Forense de disco
¿Qué es Forense de disco?
Forense de discoAnálisis de medios de almacenamiento no volátiles (HDD, SSD, USB) para recuperar y examinar artefactos del sistema de archivos, aplicaciones y sistema operativo.
El forense de disco es la rama histórica central del forense digital: trabaja sobre imágenes bit a bit y reconstruye actividad a partir de sistemas de archivos (NTFS, APFS, ext4, FAT), diarios, metadatos, slack y espacio no asignado. Se examinan registros de MFT, USN, $LogFile, prefetch, jump lists, accesos directos, perfiles de navegadores, registros de eventos de Windows y shellbags para construir líneas de tiempo. Herramientas como Autopsy/Sleuth Kit, EnCase, X-Ways, FTK y Plaso/log2timeline automatizan el parseo y la línea de tiempo. Los retos actuales incluyen cifrado de disco (BitLocker, FileVault, LUKS), TRIM y recolección de basura en SSD y contenido sincronizado con la nube, abordados con NIST SP 800-86 e ISO/IEC 27037.
● Ejemplos
- 01
Recuperación de documentos eliminados desde el espacio no asignado NTFS con Autopsy.
- 02
Análisis de prefetch y ShimCache para confirmar la ejecución de un binario malicioso.
● Preguntas frecuentes
¿Qué es Forense de disco?
Análisis de medios de almacenamiento no volátiles (HDD, SSD, USB) para recuperar y examinar artefactos del sistema de archivos, aplicaciones y sistema operativo. Pertenece a la categoría de Forense y respuesta en ciberseguridad.
¿Qué significa Forense de disco?
Análisis de medios de almacenamiento no volátiles (HDD, SSD, USB) para recuperar y examinar artefactos del sistema de archivos, aplicaciones y sistema operativo.
¿Cómo defenderse de Forense de disco?
Las defensas contra Forense de disco combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Forense de disco?
Nombres alternativos comunes: Forense informático de disco, Forense de almacenamiento.