Modulo 1 - Introdução - SO

Tópicos em Sistemas Operacionais
Módulo 1 – Introdução a Sistemas

Operacionais
Professor: Marcelo Abdalla dos Reis

abdalla.mar@gmail.com
Prof. Marcelo Abdalla dos Reis – Todos os direitos reservados.

Sumário
1. Objetivos da Computação Forense
2. Definição de Sistemas Operacionais
3. Componentes do SO
4. Recuperação de Arquivos
5. Inicialização do SO
6. Partes do SO de maior relevância forense

Relembrando…
• Objetivos da Computação Forense:
– Demonstrar através de evidências digitais, coletadas e analisadas com
metodologia científica, a existência de um fato, seus autores e suas
circunstâncias:
• Materialidade = “o que”
• Autoria = “por quem”
• Dinâmica = “como”
• Forense:
– Relativo ao judiciário.
– Uma característica especial de certos materiais/evidências que permitem
serem admitidas no Judiciário para provar um fato, com fins de subsidiar o juiz
a tomar sua a decisão quanto aos elementos de um crime ou disputa judicial.
– Ciência (metodologia amplamente aceita e documentada, produzindo
resultados determinísticos)

Sumário

Para que serve o SO?
“Em torno de um computador existem usuários
com problemas a serem resolvidos”.
Ref: Rômulo S. Oliveira, “Sistemas Operacionais”, 4ª edição, 2010
O software é usado para solucionar os

problemas do usuário e o hardware é a
ferramenta para executar o software.

Para que serve o SO?
Usar o hardware não deve ser mais difícil que o
problema do usuário a ser solucionado.
Ref: Tanenbaum, Modern Operating Systems

Segundo Tanenbaum
• SO como uma máquina estendida
– O SO esconde do usuário a complexidade do hardware e apresenta uma visão
fácil e simples para as operações sobre os dispositivos. Essa visão é
equivalente a uma máquina estendida ou máquina virtual, mais fácil de lidar.
Ref: Tanenbaum, Modern Operating Systems

Segundo Tanenbaum
• SO como um gerenciador de recursos:
– O SO é responsável por organizar e alocar de forma ordenada todos os
recursos disponíveis no computador, entre os vários programas que os
disputam: processadores, memórias, discos, dispositivos de IO, etc

Sumário

Componentes do SO
1. Gerenciamento de processos
2. Gerenciamento de memória
3. Gerenciamento de dispositivos de IO
4. Gerenciamento de arquivos

Gerenciamento de Arquivos
• Arquivo:
– Abstração que provê uma forma de armazenar informações no disco e
recuperá-las posteriormente
– Parte mais visível do SO pelos usuários
– Parte mais relevante sob a ótica da computação forense
• Sistema de Arquivos:
– Gerencia a criação, alocação, deleção, atribuição de metadados
(nome, timestamps, permições, etc)
– Conjunto de estruturas que mapeiam as unidades de alocação do
disco, armazenam atributos qualificadores (metadados) e ponteiros
para os arquivos e diretórios

• Alocação de blocos de setores (clusters):
– Redução do número de estruturas para rastrear a alocação do disco
• Disco de 20GB tem 41.943.040 setores = 5.242.880 clusters de 4096B (8 setores)
– Maior desempenho
• Métodos de alocação:
– Alocação contígua
– Alocação por lista encadeada em disco
– Alocação por lista encadeada usando uma tabela em memória
– I-nodes (ou data-runs)

• Alocação contígua:
– Cada arquivo é uma sequência contígua de blocos

DISCO Alocação contígua
1 2 3 4 5
6 7 8 9 10 Sistema de arquivos
Arquivo Cor Início Tamanho
11 12 13 14 15
16 17 18 19 20
21 22 23 24 25
26 27 28 29 30
31 32 33 34 35

1 2 3 4 5
11 12 13 14 15
A.DOC 6
16 17 18 19 20
21 22 23 24 25
26 27 28 29 30
31 32 33 34 35

1 2 3 4 5
11 12 13 14 15
A.DOC 1 6
16 17 18 19 20
21 22 23 24 25
26 27 28 29 30
31 32 33 34 35

1 2 3 4 5
11 12 13 14 15
A.DOC 1 6
16 17 18 19 20
B.JPG 4
21 22 23 24 25
26 27 28 29 30
31 32 33 34 35

1 2 3 4 5
11 12 13 14 15
A.DOC 1 6
16 17 18 19 20
B.JPG 7 4
21 22 23 24 25
26 27 28 29 30
31 32 33 34 35

1 2 3 4 5
11 12 13 14 15
A.DOC 1 6
16 17 18 19 20
B.JPG 7 4
C.TXT 2
21 22 23 24 25
26 27 28 29 30
31 32 33 34 35

1 2 3 4 5
11 12 13 14 15
A.DOC 1 6
16 17 18 19 20
B.JPG 7 4
C.TXT 11 2
21 22 23 24 25
26 27 28 29 30
31 32 33 34 35

1 2 3 4 5
11 12 13 14 15
A.DOC 1 6
16 17 18 19 20
B.JPG 7 4
C.TXT 11 2
21 22 23 24 25 D.MKV 16
26 27 28 29 30
31 32 33 34 35

1 2 3 4 5
11 12 13 14 15
A.DOC 1 6
16 17 18 19 20
B.JPG 7 4
C.TXT 11 2
21 22 23 24 25 D.MKV 13 16
26 27 28 29 30
31 32 33 34 35

