PROCESSO DE COLETA DE

PROVAS - EXTRAÇÃO
FORENSE COMPUTACIONAL
PROF. MSC. CARLOS EDUARDO DE BARROS SANTOS JÚNIOR

@edusantos33
ceduardobsantos@gmail.com
APÓS A DUPLICAÇÃO

• Apos a coleta dos dados, sua manipulação pode ser feita pelo próprio perito ou
posteriormente por outro
• Extração e o processo de retirar das midias periciadas as informações disponíveis
• Recuperação e o processo de buscar dados removidos total ou parcialmente,
propositalmente ou nao
• Carving normalmente refere-se a um processo de recuperação de dados corrompidos,
intencionalmente “escondidos” etc
ENCONTRANDO ARQUIVOS ESCONDIDOS

• Criar o arquivo “texto” dentro do diretório /forense

• ls
• cat
• ls -lia /forense
• fls -ap /dev/sda1 inode
• fls e icat driblam o sistema de arquivos completamente para ler diretamente o número de
inode e o conteúdo de texto
• stat /forense/
ENCONTRANDO ARQUIVOS ESCONDIDOS
• cat /forense/texto
• icat /dev/sda1 inode
• Monte a partição /dev/sdb1 em /forense
• Procure o arquivo criado no diretório /forense
• Utilize ls e cat
• Execute os comandos abaixo e verifique o que ocorre
• fls -ap /dev/sda1 inode
• icat /dev/sda1 inode
EXTRAÇÃO

• Analisar as partições nos discos

• mmsl
• mmsl -a /dev/sda
MAGIC NUMBERS

• Os arquivos de um mesmo tipo (pdf, jpg, mp3, zip, doc, …) possuem um formato
padrão
• O conhecimento deste formato é essencial para o funcionamento das ferramentas de
recuperação
• Possibilita encontrar e identificar um arquivo exclusivamente pelo seu conteúdo, não
levando em consideração nome, SO, sistema de arquivos etc
• Um utilitário (não diretamente relacionado a forense) que demonstra esta
funcionalidade é o “file”
ASSINATURAS (MAGIC NUMBERS)

• Hexdump
• hexdump –C file.extension
• Link com as assinaturas dos arquivos -> bit.ly/assarquivos
• file
• Programa disponível em distribuições GNU/Linux para verificar o tipo do arquivo
• Para Windows
• fidentify (vem junto com o Photo Rec)
MAGICRESCUE

• Concebido (inicialmente) para recuperação de imagens (fotos) apagadas

• Recupera arquivos específicos (com padrão definido em base específica) a partir de
uma partição, para um diretório especificado.
• avi canoncr2 elf flac gimpxcf gpl gzip jpegexif jpegjfif mp3id3v1 mp3id3v2 msoffice
nikonraw perl png ppm zip
• Não vem instalado por padrão no SIFT
• apt-get install magicrescue
 MAGICRESCUE – FUNCIONAMENTO

• Executar aplicativo com parâmetros específicos

• magicrescue -d diretorio_destino -r base_tipos /dev/device
• diretorio_destino => Diretório onde será gravado o resultado
• base_tipos => Base com padrão do tipo de arquivo buscado (/usr/share/magicrescue/recipes)
• /dev/device => caminho do dispositivo analisado
• Exemplo:
• magicrescue -d /analise -r /usr/share/magicrescue/recipes/avi /dev/sdb1
FOREMOST
• É um programa de CLI para recuperar arquivos com base em seus cabeçalhos, rodapés e
estruturas de dados internos, processo comumente chamado de data carving.
• Com ele é possível trabalhar em arquivos de imagem, como os gerados pelo dd, Safeback,
Encase, etc, ou diretamente em uma unidade.
• Os cabeçalhos e rodapés podem ser especificados por um arquivo de configuração ou você
pode usar opções de linha de comando para especificar tipos de arquivo internos. Esses tipos
internos analisam as estruturas de dados de um determinado formato de arquivo, permitindo
uma recuperação mais confiável e mais rápida.
• Originalmente foi desenvolvido pelo Grupo de Investigações Especiais da Força Aérea dos
Estados Unidos e pelo Centro de Estudos e Pesquisas de Segurança de Sistemas de
Informação.
FOREMOST

• foremost -t <tipo1,tipo2,...> -i <imagem> -o <destino>

• Tipos de arquivos reconhecidos: jpg, gif, png, bmp, avi, exe, mpg, wav, riff, wmv, mov,
pdf, ole, doc, zip, rar, htm, cpp, entre outros.
• Para extração de todos os tipos de arquivos, use: -t all
• Exemplo:
• foremost particao01.dd -o diretorio_destino
SCALPEL

• Semelhante ao foremost: scalpel

• scalpel <imagem> -o <destino>
• Por padrão, todos os tipos de arquivos no banco de dados (/etc/scalpel/scalpel.conf)
estão comentados (não gera resultados se não for alterado)
• Para especificar quais tipos de arquivos se deseja extrair, é preciso editar o arquivo e
descomentar as linhas desejadas.
• Exemplo:
• scalpel particao01.dd -o diretorio_destino
RECUPERANDO ARQUIVO COM O SLEUTHKIT

• fls imagem.dd
d/d 11: lost+found
d/d 4017: diretorio01
d/d 8033: diretorio02
d/d 12049: diretorio03
d/d 16065: arquivo01
r/r * 20: arquivo02
r/r * 23: arquivoprocurado
d/d * 2038: diretorio04
RECUPERANDO ARQUIVO COM O SLEUTHKIT

• icat imagem.dd 23 > arquivoprocurado

• Arquivo recuperado!
TESTDISK

• Segue exemplo de recuperação que orienta o uso do TestDisk, passo a passo, para recuperar
uma partição ausente e reparar uma corrompida.
• Depois de ler o tutorial, você estará pronto para recuperar seus próprios dados.
• Link do Tutorial -> https://www.cgsecurity.org/wiki/TestDisk_Step_By_Step
PHOTOREC

• Segue exemplo de recuperação com o uso do PhotoRec,

• Um passo a passo, para recuperar arquivos excluídos ou dados perdidos de uma partição
reformatada ou de um sistema de arquivos corrompido.
• Para partições perdidas / apagadas ou arquivos apagados de um sistema de arquivos FAT ou
NTFS, tente TestDisk primeiro - geralmente é mais rápido e o TestDisk pode recuperar os
nomes dos arquivos originais.
• Link do tutorial -> https://www.cgsecurity.org/wiki/PhotoRec_Step_By_Step
REFERÊNCIAS

• Material de aula do prof. Carlos Gustavo Rocha (IFRN)

• Material de aula do prof. Ricardo Kléber Martins Galvão (IFRN)
• Eleutério, P. M.; Machado, M. P. Desvendando a Computação Forense. Novatec. 2011.
• Tratado de Computação Forense. Org. Jesus Antonio Velho. Millenium Editora. 2016.
• Farmer, Dan; Venema, Wietse. Perícia Forense Computacional: teoria e prática aplicada. São Paulo:
Pearson Prentice Hall, 2007.
• http://foremost.sourceforge.net/