CENTRO UNIVERSITÁRIO DE JOÃO PESSOA – UNIPÊ



Informática Forense: clonagem de sistema de arquivos NTFS usando a ferramenta ntfscloneCOORDENA??O DE INFORM?TICAIFPB – Campus PicuíAcesso Rodovia PB 151, s/n?., Cenecista, Picuí/PB CEP: 58187-000 MINIST?RIO DA EDUCA??OINSTITUTO FEDERAL DE EDUCA??O, CI?NCIA E TECNOLOGIA DA PARA?BA CAMPUS PICU?CURSO T?CNICOUELISON DA COSTA DANTASINFORM?TICA FORENSE: CLONAGEM DE SISTEMA DE ARQUIVOS NTFS USANDO A FERRAMENTA NTFSCLONE.PICU?-PBFEVEREIRO / 2014UELISON DA COSTA DANTASINFORM?TICA FORENSE: CLONAGEM DE SISTEMA DE ARQUIVOS NTFS USANDO A FERRAMENTA NTFSCLONE.Monografia apresentada como pré-requisito para conclus?o do Curso Técnico Manuten??o e Suporte em Informática.Orientador:Prof. M. Sc. Jo?o Ricardo Freire de Melo.PICU?-PBFEVEREIRO / 2014UELISON DA COSTA DANTASINFORM?TICA FORENSE: CLONAGEM DE SISTEMA DE ARQUIVOS NTFS USANDO A FERRAMENTA NTFSCLONE.Monografia apresentada como pré-requisito para conclus?o do Curso Técnico Manuten??o e Suporte em Informática, apreciada pela Banca Examinadora composta pelos seguintes membros:____________________________________________Prof. M. Sc. Jo?o Ricardo Freire de MeloOrientador____________________________________________Prof. Esp. Anderson Bráulio Nóbrega da SilvaProf. M.Sc. Ant?nio Carlos Buriti da Costa FilhoProf. D.Sc. Edvaldo da Silva PiresProf. M.Sc. Pablo Andrey Arruda de AraújoExaminadorSITUA??O:( ) APROVADO( ) REPROVADODATA: DD/MM/2014AGRADECIMENTOSAgrade?o primeiramente a Deus, por me conceder a for?a necessária para a conclus?o do curso e do presente trabalho.Agrade?o também ao meu professor, Jo?o Ricardo Freire de Melo, ao qual tenho um imenso carinho, n?o apenas acadêmico, mas enquanto pessoa e amigo que considero, por toda a dedica??o, paciência e competência que teve na orienta??o da elabora??o deste trabalho.A todos os professores e funcionários do instituto Federal de Educa??o Ciência e Tecnologia da Paraíba - Campus Picuí Aos meus familiares, em especial, ao meu pai e a minha m?e, por estarem ao meu lado em momentos críticos, onde o apoio que me foi cedido pelos tais foi essencial para o meu sucesso até o exato momento.N?o poderia deixar de agradecer a todos os meus amigos que tiveram e tem um papel muito importante, n?o apenas nesta etapa, mas, em todas as áreas da minha vida.RESUMOA crescente massa de usuários dos meios tecnológicos possibilitou a cria??o de uma nova espécie de crimes, eles s?o chamados de “cibercrimes”. Esse tipo de crime torna-se mais complexo a cada dia que passa, pois, diferente dos crimes comuns que utilizam meios já familiarizados pelas autoridades, os crimes cibernéticos est?o em constante mudan?a devido a grande diversidade tecnológica que cresce a cada dia. ? para contribuir na resolu??o desses crimes que existe uma área específica da informática voltada para a coleta, análise, preserva??o, identifica??o e valida??o das evidências, que é a informática forense. Ela conta com técnicas, profissionais específicos, e até mesmo ferramentas próprias do ramo. A ferramenta a qual iremos apresentar neste trabalho é a “Ntfsclone”, ela é uma ferramenta do pacote FDTK, que é um software livre voltado para o ramo da informática forense que contém várias ferramentas dessa área, ele foi criado a partir da distribui??o Linux, Ubuntu. Ela é usada para clonar sistemas de arquivo NTFS. Em um processo de análise das evidências é crucial para a obten??o de bons resultados, que os objetos analisados n?o sofram altera??es e é justamente nessa perspectiva que o “ntfsclone” atua, ele clona o sistema de arquivo do disco rígido por completo, sendo assim, as altera??es efetivadas posteriores a clonagem, podem ser revertidas usando o clone do sistema de arquivo. PALAVRAS-CHAVE: Informática Forense, clonagem, Sistema de arquivo NTFS e Ntfsclone. ABSTRACTThe growing mass of users of technological means possible to create a new kind of crime, they are called "cybercrime". This type of crime becomes more complex with each passing day because, unlike ordinary crimes using means already familiar authorities, cyber crimes are constantly changing due to the great technological diversity that grows every day. It is to help in solving these crimes that there is a specific area of computer science focused on the collection, analysis, preservation, identification and validation of evidence, which is the computer forensics. It relies on techniques, specific professionals, and even own tools Branch. The tool which we will present in this work is the "ntfsclone", it is a tool FDTK package, which is a free software aimed at the field of computer forensics containing various tools in this area, it was created from the Linux distribution Ubuntu. It is used to clone NTFS file systems. In a process of analysis of the evidence is crucial to obtain good results, we analyzed the objects remains unchanged and it is precisely this perspective that the "ntfsclone" acts, it clones the file system of the hard drive completely, so changes effected subsequent cloning, can be reversed using the clone file system. KEYWORDS: Computer forensics, cloning, NTFS file system and ntfscloneLISTA DE ILUSTRA??ESFigura 01 – Exemplo de um formulário de cadeia de custódia.................................................15Figura 02 – Parte interna do disco rígido..................................................................................20Figura 03 – Divis?o do disco rígido em trilhas e setores..........................................................21Figura 04 – Inicializa??o do FDTK..........................................................................................27Figura 05 – ?rea de trabalho do FDTK....................................................................................28Figura 06 – Caminho para acessar o editor de parti??es...........................................................29Figura 07 – Editor de parti??es.................................................................................................29 Figura 08 – Caminho para criar uma nova parti??o..................................................................30Figura 09 – Configura??o da nova parti??o..............................................................................30Figura 10 – Aplicando as opera??es da nova parti??o..............................................................31Figura 11 – Caminho que dar acesso a ferramenta “Ntfsclone”...............................................32Figura 12 – Abas de orienta??o