1 2 3 4 5
11 12 13 14 15
A.DOC 1 6
16 17 18 19 20
B.JPG 7 4
C.TXT 11 2
21 22 23 24 25 D.MKV 13 16
E.RAR 8
26 27 28 29 30
31 32 33 34 35

1 2 3 4 5
11 12 13 14 15
A.DOC 1 6
16 17 18 19 20
B.JPG 7 4
C.TXT 11 2
21 22 23 24 25 D.MKV 13 16
E.RAR 8
26 27 28 29 30
ERRO: SEM ESPAÇO
7 LIVRES
31 32 33 34 35

1 2 3 4 5
11 12 13 14 15
A.DOC 1 6+1
16 17 18 19 20
B.JPG 7 4
C.TXT 11 2
21 22 23 24 25 D.MKV 13 16
26 27 28 29 30
31 32 33 34 35

1 2 3 4 5
11 12 13 14 15
A.DOC 29 7
16 17 18 19 20
B.JPG 7 4
C.TXT 11 2
21 22 23 24 25 D.MKV 13 16
26 27 28 29 30
31 32 33 34 35

1 2 3 4 5
11 12 13 14 15
A.DOC 29 7
16 17 18 19 20
B.JPG 7 4
C.TXT 11 2
21 22 23 24 25 D.MKV 13 16
26 27 28 29 30
31 32 33 34 35

1 2 3 4 5
11 12 13 14 15
A.DOC 29 7
16 17 18 19 20
B.JPG 7 4
21 22 23 24 25 D.MKV 13 16
26 27 28 29 30
31 32 33 34 35

1 2 3 4 5
11 12 13 14 15
A.DOC 29 7
16 17 18 19 20
B.JPG 7 4
E.RAR 8
21 22 23 24 25 D.MKV 13 16
26 27 28 29 30
31 32 33 34 35

1 2 3 4 5
FRAGMENTOS
11 12 13 14 15
A.DOC 29 7
16 17 18 19 20
B.JPG 7 4
E.RAR 8
21 22 23 24 25 D.MKV 13 16
26 27 28 29 30
ERRO: SEM ESPAÇO
31 32 33 34 35 NÃO HÁ 8 BLOCOS CONTÍGUOS

1 2 3 4 5 DEFRAGMENTAÇÃO
11 12 13 14 15
B.JPG 1 4
16 17 18 19 20
D.MKV 5 16
A.DOC 21 7
21 22 23 24 25
26 27 28 29 30
31 32 33 34 35

1 2 3 4 5
11 12 13 14 15
B.JPG 1 4
16 17 18 19 20
D.MKV 5 16
A.DOC 21 7
21 22 23 24 25 E.RAR 28 8
26 27 28 29 30
31 32 33 34 35

• Alocação contígua:
– Vantagens:
• Simples implementação (manter apenas o endereço do 1º bloco e a quantidade de
blocos)
• Excelente performance de leitura (apenas uma operação de seek)
– Desvantagens
• Fragmentação
• Necessidade de saber previamente o tamanho dos arquivos
– Ainda usado em mídias óticas

• Alocação por lista encadeada em disco:
– Bytes iniciais dos blocos armazenam um ponteiro para o próximo
bloco

DISCO
Alocação por lista
encadeada em
1 2 3 4 5 disco
11 12 13 14 15
16 17 18 19 20
21 22 23 24 25
26 27 28 29 30
31 32 33 34 35

DISCO
encadeada em
1 2 3 4 5 disco
11 12 13 14 15
A.DOC 1 6
16 17 18 19 20
21 22 23 24 25
26 27 28 29 30
31 32 33 34 35

DISCO
encadeada em
1 2 3 4 5 disco
11 12 13 14 15
A.DOC 1 6
16 17 18 19 20
B.JPG 7 4
21 22 23 24 25
26 27 28 29 30
31 32 33 34 35

DISCO
encadeada em
1 2 3 4 5 disco
11 12 13 14 15
A.DOC 1 6
16 17 18 19 20
B.JPG 7 4
C.TXT 11 2
21 22 23 24 25
26 27 28 29 30
31 32 33 34 35

DISCO
encadeada em
1 2 3 4 5 disco
11 12 13 14 15
A.DOC 1 6
16 17 18 19 20
B.JPG 7 4
C.TXT 11 2
21 22 23 24 25 D.MKV 13 16
26 27 28 29 30
31 32 33 34 35

DISCO
encadeada em
1 2 3 4 5 disco
11 12 13 14 15
A.DOC 1 6
16 17 18 19 20
B.JPG 7 4
C.TXT 11 2
21 22 23 24 25 D.MKV 13 16
26 27 28 29 30
31 32 33 34 35

DISCO
encadeada em
1 2 3 4 5 disco
11 12 13 14 15
A.DOC 1 6
16 17 18 19 20
B.JPG 7 4
21 22 23 24 25 D.MKV 13 16
26 27 28 29 30
31 32 33 34 35

DISCO
encadeada em
1 2 3 4 5 disco
11 12 13 14 15
A.DOC 1 6
16 17 18 19 20
B.JPG 7 4
E.RAR 11 8
21 22 23 24 25 D.MKV 13 16
26 27 28 29 30
31 32 33 34 35

DISCO
encadeada em
1 2 3 4 5 disco
11 12 13 14 15
A.DOC 1 6+1
16 17 18 19 20
B.JPG 7 4
E.RAR 11 8
21 22 23 24 25 D.MKV 13 16
26 27 28 29 30
31 32 33 34 35

