Forense Computacional em Memria Principal

Antnio Pires de Castro Jnior, Bruno Lopes Lisita, Thiago Silva Machado de Moura e Tiago Jorge Pinto, FATESG/SENAI

ResumoA percia em sistemas computacionais comumente praticada apenas em discos rgidos e outros dispositivos de armazenamento no voltil. Entretanto, evidncias podem ser encontradas na memria principal de um computador, como programas e processos sendo executados, alm de arquivos que no esto protegidos por senhas ou criptografia como nos discos rgidos. Pela caracterstica da memria principal ser voltil torna-se um lugar desprezado pela maioria dos peritos, pois geralmente o computador j fora reiniciado ou mesmo desligado. Este trabalho acadmico de final de curso de ps-graduao em Segurana da Informao, prova que, mesmo aps a interrupo de energia, possvel encontrar vestgios de dados antigos contidos na memria RAM, seguindo os procedimentos corretos, como tempo, temperatura e programas especficos. Desta forma, podemos concluir no final deste trabalho em laboratrio, que a memria principal (RAM) no to voltil e abre possibilidades de coleta de evidncias em lugar desprezado pela maioria dos peritos em Forense Computacional. Palavras-chaveForense Computacional, memria principal, percia forense, segurana de computadores e coleta de evidncias.

Objetiva-se, neste trabalho, provar que possvel coletar dados/evidncias da memria principal (RAM) mesmo aps a mquina ter sido desligada, provando que a memria principal no to voltil, permitindo encontrar dados dependendo do tempo e tcnicas utilizadas. Tem-se a inteno, tambm, de verificar qual a relao da temperatura com a capacidade de manter a informao em memria principal.

II. FORENSE COMPUTACIONAL A Forense Computacional o ramo da criminalstica que envolve a aquisio, preservao, restaurao e anlise de evidncias computacionais, tanto em elementos fsicos, como em dados que foram processados eletronicamente e armazenados em mdias computacionais. O propsito de um exame forense a extrao de informaes de qualquer vestgio relacionado com o caso investigado, permitindo a formulao de concluses sobre a denncia feita. Existem duas abordagens no que diz respeito ao objetivo final da anlise forense, uma a anlise buscando obter informaes de valor probante, coerentes com as regras e leis sobre evidncias, sendo admissveis em uma corte de justia, para serem utilizadas em um processo criminal. A outra abordagem o exame realizado dentro de uma empresa com o objetivo de determinar a causa de um incidente e assegurar que as medidas disciplinares sejam aplicadas aos verdadeiros responsveis [13]. A. Evidncia Digital Na cincia forense existe o chamado Princpio da Troca de Locard [13], o qual diz que qualquer um ou qualquer coisa que entra num local de um crime, leva consigo algo do local e deixa alguma coisa para trs quando vai embora. Na rea computacional, este princpio tambm vlido, mas nem sempre se pode determinar que um pedao de dado foi derivado de um crime ou retirar esses vestgios de modo a serem analisados de maneira eficaz, de acordo com as ferramentas atuais. O termo evidncia digital atribudo a toda e qualquer informao digital capaz de determinar que uma intruso aconteceu, ou que fornea alguma ligao entre o delito e as vtimas ou entre o delito e o atacante. A evidncia digital no deixa de ser um tipo de evidncia fsica, embora seja menos tangvel. Ela composta de campos magnticos, campos eltricos e pulsos eletrnicos que podem ser coletados e analisados atravs de tcnicas e ferramentas

I. INTRODUO TUALMENTE, os computadores esto cada vez mais presentes nas aes cotidianas, como comprar algum produto ou efetuar pagamentos de contas, e em questes mais pessoais, como um meio para conversar ou fazer anotaes e registros da vida real. Como em todas as reas, existem pessoas que fazem uso dos sistemas computacionais para a prtica de atos ilcitos. Com isso, torna-se necessrio utilizar tcnicas de cincia forense computacional para investigar crimes que foram cometidos utilizando equipamentos e sistemas computacionais, tanto para crimes digitais, como para crimes que no foram cometidos atravs deles. A forense computacional tem a funo de provar que um crime foi praticado atravs de recursos computacionais, de forma que os resultados obtidos na percia tcnica no gerem dvidas quanto a sua integridade e no repdio, bem como coletar evidncias para ajudar em investigaes e/ou processos judiciais. A crescente onda de crimes cometidos atravs de computadores se d, dentre muitos casos, pelo fato das pessoas ainda serem leigas no que diz respeito segurana de sistemas computacionais e informaes, alm de pensarem que a Internet garante o anonimato, que se pode fazer qualquer coisa, e que no ser punido no mundo real.

apropriadas. Entretanto, a evidncia digital possui algumas caractersticas prprias [13]:

Ela pode ser duplicada com exatido, permitindo a preservao da evidncia original durante a anlise; Com os mtodos apropriados, relativamente fcil determinar se uma evidncia digital foi modificada; A evidncia digital extremamente voltil, podendo ser facilmente alterada durante o processo de anlise.