do “Ntfsclone”.......................................................................32Figura 13 – Terminal do “Ntfsclone”.......................................................................................33Figura 14 – Comandos de prepara??o para a clonagem do sistema NTFS...............................33Figura 15 – Comando para clonar o sistema de arquivo NTFS................................................34Figura 16 – Clonagem executada com sucesso.........................................................................35Figura 17 – Comando complementar........................................................................................35SUM?RIO TOC \o "1-3" \h \z \u 1introdu??o PAGEREF _Toc382327015 \h 102INFORM?TICA FORENSE PAGEREF _Toc382327016 \h 112.1Computador e a internet PAGEREF _Toc382327017 \h 112.2Cibercrimes PAGEREF _Toc382327018 \h 122.3Perito Digital PAGEREF _Toc382327019 \h 122.4Metodologias PAGEREF _Toc382327020 \h 133sistemas de arquivos PAGEREF _Toc382327021 \h 193.1Funcionamento do Disco rígido PAGEREF _Toc382327022 \h 193.2Sistemas de arquivos do Windows PAGEREF _Toc382327023 \h 213.2.1FAT PAGEREF _Toc382327024 \h 213.2.2NTFS PAGEREF _Toc382327025 \h 243.3Recupera??o no sistema de arquivos PAGEREF _Toc382327026 \h 254ntfsclone PAGEREF _Toc382327027 \h 264.1FDTK PAGEREF _Toc382327028 \h 264.2USANDO O NTFSCLONER PAGEREF _Toc382327029 \h 275conclus?o PAGEREF _Toc382327030 \h 37referências PAGEREF _Toc382327031 \h 38introdu??oA populariza??o dos dispositivos eletr?nicos, fez com que esses se integrassem a vida cotidiana da humanidade. Escola, trabalho, lazer, os dispositivos est?o presentes em todas as áreas, de forma até que n?o seria exagero dizer que sem os mesmos seria impossível manter o mesmo ritmo de vida que temos hoje. Esses aparelhos possibilitam a integra??o de seus usuários à rede mundial, a qual interliga bilh?es de pessoas. Essa interliga??o proporcionou o aumento e a cria??o de novos crimes, que s?o mais complexos quanto à análise e identifica??o da origem.As vítimas deste tipo de crime s?o as mais variadas possíveis, mas, principalmente pessoas que fazem uso dessas tecnologias sem nenhuma preocupa??o com a sua seguran?a, o que é bom do ponto de vista dos criminosos que geralmente disp?em de um bom nível de conhecimento podendo causar danos de diversos tipos, principalmente financeiros. Outro alvo dos criminosos s?o as empresas que trabalham com sistemas em rede.A informática forense tem como fun??o analisar, coletar, interpretar, preservar, validar, identificar, documentar e apresentar evidências com validade probatórias em juízo.E para conseguir o objetivo almejado, a informática faz uso de técnicas e ferramentas próprias, s?o inúmeras ferramentas que comp?e o processo de análise, cada etapa exige o uso de uma ferramenta com especifica??es bem definidas.Esse trabalho tem como objetivo apresentar o ramo informática forense fazendo uso de tecnologias para análise e identifica??o de crimes, mais especificamente, mostrar o objetivo e o uso da ferramenta “Ntfsclone”, a qual será exposta detalhadamente a RM?TICA FORENSEA computa??o forense é uma ciência direcionada a executar opera??es como, adquirir, analisar, recuperar e preservar dados que foram computados eletronicamente.A sua fun??o é fazer a vistoria de evidências computacionais, seja em mídias físicas ou em arquivos processados eletronicamente em algum momento. No caso dos crimes cometidos por computadores a apura??o geralmente é de dados em arquivos, lógicos e virtuais, sendo fun??o do perito identificar, armazenar, preservar e analisar o putador e a internetO computador foi criado com a inten??o inicial de fazer cálculos, mais especificamente para calcular a trajetória de projéteis para o laboratório de balística do exercito americano, com o tempo ele foi se desenvolvendo e ganhado aplica??es em outras áreas. No período da guerra fria a corrida tecnológica era intensa, principalmente entre a Rússia e o EUA. Em meio a essa corrida, a Rússia mandou ao espa?o o primeiro satélite artificial, em rea??o E.U.A criou a ARPA (advanced Research and projects Agency – Agencia de pesquisas em projetos avan?ados), a ARPA criou em 1969 a primeira rede de computadores denominada de ARPANET. Com pouco tempo o fluxo de mensagens pessoais na rede aumentou, eram milhares, e isso alavancou o desenvolvimento dos utilitários da rede, por isso foi necessário a divis?o desta rede em duas a MILNET, que seria responsável pela comunica??o das bases militares, e a atual ARPANET, que seria destinadas a pesquisas em universidades, desde come?ou a se pensar em uma rede internacional, que interligasse computadores, que estivessem geograficamente muito distantes. Depois de certo tempo a ARPANET foi substituída pela NSFNET, que ficou popular com o nome de internet.A amplia??o dos servi?os de rede veio com a cria??o de Tim Berners-Lee, do WWW (word wide web) e com a cria??o do protocolo TCP (protocolo de controle de transmiss?o), na verdade a diversidade de protocolos era um dos problemas pelos quais as redes de computadores n?o conseguiam se comunicar entre si. Com pouco tempo o TCP virou padr?o nas redes, possibilitando assim a comunica??o entre redes distintas, desde ent?o a internet passou a ser um dos meios de comunica??o mais utilizado em todo o a vasta utiliza??o, para inúmeros fins, a internet se fez necessária em várias áreas, pelos seus notáveis benefícios ela foi infiltrando-se cada vez mais em empresas, escolas, bibliotecas e em diversos outros ambientes.O termo utilizado para esse “ambiente virtual” é ciberespa?o, nele as pessoas trocam informa??es, difundem ideias, marcam encontros e desperdi?am uma boa parte do seu tempo conectados a rede, alguns usuário sequer tem preocupa??o quanto ao horário de acesso, chegando a passar noites em claro acessando. CibercrimesA quantidade de dados que viajam pelo ciberespa?o é enorme, os dados v?o desde os insignificantes até os mais pessoais, por esse motivo a internet tornou-se alvo de destaque no mundo do crime, a disponibilidade desses dados pode fazer com que eles caiam em m?os erradas.O Cibercrimes concretiza-se na obten??o de algum dado pessoal sem a autoriza??o de seu dono.Há uma grande variedade quanto à nomenclatura desse tipo de crime, como crime digital, crime virtual, webcrime, entre outras, todas expressam o mesmo sentido, que é a classifica??o do crime em um ambiente virtual.Perito DigitalUm perito é um profissional com um grande conhecimento