Interforensics 2023
  1. Página Inicial
  2. Inscrições Científicas
  3. Trabalhos

Dados do Trabalho

Título

RECUPERAÇAO DE LOGS NO SISTEMA DE ARQUIVOS DHFS4.1

Introdução

Os aparelhos DVR da marca Intelbras são os mais usados no mercado brasileiro. Portanto, a extração da maior quantidade possível de dados, além de vídeos, é de suma importância para a perícia. Atualmente, não há ferramentas que recuperem corretamente os logs presentes no disco.

Objetivos

Extrair logs do sistema de arquivo DHFS4.1[1], que estão presentes nos discos rígidos de DVRs da marca Intelbras a partir da versão 4.0 do firmware e de outros fabricantes que o utilizam.

Parte experimental

Na posição 0x114 do cabeçalho da primeira partição do sistema de arquivos DHFS4.1, em mais de trinta discos rígidos analisados, foi identificado o setor inicial do disco que contém um banco de dados que armazena logs no formato SQLite, que possui estrutura conforme [2]. Os dados de log de cada registro possuem o formato JSON. Há também outros arquivos presentes como arquivos temporários de diário de reversão do SQLite. Para recuperar todos os registros (logs) possíveis, foi realizado o procedimento de carving a partir da assinatura JSON desses registros. Em seguida os dados recuperados foram comparados com os registros de eventos extraídos pela interface do aparelho tanto com o disco rígido conectado quanto desconectado.

Resultados e Discussões

Observou-se que há eventos que são gravados exclusivamente na memória interna do aparelho, como datas e horários em que o aparelho foi ligado/desligado e informações do disco rígido e da rede. Contudo, do disco rígido foram recuperadas diversas informações como: acessos, alterações de configurações, vídeos visualizados, perda de sinal de câmeras, detecções de movimento. Estes logs só estavam presentes na interface do aparelho quando o disco rígido estava conectado. Também foram recuperados registros corrompidos, logo é necessária uma análise pelo perito para interpretar corretamente os resultados.

Conclusões

Os dados recuperados são relevantes e úteis em diversos contextos periciais, como por exemplo: quando apenas foi encaminhado o disco rígido, analisar o comportamento do equipamento, identificar possíveis alterações nas configurações do equipamento.

Referências e agradecimentos

[1] SANTOS, D. A. Q. Extração de dados do sistema de arquivos DHFS4.1. In: Conferência Internacional de Ciências Forenses, 5., 2021, Foz do Iguaçu. Anais eletrônicos. Interforensics, 2021. p. 54-54.
[2] HOOGENDOORN, I.; BREUK, R. The forensic reliability of recorded video images on digital video recorders by Dahua Technology. 2012. Disponível em: https://bit.ly/3Llpfti. Acesso em: 30 abr. 2023.

Palavras Chave

extração de dados, engenharia reversa, DVR

Arquivos

TRABALHO CIENTÍFICO

Área

ICCyber

Instituições

Polícia Científica do Paraná - Paraná - Brasil

Autores

DAVI AZEVEDO DE QUEIROZ SANTOS