¿Cómo detecta el software forense los archivos eliminados?

Hay muchas formas diferentes de hacerlo. En gran parte, la forma más sencilla es seguir los punteros de enlace a cada uno de los fragmentos, pero no es la única manera de ninguna manera. (La MFT no es la única fuente de esos enlaces en muchos sistemas de archivos también).

En un nivel inferior, puede identificar todos los fragmentos e intentar hacer coincidir algunos de ellos con el contenido si los archivos tienen una estructura interna que permite que un fragmento se relacione con otro. Sin embargo, eso no funcionará con todos los archivos si se eliminan los punteros, ya que algunos no tienen mucho patrón, pero funcionará con la suficiente cantidad como para que siga siendo una preocupación importante, especialmente porque a menos que su unidad esté muy fragmentada, incluso un archivo grande probablemente no sea más que unas pocas docenas de piezas grandes.

Básicamente, hay un montón de maneras diferentes en las que puede intentar unir las piezas en función de la estructura física de la unidad (generalmente se prefieren los bloques contiguos, si están disponibles), las características del sistema de archivos (como los enlaces de bloque directo e inverso) características de la estructura de archivos, que varían de un archivo a otro.

A falta de destrucción total, hay varias formas posibles de recuperar el archivo. En algunos casos, simplemente eliminar los punteros puede ser suficiente, pero es probable que un análisis verdaderamente determinado aún pueda armar el rompecabezas buscando fragmentos que tengan sentido juntos, especialmente si buscan algo en particular.

En NTFS, todos los metadatos se almacenan en la MFT. Esto incluye nombres, fechas, carpeta principal, etc. Los grupos ocupados también se almacenan allí en una estructura llamada ejecución de datos. Los grupos que almacenan los datos del archivo solo contienen datos del archivo y no hay una lista vinculada que contenga información sobre el grupo siguiente o anterior.

Cuando se elimina un archivo (suponiendo que se omita la papelera de reciclaje), hay un solo bit en el registro MFT que se apaga. El resto de ese registro permanece en su lugar exactamente como era de otra manera. Los metadatos de un archivo eliminado no se borran hasta que un nuevo archivo necesita ocupar ese espacio de registro con sus metadatos.

La MFT es un bloque contiguo de agrupaciones con registros del tamaño de 1024 bytes. NTFS usa el primer registro no asignado (desde la parte superior) cuando crea un nuevo archivo.

Las herramientas forenses solo necesitan comenzar en la parte superior de la MFT y tratar cada bloque de 1024 bytes como un registro. Si el bit eliminado / asignado está activado, entonces es un archivo asignado. Si está apagado, entonces el archivo ha sido eliminado.

En otro comentario se mencionó la eliminación del espacio no asignado de MFT, y esta es una forma de tratar de ocultar los metadatos. Esto implica escribir sobre los registros en la MFT que han sido marcados como eliminados.

Si esos metadatos se han ido, hace que la recuperación de archivos sea más difícil, pero no imposible.

Una herramienta forense como FTK Imager , es esencialmente un lector de datos binarios e intérprete. Simplificado en exceso, lee cada valor y le muestra el valor absoluto hexadecimal (o decimal) y / o el valor interpretado (como el texto). Google para obtener más ejemplos y explicaciones de cómo funciona el generador de imágenes FTK.

Observe que un conjunto de herramientas forense es simplemente una herramienta. La mayoría proporciona algún nivel de procesamiento para ayudarlo a determinar si lo que está viendo es lo que quiere ver.

Algo que puede ayudar es entender cómo funcionan los sistemas de archivos. Aquí es un libro bien elaborado (sé que es antiguo, pero aún es relevante). Aquí también hay una breve descripción del NTFS.

Editar: Ejemplo de ejercicio

Así que aquí hay una forma súper rápida y divertida para que veas cómo funciona todo esto. Primero, te recomiendo que leas el libro mencionado anteriormente, pero independientemente de que puedas seguir estos pasos:

1. Obtenga algún tipo de medio para almacenar un archivo (recomiendo una pequeña tarjeta SD de 256 mb o similar).
2. Vuelva a formatear el medio (en Windows deseleccione la 'opción de formato rápido' y asegúrese de que esté formateando en NTFS).
3. Abra el medio y cree un archivo de texto simple con un nombre corto y escriba su dirección de correo electrónico.
4. Guarde el archivo y verifique si todo parece normal.
5. Abre el medio y simplemente elimina el archivo.
6. Abra FTK Imager, elija 'agregar elemento de evidencia' y seleccione su medio.
7. Ahora, solo busque su dirección de correo electrónico.
8. ¡Experimenta y aprende hasta el contenido de tu corazón!

Este sencillo ejercicio demuestra lo fácil que es encontrar un archivo eliminado (incluso sin su MFT). Me encanta hacer esto con mis alumnos porque puedes aprender mucho variando este ejercicio y si lo combinas con un libro de texto, ¡bam!

He tenido experiencia con el software forense que ignora la lógica del sistema de archivos y simplemente agarra la imagen del disco para los patrones de bytes que corresponden a los encabezados de archivos comunes o al contenido de archivos específicos.

es decir, busque todos los archivos JPEG o busque archivos que contengan la palabra "hola".

Esa es una forma de recuperar archivos "eliminados".