Buenas compis,
Esta entrada se basa en una introducción de las técnicas del análisis forense, en este caso para recuperar ficheros que hayan podido ser borrados.
Para ello, se va a considerar el siguiente escenario: Un amigo ha perdido las prácticas de la carrera que tenía en un pendrive de manera accidental y nos pide que le ayudemos.
Para la recuperación de ficheros, se pueden emplear las siguientes herramientas (existen más, pero esta son las que a mí me gustan =D)
FTK Imager
Lo primero el link de descarga: http://accessdata.com/product-download/digital-forensics/ftk-imager-version-3.4.2
En primer lugar, se clica en añadir una nueva evidencia:
Importante, hay que seleccionar la opción de dispositivo físico, de esta manera seleccionamos la totalidad del dispositivo externo.
A continuación, se selecciona dicho dispositivo externo y se visualiza el sistema de ficheros del dispositivo físico externo:
Como se observa hay archivos que tienen en la parte izquierda una ‘X’, esto indica que ha sido borrado.
En función de su nivel de «borrado» pueden ser recuperados o no. Hay que indicar que borrar un archivo indica mover a la papelera, sin embargo, no se borra sino que se puede llegar a recuperar hasta que se pierden los enlaces de la tabla o bien la zona que ocupa haya sido sobrescrita, en función de ello, se podría recuperar total o parcialmente.
En el caso del fichero seleccionado se puede apreciar en la parte interior la vista previa del fichero, en este caso una imagen. De este modo, se podría recuperar. Ahora bien en otras situaciones, es posible que la imagen se pueda ver una parte de ella, lo que indica que ha sido parcialmente borrada y sólo se podría recuperar esa parte.
Lo que nos interesa, para recuperar la imagen botón derecho «Export Files» y se abre el panel de navegación para indicar el destino dónde se desea guardar.
Esta tarea puede ser algo tediosa si existe un gran número de ficheros a recuperar al tener que hacerlo manualmente. De ahí se presenta la siguiente herramienta.
Recuva
Link descarga: https://www.piriform.com/recuva
Se trata de una herramienta semiautomática que con una fácil configuración inicia la recuperación de ficheros.
En primer lugar, el asistente de Recuva nos pregunta el orden (la prioridad) del tipo de ficheros que se desean recuperar:
Por último, se puede marcar el checkbox de «Escaneo profundo». Una vez acabado el escaneo se muestran todos los ficheros analizados indicando cuáles pueden ser recuperados totalmente o han sido dañados o sobrescritos.
Una vez seleccionados los que se desean recuperar, se elige la ubicación destino y se indica un resumen de la recuperación:
Photorec
Link descarga: http://www.cgsecurity.org/wiki
A diferencia de los anteriores no requiere instalación. Se extrae el .zip y buscar la photorec.win.exe
Así que yendo a la carpeta que se había indicado se tienen los ficheros recuperados.
Espero que os haya gustado. Para cualquier duda o comentario os invito a comentar en el post.
Saludos.
NaxHack5
La mejor defensa es un buen ataque
Un comentario en «Análisis Forense I – Recuperación de ficheros»
Realmente recuva es un programa super util, recuperar archivos borrados y gratis… piriform se pasa de buenas personas 🙂
Los comentarios están cerrados.