Escolar Documentos
Profissional Documentos
Cultura Documentos
MT
CE-Conselho
D FE
Digital Princípios Forenses
Machine Translated by Google
Objetivos do Módulo
4 Visão geral de vários sistemas de arquivos dos sistemas operacionais Windows, Linux e Mac
Objetivos do Módulo
Dispositivos de armazenamento como unidades de disco rígido (HDDs) e unidades de estado sólido (SSDs) são
uma fonte importante de informações durante a investigação forense. O investigador deve localizar e proteger os
dados coletados dos dispositivos de armazenamento como prova. Portanto, é necessário que o investigador tenha
conhecimento sobre a estrutura e o comportamento dos dispositivos de armazenamento. O sistema de arquivos
também é importante, pois o armazenamento e a distribuição dos dados em um dispositivo dependem do sistema
de arquivos usado.
ÿ Compreender o processo de inicialização dos sistemas operacionais (SOs) Windows, Linux e Mac
Módulo 03 Página 86 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Fluxo do módulo
Explique o lógico
Estrutura de um disco
Entenda o processo de
inicialização do Windows, Linux e
Sistemas operacionais Mac Entenda Vários Arquivos
Sistemas de Windows,
Linux e Mac
Examine o arquivo Sistemas operacionais
Sistema
Módulo 03 Página 87 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Setores
Conector de força
Pinos de jumper
Um HDD é um dispositivo de armazenamento de dados digitais não voláteis usado em um sistema de computador.
Um disco rígido armazena dados usando um método semelhante ao usado em um gabinete de arquivo. O usuário,
quando necessário, pode acessar os dados e programas. Quando o computador precisa de programas ou dados
armazenados, o sistema copia os dados do HDD para um local temporário. Quando o usuário ou o sistema faz
alterações em um arquivo, o computador salva o arquivo substituindo o arquivo antigo pelo novo. O HDD grava os
dados magneticamente no disco rígido.
O HDD consiste em pratos giratórios e suas velocidades de leitura/gravação dependem das revoluções por minuto
(RPM) desses pratos. Quanto mais rápido o prato girar, maior será o desempenho de leitura/gravação do HDD.
Os HDDs são suscetíveis a danos físicos porque contêm partes móveis. A longo prazo, as partes móveis se
desgastam, danificando o acionamento.
Módulo 03 Página 88 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Capacidade
ÿ Interface utilizada
ÿ Velocidade em RPM
ÿ Procurar tempo
ÿ Tempo de acesso
ÿ Tempo de transferência
Módulo 03 Página 89 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Os pratos têm duas superfícies, cada uma delas dividida em círculos concêntricos chamados trilhas. As trilhas armazenam
todas as informações em um disco rígido e as trilhas em uma partição de prato armazenam grandes blocos de dados. Um
disco rígido moderno contém dezenas de milhares de faixas em cada prato. As cabeças rolantes leem e gravam dados da
parte mais interna para a mais externa do disco. Esse tipo de arranjo de dados permite acesso fácil a qualquer parte do
disco, e é por isso que os discos rígidos têm o apelido de “dispositivos de armazenamento de acesso aleatório”.
Cada trilha contém várias unidades menores chamadas setores, e todos os pratos em um HDD têm a mesma densidade
de trilhas. A densidade da via refere-se à compacidade dos círculos da via; ele deve ser maximizado para que uma
unidade de área na superfície do prato possa conter o número máximo de bits.
A densidade da trilha também determina a capacidade de armazenamento de um disco rígido.
Módulo 03 Página 90 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Cabeça 1
Cabeça 2
Cabeça 4
Faixas
Um cilindro é um grupo de todas as trilhas que começam na mesma posição da
cabeça do disco Setor
ÿ A numeração das faixas em um disco rígido começa em 0 a partir da borda externa e se move em direção ao centro. O número
de faixas em um disco rígido depende do tamanho do disco
ÿ As cabeças de leitura/gravação em ambas as superfícies de um prato estão bem embaladas e travadas juntas
em uma montagem de braços de cabeça
ÿ Os braços se movem para dentro e para fora juntos para localizar fisicamente todas as cabeças no mesmo número de faixa
ÿ Portanto, uma localização de trilha é frequentemente referida por um número de cilindro em vez de uma trilha
número
ÿ Um cilindro é um grupo de todas as trilhas que começam na mesma posição da cabeça do disco
Módulo 03 Página 91 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Cada setor contém dados de tamanho fixo: 512 bytes para HDDs, 2048
bytes para CD-ROMs e DVD-ROMs.
Os HDDs mais recentes usam setores de 4.096 bytes (4 KB).
Por exemplo, se o tamanho do arquivo for 600 bytes, dois setores de 512 bytes
serão alocados para o arquivo
contêm divisões menores chamadas setores, que são as menores unidades de armazenamento físico em uma bandeja
de disco rígido. Um setor é um termo matemático que denota uma parte em forma de torta ou angular de um círculo e
é delimitado pelo perímetro do círculo e dois raios.
Cada setor normalmente armazena 512 bytes de dados para HDDs e 2048 bytes para CD-ROMs e DVD-ROMs; os
HDDs mais recentes usam setores de 4.096 bytes (4 KB), com bytes adicionais utilizados para controle interno da
unidade, informações que auxiliam no armazenamento de dados e na detecção e correção de erros. Todos os setores
entre dois círculos concêntricos formam uma trilha. As faixas se combinam para formar a superfície de um prato de
disco.
Os conteúdos de um setor são os seguintes.
ÿ Informações de ID: Esta parte contém o número e a localização do setor, que identificam os setores
no disco. Ele também contém informações sobre o status do setor.
ÿ Campos de sincronização: O controlador do drive conduz o processo de leitura usando estes campos ÿ
Dados: Esta parte é a informação armazenada no setor ÿ Codificação de correção de erros (ECC): Este
código garante a integridade dos dados ÿ Gaps: São espaços usados para fornecer tempo para o controlador
continuar a leitura
processo
Esses elementos constituem despesas gerais do setor. É um determinante importante do tempo necessário para
acessar os dados. Como o disco rígido usa bits para gerenciamento de disco ou dados, o tamanho da sobrecarga deve
ser minimizado para maximizar a eficiência. Um arquivo em um disco armazena dados em uma série contígua para uso
ideal do espaço, enquanto o sistema aloca setores para o arquivo de acordo com seu tamanho. Se o tamanho de um
arquivo for de 600 bytes, o sistema alocará dois setores, cada um com 512 bytes. O número da faixa e o número do
setor referem-se ao endereço de qualquer dado no disco rígido.
Módulo 03 Página 92 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Os números de trilha e setor são usados pelo sistema operacional e pela unidade
de disco para identificar as informações armazenadas
ÿ Por exemplo, o disco formatado pode conter 50 faixas, cada uma dividida em 10
setores
ÿ Números de trilha e setor são usados pelo sistema operacional e unidade de disco para identificar o armazenado
Informação
Módulo 03 Página 93 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ O Formato Avançado de Geração Um, também chamado de tecnologia de setor 4K, usa com eficiência a
mídia de superfície de armazenamento de um disco ao mesclar oito setores de 512 bytes em um
único setor de 4.096 bytes
Marca de endereço
distribuído
ETC
Novos discos rígidos usam setores de formato avançado de 4096 bytes (4 KB ou 4 K). Este formato usa a
mídia de superfície de armazenamento de um disco de forma eficiente, mesclando oito setores de 512 bytes
em um único setor (4096 bytes). A estrutura de um setor de 4K mantém os elementos de design de setores
de 512 bytes, com as áreas de início e codificação de correção de erro (ECC) representadas pelos caracteres
de identificação e sincronização, respectivamente. A tecnologia de setor 4K remove áreas de cabeçalho
redundantes entre os setores.
Módulo 03 Página 94 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Os dados são gravados em um disco rígido usando um método chamado gravação de bit de zona (também conhecido
como gravação de zona múltipla)
Os discos rígidos armazenam dados usando o método de gravação de bit de zona, também conhecido como gravação de
zona múltipla. Nesta técnica, as trilhas formam uma coleção de zonas dependendo de sua distância do centro do disco, e as
trilhas externas têm mais setores do que as trilhas internas. Isso permite que a unidade armazene mais bits em cada trilha
externa do que na zona mais interna, o que ajuda a atingir uma alta capacidade total de dados.
ÿ Densidade de trilha: Este termo refere-se ao espaço requerido por um determinado número de trilhas em um disco.
Discos com maior densidade de trilha podem armazenar mais informações e oferecer melhor desempenho.
ÿ Densidade de área: Este termo refere-se ao número de bits por polegada quadrada em um prato e
representa a quantidade de dados que um disco rígido pode conter.
ÿ Densidade de bits: Este termo refere-se ao número de bits que uma unidade de comprimento de trilha pode acomodar.
Módulo 03 Página 95 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Responder
*
Tamanho Total do Disco = Nº de Cilindros Nº de Chefes * Nº de Setores
por Trilha * 512
Total
bytes
do Disco
por Setor
= (16.384
Tamanho
* *
cilindros) trilha) (80 cabeças) (63 setores /
* (512 bytes/setor)
= 42.278.584.320 bytes
O endereçamento de dados do disco rígido é a técnica de atribuir endereços a blocos físicos de dados em
HDs.
O processo Cylinder-Head-Sector (CHS) identifica setores individuais em um disco rígido de acordo com suas posições
em uma trilha, e os números da cabeça e do cilindro determinam essas trilhas. Ele associa informações do disco rígido
por especificações como cabeçote (lado do prato), cilindro (raio) e setor (posição angular).
Exemplo de cálculo de capacidade de disco: Uma unidade de disco tem 16.384 cilindros, 80 cabeçotes e 63 setores
por trilha. Suponha - um setor tem 512 bytes. Qual é a capacidade de tal disco?
Responder
* Nº de cabeças *
Tamanho Total do Disco = Nº do Setor de Nº de setores por trilha * 512 bytes por
Cilindros
Tamanho Total do Disco = (16.384 cilindros) * (80 cabeças) * (63 setores/trilha) * (512 bytes/setor)
= 42.278.584.320 bytes
Módulo 03 Página 96 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Medindo o
Disco rígido
Desempenho
ÿ Os dados são armazenados no disco rígido na forma de arquivos
Os dados são armazenados no disco rígido na forma de arquivos. Quando um programa em execução solicita um
arquivo, o disco rígido recupera o conteúdo de bytes do arquivo e envia os bytes para a CPU, um de cada vez, para
processamento posterior. A medição do desempenho da unidade de disco rígido inclui o cálculo de suas duas
características, incluindo o tempo de acesso e a taxa de transferência de dados.
Tempo de acesso
O tempo de acesso refere-se ao tempo que uma unidade leva para iniciar a transferência de dados. Este tempo
depende da natureza mecânica dos discos rotativos e cabeçotes móveis. A seguir estão os principais componentes
adicionados para obter o tempo de acesso:
ÿ Tempo de busca: Este é o tempo necessário para um controlador de disco rígido encontrar um determinado
dado. Ao ler ou gravar dados, as cabeças do disco se movem para a posição correta por meio do processo
de busca. O tempo necessário para mover as cabeças do disco de leitura ou gravação de um ponto para
outro no disco é o tempo de busca. O tempo de busca é geralmente entre 10 e 20 ms, com os discos
rígidos de desktop comuns tendo um tempo de busca de aproximadamente 9 ms.
ÿ Latência rotacional: Refere-se ao atraso rotacional no setor de disco escolhido para girar sob os cabeçotes
da unidade de disco de leitura ou gravação. A latência rotacional média do disco é metade do tempo que o
disco leva para completar uma revolução. O termo é aplicável apenas a dispositivos de armazenamento
rotativo, como HDDs e unidades de disquete, mas não a unidades de fita.
ÿ Taxa de transferência de dados: A taxa de transferência de dados de uma unidade é expressa pela taxa
interna, que é a taxa de transferência de dados entre a superfície do disco e o controlador da unidade, bem
como a taxa externa, que é a taxa de transferência de dados entre os controlador de unidade e sistema
host. A taxa de transferência do host ou taxa de transferência de dados é a velocidade na qual o host
Módulo 03 Página 97 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
computador pode transferir dados do Integrated Drive Electronics (IDE)/Enhanced IDE (EIDE) ou
Small Computer System Interface (SCSI) para a CPU.
o As taxas de transferência de dados na zona interna variam de 44,2 MB/s a 74,5 MB/s
o A taxa de transferência de dados na zona externa varia de 74,0 MB/s a 111,4 MB/s
Módulo 03 Página 98 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Os SSDs são mais rápidos que os HDDs, pois não possuem partes móveis e o desempenho de leitura/gravação depende da conexão de dados da unidade
Controlador
É um processador que atua como uma ponte entre os
componentes da memória flash e o computador (host)
executando um software de nível de firmware
DRAM
SSD PCB Poder
Porta É uma memória volátil que fornece desempenho de leitura/
gravação mais rápido
Interface do host
Um SSD se conecta à máquina host usando uma interface. As interfaces SSD comumente
usadas são SATA, PCIe, SCSI, etc.
Um SSD é um dispositivo eletrônico de armazenamento de dados que implementa a tecnologia de memória de estado sólido
para armazenar dados de maneira semelhante a um HDD. Em eletrônica, o termo “estado sólido” refere-se a um circuito
eletrônico construído inteiramente com semicondutores. Os SSDs usam os dois tipos de memória a seguir.
ÿ SSDs baseados em NAND: Esses SSDs usam microchips de memória NAND de estado sólido para armazenar dados.
A memória NAND é não volátil por natureza e retém a memória mesmo sem energia.
