MODULE 03 - Understanding Hard Disks and File Systems

Machine Translated by Google
MT
CE-Conselho
D FE
Digital Princípios Forenses
Fundamentos de Perícia Forense Digital Exame 112-53
Noções básicas sobre discos rígidos e sistemas de arquivos
Objetivos do Módulo
1 Compreendendo os diferentes tipos de unidades de armazenamento e suas características
2 Compreendendo a estrutura lógica de um disco
3 Compreendendo o processo de inicialização dos sistemas operacionais Windows, Linux e Mac
4 Visão geral de vários sistemas de arquivos dos sistemas operacionais Windows, Linux e Mac
5 Analisando sistemas de arquivos usando Autopsy e The Sleuth Kit
Copyright © por EC-Council. Todos os direitos reservados. A reprodução é estritamente proibida.
Objetivos do Módulo
Dispositivos de armazenamento como unidades de disco rígido (HDDs) e unidades de estado sólido (SSDs) são
uma fonte importante de informações durante a investigação forense. O investigador deve localizar e proteger os
dados coletados dos dispositivos de armazenamento como prova. Portanto, é necessário que o investigador tenha
conhecimento sobre a estrutura e o comportamento dos dispositivos de armazenamento. O sistema de arquivos
também é importante, pois o armazenamento e a distribuição dos dados em um dispositivo dependem do sistema
de arquivos usado.
Ao final deste módulo, você será capaz de:
ÿ Descrever diferentes tipos de unidades de armazenamento e suas características
ÿ Explicar a estrutura lógica de um disco
ÿ Compreender o processo de inicialização dos sistemas operacionais (SOs) Windows, Linux e Mac
ÿ Compreender vários sistemas de arquivos do Windows, Linux e Mac OSes
ÿ Examine os sistemas de arquivos usando Autopsy e The Sleuth Kit
Módulo 03 Página 86 Digital Forensics Essentials Copyright © por EC-Council Todos os direitos
reservados. A reprodução é estritamente proibida.
Fluxo do módulo
Descrever diferentes tipos

de unidades de disco e suas
Características
Explique o lógico
Estrutura de um disco
Entenda o processo de
inicialização do Windows, Linux e
Sistemas operacionais Mac Entenda Vários Arquivos
Sistemas de Windows,
Linux e Mac
Examine o arquivo Sistemas operacionais
Sistema
Descrever diferentes tipos de unidades de disco e suas características

HDDs e SSDs armazenam dados digitais em computadores. HDDs registram dados magneticamente em um
prato giratório giratório e contém partes móveis; portanto, é propenso a danos físicos. Os SSDs usam chips
de memória flash NAND para armazenar dados e não contêm partes móveis.
ÿ HDD é um dispositivo de armazenamento de dados digitais não voláteis que

Entendimento grava dados magneticamente em um prato metálico
Disco rígido
ÿ O desempenho de leitura/gravação de um HDD é diretamente proporcional ao
Dirigir RPM (rotações por minuto) do prato da unidade
Controle deslizante (e cabeça)

Atuador do
Eixo do atuador
Braço atuador
Pratos
Faixas
Fuso
Clusters
Setores
Conector de força
Pinos de jumper
SCSI (interface de sistema de computador pequeno)

Conector
Compreendendo a unidade de disco rígido
Um HDD é um dispositivo de armazenamento de dados digitais não voláteis usado em um sistema de computador.
Um disco rígido armazena dados usando um método semelhante ao usado em um gabinete de arquivo. O usuário,
quando necessário, pode acessar os dados e programas. Quando o computador precisa de programas ou dados
armazenados, o sistema copia os dados do HDD para um local temporário. Quando o usuário ou o sistema faz
alterações em um arquivo, o computador salva o arquivo substituindo o arquivo antigo pelo novo. O HDD grava os
dados magneticamente no disco rígido.
O HDD consiste em pratos giratórios e suas velocidades de leitura/gravação dependem das revoluções por minuto
(RPM) desses pratos. Quanto mais rápido o prato girar, maior será o desempenho de leitura/gravação do HDD.
Os HDDs são suscetíveis a danos físicos porque contêm partes móveis. A longo prazo, as partes móveis se
desgastam, danificando o acionamento.
Figura 3.1: Estrutura de uma unidade de disco rígido
Os HDDs diferem em termos de várias medições, como as seguintes:
ÿ Capacidade
ÿ Interface utilizada
ÿ Velocidade em RPM
ÿ Procurar tempo
ÿ Tempo de acesso
ÿ Tempo de transferência
Compreendendo o disco rígido

Dirigir: Pistas
As trilhas são os círculos concêntricos em pratos onde todas

as informações são armazenadas
O cabeçote de acionamento pode acessar esses anéis

circulares em uma posição por vez
As faixas são numeradas para fins de identificação
A leitura/gravação é executada rolando os cabeçalhos da

parte interna para a mais externa do disco
Entendendo a Unidade de Disco Rígido: Faixas
Os pratos têm duas superfícies, cada uma delas dividida em círculos concêntricos chamados trilhas. As trilhas armazenam
todas as informações em um disco rígido e as trilhas em uma partição de prato armazenam grandes blocos de dados. Um
disco rígido moderno contém dezenas de milhares de faixas em cada prato. As cabeças rolantes leem e gravam dados da
parte mais interna para a mais externa do disco. Esse tipo de arranjo de dados permite acesso fácil a qualquer parte do
disco, e é por isso que os discos rígidos têm o apelido de “dispositivos de armazenamento de acesso aleatório”.
Cada trilha contém várias unidades menores chamadas setores, e todos os pratos em um HDD têm a mesma densidade
de trilhas. A densidade da via refere-se à compacidade dos círculos da via; ele deve ser maximizado para que uma
unidade de área na superfície do prato possa conter o número máximo de bits.
A densidade da trilha também determina a capacidade de armazenamento de um disco rígido.
Compreendendo a unidade de disco rígido: numeração de faixas

A numeração das faixas em um disco rígido começa em 0 a partir da borda
externa e se move em direção ao centro. O número de faixas em um disco
pilha principal
rígido depende do tamanho do disco
Conjunto
As cabeças de leitura/gravação em ambas as superfícies de um prato são Cabeça 0
bem embaladas e travadas juntas em um conjunto de braços de cabeça
Cabeça 1
Cabeça 2
Os braços se movem para dentro e para fora juntos para localizar

fisicamente todas as cabeças no mesmo número de faixa
Cabeça 3
Cabeça 4
Portanto, um local de trilha é frequentemente referido por um número de

cilindro em vez de um número de trilha
Cabeça 5
Faixas
Um cilindro é um grupo de todas as trilhas que começam na mesma posição da
cabeça do disco Setor
Compreendendo a unidade de disco rígido: numeração de faixas
ÿ A numeração das faixas em um disco rígido começa em 0 a partir da borda externa e se move em direção ao centro. O número
de faixas em um disco rígido depende do tamanho do disco
ÿ As cabeças de leitura/gravação em ambas as superfícies de um prato estão bem embaladas e travadas juntas
em uma montagem de braços de cabeça
ÿ Os braços se movem para dentro e para fora juntos para localizar fisicamente todas as cabeças no mesmo número de faixa
ÿ Portanto, uma localização de trilha é frequentemente referida por um número de cilindro em vez de uma trilha
número
ÿ Um cilindro é um grupo de todas as trilhas que começam na mesma posição da cabeça do disco
Figura 3.2: Numeração das pistas
Compreendendo o disco rígido

Unidade: Setor
Um setor é a menor unidade de armazenamento físico no disco
Cada setor contém dados de tamanho fixo: 512 bytes para HDDs, 2048
bytes para CD-ROMs e DVD-ROMs.
Os HDDs mais recentes usam setores de 4.096 bytes (4 KB).
Cada setor do disco é rotulado usando os dados de posicionamento da

trilha de fábrica
O método ideal de armazenar um arquivo em um disco é em uma série

contígua
Por exemplo, se o tamanho do arquivo for 600 bytes, dois setores de 512 bytes
serão alocados para o arquivo
Entendendo a Unidade de Disco Rígido: Setor As trilhas
contêm divisões menores chamadas setores, que são as menores unidades de armazenamento físico em uma bandeja
de disco rígido. Um setor é um termo matemático que denota uma parte em forma de torta ou angular de um círculo e
é delimitado pelo perímetro do círculo e dois raios.
Cada setor normalmente armazena 512 bytes de dados para HDDs e 2048 bytes para CD-ROMs e DVD-ROMs; os
HDDs mais recentes usam setores de 4.096 bytes (4 KB), com bytes adicionais utilizados para controle interno da
unidade, informações que auxiliam no armazenamento de dados e na detecção e correção de erros. Todos os setores
entre dois círculos concêntricos formam uma trilha. As faixas se combinam para formar a superfície de um prato de
disco.
Os conteúdos de um setor são os seguintes.
ÿ Informações de ID: Esta parte contém o número e a localização do setor, que identificam os setores
no disco. Ele também contém informações sobre o status do setor.
ÿ Campos de sincronização: O controlador do drive conduz o processo de leitura usando estes campos ÿ
Dados: Esta parte é a informação armazenada no setor ÿ Codificação de correção de erros (ECC): Este
código garante a integridade dos dados ÿ Gaps: São espaços usados para fornecer tempo para o controlador
continuar a leitura
processo
Esses elementos constituem despesas gerais do setor. É um determinante importante do tempo necessário para
acessar os dados. Como o disco rígido usa bits para gerenciamento de disco ou dados, o tamanho da sobrecarga deve
ser minimizado para maximizar a eficiência. Um arquivo em um disco armazena dados em uma série contígua para uso
ideal do espaço, enquanto o sistema aloca setores para o arquivo de acordo com seu tamanho. Se o tamanho de um
arquivo for de 600 bytes, o sistema alocará dois setores, cada um com 512 bytes. O número da faixa e o número do
setor referem-se ao endereço de qualquer dado no disco rígido.
Compreendendo a unidade de disco rígido:

Endereçamento Setorial
Cilindros, cabeças e setores (CHS) determinam o

endereço dos setores individuais no disco
Quando um disco é formatado, ele é dividido em faixas e

setores
Por exemplo, o disco formatado pode conter 50 faixas, cada

uma delas dividida em 10 setores
Os números de trilha e setor são usados pelo sistema operacional e pela unidade
de disco para identificar as informações armazenadas
Compreendendo a unidade de disco rígido: endereçamento de setor
ÿ Cilindros, cabeçotes e setores (CHS) determinam o endereço dos setores individuais no

disco
ÿ Quando um disco é formatado, ele é dividido em faixas e setores
ÿ Por exemplo, o disco formatado pode conter 50 faixas, cada uma dividida em 10
setores
ÿ Números de trilha e setor são usados pelo sistema operacional e unidade de disco para identificar o armazenado
Informação
Compreendendo a unidade de disco rígido:

Setores 4K
ÿ Novos discos rígidos usam setores de formato avançado de 4096 bytes (4 KB ou 4 K)
ÿ O Formato Avançado de Geração Um, também chamado de tecnologia de setor 4K, usa com eficiência a
mídia de superfície de armazenamento de um disco ao mesclar oito setores de 512 bytes em um
único setor de 4.096 bytes
Brecha ECC- Codificação de Correção de Erros

Sincronizar
Marca de endereço
Um setor de 512 bytes

Símbolos ECC
Campo de Dados 512 Bytes
40 x 10 bits = 50 bytes
Oito setores de 512 bytes
512 512 512 512 512 512 512 512

bytes bytes bytes bytes bytes bytes bytes bytes
Melhoria na eficiência do formato

Um setor de bytes de 4K
4096 bytes ETC
distribuído
ETC
Compreendendo a unidade de disco rígido: setores 4K
Novos discos rígidos usam setores de formato avançado de 4096 bytes (4 KB ou 4 K). Este formato usa a
mídia de superfície de armazenamento de um disco de forma eficiente, mesclando oito setores de 512 bytes
em um único setor (4096 bytes). A estrutura de um setor de 4K mantém os elementos de design de setores
de 512 bytes, com as áreas de início e codificação de correção de erro (ECC) representadas pelos caracteres
de identificação e sincronização, respectivamente. A tecnologia de setor 4K remove áreas de cabeçalho
redundantes entre os setores.
Figura 3.3: layout do setor 4K
Densidade de dados em um disco rígido
ÿ Os dados são gravados em um disco rígido usando um método chamado gravação de bit de zona (também conhecido
como gravação de zona múltipla)
ÿ Nesta técnica, as trilhas são combinadas em zonas dependendo de sua distância

o centro do disco
ÿ A cada zona é atribuído um número de setores por faixa
Tipos de densidades de dados em um disco rígido:
Densidade da trilha Densidade de área Densidade de bits
É definido como o É definido como o São os bits por unidade de

espaço entre as faixas em número de bits por comprimento da trilha
um disco polegada quadrada em uma bandeja
Densidade de dados em um disco rígido
Os discos rígidos armazenam dados usando o método de gravação de bit de zona, também conhecido como gravação de
zona múltipla. Nesta técnica, as trilhas formam uma coleção de zonas dependendo de sua distância do centro do disco, e as
trilhas externas têm mais setores do que as trilhas internas. Isso permite que a unidade armazene mais bits em cada trilha
externa do que na zona mais interna, o que ajuda a atingir uma alta capacidade total de dados.
A seguir estão alguns termos relacionados à densidade de dados em um disco rígido:
ÿ Densidade de trilha: Este termo refere-se ao espaço requerido por um determinado número de trilhas em um disco.
Discos com maior densidade de trilha podem armazenar mais informações e oferecer melhor desempenho.
ÿ Densidade de área: Este termo refere-se ao número de bits por polegada quadrada em um prato e
representa a quantidade de dados que um disco rígido pode conter.
ÿ Densidade de bits: Este termo refere-se ao número de bits que uma unidade de comprimento de trilha pode acomodar.
Endereçamento de Dados CHS (Setor da Cabeça do Cilindro) e Disco

Cálculo de capacidade
O método de endereçamento CHS endereça cada bloco

físico de dados em um disco rígido especificando o cilindro
(raio), cabeçote (lado do prato) e setor (posição angular)
Exemplo de cálculo de capacidade de disco: Uma unidade de
disco tem 16.384 cilindros, 80 cabeçotes e 63 setores por trilha.

Suponha - um setor tem 512 bytes. Qual é a capacidade de tal disco?
Responder
*
Tamanho Total do Disco = Nº de Cilindros Nº de Chefes * Nº de Setores
por Trilha * 512
Total
bytes
do Disco
por Setor
= (16.384
Tamanho
* *
cilindros) trilha) (80 cabeças) (63 setores /
* (512 bytes/setor)
= 42.278.584.320 bytes
Endereçamento de Dados CHS (Setor da Cabeça do Cilindro) e Cálculo da Capacidade do Disco
O endereçamento de dados do disco rígido é a técnica de atribuir endereços a blocos físicos de dados em
HDs.
CHS (Setor da Cabeça do Cilindro)
O processo Cylinder-Head-Sector (CHS) identifica setores individuais em um disco rígido de acordo com suas posições
em uma trilha, e os números da cabeça e do cilindro determinam essas trilhas. Ele associa informações do disco rígido
por especificações como cabeçote (lado do prato), cilindro (raio) e setor (posição angular).
Exemplo de cálculo de capacidade de disco: Uma unidade de disco tem 16.384 cilindros, 80 cabeçotes e 63 setores
por trilha. Suponha - um setor tem 512 bytes. Qual é a capacidade de tal disco?
Responder
* Nº de cabeças *
Tamanho Total do Disco = Nº do Setor de Nº de setores por trilha * 512 bytes por
Cilindros
Tamanho Total do Disco = (16.384 cilindros) * (80 cabeças) * (63 setores/trilha) * (512 bytes/setor)
= 42.278.584.320 bytes
Medindo o
Disco rígido
Desempenho
ÿ Os dados são armazenados no disco rígido na forma de arquivos
ÿ Quando um programa em execução solicita um arquivo, o disco rígido recupera o conteúdo de

bytes do arquivo e envia os bytes para a CPU, um de cada vez, para processamento posterior
O desempenho do disco rígido é medido por estes fatores:
Taxa de dados: É uma relação do número de Tempo de busca: É o tempo necessário

bytes por segundo que o disco rígido envia para a para enviar o primeiro byte do arquivo para
CPU a UCP, quando esta solicita o arquivo
Medindo o desempenho do disco rígido
Os dados são armazenados no disco rígido na forma de arquivos. Quando um programa em execução solicita um
arquivo, o disco rígido recupera o conteúdo de bytes do arquivo e envia os bytes para a CPU, um de cada vez, para
processamento posterior. A medição do desempenho da unidade de disco rígido inclui o cálculo de suas duas
características, incluindo o tempo de acesso e a taxa de transferência de dados.
Tempo de acesso
O tempo de acesso refere-se ao tempo que uma unidade leva para iniciar a transferência de dados. Este tempo
depende da natureza mecânica dos discos rotativos e cabeçotes móveis. A seguir estão os principais componentes
adicionados para obter o tempo de acesso:
ÿ Tempo de busca: Este é o tempo necessário para um controlador de disco rígido encontrar um determinado
dado. Ao ler ou gravar dados, as cabeças do disco se movem para a posição correta por meio do processo
de busca. O tempo necessário para mover as cabeças do disco de leitura ou gravação de um ponto para
outro no disco é o tempo de busca. O tempo de busca é geralmente entre 10 e 20 ms, com os discos
rígidos de desktop comuns tendo um tempo de busca de aproximadamente 9 ms.
ÿ Latência rotacional: Refere-se ao atraso rotacional no setor de disco escolhido para girar sob os cabeçotes
da unidade de disco de leitura ou gravação. A latência rotacional média do disco é metade do tempo que o
disco leva para completar uma revolução. O termo é aplicável apenas a dispositivos de armazenamento
rotativo, como HDDs e unidades de disquete, mas não a unidades de fita.
ÿ Taxa de transferência de dados: A taxa de transferência de dados de uma unidade é expressa pela taxa
interna, que é a taxa de transferência de dados entre a superfície do disco e o controlador da unidade, bem
como a taxa externa, que é a taxa de transferência de dados entre os controlador de unidade e sistema
host. A taxa de transferência do host ou taxa de transferência de dados é a velocidade na qual o host
computador pode transferir dados do Integrated Drive Electronics (IDE)/Enhanced IDE (EIDE) ou
Small Computer System Interface (SCSI) para a CPU.
o As taxas de transferência de dados na zona interna variam de 44,2 MB/s a 74,5 MB/s
o A taxa de transferência de dados na zona externa varia de 74,0 MB/s a 111,4 MB/s
Compreendendo a unidade de estado sólido (SSD)

ÿ SSD é um dispositivo de armazenamento não volátil que usa chips de memória flash NAND para armazenar dados digitais
ÿ Os SSDs são mais rápidos que os HDDs, pois não possuem partes móveis e o desempenho de leitura/gravação depende da conexão de dados da unidade
Memória Flash NAND

