Hardware del ordenador

ENCE EXAMEN TEMAS QUE se tratan en

el Captulo
1 EN ESTE CAPTULO:
los componentes de hardware 1 1 El proceso de arranque 1 particiones 1 sistemas
de archivos

los examinadores forenses informticos ocupan la mayora de las veces con los medios
en los que se almacenan los datos probatorios. Esto incluye, pero no se limita
a, las unidades de disco duro, CD, DVD, dispositivos de memoria flash, telfonos i
nteligentes, tabletas, e incluso antiguos disquetes y cintas. A pesar de que est
os dispositivos podran ser la pesadilla de la existencia del examinador y disposi
tivos de medios no existen en un vaco, y el conocimiento de un equipo de diversos
componentes y funciones es una necesidad para el examinador competente.
Como examinador, que podrn ser llamados a explicar cmo un equipo funciones a un ju
rado.
Para ello, es necesario saber que una funcin del equipo desde el punto de vista tc
nico y que se puede traducir los conceptos tcnicos al mundo real y fcil de entende
r.
Como un examinador, tambin puede ser objeto de un examen preliminar por el contra
rio- sel para impugnar su competencia para declarar. Las siglas no son muy escas
os en el campo de la informtica de uno de los conocidos y significativos, otros ms
oscuros. Imaginar que se pidi en este tipo de examen para explicar algunos de lo
s acrnimos habituales utilizados con los ordenadores, tales como la RAM, CMOS, SC
SI, BIOS y POST. Si se roba una en blanco en alguna oscura o incluso sigla, la i
magen su impacto en su credibilidad.
Algunos acrnimos son difciles de recordar porque su significado es a menudo oscuro
o sin sentido. Un buen ejemplo de TWAIN, que es la sigla de tecnologa sin un nom
bre interesante.
Es posible que tenga problemas con un sistema informtico en curso de examen o for
ense con su propia plataforma. Configuracin y Solucin de problemas requieren el co
nocimiento de los fundamentos que si va a tener xito.
Por lo tanto, el objetivo de este captulo es el de proporcionar una comprensin slid
a de las diversas componentes de un ordenador y mostrar cmo una sola chispa de el
ectricidad los otros componentes de sabios muertos a la vida a travs de un proces
o conocido como arrancar el ordenador. Adems, usted aprender acerca de las partici
ones y sistemas de archivos utilizado por los sistemas informticos.
Los componentes de hardware
cada profesin tiene, en su ncleo, un grupo de trminos y en el conocimiento que se c
omparte y se situ por sus practicantes. Anlisis forense informtico no es una excepc
in. En esta seccin, se discuten los trminos utilizados para describir un equipo de
componentes y sistemas.
Caso de que el caso, o el chasis, suele ser metal, y que rodea, contiene, y es c
ompatible con los componentes de sistemas informticos. Es decir, los protege inte
rferencias elctricas (en ambas direcciones) y

los componentes de hardware 3

proporciona proteccin contra el polvo, la humedad y impacto directo el dao interno
a compo- nentes. A veces es errneamente la unidad central de procesamiento (CPU)
, que no lo es.
Memoria de slo lectura (ROM) es una forma de memoria que puede almacenar los dato
s de forma permanente, o casi, en virtud de su propiedad de ser imposible o muy
difcil de cambiar o escribir. Otra propiedad importante del ROM es que es no volti

l, lo que significa que la informacin permanece cuando el sis- tema es apagado. C

on estas propiedades (de slo lectura y no voltil) hace ROM ideal para archivos de
inicio que contiene valores de configuracin y el cdigo necesario para iniciar el s
istema (BIOS ROM).
Memoria de acceso aleatorio (RAM) memoria principal de un ordenador es su espaci
o de trabajo temporal para el almacenamiento de datos, cdigo, los ajustes, y as su
cesivamente. Ha llegado a ser llamado RAM porque existe como un banco de chips d
e memoria que se puede accede al azar. Chips antes, la cinta estaba el principal
medio, y el acceso a cinta era y todava sigue siendo un proceso lento proceso li
neal o secuencial.
Con el advenimiento de los chips y de los medios de comunicacin en las unidades (
tanto las unidades de disco duro y de la unidad de disquete), los datos se podra
acceder a directamente al azar, y por lo tanto con mucha mayor rapidez. Por lo t
anto, la memoria de acceso aleatorio es el nombre dado inicialmente a este tipo
de memoria para diferenciarse de su cinta predecesor. Hoy en da, la mayor parte s
e puede acceder a una memoria al azar y el plazo original del significado funcio
nal, diferencindolo de la cinta, se ha perdido para la historia. Qu es lo que difer
encia a partir de la ROM RAM, entre otras propiedades, la propiedad es conocida
como la volatilidad. RAM se deriva memoria voltil, lo que significa que al perder
el poder, los datos almacenados en la memoria se pierde.
ROM, por el contrario, es memoria no voltil, lo que significa que la informacin pe
rmanece cuando se apaga la alimentacin.
Es importante sealar, sin embargo, que existen formas de RAM no voltil memoria den
ominada memoria de acceso aleatorio no voltil (NVRAM), y por tanto, no debe ser rp
ido para asumir que toda la memoria RAM es voltil.
El equipo forense, ms a menudo que no, encuentros com- dor que se hayan cerrado,
incautados, para su examen.
Informacin importante de la memoria RAM (el equipo de memoria voltil) se pierde cu
ando el tapn del equipo se tira. No todo est perdido, sin embargo, debido a que es
to a menudo los datos se escriben en la unidad de disco duro en un archivo llama
do el archivo de intercambio (swap). Este archivo de intercambio, en su configu
racin por defecto, puede crecer y disminuir, en la mayora de los servidores Micros
oft Windows, lo que significa que esta informacin puede estar en el archivo de in
tercambio, as como en los grupos asignados y holgura en el archivo como archivo d
e intercambio se cambia.
Los grupos asignados y archivo son las zonas flojas que contienen datos que no l
on- ger en un archivo. Hablar de ellas en detalle en el Captulo 2. Lo que es ms, si
el equipo se encuentra en el modo de hibernacin, todo el contenido de la memoria
RAM se escribe en un archivo llamado hiberfil.sys para que el contenido de la m
emoria RAM se puede restaurar desde el disco. De hecho, se puede restaurar el si
stema en el tiempo que se tarda en leer el archivo hiberfil.sys en la RAM. No es
ninguna sorpresa saber que el archivo hiberfil.sys es del mismo tamao que la mem
oria RAM del sistema.
Fuente de alimentacin la fuente de alimentacin convierte tensin de alimentacin (120
VCA o 240 VCA) a tensiones y corrientes actuales requeridas por los diferentes c
omponentes del sistema. Voltajes de CC de 3.3 voltios, 5 voltios y 12 voltios so
n siempre de una fuente de alimentacin para un formato ATX placa base.

4 Captulo 1 u ordenador Hardware

estndar del conector de alimentacin molex usada con frecuencia por los examinadore
s tiene cuatro hilos con dos voltajes diferentes (amarillo = 12 VCC+, negro = ti
erra, negro = tierra, rojo = 5VCC+ ).
Placa base o principal Este componente es la tarjeta de circuitos impresa ms gran
de dentro de la caja del ordenador. Se encuentra montada en "stand-off" para la
subida por encima del caso, un espacio de flujo de aire y evitar el contacto o c
onexin a tierra de los circuitos impresos con el caso. La tarjeta madre (motherbo
ard) por lo general contiene los siguientes elementos: el socket de la CPU, BIOS

, CMOS, CMOS battery, reloj de tiempo real (RTC), ranuras de memoria RAM, IDE (I
ntegrated Drive Electronics) controladores, Serial Advanced Technology Attachmen
t (SATA) controladores USB (Bus de serie universal) controladores, controladores
de disquete, Puerto de grficos acelerado (AGP) o interconexin de componentes peri
fricos (PCI) las ranuras video Express, PCI o ranuras de expansin PCI Express, y a
s sucesivamente. Muchas de las caractersticas que, una vez separados necesarios ta
rjetas de expansin ya se ofrece a bordo, tales como SCSI (Small Computer System I
nterface) interfaz de red, controladores (Gigabit Ethernet y wireless), video, s
onido, y FireWire (1394a y b).
Microprocesador o CPU los cerebros de la unidad, la CPU es una enorme variedad d
e transis- microscpicos dispuestos en capas. La CPU realiza procesamiento de dato
s, o interpreta y ejecuta instrucciones. En consecuencia, la mayora de las funcio
nes del ordenador y las instrucciones se llevan a cabo en esta unidad. Los proce
sadores modernos generan enormes cantidades de calor, y con rapidez y eficacia e
liminando calor es esencial, tanto para la funcin y la supervivencia del rgano.
Disipador de calor y el ventilador por lo menos, un disipador de calor y el vent
ilador se adjuntar a la CPU para mantenerlo fresco. El disipador de calor interac
ta directamente con el CPU (o cualquier otro tipo de generador de calor chip), no
rmalmente con un compuesto trmico entre. El disipador de calor consta de una alta
conductividad trmica material cuya tarea es la de sacar el calor del chip y para
disipar la energa en forma de calor en el aire circundante (con la ayuda del ven
tilador, con una serie de aletas de refrigeracin). Algunas plataformas de gama a
lta tendr soluciones trmicas (disipadores de calor y ventiladores) montado en memo
ria RAM, chipsets, discos duros y las tarjetas de vdeo. Enfriadoras de agua personas son cada vez ms populares entre los jugadores. Tenga cuidado de estos siste
mas debido a que el agua y la electricidad son generalmente en desacuerdo; por l
o tanto, los daos en los sistemas pueden ocurrir.
Unidad de disco duro es el principal medio de almacenamiento para la mayora de lo
s sistemas informticos; contiene los ficheros de arranque, los archivos del siste
ma operativo, programas y datos. Se compone de una serie de duros delgados plato
s giran a velocidades que van desde 4.800 a 15.000 revoluciones por minuto (RPM)
. Estos platos (que estn magnetizados) se puede acceder por los jefes lo hacen a
travs de sus superficies a medida que giran. Los jefes pueden leer o escribir, d
escubrir o crear cambios microscpicos en la polaridad, con los cambios positivos
que negativos 1s y 0s cambios que se estn haciendo y es por esa razn que nos refer
imos al sistema binario de " 1s y 0s."
discos duros tienen un esquema de direccionamiento para que las diversas localid
ades donde se almacenan los datos puede ser ubicado en las lecturas y escrituras
. Originalmente, este esquema de direccionamiento CHS el sistema (C = Cilindro,
H = Cabeza y S = Sector). Un sector es la menor cantidad de espacio en la unida
d que se puede escribir a la vez. Un sector contiene 512 bytes que pueden ser

