lunes, 31 de enero de 2011

Scalpel: Recupera tus ficheros borrados


Scalpel es un veloz tallador de ficheros que lee la base de datos de definiciones de encabezado y pie de página y extrae ficheros coincidentes de un conjunto de imágenes de ficheros de los ficheros de bloques. Scalpel no depende del sistema de archivos y esculpe ficheros de sistemas FATx, NTFS, ext2/3, o particiones sin formato. 

Es útil para auditoría forense y recuperación de ficheros. A continuación veremos brevemente como podemos usarlo para recuperar algo que hemos borrado. Scalpel es el resultado de la completa reescritura de foremost 0.69, un popular tallador de ficheros, para mejorar el rendimiento y uso de memoria.


Manos a la obra...

Instalando Scalpel

Debian/Ubuntu:

$ sudo apt-get install scalpel

Fedora/CentOS:

$ su -c 'yum install scalpel'


Configurando Scalpel

Debian/Ubuntu:

$ sudo nano /etc/scalpel/scalpel.conf

Fedora/CentOS:

$ su -c 'vi /etc/scalpel.conf'

Una vez en el fichero de configuración, debemos buscar las líneas que correspondena los tipos de archivo (.pdf, .doc, .png, etc). Cuando vemos un tipo de archivo que deseamos que sea recuperado solamente quitamos el caracter de comentario de esa línea "#". Al finalizar guardamos los cambios y lo cerramos.

Luego pasamos a recuperar los ficheros. La primera cosa que hay que hacer es crear un directorio para almacenar los recuperados, que podría ser por ej. ~/recuperados. Ahora, como usuario root, comenzamos el proceso:

# scalpel /dev/sdX -o ~/recuperados

Con este comando le estamos diciendo a Scalpel que en el disco /dev/sdX (donde X es el número de partición) realice la búsqueda de ficheros borrados y los envíe al directorio que hemos creado anteriormente, ~/recuperados.

Ahora solo debemos esperar a que el proceso termine, pues toma su tiempo, dependiendo del tamaño de la partición, las extensiones que decidimos recuperar y cuántos ficheros se habían borrado. 


Fuente: Linux
Más recursos: ScalpelHowToForge


Artículos relacionados



Widget by Hoctro | Jack Book

0 comments:

Publicar un comentario