Scribd
Cargar
47 vistas37 páginas

Análisis Forense y Metadatos

El documento aborda el análisis forense de archivos, explicando cómo se borran y los estados de recuperación de los mismos. Se detalla que al eliminar un archivo, este no se elimina físicamente, sino que se marca como eliminado, y se discuten los metadatos que describen otros datos asociados a archivos. Además, se menciona cómo analizar metadatos utilizando diferentes herramientas y métodos.

Cargado por

Alfredo De Jesus Cordova Abarca
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como PDF, TXT o lee en línea desde Scribd
47 vistas37 páginas

Análisis Forense y Metadatos

El documento aborda el análisis forense de archivos, explicando cómo se borran y los estados de recuperación de los mismos. Se detalla que al eliminar un archivo, este no se elimina físicamente, sino que se marca como eliminado, y se discuten los metadatos que describen otros datos asociados a archivos. Además, se menciona cómo analizar metadatos utilizando diferentes herramientas y métodos.

Cargado por

Alfredo De Jesus Cordova Abarca
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como PDF, TXT o lee en línea desde Scribd

Análisis Forense

Juan José Delgado

Análisis de ficheros
Título de la asignatura
Profesor de la asignatura

4. ¿Cómo se borra un archivo?

5. Estados de recuperación de un archivo

6. Metadatos

Tema a tratar o idea a destacar


¿Cómo se borra un archivo?

Cuando eliminamos un archivo, lo que estamos


haciendo no es eliminarlo físicamente del dispositivo
(Disco duro, Pendrive…), si no marcar dicho archivo
como eliminado, indicar que el espacio ocupado por el
mismo está libre, borrar el enlace a la primera parte del
mismo, eliminar la definición del archivo del índice o
varias de estas opciones, todo ello en función del
sistema de ficheros utilizado.

Análisis forense – Juan José Delgado


¿Qué es un sistema de ficheros?

Es la forma en que se organiza, gestiona y


mantiene la jerarquía de ficheros de un
dispositivo de almacenamiento.

El sistema de ficheros permite que los


programas que pretenden acceder a los datos
contenidos en un dispositivo no tengan que
conocer la ubicación física del archivo.

Análisis forense – Juan José Delgado


¿Cómo se borra un archivo?

Análisis forense – Juan José Delgado


¿Cómo se borra un archivo?

El motivo por el cual no se elimina físicamente el


archivo, es que este proceso implicaría llenar de ceros
(o cualquier otro valor irrelevante) la zona del
dispositivo donde se encontraba dicho archivo, lo que
conllevaría mucho tiempo y desgaste del propio
dispositivo.

Análisis forense – Juan José Delgado


Estados en los que se encuentra…

Análisis forense – Juan José Delgado


Estados en los que se encuentra…

Análisis forense – Juan José Delgado


Práctica

¿Qué vemos en el disco a bajo nivel?

Análisis forense – Juan José Delgado


Práctica

Análisis forense – Juan José Delgado


Práctica

Análisis forense – Juan José Delgado


Práctica

Análisis forense – Juan José Delgado


Práctica

Análisis forense – Juan José Delgado


Práctica

Análisis forense – Juan José Delgado


Práctica

Análisis forense – Juan José Delgado


Práctica

Análisis forense – Juan José Delgado


Práctica

Análisis forense – Juan José Delgado


Práctica

Análisis forense – Juan José Delgado


Práctica

Análisis forense – Juan José Delgado


Práctica

Análisis forense – Juan José Delgado


TEMA 2
APARTADO 2.4

FICHEROS: Los metadatos

Análisis forense – Juan José Delgado


Los metadatos

1.¿Qué son los metadatos?

2.La problemática de los metadatos

3.¿Cómo analizar los metadatos?

Análisis forense – Juan José Delgado


¿Qué son los metadatos?
Los metadatos son datos que describen otros datos.

Son datos asociados a los archivos que aportan información sobre los
mismos.

Los archivos en los que más probablemente encontremos metadatos


son: Los documentos ofimáticos (hojas de cálculo, documentos de
texto…), las fotografías y los archivos de vídeo y audio.

Análisis forense – Juan José Delgado


¿Qué son los metadatos?
Hay formatos de archivo que no se entenderían sin los metadatos
asociados:

• Archivos de audio MP3 (ID3)


• Archivos de video MPEG
• Archivos de imagen JPG (EXIF)

Análisis forense – Juan José Delgado


Los metadatos
Ejemplo de la información que podemos almacenar en los metadatos
ID3 de un archivo de audio en formato MP3.

Análisis forense – Juan José Delgado


La problemática de los metadatos
Ejemplo de la información que podemos almacenar en los metadatos
ID3 de un archivo de audio en formato MP3.

Análisis forense – Juan José Delgado


La problemática de los metadatos

Análisis forense – Juan José Delgado


La problemática de los metadatos

Análisis forense – Juan José Delgado


La problemática de los metadatos

Análisis forense – Juan José Delgado


¿Cómo analizar los metadatos?

El análisis de los metadatos puede realizarse desde


el propio Sistema Operativo (en Windows basta con ver
las propiedades del archivo), utilizando programas de
terceros (como Metadata Analyzer, FOCA) o webs
(Metashield Analyzer) que realizan el análisis de manera
automática.

Otra manera de ver los metadatos sería abrir el


archivo en hexadecimal y leerlos. Suele encontrarse tras
la firma del archivo (o al final).

Análisis forense – Juan José Delgado


¿Cómo analizar los metadatos?

Análisis forense – Juan José Delgado


Los metadatos

Análisis forense – Juan José Delgado


¿Cómo analizar los metadatos?

Análisis forense – Juan José Delgado


¿Cómo analizar los metadatos?

Documentos de interés

• securingthehuman.org/newsletters/ouch/issues/OUCH-201204_sp.pdf

• http://www.kriptopolis.org/docs/metadatos.pdf

Análisis forense – Juan José Delgado


Flujo de datos alternativos

• Solo NTFS (en otros S.O. Atributos de


Datos extendidos).
• Permite almacenar archivos dentro de
archivos
• Windows no los muestra
• Los veremos a nivel práctico

Análisis forense – Juan José Delgado


¿Alguna pregunta?
Análisis forense – Juan José Delgado
www.unir.net

También podría gustarte