Scalpel es un veloz tallador de ficheros que lee la base de datos de definiciones de encabezado y pie de página y extrae ficheros coincidentes de un conjunto de imágenes de ficheros de los ficheros de bloques. Scalpel no depende del sistema de archivos y esculpe ficheros de sistemas FATx, NTFS, ext2/3, o particiones sin formato.
Es útil para auditoría forense y recuperación de ficheros. A continuación veremos brevemente como podemos usarlo para recuperar algo que hemos borrado. Scalpel es el resultado de la completa reescritura de foremost 0.69, un popular tallador de ficheros, para mejorar el rendimiento y uso de memoria.
Manos a la obra...
Instalando Scalpel
Debian/Ubuntu:
$ sudo apt-get install scalpel
Fedora/CentOS:
$ su -c 'yum install scalpel'
Configurando Scalpel
Debian/Ubuntu:
$ sudo nano /etc/scalpel/scalpel.conf
Fedora/CentOS:
$ su -c 'vi /etc/scalpel.conf'
Una vez en el fichero de configuración, debemos buscar las líneas que correspondena los tipos de archivo (.pdf, .doc, .png, etc). Cuando vemos un tipo de archivo que deseamos que sea recuperado solamente quitamos el caracter de comentario de esa línea "#". Al finalizar guardamos los cambios y lo cerramos.
Luego pasamos a recuperar los ficheros. La primera cosa que hay que hacer es crear un directorio para almacenar los recuperados, que podría ser por ej. ~/recuperados. Ahora, como usuario root, comenzamos el proceso:
# scalpel /dev/sdX -o ~/recuperados
Con este comando le estamos diciendo a Scalpel que en el disco /dev/sdX (donde X es el número de partición) realice la búsqueda de ficheros borrados y los envíe al directorio que hemos creado anteriormente, ~/recuperados.
Ahora solo debemos esperar a que el proceso termine, pues toma su tiempo, dependiendo del tamaño de la partición, las extensiones que decidimos recuperar y cuántos ficheros se habían borrado.
Fuente: Linux
Más recursos: Scalpel | HowToForge
No hay comentarios:
Publicar un comentario