Hola Belial & Grimoire, el análisis forense de sistemas va más allá de la recuperación de archivos, sobre todo en casos sobre intrusiones
y extracción de datos, el funcionamiento puede variar en función del tipo de análisis a realizar.
Para realizar un análisis forense hay que tener en cuenta que evidencias se han dejado, de que forma han vulnerado el sistema,
desde donde se ha conectado, volcado de los log´s de registro.
Creo que conforme te adentres en el tema podrás observar que el trabajo de ciertas herramientas es imprescindible y a la vez práctico.
Muchas de las herramientas automatizadas como Encase, autopsy y otras muchas aunque se basen en scripts extraen la información relativa
al incidente creado en el sistema, se reunen todas esas evidéncias y se saca una conclusión de la forma en que se ha vulnerado X sistema.
En muchos casos el intruso hace uso de "Zappers", éstas herramientas lo que hacen es vaciar o eliminar log´s, limpiar las
huellas dejadas durante una intrusión, pero en casi todos los casos puede quedar un resquicio de información que oriente al auditor del
sistema.
Cuando te comentaba al principio que va más allá no es para dejarte mal ni mucho menos, no soy el más indicado para hablar de éste tema,
aunque te doy mi opinión y lo que voy recogiendo por el camino, con ésto me refiero a que últimamente se ve cada vez más el análisis
forense orientado a todo lo que tenga un sistema operativo, ya sea un iPhone, un tablet, y si usa Win pues mejor que mejor, bajo Linux
tambien tienes este tipo de análisis.
Conclusión: Realizar la tarea que quieres a mano puede ser una tarea más que ardua y contra producente, teniendo a mano herramientas de las que
aprender.
Busca información donde se guardan los log´s de registro, bajo todas las plataformas o solo para Windows si es en la plataforma que te quieres
orientar.
El tema de "borrado" de archivos, funcionamiento, puedes ver éste tema del foro que explica basicamente como funciona la eliminación de
archivos:
No encuentro el tema en nuestra Wiki, te adjunto varios links, lo mismo ya los has revisado pero bueno:
http://es.wikipedia.org/wiki/Papelera_de_reciclaje_%28Windows%29También comentarte que hay programas que "destruyen" el documento eliminado, por ejemplo CCleaner tiene opción para realizar borrado seguro de archivos,
el método Gutman usa 35 pasadas con lo que el documento queda casi obsoleto, al menos recuva y similares no recuperan el archivo.
Desde MalwareInt se ofrecen tutoriales variados al respecto:
http://malwareint.com/docs.htmlTe adjunto otros documentos aplicados a análisis forense bajo diferentes plataformas:
http://www.slideshare.net/diablosolis/analisis-forense-en-dispositivos-androidhttp://www.ausejo.net/seguridad/forense.htmhttp://es.wikipedia.org/wiki/C%C3%B3mputo_forenseEstos últimos son más viejos, aplicables dentro de lo que cabe a lo actual:
http://www.rediris.es/cert/doc/reuniones/fs2004/archivo/USC-Forense.pdfhttps://docs.google.com/viewer?a=v&q=cache:1FupHIdaw2wJ:download.microsoft.com/download/d/b/c/dbc2d4df-f27c-4c3e-ac56-36950ba57115/060711-mad-microsoft-3-forense.pdf+&hl=es&gl=es&pid=bl&srcid=ADGEESjAmcms973rL0ALX_-F5kcjUzcRSgHgHW4UBbJhqcuP9OUnVfZO65rX0uSKecLTACccVtheu-Cq_QI_fKfc7PH8XAD0nd6NeL78_2dHj5PUw6HbyF7R2ep_AzV9KR9pzaZcMCfA&sig=AHIEtbRWOon90HvoZ5Sa5bCLEkNPovkNsgNo se si es la información que buscas, ahora no tengo las url pero te adjuntaré mas documentos.
Saludos.