DISCO
encadeada em
1 2 3 4 5 disco
11 12 13 14 15
A.DOC 1 7
16 17 18 19 20
B.JPG 7 4
E.RAR 11 8
21 22 23 24 25 D.MKV 13 16
26 27 28 29 30
31 32 33 34 35

• Alocação por lista encadeada em disco:
– Vantagens:
• Não ocorre fragmentação
• Estrutura precisa armazenar apenas o bloco inicial
– Desvantagens
• Acesso aleatório é bastante custoso (leitura sequencial dos ponteiros em disco)
• Parte do bloco ocupado pelos ponteiros

• Alocação por lista encadeada usando uma tabela em
memória:
– Ponteiros para os blocos são armazenados em memória

DISCO
encadeada em
1 2 3 4 5 memória
Sistema de arquivos
6 7 8 9 10
11 12 13 14 15
16 17 18 19 20
21 22 23 24 25
1 2 3 4 5 6 7 8 9 1 1 1 1 1 1 1 1 1 1 2
0 1 2 3 4 5 6 7 8 9 0
26 27 28 29 30 F
A 2 2 2 2 2 2 2 2 2 3 3 3 3 3 3
31 32 33 34 35
T 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5

DISCO
encadeada em
1 2 3 4 5 memória
Sistema de arquivos
6 7 8 9 10
11 12 13 14 15 A.DOC 1 6
16 17 18 19 20
21 22 23 24 25
1 2 3 4 5 6 7 8 9 1 1 1 1 1 1 1 1 1 1 2
0 1 2 3 4 5 6 7 8 9 0
26 27 28 29 30 F 2 3 4 5 6 F
A 2 2 2 2 2 2 2 2 2 3 3 3 3 3 3
31 32 33 34 35
T 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5

DISCO
encadeada em
1 2 3 4 5 memória
Sistema de arquivos
6 7 8 9 10
11 12 13 14 15 A.DOC 1 6
B.JPG 7 4
16 17 18 19 20
21 22 23 24 25
1 2 3 4 5 6 7 8 9 1 1 1 1 1 1 1 1 1 1 2
0 1 2 3 4 5 6 7 8 9 0
26 27 28 29 30 F 2 3 4 5 6 F 8 9 1
0
F
A 2 2 2 2 2 2 2 2 2 3 3 3 3 3 3
31 32 33 34 35
T 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5

DISCO
encadeada em
1 2 3 4 5 memória
Sistema de arquivos
6 7 8 9 10
11 12 13 14 15 A.DOC 1 6
B.JPG 7 4
16 17 18 19 20 C.TXT 11 2
21 22 23 24 25
1 2 3 4 5 6 7 8 9 1 1 1 1 1 1 1 1 1 1 2
0 1 2 3 4 5 6 7 8 9 0
26 27 28 29 30 F 2 3 4 5 6 F 8 9 1
0
F 1
2
F
A 2 2 2 2 2 2 2 2 2 3 3 3 3 3 3
31 32 33 34 35
T 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5

DISCO
encadeada em
1 2 3 4 5 memória
Sistema de arquivos
6 7 8 9 10
11 12 13 14 15 A.DOC 1 6
B.JPG 7 4
16 17 18 19 20 C.TXT 11 2
D.MKV 13 16
21 22 23 24 25
1 2 3 4 5 6 7 8 9 1 1 1 1 1 1 1 1 1 1 2
0 1 2 3 4 5 6 7 8 9 0
26 27 28 29 30 F 2 3 4 5 6 F 8 9 1
0
F 1
2
F 1
4
1
5
1
6
1
7
1
8
1
9
2
0
2
1
A 2 2 2 2 2 2 2 2 2 3 3 3 3 3 3
31 32 33 34 35
T 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5
2 2 2 2 2 2 2 F
2 3 4 5 6 7 8

DISCO
encadeada em
1 2 3 4 5 memória
Sistema de arquivos
6 7 8 9 10
11 12 13 14 15 A.DOC 1 6
B.JPG 7 4
16 17 18 19 20 C.TXT 11 2
D.MKV 13 16
21 22 23 24 25
1 2 3 4 5 6 7 8 9 1 1 1 1 1 1 1 1 1 1 2
0 1 2 3 4 5 6 7 8 9 0
26 27 28 29 30 F 2 3 4 5 6 F 8 9 1
0
F 1
2
F 1
4
1
5
1
6
1
7
1
8
1
9
2
0
2
1
A 2 2 2 2 2 2 2 2 2 3 3 3 3 3 3
31 32 33 34 35
T 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5
2 2 2 2 2 2 2 F
2 3 4 5 6 7 8

DISCO
encadeada em
1 2 3 4 5 memória
Sistema de arquivos
6 7 8 9 10
11 12 13 14 15 A.DOC 1 6
B.JPG 7 4
16 17 18 19 20
D.MKV 13 16
21 22 23 24 25
1 2 3 4 5 6 7 8 9 1 1 1 1 1 1 1 1 1 1 2
0 1 2 3 4 5 6 7 8 9 0
26 27 28 29 30 F 2 3 4 5 6 F 8 9 1
0
F 1
4
1
5
1
6
1
7
1
8
1
9
2
0
2
1
A 2 2 2 2 2 2 2 2 2 3 3 3 3 3 3
31 32 33 34 35
T 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5
2 2 2 2 2 2 2 F
2 3 4 5 6 7 8

