Universidad de los Andes. NTFS vs. FAT.

Recuperacin de Informacin: NTFS vs. FAT

Daniel Castro, Camilo Cuesta, Leonardo Rodrguez, Sonia Vivas
ResumenEste documento recopila informacin sobre los sistemas de archivos NTFS y FAT. Con esta informacin se hace un resumen de las posibilidades forenses de recuperar informacin en estos sistemas de archivos, y se diferencia entre borrado y eliminado, y se explica la seguridad que permiten estos sistemas en cuanto al borrado y recuperacin de informacin confidencial. ndice de Trminosarchivos, clusters.

I.

EINTRODUCCIN

L OBJETIVO DE ESTE DOCUMENTO ES EXPLICAR AL LECTOR LAS POSIBILIDADES DE RECUPERAR INFORMACIN QUE PUDO SER CONSIDERADA PERDIDA EN LOS SISTEMAS DE ARCHIVOS NTFS Y FAT.

La informacin confidencial es un bien invaluable, y como tal debe ser celosamente protegido. Con esto en mente y teniendo en cuenta las posibilidades que se presentan actualmente, borrar un archivo confidencial puede no ser seguro, de modo que esta informacin puede estar vagando libremente y puede ser recuperada por una persona con acceso a la mquina. A pesar de que existen muchas tcnicas de borrado seguro, aun es un procedimiento poco implementado, y existen herramientas que recuperan parte de esta informacin, si el borrado no es suficiente. Los sistemas de archivos FAT y NTFS son de uso bastante comn, sin embargo la forma en que funcionan no es conocida por los usuarios comunes, y por ello se tiende a generar ideas errneas sobre las posibilidades de estos sistemas. Una de las ideas ms comunes en cuanto a la informacin, es que una vez borrada de la papelera de reciclaje esta informacin es irrecuperable, sin embargo esto no es cierto, y la informacin puede ser fcilmente recuperada. Con el conocimiento suficiente, es posible ser ms cuidadoso con la informacin, y entender como recuperarla en caso de que sea necesario.

magntica puede estar formada de partculas magnticas en una matriz polimrica [1]. Estos soportes magnticos suelen diferenciarse para medios duros y medios blandos. Los medios duros requieren campos aplicados grandes para lograr el magnetismo permanente y una vez magnetizados, otros campos intensos son requeridos para revertir la magnetizacin y borrar el material. Estos medios tienen gran aplicacin en computadoras y almacenamiento de datos. Los medios blandos requieren relativamente bajos campos para lograr la magnetizacin, son apropiados para aplicaciones de audio [1]. Los disquetes de 3 y 5 estn hechos de un plstico delgado y maleable (de all el nombre floppy), con un recubrimiento de xido, que provee la cualidad magntica al disco. Los discos Zip tambin son medios magnticos [2]. Los discos duros consisten en uno o ms platos de metal guardados en una caja sellada. El metal es magntico, y la unidad del disco duro utiliza este magnetismo para almacenar y eliminar datos [2]. El deterioro de los medios magnticos puede producirse de diferentes formas, por ejemplo las partculas que conservan la informacin cifrada en la capa magntica pueden llegar a ser inestables, conduciendo a una prdida gradual de calidad de la seal y eventual prdida de la informacin [3]. Informacin sobre el manejo correcto de medios magnticos puede encontrarse en [3] y [4]. Como se guarda la informacin? Los sistemas de archivos tienen un ndice, por ejemplo el caso de la tabla de asignacin de archivos, en este lugar se guarda informacin sobre el archivo (mas adelante se explicar en detalle como funcionan los sistemas de archivos, sin embargo es importante entender como se guardan los archivos en el disco). Parte de esta informacin consiste en un apuntador al cluster donde se encuentra guardado el archivo, si este es muy grande puede estar dividido en varias partes del disco, por lo que cada parte tendr a su vez apuntadores al siguiente cluster. La informacin es magnticamente grabada en el disco, codificada por diferentes mtodos, segn el tipo de unidad [16]. La geometra de los discos es un tema interesante y denso, pero no es el centro de esta investigacin. Se recomienda al lector estudiar el tema para una comprensin mas precisa sobre la forma en que se guarda la informacin fsicamente y la ilusin que se genera para el usuario final. B.

II.

MARCO TERICO

A. Qu es un medio magntico? El trmino medio magntico se usa para describir cualquier formato en el que la informacin sea guardada y recolectada en la forma de una seal magntica. Formas comunes de medios magnticos son las cintas magnticas (casettes de audio, de video y de computador), los discos duros y los disquetes) [3]. Diversos tipos de soportes magnticos han sido usados con el correr de los aos. En los primeros grabadores se us alambre ferroso (wire recorder), sin embargo, en los equipos modernos se usa una delgada capa de material ferromagntico que es soportada por un sustrato no magntico. La capa Introduccin a la Computacin Forense 2004-I

Universidad de los Andes. NTFS vs. FAT. III. SISTEMAS DE ARCHIVOS

2 algunos de estos servicios son: Puntos de Repase, Estructura Nativa de Almacenamiento, Cuotas en Disco, Cadenas de Objetos Identificables, Diario de Operaciones, Nmero nico de Secuencia, y cifrado[20]. De estos solo el diario de operaciones y el nmero nico de secuencia son de nuestro inters ya que es aqu donde se centra el gran potencial de

En esta seccin del paper se pretende dar al lector una visin global de los sistemas de archivos FAT y NTFS, de modo que sea posible compararlos y diferenciarlos en cuanto a recuperacin de informacin, que es el tema principal de este

TABLA 1. NTFS VS FAT Criteria Operating System NTFS5 Windows 2000 Windows XP NTFS Windows NT Windows 2000 Windows XP FAT32 Windows 98 Windows ME Windows 2000 Windows XP FAT16 DOS All versions of Microsoft Windows

Limitations Max Volume Size Max Files on Volume Max File Size Max Clusters Number Max File Name Length 2TB Nearly Unlimited Limit Only by Volume Size Nearly Unlimited Up to 255 2TB Nearly Unlimited Limit Only by Volume Size Nearly Unlimited Up to 255 2TB Nearly Unlimited 4GB 268435456 Up to 255 2GB ~65000 2GB 65535 Standard - 8.3 Extended - up to 255

File System Features Unicode File Names System Records Mirror Boot Sector Location File Attributes Alternate Streams Compression Encryption Object Permissions Disk Quotas Sparse Files Reparse Points Volume Mount Points Unicode Character Set MFT Mirror File First and Last Sectors Standard and Custom Yes Yes Yes Yes Yes Yes Yes Yes Unicode Character Set MFT Mirror File First and Last Sectors Standard and Custom Yes Yes No Yes No No No No Overall Performance Built-In Security Recoverability Performance Yes Yes Low on small volumes High on Large Yes Yes Low on small volumes High on Large No No High on small volumes Low on large No No Highest on small volumes Low on large System Character Set Second Copy of FAT First Sector Standard Set No No No No No No No No System Character Set Second Copy of FAT First Sector Standard Set No No No No No No No No

documento. En la figura 1 se encuentra un cuadro comparativo de estos sistemas de archivos. [5]

NTFS.

A. NTFS En la dcada de los 90s, Microsoft quiso desarrollar un sistema operativo que tuviera un alto desempeo, una alta confiabilidad, que fuera seguro, y de buena calidad. Su primer intento fue MS-DOS, y Windows 3.x. Ninguno de estos dos intentos lograba competir con los mejores sistemas operativos de la poca, entre los cuales encontramos a UNIX. Uno de sus principales limitantes se baso, en el sistema de archivos que utilizaron, el cual era FAT, del que tambin hablamos en este documento. Ms adelante Microsoft, quiso desarrollar un nuevo sistema operativo, mucho ms confiable, y con nuevas caractersticas. Para ello, tenan que cambiar entre algunas otras cosas, su sistema de archivos. El sistema de archivos que desarrollaron se llam, New Technology File System, o NTFS [20]. Es un sistema de archivos mas avanzado que FAT, sobre l se pueden montar servicios que administra el sistema operativo, Introduccin a la Computacin Forense 2004-I

NFTS no es, como su nombre lo indica, completamente nuevo, ya que esta basado, en otro sistema de archivos PSF [21], en el cual estuvo trabajando Microsoft algn tiempo, en asociacin con IBM, para la creacin de del sistema operativo OS/2 [22]. NTFS fue diseado para satisfacer un nmero especifico de objetivos, entre los cuales encontramos, Confiabilidad, Seguridad y Control de Acceso, Romper la Barrera Tamao, Eficiencia de Almacenamiento, Nombres de Archivos Largos, Trabajo en Red, entre otros [20]. El desarrollo de NFTS, no paro en la versin utilizada inicialmente por Windows NT, sino que ha sido mejorada a medida que pasa el tiempo. Microsoft ha realizado cambios a NTFS, por diferentes razones, entre las cuales encontramos la correccin a problemas del sistema de archivos, para dar soporte a nuevo hardware, y para habilitar nuevas caractersticas de los sistemas operativos [23]. Existen 2 versiones de NTFS, las cuales son NTFS 1.1 o como tambin es conocida NTFS 4.0 [24], y por ultimo NTFS 5.0 [25]. El cambio mas grande que

Universidad de los Andes. NTFS vs. FAT. ha tenido NTFS, ocurri con la salida al mercado de Windows 2000, el cual tiene unas caractersticas nuevas, las cuales deban ser soportadas por el sistema de archivos[23][26]. El diario de operaciones es un conjunto de caracteres que crean un log persistente de las operaciones que ha realizado en volumen, estas son: adicin, modificacin, borrado, por cada volumen NTFS [46]. El nmero nico de secuencia, provee un log persistente de los cambios hechos a los archivos de un volumen. As, cuando un archivo es modificado por un controlador de dominio, este llena una tabla con un USN que se le asigna. Este nmero aumenta secuencialmente por cada cambio realizado. Esto ser explicado con ms detalle mas adelante. 1) Estructura de NTFS

