Descargo de responsabilidad: responderé esta pregunta asumiendo que no hay intención de cometer un delito, violación de la traición de la ley local o internacional, o la intención de evitar la divulgación de información a un investigador, o que el objetivo es ocultar datos que puedan ayudar resolver un delito o ayudar a alguien en la comisión de un delito. Además, no asumo ninguna responsabilidad por las acciones tomadas, ya que la pregunta no define evidencia en un señorío mencionado anteriormente y tales acciones no impedirán el proceso legal ni causarán daño a otros.
Escribo esto porque la protección de datos personales es un tema importante. Hacer tal pregunta no constituye una intención de violar la ley. Todos tenemos derecho a la privacidad. La mayoría de las personas se enfermarían si descubrieran cuánta fuga de datos hay en esta tierra.
================================================== =
- ¿Por qué mi portátil Folio 1040 se apaga?
- ¿Qué componentes debo comprar para actualizar mi Dell Inspiron 570 a una computadora de juego decente?
- Cómo conectarse de forma remota a una máquina Linux usando un teléfono inteligente
- ¿Para qué configuración debo comprar una computadora portátil?
- Cómo conectar computadoras y usar su memoria
Depende de lo que defina como evidencia. La mayoría de las veces hay dos razones para esta pregunta. A) se está llevando a cabo una investigación y desea evitar el potencial de evidencia de alguna acción que cree que puede incriminarlo (lo cual no creo que sea el caso aquí) O B) Desea destruir todos los datos en un sistema que ha estado utilizando para evitar que otros encuentren datos que considere de naturaleza personal.
Si desea eliminar todos los datos, independientemente de su naturaleza, personal, privada o sin clasificar, hay una manera segura de deshacerse de todos los datos. Destruya el disco duro y reinicie la PC sin el disco duro. Cuando digo destruir me refiero a destruir el disco físicamente. Esto significa ponerlo en una trituradora de metal o desarmarlo y romper los discos y todos los componentes internos. Es un poco difícil grabar una unidad, pero sí se puede hacer, sin embargo, he visto unidades que se quemaron que se recuperaron y, dependiendo de cómo se hizo, los platos todavía están en un estado utilizable.
Esto también depende del investigador forense y de las herramientas que se utilizan para la recuperación.
Veamos dos escenarios ‘. No digo que esté en ninguno de los dos, pero es importante entenderlos como pretexto de lo que implica el análisis forense.
1) Una investigación legal donde se ha emitido una orden judicial. Si se ha emitido una orden judicial. Será muy específico cuando se trata del hardware. Será específico sobre el área común fuera del ámbito de la ubicación donde reside el hardware, pero casi siempre se escriben de una manera que les permita volverse menos granulares a medida que nos acercamos al hardware real. Lo que esto significa es que pueden tomar lo que quieran una vez dentro. De esta manera no se pierde nada. No tiene más opción que entregar casi todo. Y si esto es legal, Local LEO pueden o no perder nada si es federal, no perderán nada en absoluto. Explorarán en busca de unidades de memoria USB ocultas, tarjetas SD y otros posibles artefactos.
2) Una empresa, si está utilizando una computadora de la empresa o un dispositivo de almacenamiento que se le proporcionó mediante un contrato de arrendamiento o que se le entregó para realizar su trabajo, no necesitan ninguna orden judicial ni consentimiento para la búsqueda. Esto se considera un asunto de política interna y tomarán todo el dispositivo. También pueden buscar su automóvil si está en su propiedad por cierto. (Sin embargo, puede argumentar que uno).
Voy a ser general aquí, ya que hay muchos tipos diferentes de sistemas operativos y sistemas de archivos. Me centraré principalmente en NTFS y FAT, ya que esos son los más comunes, ya que Microsoft Windows es el sistema operativo más común utilizado.
Cuando elimina datos independientemente de cómo lo haga, no se eliminan del disco. De hecho, cuando formatea la unidad, los datos aún pueden recuperarse. En realidad casi siempre.