É a principal unidade de armazenamento de
dados composta por transistores de porta
flutuante que retêm o estado de carga mesmo sem
poder
Controlador
É um processador que atua como uma ponte entre os
componentes da memória flash e o computador (host)
executando um software de nível de firmware
DRAM
SSD PCB Poder
Porta É uma memória volátil que fornece desempenho de leitura/
gravação mais rápido
Interface do host
Um SSD se conecta à máquina host usando uma interface. As interfaces SSD comumente
usadas são SATA, PCIe, SCSI, etc.
Compreendendo a unidade de estado sólido (SSD)
Um SSD é um dispositivo eletrônico de armazenamento de dados que implementa a tecnologia de memória de estado sólido
para armazenar dados de maneira semelhante a um HDD. Em eletrônica, o termo “estado sólido” refere-se a um circuito
eletrônico construído inteiramente com semicondutores. Os SSDs usam os dois tipos de memória a seguir.
ÿ SSDs baseados em NAND: Esses SSDs usam microchips de memória NAND de estado sólido para armazenar dados.
A memória NAND é não volátil por natureza e retém a memória mesmo sem energia.
Portanto, os dados nesses microchips estão em um estado não volátil e não precisam de partes móveis. A memória
NAND foi desenvolvida principalmente para reduzir o custo por bit de armazenamento de dados. No entanto, ainda
é mais caro que a memória óptica e os HDDs. A memória baseada em NAND é amplamente usada atualmente em
dispositivos móveis, câmeras digitais, MP3 players, etc. Ela permite apenas um número finito de gravações durante
a vida útil do dispositivo.
ÿ SSDs baseados em RAM volátil: SSDs baseados em memória volátil, como RAM dinâmica (DRAM), são usados
quando os aplicativos exigem acesso rápido aos dados. Esses SSDs incluem uma bateria recarregável interna ou
um adaptador AC/DC externo, bem como armazenamento de backup. Os dados residem na DRAM durante o
acesso a dados e são armazenados no armazenamento de backup em caso de falha de energia.
Vantagens do SSD
As três principais vantagens do SSD sobre os discos rígidos magnéticos são as seguintes:
ÿ Acesso mais rápido aos dados
ÿ Menor consumo de energia
ÿ Maior confiabilidade
SSD PCB
Poder
Porta
Figura 3.4: Estrutura do SSD
Componentes do SSD
1. Memória flash NAND—Ele usa tecnologia de armazenamento não volátil para armazenar dados e consiste
de transistores de porta flutuante que não requerem energia para reter dados
2. Controlador— É um processador embutido que atua como uma ponte entre os componentes da memória
flash e o sistema, executando um software de nível de firmware
3. DRAM— É uma memória volátil e requer energia para reter os dados. A DRAM está incluída em um SSD
para aumentar seu desempenho de leitura/gravação.
4. Interface de host—Com base nos requisitos de desempenho, várias interfaces de host são usadas em
SSDs. As interfaces de host SSD comumente usadas incluem Serial Advanced Technology Attachment
(SATA), Peripheral Component Interconnect Express (PCIe) e SCSI.
Interfaces de disco
ATA/PATA (IDE/EIDE) Serial ATA/SATA (AHCI) Serial Attached SCSI
ATA (Advanced Technology Attachment) é É um avanço do ATA e usa sinalização serial, ao SAS (Serial Attached SCSI) é o sucessor e uma alternativa
o ANSI oficial (American National Standards contrário da sinalização paralela do IDE avançada ao SCSI paralelo em ambientes corporativos
Institute) nome do Integrated Drive
Eletrônica (IDE), uma interface padrão entre o barramento de
dados da placa-mãe e os discos de armazenamento
SSD PCIe SCSI
SCSI (computador pequeno

Um PCIe (Periférico
System Interface) refere-se a
Componente de Interconexão um conjunto de padrões ANSI
Express) SSD é uma placa de interfaces baseadas no
expansão serial de alta velocidade
estrutura de barramento
que integra o flash diretamente na
paralela e projetada para
placa-mãe
conectar vários periféricos a
um computador
Interfaces de disco
Uma unidade de armazenamento se conecta a um PC usando uma interface. Existem vários tipos de interfaces, incluindo
IDE, SATA, PCIe e SCSI.
ÿ ATA/PATA (IDE/EIDE)
IDE é uma interface eletrônica padrão usada entre os caminhos ou barramento de dados da placa-mãe de um
computador e os dispositivos de armazenamento do computador, como HDDs, SSDs e unidades de CD-ROM/DVD.
O padrão de barramento IBM PC Industry Standard Architecture (ISA) de 16 bits é a base para a interface IDE,
que oferece conectividade em computadores que usam outros padrões de barramento. O IDE oficial do American
National Standards Institute (ANSI) é o Advanced Technology Attachment (ATA).
Figura 3.5: ATA/PATA (IDE/EIDE)
ÿ ATA Paralelo
O Parallel ATA (PATA), baseado na tecnologia de sinalização paralela, oferece um controlador na própria unidade
de disco e, assim, elimina a necessidade de uma placa adaptadora separada. Os padrões PATA permitem apenas
comprimentos de cabo de até 46 cm (18 pol.).
O PATA tem as seguintes características:
o Relativamente barato
o Fácil de configurar
o Permite cache antecipado
ÿ Eletrônica de acionamento integrada aprimorada (EIDE)
A maioria dos computadores vendidos hoje usa uma versão aprimorada do IDE chamada Enhanced Integrated
Drive Electronics (EIDE). Unidades IDE se conectam a PCs usando uma placa adaptadora de host IDE. O
controlador IDE em computadores modernos é um recurso embutido na placa-mãe. EIDE é uma extensão da
interface IDE que suporta os padrões ATA-2 e ATA Packet Interface (ATAPI). A placa-mãe contém dois tipos
de soquetes EIDE. Um soquete conecta duas unidades, ou seja, cabos de 80 fios para discos rígidos rápidos
e um cabo de fita de 40 pinos para CD-ROMs/DVD-ROMs. IDE aprimorado ou expandido é uma interface
eletrônica padrão que conecta a placa-mãe de um computador às suas unidades de armazenamento. O EIDE
pode endereçar um disco rígido maior que 528 Mbytes, permite acesso rápido ao disco rígido e fornece
suporte para acesso direto à memória (DMA) e unidades adicionais, como dispositivos de fita e unidades de
CD-ROM. Ao atualizar um sistema de computador com um disco rígido maior, o controlador EIDE é inserido
no slot da placa do sistema. O EIDE acessa unidades maiores que 528 Mbytes usando um endereço de bloco
lógico (LBA) de 28 bits para indicar as localizações reais do cabeçote, setor e cilindro dos dados do disco. O
LBA de 28 bits fornece informações suficientes para identificar setores exclusivos em um dispositivo de
armazenamento com capacidade de 8,4 GB.
ÿ Serial ATA
Serial ATA (SATA) oferece um canal ponto a ponto entre a placa-mãe e a unidade.
Os cabos em SATA são mais curtos do que os em PATA. Utiliza cabos blindados de quatro fios de até 1 m
de comprimento. Os cabos SATA são mais flexíveis, mais finos e mais leves do que os cabos de fita
necessários para os discos rígidos PATA convencionais.
SATA tem as seguintes características:
o Alta velocidade de operação
o Fácil de conectar a dispositivos de armazenamento
o Fácil de configurar
o Transfere dados a uma taxa de 1,5 Gbps (SATA revisão 1.0) e 6 Gbps (SATA revisão 3)
A conectividade da unidade e da placa-mãe por meio de um canal ponto a ponto SATA é baseada na
tecnologia de sinalização serial. Essa tecnologia permite a transferência de dados a uma taxa de
aproximadamente 1,5 Gbps em um modo de canal half-duplex.
Figura 3.6: Serial ATA
ÿ SCSI
SCSI é um conjunto de interfaces eletrônicas padrão ANSI que permite que computadores pessoais se
comuniquem com hardware periférico, como unidades de disco, unidades de fita, unidades de CD-ROM,
impressoras e scanners. Adotados pela Apple Computer, Inc. e ainda usados no Macintosh, os atuais
conjuntos de SCSIs são interfaces paralelas. As portas SCSI continuam disponíveis como um recurso
integrado em vários PCs atualmente e são suportadas por todos os principais sistemas operacionais. Além
de fornecer taxas de dados mais rápidas, o SCSI é mais flexível do que as interfaces de transferência de
dados paralelas anteriores. O SCSI permite que até 7 ou 15 dispositivos (dependendo da largura do
barramento) sejam conectados a uma única porta SCSI em cadeia. Isso permite que uma placa de circuito ou
placa acomode todos os periféricos, em vez de ter uma placa separada para cada dispositivo, tornando-a uma
interface ideal para uso com computadores portáteis e notebooks. Um único adaptador de host, na forma de
um cartão de PC, pode servir como uma interface SCSI para um laptop, liberando as portas paralela e serial
para uso com um modem externo e impressora, além de permitir o uso de outros dispositivos.
Especificações dos padrões SCSI:
Cabo Máximo Velocidade máxima Numero maximo

Nome da tecnologia
Comprimento (metros) (MBps) de dispositivos
SCSI-1 6 5 8
SCSI-2 6 5-10 8 ou 16
Fast SCSI-2 3 10-20 8
Wide SCSI-2 3 20 16
Fast Wide SCSI-2 3 20 16
Ultra SCSI-3, 8 bits 1,5 20 8
UltraSCSI-3, 16 bits 1,5 40 16
Ultra-2 SCSI 12 40 8
Wide Ultra-2 SCSI 12 80 16
Ultra-3 (Ultra160/m)
12 160 16
SCSI
Tabela 3.1: Padrões SCSI
Figura 3.7: SCSI
ÿ Serial Attached SCSI
Serial Attached SCSI (SAS) é um protocolo serial ponto a ponto que lida com o fluxo de dados entre
dispositivos de armazenamento de computador, como HDDs e unidades de fita. É o sucessor do Parallel
SCSI e usa o conjunto de comandos SCSI padrão.
O SAS é escolhido em vez do SCSI devido à sua flexibilidade e outros recursos benéficos, conforme explicado abaixo:
o Enquanto o padrão SCSI paralelo mais recente pode suportar no máximo apenas 16 dispositivos, o SAS faz uso de
expansores e pode suportar até 65.535 dispositivos
o SAS está livre de problemas como terminação e distorção do relógio
o Como o SAS é uma tecnologia ponto-a-ponto, não é afetado por problemas de contenção de recursos, que eram
comuns em SCSI paralelo
o As unidades SAS apresentam melhor desempenho, escalabilidade e confiabilidade em aplicativos de armazenamento

do que as unidades SCSI e podem operar em ambientes onde as unidades SCSI não podem
Figura 3.8: SCSI conectado em série
ÿ SSD PCIe
Um SSD PCIe é uma placa de expansão serial de alta velocidade que integra o flash diretamente na placa-mãe.
Esses dispositivos se conectam à máquina host por meio de seu próprio link serial, eliminando a necessidade de
compartilhar um barramento, reduzindo a latência e aprimorando as velocidades de transferência de dados entre um
servidor e o armazenamento. A velocidade da transferência de dados é determinada pelo número de pistas PCIe por
SSD. O PCIe 5.0 foi lançado em 29 de maio de 2019 e possui uma largura de banda de 32 GT/s (~128 GB/s),
tornando-o ideal para aplicativos como inteligência artificial, aprendizado de máquina, jogos, computação visual,
armazenamento e rede.
Figura 3.9: SSD PCIe
ÿ Protocolo de armazenamento SSD: NVMe SSD
Non-Volatile Memory Express (NVMe) é um protocolo de armazenamento desenvolvido para memória flash NAND e
SSDs de alto desempenho que usam tecnologia de slot de cartão PCIe. Com seu sistema de enfileiramento paralelo,
o NVMe supera as limitações do SATA e outras opções de armazenamento SSD.
Ele pode lidar com cargas de trabalho mais pesadas, reduzir a latência e oferecer melhor suporte de fila do que SSDs
SATA/Advanced Host Controller Interface (AHCI), aumentando significativamente o desempenho e mitigando os
gargalos da CPU. Atualmente, o NVMe oferece suporte a três fatores de forma: placas PCIe adicionais, SSDs M.2 e
SSDs U.2 de 2,5 polegadas.
Fluxo do módulo

Características
Explique o lógico
Linux e Mac
Sistema
Explique a estrutura lógica de um disco

Os dados armazenados em um computador são organizados na forma de arquivos/diretórios de acordo com a
estrutura de árvore armazenada no disco rígido. A estrutura lógica de um disco rígido é compatível com o SO
instalado nele. O disco rígido precisa da estrutura lógica para entender o disco rígido e resolver quaisquer
problemas relacionados ao disco. O registro mestre de inicialização (MBR) é o primeiro setor do disco rígido e
contém carregadores de inicialização e tabelas de partição acessadas pelo sistema operacional.
Estrutura Lógica de Discos
A estrutura lógica de um disco rígido é o sistema de arquivos e o

software utilizado para controlar o acesso ao armazenamento no
disco
A estrutura lógica de um disco rígido tem uma influência significativa

no desempenho, consistência, capacidade de expansão e
compatibilidade do subsistema de armazenamento do disco rígido
Sistemas operacionais diferentes têm sistemas de arquivos diferentes

e usam vários métodos para organizar e controlar o acesso aos
dados no disco rígido
Estrutura Lógica de Discos
A estrutura lógica de um disco rígido depende principalmente dos sistemas de arquivos usados e do software, como
o sistema operacional. Esses fatores controlam e definem o processo de acesso aos dados no disco rígido. Os
sistemas operacionais usam diferentes tipos de sistemas de arquivos, e esses sistemas de arquivos usam vários
outros tipos de mecanismos de controle e acesso para dados no disco rígido. Os sistemas operacionais organizam
o mesmo disco rígido de várias maneiras diferentes. A estrutura lógica do disco rígido influencia diretamente a
consistência, desempenho, compatibilidade e capacidade de expansão dos subsistemas de armazenamento do disco rígido.
Clusters
Um cluster é a menor unidade de armazenamento lógico em um disco rígido
É um conjunto de setores dentro de um disco variando do cluster número 2 a 32 ou mais, dependendo

do esquema de formatação em uso
O sistema de arquivos divide o armazenamento em um volume de disco em partes discretas

de dados para uso e desempenho eficientes do disco. Esses pedaços são chamados de clusters
O processo pelo qual os arquivos são alocados para clusters é chamado de alocação;
portanto, os clusters também são conhecidos como unidades de alocação
No sistema de arquivos File Allocation Table (FAT), os clusters vinculados a um arquivo acompanham
os dados do arquivo na tabela de alocação de arquivos do disco rígido
Clusters
Clusters são as menores unidades de armazenamento acessíveis em um disco rígido. Os sistemas de arquivos
dividem o volume de dados armazenados no disco em partes discretas de dados para desempenho ideal e uso
eficiente do disco. Clusters são formados pela combinação de setores para facilitar o processo de manipulação de
arquivos. Também chamados de unidades de alocação, os clusters são conjuntos de trilhas e setores que variam do
cluster número 2 ao 32 ou superior, dependendo do esquema de formatação. Os sistemas de alocação de arquivos
devem ser flexíveis para alocar os setores necessários aos arquivos. A alocação pode ser do tamanho de um setor por
cluster. Qualquer processo de leitura ou gravação consome um espaço mínimo de um cluster.
Para armazenar um arquivo, o sistema de arquivos deve atribuir o número necessário de clusters a ele. O tamanho do
cluster depende inteiramente do volume do disco e varia de 4 a 64 setores. Em alguns casos, o tamanho do cluster
pode ser de 128 setores. Os setores localizados em um cluster são contínuos. Portanto, cada cluster é um pedaço
contínuo de espaço no disco rígido. Em um cluster, quando o sistema de arquivos armazena um arquivo menor que o
tamanho do cluster, o espaço extra é desperdiçado e é chamado de espaço livre.
Tamanho do cluster
O dimensionamento do cluster tem um impacto significativo no desempenho de um

sistema operacional e na utilização do disco
O tamanho do cluster pode ser alterado para armazenamento de disco ideal
O tamanho de um cluster depende do tamanho da partição do disco e do tipo de

sistema de arquivos instalado na partição
Um grande tamanho de cluster (maior que um setor) tem os seguintes efeitos:
ÿ Minimiza o problema de fragmentação
ÿ Aumenta a probabilidade de espaço não utilizado no cluster

ÿ Reduz a área de armazenamento em disco na qual as informações podem ser
salvou
ÿ Reduz a área não utilizada no disco
Tamanho do cluster
O dimensionamento do cluster tem um impacto significativo no desempenho de um sistema operacional e na utilização do disco. O
particionamento de disco determina o tamanho de um cluster e volumes maiores usam tamanhos de cluster maiores. O sistema pode
alterar o tamanho do cluster de uma partição existente para aprimorar o desempenho. Se o tamanho do cluster for 8192 bytes, o
sistema de arquivos aloca um cluster inteiro para armazenar um arquivo de 5000 bytes. Se o tamanho do arquivo for 10.000 bytes, o
sistema de arquivos alocará dois clusters totalizando 16.384 bytes no espaço de armazenamento. Portanto, o tamanho do cluster
desempenha um papel vital na maximização do uso eficiente do disco. O uso de um tamanho de cluster grande diminui o problema
de fragmentação, mas aumenta muito as chances de espaço não utilizado.
O sistema de arquivos em execução no computador mantém as entradas do cluster. Os clusters formam cadeias no disco usando
números contínuos, para os quais não é necessário armazenar um arquivo inteiro em um bloco contínuo no disco. O sistema de
arquivos pode armazená-lo em partes localizadas em qualquer lugar do disco, bem como movê-lo para qualquer lugar após a criação
do arquivo. Esse encadeamento de cluster é invisível para o sistema operacional.
Os usuários podem alterar o tamanho do cluster somente ao reformatar a unidade.
A seguir estão as etapas para alterar o tamanho do cluster:
ÿ Clique com o botão direito do mouse na unidade que deseja formatar e selecione Formatar
ÿ
Na caixa de diálogo Formatar, escolha o tamanho da unidade de alocação que a unidade recém-formatada deve usar. O
tamanho do cluster pode variar de 512 bytes a 4096 bytes
Clusters Perdidos
Quando o sistema operacional marca clusters como usados, mas não os aloca
01 para nenhum arquivo, esses clusters são conhecidos como clusters perdidos
Um cluster perdido é um erro do sistema de arquivos FAT resultante da maneira
02 como o sistema de arquivos FAT aloca espaço e encadeia arquivos
É principalmente o resultado de um erro de estrutura lógica e não um erro de