e habilidade específica em uma área da ciência, no caso da ciência forense digital. Ele é responsável por averiguar os fatos e as circunst?ncias de um delito a fim de esclarecer um caso, fazendo ele o uso de métodos que possibilitem o estudo de forma coordenada e coerente.Os peritos quando acionados, atuam em C?rtes e tribunais, o que faz com que a sua responsabilidade seja imensa, ele tem que ser claro quanto à apura??o dos dados, pois um erro seu poderá resultam em uma condena??o injusta.A perícia digital existe com o objetivo de auxiliar no solucionamento de crimes digitais estando totalmente ligada a seguran?a da informa??o.MetodologiasNo ramo da ciência forense existe um princípio chamado Troca de Locard, foi criado pelo cientista Edmon Locard que diz: “em um contato entre dois indivíduos haverá uma permuta”, ou seja, no contato entre o criminoso e o ambiente haverá uma troca de elementos, o criminoso levará o objeto roubado, porém deixará no local do crime vestígios de si mesmo e esses vestígios por menores que sejam s?o elementos cruciais para que o perito possa levantar as hipóteses e posteriores evidências do caso.Em outubro de 1999, foi realizada na cidade de Londres a International Hi-Tech Crime and Forense Conferense (IHCFC), na oportunidade foram mostrados alguns padr?es de metodologias, a serem usadas pelos profissionais forenses, essas metodologias tinham em comum a proposta do alto nível de qualifica??o da análise e do profissional forense que iria executa-lo, a fim de afirmar a confiabilidade do exame. Com o foco voltado para o desenvolvimento de um padr?o metodológico, foi proposto a cria??o do Standard Operating Procedures (SOPs), no qual iria conter procedimentos e técnicas aceitas na comunidade científica internacional.N?o é a fun??o deste trabalho, detalhar esses padr?es, porém, eles s?o importantes, pois, expressam as configura??es referentes aos procedimentos usados em análises no ramo da informática forense.Quanto às evidências, elas podem se apresentar de várias formas, um computador é um aparelho eletr?nico formado por vários dispositivos que podem conter muitas informa??es, seja em arquivos multimídia, lista de usuários, disco rígido, banco de dados, internet, e-mail eletr?nico, teclas pressionadas, processos executados, lembretes, dígitos, histórico de navega??o do browser, planilhas, arquivos de texto e entre outros. Ao se tratar de uma investiga??o, nada pode ser descartado inicialmente. O endere?o MAC de uma placa de rede pode, por exemplo, comprovar a que houve comunica??o entre dois computadores, o armazenamento das chamadas de um celular pode mostrar o início e dura??o da chamada e assim por diante. A coleta de informa??es tem que ser feita com muita cautela, tendo cuidado para que nada se perca nenhum vestígio do criminoso pode ser ignorado.O departamento de justi?a dos estados unidos elaborou um documento que descreve as técnicas aplicadas à análise do ambiente do crime, no qual se baseiam-se também os profissionais atuantes da perícia Brasileira (regras a seguir). Ao chegar ao local para apurar pistas, os profissionais devem inicialmente deixa-lo como foi encontrado e evitar o contato com qualquer coisa, deixar tudo em seu estado inicial é a primeira das preocupa??es que tem que ter, pois em uma simples liga??o de um computador muitos dados s?o alterados, por exemplo, um login, a hora e outros dados do ultimo acesso. ? preciso que o resultado do exame seja fruto de uma análise do objeto ou do local com o estado tal qual foi encontrado. A descri??o do local deve ser feita cumprindo as regras da perícia local.? necessário que seja feito um registro do local antes que se tenha qualquer a??o, o registro deve conter fotos do local inteiro, vídeos mostrando todo o ambiente, deve haver um detalhamento rigoroso, especificando coisas como: estado do computador, estado do monitor, posi??o do mouse em rela??o ao teclado, periféricos conectados ao computador, informa??es que n?o est?o no computador (anota??es de senhas, contas de usuários, cadernos, fotografias, documentos, softwares entre outros), ou seja, todas as evidências, sejam elas eletr?nicas ou n?o, devem ser armazenadas com cuidado, preservadas e analisadas. Após a coleta de informa??es sobre o estado do local tal qual foi achado, existem procedimentos específicos para cada caso, por exemplo, ao detectar um computador ligado e que ele n?o esteja em rede com outro computador, primeiro se deve olhar se o monitor esta ligado, desligado, se estiver ligado, verifica-se se ele esta em stand-by ou com algum tipo de prote??o de tela, após fotografar e anotar seu estado inicial, é necessário mover o mouse vagarosamente observado a rea??o do computador, o que pode ocorrer é a tela principal do sistema operacional aparecer, apresentar os processos que estavam sendo executados, pedir uma senha ou até mesmo nada ocorrer. Com os dados em m?o o que tem a ser feito é puxar o cabo de for?a da CPU, n?o se deve ser executado nenhum comando para desligar a máquina para que o estado inicial dela seja preservado inclusive o estado dos programas que estavam sendo executados, os disquetes devem ser retirados, porém, CD’s, DVD’s e drivers ópticos n?o devem ser retirados, as entradas do CPU que n?o estiverem em uso devem ser lacradas com fita adesiva para evitar interferência em seus contatos. No caso de notebook vale salientar que ele disp?e de fonte de energia, o que se faz necessário a retirada da bateria, além de retirar o recarregado. No caso de terem vários computadores no mesmo local é possível a existência de rede, se ela realmente existir, recomenda-se a análise de profissionais habilitados na área específica para orientar a remo??o e evitar ao máximo a perda de qualquer dado.Provavelmente no ambiente do crime, muitos dispositivos eletr?nicos poder?o ser encontrados, porém, só poder?o ser operados em caso de emergência, pois, muitos dispositivos como, celulares, cart?es de memória, pen drivers, roteadores, c?meras digitais e outros mais, podem sofrer a perda de seus arquivos se n?o forem manuseados de forma correta. Os dispositivos ou mídia magnética devem ser postos em embalagens anti-estáticas, n?o é viável conduzir esse tipo de material em uma embalagem qualquer, visto que o mesmo pode produzir energia estática.Para o transporte, todas as evidências precisam ser embaladas, n?o é indicado transporta-las por tempo prolongado, fatores como: calor, frio, umidade e vibra??es podem danifica-o