Análise forense em sistemas operacionais MS-Windows

Autor:Emmanuel Nolêto - Marcos Monteiro
Páginas:221-258
 
ÍNDICE
TRECHO GRÁTIS

Page 221

Emmanuel Nolêto

Possui graduação em Ciência da Computação(2007) e mestrado em Informática(2013). Atualmente é professor universitário, avaliador de artigos científicos da Universidade de Fortaleza e do Instituto Federal do Sertão de Pernambuco. Trabalhando como Diretor Executivo da APECOF e em diversos segmentos na área de tecnologia relacionados a perícia forense computacional, analista de sistemas, desenvolvimento em PHP, Java e Android, administração de banco de dados PostgreSQL e Oracle, instalação, manutenção e auditoria de servidores LINUX e WINDOWS.

email: contato@emmanuelnoleto.com.br

Marcos Monteiro

Presidente da APECOF – Associação de Peritos em Computação Forense, Certificado EC-Council CHFI (Computer hacking Forensics Investigator), Organizador desta obra, Membro consultor da comissão de Direito Digital da OAB – PI, Mestrando no programa de pós-graduação em Informática Aplicada na universidade de Fortaleza, com MBA em gerenciamento de redes e telecomunicações e MBA em Gerenciamento de Projetos de TI, Perito ad-hoc de casos de grande repercução, professor universitário, colunista em jornal e revista, idealizador do COFFORENSE - Conferencia de Café com Forense e dá dicas de Computação Forense no site que leva seu nome www.marcosmonteiro.com.br.

email: contato@marcosmonteiro.com.br

Page 222

Page 223

Introdução
6.1. 1 História dos sistemas microsoft

Empresa que iniciou com um princípio simples, gostar de computadores. Visando sempre o mercado de softwares foi concebida no ano de 1975 focando seu negócio em desenvolver um software na linguagem BASIC. Foi a empresa criadora de um sistema operativo para computador denominado WINDOWS versão 1.0. Responsável em proporcionar ao usuário um ambiente que trabalha com janelas e visual permitindo uma integração de mouse e teclado.

No ano de 1987 foi lançada sua segunda versão denominada Windows 2.0. Nesta versão, ferramentas ou softwares, foram adicionados e alguns deles, mais tarde seriam transformados no OFFICE. A sobreposição de janelas e as opções

Page 224

de maximizar e minimizar foram recursos que foram melhorados e modificados nesta versão, tanto como novidade quanto aperfeiçoados devido já haverem na versão anterior. Já no ano de 1990 surge o windows 3.0 trazendo o suporte ao hardware de forma ampla, agregando eficiência ao permitir ser instalado em processadores Intel 8086/8088, 80286 e 80386 e reconhecendo alguns adaptadores gráficos de 256 cores. Em meados de 1995 foi lançado o Windows 95, padronizando alguns conceitos da Microsoft como organização da área de trabalho, barra de ferramentas e o menu iniciar. Nesse momento também surge o uso do navegador Internet Explorer, mas em pouco tempo fora lançado o Windows 98 com avanços de suporte a USB e drives mais modernos para contemplar diversos periféricos. Versões posteriores do mesmo sistema foram feitas mas apenas para critérios de correção dos erros que estavam acontecendo nas versões anteriores. O maior sucesso em termo de sistemas operativos da Microsoft foi o Windows XP, lançado no ano de 2001, veio com o intuito de alavancar a empresa devido ao fracasso que aconteceu na versão Windows ME. Inúmeras melhorias foram implementadas, entre elas:

  1. Novos recursos de rede;

  2. Remodelagem de interface;

  3. DirectX8.1;

  4. Suporte para múltiplos usuários;

  5. Novos recursos de segurança;

Esse sistema foi uma das versões que mais tiveram correções disponibilizadas e até os dias atuais existem usuários que utilizam essa versão. Outras versões de sistema Windows foram lançadas depois do XP, Windows Vista, no ano de 2006, Windows 7, no ano de 2009, Windows Phone, no ano de 2010, sistema voltado para dispositivos móveis, Windows 8, no ano de 2012, atualmente encontra-se na versão denominada Windows 10. Muitas foram as melhorias, porém, esta versão, Windows 10, está tendo uma forte aceitação por parte dos usuários devido recursos como:

• Desktops virtuais com atalhos;

• Controle do histórico de cada arquivo de forma mais detalhada;

• O Explorer disponibiliza uma tela com os arquivos mais usados;

• Permite colocar a lixeira no menu iniciar;

• O prompt de comando permite uma maior gama de recursos;

• Central de notificações trabalha de forma centralizada;

Page 225

6.1. 2 Partições para análise – boot

Em todo processo de ligar um computador é executada uma sequência de procedimentos até o sistema operacional esteja completamente carregado. Nos sistemas Windows há uma sequência de processos que são executados, porém o BIOS, Basic Input/Output System — Sistema Básico de Entrada/Saída, é um sistema operacional gravado em sua placa mãe, responsável pela apresentação das análises do hardware na tela do computador. Possibilita o carregar e testar de todo o hardware do computador seguindo uma sequência de passos.

