Your SlideShare is downloading. ×
  • Like
  • Save
Técnicas forenses para a recuperação de arquivos
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×

Now you can save presentations on your phone or tablet

Available for both IPhone and Android

Text the download link to your phone

Standard text messaging rates apply

Técnicas forenses para a recuperação de arquivos

  • 4,842 views
Published

Quem nunca perdeu um arquivo após deletar algo por engano na máquina fotográfica, computador ou celular? Ou ainda, quem nunca formatou um pendrive ou partição de disco sem querer? Veja como utilizar …

Quem nunca perdeu um arquivo após deletar algo por engano na máquina fotográfica, computador ou celular? Ou ainda, quem nunca formatou um pendrive ou partição de disco sem querer? Veja como utilizar técnicas de Forense Computacional para recuperar arquivos apagados. Recuperações a partir de dados ainda existentes na memória RAM e demonstrações ao vivo.

Palestrante: João Eriberto Mota Filho

Oficial de Cavalaria do Exército Brasileiro. Gerente de Rede e de Segurança em Rede do Gabinete do Comandante do Exército. Coordenador e professor da pós-graduação em Software Livre na Universidade Católica de Brasília (UCB) e professor da pós-graduação em Perícia Digital (UCB). Autor dos livros Linux & Seus Servidores (2000), Pequenas Redes com Microsoft Windows (2001) e Descobrindo o Linux (2ª edição em 2007).

Published in Technology
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
  • 3-mu.jogando.net

    Título = Jogando.net/mu Venha se divertir de verdade !!!
    [b]Ola,sou o Pr1nceMG,Divulgador oficial do Servidor de Mu online Season 6 do Brasil
    ESTÁ ON HÁ MAIS DE 5 ANOS,Produzindo sua Diversão com qualidade.
    TODOS OS SERVERS ficam ON 24 horas por dia, Sempre Buscamos o Melhor para os Gamers.
    São varios Server esperando por você :
    *novo Servidor 'MuWar' 1000x/1500x
    * Super - 10.000x ** Pvp 15.000x
    * Very Easy - 5.000x
    * Hard 100 x
    * Extreme 10x
    * Novo servidor Phoenix: Free 3000x | Vip: 4000x Phoenix
    SÓ NO http://www.jogando.net/mu VOCÊ ENCONTRA
    Os Melhores itens e kits mais tops de um server De MU Online:
    * NOVOS KITs DE RINGs E PENDANTs COM SOCKETs; ASAS LVL 3 COM SOCKETs;
    * NOVOS SHILDs POWER V3
    * Novos Kits DEVASTADOR
    * Novos Kits DIAMOND v2 + Kit Mystical (a combinação da super força)
    * Novos Sets especiais de TIME. Venha ficar cada vez mais proximo de seu TIME do coração.
    *CASTLE SIEGE AOS SÁBADOS e DOMINGOS.
    Site http://www.jogando.net/mu/
    Esperamos pela sua visita.Sejam todos muito benvindos ao nosso Servidor.
    E obrigado pela atençao de todos voces !!!
    Conheça também animes cloud http://animescloud.com/ São mais de 20.000 mil videos online.
    By:Pr1nceMG divulgador oficial do jogando.net/mu
    Are you sure you want to
    Your message goes here
No Downloads

