|
Forensics in Spanish
NTFS Filesystem: Marcas de borrado Jun 30 2008 09:58PM Roumen Boyanov Chirinov (roumen chirinov gmail com) (3 replies) Re: NTFS Filesystem: Marcas de borrado Jul 01 2008 10:08PM Alonso Caballero Quezada / ReYDeS (reydes gmail com) |
|
|
Privacy Statement |
<roumen.chirinov (at) gmail (dot) com [email concealed]> wrote:
> Hola,
>
> Tengo dos sistemas con sistemas de ficheros NTFS:
>
> - Windows XP
> - Windows Vista
>
> Creo que NTFS no cuenta con marcas de borrado. Por tanto si un fichero es
> borrado, no se guarda ningun log, ninguna traza. La única posibilidad para
> que esto se haga es activar la auditoria sobre una carpeta o un disco.
>
> Realmente las únicas marcas que se guardan por defecto son: marcas de fecha
> y hora (creación o modificación)
>
> ¿Estoy en lo cierto?
¿ Para que quieres saber si se guarda o no una "marca de borrado" ?
* En caso que quieras saber cuales archivos se borraron esa
información la puedes ver con The Sleuth Kit (TSK)[1] (dependiendo de
que tanta actividad haya ocurrido sobre el sistema de archivos)
* Si la idea es recuperar los archivos para eso puedes usar
Foremost[2] o alguna de las otras herramientas que se recomiendan en
el wiki de Ubuntu[3] (dependiendo de que tanta actividad haya ocurrido
sobre el sistema de archivos)
* Si tu interés es a nivel teórico podrías mirar lo que dicen sobre
ntfs en la pagina de TSK[4] (que a su vez para mayor profundidad
recomienda el libro "Inside Windows 2000" de Solomon and Russinovich)
> --
> Un saludo!
>
> Roumen
[1] http://www.sleuthkit.org/sleuthkit/docs/ref_fs.html
[2] http://foremost.sourceforge.net/
[3] https://help.ubuntu.com/community/DataRecovery#Extract%20individual%20fi
les%20from%20recovered%20image
[4] http://www.sleuthkit.org/sleuthkit/docs/skins_ntfs.html
--
Únete a la lista de correo sobre el desarrollo de software con
herramientas de software libre
http://slcolombia.org/Sl-prog
[ reply ]