já citado acima Todas as informa??es e materiais coletadas, deverá ser descrito em um documento pelo profissional competente. Para isso é necessário o conhecimento técnico que há de possibilitar uma boa e correta descri??o dos equipamentos, assegurando a cadeia de custódia. Figura 1 – Exemplo de um formulário de cadeia de custódia10096512065 Fonte: cadeia de custódia tem que conter os dados dos objetos tal qual foram encontrados, sem nenhuma altera??o.As fontes de evidências podem ser muitas dependendo do caso, porém, no presente trabalho será dado destaque as fontes que s?o encontradas em um computador.Uma das maiores, se n?o a maior fonte que um profissional forense computacional pode ter é o sistema de arquivos do computador, todos os dados devem ser examinados e identificados para que seja possível descobrir a sua fun??o no sistema investigado. Os espa?os n?o alocados e espa?os com arquivos excluídos do dispositivo de armazenamento tem que ter uma aten??o especial, pois, podem conter evidências de a??es ilegais.Outra fonte de extrema import?ncia s?o arquivos do tipo log. A fun??o desse tipo de arquivo é guardar um registro detalhado dos processos executados em um sistema operacional ou em um programa. Data, hora, local de execu??o do processo, dados alterados, esses s?o alguns dos conteúdos de um registro log. Um navegador web guarda em seu log, por exemplo, a hora, a data e o endere?o de todos os sites visitados.O boot é outro tipo de fonte, ele tem a fun??o de inicializar o sistema operacional quando o computador é ligado, carrega os drivers dos dispositivos e os programas necessários para a inicializa??o, investigando o Boot, é possível identificar as rotinas do computador e os programas que s?o iniciados, se houver algum processo malicioso iniciando junto com o Boot o mesmo poderá ser detectado.Os periféricos de um computador pode armazenar temporariamente ou n?o um arquivo, eles podem conter informa??es importantes sobre seu usuário ou sobre o próprio computador.Quanto às técnicas, Existem muitas delas específicas para análise no ramo da computa??o forense, a seguir apresentaremos algumas:Criptografia e CriptoanáliseA origem da palavra criptografia é grega kryptós, que significa escondido, e gráphein que significa escrita. Sendo assim, o ato de criptografar uma mensagem, é o mesmo que transformá-la, por meio de algoritmo, em outra que seja ilegível para um receptor que n?o saiba interpreta-la ou descriptografa-la. A criptoanálise decifra a mensagem mesmo que n?o conhe?a a chave utilizada para criar a informa??o codificada.O estudo da criptografia n?o se limita apenas ao campo forense, ele é muito extenso, os profissionais dessa área s?o chamados de criptólogo ou criptoanalista.? dever do perito computacional, ter um bom conhecimento nessa área, visto que, no mundo do crime existem muitas pessoas que tem um vasto conhecimento de tecnologia, por isso, é necessário que o profissional esteja sempre atualizado e atento as novas técnicas de criptografia que v?o surgindo. EsteganografiaEsteganografia é a pesquisa e utiliza??o de técnicas que permitem escrever e ocultar mensagens dentro de imagens ou de outras mensagens, essa palavra também tem origem grega e significa “escrita encoberta”. Sua origem é antiga. Existe uma história clássica, que conta que um homem chamado Histiaeus, raspou a cabe?a, para gravar em sua nuca uma mensagem e depois deixou o cabelo crescer para escondê-la. As aplica??es da esteganografia s?o muitas dentre as tais, as mais utilizadas s?o as:- Verifica??o de marca d’agua em papeis e em outros casos que é preciso se prevenir de tentativa de falsifica??o;- Manejamento de informa??es confidenciais;Ela também pode ser utilizada em textos, vídeos, áudio e até em pacotes do protocolo TCP/IP. A criptografia e a esteganografia andam de m?os dadas, a diferen?a é que a esteganografia n?o chama muito aten??o, por ser uma imagem, vídeo ou até mesmo uma lista telef?nica comum que esconde uma mensagem cujo formato n?o atrai muita aten??o. Já a criptografia por ser um texto cifrado acaba sempre por chamar a aten??o.Estegoanálise é o nome dado à área da pesquisa, detec??o e tratamento de pacotes esteganografados, geralmente a técnica de análise consiste na compara??o do arquivo alterado com o arquivo original. A varia??o da taxa de compress?o do arquivo pode ser um caso de esteganografia, os erros de compress?o s?o considerados lugares muito bons para se esteganografar uma mensagem. Contanto, a alta compress?o reduz o número de dados disponíveis para esconder a “carga ultil”, aumentando a densidade de dados cifrados e facilitando assim a detec??o.Para a análise é necessário que o perito tenha o conhecimento de formatos de imagens para a avalia??o de tamanho em disco. Existem vários softwares que permitem a grava??o e a detec??o de mensagens de textos em imagens, nos quais podemos citar o Stegdetect, Stego Watch e Camouflage.WipeRefere-se a uma técnica que na verdade é anti-forense. Quando se solicita a exclus?o de um dado, o sistema operacional marca aquele espa?o como livre para a utiliza??o, o que possibilita ao dado a sua recupera??o. Essa técnica sobrescreve várias vezes o espa?o do disco que alocava o arquivo, evitando assim a recupera??o do dado. Quanto mais vezes forem executadas a técnicas, menos chance se tem de recuperar o dado.Data Hiding? um dos métodos mais utilizados hoje em dia, ele consiste no armazenamento de informa??es em espa?os n?o convencionados do sistema como: o setor Swap, espa?os n?o alocados do sistema e segmentos marcados com BadBlocks.Embora ferramentas sejam indispensáveis nas análises e exames periciais, é crucial que o perito disponha de um bom conhecimento científico e tecnológico. N?o adianta apenas saber usar as ferramentas, também é preciso o conhecimento do assunto que esta sendo analisado.MD5 Cheker – integridade dos arquivosUma técnica muito utilizada para manter a integridade dos arquivos e ao mesmo tempo garantir a confiabilidade do exame, é a aplica??o Hash, trata-se de um processo, onde s?o criadas combina??es de letras e números que condizem somente ao arquivo analisado, para se garantir identidade da informa??o é gerada uma chave, no conteúdo copiado é executado um programa com a mesma chave, pelo fato de n?o ocorrer mudan?as no arquivo hash, a integridade do arquivo é garantida. Um utilitário que possibilita essa técnica é o MD5 Checker. Basta selecionar o arquivo e a ferramenta cria um código.sistemas de