Al realizar un análisis forense de un sistema FAT se pueden utilizar muchas herramientas sin embargo con la estación forense SANS Investigate Forensic Toolkit (SIFT) Workstation se pueden encontrar herramientas especializadas para este tipo de trabajos.
1. Se verifica que la memoria fue reconocida por el sistema. Para verificar se ejecuta el comando mount.
La unidad USB que se monto en /dev/sdc1
2. Se genera la imagen de los primeros 512 bytes con el comando dd if=/dev/sdc1 of=/TallerFAT.img bs=512 count 1
3. Se abre la imagen Taller FAT desde el editor hexadecimal
4. Se verifica que el sistema de archivos es FAT. Esta información se encuentra en los bytes 0x36 a 0x3D.
5. Número de sectores reservados, ubicados en los bytes 0x0E a 0x07 = 32
6. Número de bytes por sectores en la posición 0x0B a 0x0C = 512 bytes
El área reservada es igual al producto de números de sectores reservados por el número de bytes por sectores
Área reservada = 512 * 32 = 16384 bytes
7. Calcular el tamaño de la FAT. El tamaño de cada una de las tablas FAT están en las posiciones 0x16 a 0x17 = (010016) = 256 sectores. El tamaño en bytes es 256 * 512 = 131072 bytes por tabla.
8. Se verifica la cantidad de tablas revisando la posición 0x10 = 2 y se multiplica la cantidad de tablas por el total en bytes de cada tabla.
2 * 131072 = 262144 bytes
9. Espacio ocupado en bytes en total del área reservada y de las tablas FAT
Área reservada + tamaño en bytes de las FAT => 16384 + 262144 = 278528 bytes
Total sectores => 278528 / 512 = 544 sectores
10. Se genera una imagen del espacio donde se encuentra el root directory
11. Se visualiza la imagen con el editor hexadecimal