uma seqncia de eventos pode ser estabelecida e comparada com as outras evidncias encontradas na mquina comprometida. Existem vrios programas que podem ser usados para capturar o trfego de rede, comumente denominados de sniffers, que alm de capturar os datagramas que trafegam na rede, podem decodific-los e exibi-los em um formato mais legvel, ou, ainda, executar operaes mais complexas como reconstruo de sesso e recuperao de arquivos transferidos pela rede [10]. Estado do Sistema Operacional Informaes relacionadas com o estado do sistema operacional podem fornecer pistas importantes quanto existncia, tipo e origem de um ataque em andamento. Tais informaes representam uma imagem do sistema operacional em um determinado instante (processos em execuo, conexes de rede estabelecidas, usurios logados, tabelas e caches mantidas pelo sistema) e geralmente so perdidas quando o sistema desligado.[13] Coletar informaes acerca dos usurios logados no sistema, do estado das interfaces de rede e contedo das tabelas podem evidenciar um ataque ou alguma atividade incomum, como por exemplo, a existncia de um possvel sniffer no sistema, ou identificar uma alterao da tabela de rotas. Mdulos de Kernel O ncleo do sistema (kernel) contm as funcionalidades bsicas para o funcionamento do sistema operacional. Os ncleos anteriormente eram monolticos, ou seja, para adicionar ou retirar uma funcionalidade era necessrio compilao e instalao do novo kernel, alm da necessidade de reiniciar o equipamento para o novo kernel entrar em uso. Para minimizar esse processo, pensou-se em permitir adicionar ou retirar recursos em tempo real, criando, ento, os mdulos de kernel. Esta vantagem tambm pode ser um problema para os sistemas operacionais, pois, uma vez invadido, o atacante pode carregar um mdulo de kernel malicioso, com o propsito de esconder suas atividades das ferramentas de preveno e auditoria do sistema, interceptar comandos do sistema e produzir resultados falsos. Dispositivos de Armazenagem Secundria O disco representa a maior fonte de informao para o exame forense computacional, e em cada poro dele, por menor que seja, onde se possa ler e/ou escrever um conjunto de bits, representa uma possvel fonte de informao para a anlise forense. Determinadas reas do disco no so acessveis atravs de um sistema de arquivos e podem conter informaes que um atacante pode manter escondidas ou, ainda, vestgios que o mesmo tentou apagar. Com isso, podem ser classificadas as informaes armazenadas em disco em duas classes: as acessveis pelo sistema de arquivos (os arquivos propriamente ditos e seus atributos) e as informaes armazenadas em reas no acessveis atravs do sistema de arquivos (espaos no alocados ou marcados como danificados, por exemplo). Alm disso, reas do dispositivo de armazenagem podem conter informaes deletadas. Quando um arquivo

Toda informao relevante deve ser coletada em uma varredura meticulosa para anlise, respeitando dois princpios bsicos, o da autenticidade, onde se deve garantir a origem dos dados, e o da confiabilidade, que assegura que os dados so confiveis e livres de erros. Conforme as evidncias digitais so encontradas, elas devem ser extradas, restauradas quando necessrio (caso estejam danificadas ou cifradas), documentadas e devidamente preservadas. Em seguida, as evidncias encontradas devem ser correlacionadas, permitindo a reconstruo dos eventos relacionados ao delito. Muitas vezes na anlise das evidncias, ao correlacionar e reconstruir os passos, promove-se a descoberta de novas informaes, formando um ciclo no processo de anlise forense.[13] As principais fontes de informao de um sistema computacional so apresentadas a seguir, na ordem da maior volatilidade para a menor. Dispositivos de Armazenagem da Unidade Central de Processamento (CPU) As informaes contidas nos registradores de uma CPU so de mnima utilidade e sua captura impraticvel. As caches podem conter informaes que ainda no foram atualizadas na memria principal do sistema, mas estes dados no possuem nenhum valor de prova pericial por conter apenas clculos em linguagem de mquinas impossveis de serem traduzidos em informaes com garantia. Memria de Perifricos Muitos dispositivos, como modems, placas de vdeo, aparelhos de fax e impressoras, contm dados residentes nas suas memrias que podem ser acessados e salvos. Esses dados podem ser informaes que no mais residem no sistema analisado, como gravaes de voz, documentos e mensagens de texto ou nmeros de telefone e fax. Memria Principal do Sistema A memria principal contm todo tipo de informao voltil, como, por exemplo, informaes de processos que esto em execuo, dados que esto sendo manipulados e ainda no foram salvos no disco, e informaes do sistema operacional, isto inclui informaes em texto pleno que, em disco, esto cifradas. Os chamados crash dump contm uma imagem da memria do sistema no momento em que uma falha inesperada acontece (denominada de crash). Trfego de Rede A partir de datagramas capturados, possvel reconstruir a comunicao entre o atacante e a mquina alvo, de modo que

