Los Básicos De Forense: En La Papelera De Reciclaje Se Encuentra Evidencia

Un Investigador forense no debe limitar la búsqueda de evidencia dentro de un medio de almacenamiento digital como los Discos Duros, pues existen entre muchos sitios la papelera de reciclaje de Windows, lugar donde se mantienen los archivos que han sido borrados, ya sea de forma accidental o intencional y que por supuesto la persona piensa que realmente lo eliminó de su computadora cuando es de forma intencional, pero lo que sucede es que el sistema operativo modifica el archivo, es decir, cambia el primer carácter del nombre y luego el sistema de archivos marca el clúster como vacío, mostrando que el archivo al parecer ya no está.



Es así que a través de EnCase Forensic V7 se puede recuperar información a partir de la ubicación de archivos estratégicos, para lo cual debemos tener claro las versiones de los sistemas operativos, como por ejemplo para las versiones de Windows NT/XP/2003, existe el archivo INFO2 se encuentra en el siguiente directorio:

C:\Recycler\<USER SID>\INFO2; para Windows Vista y Windows 7, se guardan los archivos en  la carpeta c:\$Recycle.Bin.

Como se encuentra la información eliminada?, no siempre la vamos a encontrar con los nombres originales, el sistema operativo Windows para las versiones menos resientes, los renombra con un nombre y le asigna un número de manera ordenada, 1, 2, 3 así sucesivamente teniendo en cuenta la eliminación, como por ejemplo Dc1,   Dc2, Dc3.…..cabe destacar para los investigadores que si el usuario vacía la papelera de reciclaje el archivo INFO2 se reinicia modificando los primeros 20 bytes de datos, volviendo los contadores a cero hasta que el usuario vuelva a eliminar un archivo, se vuelve a tener numeración desde 1.

Es importante conocer lo que se recupera EnCase Forensic V7, dentro de la papelera de reciclaje de Windows, son datos como la fecha y hora en que se eliminó el documento, para las investigaciones es de suma importancia conocer la fecha y hora de eliminación de los archivos, pues muchas veces los delincuentes eliminan información minutos antes de un allanamiento que los puede incriminar y que posteriormente niegan que cometieron estas acciones.

RELACIONADOS

Los Básicos De Forense: La Tabla Maestra De Archivos ($MFT)

Los Básicos De Forense: La Importancia Del Analisis De Firmas

Lo Basico Del Registro De Cadena De Custodia - Parte 2

Unirse a Nuestro Grupo de LinkedIn en Español Sobre EnCase

No hay comentarios :

Publicar un comentario