1.- Introduccion
Tradicionalmente los forenses vienen dividiendo los datos en 2 tipos:
-Datos volatiles.
-Datos no volatiles.
Los datos volatiles son aquellos que al apagar la maquina a analizar se pierden. Esto no es del todo exacto, pues tal y como debatimos aqui es posible recuperar datos almacenados en RAM _tras apagar_ el equipo.
Los datos no volatiles por el contrario son aquellos que permanecen en el disco duro tras apagar la maquina.
Tipicamente, un forense adquiriria una imagen del disco mediante herramientas tipo dd o cualquiera de sus evoluciones. Nunca con herramientas tipo Ghost, pues perderiamos la información a mas bajo nivel como en que clusters o sectores estaba almacenada la informacion, espacio particionado y libre (unallocated), espacio slack o espacio sin particionar.
Y como una imagen vale mas que mil palabras, como dice el refran, a continuacion muestro una imagen donde se ve mas claro lo que son estos conceptos:
Sobre el espacio slack me gustaria hacer un inciso, enlazando un video algo viejo pero interesante titulado Look for deleted data on the slack space of a disk.
Tambien comentar la existencia de la genial utilidad slacker, sobre la que hablamos, quizas muy por encima para lo que se merece, en un hilo llamado Anti-Forensics. Read the rest of this entry