3 512 bytes, en lugar de esto estos sectores son agrupados en bloques que son llamados clusters, o como tambin son llamados allocation units. La principal razn para utilizar clusters es el desempeo, ya que de lo contrario, se requerira, una gran cantidad de recursos para mantener el rastro de un archivo, y adicionalmente, la fragmentacin del disco, se convertira en un problema mucho mas serio. NTFS utiliza un tamao por defecto del cluster dependiendo del tamao de la particin. La siguiente tabla muestra el tamao por defecto para los clusters dependiendo el tamao de la particin [29]. Tamao de Particin (GB) < = 0.5 > 0.5 a 1.0 > 1.0 a 2.0 > 2.0 a 4.0 > 4.0 a 8.0 > 8.0 a 16.0 > 16.0 a 32.0 > 32.0 [29] NTFS utiliza dos diferentes sistemas de asignacin para el tamao de los clusters, y este depende de la versin del sistema operativo. Si es una versin de Windows NT 3.5 o anterior, el sistema de archivos utiliza la tabla anterior completa. Si se esta utilizando una versin de Windows NT 3.51 o posterior, el sistema de archivos utiliza nicamente las primeras cuatro filas de la tabla, por lo tanto el tamao mximo del cluster es de 4kB, para todas las particiones por encima de 2.0 GB. [29] La razn para que existan estos dos sistemas de seleccin del tamao del cluster es la capacidad de trabajar con archivos basados en compresin en NTFS. La compresin no esta soportada para sistemas de archivos con un tamao de cluster de ms de 4 kB. La versin de Windows 3.5 y anteriores no soportaban los archivos basados en compresin, por lo que utilizan la tabla anterior en su totalidad [29]. La compresin de los archivos utiliza una de las caractersticas de la mayora de los datos, la cual es la presencia de patrones repetitivos. Utilizando programas que implementan algoritmos de compresin y descompresin, es posible almacenar datos, ocupando menos espacio, que el que normalmente ocuparan. Una de las ms tiles caractersticas que tiene NTFS, es la posibilidad de tener archivos basados en compresin. Esta caracterstica es manejada directamente por el sistema operativo, el cual se encarga de comprimir los datos, en el momento de la escritura, y la descompresin es automtica, en el momento en que una aplicacin necesita leer el archivo. [30] En esa tabla muestran los tamaos por defecto que utiliza NTFS para los clusters. Este tamao por defecto puede ser modificado al momento de realizar el formato, al utilizar el parmetro /A [tamao], en el comando FORMAT. El tamao de los clusters tiene un efecto importante en el Nmero de Sectores por Cluster 1 2 4 8 16 32 64 128 Tamao del Cluster (kB) 0.5 1 2 4 8 16 32 64

NTFS proporciona una combinacin de desempeo, seguridad, y confiabilidad que no se encuentra presente en FAT. NTFS tiene una arquitectura especial que, en adicin a sus habilidades avanzadas, anteriormente mencionadas, utiliza un esquema conceptual simple, el cual facilita la introduccin de nuevas caractersticas, realizando un mnimo de cambios. Esta ltima caracterstica fue utilizada, en la versin 5.0. [27] [28]. Virtualmente todas las estructuras en NTFS son registros, incluyendo las estructuras que son utilizadas para manejar la particin y mantener las estadsticas y el control de informacin acerca de ella misma. La informacin de control es almacenada, en un grupo de archivos especiales que son creados, cuando la particin NFTS es creada. Estos archivos son llamados Metedata Files, estos incluyen la lista de archivos presentes en la particin, y ubicacin de los clusters [27]. La nica parte de la arquitectura de NTFS, que no puede considerarse un archivo, es la zona de Boot Sector. La cual se encarga de operaciones bsicas, como cargar el sistema operativo [28]. System Master File Files Table Metadata

Boot Sector [28]

File Area

El diseo de NTFS es sencillo y con mucho potencial. Como habamos dicho anteriormente, todo dentro de una particin de NTFS es un record, y todo dentro de un archivo es una coleccin de atributos, incluso, la informacin (datos), del archivo, es solo uno de muchos atributos [27]. Este sistema es muy parecido a una base de datos, cada archivo es un elemento de una tabla, al cual se le pueden agregar ms atributos en un futuro de ser necesario [28]. Internamente, NTFS almacena todos los archivos, incluyendo los archivos de metadata, usando un sistema de clusters. NTFS, al igual que FAT, no manejan sectores individuales de Introduccin a la Computacin Forense 2004-I

Universidad de los Andes. NTFS vs. FAT. desempeo del sistema, ya que al aumentar el tamao del cluster, adems de poder perder la capacidad de realizar compresin de archivos de NTFS, el tamao del Slack tambin aumenta. El Slack es la porcin de un cluster que es desperdiciado por un archivo, que no ocupa en su totalidad, todo el cluster. [29][31]. 2)
Offset 0Bh 0Dh 0Eh 10h 11h 13h 15h 16h 18h 1Ah 1Ch

4 Arranque. Esta estructura es fundamental para NTFS, y se encarga de manejar informacin que no es almacenada en el Master File Table de la cual hablaremos mas adelante. Este sector esta compuesto por 16 sectores de 512 Bytes, para un total 8 kB. El Boot Sector, empieza en el primer sector de la particin, y esta conformado por dos estructuras, las cuales son el bloque de parmetros de la BIOS, y el cdigo de arranque, o bootstrap. De estos hablaremos a continuacin. El bloque de parmetros de la BIOS, contiene informacin fundamental de la particin. Este bloque identifica la particin como una NTFS, y contiene informacin como el volume label, y su tamao, tambin se encuentra informacin adicional sobre la particin, como la ubicacin de los archivos de metadata. El cdigo de boot, es un bloque de instrucciones de programa, que le indican al sistema como hacer para cargar el sistema operativo. Las instrucciones de programa son especficas para el tipo de sistema operativo. Este cdigo normalmente carga el N.T.L.D.R. (bootstrap), una vez cargado, se le transfiere el control para que este cargue el resto del sistema operativo. La estructura de NTFS Boot Sector es mostrada en la tabla. Byte Offset 0x00 0x03 0x0B 0x24 0x54 0x01FE [32] En esta tabla, podemos ver la configuracin general del primer sector de NTFS Boot Sector. Es importante especificar que el bootstrap code, para un Volumen NTFS es ms grande de 426 Bytes, como esta especificado en la tabla anterior. Cuando uno da formato a un disco con NTFS, los primeros 16 sectores de la particin son asignados para el Partition Boot Sector, y para el Bootstrap Code. [32][33][34][35][36][37][38][39][40]. Los primeros 3 bytes, son llamados Jump Instruction, pero realmente nicamente los 2 primeros bytes, 0xEB, 0x52, son usados para formar la instruccin en assembler de JMP (Jump). El tercer byte 0x90, es en lenguaje de mquina un NOP, no operation. Los siguientes 8 bytes son el nombre del sistema de archivos, o OEM ID, para NTFS, estos bytes tienen el siguiente valor 4E 54 46 53 20 20 20 20, que corresponde a NTFS esto es el nombre del sistema de archivos, seguido de cuatro espacios en blanco. Los siguientes 73 bytes corresponden al BPB y al extended BPB (Bios Parameter Block). Para un mejor entendimiento de este bloque, la siguiente tabla, especifica cada uno de los campos. [32] [33] [34] [35] [36] [37] [38] [39] [40]. Una vez terminado el bloque de BPB, y el Extended BPB, comienza la estructura llamada bootstrap code. Normalmente el bootstrap code ocupa 8 sectores. Los restantes 8 sectores del Longitud del Campo 3 Bytes 8 Bytes 25 Bytes 48 Bytes 426 Bytes 2 Bytes Nombre del Campo Jump Instruction OEM ID Bios Parameter Block Extended BPB Bootstrap Code End of Sector Marker

Sector de Arranque
Length

Word Byte Word Byte 2 Bytes 2 Bytes Byte 2 Bytes Word Word
Double

HEX 0200h Ver Tabla 20 0000h 00h for NTFS 0000h for NTFS 0000h not used by NTFS F8h Hard Disk 0000h for NTFS 003Fh Depende del Disco Depende del Disco Depende de # de Particin 0h Not used by NTFS 80008000 Depende de la particin Depende de la ubicacin del MFT Depende de donde esta la copia del MFT Varia Varia Varia 00000000 Parece que no se usa

DEC 512 Ver Tabla 20 0 0 for NTFS 0 for NTFS 0 for FAT32 Hard Disk 0 for NTFS 63 X 0 si no hay Particin 0
El primer byte es el nmero del drive

Descripcin Tamao de Sector (bytes) Nmero de Sectores por Cluster Sectores Reservados Nmero de particin FAT Max Root Directory Entries FAT12/16 Small Sector Count for FAT 12/16 Media Descriptor ID. Win 2k/XP dont use it Sectores por FAT, lo usa FAT 12/16 Sectors per Track Nmero de Cabezas Nmero de Sectores Ocultos (Cyl=0, Head=0) los que preceden esta particin NTFS Nmero de Sectores en un Volumen de FAT 32 El SO que usa NTFS siempre coloca el valor de 80008000 Sectores totales en el Volumen Nmero del Cluster donde empieza el $MFT en esta particin Nmero del Cluster donde empieza la copia de $MFT en esta particin ($MFTMirror) Clusters o bytes por MFT Record Segment Clusters por Index Block o record NTFS Volume Serial Number Checksum

Word

20h 24h

4 Bytes 4 Bytes Long Long Word 8 Bytes Long Long Word 8 Bytes Long Long Word 8 Bytes
Signed Double Word Double Word

28h

X, X, X

30h

38h

40h 44h 48h

Varia Varia Varia

Long Long Word 8 Bytes

Double Word

50h

[32][33][36][37][38] Cuando se crea una particin NTFS, el primer bloque de informacin que es creado es el Boot Sector o Sector de

