Dissertação (mestrado)—Universidade de Brasília, Faculdade de Tecnologia, Departamento de Engenharia Elétrica, 2012. / Submitted by Jaqueline Ferreira de Souza (jaquefs.braz@gmail.com) on 2012-06-28T11:58:39Z
No. of bitstreams: 1
2012_CleberScoralickJunior.pdf: 2196236 bytes, checksum: d6baffb961530828f2ef7dd9de540423 (MD5) / Approved for entry into archive by Jaqueline Ferreira de Souza(jaquefs.braz@gmail.com) on 2012-06-28T11:59:43Z (GMT) No. of bitstreams: 1
2012_CleberScoralickJunior.pdf: 2196236 bytes, checksum: d6baffb961530828f2ef7dd9de540423 (MD5) / Made available in DSpace on 2012-06-28T11:59:43Z (GMT). No. of bitstreams: 1
2012_CleberScoralickJunior.pdf: 2196236 bytes, checksum: d6baffb961530828f2ef7dd9de540423 (MD5) / Metadados de arquivos e pastas em sistemas de arquivos armazenam informações relevantes para a análise pericial, com destaque para os rótulos de tempo. No entanto, esses rótulos podem ser afetados por configurações erradas do relógio, problemas de alimentação elétrica ou alterações intencionais dos rótulos de tempo ou do relógio do sistema, exigindo do examinador maior cuidado em sua análise. Dessa forma, este trabalho tem como objetivo determinar procedimentos periciais de informática em sistemas de arquivos NTFS (New Techonologies File System), na plataforma Windows XP, que permitam afirmar acerca do grau de contabilidade dos rótulos de tempo, indicar a quais operações os arquivos e pastas de interesse foram submetidos, bem como elaborar uma linha de tempo. Em uma máquina virtual Windows XP, foram realizadas simulações de operações com arquivos e pastas e um estudo de seus efeitos nos rótulos de tempo. Além das simulações de operações comuns, foram testadas alterações intencionais nos rótulos de tempo e no relógio do sistema, o efeito de varreduras do Windows Media Player e de programas antivírus, além de transferências de arquivos e pastas de um sistema FAT (File Allocation Table) para o sistema NTFS. Investigou-se também como a geração de pontos de restauração pelo Windows pode contribuir para a análise temporal. Para exposição dos resultados dos experimentos, foram elaboradas tabelas que apresentam relações cronológicas entre os rótulos de tempo dos atributos analisados, relações de igualdade e desigualdade entre rótulos de atributos diferentes e características dos rótulos de tempo para cada operação analisada. Esses resultados permitem, na maioria dos casos, individualizar as operações. Os programas para manipulação dos rótulos de tempo avaliados mostraram-se ineficazes, pois não impediram que, no exame pericial, tanto a alteração quanto o instante em que ocorreram fossem detectados. Constatou-se também que é possível detectar arquivos alterados com o relógio do sistema manipulado, sendo necessário avaliar o campo LSN ($LogFile Sequence Number) dos arquivos de interesse e os que apresentam valores próximos, juntamente com seus rótulos de tempo. A análise do Registro ativo e de suas cópias armazenadas nos pontos de restauração mostrou-se importante para determinar configurações relevantes para a análise temporal. Finalmente, os resultados obtidos foram aplicados em um caso real, permitindo a afirmação da autenticidade dos arquivos questionados e a elaboração de suas linhas de tempo. _________________________________________________________________________________ ABSTRACT / Timestamps within file system metadata hold important forensic information. However, their analysis is not straightforward, as they can be unwittingly tampered as a result of the computer clock being incorrect, low clock battery or time zone/day-light saving time misconfiguration. They can also be deliberately manipulated with direct tampering of timestamps or of the computer clock. This study intends to determine digital forensic procedures for NTFS (New Techonologies File System) file systems on Windows XP. These procedures would allow investigators to assess the reliability of timestamps and determine the operations to which files and folders were submitted to and generate their timeline. The most common operations on files and folders were performed on a Windows XP virtual machine and their effects on NTFS timestamps were evaluated. Direct timestamp and computer clock tampering, scans by Windows Media Player and antivirus programs and FAT (File Allocation Table) to NTFS file transfers were also evaluated. Files generated by restore point were also forensically investigated. As a result, we developed tables containing chronological relationships between timestamps, comparisons of timestamps between attributes and timestamp characteristics of some operations, allowing distinguishing among most of the analyzed operations. Several timestamp manipulation programs were tested and proved to be ineffective because a forensic analysis is capable to identify the manipulation and also to end out its time of occurrence. Computer clock tampering can also be detected by evaluating the LSN ($LogFile Sequence Number) and timestamps of the files under investigation and also of the ones with close LSN values. The operating system Registry and its backup copies stored on restore points should be examined to determine system configurations at the time of analysis. The results from this study were applied to a real case and allowed the determination of the authenticity of files and supported the creation of their timeline.
| Identifer | oai:union.ndltd.org:IBICT/oai:repositorio.unb.br:10482/10842 |
| Date | 31 January 2012 |
| Creators | Scoralick Júnior, Cleber |
| Contributors | Nascimento, Anderson Clayton Alves |
| Source Sets | IBICT Brazilian ETDs |
| Language | Portuguese |
| Detected Language | Portuguese |
| Type | info:eu-repo/semantics/publishedVersion, info:eu-repo/semantics/masterThesis |
| Source | reponame:Repositório Institucional da UnB, instname:Universidade de Brasília, instacron:UNB |
| Rights | info:eu-repo/semantics/openAccess |
Page generated in 0.003 seconds