Your SlideShare is downloading. ×
© 2009 Marcelo Lau




Perícia Forense Computacional e Legislação
 Aplicada à Perícia Forense Computacional
       Recuper...
© 2009 Marcelo Lau




Instrutor



  Prof. Msc. Marcelo Lau

  E-mail: marcelo.lau@datasecurity.com.br
          marcelo....
© 2009 Marcelo Lau




Estrutura da aula
   Carga horária: 4 horas.

   Trabalho em grupo (Dia 28/10):
       Entrega d...
© 2009 Marcelo Lau




Apresentação dos trabalhos pendentes
   Apresentação dos 3 grupos – Análise do arquivo de
    capt...
© 2009 Marcelo Lau




Formas para exclusão de arquivos (lógico)
   Eliminação simples (Delete):
       Evidências dispo...
© 2009 Marcelo Lau




Formas para exclusão de arquivos (físico)
   Perda da localização mídia (rastreabilidade).

   De...
© 2009 Marcelo Lau




Etapas para recuperação de arquivos
   Recuperação através do nome do arquivo, por meio
    da tab...
© 2009 Marcelo Lau




Questões preliminares à recuperação
   Geração de imagem da evidência (dd).

   Conferência de HA...
© 2009 Marcelo Lau




Ferramentas para análise de disco




                   Recuperação de Arquivos Excluídos
© 2009 Marcelo Lau




FTK Imager




             Recuperação de Arquivos Excluídos
© 2009 Marcelo Lau




Autopsy




          Recuperação de Arquivos Excluídos
© 2009 Marcelo Lau




Cuidados na recuperação de arquivos
   Utilize ferramentas que evitam adulteração de sua
    evidê...
© 2009 Marcelo Lau




Prática em laboratório - I
   Realize análise sobre a evidência disponível no dia da
    aula (arq...
© 2009 Marcelo Lau




Prática em laboratório - II
   Cada grupo deve gerar uma imagem de um pen drive
    eliminando pre...
© 2009 Marcelo Lau




Referências adicionais para estudo
   Bibliografia Data Security (http://www.datasecurity.com.br) ...
Upcoming SlideShare
Loading in...5
×

Recuperacao de arquivos excluidos

2,756

Published on

Aula ministrada pelo Prof. Msc. Marcelo Lau

Published in: Technology
1 Comment
1 Like
Statistics
Notes
No Downloads
Views
Total Views
2,756
On Slideshare
0
From Embeds
0
Number of Embeds
5
Actions
Shares
0
Downloads
0
Comments
1
Likes
1
Embeds 0
No embeds

No notes for slide

Transcript of "Recuperacao de arquivos excluidos"

