MODULO III

PARTICIONES DEL
DISCO DURO

INVESTIGADOR DIGITAL FORENSE

 PARTICIONES DEL DISCO DURO

Una explicación sencilla, que se suele escuchar sobre las particiones de un disco,
sería decir que se trata de dividir el disco en “pedazos” y hacerle creer al sistema
operativo que tenemos más de un disco. Pero ésta es una explicación muy
sencilla, y mala. Para entender mejor aclaremos un par de puntos:

El disco duro es una unidad física, pero los sistemas operativos no trabajan sobre
unidades físicas, sino lógicas. Dentro de un disco rígido podemos tener tantas
unidades lógicas como nos interese, y cada una de estas unidades lógicas será una
partición del disco.
• En realidad, un disco duro puede contener dos tipos básicos de
particiones: particiones primarias y particiones lógicas.
• En un disco rígido puede haber un máximo de cuatro particiones
primarias; una de estas particiones primarias puede ser la conocida como
partición extendida.
• Todas las particiones lógicas deben realizarse dentro de la partición
extendida.
• La mayoría de los sistemas operativos deben instalarse en una partición
primaria y no, en una partición lógica.
• Una partición primaria debe definirse como la partición activa, que es
aquella que el BIOS utiliza para el arranque de la computadora.

Si bien aún no hemos visto ninguno de los conceptos que aparecen en estos
puntos, sirven para que se vayan dando una idea de cómo la complejidad del
sistema de particiones utilizadas en un disco rígido va más allá del simple
concepto de un disco “partido en pedazos”.
De todos modos, el resultado de particionar un disco podría verse como esta
primera idea, ya que lo que obtendremos serán varias unidades, y en la mayoría
de los sistemas operativos, cada una se verá como un disco distinto, con un
tamaño fijo y equivalente a la cantidad de particiones que le hagamos al disco.

INVESTIGADOR DIGITAL FORENSE

Tabla de Particiones
A medida que el tamaño de las unidades de almacenamiento crecía, se vio la
necesidad de obtener un número mayor de unidades, cada una de menor
tamaño, es decir, una división del disco.
Esto se logró agregando al disco rígido una tabla, conocida como tabla de
particiones.
La tabla de particiones contiene cuatro filas o entradas, cada una de 16 bytes y
correspondiente a una partición del disco. Esta tabla se ubica en lo que se conoce
como la MBR (Master Boot Record), es decir el sector de arranque del disco, y
proporciona toda la información necesaria sobre cada una de las particiones de
nuestro disco.
Es por este motivo que tan sólo podemos tener cuatro particiones primarias por
disco; cada una de las particiones corresponde a una entrada de la tabla. La tabla
almacena datos como: tipo, inicio y fin de la partición, estado y dimensiones de
la partición.

LA PARTICIÓN EXTENDIDA
Como los discos rígidos siguieron creciendo, los sistemas operativos y los usuarios
requirieron de un número de particiones mayor a cuatro, lo que era imposible
hasta el momento con la tabla de particiones de cuatro entradas que ya
mencionamos.

INVESTIGADOR DIGITAL FORENSE

Para solucionar esto se crea el concepto de partición extendida, que es una
partición primaria pero que tiene la particularidad de que, a su vez, puede “sub
particionarse”, es decir que podemos tomar la partición extendida y dividirla en
un número infinito de particiones (en teoría).
Estas particiones de la partición extendida son lo que se conoce como particiones
lógicas o unidades lógicas.
De las cuatro particiones primarias, entonces una y sólo una se definirá como
partición extendida; pero esto en realidad tampoco es obligatorio, porque
podemos tener cuatro particiones primarias, sin que ninguna sea del tipo
extendida.
La partición extendida almacena en su sector inicial (MBR) una tabla de
particiones, similar a la que contiene el MBR del disco, pero tan sólo de dos
entradas:
La primera entrada corresponde a la primera unidad lógica dentro de esa
partición, y la segunda apunta a la siguiente tabla de particiones. De esta forma,
tenemos una “cadena” de tablas de particiones que puede llegar a ser (también
en teoría) infinita; para indicar cuál es la última partición lógica se deja la
segunda entrada de la tabla en blanco.