Introduccin a la Computacin Forense 2004-I

Universidad de los Andes. NTFS vs. FAT. Boot Sector, estn totalmente llenos con ceros. En el primer sector normalmente se encuentra cdigo en lenguaje de mquina hasta un offset de 0x182, desde el inicio del sector, para mayor informacin sobre este segmento, consulte [36] [37] [38], el cual tiene la traduccin a cdigo en assembler, y comentarios sobre su funcionamiento. Comnmente los ltimos 125bytes del primer sector del Boot Sector, contienen mensajes de error, tambin tiene el nmero de bytes de offset de cada uno de los mensajes, y el signature ID o End of Sector Marker. Normalmente los mensajes de error empiezan a un offset del inicio del sector de 0x183. Todos los mensajes de error, empiezan con los bytes 0x0D, y 0x0A. El primero es un Carriage Return y el segundo en un Line Feed. Y todos terminan con el byte 0x00, que comnmente es conocido por muchos lenguajes de programacin como el terminador de una cadena de caracteres, como el \0 en el lenguaje C. El nmero de Bytes de offset de los mensajes, empieza siempre a un offset del inicio del primer sector de 0x1F8, y esta compuesto normalmente por cuatro bytes, esto claro, si hay cuatro mensajes de error. La diferencia entre los valores de cada uno de estos bytes nos da el nmero de bytes que hay entre los mensajes correspondientes. Finalmente el Signature ID siempre debe tener el valor de 0x55AA, hay que tener en cuenta que en la arquitectura Intel x86, siempre se almacena primero la parte baja de la palabra, por lo que en realidad queda almacenado en el disco duro es la siguiente secuencia de bytes AA 55 [36] [37]. Los seis siguientes sectores que estn despus del Boot Record (Primer Sector), contiene el cdigo del bootstrap o cdigo de arranque, que hace interfase con el archivo NTDLR, si este existe, para iniciar el SO en la particin. El segundo sector siempre tiene en sus primeros 16 bytes lo siguiente 05 00 4E 00 54 00 4C 00 44 00 52 00 04 00 24. Entre el tercer y doceavo byte, se puede leer N.T.L.D.R. El resto del sector es cdigo de mquina. Del tercer sector al sptimo sexto sector, solo hay cdigo de mquina. Recordemos que el cdigo del bootstrap es dependiente del sistema operativo, ya que cada sistema necesita realizar rutinas diferentes para cargar los diferentes componentes necesarios ya que todos los SO tienen una arquitectura relativamente diferente. El sptimo sector tiene sus ltimos 300 bytes en cero, al igual que los 9 sectores restantes. [36][37][38]. NTFS hace una copia de seguridad del Boot Sector, y su ubicacin depende del sistema operativo. Windows NT 3.51 y versiones anteriores almacenan esta copia en el centro lgico del volumen, mientras que versiones posteriores almacenan esta copia al final del volumen. [34] [36] [41]. Exactamente despus de que terminan los 16 sectores correspondientes al Boot Sector, empieza otra importante estructura llamada Master File Table. 3) Tabla Maestra y Metadata

5 solo uno de los muchos atributos de ese registro. [34][35][41] [42]. Cuando la particin es creada, el programa que da el formato a la particin, crea un grupo de archivos que contienen la metadata, que es usada para implementar la estructura del sistema de archivos. El sistema de archivos NTFS reserva los primeros 16 records de la MFT, para la informacin relacionada con esos archivos de metadata [34] [41] [42]. El primer record tiene informacin que describe el funcionamiento la MFT, y una lista con todo el contenido del volumen NTFS, el segundo registro a metadata, es una copia imagen, del primer registro. Si el primer registro se corrompe, es utilizado el segundo registro para restaurar al primero. El tercer registro de matadata, es un registro de log, que almacena todas las transacciones de los archivos, y es muy til para restauracin de archivos y del sistema. Siempre que el sistema se ha corrompido, este log es usado para la restauracin. Este registro tiene un tamao mximo de 4 MB. Los siguientes 8 registros, almacenan informacin sobre el sistema [41] [42]. Estos registros son el Descriptor del Volumen, el cual tiene informacin sobre el volumen, como el nombre, y fecha de creacin entre otros. El registro de Tabla de Definicin de Atributos, el cual contiene el nombre y la descripcin de los atributos usados en la particin NTFS. Tambin encontramos el registro del Root Directory/Folder, el cual es un apuntador al directorio o carpeta raz de la particin. Otro registro muy importante es el Cluster Allocation Bitmap, el cual contiene un mapa lgico de los clusters de la particin, mostrando cuales estn ocupados y cuales estn libres. De estos registros, el ms importante para efectos de esconder informacin, es el dcimo registro llamado Bad Cluster File, el cual tiene la informacin sobre todos los clusters defectuosos dentro del volumen. Otro registro llamado el Volume Boot Code, el cual tiene una copia del cdigo de arranque de la particin. Encontramos tambin el registro llamado Quota Table, el cual contiene informacin de la cuota, si esta es usada en la particin. Por ultimo encontramos el registro llamado Upper Case Table, el cual contiene la informacin para convertir los nombres de los archivos al sistema de nombres de archivos Unicode. Los restantes 5 registros de metadata, estn reservados para un uso futuro, pero es posible utilizar estos 5 registros para ocultar informacin, aunque NTFS no lo utiliza NTFS usa los registros de MFT para definir los archivos a los cuales corresponden. Toda la informacin de un archivo, ya sea fechas, horas, permisos y contenido, son guardados en la MFT o en un lugar externo pero descrito por la MFT. Si un archivo es pequeo tpicamente 1.5kB o menos, este puede ser almacenado en su correspondiente registro dentro del MFT. Si un archivo es muy grande o esta altamente fragmentado, es necesario que la MFT contenga ms de un registro del archivo, en este caso, el primer registro, el registro base, contiene la ubicacin de los otros registros. Si un registro de una carpeta o un archivo es muy grande para ser

El Master File Table es en esencia, una tabla de una base de datos relacional, la cual contiene varios atributos para cada uno de los archivos que existen dentro de la particin. Como habamos dicho, todo dentro del sistema de archivos NTFS, es considerado un record, con sus excepciones, el cual esta compuesto por varios atributos, entre los cuales los datos, son

Introduccin a la Computacin Forense 2004-I

Universidad de los Andes. NTFS vs. FAT. almacenada dentro del MFT, estos son organizados en rboles B. Donde el registro, dentro de la MFT, guarda apuntadores a clusters fuera del MFT. La anterior arquitectura se encuentra expresada en la siguiente figura [41] [42].

Atributo Informacin estndar Lista de Atributos Nombre del Archivo Descriptor de Seguridad Data

ID del Objeto

4)

Atributos de archivos.

Herramienta de Logeo Punto de Restauracin

Todo sector diseccionado por NTFS en una particin, corresponde a archivos. Para NTFS un archivo o un directorio son un conjunto de atributos. Elementos como nombre, permisos, y dems son atributos [41] [42]. Un cdigo identifica un atributo, cuando un atributo esta en la MFT se llama atributo residente, el nombre y la estampilla de tiempo siempre son residentes. Si el conjunto de atributos es muy grande algunos de estos son no residentes, entonces NTFS direcciona estos atributos a un espacio reservado en un grupo de cluster en algn lugar del volumen. Y se crea una lista de atributos que describen los registros de los atributos [41] [42]. Existen diferentes tipos de atributo. Estn los de informacin estndar, como las estampillas de tiempo. Otro tipo es la lista de atributos externos al MFT, el cual tiene la ubicacin de todos los clusters con los atributos no residentes. Otro atributo es los permisos, el cual le brinda seguridad, a este sistema de archivos, se puede especificar una lista de acceso al archivo, propietarios. Otro de los atributos como la habamos mencionado anteriormente, son los datos. Si estos son lo suficientemente pequeos estos pueden ser almacenados dentro del MFT, de lo contrario lo que se almacena es un grupo de apuntadores, a los cluster externos al MFT que contienen los datos. Uno de los atributos mas importante es el Object ID, el cual es nico dentro del volumen para cada archivo, pero hay algunos archivos que no tienen o usan este identificador. Tambin hay un atributo, el cual se encarga asignar diferentes acciones al archivo. La siguiente tabla contiene los atributos externos de un archivo de NTFS [57].
Tipo de Descripcin

ndice de Raz ndice de colocacin Bitmap Informacin del volumen Nombre Del volumen

Informacin como estampilla de tiempo, y fechas. En caso de no residir en la MTF, da la ubicacin de la lista de los Atributos forneos. Atributo siempre presente, que puede tener una longitud de 255 caracteres Unicode. Describe quien tiene permisos y quien es el dueo. Contiene los datos del archivo. NTFS permite varios atributos DATA, cada cual con sus especficos, segn los requerimientos. Numero nico para el archivo, que se usa en el USN, pero no todos los archivos tienen uno. Usado por el EFS, para poner entradas en log del sistema de archivos. Usado para rastrear puntos de restauracin del sistema junto con el log del sistema de archivos. Usado para implementar carpetas. Usado para implementar carpetas. Usado para implementar carpetas. Contiene la versin del sistema de archivos Contiene el nombre del volumen.

NTFS, tambin cuenta con un sistema de criptografa de archivos llamado EFS, el cual protege la informacin, de personas si autorizacin. Esta caracterstica es transparente para el usuario. Algo que es de gran importancia para nosotros, es como maneja NTFS los clusters, ya que no son diseccionados de una manera fsica, el lo hace de una manera lgica, as NTFS cuenta con un conjunto de clusters disponibles, y otro conjunto que son utilizados, as se direcciona de una manera que los archivos estn en clusters virtuales continuos, y se agrupan por archivos y por directorios. Esto es de gran importancia para la recuperacin de archivos, ya que en ese conjunto de clusters disponibles es que estn los archivos que se desean recuperar. [50] Un sistema de archivos basado en un diario de operaciones, tiene muchas ventajas, entre ellas la mas importante es que brinda la posibilidad de recobrar el sistema de indexado del sistema de archivos cuando ocurre una falla en el volumen.

