Resposta Quiz Forense: Após renomear um arquivo, o hash deste arquivo é alterado?

Na verdade, o primeiro post da categoria Quiz envolve duas perguntas:

1 – Após renomear um arquivo, o hash deste arquivo é alterado?

2 – Após renomear um arquivo, o hash do disco é alterado?

É um cenário bem interessante do ponto de vista didático, pois diz respeito a vários conceitos básicos da área de Computação Forense: sistemas de arquivo, metadados, hash.

Após renomear um arquivo, o hash deste arquivo é alterado?

A resposta é NÃO. As ferramentas que aplicam o algoritmo gerador do hash tomam como conteúdo ou entrada para cálculo apenas o espaço que compreende a área de dados do arquivo, esse não inclui metadados.

Ou seja, mesmo com a alteração da permissão, do nome, da localização (diretório), da data de acesso ou de outros atributos – que não façam parte dos blocos referentes aos dados do arquivo -, o valor do hash do arquivo continuará o mesmo. No entanto, basta um bit alterado no bloco referente aos dados do arquivo para que o valor do hash torne-se completamente diferente (lembra da capacidade de difusão/confusão?).

Após renomear um arquivo, o hash do disco é alterado?

A resposta é SIM. O hash do disco é calculado tomando como entrada todos os dados persistidos nesse, incluindo áreas alocadas para gravação de metadados de um arquivo. Dessa forma, qualquer alteração, desde a simples listagem de um diretório, até a alteração do nome de um arquivo, implicará na alteração do valor do hash do disco (aplicável a todos os sistema de arquivos modernos, como NTFS, EXT3, HFS/UFS).

O processo de cadeia de custódia está fortemente embasado no conceito de hash dado que o controle de alterações sobre o disco são baseados nos valores do hash calculados ao longo do tempo em que o disco é custodiado.

Referências:

http://www.forensicswiki.org/wiki/File_system

http://www.forensicswiki.org/wiki/Hashing

Até o próximo quiz!

5 thoughts on “Resposta Quiz Forense: Após renomear um arquivo, o hash deste arquivo é alterado?

  1. Eu fiquei encucado com a primeira pergunta…

    Tinha certeza que os algoritmos “olhavam” apenas o conteúdo e deixavam de lado os metadados, mas fiquei pensando se isso era o mais correto a ser feito…

    Não seria melhor fazer o hash do conteúdo do arquivo junto com seus atributos?

    1. Felipe, isso depende do escopo do qual precisa atestar a integridade dos dados.

      No cenário em que estamos falando, o que interessa realmente é a integridade do conteúdo do arquivo, se você irá salvá-lo com outro nome ou outra permissão, não faz diferença.

      Algumas ferramentas, como alguns Host IDS fazem controle de integridade em diferentes níveis, incluindo a checagem de integridade de metadados. Neste caso, há necessidade de monitorar a modificação de atributos (permissão, acessos, etc).

Comments are closed.