DISCO
encadeada em
1 2 3 4 5 memória
Sistema de arquivos
6 7 8 9 10
11 12 13 14 15 A.DOC 1 6
B.JPG 7 4
16 17 18 19 20 E.RAR 11 8
D.MKV 13 16
21 22 23 24 25
1 2 3 4 5 6 7 8 9 1 1 1 1 1 1 1 1 1 1 2
0 1 2 3 4 5 6 7 8 9 0
26 27 28 29 30 F 2 3 4 5 6 F 8 9 1
0
F 1
2
2
9
1
4
1
5
1
6
1
7
1
8
1
9
2
0
2
1
A 2 2 2 2 2 2 2 2 2 3 3 3 3 3 3
31 32 33 34 35
T 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5
2 2 2 2 2 2 2 F 3 3 3 3 3 F
2 3 4 5 6 7 8 0 1 2 3 4

DISCO
encadeada em
1 2 3 4 5 memória
Sistema de arquivos
6 7 8 9 10
11 12 13 14 15 A.DOC 1 6+1
B.JPG 7 4
16 17 18 19 20 E.RAR 11 8
D.MKV 13 16
21 22 23 24 25
1 2 3 4 5 6 7 8 9 1 1 1 1 1 1 1 1 1 1 2
0 1 2 3 4 5 6 7 8 9 0
26 27 28 29 30 F 2 3 4 5 6 F 8 9 1
0
F 1
2
2
9
1
4
1
5
1
6
1
7
1
8
1
9
2
0
2
1
A 2 2 2 2 2 2 2 2 2 3 3 3 3 3 3
31 32 33 34 35
T 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5
2 2 2 2 2 2 2 F 3 3 3 3 3 F
2 3 4 5 6 7 8 0 1 2 3 4

DISCO
encadeada em
1 2 3 4 5 memória
Sistema de arquivos
6 7 8 9 10
11 12 13 14 15 A.DOC 1 7
B.JPG 7 4
16 17 18 19 20 E.RAR 11 8
D.MKV 13 16
21 22 23 24 25
1 2 3 4 5 6 7 8 9 1 1 1 1 1 1 1 1 1 1 2
0 1 2 3 4 5 6 7 8 9 0
26 27 28 29 30 F 2 3 4 5 6 3
5
8 9 1
0
F 1
2
2
9
1
4
1
5
1
6
1
7
1
8
1
9
2
0
2
1
A 2 2 2 2 2 2 2 2 2 3 3 3 3 3 3
31 32 33 34 35
T 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5
2 2 2 2 2 2 2 F 3 3 3 3 3 F F
2 3 4 5 6 7 8 0 1 2 3 4

• Alocação por lista encadeada usando uma tabela em
memória:
– Vantagens:
• Não ocorre fragmentação
• Estrutura precisa armazenar apenas o bloco inicial
• Todo o bloco está disponível para os dados dos arquivos
• Acesso aleatório bastante rápido (lista encadeada em memória)
– Desvantagens
• Tabela ocupa muita memória em discos grandes (um disco de 1TB com bloco de
1KB terá 1 bilhão de blocos, ou seja, 1 bilhão de entradas de 30bits cada uma =
3,75GB total em memória)

• Alocação por i-nodes:
– Cada arquivo é associado a uma estrutura chamada i-node (index-
node), a qual lista os endereços dos blocos do disco alocados ao
arquivo

• Alocação por i-nodes:

DISCO
Alocação por
i-nodes
1 2 3 4 5
Sistema de arquivos (i-nodes)
6 7 8 9 10 Arquivo Tam. Array de blocos Si Di
11 12 13 14 15
16 17 18 19 20
21 22 23 24 25
26 27 28 29 30
31 32 33 34 35

DISCO
Alocação por
i-nodes
1 2 3 4 5
A.DOC 6 1 2 3 4
11 12 13 14 15
16 17 18 19 20
21 22 23 24 25
26 27 28 29 30
31 32 33 34 35

DISCO
Alocação por
i-nodes
1 2 3 4 5
A.DOC 6 1 2 3 4 5
11 12 13 14 15
16 17 18 19 20
21 22 23 24 25
26 27 28 29 30
31 32 33 34 35

DISCO
Alocação por
i-nodes
1 2 3 4 5
A.DOC 6 1 2 3 4 5
11 12 13 14 15
16 17 18 19 20
21 22 23 24 25
Blocos de ponteiros adicionais
26 27 28 29 30 Bloco Cor Array de blocos

5 6 7
31 32 33 34 35

DISCO
Alocação por
i-nodes
1 2 3 4 5
A.DOC 6 1 2 3 4 5
11 12 13 14 15
B.JPG 4
16 17 18 19 20
21 22 23 24 25

5 6 7
31 32 33 34 35

DISCO
Alocação por
i-nodes
1 2 3 4 5
A.DOC 6 1 2 3 4 5
11 12 13 14 15
B.JPG 4 8 9 10 11
16 17 18 19 20
21 22 23 24 25

5 6 7
31 32 33 34 35

DISCO
Alocação por
i-nodes
1 2 3 4 5
A.DOC 6 1 2 3 4 5
11 12 13 14 15
B.JPG 4 8 9 10 11
16 17 18 19 20 C.TXT 2
21 22 23 24 25

5 6 7
31 32 33 34 35

DISCO
Alocação por
i-nodes
1 2 3 4 5
A.DOC 6 1 2 3 4 5
11 12 13 14 15
B.JPG 4 8 9 10 11
16 17 18 19 20 C.TXT 2 12 13
21 22 23 24 25