los componentes de hardware 5

utilizado por el sistema operativo. Cada uno de los lados del plato est formatead
o con una serie de concentraciones de crculos conocido como pistas. Los sectores
estn contenidas en las vas, y en un principio cada pista contiene el mismo nmero de
sectores. Un cilindro es una construccin lgica; es un punto en todos los platos d
onde los jefes alinear a lo largo de un eje vertical que pase por el mismo nmero
de sector en todos los platos. Hay dos jefes de cada plato, uno para cada lado (
parte 0 y parte 1). Dependiendo del nmero de platos, los jefes sern numeradas. Pa
ra determinar el nmero de bytes en una unidad de disco duro, se utiliza una frmula
: C n H n S n = nmero total de 512 bytes. El C es el nmero total de cilindros, la
H es el nmero total de cabezas, el S es el nmero de sectores por pista, y 512 es u
na constante que representa el nmero de bytes en un sector utilizable por el sist
ema operativo (SO).
Esta frmula se aplica siempre que el nmero de sectores por pista sigue siendo el m
ismo para todas las pistas, que se aplica a los mayores, de menor capacidad unid

ades de disco duro. Sin embargo, este sistema tiene limi- taciones para la unida
d de disco duro capacidad de almacenamiento. Las limitaciones reflejan la densid
ad de poblacin (sectores por pista) pistas del interior. Las pistas exteriores, p
or el contrario, siempre puede contener ms datos que el interior contienen pistas
y espacio de almacenamiento desperdiciado. Para superar esta limitacin, Zoned-Bi
t Grabacin (ZBR) se ha desarrollado; en ZBR, el nmero de sectores por pista vara en
las zonas, con las zonas externas que contiene mayor nmero de sectores por pista
de las zonas internas. Este sistema ha mejorado enormemente las capacidades de
almacenamiento de datos.
La frmula, sin embargo, no es vlido para las modernas unidades, debido a que el nme
ro de sectores por pista ya no es constante si ZBR est presente. Para hacer frent
e a la mayor capacidad de las unidades de disco duro, un nuevo esquema de direcc
ionamiento se ha desarrollado, llamado Direccionamiento Lgico de Bloques (LBA).
En este sistema, los sectores estn dirigidas por nmero de sector, comenzando con e
l sector cero, y la electrnica del disco duro traducir el nmero de sector a la CHS
valor comprendido por la unidad.
Para determinar la capacidad de almacenamiento de las unidades de disco duro usa
ndo ZBR, puede determinar el LBA total sectores y multiplicar ese nmero por 512 (
bytes por sector). Los rendimientos del producto total del almacenamiento capac
idad de la unidad en bytes (LBA sectores total n 512 = capacidad de almacenamien
to total en bytes).
En funcin de su interfaz elctrica o el controlador, las unidades de disco duro pue
den ser ATA (Advanced Technology Attachment), que ahora est llamado a menudo PATA
a diferenciar paralelo de serie con el advenimiento de las unidades SATA, SATA
(Serial ATA); o SCSI.
Unidad de estado slido (SSD) Los discos SSD no fuera con piezas mviles, y todos lo
s datos se almacenan, en la actualidad, en chips de memoria NAND del mismo tipo
en las memorias USB. Este dato es persistente y, por lo tanto, es llamado no volt
il. Tambin puede encontrar una unidad hbrida que es una unidad de disco duro tradi
cional (plato magntico giratorio de almacenamiento) con un SSD
Estas unidades intento combinar las ventajas de ambos tipos de unidades de disco
en una sola unidad. Las unidades SSD estn evolucionando rpidamente en trminos de v
elocidad y capacidad de almacenamiento. A partir de 2011, se les puede encontrar
sobre todo en dispositivos informticos porttiles, pero con el tiempo, se converti
rn en los principales dispositivos de almacenamiento en los equipos de sobremesa.
Los SSD tienen diferentes factores de forma. Puede encontrarlos en unidad de di
sco duro (HDD) carcasas para compatibilidad con las tecnologas existentes. Usted
puede encontrar en un formato diseado en caja para montar un sistema de montaje e
n rack.
Asimismo, se puede encontrar en los distintos factores de forma desnuda junta pa
ra instalar a travs de un conector de la placa base. Por ltimo, se pueden encontra
r en un ball grid array en el que los chips de memoria son soldados directamente
en la placa base del sistema. Este ltimo permite ahorrar espacio y energa,

6 Captulo 1 u equipo
sin duda se utilizarn ms a menudo en el futuro. Para complicar an ms las cosas, los
diferentes factores de forma utilizan varios tipos de conectores, entre ellos SA
TA, mini-SATA, de propiedad la dif- y conexiones de soldadura.
Small Computer Systems Interface SCSI (SCSI) es una interfaz electrnica que se or
igin con Apple computer systems y migraron a otros sistemas. Es una de alta veloc
idad y gran rendimiento de interfaz que se utiliza en dispositivos que requieren
alta entrada/salida, como escneres y unidades de disco duro. La BIOS DE LA SCSI
BIOS es un inteligente que las colas lectura/escritura las peticiones de una man
era que mejora el rendimiento, lo que lo convierte en la eleccin de sistemas de g
ama alta. Las unidades SCSI no utilice el maestro-esclavo las configuraciones de
las clavijas del IDE. Ms bien, a ellos se les asigna nmeros de ID. que son la may
ora de las veces los puentes de fijacin.

IDE (Integrated Drive Electronics) Controlador IDE es un trmino genrico para cualq
uier unidad con su propia controladora de unidad integrada. Originalmente haba tr
es tipos, pero slo uno sobrevivi; es conocido como ATA (Advanced Technology Attach
ment). Oficialmente, la interfaz IDE ATA se llama hoy, y los dos nombres se uti
lizarn a menudo indistintamente. Dos conectores IDE se encuentran en la placa bas
e, una denominada IDE primario y el otro IDE secundario. Cada uno es capaz de ma
nejar dos dispositivos IDE (disco duro, CD, DVD), para un mximo de cuatro disposi
tivos IDE. De los dos dispositivos en el mismo cable de datos IDE, uno es el mae
stro, y el otro es el esclavo. Una de ellas pone los puentes en las patas para q
ue designe a la maestro o esclavo. Normalmente, la unidad de disco duro de arran
que ser conectado al controlador principal, y es el maestro si los dos dispositiv
os estn presentes en el canal IDE. Como alternativa, puede utilizar la seleccin de
Cable (CS) mtodo de fijacin por que la asignacin de maestro-esclavo se hace de for
ma automtica, siempre que utilice un cable que soporta adecuadamente CSEL (otra f
orma de abreviar Seleccin de Cable) sealizacin. En un 80-conductor cable IDE/ATA ut
ilizando CS, la unidad en el extremo del cable ser asignado como maestro, y la un
idad asignada al conector central ser el esclavo.
SATA (Serial Advanced Technology Attachment) al inicio de la presente- cial, IDE
(ATA) las unidades de disco duro ha sido desde hace mucho tiempo, pero el siste
ma de circuitos electrnicos mediante el cual los datos se enviaron haba llegado a
su lmite superior (133 megabytes por segundo, o MBps). En agosto de 2001, un nue
vo estndar, conocido como SATA 1.0 , fue terminado y aprobado.
SATA utiliza circuitos de serie, que permite que los datos sean enviados, inicia
lmente, a 150 Mb/s. SATA II las normas, lanzado en octubre de 2002, ha encontrad
o su camino en el mercado, con unidades SATA II ahora ofrece buffer-to-host las
tasas de transferencia de 300 Mb/s. A diferencia las unidades IDE, SATA no requi
eren "fijando." puertos SATA se pueden encontrar en ms modernas placas base y a m
enudo tienen RAID 0 disponibles para ellos. Las unidades IDE estn empezando a des
aparecer y estn siendo reemplazados por las unidades de disco duro SATA. Aunque l
as unidades IDE se est eliminando gradualmente, nufacturados forense- puede esper
ar a ver por un largo periodo de tiempo, ya que se encontraban en uso durante ms
de 10 aos.
Serial Attached SCSI (SAS) unidades SCSI como llegaron a su lmite, al igual que s
us homlogos de unidad ATA paralelo, basado en tecnologa de bus para la transmisin d
e datos. Como SATA ATA sustituido mediante un bus serie tecnologa SCSI, SAS se su
stituye con una serie de punto a punto tecnologa de bus. SAS sigue usando el conj
unto de comandos SCSI. Las unidades SAS y las unidades de cinta se encuentra gen
eralmente en los equipos de alta gama (servidores, centros de datos, y as sucesiv
amente). SAS ofrece hacia atrs

los componentes de hardware 7

compatibilidad con la generacin de dos unidades SATA, lo que significa que se pue
de conectar una unidad SATA (segunda generacin) a un plano posterior SAS, pero no
se puede conectar una unidad SAS a cualquier SATA de plano. Como es de esperar,
las unidades SAS utilizar otro conector de varios en realidad, los cuales son m
ucho ms pequeas que sus predecesores los conectores SCSI. Actualmente SAS soporta
velocidades de 6 Gbps y 12 Gbps espera a fines del 2012.
Matriz redundante de discos independientes (RAID) En primer lugar, limpiar el ai
re en el acrnimo RAID. Significa matriz redundante de unidades independientes (o
discos), y tambin se le conoce como Matriz redundante de discos econmicos (o disco
s). Por lo tanto, la carta que puede significar caros- sive e independiente, y
la letra D puede significar unidades o discos. Pero si usted se encuentra en un
argumento sobre esto en la prxima fiesta geek, no se apuesta el rancho porque una
u otra combinacin de estas palabras es correcta. Un RAID es un conjunto de dos o
ms discos combinados de tal manera de aumentar el rendimiento o aumentar la tole
rancia a fallos. En un RAID 0, los datos se dividen en dos o ms discos, lo que au
menta el rendimiento de lectura y escritura reducir tiempos. Sin embargo, si un

