En este proyecto realizamos una recuperación forense en un disco duro externo que fue detectado en estado RAW por Windows. El objetivo fue recuperar archivos críticos e investigar el estado del sistema de archivos utilizando herramientas forenses especializadas como TestDisk, PhotoRec y Autopsy.
A lo largo del proceso se aplicaron técnicas de análisis, recuperación y documentación de evidencias, permitiendo reconstruir parte de los datos y verificar la integridad lógica del disco.
- TestDisk
- PhotoRec
- Autopsy
- Kali Linux
- Windows 10 (Entorno anfitrión)
- Identificación de la unidad RAW desde el sistema anfitrión (Administrador de discos)
- Ejecución de TestDisk para análisis de particiones y estructura del disco
- Ejecución de PhotoRec para recuperación de archivos (priorizando imágenes, documentos y hojas de cálculo)
- Análisis posterior con Autopsy para correlación de evidencias y reconstrucción de eventos
- Organización de archivos recuperados, validación manual y extracción de metadatos
- Documentación técnica, conclusiones y recomendaciones de backup
El informe contiene capturas, análisis de sectores, registros de recuperación, metadatos de archivos rescatados y sugerencias para prevenir pérdida de información en medios extraíbles.
This project simulates a real-world forensic recovery scenario of an external drive detected as RAW by Windows. The goal was to recover critical files and investigate the logical file system state using specialized forensic tools.
Key steps included scanning with TestDisk, file carving with PhotoRec, and timeline reconstruction with Autopsy. Recovered files were validated and correlated for potential digital evidence.
- TestDisk
- PhotoRec
- Autopsy
- Kali Linux
- Windows 10 (host system)
- Identify RAW disk via Disk Management
- Run TestDisk to analyze partition structure
- Use PhotoRec to recover prioritized files (e.g., .jpg, .png, .xls, .csv)
- Load recovered data into Autopsy for evidence analysis
- Extract metadata and organize findings
- Final report and mitigation recommendations
Includes screenshots, file recovery logs, Autopsy findings, and digital preservation techniques.
| Paso | Acción | Herramienta | Resultado esperado |
|---|---|---|---|
| 1️⃣ | Verificar estado del disco RAW desde Windows | Disk Management | Confirmar estado RAW y capacidad del disco |
| 2️⃣ | Ejecutar TestDisk y analizar particiones | TestDisk | Ver posibles particiones perdidas y estructuras FAT/NTFS |
| 3️⃣ | Ejecutar PhotoRec para recuperación selectiva | PhotoRec | Obtener archivos de tipo imagen, Excel y texto plano |
| 4️⃣ | Cargar datos recuperados en Autopsy | Autopsy | Analizar metadatos, timeline y contenido de archivos |
| 5️⃣ | Organizar archivos por tipo y relevancia | Windows Explorer | Clasificación preliminar de evidencia útil |
| 6️⃣ | Documentar proceso y generar informe | Markdown | Documento técnico forense con hallazgos y sugerencias |