Estudo de caso de análise forense de arquivos apagados em área não alocada da memória

Autores

  • Marcelo Cirilo de Souza Instituto de Criminalística, Superintendência de Polícia Técnico-Científica, São Paulo (SP), Brasil

Palavras-chave:

computação forense, file carving, recuperação de dados

Resumo

Em análise computacional forense é necessário buscar vestígios em todas as partições do disco analisado. Contudo, muitas vezes as evidências foram apagadas previamente ou por que já se passou muito tempo e o usuário não necessitava mais daquele arquivo ou na tentativa de ocultar provas. Sendo assim, este artigo demonstra na prática como é feito o estudo e análise de arquivos apagados e que se encontram na área não alocada do disco não volátil (HDD, SSD, etc.) dos dispositivos de memória. Para se fazer tal análise foi feita uma breve revisão sobre algoritmos hash, para buscas de arquivos através de valores de hashes conhecidos, assim como foi feita uma análise de cabeçalhos em hexadecimal para que fosse possível determinar qual o tipo de arquivo em questão, qual o tamanho do arquivo original e qual origem de tais arquivos antes da sua exclusão. Para que fosse feita uma pratica alcançável para todos os usuários foram utilizados softwares forenses gratuitos Guymager, para criação de imagens, e Autopsy para análise dos dados recuperados. Apesar de haver programas gratuitos e comerciais para análise forense, a interpretação dos dados se faz necessária e se mostrou capaz de recuperar e identificar arquivos que haviam sidos previamente apagados da memória, mesmo que tivessem sidos parcialmente sobrescritos.

Biografia do Autor

Marcelo Cirilo de Souza, Instituto de Criminalística, Superintendência de Polícia Técnico-Científica, São Paulo (SP), Brasil

Graduado em Engenharia Química (UNICAMP).
Graduando em Engenharia da Computação (UNIVESP).
Mestrando pelo IME (USP).
Perito Criminal no Estado de São Paulo desde 2017, realizando exames e análises no âmbito da Criminalística, relacionados à crimes cibernéticos. Análise forense de computadores e celulares. Investigação digital.

Referências

Darnowski, F., & Chojnacki, A. (2015). Selected Methods of File Carving and Analysis of Digital Storage Media in Computer Forensics. TELEINFORMATICS REVIEW, pp. 26-27.

Gary, P. (2001). A Road Map for Digital Forensic Research. Utica, NY: DFRWS.

Kessler, G. (09 de dezembro de 2022). File signatures table. Fonte: GCK'S FILE SIGNATURES TABLE: https://www.garykessler.net/library/file_sigs.html

Llamas, J. M. (2019). Analisis and Design of Digital Forensics and Incident Response Procedure. Madri: Universidad Politécnica de Madrid.

Rountree, D. (23 de setembro de 2011). 2 - Cryptography. Security for Microsoft Windows System Administrators, pp. 29-69.

Wu, W. (05 de janeiro de 2023). CISSP PRACTICE QUESTIONS – 20211124. Fonte: https://wentzwu.com/2021/11/24/cissp-practice-questions-20211124/

Downloads

Publicado

2024-04-30

Como Citar

DE SOUZA, M. C. Estudo de caso de análise forense de arquivos apagados em área não alocada da memória. Revista Brasileira em Tecnologia da Informação, [S. l.], v. 5, n. 2, p. 66 - 78, 2024. Disponível em: https://fateccampinas.com.br/rbti/index.php/fatec/article/view/95. Acesso em: 14 ago. 2024.

Edição

v. 5 n. 2 (2023): RBTI

Seção

Artigos

Licença

Copyright (c) 2023 Revista Brasileira em Tecnologia da Informação

Creative Commons License

Este trabalho está licenciado sob uma licença Creative Commons Attribution-NonCommercial 4.0 International License.

A Revista Brasileira em Tecnologia da Informação utiliza a licença do Creative Commons (CC), preservando assim, a integridade dos artigos em ambiente de acesso aberto.