Sectores Defectuosos
Bad Cluster
Generalmente cuando se habla de Bad Clúster o Sectores defectuosos, da miedo y lo primero que dicen es:
”cómprate uno nuevo”.
Los Sectores Defectuosos (Bad Clúster), son nada más que daños físicos en los discos magnéticos, fallos en la superficie de grabación, que generalmente aparecen a los picos de tensión en el uso normal o al simple envejecimiento del dispositivo.
En el primer caso no hay de que preocuparse. Pero si cuando el cabezal de lectura del HDD está leyendo un sector se corta de pronto el suministro de energía, el sector podría llegar a estropearse. En este caso solo basta pasar un Scandisk, por el HDD para seguir utilizándolo normalmente.
Para ver este enlace Registrate o Inicia SesionSAI
En los casos que existan muchos Bad clústers, es recomendable reparticionar el HDD, aislando los bad clústers, por ejemplo si observas que la mayoria de los Bad Clúster se encuentran en el último 25% del Disco, reparticionare
mos el Disco quedando solo el 75% para utilizarlo, claro es mejor que botarlo o no
Tengamos en cuenta que los HDD´s modernos tienen una zona reservada para estos casos, los clústers se sustituyen por otros que el mismo disco tenia reservados de esta forma se puede utilizar la mayoria de los clusters en buen estado.
Formateo del Fabricante
El número de sectores guardados depende totalmente del fabricante del disco, pero en total hay sólo unas cuantas decenas de ellos.
Las direcciones de los principales fabricantes son:
Para ver este enlace Registrate o Inicia SesionAdaptec
Para ver este enlace Registrate o Inicia SesionBusLogic
Para ver este enlace Registrate o Inicia SesionChinon
Para ver este enlace Registrate o Inicia SesionCMD Technology
Para ver este enlace Registrate o Inicia SesionConner
Para ver este enlace Registrate o Inicia SesionData Technology
Para ver este enlace Registrate o Inicia SesionDigital Research
Para ver este enlace Registrate o Inicia SesionFujitsu
Para ver este enlace Registrate o Inicia SesionGSI
Para ver este enlace Registrate o Inicia SesionIBM
Para ver este enlace Registrate o Inicia SesionInitio
Para ver este enlace Registrate o Inicia SesionKingByte
Para ver este enlace Registrate o Inicia SesionLongshin
Para ver este enlace Registrate o Inicia SesionMaxtor
Para ver este enlace Registrate o Inicia SesionNew Media
Para ver este enlace Registrate o Inicia SesionParadise
Para ver este enlace Registrate o Inicia SesionQlogic
Para ver este enlace Registrate o Inicia SesionQuantum
Para ver este enlace Registrate o Inicia SesionSeagate
Para ver este enlace Registrate o Inicia SesionTekram
Para ver este enlace Registrate o Inicia SesionToshiba
Para ver este enlace Registrate o Inicia SesionTyan Computer
La mayor parte de estos programas han sido desarrollados por Ontrack y licenciados luego para sus respectivos fabricantes. Pero Ontrack comercializa un programa llamado Ontrack Disk Manager (Disk Go!), que funciona para cualquier HDD
Para ver este enlace Registrate o Inicia Sesion Ontrack Disk Manager
Recuperación de Archivos
La clave de la
Informática Forense, es el análisis correspondient
e de los Discos Duros, discos extraíbles, Cd´s, Discos SCSI, entre otros muchos otros medios de almacenamiento
. Este análisis no solo busca pruebas incriminatoria
s, sino que también contraseñas, nombres de usuario entre otros mas que se pueden utilizar para tener pruebas correspondient
es para un juicio.
Por esto quiero comenzar con el asunto de:
Los archivos son creados en varios tamaños dependiendo de lo que contengan. Los sistemas basados en DOS, Windows 95/98/ME/XP y Windows NT/2000 almacenan los archivos en bloques de tamaño fijo llamados clusters, en los cuales raramente el tamaño de los archivos coinciden perfectamente con el tamaño de uno o muchos clusters.
El espacio de almacenamiento de datos que existe desde el final del archivo hasta el final del cluster se llama
”file slack". Los tamaños de los clusters varían en longitud dependiendo del sistema operativo involucrado y, en el caso de Windows 95/98/ME/XP, del tamaño de la partición lógica implicada.