La eliminación de archivos realmente solo le dice al sistema operativo que coloque un pre-carácter al frente del nombre del archivo, lo que significa que puede ser sobreescrito en algún momento por el sistema operativo y el espacio utilizable. El problema es que los datos sobre el archivo seguirán existiendo en la unidad, incluso si se ha sobrescrito. Esto normalmente se encuentra en la tabla maestra de archivos, MFT. Puede pensar en esto como una base de datos para la información en el disco.
La parte interna de los discos duros es en realidad un poco más compleja de lo que la mayoría de la gente piensa. Las unidades SDD son un poco diferentes, pero la recuperación puede ser más difícil. Esos BTW pueden quemarse y realmente están listos. Y sí, las unidades SDD mueren, no duran para siempre. Realmente deseo que la gente entienda eso. (Mascota molesta).
Cuando formatea una unidad, especialmente en Windows, realmente no hace mucho. El formato rápido sobre no hace nada excepto marcar el espacio como espacio libre y todos los datos siguen ahí. El formato estándar hace un poco más, pero los datos a menudo aún se pueden recuperar con las herramientas adecuadas. El formateo de bajo nivel hace MUCHO más, pero las unidades actuales a menudo se arruinan al hacer esto. Puede funcionar pero bajo su propio riesgo. Pero, de nuevo, no limpia la unidad como podría pensar.
Cualquier investigador va a copiar la unidad primero, nunca funciona desde la unidad real que se está investigando A MENOS QUE. están mirando objetos en la memoria, lo que significa que llevarán a cabo una investigación en vivo, lo cual es bastante raro pero sucede.
Hay un montón de términos técnicos que puedo incluir aquí sobre cómo funcionan las unidades, como la holgura y las particiones, las tablas de inodo y demás, pero las dejaré fuera. Eso comienza a divergir de una simple pregunta a una descripción compleja de cómo funciona todo esto.
Sin embargo, creo que es importante tener una comprensión básica de ello.
Es fundamental comprender qué cosas se mirarían o buscarían. El sistema de archivos es solo una parte del proceso. Los investigadores harán lo que se llama tallado de archivos para reconstruir elementos de archivos dispersos o formateados en una unidad. El registro es una mina de oro. Ser capaz de recuperar simplemente el registro para Windows es donde comienzan muchos clientes potenciales. A veces eso es suficiente evidencia.
Dicho esto, eliminar, formatear la unidad o usar alguna utilidad de descarga mágica no será realmente el salvador todo en uno. A menudo, la gente con la que trabajo formateará sus discos y hará lo que llamamos cero. Por lo general, esto evita que los muchachos a los que les devolvemos cavan en cosas, pero si quisieran, podrían esforzarse y obtener información.
Si usa la sabiduría convencional y elimina todo y formatea el disco que no es suficiente. Los metadatos y cosas como datos de cola de impresión, caché de miniaturas y otros objetos todavía están a menudo allí. Incluso las unidades formateadas dejan datos en el área page.sys. Entonces eso también debe ser considerado.
A decir verdad, Windows hace un trabajo horrible de destrucción de datos. Esto es realmente porque quieren proteger los datos de una manera que sean recuperables debido a cualquier inestabilidad. Soy una gran persona de Linux. Utilizo Linux desde 1994 y me gusta la variación de los sistemas de archivos, pero NTFS es en realidad un sistema de archivos bastante bueno en general. Su recuperación es muy buena, pero esto es malo si intentas ser confidencial.
Nada de lo que viene con el sistema operativo Windows en sí va a borrar realmente el disco. Al menos no desde un punto de vista forense.
La ÚNICA herramienta que recomendaría para tal proceso es http://dban.sourceforge.net/
Si bien el gobierno federal usa esto, tenga en cuenta que los federales también insertan sus propios juguetes en las cosas. Sin embargo, esta es una herramienta que en la mayoría de los casos hará el truco para mantener las miradas indiscretas de las cosas. Ser esos ojos curiosos no son amigos forenses.
