Como dados básicos, o sistema de arquivos NTFS armazena informação sobre os arquivos escritos no disco em um arquivo de sistema especial denominado $MFT tabela mestra de arquivos, no qual um registro de arquivo ocupa 1 KB. Quando Windows realiza um formato rápido de um disco com um volume NTFS, cria um arquivo $MFT vazio de um tamanho mínimo estabelecido por defeito: 32KB em Windows XP, 64 KB em Windows Vista e 256 KB em Windows 7. Se iremos escrever mais arquivos no disco e o arquivo $MFT existente não é suficientemente grande, o sistema aumenta seu tamanho e pode fragmentá-lo como um arquivo normal. Em realidade, os arquivos $MFT estão bastante despedaçados nos discos reais e contêm 3-10 dados que residem em diferentes lugares do disco, ou seja, os diretórios e os arquivos estão representados com uma entrada especial dentro deste arquivo.A tabela mestra de arquivos é a que contém todos e cada um dos arquivos que compõem um volume, ou seja, que quando o sistema operativo consulta o conteúdo de um arquivo, deve dirigir-se à $MFT para obter informação do mesmo , como ser: tamanho,propriedades, atributos, localização,nomes de arquivos, eventos que sucedem no sistema, número de cluster, entre outros dados. A $MFT é como uma base de dados que armazena tudo que necessita no momento de consultar ou aceder a um arquivo ou diretório.
Baseado no anteriormente dito é importante na hora de realizar análise forense de dispositivos de armazenamento digital, como discos duros, identificar que os diretórios e os arquivos não estão em uma área concreta do disco, senão que a $MFT pode estar em diferentes zonas do disco, indicando assim que por cada arquivo ou pasta cria um registro de 1kbyte,1024 bytes; bytes que correspondem à entrada que tem uma cabeceira e os atributos antes mencionados.Através de EnCase® Enterprise pode-se recuperar arquivos e pastas NTFS da tabela mestra de arquivos $MFT, realizando procedimentos para buscar arquivos sem pastas raiz.Esta operação é especialmente útil quando se há formatado um dispositivo ou a $MFT está danada. Os arquivos recuperados colocam-se na pasta denominada “Recuperados”(Recovered Folders) na raiz da partição NTFS; quando se tem uma investigação, um dos passos para encontrar evidência digital é realizar buscas por palavras chave e, revisando-se os resultados, muitas vezes se encontram tais evidências nestas áreas ou pastas recuperadas.
Igualmente a importância de dito arquivo para o examinador forense é porque aí podem ser encontrados fragmentos de evidência como, por exemplo, arquivos que em algum momento, estiveram dentro do disco depois de haver sido formatado e que com procedimentos forenses através de EnCase® podem-se recuperar no arquivo $MFT.
Para contextualizar um pouco mais ao buscar por palavra chave no registro $MFT, podem-se encontrar atributos que incluem informação que localiza os dados dos arquivos que alguma vez estiveram em dito disco e que aportam informação para a investigação que esteja sendo conduzida por um investigador.
RELACIONADOS
Prova Imparcial Confirma Que Encase Forensic É Mais Rápido Que FTK
Grupo de LinkedIn: Usuários do EnCase - Português
No comments :
Post a Comment