Quiz Forense: Após renomear um arquivo, o hash deste arquivo é alterado?

Esta foi uma questão muito interessante, do ponto de vista didático, proposto durante uma das apresentações que ocorreram no decorrer do curso de pós-graduação em Computação Forense, o qual estou cursando no Mackenzie.

O importante é entender, basicamente, dois pontos. Primeiro, como os dados (e metadados) de um arquivo são gravados no sistema de arquivos. Além disso, deve-se saber como as ferramentas (md5sum, por exemplo) realizam o cálculo do valor do hash.

Seguindo esta abordagem, pode-se chegar a outra questão, diferente da proposta no título deste post: Após renomear o arquivo, o hash do disco, no qual o arquivo é gravado, é alterado?

A fim de motivá-los em relação as pesquisas e leituras, segue abaixo algumas imagens bem ilustrativas em relação ao assunto. As imagens são baseadas no sistema de arquivos padrão do Linux, o ext2/3 (sabia que já está implementada a versão 4?), entretanto, basicamente a mesma metodologia é aplicável a outros sistemas, como o próprio NTFS.

Quem se habilita para comentar? :) Creio que muitos leitores já tenham conhecimento vasto sobre o assunto.

Atualização:

https://foren6.wordpress.com/2010/02/17/resposta-quiz-forense-apos-renomear-um-arquivo-o-hash-deste-arquivo-e-alterado/

4 thoughts on “Quiz Forense: Após renomear um arquivo, o hash deste arquivo é alterado?

  1. Se analisar o bloco ‘raw’ do filesystem o hash deve sim ser alterado, pois informações como data de alteração e último acesso são alteradas, mudando a estrutura do bloco do filesystem.

    O arquivo em si não é alterado, pois a ‘estrutura interna’ do mesmo não é alterado, o nome do arquivo não é utilizado no cálculo do hash, e sim os ‘bytes’ que compõem o dito cujo.

Comments are closed.