arquivosPodemos conceituar um sistema de arquivo como um conjunto de estruturas lógicas e de rotinas que possibilitam o controle do acesso ao disco rígido através do sistema operacional. A complexidade do sistema de arquivos é proporcional a o número de acesso e a capacidade de armazenamento dos discos rígidos, por isso existe uma notável diversidade de sistemas de arquivos. ? impossível fazer uso de um disco rígido ou de qualquer outra unidade de armazenamento mantendo os dados acessíveis e organizados sem usar um sistema de arquivos, pois, essa é uma fun??o específica do mesmo, ele é responsável por determinar onde e como ser?o gravados, modificados, nomeados/renomeados os arquivos e a forma sequencial com a qual eles ser?o lidos, ou seja, toda a movimenta??o com dados em uma unidade de armazenamento necessita de um sistema de arquivo, para possibilitar essa movimenta??o de dados, caso contrário os dados n?o passariam de um monte de bits aglomerados em um hardware sem nenhum proveito.Existe uma grande diversidade de sistemas de arquivos, que vai desde os que s?o usados em aplica??es simples como um cart?o de memória, até os que organizam aplica??es complexas como um servidor de internet, que geralmente exige do sistema um nível muito maior de organiza??o e de seguran?a das informa??o nele contida.Funcionamento do Disco rígidoN?o há como falar em sistema de arquivo e n?o falar em disco rígido, visto que, a atua??o do sistema de arquivo acontece no mesmo.O disco rígido é um dispositivo de funcionamento mec?nico e executa uma fun??o essencial para o funcionamento do computador, o armazenamento permanente dos dados. Pelo fato de o disco rígido ser um dispositivo de funcionamento mec?nico e bastante sensível, grande parte dos usuários tem receio quanto a seguran?a de suas informa??es, porém, apesar dessa característica, a maioria dos discos rígidos de uso normal, s?o usados e substituídos sem apresentar nenhum problema físico.Basicamente o disco rígido é dividido em duas partes: a mec?nica e a eletr?nica. A mec?nica coleta os dados armazenados e os encaminha a parte eletr?nica que irá decodifica-los e encaminha-los ao bus do sistema.Dentro da parte física do disco rígido encontramos pratos (geralmente feitos de alumínio) que s?o cobertos por um material magnético e expandidas com partículas de metal que s?o sensíveis ao magnetismo, os dados s?o gravados nos pratos através das varia??es no campo magnético das partículas de metal. Temos também as cabe?as que s?o os componentes responsáveis pela leitura e grava??o nos discos, elas ficam em uma posi??o acima dos discos, porém sem os tocar, a press?o do ar gerada pela rota??o dos pratos impossibilita o contato propriamente dito entre o disco e as cabe?as.3810211455Figura 2: Parte interna do disco rígido Fonte: o disco rígido é dividido em trilhas e setores, isso se dá para facilitar o processo de organiza??o dos dados que ser?o lidos e gravados no disco. As trilhas, nada mais s?o que, círculos que variam de tamanho conforme a sua proximidade do cilindro presente no centro dos discos, as trilhas recebem numera??o que vai de 0 até o número máximo de trilhas do disco. As trilhas se dividem ainda em setores, que s?o pequenas partes da trilha que tem a capacidade de 512 bytes.Figura 3: Divis?o do disco rígido em trilhas e setores.23685578740Fonte: conhecimento dessas divis?es é de extrema import?ncia para entender o funcionamento de um sistema de arquivos.Sistemas de arquivos do WindowsO Windows é um sistema operacional privado. Nele encontramos três tipos de sistemas de arquivos, que s?o eles: FAT16, FAT32 e NTFS.Os sistemas de arquivos foram evoluindo com o passar do tempo, na história dos computadores é essencial que o software acompanhe o desenvolvimento do hardware, caso contrário, n?o faria nenhuma diferen?a se a evolu??o acontecesse de forma individual, visto que, ambos trabalham em conjunto.FATO FAT é um dos padr?es mais antigos, ele foi lan?ado por volta de 1997 com o objetivo de rodar no sistema operacional MS-DOS, porém ele perdurou até o Windows 95. FAT é a abrevia??o de File Allocation Table (tabela de aloca??o de arquivos).Esse sistema tem como base de seu funcionamento tabelas, que designam o usuário ao local onde est?o contidos os dados dos arquivos, a necessidade dessa estrutura dar-se pelo fato de o espa?o designado ao armazenamento estar fragmentado em blocos, sendo que um arquivo pode ocupar vário desses blocos, porém, nem sempre essa ocupa??o ocorre de forma sequencial, os blocos que contém o conteúdo de um arquivo podem perfeitamente ocupar lugares distintos do espa?o de armazenamento, o que torna necessário o uso da tabela para “guiar” a localiza??o dos a evolu??o das unidades de armazenamento foi necessário que fosse feita uma “manuten??o” no sistema de arquivo para que ele pudesse acompanhar o desempenho e a capacidade do hardware, essa “manuten??o” tinha como objetivo retirar as restri??es que limitavam o sistema de arquivo FAT, ela ficou conhecida como FAT12 e FAT16. Antes da “manuten??o”, em alguns casos era necessário dividir a capacidade de armazenamento em parti??es para que fosse possível fazer uso de toda a capacidade, por exemplo, o FAT16 só trabalha com no máximo 2Gigabits, dessa forma, para que fosse possível usa-lo em uma unidade de 5 Gigabits era necessário dividir a unidade em três parti??es, duas de 2gigabits e uma de 1Gigabits, caso contrário, n?o haveria como fazer uso de toda a unidade.Tendo em vista a diminui??o dessas dificuldades a Microsoft apresentou em 1996 o FAT32, ele foi usado em microcomputadores que utilizava o sistema operacional Windows 95 (vers?o OSR 2), Windows 98 e ainda apresentava compatibilidade com sistemas subsequentes como, Windows XP e o Windows 200.Partindo do ponto de vista de que um disco rígido é dividido em trilhas e as trilhas em setores, cada setor geralmente dispondo da capacidade de 512 bytes, é cabível deduzir que o sistema FAT realize processos de modo direto nos setores, porém, a realiza??o dos processos é um pouco mais complexa.O FAT trabalha com cluster (unidade de aloca??o), que s?o grupos de setores que contem tamanhos uniformes, ou seja, os tamanhos dos clusters de uma unidade de armazenamento n?o podem variar. No sistema FAT 16 o cluster pode tem a op??o de ter as seguintes capacidades por cluster: 2KB, 4KB, 8KB, 16KB e 32KB.Os arquivos armazenados na unidade de armazenamento (disco rígido) pode fazer uso de quantos clusters forem necessários para