Portanto, os dados nesses microchips estão em um estado não volátil e não precisam de partes móveis. A memória
NAND foi desenvolvida principalmente para reduzir o custo por bit de armazenamento de dados. No entanto, ainda
é mais caro que a memória óptica e os HDDs. A memória baseada em NAND é amplamente usada atualmente em
dispositivos móveis, câmeras digitais, MP3 players, etc. Ela permite apenas um número finito de gravações durante
a vida útil do dispositivo.
ÿ SSDs baseados em RAM volátil: SSDs baseados em memória volátil, como RAM dinâmica (DRAM), são usados
quando os aplicativos exigem acesso rápido aos dados. Esses SSDs incluem uma bateria recarregável interna ou
um adaptador AC/DC externo, bem como armazenamento de backup. Os dados residem na DRAM durante o
acesso a dados e são armazenados no armazenamento de backup em caso de falha de energia.
Vantagens do SSD
As três principais vantagens do SSD sobre os discos rígidos magnéticos são as seguintes:
ÿ Maior confiabilidade
Módulo 03 Página 99 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
SSD PCB
Poder
Porta
Componentes do SSD
1. Memória flash NAND—Ele usa tecnologia de armazenamento não volátil para armazenar dados e consiste
de transistores de porta flutuante que não requerem energia para reter dados
2. Controlador— É um processador embutido que atua como uma ponte entre os componentes da memória
flash e o sistema, executando um software de nível de firmware
3. DRAM— É uma memória volátil e requer energia para reter os dados. A DRAM está incluída em um SSD
para aumentar seu desempenho de leitura/gravação.
4. Interface de host—Com base nos requisitos de desempenho, várias interfaces de host são usadas em
SSDs. As interfaces de host SSD comumente usadas incluem Serial Advanced Technology Attachment
(SATA), Peripheral Component Interconnect Express (PCIe) e SCSI.
Módulo 03 Página 100 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Interfaces de disco
ATA/PATA (IDE/EIDE) Serial ATA/SATA (AHCI) Serial Attached SCSI
ATA (Advanced Technology Attachment) é É um avanço do ATA e usa sinalização serial, ao SAS (Serial Attached SCSI) é o sucessor e uma alternativa
o ANSI oficial (American National Standards contrário da sinalização paralela do IDE avançada ao SCSI paralelo em ambientes corporativos
Institute) nome do Integrated Drive
Eletrônica (IDE), uma interface padrão entre o barramento de
dados da placa-mãe e os discos de armazenamento
Interfaces de disco
Uma unidade de armazenamento se conecta a um PC usando uma interface. Existem vários tipos de interfaces, incluindo
IDE, SATA, PCIe e SCSI.
ÿ ATA/PATA (IDE/EIDE)
IDE é uma interface eletrônica padrão usada entre os caminhos ou barramento de dados da placa-mãe de um
computador e os dispositivos de armazenamento do computador, como HDDs, SSDs e unidades de CD-ROM/DVD.
O padrão de barramento IBM PC Industry Standard Architecture (ISA) de 16 bits é a base para a interface IDE,
que oferece conectividade em computadores que usam outros padrões de barramento. O IDE oficial do American
National Standards Institute (ANSI) é o Advanced Technology Attachment (ATA).
ÿ ATA Paralelo
O Parallel ATA (PATA), baseado na tecnologia de sinalização paralela, oferece um controlador na própria unidade
de disco e, assim, elimina a necessidade de uma placa adaptadora separada. Os padrões PATA permitem apenas
comprimentos de cabo de até 46 cm (18 pol.).
o Relativamente barato
Módulo 03 Página 101 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
o Fácil de configurar
A maioria dos computadores vendidos hoje usa uma versão aprimorada do IDE chamada Enhanced Integrated
Drive Electronics (EIDE). Unidades IDE se conectam a PCs usando uma placa adaptadora de host IDE. O
controlador IDE em computadores modernos é um recurso embutido na placa-mãe. EIDE é uma extensão da
interface IDE que suporta os padrões ATA-2 e ATA Packet Interface (ATAPI). A placa-mãe contém dois tipos
de soquetes EIDE. Um soquete conecta duas unidades, ou seja, cabos de 80 fios para discos rígidos rápidos
e um cabo de fita de 40 pinos para CD-ROMs/DVD-ROMs. IDE aprimorado ou expandido é uma interface
eletrônica padrão que conecta a placa-mãe de um computador às suas unidades de armazenamento. O EIDE
pode endereçar um disco rígido maior que 528 Mbytes, permite acesso rápido ao disco rígido e fornece
suporte para acesso direto à memória (DMA) e unidades adicionais, como dispositivos de fita e unidades de
CD-ROM. Ao atualizar um sistema de computador com um disco rígido maior, o controlador EIDE é inserido
no slot da placa do sistema. O EIDE acessa unidades maiores que 528 Mbytes usando um endereço de bloco
lógico (LBA) de 28 bits para indicar as localizações reais do cabeçote, setor e cilindro dos dados do disco. O
LBA de 28 bits fornece informações suficientes para identificar setores exclusivos em um dispositivo de
armazenamento com capacidade de 8,4 GB.
ÿ Serial ATA
Serial ATA (SATA) oferece um canal ponto a ponto entre a placa-mãe e a unidade.
Os cabos em SATA são mais curtos do que os em PATA. Utiliza cabos blindados de quatro fios de até 1 m
de comprimento. Os cabos SATA são mais flexíveis, mais finos e mais leves do que os cabos de fita
necessários para os discos rígidos PATA convencionais.
o Fácil de configurar
o Transfere dados a uma taxa de 1,5 Gbps (SATA revisão 1.0) e 6 Gbps (SATA revisão 3)
A conectividade da unidade e da placa-mãe por meio de um canal ponto a ponto SATA é baseada na
tecnologia de sinalização serial. Essa tecnologia permite a transferência de dados a uma taxa de
aproximadamente 1,5 Gbps em um modo de canal half-duplex.
ÿ SCSI
SCSI é um conjunto de interfaces eletrônicas padrão ANSI que permite que computadores pessoais se
comuniquem com hardware periférico, como unidades de disco, unidades de fita, unidades de CD-ROM,
Módulo 03 Página 102 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
impressoras e scanners. Adotados pela Apple Computer, Inc. e ainda usados no Macintosh, os atuais
conjuntos de SCSIs são interfaces paralelas. As portas SCSI continuam disponíveis como um recurso
integrado em vários PCs atualmente e são suportadas por todos os principais sistemas operacionais. Além
de fornecer taxas de dados mais rápidas, o SCSI é mais flexível do que as interfaces de transferência de
dados paralelas anteriores. O SCSI permite que até 7 ou 15 dispositivos (dependendo da largura do
barramento) sejam conectados a uma única porta SCSI em cadeia. Isso permite que uma placa de circuito ou
placa acomode todos os periféricos, em vez de ter uma placa separada para cada dispositivo, tornando-a uma
interface ideal para uso com computadores portáteis e notebooks. Um único adaptador de host, na forma de
um cartão de PC, pode servir como uma interface SCSI para um laptop, liberando as portas paralela e serial
para uso com um modem externo e impressora, além de permitir o uso de outros dispositivos.
SCSI-1 6 5 8
SCSI-2 6 5-10 8 ou 16
Wide SCSI-2 3 20 16
Ultra-2 SCSI 12 40 8
Ultra-3 (Ultra160/m)
12 160 16
SCSI
Serial Attached SCSI (SAS) é um protocolo serial ponto a ponto que lida com o fluxo de dados entre
dispositivos de armazenamento de computador, como HDDs e unidades de fita. É o sucessor do Parallel
SCSI e usa o conjunto de comandos SCSI padrão.
Módulo 03 Página 103 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
O SAS é escolhido em vez do SCSI devido à sua flexibilidade e outros recursos benéficos, conforme explicado abaixo:
o Enquanto o padrão SCSI paralelo mais recente pode suportar no máximo apenas 16 dispositivos, o SAS faz uso de
expansores e pode suportar até 65.535 dispositivos
o Como o SAS é uma tecnologia ponto-a-ponto, não é afetado por problemas de contenção de recursos, que eram
comuns em SCSI paralelo
ÿ SSD PCIe
Um SSD PCIe é uma placa de expansão serial de alta velocidade que integra o flash diretamente na placa-mãe.
Esses dispositivos se conectam à máquina host por meio de seu próprio link serial, eliminando a necessidade de
compartilhar um barramento, reduzindo a latência e aprimorando as velocidades de transferência de dados entre um
servidor e o armazenamento. A velocidade da transferência de dados é determinada pelo número de pistas PCIe por
SSD. O PCIe 5.0 foi lançado em 29 de maio de 2019 e possui uma largura de banda de 32 GT/s (~128 GB/s),
tornando-o ideal para aplicativos como inteligência artificial, aprendizado de máquina, jogos, computação visual,
armazenamento e rede.
Non-Volatile Memory Express (NVMe) é um protocolo de armazenamento desenvolvido para memória flash NAND e
SSDs de alto desempenho que usam tecnologia de slot de cartão PCIe. Com seu sistema de enfileiramento paralelo,
o NVMe supera as limitações do SATA e outras opções de armazenamento SSD.
Ele pode lidar com cargas de trabalho mais pesadas, reduzir a latência e oferecer melhor suporte de fila do que SSDs
SATA/Advanced Host Controller Interface (AHCI), aumentando significativamente o desempenho e mitigando os
gargalos da CPU. Atualmente, o NVMe oferece suporte a três fatores de forma: placas PCIe adicionais, SSDs M.2 e
SSDs U.2 de 2,5 polegadas.
Módulo 03 Página 104 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Fluxo do módulo
Explique o lógico
Estrutura de um disco
Entenda o processo de
inicialização do Windows, Linux e
Sistemas operacionais Mac Entenda Vários Arquivos
Sistemas de Windows,
Linux e Mac
Examine o arquivo Sistemas operacionais
Sistema
Módulo 03 Página 105 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
A estrutura lógica de um disco rígido depende principalmente dos sistemas de arquivos usados e do software, como
o sistema operacional. Esses fatores controlam e definem o processo de acesso aos dados no disco rígido. Os
sistemas operacionais usam diferentes tipos de sistemas de arquivos, e esses sistemas de arquivos usam vários
outros tipos de mecanismos de controle e acesso para dados no disco rígido. Os sistemas operacionais organizam
o mesmo disco rígido de várias maneiras diferentes. A estrutura lógica do disco rígido influencia diretamente a
consistência, desempenho, compatibilidade e capacidade de expansão dos subsistemas de armazenamento do disco rígido.
Módulo 03 Página 106 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Clusters
O processo pelo qual os arquivos são alocados para clusters é chamado de alocação;
portanto, os clusters também são conhecidos como unidades de alocação
No sistema de arquivos File Allocation Table (FAT), os clusters vinculados a um arquivo acompanham
os dados do arquivo na tabela de alocação de arquivos do disco rígido
Clusters
Clusters são as menores unidades de armazenamento acessíveis em um disco rígido. Os sistemas de arquivos
dividem o volume de dados armazenados no disco em partes discretas de dados para desempenho ideal e uso
eficiente do disco. Clusters são formados pela combinação de setores para facilitar o processo de manipulação de
arquivos. Também chamados de unidades de alocação, os clusters são conjuntos de trilhas e setores que variam do
cluster número 2 ao 32 ou superior, dependendo do esquema de formatação. Os sistemas de alocação de arquivos
devem ser flexíveis para alocar os setores necessários aos arquivos. A alocação pode ser do tamanho de um setor por
cluster. Qualquer processo de leitura ou gravação consome um espaço mínimo de um cluster.
Para armazenar um arquivo, o sistema de arquivos deve atribuir o número necessário de clusters a ele. O tamanho do
cluster depende inteiramente do volume do disco e varia de 4 a 64 setores. Em alguns casos, o tamanho do cluster
pode ser de 128 setores. Os setores localizados em um cluster são contínuos. Portanto, cada cluster é um pedaço
contínuo de espaço no disco rígido. Em um cluster, quando o sistema de arquivos armazena um arquivo menor que o
tamanho do cluster, o espaço extra é desperdiçado e é chamado de espaço livre.
Módulo 03 Página 107 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Tamanho do cluster
Tamanho do cluster
O dimensionamento do cluster tem um impacto significativo no desempenho de um sistema operacional e na utilização do disco. O
particionamento de disco determina o tamanho de um cluster e volumes maiores usam tamanhos de cluster maiores. O sistema pode
alterar o tamanho do cluster de uma partição existente para aprimorar o desempenho. Se o tamanho do cluster for 8192 bytes, o
sistema de arquivos aloca um cluster inteiro para armazenar um arquivo de 5000 bytes. Se o tamanho do arquivo for 10.000 bytes, o
sistema de arquivos alocará dois clusters totalizando 16.384 bytes no espaço de armazenamento. Portanto, o tamanho do cluster
desempenha um papel vital na maximização do uso eficiente do disco. O uso de um tamanho de cluster grande diminui o problema
de fragmentação, mas aumenta muito as chances de espaço não utilizado.
O sistema de arquivos em execução no computador mantém as entradas do cluster. Os clusters formam cadeias no disco usando
números contínuos, para os quais não é necessário armazenar um arquivo inteiro em um bloco contínuo no disco. O sistema de
arquivos pode armazená-lo em partes localizadas em qualquer lugar do disco, bem como movê-lo para qualquer lugar após a criação
do arquivo. Esse encadeamento de cluster é invisível para o sistema operacional.
Os usuários podem alterar o tamanho do cluster somente ao reformatar a unidade.
