21/11/2024

Siguiendo con las Tecnicas ANTIFORENSES, hoy vamos a comentar el utilitario, por cierto muy antiguo en el contexto del sistema operativo windows: DEFRAG  o Defragmentador de disco

Imaginen que a media noche llega un grupo de 20 personas al hotel. En ese momento el conserje los  como puede, unos al primer piso, otros al segundo y al tercero.

El grupo esta fragmentado. Similar situación ocurre en la grabación de archivos en los repositorios de almacenamiento. El Sistema operativo, hace la tarea del conserje y acomoda el archivo como puede.

En el hotel, al día siguiente después de la hora del checkout, el conserje ve la disponibilidad de habitaciones libres y hace una defragmenacion del grupo.

EFECTO ANTIFORENSE:

Al igual que las habitaciones desocupadas, los bits de los archivos fragmentados son movidos y van a ocupar el lugar de espacios vacíos que anteriormente pudieron tener información de otros archivos. La sobreposicion es 1 a 1, es decir el nuevo bit ocupa el tamaño del anterior. Diferente a lo que ocurre en discos duros cuando se habla de fileslack o los espacios remanentes de cada cluster. El cluster externo lógicamente tiene el mismo tamaño que el cluster interno.

Esta accion de DEFRAGmentar el disco, puede suponer la sobreposicion de bits que podían contener información relevante para el caso. Si bien es una tarea de soporte técnico que frecuentemente se hace, consideremos que debe estar normada para que no sea una medida antiforense durante el itercriminis para borrar huellas. Nos tocara también analizar si antes de congelar o realizar las copias forenses, se hicieron estas tareas de mantenimiento. Una cosa es hacerlo con un disco pequeño y con poco espacio remanente.

No olviden leer el primer capitulo de esta saga (TAF1: Modificación de hora y fecha):

Autor / Redactor / Director