 |
| Imagen de nist.gov |
Si hay algo que me gusta de Linux (hay más cosas) es que los programas los puedes instalar desde la consola directamente, no hace falta que vayas a la web del fabricante, lo descargues y lo instales.
Uno de estos programas, con los que además puedes recuperar datos como ya hicimos con Scalpel hace unos días, es Foremost. Éste es otro programa de File Carving que nos permite recuperar datos, de una forma más profesional. Permite hacerlo desde imágenes creadas desde otros programas como DD, Encase etcétera, o desde la propia unidad.
Dicho esto, vamos al lío.
Lo primero es instalarlo (en Debian), aunque como pasaba con Scalpel, puedes encontrarlo en algunos Live CD para Forenses.
apt-get install foremost
Recordad que siempre podéis tirar del comando man foremost para ver como usarlo.
Vamos a ver la unidades que tenemos con:
sudo fdisk -l
En rojo podemos ver el USB sobre el que vamos a buscar los archivos.
Vamos a buscar los datos, para ello:
sudo foremost -t doc,jpg,pdf,png -o ntfsoutput -i /deb/sdb1
Lo que nos buscará archivos de Word, imágenes en JPG y PNG y también archivos PFD en la unidad USB que pertenece a /dev/sdb1 como vimos en la imagen anterior.
Esto nos tomara más tiempo cuanto mayor sea la imagen o el disco del que queremos recuperar datos.
Una vez que Foremost termina el proceso de búsqueda de datos, accedemos a la carpeta que creamos con la opción -o llamada ntfsoutpup.
Me ha venido bien realizar esta prueba porque he recuperado el logo de Bugtraq que me pasó Jaime xD.
Podemos ver el archivo audit.txt que genera Foremost en el que nos muestra los archivos recuperados, así como el parámetro que hemos utilizado y el directorio de salida.
Os dejo algunas capturas de las distintas carpetas que nos genera y su contenido.
En la carpeta de PDF me ha encontrado todos los que fui recopilando en el curso de seguridad, así que, no hay mal que por bien no venga jeje.
Roberto García (@1GbDeInfo)
