Ficheros

[2.1] ¿Cómo estudiar este tema?

[2.2] Dispositivos de almacenamiento

[2.3] Sistemas de ficheros

[2.4] Los archivos borrados

[2.5] Los metadatos de los archivos

[2.6] Ejemplo de recuperación de un archivo eliminado

2 TEMA
 Ficheros
Esquema

TEMA 2 – Esquema
Sistema de ficheros Archivos borrados Metadatos

Forma en que se organiza,

Datos que describen
gestiona y mantiene la NO se eliminan físicamente
otros datos

2
jerarquía de ficheros

Los programas NO tienen Sobrescritura =

Cada tipo de archivo puede
que conocer la ubicación irrecuperable parcial o
tener los suyos propios
física totalmente

Firmas de archivo:
Se puede asemejar al índice Prácticamente todos los
• Identifican al archivo
en un libro archivos pueden tener
• Independientes de la
extensión
Análisis Forense
 Análisis Forense

Ideas clave

2.1. ¿Cómo estudiar este tema?

En este tema de la asignatura vamos a introducir los conceptos necesarios para entender
todo el tratamiento de los ficheros que realiza un sistema operativo: cómo funcionan los
sistemas a la hora de estructurar la jerarquía de ficheros, la manera en la que los ficheros son
tratados cuando se borran y los metadatos que un fichero puede albergar.
Los objetivos de este tema son:

Conocer el funcionamiento general de un sistema de ficheros.

Entender el mecanismo que utilizan los sistemas de ficheros para eliminar un archivo.
Saber por qué es posible recuperar un archivo y qué tipos de recuperaciones existen.
Por último, conocer la importancia de los metadatos a la hora de realizar el análisis de
un archivo.

2.2. Dispositivos de almacenamiento

Dispositivo de almacenamiento
Conjunto de componentes utilizados para leer o grabar datos en un medio
de almacenamiento de datos.

Esta definición abarca un enorme conjunto de dispositivos, desde las históricas

tarjetas perforadas de cartulina, hasta los modernos discos SSD o Blu-ray.

Para facilitar la comprensión del temario, cuando nos refiramos a los dispositivos de
almacenamientos vamos a limitar tal definición a los dispositivos de almacenamiento
modernos como son los discos duros (magnéticos), sistemas de almacenamiento
basados en memorias tipo flash como los discos SSD, las tarjetas de memoria o los
pendrives y sistemas de almacenamientos ópticos como los CD, DVD o Blu-ray.

Los dispositivos de almacenamiento tienen un tipo de estructura interna, desde el

punto de vista lógico, que es necesario conocer para comprender en profundidad cómo

TEMA 2 – Ideas clave 3

 Análisis Forense

se almacena la información en los mismos y cómo podemos recuperarla o acceder a ella

cuando parezca imposible.

Las particiones

Particionar un dispositivo de almacenamiento significa dividir lógicamente el espacio

disponible en secciones a las que se puede acceder de manera independiente una de otra.
El espacio disponible en un dispositivo de almacenamiento se puede asignar a una única
partición, o bien, se puede dividir el mismo en varias particiones.

Participación
Es un área de un dispositivo que se puede formatear con un sistema de
archivos e identificar con una letra del alfabeto. Por ejemplo, la unidad C de la
mayoría de los equipos con Windows es una partición.

No hay ningún tipo de regla que indique cómo debe ser particionado un dispositivo
de almacenamiento, por lo que el esquema de particionado de un dispositivo suele estar
determinado por diversos motivos tales como la flexibilidad deseada, velocidad,
seguridad o las limitaciones propias del espacio disponible. Por norma general, es una
elección propia del usuario, salvo las particiones creadas por defecto durante la
instalación de un sistema operativo.

El esquema de particionado es almacenado en la tabla de particiones del dispositivo de

almacenamiento, para la cual, existen dos formatos hoy en día: Master Boot Record
(MBR) y GUID Partition Table (GPT).

El Master Boot Record comprende los primeros 512 bytes de un dispositivo de

almacenamiento y está reservado para el cargador del sistema operativo y la tabla de
particiones del mismo nombre.

El concepto de MBR nace en 1983 con el Sistema Operativo PC DOS 2.0 y sigue vigente
hasta nuestros días, aunque dada su antigüedad, las limitaciones de este tipo de tabla de
particiones se hacen cada vez más evidentes. Entre ellas, quizá la más notoria sea la
limitación del espacio de almacenamiento máximo direccionable a 2TB.