Hay demasiadas formas, incluso si formatea una sobreinstalación de un nuevo sistema operativo y elimina archivos específicos como caché de miniaturas, cookies y archivos relacionados con Internet, a menudo todavía son algo que se puede recuperar.
Además de esto, incluso cifrar el disco no es una apuesta segura. AES 256 podría comprarle algo, pero depende de quién, si alguien lo va a mirar, y cuánto tiempo y esfuerzo le dediquen. Puedo escuchar a la gente discutiendo eso ahora, pero confía en mí. Hay gente y herramientas por ahí, lamentablemente, que con el tiempo puede obtener casi cualquier cosa. Nunca subestimes el poder de los federales …
Tenga en cuenta también que su unidad no es la única preocupación por los datos personales. La fuga de datos es el mayor problema que existe en este momento.
Los registros de su dirección IP, sitios visitados, duración y comportamiento a menudo se registran. A menos que esté en una red privada, esta información está sujeta a investigación. Las tarjetas SD, las unidades de memoria USB, las unidades externas, NAS, SAN y cosas como DropBox, Google Drive Icloud y demás aún mantienen registros no solo de sus datos, sino también de su actividad. También los servidores a los que te has conectado. Y usted su TELÉFONO ………… ..y cualquier otro dispositivo USB o Bluetooth. Su propio cortafuegos o enrutador de red puede tener datos de registro que usted no consideró también. Algunas compañías e ISP pueden realizar capturas de paquetes continuos si sospechan de una actividad sospechosa o si LEO se lo solicita.
Las empresas vigilan esto. Cuando trabajé en el sector federal, registramos capturas por días y pudimos reproducir todo el sitio, el correo electrónico y, de lo contrario, la persona lo hizo desde su PC.
Entonces, la mejor manera depende de lo que estés dispuesto a renunciar. Como otros han dicho, la Papelera y destruir el disco es una forma segura de deshacerse del contenido local.
Si desea vender la PC y se ha utilizado para POS (punto de venta, no la otra POS) …… o algún otro propósito y tiene datos de clientes en ella. No recomiendo usar ningún to0l, véndelo sin el disco. A menudo, los esfuerzos para destruir o encubrir los datos personales se hacen completamente mal, incluso si se hacen.
Las unidades no son tan caras en este día y hora. Entonces, arrojar el disco al fuego o al destructor es, sinceramente, la mejor manera.
Si esto es solo para usted, y sí, incluso he hecho esto solo porque no me gusta que las personas conozcan mi negocio personal, es probable que pueda usar la herramienta que mencioné anteriormente o puede formatear el disco pero no use Windows para hacerlo ese. Formatee utilizando el sistema de rescate y asegúrese de poner a cero la unidad.
Realmente no hay paso a paso qué eliminar porque eliminar no es realmente destructivo, incluso con el registro. Su BIOS incluso puede ser revelador en algunos casos, aunque eso es raro.
Con todo lo dicho, realmente no entré en detalles sobre el lado profundo de los discos duros, pero no creo que lo estuvieras pidiendo. Lo toqué un poco. Honestamente, tomaría muchas páginas escribir cómo funciona todo eso. Se necesitaría mucho más para hablarle desde un punto de vista forense. No trato de ser arrogante, es MUCHAS cosas que realmente se remontan al punto de “aplastar el disco” jajaja ……
Un consejo adicional. No compre herramientas en línea para hacer esto. Muchos son estafas. El enlace que proporcioné debe ser gratuito. Realizan una versión lista para auditoría, pero para uso personal, esto debería ser el truco. Tenga en cuenta que esto solo va muy lejos. Si alguna persona quiere que los datos sean lo suficientemente malos, los obtendrán.
Más de 20 años en seguridad informática
Hacker Ético Certificado CEHv8
Probador de penetración certificado
Investigador forense certificado en informática
Analista forense informático certificado
Auditor certificado ISO 9001
Auditor certificado TL 9000