Professional Documents
Culture Documents
NTFS vs FAT
Recuperacin de Informacin
Ignacio Sebriano
Informtica Forense
Los datos pueden leerse y escribirse por medio de cabezales de lectura ubicados a ambos lados de los platos.
Los cabezales comienzan a escribir datos comenzando desde el borde del disco (pista 0) y avanzando hacia el centro. Los datos se organizan en crculos concntricos denominados "pistas", creadas por un formateo de bajo nivel.
Informtica Forense
Terminologa
Capacidad: Cantidad de datos que pueden almacenarse en un disco rgido. Tasa de transferencia: Cantidad de datos que pueden leerse o escribirse desde el disco por unidad de tiempo. Se expresa en bits por segundo. Velocidad de rotacin: La velocidad a la cual giran los platos. Se expresa en revoluciones por minuto (rpm, su acrnimo en ingls). Las velocidades de los discos rgidos se encuentran en el orden de 7200 a 15000 rpm. Cuanto ms rpido rota un disco, ms alta resulta su tasa de transferencia. Por el contrario, un disco rgido que rota rpidamente tiende a ser ms ruidoso y a calentarse con mayor facilidad. Latencia (tambin llamada demora de rotacin): El lapso de tiempo que transcurre entre el momento en que el disco encuentra la pista y el momento en que encuentra los datos. Tiempo medio de acceso: Tiempo promedio que demora el cabezal en encontrar la pista correcta y tener acceso a los datos. En otras palabras, representa el tiempo promedio que demora el disco en proporcionar datos despus de haber recibido la orden de hacerlo. Debe ser lo ms breve posible. Densidad radial: nmero de pistas por pulgada (tpi). Densidad lineal: nmero de bits por pulgada (bpi) en una pista dada. Densidad de rea: ndice entre la densidad lineal y la densidad radial (expresado en bits por pulgada cuadrada). Memoria cach (o memoria de bfer): Cantidad de memoria que se encuentra en el disco rgido. La memoria cach se utiliza para almacenar los datos del disco a los que se accede con ms frecuencia, buscando de esta manera, mejorar el rendimiento general; Interfaz: Se refiere a las conexiones utilizadas por el disco rgido. Las principales interfaces del disco rgido son:
IDE/ATA (Primer ATA-1 3Mb/s, ATA-7 133 Mb/s) Serial ATA /SATA II( 187 Mb-600Mb) SCSI /SAS
Informtica Forense
FAT12 DOS All versions of Microsoft Windows
clusters minus 1 2 clusters minus 1 cluster cluster 32 32 Max Files on Volume 4,294,967,295 (2 -1) 4,294,967,295 (2 -1) 64 44 2 bytes (16 2 bytes (16 Max File Size ExaBytes) TeraBytes) minus 1KB minus 64KB 64 32 2 clusters minus 1 2 clusters minus 1 Max Clusters cluster cluster Number Up to 255 Up to 255 Max File Name Length Max Volume Size
32GB for all OS. 2TB for some OS 4194304 4GB minus 2 Bytes 4177918 Up to 255
2GB for all OS. 4GB for some OS 65536 2GB (Limit Only by Volume Size) 65520 Standard - 8.3 Extended - up to 255
16MB
S i s t e m a s d e A r c h i v o s
System Records Mirror Boot Sector Location First and Last Sectors First and Last Sectors File Attributes Alternate Streams Compression Encryption Object Permissions Disk Quotas Sparse Files Reparse Points Volume Mount Points Standard and Custom Yes Yes Yes Yes Yes Yes Yes Yes Standard and Custom Yes Yes No Yes No No No No
File System Features Unicode Character Set No Sectors 0 to 11 Copy in 12 to 23 Standard Set No No No Yes No No No No
System Character Set Second Copy of FAT First Sector and Copy in Sector #6 Standard Set No No No No No No No No
System Character Set Second Copy of FAT First Sector Standard Set No No No No No No No No
System Character Set Second Copy of FAT First Sector Standard Set No No No No No No No No
Overall Performance Yes minimal ACL only Yes if TFAT activated High Max Yes if TFAT activated
W i n d o w s
Informtica Forense
Borrado vs Eliminacin
Tres formas de borrado Suprimir Vaciar papelera Sobrescribir lugar fisico
Cuatro mtodos de eliminado Degaussing Sobrescritura mltiple Sobrescritura de Guttman Destruccin fsica
Los sistemas de archivos son estructuras que manejan apuntadores para poder encontrar archivos.
Informtica Forense
Informtica Forense
En los sistemas que trabajan con NTFS tenemos Sistemas de Auditora y Deteccin de Intrusos. GPEDIT: Registrar cambios en archivos (Audit Object Access). Security.log Archivos en MFT puede que no sean borrados y archivos grandes, solo se les borra la referencia.
Informtica Forense
Recuperando informacin
En FAT depende de las circunstancias y del estado actual del sistema de archivos.
Circunstancias: Fragmentado y utilizacin del disco.
Informtica Forense
Recuperando informacin
En NTFSal ser un sistema basado en transacciones, ciertas acciones slo se pueden deshacer usando las funciones del sistema de archivos.
Paso de anlisis: qu sectores necesitan corregirse El S.O. rehace todas las transacciones desde el ltimo pto de control. Paso de deshacer: el S.O. deshace todas las transacciones conocidas. Esto no garantiza que no se pierda informacin
Informtica Forense
Recuperando informacin
Sector de Arranque: En NTFS el sistema de archivos guarda una copia de este. En FAT no se guarda una copia del sector. Windows XP: FIXMBR / FIXBOOT desde la consola de recuperacin.
Windows Vista/7/2008: desde la consola de recuperacin bootrec /fixmbr bootrec /fixboot bootrec /rebuildbcd
Informtica Forense
Programas
1.
2.
3.