03 disco físico
Eles geralmente ocorrem devido a atividades de arquivo interrompidas

causadas quando, por exemplo, um arquivo não é fechado corretamente;
04 assim, os clusters envolvidos em tal atividade nunca são vinculados
corretamente a um arquivo
CHKDSK é uma ferramenta de sistema no Windows que autentica a
05 confiabilidade do sistema de arquivos de um volume e repara erros

lógicos do sistema de arquivos
Clusters Perdidos
Um cluster perdido é um erro da tabela de alocação de arquivos (FAT) que ocorre quando o sistema operacional marca os clusters
como usados, mas não aloca nenhum arquivo para eles. O erro se origina do processo usado pelo sistema de arquivos FAT para
atribuir espaços e agrupar arquivos. É principalmente um erro de estrutura lógica e não um erro de disco físico. Os clusters perdidos
ocorrem quando o usuário não fecha os arquivos corretamente ou desliga um computador sem fechar um aplicativo. Esses erros
também ocorrem devido a corrupções de disco, como drivers ruins e conflitos de recursos. Os sistemas operacionais marcam esses
clusters como em uso, embora não tenham arquivos atribuídos ou vinculados a eles. Os programas de verificação de disco podem
examinar um volume de disco completo em busca de clusters perdidos. Para detectar clusters perdidos, pode-se usar um programa
que pode salvá-los como um arquivo ou limpá-los. O último gera e vincula arquivos artificiais a esses clusters. Este método resultará
em danos ao arquivo recém-formado; no entanto, os dados órfãos são visíveis e é possível recuperar algumas partes desses dados.
Os programas de verificação de disco podem verificar o sistema do computador em busca de clusters perdidos usando o procedimento
a seguir.
ÿ É gerada uma cópia duplicada na memória do FAT observando todos os clusters marcados
como “em uso”.
ÿ A partir do diretório raiz, os clusters utilizados por um arquivo são rastreados e marcados como “contabilizados” para conectá-
los ao arquivo. Este procedimento é repetido para todos os subdiretórios.
ÿ Clusters perdidos ou clusters “órfãos” são marcados no FAT como sendo usados, mas não têm link para
qualquer arquivo.
Chkdsk.exe ou Check Disk é um utilitário interno do Windows que ajuda a detectar erros no sistema de
arquivos e na mídia do disco. O utilitário Check Disk deve ser usado no caso de problemas como telas azuis
e dificuldade para abrir ou salvar arquivos ou pastas. Este utilitário também verifica setores defeituosos e
clusters perdidos.
Etapas para usar a versão de linha de comando do utilitário Check Disk:
ÿ Abra o prompt de comando digitando cmd no utilitário Executar
ÿ Digite chkdsk no prompt de comando para executar o utilitário Check Disk no modo somente leitura
ÿ Depois de concluir uma verificação, o utilitário Check Disk exibirá o status da unidade atual
Figura 3.10: Verificando o utilitário de disco
Espaço livre
Slack space é a área de Se o tamanho do arquivo for menor que o tamanho Por exemplo, se o tamanho da partição for
armazenamento de um disco entre o do cluster, um cluster completo ainda será de 4 GB, cada cluster terá 32 KB de tamanho.
final de um arquivo e o final de um atribuído a esse arquivo. O espaço não utilizado Mesmo que um arquivo exija apenas 10 KB, todos
cluster restante é chamado de espaço slack. os 32 KB serão alocados para esse arquivo,
resultando em 22 KB de espaço ocioso.
Cluster 4242 Tamanho: 2048 (2K)
User_File.txt User_File.txt Espaço livre

Espaço livre Espaço livre
Últimos 256 Ou
Primeiros 512 bytes
bytes Preenchido por SO
Setor 1 Setor 2 Setor 3 Setor 4
512 bytes 512 bytes 512 bytes 512 bytes
Espaço livre
O espaço livre é a área desperdiçada de um cluster de disco entre o final de um arquivo e o final do cluster; ele é criado
quando o sistema de arquivos aloca um cluster completo para um arquivo menor que o tamanho do cluster. Um grande
número de arquivos e um grande tamanho de cluster resultam em espaço em disco desperdiçado devido à falta de
espaço. Os sistemas de arquivos DOS e Windows usam clusters de tamanho fixo. O tamanho consumido por um
arquivo dentro de um cluster é independente do armazenamento de dados, embora o sistema de arquivos reserve todo
o espaço dentro de um cluster para um arquivo. As versões mais antigas do Windows e do DOS usavam uma tabela
de alocação de 16 bits, resultando em um grande tamanho de cluster para grandes partições. Por exemplo, se o
tamanho de cada partição for 4 GB, o tamanho de cada cluster for 32 KB e um arquivo exigir apenas 10 KB, o sistema
alocará um cluster inteiro de 32 KB, resultando em 22 K de espaço disponível.
Cluster 4242 Tamanho: 2048 (2K)
User_File.txt Espaço livre

User_File.txt Espaço livre
Últimos 256 Ou Espaço livre
Primeiros 512 bytes
bytes Preenchido por SO
Setor 1 Setor 2 Setor 3 Setor 4
512 bytes 512 bytes 512 bytes 512 bytes
Figura 3.11: Ilustração do espaço livre
Para eliminar essa ineficiência, o sistema usa o particionamento. Outra abordagem para reduzir o espaço ocioso é usar
o New Technology File System (NTFS), que permite clusters muito menores em grandes partições do que o FAT. O
arquivamento de arquivos usados com pouca frequência também pode usar a compactação para reduzir a folga. À
medida que o tamanho dos discos aumenta, o problema do espaço slack ganha importância.
Tipos de arquivo Slack
ÿ RAM slack: RAM slack é o espaço de armazenamento de dados que começa do final de um arquivo até o
fim do último setor do arquivo
ÿ Folga na unidade: A folga na unidade é o espaço de armazenamento de dados que começa no final do último setor
de um arquivo até o final do último cluster do arquivo
No campo da investigação forense, o espaço livre é uma importante forma de evidência. Muitas vezes, o slack space pode conter
informações suspeitas relevantes exigidas por um promotor para apresentar como prova no tribunal. Por exemplo, se o suspeito excluiu os
arquivos de um cluster de disco rígido inteiro e salvou novos arquivos, que preencheram metade do cluster, a outra metade pode não estar
vazia. Ele pode conter os dados dos arquivos excluídos. Os examinadores forenses podem coletar esses dados usando ferramentas
forenses de computador.
Registro Mestre de Inicialização (MBR)
1 3
Um registro mestre de inicialização (MBR) Na prática, MBR quase sempre se refere
é o primeiro setor ("setor zero") de um ao setor de inicialização de 512 bytes (ou
dispositivo de armazenamento de dados , setor de partição) de um disco
como um disco rígido
2 4
As informações sobre os arquivos no MBR é usado para o seguinte:
disco, suas localizações e tamanhos e Segurando uma tabela de partição que se refere às
outros dados importantes são armazenados partições de um disco rígido
no arquivo MBR
Inicializando um sistema operacional
Reconhecendo distintamente mídia de disco rígido

individual com uma assinatura de disco de 32 bits
Registro Mestre de Inicialização (MBR)
Master Boot Record (MBR) refere-se ao primeiro setor de um disco rígido ou setor zero, que especifica a localização de
um sistema operacional para o sistema carregar no armazenamento principal. O MBR também é chamado de setor de
partição ou tabela de partição mestre, pois contém uma tabela que localiza os dados do disco particionado. Um programa
no registro carrega o restante do sistema operacional na RAM.
Um arquivo MBR contém informações sobre vários arquivos presentes no disco, suas localizações e tamanhos. Na
prática, MBR quase sempre se refere ao setor de inicialização de 512 bytes ou setor de partição de um disco. Os
comandos fdisk/MBR ajudam na criação do MBR no Windows e no DOS. Quando um computador é inicializado, o BIOS
se refere a esse primeiro setor para instruções do processo de inicialização e informações sobre como carregar o
sistema operacional.
O MBR é usado para:
ÿ Segurando uma tabela de partição que se refere às partições de um disco rígido
ÿ Iniciando um sistema operacional
ÿ Reconhecimento distinto de mídia de disco rígido individual com uma assinatura de disco de 32 bits
O MBR consiste nas seguintes estruturas:
ÿ Tabela de Partição
Uma tabela de partição é uma estrutura de dados de 64 bytes que armazena informações sobre os tipos de
partições presentes no disco rígido e suas localizações. Esta tabela possui um layout padrão que não depende
do sistema operacional. Ele é capaz de descrever apenas quatro partições, que são partições primárias ou
físicas. Todas as outras partições são partições lógicas vinculadas a uma das partições primárias.
ÿ Código Mestre de Inicialização
O código mestre de inicialização é um pequeno código de computador que o sistema carrega no BIOS e
executa para iniciar o processo de inicialização do sistema. Após a execução, o sistema transfere os controles
para o programa de inicialização presente na partição ativa para carregar o SO.
O código mestre de inicialização implementa as seguintes funções:
ÿ Examina a tabela de partição para encontrar a partição ativa
ÿ Localiza o primeiro setor da partição ativa
ÿ Carrega uma cópia do setor de inicialização da partição ativa na memória
ÿ Transfere o controle para o código executável no setor de inicialização
Estrutura de um registro mestre de inicialização
A estrutura do MBR consiste em três partes:
Master Boot Code ou Boot Strap – É um código

executável e responsável por carregar o SO na memória
do computador. Consiste em uma estrutura de dados de
446 bytes.
Tabela de Partição – Mantém os dados de todas as

partições do disco rígido e consiste em uma estrutura
de dados de 64 bytes
Assinatura de disco – Localiza-se no final do MBR

e contém apenas 2 bytes de dados. É exigido pelo
BIOS durante a inicialização.
Estrutura de um registro mestre de inicialização
A estrutura do MBR consiste em três partes:
ÿ Master Boot Code ou Boot Strap – É um código executável e responsável por carregar o SO na memória do
computador. Consiste em uma estrutura de dados de 446 bytes.
ÿ Tabela de Partição – Mantém os dados de todas as partições do disco rígido e consiste em um

estrutura 64 bytes
ÿ Assinatura de Disco – Localiza-se no final do MBR e contém apenas 2 bytes de dados. Isto
é exigido pelo BIOS durante a inicialização.
Tabela 3.2: Estrutura do MBR
Os sistemas que executam Windows e DOS usam o arquivo MBR para armazenar as informações sobre os arquivos no disco. Muitos produtos
substituem o arquivo MBR fornecido pelo sistema operacional da Microsoft. Algumas ferramentas utilitárias de terceiros são úteis durante a
instalação de dois ou mais sistemas operacionais em um disco. Os investigadores precisam de muitas ferramentas de aquisição de dados para
investigação forense, pois um produto de fornecedor pode não ser confiável para tarefas forenses de computador. No UNIX/Linux, o comando dd
ajuda a criar backups e restaurar o MBR.
Fazendo backup do MBR
dd if=/dev/xxx of=mbr.backupbs=512 contagem=1
Restaurando MBR
dd if=mbr.backup of=/dev/xxx bs=512 contagem=1
Partições de disco
ÿ O particionamento de disco é a criação de divisões lógicas em um dispositivo de armazenamento (HDD/SSD) para permitir que o usuário
aplique a formatação lógica específica do sistema operacional
ÿ O processo de particionamento de disco é o mesmo para HDDs e SSDs
Partição primária partição estendida
ÿ É uma unidade que contém as informações ÿ É uma unidade lógica que contém as
em relação ao sistema operacional, área do sistema informações sobre dados e arquivos armazenados no
e outras informações necessárias para inicializar disco
ÿ
No MS-DOS e versões anteriores do Microsoft
Sistemas Windows, a primeira partição (C:)
deve ser uma "partição primária"
Partições de disco
O particionamento de disco é a criação de divisões lógicas em um dispositivo de armazenamento (HDD/SSD) para

permitir que o usuário aplique a formatação lógica específica do sistema operacional. O processo de particionamento
de disco é o mesmo para HDDs e SSDs. O particionamento refere-se à criação de unidades lógicas para
gerenciamento de memória eficaz, e uma partição é uma unidade lógica para armazenar dados. Partições ocultas
criadas em uma unidade podem ocultar dados. A lacuna entre partições é o espaço entre a partição primária e a
partição secundária. Se a unidade entre partições contiver dados ocultos, os utilitários do editor de disco, como o
Disk Editor, podem ser usados para alterar as informações na tabela de partições. Isso removerá todas as referências
à partição oculta, que foram ocultadas do sistema operacional. Outro método para ocultar dados é colocá-los, que
podem ser evidências digitais, no final do disco, declarando um número menor de bytes do que o tamanho real da
unidade. O Disk Editor permite que um investigador acesse essas áreas ocultas ou vazias do disco.
As partições são dos dois tipos a seguir:
ÿ Partição primária: É a unidade que contém informações sobre o sistema operacional, a área do sistema e
outras informações necessárias para inicializar. No MS-DOS e versões anteriores dos sistemas Microsoft
Windows, a primeira partição (C:) deve ser uma partição primária.
ÿ Partição estendida: É a unidade lógica que contém informações sobre os dados e arquivos armazenados no
disco. Várias ferramentas estão disponíveis para examinar partições de disco. Algumas ferramentas de
edição de disco são Disk Edit, WinHex e Hex Workshop. Essas ferramentas permitem que os usuários
visualizem os cabeçalhos dos arquivos e informações importantes sobre os arquivos. Ambos os recursos
requerem a análise dos códigos hexadecimais que um sistema operacional identifica e usa para manter o
sistema de arquivos.
Bloco de parâmetros do BIOS (BPB)

ÿ O bloco de parâmetros do BIOS (BPB) é uma estrutura de dados no setor de inicialização da
partição ÿ Descreve o layout físico de um volume de armazenamento de dados, como o número de cabeçotes e o tamanho das trilhas na unidade ÿ BPB
em sistemas de arquivos como como FAT12 (exceto em DOS 1.x), FAT16, FAT32, HPFS (High Performance File System) e NTFS (New Technology
File System) define a estrutura do sistema de arquivos
ÿ O comprimento do BPB varia para setores de inicialização FAT16, FAT32 e NTFS devido aos diferentes tipos de campos e à quantidade de dados armazenados
neles ÿ O BPB auxilia os investigadores a localizar a tabela de arquivos no disco rígido
Formato do bloco de parâmetros do BIOS completo DOS 7.1 estendido (79 bytes) para FAT32: NTFS - Formato de BPB Estendido para NTFS (73 bytes):
Deslocamento do setor Compensação do PIB Deslocamento do setor Compensação do PIB Comprimento do campo Descrição
Comprimento do campo Descrição
0x00B 0x00 25 BYTEs DOS 3.31 BPB 0x00B 0x00 25 BYTEs DOS 3.31 BPB
0x024 0x19 DWORD Setores lógicos por FAT 0x024 0x19 BYTE Número da unidade física (idêntico ao DOS 3.4 EBPB)
0x028 0x1D PALAVRA Espelhamento de bandeiras etc. 0x025 0x1A BYTE Sinalizadores etc. (idêntico ao DOS 3.4 EBPB)
0x02A 0x1F PALAVRA Versão
Assinatura de inicialização estendida (0x80 também
0x026 0x1B BYTE
0x02C 0x21 Cluster do diretório raiz DWORD conhecido como "8.0") (semelhante ao DOS 3.4 EBPB e DOS 4.0 EBPB)
0x030 0x25 PALAVRA Localização do setor de informações do sistema de arquivos 0x027 0x1C BYTE Reservado
0x032 0x27 PALAVRA Localização do(s) setor(es) de backup 0x028 0x1D QWORD Setores em volume
0x034 0x29 12 BYTEs Reservado (nome do arquivo de inicialização)
0x030 0x25 QWORD Primeiro número de cluster da MFT (mestre tabela de arquivos)
0x040 0x35 BYTE Sinalizadores de número de
0x038 0x2D QWORD Primeiro número de cluster do espelho MFT
0x041 0x36 BYTE unidade física, etc.
0x040 0x35 DWORD tamanho do registro MFT
0x042 0x37 BYTE Assinatura de inicialização estendida (0x29)
0x044 0x39 DWORD Tamanho do bloco de índice
0x043 0x38 Número de série do volume DWORD
0x047 0x3C 11 BYTEs Rótulo de volume 0x048 0x3D QWORD Número de série do volume
0x052 0x47 8 BYTEs Tipo de sistema de arquivos

0x050 0x45 DWORD soma de verificação
Bloco de parâmetros do BIOS (BPB)
O bloco de parâmetros do BIOS (BPB) é uma estrutura de dados situada no setor 1 no registro de inicialização
de volume (VBR) de um disco rígido e explica o layout físico de um volume de disco. Em dispositivos
particionados, como discos rígidos, descreve a partição do volume, enquanto em dispositivos não particionados,
descreve todo o meio. Qualquer partição que inclua disquetes pode usar o BPB, que também descreve a
arquitetura básica do sistema de arquivos. O comprimento do BPB varia entre os sistemas de arquivos listados
(ou seja, FAT16, FAT32 e NTFS) porque diferentes sistemas de arquivos armazenam diferentes volumes de
dados e mantêm diferentes tipos de campos no BPB. O BPB auxilia os investigadores a localizar a tabela de
arquivos no disco rígido.
Formato do bloco de parâmetros do BIOS completo DOS 7.1 estendido (79 bytes) para FAT32:
Deslocamento de setor Deslocamento de BPB Comprimento do campo Descrição
0x00B 0x00 25 BYTE DOS 3.31 BPB
0x024 0x19 DWORD Setores lógicos por FAT
0x028 0x1D Sinalizadores de espelhamento do WORD, etc.
0x02A 0x1F Versão WORD
0x02C 0x21 Cluster do diretório raiz DWORD
0x030 0x25 WORD Localização do sistema de arquivos Setor de informações
0x032 0x27 WORD Localização do(s) setor(es) de backup
0x034 0x29 12 BYTEs reservados (nome do arquivo de inicialização)
0x040 0x35 BYTE Número da unidade física
0x041 0x36 BYTE Bandeiras etc
0x042 0x37 BYTE Assinatura de inicialização estendida (0x29)
0x043 0x38 Número de série do volume DWORD
0x047 0x3C Rótulo de volume de 11 BYTEs
0x052 0x47 8 BYTEs Tipo de sistema de arquivos
Tabela 3.3: BPB estendido para FAT32
NTFS - Formato de BPB Estendido para NTFS (73 bytes):
Deslocamento de setor Deslocamento de BPB Comprimento do campo Descrição
0x00B 0x00 25 BYTE DOS 3.31 BPB
Número da unidade física (idêntico ao DOS 3.4 EBPB)

0x024 0x19 BYTE
0x025 0x1A BYTE Sinalizadores etc. (idêntico ao DOS 3.4 EBPB)
Assinatura de inicialização estendida (0x80 também

0x026 0x1B BYTE
conhecido como "8.0") (semelhante ao DOS 3.4 EBPB e DOS 4.0 EBPB)
0x027 0x1C BYTE Reservado
0x028 0x1D QWORD Setores em volume
Primeiro número de cluster do MFT (Master File

0x030 0x25 QWORD
Mesa)
0x038 0x2D QWORD Número do primeiro cluster do espelho MFT
0x040 0x35 Tamanho do registro DWORD MFT
0x044 0x39 Tamanho do bloco de índice DWORD
0x048 0x3D Número de série do volume QWORD
0x050 0x45 Soma de verificação DWORD
Tabela 3.4: BPB estendido para NTFS
Identificador exclusivo global (GUID)