apagado, sua referncia removida das estruturas do sistema de arquivos, entretanto, os dados contidos no arquivo no so apagados do disco. Tais dados permanecem no disco indefinidamente, at que sejam sobrescritos por outros arquivos. Sendo assim, arquivos completos ou pores menores podem ser recuperados aps terem sido apagados e parcialmente sobrescritos. Alm de se obter informaes sobre a configurao do disco, importante efetuar a imagem bit a bit do dispositivo. Este tipo de imagem diferente de uma cpia normal de arquivos, pois todo contedo do disco ser copiado, incluindo os espaos no utilizados.[13] B. Fases de Uma Percia Forense Computacional Algumas fases para realizar uma percia forense computacional foram definidas no documento Anlise Forense de Intruses em Sistemas Computacionais: Tcnicas, Procedimentos e Ferramentas em [13]. As fases so, basicamente:

Consideraes e Inteligncias Preliminares; Planejamento; Coleta, Autenticao, Documentao e Preservao de Material Para Anlise; Anlise; Reconstruo dos Eventos

III. A LEGISLAO BRASILEIRA E O PERITO EM FORENSE COMPUTACIONAL A legislao brasileira, disponente sobre crimes digitais, ainda trabalha por meio de jurisprudncia, ou seja, no se tem uma lei especfica ditando formas e tipos de crimes, e nem qual deve ser a punio. Os juzes julgam os criminosos correlacionando os delitos com artigos do Cdigo Penal atual, como, por exemplo, crimes de roubo ou de injria e difamao. Assim, as penas dos crimes variam bastante em intensidade, pois muitos juzes no possuem auxlio de um bom profissional na rea de informtica ou mesmo de um perito computacional que possa revelar a ele os verdadeiros danos causados pelo criminoso. E, se utilizando da jurisprudncia, muitos advogados recorrem nos processos apresentando outros casos em que a pena pelo mesmo tipo de crime foi mais branda, ou mesmo que o caso fora encerrado. O perito em forense computacional segue a mesma legislao que peritos de outras reas, assim como so definidas formas de como uma prova pericial se torna vlida diante de um julgamento. E, para evitar punies previstas em lei ao perito, tem-se que tomar o mximo de cuidado para manusear o material periciado para que no contamine as evidncias e, tambm, possibilitar que uma segunda percia seja possvel, caso solicitado. Segundo a legislao, para ser um perito em um processo, a pessoa tem que ter curso superior especfico na rea tcnica ou cientfica, com conhecimento tcnico-formal, ser idnea e hbil. Esto impedidas de periciar as pessoas que no possuem

capacidade para atos da vida civil, nem conhecimento tcnico especfico suficiente, pessoas que so: parte; testemunha; cnjuge ou qualquer outro parente, em linha reta ou colateral at o 3 grau, no processo (Cdigo de Processo Civil, art. 134) e nos casos de suspeio, como: o amigo ntimo ou inimigo capital de uma das partes (CPC, art. 135). Mais informaes sobre as leis atuais e jurisprudncias relacionadas informtica podem ser encontradas no documento Ferramentas para anlise forense aplicada Informtica em [10]. Existe um novo projeto de lei em tramitao na Cmara dos Deputados em Braslia, n 89/03, de autoria do Senador Eduardo Azeredo, que visa estabelecer regras e punies para aes efetuadas atravs da computao, inclusive definindo delitos amplamente praticados na Internet. O referido possibilitar atualizar a legislao brasileira para ser mais clara e especfica nas questes de crimes relacionados a sistemas eletrnicos, digitais e similares, e praticados contra dispositivos de comunicao e sistemas informatizados e similares, alm de rede de computadores. O projeto de lei especifica tambm deveres de fornecedores de servios para que auxiliem nas investigaes e identificao de criminosos que utilizaram dos servios das mesmas para cometer infraes. Com isso, ser mais fcil para o perito identificar em qual crime uma infrao relacionada, e aes que antes no eram vistas como crimes propriamente ditos passaro a ser. Entretanto, este projeto deve ser devidamente analisado para se adequar realidade brasileira, no criminalizando situaes corriqueiras, alm de prever todas as situaes que a tecnologia mundial oferece s pessoas, para que a lei no caia em desuso ou no seja to abrangente, de forma a tornar esttico o desenvolvimento de idias pelo fato de no se saber se est cometendo um crime ou no. O profissional que atua na rea de forense computacional pode ser chamado de perito ou investigador.

IV. FORENSE EM MEMRIA PRINCIPAL Grande parte dos trabalhos sobre forense computacional ainda se prende anlise de dados obtidos a partir do sistema de arquivos em dispositivos secundrios. Essa escolha se explica por fatores como a maior facilidade para se isolar a "cena do crime" e a maior disponibilidade de ferramentas para este tipo de anlise. Nesta situao o trabalho do perito, no ambiente alvo de percia, se restringe inicialmente a garantir o isolamento lgico dos equipamentos, evitando aes internas ou externas que possam alterar ou eliminar evidncias. Partindo do pressuposto de que possa haver tentativas de alterar ou eliminar evidncias usando comandos pela rede, ou mesmo "armadilhas" no prprio sistema, acionadas por determinadas aes, o mais seguro era simplesmente parar os sistemas, interrompendo diretamente o fornecimento eltrico ao equipamento, evitando processos normais de "shutdown", que tambm poderiam ter sido modificados para eliminar evidncias em situaes especficas. O prximo passo se resumia a recolher todos os dispositivos de armazenamento e gerar imagens para posterior anlise.