a grava??o de seus dados, por exemplo, um arquivo de 74KB pode gravar seus dados em cinco clusters de 16KB, dessa forma, irá restar um pouco de espa?o em um dos clusters, porém, esse espa?o n?o poderá ser utilizado por outro dado, pois, apenas um único arquivo pode utilizar um cluster por vez, uma vez que sobrar espa?o, ele ficará sem utilidade, pelo menos enquanto parte do cluster estiver sendo utilizado por outro arquivo, Identificamos assim, um dos principais (se n?o o principal) problemas do sistema de arquivo FAT, o desperdício de espa?o. A capacidade dos clusters é configurada na instala??o do sistema operacional, mais especificamente, na parte de formata??o do disco rígido.FAT16Usa 16 bits para endere?ar os dados, isso quer dizer que, esse sistema tem aptid?o para trabalhar com no máximo 65536 (2 elevado a 16) clusters. Como o número máximo de clusters é 65536 e a capacidade máxima de 32KB, conclui-se ent?o que o sistema de arquivo FAT16 suporta a capacidade de até 2Gigabites por disco rígido ou por parti??o, o cálculo é feito da seguinte forma 65536 x 32 = 2.097.152 Kb ou 2Gigabites.FAT32Usa 32 bits para endere?ar os dados, isso quer dizer que, esse sistema tem aptid?o para trabalhar com até 2terabytes, minimizando assim, um dos problemas do FAT16 que é a pouca capacidade de armazenamento por parti??o. No sistema FAT16 o tamanho do cluster tinha que aumentar conforme a capacidade do disco rígido, já no FAT 32, além de ele oferecer suporte a discos com maior capacidade de armazenamento, os tamanhos dos clusters diminuíram, proporcionando assim a diminui??o da perda de espa?o, que também era um problema do FAT16.Considerando que a capacidade máxima do FAT32 é de 2TB, a forma pra calcular a capacidade do sistema, muda um pouco. Se fizermos o calculo anterior iremos perceber que pelo cálculo a capacidade é bem maior que 2TB (2 elevado a 32, multiplica o resultado pelo tamanho máximo do cluster, 32, teríamos ent?o o resultado de 128 TB), porém, n?o é o que acontece na prática. Isso acontece por dois motivos: 1? Apesar de cada endere?amento ter o tamanho de 32 bits, no FAT32, a maior quantidade possível de clusters é calculada com 28 bits apenas, sendo assim, o cálculo seria: 2 elevado a 28, pegando esse resultado e multiplicaria ele por 32, chegaríamos a um total de 8TB, que apesar de estar mais próximo de 2TB, ainda apresenta uma considerável diferen?a em sua capacidade.Segundo a empresa desenvolvedora do sistema FAT32, a Microsoft, considerou o 2 elevado a 32 como número dos setores e n?o o número de clusters, visto que, se acontecesse o contrário, a grade capacidade do sistema poderia apresentar problema na etapa do boot, pela sua limita??o. Sendo assim o cálculo correto é feito da seguinte forma, 2 elevado a 32 multiplicado por 0,5, que dá um resultado de 2.147.483.648KB ou 2 TB.NTFSO sistema de arquivo NTFS é Hoje o sistema de arquivo mais utilizado nos sistemas operacionais da Microsoft, ele foi estreado em 1993, pelo sistema operacional Windows NT, que era um sistema para o foi visto anteriormente, antes do NTFS, a Microsoft possuía o sistema FAT, que apresentava um bom desempenho para uso doméstico, porém, limitava a produ??o de novos projetos por uma série de características, como por exemplo, a quantidade de espa?o inutilizado por se ter um cluster com um tamanho grande se comparado a alguns restos de arquivos.O NTFS n?o foi feito apenas pela Microsoft, a empresa utilizou como fundamento o HPFS (High Performance File System), que é um sistemas da empresa IBM. Isso foi resultado de uma parceria entre essas empresas, por volta de 1980, ambas fizeram um acordo para juntas, desenvolver um sistema chamado OS/2, seria um sistema de ponta para época, o mesmo teria destaque pela sua eficácia na parte gráfica do sistema. Porém com o passar do tempo a Microsoft e a IBM tiveram vários desentendimentos, o que resultou na ruptura da parceria. Após o término da parceria, a IBM continuou o trabalho com o OS/2 e a Microsoft com o Windows NT. Durante o tempo da parceria a Microsoft teve acesso aos sistemas que seriam utilizados no OS/2 e um desses sistemas era o HPFS, o qual posteriormente serviu de base para o NTFS.A boa aceita??o do NTFS no mercado se deu pelas suas boas especifica??es em rela??o a sistemas anteriores, a recupera??o de dados, por exemplo, é uma de suas características, o desligamento inesperado de um computador, pode resultar na perda de dados, porém, o sistema de arquivos NTFS consegue fazer com que os dados voltem ao seu estado inicial, isso se dá pelo fato de o NTFS consultar um arquivo de log que registra as opera??es efetuadas e identifica partes com problemáticas do sistema durante o boot, além disso, o NTFS suporta redund?ncias.Alguns sistemas de arquivos renomados, tem destaque em rela??o a seguran?a de seus dados, por implementarem em seu sistema a gerência das permiss?es de acesso, com diversas categorias, para os diversos usuários, assim, é possível controlar quem e como irá acessar os arquivos. A possibilidade de trabalha com disco rígido de alta capacidade de armazenamento mantendo um bom desempenho, também é uma característica importante desse sistema.Diferente dos sistemas FAT16 e FAT32 que usam respectivamente 16 e 32 bits, o sistema de arquivo NTFS usa 64 bits de endere?amento. A capacidade máxima de um cluster é de 64 KB, usando a capacidade máxima de um cluster, o NTFS tem a possibilidade dar suporte a uma unidade de armazenamento de até 256 TB.Recupera??o no sistema de arquivosComo citado acima uma das preocupa??es primordiais de um perito é a integridade de um dado, por isso ele deve ter um bom conhecimento sobre o remanejamento de dados e sobre a estrutura de um disco rígido, a fim de diminuir a possibilidade de perda de dados. Existem vários sistemas de arquivos, porém, iremos destacar aqui apenas dois, o FAT32 e o NTFS, esses dois s?o os sistemas de arquivos mais utilizados.Há casos em que com o objetivo de n?o deixar suspeitas, o criminoso apaga os arquivos do disco rígido, ficando na responsabilidade do perito restaura-los, existem várias ferramentas para a recupera??o de arquivos apagados do disco rígido, mas, a maioria delas exigem um certo nível de conhecimento sobre o assunto, as ferramentas que n?o exigem tanto conhecimento assim, n?o tem a mesma eficiência das outras.N?o s?o todos os arquivos que s?o passíveis de recupera??o, s?o vários os fatores que influenciam na recupera??o de um arquivo, por exemplo, a data de