disco falla en un RAID 0, se pierden todos los datos. En un RAID 1, los datos se
duplican en las unidades de la matriz. UN RAID 1 no mejora el rendimiento, pero
crea datos redundantes, lo que aumenta la tolerancia a fallos. En una configura
cin RAID 5, los datos se almacenan normalmente en tres unidades, aunque otras con
figuraciones se pueden crear. Los datos se dividen en dos unidades, y una banda
de paridad se crea en el tercero. En el caso de una falla, puede ser "reconstrui
do" de los datos de los otros dos. RAID 5 logra tolerancia a fallos y un mayor r
endimiento. RAID 0 + 1 es un relativamente nuevo tipo de RAID. Normalmente se co
nfigura con cuatro unidades; se utiliza un par para las bandas de datos, y el ot
ro par es un espejo del par. Con esta configuracin, una vez ms lograr un alto rend
imiento y tolerancia a fallos.
RAID 0 + 1 tambin se puede encontrar en RAID 1 + 0. Aunque es similar, con el ant
iguo (0 +1), la banda est construido ante el espejo. Con esta ltima (1 +0), el esp
ejo se construy antes de la banda. En lugar de detenernos en un anlisis de los pro
blemas de rendimiento de estas dos configuraciones diferentes, ms razonable que l
os tcnicos pueden encontrar motivos de controversia, nos moveremos.
Las unidades de disquete Unidad de disco que se utilizan dispositivos de almacen
amiento primario. Actualmente se utilizan para almacenar y mover pequeas cantidad
es de datos, dado que la capacidad del disquete de 3,5 pulgadas es slo 1,44 MB de
datos. Mdicos Forenses utilizan a menudo como unidades de arranque para arrancar
los sistemas de DOS adquisiciones, que es un mtodo de adquisicin de datos utiliza
ndo un disco de inicio en DOS. Hablar de esto extensamente en el Captulo 4. Las un
idades de disco estn siendo gradualmente en lugar de las unidades de CD/DVD y mem
orias USB.
Cuando en el campo de imagen de un sistema, siempre un paquete interno de repues
to unidad de disquete de 3,5 pulgadas. Es posible que tenga que realizar una adq
uisicin DOS, y el sistema de destino no puede ser equipado con una unidad de disq
uete. O bien, el uno de los presentes puede ser defectuoso, y un CD de inicio no
puede ser una opcin. Tenga en cuenta que EnCase v7 se retir la versin DOS de encie
rre (en.exe) que puede cargar desde un disquete. Linux EnCase (lino) est disponib
le, que utiliza proceso de 32 bits- frente a slo 16 bits en DOS. Sin embargo, la
ropa no cabe en un disquete, por lo que una unidad de CD-ROM.

Captulo 1 u 8 Equipo
Disco Compacto - Memoria de slo lectura (CD-ROM) o Disco Compacto - Lectura/Escri
tura (CD-RW) de las unidades de CD utilizan rayos lser para leer hendiduras y zon
as planas de 1s y 0s, respectivamente.
Los datos se formatean en una espiral continua que emana desde el centro hacia f
uera. (Contradictoriamente, la unidad de disco duro se aplica formato a los dato
s en crculos concntricos.) CD-ROM es de slo lectura, mientras que CD-RW permite gra
bar en CD adems de leer.
Disco Verstil Digital - Memoria de slo lectura (DVD-ROM) o Disco Verstil Digital Lectura/Escritura (DVD-RW) unidades de DVD utilizan una tecnologa similar a la de
las unidades de CD. El rayo lser utilizado con DVD es una longitud de onda ms cor
ta, creando pequeos pozos y tierras, lo que en realidad son las depresiones y ele
vaciones de la superficie fsica. El resultado es una espiral que es ms densamente
pobladas con los datos. Par esta mejora con espiral las vas, y el aumento de capa
cidad de almacenamiento de datos es enorme. Mientras que una tiendas de CD, en s
u mayora, aprox. en todo 700 MB de datos, un DVD puede almacenar 8 GB a 17 GB de
datos, con una mayor densidad en el horizonte.
Controlador USB bus de serie universal (USB) es un estndar de bus perifrico extern
o capaz de serie de entrada/salida de alta velocidad (USB 1.1 = 1.5 Mbps, USB 2
= 480 Mbps y USB 3 = 5 Gbps). Se ha desarrollado para facilitar Plug and Play p
ara dispositivos externos, sin la necesidad de tarjetas de expansin y problemas d
e configuracin.
Puerto USB es un rectangular puerto conectado al controlador USB, con pasadores
para cuatro conductores (1: cable de alimentacin, 2: los datos negativos, 3: dato

s positivos, y 4: tierra de todo rodeado por proteccin). Estos puertos se utiliz

an para las conexiones USB, los cuales pueden ser los dispositivos de almacenami
ento externos, cmaras, llaves de licencia, teclados, ratones, y as sucesivamente.
IEEE 1394 Tambin conocido como FireWire (el nombre con licencia de Apple) o iLink
(Sony), 1394 es otra serie de alta velocidad E/S estndar. Sus capacidades Plug a
nd Play estn en un paralelo con el USB. El 1394 viene ahora estndar en dos velocid
ades. El estndar 1394a es la versin original, moviendo los datos a 400 Mbps El 139
4b es la versin ms reciente, el traspaso de datos a 800 Mbps, con velocidades giga
bit previsto antes. 1394 "En cadena" de dispositivos, con un mximo de 63 nodos.
Puertos IEEE 1394a puertos FireWire son similares a los puertos USB, con la exce
pcin de que un extremo es ligeramente redondeada o puntiaguda. Hay seis cables/pa
tillas de conexin 1394, con dos pares de lneas de datos y reloj, ms dos por el pode
r (uno positivo, uno negativo). Puertos FireWire se utilizan fundamentalmente d
e dispositivos de almacenamiento de alta velocidad, cmaras, sistemas multimedia,
y as sucesivamente.
Puertos IEEE 1394b FireWire 800 o puertos IEEE 1394b son de forma rectangular y
con un recuadro con muescas para que sean nicos. Mientras que usa 1394a seis cond
uctores, 1394b utiliza nueve conductores. De los tres conductores adicionales, d
os de ellas se utilizan para el blindaje (el escudo protector y B). La proteccin
adicional proporciona una mejor seal y mayor velocidad de transferencia, lo que
permite a 1394b tienen velocidades de datos de 786,432 Mbps, generalmente redond
eadas a 800.
Thunderbolt Puertos slo cuando todos pensaban que el USB3 fue rpido, y es de 5 Gbp
s, Apple debut relmpago en 2011 Febrero. Desarrollado por Intel, e introducido en
el mercado por parte de Apple, Thunderbolt es una conexin en serie interfaz de lo
s dispositivos perifricos que se conectan a un ordenador a travs de un bus de expa
nsin. Hasta siete dispositivos pueden ser encadenados en un relmpago

los componentes de hardware 9

puertos, hasta dos de los cuales pueden ser monitores de alta resolucin con Displ
ayPort. La velocidad del relmpago, sin embargo, es lo que ha provocado la real sh
ockwave. Thunderbolt puede mover los datos a 10 Gbps, y que es bidireccional. Pa
ra anlisis forense, esta es una gran noticia ya que mover ms datos de forma ms rpida
es siempre de gran demanda.
Modalidad de disco de destino (TDM) y relmpago
para aquellos que utilizan la FV para arrancar sistemas Macintosh para la creacin
de imgenes, que est acostumbrado a ver el smbolo FireWire al arrancar con xito en T
DM. Si el equipo es compatible con Thunderbolt, ver un icono Relmpago al iniciar T
DM. Si la mquina tiene dos puertos FireWire y Thunderbolt, ver ambos iconos. Esto
no quiere decir, sin embargo, que se consigue la mxima velocidad de Rayo TDM. Pru
ebas de relmpago en TDM muestran velocidades ligeramente ms rpido que FireWire 800.
Sin embargo, proporcionan otro medio de extraer los datos de un sistema Macinto
sh. Ms informacin sobre esto ms adelante.
Ranuras de expansin (ISA, MCA, EISA, VL-Bus PCI, AGP, PCI Express) ranuras de exp
ansin estn pobladas por "tarjetas" cuyo objetivo es el de conectar dispositivos pe
rifricos con el bus de E/S de la placa base, de forma que estos dispositivos peri
fricos pueden comunicarse con la CPU. Hay varios tipos de dispositivos perifricos,
y ampliar las capacidades del equipo. Ranuras de expansin vienen en diferentes s
abores, o de las velocidades, que han evolucionado con el tiempo. No es muy frec
uente encontrar los modelos ms antiguos, como la arquitectura estndar de la indust
ria (ISA, 8 bits y 16 bits en 1981 y 1984, respectivamente), IBM Micro Channel A
rchitecture (MCA, 32 bit en 1986), o Extended Industry Standard Architecture (EI
SA, Compaq y genrico, de 32 bits en 1986). El VESA Local Bus (VL-Bus, que lleva
el nombre del Comit VESA que han desarrollado) estaba en uso du- rante 1992 y 199
4 y aparece como un legado ranura PCI en algunos sistemas de bus todava en uso.
La VL-Bus utiliza la ranura ISA de 16-bit y una extensin de 16 bits heredadas y n
uevas tarjetas de 32 bits. La interconexin de componentes perifricos (PCI) en el a

utobs, naci en 1992 y todava est en uso hoy en da. Existe principalmente como un 32-b
it, pero algunos sistemas de gama alta ofrecen una 64 bits interface PCI. Despus
de 10 aos, en julio de 2002 el diseo PCI haba llegado a su lmite de velocidad superi
or y fue sustituido con la especificacin PCI Express 1.0, que es encontrar su cam
ino hacia el mercado dominante. La primera se basa en datos paralelos de las com
unicaciones, mientras que el segundo se basa en las comunicaciones de datos en s
erie, con nmero de serie ms rpido facilitando las comunicaciones de datos. Atrapado
entre el PCI y PCI Express fue el Puerto de grficos acelerado (AGP). AGP se bas
a en PCI, con mejoras, sino que estaba conectado por separado de el bus PCI y se
uni a travs de una va exclusiva para video/ uso de grficos por el sistema. AGP PCI
Express sustituye por completo para los grficos. PCI Express coexiste en la mayora
de las nuevas placas con "legado" las ranuras PCI, con el ltimo programado para
extincin de los cambios del mercado para PCI Express (que se espera que sea el bu
s PC dominante arquitectura para los prximos 10 a 15 aos). En los ordenadores por
ttiles, tarjetas de extensin se llaman las tarjetas PC (tambin llamado las tarjetas
PCMCIA despus de que la organizacin que se han creado, la Personal Computer Memor
y Card International Association). Tarjeta del PC es el nombre de marca asignad
a por la PCMCIA.

