Introduccion a la Informatica Forense
Posteado: viernes, 6 de agosto de 2010 by Franco Di En Secciones: Informatica forense, Papers
0
El cómputo forense, también llamado informática forense, computación forense, análisis forense digital o examinación forense digital es la aplicación de técnicas científicas y analíticas especializadas a infraestructura tecnológica que permiten identificar, preservar, analizar y presentar datos que sean válidos dentro de un proceso legal.
Dichas técnicas incluyen reconstruir el bien informático, examinar datos residuales, autenticar datos y explicar las características técnicas del uso aplicado a los datos y bienes informáticos.
Recuperando Datos de la Papelera de Reciclaje
La papelera de reciclaje es un area de almacenamiento de la memoria que se guardan los archivos antes de que sean eliminados de una particion.
Directorio de almacenamiento Real:
El directorio real donde se almacenan los archivos que están en la Papelera de reciclaje varía de acuerdo al sistema operativo o al sistema de archivos que tenga la partición. Así, en el sistema de archivos FAT (usado típicamente en sistemas windows 9x), el directorio se ubica en X:\RECYCLED (siendo X una letra de la unidad cualquiera), mientras que en el sistema de archivos NFTS y en Windows NT/2000/XP esta se encuentra en X:\RECYCLER (siendo X una letra de la unidad cualquiera), con excepción de windows vista el cual guarda los archivos en el directorio X:\$Recycle.Bin.
¿Como trabaja la papelera de reciclaje?
Los archivos que están guardados en la Papelera de reciclaje (y por ende, en el directorio real) son renombrados como Dxy.ext, donde x es la letra de la unidad donde se encontraba este archivo (tales como "c", "d", etc.); y es un número, asignado de forma secuencial partiendo del cero; y ext es la extensión original del archivo. Sin embargo, el nombre original es mostrado en la Papelera, esto porque se crea un archivo oculto sin extensión llamado "info2" ("info" en Windows 95) que almacena el nombre y la ubicación original.
en el caso de que se quisiera recuperar el archivo eliminado (por medio del comando Restaurar este elemento).
Fuente Wikipedia :)
Para seguir con este tutorial, vamos a hacer uso de dos herramientas, una que nos permite ver todos los archivos que fueron eliminados de la papelera de reciclaje llamda Restoration, que la pueden descargar de AQUI...
La otra herramienta se llama Refiuti, que es una herramienta que permite saber cuando fue eliminado un archivo, que es de vital importancia para este tema en el que nos estamos adentrando. El refiuti, lo podemos descargar de AQUI.
Una vez descargado e instalado el Restoration, lo abrimos, y nos va a aparecer una pantallita como esta.
Cuando veamos esta pantallita, daremos click en el boton Search Deleted Files, esto nos buscara todos los archivos borrados.
Esto es todo de esta herramienta, ahora pasaremos a usar rifiuti, que ya dijimos para que servia, cuando lo instalamos, lo desconmprimimos en system32 para tocar en la consola de comandos rifiuti y ya poder acceder a esta.
Bueno, como ya dijimos (por mi parte como tengo XP) la ruta donde se encuentra mi carpeta de la papelera de reciclaje, es la siguiente. C:\Recycler y accedemos al SID de mi papelera que es el siguiente
C:\RECYCLER\S-1-5-21-73586283-1202660629-725345543-500\
Muchos se estaran preguntando ¿Como averiguo el SID de la papelera de mi sistema?
Es facil: Si tenemos solo un usuario, vamos a MI PC --> Herramientas --> Opciones de carpeta --> Ver. y en la opciones que dice mostrar todos los archivos y carpetas ocultos, lo activamos.
Luego, en el mismo lugar y en Ocultar archivos por el sistema operativo,
Asi veriamos el SID de la papelera de nuestro S.O
Bueno ahora vamos a nuestra consola de cmd.exe y vamos a ejecutar el rifiuti
Colocamos este codigo
rifiuti C:\RECYCLER\S-1-5-21-73586283-1202660629-725345543-500\INFO2
y nos va a devolver algo como esto:
ahi veriamos la fecha de eliminacion y el tamaño del archivo que hay en la papelera.
Bueno, eso fue todo.. :). Despues sacare mas tutoriales acerca de este interesante tema que es la informatica forense.
Un saludo.
Dr [F]