O Globally Unique Identifier (GUID) é um número de referência exclusivo de 128 bits usado como um identificador em software
de computador
Em geral, os GUIDs são exibidos como 32 dígitos hexadecimais com grupos separados por hífens
Usos Comuns:
No Registro do Windows, GUIDs são usados para identificar COM
(Component Object Model) DLLs (bibliotecas de vínculo dinâmico)
Nas tabelas do banco de dados, os GUIDs são usados como valores de chave primária
Em alguns casos, um site pode atribuir um GUID ao navegador de um usuário para

registrar e rastrear a sessão
O Windows atribui um GUID a um nome de usuário para identificar contas de usuário
Identificador exclusivo global (GUID)
O Globally Unique Identifier (GUID) é um número exclusivo de 128 bits gerado pelo sistema operacional Windows para
identificar um dispositivo específico, um documento, uma entrada de banco de dados e/ou o usuário. Em geral, os GUIDs
são exibidos como 32 dígitos hexadecimais com grupos separados por hifens. Por exemplo, ao navegar em um site, um
GUID é gerado e atribuído ao navegador, o que ajuda a rastrear e registrar a sessão de navegação do usuário. O sistema
operacional Windows atribui um GUID ao registro para reconhecer bibliotecas de vínculo dinâmico (DLLs) do Component
Object Model (COM), bem como para contas de usuário por nome de usuário (domínio).
Usos Comuns:
ÿ
No Registro do Windows, GUIDs são usados para identificar DLLs COM (Component Object Model) (bibliotecas
de vínculo dinâmico)
ÿ
Nas tabelas do banco de dados, os GUIDs são usados como valores de chave primária
ÿ
Em alguns casos, um site pode atribuir um GUID ao navegador de um usuário para registrar e rastrear a sessão
ÿ O Windows atribui um GUID a um nome de usuário para identificar contas de usuário
Figura 3.12: GUIDs no Registro do Windows
Tabela de partição GUID (GPT)

ÿ Unified Extensible Firmware Interface (UEFI) substitui as interfaces de firmware BIOS herdadas ÿ
Esquema de Tabela de Partição GUID
UEFI é uma especificação que define uma interface de software entre um SO e uma plataforma
LBA 0
firmware MBR de proteção
ÿ Ele usa um sistema de partição conhecido como GUID Partition Table (GPT), que substitui o LBA 1 Cabeçalho GPT Primário primário
GPT
MBR tradicional LBA 2 Entrada 1 Entrada 2 Entrada 3 Entrada 4
LBA 3
Entradas 5-128
Vantagens do layout de disco GPT:
LBA 34
Partição 1
Suporta até 128 partições e usa endereços
de bloco lógico (LBAs) de 64 bits
Partição 2
Suporta um tamanho máximo de

partição variando de 2 Tebibytes (TiB) a 8
Partições Restantes
Zebibytes (ZiB)
LBA-34
LBA-33 Entrada 1 Entrada 2 Entrada 3 Entrada 4
secundário
GPT
Entradas 5-128
Fornece tabelas de partições primárias e LBA-2
de backup para redundância Cabeçalho GPT secundário
LBA-1
Tabela de partição GUID (GPT)
O GUID é um esquema de particionamento padrão para discos rígidos e uma parte da Unified Extensible Firmware
Interface (UEFI), que substitui as interfaces de firmware BIOS herdadas. A UEFI usa sistemas de interface de
partição que superam as limitações do esquema de particionamento MBR.
O esquema de partição MBR usa 32 bits para armazenar endereços de bloco lógico (LBAs) e as informações de
tamanho em setores de 512 bytes. Semelhante aos MBRs modernos, os GPTs usam o endereçamento de bloco
lógico (LBA) em vez do endereçamento do setor da cabeça do cilindro (CHS). Na tabela de partição GUID (GPT),
cada bloco lógico é de 512 bytes e cada entrada de partição é de 128 bytes; o endereçamento negativo dos blocos
lógicos começa no final do volume, com -1 endereçando o último bloco endereçável.
LBA 0 armazena o MBR protetor, LBA 1 contém o cabeçalho GPT e o cabeçalho GPT compreende um ponteiro para
a tabela de partições ou Partition Entry Array no LBA 2.
A UEFI atribui 16.384 bytes para o Partition Entry Array. Como o disco possui setores de 512 bytes com uma matriz
de entrada de partição de 16.384 bytes e um tamanho mínimo de 128 bytes para cada entrada de partição, o LBA
34 é o primeiro setor utilizável.
A seguir estão as vantagens do layout de disco GPT:
ÿ Suporta um tamanho máximo de partição variando de 2 Tebibytes (TiB) a 8 Zebibytes (ZiB)

ÿ
Ele permite que os usuários tenham 128 partições no Windows usando o layout de partição GPT
ÿ A partição GPT e os dados de inicialização são mais seguros que o MBR porque o GPT armazena dados em
vários locais em um disco
ÿ Fornece tabelas de partições primárias e de backup para redundância

ÿ
Ele usa verificações de redundância cíclica (CRCs) para garantir a integridade dos dados
ÿ Usa somas de verificação CRC32 que detectam erros no cabeçalho e na tabela de partições
Figura 3.13: Esquema da tabela de partição GUID
Fluxo do módulo

Características
Explique o lógico
Linux e Mac
Sistema
Compreender o processo de inicialização do sistema operacional Windows, Linux e Mac

Sistemas
Esta seção discute os processos de inicialização do Windows, BIOS-MBR e UEFI-GPT, e como identificar a
presença de um esquema de particionamento MBR ou GPT no disco; além disso, são apresentados fluxogramas
que explicam o processo de inicialização de sistemas operacionais Linux e Mac.
Qual é o
processo de inicialização?
Tipos de Inicialização
ÿ A inicialização refere-se ao processo de iniciar ou
reiniciar o sistema operacional quando o usuário Inicialização fria (inicialização rígida)
liga um sistema de computador
ÿ É o processo de iniciar um computador a partir de um
ou fora do estado
ÿ Carrega o SO (armazenado no disco rígido) para a
RAM (memória de trabalho) Inicialização a quente (inicialização suave)
ÿ É o processo de reiniciar um computador que já está ligado. Uma inicialização

a quente pode ocorrer quando o sistema encontra um erro de programa
ou requer uma reinicialização para fazer determinadas alterações após a
instalação de um programa, etc.
Qual é o processo de inicialização?
A inicialização refere-se ao processo de iniciar ou reiniciar o sistema operacional quando o usuário liga um sistema de
computador. O processo inclui a inicialização do hardware e do software.
O processo de inicialização pode ser dos dois tipos a seguir:
ÿ Cold boot (Boot rígido): Este processo ocorre quando o usuário liga o computador pela primeira vez.
Também chamado de hard boot, é necessário depois que o usuário corta completamente a fonte de alimentação
do sistema.
ÿ Warm boot (Soft boot): É o processo de reinicialização de um computador que já está ligado. Uma inicialização a
quente pode ocorrer quando o sistema encontra um erro de programa ou requer uma reinicialização para fazer
determinadas alterações após a instalação de um programa, etc.
Durante o processo de inicialização, o computador carrega o sistema operacional em sua memória ou RAM e o prepara
para uso. Durante a inicialização, o sistema liga o BIOS e o carrega na RAM. O BIOS armazena a primeira instrução, que
é o comando para realizar o autoteste de inicialização (POST).
No POST, o sistema verifica o chip do BIOS e a RAM do semicondutor de óxido de metal complementar (CMOS).
Se o POST não detectar nenhuma falha na bateria, ele continuará a iniciar outras partes do sistema verificando os
dispositivos de hardware e os dispositivos de armazenamento secundário.
Arquivos de sistema essenciais do Windows
Nomes de arquivo Descrição

Ntoskrnl.exe Executivo e kernel
Executivo e kernel com suporte para extensão de endereço físico

Ntkrnlpa.exe
(SITE)
Hal.dll Camada de abstração de hardware
Win32k.sys Parte do modo kernel do subsistema Win32
Funções de suporte interno e stubs de despacho de serviço do sistema

Ntdll.dll
para funções executivas
Kernel32.dll
Advapi32.dll
Arquivos DLL do subsistema Win32
User32.dll
Gdi32.dll
Arquivos de sistema essenciais do Windows
Após a instalação de um sistema operacional, o programa de instalação cria pastas e os arquivos necessários na
unidade do sistema.
Nomes de arquivo Descrição
Ntoskrnl.exe Executivo e kernel
Ntkrnlpa.exe Executive e kernel com suporte para Physical Address Extension (PAE)
Hal.dll Camada de abstração de hardware
Win32k.sys Kernel-mode parte do subsistema Win32
Funções de suporte interno e stubs de despacho de serviço do sistema

Ntdll.dll
para funções executivas
Kernel32.dll
Advapi32.dll
Arquivos DLL do subsistema Win32
User32.dll
Gdi32.dll
Tabela 3.5: Arquivos de sistema do Windows
Processo de inicialização do Windows: método BIOS-MBR
ÿ Os sistemas operacionais Windows XP, Vista e 7 ligam e inicializam usando o método BIOS-MBR tradicional
ÿ Os sistemas operacionais a partir do Windows 8 e superior usam o método BIOS-MBR tradicional ou mais recente
Método UEFI-GPT de acordo com a escolha do usuário
VBR BOOTMGR.EXE WINLOAD.EXE

MBR Inicialização do NT
BIOS (BmMain) (PsLoadedModulesList)
(0000h:7c00h) (Setor de Inicialização de Volume) Setor (BmLaunchBootEntry) (OslArchTransferToKErnel)
BCD
HAL.DLL WIN32K.SYS WINRESUME.EXE Configuração de inicialização
Dados
NTOSKRNL.EXE
NTOSKRNL.EXE
(Fase 1)
NTOSKRNL.EXE (Fase 0) (Descarte de Inicialização da Fase 1) SMSS.EXE WINLOGON.EXE LSASS.EXE
(HallnitializeBios) (Hallnit System)
(KillnitializeKernel) (OblnitSystem)
Processo de inicialização do Windows: método BIOS-MBR
Figura 3.14: método BIOS-MBR do processo de inicialização do Windows
Os sistemas operacionais Windows XP, Vista e 7 ligam e inicializam usando o método BIOS-MBR convencional,
enquanto o Windows 8 e versões posteriores usam o método BIOS-MBR convencional ou o
método UEFI-GPT mais recente de acordo com a escolha do usuário.
Abaixo está detalhado o processo que ocorre dentro do sistema quando ele é ligado.
1. Quando o usuário liga o sistema, a CPU envia um sinal de potência boa para o
placa-mãe e verifica o firmware do BIOS do computador
2. O BIOS inicia um autoteste de inicialização (POST), que verifica se todo o hardware necessário para a
inicialização do sistema está disponível e carrega todas as configurações de firmware da memória não volátil
na placa-mãe
3. Se o POST for bem-sucedido, os adaptadores complementares executam um autoteste para integração com o sistema
4. O processo de pré-inicialização é concluído com POST, detectando um disco de inicialização do sistema válido
5. Após o POST, o firmware do computador verifica o disco de inicialização e carrega o registro mestre de inicialização (MBR), que
procura informações básicas de inicialização em Boot Configuration Data (BCD)
6. O MBR aciona o Bootmgr.exe, que localiza o carregador do Windows (Winload.exe) no

Partição de inicialização do Windows e aciona Winload.exe
7. O carregador do Windows carrega o kernel do sistema operacional ntoskrnl.exe
8. Depois que o Kernel começa a ser executado, o carregador do Windows carrega hal.dll, drivers de dispositivo de classe de inicialização
marcado como BOOT_START e a seção de registro do SISTEMA na memória
9. O kernel passa o controle do processo de inicialização para o Session Manager Process (SMSS.exe), que carrega todas as outras
seções de registro e drivers necessários para configurar o ambiente de execução do subsistema Win32
10. O Session Manager Process aciona o Winlogon.exe, que apresenta a tela de login do usuário
para autorização do usuário
11. O Processo do Gerenciador de Sessão inicia o Gerenciador de Controle de Serviço, que inicia todos os serviços, o restante dos
drivers de dispositivo não essenciais, o subsistema de segurança LSASS.EXE e os scripts de Diretiva de Grupo
12. Depois que o usuário faz login, o Windows cria uma sessão para o usuário
13. O Service Control Manager inicia o explorer.exe e inicia o processo Desktop Window Manager (DMW), que inicializa a área de
trabalho para o usuário
Identificando a Partição MBR
Identificando a Partição MBR
Figura 3.15: Identificando a partição MBR
Processo de inicialização do Windows: UEFI-GPT
UEFI-GPT
CPU em modo protegido

Fases UEFI Transferir o controle para o sistema operacional
SEC COMO DXE BDS RT
Inicializar
Inicializar Carregar e Kernel do sistema Full OS
GPT / Bota Modo de usuário
nível baixo executar operacional inicial núcleo
MBR carregador
processo
firmware
drivers EFI aquecer aquecer
hardware
Serviços do Kernel
Serviços UEFI
hardware
Processo de inicialização do Windows: UEFI-GPT
O gerenciador de inicialização EFI controla o processo de inicialização UEFI. Começa com a inicialização do firmware da plataforma; o
gerenciador de inicialização carrega drivers UEFI e aplicativos UEFI (incluindo carregadores de inicialização UEFI OS) para inicializar as
funções da plataforma.
O sistema carrega o carregador do sistema operacional no estágio final, após o qual o sistema operacional inicia a inicialização. Depois que o
sistema operacional recebe os controles, ele interrompe o serviço de inicialização UEFI.
Figura 3.16: Método UEFI-GPT do processo de inicialização do Windows
O processo de inicialização UEFI tem as cinco fases a seguir, cada uma com sua própria função.
ÿ Fase de segurança
A fase de segurança ou SEC do EFI consiste no código de inicialização que o sistema executa após ligar
o sistema EFI. Ele gerencia eventos de reinicialização da plataforma e configura o sistema para que ele
possa localizar, validar, instalar e executar a inicialização pré-EFI (PEI).
ÿ Fase de inicialização pré-EFI
A fase PEI inicializa a CPU, a memória permanente e o volume do firmware de inicialização (BFV).
Ele localiza e executa os módulos de pré-inicialização (PEIMs) presentes no BFV para inicializar todo o
hardware encontrado no sistema. Por fim, cria uma Hand-Off Block List (HOBL) com todos os recursos
encontrados e descritores de interface e passa para a próxima fase, ou seja, a fase DXE.
ÿ Fase do Ambiente de Execução do Driver
A maior parte da inicialização ocorre nesta fase. Ao usar o HOBL, o Driver Execution Environment (DXE)
inicializa toda a memória física do sistema, E/S e recursos de E/S mapeados por memória (MIMO) e,
finalmente, começa a despachar os drivers DXE presentes nos volumes de firmware do sistema (dados
em o HOBL). O núcleo DXE produz um conjunto de serviços de inicialização EFI e serviços de tempo de
execução EFI. Os serviços de inicialização EFI alocam memória e carregam imagens executáveis. Os
serviços de tempo de execução da EFI convertem os endereços de memória de físicos para virtuais,
entregam-nos ao kernel e redefinem a CPU para o código em execução no ambiente EFI ou no kernel do
sistema operacional, assim que a CPU assume o controle do sistema.
ÿ Fase de Seleção do Dispositivo de Inicialização
Nesta fase, o Boot Device Selection (BDS) interpreta os dados de configuração de inicialização e seleciona
a política de inicialização para implementação posterior. Esta fase trabalha com o DXE para verificar se os
drivers de dispositivo requerem verificação de assinatura.
Nesta fase, o sistema carrega o código de inicialização MBR na memória para uma inicialização BIOS
herdada ou carrega o programa bootloader da partição EFI para uma inicialização UEFI. Ele também
oferece uma opção para o usuário escolher o shell EFI ou um aplicativo UEFI como dispositivo de
inicialização na configuração.
ÿ Fase de execução
Nesse ponto, o sistema limpa o programa UEFI da memória e o transfere para o sistema operacional.
Durante a atualização do UEFI BIOS, o sistema operacional chama o serviço de tempo de execução usando uma pequena parte
da memória.
Identificando a tabela de partição GUID (GPT)

Os investigadores podem usar os cmdlets fornecidos abaixo no Windows PowerShell para identificar a presença de GPT:
Get-GPT
ÿ Analisa a estrutura de dados GPT contida nos primeiros setores do
dispositivo especificado
ÿ Requer o uso do parâmetro -Path, que leva

o namespace do dispositivo Win32 (por exemplo, \\.\PHYSICALDRIVE1)
para o dispositivo do qual o GPT deve ser analisado
ÿ Se Get-GPT for executado em um disco formatado com um

MBR, ele lançará um erro solicitando o uso de Get
MBR em vez
Método alternativo:
ÿ Abra o aplicativo “Gerenciamento do computador” e clique em “Gerenciamento de disco” no painel esquerdo. Clique com o botão direito do mouse no disco principal (aqui, Disco 0)
e, em seguida, clique em Propriedades.
ÿ Na janela Propriedades do dispositivo, clique na guia “Volumes” para visualizar o estilo de partição
http:// www.invoke-ir.com
Identificando a Tabela de Partição GUID (Cont.)

ÿ Revisa o primeiro setor do disco rígido e determina se o disco está formatado usando o MBR ou
Get-BootSector
Esquema de particionamento GPT; uma vez feito, ele age exatamente como Get-MBR ou Get-GPT, respectivamente
Get-BootSector executado em um disco formatado usando o esquema de particionamento GPT:
Get-BootSector executado em um disco formatado usando o esquema de particionamento MBR:
Identificando a Tabela de Partição GUID (Cont.)
Get-PartitionTable
ÿ Determina o tipo de setor de inicialização (MBR ou GPT) e retorna a partição correta
objeto (PartitionEntry ou GuidPartitionTableEntry)
Get-PartitionTable executado em um disco formatado

em MBR, retornando um objeto PartitionEntry:
Get-PartitionTable executado em um disco formatado

em GPT, retornando uma matriz de objetos GuidPartitionTableEntry:
Identificando a tabela de partição GUID (GPT)

Um cabeçalho de tabela de partição GUID (GPT) ajuda um investigador a analisar o layout do disco
com detalhes como locais da área de partição, bem como a tabela de partição e suas cópias de backup.
Os investigadores podem usar os cmdlets descritos abaixo no Windows PowerShell para identificar a
presença de GPT.
Get-GPT
O comando Get-GPT ajuda o investigador a analisar a estrutura de dados GPT do disco rígido. Requer
o uso do parâmetro -path, que usa o namespace do dispositivo Win32 (por exemplo, \\.
\PHYSICALDRIVE1) para o dispositivo do qual deve analisar o GPT.
Figura 3.17: Comando Get-GPT
Caso o investigador use o cmdlet Get-GPT em um disco formatado com um MBR, uma mensagem de
erro será exibida, solicitando que o usuário execute o cmdlet Get-MBR.
Figura 3.18: Mensagem de erro do comando Get-GPT
Método alternativo
ÿ Abra o aplicativo “Gerenciamento do computador” e clique em “Gerenciamento de disco” no painel esquerdo.

