Por Kushalveer Singh Bachchas
No mundo digital, todo documento, imagem, vídeo ou programa que criamos deixa um rastro. Compreender o ciclo de vida de um arquivo, desde sua criação até sua exclusão, é crucial para diversos fins, incluindo segurança de dados, recuperação de dados e investigação digital. Este artigo mergulha na jornada que um arquivo percorre dentro de um dispositivo de armazenamento, explicando suas fases de criação, armazenamento, acesso e potencial exclusão.
Ciclo de vida do arquivo
1.Criação: nascimento de uma entidade digital
A vida de um arquivo começa com sua criação. Isso pode acontecer de várias maneiras:
Aplicativos de software: Quando você cria um novo documento em um processador de texto, edita uma imagem em um software de edição de fotos ou grava um vídeo, o aplicativo aloca espaço no dispositivo de armazenamento e escreve os dados associados ao arquivo.
Downloads: Baixar um arquivo da internet envolve copiar dados do servidor remoto para seu dispositivo de armazenamento.
Transferências de dados: Copiar um arquivo de um local para outro no mesmo dispositivo ou transferi-lo para um dispositivo diferente cria uma nova instância do arquivo.
Processos do sistema: Sistemas operacionais e aplicativos às vezes criam arquivos temporários durante vários processos. Esses arquivos podem ser automaticamente excluídos ao concluir a tarefa.
Durante a criação, o sistema operacional atribui um identificador único (geralmente um nome de arquivo) ao arquivo e o armazena em um diretório (pasta) junto com informações adicionais sobre o arquivo, conhecidas como metadados. Esses metadados geralmente incluem:
Tamanho do arquivo: A quantidade total de espaço de armazenamento ocupado pelo arquivo.
Data e hora de criação: O registro de quando o arquivo foi criado pela primeira vez.
Data e hora de modificação: O registro da última vez que o conteúdo do arquivo foi modificado.
Permissões de acesso ao arquivo: Restrições sobre quem pode ler, escrever ou executar o arquivo.
Tipo de arquivo: Informações sobre o tipo de arquivo (por exemplo, .docx, .jpg, .exe).
2.Armazenamento: encontrando um lar
Dispositivos de armazenamento como discos rígidos (HDDs), unidades de estado sólido (SSDs) e pen drives guardam os dados associados aos arquivos. No entanto, os dados não são armazenados como um fluxo contínuo de informações. Em vez disso, são divididos em pequenos pedaços chamados setores.
Quando um arquivo é criado, o sistema operacional aloca um número específico de setores no dispositivo de armazenamento para armazenar o conteúdo do arquivo. Esse processo de alocação pode acontecer de várias maneiras, dependendo do sistema de arquivos utilizado.
Aqui estão alguns pontos-chave a serem lembrados sobre armazenamento de arquivos:
Fragmentação: Com o tempo, à medida que os arquivos são criados, excluídos e redimensionados, os setores disponíveis ficam fragmentados pelo dispositivo de armazenamento. Essa fragmentação pode afetar a velocidade de acesso aos arquivos.
Tabela de Alocação de Arquivos (FAT) ou estruturas semelhantes: Alguns sistemas de arquivos dependem de uma tabela separada (FAT) ou índice que mantém o controle de quais setores pertencem a arquivos específicos.
Arquivos excluídos: Quando um arquivo é excluído, o sistema operacional normalmente apenas remove a referência ao arquivo da estrutura do diretório. Os dados reais ainda podem estar presentes no dispositivo de armazenamento até serem sobrescritos por novos dados.
3.Acesso: Leitura e Escrita
Interagimos com arquivos ao acessá-los para diversos fins, como ler um documento, editar uma imagem ou executar um programa. Isso envolve as seguintes etapas:
Pedido ao sistema de arquivos: Quando um aplicativo tenta acessar um arquivo, ele envia um pedido ao sistema operacional.
Busca no diretório: O sistema operacional primeiro localiza a entrada do arquivo na estrutura do diretório.
Consulta à tabela de alocação ou índice: Dependendo do sistema de arquivos, o sistema operacional pode consultar a FAT ou estrutura semelhante para determinar a localização física dos dados do arquivo no dispositivo de armazenamento.
Recuperação de dados: O sistema operacional recupera os dados dos setores alocados e os apresenta ao aplicativo.
Modificação do arquivo: Se o aplicativo tenta modificar o conteúdo do arquivo, o sistema operacional precisa encontrar novos setores para armazenar os dados atualizados. Esse processo pode envolver a sobregravação de dados existentes ou a alocação de novos setores dependendo do espaço disponível.
4.Exclusão: Apagando o Rastro (ou Quase)
Quando um arquivo é excluído usando a função de exclusão do sistema operacional, o processo envolve principalmente remover a entrada do arquivo da estrutura do diretório. Como mencionado anteriormente, os dados reais ainda podem estar presentes no dispositivo de armazenamento até serem sobrescritos.