5 6 7
31 32 33 34 35

DISCO
Alocação por
i-nodes
1 2 3 4 5
A.DOC 6 1 2 3 4 5
11 12 13 14 15
B.JPG 4 8 9 10 11
16 17 18 19 20 C.TXT 2 12 13
D.MKV 16
21 22 23 24 25

5 6 7
31 32 33 34 35

DISCO
Alocação por
i-nodes
1 2 3 4 5
A.DOC 6 1 2 3 4 5
11 12 13 14 15
B.JPG 4 8 9 10 11
16 17 18 19 20 C.TXT 2 12 13
D.MKV 16 14 15 16 17
21 22 23 24 25

5 6 7
31 32 33 34 35

DISCO
Alocação por
i-nodes
1 2 3 4 5
A.DOC 6 1 2 3 4 5
11 12 13 14 15
B.JPG 4 8 9 10 11
16 17 18 19 20 C.TXT 2 12 13
D.MKV 16 14 15 16 17 18
21 22 23 24 25

5 6 7
31 32 33 34 35

DISCO
Alocação por
i-nodes
1 2 3 4 5
A.DOC 6 1 2 3 4 5
11 12 13 14 15
B.JPG 4 8 9 10 11
16 17 18 19 20 C.TXT 2 12 13
D.MKV 16 14 15 16 17 18
21 22 23 24 25

5 6 7
31 32 33 34 35 18

DISCO
Alocação por
i-nodes
1 2 3 4 5
A.DOC 6 1 2 3 4 5
11 12 13 14 15
B.JPG 4 8 9 10 11
16 17 18 19 20 C.TXT 2 12 13
D.MKV 16 14 15 16 17 18
21 22 23 24 25

5 6 7
31 32 33 34 35 18 19 20 21 22 23 24

DISCO
Alocação por
i-nodes
1 2 3 4 5
A.DOC 6 1 2 3 4 5
11 12 13 14 15
B.JPG 4 8 9 10 11
16 17 18 19 20 C.TXT 2 12 13
D.MKV 16 14 15 16 17 18 25
21 22 23 24 25

5 6 7
31 32 33 34 35 18 19 20 21 22 23 24

DISCO
Alocação por
i-nodes
1 2 3 4 5
A.DOC 6 1 2 3 4 5
11 12 13 14 15
B.JPG 4 8 9 10 11
16 17 18 19 20 C.TXT 2 12 13
D.MKV 16 14 15 16 17 18 25
21 22 23 24 25

5 6 7
31 32 33 34 35 18 19 20 21 22 23 24
25

DISCO
Alocação por
i-nodes
1 2 3 4 5
A.DOC 6 1 2 3 4 5
11 12 13 14 15
B.JPG 4 8 9 10 11
16 17 18 19 20 C.TXT 2 12 13
D.MKV 16 14 15 16 17 18 25
21 22 23 24 25

5 6 7
31 32 33 34 35 18 19 20 21 22 23 24
25 26

DISCO
Alocação por
i-nodes
1 2 3 4 5
A.DOC 6 1 2 3 4 5
11 12 13 14 15
B.JPG 4 8 9 10 11
16 17 18 19 20 C.TXT 2 12 13
D.MKV 16 14 15 16 17 18 25
21 22 23 24 25

5 6 7
31 32 33 34 35 18 19 20 21 22 23 24
25 26

26 27 28 29 30 31 32
DISCO
Alocação por
i-nodes
1 2 3 4 5
A.DOC 6+1 1 2 3 4 5
11 12 13 14 15
B.JPG 4 8 9 10 11
16 17 18 19 20 C.TXT 2 12 13
D.MKV 16 14 15 16 17 18 25
21 22 23 24 25

5 6 7
31 32 33 34 35 18 19 20 21 22 23 24
25 26

26 27 28 29 30 31 32
DISCO
Alocação por
i-nodes
1 2 3 4 5
A.DOC 7 1 2 3 4 5
11 12 13 14 15
B.JPG 4 8 9 10 11
16 17 18 19 20 C.TXT 2 12 13
D.MKV 16 14 15 16 17 18 25
21 22 23 24 25

5 6 7 33
31 32 33 34 35 18 19 20 21 22 23 24
25 26

26 27 28 29 30 31 32
DISCO
Alocação por
i-nodes
1 2 3 4 5
A.DOC 7 1 2 3 4 5
11 12 13 14 15
B.JPG 4 8 9 10 11
16 17 18 19 20 C.TXT 2 12 13
D.MKV 16 + 1 14 15 16 17 18 25
21 22 23 24 25

5 6 7 33
31 32 33 34 35 18 19 20 21 22 23 24
25 26

26 27 28 29 30 31 32
DISCO
Alocação por
i-nodes
1 2 3 4 5
A.DOC 7 1 2 3 4 5
11 12 13 14 15
B.JPG 4 8 9 10 11
16 17 18 19 20 C.TXT 2 12 13
D.MKV 17 14 15 16 17 18 25
21 22 23 24 25

