recuperar archivos perdidos o borrados con foremost
TRANSCRIPT
RECUPERAR ARCHIVOS PERDIDOS O BORRADOS CON FOREMOSTSesion 01
FOREMOST▪Foremost es una utilidad de línea de comandos para la búsqueda y recuperación de archivos borrados en función de su tipo. Es originalmente desarrollado para US Air Force Office of Special Investigations.
▪¿Cómo es este tipo de recuperación de datos posible? Cuando se elimina un archivo, los datos no son realmente sobrescritos, lo cual lo hacen recuperables.
▪Lo que hace Foremost es escanear el disco tratando de reconocer los archivos por la estructura de determinados tipos de ficheros. Teniendo en cuenta esto, ya sabes que no recupera archivos de forma indiscriminada, sino que le tienes que decir exactamente el tipo de archivo que recuperar.
▪Los archivos que recupera Foremost son avi, bmp, dll, doc, exe, gif, htm, har, jpg, mdb, mov, mpg, pdf, png, ppt, rar, rif, sdw, sx, scx, sxi, vis, wav, wmv, xls y zip.
FOREMOST▪Ejemplo: sudo foremost -t jpg -i /dev/sbd1 -o /home/Documentos/recuperacion
▪La opción -t indica el tipo de archivo a buscar, si no lo sabemos o queremos recuperar diferentes tipos de archivos, lo sustituimos por all, recuperando todos los archivos que encuentre. La opción -i indicará el lugar donde buscarlo y con la opción -o donde guardarlo. No hace falta crear la carpeta donde guardar los archivos.▪Las opciones disponibles para Foremost:
▪ -h, muestra la ayuda y sale▪ -v, muestra la versión y sale▪ -T, añade la fecha al directorio donde quieres guardar los archivos recuperados▪ -v, muestra la salida de datos.▪ -q, modo rápido.
FOREMOST▪-Q, modo silencioso.▪-w, escribe solo la el fichero donde informa de lo que se puede recuperar
pero sin recuperar nada.▪-i, la partición que queremos escanear.▪-o, el directorio de salida.
FOREMOST▪Cabe señalar que esta herramienta no se debe ejecutar en la misma
partición en la que se intentan recuperar los archivos. Lo normal es haber instalado en el directorio raíz, en una partición distinta del directorio /home, por lo que el problema lo tienes resuelto, ya que lo normal es recuperar información de tu directorio/home, así que corres la aplicación desde el raíz. También deberías saber que no debes escribir los archivos recuperados en la misma partición en la que estás intentando recuperar los archivos. La mejor opción es recuperarlos en USB externo.
FOREMOST▪Si queremos entrar al manual del foremost en una terminal escribimos
▪caine@caine-desktop:~$ sudo man foremost
FOREMOST▪Y nos aparecerá lo siguiente
FOREMOST▪Primero debemos bajar la distro de cain del siguiente enlace:▪http://www.caine-live.net/index.html#cainels▪Recordemos que debemos tener nuestra maquina virtual ya instalada en
mi caso ▪WMWare Workstation 10▪Si no la tienes la puedes descargar del siguiente enlace:▪https://my.vmware.com/web/vmware/info/slug/desktop_end_user_computi
ng/vmware_workstation/10_0?rct=j&q=&esrc=s&source=web&cd=1&ved=0CC4QFjAA&url=http://www.vmware.com/go/downloadworkstation&ei=kEeFUuzPB6mZiALM94DgCw&usg=AFQjCNEVKbKEcEsfY7NjAaBQZbrtZtXttg&sig2=ONRbzitqPn5GfzXeK7XkxQ&bvm=bv.56643336,d.cGE
FOREMOST▪Una vez instalado iniciamos cain
FOREMOST▪Posteriormente montare una memoria de 4 GB en el cual a propósito he
borrado imágenes, recuerda que hay que montar la unidad para poder trabajar con ella.▪Con la aplicación mounter en modo escritura como se ilustra a
continuación
FOREMOST▪Abriremos una terminal como se denota a continuación y escribiremos el
comando mount para checar la ruta de nuestra memoria usb.
FOREMOST▪Lo que nos interesara es la siguiente ruta dev/sdb1 para poder trabajar
adecuadamente con nuestra memoria USB de 4GB
FOREMOST▪Posteriormente en la terminal escribiremos lo siguiente▪caine@caine-desktop:~$ sudo foremost –T –t jpg –i /dev/sdb1▪-T Le da una fecha a la carpeta de salida▪-t Permite determinar el tipo de archivo a recuperar en nuestro caso jpg▪-i Es la ruta que mencionamos anteriormente
▪Posteriormente le damos enter y sucedera lo siguiente
FOREMOST▪La aplicación empezara a realizar el proceso una vez que termine
sucederá lo siguiente
FOREMOST▪Posteriormente escribimos en la terminal▪caine@caine-desktop:~$ sudo nautilus▪Porque esta instrucción a veces aparecen con candados las carpetas y
esto no las abre▪Lo ejecutamos y nos aparecerá lo siguiente
FOREMOST▪En mi caso me dirijo a Fyle System y la carpeta home
FOREMOST▪En mi caso me dirijo a Fyle System y la carpeta home y posteriormente a
Caine
FOREMOST▪Y por ultimo a la carpeta de salida que genero el Foremost
FOREMOST▪Posteriormente a la carpeta jpg que son los archivos recuperados
FOREMOST▪Para mas información visita el siguiente link▪http://sourceforge.net/projects/foremost/