Forense caso 00f

De Eriberto Wiki
Revisão de 05h38min de 12 de março de 2015 por Eriberto (discussão | contribs)
(dif) ← Edição anterior | Revisão atual (dif) | Versão posterior → (dif)
Ir para navegação Ir para pesquisar

by (C) João Eriberto Mota Filho <eriberto (a) eriberto pro br>

Caso para estudo, ligado diretamente ao artigo perícia forense computacional, existente neste wiki.

Última atualização: veja o rodapé desta página.




Caso 00f - Partições perdidas


Brasília, DF, 14 de novembro de 2014


Atualização em: 14 de novembro de 2014




Um pendrive, que aqui representa uma mídia qualquer, como um HD, teve toda a sua tabela de partições perdida.

O objetivo deste exercício será recuperar a citada tabela.







Exercício de aplicação



Execute os exercícios a seguir, utilizando a imagem de pendrive disponibilizada (3.2 MB comprimidos, 31 MB descomprimidos).

O hash MD5 da imagem comprimida é b5325e9be9e9f7c1e2fd7f6b4cff85b5.

Para descompactar a imagem, utilize o comando:

$ bunzip2 caso_00f.dd.bz2



Exercícios:

  1. Utilizando um loop for e o comando fsstat, descubra o início de cada partição e o seu tamanho. (ver dica abaixo)
  2. Utilizando um loop for e o comando mount, descubra o início de cada partição e o seu tamanho. (processo mais lento)
  3. Descreva as vantagens e desvantagens de utilização do fsstat ou do mount no processo de busca de partições.
  4. Utilizando o comando fdisk ou similar, reescreva as partições no MBR do disco.
  5. Utilizando o comando testdisk restaure as partições no disco.



Dicas:

  • No loop for teste a presença do início de um filesystem em cada setor, utilizando o fsstat.
  • No loop for teste a possibilidade de montagem de um filesystem usando cada setor como offset.
  • Em loops for o comando break interrompe a execução. Exemplo:
$ for i in 1 2 3; do echo $i && break; done

No comando anterior, se o comando echo obtiver sucesso, o loop será interrompido.