Archivo

Archivo para la categoría ‘consultas’

Ficheros borrados

jueves, 21 de marzo de 2013 Comentarios desactivados

 

 Ayer me llevé la desagradable sorpresa de que me había desaparecido del disco duro un archivo importante, al pasar un recuperador de archivos me encuentro que es irrecuperable porque esta sobre-escrito un archivo para mi desconocido (F:User manualsXXXXfichero_buenoUserManual.pdf ) ¿Eso es un virus? ¿Un intruso? Hay otros archivos sobreescritos de la misma forma.

 

 

Lo más normal es que no sea un problema de intrusiones /virus , sino el funcionamiento normal de como gestionan los sistemas operativos los ficheros una vez que son borrados.

Por lo general en todos los sistemas operativos los discos duros y dispositivos de almacenamiento se dividen en dos “zonas”, por un lado los datos , que ocupan la mayoría del espacio y por otro la información adicional para acceder a estos, nombre, etc, esta zona se suele llamar en algunos casos “el directorio” . podemos pensar en que un disco duro es una biblioteca, que tiene por un lado estanterías con libros (datos) y  por otro a la entrada hay un archivador con fichas  (por autor, titulo, temática) que nos indican en que estantería esta el libro. (Nota esto es un símil muy básico en los sistemas operativos modernos es más complejo).

Cuando un fichero se borra muchas veces el sistema operativo marca como “libre” la zona de datos y por otro lado solo pone una “muesca” en la información de directorio diciendo que el fichero ha sido borrado, pero no se borran los datos.E sto es lo que emplean muchos sistemas para recuperar ficheros borrados, analizan la información de la entrada de directorio para intentar recuperar los datos, ya que solo están marcados como borrados, pero los datos por lo general si no se escribe mucho en el disco siguen estando ahí.

Por otro lado el sistemas operativo intenta optimizar el espacio disponible del disco duro y eso hace que muchas veces al grabar información se use el espacio que antes ocupaba otro fichero, ya que le pilla “más  a mano” . (depende mucho del sistema operativo, versión, etc.), aunque en la información del directorio

En resumen de toda esta parrafada , lo más normal es que lo que haya pasado es que el fichero se haya borrado y después al instalar algún programa se haya sobre escrito la información , de forma que no se pueda recuperar.

Por eso es muy importante hacer copias de seguridad de la información importante  y guardar copias incrementales antiguas , ya que si solo mantenemos la ultima copia podemos haber borrado la información antes.

A nivel técnico los libros  “File System Forensic Analysis”,de Brian Carrier , http://www.digital-evidence.org/fsfa/  y Forensic Discovery   de Dan Farmer y Wietse Venema (disponible ya en PDF), describen en profundidad los sistemas de ficheros de los principales sistemas operativos, así como herramientas que se pueden utilizar a bajo nivel para analizar estos.

 

Ficheros borrados

jueves, 21 de marzo de 2013 Comentarios desactivados

 

 Ayer me llevé la desagradable sorpresa de que me había desaparecido del disco duro un archivo importante, al pasar un recuperador de archivos me encuentro que es irrecuperable porque esta sobre-escrito un archivo para mi desconocido (F:User manualsXXXXfichero_buenoUserManual.pdf ) ¿Eso es un virus? ¿Un intruso? Hay otros archivos sobreescritos de la misma forma.

 

 

Lo más normal es que no sea un problema de intrusiones /virus , sino el funcionamiento normal de como gestionan los sistemas operativos los ficheros una vez que son borrados.

Por lo general en todos los sistemas operativos los discos duros y dispositivos de almacenamiento se dividen en dos “zonas”, por un lado los datos , que ocupan la mayoría del espacio y por otro la información adicional para acceder a estos, nombre, etc, esta zona se suele llamar en algunos casos “el directorio” . podemos pensar en que un disco duro es una biblioteca, que tiene por un lado estanterías con libros (datos) y  por otro a la entrada hay un archivador con fichas  (por autor, titulo, temática) que nos indican en que estantería esta el libro. (Nota esto es un símil muy básico en los sistemas operativos modernos es más complejo).

Cuando un fichero se borra muchas veces el sistema operativo marca como “libre” la zona de datos y por otro lado solo pone una “muesca” en la información de directorio diciendo que el fichero ha sido borrado, pero no se borran los datos.E sto es lo que emplean muchos sistemas para recuperar ficheros borrados, analizan la información de la entrada de directorio para intentar recuperar los datos, ya que solo están marcados como borrados, pero los datos por lo general si no se escribe mucho en el disco siguen estando ahí.

Por otro lado el sistemas operativo intenta optimizar el espacio disponible del disco duro y eso hace que muchas veces al grabar información se use el espacio que antes ocupaba otro fichero, ya que le pilla “más  a mano” . (depende mucho del sistema operativo, versión, etc.), aunque en la información del directorio

En resumen de toda esta parrafada , lo más normal es que lo que haya pasado es que el fichero se haya borrado y después al instalar algún programa se haya sobre escrito la información , de forma que no se pueda recuperar.

Por eso es muy importante hacer copias de seguridad de la información importante  y guardar copias incrementales antiguas , ya que si solo mantenemos la ultima copia podemos haber borrado la información antes.

A nivel técnico el libro “File System Forensic Analysis”,de Brian Carrier , http://www.digital-evidence.org/fsfa/ , describe en profundidad los sistemas de ficheros de los principales sistemas operativos, así como herramientas que se pueden utilizar a bajo nivel para analizar estos.