ÿ Clique com o botão direito do mouse na unidade que deseja formatar e selecione Formatar
ÿ
Na caixa de diálogo Formatar, escolha o tamanho da unidade de alocação que a unidade recém-formatada deve usar. O
tamanho do cluster pode variar de 512 bytes a 4096 bytes
Módulo 03 Página 108 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Clusters Perdidos
Quando o sistema operacional marca clusters como usados, mas não os aloca
01 para nenhum arquivo, esses clusters são conhecidos como clusters perdidos
Clusters Perdidos
Um cluster perdido é um erro da tabela de alocação de arquivos (FAT) que ocorre quando o sistema operacional marca os clusters
como usados, mas não aloca nenhum arquivo para eles. O erro se origina do processo usado pelo sistema de arquivos FAT para
atribuir espaços e agrupar arquivos. É principalmente um erro de estrutura lógica e não um erro de disco físico. Os clusters perdidos
ocorrem quando o usuário não fecha os arquivos corretamente ou desliga um computador sem fechar um aplicativo. Esses erros
também ocorrem devido a corrupções de disco, como drivers ruins e conflitos de recursos. Os sistemas operacionais marcam esses
clusters como em uso, embora não tenham arquivos atribuídos ou vinculados a eles. Os programas de verificação de disco podem
examinar um volume de disco completo em busca de clusters perdidos. Para detectar clusters perdidos, pode-se usar um programa
que pode salvá-los como um arquivo ou limpá-los. O último gera e vincula arquivos artificiais a esses clusters. Este método resultará
em danos ao arquivo recém-formado; no entanto, os dados órfãos são visíveis e é possível recuperar algumas partes desses dados.
Os programas de verificação de disco podem verificar o sistema do computador em busca de clusters perdidos usando o procedimento
a seguir.
ÿ É gerada uma cópia duplicada na memória do FAT observando todos os clusters marcados
como “em uso”.
ÿ A partir do diretório raiz, os clusters utilizados por um arquivo são rastreados e marcados como “contabilizados” para conectá-
los ao arquivo. Este procedimento é repetido para todos os subdiretórios.
ÿ Clusters perdidos ou clusters “órfãos” são marcados no FAT como sendo usados, mas não têm link para
qualquer arquivo.
Módulo 03 Página 109 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Chkdsk.exe ou Check Disk é um utilitário interno do Windows que ajuda a detectar erros no sistema de
arquivos e na mídia do disco. O utilitário Check Disk deve ser usado no caso de problemas como telas azuis
e dificuldade para abrir ou salvar arquivos ou pastas. Este utilitário também verifica setores defeituosos e
clusters perdidos.
ÿ Digite chkdsk no prompt de comando para executar o utilitário Check Disk no modo somente leitura
ÿ Depois de concluir uma verificação, o utilitário Check Disk exibirá o status da unidade atual
Módulo 03 Página 110 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Espaço livre
Slack space é a área de Se o tamanho do arquivo for menor que o tamanho Por exemplo, se o tamanho da partição for
armazenamento de um disco entre o do cluster, um cluster completo ainda será de 4 GB, cada cluster terá 32 KB de tamanho.
final de um arquivo e o final de um atribuído a esse arquivo. O espaço não utilizado Mesmo que um arquivo exija apenas 10 KB, todos
cluster restante é chamado de espaço slack. os 32 KB serão alocados para esse arquivo,
Espaço livre
O espaço livre é a área desperdiçada de um cluster de disco entre o final de um arquivo e o final do cluster; ele é criado
quando o sistema de arquivos aloca um cluster completo para um arquivo menor que o tamanho do cluster. Um grande
número de arquivos e um grande tamanho de cluster resultam em espaço em disco desperdiçado devido à falta de
espaço. Os sistemas de arquivos DOS e Windows usam clusters de tamanho fixo. O tamanho consumido por um
arquivo dentro de um cluster é independente do armazenamento de dados, embora o sistema de arquivos reserve todo
o espaço dentro de um cluster para um arquivo. As versões mais antigas do Windows e do DOS usavam uma tabela
de alocação de 16 bits, resultando em um grande tamanho de cluster para grandes partições. Por exemplo, se o
tamanho de cada partição for 4 GB, o tamanho de cada cluster for 32 KB e um arquivo exigir apenas 10 KB, o sistema
alocará um cluster inteiro de 32 KB, resultando em 22 K de espaço disponível.
Para eliminar essa ineficiência, o sistema usa o particionamento. Outra abordagem para reduzir o espaço ocioso é usar
o New Technology File System (NTFS), que permite clusters muito menores em grandes partições do que o FAT. O
arquivamento de arquivos usados com pouca frequência também pode usar a compactação para reduzir a folga. À
medida que o tamanho dos discos aumenta, o problema do espaço slack ganha importância.
Módulo 03 Página 111 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ RAM slack: RAM slack é o espaço de armazenamento de dados que começa do final de um arquivo até o
fim do último setor do arquivo
ÿ Folga na unidade: A folga na unidade é o espaço de armazenamento de dados que começa no final do último setor
de um arquivo até o final do último cluster do arquivo
No campo da investigação forense, o espaço livre é uma importante forma de evidência. Muitas vezes, o slack space pode conter
informações suspeitas relevantes exigidas por um promotor para apresentar como prova no tribunal. Por exemplo, se o suspeito excluiu os
arquivos de um cluster de disco rígido inteiro e salvou novos arquivos, que preencheram metade do cluster, a outra metade pode não estar
vazia. Ele pode conter os dados dos arquivos excluídos. Os examinadores forenses podem coletar esses dados usando ferramentas
forenses de computador.
Módulo 03 Página 112 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
1 3
Um registro mestre de inicialização (MBR) Na prática, MBR quase sempre se refere
é o primeiro setor ("setor zero") de um ao setor de inicialização de 512 bytes (ou
dispositivo de armazenamento de dados , setor de partição) de um disco
como um disco rígido
2 4
As informações sobre os arquivos no MBR é usado para o seguinte:
disco, suas localizações e tamanhos e Segurando uma tabela de partição que se refere às
outros dados importantes são armazenados partições de um disco rígido
no arquivo MBR
Inicializando um sistema operacional
Master Boot Record (MBR) refere-se ao primeiro setor de um disco rígido ou setor zero, que especifica a localização de
um sistema operacional para o sistema carregar no armazenamento principal. O MBR também é chamado de setor de
partição ou tabela de partição mestre, pois contém uma tabela que localiza os dados do disco particionado. Um programa
no registro carrega o restante do sistema operacional na RAM.
Um arquivo MBR contém informações sobre vários arquivos presentes no disco, suas localizações e tamanhos. Na
prática, MBR quase sempre se refere ao setor de inicialização de 512 bytes ou setor de partição de um disco. Os
comandos fdisk/MBR ajudam na criação do MBR no Windows e no DOS. Quando um computador é inicializado, o BIOS
se refere a esse primeiro setor para instruções do processo de inicialização e informações sobre como carregar o
sistema operacional.
ÿ Reconhecimento distinto de mídia de disco rígido individual com uma assinatura de disco de 32 bits
ÿ Tabela de Partição
Uma tabela de partição é uma estrutura de dados de 64 bytes que armazena informações sobre os tipos de
partições presentes no disco rígido e suas localizações. Esta tabela possui um layout padrão que não depende
do sistema operacional. Ele é capaz de descrever apenas quatro partições, que são partições primárias ou
físicas. Todas as outras partições são partições lógicas vinculadas a uma das partições primárias.
Módulo 03 Página 113 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
O código mestre de inicialização é um pequeno código de computador que o sistema carrega no BIOS e
executa para iniciar o processo de inicialização do sistema. Após a execução, o sistema transfere os controles
para o programa de inicialização presente na partição ativa para carregar o SO.
Módulo 03 Página 114 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Master Boot Code ou Boot Strap – É um código executável e responsável por carregar o SO na memória do
computador. Consiste em uma estrutura de dados de 446 bytes.
ÿ Assinatura de Disco – Localiza-se no final do MBR e contém apenas 2 bytes de dados. Isto
é exigido pelo BIOS durante a inicialização.
Módulo 03 Página 115 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Os sistemas que executam Windows e DOS usam o arquivo MBR para armazenar as informações sobre os arquivos no disco. Muitos produtos
substituem o arquivo MBR fornecido pelo sistema operacional da Microsoft. Algumas ferramentas utilitárias de terceiros são úteis durante a
instalação de dois ou mais sistemas operacionais em um disco. Os investigadores precisam de muitas ferramentas de aquisição de dados para
investigação forense, pois um produto de fornecedor pode não ser confiável para tarefas forenses de computador. No UNIX/Linux, o comando dd
Restaurando MBR
Módulo 03 Página 116 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Partições de disco
ÿ O particionamento de disco é a criação de divisões lógicas em um dispositivo de armazenamento (HDD/SSD) para permitir que o usuário
aplique a formatação lógica específica do sistema operacional
ÿ É uma unidade que contém as informações ÿ É uma unidade lógica que contém as
em relação ao sistema operacional, área do sistema informações sobre dados e arquivos armazenados no
e outras informações necessárias para inicializar disco
ÿ
No MS-DOS e versões anteriores do Microsoft
Sistemas Windows, a primeira partição (C:)
deve ser uma "partição primária"
Partições de disco
ÿ Partição primária: É a unidade que contém informações sobre o sistema operacional, a área do sistema e
outras informações necessárias para inicializar. No MS-DOS e versões anteriores dos sistemas Microsoft
Windows, a primeira partição (C:) deve ser uma partição primária.
ÿ Partição estendida: É a unidade lógica que contém informações sobre os dados e arquivos armazenados no
disco. Várias ferramentas estão disponíveis para examinar partições de disco. Algumas ferramentas de
edição de disco são Disk Edit, WinHex e Hex Workshop. Essas ferramentas permitem que os usuários
visualizem os cabeçalhos dos arquivos e informações importantes sobre os arquivos. Ambos os recursos
requerem a análise dos códigos hexadecimais que um sistema operacional identifica e usa para manter o
sistema de arquivos.
Módulo 03 Página 117 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
partição ÿ Descreve o layout físico de um volume de armazenamento de dados, como o número de cabeçotes e o tamanho das trilhas na unidade ÿ BPB
em sistemas de arquivos como como FAT12 (exceto em DOS 1.x), FAT16, FAT32, HPFS (High Performance File System) e NTFS (New Technology
File System) define a estrutura do sistema de arquivos
ÿ O comprimento do BPB varia para setores de inicialização FAT16, FAT32 e NTFS devido aos diferentes tipos de campos e à quantidade de dados armazenados
Formato do bloco de parâmetros do BIOS completo DOS 7.1 estendido (79 bytes) para FAT32: NTFS - Formato de BPB Estendido para NTFS (73 bytes):
Deslocamento do setor Compensação do PIB Deslocamento do setor Compensação do PIB Comprimento do campo Descrição
Comprimento do campo Descrição
0x00B 0x00 25 BYTEs DOS 3.31 BPB 0x00B 0x00 25 BYTEs DOS 3.31 BPB
0x024 0x19 DWORD Setores lógicos por FAT 0x024 0x19 BYTE Número da unidade física (idêntico ao DOS 3.4 EBPB)
0x028 0x1D PALAVRA Espelhamento de bandeiras etc. 0x025 0x1A BYTE Sinalizadores etc. (idêntico ao DOS 3.4 EBPB)
0x02A 0x1F PALAVRA Versão
Assinatura de inicialização estendida (0x80 também
0x026 0x1B BYTE
0x02C 0x21 Cluster do diretório raiz DWORD conhecido como "8.0") (semelhante ao DOS 3.4 EBPB e DOS 4.0 EBPB)
0x030 0x25 PALAVRA Localização do setor de informações do sistema de arquivos 0x027 0x1C BYTE Reservado
0x032 0x27 PALAVRA Localização do(s) setor(es) de backup 0x028 0x1D QWORD Setores em volume
0x034 0x29 12 BYTEs Reservado (nome do arquivo de inicialização)
0x030 0x25 QWORD Primeiro número de cluster da MFT (mestre tabela de arquivos)
0x040 0x35 BYTE Sinalizadores de número de
0x038 0x2D QWORD Primeiro número de cluster do espelho MFT
0x041 0x36 BYTE unidade física, etc.
0x040 0x35 DWORD tamanho do registro MFT
0x042 0x37 BYTE Assinatura de inicialização estendida (0x29)
0x044 0x39 DWORD Tamanho do bloco de índice
0x043 0x38 Número de série do volume DWORD
0x047 0x3C 11 BYTEs Rótulo de volume 0x048 0x3D QWORD Número de série do volume
O bloco de parâmetros do BIOS (BPB) é uma estrutura de dados situada no setor 1 no registro de inicialização
de volume (VBR) de um disco rígido e explica o layout físico de um volume de disco. Em dispositivos
particionados, como discos rígidos, descreve a partição do volume, enquanto em dispositivos não particionados,
descreve todo o meio. Qualquer partição que inclua disquetes pode usar o BPB, que também descreve a
arquitetura básica do sistema de arquivos. O comprimento do BPB varia entre os sistemas de arquivos listados
(ou seja, FAT16, FAT32 e NTFS) porque diferentes sistemas de arquivos armazenam diferentes volumes de
dados e mantêm diferentes tipos de campos no BPB. O BPB auxilia os investigadores a localizar a tabela de
arquivos no disco rígido.
