Forensics in Spanish
NTFS Filesystem: Marcas de borrado Jun 30 2008 09:58PM
Roumen Boyanov Chirinov (roumen chirinov gmail com) (3 replies)
Re: NTFS Filesystem: Marcas de borrado Jul 02 2008 11:45PM
Camilo (camilo uribe gmail com)
On Mon, Jun 30, 2008 at 4:58 PM, Roumen Boyanov Chirinov
<roumen.chirinov (at) gmail (dot) com [email concealed]> wrote:
> Hola,
>
> Tengo dos sistemas con sistemas de ficheros NTFS:
>
> - Windows XP
> - Windows Vista
>
> Creo que NTFS no cuenta con marcas de borrado. Por tanto si un fichero es
> borrado, no se guarda ningun log, ninguna traza. La única posibilidad para
> que esto se haga es activar la auditoria sobre una carpeta o un disco.
>
> Realmente las únicas marcas que se guardan por defecto son: marcas de fecha
> y hora (creación o modificación)
>
> ¿Estoy en lo cierto?

¿ Para que quieres saber si se guarda o no una "marca de borrado" ?

* En caso que quieras saber cuales archivos se borraron esa
información la puedes ver con The Sleuth Kit (TSK)[1] (dependiendo de
que tanta actividad haya ocurrido sobre el sistema de archivos)

* Si la idea es recuperar los archivos para eso puedes usar
Foremost[2] o alguna de las otras herramientas que se recomiendan en
el wiki de Ubuntu[3] (dependiendo de que tanta actividad haya ocurrido
sobre el sistema de archivos)

* Si tu interés es a nivel teórico podrías mirar lo que dicen sobre
ntfs en la pagina de TSK[4] (que a su vez para mayor profundidad
recomienda el libro "Inside Windows 2000" de Solomon and Russinovich)

> --
> Un saludo!
>
> Roumen

[1] http://www.sleuthkit.org/sleuthkit/docs/ref_fs.html
[2] http://foremost.sourceforge.net/
[3] https://help.ubuntu.com/community/DataRecovery#Extract%20individual%20fi
les%20from%20recovered%20image
[4] http://www.sleuthkit.org/sleuthkit/docs/skins_ntfs.html

--
Únete a la lista de correo sobre el desarrollo de software con
herramientas de software libre
http://slcolombia.org/Sl-prog

[ reply ]
Re: NTFS Filesystem: Marcas de borrado Jul 02 2008 09:51AM
Javier Igal (javier igal gmail com)
Re: NTFS Filesystem: Marcas de borrado Jul 01 2008 10:08PM
Alonso Caballero Quezada / ReYDeS (reydes gmail com)


 

Privacy Statement
Copyright 2010, SecurityFocus