Un tamaño más grande en los clusters significan más file slack y también mayor pérdida de espacio de almacenamiento
. Sin embargo, esta debilidad de la seguridad del computador crea ventajas para el investigador forense, porque el file slack es una fuente significativa de evidencia y pistas.
El file slack, potencialmente contiene octetos de datos aleatoriamente seleccionados de la memoria del computador. Esto sucede porque DOS/Windows escribe normalmente en bloques de 512 bytes llamados sectores. Los clusters están compuestos por bloques de sectores, si no hay suficientes datos en el archivo para llenar el ultimo sector del archivo, DOS/Windows diferencia hacia arriba(los datos) completando el espacio restante con datos que se encuentran en ese momento en la memoria del sistema.
Archivo Swap de Windows
Los sistemas operativos Microsoft Windows utilizan un archivo especial como un "cuaderno de apuntes" para escribir datos cuando se necesita memoria de acceso aleatorio adicional. En Windows 95/98/ME/XP, a estos archivos se les conoce como Archivos Swap de Windows. En Windows NT/2000 se conocen como directorios de página de Windows pero tiene esencialmente las mismas características que los de Win9x.
Los archivos de intercambio son potencialmente enormes y la mayoría de los usuarios de PC son inconscientes de su existencia. El tamaño de estos archivos puede extenderse desde 20MB a 200MB, el potencial de estos es contener archivos sobrantes del tratamiento de los procesadores de texto, los mensajes electrónicos, la actividad en Internet (cookies, etc), logs de entradas a bases de datos y de casi cualquier otro trabajo que haya ocurrido durante las últimas sesiones. Todo esto genera un problema de seguridad, porque el usuario del computador nunca es informado de este almacenamiento transparente.
Los Archivos Swap de Windows actualmente proporcionan a los especialistas en computación forense pistas con las cuales investigar, y que no se podrían conseguir de otra manera.
Unallocated File Space
Cuando los archivos son borrados o suprimidos en DOS, Win9x, WinNT/2000, el contenido de los archivos no es verdaderamente borrado. A menos que se utilice algún software especial que ofrezca un alto grado de seguridad en el proceso de eliminación, los datos "borrados", permanecen en un área llamada espacio de almacenamiento no-asignado (Unallocated File Space). Igual sucede con el file slack asociado al archivo antes de que éste fuera borrado. Consecuentemen
te, siguen existiendo los datos, escondidos pero presentes, y pueden ser detectados mediante herramientas de software para el análisis de la computación forense.
Eliminación por la papelera de Reciclaje
Windows no elimina totalmente el archivo aunque hubiesemos ordenado vaciar la papelera, simplemente sustituye la primera letra del nombre de cada archivo en el sistema de archivos del disco, para no volver a reconocerlo y seguidamente marca todo el espacio ocupado por el archivo como segmentos disponibles, y designa al archivo como susceptible de escribírsele encima.
Si trabajamos con Windows XP podemos restaurar estos archivos manualmente:
1. Desde Inicio, Ejecutar, escribir MSCONFIG y pulsar Enter.
2. En la pestaña “General”, se oprime el botón “Expandir archivo”
3. En “Archivo para restaurar” escribir el nombre del archivo a restaurar. Ej.: NOMBRE.XXX
4. En “Restaurar desde” escribir el camino completo a los archivos de instalación de Windows (en el CD, generalmente es D:I386, si la unidad de CD fuera la D:, de lo contrario, buscar su ubicación en el disco rígido, donde se suelen copiar antes de una instalación).
5. En “Guardar archivo en” asegurarse de tener C:WINDOWSSYSTEM3
2, o la carpeta donde Windows guarda el archivo a recuperar (System32 es la ubicación por defecto para los archivos del sistema en Windows XP)
6. Hacer clic en “Aceptar”.
7. Repetir los pasos 2 a 6 para extraer los archivos que sean necesarios
GetDataBack.
GetDataBack for NTFS es un software de recuperación de datos para sistemas de archivos NTFS. El programa va a recuperar tus datos incluso en situaciones extremas, con la tabla de particiones, el boot record o el directorio root destruídos.
Además de todo esto se pueden recuperar archivos en particiones borradas y formateadas, que el sistema operativo no reconoce, o donde toda la información de directorios está perdida.
