Una de las tareas más comunes a realizar durante una investigación forense implica encontrar y recuperar archivos que han sido borrados o eliminados del sistema. Realizar el proceso de recuperación de archivos con herramientas automáticas no es una tarea complicada, dependiendo de factores como el momento de borrado del archivo, y el lapso de tiempo transcurrido hasta el inicio de la recuperación.

Cuando un archivo es “borrado” o eliminado en un sistema Windows, estos son marcados como borrados o inactivos por el sistema de archivos y ya no pueden ser accedidos por el usuario o el sistema operativo, pero estos siguen siendo referenciados mediante la FAT o MFT.

Cada sistema de archivos marca el archivo borrado de diferente manera. Para el caso de sistemas de archivos FAT , el primer caracter del nombre del archivo listado en un directorio es marcado con el caracter especial en hexadecimal “E5”. Estos caracteres le indican al sistema operativo la inactividad de uso del archivo y que los clusters ocupados están disponibles para ser reutilizados. En el caso del sistema de archivos NTFS, el sistema operativo modifica una entrada en la MFT para reflejar el borrado. Específicamente, cuando se borra un archivo, el sistema operativo limpia la bandera IN_USE para la entrada del archivo en el MFT.

Para la siguiente práctica se utilizará Autopsy 2 en SIFT, y un sistema de archivos NTFS.

Creado el nuevo caso en Autopsy 2 hacer clic en la pestaña de nombre “File Analysis” o Análisis de Archivos.

Es bastante sencillo reconocer los archivos eliminados, dado que en la columna izquierda de nombre “Del” existe un “check”. También resalta el color rojo de los datos expuestos en todas las columnas de esta vista.

En Autopsy 2 se utilizan dos diferentes colores para los archivos borrados. La diferencia se basa en el estado de las estructuras de datos en el archivo. Una entrada en rojo brillante significa que la estructura de dato para el nombre del archivo no está asignada y la estructura de meta datos a la que esta apunta también está sin asignar. Esto es lo que se puede esperar de un archivo borrado recientemente. Esto significa que se puede confiar en los datos visualizados, siempre y cuando lo estructura de meta datos no haya sido asignada y desasignada desde su borrado. Si esta es un color rojo obscuro, entonces la estructura de meta datos ha sido reasignada y es muy probable que los datos no sean precisos.

Para visualizar los metadatos del archivo, hacer clic en el número respectivo ubicado en la columna de nombre “Meta”. Las estructuras para los nombres de archivos contienen un puntero a una estructura de metadatos que describe el archivo. Esta columna contiene las direcciones de estas estructuras. Para el caso de esta práctica el valor es “35-128-1”. Aquí se presenta información como el hash MD5 y SHA-1 del contenido, Valores de la Cabecera de Entrada en MFT, Valores de Atributos $STANDART_INFORMATION, Valores de Atributos $FILE_NAME, y los Clusters donde residen los datos del archivo.

Dado que en la presente práctica se realizará la recuperación manual de un archivo borrado. Se requiere identificar los clusters donde se almacenan los datos para este archivo. Cual es el número de Cluster de inicio y cuantos Clusters a partir de este constituyen el archivo a recuperar. Con estos datos se procede a hacer clic en el pestaña de nombre “Data Unit” o Unidad de Dato para luego ingresar estos valores en los campos ubicados en el panel izquierdo. En el campo “Cluster Number" o Número de Cluster, el cluster de inicio, y en el campo “Number of Clusters” o Número de Clusters, el número de Clusters a extraer.

Luego hacer clic en el botón de nombre “View” o Visualizar. En la parte intermedia se presenta el contenido del archivo borrado.

Para extraer todos los datos contenidos en el rango de clusters definidos, hacer clic en el botón de nombre “Export Contents” o Exportar Contenido, para luego hacer clic en el botón “Save File” o Guardar Archivo, en la nueva ventana presentada.

Se cambia el nombre asignado por Autopsy 2 para el archivo borrado, con el nombre obtenido desde la vista “File Analysis” o Análisis de Archivos.

El archivo borrado ha sido recuperado correctamente y puede ser visualizado con el programa adecuado. Para el caso de esta práctica se ha utilizado un archivo en formato PDF.

Cuando se habla de realizar la recuperación de archivos borrados, esto se refiere a tomar un archivo que fue marcado como borrado o inactivo en el sistema de archivos, para luego exportar los datos hacia otra ubicación y proceder con un análisis posterior.

Fuentes:

http://www.forensicswiki.org/wiki/File_Carving
http://technet.microsoft.com/en-us/library/cc781134%28WS.10%29.aspx
http://www.sleuthkit.org/autopsy/
http://www.reydes.com/d/?q=Entendiendo_NTFS
http://www.reydes.com/d/?q=node/2