ext4-forense

\subsection{Estrutura do ext4}

Conhecer o sistema de arquivos a ser analisado é um requisito
quando se trata de partições problemáticas ou com técnicas
de anti-forense (veremos algumas adiante). Nesta seção
abordaremos conceitos sobre o ext4, o sistema de arquivos
padrão das distribuições GNU/Linux atuais, mas é importante
notar que nem sempre você irá se deparar com ext4. É bem
possível que você encontre sistemas ext3, ZFS (Sun/Oracle),
JFS (IBM), dentre outros em servidores Linux ou Unix. No entanto,
os conceitos expostos aqui servirão como base para estudo
dos conceitos de outros \emph{filesystems}.

O ext4 mantém os seguintes registros de data para cada arquivo:

\begin{description}
\item[mtime] data em que o arquivo foi modificado
\item[atime] data em que o arquivo foi acessado
\item[ctime] data em que o arquivo teve um atributo modificado
\item[dtime] data em que o arquivo foi excluído
\item[crtime] data em que o arquivo foi criado
\end{description}

Em seu antecessor, o ext3, somente os três primeiros atributos
estão presentes, algo que a comunidade de segurança já se incomodava.
A resolução de tempo passou a ser de \textbf{nanosegundos},
contra segundos do ext3.

As seguintes ferramentas presentes na suíte e2fsprogs merecem destaque:

http://e2fsprogs.sourceforge.net

\begin{description}
\item[e2image] Gera imagens com metadados críticos de partições para arquivos
\item[dumpe2fs] Exibe informações sobre uma partição. Pode ser usado com uma
imagem gerada pelo e2image
\item[debugfs] Um debugger interativo que também pode ser usado com imagens do e2image
\end{description}

Para cada arquivo existente no filesystem, existe uma estrutura
responsável por representá-lo chamada \textbf{inode}. O inode também
armazena todas as informações sobre um arquivo, com excessão
de seu nome e conteúdo. Para verificar tais informações, podemos
usar o comando stat:

\begin{verbatim}
# stat mbr.img
  File: "mbr.img"
  Size: 512         Blocks: 8          IO Block: 4096   arquivo comum
Device: 805h/2053d  Inode: 7604329     Links: 1
Access: (0644/-rw-r--r--)  Uid: ( 1000/   nandu)   Gid: ( 1000/   nandu)
Access: 2012-05-22 00:06:14.492249402 -0300
Modify: 2012-05-22 00:06:32.056336493 -0300
Change: 2012-05-22 00:06:32.056336493 -0300
 Birth: -
\end{verbatim}

No entanto, conforme você deve ter percebido, a data de criação
do arquivo não apareceu. Acontece que nem todas as ferramentas
já estão adaptadas ao ext4, mas por sorte o debugfs resolve:

\begin{verbatim}
# debugfs -R 'stat <7604329>' /dev/sda5
Inode: 7604329   Type: regular    Mode:  0644   Flags: 0x80000
Generation: 3982433542    Version: 0x00000000:00000001
User:  1000   Group:  1000   Size: 512
File ACL: 0    Directory ACL: 0
Links: 1   Blockcount: 8
Fragment:  Address: 0    Number: 0    Size: 0
 ctime: 0x4fbb02b8:0d6e81b4 -- Tue May 22 00:06:32 2012
 atime: 0x4fbb02a6:755c84e8 -- Tue May 22 00:06:14 2012
 mtime: 0x4fbb02b8:0d6e81b4 -- Tue May 22 00:06:32 2012
crtime: 0x4fbb01ac:be7fc6ac -- Tue May 22 00:02:04 2012
Size of extra inode fields: 28
EXTENTS:
(0):30154696
\end{verbatim}

\begin{Nota}
Este comando stat passado para o debugfs é um comando
interno do debugger e não o stat do coreutils usado
anteriormente.
\end{Nota}

Se o arquivo for excluído, o atributo \textbf{dtime} aparecerá:

\begin{verbatim}
$ rm mbr.iso
# debugfs -R 'stat <7604329>' /dev/sda5
Inode: 7604329   Type: regular    Mode:  0644   Flags: 0x80000
Generation: 3982433542    Version: 0x00000000:00000001
User:  1000   Group:  1000   Size: 0
File ACL: 0    Directory ACL: 0
Links: 0   Blockcount: 0
Fragment:  Address: 0    Number: 0    Size: 0
 ctime: 0x4fbb3ad4:d0c06a9c -- Tue May 22 04:05:56 2012
 atime: 0x4fbb39fe:dce57df0 -- Tue May 22 04:02:22 2012
 mtime: 0x4fbb3ad4:d0c06a9c -- Tue May 22 04:05:56 2012
crtime: 0x4fbb01ac:be7fc6ac -- Tue May 22 00:02:04 2012
dtime: 0x4fbb3ad4 -- Tue May 22 04:05:56 2012
Size of extra inode fields: 28
EXTENTS:
\end{verbatim}

O debugfs também pode atuar com imagens de disco,
como faremos nos exercícios.