TEMA 2 – Ideas clave 4

 Análisis Forense

El código del gestor de arranque típico, en el Master Boot Record de Windows/DOS,

comprueba la tabla de particiones para buscar la partición activa que será a la que
trasfiera el control para que inicie el sistema operativo.

El gestor de arranque de Windows/DOS no puede arrancar una partición Linux, ya que

no está diseñado para cargar un kernel de Linux, y solo puede atender a una partición
activa y primaria, limitaciones que no afectan a GRUB (Grand Unified Bootloader), que
es el código del gestor de arranque de facto para GNU/Linux.

Originalmente, MBR solo admitía hasta cuatro particiones. Más tarde, se ampliaron al
introducir particiones lógicas para superar esta limitación. Existen tres tipos de
particiones: primaria, extendida y lógica.
Las particiones primarias pueden ser todas configuradas como particiones de
arranque y están limitadas a cuatro por dispositivo de almacenamiento o volumen
RAID. Si un esquema de particionado necesita más de cuatro particiones, se crea una
partición extendida que sirve para contener particiones lógicas. Las particiones
extendidas están pensadas para contener particiones lógicas. Un disco duro no puede
contener más de una partición extendida. La partición extendida también se cuenta como
una partición primaria, por lo que, si el disco tiene una partición extendida, solo son
posibles tres particiones primarias adicionales. El número de particiones lógicas que
pueden residir en una partición extendida es ilimitado.

En la tabla de particiones solo puede haber una partición extendida, la cual, en la tabla
de particiones se identifica porque en el campo donde se indica el ID del Sistema de
Ficheros de la partición tiene el valor 0x05 o 0x0F que la identifica como partición
extendida. El inicio de una partición extendida es exactamente una tabla de particiones
exactamente igual a la tabla de particiones del propio MBR.

De la lectura de la tabla de particiones de un MBR podemos obtener, por ejemplo,

particiones cuyo ID del Sistema de Ficheros no coincide con el Sistema de Ficheros real
de la partición, o cuyo ID sea incorrecto, provocando así que el sistema operativo no
pueda acceder a ellas, aunque contengan información.

En cuanto a GUID Partition Table (GPT), es un nuevo formato de particionado que

forma parte de la especificación Unified Extensible Firmware Interface (UEFI), que hace
uso de un identificador único global para los dispositivos y cuyo objetivo es sustituir al
sistema MBR.

TEMA 2 – Ideas clave 5

 Análisis Forense

Al contrario que MBR, en GPT no se hace uso de un código de arranque en ensamblador,

sino que el proceso de arranque se basa en las capacidades proporcionadas por la UEFI
para estos procesos. Aun así, suele ubicarse una tabla de particiones MBR en el primer
sector del dispositivo de almacenamiento con propósitos de protectividad y
compatibilidad con el viejo esquema BIOS PC, la GPT propiamente dicha comienza con
la cabecera de la tabla de particiones.

Aunque lo típico va a ser encontrar particiones en discos duros, también es posible

encontrar particiones creadas en tarjetas de memoria, pendrives o dispositivos de
almacenamiento similares.

2.3. Sistemas de ficheros

Sistema de ficheros
Es la forma en que se organiza, gestiona y mantiene la jerarquía de
ficheros en los dispositivos de almacenamiento.

El sistema de ficheros permite que los programas que pretenden acceder a los datos
contenidos en un dispositivo no tengan que conocer la ubicación física de dichos
datos, siendo necesario únicamente conocer la ruta de los archivos a los que se pretende
acceder, dejando al sistema de ficheros la labor de traducción.

Cuando se formatea un dispositivo, lo que se hace, entre otras cosas, es implantar un

nuevo sistema de ficheros en dicho dispositivo; siendo los más comunes: FAT32,
NTFS, Ext3/4 y HFS+, aunque hay muchos más.

Sistemas de ficheros más habituales según el sistema operativo

FAT32 y NTFS Sistemas operativos Windows

Ext3/4 Sistemas operativos Linux

HFS+ Sistemas operativos MAC OS

En el siguiente enlace puedes ver un listado de sistemas de ficheros:

http://en.wikipedia.org/wiki/List_of_file_systems

TEMA 2 – Ideas clave 6

 Análisis Forense

De manera muy simplificada, un sistema de ficheros lo podríamos interpretar como el

índice de un libro. En él aparecen todos los ficheros del dispositivo, su ubicación
y algunos datos más referentes al mismo (los cuales dependen del sistema de ficheros
utilizado). Este índice, nos proporciona un enlace a las páginas (los archivos) del libro.