Introduccin a la Computacin Forense 2004-I

Universidad de los Andes. NTFS vs. FAT. NTFS maneja su sistema de archivos utilizando ndices, de tal forma que se puede saber donde esta almacenada toda la informacin dentro del volumen. NTFS, en sus primeras versiones, no manejaba un diario de operaciones o log de persistencia, por lo que la restauracin del sistema era muy complicada y demorada. Con la versin 5.0, NTFS se convirti en un sistema de archivos basado en un diario de operaciones (NTFS Change Journal). [52][53] NTFS tiene un diario de operacin por cada volumen presente en el sistema. El sistema de diario de operaciones, crea un registro para cada cambio que experimente un archivo o carpeta. Estos cambios son creacin, modificacin y borrado. Cada registro almacena el tipo del cambio realizado y el nombre del objeto cambiado y una estampilla de tiempo, pero la informacin cambiada en si no es almacenada. [53] Este sistema de diario de operaciones, nos permite rastrear la historia y dems informacin sobre todos los archivos y carpetas, existentes. Si existen varias particiones o vario volmenes, los registros son adicionados a todos los volmenes y particiones a las cuales se tenga acceso [52] [53]. Este sistema de diario de operaciones desafortunadamente no tiene la capacidad de retroceder los cambios realizados a los archivos y carpetas, pero es una gran herramienta determinar que operaciones ha realizado determinado archivo [52] [53]. El diario de operaciones un archivo, que cuando es creada la particin de NTFS, inicialmente esta vaci. Este archivo esta oculto, para que los usuarios no tengan acceso directo a el. Cada vez que ocurre un cambio en un archivo se agrega un registro al final del diario de operaciones. A cada registro se le asigna un identificador de 64 bits, llamado Update Secuence Number (USN). Cada vez que un USN es generado este incrementa su valor. Una caracterstica algo extraa es que estos nmeros de secuencia no son consecutivos, ya que los que implementaron este sistema escogieron utilizar el offset del registro, como USN. [53]. Ya que los registros contienen el nombre del archivo, que ha sido alterado, el tamao del registro tambin vara. Esta es la razn de porque los USN no son consecutivos. El sistema escribe en el diario, en bloques de 4 kB, los cuales contienen entre 30 y 40 registros. Si un registro no cabe en el bloque, el espacio restante del bloque es rellenado con ceros, y se inicia un nuevo paquete, donde se introduce el registro. Todos los registros que se encuentran en la MFT, almacenan diferentes atributos sobre los archivos que hay en el sistema, estos registros tambin almacenan el ltimo valor del USN, que se le ha asignado a su respectivo archivo. [53]. El archivo del diario, tiene un tamao mximo, el cual al alcanzar su mxima capacidad, empieza a descartar los primeros registros almacenado en el. [53]. El diario de operaciones se puede deshabilitar en cualquier momento. Resulta curioso, que siendo esta una gran y til herramienta, esta deshabilitada por defecto. [53] B. FAT FAT se refiere a la Tabla de Asignacin de Archivos (File Allocation Table, por sus siglas en ingls). La caracterstica principal son sus dos copias por volumen: Si se pierde la primera se recupera de la segunda. La FAT primaria esta en un corrimiento especifico para que siempre la encuentre, y la

7 secundaria al final del volumen. FAT16 funciona igual en todos los sistemas operativos Windows, al igual que FAT32. FAT16 Se organiza por sectores, cada sector es de longitud igual a 521 bytes. Es la unidad ms pequea usada por el Sistema Operativo. Aunque el cluster es la unidad que se utiliza para direccional los archivos en un volumen FAT 16. El tamao del cluster lo determina el volumen de la unidad teniendo un tamao mximo de 64 KB [46]. Se utiliza FAT 12 en caso de que el volumen sea muy pequeo, teniendo que cada entrada de la FAT sea mas pequea se tiene como resultado una FAT pequea y as se optimiza el espacio [46]. En un volumen FAT 16 se tiene un directorio raz. A diferencia de los directorios comunes, el directorio raz es de tamao fijo, 512 registros por volumen lgico. El nmero de registros en un disco extrable depende del tamao del volumen [46]. Boot Sector Fat FAT 2 Root Folder Datos [46] Los directorios tienen entradas de 32 bytes por cada archivo y directorio que contiene el directorio. La siguiente tabla muestra los componentes de un archivo o directorio [46]. Entrada Bits Nombre 8.3 Atributo 8 Hora de Creacin 24 Fecha de Creacin 16 Ultimo Acceso 16 Ultima Hora Modificacin 16 Ultima Fecha de Modificacin 16 Nmero del primer cluster 16 Tamao del Archivo 32 [46] No existe una organizacin para los directorios. Se asigna el primer cluster libre en el volumen a un archivo. El campo de primer cluster corresponde a la direccin del primer cluster usado por el archivo. Al final de cada cluster contiene un fin de archivo (0xFFFF) o un apuntador al siguiente cluster. Esta organizacin de la FAT es usada por todos los sistemas operativos que tienen soporte para FAT [47]. Debido a que las entradas de un directorio son iguales en tamao, el byte de atributo para cada entrada de un directorio es usado para describir que tipo de entrada es. Es decir un byte indica que se trata de un sub-directorio, y otra entrada marca que es la etiqueta de un volumen. Normalmente solo el sistema operativo usa este mtodo [47]. Hay 4 atributos posibles Archivo Archivo del sistema

Introduccin a la Computacin Forense 2004-I

Universidad de los Andes. NTFS vs. FAT. Archivo oculto Solo lectura

8 El tamao mximo de un volumen de FAT 32, depende del mximo nmero de entradas en la tabla maestra, el nmero de sectores por cluster, y el conteo de 32-bits en la tabla de particiones, aqu se asume un sectores de 512 [46]. Tamao del cluster 512 Bytes 1 KB 2 KB 4 KB 8 KB 16 KB 32 KB [46] Tamao mximo del volumen 127.9 GB 255.9 GB 511.9 GB 1023.9 GB 2047 GB 2047 GB 2047 GB

Como FAT 16 tiene un tamao mximo para el volumen, y el tamao del cluster esta determinado por el tamao del volumen, entonces, a continuacin se muestra una tabla con el tamao normal del cluster para diferentes tamaos de volmenes [46]. La siguiente tabla muestra los posibles tamaos de particiones [46].
Tamao de la Particin Sectores por Cluster 0 32 MB 1 bytes equivalente al tamao del sector de la particin 33 64 MB 2 65 128 MB 4 129 256 MB 8 256 512 MB 16 512 1024 MB 32 1024 2048 MB 64 2048 4096 MB 128 Tamao del cluster 512 1024 bytes 2048 bytes 4096 bytes 8192 bytes 16 KB 32 KB 64 KB

FIGURA 1 EJEMPLO DE LA TABLA DE ASIGNACIN DE ARCHIVOS

FAT 32

La ventaja de FAT 32 es que puede manejar particiones ms grandes que FAT 16, FAT 16 solo maneja particiones hasta 4 GB, mientras FAT 32 puede manejar particiones de hasta 2047 GB [46]. Estructura de la Particin FAT 32 puede manejar archivos de 4 GB menos 2 bytes. La diferencia es que FAT 32 maneja 4 bytes por cluster contra 2 bytes de FAT 16. Una particin de FAT32 debe tener por lo menos 65527 clusters y el tamao de la particin no puede aumentar [46].

En la Figura 1 hay tres archivos en la FAT. File1.txt ocupa tres clusters, File2.txt est fragmentado y tambin ocupa tres clusters, mientras que File3.txt solo ocupa un cluster. En el directorio se guarda la informacin del primer cluster de cada archivo. La primera estructura importante en un volumen FAT es la BPB (BIOS Parameter Block), que se aloja en el primer sector del volumen en la regin reservada. Este sector a veces se denomina "sector de arranque", o sector reservado o sector 0. Este sector no exista en MS-DOS 1.x, debido que solo manejaba discos flexibles. En MS-DOS 2.x solo se permita que el volumen tuviera 65.536 sectores debido a que el nmero de sectores se almacenaba en 16 bits. En las versiones 3.x se asign un campo de 32 bits para el nmero total de sectores. Antes de Windows 95, FAT16 estaba limitada en 2 GB para el tamao mximo de cluster si el volumen es de sectores de 512 bytes, pero FAT32 resuelve parcialmente este problema al permitir volmenes mayores de 2 GB pero con una sola particin. Qu permite? FAT fue uno de los primeros sistemas de archivos, sus diseadores no utilizaron el conocimiento que ya exista en ese tiempo sobre diseo de sistemas de archivos. Su organizacin simple permite un manejo fcil de la fragmentacin de archivos, lo que afecta el desempeo en el resto de las operaciones del sistema de archivos. FAT no fue diseada manejar la redundancia de la informacin, en caso de que el sistema colapse.

Boot Root FAT FAT Datos [46] La FAT crece con respecto al tamao de volumen, as con un volumen muy grande, se tiene una FAT muy grande lo cual hace que calcular el espacio libre tome mucho tiempo, y en general el comportamiento del sistema operativo con una FAT grande hace que los tiempos de bsqueda aumenten [46]. La tabla maestra de archivos es una lista de registros de 32bits, que tiene una relacin uno a uno, con los clusters de datos. La nica diferencia en el manejo de esta tabla, es la adicin al cluster de una palabra larga en la entrada de los directorios que accedan el cluster [46].

Introduccin a la Computacin Forense 2004-I

Universidad de los Andes. NTFS vs. FAT.

9 escritura, y tiene como propsito vencer todas las tcnicas de recuperacin, lo cual lo logra con xito. [58]

IV.

