Skip navigation
Use este identificador para citar ou linkar para este item: http://repositorio.unb.br/handle/10482/10842
Arquivos associados a este item:
Arquivo Descrição TamanhoFormato 
2012_CleberScoralickJunior.pdf2,14 MBAdobe PDFVisualizar/Abrir
Registro completo de metadados
Campo DCValorIdioma
dc.contributor.advisorNascimento, Anderson Clayton Alves-
dc.contributor.authorScoralick Júnior, Cleber-
dc.date.accessioned2012-06-28T11:59:43Z-
dc.date.available2012-06-28T11:59:43Z-
dc.date.issued2012-06-28-
dc.date.submitted2012-01-31-
dc.identifier.citationSCORALICK JÚNIOR, Cleber. Estudo de rótulos de tempo em sistemas NTFS baseado em estruturas do sistema de arquivos e do sistema operacional Windows. 2012. xvi, 89 f., il. Dissertação (Mestrado em Engenharia Elétrica)—Universidade de Brasília, Brasília, 2012.en
dc.identifier.urihttp://repositorio.unb.br/handle/10482/10842-
dc.descriptionDissertação (mestrado)—Universidade de Brasília, Faculdade de Tecnologia, Departamento de Engenharia Elétrica, 2012.en
dc.description.abstractMetadados de arquivos e pastas em sistemas de arquivos armazenam informações relevantes para a análise pericial, com destaque para os rótulos de tempo. No entanto, esses rótulos podem ser afetados por configurações erradas do relógio, problemas de alimentação elétrica ou alterações intencionais dos rótulos de tempo ou do relógio do sistema, exigindo do examinador maior cuidado em sua análise. Dessa forma, este trabalho tem como objetivo determinar procedimentos periciais de informática em sistemas de arquivos NTFS (New Techonologies File System), na plataforma Windows XP, que permitam afirmar acerca do grau de contabilidade dos rótulos de tempo, indicar a quais operações os arquivos e pastas de interesse foram submetidos, bem como elaborar uma linha de tempo. Em uma máquina virtual Windows XP, foram realizadas simulações de operações com arquivos e pastas e um estudo de seus efeitos nos rótulos de tempo. Além das simulações de operações comuns, foram testadas alterações intencionais nos rótulos de tempo e no relógio do sistema, o efeito de varreduras do Windows Media Player e de programas antivírus, além de transferências de arquivos e pastas de um sistema FAT (File Allocation Table) para o sistema NTFS. Investigou-se também como a geração de pontos de restauração pelo Windows pode contribuir para a análise temporal. Para exposição dos resultados dos experimentos, foram elaboradas tabelas que apresentam relações cronológicas entre os rótulos de tempo dos atributos analisados, relações de igualdade e desigualdade entre rótulos de atributos diferentes e características dos rótulos de tempo para cada operação analisada. Esses resultados permitem, na maioria dos casos, individualizar as operações. Os programas para manipulação dos rótulos de tempo avaliados mostraram-se ineficazes, pois não impediram que, no exame pericial, tanto a alteração quanto o instante em que ocorreram fossem detectados. Constatou-se também que é possível detectar arquivos alterados com o relógio do sistema manipulado, sendo necessário avaliar o campo LSN ($LogFile Sequence Number) dos arquivos de interesse e os que apresentam valores próximos, juntamente com seus rótulos de tempo. A análise do Registro ativo e de suas cópias armazenadas nos pontos de restauração mostrou-se importante para determinar configurações relevantes para a análise temporal. Finalmente, os resultados obtidos foram aplicados em um caso real, permitindo a afirmação da autenticidade dos arquivos questionados e a elaboração de suas linhas de tempo. _________________________________________________________________________________ ABSTRACTen
dc.description.abstractTimestamps within file system metadata hold important forensic information. However, their analysis is not straightforward, as they can be unwittingly tampered as a result of the computer clock being incorrect, low clock battery or time zone/day-light saving time misconfiguration. They can also be deliberately manipulated with direct tampering of timestamps or of the computer clock. This study intends to determine digital forensic procedures for NTFS (New Techonologies File System) file systems on Windows XP. These procedures would allow investigators to assess the reliability of timestamps and determine the operations to which files and folders were submitted to and generate their timeline. The most common operations on files and folders were performed on a Windows XP virtual machine and their effects on NTFS timestamps were evaluated. Direct timestamp and computer clock tampering, scans by Windows Media Player and antivirus programs and FAT (File Allocation Table) to NTFS file transfers were also evaluated. Files generated by restore point were also forensically investigated. As a result, we developed tables containing chronological relationships between timestamps, comparisons of timestamps between attributes and timestamp characteristics of some operations, allowing distinguishing among most of the analyzed operations. Several timestamp manipulation programs were tested and proved to be ineffective because a forensic analysis is capable to identify the manipulation and also to end out its time of occurrence. Computer clock tampering can also be detected by evaluating the LSN ($LogFile Sequence Number) and timestamps of the files under investigation and also of the ones with close LSN values. The operating system Registry and its backup copies stored on restore points should be examined to determine system configurations at the time of analysis. The results from this study were applied to a real case and allowed the determination of the authenticity of files and supported the creation of their timeline.en
dc.language.isoPortuguêsen
dc.rightsAcesso Abertoen
dc.titleEstudo de rótulos de tempo em sistemas NTFS baseado em estruturas do sistema de arquivos e do sistema operacional Windowsen
dc.title.alternativeNTFS file system timestamp study based on file system and windows operating system structuresen
dc.typeDissertaçãoen
dc.subject.keywordWindows NT (Sistema operacional de computador)en
dc.subject.keywordComputação forenseen
dc.subject.keywordOrganização de arquivos (Computação)en
dc.description.unidadeFaculdade de Tecnologia (FT)pt_BR
dc.description.unidadeDepartamento de Engenharia Elétrica (FT ENE)pt_BR
dc.description.ppgPrograma de Pós-Graduação em Engenharia Elétricapt_BR
Aparece nas coleções:Teses, dissertações e produtos pós-doutorado

Mostrar registro simples do item Visualizar estatísticas



Os itens no repositório estão protegidos por copyright, com todos os direitos reservados, salvo quando é indicado o contrário.