¿Qué es la talla de archivos?

La talla de archivos es una técnica utilizada en la computadora forense para extraer un archivo o datos formateados de una unidad de disco u otro dispositivo de almacenamiento sin la ayuda del sistema de archivos que originalmente creó el archivo. Hay varios métodos y algoritmos diferentes que se pueden usar, pero el proceso esencialmente implica escanear a través de los datos disponibles en un dispositivo de almacenamiento y luego, de una forma u otra, verificar si esa información es un archivo o contiene alguna información predefinida de importancia. Un sistema de archivos no está presente durante el proceso de talla de archivos, por lo que toda la información en un disco debe evaluarse para su contexto, lo que significa que el proceso puede llevar mucho tiempo y, dependiendo del estado del dispositivo de almacenamiento, puede tener una baja tasa de éxito. Es increíblemente difícil, pero posible, tallar archivos de unidades que tienen una gran cantidad de fragmentación de archivos. El resultado final de la talla de archivos exitosa es la reconstrucción de un archivo de tal manera que su ConteLos NT están completamente presentes, aunque un resultado aceptable en algunas situaciones puede ser un archivo parcialmente reconstruido si se recupera suficiente información pertinente.

En algunos casos, ya sea por falla de hardware, error humano o ataque malicioso, el sistema de archivos de un dispositivo de almacenamiento y toda la información se puede borrar. Dependiendo de cómo se eliminó la información, el disco en sí aún podría contener toda la información que anteriormente estaba presente, pero en un flujo de bytes desorganizado y desordenado. Un mecanismo que hace posible la talla de archivos es que, cuando muchos sistemas de archivos borran un archivo de una unidad, no eliminan los datos, sino que marcan esa área del disco como disponible para nuevos archivos. Los datos antiguos permanecen hasta que se sobrescriban y, incluso en ese caso, todavía existe la posibilidad de que se pueda recuperar.

Una técnica muy básica utilizada en la talla de archivos implica pisar a través deugh blocks of information on a disk looking for file signatures. These are structured pieces of data that indicate the start of a file of a particular type. One example is the start of an image file that might contain the width and height of the image and some color palette data. En caso de que se encuentre un bloque de datos que coincida limpiamente con el encabezado de un tipo de archivo, entonces se realiza un intento de interpretar los datos después del encabezado para ver si realmente son los datos del archivo. If successful, this could lead to the reconstruction of the original file.

Una complicación que ocurre en la talla de archivos tiene que ver con los archivos que están fragmentados, lo que significa que el archivo se almacena en dos o más ubicaciones físicas diferentes en un disco. Some techniques do not attempt to reconstruct these types of files. Otros métodos utilizan el conocimiento existente de los sistemas de archivos para intentar aproximar dónde podrían ubicarse las otras partes de un archivo, aunque este proceso es muy difícil.