Clique com o botão direito do mouse no disco principal (aqui, Disco 0) e clique em Propriedades.
ÿ
Na janela Propriedades do dispositivo, clique na guia “Volumes” para visualizar o estilo de partição
Get-BootSector
O cmdlet Get-BootSector pode ajudar o investigador a analisar GPTs de ambos os tipos de discos rígidos, incluindo
aqueles formatados com UEFI ou MBR. Este comando atua como um substituto para Get MBR e Get-GPT. Get-
BootSector analisa o primeiro setor do disco rígido, determina o tipo de formatação usado e analisa o GPT.
Get-BootSector executado em um disco formatado usando o esquema de particionamento GPT:
Figura 3.19: Get-BootSector executado no disco particionado GPT
Get-BootSector executado em um disco formatado usando o esquema de particionamento MBR:
Figura 3.20: Get-BootSector executado no disco particionado MBR
Get-PartitionTable
Este cmdlet analisa a tabela de partição GUID para localizar o tipo exato de setor de inicialização (MBR ou GPT) e
exibe o objeto de partição.
Get-PartitionTable executado em um disco formatado em MBR, retornando um objeto PartitionEntry:
Figura 3.21: Objeto PartitionEntry
Get-PartitionTable é executado em um disco formatado em GPT, retornando uma matriz de

Objetos GuidPartitionTableEntry:
Figura 3.22: Objetos GuidPartitionTableEntry
Analisando o cabeçalho e as entradas da GPT

A maioria dos sistemas operacionais que suportam acesso ao disco GPT fornece uma ferramenta de particionamento básica, que exibe detalhes sobre GPTs
Exemplo: ferramenta DiskPart (Windows), utilitário OS X Disk (Mac), ferramenta GNU Parted (Linux)
Sleuthkit (comando mmls) pode ser usado para visualizar o layout de partição detalhado para um disco GPT
Como alternativa, detalhes sobre o cabeçalho GPT e as entradas de partição podem ser obtidos por meio de análise manual usando um editor hexadecimal
Analisando o cabeçalho e as entradas da GPT
A maioria dos sistemas operacionais que suportam acesso ao disco GPT tem uma ferramenta de particionamento básica,
que exibe detalhes sobre as tabelas de partição GPT. No Windows, ferramentas como a ferramenta DiskPart exibem
detalhes da partição, enquanto os sistemas Mac usam o utilitário OS X Disk e o Linux usa a ferramenta GNU Parted.
Figura 3.23: Visualizando partições de disco usando o utilitário Diskpart
Figura 3.24: Visualizando a partição 1 usando o utilitário Diskpart
O comando Sleuth Kit mmls pode ajudar os investigadores a visualizar o layout detalhado da partição para o disco
GPT, juntamente com os detalhes do MBR. Como alternativa, os investigadores podem coletar detalhes sobre o
cabeçalho GPT e as entradas de partição por meio da análise manual da unidade de disco usando um cálculo
hexadecimal ou uma ferramenta de edição chamada editor hexadecimal.
Artefatos GPT
Partições GUID excluídas e substituídas
Caso 1:
ÿ Se o disco MBR for reparticionado ou convertido em GPT, o setor zero será geralmente substituído por um MBR protetor
ÿ Para recuperar dados de volumes previamente particionados por MBR, os investigadores podem usar métodos forenses padrão usados para realizar uma extensa
procurar por sistemas de arquivos
Caso 2:
ÿ Se o disco GPT for reparticionado ou convertido em MBR, o cabeçalho GPT e as tabelas podem permanecer intactos com base na ferramenta usada
ÿ A implementação de ferramentas gerais de exclusão de partição em um disco GPT pode excluir apenas o MBR protetor, que pode ser recriado simplesmente
reconstruindo o disco
De acordo com as especificações UEFI, se todos os campos em uma entrada de partição forem zerados, isso significa que a entrada não está em uso. Nesse caso, a recuperação de
dados de entradas de partição GUID excluídas não é possível
Identificadores GUID
ÿ O esquema GPT fornece GUIDs de valor investigativo, pois são únicos e contêm informações potencialmente úteis
ÿ Os GUIDs possuem informações de identificação exclusivas para discos e partições individuais
ÿ Os investigadores podem usar ferramentas como uuid para decodificar várias versões de GUID/UUID
Informações ocultas em discos GPT
ÿ Intrusos podem ocultar dados em discos GPT como fazem em discos MBR tradicionais
ÿ Os locais nos discos GPT onde os dados podem estar ocultos são lacunas entre partições, espaço não particionado próximo ao final do disco, cabeçalho GPT e
áreas reservadas
ÿ Os métodos e ferramentas forenses atuais para realizar a análise GPT são insatisfatórios
Artefatos GPT
Partições GUID excluídas e substituídas
Caso 1: Em discos rígidos, a conversão ou repartição de MBR para GPT geralmente substitui o setor zero por um MBR
protetor, que exclui todas as informações sobre a tabela de partição antiga.
Os investigadores devem seguir os métodos forenses padrão de pesquisa nos sistemas de arquivos para recuperar dados
sobre os volumes particionados por MBR anteriores.
Caso 2: Quando ocorre uma conversão ou repartição de GPT para MBR, o cabeçalho GPT e as tabelas podem permanecer
intactos com base na ferramenta usada. Os investigadores podem facilmente recuperar ou analisar os dados dessas
partições de disco.
A implementação de ferramentas gerais de exclusão de partição para a exclusão de uma partição em um disco GPT pode
excluir apenas o MBR protetor, que os investigadores podem recriar facilmente simplesmente reconstruindo o disco.
De acordo com a especificação UEFI, se todos os campos em uma entrada de partição tiverem valores zerados, a entrada
não estará em uso. Nesse caso, a recuperação de dados de entradas de partição GUID excluídas não é possível.
GUIDs
ÿ O esquema GPT fornece GUIDs de valor investigativo, pois são únicos e potencialmente
retém informações sobre todo o disco e cada partição dentro dele
ÿ GUIDs possuem informações de identificação exclusivas para discos e partições individuais
ÿ Os investigadores podem usar ferramentas como o identificador único universal (UUID) para decodificar
várias versões de GUID/UUID
Informações ocultas em discos GPT
Intrusos podem ocultar dados em discos GPT da mesma forma que fazem em discos MBR convencionais usando
esquemas de particionamento de disco flexíveis e extensíveis. Os locais nos discos GPT onde os dados podem estar
ocultos são lacunas entre partições, espaço não particionado no final do disco, cabeçalho GPT e áreas reservadas.
Outros artefatos podem incluir cabeçalhos GPT manipulados que criam locais para ocultar dados, LBAs iniciais e finais
mal colocados, bem como áreas com tags reservadas. Os métodos e ferramentas forenses atuais para realizar a
análise GPT são insatisfatórios.
Processo de inicialização do Macintosh
OS Loader Os serviços de inicialização são

encerrados; operação é entregue a
o carregador do sistema operacional
Lenda
Inicialize a partir da lista ordenada de Binários EFI
Código de Inicialização
Os carregadores EFI OS são executados
Gerenciador de Inicialização
Drivers e aplicativos são Adicionar valores

Aplicativo
carregados iterativamente Implementação
API - Especificado
Motorista Inicialização de Ao encontrar um erro
plataforma de firmware padrão
Processo de inicialização do Macintosh
Figura 3.25: Processo de inicialização do Macintosh
A seguir estão as etapas no processo de inicialização do Macintosh:
ÿ O processo de inicialização do Macintosh começa com a ativação do BootROM, que inicializa o hardware do sistema e
seleciona um sistema operacional para executar
ÿ Uma vez que o sistema Macintosh é ligado, o BootROM executa o POST para testar algumas interfaces de hardware
necessárias para a inicialização
ÿ Em computadores Macintosh baseados em PowerPC, o Open Firmware inicializa o restante das interfaces de hardware
ÿ Em computadores Macintosh baseados em Intel, o EFI inicializa o restante das interfaces de hardware
ÿ Após inicializar as interfaces de hardware, o sistema seleciona o SO

ÿ
Se o sistema contiver vários sistemas operacionais, ele permitirá que o usuário escolha um sistema operacional
específico mantendo pressionada a tecla Option
ÿ Uma vez concluída a operação do BootROM, o controle passa para o boot loader BootX (PowerPC) ou boot.efi (Intel), que
está localizado no diretório /System/Library/CoreServices
ÿ O gerenciador de inicialização carrega uma versão pré-vinculada do kernel localizada em

/Sistema/Biblioteca/Caches/com.apple.kernelcaches
ÿ
Se o kernel pré-vinculado estiver ausente, o carregador de inicialização tentará carregar o arquivo de cache mkext, que
contém um conjunto de drivers de dispositivo
ÿ
Se o arquivo de cache mkext também estiver ausente, o carregador de inicialização procurará drivers no
Diretório /Sistema/Biblioteca/Extensões
ÿ Uma vez carregados os drivers essenciais, o gerenciador de boot inicia a inicialização do

estruturas de dados kernel, Mach e BSD, bem como o kit de E/S
ÿ O kit I/O usa a árvore de dispositivos para vincular os drivers carregados ao kernel
ÿ O processo launchd, que substituiu o processo mach_init, executa itens de inicialização e

prepara o sistema para o usuário
Processo de inicialização do Linux
Corre
BIOS PUBLICAR
Bem-sucedido
Procura por
teste
estágio do BIOS
Estágio do bootloader
Estágio do kernel
MBR
Aponta para
Cargas Montagens
Bootloader Núcleo raiz real
FS
Cria Ramdisk e carrega

Corre
Initrd arquivos
sistema
Prepara
para
real
de
o
Aquecer
imagem processo
montagens de kernel Cargas
Corre
raiz virtual LinuxrcComment
daemons
FS do sistema
Processo de inicialização do Linux
O fluxo do processo de inicialização do Linux começa com o BIOS, que procura por dispositivos ativos e inicializáveis.
O sistema inicializa o Linux a partir do dispositivo de armazenamento primário no qual o MBR contém o carregador de inicialização primário.
Figura 3.26: Processo de inicialização do Linux
O processo de inicialização do Linux consiste nos três estágios a seguir:
ÿ Estágio BIOS
O primeiro estágio do processo de inicialização do Linux é o estágio do BIOS. Ele inicializa o hardware do
sistema durante o processo de inicialização. O BIOS recupera as informações armazenadas no chip de
semicondutor de óxido de metal complementar (CMOS), que é um chip de memória operado por bateria
na placa-mãe que contém informações sobre a configuração de hardware do sistema. Durante o processo
de inicialização, o BIOS executa um POST para garantir que todos os componentes de hardware do
sistema estejam operacionais. Após um POST bem-sucedido, o BIOS começa a procurar a unidade ou
disco que contém o sistema operacional em uma sequência padrão. Se o primeiro dispositivo listado não
estiver disponível ou não estiver funcionando, ele verifica o próximo e assim por diante. Uma unidade é
inicializável apenas se tiver o MBR em seu primeiro setor, conhecido como setor de inicialização. O disco
rígido do sistema atua como o disco de inicialização principal, e a unidade óptica funciona como o disco
de inicialização secundário para inicializar o sistema operacional caso o disco de inicialização principal falhe.
ÿ Estágio do Bootloader
O estágio bootloader inclui a tarefa de carregar o kernel do Linux e o disco RAM inicial opcional. O kernel
permite que a CPU acesse a RAM e o disco. O segundo software precursor é uma imagem de um sistema
de arquivo virtual temporário chamado imagem initrd ou RAMdisk inicial. Agora, o sistema se prepara para
implantar o sistema de arquivos raiz real. Em seguida, ele detecta o dispositivo que contém o sistema de
arquivos e carrega os módulos necessários. A última etapa do estágio do bootloader é carregar o kernel
na memória.
ÿ Fase do Kernel
Uma vez que o controle muda do estágio do carregador de inicialização para o estágio do kernel, o sistema
de arquivos raiz virtual criado pela imagem initrd executa o programa Linuxrc. Este programa gera o
sistema de arquivos real para o kernel e posteriormente remove a imagem initrd. O kernel então procura
por um novo hardware e carrega qualquer driver de dispositivo adequado encontrado. Posteriormente, ele
monta o sistema de arquivos raiz real e executa o processo init. O init lê o arquivo “/etc/inittab” e usa este
arquivo para carregar o restante dos daemons do sistema. Isso prepara o sistema e o usuário pode fazer
login e começar a usá-lo. Bootloaders típicos para Linux são Linux Loader (LILO) e Grand Unified
Bootloader (GRUB). Esses gerenciadores de inicialização permitem que o usuário selecione qual kernel
do sistema operacional carregar durante o tempo de inicialização.
Fluxo do módulo

Características
Explique o lógico
Linux e Mac
Sistema
Entenda vários sistemas de arquivos do Windows, Linux e Mac

Sistemas operacionais
Um sistema de arquivos é uma coleção estruturada de arquivos/pastas em uma partição ou disco e permite
que um computador saiba onde um arquivo começa e termina. Esta seção discute diferentes tipos de
sistemas de arquivos disponíveis no Windows, Linux e Mac OS.
Sistemas de arquivos do Windows
Sistemas de arquivos do Windows
O sistema operacional Windows usa sistemas de arquivos como FAT, FAT32, NTFS, etc. O NTFS armazena metadados
de arquivos e pastas em um arquivo de sistema chamado Master File Table (MFT). Examinar o arquivo $MFT fornece
informações como tempos de MAC, nome do arquivo, localização do arquivo, etc., que são de interesse forense. Os
investigadores forenses também devem possuir conhecimento sobre alocação e exclusão de arquivos que os ajude a
recuperar dados perdidos durante a investigação.
Tabela de Alocação de Arquivos (FAT)
O sistema de arquivos FAT é usado com DOS e foi o primeiro sistema de arquivos usado com o sistema operacional Windows
É nomeado por seu método de organização, a tabela de alocação de arquivos, que reside no início do volume
O FAT possui três versões (FAT12, FAT16 e FAT32), que diferem quanto ao tamanho das entradas na estrutura do FAT
Bytes por Estruturas de entrada de diretório Clusters Estrutura FAT
Sistema cluster no arquivo Limite de cluster Grupo 34

Arquivo1.dat 4.000 bytes Grupo 34
Tabela de Alocação
35
FAT12 1,5 Menos de 4087 clusters EOF
Grupo 35
Entre 4.087 e 65.526 clusters,

FAT16 2
inclusive
Entre 65.526 e
FAT32 4 Relação entre as estruturas de entrada de
268.435.456 clusters, inclusive diretório, clusters e estrutura FAT
Tabela de Alocação de Arquivos (FAT)
A File Allocation Table (FAT), projetada em 1976, é um sistema de arquivos para muitos sistemas operacionais,
como DOS, Windows e OpenDOS. Projetado para pequenos discos rígidos e uma estrutura de pastas simples, o
sistema de arquivos FAT recebe esse nome devido à forma como organiza as pastas e uma tabela de alocação
de arquivos, que armazena todos os arquivos e fica no início do volume. O FAT possui três versões (FAT12,
FAT16 e FAT32), que diferem quanto ao tamanho das entradas na estrutura do FAT.
Estruturas de entrada de diretório Clusters Estrutura FAT
Grupo 34
Arquivo1.dat 4.000 bytes Grupo 34
35
EOF
Grupo 35
Figura 3.27: Relação entre as estruturas de entrada de diretório, clusters e estrutura FAT
O FAT cria duas cópias da tabela de alocação de arquivos para proteger o volume contra danos. A tabela de
alocação de arquivos e a pasta raiz são armazenadas em um local permanente. O volume formatado usando o
sistema de arquivos FAT forma um cluster e o tamanho do volume formatado determina o tamanho do cluster. O
sistema ajusta o número do cluster para o sistema de arquivos FAT em 16 bits e o número do cluster
está na potência de dois. Dispositivos que implementam FAT incluem memória flash, câmeras digitais e outros dispositivos
portáteis. Quase todos os sistemas operacionais instalados em computadores pessoais implementam o sistema de
arquivos FAT.
Bytes por cluster na

Sistema alocação de arquivos Limite de cluster
Mesa
FAT12 1,5 Menos de 4087 clusters
FAT16 2 Entre 4.087 e 65.526 clusters, inclusive
Entre 65.526 e 268.435.456 clusters, inclusive

FAT32 4
Tabela 3.6: Tipos de sistema de arquivos FAT
Sistema de arquivos de nova tecnologia (NTFS)
NTFS é o sistema de arquivos padrão do Windows NT e seus descendentes

Windows XP, Vista, 7, 8.1,10, Server 2003, Server 2008, Server 2012, Server 2016
e Server 2019
Do Windows NT 3.1 em diante, é o sistema de arquivos padrão da família

Windows NT
Possui várias melhorias em relação ao FAT, como suporte aprimorado para

metadados e o uso de estruturas de dados avançadas para melhorar o
desempenho, a confiabilidade e a utilização do espaço em disco, além de
extensões adicionais, como listas de controle de acesso de segurança e registro
no diário do sistema de arquivos
Sistema de arquivos de nova tecnologia (NTFS)
O New Technology File System (NTFS) é um dos sistemas de arquivos mais recentes suportados pelo Windows. É um
sistema de arquivos de alto desempenho que se repara sozinho; ele oferece suporte a vários recursos avançados, como
segurança em nível de arquivo, compactação e auditoria. Ele também oferece suporte a soluções de armazenamento de
grandes e poderosos volumes, como discos de auto-recuperação.
O NTFS fornece segurança de dados, pois tem a capacidade de criptografar ou descriptografar dados, arquivos ou pastas.
Ele usa um método de nomenclatura de conjunto de caracteres Unicode de 16 bits para arquivos e pastas. Este atributo do
NTFS permite que usuários em todo o mundo gerenciem seus arquivos em seus idiomas nativos. Além disso, tem tolerância
a falhas para o sistema de arquivos. Se o usuário fizer alguma modificação ou alteração nos arquivos, o NTFS anota todas as
alterações em arquivos de log específicos. Se o sistema travar, o NTFS usa esses arquivos de log para restaurar o disco
rígido a uma condição confiável com perda mínima de dados. O NTFS também utiliza o conceito de metadados e tabelas de
arquivos principais. Os metadados contêm informações sobre os dados armazenados no
computador. Uma tabela de arquivo mestre também contém as mesmas informações de forma tabular, mas em comparação com os
metadados, essa tabela tem menos capacidade de armazenamento de dados.
O NTFS usa o formato de dados Unicode. A seguir estão as diferentes versões do NTFS:
ÿ v1.0 (encontrado no Windows NT 3.1), v1.1 (Windows NT 3.5) e v1.2 (Windows NT 3.51 e
WindowsNT 4)
ÿ v3.0 (encontrado no Windows 2000)
ÿ v3.1 (encontrado no Windows XP, Windows Server 2003, Windows Vista e Windows 7)
ÿ As três versões finais às vezes são chamadas de v4.0, v5.0 e v5.1
Os recursos do NTFS incluem o seguinte:
ÿ NTFS usa o esquema de diretório b-tree para armazenar informações sobre clusters de arquivos
ÿ O NTFS armazena as informações sobre os clusters de um arquivo e outros dados dentro do cluster
ÿ NTFS suporta arquivos de tamanho de até aproximadamente 16 bilhões de bytes
ÿ Uma lista de controle de acesso (ACL) permite que o administrador do servidor acesse arquivos específicos
ÿ NTFS apresenta compactação de arquivo integrada
ÿ NTFS fornece segurança de dados em discos removíveis e fixos
Arquitetura NTFS
Modo Kernel Modo de usuário
Disco rígido Mestre

