Supongamos que la cuenta del administrador está pirateada.
Entonces, ¿puede un pirata informático extraer datos en bruto del disco duro (por datos en bruto, me refiero a todos los datos en bruto, no solo los archivos que pueden leerse mediante un sistema de archivos)?
Si un atacante obtuvo los derechos de administrador, tiene acceso directo al disco duro en su computadora y, como resultado, puede recuperar cualquier información del mismo. Al igual que el administrador "real". Así que la respuesta a tu pregunta es SÍ.
La respuesta corta es simplemente: sí. La respuesta más larga, sin embargo, es mucho más divertida. Los detalles de cómo se pueden obtener los datos en bruto dependen de su infraestructura específica. Primero echemos un vistazo a Linux.
Hay una excelente herramienta para Linux llamada 'dd'. Es un programa que lee cualquier entrada que especifique y hace una copia a nivel de bloque en su salida. Así que toma esta sintaxis:
dd if=/dev/sda of=/dev/sdb
Eso duplicará todos los datos (en bloques de 512 bytes) desde el disco duro sda al disco duro sdb. Desde ese punto, las variaciones son maravillosas, e incluso se pueden duplicar a través de la red, por ejemplo,
dd if=/dev/sda | ssh remotehost 'dd of=/dev/sdb'
Probablemente hay muchas docenas de permutaciones que podrías hacer con dd, pero todas dan como resultado un duplicado exacto del disco de origen. Debido al hecho de que es tan flexible, lo he usado muchas veces durante las investigaciones forenses internas. Todo lo que requiere es acceso de lectura al dispositivo de bloque que corresponde a la unidad que desea copiar. Excepto en circunstancias muy específicas, tener acceso de administrador (o administrador) le otorgará este permiso.
El otro caso probable que te interesa es Windows. No es algo con lo que pueda ser tan específico, ya que Windows no es mi área de experiencia, pero sí sé que la misma verdad subyacente es válida. El acceso de administrador le da los derechos para hacer esto. Para hacer referencia a un producto comercial, veamos EnCase Enterprise.
EnCase es una herramienta forense comercial que se usa ampliamente en la aplicación de la ley. Normalmente, ejecutaría la aplicación en una estación forense que, al igual que todas las diversas y variadas campanas, silbidos y movimientos delicados necesarios para adquirir y analizar sistemas. La edición Enterprise, sin embargo, le permite a uno ejecutar el sistema en modo cliente / servidor. Es decir, dados los privilegios de administrador en una computadora, instala un agente de EnCase, y hará una clonación forense del equipo cliente y almacenará la copia en su servidor. Si bien esta es una solución comercial, es un ejemplo específico de cómo determinados derechos de administrador en una computadora pueden hacer un duplicado a nivel de bloque de los discos duros almacenados en una ubicación remota. No me sorprendería saber que existen herramientas gratuitas para hacer esto.
Lea otras preguntas en las etiquetas file-system