¿Qué es el tallado de archivos?
El tallado de archivos es una técnica utilizada en informática forense para extraer un archivo o datos formateados de una unidad de disco u otro dispositivo de almacenamiento sin la asistencia del sistema de archivos que creó originalmente el archivo. Hay varios métodos y algoritmos diferentes que se pueden usar, pero el proceso esencialmente implica escanear a través de los datos que están disponibles en un dispositivo de almacenamiento y luego, de una manera u otra, verificar si esa información es un archivo o contiene alguna información predefinida de importancia. Un sistema de archivos no está presente durante el proceso de tallado de archivos, por lo que toda la información en un disco debe evaluarse para su contexto, lo que significa que el proceso puede llevar mucho tiempo y, dependiendo del estado del dispositivo de almacenamiento, puede baja tasa de éxito Es increíblemente difícil, pero posible, tallar archivos de unidades que tienen una gran cantidad de fragmentación de archivos. El resultado final de la talla exitosa del archivo es la reconstrucción de un archivo de tal manera que su contenido esté completamente presente, aunque un resultado aceptable en algunas situaciones puede ser un archivo parcialmente reconstruido si se recupera suficiente información pertinente.
En algunos casos, ya sea por falla de hardware, error humano o ataque malicioso, el sistema de archivos de un dispositivo de almacenamiento y toda la información que contiene puede borrarse. Dependiendo de cómo se eliminó la información, el disco en sí mismo podría contener toda la información que anteriormente estaba presente, pero en una secuencia de bytes desordenada y desordenada. Un mecanismo que hace posible la creación de archivos es que, cuando muchos sistemas de archivos borran un archivo de una unidad, no eliminan los datos, sino que marcan esa área del disco como disponible para nuevos archivos. Los datos antiguos permanecen hasta que se sobrescriben e, incluso en ese caso, aún existe la posibilidad de que puedan recuperarse.
Una técnica muy básica utilizada en la talla de archivos consiste en recorrer bloques de información en un disco en busca de firmas de archivos. Estos son datos estructurados que indican el inicio de un archivo de un tipo particular. Un ejemplo es el inicio de un archivo de imagen que puede contener el ancho y el alto de la imagen y algunos datos de la paleta de colores. Si se encuentra un bloque de datos que coincida limpiamente con el encabezado de un tipo de archivo, se realiza un intento de interpretar los datos que siguen al encabezado para ver si realmente son los datos del archivo. Si tiene éxito, esto podría conducir a la reconstrucción del archivo original.
Una complicación que ocurre en la talla de archivos tiene que ver con archivos que están fragmentados, lo que significa que el archivo se almacena en dos o más ubicaciones físicas diferentes en un disco. Algunas técnicas no intentan reconstruir estos tipos de archivos. Otros métodos utilizan el conocimiento existente de los sistemas de archivos para intentar aproximar dónde podrían ubicarse las otras partes de un archivo, aunque este proceso es muy difícil.