En este blog informático está reflejada mi experiencia en el mundo de la informática. Mis publicaciones serán sobre seguridad informática e Internet. Las técnicas y herramientas aquí explicadas son para fomentar la seguridad de la información dentro de la filosofía del hacking ético. En línea desde 2005.

Análisis forense de elementos enviados a la papelera de reciclaje.

Una técnica de análisis en sistemas muertos que se utiliza para saber que elementos contiene la papelera de reciclaje, cuando han sido eliminados y quien los elimino. En primer lugar necesitamos saber donde almacena Windows la papelera de reciclaje:

  • Windows 95/98/ME en “C:\Recycled\”
  • Windows NT/2000/XP/ en “C:\Recycler\

Un ejemplo en de la estructura en un Windows XP con dos usuarios:

C:\RECYCLER\S-1-5-21-1417001333-343818398-1801674531-1004
C:\RECYCLER\ S-1-5-21-1417001333-343818398-1801674531-500

Dentro de estas carpetas de los dos usurarios de este sistema se encuentran los archivos borrados de cada uno. Además de estos archivos se encuentra también un archivo llamado INFO2 donde se almacena la información sobre cuando se borro y de donde se borro el archivo. Se puede extraer esta información con un editor hexadecimal, aunque es más fácil utilizar la herramienta rifiuti.

Ejemplo:

Entramos en la carpeta de usuario en la ruta “C:\RECYCLER”.

C:\RECYCLER\S-1-5-21-1417001333-343818398-1801674531-500>

Y ejecutamos rifiuti:

rifiuti INFO2>e:\analisis.txt

Y el resultado se genera en el archivo “analisis.txt” donde aparecerá: la fecha y hora de eliminación, la ruta de donde se eliminaron y el tamaño, de todos los archivos que se enviaron a la papelera de reciclaje.

Rifiuti también esta disponible para Linux.

Más información y descarga de rifiuti:
http://www.foundstone.com/us/resources/proddesc/rifiuti.htm
Análisis forense de elementos enviados a la papelera de reciclaje. Análisis forense de elementos enviados a la papelera de reciclaje. Reviewed by Álvaro Paz on lunes, julio 14, 2008 Rating: 5

4 comentarios:

**Juanito** dijo...

Como siempre excelente Alvaro, linda herramienta. También sirve para Windows Vista? Será cuestión de probar.
Saludos.

Alvaro Paz dijo...

La estructura de la papelera de reciclaje en Windows Vista es igual a la de Windows XP debe funcionar.
Un saludo

Anónimo dijo...

Hola a todos,

Siguiendo con esto, Lo use y funciona de 10.... Hasta que le das eliminar los elementos de la papelera despues? BYE, y si quiero hacer realmente forense sobre elementos eliminados?.
Desde Corrientes, Argentina.
Un saludo.

Alvaro Paz dijo...

Primero analizarías los accesos NTFS de la carpeta del usuario como indico en el post:
http://vtroger.blogspot.com/2008/05/anlisis-forense-de-accesos-no.html
Y después con un software de recuperación, recuperarías los archivos borrados de la carpeta y analizarías las fechas de eliminación y borrado. Aunque en un análisis forense también se buscan todos los archivos borrados y en algunos casos, no es necesario recuperar estos porque ya se recuperan de su ruta original.

Este Blog sobre Seguridad Informática está bajo una licencia de Creative Commons, Álvaro Paz. Con la tecnología de Blogger.