exclus?o, o tamanho do arquivo, o tipo e entre outros fatores. Dentre essas ferramentas podemos citar o Norton Go BackTM, PC Inspector File Recovery, Easy Recovery e Active File Recovery.O EnCase é um tipo de KIT, ele consiste em um software muito utilizado por agências do governo, polícia, fisco investiga??es e corporativas dos estados unidos, é uma das ferramentas preferidas dos peritos, pelo fato de n?o ter características invasivas, assegurar a integridade dos dados e proporcionar relatórios minuciosamente detalhados.ntfscloneO “Ntfsclone” ferramenta é uma das mais de 100 ferramentas do FDTK e ela tem o objetivo de clonar sistemas de arquivos NTFS de um computador. Uma das exigências primordiais para a análise das evidências é a integridade dos objetos que ser?o analisados, apesar de o perito ter total liberdade de manuseio do objeto a ser analisado, é preciso que o excesso de contato com tal seja evitado, visto que, isso poderia ocasionar na altera??o dos objetos e consequentemente a altera??o das evidências.Por sua vez, a ferramenta NTFSCLONER tem uma fun??o muito importante no processo de análise dos dados, uma vez clonado o sistema de arquivo de um disco rígido por completo, o perito n?o tem a necessidade de manuseia a todo o momento a unidade de armazenamento, pois, a imagem oferecida pelo NTFSCLONER suprirá todas as necessidades do perito quanto aos dados e arquivos armazenados no disco rígido. FDTKO FDTK é fruto de um trabalho de conclus?o de curso. Paulo NeuKamp é o criador e mantém até hoje o software que criou, o FDTK. Estudou na faculdade Unisinos, ao terminar o seu curso fez estudos na área da computa??o forense, porém os estudos era apenas uma das etapas do seu projeto, o maior desafio era colocar o conhecimento adquirido em prática, e foi com essa finalidade inicial que nasceu a distribui??o Linux específica para a área da perícia forense, o FDTK. FDTK é uma abrevia??o para “Forense Digital ToolKit”, ele é uma distribui??o Linux criado a partir de uma das distribui??es mais conhecidas, o Unbuntu. Ele é a jun??o de mais de 100 ferramentas, as quais podem perfeitamente suprir todas as necessidades de um processo de investiga??o forense em todas as suas etapas. A sua instala??o é facultativa, pois, ele permite ser usado como LiveCd, sendo assim, o seu usuário tem a possibilidade tanto de instalar e ter uma esta??o forense ao seu dispor, como salvar a sua imagem em um Cd e usa-lo normalmente sem instalar. Outra característica marcante do FDTK é a sua interface de fácil manuseio, ao acessar alguma ferramenta do programa, junto com a interface da ferramenta abrem automaticamente algumas abas de auxílio ao usuário, que tem conteúdo como comandos, orienta??es de manuseio, entre outras dicas. Além de tudo isso, o FDTK pode ser encontrado facilmente na vers?o em português do Brasil, o que irá facilitar mais ainda o seu o qualquer outro software do ramo da informática forense o FDTK n?o pode sozinho oferecer provas incontestáveis diante de um processo, pois, essa n?o é a fun??o do mesmo, o software é apenas uma das etapas do processo da análise forense, as provas e evidências devem ser fruto de uma boa análise e de uma perícia justa e muito bem documentada.O FDTK é um software livre como todas as outras distribui??es Linux e o seu download pode ser realizado através do link: O NTFSCLONERA primeira coisa a se fazer é baixar a imagem do FDTK no site do mesmo e grava-la em um CD, o CD será o responsável por dar boot no sistema. Após grava??o da imagem, coloque o CD no driver óptico e reinicie o computador. Após dar o boot pelo CD o computador irá apresentar em sua tela a imagem que segue abaixo.230505188595 Figura 04: inicializa??o do FDTKNesta tela inicial do programa temos algumas op??es, as mais importantes s?o: a op??o “testar o Ubuntu sem qualquer mudan?a no seu computador” (a primeira op??o) e a op??o “Instalar Ubuntu” (a segunda op??o). Na primeira op??o o programa pode ser utilizado sem a instala??o, já na segunda op??o, o programa será instalado na máo o objetivo deste trabalho n?o é criar uma esta??o forense, a op??o que iremos utilizar é a Primeira op??o.147955209550 Figura 05: ?rea de trabalho do FDTKApós escolher a op??o teste, temos ent?o o acesso ao terminal do FDTK, com as categorias de ferramentas, aplicativos, especifica??es do sistema e etc. Porém, de todas as op??es de acesso que temos nesse terminal, as que de fato ir?o nos interessar para usar a ferramenta NTFSCLONE s?o duas das que temos no lado esquerdo superior da tela, “Locais” e “Sistemas”, com essas duas op??es faremos uso das ferramentas necessárias para clonar o sistema de arquivo.Agora para dar continuidade a clonagem é necessário criar um destino para a imagem que será gerada pelo programa. Vejamos o que fazer para criar um local para armazenamento da imagem.132715176530 Figura 06: caminho para acessar o editor de parti??esIremos criar uma nova parti??o e usa-la como local de armazenamento da imagem, para isso é necessário acessar o editor de parti??es do FDTK, a figura acima mostra o caminho para ter acesso ao mesmo. Sistema > Administra??o > Editor de parti??es.110490179705 Figura 07: Editor de parti??esA figura 7, mostra o terminal do editor de parti??es, nessa ferramenta podemos observar os detalhes das parti??es do HD e fazer algumas modifica??es no mesmo. A parti??o com cor verde corresponde ao sistema NTFS o qual iremos clonar, a parte cinza é uma parte do HD que esta livre, ou seja, pode ser usado para outra finalidade (neste caso, usaremos para criar a parti??o para armazenar a imagem criada pelo programa). Agora iremos criar a parti??o.177165236855 Figura 08: caminho para criar uma nova parti??oPara criar uma nova parti??o iremos clicar com o bot?o direito do mouse na faixa que corresponde ao espa?o livre (n?o alocado) do HD, ao clicar, uma nova aba com novas op??es será aberta, nesta aba acessaremos a op??o “Novo”.177165185420 Figura 09: configura??o da nova parti??oComo mostrado na figura 09, Para criar uma nova parti??o, a ferramenta apresenta uma série de especifica??es que s?o escolhidas pelo usuário, s?o elas:- Tamanho mínimo (8 MB) e máximo (8793): refere-se ao intervalo de capacidade que o usuário pode escolher, - Criar como: Nessa op??o é indicado usar a especifica??o “parti??o primária”, em alguns casos, existe a op??o “parti??o lógica”, que pode também servir como escolha, porém, n?o é a ideal.