Recuperación de información en sistemas de ficheros

Abstract

El análisis forense de ordenadores es una disciplina de la informática que se ocupa de asuntos relacionados con la aplicación de las leyes en el ámbito público. Este análisis, que se realiza en ordenadores y otros dispositivos informáticos, tiene fines jurídicos y es fundamental garantizar la integridad de la información extraída. La recuperación de archivos es un componente crucial del análisis forense y también encuentra aplicación en dispositivos defectuosos. Para este propósito, existen diversas técnicas y herramientas para recuperar datos, que van desde simples restauraciones de la papelera de reciclaje hasta operaciones de recuperación de disco más complejas. En este trabajo, investigará varios sistemas de archivos, pero nos centramos en el sistema FAT por ser el más utilizado en ”pendrives”. Para este sistema, estudiamos las ventajas y limitaciones de varias técnicas, utilizando herramientas de código abierto. El resultado de este trabajo será una herramienta con las siguientes funcionalidades: -Acceso a los clústeres en crudo, además de otras técnicas como el ‘File carving’. -Recuperación de información del sistema, como la tabla de particiones MBR, y otros ficheros como el ‘Bash history’. Esta herramienta presenta un peligro en unidades de almacenamiento desechadas conteniendo información confidencial, por ello se estudiará el borrado de los bytes de una unidad, conocido como ‘File wiping’, en conjunción con esta herramienta.

Computer forensics is a computer science discipline that deals with law enforcement issues in the public domain. This analysis, which is performed on computers and other computing devices, is for legal purposes and it is essential to ensure the integrity of the information extracted. File recovery is a crucial component of forensic analysis and also finds application in defective devices. For this purpose, various techniques and tools are available to recover data, ranging from simple recycle garbage can restores to more complex disk recovery operations. In this bachelor thesis, we investigate several file systems, but we focus on the FAT system because it is the most commonly used on pen drives. For this filesystem, we study the advantages and limitations of various techniques, using open source tools. The result of this work will be a tool with the following functionalities: -Access to raw clusters, in addition to other techniques such as ’File carving’. -Retrieval of system information, such as the MBR partition table, and other files such as ’Bash history’. This tool presents a danger on discarded storage drives containing sensitive information, so the deletion of bytes from a drive, known as ’File wiping’, will be studied in conjunction with this tool.