Formato do bloco de parâmetros do BIOS completo DOS 7.1 estendido (79 bytes) para FAT32:
Módulo 03 Página 118 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Módulo 03 Página 119 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Usos Comuns:
Nas tabelas do banco de dados, os GUIDs são usados como valores de chave primária
O Globally Unique Identifier (GUID) é um número exclusivo de 128 bits gerado pelo sistema operacional Windows para
identificar um dispositivo específico, um documento, uma entrada de banco de dados e/ou o usuário. Em geral, os GUIDs
são exibidos como 32 dígitos hexadecimais com grupos separados por hifens. Por exemplo, ao navegar em um site, um
GUID é gerado e atribuído ao navegador, o que ajuda a rastrear e registrar a sessão de navegação do usuário. O sistema
operacional Windows atribui um GUID ao registro para reconhecer bibliotecas de vínculo dinâmico (DLLs) do Component
Object Model (COM), bem como para contas de usuário por nome de usuário (domínio).
Usos Comuns:
ÿ
No Registro do Windows, GUIDs são usados para identificar DLLs COM (Component Object Model) (bibliotecas
de vínculo dinâmico)
ÿ
Nas tabelas do banco de dados, os GUIDs são usados como valores de chave primária
ÿ
Em alguns casos, um site pode atribuir um GUID ao navegador de um usuário para registrar e rastrear a sessão
Módulo 03 Página 120 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Módulo 03 Página 121 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Ele usa um sistema de partição conhecido como GUID Partition Table (GPT), que substitui o LBA 1 Cabeçalho GPT Primário primário
GPT
LBA 3
Entradas 5-128
Vantagens do layout de disco GPT:
LBA 34
Partição 1
Suporta até 128 partições e usa endereços
de bloco lógico (LBAs) de 64 bits
Partição 2
secundário
GPT
Entradas 5-128
Fornece tabelas de partições primárias e LBA-2
de backup para redundância Cabeçalho GPT secundário
LBA-1
O GUID é um esquema de particionamento padrão para discos rígidos e uma parte da Unified Extensible Firmware
Interface (UEFI), que substitui as interfaces de firmware BIOS herdadas. A UEFI usa sistemas de interface de
partição que superam as limitações do esquema de particionamento MBR.
O esquema de partição MBR usa 32 bits para armazenar endereços de bloco lógico (LBAs) e as informações de
tamanho em setores de 512 bytes. Semelhante aos MBRs modernos, os GPTs usam o endereçamento de bloco
lógico (LBA) em vez do endereçamento do setor da cabeça do cilindro (CHS). Na tabela de partição GUID (GPT),
cada bloco lógico é de 512 bytes e cada entrada de partição é de 128 bytes; o endereçamento negativo dos blocos
lógicos começa no final do volume, com -1 endereçando o último bloco endereçável.
LBA 0 armazena o MBR protetor, LBA 1 contém o cabeçalho GPT e o cabeçalho GPT compreende um ponteiro para
a tabela de partições ou Partition Entry Array no LBA 2.
A UEFI atribui 16.384 bytes para o Partition Entry Array. Como o disco possui setores de 512 bytes com uma matriz
de entrada de partição de 16.384 bytes e um tamanho mínimo de 128 bytes para cada entrada de partição, o LBA
34 é o primeiro setor utilizável.
ÿ A partição GPT e os dados de inicialização são mais seguros que o MBR porque o GPT armazena dados em
vários locais em um disco
ÿ Usa somas de verificação CRC32 que detectam erros no cabeçalho e na tabela de partições
Módulo 03 Página 122 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Módulo 03 Página 123 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Fluxo do módulo
Explique o lógico
Estrutura de um disco
Entenda o processo de
inicialização do Windows, Linux e
Sistemas operacionais Mac Entenda Vários Arquivos
Sistemas de Windows,
Linux e Mac
Examine o arquivo Sistemas operacionais
Sistema
Módulo 03 Página 124 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Qual é o
processo de inicialização?
Tipos de Inicialização
ÿ A inicialização refere-se ao processo de iniciar ou
reiniciar o sistema operacional quando o usuário Inicialização fria (inicialização rígida)
liga um sistema de computador
ÿ É o processo de iniciar um computador a partir de um
ou fora do estado
ÿ Carrega o SO (armazenado no disco rígido) para a
RAM (memória de trabalho) Inicialização a quente (inicialização suave)
A inicialização refere-se ao processo de iniciar ou reiniciar o sistema operacional quando o usuário liga um sistema de
computador. O processo inclui a inicialização do hardware e do software.
ÿ Cold boot (Boot rígido): Este processo ocorre quando o usuário liga o computador pela primeira vez.
Também chamado de hard boot, é necessário depois que o usuário corta completamente a fonte de alimentação
do sistema.
ÿ Warm boot (Soft boot): É o processo de reinicialização de um computador que já está ligado. Uma inicialização a
quente pode ocorrer quando o sistema encontra um erro de programa ou requer uma reinicialização para fazer
determinadas alterações após a instalação de um programa, etc.
Durante o processo de inicialização, o computador carrega o sistema operacional em sua memória ou RAM e o prepara
para uso. Durante a inicialização, o sistema liga o BIOS e o carrega na RAM. O BIOS armazena a primeira instrução, que
é o comando para realizar o autoteste de inicialização (POST).
No POST, o sistema verifica o chip do BIOS e a RAM do semicondutor de óxido de metal complementar (CMOS).
Se o POST não detectar nenhuma falha na bateria, ele continuará a iniciar outras partes do sistema verificando os
dispositivos de hardware e os dispositivos de armazenamento secundário.
Módulo 03 Página 125 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Kernel32.dll
Advapi32.dll
Arquivos DLL do subsistema Win32
User32.dll
Gdi32.dll
Após a instalação de um sistema operacional, o programa de instalação cria pastas e os arquivos necessários na
unidade do sistema.
Ntkrnlpa.exe Executive e kernel com suporte para Physical Address Extension (PAE)
Kernel32.dll
Advapi32.dll
Arquivos DLL do subsistema Win32
User32.dll
Gdi32.dll
Módulo 03 Página 126 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Os sistemas operacionais Windows XP, Vista e 7 ligam e inicializam usando o método BIOS-MBR tradicional
ÿ Os sistemas operacionais a partir do Windows 8 e superior usam o método BIOS-MBR tradicional ou mais recente
Método UEFI-GPT de acordo com a escolha do usuário
BCD
HAL.DLL WIN32K.SYS WINRESUME.EXE Configuração de inicialização
Dados
NTOSKRNL.EXE
NTOSKRNL.EXE
(Fase 1)
NTOSKRNL.EXE (Fase 0) (Descarte de Inicialização da Fase 1) SMSS.EXE WINLOGON.EXE LSASS.EXE
(HallnitializeBios) (Hallnit System)
(KillnitializeKernel) (OblnitSystem)
Os sistemas operacionais Windows XP, Vista e 7 ligam e inicializam usando o método BIOS-MBR convencional,
enquanto o Windows 8 e versões posteriores usam o método BIOS-MBR convencional ou o
método UEFI-GPT mais recente de acordo com a escolha do usuário.
Abaixo está detalhado o processo que ocorre dentro do sistema quando ele é ligado.
1. Quando o usuário liga o sistema, a CPU envia um sinal de potência boa para o
placa-mãe e verifica o firmware do BIOS do computador
2. O BIOS inicia um autoteste de inicialização (POST), que verifica se todo o hardware necessário para a
inicialização do sistema está disponível e carrega todas as configurações de firmware da memória não volátil
na placa-mãe
Módulo 03 Página 127 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
3. Se o POST for bem-sucedido, os adaptadores complementares executam um autoteste para integração com o sistema
4. O processo de pré-inicialização é concluído com POST, detectando um disco de inicialização do sistema válido
5. Após o POST, o firmware do computador verifica o disco de inicialização e carrega o registro mestre de inicialização (MBR), que
procura informações básicas de inicialização em Boot Configuration Data (BCD)
8. Depois que o Kernel começa a ser executado, o carregador do Windows carrega hal.dll, drivers de dispositivo de classe de inicialização
marcado como BOOT_START e a seção de registro do SISTEMA na memória
9. O kernel passa o controle do processo de inicialização para o Session Manager Process (SMSS.exe), que carrega todas as outras
seções de registro e drivers necessários para configurar o ambiente de execução do subsistema Win32
10. O Session Manager Process aciona o Winlogon.exe, que apresenta a tela de login do usuário
para autorização do usuário
11. O Processo do Gerenciador de Sessão inicia o Gerenciador de Controle de Serviço, que inicia todos os serviços, o restante dos
drivers de dispositivo não essenciais, o subsistema de segurança LSASS.EXE e os scripts de Diretiva de Grupo
12. Depois que o usuário faz login, o Windows cria uma sessão para o usuário
13. O Service Control Manager inicia o explorer.exe e inicia o processo Desktop Window Manager (DMW), que inicializa a área de
trabalho para o usuário
Módulo 03 Página 128 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Módulo 03 Página 129 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
UEFI-GPT
Inicializar
Inicializar Carregar e Kernel do sistema Full OS
GPT / Bota Modo de usuário
nível baixo executar operacional inicial núcleo
MBR carregador
processo
firmware
drivers EFI aquecer aquecer
hardware
Serviços do Kernel
Serviços UEFI
hardware
O gerenciador de inicialização EFI controla o processo de inicialização UEFI. Começa com a inicialização do firmware da plataforma; o
gerenciador de inicialização carrega drivers UEFI e aplicativos UEFI (incluindo carregadores de inicialização UEFI OS) para inicializar as
funções da plataforma.
O sistema carrega o carregador do sistema operacional no estágio final, após o qual o sistema operacional inicia a inicialização. Depois que o
sistema operacional recebe os controles, ele interrompe o serviço de inicialização UEFI.
Módulo 03 Página 130 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
O processo de inicialização UEFI tem as cinco fases a seguir, cada uma com sua própria função.
ÿ Fase de segurança
A fase de segurança ou SEC do EFI consiste no código de inicialização que o sistema executa após ligar
o sistema EFI. Ele gerencia eventos de reinicialização da plataforma e configura o sistema para que ele
possa localizar, validar, instalar e executar a inicialização pré-EFI (PEI).
A fase PEI inicializa a CPU, a memória permanente e o volume do firmware de inicialização (BFV).
Ele localiza e executa os módulos de pré-inicialização (PEIMs) presentes no BFV para inicializar todo o
hardware encontrado no sistema. Por fim, cria uma Hand-Off Block List (HOBL) com todos os recursos
encontrados e descritores de interface e passa para a próxima fase, ou seja, a fase DXE.
A maior parte da inicialização ocorre nesta fase. Ao usar o HOBL, o Driver Execution Environment (DXE)
inicializa toda a memória física do sistema, E/S e recursos de E/S mapeados por memória (MIMO) e,
finalmente, começa a despachar os drivers DXE presentes nos volumes de firmware do sistema (dados
em o HOBL). O núcleo DXE produz um conjunto de serviços de inicialização EFI e serviços de tempo de
execução EFI. Os serviços de inicialização EFI alocam memória e carregam imagens executáveis. Os
serviços de tempo de execução da EFI convertem os endereços de memória de físicos para virtuais,
entregam-nos ao kernel e redefinem a CPU para o código em execução no ambiente EFI ou no kernel do
sistema operacional, assim que a CPU assume o controle do sistema.
Nesta fase, o Boot Device Selection (BDS) interpreta os dados de configuração de inicialização e seleciona
a política de inicialização para implementação posterior. Esta fase trabalha com o DXE para verificar se os
drivers de dispositivo requerem verificação de assinatura.
Nesta fase, o sistema carrega o código de inicialização MBR na memória para uma inicialização BIOS
herdada ou carrega o programa bootloader da partição EFI para uma inicialização UEFI. Ele também
oferece uma opção para o usuário escolher o shell EFI ou um aplicativo UEFI como dispositivo de
inicialização na configuração.
ÿ Fase de execução
Nesse ponto, o sistema limpa o programa UEFI da memória e o transfere para o sistema operacional.
Durante a atualização do UEFI BIOS, o sistema operacional chama o serviço de tempo de execução usando uma pequena parte
da memória.
Módulo 03 Página 131 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Get-GPT
ÿ Analisa a estrutura de dados GPT contida nos primeiros setores do
dispositivo especificado
Método alternativo:
ÿ Abra o aplicativo “Gerenciamento do computador” e clique em “Gerenciamento de disco” no painel esquerdo. Clique com o botão direito do mouse no disco principal (aqui, Disco 0)
e, em seguida, clique em Propriedades.
ÿ Na janela Propriedades do dispositivo, clique na guia “Volumes” para visualizar o estilo de partição
http:// www.invoke-ir.com
http:// www.invoke-ir.com
Módulo 03 Página 132 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Get-PartitionTable
ÿ Determina o tipo de setor de inicialização (MBR ou GPT) e retorna a partição correta
objeto (PartitionEntry ou GuidPartitionTableEntry)
http:// www.invoke-ir.com
O comando Get-GPT ajuda o investigador a analisar a estrutura de dados GPT do disco rígido. Requer
o uso do parâmetro -path, que usa o namespace do dispositivo Win32 (por exemplo, \\.
\PHYSICALDRIVE1) para o dispositivo do qual deve analisar o GPT.
Caso o investigador use o cmdlet Get-GPT em um disco formatado com um MBR, uma mensagem de
erro será exibida, solicitando que o usuário execute o cmdlet Get-MBR.
Módulo 03 Página 133 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Método alternativo
Get-BootSector
O cmdlet Get-BootSector pode ajudar o investigador a analisar GPTs de ambos os tipos de discos rígidos, incluindo
aqueles formatados com UEFI ou MBR. Este comando atua como um substituto para Get MBR e Get-GPT. Get-
BootSector analisa o primeiro setor do disco rígido, determina o tipo de formatação usado e analisa o GPT.
