Foremost es una herramienta de informática forense que nos puede resultar muy útil para recuperar datos que hemos borrado accidentalmente en nuestro sistema de almacenamiento, ya sea un lapiz USB o un disco duro. Para ello seguiremos unos pasos muy sencillos.
Primero de todo, instalaremos el paquete foremost, el cual viene incluído en la distribución de Ubuntu. Como siempre, lo podemos hacer gráficamente mediante Synaptics o mediante una ventana de un terminal:
Mediante Synaptics:
O desde el terminal:
sudo apt-get install foremost
Una vez instalado vamos a ver como seria la recuperación de archivos borrados en un pen-drive:
Primero hacemos una imagen del pen-drive, que en mi caso esta en /dev/sdg1:
eithel-inside@Host:~$ sudo dd if=/dev/sdg1 of=/home/eithel-inside/Escritorio/imagen.img
[sudo] password for eithel-inside:
7831504+0 registros de entrada
7831504+0 registros de salida
4009730048 bytes (4,0 GB) copiados, 207,552 s, 19,3 MB/s
Antes de ejecutar foremost es conveniente crear una carpeta vacia en donde queremos que foremost vuelque todos los archivos recuperados que encuentre. Luego ya podemos pasarle a la imagen el foremost:
sudo foremost -o Escritorio/recuperado/ -t all -i Escritorio/imagen.img
Se puede observar como le indicamos la carpeta para nuestra salida (output) con la opción -o , le indicamos el tipo de archivos que queremos buscar con -t y finalmente le indicamos la imagen de entrada (input) con la opción -i. Haciendo esto, foremost volcará todos los archivos borrados que encuentre y creará un indice. Si entramos luego en nuestra carpeta de recuperados, veremos el resultado.
https://sites.google.com/site/eithelinsidelinux/archivos/analisis-forense-de-sistemas-linux-doc-v10.pdf?attredirects=0&d=1
No hay comentarios:
Publicar un comentario