PROCEDIMIENTO DE ADQUISICIÓN
Como ya se ha dicho el informático forense no trabaja con el soporte original, sino con una imagen a bajo nivel adquirida a partir del mismo.
DISCOS, PARTICIONES Y SISTEMAS DE ARCHIVOS
Una vez adquirido el soporte de datos y realizadas las copias de seguridad el investigador pasará segunda fase: análisis de los datos. Para ello, deberá estar familiarizado con las diferentes tecnologías de almacenamiento.
NTFS
Fue desarrollado por Microsoft para los primeros sistemas operativos. Si citamos a NTFS en primer lugar a ello se debe a que el investigador forense, se verá obligado a trabajar con este sistema con mayor frecuencia que con ningún otro.
FAT
Es el primer sistema de archivos de uso generalizado. FAT localiza los archivos a través de entradas de directorio que hacer referencia tanto a directorio a archivos.
ext2, ext3 y ext4
Estos sistemas de archivos se basan en conceptos del mundo Unix. El disco duro se divide en particiones y esta a su vez en grupos, que vienen a ser una especie de particiones pequeñas.
RECUPERACIÓN DE ARCHIVOS BORRADOS
Los ordenadores son máquinas diseñadas para gestionar información mediante procesos que se ejecutan en segundo plano y escapan al control del usuario. Muy pocos usuarios saben que los archivos borrados pueden volver a la vida.
No hay comentarios:
Publicar un comentario