Location via proxy:   [ UP ]  
[Report a bug]   [Manage cookies]                
SlideShare uma empresa Scribd logo

Recuperacao de arquivos excluidos

Data Security
Data Security

O documento discute a recuperação de arquivos excluídos, incluindo formas de exclusão lógica e física, etapas para recuperação e ferramentas como FTK Imager e Autopsy. O instrutor é o Prof. Marcelo Lau, que tem experiência em perícia forense computacional e segurança da informação.

1 de 15
© 2009 Marcelo Lau Perícia Forense Computacional e Legislação Aplicada à Perícia Forense Computacional Recuperação de arquivos excluídos Prof. Msc. Marcelo Lau
© 2009 Marcelo Lau Instrutor Prof. Msc. Marcelo Lau E-mail: marcelo.lau@datasecurity.com.br marcelo.lau@sp.senac.br Diretor executivo da Data Security no Brasil. Tem mais de 12 anos de atuação em bancos brasileiros em Segurança da Informação e Prevenção à Fraude. É professor do curso de formação em Compliance pela FEBRABAN no Brasil, professor no MBA de Segurança da Informação da FATEC/SP e coordena o curso de Gestão em Segurança da Informação e Gerenciamento de Projetos no SENAC/SP. É Engenheiro eletrônico da EEM com pós graduação em administração pela FGV e mestre em ciência forense pela POLI/USP. É reconhecido pela imprensa Brasileira e Argentina com trabalhos realizados em vários países do mundo. Recuperação de Arquivos Excluídos
© 2009 Marcelo Lau Estrutura da aula  Carga horária: 4 horas.  Trabalho em grupo (Dia 28/10):  Entrega da análise de recuperação de arquivos excluídos. (23/09) Recuperação de Arquivos Excluídos
© 2009 Marcelo Lau Apresentação dos trabalhos pendentes  Apresentação dos 3 grupos – Análise do arquivo de captura (PCAP)  Apresentação dos trabalhos pendentes:  Grupo A:Trabalho da aula 2 – Ministrada por Marcelo Lau.  Grupo B:Trabalho da aula 4 – Ministrada por marcelo Lau.  Grupo C:Entrega do trabalho da aula 2 (Já apresentado). Recuperação de Arquivos Excluídos
© 2009 Marcelo Lau Formas para exclusão de arquivos (lógico)  Eliminação simples (Delete):  Evidências disponíveis na “lixeira”.  Evidências disponíveis na tabela de alocação de arquivos.  Formatação:  Evidências disponíveis na área não utilizada em disco.  Wipe:  Evidências disponíveis em áreas de histerese (fora da trilha). Recuperação de Arquivos Excluídos
© 2009 Marcelo Lau Formas para exclusão de arquivos (físico)  Perda da localização mídia (rastreabilidade).  Desmagnetização.  Dano físico:  Placa controladora.  Mídia.  Cabeça de leitura e gravação.  Meios para o dano físico:  Impacto mecânico.  Temperatura elevada.  Corrosão salina e/ou ácida.  Eletricidade estática. Recuperação de Arquivos Excluídos
© 2009 Marcelo Lau Etapas para recuperação de arquivos  Recuperação através do nome do arquivo, por meio da tabela de alocação  Recuperação de arquivos por meio de fragmentos disponíveis em áreas não utilizadas no disco:  Área disponível para gravação do disco.  Slack.  Recuperação de arquivos por meio de análise superficial Recuperação de Arquivos Excluídos
© 2009 Marcelo Lau Questões preliminares à recuperação  Geração de imagem da evidência (dd).  Conferência de HASH (Original <-> Cópia).  Armazenamento da evidência original em local seguro.  Realização do trabalho sobre a cópia da evidência (dd).  Entenda o escopo de seu trabalho. Recuperação de Arquivos Excluídos
© 2009 Marcelo Lau Ferramentas para análise de disco Recuperação de Arquivos Excluídos
© 2009 Marcelo Lau FTK Imager Recuperação de Arquivos Excluídos
© 2009 Marcelo Lau Autopsy Recuperação de Arquivos Excluídos
© 2009 Marcelo Lau Cuidados na recuperação de arquivos  Utilize ferramentas que evitam adulteração de sua evidência:  Alterando características do arquivo.  Alterando características do sistema de arquivos.  Gerando saídas (logs) sobre sua evidência.  Teste em laboratório sua ferramenta antes de sair em campo. Nunca use uma ferramenta desconhecida pela primeira vez sobre a evidência do seu cliente. Recuperação de Arquivos Excluídos
© 2009 Marcelo Lau Prática em laboratório - I  Realize análise sobre a evidência disponível no dia da aula (arquivo imagem no formato dd e dados de hash em arquivo no formato txt)  Visualize o conteúdo da evidência e recupere os conteúdos disponíveis que foram eliminados:  Arquivos.  Pastas.  Demais fragmentos que possam ser considerados relevantes em sua investigação. Recuperação de Arquivos Excluídos
© 2009 Marcelo Lau Prática em laboratório - II  Cada grupo deve gerar uma imagem de um pen drive eliminando previamente algumas informações para que o outro grupo tenha a oportunidade de recuperá- las.  P.S. - Tome cuidado em não expor dados pessoais a outras pessoas e/ou a outro grupo. Recuperação de Arquivos Excluídos
© 2009 Marcelo Lau Referências adicionais para estudo  Bibliografia Data Security (http://www.datasecurity.com.br) em:  Análise de vulnerabilidade.  Forense Computacional.  Biometria.  Segurança em Sistemas Operacionais  Ameaças aos sistemas computacionais,  E muito mais... Recuperação de Arquivos Excluídos

