Recuperación de evidencia digital eliminada

Posted on by Rudeus Greyrat

Según una encuesta, el 93% de toda la información nunca sale del formato digital. La mayoría de la información en estos días se crea, modifica y consume completamente en forma digital. Esto significa que la mayoría de las hojas de cálculo y las bases de datos nunca se hacen en papel, y la mayoría de las instantáneas digitales nunca se imprimen. En este artículo, discutiremos métodos y técnicas para recuperar evidencia digital eliminada. 

¿Qué es la Evidencia Digital?

La evidencia digital es cualquier información que se almacena o transmite en forma digital que una parte en el tribunal puede usar en el momento del juicio. La evidencia digital puede ser archivos de audio y grabaciones de voz, libretas de direcciones y listas de contactos, copias de seguridad de varios programas, incluidas copias de seguridad de dispositivos móviles, historial del navegador, cookies, base de datos, archivos comprimidos (ZIP, RAR, etc.), incluidos archivos cifrados, etc. . 

Evidencia destruida

En un caso criminal o ciberdelincuente, los intentos de destruir la evidencia son muy comunes. Dichos intentos pueden tener más o menos éxito dependiendo de las siguientes condiciones: 
 

  • Se toman medidas para destruir la evidencia.
  • Tiempo Disponible para destruir la evidencia.
  • Tipo de dispositivo de almacenamiento como disco duro magnético, tarjeta de memoria flash o unidad SSD.

En esta sección, discutiremos algunos de los métodos para destruir la evidencia y formas de recuperar la evidencia destruida

Archivos eliminados

Eliminar archivos es una de las formas más fáciles, convenientes y principales de destruir la evidencia. Ya sea usando el botón «Eliminar» o el botón «Mayús+Eliminar». El principio de recuperación de archivos eliminados se basa en el hecho de que Windows no borra el contenido del archivo cuando se elimina. En cambio, un registro del sistema de archivos que almacena la ubicación exacta del archivo eliminado en el disco se marca como «eliminado» y el espacio en disco ocupado anteriormente por el archivo eliminado se etiqueta como disponible, pero no se sobrescribe con ceros u otros datos. 
 

  • El archivo eliminado se puede recuperar analizando el contenido de la papelera de reciclaje, ya que se almacenan temporalmente allí antes de borrarse.
  • Si los archivos eliminados no tienen rastro en la papelera de reciclaje, como en el caso del comando «Shift + Delete», entonces, en ese caso, puede usar herramientas comerciales de recuperación para recuperar la evidencia eliminada. Una herramienta comercial de ejemplo es DiskInternals Partition Recovery .
  • Buscando firmas características de tipos de archivos conocidos analizando el sistema de archivos y/o escaneando todo el disco duro, uno puede recuperar con éxito: 
    • Archivos que fueron eliminados por el usuario.
    • Copias temporales de documentos de Office (incluidas versiones antiguas y revisiones de dichos documentos).
    • Archivos temporales guardados por muchas aplicaciones.
    • Archivos renombrados.
  • La información almacenada en archivos eliminados se puede complementar con datos recopilados de otras fuentes. Por ejemplo, la carpeta «chatsync» en Skype almacena los datos internos que pueden contener fragmentos y partes de las conversaciones de los usuarios. Esto significa que si existe la carpeta «chatsync», existe la posibilidad de recuperar el chat del usuario incluso si se elimina la base de datos de Skype. Existen muchas herramientas para este propósito como Belkasoft Evidence Center 2020 .

Discos duros formateados

La recuperación de los datos del disco duro formateado depende de muchos parámetros. La información del disco duro formateado puede recuperarse mediante la tecnología de tallado de datos o mediante el uso de herramientas comerciales de recuperación de datos. 
Hay dos formas posibles de formatear un disco duro: formato completo y formato rápido

Formato completo: como sugiere el nombre, esto inicializa el disco al crear el nuevo sistema de archivos en la partición que se está formateando y también verifica el disco en busca de sectores defectuosos. Antes de Windows Vista, una operación de formato completo no ponía a cero el disco que se estaba formateando. En cambio, Windows simplemente escanearía la superficie del disco sector tras sector. Los sectores no confiables se marcarían como «malos». Pero en el caso de Vista y Windows 7, una operación de formato completo en realidad: 
 

  • Limpia el disco.
  • Escribir ceros en el disco.
  • Leer los sectores hacia atrás para garantizar la confiabilidad.

Formato rápido: esto nunca es destructivo, excepto en el caso de SSD. El formato de disco simplemente inicializa el disco creando el nuevo sistema de archivos en la partición que se está formateando. La información de los discos borrados mediante un método de formateo rápido se puede recuperar mediante una de las herramientas de recuperación de datos que admiten el tallado de datos. 

Unidades SSD

SSD significa que las unidades de estado sólido representan una nueva tecnología de almacenamiento. 
 

