File carving

El file carving es una técnica para recuperar archivos borrados que consiste en identificar una secuencia de caracteres que algunos archivos utilizan en su comienzo y en su final. El file carving es el proceso de tratar de recuperar archivos de computadora borrados en ausencia de los metadatos del sistema de archivos. Esto se hace analizando los datos en bruto e identificando qué tipo de archivo es (texto, ejecutable, PNG, MP3, etc.) buscando los encabezados y tratando de identificar el comienzo y el final del archivo.

File carving

Qué es el file carving

El file carving es el proceso de reensamblaje de archivos de computadora a partir de fragmentos, en ausencia de metadatos del sistema de archivos. Es una técnica de recuperación de datos de un disco duro u otros dispositivos de almacenamiento, que se logra aun sin contar con la estructura del sistema de archivos en la que fue creada la información.

El file carving es una técnica muy usada en la informática forense, ya que ayuda a recuperar información aun cuando los dispositivos han sido formateados o particionados. Se basa en la estructura interna de los archivos y su contenido, y permite recuperar archivos borrados mediante la identificación de determinadas secuencias de caracteres que algunos archivos utilizan al comienzo y al final. El file carving es también muy utilizado para recuperar datos de un disco duro dañado, especialmente por empresas de recuperación de datos.

El file carving en una poderosa herramienta, ya que permite detectar y recuperar archivos que hayan sufrido un borrado o se encuentren dentro de un sistema de archivo averiado o algún tipo de memoria no accesible. Permite la recuperación de información que no es accesible por el sistema operativo, por lo que facilita un proceso convencional o forense de recuperación de datos.

Normalmente cuando se borra un archivo, sólo se elimina la entrada correspondiente en los metadatos del sistema de archivos, mientras que los datos reales siguen estando en el disco, ya que el archivo sigue existiendo o al menos deja datos que permiten su recuperación. Cuando se ordena el borrado desde el computador por los métodos convencionales, el sistema lo que hace es marcar el espacio como vacío, pero éste realmente contiene rastros del archivo que ocupaba ese espacio y que permiten su recuperación, a través de técnicas como el file carving. Incluso después de un reformateo o un reparticionado puede ser que la mayoría de los datos no se hayan tocado y se puedan recuperar.

Todos los sistemas de archivos contienen metadatos que describen el sistema de archivos real, de tal modo que como mínimo se almacena la jerarquía de carpetas y archivos, con nombres para cada uno. Para cada archivo también se almacena la dirección física en el disco duro donde se almacena el archivo.

El file carving es el proceso de tratar de recuperar archivos sin estos metadatos. Esto se hace analizando los datos en bruto e identificando qué es (texto, ejecutable, PNG, MP3, etc.), lo que se puede hacer de diferentes maneras, pero lo más simple es buscar encabezados. Algunos tipos de archivos contienen también una secuencia de fin de archivo característica, por lo que es fácil identificar el final del archivo.

Los algoritmos del software de file carving disponen de mecanismos eficaces para la detección de puntos de fragmentación, por lo que pueden reensamblar de manera eficiente archivos fragmentados. La fragmentación consiste en que un archivo puede estar disperso en fragmentos en diferentes direcciones físicas. Esto se produce porque los sistemas de archivos pueden almacenar los archivos que ocupan más de un cierto tamaño en ubicaciones que no son contiguas, sino que se encuentran dispersas en dos o más fragmentos, cada uno de los cuales almacena una parte de los datos del archivo. Obviamente, los archivos grandes tienen más probabilidades de estar fragmentados.

El file carving es una tarea muy compleja, con un número potencialmente enorme de permutaciones para probar, por lo que es un proceso muy lento que requiere mucho espacio. Para hacer esta tarea más manejable, el software de file carving por lo general hace uso extensivo de técnicas estadísticas y modelos heurísticos, con respecto al comportamiento de fragmentación de los sistemas de archivos conocidos. Esto es necesario no sólo desde el punto de vista del tiempo de ejecución, sino también para conseguir la mayor exactitud posible de los resultados, por ejemplo para determinar los puntos de fragmentación.

El file carving es un proceso que tiene diversas limitaciones. Por ejemplo, la mayoría de herramientas únicamente pueden recuperar archivos que no se encuentran fragmentados en el disco. Además, se producen un gran número de falsos positivos, ya que por lo general las herramientas no realizan una validación exhaustiva de los archivos recuperados. Además, es relativamente simple implementar técnicas antiforenses y engañar a las herramientas. Por otra parte, se puede recuperar el contenido de los archivos pero no sus metadatos ni la estructura de directorios.

Artículos en la categoría "Recuperación de datos"

  1. Pérdida de datos
  2. Borrado de archivos
  3. Degradación de datos
  4. Crash informático
  5. Fallo de disco duro
  6. Corrupción de datos
  7. Malware
  8. Hacking
  9. Inseguridad informática
  10. Error de software (bug)
  11. Reinicio (reboot)
  12. Recuperación de datos del disco duro
  13. Recuperación ante desastres
  14. Recuperación de información
  15. Auditoría informática
  16. Auditoría de seguridad informática
  17. Replicación de datos
  18. Journaling
  19. Persistencia de datos
  20. Ataque de arranque en frío (cold boot attack)
  21. Informática forense
  22. Arquelogía de datos
  23. Era oscura digital (Digital Dark Age)
  24. Preservación digital
  25. Modo a prueba de fallos
  26. File carving
  27. Undelete
  28. Restaurar sistema
  29. Deshacer (Undo)
  30. Papelera de reciclaje
  31. Copia de seguridad (backup)
  32. Copia de seguridad remota
  33. Copia de seguridad en tiempo real
  34. Software para hacer copias de seguridad
  35. SAI (Sistema de Alimentación Ininterrumpida)
  36. Protector de sobretensiones
  37. Dispositivo de rescate
  38. Información sensible
  39. Información clasificada
  40. Borrado seguro
  41. Encriptación del disco duro
  42. Borrado de metadatos

Los comentarios están cerrados