Veja por que arquivos excluídos não desaparecem completamente:
Sobregravação: Até que novos dados sejam gravados nos setores que armazenam o conteúdo do arquivo excluído, ele permanece recuperável usando software de recuperação de dados. Isso depende de fatores como o tipo de dispositivo de armazenamento e o quão ativamente ele é usado.
Espaço Não Alocado: Os setores do arquivo excluído são simplesmente marcados como “não alocados”, indicando que o sistema operacional pode utilizá-los para armazenar novos dados.
Sistemas de arquivos diferentes:
Os sistemas de arquivos fornecem a estrutura fundamental para armazenar e organizar arquivos em um dispositivo de armazenamento. Eles ditam como os arquivos são criados, armazenados e acessados. Do ponto de vista da investigação digital, entender diferentes sistemas de arquivos é crucial para uma recuperação e análise eficazes de evidências. Aqui está uma análise dos sistemas de arquivos mais comuns e as considerações para investigadores:
1.Sistemas FAT (Tabela de Alocação de Arquivos)
Sistemas antigos: Encontrados em dispositivos de armazenamento mais antigos como disquetes, pen drives e alguns discos rígidos antigos.
Tabela FAT: Baseia-se em uma tabela mestra (FAT) que rastreia a alocação de dados dentro de clusters (grupos de setores) no dispositivo de armazenamento.
Vantagens forenses: Estrutura relativamente simples, mais fácil de analisar.
Desafios: Suporte limitado para tamanho de arquivo em versões antigas, propenso à fragmentação, potencial para sobregravação de dados após a exclusão.
2.NTFS (New Technology File System)
Sistemas Windows modernos: O sistema de arquivos padrão dos sistemas operacionais Windows modernos.
Tabela de Arquivos Mestre (MFT): Um banco de dados abrangente que rastreia todos os arquivos e pastas no volume, incluindo metadados detalhados.
Vantagens forenses: Registro de jornal para integridade de dados, melhor segurança de arquivos, suporte para arquivos e volumes maiores, potencial para recuperação de arquivos excluídos.
Desafios: Complexidade aumentada em comparação com FAT, potencial para dificultar a recuperação devido à sobregravação.
3.Família de Sistemas Ext (Sistema de Arquivo Estendido)
Sistemas Linux: Sistema de arquivos popular para distribuições Linux. Inclui várias versões (Ext2, Ext3, Ext4).
Inodes: Usa uma estrutura de dados chamada “inodes” que armazena metadados detalhados e rastreia a alocação de arquivos no dispositivo de armazenamento.
Vantagens forenses: Registro de jornal (nas versões mais recentes) para integridade de dados, suporte para arquivos e volumes grandes.
Desafios: Complexidade aumentada em comparação com FAT ou versões antigas do NTFS; ferramentas de recuperação podem precisar ser compatíveis com Linux.
4.HFS+ (Hierarchical File System Plus)
Sistemas Mac: Usado em sistemas macOS mais antigos.
B-trees: Usa B-trees (estruturas de dados para organizar informações) para organização de arquivos.
Vantagens forenses: Registro de jornal (opcional), suporte para arquivos e volumes grandes.
Desafios: Principalmente usado em sistemas macOS, potencialmente exigindo ferramentas forenses especializadas para análise.
5.APFS (Apple File System)
Sistemas Mac modernos: A opção padrão nos sistemas macOS, iOS, watchOS e tvOS modernos.
Cópia no momento da escrita: Usa um mecanismo de cópia no momento da escrita para modificações de dados, preservando versões originais dos arquivos.
Vantagens forenses: Otimizado para SSDs, recursos de criptografia.
Desafios: Complexidade aumentada, ferramentas forenses incipientes devido à novidade relativa do sistema de arquivos.
Após a exclusão, o destino dos arquivos varia conforme os sistemas de arquivos:
No FAT, os arquivos excluídos são marcados como disponíveis para reutilização, com seus dados potencialmente recuperáveis até serem sobregravados.
NTFS pode sobregravar clusters de arquivos excluídos, dificultando a recuperação, mas alguns dados residuais podem permanecer.
Os sistemas de arquivo Ext podem manter os dados de arquivos excluídos até serem sobregravados, facilitando a recuperação do espaço não alocado.
HFS+ e APFS utilizam o registro de jornal, potencialmente sobregravando rapidamente os dados de arquivos excluídos, mas ainda deixando chances de recuperação até serem sobregravados.
Conclusão
Ter um entendimento profundo dos ciclos de vida de arquivos, sistemas de arquivos e o armazenamento de arquivos excluídos é indispensável na investigação digital. A maestria desses conceitos capacita os investigadores forenses a reconstruir eventos, extrair evidências e desvendar estruturas de dados complexas crucial para procedimentos legais e resposta a incidentes no mundo digital. Ao aproveitar ferramentas e técnicas especializadas, os analistas forenses podem navegar por diversos sistemas de arquivos, recuperar artefatos excluídos e elucidar o rastro digital deixado nos dispositivos de armazenamento.
Esse artigo tem informações retiradas do blog da AT&T. A Neotel é parceira da AT&T e, para mais informações sobre as soluções e serviços da empresa, entre em contato com a gente.