Foremost es una aplicación de informática forense pensada para recuperar archivos borrados.
Permite procesar directamente imágenes obtenidas mediante dd; directamente sobre la unidad a analizar; y admite otros formatos de imágenes forenses como Encase Forensics o Safeback.
Instalar:
sudo aptitude install foremost
Procedimiento:
1.Actuar directamente sobre el disco duro o partición del que se han borrado los datos.
- Saber cuál es el disco duro en el que quieres buscar las fotos /dev/sd**
sudo fdisk -l
- Crear una carpeta por ejemplo en el escritorio, "archivos_borrados".
mkdir ~/Escritorio/archivos_borrados
- Ejecutar foremost.
foremost -o ~/Escritorio/archivos_borrados -t all -i /dev/sd**
La sintaxis del comando es -o para indicarle el directorio donde quieres que te ponga lo que recupere, -t all para decirle que busque archivos de cualquier tipo e -i para donde quieres que busque, o sea, el disco duro que habrás localizado antes con sudo fdisk -l
2.Actuar sobre una imagen de un dispositivo externo.
- Crear con dd una imagen del dispositivo (por ejemplo un pendrive):
dd if=/dev/sdb of=/home/usuario/pendrive.iso conv=noerror,sync
*conv=noerror,sync le indica a dd que ignore los errores y siga generando la imagen del dispositivo aunque se produzcan fallos
- Recuperar ficheros de la imagen creada
foremost -v -i /home/usuario/pendrive.iso
- Copiar el pendrive entero con dd :
sudo dd if=/dev/sdb1 of=/home/usuario/archivos_borrados.dd
y recuperar los archivos borrados de la forma anterior, o recuperar sólo los archivos jpg:
sudo foremost -v -t jpg -i archivos_recuperados.dd
No hay comentarios:
Publicar un comentario