5 6 7 33
31 32 33 34 35 18 19 20 21 22 23 24
25 26 34

26 27 28 29 30 31 32
DISCO
Alocação por
i-nodes
1 2 3 4 5
A.DOC 7 1 2 3 4 5
11 12 13 14 15
B.JPG 4 8 9 10 11
16 17 18 19 20 C.TXT 2 12 13
D.MKV 17 14 15 16 17 18 25
21 22 23 24 25
Bloco Cor Array de blocos
26 27 28 29 30
6 6 7 33
18 19 20 21 22 23 24
31 32 33 34 35 25 26 34
26 27 28 29 30 31 32
34 35
Mais sobre Arquivos
• Journaling File Systems:
– Robustez diante de falhas evitando inconsistências no FS
– Um log das tarefas que o sistema de arquivos deve executar é salvo no
disco antes de iniciar a execução. Exemplo de deleção no UNIX:
• Remover o arquivo do seu diretório
• Liberar o i-node para a lista de i-nodes livres
• Liberar os blocos do disco para a lista de blocos livres
– Diante de uma falha do sistema o log é verificado para determinar as
tarefas que já foram executadas e terminar as que faltaram
– Exemplos: NTFS, ext3, ext4, HFS+

Mais sobre Arquivos
• Assinatura – Magic Number – Header:
– Bytes iniciais no conteúdo do arquivo que indicam o tipo de arquivo

Mais sobre Arquivos
• Assinatura – Magic Number – Header:

Mais sobre Arquivos
• File Slack:
– Alocação em blocos de setores (cluster)
– Arquivo pode não ocupar o último cluster completamente
– Quantidade de bytes alocada a um arquivo é MAIOR OU IGUAL ao
tamanho do arquivo
– Tamanho físico X tamanho lógico
– O espaço entre o tamanho lógico do arquivo e o final do último cluster
alocado a ele é chamado de FILE SLACK
– O FILE SLACK pode conter dados pertencentes a outros arquivos que já
ocuparam esse cluster

Sumário

Recuperação de Arquivos
Cluster 10 = 2048B
Setor = 512B
Sistema de arquivos
Arquivo Cor Tamanho Cluster inicial

Cluster 10 = 2048B
Setor = 512B
Sistema de arquivos
A.DOC 2048B

Cluster 10 = 2048B
Setor = 512B
Tamanho lógico = Tamanho físico = 2048B
Sistema de arquivos
A.DOC 2048B 10

Cluster 10 = 2048B
Setor = 512B
Sistema de arquivos
A.DOC 2048B 10

Cluster 10 = 2048B
Setor = 512B
Sistema de arquivos
A.DOC 2048B 10

Cluster 10 = 2048B
Setor = 512B
Cluster livre com dados do arquivo A.DOC
Sistema de arquivos
A.DOC 2048B 10

É POSSÍVEL RECUPERAR O CONTEÚDO DE A.DOC ?

Cluster 10 = 2048B
Setor = 512B
Cluster livre com dados do arquivo A.DOC
Sistema de arquivos
Arquivo Cor Tamanho Cluster inicial Metadados do FS
ainda preservados
A.DOC 2048B 10
e dados ainda no
disco

Cluster 10 = 2048B
Setor = 512B
Sistema de arquivos
A.DOC 2048B 10
B.JPG 1280B

Cluster 10 = 2048B
B.JPG sobrescreve parte de A.DOC
Setor = 512B
Tamanho lógico = 1280B
Sistema de arquivos
A.DOC 2048B 10
B.JPG 1280B 10

Cluster 10 = 2048B
B.JPG sobrescreve parte de A.DOC
Setor = 512B
Tamanho físico = 2048B

Sistema de arquivos
A.DOC 2048B 10
B.JPG 1280B 10

Cluster 10 = 2048B
B.JPG sobrescreve parte de A.DOC Fragmento de A.DOC
Setor = 512B File Slack = 768B

Sistema de arquivos
A.DOC 2048B 10
B.JPG 1280B 10

E AGORA? O QUE DÁ PRA RECUPERAR DE A.DOC ?

Cluster 10 = 2048B
Setor = 512B File Slack = 768B

Ainda dá pra Sistema de arquivos
recuperar Arquivo Cor Tamanho Cluster inicial
metadados de
A.DOC 2048B 10
A.DOC e
fragmentos de B.JPG 1280B 10
seu conteúdo
Cluster 10 = 2048B
Setor = 512B
Sistema de arquivos
A.DOC 2048B 10
B.JPG 1280B 10

Cluster 10 = 2048B
Setor = 512B
Sistema de arquivos
A.DOC 2048B 10
B.JPG 1280B 10

Cluster 10 = 2048B
Dados de B.JPG Fragmento de A.DOC
Setor = 512B
Cluster livre com dados dos arquivos A.DOC e B.JPG

Não há como saber qual arquivo sobrescreveu e qual foi sobrescrito
Sistema de arquivos
A.DOC 2048B 10
B.JPG 1280B 10

E AGORA? O QUE DÁ PRA RECUPERAR?

Cluster 10 = 2048B
Setor = 512B
Cluster livre com dados dos arquivos A.DOC e B.JPG

Não há como saber qual arquivo sobrescreveu e qual foi sobrescrito
Sistema de arquivos Metadados do FS

Arquivo Cor Tamanho Cluster inicial ainda preservados.
Recupera os 2
A.DOC 2048B 10
arquivos, marcando
B.JPG 1280B 10 ambos como
sobrescritos
Cluster 10 = 2048B
Setor = 512B
Cluster continua livre com dados dos arquivos A.DOC e B.JPG

Não há mais como saber que B.JPG ocupou este cluster, apenas A.DOC
Sistema de arquivos
A.DOC 2048B 10 Sobrescreve
metadados de
C.TXT 1024B 20
B.JPG e este deixa
de existir no FS
E AGORA? O QUE DÁ PRA RECUPERAR?