Get-PartitionTable
Este cmdlet analisa a tabela de partição GUID para localizar o tipo exato de setor de inicialização (MBR ou GPT) e
exibe o objeto de partição.
Módulo 03 Página 134 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Módulo 03 Página 135 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Exemplo: ferramenta DiskPart (Windows), utilitário OS X Disk (Mac), ferramenta GNU Parted (Linux)
Sleuthkit (comando mmls) pode ser usado para visualizar o layout de partição detalhado para um disco GPT
Como alternativa, detalhes sobre o cabeçalho GPT e as entradas de partição podem ser obtidos por meio de análise manual usando um editor hexadecimal
A maioria dos sistemas operacionais que suportam acesso ao disco GPT tem uma ferramenta de particionamento básica,
que exibe detalhes sobre as tabelas de partição GPT. No Windows, ferramentas como a ferramenta DiskPart exibem
detalhes da partição, enquanto os sistemas Mac usam o utilitário OS X Disk e o Linux usa a ferramenta GNU Parted.
Módulo 03 Página 136 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
O comando Sleuth Kit mmls pode ajudar os investigadores a visualizar o layout detalhado da partição para o disco
GPT, juntamente com os detalhes do MBR. Como alternativa, os investigadores podem coletar detalhes sobre o
cabeçalho GPT e as entradas de partição por meio da análise manual da unidade de disco usando um cálculo
hexadecimal ou uma ferramenta de edição chamada editor hexadecimal.
Módulo 03 Página 137 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Artefatos GPT
Partições GUID excluídas e substituídas
Caso 1:
ÿ Se o disco MBR for reparticionado ou convertido em GPT, o setor zero será geralmente substituído por um MBR protetor
ÿ Para recuperar dados de volumes previamente particionados por MBR, os investigadores podem usar métodos forenses padrão usados para realizar uma extensa
procurar por sistemas de arquivos
Caso 2:
ÿ Se o disco GPT for reparticionado ou convertido em MBR, o cabeçalho GPT e as tabelas podem permanecer intactos com base na ferramenta usada
ÿ A implementação de ferramentas gerais de exclusão de partição em um disco GPT pode excluir apenas o MBR protetor, que pode ser recriado simplesmente
reconstruindo o disco
De acordo com as especificações UEFI, se todos os campos em uma entrada de partição forem zerados, isso significa que a entrada não está em uso. Nesse caso, a recuperação de
dados de entradas de partição GUID excluídas não é possível
Identificadores GUID
ÿ O esquema GPT fornece GUIDs de valor investigativo, pois são únicos e contêm informações potencialmente úteis
ÿ Os investigadores podem usar ferramentas como uuid para decodificar várias versões de GUID/UUID
ÿ Intrusos podem ocultar dados em discos GPT como fazem em discos MBR tradicionais
ÿ Os locais nos discos GPT onde os dados podem estar ocultos são lacunas entre partições, espaço não particionado próximo ao final do disco, cabeçalho GPT e
áreas reservadas
ÿ Os métodos e ferramentas forenses atuais para realizar a análise GPT são insatisfatórios
Artefatos GPT
Caso 1: Em discos rígidos, a conversão ou repartição de MBR para GPT geralmente substitui o setor zero por um MBR
protetor, que exclui todas as informações sobre a tabela de partição antiga.
Os investigadores devem seguir os métodos forenses padrão de pesquisa nos sistemas de arquivos para recuperar dados
sobre os volumes particionados por MBR anteriores.
Caso 2: Quando ocorre uma conversão ou repartição de GPT para MBR, o cabeçalho GPT e as tabelas podem permanecer
intactos com base na ferramenta usada. Os investigadores podem facilmente recuperar ou analisar os dados dessas
partições de disco.
A implementação de ferramentas gerais de exclusão de partição para a exclusão de uma partição em um disco GPT pode
excluir apenas o MBR protetor, que os investigadores podem recriar facilmente simplesmente reconstruindo o disco.
De acordo com a especificação UEFI, se todos os campos em uma entrada de partição tiverem valores zerados, a entrada
não estará em uso. Nesse caso, a recuperação de dados de entradas de partição GUID excluídas não é possível.
GUIDs
ÿ O esquema GPT fornece GUIDs de valor investigativo, pois são únicos e potencialmente
retém informações sobre todo o disco e cada partição dentro dele
ÿ Os investigadores podem usar ferramentas como o identificador único universal (UUID) para decodificar
várias versões de GUID/UUID
Módulo 03 Página 138 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Intrusos podem ocultar dados em discos GPT da mesma forma que fazem em discos MBR convencionais usando
esquemas de particionamento de disco flexíveis e extensíveis. Os locais nos discos GPT onde os dados podem estar
ocultos são lacunas entre partições, espaço não particionado no final do disco, cabeçalho GPT e áreas reservadas.
Outros artefatos podem incluir cabeçalhos GPT manipulados que criam locais para ocultar dados, LBAs iniciais e finais
mal colocados, bem como áreas com tags reservadas. Os métodos e ferramentas forenses atuais para realizar a
análise GPT são insatisfatórios.
Módulo 03 Página 139 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Lenda
Inicialize a partir da lista ordenada de Binários EFI
Código de Inicialização
Os carregadores EFI OS são executados
Gerenciador de Inicialização
API - Especificado
ÿ O processo de inicialização do Macintosh começa com a ativação do BootROM, que inicializa o hardware do sistema e
seleciona um sistema operacional para executar
ÿ Uma vez que o sistema Macintosh é ligado, o BootROM executa o POST para testar algumas interfaces de hardware
necessárias para a inicialização
ÿ Em computadores Macintosh baseados em PowerPC, o Open Firmware inicializa o restante das interfaces de hardware
Módulo 03 Página 140 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Em computadores Macintosh baseados em Intel, o EFI inicializa o restante das interfaces de hardware
ÿ Uma vez concluída a operação do BootROM, o controle passa para o boot loader BootX (PowerPC) ou boot.efi (Intel), que
está localizado no diretório /System/Library/CoreServices
ÿ
Se o arquivo de cache mkext também estiver ausente, o carregador de inicialização procurará drivers no
Diretório /Sistema/Biblioteca/Extensões
ÿ O kit I/O usa a árvore de dispositivos para vincular os drivers carregados ao kernel
Módulo 03 Página 141 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Corre
BIOS PUBLICAR
Bem-sucedido
Procura por
teste
estágio do BIOS
Estágio do bootloader
Estágio do kernel
MBR
Aponta para
Cargas Montagens
Bootloader Núcleo raiz real
FS
Initrd arquivos
sistema
Prepara
para
real
de
o
Aquecer
imagem processo
Corre
raiz virtual LinuxrcComment
daemons
FS do sistema
O fluxo do processo de inicialização do Linux começa com o BIOS, que procura por dispositivos ativos e inicializáveis.
O sistema inicializa o Linux a partir do dispositivo de armazenamento primário no qual o MBR contém o carregador de inicialização primário.
Módulo 03 Página 142 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Estágio BIOS
O primeiro estágio do processo de inicialização do Linux é o estágio do BIOS. Ele inicializa o hardware do
sistema durante o processo de inicialização. O BIOS recupera as informações armazenadas no chip de
semicondutor de óxido de metal complementar (CMOS), que é um chip de memória operado por bateria
na placa-mãe que contém informações sobre a configuração de hardware do sistema. Durante o processo
de inicialização, o BIOS executa um POST para garantir que todos os componentes de hardware do
sistema estejam operacionais. Após um POST bem-sucedido, o BIOS começa a procurar a unidade ou
disco que contém o sistema operacional em uma sequência padrão. Se o primeiro dispositivo listado não
estiver disponível ou não estiver funcionando, ele verifica o próximo e assim por diante. Uma unidade é
inicializável apenas se tiver o MBR em seu primeiro setor, conhecido como setor de inicialização. O disco
rígido do sistema atua como o disco de inicialização principal, e a unidade óptica funciona como o disco
de inicialização secundário para inicializar o sistema operacional caso o disco de inicialização principal falhe.
ÿ Estágio do Bootloader
O estágio bootloader inclui a tarefa de carregar o kernel do Linux e o disco RAM inicial opcional. O kernel
permite que a CPU acesse a RAM e o disco. O segundo software precursor é uma imagem de um sistema
de arquivo virtual temporário chamado imagem initrd ou RAMdisk inicial. Agora, o sistema se prepara para
implantar o sistema de arquivos raiz real. Em seguida, ele detecta o dispositivo que contém o sistema de
arquivos e carrega os módulos necessários. A última etapa do estágio do bootloader é carregar o kernel
na memória.
ÿ Fase do Kernel
Uma vez que o controle muda do estágio do carregador de inicialização para o estágio do kernel, o sistema
de arquivos raiz virtual criado pela imagem initrd executa o programa Linuxrc. Este programa gera o
sistema de arquivos real para o kernel e posteriormente remove a imagem initrd. O kernel então procura
por um novo hardware e carrega qualquer driver de dispositivo adequado encontrado. Posteriormente, ele
monta o sistema de arquivos raiz real e executa o processo init. O init lê o arquivo “/etc/inittab” e usa este
arquivo para carregar o restante dos daemons do sistema. Isso prepara o sistema e o usuário pode fazer
login e começar a usá-lo. Bootloaders típicos para Linux são Linux Loader (LILO) e Grand Unified
Bootloader (GRUB). Esses gerenciadores de inicialização permitem que o usuário selecione qual kernel
do sistema operacional carregar durante o tempo de inicialização.
Módulo 03 Página 143 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Fluxo do módulo
Explique o lógico
Estrutura de um disco
Entenda o processo de
inicialização do Windows, Linux e
Sistemas operacionais Mac Entenda Vários Arquivos
Sistemas de Windows,
Linux e Mac
Examine o arquivo Sistemas operacionais
Sistema
Módulo 03 Página 144 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
O sistema operacional Windows usa sistemas de arquivos como FAT, FAT32, NTFS, etc. O NTFS armazena metadados
de arquivos e pastas em um arquivo de sistema chamado Master File Table (MFT). Examinar o arquivo $MFT fornece
informações como tempos de MAC, nome do arquivo, localização do arquivo, etc., que são de interesse forense. Os
investigadores forenses também devem possuir conhecimento sobre alocação e exclusão de arquivos que os ajude a
recuperar dados perdidos durante a investigação.
Módulo 03 Página 145 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
O sistema de arquivos FAT é usado com DOS e foi o primeiro sistema de arquivos usado com o sistema operacional Windows
É nomeado por seu método de organização, a tabela de alocação de arquivos, que reside no início do volume
O FAT possui três versões (FAT12, FAT16 e FAT32), que diferem quanto ao tamanho das entradas na estrutura do FAT
Entre 65.526 e
FAT32 4 Relação entre as estruturas de entrada de
268.435.456 clusters, inclusive diretório, clusters e estrutura FAT
A File Allocation Table (FAT), projetada em 1976, é um sistema de arquivos para muitos sistemas operacionais,
como DOS, Windows e OpenDOS. Projetado para pequenos discos rígidos e uma estrutura de pastas simples, o
sistema de arquivos FAT recebe esse nome devido à forma como organiza as pastas e uma tabela de alocação
de arquivos, que armazena todos os arquivos e fica no início do volume. O FAT possui três versões (FAT12,
FAT16 e FAT32), que diferem quanto ao tamanho das entradas na estrutura do FAT.
Grupo 34
Arquivo1.dat 4.000 bytes Grupo 34
35
EOF
Grupo 35
Figura 3.27: Relação entre as estruturas de entrada de diretório, clusters e estrutura FAT
O FAT cria duas cópias da tabela de alocação de arquivos para proteger o volume contra danos. A tabela de
alocação de arquivos e a pasta raiz são armazenadas em um local permanente. O volume formatado usando o
sistema de arquivos FAT forma um cluster e o tamanho do volume formatado determina o tamanho do cluster. O
sistema ajusta o número do cluster para o sistema de arquivos FAT em 16 bits e o número do cluster
Módulo 03 Página 146 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
está na potência de dois. Dispositivos que implementam FAT incluem memória flash, câmeras digitais e outros dispositivos
portáteis. Quase todos os sistemas operacionais instalados em computadores pessoais implementam o sistema de
arquivos FAT.
Módulo 03 Página 147 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
O New Technology File System (NTFS) é um dos sistemas de arquivos mais recentes suportados pelo Windows. É um
sistema de arquivos de alto desempenho que se repara sozinho; ele oferece suporte a vários recursos avançados, como
segurança em nível de arquivo, compactação e auditoria. Ele também oferece suporte a soluções de armazenamento de
grandes e poderosos volumes, como discos de auto-recuperação.
O NTFS fornece segurança de dados, pois tem a capacidade de criptografar ou descriptografar dados, arquivos ou pastas.
Ele usa um método de nomenclatura de conjunto de caracteres Unicode de 16 bits para arquivos e pastas. Este atributo do
NTFS permite que usuários em todo o mundo gerenciem seus arquivos em seus idiomas nativos. Além disso, tem tolerância
a falhas para o sistema de arquivos. Se o usuário fizer alguma modificação ou alteração nos arquivos, o NTFS anota todas as
alterações em arquivos de log específicos. Se o sistema travar, o NTFS usa esses arquivos de log para restaurar o disco
rígido a uma condição confiável com perda mínima de dados. O NTFS também utiliza o conceito de metadados e tabelas de
arquivos principais. Os metadados contêm informações sobre os dados armazenados no
computador. Uma tabela de arquivo mestre também contém as mesmas informações de forma tabular, mas em comparação com os
metadados, essa tabela tem menos capacidade de armazenamento de dados.
