En un dispositivo de almacenamiento, su estructura está dividida en lo que denominamos particiones. Hoy en día encontramos dos tipos de particionado principalmente: GPT o MBR.
En este post, hablaremos de la segunda, de la partición MBR.
Partición MBR: generalidades
- El particionado o partición MBR (master boot record) está formado por un espacio de código alojado en el primer sector del dispositivo de almacenamiento o disco duro y contiene la tabla de particiones.
- Las particiones de la tabla de particiones pueden ser hasta 4 y son conocidas como particiones primarias.
- La partición MBR contiene información y datos respecto a dónde empieza y termina la partición y sobre si es una partición activa o no. En todo caso, solo puede haber una partición activa en el sector del disco.
- Al final del sector de la partición MBR hay un número mágico: 0x55AA.
- Esta partición tiene registros de 16 bytes.
El número mágico
Se llama número mágico al tipo de dato que se tiene almacenado dentro del sector. Se refiere a una secuencia de bytes específica que se utiliza en la cabecera de ciertos tipos de archivos para identificar el formato del archivo.
Son muy usados en recuperación de ficheros, cuando se buscan ficheros borrados. Una de las técnicas que se emplean lo que hace es buscar en una base de datos de números mágicos que posee y va buscando el archivo por todo el disco. Entonces, cuando de repente encuentra un sector o un byte que corresponde a un número mágico, especula que es un PDF o un JPG o cualquier otro tipo de archivo, dependiendo del indicio de número que se encuentre, hasta finalmente encontrar el número indicado para el tipo de archivo que se está buscando.
Estos números mágicos suelen ser valores hexadecimales específicos que indican el tipo de archivo y permiten a los programas informáticos determinar cómo interpretar y procesar el archivo. Por ejemplo, un archivo JPEG tiene el número mágico “FF D8 FF”, mientras que un archivo PDF tiene el número mágico “25 50 44 46”.
Entendiendo la partición MBR
Las particiones
En la primera parte de una partición MBR tenemos información de las particiones. Esto hace referencia al sector, es decir, el primer registro de la tabla de particiones guarda la información en una especie de puntero hacia el sector donde está almacenado el primer byte de esa partición. Funciona igual para la segunda, para la tercera y para la cuarta partición dentro de la partición MBR. Teniendo esto último en cuenta, podríamos determinar que son punteros.
🔴 ¿Quieres entrar de lleno a la Ciberseguridad? 🔴
Descubre el Ciberseguridad Full Stack Bootcamp de KeepCoding. La formación más completa del mercado y con empleabilidad garantizada
👉 Prueba gratis el Bootcamp en Ciberseguridad por una semanaEntonces, tenemos que:
- El primer bit indica si la partición es de arranque o no:
- 00 → No es una partición de arranque.
- 80 → Es una partición de arranque.
- Si la partición de arranque no corresponde a este disco, el resto de bits indicarán en qué disco está la partición de arranque.
- El cuarto byte indica el tipo de sistema:
Disk editor
Disk editor es un programa que nos permite analizar el disco y de ese disco podemos ver la tabla de particiones.
Esta herramienta es bastante útil porque ya tiene los patrones guardados, entonces ella misma reconoce qué sectores tienen la partición MBR, qué sectores contienen la información de las tablas de cada partición y, además, los pinta y los divide para que se puedan entender de una mejor manera.
Espacios vacíos del disco
Estas herramientas no nos dan información forense como tal. Esto simplemente nos sirve para conocer cómo se estructura la información.
Lo que sí puede suceder es que tengamos que trabajar a bajo nivel y hacer una investigación bastante exhaustiva sobre detección y análisis de malware, habría ciertos análisis en los que algún malware podría modificar tablas de particiones, porque nos deja espacio entre una y otra partición para almacenar información del mismo.
- Sectores no utilizados tras la tabla de particiones y antes de la primera partición.
- Espacio entre particiones.
- Espacios no particionados.
Todos estos espacios pueden usarse para alojar malware.
¿Cómo aprender más?
Ya hemos visto qué es y cómo funciona una partición MBR y algunas de sus generalidades. Si quieres formarte para ser un gran profesional y trabajar en informática forense o en cualquier área de ciberseguridad, en KeepCoding tenemos el mejor curso intensivo e íntegro para ti. Accede a nuestro Ciberseguridad Full Stack Bootcamp y descubre cómo puedes convertirte en un especialista en muy pocos meses con la guía de profesores expertos y una metodología propia teórica y práctica. ¡Solicita información ahora y transforma tu futuro!