LA PARTICIÓN ACTIVA
Cuando la PC arranca, el programa de inicialización (Master Boot o IPL) del
BIOS se encarga de buscar en nuestro disco la partición activa, y le cede el
control.
Debido a ello, es obligatorio que una de las particiones primarias sea definida
como la partición activa, de lo contrario la PC no iniciará.
Decimos partición primaria, ya que no puede definirse una partición lógica como
activa. Por este motivo ningún sistema operativo puede realmente arrancar
desde una partición lógica si existen algunos sistemas operativos, como Windows
NT, Linux y OS/2, que se instalan en una partición lógica, pero necesitan contar
con un gestor de arranque en alguna de las particiones primarias, la cual debe ser
la partición activa.

INVESTIGADOR DIGITAL FORENSE

Bajo este concepto, si contamos con un disco dividido en varias particiones, y en
cada partición un sistema operativo distinto, para poder usar un sistema u otro
deberíamos cambiar la partición activa, definiendo como tal aquella que
contiene el sistema operativo que nos interesa utilizar.
Sin embargo, esto no es del todo cierto, ya que existen programas que se instalan
en el sector de arranque de la partición activa, y gestionan el inicio a través de
distintos sistemas operativos sin necesidad de modificar la partición activa.
Otro motivo para utilizar únicamente particiones primarias para la instalación de
un sistema operativo es el hecho de que muchas veces un sistema operativo es
incapaz de acceder a una partición primaria que no sea la suya, incrementando
de este modo el nivel de seguridad.

TIPOS DE PARTICIONES
No podemos hablar de tipos de particiones y decir que una partición es FAT16,
FAT32 o NTFS, ya que esto no es un tipo de partición, sino un sistema de
archivos, esto es, la manera en que se formatea la partición y cómo se organizan
los archivos en ella.
Sin embargo, es muy común encontrar a quienes definen cada partición bajo el
nombre del sistema de archivos, debido a que por convención muchas veces se
define el tipo de partición según el sistema de archivos que ésta contendrá, o
según el sistema operativo al que se encuentra asociada, o de acuerdo con si la
partición tiene algún uso específico para el sistema operativo.
Esta asociación se debe a que la estructura lógica de cada partición varía según su
objetivo; así, una partición FAT, por ejemplo, tiene un sector de arranque, la
FAT (tabla de asignación de archivos), una copia de la FAT, un directorio raíz, y
la estructura de datos.
Para diferenciar un tipo de partición de otro se genera un código numérico,
donde un número de un byte, que se almacena en la tabla de particiones del
MBR, define aproximadamente algunas características de esa partición.
Una característica común a todos los tipos de particiones es el sector de
arranque; en este sector de la partición se alojan las instrucciones necesarias para

INVESTIGADOR DIGITAL FORENSE

el inicio del sistema operativo y, en el caso de particiones para datos, dicho
sector de arranque se encuentra en blanco.

INVESTIGADOR DIGITAL FORENSE

GESTORES DE PARTICIONES
Hasta ahora vimos un poco de teoría, ahora empecemos con la práctica.
Llega el momento de particionar un disco. Aquí pueden plantearse diversas
situaciones.

DISCO DURO VIRGEN (EN BLANCO)

Esta es la situación que presenta menos complicaciones, ya que el disco virgen
generalmente no cuenta con ninguna partición, y no hay riesgo alguno.
En este caso podremos utilizar un gestor de particiones incluido en cualquier
sistema operativo, pero teniendo en cuenta las limitaciones de cada uno.
Por ejemplo, Fdisk, que es el incluido en DOS, Windows 95, 98 y Millenium, es
un gestor de particiones muy básico, incapaz de generar particiones para ningún
otro sistema operativo que no sean aquellos de Microsoft en sus primeras
versiones.
Entonces, si nuestra idea es instalar otros sistemas operativos juntos con éste,
deberemos utilizar un gestor más avanzado.