Cluster 10 = 2048B
Setor = 512B

Não há mais como saber que B.JPG ocupou este cluster, apenas A.DOC
Sistema de arquivos Metadados de

Arquivo Cor Tamanho Cluster inicial A.DOC ainda
preservados.
A.DOC 2048B 10
Recupera A.DOC
C.TXT 1024B 20 mas com dados de
B.JPG no início.
Cluster 10 = 2048B
Setor = 512B

Não há mais como saber quais arquivos ocuparam esse cluster
Sistema de arquivos
Sobrescreve
Arquivo Cor Tamanho Cluster inicial metadados de
D.MKV 2048B 30 A.DOC e este
C.TXT 1024B 20 também deixa de
existir no FS
E AGORA? O QUE DÁ PRA RECUPERAR E COMO?

Cluster 10 = 2048B
Setor = 512B

Sistema de arquivos
D.MKV 2048B 30
C.TXT 1024B 20

Cluster 10 = 2048B
Setor = 512B

Magic Number (assinatura) do arquivo

JPG = \xFF \xD8 \xFF \xE1

• Data Carving:
– Buscar nos clusters livres do disco por assinaturas (magic numbers)
dos tipos de arquivos que se quer recuperar
– Último recurso quando não existem mais registros no FS
– Recupera tão somente os dados. Nomes de arquivos e outros
metadados não existem mais
– Assinatura normalmente está no início
do cluster
– Pode-se fazer data carving em arquivos
alocados

Cluster 10 = 2048B
Setor = 512B

Magic Number (assinatura) do arquivo Até onde vai o arquivo JPG?

JPG = \xFF \xD8 \xFF \xE1 • Footer
• Tamanho no conteúdo do arquivo
• Definição de tamanho máximo

E SE USARMOS UMA FERRAMENTA DE WIPE?

Cluster 20 = 2048B
Dados de C.TXT File Slack
Setor = 512B
Tamanho lógico = 1024B Ferramenta de Wipe
Sistema de arquivos
C.TXT 1024B 20

Cluster 20 = 2048B
FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF
Setor = 512B
Ferramenta de Wipe
Sistema de arquivos
FFFFFFF FFFFFFFF FFFFFFFFFFFF

• Resumindo:
– Recuperação usando metadados do Sistema de Arquivos
• Ferramentas varrem o sistema de arquivos em busca de registros marcados
como livres
• Recuperam os clusters livres a partir dos ponteiros nos metadados
• Recuperação de informações como nome, timestamps e tamanho lógico
• Processo bastante rápido
– Recuperação por Data Carving

• Ferramentas varrem o espaço não alocado (clusters livres) em busca de
assinaturas de arquivos (magic numbers)
• Não existem mais metadados dos arquivos no FS
• Não é possível recuperar informações como nome, timestamps e tamanho
lógico
• Processo bastante demorado
– Wipe
• Registros dos arquivos no FS e os dados nos clusters são sobrescritos
impedindo qualquer recuperação

Sumário

Inicialização do SO
• BIOS Firmware:

• BIOS x UEFI:
– Os boot loaders de baixo nível não são capazes de interpretar a estrutura de
um sistema de arquivos, permitindo acessar e carregar os arquivos
necessários para inicializar o SO
– De fato, com pouco código, eles são capazes apenas de ler blocos
consecutivos do disco
– Apenas um loader de maior nível, como o NTLDR, é capaz de interpretar os
sistemas de arquivos NTFS, FAT e ISO9660
– Com o desenvolvimento das arquiteturas de 64bits surge a especificação UEFI
(Unified Extensible Firmware Interface)
– Entre as vantagens do UEFI estão:
• Suporte a discos maiores (9.4ZB contra 2.2TB do MBR)
• Acesso a todo a memória (contra 1MB do BIOS)
• Dispensa a necessidade de boot em múltiplos estágios, pois é capaz de acessar os
arquivos de boot na partição EFI de boot (EFI System Partition - FAT)


• UEFI Firmware:
– O UEFI lê a tabela de partições GPT (GUID Partition Table) no início do disco e
identifica a partição de boot EFI (EFI System Partition - ESP)
– A partição EFI System Partition contém os boot loaders para todos os SOs
instalados nas outras partições do disco
– O UEFI Boot Manager é executado, exibindo o menu de seleção de
inicialização
– Dependendo do SO escolhido, o respectivo arquivo de boot loader é
executado (codificado em conformidade com o padrão UEFI)
• bootmgfw.efi (Windows)
• grub.efi (Linux)
• elilo.efi (Linux)
– O boot loader carrega então o kernel do SO

Sumário

Princípio da Troca de Locard
Revisão da Criminalística (Princípio importante):

• É impossível para o criminoso agir, especialmente considerando a intensidade de um
crime, sem deixar vestígios de sua presença.
• Com o contato entre dois itens, haverá uma troca.