  • Funcionan mucho más rápido que las unidades tradicionales.
  • Emplean una forma completamente diferente de almacenar información internamente, lo que hace que sea mucho más fácil destruir información y mucho más difícil recuperarla.

El culpable en SSD es TRIM Command . Según una encuesta, TRIM permite que SSD borre por completo toda la información eliminada en menos de 3 minutos. Esto significa que el comando TRIM efectivamente pone a cero toda la información tan pronto como el sistema operativo la marca como eliminada. Además, los efectos de los comandos TRIM no se pueden evitar incluso mediante el uso de dispositivos de bloqueo de escritura. 

Los métodos tradicionales no son útiles cuando intentamos recuperar datos eliminados del SSD o incluso cualquier información del SSD formateado con formato completo o formato rápido. Esto significa que los métodos tradicionales se pueden usar para la recuperación de datos en SSD solo cuando no se emite el comando TRIM o al menos uno de los componentes no es compatible con TRIM. Los componentes incluyen: 
 

  • Versión del sistema operativo: Windows Vista y Windows 7 son compatibles con TRIM Command; por otro lado, Windows XP y las versiones anteriores normalmente no son compatibles con TRIM Command.
  • Interfaz de comunicación: SATA y eSATA admiten TRIM, mientras que las carcasas externas conectadas a través de USB, LAN o FireWire no.
  • Sistema de archivos: Windows admite TRIM en volúmenes NTFS pero no en discos con formato FAT. Linux, por otro lado, admite TRIM en todo tipo de volúmenes, incluidos los formateados con FAT.

talla de datos

Carving significa un examen secuencial y preciso de bits de todo el contenido del disco duro. El concepto de Carving de datos es completamente diferente al de Recuperación de archivos. El tallado permite: 
 

  • Identificar firmas o patrones particulares que pueden dar una pista de que algunos datos interesantes pueden almacenarse en un lugar particular del disco.
  • Localizar varios artefactos que de otro modo no estarían disponibles.

La talla de datos es realmente asombrosa cuando se busca evidencia destruida. En el caso de la talla de datos, los investigadores no necesitan depender de los archivos, ya que pueden sobrescribirse, fragmentarse y dispersarse parcialmente por el disco. Data Carving tiene las siguientes características cuando se trata de contenido de texto: 
 

  • La información de texto es más fácil de recuperar.
  • Los bloques que contienen datos de texto se rellenan exclusivamente con valores numéricos que pertenecen a un rango poco profundo que representa letras, números y símbolos.
  • Al tallar datos de texto, los investigadores deben tener en cuenta varios idiomas y codificaciones de texto. Por ejemplo, el juego de caracteres turco difiere del latín y ninguno tiene nada en común con la escritura árabe, china o coreana.
  • Se deben tener en cuenta diferentes codificaciones al buscar textos en cada idioma compatible.
  • Al analizar la información leída del disco en términos de un idioma específico y una codificación específica, normalmente se puede detectar información de texto.

En el caso de datos binarios: 
 

  • Los datos binarios son muy aleatorios.
  • Es fácil detectar el principio y el final de cada bloque de texto contando el número de caracteres que no pertenecen a una combinación determinada de idioma/codificación.
  • Una vez que se alcanza un umbral establecido, se supone que el algoritmo ha llegado al final de un bloque de texto determinado.

Limitaciones de la talla de datos: 
 

  • No todos los formatos de datos se pueden tallar.
  • Data Carving se basa en buscar firmas o patrones característicos. Por ejemplo, los archivos JPEG suelen tener la firma «JFIF», al principio, seguida del encabezado del archivo. Los archivos ZIP comienzan con «PK» y los archivos PDF comienzan con «%PDF».
  • Algunos archivos pueden ser un verdadero archivo binario sin ninguna firma permanente en su encabezado. Por ejemplo, mensajero QQ.
  • Los archivos basados ​​en texto pueden ser un problema en la mayoría de los casos, ya que hay una enorme cantidad de archivos de texto sin formato que se pueden almacenar en una PC.
  • La talla de datos no se puede utilizar en el caso de que se utilicen algoritmos especiales para llenar el espacio en disco previamente ocupado con información confidencial con datos aleatorios criptográficamente fuertes.
  • En el modo «paranoico», la información confidencial se sobrescribe varias veces para hacer imposible incluso la mejor extracción y el tipo de sala limpia.
  • En caso de que la información confidencial no se almacene en un disco duro, se almacenará en la memoria RAM. En tal caso, la talla de datos es imposible. La única opción factible aquí es «Análisis de RAM en vivo».
  • La talla de datos es bastante inútil e imposible en SSD.

Publicación traducida automáticamente

Artículo escrito por rashi_garg y traducido por Barcelona Geeks. The original can be accessed here. Licence: CCBY-SA

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *