Informtica Forense

NTFS vs FAT
Recuperacin de Informacin

Ignacio Sebriano

NTFS vs FAT - Recup. de Informacin

Informtica Forense

Disco Rgido - Hardware

Los datos pueden leerse y escribirse por medio de cabezales de lectura ubicados a ambos lados de los platos.

Los cabezales comienzan a escribir datos comenzando desde el borde del disco (pista 0) y avanzando hacia el centro. Los datos se organizan en crculos concntricos denominados "pistas", creadas por un formateo de bajo nivel.

NTFS vs FAT - Recup. de Informacin

Informtica Forense

Terminologa

Capacidad: Cantidad de datos que pueden almacenarse en un disco rgido. Tasa de transferencia: Cantidad de datos que pueden leerse o escribirse desde el disco por unidad de tiempo. Se expresa en bits por segundo. Velocidad de rotacin: La velocidad a la cual giran los platos. Se expresa en revoluciones por minuto (rpm, su acrnimo en ingls). Las velocidades de los discos rgidos se encuentran en el orden de 7200 a 15000 rpm. Cuanto ms rpido rota un disco, ms alta resulta su tasa de transferencia. Por el contrario, un disco rgido que rota rpidamente tiende a ser ms ruidoso y a calentarse con mayor facilidad. Latencia (tambin llamada demora de rotacin): El lapso de tiempo que transcurre entre el momento en que el disco encuentra la pista y el momento en que encuentra los datos. Tiempo medio de acceso: Tiempo promedio que demora el cabezal en encontrar la pista correcta y tener acceso a los datos. En otras palabras, representa el tiempo promedio que demora el disco en proporcionar datos despus de haber recibido la orden de hacerlo. Debe ser lo ms breve posible. Densidad radial: nmero de pistas por pulgada (tpi). Densidad lineal: nmero de bits por pulgada (bpi) en una pista dada. Densidad de rea: ndice entre la densidad lineal y la densidad radial (expresado en bits por pulgada cuadrada). Memoria cach (o memoria de bfer): Cantidad de memoria que se encuentra en el disco rgido. La memoria cach se utiliza para almacenar los datos del disco a los que se accede con ms frecuencia, buscando de esta manera, mejorar el rendimiento general; Interfaz: Se refiere a las conexiones utilizadas por el disco rgido. Las principales interfaces del disco rgido son:

IDE/ATA (Primer ATA-1 3Mb/s, ATA-7 133 Mb/s) Serial ATA /SATA II( 187 Mb-600Mb) SCSI /SAS

NTFS vs FAT - Recup. de Informacin

Criteria Operating System NTFS5 NTFS exFAT FAT32 FAT16 Windows 2000 Windows NT Windows CE 6.0 DOS v7 and higher DOS Windows XP Windows 2000 Windows Vista SP1 Windows 98 All versions of Windows 2003 Server Windows XP Windows 7 Windows ME Microsoft Windows Windows 2008 Windows 2003 Server WinXP+KB955704 Windows 2000 Windows Vista Windows Windows XP Windows 7 2008Windows Vista Windows 2003 Server Windows 7 Windows Vista Windows 7
64 32

Informtica Forense
FAT12 DOS All versions of Microsoft Windows

clusters minus 1 2 clusters minus 1 cluster cluster 32 32 Max Files on Volume 4,294,967,295 (2 -1) 4,294,967,295 (2 -1) 64 44 2 bytes (16 2 bytes (16 Max File Size ExaBytes) TeraBytes) minus 1KB minus 64KB 64 32 2 clusters minus 1 2 clusters minus 1 Max Clusters cluster cluster Number Up to 255 Up to 255 Max File Name Length Max Volume Size

Limitations 128PB Nearly Unlimited 16EB 4294967295 Up to 255

32GB for all OS. 2TB for some OS 4194304 4GB minus 2 Bytes 4177918 Up to 255

2GB for all OS. 4GB for some OS 65536 2GB (Limit Only by Volume Size) 65520 Standard - 8.3 Extended - up to 255