Views

Total Views
4,842
On SlideShare
0
From Embeds
0
Number of Embeds
1

Actions

Shares
Downloads
0
Comments
1
Likes
3

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. Técnicas forenses para a recuperação  de arquivosJoão Eriberto Mota Filho São Paulo, SP, 11 fev. 2012 Eriberto ­ fev. 2012
  • 2.    Sumário✔ Discos e memória✔ Formatação e deleção✔ Mais sobre arquivos...✔ Imagens de discos e dumps de memória✔ Demonstração de recuperação de arquivos✔ Deleção segura de arquivos e discos✔ Conclusão Eriberto ­ fev. 2012
  • 3.    Sumário✔ Discos e memória✔ Formatação e deleção✔ Mais sobre arquivos...✔ Imagens de discos e dumps de memória✔ Demonstração de recuperação de arquivos✔ Deleção segura de arquivos e discos✔ Conclusão Eriberto ­ fev. 2012
  • 4.    Discos e memória✔ Discos são formados, basicamente, por trilhas divididas em  setores.✔ As projeções verticais das trilhas nos diversos pratos formam  os cilindros.✔ Cada setor de HD ou pendrive, atualmente, possui 512 bytes.✔ A menor quantidade de dados que uma controladora pode  acessar em um disco é um setor (512 bytes).✔ Partições de disco precisam ser formatadas logicamente para  receberem dados.✔ Formatar logicamente é estabelecer um filesystem.✔ Filesystems são compostos por blocos (agrupamento de  setores) e são divididos em área de controle e área de dados. Eriberto ­ fev. 2012
  • 5.    Discos e memória✔ Os blocos de um filesystem podem ter tamanho pré­definido.✔ Geralmente, os blocos possuem um tamanho default de 4 KB.✔ Os blocos compõem tanto a área de controle quanto a área de  dados.✔ Na verdade, formatar logicamente é reorganizar a área de  controle.✔ Apenas por curiosidade, a memória RAM é composta por  páginas, que são similares aos blocos.✔ O tamanho da página é ditado pela arquitetura de hardware.  Exemplo: 4 KB para x86 e x86­64. Eriberto ­ fev. 2012
  • 6.    Sumário✔ Discos e memória✔ Formatação e deleção✔ Mais sobre arquivos...✔ Imagens de discos e dumps de memória✔ Demonstração de recuperação de arquivos✔ Deleção segura de arquivos e discos✔ Conclusão Eriberto ­ fev. 2012
  • 7.    Formatação e deleção✔ Formatar, geralmente, não altera a área de dados.✔ Deletar não apaga a área de dados!✔ Apagar de verdade significa escrever por cima. Isso não é  comum, pois representaria um esforço computacional imenso.✔ Na memória também não é comum ocorrer uma real deleção  de algo. As áreas são declaradas livres para poderem ser  superpostas. Eriberto ­ fev. 2012
  • 8.    Sumário✔ Discos e memória✔ Formatação e deleção✔ Mais sobre arquivos...✔ Imagens de discos e dumps de memória✔ Demonstração de recuperação de arquivos✔ Deleção segura de arquivos e discos✔ Conclusão Eriberto ­ fev. 2012
  • 9.    Mais sobre arquivos...✔ Arquivos ocupam blocos e, ao serem apagados, na verdade,  apenas estarão passíveis de superposição.✔ Escrever parcialmente em um bloco significa preservar partes  anteriores de um arquivo. Isso gera os slack spaces.✔ A maioria dos arquivos possui patterns, que são padrões que  os identificam.✔ Exemplo de pattern: todo JPG inicia com 0xFFD8FF.✔ No site http://fileext.com é possível obter o pattern de  qualquer arquivo. Eriberto ­ fev. 2012
  • 10.    Sumário✔ Discos e memória✔ Formatação e deleção✔ Mais sobre arquivos...✔ Imagens de discos e dumps de memória✔ Demonstração de recuperação de arquivos✔ Deleção segura de arquivos e discos✔ Conclusão Eriberto ­ fev. 2012
  • 11.    Imagens de disco e dumps de memória ✔ Não, imagem não é uma cópia bit a bit...✔ Imagens são excelentes elementos para a recuperação de  arquivos, pois facilitam a manipulação dos bytes.✔ Dumps de memória também são interessantes, pois tudo  passa por ela. Assim, algo poderá ser encontrado íntegro.✔ No GNU/Linux utilize o fmem do projeto Foriana para fazer o  dump. O dd no /dev/mem não funciona mais desde o Kernel  2.6.27!✔ No Windows utilize um dos aplicativos do WinTaylor (projeto  CAINE). Há três boas opções.✔ Softwares de dd especiais, como ddrescue e myrescue, criam  imagens de mídias danificadas.  Eriberto ­ fev. 2012
  • 12.    Sumário✔ Discos e memória✔ Formatação e deleção✔ Mais sobre arquivos...✔ Imagens de discos e dumps de memória✔ Demonstração de recuperação de arquivos✔ Deleção segura de arquivos e discos✔ Conclusão Eriberto ­ fev. 2012
  • 13.    Demonstração de recuperação de arquivos ✔ Demonstração de uma deleção.✔ Demonstração de uma formatação.✔ Recuperação via inode.✔ Recuperação via pattern.✔ Recuperação com dd ou dcfldd.✔ Recuperação de fragmentos com strings.✔ Obs.: há guias de comandos e exercícios (casos) disponíveis  em http://eriberto.pro.br/forense.  Eriberto ­ fev. 2012
  • 14.    Sumário✔ Discos e memória✔ Formatação e deleção✔ Mais sobre arquivos...✔ Imagens de discos e dumps de memória✔ Demonstração de recuperação de arquivos✔ Deleção segura de arquivos e discos✔ Conclusão Eriberto ­ fev. 2012
  • 15.    Deleção segura de arquivos e discos ✔ Wipe e derivados apagam somente os dados, quando  aplicados em arquivos. Os inodes permanecem!!!✔ Wipe e dd (dcfldd) podem ser aplicados em dispositivos  inteiros. Ex:  # dcfldd if=/dev/zero of=/dev/sda. Esta última  ação chama­se zerofill.✔ Com dd ou dcfldd, pode­se criar um arquivo com conteúdo  não significativo que preencha toda a área livre de um  filesystem. Ex: # dcfldd if=/dev/zero of=/teste.txt✔ Com o procedimento anterior, os slack spaces de blocos  ocupados permancem!!!✔ O pacote secure­delete (# apt­get install secure­delete) possui  executáveis para limpar memória, swap etc, via flood. Eriberto ­ fev. 2012
  • 16.    Sumário✔ Discos e memória✔ Formatação e deleção✔ Mais sobre arquivos...✔ Imagens de discos e dumps de memória✔ Demonstração de recuperação de arquivos✔ Deleção segura de arquivos e discos✔ Conclusão Eriberto ­ fev. 2012
  • 17.    Conclusão ✔ Apagar dados, na ampla concepção da ideia, não é uma ação  natural.✔ Formatar um disco é, na verdade, reestabelecer a área de  controle.✔ Há boas possibilidades de arquivos apagados ou discos  formatados acidentalmente serem recuperados. Isso  dependerá de técnica e de paciência.✔ Fragmentos ou arquivos completos apagados poderão ser  preservados por anos, principalmente em HDs grandes. Esta palestra está disponível em: http://eriberto.pro.br Siga­me em http://twitter.com/eribertomota Eriberto ­ fev. 2012