Espacio Residual o de Holgura para Propósitos Antiforenses

  • Posted on: 21 February 2019
  • By: ReYDeS

El espacio residual o de holgura es el remanente de datos existentes dentro de un área de datos, los cuales han sido sobrescritos. Específicamente, el espacio residual es el área del sector o cluster el cual no ha sido completamente sobrescrito por un reciente proceso de escritura en el dispositivo de almacenamiento. Recordar los sectores son fijos en su tamaño, así por ejemplo; en el caso de utilizar cluster de un tamaño de 2K, si se escribe un archivo de nombre “foto.jpg” de un tamaño de 758 Bytes, se escriben 512 bytes en el primer sector, y 256 bytes en el segundo sector, existe un espacio residual a nivel del sector, el cual generalmente es llenado por el Sistema Operativo. A nivel del cluster no serán utilizados el tercer y cuarto sector, los cuales seguirán conteniendo cualquier dato existente después de la última escritura en el cluster.

Aunque el espacio residual o de holgura no es un problema para las herramientas forenses, las cuales examinan a nivel físico los discos duros o dispositivos de almacenamiento, si podría ser un inconveniente cuando se intenta buscar en un disco. Si se busca en un disco utilizando herramientas no forenses, se podría perder todos estos datos residiendo en el espacio residual, mientras una herramienta forense podría permitir ver aquello almacenado en el espacio sin asignar, y podría incluso permitir confinar las búsquedas únicamente es estas áreas.

Buscar en el Espacio Residual

Si en el espacio residual se intenta ocultar datos desde la perspectiva antiforense, esta es la razón por la cual se sugiere buscar en este espacio utilizando herramientas forenses específicamente diseñadas para realizar este tipo de investigaciones. Todas las herramientas forenses actuales examinan el dispositivo de almacenamiento por completo, durante las búsquedas, de tal manera es factible capturar y revisar lo contenido en el espacio sin asignar. Tal como el caso de almacenar el texto “pw=gootimes” dentro del espacio residual.

Fuentes:

http://forensicswiki.org/wiki/Slack
https://en.wikipedia.org/wiki/Glossary_of_digital_forensics_terms

Sobre el Autor


Alonso Eduardo Caballero Quezada - ReYDeS
Instructor y Consultor en Hacking Ético, Forense Digital & GNU/Linux
Correo Electrónico: ReYDeS@gmail.com
Twitter: @Alonso_ReYDeS
LinkedIn: pe.linkedin.com/in/alonsocaballeroquezada
Facebook: https://www.facebook.com/alonsoreydes
Youtube: http://www.youtube.com/c/AlonsoCaballero
Resumen de mi CV: http://www.reydes.com/d/?q=node/1