Entretanto, bvio que ao ignorar os dados volteis no processo de coleta de evidncias, se perdem muitas informaes importantes em um processo de anlise forense, tais como: processos em execuo, estados de conexes, portas TCP/UDP abertas, dados de programas em execuo na memria, filas de conexes, contedos de buffers, senhas digitadas, chaves de arquivos criptografados que estavam em uso, entre outros. Alguns desses dados podem ser importantes at mesmo para possibilitar a anlise de dados do sistema de arquivos. A. A Memria Principal (RAM) A memria RAM, sigla para Random Access Memory (Memria de Acesso Aleatrio), a responsvel por armazenar informaes para acesso rpido do processador.[6] Como seu prprio nome j diz, a memria RAM tem como principal caracterstica permitir o acesso direto a qualquer um dos endereos disponveis, e essa caracterstica que a faz ser mais rpida do que, por exemplo, um HD (Hard Disk), diminuindo o tempo de resposta para o processador, j que trabalha com taxas de transferncias de dados muito superiores. Quando um programa executado, ele lido da mdia de armazenamento (HD, Pen Drive, etc...), e ento transferido para a memria RAM. O processador busca todas as informaes necessrias para a execuo daquele programa diretamente da memria. Este tipo de memria possui a desvantagem de que, por ser uma memria do tipo voltil, quando a mquina desligada, todos os dados contidos nela so perdidos. O tipo mais usual de memria encontrada a memria DRAM, Dynamic RAM (Memria de Acesso Aleatrio Dinmico). A memria DRAM comeou a ser mais utilizada a partir do final da dcada de 70, substituindo a memria SRAM, Static RAM (Memria de Acesso Aleatrio Esttico), pois esta possua um alto preo por ser bem mais elaborada, apresentando uma densidade menor e com isso um tempo menor de acesso. Com o passar do tempo a memria DRAM tornou-se padro, ficando conhecida pela maioria dos usurios apenas pela sigla RAM, mas a memria SRAM ainda utilizada pelos processadores em seu cache interno.[6] Funcionamento da Memria Os chips de memria RAM so bem simples, possuindo inmeros transistores, e para cada transistor um capacitor. Quando um capacitor esta carregado eletricamente, temos um bit "1" e quando esta descarregado, temos um bit "0". Os transistores so responsveis pela verificao de qual bit est armazenado em seu capacitor e pelo envio dessa informao ao controlador de memria. A memria RAM considerada voltil devido ao fato do capacitor perder rapidamente sua carga e, desta forma, perder toda informao ali contida.[11] As memrias utilizadas, hoje em dia, so altamente confiveis, isso se deve ao fato dos sistemas possuirem um contador de memria que responsvel por verificar erros no momento em que o sistema inicia. Para a verificao de erros utilizado o mtodo conhecido como paridade.

Encapsulamentos de Memria Podemos destacar quatro tipos de encapsulamentos principais de memria utilizados em computadores pessoais: DIP, SIPP, SIMM e DIMM [3]. Dentre eles, o mais utilizado o encapsulamento conhecido como DIMM. A memria DIMM (Double In Line Memory Module), recebe este nome devido ao fato de possuir contatos nos dois lados do mdulo, diferente de seus antecessores que possuam contatos em apenas um lado. Esta memria possui trs formatos, sendo os mais antigos os mdulos de memria SDR SDRAM de 168 vias, logo aps veio o mdulo de memria DDR SDRAM, que possui 184 vias e, em seguida o mdulo DDR2 SDRAM, que possui 240 vias. Maiores detalhes destes trs formatos de memria podem ser encontrados no documento Forense Computacional em Memria Principal em [18]. B. Interferncia da Temperatura Sobre o Armazenamento da Memria Como visto anteriormente, os dados na memria so armazenados em capacitores. Capacitor um dispositivo eletro-eletrnico que serve para armazenar energia eltrica no campo eltrico existente no seu interior [12]. Na memria principal, quando o capacitor est carregado, temos o bit 1 e quando est descarregado temos o bit 0. Quando um mdulo de memria desligado, a energia armazenada nos capacitores esgotada, da o motivo da volatilidade da memria principal, todavia, os capacitores possuem uma caracterstica importante, sua capacitncia (capacidade de armazenamento eltrico) sofre grande influncia da temperatura. A capacitncia de um capacitor elevada com o aumento da temperatura, ou seja, a capacidade de manter a energia armazenada aumenta com o aumento da temperatura, da mesma forma que a capacitncia diminui com a diminuio da temperatura.[9] Este fato ocorre devido constante dieltrica dos componentes do capacitor que aumenta (com a elevao da temperatura) ou diminui (com a reduo da temperatura). Em geral, o comportamento da capacitncia com relao temperatura especificado pelo prprio fabricante. A temperatura tambm influencia na vida til de um capacitor, por exemplo, um mdulo de memria possui uma vida til estimada de 1 a 5 anos de uso contnuo, essa vida til pode ser aumentada em 100%, simplesmente, abaixando a temperatura interna da mquina em 10 C.[5] C. Ferramentas Para Anlise de Evidncias Conforme retromencionado, na parte de coleta de evidncias, para realizar um trabalho de forense extremamente importante que se tenha em mos um conjunto de ferramentas apropriadas. Isto envolve softwares e dispositivos de hardware que venham a ser necessrios. O profissional ou equipe responsvel deve ter familiaridade com o material, devendo ser devidamente testadas e preparadas as ferramentas para evitar situaes indesejadas.

O Aplicativo DD O comando dd um aplicativo comumente encontrado em sistemas Unix e Linux, mas tambm possui verses disponveis para Windows. O dd capaz de fazer cpias bit-abit, de dispositivos de bloco, criando um espelhamento perfeito de parties, discos ou arquivos. Sua sintaxe bsica de uso : dd if=origem of=destino Algumas opes disponveis para uso em conjunto com o comando dd:

International Corporation. Ele capaz de capturar imagens da memria RAM em sistemas operacionais Windows. O Live CD do Helix, anteriormente citado, contm tambm uma cpia deste programa. Sintaxe de linha de comando para utilizao do mdd: mdd -o arquivo-de-saida O Comando Strings O comando strings capaz de varrer um arquivo binrio, extraindo de seu contedo seqncias de caracteres que podem ser impressos com letras do alfabeto e smbolos utilizados na computao. Sua sada traz as strings j em formato ASCII ou UNICODE. Sintaxe do comando strings: strings arquivo-binrio

bs: Tamanho do bloco; ibs: Tamanho do bloco de entrada; obs: Tamanho do bloco de sada; count: Nmero de blocos a copiar; skip: Nmero de blocos a pular no incio da origem; seek: Nmero de blocos a pular no incio do destino; conv: Converso.

V. ESTUDO DE CASO O trabalho de forense computacional realizado, em sua maioria, em memria secundria (HD, CD, DVD, Pen drive, etc...), e no atribudo muito valor memria principal, devido a sua volatilidade. Sendo assim, muito se perde em qualidade em uma investigao forense computacional. Portanto, seria de grande valor se o contedo da memria RAM pudesse ser recuperado mesmo aps o desligamento do equipamento. O conceito amplamente divulgado o de que, aps a interrupo do fornecimento de energia, todo o contedo de memria RAM perdido, mas sabe-se que os bits so armazenados por capacitores dentro das clulas de memria e que, quando interrompida a energizao externa de um capacitor, ele pode manter a carga armazenada por um perodo. Sabe-se, tambm, que os capacitores possuem uma caracterstica importante, sua capacitncia sofre grande influncia da temperatura. Com isso, possvel que mesmo aps o desligamento de um equipamento, parte do contedo de sua memria RAM continue preservado por um perodo de tempo. O que se pretende com este trabalho mostrar e provar que a memria principal pode ser muito importante na anlise forense, para isso, ser demonstrado, atravs de um estudo de caso, que a volatilidade da memria principal questionada. Ser testada a persistncia de dados na memria voltil de computadores, mesmo aps a interrupo do fornecimento de energia. Pretende-se levantar dados estatsticos sobre a permanncia de informaes aps interrupes foradas de energia eltrica. Para isso, ser trabalhada a carga de dados pr-determinados na memria do equipamento com um conjunto de palavras especficas. A. Realizao dos Testes A idia fundamental foi inicializar o equipamento com um sistema Linux enxuto, ou seja, que consuma pouco espao na memria ao ser inicializado. Aps a finalizao da carga

Helix O Helix uma distribuio Linux live cd, baseada no Knoppix. Ao inicializar carregado um SO Linux completo, sem alterar dados em discos. amplamente conhecida por conter vrias ferramentas para anlise forense, ferramentas para captura de imagem como o dd, mencionado anteriormente, e outras como Adepto, Air, LinEn e Retriever. Possui um bom conjunto de ferramentas para anlise (AutoPsy, pyflag, regviewer, hexeditor), antivrus (Clam-Av e F-prot) e sniffers entre outras ferramentas. O Helix disponibiliza tambm algumas dessas ferramentas em verso Windows, mas neste trabalho ser usado como referncia o live cd Linux. Ao ser inicializado em sua opo padro, disponibilizado um ambiente de trabalho grfico, com acesso fcil s ferramentas, cujas principais so:

Adepto: Aquisio de imagens e gerar cadeia de custdia; Air: Interface grfica para o dd; Linen: Ferramenta para captura de imagens da Guindance (desenvolvedora do Encase), permite a captura de imagens para anlise no Encase; Retriever: Utilitrio capaz de varrer discos e parties a procura de arquivos de imagens grficas; Autopsy: Utilitrio para anlise forense de sistemas Windows e Linux; pyFlag: Utilitrio para anlise de logs; Regviewer: Navegador do registro do Windows; Hexeditor: Editor binrio para leitura de arquivos em ASCII e hexadecimal; XFCE Diff: Utilitrio grfico para comparao de arquivos.