10 Captulo 1 u Equipo
estas tarjetas, que son casi del tamao de una tarjeta de crdito, enchufe en una ra
nura accesible desde el exterior y sirven para el mismo propsito en los porttiles,
ya que las otras tarjetas de extensin para los ordenadores.
Tarjeta de sonido la tarjeta de sonido es el conjunto de circuitos para grabar o
reproducir sonido multimedia.
Los circuitos se pueden encontrar en forma de una tarjeta de extensin, un codec d
e sonido (compresin/descompresin mdulo) chip de la placa base, o el hardware integr
ado en la placa madre chipset principal de. Estos dispositivos de hardware tiene
n interfaces de micrfonos, auriculares, altavoces amplificados de salida, entrada
de lnea, reproductor de CD, y as sucesivamente. La tarjeta de sonido hardware que
requiere el uso de un software en forma de un conductor con el fin de poder fun
cionar.
Tarjeta de video (PCI, AGP, PCI Express) en su forma ms bsica, la tarjeta de video
es el conjunto de circuitos o interfaz para transmitir las informaciones que ap
arecen como imgenes en la pantalla del ordenador o monitor. Las tarjetas de gama
alta puede realizar capturas de vdeo. Los circuitos se pueden encontrar, al igual
que con la tarjeta de sonido, en la forma de una tarjeta de extensin, como un ch
ip de la placa base, o integrado en el chipset de la placa base principal. Adapt
adores de pantalla actual utiliza el 15-pin VGA (Video Graphics Array) conectore
s analgicos o la interfaz de Video Digital (DVI) analgica/digital. Al igual que la
tarjeta de sonido, la tarjeta de vdeo requiere un software en forma de un conduc
tor con el fin de funcionar. Tanto video como sonido extremo han sufrido mejoras
a lo largo del tiempo. Sonido que se utiliza slo para la solucin de problemas y e
n la forma de sonidos. Video de blanco y negro para texto de muestra slo. Ambos a
hora son capaces de combinar para ofrecer sonido de alta calidad y de tres dimen
siones (3D) grficos para juegos y pelculas.
Reloj en tiempo real (RTC) RTC es el reloj del sistema para almacenar la fecha y
la hora del sistema, que se mantiene a travs de la batera cuando el sistema se ap
aga. Esta batera es a menudo llamado la batera CMOS, y el chip de la RTC es a menu
do llamado el chip CMOS (como el chip propio material es producido utilizando la
tecnologa de semiconductor complementario).
Oficialmente, sin embargo, el chip CMOS se denomina RTC/NVRAM. Ya he explicado e
l RTC. NVRAM de memoria de acceso aleatorio no voltil, lo que significa que la in
formacin sigue siendo cuando el sistema se apaga y se puede acceder a los datos a
l azar en lugar de en forma lineal. La NVRAM almacena los datos de configuracin bs
ica que hemos venido en llamar datos del CMOS, que es la cantidad de memoria ins
talada, el tipo de disco y unidades de disco duro, y otros de valores de configu

racin.
La tecnologa de semiconductor complementario CMOS es el proceso por el cual la RT
C/NVRAM chip es producida. CMOS se utiliza a menudo en lugar de RTC/NVRAM (el trm
ino oficial) y puede ser utilizado en el contexto de la configuracin de la CMOS,
que incluye la fecha y hora del sistema (RTC) y los datos de configuracin bsica.
Batera CMOS para mantener los datos de la configuracin crtica cuando el sistema est
apagado, la RTC/NVRAM chip est alimentado por una batera. Estas bateras tienen una
larga vida de servicio. La batera es generalmente un centavo de plata tamao disco
montado en la placa base. En algunos sistemas (Dallas Semiconductor o Benchmarq)
, la batera est integrada en el mismo chip. Las expectativas- es que durar 10 aos, q
ue es ms larga que la vida til de la mayora de los sistemas informticos. Algunos sis
temas utilizan ningn tipo de batera, en lugar de usar un condensador para almacena
r una carga que se utilizar cuando el sistema est apagado. Algunos sistemas utiliz
an una combinacin de batera y un condensador para que el condensador de alimentacin
el chip durante cambios de batera para que los datos nunca se pierdan.

Los componentes de hardware 11

Uno de los valores de configuracin de la RTC/NVRAM, aka chip CMOS, es el inicio d
el BIOS o contraseas de acceso. Uno de los mtodos para sortear estas contraseas es
sacar la batera del CMOS y permitir que el chip a perder su configuracin cuando se
corta la alimentacin, volviendo a fac- tory valores predeterminados.
BIOS BIOS significa Basic Input Output System y es una combinacin de nivel bajo d
e soft- ware y los controladores que funcionan como la interfaz, intermediario,
o de la capa entre el hardware del ordenador y el sistema operativo. Se carga en
la memoria RAM a partir de tres fuentes posibles:
u de la tarjeta madre (motherboard) ROM (ROM BIOS)
u de la tarjeta adaptadora ROM (por ejemplo, tarjeta de video, tarjeta SCSI)
u del disco en forma de controladores de dispositivos
y las siglas BIOS CMOS (RTC/NVRAM) a menudo se confunden y utilizan equivocadame
nte indistintamente. Son sistemas independientes, aunque estn estrechamente relac
ionados entre s y son interdependientes.
La interfaz de usuario para la configuracin almacenada en RTC/NVRAM memoria se ac
cede a travs de un programa de instalacin contenido dentro de la BIOS. Los ajustes
almacenados en RTC/NVRAM son ledos por el BIOS durante el arranque y se aplican
a la configuracin del sistema.
Dos ajustes importantes en RTC/NVRAM para los examinadores
forenses informticos los examinadores debern estar afectado, con al menos dos impo
rtantes valores almacenados en RTC/NVRAM, que se accede mediante el software del
BIOS Setup ms a menudo. Setup se puede acceder durante el inicio del sistema med
iante una llave especial o combinacin de teclas, como F1, F2, F12, Esc, o Elimina
r. Por lo general, la tecla o combinacin de teclas se mostrar como se inicia el si
stema. Estos dos parmetros son los siguientes:
u Fecha y hora del sistema
u Orden de inicio
el primer ajuste es importante para ayudar a establecer una lnea de base de tiemp
o del sistema, y la segunda puede tener que ser cambiado por el examinador si la
unidad deben crearse en su lugar a travs del uso de un disquete de inicio o CD
EFI (Extensible Firmware Interface) en el ao 2000, los ingenieros public la primer
a versin de EFI, una interfaz mejorada diseada para sustituir el antiguo BIOS firm
ware utilizado histricamente en todos IBM ordenadores PC-compatibles. Esta interf
az se encuentra entre el sistema operativo y el equipo de firmware y hardware. E
n el ao 2005 Intel ha cambiado a Unified EFI EFI (UEFI) para reflejar sus contrib
uciones a la especificacin. En el mes de marzo de 2007 Intel lanz su ltima versin de
la especificacin (en el momento de redactar este artculo), que es 2.1 . UEFI es t
ambin lo que se denomina "EFI, y ambos son a menudo llamado el BIOS, no fuera de
la exactitud, pero fuera de la costumbre.

12 Captulo 1 u Equipo
Intel utiliza la innovacin de Intel como un aplicacin que es compatible con EFI y
tambin es compatible con BIOS DE LOS PC por medio de un mdulo de compatibilidad o
MCE. Esta aplicacin fue originalmente llamado Tiano pero desde entonces se ha den
ominado simplemente Marco.
Cuando EFI se usa en lugar del tradicional BIOS, un gestor de arranque EFI se us
a. El gestor de arranque EFI selecciona y carga el sistema operativo, y un gesto
r de arranque ya no es necesario.
Sistemas Intel Itanium, publicado en 2000, fueron de los primeros en utilizar EF
I. La mayora de las placas se entregan desde 2006 uso basado en un marco del firm
ware, comenzando con los chipsets de Intel Intel 945 compatible con EFI. En 2006
Apple lanz su primera equipos Macintosh basados en Intel, todos los cuales utili
zaron EFI y Marco. A pesar de la compatibilidad integrada para EFI en los produc
tos de Intel, en el momento de redactar este informe, la Manzana es el nico prove
edor principal para tomar ventaja de EFI.
Puerto del ratn al puerto del ratn es el puerto de interfaz en el que el ratn est co
nectado al ordenador. Los antiguos sistemas utilizar un puerto serie, y los nuev
os sistemas utilizan un PS/2 (tipo mini-DIN). Aunque la mayor parte de los equi
pos de el puerto PS/2 opcional, el ratn que compra hoy, probablemente con la inte
rfaz USB. Usted puede comprar PS/2 adaptadores de ordenador de las ferreteras.
Puerto de teclado es el puerto de la interfaz en la que el teclado est conectado
a la computadora. Sistemas antiguos con una de cinco patas puerto redondo y sist
emas ms nuevos, utilice la conexin PS2. Como con el ratn, la mayora de los sistemas
hoy barco con puertos PS2 y teclados buque normalmente pero con conexiones USB.
Tarjeta de interfaz de red (NIC) La NIC es una tarjeta de extensin se utiliza par
a conectar el ordenador a una red. Esta funcionalidad est disponible a travs de la
conexin USB y est integrada en la mayora de las motherboards y porttil fabrica en l
a actualidad. Ethernet es el tipo ms comn de red en uso Token Ring, pero an se encu
entra en algunos entornos heredados. El tipo de red implementada determina qu tip
o de adaptador de red, Ethernet o Token Ring, ser usado. Cada tarjeta tiene una d
ireccin de hardware nica o nmero de serie codificado en su memoria.
Esta direccin se denomina direccin de Media Access Control (MAC). La capa de enlac
e de datos (DLL) protocolo que utiliza esta direccin para identificar y comunicar
se con otras NIC en la misma red. Esta direccin es de 48 bits, o seis conjuntos d
e valores hexadecimales, y se compone de dos partes.
Los tres primeros valores hexadecimales identificar al fabricante. El segundo co
njunto de tres hexa- valores decimal es un nmero de serie nico aplicadas por el fa
bricante de la tarjeta.
Hoy la mayora de las tarjetas de red son de 10/100 Mbps; sin embargo, Gigabit Eth
ernet (1000 Mbps) es bastante comn. Otro tipo de red inalmbrica es la red, en la c
ual los los paquetes de la red se envan a travs de ondas de radio en lugar de cabl
es. Tarjetas de interfaz de red inalmbrica son habitualmente PCI o USB o se ofrec
en como a bordo de la placa base. Los tres tipos requieren una antena para recib
ir la seal.
Mdem un mdem, que significa modular/demodular, se utiliza para conectar un ordenad
or a otros ordenadores a travs de un telfono como el portador de la seal. El mdem ta
rda su computadora digital de seales y modula, o transforma, ellos en seales analgi
cas para alimen- a travs de lneas telefnicas. En el extremo receptor, el mdem demodu
la, o transformaciones, las seales analgicas de la lnea telefnica en seales digitales
que el equipo receptor puede entender.