Cuando pretendemos acceder a un fichero concreto, lo que hace el sistema operativo es

ir al índice, buscar el archivo concreto al que se pretende acceder y seguir el enlace que
apunta al comienzo del mismo.

Un esquema simplificado del funcionamiento de un sistema de ficheros sería:

Parte 3
Parte 1 Parte 2
Índice FIN

video.avi Parte 2
Parte 1
audio.mp3 FIN

documento.pdf Parte 1
FIN

Este esquema representa la parte que interesa de cara a la asignatura de un sistema de

ficheros. Para completar la información sobre los mismos tenéis más artículos en el
apartado «A fondo» del tema.

En el esquema anterior vemos como en la tabla índice (que en función del sistema de
ficheros empleado contendrá más o menos información y se encontrará estructurada de
una forma u otra) mantiene la lista de archivos del dispositivo (normalmente, los
sistemas de ficheros tratan las carpetas como un archivo «especial»). En esta tabla
índice, el sistema de ficheros mantiene un enlace a la primera parte de cada uno de
los archivos, la cual a su vez enlaza con la siguiente parte del archivo, hasta llegar al final
del mismo.

Hay que tener en cuenta, que lo que denominamos como «índice», es en realidad un
conjunto de archivos especiales en los cuales el sistema de ficheros mantiene dicha
información.

TEMA 2 – Ideas clave 7

 Análisis Forense

Por ejemplo, para un sistema de ficheros FAT32, el conjunto de archivos que lo

componen es:

Boot Sector.
FAT1 y FAT 2 (copia de la FAT1).
Root folder y entradas de directorio.

2.4. Los archivos borrados

Para explicar cómo los sistemas de ficheros «borran» los archivos y cómo posteriormente
podemos recuperarlos, vamos a basarnos en un ejemplo.

Imaginad que tenemos un archivo de vídeo en alta definición que ocupa 2GB de espacio
en nuestro disco duro. Este archivo se encontrará dividido en distintas partes a lo largo
del dispositivo tal que así:

... Parte n
Parte 1 Parte 2
Índice FIN

video.avi

Cuando eliminamos dicho archivo, lo que estamos haciendo no es eliminarlo

físicamente del dispositivo, si no marcar dicho archivo como eliminado, indicar que
el espacio ocupado por el mismo está libre, borrar el enlace a la primera parte del
mismo, eliminar la definición del archivo del índice o varias de estas opciones, todo ello
en función del sistema de ficheros utilizado.

El índice quedaría de manera similar a esta:

TEMA 2 – Ideas clave 8

 Análisis Forense

... Parte n
Parte 1 Parte 2
Índice FIN

video.avi

Por ejemplo, en un sistema de ficheros FAT32, cuando se elimina un archivo lo que se

hace es indicar en la tabla FAT1, que los clústeres ocupados por dicho archivo se
encuentran ahora disponibles, pero si leemos los datos de la carpeta donde dicho archivo
se encontraba (o accedemos al root folder si se encontraba en el directorio raíz), vemos
que dicho archivo sigue existiendo.

Clúster
Es un conjunto contiguo de sectores que componen la unidad más
pequeña de almacenamiento de un disco.

Vamos a verlo mejor con un ejemplo (en el ejemplo vamos a trabajar sobre un FAT16).
Contenido de la tabla FAT1 antes de borrar el único archivo contenido en el directorio
raíz del dispositivo:

Las dos primeras entradas de la FAT (coloreadas en rojo) son utilizadas por el propio
sistema de archivos. La tercera entrada (correspondiente con el clúster 2 y coloreada en
verde) está marcada como utilizada y la cuarta entrada (correspondiente con el clúster 3
y coloreada en naranja) también está marcada como utilizada, siendo además el último
clúster del archivo.

TEMA 2 – Ideas clave 9

 Análisis Forense

Contenido de la tabla FAT1 tras la eliminación del único archivo contenido en el

dispositivo:

Como vemos, la tercera y cuarta entrada (coloreadas en azul), que antes se correspondían
con los clúster utilizados por el archivo, se encuentran marcadas ahora como
disponibles.

Ahora vamos a ver el contenido del root folder antes de borrar el archivo.

Como vemos, indica que hay un archivo denominado «BALLOON», con extensión
«JPG» que ocupa 971bytes (en azul claro está coloreado CB03, que leyendo al revés es
03CB = 971 en decimal) y que comienza en el clúster 2 (lo indica el valor 02 del offset
00040010A).