Onde estão as evidências?
• Artefatos do SO:
– Sistemas Operacionais não registram
minuciosamente todos os passos dos
usuários, ou seja, NÃO SÃO AUDITÁVEIS
– O comportamento dos usuários deixa

rastros/vestígios no SO e aplicativos
– Esses rastros são denominados de

ARTEFATOS
• Chaves e valores no Windows Registry -
MRU;
• Link Files - MRU;
• Windows Prefetch;
• Shellbags;

• Artefatos de aplicativos:
– Rastros deixados pelos usuários ao fazer

uso de aplicativos
• Registros de log do Skype

• Configurações e arquivos baixados no
Telegram Desktop
• Identificação de arquivos compartilhados
e transmitidos em programas P2P


• Sistema de arquivos:
– Arquivos e diretórios contendo

informações salvas pelos usuários
– Sistema de arquivos gerencia a criação e

deleção de arquivos e diretórios, o
mapeamento dos espaços livres e
alocados das mídias

• Memória RAM:
– Dados voláteis que existem somente

enquanto o SO está em execução
• Processos em execução
• Portas de rede abertas
• Arquivos e chaves de registro acessadas
• Senhas e chaves criptográficas

PREPARAÇÃO DO LABORATÓRIO

Modulo 1 - Introdução - SO

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Modulo 1 - Introdução - SO

Enviado por

Direitos autorais:

Formatos disponíveis

Tópicos em Sistemas Operacionais

Módulo 1 – Introdução a Sistemas

Professor: Marcelo Abdalla dos Reis

Prof. Marcelo Abdalla dos Reis – Todos os direitos reservados.

Prof. Marcelo Abdalla dos Reis – Todos os direitos reservados.

Prof. Marcelo Abdalla dos Reis – Todos os direitos reservados.

Prof. Marcelo Abdalla dos Reis – Todos os direitos reservados.

O software é usado para solucionar os

Prof. Marcelo Abdalla dos Reis – Todos os direitos reservados.

Ref: Tanenbaum, Modern Operating Systems

Prof. Marcelo Abdalla dos Reis – Todos os direitos reservados.

Ref: Tanenbaum, Modern Operating Systems

Prof. Marcelo Abdalla dos Reis – Todos os direitos reservados.

Prof. Marcelo Abdalla dos Reis – Todos os direitos reservados.

Prof. Marcelo Abdalla dos Reis – Todos os direitos reservados.

Prof. Marcelo Abdalla dos Reis – Todos os direitos reservados.

Prof. Marcelo Abdalla dos Reis – Todos os direitos reservados.

Prof. Marcelo Abdalla dos Reis – Todos os direitos reservados.

Prof. Marcelo Abdalla dos Reis – Todos os direitos reservados.

Prof. Marcelo Abdalla dos Reis – Todos os direitos reservados.

Prof. Marcelo Abdalla dos Reis – Todos os direitos reservados.

Prof. Marcelo Abdalla dos Reis – Todos os direitos reservados.

Prof. Marcelo Abdalla dos Reis – Todos os direitos reservados.

Prof. Marcelo Abdalla dos Reis – Todos os direitos reservados.

Prof. Marcelo Abdalla dos Reis – Todos os direitos reservados.

Prof. Marcelo Abdalla dos Reis – Todos os direitos reservados.

Prof. Marcelo Abdalla dos Reis – Todos os direitos reservados.

Prof. Marcelo Abdalla dos Reis – Todos os direitos reservados.

Prof. Marcelo Abdalla dos Reis – Todos os direitos reservados.

Prof. Marcelo Abdalla dos Reis – Todos os direitos reservados.

Prof. Marcelo Abdalla dos Reis – Todos os direitos reservados.

Prof. Marcelo Abdalla dos Reis – Todos os direitos reservados.

Prof. Marcelo Abdalla dos Reis – Todos os direitos reservados.

Prof. Marcelo Abdalla dos Reis – Todos os direitos reservados.

Prof. Marcelo Abdalla dos Reis – Todos os direitos reservados.

Prof. Marcelo Abdalla dos Reis – Todos os direitos reservados.

Prof. Marcelo Abdalla dos Reis – Todos os direitos reservados.

Prof. Marcelo Abdalla dos Reis – Todos os direitos reservados.

– Ainda usado em mídias óticas

Prof. Marcelo Abdalla dos Reis – Todos os direitos reservados.

Prof. Marcelo Abdalla dos Reis – Todos os direitos reservados.

Prof. Marcelo Abdalla dos Reis – Todos os direitos reservados.

Prof. Marcelo Abdalla dos Reis – Todos os direitos reservados.

Prof. Marcelo Abdalla dos Reis – Todos os direitos reservados.

Prof. Marcelo Abdalla dos Reis – Todos os direitos reservados.

Prof. Marcelo Abdalla dos Reis – Todos os direitos reservados.

Prof. Marcelo Abdalla dos Reis – Todos os direitos reservados.

Prof. Marcelo Abdalla dos Reis – Todos os direitos reservados.

Prof. Marcelo Abdalla dos Reis – Todos os direitos reservados.

Prof. Marcelo Abdalla dos Reis – Todos os direitos reservados.

Prof. Marcelo Abdalla dos Reis – Todos os direitos reservados.

Prof. Marcelo Abdalla dos Reis – Todos os direitos reservados.

Prof. Marcelo Abdalla dos Reis – Todos os direitos reservados.

Prof. Marcelo Abdalla dos Reis – Todos os direitos reservados.

Prof. Marcelo Abdalla dos Reis – Todos os direitos reservados.

Prof. Marcelo Abdalla dos Reis – Todos os direitos reservados.

Prof. Marcelo Abdalla dos Reis – Todos os direitos reservados.

Prof. Marcelo Abdalla dos Reis – Todos os direitos reservados.

Prof. Marcelo Abdalla dos Reis – Todos os direitos reservados.

Prof. Marcelo Abdalla dos Reis – Todos os direitos reservados.

Prof. Marcelo Abdalla dos Reis – Todos os direitos reservados.

Prof. Marcelo Abdalla dos Reis – Todos os direitos reservados.

Prof. Marcelo Abdalla dos Reis – Todos os direitos reservados.