Los componentes de hardware 13

Primeros Auxilios Sugerencia
Al descubrir que el equipo de destino est conectado a una red (telfono, cable, wir

eless), una de las primeras preocupaciones debe ser la posibilidad de la destruc

cin de los datos mediante conexin remota. Desconectar la conexin de red, o si es in
almbrico, como un ordenador porttil), desactivar el botn de conexin inalmbrica. Si el
interruptor de conexin inalmbrica no est presente, es posible que tenga que apagar
la mquina inmediatamente. Sin embargo, tenga en cuenta que la decisin de "desench
ufar" deben sopesarse contra la prdida de las posibles pruebas de ello.
Los procesos en ejecucin, conexiones de red, y los datos en memoria RAM voltil se
perder una vez que usted saque el enchufe. Si su caso depende de ello datos voltil
es, puede optar por proporcionar una proteccin para bloquear las transmisiones in
almbricas mientras que usted capture los datos voltiles.
Puerto paralelo El puerto paralelo es una relativamente gran puerto se utiliza p
rincipalmente para las conexiones de impresora legado, aunque algunos otros disp
ositivos son conocidos por usar esta conexin. Paralelamente se describe un mtodo d
e transmisin de datos en la que los datos se envan en paralelo vas elctricas al mism
o tiempo. Transmisin de datos en paralelo sufre limitaciones en altas velocidades
con problemas de sincronizacin, limitaciones de longitud del cable y otros probl
emas. Que est siendo sustituido por los datos en serie trans- misin mtodos y tecnol
ogas, principalmente USB.
Puerto serie El puerto serie es puerto de E/S que se utiliza para la conexin de d
ispositivos que utilizan conexiones transmisin de datos en serie. El puerto serie
ms comn que se encontrar es la conexin RS-232. Las estaciones mayores tiene dos pue
rtos serie pero puede admitir cuatro; sin embargo, slo dos en un momento pueden s
er utilizados porque cada par utiliza los mismos recursos de hardware. Muchos me
r- cado las estaciones ya no tienen un puerto serie.
Ver que la terminologa.
El mbito de la informtica forense es an relativamente nuevo, y es an ms reciente con
respecto a la aplicacin de la ley. Nuestro trabajo como equipo mdicos forenses no
se limita a realizar- los exmenes. Yo mismo me siento tener que explicar y educar
a las personas a mi alrededor. Esto incluye a los co-trabajadores, supervisores
, los abogados, los jueces y, lo que es ms importante, el jurado.
He sido testigo de innumerables informes, rdenes de bsqueda, y los testimonios en
los que se utilizaron trminos inadecuados para describir un ordenador. He ledo los
informes de la polica donde los oficiales han solicitado exmenes de cpu y cajas d
e ordenador. Mejor an, he observado una orden de registro firmada por un juez lo
que permite que el equipo examen forense- iner para realizar una bsqueda de un mo
nitor de ordenador. Al parecer, el oficial testigo de algo de valor probatorio e
n la pantalla y lo quera examinar!
Si, como un examinador se enfrenta con terminologas inexactas que describe el dis
positivo que se ha de examinar, no tiene la autoridad legal para que se examine
el dispositivo slo porque se ha aprobado la peticin. En estos casos, los informes
de la polica tiene que ser corregido y el mandamiento de registro modificado ante
s de realizar los exmenes.

14 Captulo 1 u Equipo
El Proceso de Arranque
En este momento, ya he discutido sobre una amplia gama de componentes de sistema
s informticos y sistemas.
Siguiente tratar el proceso de arranque. Componentes de sistemas informticos son i
ntiles trozos de gastrocnemios, cobre, oro y estao hasta que son despertados por u
na chispa de electricidad, que sigue una ruta de acceso predeterminada, las prue
bas de los distintos componentes del sistema, estableciendo parmetros de configur
acin y carga de piezas de cdigo que culmina en la carga de un sistema operativo fu
ncional, configurar de forma personalizada para su hardware y software los procesos. El proceso por el cual esto ocurre es el proceso de arranque, con el nomb
re de el proceso de "pull-ing en la levanta." es el proceso por el cual PC siste
mas informticos a la vida, y es el proceso que los examinadores forenses informtic
os deben entender y pueden ser llamados a describir.

El proceso de arranque comienza cuando el usuario presiona el botn de encendido y

se inicia el sistema.
Cuando esto ocurre, llevan a cabo los pasos siguientes con independencia del sis
tema operativo:
1. Cuando se pulsa el interruptor de encendido, el proceso inicia la autoprueba
de encendido (POST).
Antes de que la energa sale de la fuente de alimentacin, la fuente de alimentacin l
leva a cabo su propio POST, asegurndose de que las tensiones y los niveles actual
es son aceptables. La corriente elctrica de la fuente de alimentacin sigue una rut
a de acceso predeterminada a la CPU. Cualquier informacin residual de la CPU se b
orrarn. Esta seal tambin un registro de la CPU se restablece el contador de program
a. En el caso de los estimulantes de tipo anfetamnico y ms tarde los ordenadores,
este valor es LA F000. El valor describe la direccin de la siguiente pieza de cdig
o que se va a procesar. En este caso, la direccin de F000 corresponde con el inic
io de un programa de arranque en la BIOS ROM.
2. El programa de arranque (a veces llamado bootstrap) en la ROM BIOS inicia una
serie de comprobaciones del sistema. El primer paso en el proceso es ejecutar u
n conjunto de instrucciones o cdigo para comprobar la CPU y el proceso de la POST
, comparndola con un conjunto de valores almacenados en el BIOS chipset. La CPU y
POST primero hay que comprobar antes de que se puede confiar en que el resto de
l sistema. En la medida en que los valores coinciden y que "pasar", el POST proc
eso contina hasta el prximo paso.
3. Las seales se envan a la CPU para el bus del sistema (principal ruta elctrica) p
ara asegurarse de que el bus funciona correctamente. Si esto pasa la prueba, con
tina en el siguiente paso.
4. La CPU prxima prueba el RTC, o reloj del sistema. Este reloj mantiene todo el
sistema las seales elctricas en la sincronizacin. Si el RTC pasa su POST, POST cont
ina en el siguiente paso.
5. La siguiente prueba el sistema de componentes de vdeo. La memoria de vdeo es pr
ueba, como lo son las seales enviadas por el dispositivo. El vdeo se ha aadido la B
IOS del sistema general del BIOS, que se almacena en la RAM. Es slo en este momen
to en el proceso de arranque que ver el usuario cualquier cosa en la pantalla.
6. En la prxima fase de POST, el sistema de memoria principal, LA MEMORIA RAM, es
probado. Los datos se auto- diez a la RAM. Los datos se leen y se compara con e
l original los datos enviados. Si coincide, que pasa; si no coincide, no pasa. D
ependiendo de la configuracin del sistema, el usuario

los componentes de hardware 15 de

mayo ver el "countdown" como el volumen de la memoria RAM es probado. Si la memo
ria RAM pasa esta prueba, despus contina con el siguiente paso.
7. La CPU siguiente pruebas para ver si el teclado est conectado correctamente y
si alguna de las teclas presionadas. Si alguna vez te has dejado accidentalmente
un libro o documentos sobre un teclado durante el arranque, se le recordar sin d
uda el pitido de error y mensaje en la pantalla de esta prueba! Suponiendo que l
a prueba ha sido satisfactoria, contina en el siguiente paso.
8. POST siguiente enva seales de bus rutas especficas para determinar qu unidades (d
isquetes, CDs, discos duros, etc. ) estn disponibles en el sistema.
9. Los resultados de la POST se comparan con los de los ajustes de configuracin d
el sistema que se almacenan en la CMOS, que has aprendido es lo que propiamente
se llama RTC/NVRAM. Si los ajustes no coinciden, se da al usuario la oportunidad
de actualizar la configuracin a travs de la utilidad de configuracin. Si la pasa,
el siguiente paso en POST.
10. Si cualquier otro componente del sistema contiene su propia BIOS, que se car
ga en la BIOS en la RAM en este momento. Un ejemplo tpico es la BIOS SCSI. Plug a
nd Play se encuentra prximo, config- urante los dispositivos Plug and Play, confi
guracin de sistemas, recursos y por escrito los valores de RAM. En este punto, el
sistema est listo para cargar un sistema operativo especfico.