Ahora vamos a ver el contenido del root folder tras la eliminación del archivo.

Como vemos, el contenido es el mismo salvo por el primer registro (coloreado en rojo)
que ahora tiene el valor E5, eliminado. Es por ello, que si recuperáramos el archivo lo
recuperaríamos con el nombre «_ALLOON.JPG», ya que hemos perdido el primer
carácter del nombre.

El motivo por el cual no se elimina físicamente el archivo, es que este proceso

implicaría llenar de ceros (o cualquier otro valor irrelevante) la zona del dispositivo

TEMA 2 – Ideas clave 10

 Análisis Forense

donde se encontraba dicho archivo, lo que conllevaría mucho tiempo y desgaste del
propio dispositivo.
Ahora bien, tras el «borrado» de un archivo, el espacio que dicho archivo ocupaba pasa
a encontrarse como disponible. Por lo tanto, es posible que parte de dicho espacio sea
sobrescrito en operaciones de escritura posteriores quedando el fichero inicial
irrecuperable parcial o completamente.

... Parte n
Parte 1 Parte 2
Índice FIN

Parte 1
video.avi

video2.avi

En el dibujo anterior, la primera parte del archivo «video2.avi» ha sobrescrito la segunda

parte del archivo «video.avi», lo que ha provocado que se pierda el enlace al resto de
partes de dicho archivo. Por lo tanto, en este caso particular solo se podría recuperar
parcialmente el archivo «video.avi».

Ejemplo de una imagen en formato JPG recuperada parcialmente:

Imagen original Recuperación parcial

Veamos con una tabla los posibles escenarios existentes tras la eliminación de un archivo
y la información que se podría recuperar en cada uno de ellos.

TEMA 2 – Ideas clave 11

 Análisis Forense

Información que se puede

Acción Resultado
recuperar

El archivo se mueve a la
Toda (el archivo eliminado y los
Eliminación papelera de reciclaje (o
datos asociados al mismo)
similares)

Si se marca como eliminado,

El archivo se marca como
borrado en la tabla de
Eliminación y vaciado de la
índice, se elimina el enlace
papelera (o similares)
al mismo o se elimina su
definición de la tabla
toda.
Si se elimina el enlace o su
definición en el índice, solo el
archivo, sin los datos asociados
al mismo

Eliminación, vaciado de la
Similar a borrar el enlace al
papelera (o similares) y Solo el archivo, sin los datos
archivo o eliminar su
sobrescritura del enlace del asociados al mismo
definición de la tabla
índice

Eliminación, vaciado de la
papelera (o similares) y
sobrescritura de los datos
En función de la cantidad de
Las zonas físicas donde se
información sobrescrita, es
encontraba el archivo han
posible recuperar una parte del
sido sobrescritas
archivo o no recuperar nada

Salvo para los archivos enviados a la papelera de reciclaje (o similares), cuya

recuperación consiste en extraer dichos archivos de la papelera, que comúnmente es un
directorio («$Recycle.Bin\[SID del usuario]\», en el caso de Windows 7), para el resto
de escenarios es necesario el uso de programas de recuperación de archivos.

Las firmas de los archivos

Hemos comentado que cuando eliminamos un archivo no se elimina

físicamente, si no que alteramos el índice para indicar que ese archivo ya no existe.
Ahora bien, ¿cómo recuperan estos archivos los programas de recuperación? La
respuesta está en las firmas de los archivos.

Prácticamente todos los archivos tienen una cabecera o firma que los identifica. Esta
firma se encuentra al principio del archivo y es independiente de la extensión que
dicho archivo tenga asignada. Una imagen con extensión .JPG puede tener una cabecera
de una imagen PNG, por lo que en realidad estaríamos ante una imagen PNG.

Algunas de las firmas de los tipos de archivos más comunes son:

TEMA 2 – Ideas clave 12

 Análisis Forense

Firma (Hexadecimal) Firma (ASCII) Tipo de archivo

4D 5A MZ Ejecutable (*.EXE)

50 4B 03 04 PK.. Comprimido (*.ZIP)

52 61 72 21 1A 00 00 Rar!... Comprimido (*.RAR)

89 50 4E 47 0D 0A 1A 0A .PNG.... Imagen (*.PNG)

FF D8 FF E0/E1/E8 ÿØÿà/á/è Imagen (*.JPG)

D0 CF 11 E0 A1 B1 1A E1 ÐÏ.ࡱ.á Documentos MS Office

Para ver la firma de un archivo, solo tenemos que abrir dicho archivo con un editor
hexadecimal. La firma se encuentra (por norma general) al principio del mismo, aunque
la longitud de la misma suele variar.