Bota
Projeto especial
Setor de inicialização Ntldr
NTFS.sys Por
OS Aplicativo
Registro favor, escreva seu ótimo título aqui Ntoskrnl.exe
Arquitetura NTFS
No momento da formatação do volume do sistema de arquivos, o sistema cria Master Boot Record.
Ele contém algum código executável chamado código mestre de inicialização e informações sobre a tabela de
partições do disco rígido. Quando um novo volume é montado, o registro mestre de inicialização executa o código
de inicialização mestre executável. NO NTFS, todos os arquivos são armazenados em clusters e possuem seus
atributos individuais. Componentes como nome, tamanho ou dados armazenados em um arquivo são considerados
atributos. Assim, a estrutura interna do NTFS é semelhante à de um banco de dados em que todos os arquivos são
tratados como objetos pelo sistema operacional.
Modo Kernel Modo de usuário
Disco rígido Mestre Setor de inicialização Ntldr OS Aplicativo

Bota NTFS.sys
Registro Ntoskrnl.exe
Figura 3.28: Arquitetura NTFS
Os componentes da arquitetura NTFS são os seguintes:
ÿ Disco rígido: É composto por pelo menos uma partição
ÿ Master Boot Record: Contém código executável de inicialização mestre que o sistema do computador
BIOS carrega na memória; este código é usado para escanear o Master Boot Record para localizar a tabela
de partições para descobrir qual partição está ativa/inicializável
ÿ Setor de inicialização: Também conhecido como registro de inicialização de volume (VBR), é o primeiro setor encontrado em um
Sistema de arquivos NTFS que armazena o código de inicialização e outras informações, como o tipo, localização e tamanho
dos dados no sistema de arquivos NTFS
ÿ Ntldlr.dll: Como gerenciador de inicialização, ele acessa o sistema de arquivos NTFS e carrega o conteúdo do
arquivo boot.ini
ÿ Ntfs.sys: É um driver de arquivo de sistema de computador para NTFS
ÿ Modo Kernel: É o modo de processamento que permite que o código executável tenha acesso direto
acesso a todos os componentes do sistema
ÿ Modo de usuário: É o modo de processamento no qual um programa ou código executável é executado
Arquivos de sistema NTFS
Nome do arquivo Descrição
$attrref Contém definições de todos os atributos do volume definidos pelo sistema e pelo usuário
$badclus Contém todos os clusters ruins
$ bitmap Contém bitmap para todo o volume
$boot Contém o bootstrap do volume
$arquivo de log Usado para fins de recuperação
$mft Contém um registro para cada arquivo
$mftmirror Espelho do MFT usado para recuperar arquivos
$cota Indica cota de disco para cada usuário
$upcase Converte caracteres em Unicode maiúsculo
$volume Contém o nome do volume e o número da versão
Arquivos de sistema NTFS
Muitos arquivos de sistema são armazenados no diretório raiz de um volume NTFS; esses arquivos contêm metadados
do sistema de arquivos.
Nome do arquivo Descrição
Contém definições de todos os atributos do volume definidos

$attrref
pelo sistema e pelo usuário
$badclus Contém todos os clusters ruins
$bitmap Contém bitmap para todo o volume
$boot Contém o bootstrap do volume
$logfile Usado para fins de recuperação
$mft Contém um registro para cada arquivo
$mftmirr Espelho do MFT usado para recuperar arquivos
$quota Indica cota de disco para cada usuário
$upcase Converte caracteres em Unicode maiúsculo
$volume Contém o nome do volume e o número da versão
Tabela 3.7: Arquivos do sistema NTFS
Criptografia de sistemas de arquivos (EFS)
O Encrypting File System (EFS) foi introduzido pela primeira vez na versão 3.0 do NTFS e
oferece criptografia no nível do sistema de arquivos
Chave de Criptografia de Arquivo Dados
Descriptografia
Essa tecnologia de criptografia mantém um nível de transparência para o usuário que Criptografado com a chave pública do
Campo
proprietário do arquivo
criptografou o arquivo, o que significa que não há necessidade de os usuários

Chave de Criptografia de Arquivo
descriptografarem o arquivo para acessá-lo para fazer alterações
Criptografado com a chave pública do agente
de recuperação 1
Cabeçalho
Dados
Depois que um usuário termina com o arquivo, a política de criptografia Criptografado com a chave pública do agente
Recuperação
é restaurada automaticamente de recuperação 2 (opcional) Campos
•A
• .
•C
•c
Quando qualquer usuário não autorizado tenta acessar um arquivo criptografado, o acesso
é negado
Dados criptografados
Para habilitar os recursos de criptografia e descriptografia, o usuário deve definir os

atributos de criptografia dos arquivos e pastas que deseja criptografar ou descriptografar
Criptografia de sistemas de arquivos (EFS)
Para proteger os arquivos contra manuseio incorreto e garantir sua segurança, o sistema deve criptografá-los.
Para essa finalidade, o NTFS possui o Sistema de Arquivos com Criptografia (EFS) como um recurso integrado. A criptografia
em sistemas de arquivos usa tecnologia de criptografia de chave simétrica com tecnologia de chave pública para criptografia.
O usuário obtém um certificado digital com um par de chaves composto por uma chave pública e uma chave privada. Uma
chave privada não é aplicável para usuários logados em sistemas locais; em vez disso, o sistema usa EFS para definir uma
chave para usuários locais.
Essa tecnologia de criptografia mantém um nível de transparência para os usuários que criptografaram um arquivo.
Os usuários não precisam descriptografar um arquivo quando o acessam para fazer alterações. Além disso, após o usuário
concluir o trabalho em um arquivo, o sistema salva as alterações e restaura automaticamente a política de criptografia.
Quando qualquer usuário não autorizado tenta acessar um arquivo criptografado, ele recebe uma mensagem de “Acesso
negado”. Para ativar os recursos de criptografia e descriptografia em um sistema operacional baseado no Windows NT, o
usuário deve definir atributos de criptografia para arquivos e pastas que deseja criptografar ou descriptografar. O sistema
criptografa automaticamente todos os arquivos e subpastas em uma pasta. Para aproveitar ao máximo o recurso de
criptografia, os especialistas recomendam que o sistema tenha criptografia no nível da pasta. Isso implica que uma pasta não
deve conter arquivos criptografados simultaneamente com arquivos não criptografados.
Os usuários podem criptografar manualmente um arquivo ou pasta usando a interface gráfica do usuário (GUI) do Windows,
usando uma ferramenta de linha de comando como o Cipher ou por meio do Windows Explorer selecionando as opções
apropriadas no menu.
A criptografia é importante para arquivos confidenciais em um sistema, e o NTFS usa criptografia para proteger os arquivos
contra acesso não autorizado e garantir um alto nível de segurança. O sistema emite uma criptografia de arquivo
certificado sempre que um usuário criptografa um arquivo. Se o usuário perder esse certificado e a chave privada
relacionada (através de um disco ou qualquer outro motivo), ele poderá executar a recuperação de dados por meio do
agente de chave de recuperação. Em redes baseadas no Windows 2000 Server, que mantêm o serviço Active Directory,
o administrador de domínio é o agente de recuperação por padrão. A preparação para a recuperação dos arquivos
ocorre com antecedência, antes mesmo que o usuário ou o sistema os criptografe. O agente de recuperação possui
um certificado especial e uma chave privada relacionada, que ajudam na recuperação de dados.
Chave de Criptografia de Arquivo Dados
Descriptografia
Criptografado com a chave pública do
Campo
proprietário do arquivo
de recuperação 1
Cabeçalho
Dados
Recuperação
de recuperação 2 (opcional)
Campos
•A
• .
•C
• c
Dados criptografados
Figura 3.29: Operação do EFS
Componentes do EFS
Figura 3.30: Componentes do EFS
ÿ Serviço EFS
O serviço EFS, que faz parte do subsistema de segurança, atua como uma interface com o driver EFS usando a porta
de comunicação de chamada de procedimento local (LPC) entre a Autoridade de Segurança Local (LSA) e o monitor
de referência de segurança do modo kernel.
Ele também atua como uma interface com CryptoAPI no modo de usuário para derivar chaves de criptografia de
arquivo para gerar campos de descriptografia de dados (DDFs) e campos de recuperação de dados (DRFs).
Este serviço também oferece suporte a interfaces de programação de aplicativos (APIs) Win32.
O serviço EFS usa CryptoAPI para extrair a chave de criptografia de arquivo (FEK) para um arquivo de dados e a usa
para codificar a FEK e produzir o DDF.
ÿ Controlador EFS
O driver EFS é um driver de filtro do sistema de arquivos empilhado sobre o NTFS. Ele se conecta ao serviço EFS
para obter chaves de criptografia de arquivos, DDFs, DRFs e outros serviços de gerenciamento de chaves.
Ele envia essas informações para a biblioteca de tempo de execução do sistema de arquivos EFS (FSRTL) para
executar funções do sistema de arquivos, como abrir, ler, gravar e anexar.
ÿ CriptoAPI
CryptoAPI contém um conjunto de funções que permitem aos desenvolvedores de aplicativos criptografar seus
aplicativos Win32; essas funções permitem que os aplicativos criptografem ou assinem dados digitalmente e ofereçam
segurança para dados de chave privada.
Ele oferece suporte a operações de chave pública e chave simétrica, como geração, gerenciamento e armazenamento
seguro, troca, criptografia, descriptografia, hash, assinaturas digitais e verificação de assinatura.
ÿ EFS FSRTL
O EFS FSRTL faz parte do driver EFS que implementa chamadas NTFS para lidar com várias operações do sistema
de arquivos, como leituras, gravações e aberturas em arquivos e diretórios criptografados, bem como operações para
criptografar, descriptografar e recuperar dados de arquivo quando o o sistema o grava ou o lê do disco.
O driver EFS e o FSRTL atuam como um único componente, mas nunca se comunicam diretamente. Eles se
comunicam entre si usando o mecanismo de chamada de controle de arquivo NTFS.
ÿ API Win32
O EFS fornece um conjunto de APIs para fornecer acesso a seus recursos; o conjunto API também fornece uma
interface de programação para operações como criptografia de arquivos de texto simples, descriptografia ou
recuperação de arquivos de texto cifrado e importação e exportação de arquivos criptografados sem descriptografia.
Arquivos Esparsos
ÿ Arquivos esparsos fornecem um método ÿ Se o NTFS marcar um arquivo como esparso, ele ÿ Dados não definidos do arquivo são representados
de economizar espaço em disco para atribui um cluster de disco rígido apenas para os por espaço não alocado no disco
arquivos, permitindo que o subsistema de E/ dados definidos pelo aplicativo
S aloque apenas dados significativos
(diferentes de zero)
Sem conjunto de atributos de arquivo esparso Com conjunto de atributos de arquivo esparso
Dados esparsos
Dados esparsos (zeros)
(zeros) 10
10 gigabytes
gigabytes
Espaço em
disco usado Espaço em disco
17 gigabytes usado 7 gigabytes
Dados significativos
Dados significativos
7 gigabytes
7 gigabytes
Arquivos Esparsos
Um arquivo esparso é um tipo de arquivo de computador que tenta usar o espaço do sistema de arquivos com mais
eficiência quando os blocos alocados para o arquivo estão quase vazios. Para melhorar a eficiência, o sistema de arquivos
grava informações resumidas (metadados) sobre o arquivo nos blocos vazios para preencher o bloco usando uma pequena
quantidade de espaço em disco.
Os arquivos esparsos oferecem uma técnica de economia de espaço em disco, permitindo que o subsistema de E/S aloque
apenas dados significativos (diferentes de zero). Em um arquivo NFTS esparso, os clusters são designados para os dados
que um aplicativo define; no caso de dados não definidos, o sistema de arquivos marca o espaço como não alocado.
Figura 3.31: Sem conjunto de atributos de arquivo esparso
Figura 3.32: Com conjunto de atributos de arquivo esparso
Sistemas de arquivos Linux
Sistemas de arquivos Linux
O sistema operacional Linux usa diferentes sistemas de arquivos para armazenar dados. Como os investigadores podem
encontrar fontes de ataque ou sistemas de vítimas executando o Linux, eles devem ter conhecimento abrangente sobre os
métodos de armazenamento que ele emprega. A próxima seção fornece informações detalhadas sobre os vários sistemas de
arquivos do Linux e seus mecanismos de armazenamento.
Arquitetura do sistema de arquivos Linux
Aplicativos de usuário
Espaço do usuário
Biblioteca GNU C
Interface de chamada do sistema
cache Cache do
de inode Sistema de arquivos virtuais
diretório
Sistemas de arquivos individuais Espaço Kernel
Cache de buffer
Drivers de dispositivo
Arquitetura do sistema de arquivos Linux
Figura 3.33: Arquitetura do sistema de arquivos Linux
A arquitetura do sistema de arquivos Linux consiste nas duas partes a seguir:
1. Espaço do usuário
É a área de memória protegida onde os processos do usuário são executados, e esta área contém a memória disponível.
2. Espaço do kernel
É o espaço de memória onde o sistema fornece todos os serviços do kernel através dos processos do kernel. Os
usuários podem acessar esse espaço apenas por meio de uma chamada do sistema. Um processo de usuário se
transforma em um processo de kernel somente quando executa uma chamada de sistema.
A GNU C Library (glibc) fica entre o espaço do usuário e o espaço do kernel e fornece a interface de chamada do sistema que
conecta o kernel aos aplicativos do espaço do usuário.
O sistema de arquivos virtual (VFS) é uma camada abstrata sobre um sistema de arquivos completo. Ele permite que aplicativos
cliente acessem vários sistemas de arquivos. Sua arquitetura interna consiste em uma camada de despacho, que fornece abstração
do sistema de arquivos e vários caches para aprimorar o desempenho das operações do sistema de arquivos.
Os principais objetos gerenciados dinamicamente no VFS são os objetos dentry e inode; esses objetos são gerenciados em cache
para aumentar a velocidade de acesso ao sistema de arquivos. Depois que um usuário abre um arquivo, o cache dentry é
preenchido com entradas que representam os níveis de diretório, que por sua vez representam o caminho. O sistema também cria
um inode para o objeto que representa o arquivo. O sistema desenvolve um cache dentry usando uma tabela hash e aloca as
entradas do cache dentry do alocador de slab dentry_cache. O sistema usa um algoritmo menos usado recentemente (LRU) para
remover as entradas quando a memória é escassa.
O cache inode atua como duas listas e uma tabela hash para pesquisa rápida. A primeira lista define os inodes usados, e os não
usados são posicionados na segunda lista. A tabela de hash também armazena os inodes usados.
Drivers de dispositivo são trechos de código vinculados a todos os dispositivos físicos ou virtuais e ajudam o sistema operacional
a gerenciar o hardware do dispositivo. As funções dos drivers de dispositivo incluem configurar o hardware, obter os dispositivos
relacionados dentro e fora dos serviços, obter dados do hardware e fornecê-los ao kernel, transferir dados do kernel para o
dispositivo e identificar e lidar com erros do dispositivo.
Hierarquia do sistema de arquivos

Padrão (ESF)
Tabela de apresentação de diretórios e sua descrição específica para a ESF
Diretório Descrição
/bin Binários de comando essenciais; por exemplo, gato, ls, cp
/bota Arquivos estáticos do gerenciador de inicialização; por exemplo, Kernels, Initrd
/dev Arquivos essenciais do dispositivo; por exemplo, /dev/null
/etc Arquivos de configuração do sistema específicos do host
/lar Os diretórios pessoais dos usuários, que contêm arquivos salvos, configurações pessoais, etc.
/lib Bibliotecas essenciais para os binários em /bin/ e /sbin/
/meios de comunicação Pontos de montagem para mídia removível
/mnt Sistemas de arquivos montados temporariamente
/optar Pacotes de software de aplicativos complementares
/raiz Diretório inicial para o usuário root
/proc Sistema de arquivos virtual que fornece informações de processo e kernel como arquivos
Informações sobre processos em execução; por exemplo, daemons em execução, atualmente logados
O Filesystem Hierarchy Standard (FHS) define a estrutura de /correr
Em usuários
diretórios e seu conteúdo em sistemas operacionais Linux e Unix-like /sbin Contém os arquivos binários necessários para trabalhar
/srv Dados específicos do site para serviços fornecidos pelo sistema
/tmp Arquivos temporários

No FHS, todos os arquivos e diretórios estão presentes no diretório
/usr Hierarquia secundária para dados de usuário somente leitura
raiz (representado por /)
/era Dados variáveis; por exemplo, logs, arquivos de spool, etc.
Padrão de Hierarquia do Sistema de Arquivos (FHS)
O Linux possui uma única estrutura de árvore hierárquica que representa o sistema de arquivos como uma única
entidade. Ele suporta muitos sistemas de arquivos diferentes e implementa um conjunto básico de conceitos comuns,
que foram originalmente desenvolvidos para UNIX.
Alguns tipos de sistema de arquivos Linux são Minix, Filesystem Hierarchy Standard (FHS), ext, ext2, ext3, xia, MS-
DOS, UMSDOS, VFAT, /proc, NFS, ISO 9660, HPFS, SysV, SMB e NCPFS. O Minix foi o primeiro sistema de arquivos
do Linux.
A seguir estão alguns dos sistemas de arquivos mais populares:
ÿ O Filesystem Hierarchy Standard (FHS) define a estrutura de diretórios e seu conteúdo em sistemas operacionais
Linux e Unix-like
ÿ
No FHS, todos os arquivos e diretórios estão presentes no diretório raiz (representado por /)
Tabela de apresentação de diretórios e sua descrição específica para a ESF
Diretório Descrição
/bin Binários de comando essenciais; por exemplo, gato, ls, cp
/bota Arquivos estáticos do gerenciador de inicialização; por exemplo, Kernels, Initrd
/dev Arquivos essenciais do dispositivo; por exemplo, /dev/null
/etc Arquivos de configuração do sistema específicos do host
Os diretórios pessoais dos usuários, que contêm arquivos salvos, configurações pessoais,
/lar
etc.
/lib Bibliotecas essenciais para os binários em /bin/ e /sbin/
/meios de comunicação Pontos de montagem para mídia removível
/mnt Sistemas de arquivos montados temporariamente
/optar Pacotes de software de aplicativos complementares
/raiz Diretório inicial para o usuário root
Sistema de arquivos virtual que fornece informações de processo e kernel como

/proc
arquivos
Informações sobre processos em execução; por exemplo, daemons em execução,