Mais conteúdo relacionado

Recuperacao de arquivos excluidos

  • 1. © 2009 Marcelo Lau Perícia Forense Computacional e Legislação Aplicada à Perícia Forense Computacional Recuperação de arquivos excluídos Prof. Msc. Marcelo Lau
  • 2. © 2009 Marcelo Lau Instrutor Prof. Msc. Marcelo Lau E-mail: marcelo.lau@datasecurity.com.br marcelo.lau@sp.senac.br Diretor executivo da Data Security no Brasil. Tem mais de 12 anos de atuação em bancos brasileiros em Segurança da Informação e Prevenção à Fraude. É professor do curso de formação em Compliance pela FEBRABAN no Brasil, professor no MBA de Segurança da Informação da FATEC/SP e coordena o curso de Gestão em Segurança da Informação e Gerenciamento de Projetos no SENAC/SP. É Engenheiro eletrônico da EEM com pós graduação em administração pela FGV e mestre em ciência forense pela POLI/USP. É reconhecido pela imprensa Brasileira e Argentina com trabalhos realizados em vários países do mundo. Recuperação de Arquivos Excluídos
  • 3. © 2009 Marcelo Lau Estrutura da aula  Carga horária: 4 horas.  Trabalho em grupo (Dia 28/10):  Entrega da análise de recuperação de arquivos excluídos. (23/09) Recuperação de Arquivos Excluídos
  • 4. © 2009 Marcelo Lau Apresentação dos trabalhos pendentes  Apresentação dos 3 grupos – Análise do arquivo de captura (PCAP)  Apresentação dos trabalhos pendentes:  Grupo A:Trabalho da aula 2 – Ministrada por Marcelo Lau.  Grupo B:Trabalho da aula 4 – Ministrada por marcelo Lau.  Grupo C:Entrega do trabalho da aula 2 (Já apresentado). Recuperação de Arquivos Excluídos
  • 5. © 2009 Marcelo Lau Formas para exclusão de arquivos (lógico)  Eliminação simples (Delete):  Evidências disponíveis na “lixeira”.  Evidências disponíveis na tabela de alocação de arquivos.  Formatação:  Evidências disponíveis na área não utilizada em disco.  Wipe:  Evidências disponíveis em áreas de histerese (fora da trilha). Recuperação de Arquivos Excluídos
  • 6. © 2009 Marcelo Lau Formas para exclusão de arquivos (físico)  Perda da localização mídia (rastreabilidade).  Desmagnetização.  Dano físico:  Placa controladora.  Mídia.  Cabeça de leitura e gravação.  Meios para o dano físico:  Impacto mecânico.  Temperatura elevada.  Corrosão salina e/ou ácida.  Eletricidade estática. Recuperação de Arquivos Excluídos
  • 7. © 2009 Marcelo Lau Etapas para recuperação de arquivos  Recuperação através do nome do arquivo, por meio da tabela de alocação  Recuperação de arquivos por meio de fragmentos disponíveis em áreas não utilizadas no disco:  Área disponível para gravação do disco.  Slack.  Recuperação de arquivos por meio de análise superficial Recuperação de Arquivos Excluídos
  • 8. © 2009 Marcelo Lau Questões preliminares à recuperação  Geração de imagem da evidência (dd).  Conferência de HASH (Original <-> Cópia).  Armazenamento da evidência original em local seguro.  Realização do trabalho sobre a cópia da evidência (dd).  Entenda o escopo de seu trabalho. Recuperação de Arquivos Excluídos
  • 9. © 2009 Marcelo Lau Ferramentas para análise de disco Recuperação de Arquivos Excluídos
  • 10. © 2009 Marcelo Lau FTK Imager Recuperação de Arquivos Excluídos
  • 11. © 2009 Marcelo Lau Autopsy Recuperação de Arquivos Excluídos
  • 12. © 2009 Marcelo Lau Cuidados na recuperação de arquivos  Utilize ferramentas que evitam adulteração de sua evidência:  Alterando características do arquivo.  Alterando características do sistema de arquivos.  Gerando saídas (logs) sobre sua evidência.  Teste em laboratório sua ferramenta antes de sair em campo. Nunca use uma ferramenta desconhecida pela primeira vez sobre a evidência do seu cliente. Recuperação de Arquivos Excluídos
  • 13. © 2009 Marcelo Lau Prática em laboratório - I  Realize análise sobre a evidência disponível no dia da aula (arquivo imagem no formato dd e dados de hash em arquivo no formato txt)  Visualize o conteúdo da evidência e recupere os conteúdos disponíveis que foram eliminados:  Arquivos.  Pastas.  Demais fragmentos que possam ser considerados relevantes em sua investigação. Recuperação de Arquivos Excluídos
  • 14. © 2009 Marcelo Lau Prática em laboratório - II  Cada grupo deve gerar uma imagem de um pen drive eliminando previamente algumas informações para que o outro grupo tenha a oportunidade de recuperá- las.  P.S. - Tome cuidado em não expor dados pessoais a outras pessoas e/ou a outro grupo. Recuperação de Arquivos Excluídos
  • 15. © 2009 Marcelo Lau Referências adicionais para estudo  Bibliografia Data Security (http://www.datasecurity.com.br) em:  Análise de vulnerabilidade.  Forense Computacional.  Biometria.  Segurança em Sistemas Operacionais  Ameaças aos sistemas computacionais,  E muito mais... Recuperação de Arquivos Excluídos