o File System img_stat – Detales sobre a imagem • img_stat USB2.E01 • Image Type: ewf • Size of data in bytes: • MD5 hash of data: 65404928 a246b3292aa4e3eaa5d17af3e818451a Informática Forense e Reengenharia 27
    • TSK Informática Forense e Reengenharia TSK Informática Forense e Reengenharia 28
    • TSK Informática Forense e Reengenharia TSK File List • fls -o 63 /media/Dados/HDD_IPB/HDD.E01 Recursivo • fls -r -o 63 /media/Dados/HDD_IPB/HDD.E01 Show Full Path • fls -r -p -o 63 /media/Dados/HDD_IPB/HDD.E01 Informática Forense e Reengenharia 29
    • TKS Os ficheiros marcados com ‘*’ estão apagados ($MFT), mas são Orphan Files (passíveis de serem recuperados) As entradas no $MFT são inodes byte-sector-cluster(block)-inode-file Informática Forense e Reengenharia mount.ewf /media/Dados/HDD_IPB/HDD.E01 /media/HDD/ dd if=/media/HDD/HDD count=1 | xxd | less mount HDD –o loop,ro,noatime,noexec,offset=$((512*63)) /media/Part1 Informática Forense e Reengenharia 30
    • find . -type f find . -type f -size +20M Assinatura • find /media/particao -type f -exec file{} ; Informática Forense e Reengenharia TSK fls USB2.E01 r/r 98: dn.bat • r/r – Ficheiro “regular” • d/d – directoria • 98 – metadata block # ("inode") • dn.bat – nome do ficheiro Informática Forense e Reengenharia 31
    • TKS Informática Forense e Reengenharia Pesquisas cat IMAGE.dd | strings –td | egrep –i EXPRESSÃO cat IMAGE.dd | strings –td | egrep –i -f filekeywords.txt Output é byte offset. Calcular sector Informática Forense e Reengenharia 32
    • Pesquisas cut -d ' ' -f1 output.txt | while read BYTE; do echo $((BYTE/512)); done dd if=IMAGE.dd skipe=15126 count=1 | xxd | less Informática Forense e Reengenharia autopsy Montar dd como read only • mkdir /media/USB • mount -o ro /dev/sdb /media/USB autopsy –d /media/NOME Copiar o endereço da janela para browser Informática Forense e Reengenharia 33
    • Informática Forense e Reengenharia Obrigado francisco.m.luis@gmail.com Informática Forense e Reengenharia 34