O NTFS usa o formato de dados Unicode. A seguir estão as diferentes versões do NTFS:
ÿ v1.0 (encontrado no Windows NT 3.1), v1.1 (Windows NT 3.5) e v1.2 (Windows NT 3.51 e
WindowsNT 4)
ÿ v3.1 (encontrado no Windows XP, Windows Server 2003, Windows Vista e Windows 7)
Módulo 03 Página 148 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ NTFS usa o esquema de diretório b-tree para armazenar informações sobre clusters de arquivos
ÿ O NTFS armazena as informações sobre os clusters de um arquivo e outros dados dentro do cluster
ÿ Uma lista de controle de acesso (ACL) permite que o administrador do servidor acesse arquivos específicos
Módulo 03 Página 149 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Arquitetura NTFS
NTFS.sys Por
OS Aplicativo
Arquitetura NTFS
No momento da formatação do volume do sistema de arquivos, o sistema cria Master Boot Record.
Ele contém algum código executável chamado código mestre de inicialização e informações sobre a tabela de
partições do disco rígido. Quando um novo volume é montado, o registro mestre de inicialização executa o código
de inicialização mestre executável. NO NTFS, todos os arquivos são armazenados em clusters e possuem seus
atributos individuais. Componentes como nome, tamanho ou dados armazenados em um arquivo são considerados
atributos. Assim, a estrutura interna do NTFS é semelhante à de um banco de dados em que todos os arquivos são
tratados como objetos pelo sistema operacional.
ÿ Master Boot Record: Contém código executável de inicialização mestre que o sistema do computador
BIOS carrega na memória; este código é usado para escanear o Master Boot Record para localizar a tabela
de partições para descobrir qual partição está ativa/inicializável
Módulo 03 Página 150 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Setor de inicialização: Também conhecido como registro de inicialização de volume (VBR), é o primeiro setor encontrado em um
Sistema de arquivos NTFS que armazena o código de inicialização e outras informações, como o tipo, localização e tamanho
dos dados no sistema de arquivos NTFS
ÿ Ntldlr.dll: Como gerenciador de inicialização, ele acessa o sistema de arquivos NTFS e carrega o conteúdo do
arquivo boot.ini
ÿ Modo Kernel: É o modo de processamento que permite que o código executável tenha acesso direto
acesso a todos os componentes do sistema
Módulo 03 Página 151 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
$attrref Contém definições de todos os atributos do volume definidos pelo sistema e pelo usuário
Muitos arquivos de sistema são armazenados no diretório raiz de um volume NTFS; esses arquivos contêm metadados
do sistema de arquivos.
Módulo 03 Página 152 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
O Encrypting File System (EFS) foi introduzido pela primeira vez na versão 3.0 do NTFS e
oferece criptografia no nível do sistema de arquivos
Descriptografia
Essa tecnologia de criptografia mantém um nível de transparência para o usuário que Criptografado com a chave pública do
Campo
proprietário do arquivo
de recuperação 1
Cabeçalho
Chave de Criptografia de Arquivo
Dados
Depois que um usuário termina com o arquivo, a política de criptografia Criptografado com a chave pública do agente
Recuperação
•A
• .
•C
•c
Quando qualquer usuário não autorizado tenta acessar um arquivo criptografado, o acesso
é negado
Dados criptografados
Para proteger os arquivos contra manuseio incorreto e garantir sua segurança, o sistema deve criptografá-los.
Para essa finalidade, o NTFS possui o Sistema de Arquivos com Criptografia (EFS) como um recurso integrado. A criptografia
em sistemas de arquivos usa tecnologia de criptografia de chave simétrica com tecnologia de chave pública para criptografia.
O usuário obtém um certificado digital com um par de chaves composto por uma chave pública e uma chave privada. Uma
chave privada não é aplicável para usuários logados em sistemas locais; em vez disso, o sistema usa EFS para definir uma
chave para usuários locais.
Essa tecnologia de criptografia mantém um nível de transparência para os usuários que criptografaram um arquivo.
Os usuários não precisam descriptografar um arquivo quando o acessam para fazer alterações. Além disso, após o usuário
concluir o trabalho em um arquivo, o sistema salva as alterações e restaura automaticamente a política de criptografia.
Quando qualquer usuário não autorizado tenta acessar um arquivo criptografado, ele recebe uma mensagem de “Acesso
negado”. Para ativar os recursos de criptografia e descriptografia em um sistema operacional baseado no Windows NT, o
usuário deve definir atributos de criptografia para arquivos e pastas que deseja criptografar ou descriptografar. O sistema
criptografa automaticamente todos os arquivos e subpastas em uma pasta. Para aproveitar ao máximo o recurso de
criptografia, os especialistas recomendam que o sistema tenha criptografia no nível da pasta. Isso implica que uma pasta não
deve conter arquivos criptografados simultaneamente com arquivos não criptografados.
Os usuários podem criptografar manualmente um arquivo ou pasta usando a interface gráfica do usuário (GUI) do Windows,
usando uma ferramenta de linha de comando como o Cipher ou por meio do Windows Explorer selecionando as opções
apropriadas no menu.
A criptografia é importante para arquivos confidenciais em um sistema, e o NTFS usa criptografia para proteger os arquivos
contra acesso não autorizado e garantir um alto nível de segurança. O sistema emite uma criptografia de arquivo
Módulo 03 Página 153 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
certificado sempre que um usuário criptografa um arquivo. Se o usuário perder esse certificado e a chave privada
relacionada (através de um disco ou qualquer outro motivo), ele poderá executar a recuperação de dados por meio do
agente de chave de recuperação. Em redes baseadas no Windows 2000 Server, que mantêm o serviço Active Directory,
o administrador de domínio é o agente de recuperação por padrão. A preparação para a recuperação dos arquivos
ocorre com antecedência, antes mesmo que o usuário ou o sistema os criptografe. O agente de recuperação possui
um certificado especial e uma chave privada relacionada, que ajudam na recuperação de dados.
Descriptografia
Criptografado com a chave pública do
Campo
proprietário do arquivo
de recuperação 1
Cabeçalho
Chave de Criptografia de Arquivo
Dados
Criptografado com a chave pública do agente
Recuperação
de recuperação 2 (opcional)
Campos
•A
• .
•C
• c
Dados criptografados
Componentes do EFS
Módulo 03 Página 154 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Serviço EFS
O serviço EFS, que faz parte do subsistema de segurança, atua como uma interface com o driver EFS usando a porta
de comunicação de chamada de procedimento local (LPC) entre a Autoridade de Segurança Local (LSA) e o monitor
de referência de segurança do modo kernel.
Ele também atua como uma interface com CryptoAPI no modo de usuário para derivar chaves de criptografia de
arquivo para gerar campos de descriptografia de dados (DDFs) e campos de recuperação de dados (DRFs).
Este serviço também oferece suporte a interfaces de programação de aplicativos (APIs) Win32.
O serviço EFS usa CryptoAPI para extrair a chave de criptografia de arquivo (FEK) para um arquivo de dados e a usa
para codificar a FEK e produzir o DDF.
ÿ Controlador EFS
O driver EFS é um driver de filtro do sistema de arquivos empilhado sobre o NTFS. Ele se conecta ao serviço EFS
para obter chaves de criptografia de arquivos, DDFs, DRFs e outros serviços de gerenciamento de chaves.
Ele envia essas informações para a biblioteca de tempo de execução do sistema de arquivos EFS (FSRTL) para
executar funções do sistema de arquivos, como abrir, ler, gravar e anexar.
ÿ CriptoAPI
CryptoAPI contém um conjunto de funções que permitem aos desenvolvedores de aplicativos criptografar seus
aplicativos Win32; essas funções permitem que os aplicativos criptografem ou assinem dados digitalmente e ofereçam
segurança para dados de chave privada.
Ele oferece suporte a operações de chave pública e chave simétrica, como geração, gerenciamento e armazenamento
seguro, troca, criptografia, descriptografia, hash, assinaturas digitais e verificação de assinatura.
ÿ EFS FSRTL
O EFS FSRTL faz parte do driver EFS que implementa chamadas NTFS para lidar com várias operações do sistema
de arquivos, como leituras, gravações e aberturas em arquivos e diretórios criptografados, bem como operações para
criptografar, descriptografar e recuperar dados de arquivo quando o o sistema o grava ou o lê do disco.
O driver EFS e o FSRTL atuam como um único componente, mas nunca se comunicam diretamente. Eles se
comunicam entre si usando o mecanismo de chamada de controle de arquivo NTFS.
ÿ API Win32
O EFS fornece um conjunto de APIs para fornecer acesso a seus recursos; o conjunto API também fornece uma
interface de programação para operações como criptografia de arquivos de texto simples, descriptografia ou
recuperação de arquivos de texto cifrado e importação e exportação de arquivos criptografados sem descriptografia.
Módulo 03 Página 155 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Arquivos Esparsos
ÿ Arquivos esparsos fornecem um método ÿ Se o NTFS marcar um arquivo como esparso, ele ÿ Dados não definidos do arquivo são representados
de economizar espaço em disco para atribui um cluster de disco rígido apenas para os por espaço não alocado no disco
arquivos, permitindo que o subsistema de E/ dados definidos pelo aplicativo
S aloque apenas dados significativos
(diferentes de zero)
Sem conjunto de atributos de arquivo esparso Com conjunto de atributos de arquivo esparso
Dados esparsos
Dados esparsos (zeros)
(zeros) 10
10 gigabytes
gigabytes
Espaço em
disco usado Espaço em disco
Dados significativos
Dados significativos
7 gigabytes
7 gigabytes
Arquivos Esparsos
Um arquivo esparso é um tipo de arquivo de computador que tenta usar o espaço do sistema de arquivos com mais
eficiência quando os blocos alocados para o arquivo estão quase vazios. Para melhorar a eficiência, o sistema de arquivos
grava informações resumidas (metadados) sobre o arquivo nos blocos vazios para preencher o bloco usando uma pequena
quantidade de espaço em disco.
Os arquivos esparsos oferecem uma técnica de economia de espaço em disco, permitindo que o subsistema de E/S aloque
apenas dados significativos (diferentes de zero). Em um arquivo NFTS esparso, os clusters são designados para os dados
que um aplicativo define; no caso de dados não definidos, o sistema de arquivos marca o espaço como não alocado.
Módulo 03 Página 156 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Módulo 03 Página 157 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
O sistema operacional Linux usa diferentes sistemas de arquivos para armazenar dados. Como os investigadores podem
encontrar fontes de ataque ou sistemas de vítimas executando o Linux, eles devem ter conhecimento abrangente sobre os
métodos de armazenamento que ele emprega. A próxima seção fornece informações detalhadas sobre os vários sistemas de
arquivos do Linux e seus mecanismos de armazenamento.
Módulo 03 Página 158 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Aplicativos de usuário
Espaço do usuário
Biblioteca GNU C
cache Cache do
de inode Sistema de arquivos virtuais
diretório
Cache de buffer
Drivers de dispositivo
1. Espaço do usuário
É a área de memória protegida onde os processos do usuário são executados, e esta área contém a memória disponível.
Módulo 03 Página 159 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
2. Espaço do kernel
É o espaço de memória onde o sistema fornece todos os serviços do kernel através dos processos do kernel. Os
usuários podem acessar esse espaço apenas por meio de uma chamada do sistema. Um processo de usuário se
transforma em um processo de kernel somente quando executa uma chamada de sistema.
A GNU C Library (glibc) fica entre o espaço do usuário e o espaço do kernel e fornece a interface de chamada do sistema que
conecta o kernel aos aplicativos do espaço do usuário.
O sistema de arquivos virtual (VFS) é uma camada abstrata sobre um sistema de arquivos completo. Ele permite que aplicativos
cliente acessem vários sistemas de arquivos. Sua arquitetura interna consiste em uma camada de despacho, que fornece abstração
do sistema de arquivos e vários caches para aprimorar o desempenho das operações do sistema de arquivos.
Os principais objetos gerenciados dinamicamente no VFS são os objetos dentry e inode; esses objetos são gerenciados em cache
para aumentar a velocidade de acesso ao sistema de arquivos. Depois que um usuário abre um arquivo, o cache dentry é
preenchido com entradas que representam os níveis de diretório, que por sua vez representam o caminho. O sistema também cria
um inode para o objeto que representa o arquivo. O sistema desenvolve um cache dentry usando uma tabela hash e aloca as
entradas do cache dentry do alocador de slab dentry_cache. O sistema usa um algoritmo menos usado recentemente (LRU) para
remover as entradas quando a memória é escassa.
O cache inode atua como duas listas e uma tabela hash para pesquisa rápida. A primeira lista define os inodes usados, e os não
usados são posicionados na segunda lista. A tabela de hash também armazena os inodes usados.
Drivers de dispositivo são trechos de código vinculados a todos os dispositivos físicos ou virtuais e ajudam o sistema operacional
a gerenciar o hardware do dispositivo. As funções dos drivers de dispositivo incluem configurar o hardware, obter os dispositivos
relacionados dentro e fora dos serviços, obter dados do hardware e fornecê-los ao kernel, transferir dados do kernel para o
dispositivo e identificar e lidar com erros do dispositivo.
Módulo 03 Página 160 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Diretório Descrição
/bin Binários de comando essenciais; por exemplo, gato, ls, cp
/lar Os diretórios pessoais dos usuários, que contêm arquivos salvos, configurações pessoais, etc.