Funciona con algoritmos avanzados que aseguran que todos los directorios y subdirectorios se recompongan tal y como eran, y que los nombres de archivos largos se reconstruyan correctamente. Y lo cierto, según hemos podido comprobar algún compañero del foro y yo misma, es así, lo que recupera está tan correcto en sus datos que se puede usar inmediatamente
.
Se trata de un programa que aunque no es free, su precio lo hace muy asequible, la versión que nos bajamos sólo nos permite ver que es lo que se puede recuperar, y tan sólo cuando adquirimos la licencia, nos permite recuperarlo.
Para ver este enlace Registrate o Inicia Sesionhttp://www.runtime.org/downloads.htm
Recover My Files
Recover My Files es una utilidad para cuando parece que es demasiado tarde, que todo está perdido, y cuando el dicho más vale prevenir que curar ya no es válido y toca irremediableme
nte curar.
Con esta aplicación podrás recuperar la mayoría de archivos que creías perdidos por obra y gracia de un virus, una equivocación, o cualquier otro problema que te haya hecho perder tus archivos. Incluso si has formateado aún hay posibilidad de recuperar los datos.
Recover My Files ordena los archivos a recuperar por tipo, de forma que si has perdido todos los datos de un disco duro y sólo te interesa recuperar un determinado formato puedes hacerlo fácilmente.
El programa ordena todos los archivos por extensión, como ya hemos comentado, puedes verlos todos o ir directamente a las extensiones que te interesen. Obviamente puedes realizar múltiples selecciones, recuperando por ejemplo los documentos DOC y XLS, y los archivos MP3 (así hasta más de cien tipos de archivos).
El resto de formatos también puede recuperarlos, simplemente que no los clasifica individualment
e.
Recuerda que para poder recuperar el máximo de archivos posible lo mejor es que no uses el disco duro dañado para nada en absoluto, o podrías sobrescribir los datos a recuperar.
Es compatible con los sistemas de archivos FAT 12, FAT 16, FAT 32 y NTFS.
Hay que tener claro que un volcado no es lo mismo que una simple transferencia de ficheros, si no que es una copia EXACTA de un soporte en otro, los mismos bits uno tras otro desde el principio hasta el fin. Para comprobar, una vez finalizado el volcado, de que las copias son idénticas, se pasa el algoritmo de hash MD5 de 128 bits cuyo resultado es un valor hexadecimal de 32 dígitos; si éste es el mismo en los dos podemos asegurar que el proceso ha sido completado con éxito, y de esta forma trabajar como si se tratara del mismo sistema justo antes de sufrir daños.
El algoritmo MD5 es una funcion de cifrado tipo hash que acepta una cadena de texto como entrada, y devuelve un numero de 128 bits.
Para ver este enlace Registrate o Inicia Sesionhttp://www.recovermyfiles.com
Recuperación On-Line
Para ver este enlace Registrate o Inicia Sesionhttp://www.e-rol.com/es/erol_ntfs.htm
“CONSEJOS PARA LA RECUPERACIÓN DE DATOS”
Defragmentar regularmente la unidad: cuanto más repartida esté la info más difícil de recuperar
Estas herramientas recomiendan su instalación en un segundo disco o partición, de tal manera de enviar a otro lado los archivos recuperados.
Ya sea con programas u online, antes de trabajar sobre el rígido o una tarjeta Flash, lo mejor es hacer la prueba con un disquete. Si esta muy usado (con sucesivas “capas” de grabaciones), mejor.
Además, los responsables de PC Inspector recomiendan, para asegurar mayor eficacia en la recuperación de archivos, lo siguiente:No guardar archivos importantes en el directorio raíz: Los archivos que se guardan en el directorio raíz son sensibles a perderse por formateo rápido, porque las entradas de archivo se encuentran en ese lugar. Evite guardar archivos directamente en la raíz ya que el archivo desaparece si se daña la entrada del directorio. En una emergencia puede recuperar datos muy rápidamente si está en un subdirectorio.
No guardar datos importantes en unidades de pequeña capacidad: La probabilidad de recuperación es menor cuanto más pequeña sea la capacidad del disco.
Una parte esencial para el examinador de evidencias es tener el cuidado necesario para que las pruebas no sean modificadas, para no decir destruidas. Un solo cambio de código puede ocasionar la destrucción de la evidencia, y esta claro esta que queda totalmente inutilizable.
Para poder realizar esta maniobra debemos realizar un Hash al S.O.
Espero sea de su agrado...
vVegeta
Autor