Practica 3 - Deleted File Recovery
Enviado por Edgar Sandoval • 25 de Marzo de 2021 • Tarea • 423 Palabras (2 Páginas) • 99 Visitas
[pic 1]
- Vaya a Windows Explorer y abra la unidad "E:". Esta es la versión montada de la imagen sospechosa. Tenga en cuenta los archivos que están actualmente en la imagen.
[pic 2]
- Abra el editor hexadecimal "HxD".
- Seleccione Extras -> Open disk image, abra "Suspect_floppy_image - Copy.001". Está viendo Sector 0, el sector de arranque FAT para la imagen del disquete. Tenga en cuenta que el sistema de archivos "FAT12" se muestra claramente.
[pic 3]
- Seleccione View -> Offset base y cámbielo a Decimal.
[pic 4]
- Vaya al Sector 19. Este es el comienzo de la Tabla de Asignación de Archivos (FAT). Almacena los metadatos del archivo, como el tamaño, la hora de creación, la hora de modificación y el nombre del archivo y la ubicación física del archivo en la unidad.
[pic 5]
Parcialmente en el Sector 20, verá un archivo que comienza con el carácter hexadecimal E5. Esto indica un archivo eliminado. En un sistema de archivos FAT, el primer carácter de un archivo eliminado se reemplaza por Å y la ubicación del archivo se establece en cero, marcando, así como está disponible.
Seleccione el carácter ASCII (Å), que corresponde al E5 HEX y reemplácelo con una "B".
[pic 6]
- Seleccione File -> Save as y guarde este archivo con el nombre "Recovered_floppy image.001".
- Regrese a FTK Imager, use la herramienta de montaje para montar la "imagen Recovered_floppy.001" de la misma manera que montó la imagen original.
[pic 7]
- Abra la unidad F: en el Explorador de Windows. Tenga en cuenta los archivos que están ahora en la imagen. ** NOTA: El nuevo archivo "bomb.txt" ahora es visible con todos sus metadatos. Sin embargo, la ubicación física del archivo todavía está puesta a cero en la tabla FAT. Entonces no podremos abrir este archivo. **
[pic 8]
- Vuelva a FTK Imager y cierre la utilidad de montaje de la imagen.
- Seleccione File -> Add Evidence Item.
- Seleccione Imagen File y busque el archivo "Recovered_floppy image.001" y haga clic en Finish.
[pic 9]
- El generador de imágenes FTK recupera automáticamente la ubicación del archivo eliminado y lo muestra. Busque en la carpeta raíz el contenido de la imagen.
[pic 10]
- Anota tus conclusiones sobre la recuperación de archivos:
Me parece que es una práctica muy interesante, ya que yo no conocía acerca de que el inicio E5 de un archivo indicaba que un archivo había sido borrado, y tampoco sabía acerca de que podemos restablecer los metadatos para volverlo visible, sin duda fue una práctica muy útil e interesenta y que me deja buenos conocimientos.
...