Aquí vemos la firma de un archivo de imagen en formato JPG abierto con un editor
hexadecimal:

Los programas de recuperación de archivos trabajan de dos formas diferentes:

La primera de ellas se utiliza cuando en el índice todavía existen referencias a

archivos que han sido borrados, aunque indique que dicho espacio está libre (es el
caso del ejemplo explicado anteriormente para FAT16). El programa de recuperación
de archivos, lee el índice, va a la posición donde este indica que se encuentra el archivo
y lo recupera.

La otra manera, denominada recuperación en bruto, consiste en leer los espacios

del disco duro marcados como libres en el índice del sistema de ficheros y buscar
en dichos espacios firmas de archivos conocidas, de manera que cuando encuentre
una de estas firmas, sabemos que lo que viene a continuación es un archivo.

TEMA 2 – Ideas clave 13

 Análisis Forense

El problema que tiene este tipo de recuperación, es que no sabemos dónde

termina el archivo, a no ser que dicho tipo de archivo tenga también una firma de
fin de archivo (FF E9 en el caso de un archivo JPG).

2.5. Los metadatos de los archivos

Metadatos
Son datos que describen otros datos. En el ámbito de la informática, cuando
hablamos de metadatos nos referimos a los datos asociados a los archivos que
aportan información sobre los mismos.

Algunos ejemplos de metadatos que nos podemos encontrar son:

Metadatos asociados a una imagen Metadatos asociados a un MP3

Como vemos, cada tipo de archivo tiene unos metadatos asociados distintos, aunque
algunos de ellos se compartan como pueden ser las fechas de creación y modificación,
el autor o una descripción del archivo.

TEMA 2 – Ideas clave 14

 Análisis Forense

Aunque prácticamente todos los tipos de archivos pueden contener metadatos, los
archivos en los que más fácilmente se encuentran son: los documentos ofimáticos (hojas
de cálculo, documentos de texto…), las fotografías, los archivos de vídeo y audio y los
mensajes de correo electrónico (las cabeceras del mensaje).

El análisis de los metadatos puede realizarse desde el propio sistema operativo (en
Windows basta con ver las propiedades del archivo), utilizando programas de terceros
(como Metadata Analyzer) o webs (como FOCA on-line, que también tiene su versión
off-line) que realizan el análisis de manera automática.

Un ejemplo de la información que se puede obtener de los metadatos de un documento

y las implicaciones que dichos metadatos pueden acarrear lo encontramos en un dossier
sobre la seguridad en Iraq y organizaciones de inteligencia publicado por el gobierno del
Reino Unido.

En febrero de 2003, el gobierno del Reino Unido publicó un dossier sobre la seguridad en
Iraq y organizaciones de inteligencia. El documento se publicó en formato DOC en la propia
web del gobierno Británico y del análisis de los metadatos que contenía se obtuvo:

Que el documento había sufrido diez revisiones.

Rev. #1: "cic22" edited file "C:\DOCUME~1\phamill\LOCALS~1\Temp\AutoRecovery

save of Iraq - security.asd"

Rev. #2: "cic22" edited file "C:\DOCUME~1\phamill\LOCALS~1\Temp\AutoRecovery

save of Iraq - security.asd"

Rev. #3: "cic22" edited file "C:\DOCUME~1\phamill\LOCALS~1\Temp\AutoRecovery

save of Iraq - security.asd"

Rev. #4: "JPratt" edited file "C:\TEMP\Iraq - security.doc"

Rev. #5: "JPratt" edited file "A:\Iraq - security.doc"

Rev. #6: "ablackshaw" edited file "C:\ABlackshaw\Iraq - security.doc"

Rev. #7: "ablackshaw" edited file "C:\ABlackshaw\A;Iraq - security.doc"

Rev. #8: "ablackshaw" edited file "A:\Iraq - security.doc"

Rev. #9: "MKhan" edited file "C:\TEMP\Iraq - security.doc"

Rev. #10: "MKhan" edited file "C:\WINNT\Profiles\mkhan\Desktop\Iraq.doc"

TEMA 2 – Ideas clave 15

 Análisis Forense

Que justo antes de la utilización de dicho documento por parte de Colin Powell en un
discurso ante las Naciones Unidas, uno de los autores había copiado el informe de su
ordenador a un disquete para que Powell lo utilizara en la presentación.

