SóProvas

ID
2624236
Banca
CESPE / CEBRASPE
Órgão
ABIN
Ano
2018
Provas
Disciplina
Segurança da Informação
Assuntos

A respeito de sistemas de arquivos, duplicação e recuperação de dados apagados ou corrompidos, julgue o próximo item.


As técnicas de data carving objetivam a recuperação de dados apagados a partir da análise de dados brutos à procura de assinaturas e outras marcações. Havendo sucesso nessa busca, data carving realiza a recuperação de arquivos inteiros e de seus metadados, e, em alguns casos, de fragmentos de arquivos que podem ter utilidade forense.

Alternativas
Comentários

  • Gabarito Errado

    Ótimo artigo sobre esse assunto:

    http://periciadigitaldf.blogspot.com.br/2011/04/carving-com-o-foremost.html

     

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

  • Mais uma questão que errei acertando. Não tem jeito. 

    "seus metadados"  é diferente de "metadados presente nos sistemas de arquivo"
    Arquivos que possuem metadados podem ser recuperados com seus metadados a menos que tenham sido sanitizados ( ferramenta MAT) antes de realizado o data carving.
    Nem todos os metadados são os metadados do sistema de arquivos.
    Até no livro "Tratado de Computação Forense" fala sobre o exiftool para visualizar metadados de arquivos.
    PDF, fotos,videos documentos do office e libreoffice.
    Inclusive para a recuperação de fotos, são utilizados metadados

    http://www.abc.net.au/news/2017-06-23/what-your-photos-and-their-metadata-say-about-you/8642630Editar

  • Tem que te fé, porque sabedoria pra entende isso nem fu.....

  • Foremost que é um sistema para realização de data carving tem especificado em sua documentação que opera dessa forma:

    foremost only looks at the header and footer; again, in the case of a .jpg, the header and footer are 0xffd8 and 0xffd9, respectively.  When it finds a header that appears in its list, it searches for a set number of bytes for the footer; if it does not find the footer after this number of bytes, it stops searching and moves on to the next header. 

    O que posso crer é que ele não recupera "fragmentos" pois se achar um header ele buscará em seguida por um footer, e nunca outro header, e se isso acontecer ele desconsiderará o chunck até então "armazenado" para recuperação e buscará novo footer para este novo header.

    E por isso a questão está incorreta.

    Porém quem já fez carving sabe que apesar da recuperação de arquivos acontecer, e ele trazer uma série de arquivos inteiros, normalmente quando há uma reescrita muito grande, estes são fragmentos do arquivo original, normalmente contendo apenas parte da informação original.

  • data carving recuperam fragmentos de arquivos sim..., Não é este o erro..

    Alguém descobriu proque esta questÃo esta errada??

  • Na estrutura

  • A questão está errada porque com o data carving não utiliza ou encontra metadados.. Apenas aqueles dados contidos no próprio arquivo. Ex. Magic words (Cabeçalho e Final de arquivo).

    Importante notar que data carving pode "olhar" a estrutura do arquivo também, quando não está disponível as palavras mágicas, por exemplo.

  • não vi erro na questão :/

     

    "File Carving é o processo de analisar headers e footers de arquivos para depois extraí-los e recuperá-los."

     

    http://periciadigitaldf.blogspot.com/2011/04/carving-com-o-foremost.html

     

    Vlw Ibsen.

  • Alguém podia indicar o erro da questão ? também como os colegas abaixo nao encontrei. Obrigado

  • Foi o que o Marcos B. escreveu: "metadados".

    https://pt.wikipedia.org/wiki/Esculpimento_de_arquivos

     

  • Vamos fatiar:

     

    Parte 1:

    "As técnicas de data carving objetivam a recuperação de dados apagados a partir da análise de dados brutos à procura de assinaturas e outras marcações."

    Certa.

    De acordo com a obra "Tratado de Computação Forense" (Jesus Antonio Velho), data carving ou file carving é o processo de recuperação de arquivos realizado sem o conhecimento de seus metadados, por meio da análise dos dados na sua forma bruta com base na sua assinatura.

     

    Parte 2:

    "Havendo sucesso nessa busca, data carving realiza a recuperação de arquivos inteiros e de seus metadados, e, em alguns casos, de fragmentos de arquivos que podem ter utilidade forense."

    Errada.

    Também de acordo com a obra "Tratado de Computação Forense" (Jesus Antonio Velho)", "é importante destacar que essa técnica NÃO RECUPERA OS METADADOS DOS ARQUIVOS, como o nome e datas associadas a eles, pois essas informações são mantidas pelo sistema de arquivos, que não é utilizado para esse tipo específico de recuperação de dados.".

     

    Portanto, questão errada.

  • Acredito que o erro esteja na afirmação:  data carving realiza a recuperação de arquivos inteiros e de seus metadados. Vejam:

     

    Carving é o nome de um procedimento/técnica muito importante para a Forense Computacional. Através do carving, podemos conseguir acessar um arquivo de forma independente da sua tabela de alocação, ou endereçamento; O carving age de forma independente do sistema de arquivos.

    A técnica mais usada é baseada nos chamados magic numbers, são sequências de bytes que estão sempre presentes no arquivo, em geral no seu cabeçalho. Logicamente, essa técnica tem alguns problemas; Os arquivos que não ocuparem um setor inteiro, bem como o último setor de um arquivo, não terão como serem reconhecidos, pois o calculo do hash seria influenciado pelo slack space (aquele espaço do setor que o arquivo não ocupou).

     

    Fonte: forcomp

  • Data Carving só faz a recuperação dos dados raw(crus) e não dos metadados que ficam no sistema de arquivos. Porém existe a técnica de recuperação  baseada em sistema de arquivos que consegue recuperar os metadados.

  • File carving is the process of reassembling computer files from fragments in the absence of filesystem metadata. Não recupera metadados.

  • Essa prova foi nível Hard. Pqp..! 

  • cadê o comentários do professor????????

  • GABARITO: ERRADO.

  • Próxima..!

  • Data carving: é um processo que procura por arquivos deletados ou escondidos a partir de pequenos fragmentos dele na ausência de metadados.

  • Gab. Errado

    Achei um definição aqui

    Data Carving é um processo que localiza arquivos e objetos que foram deletados ou que estão "inseridos" em outros arquivos. Os arquivos são "esculpidos" a partir do espaço alocado (ou não) baseando-se no "header" (cabeçalho) do tipo de arquivo e nos "footers" (rodapés).

    acho que o erro é dizer que Data Carving recupera dados...