Existen dos modos de hacer recuperación de datos en NTFS: la primera forma es mediante el propio sistema de archivos; la segunda es mediante técnicas de carving. En este artículo veremos ambas, para que estés más familiarizado con el tema de la recuperación de datos en NTFS, un sistema de archivos de Windows.
Recuperación de datos en NTFS
Cuando hablamos de recuperación de datos en NTFS, principalmente hablamos de dos tipos de recuperación. Uno de estos tipos es mediante el sistema de archivos, el otro es mediante técnicas de carving.
- Mediante el propio sistema de archivos: siempre y cuando el registro NTFS no se haya sobrescrito ni el clúster del contenido de la información se esté utilizando.
- Mediante técnicas de carving: la recuperación de datos en NTFS mediante carving está basada en el análisis, clúster a clúster, del dispositivo de almacenamiento, en busca de cabeceras o formas conocidas. Esta técnica no permite recuperar el nombre del fichero y no depende del sistema de archivos, sino de conocer previamente cómo está formado el fichero que queremos recuperar.
Sistema de archivos
La recuperación de datos en NTFS mediante sistema de archivos tiene una tasa de recuperabilidad efectiva, siempre y cuando el registro NTFS no se haya sobrescrito. Esto quiere decir que, mediante el sistema de archivos, se tira de la MFT, se busca el espacio del disco donde está almacenado el fichero, aunque aparezca como borrado, y se puede recuperar.
El problema de esta técnica radica en la cantidad de información que guardemos en nuestro equipo, ya que si nuestra unidad de almacenamiento tiene muchísimos archivos y hay bloques libres, el sistema va a ir utilizándolos.
Entonces, se puede realizar en función de la arquitectura del sistema operativo y del tiempo que haya pasado (si no ha pasado mucho tiempo y no hemos usado mucho el sistema). En caso de que se den las condiciones óptimas, podemos obtener el archivo que hemos borrado y al que queremos hacerle recuperación de datos en NTFS.
Carving
La técnica de carving se refiere a la recuperación de datos en NTFS y archivos de un sistema de almacenamiento dañado o corrupto. El proceso de carving implica la identificación y extracción de fragmentos de datos de un archivo o sistema de archivos utilizando patrones de firma únicos.
🔴 ¿Quieres entrar de lleno a la Ciberseguridad? 🔴
Descubre el Ciberseguridad Full Stack Bootcamp de KeepCoding. La formación más completa del mercado y con empleabilidad garantizada
👉 Prueba gratis el Bootcamp en Ciberseguridad por una semanaUno de los inconvenientes de esta técnica es que no permite recuperar el nombre del fichero. Es decir, cuando estamos haciendo una representación de carving por disco, con una taza de éxito aceptable, podemos recuperar un número de ficheros, pero no vamos a saber qué ficheros son los que hemos recuperado, simplemente sabremos que tienen un nombre y qué tipo de fichero son (si es docx, PDF, JPEG, etc.)
¿Qué es lo que hacen los programas que se dedican a hacer las técnicas de recuperación de datos en NTFS mediante carving? Lo que hacen es buscar los archivos por medio de los magic numbers.
Técnicas de carving
Como mencionamos, mediante esta técnica de recuperación de datos en NTFS no se puede recuperar el nombre del fichero. Existen tres tipos de técnicas de carving:
- Basadas en cabeceras y cierre del fichero → Header-Footer con tamaño máximo del fichero. En esta técnica se cogen la cabecera y el pie, y todo lo que hay entre ellos determina el contenido del fichero.
- Basadas en cómo está el fichero construido → File Structure based carving. Estas técnicas funcionan por medio del reconocimiento de cómo se construyen los archivos, por ejemplo, un PDF, y qué contenido en común tiene un PDF (porque todos los ficheros en su estructura tienen un contenido en común, no solamente la cabecera y el final). Con base en estos parámetros recupera el archivo.
- Content based carving: estas técnicas necesitan una alimentación, o sea, es indispensable decirles qué queremos buscar, mediante contenido, porque si tenemos un fichero similar, podemos pasarle archivos parecidos para que nos haga una búsqueda.
Se utiliza un header conocido y un footer:
- Fichero JPEG Header: OxFF,OxD8 → FFD8
- Fichero JPEG Footer: OxFF,OxD9 → FFD9
Ya hemos visto cómo hacer recuperación de datos en NTFS. Si quieres seguir aprendiendo sobre distintas áreas de la seguridad informática, en KeepCoding tenemos la formación intensiva e íntegra ideal para ti. Accede al Ciberseguridad Full Stack Bootcamp y descubre cómo puedes convertirte en todo un profesional IT en pocos meses con el acompañamiento constante de profesores expertos en el sector. ¡Solicita ahora mismo más información y da el paso que transformará tu futuro!