A verificação do circuito integrado em que contenha as informações do hardware do computador, realizando o reconhecimento e o teste de comunicação, garantindo o perfeito funcionamento dos componentes e placas que estejam integrados a placa mãe. No caso de algum dos componentes apresentem falhas, sinais sonoros são executados para alertar ao usuário. Finalizada essa primeira verificação, é inicializada a busca por uma unidade de dados que pode ser um HD, CD, DVD, Pendrive, entre outros, que contenha arquivos do sistema operacional. O formato de busca por unidade é configurável pela interface de apresentação da BIOS. Ao ser encontrada a unidade onde está o sistema, é verificado o setor zero da mesma, pois nele ficam os arquivos inicialização do sistema operacional. Esse procedimento de localizar o setor zero é apenas para HD’s, pois em CD’s, DVD’s entre outros é feito um processo de emulação desse setor.

Em sistemas Windows, ao encontrar do setor zero, é executado o Master Boot Record (MBR), verificando em qual partição do HD que encontra-se como MASTER e inicializando o primeiro setor, onde este é responsável em carregar o segundo setor. O carregamento do Boot Loader que está contido no arquivo boot.ini é feito pelo arquivo NTLDR – abreviatura de New Technology Loader em Windows XP e Windows Boot Manager no Windows Vista. O boot.ini é criado de forma automática quando instalamos o sistema operacional, nele estão as configurações do tempo limite e o caminho para o sistema operacional padrão, porém, também podem haver demais caminhos para outros sistemas operacionais contidos no computador. As instruções de carregamento do núcleo do kernel e o estabelecimento da comunicação com o hardware por meio da BIOS, ou seja o hardware e software conversam, passando ao sistema operacional o controle dessa comunicação são feitas por meio das instruções contidas no boot.ini conforme suporte da microsoft há o exemplo abaixo:

Boot. ini padrão em um computador com Windows Server 2003: [boot loader] timeout=30

Page 226

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS=“Microsoft Windows .NET

Standard Server”/fastdetect

Boot. ini padrão em um computador com Microsoft Windows XP Professional:

[boot loader]

timeout=30

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems] multi(0)disk(0)rdisk(0)partition(1)\WINDOWS=“Microsoft Windows .NET

Standard Server”/fastdetect multi(0)disk(0)rdisk(0)partition(2)\WINDOWS=“Microsoft Windows XPProfessional”

Em seguida é feito o carregamento dos arquivos com as informações primárias do sistema, principalmente o registro, DLL’s e os drives de comunicação com os componentes da placa que está o sistema. Esse carregamento é apenas para inicialização do sistema descartando o carregamento de todos os processos permitindo assim o Windows carregar de maneira completa até chegar ao gerenciador de sessão, onde encontra-se o primeiro processo que seja do usuário.

6.1. 3 Estrutura de arquivos

A estrutura em que o sistema operacional Windows disponibiliza para seus arquivos segue o modelo pastas, esta por sua vez é muito semelhante a uma pirâmide ou uma estrutura de árvore. Suas partições existentes no disco são visualizadas e iniciadas a partir do executar do boot no computador. Cada uma das partições recebe uma letra para ser feita a sua identificação ao usuário e para o sistema, tendo com as letras mais utilizadas a C e D, porém podendo ter as demais letras também atribuídas para outras unidades. O sistema operacional por meio do arquivo ntdetect.com, possibilita a detecção dos principais componentes do computador, antes mesmo do carregamento do kernel. Mas em sistemas com a opção dual-boot possuem o arquivo bootsect.dos para que o usuário possa ter a opção de escolha do sistema operacional, caso haja outros sistemas instalado.

Ao acessar o sistema, todos os usuários tem tem suas informações de configuração em uma pasta denominada Documents and Settings, no caso de sistemas Windows XP, ou Users, para sistemas Windows Vista e 7, onde nela estão diversas outras pastas conforme tabela abaixo:

Page 227

Um outro arquivo que deve ser observado é o pagefile.sys. Ele é o responsável pelo armazenamento de memória virtual, possibilitando saber

Page 228

informações do que está sendo executado no computador, porém, realizar a análise do arquivo de hibernação, hiberfil.sys, possibilita uma ampliação das informações que...

Para continuar a ler

PEÇA SUA AVALIAÇÃO