Se obtuvo información sobre los autores del mismo: «P. Hamill», «J. Pratt», «A.
Blackshaw» y «M. Khan». Pudiendo averiguar, a partir de sus nombres, cuál era su
cargo y lugar de trabajo. Además, se descubrió que gran parte dicho documento había
sido plagiado de los documentos de un investigador estadounidense.

Todo esto puede sonar a película de acción, pero es real y demuestra la información
que los metadatos pueden proporcionarnos durante nuestra labor de investigación.

2.6. Ejemplo de recuperación de un archivo eliminado

Para aclarar los conocimientos adquiridos a lo largo de este tema, vamos a ver un sencillo
ejemplo de cómo un programa recupera de forma automática un archivo
eliminado.

Para ello, vamos a realizar paso a paso los procesos que el programa de recuperación
realiza de forma automática, sobre una imagen preparada para tal propósito. En este
caso, estamos trabajando sobre un Sistema de Ficheros FAT. Por lo que, aunque el
procedimiento sería similar en otros Sistemas de Ficheros, no tiene por qué coincidir.

El primer paso consiste en leer el contenido del directorio raíz del dispositivo a analizar.
Obteniendo algo similar a lo que se observa en la siguiente imagen:

Como se observa, aparecen cuatro entradas, de las cuales, las tres últimas son las que se
corresponden con los archivos contenidos en el dispositivo, mientras que la primera sería
el nombre del volumen FAT (esto es así en FAT pero, como ya hemos comentado al inicio,
no tiene por qué serlo en otros sistemas de ficheros).

TEMA 2 – Ideas clave 16

 Análisis Forense

En FAT, cada una de las entradas de esta carpeta raíz ocupa 32 bytes, los cuales se
distribuyen de la siguiente manera:

Root Folder Entry Size Description

Name 11 bytes Name in 8.3 format.
Attribute byte 1 byte Information about the entry.
Reserved 1 byte
Creation time and date 5 bytes Time and date file was created.
Last access date 2 bytes Date file was last accessed.
Reserved 2 bytes
Last modification time
4 bytes Time and date file was last modified.
and date
First cluster 2 bytes Starting cluster number in the file allocation table.
File size 4 bytes Size of the file.

Para saber qué archivos han sido eliminados solo nos tenemos que fijar en que el primer
valor (hexadecimal) de su entrada:

Valor Significado
0x00 La entrada se encuentra sin usar.
0xE5 El archivo al que hacer referencia la entrada ha sido eliminado.
El archivo al que hace referencia la entrada, comienza por el carácter «_», en
0x05
hexadecimal (0xE5).

Por lo tanto, de la lista de entradas del directorio raíz podemos ver que dos de las tres
entradas se encuentran eliminadas. Estas entradas se corresponden con los archivos
«?ORMIGA» y «?EADOW».

TEMA 2 – Ideas clave 17

 Análisis Forense

Siendo la información disponible sobre dichos archivos, la siguiente:

Como se observa, se pueden ver las fechas de creación, último acceso y modificación.
Además del clúster en el cual comienzan y el tamaño de los archivos.

TEMA 2 – Ideas clave 18

 Análisis Forense

Una vez sabemos el clúster de inicio y el tamaño del archivo, es posible calcular el clúster
final mediante una sencilla operación matemática.

Por ejemplo, para el primero de los registros indicados, el archivo “_ORMIGA.JPG”

sabemos que empieza en el clúster número 2 y que su tamaño total es de 183.857 bytes.
Si el tamaño del clúster es de 8 sectores y cada sector tiene un tamaño de 512bytes (toda
esta información se encuentra en el sector de arranque de la partición FAT) el número
de clúster ocupados por el archivo sería:

183.857bytes / 512bytes = 359,09  360 sectores

360 sectores / 8 sectores por clúster = 45 clúster

Por lo tanto, el archivo ocupa desde el sector 2 al sector 46. En total, 45 clúster.

TEMA 2 – Ideas clave 19

 Análisis Forense

Lo + recomendado

Lecciones magistrales

El borrado de archivos en un sistema de ficheros NTFS

En esta lección magistral veremos cómo realiza el borrado de archivos un sistema de

ficheros NTFS y cómo es posible realizar la recuperación de los mismos.

La clase magistral está disponible en el aula virtual.

No dejes de leer…

File system forensic analysis

Carrier, B. (2005). File system forensic analysis. Massachusetts: Addison-Wesley

Professional.

El libro analiza el funcionamiento y la manera en que se deben abordar los análisis

forenses en distintos sistemas de ficheros. Aunque es de 2005, la mayoría de los
conceptos tratados son aplicables a los últimos sistemas de ficheros creados.

