ClubEnsayos.com - Ensayos de Calidad, Tareas y Monografias
Buscar

Analisis Forense


Enviado por   •  13 de Septiembre de 2015  •  Trabajo  •  1.103 Palabras (5 Páginas)  •  347 Visitas

Página 1 de 5

Actividades[pic 1]

Trabajo: Recuperación de ficheros eliminados

El objetivo de esta actividad, es ver y entender de manera práctica lo que se ha explicado anteriormente. Durante su desarrollo, recuperaremos una serie de ficheros eliminados dentro de una partición FAT y visualizaremos los metadatos asociados a los mismos.

Antes de comenzar, es recomendable leer el artículo How FAT Works. En especial el apartado FAT Root Folder, donde se explica el esquema utilizado para almacenar las entradas del directorio raíz de una partición FAT. El artículo está disponible en:

http://technet.microsoft.com/es-es/library/cc776720%28v=ws.10%29 

Para realizar la práctica, vamos a utilizar los programas: AccessData FTK Imager, en su versión 3.1.x (No utilicéis la versión 2.9.x, pues no monta imágenes de dispositivos), WinHex, en su versión 16.6 y FOCA, en su versión 3.2 (también lo tenéis disponible en on-line en la web de Informática 64: http://www.informatica64.com/foca/).

Lo primero es descargar la imagen (en formato RAW) de la tarjeta que vamos a analizar, disponible en el aula virtual.

Una vez descargada la imagen y descomprimido el archivo, lo montamos haciendo uso de AccessData FTK Imager, y abrimos el dispositivo virtual creado con WinHex. Nos aparecerá entonces la siguiente pantalla:

[pic 2]

Como vemos, el propio programa ya ha reconocido que existen una serie de archivos los cuales han sido eliminados, y así nos lo marca. Ahora bien, como el objetivo de esta actividad es entender lo ya explicado, vamos a trabajar directamente con la entrada de la FAT denominada Root Folder.

Para ello seleccionaremos la carpeta (Root directory), en la imagen anterior ya se encuentra seleccionada, y como vemos nos aparecen cuatro entradas, de las cuales, las tres últimas son las que se corresponden con los archivos contenidos en la tarjeta.

En FAT12, al igual que en FAT16 y FAT32, cada una de las entradas de esta carpeta raíz ocupa 32 bytes, los cuales se distribuyen de la siguiente manera:

Root Folder Entry

Size

Description

Name

11 bytes

Name in 8.3 format.

Attribute byte

1 byte

Information about the entry.

Reserved

1 byte

Creation time and date

5 bytes

Time and date file was created.

Last access date

2 bytes

Date file was last accessed.

Reserved

2 bytes

Last modification time and date

4 bytes

Time and date file was last modified.

First cluster

2 bytes

Starting cluster number in the file allocation table.

File size

4 bytes

Size of the file.

Para saber qué archivos han sido eliminados solo nos tenemos que fijar en que el primer valor (hexadecimal) de su entrada:

Valor

Significado

0x00

La entrada se encuentra sin usar.

0xE5

El archivo al que hacer referencia la entrada ha sido eliminado.

0x05

El archivo al que hace referencia la entrada, comienza por el carácter «_», en hexadecimal (0xE5).

Una vez sabemos que entradas hacen referencia a archivos que han sido eliminados, solo tendremos que leer el resto del contenido de la misma para recuperarlos.

Por ejemplo, la segunda entrada de la carpeta raíz hace referencia al archivo «_ORMIGA.JPG», el cual se encuentra eliminado. Si seguimos leyendo el contenido de la entrada, podemos ver que el primer clúster del archivo es el dos (0200, se lee de derecha a izquierda) y que el tamaño del archivo es de 183.857 bytes.

...

Descargar como (para miembros actualizados) txt (7 Kb) pdf (733 Kb) docx (863 Kb)
Leer 4 páginas más »
Disponible sólo en Clubensayos.com