Al no tener experiencia en informática forense, me gustaría saber si es posible que alguien haga un seguimiento de si la HDD / partición de una computadora portátil ha sido formateada recientemente O si se ha implementado una imagen fantasma.
Cualquier idea / herramienta / método sería apreciada.
Hay una gran cantidad de software de recuperación de datos que incluye:
He usado Recuva para muchas de las tareas de recuperación. ¡Es ligero, potente y lo mejor de todo gratis! Es solo un poco de vista es que no puede recuperar archivos completos. Si es información realmente importante, siempre puede buscar ayuda profesional que, a pesar de ser increíblemente costosa, a menudo es la forma más efectiva de recuperar datos.
Espero que esto ayude.
No necesita ninguna herramienta para ver si un disco se ha formateado recientemente. La mayoría de los sistemas de archivos tienen fecha de creación, fecha de modificación y fecha de acceso para sus archivos. Haga una búsqueda rápida de todos los archivos y ordene por fecha de modificación, y tendrá una buena idea de cuándo se formateó el disco por última vez.
Cuando dices "imagen fantasma desplegada", asumo que quieres decir que han instalado una imagen fantasma en un disco. Si revisa los registros del sistema para las entradas de inicio de sesión, podrá adivinar aproximadamente cuándo se ha implementado una imagen fantasma. Si hay una imagen fantasma, puede esperar que haya un hueco en las entradas del registro donde no se haya producido ninguna actividad, hasta que el usuario del sistema se registre regularmente. Esta es una buena indicación de que el sistema no se ha utilizado para un período de tiempo, o si se ha desplegado una imagen fantasma.
Mi entendimiento es este:
'recientemente' formateado, no (quizás a menos que la unidad esté en uso desde entonces). formateado en algún momento en el tiempo, sí. Normalmente, un formato 'rápido' borrará las tablas de índice de las particiones del disco pero dejará los archivos intactos, para que sepa que ha habido un formato. Un formato de partición completo (en teoría) hará que la unidad regrese a un estado en blanco, pero las tablas de partición seguirán intactas, por lo que sabrá que la unidad no se ha utilizado desde entonces o que ha ocurrido un formato. También puede encontrar datos en áreas que no se han particionado del uso anterior. También puede continuar con la evidencia circundante, por ejemplo: si se sabe que esta unidad tenía una partición de recuperación cuando se emitió y ahora está sin partición y en blanco, si la unidad está totalmente en blanco pero los datos SMART en la unidad se muestran ha sido utilizado.
una aplicación de imagen fantasma es más difícil de distinguir. Si tiene la imagen original, puede girar el disco y ver si coincide exactamente con la imagen, lo cual sería altamente improbable si no fuera por una imagen que se está aplicando, pero una vez que los datos se hayan modificado en el disco, tiene pocas pruebas más que circunstanciales de que el Dos son las mismas. Debería buscar datos en la unidad como claves de producto y marcas de tiempo en determinados archivos en ese momento.
Así es como lo entiendo y puede que sea incorrecto, agradecería sus comentarios.
El uso de software como Encase o Autopsy puede ser útil, ya que le permitirá verificar el clúster no asignado. Esto podría mostrarle potencialmente una gran cantidad de información que se ha "formateado" o eliminado. Esto se debe a que el formato más rápido simplemente oculta la información y permite que se sobrescriba con nuevos archivos en la unidad.
Lea otras preguntas en las etiquetas forensics