RECUPERACIÓN DE INFORMACIÓN ELIMINADA PERMANENTEMENTE

FUNDACIÓN UNIVERSITARIA DEL AREANDINA

PROGRAMA DE INGENIERÍA DE SISTEMAS
INFORMATICA FORENSE ll

2023

pág. 1
 RECUPERACIÓN DE INFORMACIÓN ELIMINADA PERMANENTEMENTE

ESTUDIANTE

ERIKA JOHANNA BOCANEGRA CASTAÑO

ENTREGADO A

CAMILO AUGUSTO CARDONA PATIÑO

FUNDACIÓN UNIVERSITARIA DEL AREANDINA

PROGRAMA DE INGENIERÍA DE SISTEMAS
INFORMATICA FORENSE ll

2023

pág. 2
 ACTIVIDAD EVALUATIVA EJE 2

Objetivo de aprendizaje:
El objetivo de esta actividad es que los estudiantes pongan en práctica los conceptos vistos en el
eje, y hagan uso de las diferentes herramientas utilizadas para la recuperación de información.

Descripción del taller:

Los estudiantes deben formatear los discos, uno deberá hacerlos utilizando el estándar MBR y el otro utilizando
GPT, después deberán particionar el disco, pueden crear una o varias particiones, después deberán asignarle el disco
al sistema operativo para luego copiar información y luego hacer un borrado permanente de la información copiada.
Después el estudiante que utilizó el estándar MBR deberá tratar de recuperar la información del disco formateado
con estándar GPT y el estudiante que utilizó el estándar GPT deberá tratar de recuperar la información del disco con
estándar MBR.

Requisitos para el taller

Realizar la lectura completa del referente del eje 2.

• Utilizar un sistema de virtualización.

• Tener una máquina virtual con cualquier versión de Windows.

• Para profundizar en la creación de máquinas virtuales les recomendamos ver el siguiente video:

https://www.youtube.com/watch?v=mbV89selmPg

• Crear el disco duro y asignarlo a la máquina virtual.

• Para profundizar en este tema les recomendamos ver el siguiente video:

https://www.youtube.com/watch?v=yJPdxCQ0PDU

• Hacer el proceso de formateo como se especificó en la descripción.

• Copiar información en el nuevo disco.

• Realizar el proceso de eliminación de forma permanente.

pág. 3
 • Para profundizar en este proceso les recomendamos ver el siguiente video:

https://www.youtube.com/watch?v=Idy9Xm2Bh1s

• Hacer uso de la herramienta diskpart.

• Instalar la herramienta recuva la cual se puede descargar del siguiente enlace:

https://www.ccleaner.com/recuva.

• Hacer el proceso de recuperación de la información eliminada, para profundizar en este proceso les

recomendamos ver el siguiente video: https://www.youtube.com/watch?v=j31bKHM2tig

Instrucciones:

1. Identifique el número total de particiones y el tipo de sistema de archivos utilizado.

2. Haga una copia de la información recuperada.
3. Elaborar un informe donde se especifique los procedimientos aplicados y las herramientas utilizadas,
además se debe anexar una copia de toda la información recuperada.

pág. 4
 DESARROLLO

1. Para este la siguiente actividad propuesta, trabajaremos con una maquina

virtualizada con Windows 10 Pro.

2. Crear un disco duro y asignarlo a la máquina virtual.

A continuación, veremos los pasos para crear un disco duro y a su vez asignarlo a nuestra
máquina virtual. Pasos:

• Configuración de la máquina virtual

• Almacenamiento.
• Controlador SATA y en esta opción le damas al disco con un signo más.
• Nos sale un cuadro de dialogo y elegimos la opción crear disco nuevo.

pág. 5
 • En la siguiente opción escogemos el tipo de archivo del disco que vamos a crear, en
nuestro caso damos clic enVDI (VirtualBox Disk Image).

• Para esta opción podemos elegir cualquiera de las dos y escoger la cantidad de espacio
quevamos a asignarle al disco, para estas pruebas usaremos 10GB.

pág. 6
 • Al crear el disco duro en nuestra máquina virtual no se visualizará inmediatamente,
debemosrealizar unos pasos para asignarlo y se vea en nuestro sistema Operativo.

• Nos dirigimos a la administración de discos y nos saldrá un cuadro de dialogo donde nos
pedirá seleccionar el estilo de partición que queremos para nuestro disco, en este caso
trabajaremos con MBR.

pág. 7
 • Al terminar este paso, damos clic derecho sobre nuestro disco y le asignamos un
nuevovolumen.

• Para terminar nuestra creación del disco, podemos visualizar en la siguiente imagen
nuestrapartición creada.

3. Hacer el proceso de formateo como se especificó en la descripción.

A continuación, procedemos a particionar el disco que creamos de 10 GB en

el cual copiaremos una información y haremos un borrado permanente donde
trataremos de recuperar dicha información.

pág. 8
 4. Se crea una nueva partición donde se copia la información del usuario del Disco local C, a las
particiones.

