CyberGlossary

Forense y respuesta

Forense de disco

También conocido como: Forense informático de disco, Forense de almacenamiento

Definición

Análisis de medios de almacenamiento no volátiles (HDD, SSD, USB) para recuperar y examinar artefactos del sistema de archivos, aplicaciones y sistema operativo.

El forense de disco es la rama histórica central del forense digital: trabaja sobre imágenes bit a bit y reconstruye actividad a partir de sistemas de archivos (NTFS, APFS, ext4, FAT), diarios, metadatos, slack y espacio no asignado. Se examinan registros de MFT, USN, $LogFile, prefetch, jump lists, accesos directos, perfiles de navegadores, registros de eventos de Windows y shellbags para construir líneas de tiempo. Herramientas como Autopsy/Sleuth Kit, EnCase, X-Ways, FTK y Plaso/log2timeline automatizan el parseo y la línea de tiempo. Los retos actuales incluyen cifrado de disco (BitLocker, FileVault, LUKS), TRIM y recolección de basura en SSD y contenido sincronizado con la nube, abordados con NIST SP 800-86 e ISO/IEC 27037.

Ejemplos

  • Recuperación de documentos eliminados desde el espacio no asignado NTFS con Autopsy.
  • Análisis de prefetch y ShimCache para confirmar la ejecución de un binario malicioso.

Términos relacionados