INVESTIGADOR DIGITAL FORENSE

Por otro lado, Windows XP incluye un gestor de particiones muy sencillo, con
una interfaz gráfica bastante intuitiva pero también muy limitada.
Si bien permite gestionar particiones en el espacio en blanco del disco y generar
particiones NTFS y FAT32, no es comparable con otros programas
especializados, aunque si nuestra idea es instalar este sistema operativo en una
partición y dejar lugar en el disco para otras, es suficiente.
Por su parte, Linux cuenta también con su propio Fdisk, pero éste es más
completo que la versión de Microsoft, aunque por supuesto un poco más
complicado. Permite crear todos los tipos de particiones más comunes, borrarlas,
modificar su tamaño y gestionar particiones en el espacio libre en disco.
Otra utilidad muy importante de este último es la de poder visualizar la tabla de
particiones actual y realizar cambios.
Es quizás uno de los gestores de particiones más completos que existen y, por
supuesto, por pertenecer al mundo Linux, es totalmente gratuito.
Para solucionar el problema de su complejidad e interfaz poco intuitiva, algunas
distribuciones de Linux incluyen una herramienta más sencilla y casi con la misma
funcionalidad que FDisk, la llamada DiskDruid.
Esta herramienta cuenta con una interfaz gráfica, al estilo de los viejos programas
de DOS, pero que simplifica mucho la tarea si se lo compara con su primo FDisk.

INVESTIGADOR DIGITAL FORENSE

 SISTEMA DE ARCHIVOS

Los sistemas de archivos indican el modo en que se gestionan los archivos dentro
de las particiones. Según su complejidad tienen características como previsión de
apagones, posibilidad de recuperar datos, indexación para búsquedas rápidas,
reducción de la fragmentación para agilizar la lectura de los datos, etc. Hay
varios tipos, normalmente ligados a sistemas operativos concretos. A
continuación se listan los más representativos:

• Fat32 o vfat: Es el sistema de archivos tradicional de MS-DOS y las

primeras versiones de Windows. Por esta razón, es considerado como un
sistema universal, aunque adolece de una gran fragmentación y es un
poco inestable.

• Ntfs: Es el nuevo sistema de Windows, usado a partir del 2000 y el XP. Es

muy estable. El problema es que es privativo, con lo cual otros sistemas
operativos no pueden acceder a él de manera transparente. Desde Linux
sólo se recomienda la lectura, siendo la escritura en estas particiones un
poco arriesgada.

• Ext2: Hasta hace poco era el sistema estándar de Linux. Tiene una
fragmentación bajísima, aunque es un poco lento manejando archivos de
gran tamaño.

• Ext3: Es la versión mejorada de ext2, con previsión de pérdida de datos

por fallos del disco o apagones. En contraprestación, es totalmente
imposible recuperar datos borrados. Es compatible con el sistema de
archivos ext2. Actualmente es el más difundido dentro de la comunidad
GNU/Linux y considerado el estándar de facto.

• ReiserFS: Es el sistema de archivos de última generación para Linux.

Organiza los archivos de tal modo que se agilizan mucho las operaciones

INVESTIGADOR DIGITAL FORENSE

 con éstos. El problema de ser tan actual es que muchas herramientas (por
ejemplo, para recuperar datos) no lo soportan.

• swap: Es el sistema de archivos para la partición de intercambio de Linux.

Todos los sistemas Linux necesitan una partición de este tipo para cargar
los programas y no saturar la memoria RAM cuando se excede su
capacidad. En Windows, esto se hace con el archivo pagefile.sys en la
misma partición de trabajo, con los problemas que conlleva.

Ya se ha comentado que las particiones son como discos duros independientes, y

así aparece en Windows. Cabe recordar que en Linux no existe el concepto de
unidad (C:, D:, etc.) sino que las particiones se montan en el árbol de carpetas.
Eso no nos debe preocupar mucho. Sólo comentar que la carpeta raíz de ese
árbol se denota con / y que las particiones se suelen montar en la carpeta
/media.

INVESTIGADOR DIGITAL FORENSE