Home 01 - Conceitos 07 - Forense e Antiforense 03 - Sistemas de Arquivos e ADS

No contexto dos Sistemas de Arquivos, especificamente o NTFS do Windows, as fontes destacam que a detecção de Alternate Data Streams (ADS) exige comandos específicos, pois este recurso foi projetado para ser “invisível” às ferramentas de navegação comuns, como o Windows Explorer ou o comando dir padrão.

A Utilidade do Comando dir /r

O comando dir /r é apresentado como a ferramenta fundamental de linha de comando para revelar a presença de fluxos ocultos que passariam despercebidos em uma análise superficial.

  • Limitação do Comando Padrão: O comando dir comum exibe apenas o fluxo de dados padrão (sem nome). Mesmo que um arquivo possua um ADS contendo gigabytes de dados maliciosos, o Windows continuará reportando apenas o tamanho do arquivo original e o espaço livre no sistema parecerá inalterado.
  • Revelação de Atributos: Ao utilizar a flag /r, o sistema operacional é forçado a listar todos os atributos $DATA nomeados associados a um arquivo. Nas saídas demonstradas pelas fontes, o comando dir /r exibe explicitamente o nome do fluxo oculto (ex: texto.txt:secreto.txt:$DATA) e o seu tamanho real em bytes, permitindo que o perito identifique anomalias.

A Visualização com o Comando more <

Uma vez detectada a existência de um fluxo alternativo, o perito precisa examinar seu conteúdo. As fontes indicam o comando more < como uma alternativa técnica eficaz.

  • Acesso Direto ao Fluxo: Ferramentas comuns como o Bloco de Notas (Notepad) abrem, por padrão, apenas o fluxo principal. Para visualizar o conteúdo de um ADS sem ferramentas forenses complexas, utiliza-se a sintaxe more < nome_do_arquivo:nome_do_fluxo.
  • Exemplo Prático: Se um investigador encontrar um fluxo chamado secreto.txt dentro de texto.txt, o comando more < texto.txt:secreto.txt exibirá o texto oculto diretamente no terminal, revelando informações que o suspeito acreditava estarem protegidas da visualização comum.

Contexto Forense e Antiforense

No âmbito da Computação Forense, dominar esses comandos é vital porque o ADS é uma técnica clássica de Antiforense usada para ocultar rootkits, ferramentas hacker ou backdoors dentro de executáveis inofensivos, como a calculadora do Windows (calc.exe:malicioso.exe).

As fontes reforçam que, embora esses comandos sejam úteis, a integridade de uma partição NTFS contra dados alternativos não autorizados também deve ser verificada por meio de aplicativos de soma de verificação (checksum) de terceiros, garantindo que nenhum bit oculto escape à análise pericial.