TEMA 2 – Lo + recomendado 20
 Análisis Forense

How FAT Works

Microsoft. (10 de agosto de 2009). How FAT Works.

En el artículo How FAT works, publicado por Microsoft, se explica la arquitectura y los
componentes de este sistema de ficheros de los que hemos hablado a lo largo de todo este
tema.

Accede al artículo a través del aula virtual o en la siguiente dirección web:

https://technet.microsoft.com/en-us/library/cc776720(v=ws.10).aspx

How NTFS works

Microsoft. (10 de agosto de 2009). How NTFS Works.

Este otro artículo, How NTFS works, y publicado también por Microsoft explica la
arquitectura y los componentes básicos de este sistema de ficheros.

Accede al artículo a través del aula virtual o en la siguiente dirección web:

https://technet.microsoft.com/en-us/library/cc781134(v=ws.10).aspx

An Analysis of Ext4 for Digital Forensics

Fairbanks, K. D. (2012). An Analysis of Ext4 for Digital Forensics. Digital Investigation,

9, S118-S130.

En el artículo de Kevin D. Fairbanks, An analysis of Ext4 for Digital Forensics, donde

realiza un estudio a bajo nivel del sistema de ficheros Ext4.

Accede al artículo a través del aula virtual o en la siguiente dirección web:

https://www.dfrws.org/sites/default/files/session-files/paper-
an_analysis_of_ext4_for_digital_forensics.pdf

TEMA 2 – Lo + recomendado 21
 Análisis Forense

Decoding the APFS file system

Hansen, K. H. y Toolan, F. (2012). Decoding the APFS file system. Digital Investigation,
1-26. Doi: 10.1016/j.diin.2017.07.003

En este artículo, Kurt H. Hansen y Fergus Toolan realizan un estudio del nuevo sistema
de ficheros Apple File System.

Accede al artículo a través del aula virtual o en la siguiente dirección web:

http://cyberforensicator.com/wp-
content/uploads/2017/11/DIIN_698_Revisedproof.1-min-ilovepdf-compressed.pdf

Document Metadata, the Silent Kiler…

Pesce, L. (2008). Document Metadata, the Silent Kiler… Bethesda (Estados Unidos):
SANS Institute.

En este documento publicado por SANS Institute, entidad de referencia en la auditoría

informática, se describen algunos de los metadatos más típicos y la importancia de estos.

Accede al documento a través del aula virtual o en la siguiente dirección web:

https://www.sans.org/reading-room/whitepapers/privacy/document-metadata-silent-
killer-32974

TEMA 2 – Lo + recomendado 22
 Análisis Forense

No dejes de ver…

Seguridad informática

El vídeo contiene un coloquio de Chema Alonso, conocido consultor de seguridad de la

empresa Informática 64, en el cual pone de manifiesto la problemática de los metadatos
en los archivos.

El vídeo completo está disponible en el aula virtual o en la siguiente dirección web:

http://www.youtube.com/watch?v=y9gTqW5HB8Q
http://www.youtube.com/watch?v=IDgfhAOR4nc

TEMA 2 – Lo + recomendado 23
 Análisis Forense

+ Información

Webgrafía

Funcionamiento interno de los ficheros

En las siguientes páginas web podéis encontrar información sobre el funcionamiento

interno de los sistemas de ficheros más comunes.

FAT32 Structure Information (http://home.teleport.com/~brainy/fat32.htm)

FAT Technical Reference:

(http://technet.microsoft.com/es-es/library/cc758586%28v=ws.10%29)

NTFS Technical Reference:

(http://technet.microsoft.com/es-es/library/cc758691%28v=ws.10%29)

Understanding EXT4
(http://digital-forensics.sans.org/blog/2010/12/20/digital-forensics-
understanding-ext4-part-1-extents/)

HFS Plus Volume Format:

(http://developer.apple.com/legacy/mac/library/#technotes/tn/tn1150.html)

Bibliografía

Carrier, B. (2005). File Systems Forensics Analysis. Michigan: Addison Wesley

Professional.