/proc Sistema de arquivos virtual que fornece informações de processo e kernel como arquivos
Informações sobre processos em execução; por exemplo, daemons em execução, atualmente logados
O Filesystem Hierarchy Standard (FHS) define a estrutura de /correr
Em usuários
diretórios e seu conteúdo em sistemas operacionais Linux e Unix-like /sbin Contém os arquivos binários necessários para trabalhar
O Linux possui uma única estrutura de árvore hierárquica que representa o sistema de arquivos como uma única
entidade. Ele suporta muitos sistemas de arquivos diferentes e implementa um conjunto básico de conceitos comuns,
que foram originalmente desenvolvidos para UNIX.
Alguns tipos de sistema de arquivos Linux são Minix, Filesystem Hierarchy Standard (FHS), ext, ext2, ext3, xia, MS-
DOS, UMSDOS, VFAT, /proc, NFS, ISO 9660, HPFS, SysV, SMB e NCPFS. O Minix foi o primeiro sistema de arquivos
do Linux.
ÿ O Filesystem Hierarchy Standard (FHS) define a estrutura de diretórios e seu conteúdo em sistemas operacionais
Linux e Unix-like
ÿ
No FHS, todos os arquivos e diretórios estão presentes no diretório raiz (representado por /)
Diretório Descrição
Os diretórios pessoais dos usuários, que contêm arquivos salvos, configurações pessoais,
/lar
etc.
Módulo 03 Página 161 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Tabela 3.8: Tabela de apresentação de diretórios e sua descrição específica para ESF
Módulo 03 Página 162 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
O sistema de arquivos estendido (ext) é o primeiro sistema Tem um tamanho máximo de partição de
de arquivos para o sistema operacional Linux a superar 1 2 2 GB e um tamanho máximo de nome
certas limitações do sistema de arquivos Minix de arquivo de 255 caracteres
O sistema de arquivo estendido (ext), ou o primeiro sistema de arquivo estendido, lançado em abril de 1992, foi o
primeiro sistema de arquivo a superar as limitações impostas pelo sistema de arquivo Minix. Ele foi originalmente
desenvolvido como uma extensão do sistema de arquivos Minix para superar algumas de suas limitações, como
tamanho máximo de partição de 64 MB e nomes de arquivos curtos. O sistema de arquivos ext fornece um tamanho
máximo de partição de 2 GB e um tamanho máximo de nome de arquivo de 255 caracteres. A principal limitação
desse sistema de arquivos é que ele não oferece suporte para acesso separado, modificação de inode e registros
de data e hora de modificação de dados. Ele mantém uma lista não classificada de blocos e inodes livres e
fragmentou o sistema de arquivos.
O sistema de arquivos ext possui uma estrutura de metadados inspirada no UNIX File System (UFS). Outras
desvantagens desse sistema de arquivos incluem a presença de apenas um registro de data e hora e listas
vinculadas para espaço livre, o que resultou em fragmentação e baixo desempenho. Ele foi substituído pelo segundo
sistema de arquivos estendido (ext2).
Módulo 03 Página 163 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Remy Card desenvolveu o segundo sistema de arquivos estendido (ext2) como um sistema de arquivos extensível e
poderoso para Linux. Sendo o sistema de arquivos de maior sucesso até agora na comunidade Linux, o Ext2 é a
base para todas as distribuições Linux atualmente disponíveis.
O sistema de arquivos ext2 foi desenvolvido com base no princípio de armazenamento de dados na forma de blocos
de dados do mesmo tamanho. Embora o comprimento possa variar entre diferentes sistemas de arquivos ext2, o
tamanho do bloco de um sistema de arquivos ext2 é definido durante sua criação. Suas principais deficiências são o
risco de corrupção do sistema de arquivos ao gravar no ext2 e a falta de registro no diário.
O sistema arredonda cada tamanho de arquivo para um número inteiro de blocos. Se o tamanho do bloco for de 1024
bytes, um arquivo de 1025 bytes ocupará dois blocos de 1024 bytes. Nem todos os blocos no sistema de arquivos
contêm dados; alguns devem conter informações que descrevam a estrutura do sistema de arquivos. O sistema de
arquivos ext2 define a topologia do sistema de arquivos descrevendo cada arquivo no sistema com uma estrutura de
dados inode.
Um inode descreve os blocos ocupados pelos dados dentro de um arquivo, bem como os direitos de acesso do
arquivo, os tempos de modificação do arquivo e o tipo de arquivo. Um único inode descreve cada arquivo no sistema
de arquivos ext2 e cada inode possui um único número exclusivo que o identifica.
As tabelas de inodes armazenam todos os inodes para o sistema de arquivos. Além disso, os diretórios ext2 são
simplesmente arquivos especiais (eles mesmos descritos por inodes) que contêm ponteiros para os inodes de suas
entradas de diretório.
Módulo 03 Página 164 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Superblocos
Um superbloco armazena informações sobre o tamanho e a forma do sistema de arquivos ext2. Essas informações
permitem que o gerenciador do sistema de arquivos use e gerencie o sistema de arquivos. Geralmente, o sistema lê
apenas o superbloco no grupo de blocos 0 quando o usuário monta o sistema de arquivos. No entanto, cada grupo de
blocos possui uma cópia duplicada se o sistema de arquivos for corrompido.
ÿ Número Mágico: Permite ao software de montagem verificar o Superblock para o arquivo ext2
sistema. Para a atual versão ext2, é 0xEF53.
ÿ Nível de revisão: Os níveis de revisão principais e secundários permitem que o código de montagem determine se
um sistema de arquivos oferece suporte a recursos que estão disponíveis apenas em revisões específicas do
sistema de arquivos. Há também campos de compatibilidade de recursos que ajudam o código de montagem a
determinar quais novos recursos podem ser usados com segurança no sistema de arquivos.
ÿ Contagem de montagens e contagem máxima de montagens: juntas, elas permitem que o sistema determine se
precisa verificar totalmente o sistema de arquivos. A contagem de montagem é incrementada cada vez que o
sistema monta o sistema de arquivos. Quando a contagem de montagens atinge a contagem máxima de
montagens, a mensagem de aviso “contagem máxima de montagens atingida, a execução de e2fsck é
recomendada” é exibida.
ÿ Número do grupo de blocos: É o número do grupo de blocos que contém a cópia do superbloco
ÿ Tamanho do bloco: Contém informações sobre o tamanho de um bloco para o sistema de arquivos em bytes
Módulo 03 Página 165 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Descritor de grupo
ÿ Bloco de bitmap
É o número de bloco do bitmap de alocação de bloco para o grupo de blocos. É usado na alocação e desalocação de
blocos.
É o número do bloco do bitmap de alocação de inode para o grupo de blocos. É usado na alocação e desalocação de
inodes.
ÿ Tabela de inodes
Todos os descritores de grupo juntos constituem a tabela de descritores de grupo. Cada grupo de blocos tem toda a
tabela de descritores de grupo.
Módulo 03 Página 166 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Recursos do ext3
Desenvolvido por Stephen Tweedie em 2001, o terceiro sistema de arquivos estendidos (ext3) é um sistema de arquivos
com diário usado no sistema operacional GNU/Linux. É a versão aprimorada do sistema de arquivos ext2. A principal
vantagem desse sistema de arquivos é o registro no diário, que melhora a confiabilidade do sistema do computador.
Ele pode ser montado e usado como um sistema de arquivos ext2 e pode fazer uso de todos os programas desenvolvidos
no sistema de arquivos ext2.
O tamanho máximo de um único arquivo ext3 varia de 16 GB a 2 TB, e o tamanho máximo de todo o sistema de arquivos
ext3 varia de 2 TB a 32 TB. O sistema de arquivos ext3 também oferece melhor integridade de dados. Ele garante que os
dados sejam consistentes com o estado do sistema de arquivos. Além disso, o ext3 é mais rápido que o ext2 porque o
recurso de diário otimiza o movimento do cabeçote dos HDDs. Ele também oferece uma escolha de três modos de diário,
que fornecem compensações entre maximizar a integridade dos dados e otimizar a velocidade.
O sistema de arquivos ext3 também é altamente confiável e tem a capacidade de converter partições ext2 em ext3 e vice-
versa sem a necessidade de reparticionamento e backup de dados.
Por exemplo, para converter um sistema de arquivos ext2 localizado na partição /dev/hda5 em um sistema de arquivos
ext3, o seguinte comando pode ser usado:
# /sbin/tune2fs -j /dev/hda5
Módulo 03 Página 167 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Características do Ext3
ÿ Integridade dos dados: fornece integridade de dados mais forte para eventos que ocorrem devido a desligamentos do sistema
de computador. Permite ao usuário escolher o tipo e nível de proteção dos dados recebidos.
ÿ Velocidade: Como o sistema de arquivos ext3 é um sistema de arquivos com registro em diário, ele tem uma taxa de
transferência mais alta na maioria dos casos do que o ext2. O usuário pode escolher a velocidade otimizada entre três modos
diferentes de registro no diário.
ÿ Transição fácil: O usuário pode alterar facilmente o sistema de arquivos de ext2 para ext3 e aumentar o desempenho do sistema
usando o sistema de arquivos de registro sem reformatação.
Módulo 03 Página 168 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Esses sistemas de arquivos consistem em um diário que registra todas as informações sobre as atualizações que estão prontas para serem
2 aplicadas ao sistema de arquivos antes de serem aplicadas. Esse mecanismo é conhecido como registro no diário.
O registro no diário evita a corrupção de dados restaurando os dados no disco rígido para o estado em que existiam antes da ocorrência de uma
3 falha no sistema ou falha de energia. Isso ajuda o sistema a retomar a conclusão de tarefas ou atualizações que foram interrompidas por um evento
inesperado.
ext3, ext4, ZFS e XFS são alguns dos exemplos de sistemas de arquivos de registro no Linux. Devido à sua
4 estabilidade, o ext4 é o sistema de arquivos mais comumente implementado em sistemas Linux.
Um sistema de arquivos com registro em diário refere-se a um sistema de arquivos que protege contra corrupção
de dados no caso de perda de energia ou falha do sistema. Ele mantém um diário, que é um arquivo especial onde
as alterações/atualizações são registradas antes de serem gravadas no sistema de arquivos para evitar a corrupção
dos metadados. Caso o sistema falhe ou perca energia durante as atualizações do sistema de arquivos, as
atualizações permanecem seguras porque são registradas no diário. Quando a fonte de alimentação do sistema é
restaurada ou quando o sistema retorna a um estado normal após uma falha do sistema, as atualizações que ainda
devem ser gravadas no sistema de arquivos são lidas do diário e gravadas no sistema de arquivos.
Um sistema de arquivos com registro em diário também restaura os dados no disco rígido para sua configuração
anterior à falha. Portanto, o mecanismo de diário elimina a possibilidade de perda de dados. ext3, ext4, ZFS e XFS
são alguns dos exemplos de sistemas de arquivos de registro no Linux. Devido à sua estabilidade, o ext4 é o
sistema de arquivos mais comumente implementado em sistemas Linux.
Módulo 03 Página 169 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ ext4 é um sistema de arquivos journaling desenvolvido como substituto do sistema de arquivos ext3 comumente usado
ÿ Com a incorporação de novos recursos, o ext4 tem vantagens significativas sobre os sistemas de arquivos ext3 e ext2 ,
particularmente em termos de desempenho, escalabilidade e confiabilidade
Características principais
,,
,,
Grupo 0 Grupo 63
,,
super Bloco de Desc Bloquear bloco Bloco de bitmap
Grupo 0 bloco do Grupo de bitmap inode
Tabela de inodes Bloco de dados
O quarto sistema de arquivo estendido (ext4) é um sistema de arquivo journaling desenvolvido como o sucessor do sistema
de arquivo ext3 comumente usado. Ele oferece melhor escalabilidade e confiabilidade do que o ext3 para suportar grandes
sistemas de arquivos de máquinas de 64 bits para atender às crescentes demandas de capacidade de disco.
O sistema de arquivos ext4 habilita barreiras de gravação por padrão e permite que os usuários montem um sistema de
arquivos ext3 como um sistema de arquivos ext4. O sistema de arquivos suporta Linux Kernel v2.6.19 em diante.
Módulo 03 Página 170 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Características principais
ÿ Tamanho do sistema de arquivos: Ext4 suporta tamanhos máximos de arquivos individuais de até 16 TB e tamanhos
máximos de volumes de cerca de 1 EiB (exbibyte)
ÿ Extensões: Substitui o esquema de mapeamento de bloco encontrado em ext2 e ext3 para aumentar o desempenho e
reduzir a fragmentação
ÿ Alocação atrasada: Melhora o desempenho e reduz a fragmentação, alocando efetivamente grandes quantidades de
dados por vez, atrasando a alocação até que o sistema libere os dados para o disco
ÿ Maior velocidade de verificação do sistema de arquivos (fsck): marca grupos e seções de blocos não alocados e pula
os elementos marcados durante a execução das verificações. Assim, ele suporta verificação mais rápida do sistema de
arquivos.
ÿ Soma de verificação do diário: usa somas de verificação no diário para melhorar a confiabilidade
ÿ Pré-alocação persistente: O sistema de arquivos pode pré-alocar o espaço em disco para um arquivo
escrevendo zeros para ele durante a criação
ÿ Carimbos de data e hora aprimorados: fornece carimbos de data e hora medidos em nanossegundos e tem suporte
para carimbos de data e hora criados
ÿ Compatibilidade com versões anteriores: O sistema de arquivos é compatível com versões anteriores e permite ao usuário
montar ext3 e ext2 como ext4
,,
Grupo de metablocos 0 Meta grupo de blocos n
,,
,,
Grupo 0 Grupo 63
,,
Módulo 03 Página 171 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
O macOS da Apple é um sistema operacional baseado em UNIX e usa uma abordagem diferente no armazenamento
de dados quando comparado ao Windows e Linux. Portanto, as técnicas forenses geralmente usadas para Windows
e Linux não podem ser aplicadas ao macOS. Os investigadores forenses devem possuir um conhecimento profundo
dos sistemas baseados em UNIX para realizar exames forenses em sistemas de arquivos macOS.