16MB

S i s t e m a s d e A r c h i v o s

16MB (Limit Only by Volume Size) 4080 Up to 254

Unicode File Names

System Records Mirror Boot Sector Location First and Last Sectors First and Last Sectors File Attributes Alternate Streams Compression Encryption Object Permissions Disk Quotas Sparse Files Reparse Points Volume Mount Points Standard and Custom Yes Yes Yes Yes Yes Yes Yes Yes Standard and Custom Yes Yes No Yes No No No No

Unicode Character Set MFT Mirror File

Unicode Character Set MFT Mirror File

File System Features Unicode Character Set No Sectors 0 to 11 Copy in 12 to 23 Standard Set No No No Yes No No No No

System Character Set Second Copy of FAT First Sector and Copy in Sector #6 Standard Set No No No No No No No No

System Character Set Second Copy of FAT First Sector Standard Set No No No No No No No No

System Character Set Second Copy of FAT First Sector Standard Set No No No No No No No No

Built-In Security Recoverability Performance Disk Space Economy Fault Tolerance

Yes Yes Low on small volumes High on Large Max Max

Yes Yes Low on small volumes High on Large Max Max

Overall Performance Yes minimal ACL only Yes if TFAT activated High Max Yes if TFAT activated

No No High on small volumes Low on large Average Minimal

No No Highest on small volumes Low on large Minimal on large volumes Average

No No High Max Average

W i n d o w s

NTFS vs FAT - Recup. de Informacin

Informtica Forense

Borrado vs Eliminacin
Tres formas de borrado Suprimir Vaciar papelera Sobrescribir lugar fisico

Cuatro mtodos de eliminado Degaussing Sobrescritura mltiple Sobrescritura de Guttman Destruccin fsica

Los sistemas de archivos son estructuras que manejan apuntadores para poder encontrar archivos.

NTFS vs FAT - Recup. de Informacin

Informtica Forense

Evidencias de borrado para recuperacin

Al realizar un anlisis forense, se puede encontrar cuando un archivo ha sido eliminado: . Evidencia de archivos temporales . Buscando el valor 0x5e . Mediante un visor hexadecimal, encontrar inconsistencias en tamaos del primer cluster (borrado con intensin).

NTFS vs FAT - Recup. de Informacin

Informtica Forense

En los sistemas que trabajan con NTFS tenemos Sistemas de Auditora y Deteccin de Intrusos. GPEDIT: Registrar cambios en archivos (Audit Object Access). [Link] Archivos en MFT puede que no sean borrados y archivos grandes, solo se les borra la referencia.

Evidencias de borrado para recuperacin

NTFS vs FAT - Recup. de Informacin

Informtica Forense

Recuperando informacin
En FAT depende de las circunstancias y del estado actual del sistema de archivos.
Circunstancias: Fragmentado y utilizacin del disco.

Consecuencia: El archivo que se quiere recuperar fue sobrescrito.

FAT hace una asignacin secuencial y cclica del espacio disponible. Pocas probabilidades de que se pierda un cluster.

NTFS vs FAT - Recup. de Informacin

Informtica Forense

Recuperando informacin
En NTFSal ser un sistema basado en transacciones, ciertas acciones slo se pueden deshacer usando las funciones del sistema de archivos.

Operaciones a medio terminar no estn permitidas.

Despus de una falla crtica (transcc. No finalizada), NTFS realiza la recuperacin de 3 pasadas.
1. 2. 3.

Paso de anlisis: qu sectores necesitan corregirse El S.O. rehace todas las transacciones desde el ltimo pto de control. Paso de deshacer: el S.O. deshace todas las transacciones conocidas. Esto no garantiza que no se pierda informacin

NTFS vs FAT - Recup. de Informacin

Informtica Forense

Recuperando informacin
Sector de Arranque: En NTFS el sistema de archivos guarda una copia de este. En FAT no se guarda una copia del sector. Windows XP: FIXMBR / FIXBOOT desde la consola de recuperacin.

Windows Vista/7/2008: desde la consola de recuperacin bootrec /fixmbr bootrec /fixboot bootrec /rebuildbcd

NTFS vs FAT - Recup. de Informacin

Informtica Forense

Programas
1.

2.
3.

WinHEX File Scavenger PC Inspector File Recovery