Skip navigation
Use este identificador para citar ou linkar para este item: http://repositorio.unb.br/handle/10482/10842
Arquivos associados a este item:
Arquivo Descrição TamanhoFormato 
2012_CleberScoralickJunior.pdf2,14 MBAdobe PDFVisualizar/Abrir
Título: Estudo de rótulos de tempo em sistemas NTFS baseado em estruturas do sistema de arquivos e do sistema operacional Windows
Outros títulos: NTFS file system timestamp study based on file system and windows operating system structures
Autor(es): Scoralick Júnior, Cleber
Orientador(es): Nascimento, Anderson Clayton Alves
Assunto: Windows NT (Sistema operacional de computador)
Computação forense
Organização de arquivos (Computação)
Data de publicação: 28-Jun-2012
Referência: SCORALICK JÚNIOR, Cleber. Estudo de rótulos de tempo em sistemas NTFS baseado em estruturas do sistema de arquivos e do sistema operacional Windows. 2012. xvi, 89 f., il. Dissertação (Mestrado em Engenharia Elétrica)—Universidade de Brasília, Brasília, 2012.
Resumo: Metadados de arquivos e pastas em sistemas de arquivos armazenam informações relevantes para a análise pericial, com destaque para os rótulos de tempo. No entanto, esses rótulos podem ser afetados por configurações erradas do relógio, problemas de alimentação elétrica ou alterações intencionais dos rótulos de tempo ou do relógio do sistema, exigindo do examinador maior cuidado em sua análise. Dessa forma, este trabalho tem como objetivo determinar procedimentos periciais de informática em sistemas de arquivos NTFS (New Techonologies File System), na plataforma Windows XP, que permitam afirmar acerca do grau de contabilidade dos rótulos de tempo, indicar a quais operações os arquivos e pastas de interesse foram submetidos, bem como elaborar uma linha de tempo. Em uma máquina virtual Windows XP, foram realizadas simulações de operações com arquivos e pastas e um estudo de seus efeitos nos rótulos de tempo. Além das simulações de operações comuns, foram testadas alterações intencionais nos rótulos de tempo e no relógio do sistema, o efeito de varreduras do Windows Media Player e de programas antivírus, além de transferências de arquivos e pastas de um sistema FAT (File Allocation Table) para o sistema NTFS. Investigou-se também como a geração de pontos de restauração pelo Windows pode contribuir para a análise temporal. Para exposição dos resultados dos experimentos, foram elaboradas tabelas que apresentam relações cronológicas entre os rótulos de tempo dos atributos analisados, relações de igualdade e desigualdade entre rótulos de atributos diferentes e características dos rótulos de tempo para cada operação analisada. Esses resultados permitem, na maioria dos casos, individualizar as operações. Os programas para manipulação dos rótulos de tempo avaliados mostraram-se ineficazes, pois não impediram que, no exame pericial, tanto a alteração quanto o instante em que ocorreram fossem detectados. Constatou-se também que é possível detectar arquivos alterados com o relógio do sistema manipulado, sendo necessário avaliar o campo LSN ($LogFile Sequence Number) dos arquivos de interesse e os que apresentam valores próximos, juntamente com seus rótulos de tempo. A análise do Registro ativo e de suas cópias armazenadas nos pontos de restauração mostrou-se importante para determinar configurações relevantes para a análise temporal. Finalmente, os resultados obtidos foram aplicados em um caso real, permitindo a afirmação da autenticidade dos arquivos questionados e a elaboração de suas linhas de tempo. _________________________________________________________________________________ ABSTRACT
Timestamps within file system metadata hold important forensic information. However, their analysis is not straightforward, as they can be unwittingly tampered as a result of the computer clock being incorrect, low clock battery or time zone/day-light saving time misconfiguration. They can also be deliberately manipulated with direct tampering of timestamps or of the computer clock. This study intends to determine digital forensic procedures for NTFS (New Techonologies File System) file systems on Windows XP. These procedures would allow investigators to assess the reliability of timestamps and determine the operations to which files and folders were submitted to and generate their timeline. The most common operations on files and folders were performed on a Windows XP virtual machine and their effects on NTFS timestamps were evaluated. Direct timestamp and computer clock tampering, scans by Windows Media Player and antivirus programs and FAT (File Allocation Table) to NTFS file transfers were also evaluated. Files generated by restore point were also forensically investigated. As a result, we developed tables containing chronological relationships between timestamps, comparisons of timestamps between attributes and timestamp characteristics of some operations, allowing distinguishing among most of the analyzed operations. Several timestamp manipulation programs were tested and proved to be ineffective because a forensic analysis is capable to identify the manipulation and also to end out its time of occurrence. Computer clock tampering can also be detected by evaluating the LSN ($LogFile Sequence Number) and timestamps of the files under investigation and also of the ones with close LSN values. The operating system Registry and its backup copies stored on restore points should be examined to determine system configurations at the time of analysis. The results from this study were applied to a real case and allowed the determination of the authenticity of files and supported the creation of their timeline.
Unidade Acadêmica: Faculdade de Tecnologia (FT)
Departamento de Engenharia Elétrica (FT ENE)
Informações adicionais: Dissertação (mestrado)—Universidade de Brasília, Faculdade de Tecnologia, Departamento de Engenharia Elétrica, 2012.
Programa de pós-graduação: Programa de Pós-Graduação em Engenharia Elétrica
Aparece nas coleções:Teses, dissertações e produtos pós-doutorado

Mostrar registro completo do item Visualizar estatísticas



Os itens no repositório estão protegidos por copyright, com todos os direitos reservados, salvo quando é indicado o contrário.