11. El cdigo bootstrap (programa de arranque) ha terminado uno de sus dos misione
s principales, la de conducir el puesto. Su ltima tarea es la de buscar las unida
des disponibles para un sistema operativo de acuerdo con el orden establecido en
la secuencia de arranque. Por lo tanto, el arranque de la BIOS ROM cdigo busca e
n el primer sector del disco duro de arranque por defecto (en el primer lugar de
la lista de la secuencia de arranque) para el master boot record (MBR) y encont
rarlo, lee en la memoria y las pruebas, para una firma vlida. La "firma" es de he
x 55AA (tambin a veces resulta 0x55AA, como se discuti en el captulo 2), situada en
los dos ltimos bytes de este sec- tor. Si esto no coincide, se devuelve un mensa
je de error; de lo contrario, el proceso de arranque. La Figura 1.1 muestra una
unidad de disco duro con el MBR y un VBR (volume boot record), y la Figura 1.2 m
uestra un disco que tiene slo una VBR.
12. El MBR contiene 64 bytes tabla de particiones situado en desplazamientos de
bytes 446 a 509. Cada uno de ellos de hasta cuatro particiones es descrito por 1
6 bytes en el 64 -tabla de bytes. El MBR lee su propia tabla de particiones de a
rranque byte indicador que marca una de las particiones como particin activa. Una
particin debe estar activo para arrancar, y no puede haber ms de una particin marc
ada como activa. La ausencia de una particin activa o ms de una particin marcada co
mo activa aparecer un mensaje de error. El MBR lee el VBR de la particin marcada c
omo activa, lo carga en la memoria, y realiza la misma firma prueba llevada a ca
bo con el MBR, en busca de los dos ltimos bytes de la VBR para leer como hexadeci
mal 55AA. Si el test falla, se devuelve un mensaje de error. Si la pasa, el VBR
cdigo se ejecuta o se ejecuta. El VBR cdigo o programa busca y ejecuta el sistema
operativo en ese volumen. Lo que sucede en el proceso de arranque depende del si
stema operativo que se carga en la particin de arranque activo.

16 Captulo 1 u Equipo
FIGURA 1.1 unidad de disco duro con
MBR MBR y VBR VBR
FIGURA 1.2 unidad de disquete con slo VBR
VBR slo

los componentes de hardware 17

El MBR se refiere a las unidades de disco duro. Si el medio de arranque se retir
e- (por ejemplo, un disquete o una unidad flash USB), no hay. Es ms, slo un VBR se
encuentra en el primer sector. Por lo tanto, cuando el sector de arranque (desd
e un disquete, el VBR es slo leer y ejecutar porque no hay MBR en un disquete.
A travs de paso 12, el proceso de arranque es el mismo tanto si est arrancando en
DOS o Windows. Los pasos del 13 al 17 sern diferentes para Windows NT/ 2000/XP, W
indows Vista, Windows Server 2003/2008, y Windows 7. Describir en primer lugar cmo
iniciar en DOS, en los pasos 13 a 17. A continuacin, explicar cmo arrancar Windows
.
Arranque en DOS:
13. El cdigo del VBR localiza y ejecuta la inicial o primaria archivo de sistema,
que se
IO.SYS (IBMBIO.COM de IBM systems). Como parte de la ejecucin, SYSINIT (una subr
utina de IO.SYS) se ejecuta. Este cdigo ejemplares en la regin ms alta de memoria D
OS contiguas. El cdigo siguiente busca y lee MSDOS.SYS, copiarlo en baja de la me
moria y sobrescribir la parte de IO.SYS en la zona baja de la memoria que contie
ne el cdigo de inicializacin (SYSINIT), porque ya no es necesario.
14. SYSINIT ejecuta MSDOS.SYS (IBMDOS.COM o de sistemas de IBM). MSDOS.SYS inic
ializa controladores de dispositivo bsicos y los controles en el estado del siste
ma. Tambin se restablece el sistema de disco, se reinicia diversos dispositivos q
ue estn conectados al sistema, y establece parmetros por defecto del sistema. Func

iona con el BIOS del sistema para gestionar los archivos, ejecute el cdigo, y res
ponder a las seales de hardware.
15. Con el sistema de archivos de DOS en marcha y activa, SYSINIT (contenidos en
IO.SYS) recupera el control del proceso de arranque. SYSINIT lee el archivo CON
FIG.SYS, tantas veces como son las declaraciones en la misma como proceso. El di
spositivo declaraciones se procesan en primer lugar, en el orden en que aparecen
, seguida de la instalacin en el orden de aparicin. Una vez hecho esto, si una ins
truccin SHELL est presente, es ejecutar. Si no hay ninguno presente, el shell por
defecto con los parmetros por defecto (COMMAND.COM). SYSINIT ahora est completa, p
or lo tanto COMMAND.COM se escribe en la seccin de memoria previamente destre- po
r SYSINIT.
16. Si el archivo AUTOEXEC.BAT ( .bat es la extensin para los archivos de proceso
por lotes) est presente, COMMAND.COM
se ejecute. Cada uno de los comandos en el archivo de proceso por lotes se ejecu
ta. Si uno de los comandos de proceso por lotes las llamadas para el lanzamiento
de una aplicacin o shell, a continuacin, se presenta al usuario con la interfaz o
indicador. De lo contrario, cuando el lote han sido ejecutados, el usuario ve u
n cursor parpadeante en el indicador del DOS.
17. Si no hay ningn archivo AUTOEXEC.BAT se presente, COMMAND.COM se ejecuta los
comandos Fecha y hora y muestra un mensaje de copyright y, a continuacin, el usua
rio ve un cursor parpadeante en el indicador del DOS. Todo el proceso se muestra
en la Figura 1.3 .

18 Captulo 1 u Equipo
FIGURA 1.3 El proceso de arranque (DOS)
secuencia de arranque
del BIOS ejecuta el POST inmediatamente y, a continuacin, el sistema se prepara p
ara el primer programa que se ejecuta.
Tarjetas de expansin, tales como tarjetas de controlador SCSI puede tener
Botn de encendido
POST (Power On Self Test) controles DEL BIOS la placa base, memoria, teclado, di
sco TRAS disco, disco duro, etc. de la presencia y la fiabilidad.
el BIOS de la tarjeta que se carga en este momento. Normalmente estas bios detec
tar dispositivos y cargar informacin en el rea de datos del BIOS en la RAM.
A:
presente? No
puede mostrar un s o cambiar a otro dispositivo arranque
Boot Record? No
S
Io.sys
Archivo Msdos.sys
Config.sys
archivo Command.com
Autoexec.bat
DEL BIOS DE LAS TARJETAS DE MEMORIA RAM UNA especial rea de datos del BIOS de 256
bytes contiene los resultados de la verificacin del sistema RAM CARGA CON DATOS
DEL BIOS identificar la ubicacin de los dispositivos conectados.
SECUENCIA DE ARRANQUE? C:
Master Boot Record
Otros Dispositivos
Ir a Inicio Partition
Boot Record
Io.sys
Archivo Msdos.sys
Config.sys
archivo Command.com
Opcional Autoexec.bat

los componentes de hardware 19

Windows NT/ 2000/XP boot:
18. El cdigo del VBR localiza y ejecuta el archivo principal del sistema, que en
el caso de las distintas versiones de Windows NT es NTLDR (a menudo denominado N
T Loader). NTLDR coloca el procesador en el modo "protegido" y se inicia el sis
tema de archivos y lee el contenido del archivo BOOT.INI. Opciones de arranque i
nicial y opciones del men de arranque est determinado por el contenido del archivo
BOOT.INI. Si arranque dual est configurado y el otro sistema operativo no es de
NT de tipo como Linux, BOOTSEC.DOS carreras. Si las unidades SCSI conectados al
sistema, otro archivo (NTBOOTDD.SYS) que contiene los controladores SCSI se ejec
uta.
19. Ejecuta NTDETECT.COM y busca en el sistema de hardware instalado y pasa- fig
uracin datos a NTLDR Si hay ms de un perfil de hardware existe, NTDETECT disuadir
de minas el perfil correcto para el hardware actual y se ejecuta ese perfil.
20. La configuracin los datos obtenidos en el paso anterior por NTDETECT NTLDR es
pasado por a NTOSKRNL.EXE. NTOSKRNL.EXE es el cdigo que carga el kernel, la capa
de abstraccin de hardware (HAL), y la informacin del registro del sistema.
21. El siguiente paso en el proceso de arranque NT es la de cargar los controlad
ores y el cdigo de red de sistemas, normalmente TCP/IP. Al mismo tiempo, los serv
icios que estn configurados para que se ejecute en el arranque y carga. Uno de lo
s servicios es el servicio de inicio; provee al usuario con un mensaje de inicio
, a menos que se configure lo contrario. Cuando el usuario inicia la sesin correc
tamente, el estado actual de la configuracin se considera "bueno" y se actualiza
en el sistema regis- como ltima configuracin buena conocida.
22. Inicio de sesin como ocurre, deteccin de dispositivos se lleva a cabo como un
proceso simultneo. Si se detectan nuevos dispositivos Plug and Play, asigna recur
sos de sistema y de los extractos de los controladores el
archivo driver.cab, y completa la configuracin y montaje de los dispositivos. Si
los controladores no se encuentra, se le solicita al usuario que proporcione. Cu
ando haya terminado, el usuario tiene una interfaz grfica de usuario (GUI) que le
s permite interactuar con su sistema y su singular entorno de software y hardwar
e.
Si el arranque es Windows Vista, Windows Server 2008 o Windows 7, el proceso, co
menzando en el paso 13, difiere ligeramente de la de sus predecesores (Windows N
T/ 2000/XP/Server 2003). El cdigo de inicio de Windows Vista (y posterior) VBR c
arga un archivo llamado
BOOTMGR, que es el gestor de arranque de Windows, en lugar de NTLDR Tal como NTL
DR lee el archivo BOOT.INI, BOOTMGR lee el archivo BCD ubicado en la carpeta Boo
t, que se encuentra en la raz del volumen del sistema. El archivo BCD es una base
de datos de tiempo de arranque datos de configuracin.
BCD (que son las siglas de los datos de configuracin de arranque) es un archivo q
ue se encuentra en el directorio de arranque, lo que a su vez se encuentra en la
raz del volumen del sistema.
Este archivo contiene una base de datos de tiempo de arranque, datos de configur
acin y, entre- estingly, el formato del archivo es el mismo que el de un archivo
de seccin del registro. Esto es importante porque significa EnCase puede montar c
uando se haga clic con el botn derecho y, a continuacin, seleccione Ver Estructura
de archivos. Al igual que el archivo BOOT.INI contiene las entradas de men prese
ntado por NTLDR, BCD contiene las entradas de men cet- por el gestor de arranque d
e Windows. Las opciones de inicio puede incluir, pero no estn limitados a, Window
s Vista (y posterior) las opciones de arranque, como el inicio una versin anterio
r de Windows NT, reanudando Windows Vista (y posterior) desde el modo de hiberna
cin, o cargar y ejecutar un volumen boot record.