O Utilitrio MDD O programa mdd uma ferramenta produzida e disponibilizada gratuitamente pela empresa ManTech

normal do SO, foi verificado o status de utilizao da memria atravs do comando top. Nosso interesse estava na rea livre na memria, a qual pretende-se marcar. A marcao foi feita escrevendo um referido conjunto de palavras repetidamente at preencher totalmente a memria fsica. Para carregar na memria o referido conjunto de palavras, foi usado um arquivo texto gerado previamente. Esse arquivo, gerado com o auxlio de um Shell Script, contm um conjunto de palavras replicada diversas vezes, gerando um volume de dados prximo ao espao livre na memria. Exemplo do arquivo gerado contendo o conjunto de palavras de marcao:

originais, realizados logo aps a carga dos dados na memria, e os dumps das memrias aps realizadas as interrupes de energia, a prxima etapa a analise do contedo desses dumps para tentar localizar evidncias do conjunto de palavras intencionalmente carregada. Para essa anlise, utilizou-se o comando strings, que identifica em arquivos binrios seqncias de dados que sejam entendidos. A sada do comando strings foi direcionada para arquivos em disco. Esses arquivos contm todos os conjuntos de palavras identificados dentro dos arquivos de dump de memria, agora j convertidas para caracteres ASCII, facilitando o trabalho de identificao dos dados. Para a extrao de seqncias de texto a partir dos aquivos binrio com dumps da memria, usa-se o comando strings:

"teste TCC memoria 13/01/2009" "teste TCC memoria 13/01/2009" "teste TCC memoria 13/01/2009" Configurao do equipamento utilizado nos testes:

#strings arquivo-dump > arquivo-destino-strings Pode-se, ento, analisar esses novos arquivos contendo apenas seqncias de texto, que foram identificadas dentro dos dumps. Esses novos arquivos so transformados em um formato que podemos compreender, o formato ASCII. Assim, pode-se buscar o que se deseja com associao de comandos como cat, grep e wc. Para se contar as linhas onde h a ocorrncia de uma determinada palavra ou conjunto de palavras dentro de um arquivo, utilizou-se: #cat arquivo-destino-strings | grep palavra/conjunto de palavra desejada | wc -l

Processador: Intel(R) Pentium(R) DualCPU E2160 1.8 GHz Memria: 1 GB DDR2 667 MHz Sistemas operacionais utilizados nos testes:

Linux: Slackware kernel 2.6.24.5-smp Windows: Microsoft Windows XP SP2 A carga dos dados foi feita abrindo o arquivo gerado com um editor de texto, que em nosso caso foi utilizado o vi. possvel acompanhar a diminuio gradual do espao livre na memria atravs do comando top. Para referncia e comparaes, captura-se uma cpia bit-a-bit de toda a memria logo aps a carga. Com o programa dd (foi utilizado o programa mdd para o teste realizado em ambiente Windows) copiou-se o contedo do dispositivo de bloco /dev/mem para um arquivo em disco. Em seguida, o equipamento foi fisicamente desligado, interrompendo-se o fornecimento de energia e, assim, permanecendo por perodos de tempo de um, cinco, dez e trinta minutos. Depois o equipamento foi ligado e aps a finalizao do boot, uma nova cpia bit-a-bit do contedo da memria foi gerada. Copia-se o contedo da memria com o dd:

No Linux: dd if=/dev/mem of=/arquivo-dump bs=1024 No Windows: mdd.exe o arquivo-dump Agora que se tem os dumps (arquivo contendo os mesmos dados de uma memria, voltil ou no) das memrias

B. Resultados dos Testes Neste trabalho, foram realizados cinco conjuntos de testes. Primeiramente foram colhidos os dados aps reinicializao do sistema, em seguida foi mantida a interrupo da energia em intervalos que variaram entre um (1) minuto, cinco (5) minutos, dez (10) minutos e trinta (30) minutos. No primeiro teste, nomeado Reset para facilitar na identificao dos resultados, aps a carga de memria, o equipamento foi reinicializado fisicamente, e no boot seguinte gerado o dump. Esse primeiro teste serviu como referncia para se verificar o comportamento dos dados na memria no boot subsequente. Nesses testes foram utilizados o SO Linux e Windows, onde foi constatado que no Windows a memria foi, provavelmente, limpa no boot posterior reinicializao, no sendo possvel identificar vestgios do conjunto de palavras de teste no dump da memria aps a reinicializao. J no Linux, possvel identificar vestgios do conjunto de palavras, tanto completa como em partes. Nos testes seguintes, aps a carga da memria com o conjunto de palavras, o equipamento teve o fornecimento de energia interrompido. A interrupo foi mantida por intervalos de tempo pr-determinados, de um, cinco, dez e trinta minutos. O procedimento de carga dos dados na memria foi exatamente igual ao realizado no teste de reinicializao.