/correr
usuários atualmente conectados
/sbin Contém os arquivos binários necessários para trabalhar
/srv Dados específicos do site para serviços fornecidos pelo sistema
/tmp Arquivos temporários
/usr Hierarquia secundária para dados de usuário somente leitura
/era Dados variáveis; por exemplo, logs, arquivos de spool, etc.
Tabela 3.8: Tabela de apresentação de diretórios e sua descrição específica para ESF
Sistema de arquivos estendido (ext)
O sistema de arquivos estendido (ext) é o primeiro sistema Tem um tamanho máximo de partição de
de arquivos para o sistema operacional Linux a superar 1 2 2 GB e um tamanho máximo de nome
certas limitações do sistema de arquivos Minix de arquivo de 255 caracteres
Ele remove as duas principais limitações do

sistema de arquivos do Minix: um tamanho
3 máximo de partição de 64 MB e nomes de
Foi substituído pelo segundo sistema arquivos curtos
de arquivos estendido (ext 2)
5
A principal limitação deste sistema de arquivos é que ele não

suporta acesso separado, modificação de inode e timestamps
4 de modificação de dados
Sistema de arquivos estendido (ext)
O sistema de arquivo estendido (ext), ou o primeiro sistema de arquivo estendido, lançado em abril de 1992, foi o
primeiro sistema de arquivo a superar as limitações impostas pelo sistema de arquivo Minix. Ele foi originalmente
desenvolvido como uma extensão do sistema de arquivos Minix para superar algumas de suas limitações, como
tamanho máximo de partição de 64 MB e nomes de arquivos curtos. O sistema de arquivos ext fornece um tamanho
máximo de partição de 2 GB e um tamanho máximo de nome de arquivo de 255 caracteres. A principal limitação
desse sistema de arquivos é que ele não oferece suporte para acesso separado, modificação de inode e registros
de data e hora de modificação de dados. Ele mantém uma lista não classificada de blocos e inodes livres e
fragmentou o sistema de arquivos.
O sistema de arquivos ext possui uma estrutura de metadados inspirada no UNIX File System (UFS). Outras
desvantagens desse sistema de arquivos incluem a presença de apenas um registro de data e hora e listas
vinculadas para espaço livre, o que resultou em fragmentação e baixo desempenho. Ele foi substituído pelo segundo
sistema de arquivos estendido (ext2).
Segundo sistema de arquivos estendido (ext2)

ÿ ext2 é um sistema de arquivos padrão que usa algoritmos aprimorados em comparação com o ext, o que aumenta muito
sua velocidade; além disso, ele mantém carimbos de data/hora adicionais ÿ Ele mantém um campo especial no superbloco
que rastreia o status do sistema de arquivos e o identifica como

ou limpo ou sujo
ÿ Suas principais deficiências são o risco de corrupção do sistema de arquivos ao gravar no ext2 e a falta de
diário
Layout físico do sistema de arquivos ext2:
Bloquear Bloquear Bloquear

Grupo 0 Grupo N-1 Grupo N
Super Grupo Bloquear Inode Inode Dados

Bloquear descritor Bitmap Bitmap Mesa Blocos
Segundo sistema de arquivos estendido (ext2)
Remy Card desenvolveu o segundo sistema de arquivos estendido (ext2) como um sistema de arquivos extensível e
poderoso para Linux. Sendo o sistema de arquivos de maior sucesso até agora na comunidade Linux, o Ext2 é a
base para todas as distribuições Linux atualmente disponíveis.
O sistema de arquivos ext2 foi desenvolvido com base no princípio de armazenamento de dados na forma de blocos
de dados do mesmo tamanho. Embora o comprimento possa variar entre diferentes sistemas de arquivos ext2, o
tamanho do bloco de um sistema de arquivos ext2 é definido durante sua criação. Suas principais deficiências são o
risco de corrupção do sistema de arquivos ao gravar no ext2 e a falta de registro no diário.
O sistema arredonda cada tamanho de arquivo para um número inteiro de blocos. Se o tamanho do bloco for de 1024
bytes, um arquivo de 1025 bytes ocupará dois blocos de 1024 bytes. Nem todos os blocos no sistema de arquivos
contêm dados; alguns devem conter informações que descrevam a estrutura do sistema de arquivos. O sistema de
arquivos ext2 define a topologia do sistema de arquivos descrevendo cada arquivo no sistema com uma estrutura de
dados inode.
Um inode descreve os blocos ocupados pelos dados dentro de um arquivo, bem como os direitos de acesso do
arquivo, os tempos de modificação do arquivo e o tipo de arquivo. Um único inode descreve cada arquivo no sistema
de arquivos ext2 e cada inode possui um único número exclusivo que o identifica.
As tabelas de inodes armazenam todos os inodes para o sistema de arquivos. Além disso, os diretórios ext2 são
simplesmente arquivos especiais (eles mesmos descritos por inodes) que contêm ponteiros para os inodes de suas
entradas de diretório.
Figura 3.34: Layout físico do sistema de arquivos ext2
Superblocos
Um superbloco armazena informações sobre o tamanho e a forma do sistema de arquivos ext2. Essas informações
permitem que o gerenciador do sistema de arquivos use e gerencie o sistema de arquivos. Geralmente, o sistema lê
apenas o superbloco no grupo de blocos 0 quando o usuário monta o sistema de arquivos. No entanto, cada grupo de
blocos possui uma cópia duplicada se o sistema de arquivos for corrompido.
Um superbloco contém as seguintes informações:
ÿ Número Mágico: Permite ao software de montagem verificar o Superblock para o arquivo ext2
sistema. Para a atual versão ext2, é 0xEF53.
ÿ Nível de revisão: Os níveis de revisão principais e secundários permitem que o código de montagem determine se
um sistema de arquivos oferece suporte a recursos que estão disponíveis apenas em revisões específicas do
sistema de arquivos. Há também campos de compatibilidade de recursos que ajudam o código de montagem a
determinar quais novos recursos podem ser usados com segurança no sistema de arquivos.
ÿ Contagem de montagens e contagem máxima de montagens: juntas, elas permitem que o sistema determine se
precisa verificar totalmente o sistema de arquivos. A contagem de montagem é incrementada cada vez que o
sistema monta o sistema de arquivos. Quando a contagem de montagens atinge a contagem máxima de
montagens, a mensagem de aviso “contagem máxima de montagens atingida, a execução de e2fsck é
recomendada” é exibida.
ÿ Número do grupo de blocos: É o número do grupo de blocos que contém a cópia do superbloco
ÿ Tamanho do bloco: Contém informações sobre o tamanho de um bloco para o sistema de arquivos em bytes
ÿ Blocos por grupo: É um número fixo igual ao número de blocos em um grupo
ÿ Blocos livres: É o número de blocos livres no sistema de arquivos
ÿ Free inodes: É o número de inodes livres no sistema de arquivos
ÿ Primeiro inode: É o número de inode do primeiro inode do sistema de arquivos
Descritor de grupo
Cada descritor de grupo contém os seguintes dados:
ÿ Bloco de bitmap
É o número de bloco do bitmap de alocação de bloco para o grupo de blocos. É usado na alocação e desalocação de
blocos.
ÿ Mapa de bits do inode
É o número do bloco do bitmap de alocação de inode para o grupo de blocos. É usado na alocação e desalocação de
inodes.
ÿ Tabela de inodes
É o número do bloco inicial para a tabela de inodes do grupo de blocos
ÿ Contagem de blocos livres, contagem de inodes livres e contagem de diretórios usados
Todos os descritores de grupo juntos constituem a tabela de descritores de grupo. Cada grupo de blocos tem toda a
tabela de descritores de grupo.
Terceiro Sistema de Arquivo Estendido (ext3)

Ele usa utilitários de manutenção do sistema de
ext3 é uma versão com registro no diário do sistema de
arquivos (como fsck) para manutenção e reparo, como
arquivos ext2 e é muito usado no sistema operacional Linux
no sistema de arquivos ext2
O seguinte comando converte o sistema de arquivos ext2 em
É uma versão aprimorada do sistema de arquivos ext2 ext3:
# /sbin/tune2fs -j <nome da partição>
Recursos do ext3
Integridade de dados Velocidade Transição Fácil
Terceiro Sistema de Arquivo Estendido (ext3)
Desenvolvido por Stephen Tweedie em 2001, o terceiro sistema de arquivos estendidos (ext3) é um sistema de arquivos
com diário usado no sistema operacional GNU/Linux. É a versão aprimorada do sistema de arquivos ext2. A principal
vantagem desse sistema de arquivos é o registro no diário, que melhora a confiabilidade do sistema do computador.
Ele pode ser montado e usado como um sistema de arquivos ext2 e pode fazer uso de todos os programas desenvolvidos
no sistema de arquivos ext2.
O tamanho máximo de um único arquivo ext3 varia de 16 GB a 2 TB, e o tamanho máximo de todo o sistema de arquivos
ext3 varia de 2 TB a 32 TB. O sistema de arquivos ext3 também oferece melhor integridade de dados. Ele garante que os
dados sejam consistentes com o estado do sistema de arquivos. Além disso, o ext3 é mais rápido que o ext2 porque o
recurso de diário otimiza o movimento do cabeçote dos HDDs. Ele também oferece uma escolha de três modos de diário,
que fornecem compensações entre maximizar a integridade dos dados e otimizar a velocidade.
O sistema de arquivos ext3 também é altamente confiável e tem a capacidade de converter partições ext2 em ext3 e vice-
versa sem a necessidade de reparticionamento e backup de dados.
Comando para converter ext2 para ext3:
# /sbin/tune2fs -j <nome da partição>
Por exemplo, para converter um sistema de arquivos ext2 localizado na partição /dev/hda5 em um sistema de arquivos
ext3, o seguinte comando pode ser usado:
# /sbin/tune2fs -j /dev/hda5
Características do Ext3
ÿ Integridade dos dados: fornece integridade de dados mais forte para eventos que ocorrem devido a desligamentos do sistema
de computador. Permite ao usuário escolher o tipo e nível de proteção dos dados recebidos.
ÿ Velocidade: Como o sistema de arquivos ext3 é um sistema de arquivos com registro em diário, ele tem uma taxa de
transferência mais alta na maioria dos casos do que o ext2. O usuário pode escolher a velocidade otimizada entre três modos
diferentes de registro no diário.
ÿ Transição fácil: O usuário pode alterar facilmente o sistema de arquivos de ext2 para ext3 e aumentar o desempenho do sistema
usando o sistema de arquivos de registro sem reformatação.
Sistema de arquivo de diário
1 Os sistemas de arquivos de registro garantem a integridade dos dados em um computador
Esses sistemas de arquivos consistem em um diário que registra todas as informações sobre as atualizações que estão prontas para serem
2 aplicadas ao sistema de arquivos antes de serem aplicadas. Esse mecanismo é conhecido como registro no diário.
O registro no diário evita a corrupção de dados restaurando os dados no disco rígido para o estado em que existiam antes da ocorrência de uma
3 falha no sistema ou falha de energia. Isso ajuda o sistema a retomar a conclusão de tarefas ou atualizações que foram interrompidas por um evento
inesperado.
ext3, ext4, ZFS e XFS são alguns dos exemplos de sistemas de arquivos de registro no Linux. Devido à sua
4 estabilidade, o ext4 é o sistema de arquivos mais comumente implementado em sistemas Linux.
Sistema de arquivo de diário
Um sistema de arquivos com registro em diário refere-se a um sistema de arquivos que protege contra corrupção
de dados no caso de perda de energia ou falha do sistema. Ele mantém um diário, que é um arquivo especial onde
as alterações/atualizações são registradas antes de serem gravadas no sistema de arquivos para evitar a corrupção
dos metadados. Caso o sistema falhe ou perca energia durante as atualizações do sistema de arquivos, as
atualizações permanecem seguras porque são registradas no diário. Quando a fonte de alimentação do sistema é
restaurada ou quando o sistema retorna a um estado normal após uma falha do sistema, as atualizações que ainda
devem ser gravadas no sistema de arquivos são lidas do diário e gravadas no sistema de arquivos.
Um sistema de arquivos com registro em diário também restaura os dados no disco rígido para sua configuração
anterior à falha. Portanto, o mecanismo de diário elimina a possibilidade de perda de dados. ext3, ext4, ZFS e XFS
são alguns dos exemplos de sistemas de arquivos de registro no Linux. Devido à sua estabilidade, o ext4 é o
sistema de arquivos mais comumente implementado em sistemas Linux.
Quarto Sistema de Arquivo Estendido (ext4)
ÿ ext4 é um sistema de arquivos journaling desenvolvido como substituto do sistema de arquivos ext3 comumente usado
ÿ Com a incorporação de novos recursos, o ext4 tem vantagens significativas sobre os sistemas de arquivos ext3 e ext2 ,
particularmente em termos de desempenho, escalabilidade e confiabilidade
ÿ Suporta Linux Kernel v2.6.19 em diante
Características principais
Tamanho do sistema de arquivos Alocação multibloco Pré-alocação persistente
Extensões velocidade fsck Carimbos de data/hora aprimorados
Alocação atrasada Soma de verificação do diário Compatibilidade com versões anteriores

(continua)
layout de disco ext4 com grupos de blocos meta
,,
Grupo de metablocos 0 Meta grupo de blocos n
,,
,,
Grupo 0 Grupo 63
,,
super Bloco de Desc Bloquear bloco Bloco de bitmap
Grupo 0 bloco do Grupo de bitmap inode
Tabela de inodes Bloco de dados

Bloquear bloco Bloco de bitmap

Grupo 2 de bitmap inode
Bloco de Desc Bloquear bloco Bloco de bitmap

Grupo 3 do Grupo de bitmap inode
O quarto sistema de arquivo estendido (ext4) é um sistema de arquivo journaling desenvolvido como o sucessor do sistema
de arquivo ext3 comumente usado. Ele oferece melhor escalabilidade e confiabilidade do que o ext3 para suportar grandes
sistemas de arquivos de máquinas de 64 bits para atender às crescentes demandas de capacidade de disco.
O sistema de arquivos ext4 habilita barreiras de gravação por padrão e permite que os usuários montem um sistema de
arquivos ext3 como um sistema de arquivos ext4. O sistema de arquivos suporta Linux Kernel v2.6.19 em diante.
Características principais
ÿ Tamanho do sistema de arquivos: Ext4 suporta tamanhos máximos de arquivos individuais de até 16 TB e tamanhos
máximos de volumes de cerca de 1 EiB (exbibyte)
ÿ Extensões: Substitui o esquema de mapeamento de bloco encontrado em ext2 e ext3 para aumentar o desempenho e
reduzir a fragmentação
ÿ Alocação atrasada: Melhora o desempenho e reduz a fragmentação, alocando efetivamente grandes quantidades de
dados por vez, atrasando a alocação até que o sistema libere os dados para o disco
ÿ Alocação multibloco: aloca vários arquivos de forma contígua em um disco, reduzindo

o trabalho de chamar o alocador de blocos e otimizar a alocação de memória
ÿ Maior velocidade de verificação do sistema de arquivos (fsck): marca grupos e seções de blocos não alocados e pula
os elementos marcados durante a execução das verificações. Assim, ele suporta verificação mais rápida do sistema de
arquivos.
ÿ Soma de verificação do diário: usa somas de verificação no diário para melhorar a confiabilidade
ÿ Pré-alocação persistente: O sistema de arquivos pode pré-alocar o espaço em disco para um arquivo
escrevendo zeros para ele durante a criação
ÿ Carimbos de data e hora aprimorados: fornece carimbos de data e hora medidos em nanossegundos e tem suporte
para carimbos de data e hora criados
ÿ Compatibilidade com versões anteriores: O sistema de arquivos é compatível com versões anteriores e permite ao usuário
montar ext3 e ext2 como ext4
,,
Grupo de metablocos 0 Meta grupo de blocos n
,,
,,
Grupo 0 Grupo 63
,,


Bloquear bloco Bloco de bitmap

Grupo 2 de bitmap inode
Bloco de Desc Bloquear bloco Bloco de bitmap

Grupo 3 do Grupo de bitmap inode
Figura 3.35: Layout de disco Ext4 com meta grupos de blocos
Sistemas de arquivos macOS
O macOS da Apple é um sistema operacional baseado em UNIX e usa uma abordagem diferente no armazenamento
de dados quando comparado ao Windows e Linux. Portanto, as técnicas forenses geralmente usadas para Windows
e Linux não podem ser aplicadas ao macOS. Os investigadores forenses devem possuir um conhecimento profundo
dos sistemas baseados em UNIX para realizar exames forenses em sistemas de arquivos macOS.
Esta seção discute os sistemas de arquivos usados por diferentes versões do macOS.
ÿ UFS é derivado do Berkeley Fast File System (FFS) que foi originalmente desenvolvido na Bell
Laboratórios da primeira versão do UNIX FS
Arquivo UNIX
Sistema (UFS) ÿ Todos os derivados BSD UNIX, incluindo FreeBSD, NetBSD, OpenBSD, NeXTStep e Solaris usam um
variante de UFS
Arquivo Hierárquico
ÿ Desenvolvido pela Apple Computer, Inc. para suportar macOS
Sistema (HFS)
HFS Plus ÿ HFS Plus (HFS+) é o sucessor do HFS e é usado como sistema de arquivos principal no Macintosh
Arquivo Apple ÿ É um sistema de arquivos proprietário desenvolvido pela Apple Inc. para macOS 10.13 e versões posteriores
Sistema (APFS)
Sistema de arquivos UNIX
UNIX File System (UFS) é um sistema de arquivos utilizado por muitos sistemas operacionais UNIX e semelhantes a
UNIX. Derivado do Berkeley Fast File System, foi usado na primeira versão do UNIX desenvolvida no Bell Labs. Todos
os derivados do BSD UNIX, incluindo FreeBSD, NetBSD, OpenBSD, NeXTStep e Solaris, usam uma variante do UFS.
ÿ Desenho
Um sistema de arquivos UFS é composto das seguintes partes:
o Alguns blocos no início da partição reservados para os blocos de inicialização, que devem ser inicializados
separadamente do sistema de arquivos
o Um superbloco, incluindo um número mágico que identifica o sistema de arquivos como UFS e alguns outros
números vitais que descrevem a geometria, as estatísticas e os parâmetros de ajuste comportamental
desse sistema de arquivos
o Uma coleção de grupos de cilindros, cada um com os seguintes componentes:
• Uma cópia de backup do superbloco
• Um cabeçalho de grupo de cilindros com estatísticas, listas livres, etc.