BORRADO

A. Borrar vs. Eliminar Cada cluster contiene algo ya sea archivo o un archivo que se elimino, lo cual implica tres formas de borrar un archivo o carpeta, la primera es simplemente poner en la FAT el cluster como libre lo cual deja el archivo en el disco, pero no se puede hallar, en este caso es el delete de Windows, luego se da que se registra por un apuntador especial que es papelera de reciclaje de Windows, y por ultimo se tiene borrado seguro. Cuando se coloca el cluster como libre, el archivo todava esta en disco pero no hay una forma de llegar a el sin usar software especializado (que se cubre mas adelante). Cuando se marca con el apuntador especial de la papelera de reciclaje [51] lo nico que hace es ubicar el archivo en una carpeta especial del sistema, en la cual luego de un tiempo determinado, o por eleccin del usuario, son eliminados todos los archivos. Por ltimo se tiene el borrado seguro, que es eliminar el archivo totalmente, esto se hace sobre escribiendo el lugar fsico que ocupa el archivo. Se puede recalcar que los sistemas de archivos son estructuras que manejan apuntadores para poder encontrar archivos, y que todo lo que el usuario ve es una ilusin. [16] B. Metodologas para Eliminar

Destruccin fsica: Desde utilizacin de sierras, mazos, o la incineracin. Sin embargo, es sorprendente lo resistentes que son los medios magnticos, por ejemplo los discos duros.

V.

RECUPERACIN DE INFORMACIN EN FAT

Durante las primeras versiones de Windows, se inclua en DOS un software de recuperacin, despus de Windows 95, con la aparicin de la papelera de reciclaje, un archivo eliminado de esta era irrecuperable, pero eso no es cierto. [6], [10] Actualmente existe bastante software que permite recuperar archivos borrados de la FAT. A. Borrado en FAT

Las tablas del FAT se encuentran organizadas como arreglos lineales de entradas. Estas entradas son valores de cierto nmero de bits (segn la versin de la FAT, por ejemplo 12, 16 o 32). En la figura 2 se encuentra una representacin de la organizacin de la FAT. [8] Cuando un archivo es borrado no se hace nada a los clusters que contienen la informacin, lo que se hace es desvincular de la tabla de la FAT la direccin al archivo, y aadir un carcter especial (0xe5) al directorio indicando que esta libre para escribir sobre el [8].

El Departamento de Defensa de los EE.UU. Ha definido una serie de mtodos de eliminado de informacin no clasificada de sus computadores, antes que estos sean redistribuidos. El mtodo escogido depende del tipo de disco [17]: Degaussing: En este proceso el medio retorna a su estado inicial de fabricacin. La coercitividad es la medida de la cantidad de campo magntico necesario para reducir la induccin magntica de un medio a 0, y se mide en Oersteds. Segn el Gobierno de los Estados Unidos, los degaussers se clasifican en distintas clases: Clase 1) para coercitividad de 0 a 350 Oe, Clase 2) para coercitividad de 350 a 750 Oe. Clase 3) para coercitividad de mas de 720 Oe. Actualmente los degaussers existentes son de clase 1 y 2 solamente. [58] Sobre escritura mltiple: Se trata de ejecutar sobre el medio varias tcnicas de sobre escritura, como sobrescribir los campos magnticos del medio de forma alternada para exponerlo a un campo magntico oscilante, sobrescribir el medio con basura, etc. Usa la menor frecuencia posible para la sobre-escritura. [58] Tcnica de sobre escritura de Guttman: Esta tcnica especifica 35 diferentes formas de sobre

Desindexar un archivo de la FAT equivale a decirle al sistema operativo que estas direcciones estn ahora libres, pero hasta que un nuevo archivo sea escrito sobre este espacio, el archivo borrado estar aun en el disco duro. De este modo, con la ayuda de software especializado (algunos de bajo costo o gratuitos) se puede recuperar esta informacin. [9] Es importante tener en cuenta que eliminar algo de la papelera de reciclaje no es realmente eliminar, sino es borrar. B. Eliminar en FAT Para eliminar un archivo del FAT es necesario borrarlo y despus escribir sobre el mismo. Este proceso puede darse a voluntad de una persona o como consecuencia de borrar un archivo. Despus de borrar un archivo, el sistema operativo

Introduccin a la Computacin Forense 2004-I

Universidad de los Andes. NTFS vs. FAT. considera el espacio que este utiliza como libre, de modo que cuando necesite guardar algo es posible que sobrescriba el archivo. [11] En el mercado existen varias herramientas que se encargan de eliminar archivos del disco duro. Estas herramientas escriben un patrn dado al rea de memoria de la que se desea eliminar la informacin. Este mtodo es independiente del sistema operativo, por lo tanto puede eliminar archivos aun si estn corruptos y no pueden ser accedidos. [11] Para que se pueda asegurar que se ha eliminado completamente el archivo es necesaria ms de una pasada de escritura sobre el espacio, mtodos de borrado seguro como el de Peter Gutmann aconsejan 27 pasadas, otros mtodos ms veloces pueden no ser tan seguros. En informtica forense se considera borrado seguro aquel que haya sido generado con 35 o mas pasadas. [12] Para eliminar toda la informacin del disco duro se puede usar un degausser, el cual desmagnetiza el disco, eliminando la informacin guardada en el (ya que este es un medio magntico, como se explic anteriormente). [13] El proceso de degaussing consiste en exponer el medio a un campo magntico, de modo que se anule las direcciones magnticas guardadas en este. El cambio de una sola partcula magntica de una direccin a otra requiere que se sobrepase una barrera de energa, con un campo magntico externo que ayude a disminuir esta barrera. El cambio depende no solo de la magnitud del campo externo, tambin de la cantidad de tiempo en que es aplicado. Para borrar un medio efectivamente se requiere una fuerza magntica de alrededor de cinco veces la coercitividad 1 del medio. A continuacin se presenta una tabla con la coercitividad media tpica: Coercitividad Media Tpica Medio Coercitividad

10

C. Evidencias de Borrado para recuperacin Al realizar un anlisis forense se puede encontrar cuando un archivo ha sido eliminado, evidencia de archivos temporales, e incluso algunas herramientas de recuperacin de archivos generan logs sobre la tarea realizada. [9] Revisando el disco se puede buscar el valor 0x5e (que significa que el archivo fue borrado), de esta manera se puede encontrar que reas de memoria han sido borradas. Del mismo modo usando una visor hexa-decimal del disco, se pueden encontrar inconsistencias sobre el tamao o direccin del primer cluster de un archivo, de modo que se puede ver si un archivo ha sido eliminado de la FAT con intencin. D. Recuperar borrado en FAT Recuperar informacin en FAT no es tan difcil como parece, todo depende la las circunstancias, y del estado actual del sistema de archivos. Las circunstancias de las que se habla dependen principalmente del estado de fragmentacin del disco, y de la utilizacin del mismo. Si el disco esta muy fragmentado, y la utilizacin del disco es alta, hay una gran probabilidad que un nuevo archivo ocupe uno de los cluster que pertenece al archivo que queremos recuperar. Si este caso, es muy poco probable que se pueda recuperar la informacin. Si ocurre el caso contrario, es mucho ms fcil, ya que como la FAT hace una asignacin secuencial y cclica del espacio disponible, es poco probable que se pierda un cluster. [43][44] [45]. Tcnicamente hablando, el proceso de recuperacin de un archivo eliminado es el siguiente: Primero hay que buscar en el Root Directory, o en la seccin de datos, segn sea el caso, el registro (Directory Entry), que contenga el archivo eliminado. Un archivo eliminado se puede identificar fcilmente, por que en su registro, en el nombre de este, el primer carcter ha sido reemplazado por E5h. Lo que hay que hacer es cambiar este carcter, por su carcter original. Despus de hacer esto, hay que buscar el registro del cluster lgico, dentro de la FAT, que corresponde al valor que esta almacenado, en el campo Cluster Number, del registro anteriormente nombrado, y cambiar el valor de este, con uno de los dos siguientes criterios: Si el tamao del archivo, el cual tambin se encuentra en el registro, es menor que el tamao del cluster, hay que colocar en el cluster lgico, en la FAT, el valor de fin de archivo, que para el caso de FAT12 puede ser FF7-FFF, o para FAT16 es FFF7 FFFF, y con la misma teora funciona FAT32.[43][44]. Si el tamao del archivo, es mayor al del cluster, hay que calcular el nmero de cluster que ocupa. Si hay suerte, el siguiente cluster lgico disponible debe tambin ser parte del archivo. Al cluster lgico, se le coloca el valor del siguiente cluster disponible, y as, hasta que, se complete el nmero de cluster requerido, y para el ultimo se hace lo mismo que en el caso anterior. Lo anterior es valido si el disco no esta muy

5.25" 360K floppy disk 300 Oe 5.25" 1.2M floppy disk 675 Oe 3.5" 720K floppy disk 300 Oe

3.5" 1.44M floppy disk 700 Oe 3.5" 2.88M floppy disk 750 Oe 3.5" 21M floptical disk 750 Oe (1980's) disco duro (1990's) disco duro 1/2" cinta magntica 1/4" QIC metlica 8 mm cinta metlica DAT cinta metlica 900-1400 Oe 1400-2200 Oe 300 Oe 550 Oe 1500 Oe 1500 Oe

1 La coercitividad es una propiedad de los materiales magnticos y es definida como la cantidad de campo magntico necesario para reducir la induccin magntica de un material a cero.

