Queira o Sr. Perito esclarecer o que acontece quando um arquivo é deletado

DeletarMuitas pessoas acreditam que o comando ou a tecla delete têm a mesma função para arquivos eletrônicos que uma máquina trituradora de papéis tem para documentos impressos.

Na verdade, qualquer arquivo eletrônico (documentos, planilhas, fotos, e-mails…) deixa sua impressão digital no disco rígido ou em outra mídia na qual foi armazenado. Essa impressão digital é um registro magnético que permanece mesmo quando o arquivo é deletado de forma convencional.

O mesmo se aplica para a lixeira do Windows, em que a ação de “esvaziar lixeira” não elimina o conteúdo de um arquivo do ponto de visa de computação forense. Pelo contrário, também é possível recuperar evidências eletrônicas ou parte delas utilizando técnicas forenses que serão apresentadas em posts futuros nesse blog.

Alguns usuários ingenuamente tentam de modo intencional eliminar informações armazenadas no computador por meio de formatação, desfragmentação ou sobrescrição de arquivos.

A formatação é a maneira mais rápida de liberar espaço no disco rígido e dá ao usuário a sensação de que todo o conteúdo armazenado foi eliminado permanentemente. Porém, essa técnica elimina apenas as informações de índice dos arquivos e não o conteúdo deles. O índice é, em termos gerais, a área do disco rígido que contém informações sobre os arquivos,  como a sua localização no disco. Portanto, através da formatação, os arquivos gravados no disco rígido não estão mais visíveis ao usuário, entretanto o conteúdo ainda permanece gravado e pode ser recuperado.

A desfragmentação é utilizada para fazer o computador acessar o disco rígido de forma mais eficiente. Essa técnica consiste em movimentar as várias partes de um arquivo armazenado de maneira que elas fiquem o mais próximo possível umas da outras. Ao provocar essa movimentação de partes do arquivos, pode haver a sobrescrição de conteúdo de arquivos que foram apagados, uma vez que arquivos novos podem ser escritos no mesmo lugar no disco rígido onde estava os arquivos que foram excluídos. Esse processo dificulta a recuperação de conteúdo de arquivos apagados. Ainda assim, boa parte da informação pode ser recuperada utilizando-se métodos adequados.

LixeiraO usuário pode tentar apagar um arquivo, esvaziar a lixeira e gravar uma grande quantidade de novos arquivos no disco rígido. Nesse caso, boa parte do conteúdo dos arquivos apagados pode ser sobrescrita. Porém, dependendo do tamanho do disco rígido, fragmentos de arquivos ainda podem ser recuperados, além das informações técnicas sobre esses arquivos (metadados), tais como: nome, data de criação, acesso e exclusão. Essas informações recuperadas podem ser úteis para entender como uma fraude ocorreu ou entender mais a respeito do mau uso do computador.

Por fim, o que deve ser ressaltado é que muitas evidências permanecem gravadas, mesmo que o usuário tente eliminá-las. E, se analisadas de forma apropriada, essas evidências podem ser recuperadas e utilizadas legalmente.

E quanto aos novos discos do tipo SSD?

Discos do tipo SSD ou unidade de estado sólido são aqueles construídos em torno de um circuito integrado que apresentam tempo reduzido de acesso e não possuem partes eletrô-mecânicas como nos discos rígidos convencionais. Unidades SSD são bastante utilizadas em Ultrabooks e tendem a se tornarem padrão no mercado quando houver redução de custo e aumento da capacidade armazenamento que ainda é inferior aos discos rígidos do tipo SATA.

Aqui o cenário é bem diferente para a recuperação forense de dados, pois os arquivos deletados podem ser perdidos de forma definitiva [1]. Pode se dizer que unidades SSD auto-destroem evidências e informações quando são formatadas. Bom, mas esse assunto vale um post para mostrar técnicas que podem ser empregadas para obter informações adicionais de unidades SSD.


[1] Solid State Drives: The Beginning of the End for Current Practice in Digital Forensic Recovery?
http://www.jdfsl.org/subscriptions/JDFSL-V5N3-Bell.pdf

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s