- Sistema de arquivos: é uma das especifica??es mais importantes no processo de cria??o de uma parti??o, pois, é nesta op??o que podemos especificar o tipo de sistema operacional que poderá abrir o arquivo. Neste caso, foi escolhido o sistema de arquivos “ext3”, por se tratar de um sistema que oferece um relevante nível de seguran?a aos arquivos. - Rótulo: Trata-se apenas do nome dado a parti??o, ele é importante para facilitar a identifica??o da parti??o no disco rígido.Após concluir as especifica??es clique em “Adicionar”.156210185420 Figura 10: Aplicando as opera??es da nova parti??oA seguinte tela se apresentará ao clicar em “Adicionar”, aí já podemos observar as duas parti??es, a que já tinha antes e a que foi criada, ambas com suas especifica??es. Após completar o processo de cria??o da parti??o é necessário aplica-lo ao sistema, para que a parti??o funcione corretamente. Para aplicar é só clicar em “editar” e “Aplicar todas as opera??es”.Bom, criada a parti??o, vamos ao ponto principal deste trabalho, agora iremos trabalhar direto com a ferramenta ntfsclone.186690201930 Figura 11: Caminho que dar acesso a ferramenta “Ntfsclone”A figura 11 mostra o caminho para a ferramenta que usaremos nesse processo, “Aplicativos”, “Forense digital”, “Exame de dados”, “Parti??es NTFS” e “ntfsclone”. Junto com a tela para digita??o dos comandos abrirá algumas telas de ajuda.186690175895 Figura 12: Abas de orienta??o do “Ntfsclone” As abas de ajuda, s?o auxiliares, servem apenas para orientar usuários que n?o est?o acostumados a usar o terminal, por isso, a fechamos para usar o terminal.177165196215 Figura 13: Terminal do “Ntfsclone”Temos na figura acima o terminal pronto para acesso, podemos ent?o come?ar a usar os comandos que dar?o continuidade ao processo de clonagem do sistema de arquivo NTFS.135255182245 Figura 14: comandos de prepara??o para a clonagem do sistema NTFSNa figura 14, foram executados dois comandos, foram eles o:Sudo –i: tem a fun??o de ceder ao usuário o acesso direto ao Root ou administrador, dessa forma, o usuátio tem permiss?o para executar os comandos necessários para essa opera??o;Mount /dev/sda2 /mnt: O “mount” montará o dispositivo “/dev/sda2” que no caso é a parti??o que criamos para guardar o clone do sistema de arquivo. Com o dispositivo montado, iremos executar o comando que de fato irá clonar o sistema de arquivo.158115188595 Figura 15: comando para clonar o sistema de arquivo NTFS Ntfsclone -s –o /mnt/winxp_completo.img /dev/sda1, esse é o principal comando para esse processo, pois, se trata do comando que irá clonar a parti??o. Ntfsclone -s -o é o comando que clona as parti??es, /mnt é o caminho para onde irá ser enviado o clone, ou seja, é a parti??o que criamos e que esta montada dentro do /mnt, /winxp_completo.img é o nome que por padr?o deve ser um nome (escolhido pelo usuário) seguido por ponto e as siglas img, o final /dev/sda1 é a origem, ou seja, é o lugar de onde será tirado o clone.156210180340 Figura 16: Clonagem executada com sucessoA figura 16 mostra que o processo foi completado com sucesso, após a execu??o do comando anteriormente citado é dessa forma que o terminal deve ficar, agora o clone já foi criado e estar guardado na parti??o EXT3.145415189865 Figura 17: Comando complementar Para completar o processo digite no terminal o comando: dd if=/dev/das of=/mnt/backup.mbr bs=512 count=64 (assim como é mostrado na figura 17), após digitar, aperte “Enter” para executar, esse comando irá criar um backup da estrutura do HD, sendo assim se houver algum problema e o disco rígido perder as parti??es, fazendo uso desse backup o usuário irá conseguir restaura-lo.conclus?o? perceptível que o ramo da informática forense cresce a cada dia que se passa, talvez n?o tanto de forma proporcional aos crimes, pois os criminosos sempre acham algum espa?o para efetuar as suas ilegalidades, mesmo assim a evolu??o das técnicas e ferramentas forenses é visível.A partir desse trabalho concluo que todas as evidências encontradas em um caso de um crime cibernético s?o de extrema import?ncia para o esclarecimento do mesmo, por menores e insignificantes que ela pare?a, pois, os cibercrimes s?o de uma resolu??o complexa, e exigem uma análise agu?ada.A ferramenta “Ntfsclone” desempenha um papel de considerável import?ncia para a informática forense, a mesma tem a fun??o ampla de contribuir na apura??o clara das evidências e proporciona ao perito certa liberdade de manuseia o objeto analisado, pois, como já foi visto acima, caso haja alguma altera??o (intenciona ou n?o) no objeto, o clone do sistema de arquivos pode restaurar o estado inicial do mesmo.O campo da informática forense ainda precisa crescer bastante, visto que, enquanto escrevo esse TCC (trabalho de conclus?o de curso), novas tecnologias e novas técnicas est?o sendo criadas seja para contribuir ou para dificultar (no caso de técnicas criminosas) o trabalho dos peritos. referênciasALECRIM, Emerson. Sistemas de arquivos NTFS. Dispovível em: < ;. Acesso em 10 de Fevereiro de 2014.BUSTAMANTE, L. Computa??o Forense: Novo campo de atua??o do profissional de informática disponível em: <, Luis Fernando Laguardia. Curso Técnico de Eletr?nica – Eletr?nica IV: Estrutura de um Disco Rígido. Disponível em: <;. Acesso em 18 de fevereiro de 2014.ELEUT?RIO, P.M.S.; MACHADO, M.P. Desvendando a Computa??o Forense. S?o Paulo: Novatec, 2011.ERICO, Meneses Le?o. Sistemas Operacionais. Disponível em: <;. Acesso em 10 de Janeiro de 2014.FIGUEIREDO, Jorge Ramos. Análise Forense Computacional. 4? ed. Ceará: Acadepol, 2008.FLORES, Giancarlo Vargas. Clonando uma Parti??o Windows com o NTFSCLONE no Ubuntu. Disponível em: < ;. Acesso em 23 de fevereiro de 2014.GOLDMAN, Alfredo. Computa??o Forense. Disponivel em: <;. Acesso em 15 de outubro de 2013.HUDSON, Andrew. NTFS: Um Sistema de Arquivos com Integridade e Complexidade. Disponível em: < ;. Acesso em 15 de Fevereiro de 2014.MAR?LIA, Vieira Ribeiro. Informática Forense. Taquaritinga: Fatec TQ, 2012.NEUKAMP, Paulo. Mini Curso Forense Digital. Disponível em: < ;. Acesso em 23 de fevereiro de 2014.NEUKAMP, Paulo.FDTK-UbuntuBR – Forense Digital ToolKit. Disponível em: < ;. Acesso em 23 de fevereiro de 2014.TACIO, Paulo. Linux Forense em Português – Brasil. Disponível em: < ;. Acesso em 15 de Fevereiro de 2014.TORRES, Gabriel. Sistema de Arquivo. Disponível em: < ;. Acesso em 12 de Fevereiro de 2014. ................
................

In order to avoid copyright disputes, this page is only a partial summary.

Google Online Preview   Download