Introducción
Para poder conocer los eventos sucedidos en un equipo comprometido, a veces es necesario analizar detalladamente el disco duro, para ello se tiene que ser cuidadoso a la hora de realizar la adquisición de dicho disco.
Lo más común es realizar una copia bit por bit del disco que se quiere analizar, esto es un proceso tardado en discos de gran capacidad. También se debe de utilizar algún medio que permita solo la lectura, para que no se modifique la evidencia.
Sistema de archivos
El sistema de archivos es una estructura de datos que define la organización de las particiones y los archivos, por lo cual es importante conocer esta estructura para realizar un análisis.
Los sistemas de archivos más comunes son los siguientes:
- NTFS
- FAT
- EXT
- XFS
- HFS+
- ReFS
–Gráfica–
Como se puede ver en la grafica anterior, el sistema de archivos más utilizado es NTFS, que es que utiliza Windows que es compatible de manera nativa a partir de Windows 2000.
Particiones
Una partición es un es una sección del disco duro, esta puede ser utilizada para dividir un disco duro en varias unidades, y cada partición puede tener su propio sistema de archivos.
Es importante conocer en donde inicia y en donde termina una partición, ya que las particiones son independientes unas de otras, y se necesita saber que porción de disco analizar.
Los sistemas de archivo NTFS pueden contener hasta 4 particiones, los datos de estas se encuentran en los primeros sectores del disco duro.