Investigações Forenses: Sistema de Arquivos Resilientes (ReFS) em Windows

No outono de  2012, Microsoft deixou  disponível  Windows Server 2012 com uma funcionalidade pouco anunciada: Sistema de Arquivos Resilientes (ReFS). Logicamente, Microsoft não lança novos sistemas de armazenamento por casualidade, e quando o faz, os efeitos e as repercussões não se  sentem muito. NTFS esteve geralmente disponível desde  Windows NT 3.1, lançado em 1993. Se executarmos um centro de dados de qualquer tamanho e  se realizar uma troca no sistema subjacente de dados críticos e valiosos, não é uma decisão que se toma apressadamente... Em grande parte, isto justifica uma complacência geral em nosso campo de ferramentas digitais forenses quando se estuda como encarar um novo sistema de armazenamento. Hoje, ReFS é  considerado  um bicho raro: os investigadores não o experimentam seguidamente, cremos que isto mudará  no transcurso deste ano.

Pelo momento, ReFS está disponível somente no Windows Server 2012. Contudo, a partir de Windows 8.1, que sairá à  luz em outubro de 2013, se prevê que ReFS será parte da ponta de lança do Sistema Operativo Windows para usuários. As versões de pré-lançamento confirmam esta inovação.

Que significa isto para os investigadores digitais? Simplesmente, a menos que desfrutes o ato de introspecção do sistema de arquivos,  pôr tuas ferramentas forenses digitais para que realizem o trabalho de analisar dispositivos com formato ReFS. EnCase® Versión 7.08 oferece suporte para o processo,  navegação e análise de dispositivos com formato ReFS. Queres saber mais? Sigas lendo…

Antes de prosseguir, quero compartir um pouco a história de ReFS. ReFS está desenhado para albergar dados , em grande quantidade. Também está planejado para escalar a 262,000 exabytes por volume, contendo 18 quintilhões  de arquivos por volume. Contrastemos este último com o NTFS ( o qual está desenhado para operar somente 16 exabytes) e  já  poderás começar a ver a intenção e a audiência para o sistema de armazenamento: organizações  e pessoas que possuem toneladas de dados. Se tiveres muita informação, qual é tua principal prioridade depois de guardá-la? Preservá-la, certamente… Deve-se manter a integridade. Windows ReFS não somente está feito  para armazenar, senão também para facilitar a preservação da integridade de dados valiosos.

Há informação um tanto quanto  escassa disponível  ao público sobre a constituição de ReFS. Mas, o que está disponível está disperso através de diferentes fontes.

A continuação, algumas delas que te darão uma visão sobre o que estamos falando:
  • Criar a seguinte geração de sistema de armazenamento para Windows, direto da equipe Windows 8, o conjunto mais referenciado de informação básica sobre ReFS disponível
  • Melhorar a Flexibilidade de Dados do Servidor de Arquivos com ReFS no Windows Server 2012, Microsoft TechNet
  • Windows Server 2012: ReFS substitui  a NTFS? Quando se deveria usar? Microsoft TechNet
  • Sistema  de Arquivos Resilientes, referência MSDN
Agora que conhecemos um pouco os antecedentes, é bastante simples explicar como a Versão 7.08 de EnCase® compatibiliza com ReFS. A Versão 7.08 de EnCase® te permite:
  • Agregar evidência a teu caso em formato ReFS
  • Ver licenças, limites e descrições de arquivos
  • Aplicar qualquer método de análise de EnCase®:
  1. Navegação em sistema de arquivos
  2. Busca bruta de palavras chave
  3. Transcrição
  4. Indexação
  5. Encontrar e-mails
  6. Expandir  arquivos compostos
  7. Tirar arquivos (File Carver)
  8. E  mais…
Talvez tudo isso não soe tão espetacular para qualquer investigador avançado que já o conhece... Mas, desde nossa perspectiva, são grandes as  novidades. ReFS está em seus inícios hoje em dia  ,mas estará  disponível como uma tecnologia de consumo talvez ainda este ano. Alguns dos casos mais difíceis  são aqueles que abrangem a maioria dos dados,como por exemplo: servidores de arquivo corporativo, distribuidores e produtores de exploração infantil. As ferramentas de investigação digital necessitam reduzir o esforço e o tempo empregado pelos investigadores. O suporte para sistemas de arquivos é uma maneira fundamental em que EnCase® proporciona valor aos investigadores.

Os investigadores não podem dar-se ao  luxo de ditar o que os dispositivos devem investigar. Para quando uma imagem ReFS chegue ao escritório de um investigador,se as ferramentas não aceitam ReFS, talvez seja  demasiado tarde. Não queremos que isto suceda e que nossos esforços para adotar desenvolvimentos ReFS nos permitam evitar colocar os  investigadores nesse dilema.

Já estamos ansiosos para lançar a Versão 7.08 de EnCase® e gostaria  de escutar as experiências ou comentários a respeito de ReFS ou qualquer outro aporte sobre outros sistemas de armazenamento que seja pertinente. Se os sistemas de armazenamento constróem o caminho para os investigadores, em  que estão atualmente falhando tuas ferramentas para proporcionar  a plataforma adequada?

RELACIONADOS

Que Papel Desempenham Os Metadados Dentro De Uma Evidência?

Como Obter Evidencia Em Ajustes De Discos 

O Reto Forense Em Discos De Estado Sólido (SSD) 

Grupo de LinkedIn: Usuários do EnCase - Português  

No comments :

Post a Comment