  1. 1. © 2009 Marcelo Lau Perícia Forense Computacional e Legislação Aplicada à Perícia Forense Computacional Recuperação de arquivos excluídos Prof. Msc. Marcelo Lau
  2. 2. © 2009 Marcelo Lau Instrutor Prof. Msc. Marcelo Lau E-mail: marcelo.lau@datasecurity.com.br marcelo.lau@sp.senac.br Diretor executivo da Data Security no Brasil. Tem mais de 12 anos de atuação em bancos brasileiros em Segurança da Informação e Prevenção à Fraude. É professor do curso de formação em Compliance pela FEBRABAN no Brasil, professor no MBA de Segurança da Informação da FATEC/SP e coordena o curso de Gestão em Segurança da Informação e Gerenciamento de Projetos no SENAC/SP. É Engenheiro eletrônico da EEM com pós graduação em administração pela FGV e mestre em ciência forense pela POLI/USP. É reconhecido pela imprensa Brasileira e Argentina com trabalhos realizados em vários países do mundo. Recuperação de Arquivos Excluídos
  3. 3. © 2009 Marcelo Lau Estrutura da aula  Carga horária: 4 horas.  Trabalho em grupo (Dia 28/10):  Entrega da análise de recuperação de arquivos excluídos. (23/09) Recuperação de Arquivos Excluídos
  4. 4. © 2009 Marcelo Lau Apresentação dos trabalhos pendentes  Apresentação dos 3 grupos – Análise do arquivo de captura (PCAP)  Apresentação dos trabalhos pendentes:  Grupo A:Trabalho da aula 2 – Ministrada por Marcelo Lau.  Grupo B:Trabalho da aula 4 – Ministrada por marcelo Lau.  Grupo C:Entrega do trabalho da aula 2 (Já apresentado). Recuperação de Arquivos Excluídos
  5. 5. © 2009 Marcelo Lau Formas para exclusão de arquivos (lógico)  Eliminação simples (Delete):  Evidências disponíveis na “lixeira”.  Evidências disponíveis na tabela de alocação de arquivos.  Formatação:  Evidências disponíveis na área não utilizada em disco.  Wipe:  Evidências disponíveis em áreas de histerese (fora da trilha). Recuperação de Arquivos Excluídos
  6. 6. © 2009 Marcelo Lau Formas para exclusão de arquivos (físico)  Perda da localização mídia (rastreabilidade).  Desmagnetização.  Dano físico:  Placa controladora.  Mídia.  Cabeça de leitura e gravação.  Meios para o dano físico:  Impacto mecânico.  Temperatura elevada.  Corrosão salina e/ou ácida.  Eletricidade estática. Recuperação de Arquivos Excluídos
  7. 7. © 2009 Marcelo Lau Etapas para recuperação de arquivos  Recuperação através do nome do arquivo, por meio da tabela de alocação  Recuperação de arquivos por meio de fragmentos disponíveis em áreas não utilizadas no disco:  Área disponível para gravação do disco.  Slack.  Recuperação de arquivos por meio de análise superficial Recuperação de Arquivos Excluídos
  8. 8. © 2009 Marcelo Lau Questões preliminares à recuperação  Geração de imagem da evidência (dd).  Conferência de HASH (Original <-> Cópia).  Armazenamento da evidência original em local seguro.  Realização do trabalho sobre a cópia da evidência (dd).  Entenda o escopo de seu trabalho. Recuperação de Arquivos Excluídos
  9. 9. © 2009 Marcelo Lau Ferramentas para análise de disco Recuperação de Arquivos Excluídos
  10. 10. © 2009 Marcelo Lau FTK Imager Recuperação de Arquivos Excluídos
  11. 11. © 2009 Marcelo Lau Autopsy Recuperação de Arquivos Excluídos
  12. 12. © 2009 Marcelo Lau Cuidados na recuperação de arquivos  Utilize ferramentas que evitam adulteração de sua evidência:  Alterando características do arquivo.  Alterando características do sistema de arquivos.  Gerando saídas (logs) sobre sua evidência.  Teste em laboratório sua ferramenta antes de sair em campo. Nunca use uma ferramenta desconhecida pela primeira vez sobre a evidência do seu cliente. Recuperação de Arquivos Excluídos
  13. 13. © 2009 Marcelo Lau Prática em laboratório - I  Realize análise sobre a evidência disponível no dia da aula (arquivo imagem no formato dd e dados de hash em arquivo no formato txt)  Visualize o conteúdo da evidência e recupere os conteúdos disponíveis que foram eliminados:  Arquivos.  Pastas.  Demais fragmentos que possam ser considerados relevantes em sua investigação. Recuperação de Arquivos Excluídos
  14. 14. © 2009 Marcelo Lau Prática em laboratório - II  Cada grupo deve gerar uma imagem de um pen drive eliminando previamente algumas informações para que o outro grupo tenha a oportunidade de recuperá- las.  P.S. - Tome cuidado em não expor dados pessoais a outras pessoas e/ou a outro grupo. Recuperação de Arquivos Excluídos
  15. 15. © 2009 Marcelo Lau Referências adicionais para estudo  Bibliografia Data Security (http://www.datasecurity.com.br) em:  Análise de vulnerabilidade.  Forense Computacional.  Biometria.  Segurança em Sistemas Operacionais  Ameaças aos sistemas computacionais,  E muito mais... Recuperação de Arquivos Excluídos

×