Crear un mapa de entropía de datos al generar una imagen de disco en UFS Explorer
La creación de mapas de entropía de datos es una valiosa técnica matemática que se utiliza ocasionalmente en la recuperación de datos y el análisis forense digital. Con su ayuda, los especialistas pueden evaluar rápidamente la integridad y la estructura de los datos de una imagen de disco, en concreto, detectar regiones dañadas, cifradas, comprimidas o borradas según sus características de entropía. Cuando se usa junto con un mapa de defectos, la información sobre la distribución de entropía también ayuda a determinar el impacto de los sectores dañados en las áreas que contienen datos y a adaptar en consecuencia el proceso de recuperación.
Si bien es útil para los expertos, la función de generación de mapas de entropía es poco común en los programas de recuperación de datos. Por lo general, los usuarios tienen que exportar un archivo de imagen y utilizar herramientas adicionales capaces de calcular la entropía y visualizar su variación en un dispositivo de almacenamiento. En las ediciones Professional y Technician de UFS Explorer, esta limitación se supera con la ayuda de la función de generación de mapas de entropía de datos durante la creación de imágenes de disco. Esto permite al usuario monitorear los patrones de entropía en tiempo real durante el proceso de creación de imágenes, guardar el mapa resultante para el análisis posterior o compararlo con un mapa de estados de bloques para comprender mejor el estado general de los datos.
Esta función está disponible en el software mediante la opción "Guardar un mapa de entropía de datos" que se encuentra en la pestaña "Guardar datos adicionales" en la parte inferior del cuadro de diálogo del Generador de imágenes de disco (Disk Imager).
A continuación, se presenta un posible escenario de uso de esta función. Nuestro técnico necesita recuperar información de un SSD parcialmente sobrescrito. Es que el cliente realizó un formateo rápido de la unidad por error, lo que, como era de esperar, activó el comando TRIM. Sin embargo, el SSD se desconectó rápidamente del sistema. Por lo tanto, es posible que TRIM no haya limpiado todos los bloques y que los restantes aún contengan datos recuperables.
Antes de conectar este SSD al ordenador, debemos asegurarnos de que el almacenamiento no reciba más comandos TRIM que destruyan los datos restantes. Para ello, podemos usar un bloqueador de escritura o simplemente desactivar TRIM directamente en el sistema operativo. Después de hacer esto, podemos crear una imagen de disco con UFS Explorer.
Primero, abrimos el Generador de imágenes de disco para la unidad respectiva al hacer clic en la opción "Guardar imagen de disco" en su menú contextual.
En el cuadro de diálogo de configuración de tarea de generación de imagen, seleccionamos el modo "Imagen completa bit a bit de una vez" para crear una imagen de disco simple.
A continuación, hay que especificar todos los parámetros que se requieren para la creación de una imagen. Más información se puede encontrar en el artículo sobre Cómo crear una imagen de disco.
Una vez hechos los ajustes necesarios, vamos a la pestaña "Guardar datos adicionales". En esta pestaña, marcamos la opción "Guardar un mapa de entropía de datos" y habilitamos el uso del formato de mapa de alta precisión para un análisis más preciso.
El mapa se guardará como un archivo *.SDEF en el lugar especificado junto al parámetro "Ubicación de metadatos".
Luego, pulsamos el botón "Crear imagen".
A medida que avanza la creación de imagen, el software calcula los valores de entropía sobre la marcha, visualizando las áreas de entropía alta, baja y cero en un mapa de colores, donde:
El cian representa el nivel cero de la entropía. Estas áreas están compuestas exclusivamente por "ceros", ya sea porque nunca se escribieron ningunos datos en ellas o porque se borraron aplicando un método de borrado permanente, por ejemplo, después de la ejecución del comando TRIM.
El verde brillante indica una entropía baja. Es característico de datos estructurados sin comprimir, como metadatos del sistema de archivos o documentos regulares.
El rojo corresponde a una entropía alta. Esto es típico de datos cifrados, comprimidos o dañados.
Podemos navegar por el mapa con los botones de flecha o seleccionar cualquier bloque y abrirlo de inmediato en el Visor hexadecimal.
También es posible sincronizarlo con un mapa de estados de bloques para obtener una visión más completa.
Nuestro mapa de entropía muestra un patrón evidente: hay grandes áreas de entropía cero de las que el comando TRIM borró todos los datos sobrescribiéndolos con ceros. Sin embargo, también hay áreas de entropía distinta de cero, lo que indica que algunos bloques permanecen intactos tras la ejecución de TRIM.
También podemos pulsar el botón "Mostrar estadísticas del mapa" y comparar el número de bloques según sus estados.
Basándonos en esta información, podemos concluir que una parte considerable de los datos aún está presente en las áreas críticas del almacenamiento. Por lo tanto, nos fijamos en la recuperación de datos desde las regiones de entropía distinta de cero.
Si necesitamos consultar este mapa más tarde, podemos aplicar fácilmente el archivo .*SDEF ya creado al archivo de imagen de disco mediante la herramienta "Aplicar (cargar) un mapa".
Última actualización: el 15 de abril de 2025