Craiger, P. y Burke, P. K. (2005). Mac Forensics: Mac OS X and the HFS+ File System.
Extraído el 12 de febrero de 2013 desde:
http://citeseerx.ist.psu.edu/viewdoc/download?doi=10.1.1.182.6018&rep=rep1&type=pdf

Eckstein, K. (2004). Forensics for Advanced UNIX File Systems. Extraído de:
http://www.researchgate.net/publication/4147570_Forensics_for_advanced_UNIX_f
ile_systems

TEMA 2 – + Información 24
 Análisis Forense

Actividades

Trabajo: Dispositivos de almacenamiento y archivos eliminados

Descripción y pautas de la actividad

En la siguiente actividad se facilita la imagen forense (archivo evidence.E01) de un

dispositivo de almacenamiento cuyo hash MD5 es:
bb898ff8859fec8eb3c24bb368905311.

Para realizar la práctica hay que responder a las preguntas planteadas en la plantilla que
adjuntamos en la siguiente página.

Objetivo

El objetivo de esta actividad es comprender cómo se estructura un dispositivo de

almacenamiento y practicar la recuperación de archivos eliminados y el análisis de los
metadatos de los mismos.

Extensión: La contestación de la actividad no ocupa más de una hoja. Simplemente

debe contestar a lo que se le pregunta.

TEMA 2 – Actividades 25
 Análisis Forense

¿Cuál es el hash SHA1 del dispositivo facilitado?

¿Qué esquema de particionado tiene el dispositivo?

¿Cuántas particiones tiene el dispositivo?

De cada partición (puede haber una o varias), indica:

• Nº de partición: 1
• Nombre del volumen:
• Sistema de ficheros:
• Tamaño en Bytes:

• Nº de partición: 2
• Nombre del volumen:
• Sistema de ficheros:
• Tamaño en Bytes:

• Nº de partición: n
• Nombre del volumen:
• Sistema de ficheros:
• Tamaño en Bytes:

En una de las particiones hay un archivo eliminado. Recupera dicho archivo y analiza
sus metadatos.

En base a tu análisis ¿Cuál es el nombre del artista que realizó la fotografía?

Además del archivo recuperado en el punto anterior, en el dispositivo hay otro archivo
eliminado. Realiza una recuperación en bruto de los archivos del dispositivo para
recuperarlo y analiza sus metadatos.

En base a tu análisis ¿Cuál es el nombre de la ciudad donde se tomó la fotografía?

TEMA 2 – Actividades 26
 Análisis Forense

Test

1. ¿Qué es un sistema de ficheros?

A. Es la forma en la que se distribuyen los ficheros de un dispositivo.
B. Es la forma en que se organiza, gestiona y mantiene la jerarquía de ficheros.
C. Es la forma en la que se organizan las jerarquías de ficheros.
D. Ninguna de las anteriores es correcta.

2. Los sistemas de ficheros evitan que los programas tengan que conocer la ubicación
física de un fichero.
A. Verdadero.
B. Falso.

3. Cuando eliminamos un archivo…

A. No lo borramos físicamente.
B. Según el sistema de ficheros utilizado, indicamos que el espacio que ocupaba se
encuentra ahora libre.
C. Lo borramos físicamente.
D. Las respuestas A y B son correctas.

4. La sobrescritura del espacio que utilizaba un archivo eliminado…

A. Hace que su recuperación total sea imposible.
B. Permite recuperar el archivo, pero no los datos asociados al mismo.
C. Permite recuperar completamente el archivo.
D. Ninguna de las respuestas es correcta.

5. Si eliminamos un archivo, vaciamos la papelera de reciclaje (o similares) y se

sobrescribe el enlace al archivo del índice, podemos recuperar:
A. Solo el archivo, sin los datos asociados al mismo.
B. Solo el archivo, pero parcialmente, pues se ha sobrescrito el enlace al archivo en
el índice.
C. El archivo y los datos asociados al mismo.
D. No podemos recuperar nada.

TEMA 2 – Test 27
 Análisis Forense

6. La firma de un archivo se suele encontrar al principio del mismo y es independiente

de la extensión.
A. Verdadero.
B. Falso.

7. La recuperación en bruto…
A. Consiste en buscar los archivos por la extensión de los mismos.
B. Consiste en leer los espacios del disco duro marcados como libres y buscar en
los mismos, firmas de archivos conocidas.
C. Consiste en leer del índice los archivos marcados como borrados.
D. Ninguna de las anteriores es correcta.

8. Los metadatos son datos que describen otros datos.

A. Verdadero.
B. Falso.

9. Los metadatos se pueden encontrar en…

A. Prácticamente todo tipo de archivos.
B. Solo en archivos ofimáticos.
C. Solo en archivos de imagen y ofimáticos.
D. No suelen existir metadatos en los archivos.

10. Todos los archivos tienen los mismos metadatos asociados.

A. Verdadero.
B. Falso.

TEMA 2 – Test 28