Resposta Quiz Forense: Fake Stego :) – Slack Spaces

A ideia do último post da categoria Quiz era escrever aqui (na resposta) sobre um assunto interessante na área de Forense: Slack Spaces. Entretanto, antes de falar destes, explico a estranha figura, conteúdo do post.

Alguns leitores podem não estar familiarizados com a tecnologia de codificação de informações em imagens 2d (QR Codes) e assim acabaram não entendendo a brincadeira. A propósito, parabéns ao Fábio pela resposta! :)

O QR Code não é uma tecnologia nova (mesmo), mas desde 2007 passou a ser bastante utilizada por aqui. No Wikipedia são descritas algumas aplicações (propaganda, cartão de visita, inventário, etc) assim como um pouco sobre a evolução da tecnologia.

O título serviu apenas como incentivo aos leitores interessados em Esteganografia e seus famigerados softwares detectores desta aplicação em imagens. Na verdade, não há esteganografia, muito menos um desafio. A imagem foi gerada por meio da API desenvolvida pelo Google para este fim. Clique aqui para visualizar a imagem gerada dinamicamente.

Enfim, há uma pergunta codificada na imagem (QR Code): Qual a diferença entre File Slack e RAM Slack?

Antes de explicar estes conceitos, faz-se necessário deixar claro as seguintes definições.

  • Setor: é uma subdivisão de uma das trilhas do disco, geralmente com 512 bytes.
  • Cluster: unidade básica de alocação em um sistema de arquivos.

Este último existe para facilitar o gerenciamento de dados em um FS, visto que, para gravar um arquivo, não se aloca setores individuais, mas grupos contínuos de setores, denominadas unidades de alocação (ou clusters). Assim, em um sistema de arquivos qualquer, definido com cluster de 4kB  – 4.096 bytes, tem-se 8 setores (8 x 512) por cluster.

Dessa forma, fica um pouco mais fácil entender os conceitos abaixo.

  • File Slack: corresponde ao espaço entre o final do conteúdo de um arquivo até o final do cluster em que este arquivo está alocado. Neste espaço é possível esconder dados (medida anti-forense), mesmo sendo tratado como espaço não-alocado pelo sistema.
  • RAM Slack: corresponde ao espaço localizado entre o final do arquivo e o final do setor em que esse está armazenado. Ele é chamado assim, pois os dados utilizados para preencher este espaço são escolhidos aleatoriamente da memória RAM, motivo pelo qual muitos acreditam ser possível extrair informações importantes desta área.

Para deixar mais claro, segue figura ilustrativa.

Slack spaces - Fonte: MS Technet

Referências

Setor de Disco

Unidade de alocação (cluster)

File Slack defined

File Slack Vs RAM Slack Vs Drive Slack

One thought on “Resposta Quiz Forense: Fake Stego :) – Slack Spaces

  1. Grande Alexandre, muito interessante o quiz via QR-Code.

    Gostaria de adicionar uma informação sobre RAM Slack:

    Os sistemas mais modernos da Microsoft (desde o Win98) quando gerenciam a alocação de memória não fazem mais esta escrita de dados randômicos da RAM, e sim 0x00 (0 em hexadecimal).

    A “Ram Slack” – em teoria – só pode ser encontrada em windows modernosquando programas que não dependem do OS para gerenciar a memória fazem isto (mal) sozinhos. mas é muito incomum desde o NT..

    [ ]s!

    S.S.

Comments are closed.