Wiping (Limpieza) del Espacio Residual para Propósitos Antiforenses

  • Posted on: 29 August 2019
  • By: ReYDeS

La limpieza (wiping) del espacio residual o de holgura, puede ser realizado con algunas de las más populares herramientas para limpieza. El espacio residual contiene datos de archivos los cuales previamente han sido sobrescritos. Recordar el espacio residual es simplemente un espacio no utilizado al final de un sector de tamaño fijo, así un dispositivo de almacenamiento puede ser limpiado en su espacio residual, sin modificar ningún dato el cual está siendo utilizado en el dispositivo de almacenamiento. Cuando el espacio residual es limpiado, los datos existentes son sobrescritos y no pueden ser recuperados.

Recuperar Remanentes de Archivos Almacenados en el Espacio Residual

Para recuperar cualquier archivo existente en el espacio residual, se debe buscar en diversos lugares para determinar si las copias o copias de seguridad (backups) de los datos existen. Conforme un archivo es accedido, porciones de este podrían permanecer en áreas del dispositivo de almacenamiento. Se puede buscar en las siguientes ubicaciones por datos los cuales estuvieron en el espacio residual.

  • El archivo de paginación o espacio de intercambio (swap), si el archivo fue cargado en memoria
  • MFT o FAT para determinar si el archivo existió
  • El jornal NTFS si los datos existieron en una partición NTFS
  • Cualquier copia de respaldo del sistema

Nuevamente ninguna de estas soluciones son totales. Si se conoce parte del contenido de un archivo, se sugiere buscar físicamente en todo el contenido del dispositivo de almacenamiento para tratar de ubicar los datos. Recordar los datos los cuales existieron en el espacio sin asignar ya fueron previamente borrados, por lo cual la probabilidad de recuperalos es muy baja.

Fuentes:

https://www.forensicswiki.org/wiki/Anti-forensic_techniques
https://forensicswiki.org/wiki/Slack

Sobre el Autor


Alonso Eduardo Caballero Quezada - ReYDeS
Instructor y Consultor en Hacking Ético, Forense Digital & GNU/Linux
Correo Electrónico: ReYDeS@gmail.com
Twitter: @Alonso_ReYDeS
LinkedIn: pe.linkedin.com/in/alonsocaballeroquezada
Facebook: https://www.facebook.com/alonsoreydes
Youtube: http://www.youtube.com/c/AlonsoCaballero
Resumen de mi CV: http://www.reydes.com/d/?q=node/1