o superbloco
• Numerosos inodes, cada um contendo atributos de arquivo
• Numerosos blocos de dados
Sistema de arquivos hierárquico
A Apple desenvolveu o Hierarchical File System (HFS) em setembro de 1985 para oferecer suporte ao macOS em seu sistema
proprietário Macintosh e como um substituto para o Macintosh File System (MFS). O HFS divide um volume em blocos lógicos
de 512 bytes cada e agrupa esses blocos lógicos em blocos de alocação. Cada bloco de alocação pode armazenar um ou mais
blocos lógicos dependendo do tamanho total do volume.
O sistema de arquivos usa um valor de 16 bits para endereçar blocos de alocação, o que restringe o número de blocos de
alocação a 65.535.
As cinco estruturas a seguir constituem um volume HFS:
1. Os blocos lógicos 0 e 1 do volume são os blocos de inicialização, que incluem informações de inicialização do sistema,
como nomes do sistema e arquivos shell, que são carregados na inicialização.
2. O bloco lógico 2 contém o Master Directory Block (MDB). O MDB contém uma ampla variedade de dados sobre o próprio
volume, como a data e os carimbos de data/hora da criação do volume; a localização de outras estruturas de volume,
como o bitmap de volume; e o tamanho das estruturas lógicas, como blocos de alocação. Uma duplicata do MDB
chamada Bloco de Diretório Mestre Alternativo (Alternate MDB) está localizada na extremidade oposta do volume no
penúltimo bloco lógico. O MDB alternativo destina-se principalmente ao uso por utilitários de disco e só é atualizado
quando o arquivo de catálogo ou o arquivo de estouro de extensões aumenta de tamanho.
3. O bloco lógico 3 é o bloco inicial do mapa de bits do volume, que controla os blocos de alocação em uso e os que estão
livres. Um bit no mapa representa cada bloco de alocação no volume. Se o bit estiver definido, o bloco está em uso;
caso contrário, o bloco está livre.
4. O Arquivo Overflow de Extensões é uma árvore B* que inclui extensões extras que armazenam informações sobre os
arquivos e os blocos de alocação a eles alocados, após o sistema utilizar as três extensões iniciais no Arquivo
Catálogo. As versões posteriores também adicionaram a capacidade do Extents Overflow File para armazenar
extensões que registram blocos defeituosos para evitar que uma máquina tente gravar neles.
5. O Arquivo de Catálogo é outra árvore B* que contém registros para todos os arquivos e diretórios armazenados no
volume. Ele armazena quatro tipos de registros. Cada arquivo consiste em um registro de encadeamento de arquivo
e um registro de arquivo, enquanto cada diretório contém um registro de encadeamento de diretório e um registro de
diretório. Um ID de nó de catálogo exclusivo ajuda a localizar os arquivos e diretórios no arquivo de catálogo.
HFS Plus
O HFS Plus (HFS+) é o sucessor do HFS e é um sistema de arquivos primário no Macintosh.
Sistema de arquivos da Apple
O Apple File System (APFS) substitui o HFS+ como o sistema de arquivos padrão para iOS 10.3 e versões posteriores. Este
sistema de arquivos atualizado inclui vários recursos, como clonagem (sem usar espaço em disco adicional), instantâneos,
compartilhamento de espaço livre entre volumes, suporte para esparso
arquivos, primitivos de salvamento seguro atômico e dimensionamento de diretório rápido. Ele é usado em todos os sistemas operacionais da
Apple, incluindo watchOS, tvOS, macOS e iOS.
Este sistema de arquivos de última geração foi projetado para aproveitar os dispositivos de armazenamento flash/SSD e o suporte nativo à
criptografia.
O APFS supera as principais desvantagens do sistema de arquivos mais antigo, HFS+, que são falta de funcionalidade, baixos níveis de
segurança, capacidade limitada e incompatibilidade com SSDs.
Sistema de arquivos hierárquico Plus (HFS+)
ÿ HFS+ é o sucessor do HFS e ÿ Suporta arquivos grandes e usa

usado como o sistema de Unicode para nomear itens (arquivos
arquivos primário no Macintosh e pastas)
ÿ Também é chamado macOS Extended ÿ O HFS Plus permite ao usuário:
(HFS Extended) e é um dos formatos ÿ Use o espaço do disco rígido com

usados no Apple iPod
eficiência ÿ Use apenas nomes de arquivos
compatíveis com o mundo
ÿ Inicialização fácil em sistemas operacionais não Mac
Sistema de arquivos hierárquico Plus (HFS+)
O HFS Plus (HFS+) é o sucessor do HFS e é um sistema de arquivos primário no Macintosh. Também é chamado de Mac OS Extended (HFS Extended)
e é um dos formatos usados no iPod da Apple. Ele suporta arquivos grandes e usa Unicode para nomear arquivos e pastas.
A seguir estão alguns dos recursos adicionados ao HFS+:
ÿ HFS+ usa B-tree para armazenar dados
ÿ
Ele suporta arquivos de 64 bits de comprimento
ÿ
Ele permite nomes de arquivos com 255 caracteres de comprimento
ÿ
Ele usa uma tabela de alocação de 32 bits para a tabela de mapeamento, ao contrário da tabela de alocação de 16 bits no HFS
O HFS+ permite o seguinte:
ÿ Uso eficiente do espaço no disco rígido
ÿ Uso apenas de nomes de arquivos amigáveis internacionalmente
ÿ Inicialização fácil em sistemas operacionais não Mac
Também chamado de Mac OS Extended (HFS Extended), o HFS+ também é o sistema de arquivos usado em alguns iPods da Apple.
Sistema de arquivos da Apple (APFS)
Sistema de arquivos da Apple O APFS consiste em duas camadas
ÿ APFS (Apple File System), é um arquivo ÿ A camada do recipiente

sistema desenvolvido e introduzido pela Apple
Ele organiza informações da camada
para MacOS High Sierra e versões posteriores,
do sistema de arquivos e armazena informações
bem como iOS 10.3 e
de nível superior, como volume
versões posteriores no ano de 2017
metadados, estado de criptografia e
instantâneos do volume
ÿ Substituiu todos os sistemas de arquivos usados
pela Apple e é adequado para todos os
ÿ A camada do sistema de arquivos
Sistemas operacionais, incluindo iOS, watchOS, É composto de estruturas de dados

tvOS e macOS que armazenam informações como
metadados de arquivo, conteúdo de
arquivo e estruturas de diretório
Sistema de arquivos da Apple (APFS)
APFS (Apple File System), é um sistema de arquivos desenvolvido e introduzido pela Apple para macOS High Sierra e
versões posteriores, bem como iOS 10.3 e versões posteriores no ano de 2017. Ele substituiu todos os sistemas de arquivos
usados pela Apple e é adequado para todos Sistemas operacionais da Apple, incluindo iOS, watchOS, tvOS e macOS.
O Apple File System (APFS) é composto por duas camadas:
ÿ A camada de contêiner: organiza informações na camada do sistema de arquivos e armazena informações de

nível superior, como metadados de volume, estado de criptografia e instantâneos do volume
ÿ A camada do sistema de arquivos: consiste em estruturas de dados que armazenam informações como
metadados, conteúdo de arquivo e estruturas de diretório
O sistema de arquivos APFS oferece suporte a operações TRIM, atributos de arquivo estendidos, arquivos esparsos,
dimensionamento rápido de diretório, instantâneos, clonagem, alta granularidade de registro de data e hora e o recurso de
metadados copy-on-write. Ele supera as desvantagens do sistema de arquivos mais antigo, HFS+, que incluem falta de
funcionalidade, baixos níveis de segurança, capacidade limitada e incompatibilidade com SSDs.
Desvantagens
Unidades formatadas em APFS não são compatíveis com OS X 10.11 Yosemite e versões anteriores, o que torna difícil
para o usuário transferir arquivos de uma unidade APFS para versões mais antigas de dispositivos Mac.
Devido ao recurso “copy-on-write” e “fragmentação” dos arquivos copiados, o sistema de arquivos APFS não pode ser
usado em HDDs. Outras desvantagens do APFS incluem a falta de suporte a RAM não volátil (NVRAM) e a falta de
compactação e suporte para Apple Fusion Drives.
Fluxo do módulo

Características
Explique o lógico
Linux e Mac
Sistema
Examine o sistema de arquivos

O Sleuth Kit é uma coleção de ferramentas de linha de comando que permite a um investigador forense
investigar/examinar arquivos de imagem capturados forense e dados do sistema de arquivos. Esta seção
discute a análise de arquivos de imagem de disco usando Autopsy e The Sleuth Kit.
Sistema de arquivo
Análise usando
Autópsia
ÿ Autópsia é uma plataforma forense digital e

interface gráfica para The Sleuth Kit (TSK)
e outras ferramentas forenses digitais ÿ Pode
ser usado para investigar atividades em um
computador
https:// www.sleuthkit.org
Análise do sistema de arquivos usando a autópsia
Autópsia é uma plataforma forense digital e interface gráfica para The Sleuth Kit® (TSK) e outras ferramentas forenses
digitais. Os examinadores de aplicação da lei, militares e corporativos o usam para investigar atividades em um computador.
Pode até ser usado para recuperar fotos do cartão de memória da câmera.
O Autopsy é uma plataforma de ponta a ponta com módulos integrados e de terceiros. Alguns dos módulos fornecem as
seguintes funções:
ÿ Análise da linha do tempo: interface gráfica avançada de visualização de eventos (tutorial em vídeo incluído)
ÿ Filtragem de hash: Sinaliza arquivos ruins conhecidos e ignora arquivos bons conhecidos
ÿ Pesquisa por palavra-chave: pesquisa por palavra-chave indexada para localizar arquivos que mencionam termos relevantes
ÿ Artefatos da Web: Extrai histórico, favoritos e cookies do Firefox, Chrome e

Internet Explorer
ÿ Escultura de dados: Recupera arquivos excluídos de espaço não alocado usando PhotoRec
ÿ Multimídia: Extrai arquivos Exif de fotos e vídeos
ÿ Indicadores de comprometimento: verifica um computador usando informações estruturadas de ameaças

Expressão (STIX)
Figura 3.36: GUI do The Sleuth Kit
Análise do sistema de arquivos usando o Sleuth Kit (TSK)
O Sleuth Kit (TSK) é uma biblioteca e uma coleção de ferramentas de linha de comando que permitem a investigação de volume e dados do sistema
01 de arquivos
02 As ferramentas do sistema de arquivos permitem que você examine os sistemas de arquivos de um computador suspeito de maneira não intrusiva
Ele suporta partições DOS, partições BSD (rótulos de disco), partições Mac, fatias Sun (tabela de conteúdo de volume) e discos GPT
03
04 Ele analisa sistemas de arquivos raw (ou seja, dd), Expert Witness (ou seja, EnCase) e AFF e imagens de disco
05 Ele suporta os sistemas de arquivos NTFS, FAT, ExFAT, UFS 1, UFS 2, ext2, ext3, ext4, HFS, ISO 9660 e YAFFS2
Nota: Para realizar a análise, crie uma imagem forense .dd ou .E01 de um disco rígido ou pen drive usando ferramentas de imagem de disco. Aqui, criamos
uma imagem forense de um pen drive no formato .E01 usando o AccessData FTK Imager.
Análise do sistema de arquivos usando o Sleuth Kit (TSK)
O Sleuth Kit® (TSK) é uma biblioteca e coleção de ferramentas de linha de comando que auxiliam na investigação de
imagens de disco. A funcionalidade principal do TSK permite ao usuário analisar dados de volume e sistema de arquivos.
As ferramentas do sistema de arquivos permitem que você examine os sistemas de arquivos de um computador suspeito
de maneira não intrusiva. As ferramentas do sistema de volume (gerenciamento de mídia) permitem examinar o layout dos
discos e outras mídias.
A estrutura do plug-in permite ao usuário incorporar módulos adicionais para analisar o conteúdo do arquivo e construir
sistemas automatizados. A biblioteca pode ser incorporada a ferramentas forenses digitais maiores, e as ferramentas de
linha de comando podem ser usadas diretamente para encontrar evidências. Ele suporta partições DOS, partições BSD
(rótulos de disco), partições Mac, fatias Sun (tabela de conteúdo de volume) e discos GPT. Ele analisa sistemas de arquivos
raw (ou seja, dd), Expert Witness (ou seja, EnCase) e AFF e imagens de disco.
Ele suporta os sistemas de arquivos NTFS, FAT, ExFAT, UFS 1, UFS 2, ext2, ext3, ext4, HFS, ISO 9660 e YAFFS2.
Nota: Para realizar a análise, crie uma imagem forense .dd ou .E01 de um disco rígido ou pen drive usando ferramentas de
imagem de disco. Aqui, criamos uma imagem forense de um pen drive no formato .E01 usando o AccessData FTK Imager.
O TSK tem os seguintes componentes:
ÿ Análise de volume e sistema de arquivos ÿ Documentos
ÿ Estrutura de plug-ins ÿ Histórico
ÿ Baixar ÿ Licenças
Recuperando arquivos excluídos de discos rígidos usando WinHex
WinHex é um editor hexadecimal, usado

para computação forense, recuperação de
dados , processamento de dados de baixo nível
e segurança de TI
É usado principalmente para inspecionar e

editar todos os tipos de arquivos e recuperar
arquivos excluídos ou dados perdidos
de discos rígidos com sistemas de arquivos

corrompidos ou de cartões de memória de
câmeras digitais
https:// x-ways.net
Recuperando arquivos excluídos de discos rígidos usando WinHex
Fonte: https:// x-ways.net
WinHex é um editor hexadecimal usado para computação forense, recuperação de dados, processamento de dados de baixo nível
e segurança de TI. É usado principalmente para inspecionar e editar todos os tipos de arquivos e para recuperar arquivos excluídos
ou dados perdidos de discos rígidos com sistemas de arquivos corrompidos ou de cartões de memória de câmeras digitais.
Características:
ÿ Editor de disco para discos rígidos, disquetes, CD-ROMs, DVDs, arquivos ZIP, cartões SmartMedia, etc.
ÿ Suporte nativo para FAT12/16/32, exFAT, NTFS, Ext2/3/4, Next3®, CDFS e UDF
ÿ Interpretação integrada de sistemas RAID e discos dinâmicos
ÿ Várias técnicas de recuperação de dados
ÿ Editor de RAM, fornecendo acesso à RAM física e à memória virtual de outros processos
ÿ Interpretador de dados
ÿ Editando estruturas de dados usando modelos
ÿ Concatenar e dividir arquivos; unificando e dividindo bytes/palavras ímpares e pares
ÿ Analisar e comparar arquivos
ÿ Pesquisa e substituição flexíveis
ÿ Clonagem de disco
ÿ Drive imagens e backups
ÿ Interface de programação de aplicativos (API) e scripts
ÿ Criptografia AES de 256 bits, somas de verificação, CRC32, hashes (MD5, SHA-1, etc.)
ÿ Apagar com segurança (limpar) arquivos confidenciais e limpar discos rígidos
ÿ Importação de todos os formatos da área de transferência, incluindo valores hexadecimais ASCII
Figura 3.37: GUI do WinHex
Resumo do módulo
Este módulo discutiu os diferentes tipos de unidades de armazenamento e suas
características
Ele discutiu a estrutura lógica de um disco
Ele também discutiu o processo de inicialização dos sistemas operacionais Windows, Linux e Mac
Este módulo também discutiu os vários sistemas de arquivos do Windows, Linux e

Sistemas operacionais Mac
Por fim, este módulo terminou com uma discussão detalhada sobre como examinar sistemas de
arquivos usando Autopsy e The Sleuth Kit
No próximo módulo, discutiremos em detalhes a aquisição e duplicação de dados
Resumo do módulo
Este módulo discutiu os diferentes tipos de unidades de armazenamento e suas características.
Explicou a estrutura lógica de um disco. Ele também discutiu o processo de inicialização do Windows,
Linux e Mac OS. Além disso, este módulo discutiu os vários sistemas de arquivos do Windows, Linux
e Mac OS. Por fim, este módulo apresentou uma discussão detalhada sobre o exame de sistemas de
arquivos usando Autopsy e The Sleuth Kit.
No próximo módulo, discutiremos em detalhes a aquisição e duplicação de dados.

MODULE 03 - Understanding Hard Disks and File Systems

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

MODULE 03 - Understanding Hard Disks and File Systems

Enviado por

Direitos autorais:

Formatos disponíveis

Machine Translated by Google

Fundamentos de Perícia Forense Digital Exame 112-53

Noções básicas sobre discos rígidos e sistemas de arquivos

1 Compreendendo os diferentes tipos de unidades de armazenamento e suas características

2 Compreendendo a estrutura lógica de um disco

3 Compreendendo o processo de inicialização dos sistemas operacionais Windows, Linux e Mac

5 Analisando sistemas de arquivos usando Autopsy e The Sleuth Kit

Copyright © por EC-Council. Todos os direitos reservados. A reprodução é estritamente proibida.

Ao final deste módulo, você será capaz de:

ÿ Descrever diferentes tipos de unidades de armazenamento e suas características

ÿ Explicar a estrutura lógica de um disco

ÿ Compreender vários sistemas de arquivos do Windows, Linux e Mac OSes

ÿ Examine os sistemas de arquivos usando Autopsy e The Sleuth Kit

Fundamentos de Perícia Forense Digital Exame 112-53

Noções básicas sobre discos rígidos e sistemas de arquivos

Descrever diferentes tipos

Copyright © por EC-Council. Todos os direitos reservados. A reprodução é estritamente proibida.

Descrever diferentes tipos de unidades de disco e suas características

Fundamentos de Perícia Forense Digital Exame 112-53

Noções básicas sobre discos rígidos e sistemas de arquivos

ÿ HDD é um dispositivo de armazenamento de dados digitais não voláteis que

Controle deslizante (e cabeça)

SCSI (interface de sistema de computador pequeno)

Copyright © por EC-Council. Todos os direitos reservados. A reprodução é estritamente proibida.

Compreendendo a unidade de disco rígido

Figura 3.1: Estrutura de uma unidade de disco rígido

Fundamentos de Perícia Forense Digital Exame 112-53

Noções básicas sobre discos rígidos e sistemas de arquivos

Os HDDs diferem em termos de várias medições, como as seguintes:

Fundamentos de Perícia Forense Digital Exame 112-53

Noções básicas sobre discos rígidos e sistemas de arquivos

Compreendendo o disco rígido

As trilhas são os círculos concêntricos em pratos onde todas

O cabeçote de acionamento pode acessar esses anéis

As faixas são numeradas para fins de identificação

A leitura/gravação é executada rolando os cabeçalhos da

Copyright © por EC-Council. Todos os direitos reservados. A reprodução é estritamente proibida.

Entendendo a Unidade de Disco Rígido: Faixas

Fundamentos de Perícia Forense Digital Exame 112-53

Noções básicas sobre discos rígidos e sistemas de arquivos

Compreendendo a unidade de disco rígido: numeração de faixas

As cabeças de leitura/gravação em ambas as superfícies de um prato são Cabeça 0

bem embaladas e travadas juntas em um conjunto de braços de cabeça

Os braços se movem para dentro e para fora juntos para localizar

Portanto, um local de trilha é frequentemente referido por um número de

Copyright © por EC-Council. Todos os direitos reservados. A reprodução é estritamente proibida.

Compreendendo a unidade de disco rígido: numeração de faixas

Figura 3.2: Numeração das pistas

Fundamentos de Perícia Forense Digital Exame 112-53

Noções básicas sobre discos rígidos e sistemas de arquivos

Compreendendo o disco rígido

Um setor é a menor unidade de armazenamento físico no disco

Cada setor do disco é rotulado usando os dados de posicionamento da

O método ideal de armazenar um arquivo em um disco é em uma série

Copyright © por EC-Council. Todos os direitos reservados. A reprodução é estritamente proibida.

Entendendo a Unidade de Disco Rígido: Setor As trilhas

Fundamentos de Perícia Forense Digital Exame 112-53

Noções básicas sobre discos rígidos e sistemas de arquivos

Compreendendo a unidade de disco rígido:

Cilindros, cabeças e setores (CHS) determinam o

Quando um disco é formatado, ele é dividido em faixas e

Por exemplo, o disco formatado pode conter 50 faixas, cada

Copyright © por EC-Council. Todos os direitos reservados. A reprodução é estritamente proibida.

Compreendendo a unidade de disco rígido: endereçamento de setor