Depois de cada intervalo, o equipamento era reinicializado e em seguida era feita coleta da temperatura pela BIOS e gerado um dump da memria para anlise. Os dados estatsticos dos testes seguem nos grficos a seguir. A legenda do lado direito do grfico representa a medida da temperatura, em C, fornecida pela BIOS referente a CPU.

mais claro no grfico a seguir, contendo a evoluo do valor do ndice de recuperao completa, sendo que aps trinta minutos no foram encontradas mais ocorrncias do conjunto de palavras por inteiro, apenas poucos fragmentos.

Grfico 6: Percentual de recuperao de uma string completa.

Comparando os resultados dos testes de interrupo de fornecimento de energia entre si, e considerando-os de maneira geral, incluindo o teste de reinicializao, pode-se deduzir que a maior perda de dados foi ocasionada pelo processo de carga do SO na memria principal durante os testes. Portanto, para a captura de dados da memria RAM aps o desligamento do equipamento, desejvel a inicializao atravs de um SO Linux, sendo este o mais enxuto possvel para minimizar o risco de sobrescrita dos dados. Outro aspecto que pode ser avaliado em trabalhos futuros a influncia da temperatura na persistncia dos dados na memria aps o desligamento, pois em temperaturas maiores, os capacitores que compem as clulas de memria tem sua capacitncia aumentada. Isso foi comprovado em partes, j que no incio de nossos testes a temperatura medida pela BIOS era de 46 C e no final dos testes essa temperatura era de 50 C, ou seja, na medida em que o trabalho de laboratrio estava sendo realizado, nos perodos que a mquina estava ligada, a temperatura interna da mquina aumentava e, assim, mais dados puderam ser recuperados, com exceo do teste de trinta minutos, onde os dados recuperados da memria foram praticamente nulos.

VI. CONCLUSO Os resultados dos testes foram bastante promissores. Como o objetivo inicial era provar a permanncia dos dados aps o desligamento do equipamento, ou seja, a no volatilidade da memria principal (RAM), com os dados apresentados, podese afirmar que houve xito. Com isso, fica evidente que a memria principal (RAM) pode ser utilizada em uma anlise forense computacional. Alm do xito em confirmar por meio de dados a proposta dos trabalhos realizados, foram constatados outros fatos. Como pode ser visto nos grficos, realmente a temperatura influenciou os dados na memria, pois apesar da mquina ficar desligada mais tempo foi possvel obter mais informaes na memria principal. Este fato justificado pelo aumento na temperatura das mquinas, comprovando as afirmaes apresentadas em [9]. Observa-se, tambm, nos grficos que h uma variao muito pequena entre os percentuais de recuperao e isso fica A forense computacional uma rea que ainda tem muito a desenvolver, inovar e aperfeioar as tecnologias e mtodos para se obter mais e melhores evidncias. Por ser uma rea criada recentemente, ainda existem poucos profissionais capacitados que conhecem e seguem os procedimentos j aprovados pela comunidade cientfica da rea, alm de existir uma limitada quantidade de softwares e hardwares disponveis para a realizao de percias nos equipamentos. Com a necessidade e iniciativa de se atualizar as leis brasileiras para um melhor entendimento jurdico sobre os crimes digitais, indiscutivelmente haver uma crescente demanda por peritos em forense computacional, necessrios para provar que os atos criminosos previstos em lei foram cometidos, com evidncias autnticas e confiveis, dando um melhor suporte para o tribunal no cometer erros. necessria uma maior ateno por parte dos profissionais da rea de forense computacional em relao memria

principal dos equipamentos periciados, que geralmente ou so desprezadas ou simplesmente ignoradas, por achar que tero toda a evidncia necessria nos dispositivos de memria secundria ou ento porque os equipamentos provavelmente foram desligados ou reiniciados por terceiros. Mas, de acordo com este estudo, foi percebido que, mesmo aps a ocorrncia destas interaes, dados ainda podem residir na memria RAM do computador, sendo uma preciosa fonte de evidncias, pois, o contedo delas no possui protees de segurana e demonstram o comportamento do sistema no momento em que ele acessou a memria para gravar dados. importante lembrar que a memria RAM est, tambm, presente em outros dispositivos, tais como, palmtops, computadores de bordo de carros, alm de outros equipamentos que fazem parte do nosso cotidiano. H, agora, uma necessidade de se estudar melhor como tornar o percentual de persistncia de dados na memria maior, propondo tcnicas que levem em considerao a temperatura, a tecnologia e melhores softwares envolvidos, para se ter uma melhor opo na busca de evidncias digitais, aumentando a veracidade das concluses obtidas nas percias realizadas. Deve-se verificar, tambm, o comportamento da memria de swap do sistema operacional, bem como a memria RAM se comporta em outros dispositivos que no sejam computadores.