Introduccin a la Computacin Forense 2004-I

Universidad de los Andes. NTFS vs. FAT. fragmentado, por que si lo esta, es muy posible que se encadene mal el archivo y se corrompa. [43][44][45] VI. RECUPERACIN DE INFORMACIN EN NTFS

11 D. Evidencias de Borrado para recuperacin Adems de rastrear archivos desindexados en el disco, los sistemas operativos que funcionan con NTFS proveen sistemas de auditoria y deteccin de intrusos, donde se registran sucesos como el borrado de archivos. En NT, el evento de borrar un archivo queda registrado en el security.log. En Windows 2000 hay herramientas de auditoria de instalacin opcional que registran varios tipos de eventos, incluido el borrado de archivos. Los archivos residentes en MFT al ser borrados, dependiendo de donde estaban residiendo, puede ser que no sea borrados, y a los archivos grandes solo se les borra la referencia [49]. E. Recuperar borrado en NTFS Dado que NTFS tambin funciona por referencia, la recuperacin de archivos es posible, pero un poco mas compleja que en FAT. Ya que en NTFS los directorios contienen informacin de si mismos, no de los archivos que contienen, es decir, solo contienen los clusters virtuales que estn dentro del directorio. Es por esto que la recuperacin de archivos en NTFS es ms complicada. Y tambin debido a que un archivo es una coleccin de atributos, al borrar un registro de la MFT se esta borrando el archivo en si, pero solo marca el atributo en uso como falso, lo cual es borrado para NTFS [55]. Al recuperar, una de las opciones es buscar en el log de persistencia el momento en el cual fue borrado un registro de la MFT y as recuperar el archivo, esto se debe al USN el cual fue explicado con anterioridad. Con ese nmero y la informacin en el log de persistencia el sistema de archivos recupera el archivo borrado. Pero pasado un tiempo, el diario de operaciones o log de persistencia para esa transaccin desaparece, y es ah cuando es necesario el uso de software especializado. Este software primero busca en la MFT por registros de borrado, y los recupera [54], despus busca el bloque de datos donde esta el archivo, este bloque es posible encontrarlo ya que se encuentra entre los clusters que estn disponibles, busca en ellos y recupera el archivo [54]. Estos clusters virtuales disponibles son agrupados a medida que se liberan, y se van usando conforme aumenta la cantidad de informacin en el disco. Entonces al buscar en los clusters disponibles, se encuentran los archivos que fueron eliminados. [50] La bsqueda de archivos borrados en NTFS es posible, ya que se buscan atributos comunes, que mantienen los archivos inclusive despus del borrado, nombre, tamao, fechas, etc [55]. A diferencia de FAT, archivos o directorios borrados en NTFS, tiene un campo en el encabezado del archivo o directorio que indica que fue borrado, este campo son 2 bytes. Estos 2 bytes definen el estado del archivo, para nuestro caso, solo nos importa el primer byte que define si esta en uso o borrado. [55] Ahora que se encontr el registro borrado, debemos encadenar los clusters hasta recuperar completamente el archivo. Esto se hace buscando cluster por cluster hasta alcanzar el tamao del archivo que indica su atributo [56]. Encadenar los clusters es un poco mas complicado, ya que

Es muy importante notar que NTFS es un sistema de archivos basado en transacciones por lo cual ciertas operaciones se pueden deshacer solo usando las funciones del sistema de archivos. NTFS tiene la capacidad de recuperar informacin despus de un error crtico en el sistema de archivos. Operaciones a medio terminar no estn permitidas en NTFS. Pero inclusive una vez se termina una operacin o transaccin, esta se puede deshacer. [25] A. Recuperacin Automtica de NTFS NTFS realiza lo que es conocido como recuperacin de 3 pasadas despus de una falla critica del sistema, esta solo se hace cuando en el log de persistencia se tiene que una transaccin del sistema de archivos no fue completada y pueden encontrarse errores en el sistema de archivos. Es as que se realizan las tres pasadas: Paso de anlisis: Se analiza el log de persistencia para determinar que sectores necesitan ser examinados o corregidos.[48] El sistema rehace todas las transacciones desde el ultimo punto control conocido.[48] Paso de deshacer, el sistema deshace todas las transacciones conocidas.[48] Los puntos de control se realizan cada 8 segundos, el sistema marca el log de persistencia, as solo tiene que revisar unos cuantos registros en el log de persistencia [48]. Es importante anotar que este sistema automtico, no garantiza que la informacin no se pierda, si una transaccin no se completa y el sistema falla, esta transaccin se pierde, y dada la naturaleza de esta auto recuperacin, el usuario no sabr que la transaccin no se completo. B. Borrado en NTFS El proceso de borrado en NTFS es similar al de FAT. Cuando el usuario decide que ya no necesita un archivo, selecciona el archivo y da la opcin de enviar a la papelera de reciclaje (dependiendo de la configuracin del sistema, el archivo a veces puede ser borrado directamente), la cual es solo una carpeta especial. Al seleccionar Eliminar, el sistemas de archivos va a la MTF y busca el registro del archivo y elimina el apuntador a este, de esta forma, no es posible direccionar el archivo y el cluster donde se encuentra queda disponible, y adems queda un registro en el log de persistencia.[49] C. Eliminar en NTFS El proceso de eliminacin, en NTFS, es ms complicado que en FAT, ya que la seguridad y el registro (log) de NTFS es muy superior. Pero en general lo mejor para eliminar la informacin es sobre escribir sobre los cluster que almacenan los datos. Ya que de lo contrario, es muy probable que se logre recuperar la informacin. Introduccin a la Computacin Forense 2004-I

Universidad de los Andes. NTFS vs. FAT. NTFS tiene un atributo de archivo llamado DATA, el cual esta encriptado y posee la informacin de los clusters donde se debe buscar los datos del archivo. Solo resta encadenar los datos para reconstruir el archivo, as que esta tarea es fcil [56]. F. Recuperar el Sector de Arranque En NTFS es posible recupera un sector de arranque (boot sector) porque el sistema de archivos guarda una copia de este [19]. En FAT el sistema no guarda una copia del sector de arranque.

12

VII.

DEMOSTRACIN

Se han recogido diferentes herramientas de uso gratuito o que permiten al usuario bajar un programa de evaluacin, de modo que estas sern analizadas y expuestas como parte de este paper. El demo consiste en estas herramientas, su revisin y su uso. FileRecovery Es un programa de recuperacin de datos que soporta los sistemas de archivos Fat12/16/32 y NTFS. Este programa encuentra particiones automticamente, aun si el sector de boot a sido borrado o daado (esto solo en FAT, no en NTFS); recupera archivos con sus marcas de fecha y hora originales; los archivos salvados pueden ser guardados en unidades en la red; recupera archivos aun si su encabezado no esta disponible (esta es una caracterstica que cumplen muy pocos productos), en este caso soporta arj, exe, mov, zip, avi, gif, mp3, bmp, hlp, pdf, cdr, html, png, doc, htm, rtf, dxf, jpg, tar, dbf, lzh, tif, xsl, mid y wav. Este programa se presenta como freeware. No sirve si se tienen problemas mecnicos con el drive, por ejemplo si el disco duro no es reconocido por el BIOS o hace ruidos inusuales. [14] Las siguientes son imgenes de la pantalla tomadas para explicar la funcionalidad del software. La pantalla de bienvenida permite recuperar archivos eliminados, encontrar datos perdidos o encontrar unidades perdidas.

La siguiente pantalla permite seleccionar la unidad lgica o fsica segn sea el caso.

Una vez escogida la unidad, el programa se demora unos segundos encontrando los archivos y carpetas que estaban perdidos o borrados. En esta imagen se presenta el caso de recuperacin de archivos eliminados. Estos archivos pueden ser guardados en un directorio especfico, pueden ser renombrados, y pueden ser recuperados como texto o en hexadecimal.

Introduccin a la Computacin Forense 2004-I

Universidad de los Andes. NTFS vs. FAT. Esta es la ventana de las licencias que es posible adquirir:

13

Este programa no repara unidades daadas ni recupera datos de CDs o DVDs. Adems este software no puede ser corrido desde un disquete, debe estar en un disco duro con una versin instalada de Windows 95/98/ME/NT/2000/ XP. Bajo Windows XP es necesario tener derechos de administrador para ver todas las unidades lgicas. [14] Se realizaron pruebas con este programa, y se encontr que puede recuperar bastante informacin, aun si la FAT y el directorio estn corruptos. Busca los archivos con un diccionario de headers o encabezados, y con ellos revisa los clusters hasta encontrar el final de los archivos, adems encuentra archivos ocultos, o cuya extensin es desconocida. Recupera informacin eliminada con precisin, pero tiene problemas al hacer borrado seguro. La bsqueda de archivos suele resultar en archivos que contienen mas informacin de la que originalmente fue pensada, ya que escoge un end of file, que puede no ser el correcto. File Scavenger Este programa diseado para NTFS en Windows XP, 2000 o NT, permite recuperar archivos borrados accidentalmente, incluyendo archivos borrados de la papelera de reciclaje. File Scavenger soporta discos bsicos y dinmicos, compresin NTFS, secuencias de datos alternas, nombres de archivo Unicode, etc. Se recuperan el archivo y la direccin en la que este se encontraba, con excepcin de casos extremos. Se pueden recuperar archivos de volmenes reformateados o corruptos, esto es posible aun si el volumen ha sido borrado y su posicin original y su tamao es desconocido. Este programa maneja discos con sectores daados y con particiones corruptas de manera transparente al usuario.[15] Este software puede ser instalado y corrido desde un disquete. Se puede conseguir una versin gratuita que esta restringida a 64 kilobytes de datos recuperables. La licencia personal mas econmica tiene un costo de 39.95 dlares [15]. Las siguientes ventanas son imgenes tomadas de la versin gratuita del programa. La ventana principal del programa permite escoger el modo de bsqueda, y explica las posibilidades: Normal, que es una bsqueda rpida por los archivos recientemente borrados, incluyendo los que fueron borrados en la papelera de reciclaje. Exhaustiva, que verifica cada sector del disco. Es til cuando el disco ha sido formateado o cuando no se dan resultados con la bsqueda normal. Bsqueda en volmenes muertos, esta bsqueda es igual a la bsqueda exhaustiva, pero para volmenes daados o borrados, o para reconstruir volmenes tipo RAID 0 o RAID 5, o sets de volmenes. Se puede elegir el tipo de archivo que se esta buscando, el asterisco significa que se estn buscando todos los archivos. Una vez realizada la bsqueda, los archivos encontrados pueden ser ordenados por cualquiera de las caractersticas que se exponen en la parte inferior de la pantalla, adems pueden ser vistos en directorios o como archivos individuales. Se puede adems escoger la carpeta a la cual sern recuperados los archivos.