Esta seção discute os sistemas de arquivos usados por diferentes versões do macOS.
Módulo 03 Página 172 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ UFS é derivado do Berkeley Fast File System (FFS) que foi originalmente desenvolvido na Bell
Laboratórios da primeira versão do UNIX FS
Arquivo UNIX
Sistema (UFS) ÿ Todos os derivados BSD UNIX, incluindo FreeBSD, NetBSD, OpenBSD, NeXTStep e Solaris usam um
variante de UFS
Arquivo Hierárquico
ÿ Desenvolvido pela Apple Computer, Inc. para suportar macOS
Sistema (HFS)
HFS Plus ÿ HFS Plus (HFS+) é o sucessor do HFS e é usado como sistema de arquivos principal no Macintosh
Arquivo Apple ÿ É um sistema de arquivos proprietário desenvolvido pela Apple Inc. para macOS 10.13 e versões posteriores
Sistema (APFS)
UNIX File System (UFS) é um sistema de arquivos utilizado por muitos sistemas operacionais UNIX e semelhantes a
UNIX. Derivado do Berkeley Fast File System, foi usado na primeira versão do UNIX desenvolvida no Bell Labs. Todos
os derivados do BSD UNIX, incluindo FreeBSD, NetBSD, OpenBSD, NeXTStep e Solaris, usam uma variante do UFS.
ÿ Desenho
o Alguns blocos no início da partição reservados para os blocos de inicialização, que devem ser inicializados
separadamente do sistema de arquivos
o Um superbloco, incluindo um número mágico que identifica o sistema de arquivos como UFS e alguns outros
números vitais que descrevem a geometria, as estatísticas e os parâmetros de ajuste comportamental
desse sistema de arquivos
Módulo 03 Página 173 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
A Apple desenvolveu o Hierarchical File System (HFS) em setembro de 1985 para oferecer suporte ao macOS em seu sistema
proprietário Macintosh e como um substituto para o Macintosh File System (MFS). O HFS divide um volume em blocos lógicos
de 512 bytes cada e agrupa esses blocos lógicos em blocos de alocação. Cada bloco de alocação pode armazenar um ou mais
blocos lógicos dependendo do tamanho total do volume.
O sistema de arquivos usa um valor de 16 bits para endereçar blocos de alocação, o que restringe o número de blocos de
alocação a 65.535.
1. Os blocos lógicos 0 e 1 do volume são os blocos de inicialização, que incluem informações de inicialização do sistema,
como nomes do sistema e arquivos shell, que são carregados na inicialização.
2. O bloco lógico 2 contém o Master Directory Block (MDB). O MDB contém uma ampla variedade de dados sobre o próprio
volume, como a data e os carimbos de data/hora da criação do volume; a localização de outras estruturas de volume,
como o bitmap de volume; e o tamanho das estruturas lógicas, como blocos de alocação. Uma duplicata do MDB
chamada Bloco de Diretório Mestre Alternativo (Alternate MDB) está localizada na extremidade oposta do volume no
penúltimo bloco lógico. O MDB alternativo destina-se principalmente ao uso por utilitários de disco e só é atualizado
quando o arquivo de catálogo ou o arquivo de estouro de extensões aumenta de tamanho.
3. O bloco lógico 3 é o bloco inicial do mapa de bits do volume, que controla os blocos de alocação em uso e os que estão
livres. Um bit no mapa representa cada bloco de alocação no volume. Se o bit estiver definido, o bloco está em uso;
caso contrário, o bloco está livre.
4. O Arquivo Overflow de Extensões é uma árvore B* que inclui extensões extras que armazenam informações sobre os
arquivos e os blocos de alocação a eles alocados, após o sistema utilizar as três extensões iniciais no Arquivo
Catálogo. As versões posteriores também adicionaram a capacidade do Extents Overflow File para armazenar
extensões que registram blocos defeituosos para evitar que uma máquina tente gravar neles.
5. O Arquivo de Catálogo é outra árvore B* que contém registros para todos os arquivos e diretórios armazenados no
volume. Ele armazena quatro tipos de registros. Cada arquivo consiste em um registro de encadeamento de arquivo
e um registro de arquivo, enquanto cada diretório contém um registro de encadeamento de diretório e um registro de
diretório. Um ID de nó de catálogo exclusivo ajuda a localizar os arquivos e diretórios no arquivo de catálogo.
HFS Plus
O Apple File System (APFS) substitui o HFS+ como o sistema de arquivos padrão para iOS 10.3 e versões posteriores. Este
sistema de arquivos atualizado inclui vários recursos, como clonagem (sem usar espaço em disco adicional), instantâneos,
compartilhamento de espaço livre entre volumes, suporte para esparso
Módulo 03 Página 174 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
arquivos, primitivos de salvamento seguro atômico e dimensionamento de diretório rápido. Ele é usado em todos os sistemas operacionais da
Apple, incluindo watchOS, tvOS, macOS e iOS.
Este sistema de arquivos de última geração foi projetado para aproveitar os dispositivos de armazenamento flash/SSD e o suporte nativo à
criptografia.
O APFS supera as principais desvantagens do sistema de arquivos mais antigo, HFS+, que são falta de funcionalidade, baixos níveis de
segurança, capacidade limitada e incompatibilidade com SSDs.
Módulo 03 Página 175 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
O HFS Plus (HFS+) é o sucessor do HFS e é um sistema de arquivos primário no Macintosh. Também é chamado de Mac OS Extended (HFS Extended)
e é um dos formatos usados no iPod da Apple. Ele suporta arquivos grandes e usa Unicode para nomear arquivos e pastas.
ÿ
Ele suporta arquivos de 64 bits de comprimento
ÿ
Ele permite nomes de arquivos com 255 caracteres de comprimento
ÿ
Ele usa uma tabela de alocação de 32 bits para a tabela de mapeamento, ao contrário da tabela de alocação de 16 bits no HFS
Também chamado de Mac OS Extended (HFS Extended), o HFS+ também é o sistema de arquivos usado em alguns iPods da Apple.
Módulo 03 Página 176 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
APFS (Apple File System), é um sistema de arquivos desenvolvido e introduzido pela Apple para macOS High Sierra e
versões posteriores, bem como iOS 10.3 e versões posteriores no ano de 2017. Ele substituiu todos os sistemas de arquivos
usados pela Apple e é adequado para todos Sistemas operacionais da Apple, incluindo iOS, watchOS, tvOS e macOS.
ÿ A camada do sistema de arquivos: consiste em estruturas de dados que armazenam informações como
metadados, conteúdo de arquivo e estruturas de diretório
O sistema de arquivos APFS oferece suporte a operações TRIM, atributos de arquivo estendidos, arquivos esparsos,
dimensionamento rápido de diretório, instantâneos, clonagem, alta granularidade de registro de data e hora e o recurso de
metadados copy-on-write. Ele supera as desvantagens do sistema de arquivos mais antigo, HFS+, que incluem falta de
funcionalidade, baixos níveis de segurança, capacidade limitada e incompatibilidade com SSDs.
Desvantagens
Unidades formatadas em APFS não são compatíveis com OS X 10.11 Yosemite e versões anteriores, o que torna difícil
para o usuário transferir arquivos de uma unidade APFS para versões mais antigas de dispositivos Mac.
Devido ao recurso “copy-on-write” e “fragmentação” dos arquivos copiados, o sistema de arquivos APFS não pode ser
usado em HDDs. Outras desvantagens do APFS incluem a falta de suporte a RAM não volátil (NVRAM) e a falta de
compactação e suporte para Apple Fusion Drives.
Módulo 03 Página 177 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Fluxo do módulo
Explique o lógico
Estrutura de um disco
Entenda o processo de
inicialização do Windows, Linux e
Sistemas operacionais Mac Entenda Vários Arquivos
Sistemas de Windows,
Linux e Mac
Examine o arquivo Sistemas operacionais
Sistema
Módulo 03 Página 178 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Sistema de arquivo
Análise usando
Autópsia
https:// www.sleuthkit.org
Autópsia é uma plataforma forense digital e interface gráfica para The Sleuth Kit® (TSK) e outras ferramentas forenses
digitais. Os examinadores de aplicação da lei, militares e corporativos o usam para investigar atividades em um computador.
Pode até ser usado para recuperar fotos do cartão de memória da câmera.
O Autopsy é uma plataforma de ponta a ponta com módulos integrados e de terceiros. Alguns dos módulos fornecem as
seguintes funções:
ÿ Análise da linha do tempo: interface gráfica avançada de visualização de eventos (tutorial em vídeo incluído)
ÿ Filtragem de hash: Sinaliza arquivos ruins conhecidos e ignora arquivos bons conhecidos
ÿ Pesquisa por palavra-chave: pesquisa por palavra-chave indexada para localizar arquivos que mencionam termos relevantes
ÿ Escultura de dados: Recupera arquivos excluídos de espaço não alocado usando PhotoRec
Módulo 03 Página 179 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Módulo 03 Página 180 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
O Sleuth Kit (TSK) é uma biblioteca e uma coleção de ferramentas de linha de comando que permitem a investigação de volume e dados do sistema
01 de arquivos
02 As ferramentas do sistema de arquivos permitem que você examine os sistemas de arquivos de um computador suspeito de maneira não intrusiva
Ele suporta partições DOS, partições BSD (rótulos de disco), partições Mac, fatias Sun (tabela de conteúdo de volume) e discos GPT
03
04 Ele analisa sistemas de arquivos raw (ou seja, dd), Expert Witness (ou seja, EnCase) e AFF e imagens de disco
05 Ele suporta os sistemas de arquivos NTFS, FAT, ExFAT, UFS 1, UFS 2, ext2, ext3, ext4, HFS, ISO 9660 e YAFFS2
Nota: Para realizar a análise, crie uma imagem forense .dd ou .E01 de um disco rígido ou pen drive usando ferramentas de imagem de disco. Aqui, criamos
uma imagem forense de um pen drive no formato .E01 usando o AccessData FTK Imager.
O Sleuth Kit® (TSK) é uma biblioteca e coleção de ferramentas de linha de comando que auxiliam na investigação de
imagens de disco. A funcionalidade principal do TSK permite ao usuário analisar dados de volume e sistema de arquivos.
As ferramentas do sistema de arquivos permitem que você examine os sistemas de arquivos de um computador suspeito
de maneira não intrusiva. As ferramentas do sistema de volume (gerenciamento de mídia) permitem examinar o layout dos
discos e outras mídias.
A estrutura do plug-in permite ao usuário incorporar módulos adicionais para analisar o conteúdo do arquivo e construir
sistemas automatizados. A biblioteca pode ser incorporada a ferramentas forenses digitais maiores, e as ferramentas de
linha de comando podem ser usadas diretamente para encontrar evidências. Ele suporta partições DOS, partições BSD
(rótulos de disco), partições Mac, fatias Sun (tabela de conteúdo de volume) e discos GPT. Ele analisa sistemas de arquivos
raw (ou seja, dd), Expert Witness (ou seja, EnCase) e AFF e imagens de disco.
Ele suporta os sistemas de arquivos NTFS, FAT, ExFAT, UFS 1, UFS 2, ext2, ext3, ext4, HFS, ISO 9660 e YAFFS2.
Nota: Para realizar a análise, crie uma imagem forense .dd ou .E01 de um disco rígido ou pen drive usando ferramentas de
imagem de disco. Aqui, criamos uma imagem forense de um pen drive no formato .E01 usando o AccessData FTK Imager.
ÿ Baixar ÿ Licenças
Módulo 03 Página 181 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
https:// x-ways.net
WinHex é um editor hexadecimal usado para computação forense, recuperação de dados, processamento de dados de baixo nível
e segurança de TI. É usado principalmente para inspecionar e editar todos os tipos de arquivos e para recuperar arquivos excluídos
ou dados perdidos de discos rígidos com sistemas de arquivos corrompidos ou de cartões de memória de câmeras digitais.
Características:
ÿ Editor de disco para discos rígidos, disquetes, CD-ROMs, DVDs, arquivos ZIP, cartões SmartMedia, etc.
ÿ Suporte nativo para FAT12/16/32, exFAT, NTFS, Ext2/3/4, Next3®, CDFS e UDF
ÿ Editor de RAM, fornecendo acesso à RAM física e à memória virtual de outros processos
ÿ Interpretador de dados
ÿ Clonagem de disco
Módulo 03 Página 182 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
ÿ Criptografia AES de 256 bits, somas de verificação, CRC32, hashes (MD5, SHA-1, etc.)
Módulo 03 Página 183 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Machine Translated by Google
Resumo do módulo
Este módulo discutiu os diferentes tipos de unidades de armazenamento e suas
características
Ele também discutiu o processo de inicialização dos sistemas operacionais Windows, Linux e Mac
Por fim, este módulo terminou com uma discussão detalhada sobre como examinar sistemas de
arquivos usando Autopsy e The Sleuth Kit
Resumo do módulo
Este módulo discutiu os diferentes tipos de unidades de armazenamento e suas características.
Explicou a estrutura lógica de um disco. Ele também discutiu o processo de inicialização do Windows,
Linux e Mac OS. Além disso, este módulo discutiu os vários sistemas de arquivos do Windows, Linux
e Mac OS. Por fim, este módulo apresentou uma discussão detalhada sobre o exame de sistemas de
arquivos usando Autopsy e The Sleuth Kit.
Módulo 03 Página 184 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.