[13] REIS, Marcelo Abdalla dos, GEUS, Paulo Lcio de. Anlise Forense de Intruses em Sistemas Computacionais: Tcnicas, Procedimentos e Ferramentas. Instituto de Computao - Universidade Estadual de Campinas, Campinas; [14] TANENBAUM, Andrew S., WOODHULL, Albert S. Sistemas Operacionais Projeto e Implementao. Traduo: Edson Furmankiewicz. 2 Edio . Porto Alegre: Bookman, 2000. 341p; [15] TechFAQ. O que SDR SDRAM? Disponvel em: <http://pt.techfaq.com/sdr-sdram.shtml>. Acesso em: 16 jan. 2009; [16] TORRES, Gabriel. Entenda s Memrias DDR2. Disponvel em: <http://www.clubedohardware.com.br/artigos/1046>. Acesso em: 17 jan. 2009; [17] TYSON, Jeff. Como funciona a memria do computador. Disponvel em: <http://informatica.hsw.uol.com.br/memoria-do-computador.htm>. Acesso em: 16 jan. 2009; [18] LISITA, Bruno L., MOURA, Thiago S. M. e PINTO, Tiago J. Forense Computacional em Memria Principal. Trabalho de concluso de curso de Ps-graduao em Segurana da Informao na FATESG/SENAI/GO.

REFERNCIAS BIBLIOGRFICAS
ALECRIM, Emerson. Memria DDR (Double Data Rating). Disponvel em: <http://www.infowester.com/memddr.php>. Acesso em: 16 jan. 2009; [2] ALECRIM, Emerson. Memria DDR2. Disponvel em: <http://www.infowester.com/memddr2.php>. Acesso em: 16 jan. 2009; [3] ALECRIM, Emerson. Memrias ROM e RAM. Disponvel em: <http://www.infowester.com/memoria.php >. Acesso em: 21 nov. 2008; [4] COLETTA, Alex de Francischi. Gerenciamento de Memria. Disponvel em: <http://www.alexcoletta.eng.br/2008/gerenciamento-dememoria/>. Acesso em: 07 out. 2008; [5] Guia do Hardware.net. Capacitor Eletroltico. Disponvel em: <http://www.guiadohardware.net/termos/capacitor-eletrolitico>. Acesso em: 24 jan. 2009; [6] Guia do Hardware.net. Memria RAM. Disponvel em: <http://www.guiadohardware.net/termos/memoria-ram>. Acesso em: 07 out. 2008; [7] LEMOS, Ronaldo, BOTTINO, Thiago, SOUZA, Carlos Affonso Pereira de, BRANCO, Srgio, PARANAGU, Pedro, MIZUKAMI, Pedro Nicoletti, MAGRANI, Bruno, MONCAU, Luiz Fernando. Comentrios e Sugestes sobre o Projeto de Lei de Crimes Eletrnicos (PL n. 84/99). 2008. 21p. Escola de Direito do Rio de Janeiro da Fundao Getlio Vargas, Rio de Janeiro; [8] LINHARES, Daniel. Aplicao de Tcnicas de Forense Computacional e Respostas a Incidentes na Internet. 2004. 166 p. Braslia; [9] MEHL, Ewaldo L. M. Capacitores Eletrolticos de Alumnio: Alguns cuidados e consideraes prticas. Disponvel em: <http://www.eletrica.ufpr.br/mehl/downloads/capacitores.pdf>. Acesso em: 24 jan. 2009; [10] MONTOVANI, Glenio. Ferramentas para anlise forense aplicada informtica. 2008. 108p. Monografia (Ps Graduao em Segurana da Informao). Universidade Salgado de Oliveira, Goinia; [11] MORIMOTO, Carlos E. Memria RAM. Disponvel em: <http://www.guiadohardware.net/tutoriais/memoria-ram/>. Acesso em: 07 out. 2008; [12] MUSSOI, Fernando Luiz Rosa, VILLAA, Marco Valrio. Capacitores. 2000. 39p. 3 Edio, CEFET/SC, Florianpolis; [1]

Antnio Pires de Castro Jnior Mestre em Cincia da Computao pela Unicamp, Professor de ps graduao e graduao da Faculdade de Tecnologia do SENAI (FATESG) e Tcnico Judicirio do Poder Judicirio do Estado de Gois. Trabalha, atualmente, no Ministrio Pblico do Estado de Gois. Atua na rea de Segurana em Redes de Computadores e Computao Forense. Contato: apcastrojr@gmail.com . Bruno Lopes Lisita, Thiago Silva Machado de Moura e Tiago Jorge Pinto so Especialistas em Segurana em Redes de Computadores pela FATESG/SENAI. Trabalham, respectivamente, na Caixa Econmica Federal, Secretaria da Fazenda do Estado de Gois e Empresa de Segurana e Vigilncia de Instalaes. Seus contatos so: brunolisita@gmail.com, thiago. silva.moura@gmail.com e tjdestroyer@gmail.com .