Home 01 - Conceitos 07 - Forense e Antiforense 03 - Sistemas de Arquivos e ADS

No contexto dos Sistemas de Arquivos, o recurso de Alternate Data Streams (ADS) é apresentado nas fontes como uma funcionalidade de compatibilidade exclusiva do sistema NTFS (utilizado pelo Windows), que atua como uma poderosa técnica antiforense para a ocultação de dados.

Abaixo, detalho o que as fontes explicam sobre o funcionamento, o uso malicioso e a detecção do ADS:

Estrutura Técnica no NTFS

As fontes esclarecem que, no sistema NTFS, arquivos e pastas são compostos por diversos atributos.

  • Fluxo de Dados Padrão: O conteúdo que normalmente associamos a um arquivo (como o texto de um .txt) é armazenado em um atributo chamado $DATA. Por padrão, o nome desse atributo é vazio, sendo conhecido como “fluxo de dados sem nome”.
  • Fluxos Alternativos (ADS): O NTFS permite a criação de fluxos de dados $DATA adicionais, que precisam obrigatoriamente ser nomeados. Esses são os fluxos de dados alternativos, que permitem “anexar” informações a um arquivo principal de forma oculta.

Uso como Técnica Antiforense

O ADS é uma ferramenta eficaz para criminosos e invasores porque permite esconder a presença de arquivos sem que eles sejam notados por usuários comuns ou administradores.

  • Ocultação de Malwares: Invasores utilizam o ADS para esconder rootkits, backdoors ou ferramentas hacker dentro de arquivos aparentemente inofensivos. Por exemplo, é possível juntar um executável malicioso a um programa comum, como a calculadora do Windows (calc.exe), permitindo sua execução sem detecção.
  • Dificuldade de Detecção: Arquivos escondidos via ADS são quase impossíveis de detectar usando técnicas nativas de navegação, como o Windows Explorer ou o comando dir comum.
  • Tamanho do Arquivo: Uma característica crucial é que o comando dir padrão exibe apenas o tamanho do fluxo principal. Mesmo que um arquivo ADS de vários megabytes seja anexado a um arquivo de texto pequeno, o Windows continuará reportando o tamanho original do arquivo de texto, e o espaço total disponível no sistema parecerá inalterado.

Procedimentos de Criação e Identificação

As fontes fornecem exemplos práticos de como lidar com o ADS via linha de comando:

  • Criação: Utiliza-se o comando type com redirecionamento (>) e dois pontos (:). Exemplo: type malicioso.exe > calc.exe:malicioso.exe.
  • Identificação Forense: Para listar os fluxos ocultos, o perito deve utilizar o comando dir /r, que exibe explicitamente os fluxos de dados alternativos associados a cada arquivo. O uso de softwares de soma de verificação (checksum) de terceiros também é recomendado para manter a integridade da partição contra dados não autorizados.
  • Visualização do Conteúdo: Para ler o conteúdo de um ADS sem abrir ferramentas gráficas, pode-se usar o comando more < nome_do_arquivo:nome_do_fluxo.

Em suma, embora o ADS possa ser usado sem má intenção, sua capacidade de tornar dados “invisíveis” aos olhos do sistema operacional o torna um desafio significativo para a Computação Forense, exigindo que o investigador utilize ferramentas e comandos específicos para expor evidências ocultas nos fluxos nomeados do NTFS.