Home 01 - Conceitos 07 - Forense e Antiforense 03 - Sistemas de Arquivos e ADS

Nas fontes fornecidas, os Sistemas de Arquivos e o recurso de Alternate Data Streams (ADS) são discutidos como elementos críticos tanto para a investigação quanto para a ocultação de evidências, situando-se no centro da disputa entre a Computação Forense e a Antiforense.

Sistemas de Arquivos e o Desafio da Recuperação de Dados

As fontes explicam que o entendimento de como um sistema de arquivos gerencia os dados é o que permite ao perito recuperar informações que o criminoso acredita ter apagado.

  • FAT (File Allocation Table): É descrito como uma lista vinculada de clusters. Quando um arquivo é excluído no sistema FAT, o sistema apenas sinaliza o arquivo como apagado e libera os clusters para a lista de “espaço livre”, mas os dados reais permanecem intactos no disco até serem sobrescritos. Isso possibilita o uso de ferramentas de data carving para recuperar arquivos deletados.
  • ExtN (Linux): As fontes detalham a estrutura dos sistemas de arquivos estendidos (ext2, ext3 e ext4), comuns no Linux. Destaca-se a importância dos Inodes (nós de índice), estruturas que contêm todos os metadados de um arquivo (exceto o nome) e são fundamentais para reconstruir o cenário de um crime e até localizar diretórios ocultos.
  • Journaling: Sistemas como ext3 e ext4 possuem journaling, um registro de mudanças que ajuda a manter a integridade dos dados, o que é relevante para o perito decidir se deve ou não “puxar o cabo” de energia de uma máquina durante a coleta.

ADS: A Ferramenta Antiforense do NTFS

O Alternate Data Streams (ADS) é apresentado como um recurso específico do sistema de arquivos NTFS (Windows) que funciona como uma técnica clássica de Antiforense para ocultação de dados.

  • Ocultação Indetectável: No NTFS, um arquivo pode ter vários fluxos de dados associados a ele. O conteúdo visível fica no fluxo padrão (“sem nome”), enquanto os ADSs são fluxos nomeados adicionais que são quase impossíveis de detectar usando técnicas nativas do Windows, como o Explorer ou o comando dir comum.
  • Uso Malicioso: Invasores utilizam o ADS para esconder rootkits ou ferramentas hacker dentro de arquivos aparentemente inofensivos, como a calculadora do Windows (calc.exe:malicioso.exe), permitindo sua execução sem que o administrador do sistema perceba.
  • Detecção Forense: Para combater essa técnica, o perito precisa utilizar comandos específicos como dir /r, que exibe os fluxos ocultos, ou softwares de terceiros que verifiquem a soma de verificação (checksum) dos arquivos.

Antiforense aplicada aos Sistemas de Arquivos

As fontes listam procedimentos usados para subverter a análise baseada em sistemas de arquivos:

  • Sanitização de Discos (Wipe): Como a exclusão simples não remove os dados, criminosos usam ferramentas de wipe (como o Eraser) para sobrescrever os dados intencionalmente com bytes nulos ou caracteres aleatórios, tornando a recuperação impossível.
  • Manipulação de Metadados (MAC Times): Ferramentas como o Timestomp alteram os carimbos de tempo (acesso, modificação e criação) dos arquivos no NTFS para frustrar a criação de uma linha do tempo (timeline) coerente pelo investigador.
  • Desfragmentação: Citada como uma forma de “limpeza de artefatos”, pois o processo de reorganizar o disco pode destruir vestígios de dados residuais em espaços não alocados.

O Papel do Perito Forense

Para a Computação Forense, dominar essas particularidades é essencial. O uso de ferramentas como The Sleuth Kit (TSK), Autopsy, EnCase e FTK permite que o investigador compreenda o sistema de arquivos envolvido, execute técnicas de recuperação, indexe dados e visualize informações ocultas em áreas como a Host Protected Area (HPA). O perito deve sempre realizar cópias “bit a bit” para garantir que até as áreas não alocadas do sistema de arquivos sejam preservadas para análise.