Introduccin a la Computacin Forense 2004-I

Universidad de los Andes. NTFS vs. FAT.

14 mp3, despus de reconstruir los encabezados, es posible oir pedazos de las canciones, en promedio, 1 segundo de msica por cada 10 segundos de grabacin, para los archivos de texto, son imposibles de leer. El documento tiene la siguiente configuracin, ser eliminado por el mtodo estndar de Windows. doc_prueba.doc Cluster: 1382271 Tamao: 298496 Luego ser recuperado por ambos programas con los siguientes resultados. Stellar Phoenix FAT & NTFS Encontr y puedo recuperar el archive sin mayores problemas, el formato de Word quedo intacto.

Despus de realizar pruebas, se concluye que es una herramienta buena, pero no es precisa al recuperar archivos perdidos, aunque tiene un buen diccionario de encabezados, no es seguro que al utilizarla se estn encontrando todos los archivos perdidos. Aunque dice que esta diseada solo para NTFS, funciona en disquetes (FAT12). Un ejemplo de proceso: La primera parte del proceso es ejercer el mtodo de Guttman en el espacio libre, as el espacio libre que tiene el disco duro queda estril, de tal manera que la recuperacin del archivo es nica y confiable. Se sigue el siguiente procedimiento: Se esteriliza el disco duro. Se mira que no tenga archivos sin referencia en el disco duro (verifico la esterilizacin). Se copia el archivo a recuperar. Se elimina el archivo. Se recupera el archivo. Se repite el proceso pero con borrado seguro US DoD 5220 El documento tiene la siguiente configuracin, ser eliminado por el mtodo estndar de Windows. doc_prueba.doc Cluster: 1382271 Tamao: 298496 Stellar Phoenix FAT & NTFS Cuando se realizo la recuperacin para verificar la esterilizacin, pero no encontr ningn archivo recuperable. PC Inspector File Recovery Cuando se realizo la verificacin de esterilizacin se encontraron, 4275 archivos perdidos, de los cuales, algunos son mp3, y otros son unos archivos de texto, En los archivos Introduccin a la Computacin Forense 2004-I

PC Inspector File Recovery Encontr pero dice que su condicin es pobre, al recuperarlo se puede extraer el texto, pero algunos datos se pierden. US DoD 5220 (8-306. /E) (3 pasadas) PC Inspector File Recovery Encuentra una archive de Word, pero no recupera el nombre. Y el contenido es basura aparentemente. Stellar Phoenix FAT & NTFS No recupera nada, una vez se elimina el archivo, que borrado del todo.

Winhex Winhex-> Esta es una herramienta para editar archivos en hexadecimal. Es una herramienta muy potente que permite manipular en sistema de archivos en una gran variedad de formas. Figura 3. Editor de imgenes

Universidad de los Andes. NTFS vs. FAT.

15 necesario al recuperar archivos de cintas de soporte donde no se usan clusters. Tambin permite la recuperacin de archivos que deliberadamente estaban almacenados en lugares ocultos. Por ejemplo, para extraer todos los archivos .jpg, Winhex busca los valores FFD8FF (cuya interpretacin ascii es el caracterstico yy). Normalmente el encabezado se encontrara en un desplazamiento cero dentro del cluster ( offset 0 ). En el Anexo 1 vemos un ejemplo de como Winhex presenta parte del archivo 002.jpg en hexadecimal. Winhex es una herramienta de borrado seguro de forma manual usando tcnicas de sobreescritura porque permite editar directamente los valores en el disco. Para efectuar el borrado seguro sobre un archivo que haya sido borrado por el sistema, el usuario puede ubicar en el raw data del disco la posicin del archivo, ya sea identificando una cadena dentro del archivo, o verificando el tamao; y luego procediendo a sobre escribir los valores de formate que sea difcil volver a reconstruir el archivo.

VIII. En la Figura 3, el editor de imgenes permite explorar cada volumen, directorio y archivo del disco en forma hexadecimal, tal como estn grabados fsicamente. En la primera seccin vemos los volmenes lgicos, en este caso Removable Medium, Windows, Applications, Fun, Setup, Test1, Test2, CD-ROM Drive, RAMDrive. En la segunda seccin vemos que todos esos volmenes son realidad dos discos fsicos, 80h Hard Disk 1 y 81h Hard Disk 2. De esta forma, si exploramos los discos y carpetas en la primera seccin encontramos los datos de los archivos tal como aparecen en cada directorio, mientras que en la segunda seccin estamos viendo realmente el "raw data", es decir, se despliega la informacin tal cual est escrita fsicamente en cada volumen fsico. Winhex posee una herramienta de recuperacin de archivos. Seleccionando en el Menu de Herramientas (Tools Menu)>Disk Tools, ofrece una bsqueda de archivos que pueden ser reconocidos por su encabezado. Existe la opcin de Bsqueda por Tipo de Archivo, asi como Bsqueda por nombre de Archivo. La opcin por tipo de archivo depende solamente del formato del tipo del archivo, por ejemplo el encabezado, y por lo tanto es independiente del sistema de archivos del sistema operacional. Esta opcin es viable solamente si los archivos no estn fragmentados. El usuario selecciona el lugar donde quiere que Winhex guarde los archivos encontrados, los cuales tienen usualmente un formato de nombres "file~~~~" , donde los ~ significan nmeros que se incrementan. Opcionalmente el programa puede buscar archivos a partir de determinado desplazamiento dentro de los clusters, es decir no necesariamente en el principio de cada cluster. Esto es Introduccin a la Computacin Forense 2004-I

CONCLUSIONES

Al recuperar archivos en FAT hay que tener en cuenta que fue uno de los primeros sistemas de archivos diseados [19], y que presenta varias limitaciones, especialmente en las primeras versiones. FAT no soporta redundancia ni guarda una copia del sector de arranque. Existen muchas herramientas que permiten recuperar informacin en NTFS y FAT. La forma en que estos sistemas de archivos funcionan da muchas posibilidades al usuario de recuperar informacin o partes de esta. No se puede confiar 100% en los mtodos de borrado seguros, lo que hace dudar de la privacidad de la informacin. El objetivo del borrado seguro es de lograr que la recuperacin de la informacin sea lo mas ineficiente y costosa posible. NTFS definitivamente permite recuperar archivos con mayor precisin, esto se debe a que las caractersticas del sistema del archivos fue diseado pensado en redundancia y seguridad, los cuales son factores importantes en la recuperacin de archivos.
REFERENCIAS

[1] [2]

[3] [4] [5] [6]

Introduccin a vcr. (2004, Marzo 20). Disponible en: http://www.monografias.com/trabajos5/vcr/vcr.shtml#magne Jans Ilustrated computer Literacy. Jan Smith (2003, Agosto 27). Disponible en: http://www.jegsworks.com/Lessons/lesson6/lesson6-2.htm Protecting and handling magnetic media. National Archives of Australia. ( 2002, Junio 01). Disponible en: http://www.naa.gov.au/recordkeeping/rkpubs/advices/advice5.html Magnetic Media Preservation: Selected Bibliography. Mark Roosa. National Preservation Program Office. Library of Congress. Disponible en: http://palimpsest.stanford.edu/byauth/roosa/roosamag.html NTFS vs. FAT. NTFS.com. (2004, Marzo 21). Disponible en: http://www.ntfs.com/ntfs_vs_fat.htm Managing deleted Files. Get Practical!. (2001, Octubre 31). Disponible en: http://www.glencoe.com/norton/online/ezine/display_article.phtml? id=161

Universidad de los Andes. NTFS vs. FAT. [7]

[34] [35] [36] [37]

16
The Windows NTFS File System. Michael Lynch. Disponible en: http://www.qvctc.commnet.edu/classes/csc277/ntfs.html. 3 Abril de 2004. NTFS File Systrem. Dmitrey Mikhailov. Digit-Life.com. Disponible en: http://www.digit-life.com/articles/ntfs/?14227. 3 Abril de 2004. An Examination of the NTFS Boot Record. Daniel B. Sedory. http://www.geocities.com/thestarman3/asm/mbr/NTFSBR.htm. 3 Abril de 2004. A Disk Editor View of the NTFS Boot Record and Bootstrap Code. Daniel B. Sedory. Disponible en: http://www.geocities.com/thestarman3 /asm/mbr/NTFSbrHexEd.htm . 3 Abril de 2004. The Bootstrap Code from an NTFS Partition. Daniel B. Sedory. Disponible en: http://www.geocities.com/thestarman3/asm/mbr/NTLDR.htm. 3 Abril de 2004. Partition Boot Sector is Damaged. Active @ Data Recovery Software. Disponible en: http://www.uneraser.com/boot-sector-damaged.htm. 3 Abril de 2004. File - $Boot (7). Richard Russon. Flatcap. Disponible en: http://www.uneraser.com/boot-sector-damaged.htm. 3 Abril de 2004. NTFS Master File Table (MFT). NTFS.com. Disponible en: http://www.ntfs.com/ntfs-mft.htm. 3 Abril de 2004. Master File Table (MFT). Charles M. Kozierok. The PC Guide. Disponible en: http://www.pcguide.com/ref/hdd/file/ntfs/archMFTc.html. 3 Abril de 2004. File Allocation Table. Thomas Kjoernes. Disponible en: http://home.no.net/tkos/info/fat.html. 3 Abril de 2004. File Chaining and FAT Cluster Allocation. Charles M. Kozierok. The PC Guide. Disponible en: http://www.pcguide.com/ref/hdd/file/clust_Chaining.htm. 3 Abril de 2004. File Deletion and Undeletion. Charles M. Kozierok. The PC Guide. Disponible en: http://www.pcguide.com/ref/hdd/file/clustDeletionc.html. 3 Abril de 2004. MCSE training kit : Microsoft Windows 2000 server. Redmond, WA : Microsoft Press, c2000 Windows NT server 4 : professional reference. Karanjit S. Siyan. New Riders, c1996. NTFS Transaction Recovery. Charles M. Kozierok. The PC Guide. Disponible en: http://www.pcguide.com/ref/hdd/file/ntfs/ver_NTFS50.htm. 3 Abril de 2004. NTFS Master File Table (MFT). Charles M. Kozierok. The PC Guide. Disponible en: http://www.pcguide.com/ref/hdd/file/ntfs/arch_MFT.htm 3 Abril de 2004. Inside Win2K NTFS. Mark Russinovich. Windows & .net Magazine. Disponible en: http://www.win2000mag.com/Articles/Index.cfm?ArticleID=15719 Noviembre 2000. Managing Deleted Files (2004, Abril 13). Disponible en: http://www.glencoe.com/norton/online/ezine/display_article.phtml? id=161 Microsoft NTFS 5.0. Blake C. Adams. Milwaukee School of Engineering. Design of Operating Systems . CS - 384 . Documento en formato PFD, Blake Adams - NTFS 5.0.pdf Keeping an Eye on Your NTFS Drives: the Windows 2000 Change Journal Explained. Jeffrey Cooperstein , Jeffrey Richter. Microsoft Disponible en :http://www.microsoft.com/msj/0999/journal/journal.aspx. 3 Abril de 2004. File Recovery Concepts, NTFS.com , 2002 Disponible en: http://www.ntfs.com/file-recovery-concepts.htm Disk Scan for deleted entries, NTFS 2002 Disponible en: http://www.ntfs.com/disk-scan.htm Defining clusters chain for the deleted entry, NTFS 2002, Disponibl en: http://www.ntfs.com/assemble-clusters.htm NTFS File Types, NTFS 2002, disponible en: http://www.ntfs.com/ntfs-files-types.htm AR 380-19 Information Systems Security, Apendix E, Disponible en: http://www.fas.org/irp/doddir/army/ar380-19/appendix_e.htm

