¿Qué tan probable es encontrar información valiosa en el espacio de una estación de trabajo?

Navega tus respuestas
0

Acabo de leer sobre el espacio de holgura, que es el espacio no utilizado al final de un sector. Este espacio no se usa en algunos sectores cuando el archivo en sí es más pequeño que el sector o el sector contiene el final de un archivo, lo que probablemente no llene el sector por completo.

También parece ser una buena práctica inspeccionar el espacio de holgura de un sistema de archivos. Puede contener datos dejados de archivos sobrescritos o incluso datos ocultos a propósito.

Entiendo el valor teórico de esto, pero soy muy escéptico si esta práctica arrojará resultados realmente útiles. ¿Me estoy perdiendo algo o la probabilidad de éxito realmente es solo una cuestión de suerte?

    
pregunta davidb 28.12.2015 - 01:45
fuente

2 respuestas

2

Esto no tiene una respuesta definitiva.

Depende de para qué se utiliza la estación de trabajo, qué información se almacena en el espacio de holgura, la cantidad de datos que sobrescribe la información valiosa antes de llegar a ella e incluso lo que considera información valiosa.

Durante el análisis forense, siempre lee y analiza todo el sistema de archivos, porque a veces tendrá datos útiles, pero en realidad solo tiene la posibilidad de encontrar datos recientes en un disco duro.

En un SSD, como comentó @NeilSmithline, las cosas son un poco diferentes, ya que las escrituras no se encuentran en la misma ubicación - la sobrescritura no ocurre de la misma manera: el balanceo de desgaste mueve las áreas de escritura a través del espacio direccionable en el SSD, por lo que el análisis forense puede revelar datos mucho más consistentes. Sin embargo, dado el tiempo, aún perderá datos de interés, por lo que el tiempo siempre se considera esencial.

    
respondido por el Rory Alsop 28.12.2015 - 02:04
fuente
0

El análisis y la realización de búsquedas de espacio libre son definitivamente parte de las mejores prácticas forenses, pero es un análisis confuso. Durante el análisis forense hay muchos factores sobre lo que se ubicará en el tipo de sistema operativo, el uso de la estación de trabajo y el tiempo. Es cierto que el análisis forense requiere mucha suerte y creatividad, pero echar un vistazo a la holgura es importante ya que puede ser el último lugar de la evidencia restante en el disco. Si está buscando un archivo de máquina virtual eliminado 3 meses después de que se haya eliminado, es posible que no tenga suerte, es probable que la computadora haya reutilizado ese espacio, pero encontrar el fragmento de una instantánea vm o los archivos de información del sistema puede proporcionar la información que necesita. Debido a que los datos ya no están en la estructura de un archivo y la evidencia podría borrarse fácilmente su frustrante, pero no debe ignorarse si está haciendo un análisis forense de imágenes.

    
respondido por el Escher 28.12.2015 - 06:41
fuente

Lea otras preguntas en las etiquetas

Reanudando un escaneo de nmap interrumpido: Correos electrónicos “seguros” de fuentes desconocidas