20 Captulo 1 u equipos informticos

en las versiones anteriores de Windows, NTLDR carga el kernel (NTOSKRNL.EXE), pa
sando informacin de configuracin del arranque en el proceso. Pero en Windows Vista
(y posterior) gestor de arranque de Windows invoca WINLOAD.EXE, que a su vez, c
arga el kernel (NTOSKRNL.EXE) y arrancar de los controladores de dispositivos. P
or lo tanto, el proceso es similar pero tiene diferencias.
Las particiones
Las particiones y los volmenes son trminos que se utilizan a menudo indistintament
e. Por lo general, esto no supone un problema porque por lo general, son la mism
a cosa. Sin embargo, hay algunas diferencias sutiles, y definir los trminos y la
comprensin de las diferencias es una parte importante de un profesional.
UNA particin es una coleccin de sectores consecutivos dentro de un volumen, y los
sectores son direccionables por un nico sistema de archivos especfico de y conteni
do dentro de esa particin.
Un volumen, por contraste sutil, es una coleccin de los sectores direccionable qu
e se utilizan en un sistema operativo o una aplicacin para almacenar datos. El po
tencial en un volumen los sectores no tienen que ser consecutivas, y en ello rad
ica la diferencia. En lugar de ello, slo necesitan dar la apariencia de ser conse
cutivos. Cuando un volumen consta de una nica particin, los dos son la misma funci
onalidad. Cuando un volumen abarca ms de una particin o unidad, la diferencia es e
vidente.
Los volmenes lgicos son unidades de almacenamiento que se asignan letras de unidad
en el sistema operativo. En teora, la mayora de los sistemas operativos puede adm
itir hasta 24 volmenes, utilizando una letra de la C a la Z y de la reserva A y B
para las unidades de disquete. Si un solo disco duro fsico fueron instalados en
un sistema, que podra, en teora, ser divididas en 24 volmenes. Recuerdo de la discu
sin anterior, sin embargo, que la tabla de particiones contenidas en el registro
de arranque maestro slo permite cuatro entradas de 16 bytes de cuatro particiones
. Entonces, cmo podra un sistema de este tipo de 24 volmenes lgicos?
La respuesta est en la particin extendida. Una de las cuatro particiones definidas
en la tabla de particin MBR puede ser una particin extendida. El espacio de disco
asignado a la particin extendida se subdivide a su vez en los volmenes lgicos por
el sistema operativo.
Cada subpartition del volumen ampliado contiene una tabla de particiones en el p
rimer sec- tor de que subpartition. La tabla define su propio subpartition y, op
cionalmente, seala a otra tabla de particiones en otro subpartition. Este "nido"
de subparticiones dentro de la particin extendida puede extenderse en la medida e
n que las asignaciones de letra, y cada "anidada" subpartition tendr una tabla de
particiones que describe y apuntando al siguiente nivel hacia abajo hasta que e
st hecho. Rara vez alguna vez encuentro ms que unas pocas particiones, pero en teo
ra, se podra encontrar el lmite superior de 24!
Los tipos de particiones que se pueden encontrar son muchos y suelen ser propias
de los diagnsti- cos(s) sistema(s) en el equipo host. El quinto byte de cada 16
bytes entrada de particin (desplazamiento de byte 446-509 de los MBR) determinar e
l tipo de particin o de sistema de archivos para cada particin definida. Lo mismo
es vlido para las tablas de particiones dentro de una particin extendida y sus sub
particiones. El primer byte de cada una de las cuatro entradas de tabla de parti
cin determina qu par- llar est activo y por lo tanto, es la particin de arranque. Slo
una particin puede estar activa.

Las particiones 21
Hex 80 indica la particin activa. Las otras tres entradas de particin, si se defin
e, se hex 00 para el primer byte de sus respectivas entradas. Cuadro 1.1 define
los campos de la tabla de particiones.
CUADRO 1.1 Campos de la tabla de particiones Defined
Offset (Decimal) Longitud del nombre Descripcin

Inicio 446 Byte 1 byte estado de arranque; hex 80 est activo y de arranque.
De lo contrario, es hex 00.
447 A partir de 1 byte para modo CHS, este es el inicio o la cabeza de la partic
in.
448 A partir del cilindro 2 bytes (16 bits) en modo CHS, el Sector y cilindro in
icial es de 10 bits, y el inicio de la prxima sector 6 bits, para un total de 16
bits.
450 Tipo de Particin 1 byte Este es el tipo de particin y sistema de archivos.
451 Termina Cabeza 1 byte para modo CHS, este es el final o la cabeza de la part
icin.
Cilindro final 452 2 bytes (16 bits) en modo CHS, el Sector y cilindro final es
de 10 bits y el final- es el siguiente sector 6 bits, para un total de 16 bits.
454 Sector 4 bytes (32 bits o de modo LBA, este Dword) es el nmero de sectores an
tes de la particin, que es el sector inicial de la particin.
458 Total sectores 4 bytes (32 bits o de modo LBA, este Dword) es el nmero total
de sectores de la particin.
Campos repetir tres veces ms, si las particiones se definen, a partir de los desp
lazamientos 462, 478 y 494.

22 Captulo 1 u Hardware del ordenador

normalmente FAT12, FAT16, FAT32, NTFS, exFAT y particiones y sistemas de archivo
s se utilizan cuando se ejecutan los diferentes sabores de los sistemas operativ
os de Windows. Estas particiones pueden ser creados por las utilidades que viene
n con el sistema operativo Windows, como, por ejemplo, FDISK, DISKPART, o Admini
strador de discos. Otros tipos de particin que se encuentran a menudo son nativos
de Linux (EXT2/3/4 y Reiser) y las particiones swap, Solaris (UF), y el sistema
operativo Mac OS X (HFS+), todos los cuales son compatibles con EnCase 6. Como
con los sistemas operativos Windows, utilidades para realizar particiones con es
tos sistemas operativos. Tambin puede utilizar utilidades para realizar particion
es de terceros para crear parti- de diversos tipos, tales como Symantec Partitio
nMagic y V-Comunicaciones de Partition Commander.
Mediante el uso de Disk Manager (Windows 2000 y versiones posteriores), el forma
to se realiza cuando se utilice el Asistente para crear una particin nueva Asiste
nte. Si se crea una particin con FDISK, la particin debe estar formateada con el f
ormateo de alto nivel comando antes de que se pueda utilizar. Cuando se utiliza
el
comando format para formatear un FAT12/16/32 particiones, se produce la siguient
e actividad:
1. El disco se escanea en busca de errores, y los sectores defectuosos estn marca
dos.
2. Cabezas de la unidad se colocan en el primer cilindro de la particin, y VBR es
DOS por escrito.
3. FAT1 se escribe en cabeza 1 Sector 2. Inmediatamente despus FAT1, FAT2 es escr
ito. Las entradas de la tabla de asignacin de archivos (FAT) son en su mayora nulo
, salvo que los clusters son malas.
4. Un espacio en blanco directorio raz est escrito.
5. Si el parmetro /s es seleccionado, el sistema se transfieren los archivos.
6. Si el parmetro /v est seleccionada, se le pedir al usuario una etiqueta de volum
en.
La siguiente informacin est escrito en el FDISK o proceso de particionado de disco
:
u el MBR, que contiene el MBR arranque cdigo
u las entradas de tabla de particin
u el MBR firma
es durante el formateo de alto nivel proceso (formato) que el VBR suele escribir
se, junto con otras caractersticas del sistema de archivos.
Algo nuevo en la escena es exFAT, que es un archivo propio sis- tema desarrollad

o por Microsoft para soporte flash. En realidad fue publicado en Windows Embedde
d CE en 2006 pero se ha mantenido bastante oscura hasta el 2010. Han desaparecid
o los lmites de tamao de archivo impuestas por grasa, y muchos los examinadores, e
ncontrarn en este sistema de archivos es muy til, ya que tiene la plataforma de le
ctura escritura funcionalidad entre Windows y OS X, con Linux antes de seguir.
Windows Vista (SP1) y versiones ms recientes de Windows apoyo exFAT.
Versiones anteriores de Windows (XP y Server 2003) soportan este formato si se t
iene instalado el Service Pack 2 o posterior y tienen una especial de parches de
actualizacin.
EnCase reconoce este sistema de archivos a partir de la versin 6.14 .

Las particiones 23
EJERCICIO 1.1
Examen de la tabla de particiones
en este ejercicio, va a utilizar EnCase para decodificar la informacin contenida
en la tabla de particiones.
1. Con EnCase abierto y un caso, seleccione Agregar un dispositivo local Aadir un
siguiente. Seleccione su propia unidad de arranque, y seleccione el dispositivo
fsico, no el dispositivo lgico.
2. A la vista de las pruebas una tabla, haga doble clic en la unidad para abrir
y analizar su estructura de archivo.
3. Las entradas de la vista, coloque el cursor en la raz o en las entradas de la
entrada panel. Esto obligar a los dispositivos aparecen en el panel de tabla a la
derecha.
4. Seleccione el dispositivo en el panel de tabla (azul), vaya a la lista desple
gable de dispositivos de la barra de herramientas y elija Vista de disco. El dis
co se abre la Vista en su propia ficha.
5. En el disco, ir en el primer sector, que es el sector cero. (Esto se aplica a
l MBR de particiones de tipo slo.) Coloque el cursor en ese sector. En el panel i
nferior, elija el Hex.
6. Localizar y barrido (seleccionar haciendo clic y arrastrando) bytes 446-509.
Con estos 64 bytes seleccionada, haga clic con el botn derecho en el rea seleccion
ada y elija marcador y, a continuacin, texto sin formato.
7. Desde la carpeta de destino (ficha), elegir una nueva carpeta y asgnele el nom
bre Tabla de particiones.
8. En la barra de men, seleccione la lista desplegable de Vista y seleccione Favo
ritos.
9. Desde la pestaa Marcadores, busque en las pestaas en la parte inferior del pane
l de visualizacin de datos.
10. En primer lugar ir a la ficha de texto y ver los datos marcados en esta vist
a.
11. Ir a la siguiente pestaa hexagonal y de igual forma ver los datos marcados en
formato hexadecimal.
12. Por ltimo, ir a la pestaa Decodificar; en este punto de vista hay varios tipos
de vista organizado en carpetas.