• Como podemos ver, tenemos nuestra información copiada en las dos particiones, lo cual
procederemos a eliminarla y tratar de recuperar la mayor parte de esta información.

pág. 9
 5. Se descarga e instala la herramienta ERASER para el borrado permanente de la información
copiada en las particiones creadas. Configuramos la herramienta asegurando correctamente
el borrador de la información.

• Se realiza creación de la tarea a ejecutar, donde se indica eliminar la información de la

partición F, donde se encuentra almacenado los archivos creados

pág. 10
 • A continuación, procederemos a ejecutar la tarea creada.

• Después de haber terminado el proceso de borrado seguro podemos observar en la

siguienteimagen que nuestra partición quedo en un formato donde debemos formatear
esta unidad.

5. A continuación, procedemos a formatear la unidad y recuperar nuestra información

utilizandolas herramientas Recuva obteniendo como resultado lo siguiente.

pág. 11
 • Como podemos observar utilizando la herramienta RECUVA, no obtuvimos ninguna recuperación
de archivos o carpetas copiadas en esta partición, es decir, al realizar el borradoseguro en esta
partición lo que queremos lograr es que no sea posible tener acceso a esta información ni mucho
menos que sea visible.

• A continuación, haremos una prueba de formateo rápido y veremos los

resultados.Archivos copiados en la partición E:

pág. 12
 • Procedemos a formatear nuestra unidad

• Ahora procederemos a recuperar nuestra información.

pág. 13
 • La herramienta detecta cierta cantidad de archivo los cuales podemos recuperar
sin ningún problema.

Como podemos observar al momento de realizar un borrado permanente es muy poco

probable recuperar cierta información, ya que nosotros podemos configurar varias
pasadaspor el disco y asegurarnos que esta información no pueda ser accesible o
visible.

A diferencia de un borrado simple y rápido podemos observar que esta información es

eliminada del disco, pero no es 100 % recomendable hacer este tipo de borrado ya que
fácilmente con una herramienta gratuita se puede recuperar esta información sin
ningúnproblema, como lo observamos a continuación.

pág. 14
 • Archivo recuperado de nuestra partición.

• Información del cuál fue eliminado en el formateo.

pág. 15
 6. Creación de disco virtual estándar GPT.

• Después de crear el nuevo disco (GTP) procedemos a crear las particiones y

realizarlas pruebas contundentes.

pág. 16
 7. Identifique el número total de particiones y el tipo de sistema de archivos utilizado. Con el
comando List Vol, se detalla el tipo de sistema de archivos utilizados y se muestra las
particiones creadas.

8. Con el comando List Partition, podemos ver reflejado la cantidad de particiones

que fueron creadas para realizar las pruebas del Eje 2.

9. Haga una copia de la información recuperada.

Al realizar el borrado seguro, podemos observar que es muy poco probable recuperar dicha
información, ya que este proceso pasa por cada uno de los sectores del disco duro borrando toda
información almacenada y de acuerdo con los parámetros configurados en la herramientaserá más
efectivo el proceso.

pág. 17
 CONCLUSIONES

En el desarrollo de la actividad del EJE 2, se identificó que al realizar el borrado seguro con las
herramientas propuestas y de acuerdo con la configuración que se le indique, es menos probable
recuperar la información del disco ya que este realiza un proceso por cada sector deldisco duro
evitando que esta sea visible, accesible o recuperable.

Se realizó una prueba donde se formatea el disco de forma básica o por defecto del sistema yal
validar el disco se ve reflejado que dicha información no se encuentra almacenada, ya queeste
proceso lo que hace es eliminar unas tablas de acceso del disco, por lo tanto, al realizarel
escaneo de estos archivos con la herramienta Recuva fue más fácil recuperar la información
en su totalidad.

Se pudo evidenciar con los comandos ejecutados DISKPART podemos obtener información
del tipo de sistemas de archivos utilizados y para desarrollar el ejercicio planteado se pudo
evidenciar el número total de particiones utilizados para las pruebas realizadas.

Podemos concluir que el estándar GPT ha contado con mejoras en cuanto al estándar MBR ya
que por su capacidad de particiones y dentro de sus características almacena una copia de
seguridad de sus particiones al final del disco para evitar pérdidas o daños.

pág. 18
 REFERENCIAS

https://www.profesionalreview.com/2019/01/18/utilizar-diskpart/
https://recoverit.wondershare.es/partition-tips/convert-gpt-disk-to-mbr-
disk.html?
gclid=Cj0KCQiAnKeCBhDPARIsAFDTLTL0IvrBeKaqF5LHzunO9kWr9Uv
Ae4T_UEswzJficruMc8uyFIrZ9W0aAvRjEALw_wcB

pág. 19