Herramientas de usuario
master_cs:analisis_forense:windows
Diferencias
Muestra las diferencias entre dos versiones de la página.
| Ambos lados, revisión anteriorRevisión previaPróxima revisión | Revisión previa | ||
| master_cs:analisis_forense:windows [2025/03/05 18:16] – thejuanvisu | master_cs:analisis_forense:windows [2025/03/05 18:37] (actual) – thejuanvisu | ||
|---|---|---|---|
| Línea 135: | Línea 135: | ||
| ===== Sistemas de Ficheros ===== | ===== Sistemas de Ficheros ===== | ||
| La jerarquía de almacenamiento es Bit > Byte > Sector > Cluster. El tamaño de los sectores y clusters se define en el encabezado del sistema de archivos. Los sistemas de archivos asignan espacio en el disco a los archivos en cluster completos. Generalmente se usan dos sitemas de archivos: FAT y NTFS. Cada uno de estos sistemas de archivos tienen diferentes parámetros que se definen en el encabezado del sistema de archivos. Cuando se borra un archivo quedan huecos en los sectores llamados Slack Space donde pueden quedar restos de los archivos que a veces se pueden recuperar mediante carving. | La jerarquía de almacenamiento es Bit > Byte > Sector > Cluster. El tamaño de los sectores y clusters se define en el encabezado del sistema de archivos. Los sistemas de archivos asignan espacio en el disco a los archivos en cluster completos. Generalmente se usan dos sitemas de archivos: FAT y NTFS. Cada uno de estos sistemas de archivos tienen diferentes parámetros que se definen en el encabezado del sistema de archivos. Cuando se borra un archivo quedan huecos en los sectores llamados Slack Space donde pueden quedar restos de los archivos que a veces se pueden recuperar mediante carving. | ||
| + | ==== Sistema FAT ==== | ||
| + | File Allocation Table, desarrollado en 1977 por Microsoft. Componentes clave: | ||
| + | * Sector de arranque | ||
| + | * BIOS Parameter Block (BPB): proporciona detalles para acceder al volúmen, como el tamaño del cluster que puede ir de un sector de 512Bytes hasta 128 Sectores de 65.536 Bytes | ||
| + | * información sobre el sistema de archivos | ||
| + | * Ubicación del inicio del volúmen | ||
| + | * Tabla de Asignación de Archivos (FAT): Actúa como mapa del dispositivo de almacenamoento, | ||
| + | * Libre (Unallocated) | ||
| + | * Asignados (Allocated) | ||
| + | * Fin de archivo (EOF) | ||
| + | * Defectuoso | ||
| + | * Región del directorio Raíz: Se ubica inmediatamente después de la región FAT | ||
| + | * Tiene tamaño fijo | ||
| + | * Contiene entradas para archivos y subdirectorios | ||
| + | * En FAT32 el directorio raíz se almacena en la región de datos, permitiendo expandirla cuando sea necesario. | ||
| + | * Región de datos | ||
| + | |||
| + | Desde el punto de vista forense: | ||
| + | * Comportamiento de eliminación de archivos: | ||
| + | * Al eliminar un archivo, el primer carácter de entrada de este pasa a ser 0xE5 | ||
| + | * El resto del archivo permanece intacto hasta que se sobreescriba la zona. | ||
| + | * Espacio Resiudal (Slack Space). Es lo que queda entre donde estaba el archivo y el resto del clúster. Si en un cluster caben 10 cosas y se quieren almacenar 11 cosas, se usan 2 clusters, quedando 9 secciones del segundo cluster libres | ||
| + | * Timestamp: Las fechas no son muy precisas, lo que es un problema para reconstruir la línea de tiempo y no se guarda la zona horaria. | ||
| + | * Almacenamiento del nombre de archivos: Los guarda en formato 8.3 (8 caracteres y extensión de 3 caracteres) | ||
| + | * Fat guarda como 2 veces, guarda una vez el nombre del archivo, por ejemplo, para InformeConfidencial.docx guarda un archivo INFORM~1.DOC y el nombre en otros archivos a parte. | ||
| + | * Recuperación de entradas FAT: Suele haber un FAT1 y un FAT2, reflejándose los cambios en FAT1 en FAT2 con mirroring | ||
| + | |||
| + | ==== NTFS ==== | ||
| + | New Technology File System, aparece con Windows NT 3.1 para optimizar el almacenaje en discos duros, mientras que FAT era para disquettes. NTFS guarda la información en unos archivos especiales que empiezan por $: | ||
| + | * Sector de Arranque de Partición (PBS): Ubicado al inicio del volúmen NTFS y almacenado en $$Boot | ||
| + | * MFT (Master File Table): El archivo $MFT reside en la zona MFT del área de datos y actua como la base de datos central de NTFS, registrando información de cada archivo y dato del volúmen. | ||
| + | * Eliminación Lógica: cuando se elimina un archivo, se marca esa zona como no usada en la MFT, siguiendo esos datos ahí. | ||
| + | * Slack Space: Similar al de FAT, pero en menor medida ya que los archivos pequeños pueden ser almacenados directamente en la MFT sin usar el cluster. | ||
| + | * Análisis de Volume Shadow Copy (VSC): Función de NTFS que crea copias de archivos o volúmenes. | ||
| + | * Permite recuperar versiones anteriores de archivos, incluyendo eliminados y modificados. | ||
| + | |||
| + | |||
| + | |||
master_cs/analisis_forense/windows.1741198596.txt.gz · Última modificación: 2025/03/05 18:16 por thejuanvisu
Herramientas de la página