24 Captulo 1 u Equipo
EJERCICIO 1.1 (continuacin)
13. En la carpeta de Windows, seleccione Entrada de particin, y la tabla de parti
cin ser analizado y en el panel de la derecha, como se muestra aqu.
Los propsitos de este ejercicio es doble. La enseanza primaria y evidente objetivo
es utilizar EnCase para examinar una tabla de particiones. El objetivo secundar
io es el de fomentar, el examinador, para utilizar EnCase para examinar su propi
a unidad de disco duro, por lo que es una buena tcnica para examinar las configur

aciones conocidas y realizacin de investigaciones.

FDISK es a menudo utilizado para eliminar la particin y hacer que la unidad puede
leer y llevar al usuario a creer los datos se pierden. Todo lo que realmente oc
urre es que la entrada de la tabla de particiones. Debido a que cada particin con
formato definido y contiene un VBR, que ha sido tocado por FDISK, el examinador
puede utilizar EnCase para recuperar una particin eliminada. Simplemente busque
y seleccione el VBR, haga clic con el botn derecho y seleccione Aadir la particin d
esde el men de contexto. Tengo esta tcnica en detalle en el Captulo 10.

25 Sistemas de Archivos
Sistemas de archivos
que tengo hasta el momento, hace referencia a los sistemas de archivos en el deb
ate de las particiones y los volmenes, pero todava no he definido o descrito su fu
ncin e importancia en almacenamiento y recuperacin de datos. En esta seccin hablare
mos sobre sistemas de archivos en un sentido genrico. En el captulo que sigue, voy
a cubrir determinados sistemas de archivos en detalle.
Un sistema de archivos no es ms que un sistema o mtodo de almacenar y recuperar da
tos de un sistema informtico que permite establecer una jerarqua de directorios, s
ubdirectorios y archivos.
Sistemas de archivos deben ser coherentes entre los sistemas que utilizan el mis
mo sistema de archivos. Si una biblioteca utiliza el Sistema de Clasificacin Deci
mal de Dewey para almacenar libros en una biblioteca, un usuario poda ir a otra b
iblioteca que utiliza el mismo sistema de archivos y localizar un libro en la bi
blioteca. A pesar de que el libro tendra que ser almacenados en diferentes ubicac
iones fsicas de ambas bibliotecas, un sistema de archivos comn permitira al usuario
a encontrar el libro utilizando un sistema de localizacin y presentacin. Sistemas
informticos no son diferentes a este respecto.
Un sistema de archivos necesita su propia organizacin estructural o archivos y da
tos, y los dems com- ponent es los datos del usuario. Porque el sistema de archiv
os se encuentran en el interior de una particin, debe haber datos o archivos que
describen el diseo y el tamao del sistema de archivos, as como el tamao del almacena
miento de datos unidades (grupos, bloques, etc. ) ser. El almacenamiento de datos
, que son grupos de sectores de contenido de los datos, se conoce como unidades
de asignacin, clusters, bloques y nombres similares en funcin del sistema de archi
vos utilizado. Un sistema de archivos debe tener un mtodo o convencin de nomenclat
ura datos y, por tanto, un sistema de nombres de archivo. Los nombres son normal
mente contenidas en las entradas de directorio o como un atributo o campo de una
base de datos de nombres de archivo y directorio. Los nombres de archivo tienen
que estar vinculadas a los datos reales de dicho archivo para que el sistema op
erativo pueda ubicar los datos. Por lo tanto, no debe ser un atributo o metadato
s (datos de los datos que describen los datos) hasta el punto de que los datos s
e inicia. Esto se realiza, generalmente, a travs de una entrada de directorio (si
stemas FAT) o una entrada (campo o atributo) en una tabla de archivos como la ta
bla maestra de archivos (MFT) en sistemas NTFS.
Porque los datos pueden ser ms grandes que una unidad de asignacin puede retener,
debe haber un sistema que realiza un seguimiento de los datos que contienen las
unidades de almacenamiento (agrupaciones, bloques, etc. ). En un sistema FAT, e
stos grupos estn vinculados en la tabla de asignacin de archivos. En NTFS, los gru
pos contienen- los datos se describen por los datos se ejecuta en el FABRICANTE
El sistema operativo debe conocer el tamao de los datos para que sepa dnde los dat
os extremos en una unidad de asignacin, y de que los datos se almacenan en una en
trada de directorio o como un atributo o campo de una base de datos de los nombr
es de los archivos, tales como el FABRICANTE
Por ltimo, el sistema de archivos debe tener un sistema que las vas unidad de asig
nacin uso y disponibilidad. Sin esta funcin, los datos podran ser reemplazados. En
un sistema FAT, es cum- plido con la tabla de asignacin de archivos. En NTFS y ot
ros sistemas, esto se consigue mediante el nico volumen de mapa de bits (VBM), qu

e es una matriz de bits, con cada una de las cuales representa una unidad de asi
gnacin. UN 0 significa que est disponible para su uso, y el 1 significa est asignad
o.
Como mnimo, un sistema de archivos debe tener las funciones descritas hasta la fe
cha. La mayora de los sistemas de archivos contienen mucha ms informacin acerca de
los archivos que almacenan y metadatos en forma de atributos de archivo acerca d
e los datos. Esta informacin puede tomar la forma de fechas y

26 Captulo 1 u equipo
de ltima modificacin, creacin del archivo, y la ltima modificacin. Tambin puede adopta
r la forma de archivo de misiones o listas de control de acceso (ACL).
En resumen, cuando se crea una particin, sus lmites y el tipo se establecen en un
parti- mesa. El tipo es algo similar a una ordenanza donde una determinada pieza
de real estate se supone que se va a utilizar para un propsito especfico. Un peda
zo de bienes races pueden ser clasificadas como residencial, mientras que un tipo
de particin, de igual forma, se declara que un tipo de particin swap de Linux. UN
A inmobiliaria parcela es descrito en la escritura por su cumple y lmites como de
terminado por un estudio. Una particin de cumple y lmites se describen, de forma s
imilar, en una tabla de particin por su punto de partida, el punto final, y tamao,
sobre la base de un estudio realizado por la utilidad de particin.
Cuando se da formato a una particin, entre otras cosas, las estructuras de datos
necesarios para su sistema de archivos especfico. A pesar de que estas estructura
s tipo de sistema de archivos por lo general son consecuentes con el tipo de sis
tema de ficheros declarados en la tabla de particiones, no tienen que estar.
Uno puede tener un sistema de archivos FAT32 en una particin tipo declarado como
una particin swap de Linux.
Esto sera algo anlogo a una persona colocando un negocio de bienes races en zonas d
e uso residencial. Si estuviera usando Linux como el sistema operativo, Linux no
se basa en el tipo de particin; si se le indica que montar la particin FAT32, lo
hara desde la estructura de FAT32 est presente independientemente del tipo declara
do. Linux ignora el "las leyes de zonificacin." Windows, sin embargo, obedece est
rictamente las leyes de zonificacin y no permitira una oficina en una zona residen
cial. Windows se basa en declarar tipos de particin para el montaje de particione
s y sistemas de archivos y no montar una particin FAT32 declarados como una parti
cin de intercambio de Linux o cualquier otro tipo no FAT32. De esta manera, parti
ciones y sistemas de archivos pueden estar ocultos para Windows.
Sistemas de archivos son las herramientas de gestin para almacenar y recuperar da
tos de una particin.
Algunos sistemas operativos requieren ciertos sistemas de archivos para su funci
onamiento. Windows necesita una FAT o NTFS, dependiendo de su versin y no reconoc
e o montar otros sistemas con su propio sistema operativo nativo. Software de te
rceros puede permitir el montaje y de la lectura (a veces escrito) otros sistema
s de archivos desde el entorno de Windows.
EnCase y VMware son dos ejemplos. Muchos sistemas de ficheros diferentes sistema
s han sido desarrollados, y mucho ms se prxima al igual que la informtica evolucion
a. En el siguiente captulo, trataremos en detalle GRASA.

Examen Essentials 27
Resumen
Este captulo explica los componentes del equipo, as como su proceso de arranque, p
articiones y sistemas de archivos. He incluido los componentes de hardware, incl
uyendo sus siglas, atributos, funciones, y el propsito. Por otra parte, los dos c
omponentes principales del proceso de arranque. La primera es la autoprueba de e
ncendido, en la que los principales componentes se han probado y se inicializa (

agregado al sistema). El segundo consiste en el cdigo bootstrap encontrar una un

idad de arranque y carga el sistema operativo especificado.
Tambin he definido y descrito las particiones y los volmenes. Una particin es una c
oleccin de consec di- cha sectores dentro de un volumen y es un contenedor para u
n sistema de archivos, con los lmites y las propiedades. Un volumen es una colecc
in de los sectores direccionable que se utilizan en un sistema operativo o una ap
licacin para almacenar datos. Un volumen se le asigna una letra de unidad por el
sistema operativo; puede estar limitada a una sola particin, o bien puede abarcar
las particiones o discos duros fsicos. Por ltimo, habl sobre los sistemas de archi
vos y su finalidad, la funcin y es necesario componentes genricos.
Examen Essentials
saber los componentes de hardware. Comprender la terminologa apropiada, acrnimos,
la finalidad y funcin de los distintos componentes hardware del ordenador.
Estar familiarizado con el proceso de inicio. Comprender y ser capaz de describi
r el proceso de la POST.
Comprender y ser capaz de describir el proceso mediante el cual el sistema se re
inicia y carga un sistema operativo.
Comprender las particiones y los volmenes. Comprender y ser capaz de describir la
s particiones y los volmenes, cules son las diferencias, y cmo se crean. Comprender
el MBR y VBR, donde se encuentran, sus contenidos (cdigo de inicio, la tabla de
particiones, la firma), y de cmo y cuando se crean. Entender una tabla de partici
ones, en la que se encuentra, su estructura, su duracin y propiedades generales.
Comprender los sistemas de archivos en general. Entender el propsito de un sistem
a de archivos como un medio para almacenar y recuperar datos. Estar familiarizad
o con los componentes funcionales de cualquier archivo genrico sys- tem, para pod
er aplicar a sistemas de archivos especficos.