Sistema de arquivos NTFS
WRITE-UP TIME MACHINE
Estudo acerca da MFT para fins de documentação e criação de acervo de conteúdo voltado â Segurança Cibernética e Forense Digital na Academia de Forense Digital
Por João Pedro Keidji Tsukahara
Orientador(a): Renan Cavalheiro
Londrina – PR
2020
Introdução
No presente artigo, será realizado o desafio da Cynet, Time Machine, que aborda o sistema de arquivo NTFS, mais especificamente a MFT (Master File Table), que é o sistema de arquivos padrão do Windows NT e uma das estruturas mais importantes do mesmo.
1 NTFS
A NTFS é um sistema de arquivos padrão para o Windows NT, o qual possui meta-arquivos, sendo o mais importante deles a MFT.
Logo, cada arquivo ou pasta armazenada possui pelo menos uma entrada na MFT, e ela permite acessar os arquivos e pastas da mídia de armazenamento. Assim, mesmo que os arquivos sejam apagados do sistema, a MFT ainda possuirá esses registros, desde que não seja sobrescrita pela entrada de outro arquivo, por exemplo.
Logo, cada entrada na MFT possui 1024 bytes com informações acerca dos atributos dos arquivos e das pastas, sendo os principais para o desenvolvimento do artigo o Standard Information Attribute e Filename Attribute, que possuem informações sobre carimbos de data e hora, que são quatro, no total: modificação, criação, acesso e modificação na MFT.
Então, o Standard Information Attribute é o mais utilizado pelo sistema operacional e softwares, ou seja, ao visualizar o carimbo de data e hora em um arquivo ou pasta no Windows, essa informação é da Standard Information Attribute, enquanto o Filename Attribute realiza o carimbo de tempo relativo ao nome de um arquivo ou pasta. Na NTFS tudo é tratado como um arquivo, e o cifrão ($) indica os meta-arquivos, os quais são vistos como arquivo pela NTFS.
2 WRITE-UP TIME MACHINE Sistema de arquivos NTFS
O CTO da GOT LTD. alegou que descobriu uma atividade suspeita em seu laptop. Ele afirmou que alguns de seus arquivos mudaram repentinamente de um local para outro, quando outros arquivos parecem ter sido modificados em datas ilógicas.
Então, ele nos pediu para verificar se podemos encontrar indicadores de anomalia que sejam relevantes para seus arquivos de desktop.
Logo, verificamos que ele estava certo e há indicação clara de anomalia, por meio de técnica bem conhecida. Tente examinar o seguinte arquivo $MFT, focalizando os arquivos da área de trabalho do CTO.
Assim, você consegue encontrar a anomalia, que é relevante para o momento em que as alterações/modificações do arquivo foram feitas, com base no arquivo $MFT fornecido?
Desse modo, para realizar a interpretação da MFT para um arquivo facilmente legível, será utilizado o analyzeMFT, que irá “traduzir” as informações da MFT e estruturá-las em um arquivo csv por padrão. Existem outros similares, como, por exemplo, o mft2csv.
Figura 1 – Sintaxe padrão do analyzeMFT.
Fonte: PrintScreen da interface de linha de comando.
Após ser realizado o procedimento anterior, será gerado um arquivo, que poderá ser visualizado por softwares de planilha, conforme ilustra a figura 2:
Figura 2 – Arquivo MFT.csv aberto no LibreOffice Calc
Fonte: PrintScreen do LibreOffice Calc
Portanto, com uma breve análise, é possível determinar o nome do usuário, como ilustrado na figura 3, e com o conhecimento prévio do caso, pode-se determinar que o arquivo suspeito está na pasta “desktop”.
Sendo assim, será realizado um filtro no arquivo a fim de localizar todas as ocorrências de determinadas palavras, facilitando a análise, conforme mostra a figura 3:
Figura 3 – Aplicação do filtro em /Users/DFIR/Desktop/
Fonte: PrintScreen do LibreOffice Calc
O resultado do filtro será apresentado em uma nova janela, na qual todas as ocorrências que contenham o filtro especificado serão listadas, conforme mostra a figura 4:
Figura 4 – Resultado do filtro especificado
Fonte: PrintScreen do LibreOffice Calc
Então, o item que chama mais atenção é o Mod-File.txt. Analisando o mesmo, é possível identificar uma divergência na data e hora dos atributos de Standard Information Attribute (Std) e Filename Attribute (FN), conforme ilustrado na figura 5:
Figura 5 – Entrada na MFT do arquivo Mod-File.txt
Fonte: PrintScreen do LibreOffice Calc
Portanto, isso indica uma suspeita de uma técnica anti-forense conhecida como time stomping, que consiste em alterar os atributos de datas do arquivo, sendo o Standard Information Attribute mais utilizado para realizar essa técnica, com objetivo de dificultar a análise de arquivos baseado em datas. Vale ressaltar que o Filename Attribute também está vulnerável a essa técnica.
Logo, com tais informações, é possível submeter os dados requisitados, concluindo assim o desafio, conforme ilustra a figura 6:
Figura 6 – Desafio Time machine da Cynet
Fonte: https://incident-response-challenge.com/challenges/1
CONCLUSÃO Sistema de arquivos NTFS
Assim, como visto no artigo, a MFT tem um papel muito importante no sistema de arquivos NTFS, por meio do qual é possível determinar todos arquivos presentes em uma evidência digital, pois, mesmo que esses sejam apagados, a estrutura da MFT ainda conterá tais informações até ser sobrescrita por outra entrada.
Então, com efeito, isso pode auxiliar em uma perícia forense, a fim de determinar se um arquivo esteve presente ou não na mídia de armazenamento questionada.
BIBLIOGRAFIA Sistema de arquivos NTFS
CARRIER, Brian. File System Forensic Analysis. Addison-Wesley Professional: USA, 2006.
FORENSICS: What is the $MFT?. Where is my data, 05 jun. 2009. Disponível em: <https://whereismydata.wordpress.com/2009/06/05/forensics-what-is-the-mft/>. Acesso em: 24 set. 2020.
FORTUNA, Andrea. How to extract data and timeline from Master File Table on NTFS filesystem. Andrea Fortuna, 18 jul. 2017. Disponível em: <https://www.andreafortuna.org/2017/07/18/how-to-extract-data-and-timeline-from-master-file-table-on-ntfs-filesystem/>. Acesso em: 24 set. 2020.
FORTUNA, Andrea. Using MFT anomalies to spot suspicious files in forensic analysis. Andrea Fortuna, 4 jun. 2018. Disponível e: <https://www.andreafortuna.org/2018/06/04/using-mft-anomalies-to-spot-suspicious-files-in-forensic-analysis/>. Acesso em: 24 set. 2020.
VELHO, Jesus Antonio et. al. Tratado de Computação Forense. Millenium: São Paulo, 2016.