NTFS and FAT32. Aditya Sitani. (2003, Febrero 03). Disponible en: http://people.msoe.edu/~taylor/cs384/sitania.pdf [8] MS-DOS FAT File System Labs 1 & 2: Help Index. Travis Leithead, Mark Richards. (2002, Agosto 20). Disponible en: http://students.cs.byu.edu/~cs345ta/labs/winter04_specs/lab_fat_help.htm #How%20DOS%20deletes%20files/directories [9] Clearing Information from your Computers Hard Drive. National Aeronautics and Space Administration. (2004, Marzo 21). Disponible en: www.hq.nasa.gov/office/oig/hq/harddrive.pdf [10] What does it mean to Delete something?. PC IN. (2004, Marzo 21). Disponible en: http://www.pcin.net/help/articles/undelete.php [11] Technical Analysis of Data Erasure Issues. Jeita. (2004, Marzo 21).Disponible en: http://it.jeita.or.jp/perinfo-e/memorycard-e/refer.html [12] Borrado Seguro. Juan Carlos Coconubo. (2004, Febrero 04). No es pblico. [13] Degauss. Computer Hope. (2004, Marzo 21). Disponible en: http://www.computerhope.com/jargon/d/degauss.htm [14] PC Inspector File Recovery. (2004, Abril 8). Disponible en: http://www.pcinspector.de/file_recovery/UK/welcome.htm [15] File Scavenger. Quetek. (2004, Abril 7). Disponible en: http://www.quetek.com/prod02.htm#notice [16] Disk Geometry [17] NetworkWorldFusion, Wipe out (2004, Abril 12). Disponible en: http://www.nwfusion.com/newsletters/techexec/2003/0414techexec1.html [18] Microsoft Corporation, Overview of FAT, HPFS, and NTFS file systems , (2004, Abril 12 ). Disponible en L http://support.microsoft.com/default.aspx?scid=kb;en-us;100108 [19] Microsoft Corporation Recovering NTFS Boot Sector on NTFS Partitions (2004, Abril 12). Disponible en : http://support.microsoft.com/default.aspx?scid=kb;EN-US;q153973 [20] [21] [22] [23] [24] [25] [26] [27] [28] [29] Overview and History of NTFS. Charles M. Kozierok. The PC Guide. Disponible en: http://www.pcguide.com/ref/hdd/file/ntfs/over.htm. 3 Abril de 2004. High Performance File System (HPFS). Charles M. Kozierok. The PC Guide. Disponible en: http://www.pcguide.com/ref/hdd/file/file_HPFS.htm. 3 Abril de 2004. OS/2. Charles M. Kozierok. The PC Guide. Disponible en: http://www.pcguide.com/ref/hdd/file/os_OS2.htm. 3 Abril de 2004. NTFS Versions. Charles M. Kozierok. The PC Guide. Disponible en: http://www.pcguide.com/ref/hdd/file/ntfs/ver.htm. 3 Abril de 2004. NTFS 1.1/4.0. Charles M. Kozierok. The PC Guide. Disponible en: http://www.pcguide.com/ref/hdd/file/ntfs/verNTFS11-c.html. 3 Abril de 2004. NTFS 5.0. Charles M. Kozierok. The PC Guide. Disponible en: http://www.pcguide.com/ref/hdd/file/ntfs/ver_NTFS50.htm. 3 Abril de 2004. NTFS Version Compatibility. Charles M. Kozierok. The PC Guide. http://www.pcguide.com/ref/hdd/file/ntfs/verCompat-c.html. 3 Abril de 2004. NTFS Architecture Overview. Charles M. Kozierok. The PC Guide. Disponible en: http://www.pcguide.com/ref/hdd/file/ntfs/archArchc.html. 3 Abril de 2004. NTFS Basics. NTFS.com. Disponible en: http://www.ntfs.com/ntfs_basics.htm. 3 Abril de 2004. NTFS Clusters and Clusters Sizes. Charles M. Kozierok. The PC Guide. Disponible en: http://www.pcguide.com/ref/hdd/file/ntfs/arch_Clust er.htm. 3 Abril de 2004. Compression. Charles M. Kozierok. The PC Guide. Disponible en: http://www.pcguide.com/ref/hdd/file/ntfs/other_Compr.htm. 3 Abril de 2004. NTFS Partitioning Strategies. Charles M. Kozierok. The PC Guide. Disponible en: http://www.pcguide.com/ref/hdd/file/ntfs/impl_Part.htm. 3 Abril de 2004. NTFS Volume Boot Sector. Charles M. Kozierok. The PC Guide. Disponible en: http://www.pcguide.com/ref/hdd/file/ntfs/archSectorc.html. 3 Abril de 2004. Partition Boot Sector. NTFS.com. Disponible en: http://www.ntfs.com/ntfs-partition-boot-sector.htm. 3 Abril de 2004.

[38]

[39] [40] [41] [42] [43] [44]

[45] [46] [47] [48]

[49]

[50]

[51] [52] [53]

[30] [31]

[54] [55] [56] [57] [58]

[32] [33]

Introduccin a la Computacin Forense 2004-I

Universidad de los Andes. NTFS vs. FAT. Sonia V. Vivas naci en Bogot, Colombia en 1983. En el ao 2000 empez a estudiar en la Universidad de Los Andes la carrera de Ingeniera de Sistemas y Computacin, y en el ao 2003 empez a estudiar Ingeniera Industrial, en dicha universidad. Actualmente cursa ambas carreras. Sonia se encuentra realizando la tesis de pregrado de Ingeniera de Sistemas y Computacin en el rea formal, enfocada a la bioinformtica. Leonardo Rodriguez Castaeda naci en Bogot, Colombia en 1981. En el ao 1998 empez a estudiar en la Universidad de Los Andes la carrera de Ingeniera de Electrnica, y en el ao 2000 la carrera de Ingeniera de Sistemas y Computacin, en dicha universidad. Actualmente, esta cursando los ltimos semestres de Ingeniera de Sistemas, y espera recibir el titulo de Ingeniero Electrnico, a finales del mes de marzo del presente ao. Su tesis grado de Ingeniera Electrnica, fue un Simulador Electromagntico, para Antenas de Microcinta, aplicando el algoritmo de FDTD en 3D. Sus reas de inters, son la Robtica, el desarrollo de dispositivos de interfase con el PC, y las redes y sistemas distribuidos. Daniel Castro Velasco naci en Bogot, Colombia en Agosto de 1981. En el verano del ao 2000 empez a estudiar en la Universidad de Los Andes la carrera de Ingeniera de Sistemas y Computacin. En el verano del 2003 inicia estudios en Ingeniera Industrial. En el ao 2004 se volvi parte del comit editorial de la revista ACM para la facultad de ingeniera de Sistemas y Computacin en la Universidad de los Andes, cargo que actualmente posee. Adicionalmente esta realizando su tesis de grado en el tema Un modelo de IDS que usa filtros de informacin bayesianos para la clasificacin de conexiones. Manuel Camilo Cuesta naci en Bogot en 1976. Inici estudios de Ingeniera Mecnica en la Universidad de los Andes de Bogot en 1995, tres aos despus se decidi por la Ingeniera de Sistemas y la tecnologa de la informacin, y actualmente est terminando sus estudios en dicha Universidad. Manuel se ha dedicado principalmente al desarrollo de aplicaciones J2EE y recientemente J2ME. Camilo se ha desempeado como instructor para MCH Sistematizando, orientando a estudiantes del Instituto Tecnolgico de Comfenalco en Cartagena, Colombia. Asimismo ha trabajado como desarrollador de aplicaciones Web para Springboard Technology Solutions Inc. en Toronto y actualmente es el principal desarrollador de la divisin colombiana de SilverBirch Studios Inc.

17

Introduccin a la Computacin Forense 2004-I

Universidad de los Andes. NTFS vs. FAT.

Anexo 1. Ejemplo de exploracin en Winhex

18

Introduccin a la Computacin Forense 2004-I