El instructor rastrea dos archivos vacíos y ordena clonar la memoria informática para localizar documentos eliminados. La contabilidad del año 1993 está contenida en un archivo vacío en un formato informático que empezó a comercializarse en 2007
Si no me equivoco, las memorias flash no borran los datos sino que los marcan como disponibles en el sistema de archivos, puede ser que los datos sigan ahí a muy bajo nivel salvo que el nuevo archivo vacío haya sobreescrito parte. La policía tiene posibilidades
#2#4 No solo memorias flash, se aplica a todo si no me equivoco. Como mucho dependiendo del tipo de formato de la partición se tratarán de manera diferente pero por lo general es como decís.
En una recuperacion forense informatica, lo primero que se hace es clonar a nivel mas bajo byte a byte, la memoria o el disco duro, o bien pasarlo a una imagen y luego con esa imagen extraer toda la información ficheros borrados, con o sin informacion, y hacer una relacion de ellos.
Siempre se clona para no degradar la imagen original, es mucho mejor trabajar con una copia clonada, sino por manipulacion nuestra o de los programas podemos alterar el contenido.
Hasta se puede leer la información directamente de los sectores de la imagen por si hay algun trozo de informacion suelto sin cabecera o sin ningun formato de archivo.
Comentarios
Si no me equivoco, las memorias flash no borran los datos sino que los marcan como disponibles en el sistema de archivos, puede ser que los datos sigan ahí a muy bajo nivel salvo que el nuevo archivo vacío haya sobreescrito parte. La policía tiene posibilidades
#2 Efectivamente, si no se ha escrito encima es muy sencillo recuperar los datos.
Si se ha escrito encima, dependerá de como y cuando y cuanto.
#2 #4 No solo memorias flash, se aplica a todo si no me equivoco. Como mucho dependiendo del tipo de formato de la partición se tratarán de manera diferente pero por lo general es como decís.
#5 Correcto, concretamente eso depende del sistema de archivos y del SO pero actualmente todos lo hacen de esa manera.
#5 Efectiviwonder
Lo que me parece raro es que según cogen el USB (o discos duros, o lo que sea) no busquen ficheros borrados de oficio, sin que se los pida el juez.
En una recuperacion forense informatica, lo primero que se hace es clonar a nivel mas bajo byte a byte, la memoria o el disco duro, o bien pasarlo a una imagen y luego con esa imagen extraer toda la información ficheros borrados, con o sin informacion, y hacer una relacion de ellos.
Siempre se clona para no degradar la imagen original, es mucho mejor trabajar con una copia clonada, sino por manipulacion nuestra o de los programas podemos alterar el contenido.
Hasta se puede leer la información directamente de los sectores de la imagen por si hay algun trozo de informacion suelto sin cabecera o sin ningun formato de archivo.
Ya se la paso yo!
ya me los imagino:
pokerstars.exe
wildGirls.exe