Forense caso 00f
by (C) João Eriberto Mota Filho <eriberto (a) eriberto pro br>
Caso para estudo, ligado diretamente ao artigo perícia forense computacional, existente neste wiki.
Última atualização: veja o rodapé desta página.
Um pendrive, que aqui representa uma mídia qualquer, como um HD, teve toda a sua tabela de partições perdida.
O objetivo deste exercício será recuperar a citada tabela.
Execute os exercícios a seguir, utilizando a imagem de pendrive disponibilizada (3.2 MB comprimidos, 31 MB descomprimidos).
O hash MD5 da imagem comprimida é b5325e9be9e9f7c1e2fd7f6b4cff85b5.
Para descompactar a imagem, utilize o comando:
$ bunzip2 caso_00f.dd.bz2
Exercícios:
- Utilizando um loop for e o comando fsstat, descubra o início de cada partição e o seu tamanho. (ver dica abaixo)
- Utilizando um loop for e o comando mount, descubra o início de cada partição e o seu tamanho. (processo mais lento)
- Descreva as vantagens e desvantagens de utilização do fsstat ou do mount no processo de busca de partições.
- Utilizando o comando fdisk ou similar, reescreva as partições no MBR do disco.
- Utilizando o comando testdisk restaure as partições no disco.
Dicas:
- No loop for teste a presença do início de um filesystem em cada setor, utilizando o fsstat.
- No loop for teste a possibilidade de montagem de um filesystem usando cada setor como offset.
- Em loops for o comando break interrompe a execução. Exemplo:
$ for i in 1 2 3; do echo $i && break; done
No comando anterior, se o comando echo obtiver sucesso, o loop será interrompido.