Blog

Analisis Forense – Parte II – Foremost: Como Recuperar Archivos Borrados

1 Analisis Forense – Parte I – Montando el Laboratorio y Clonado con DD

2 Analisis Forense – Parte II – Foremost: Como Recuperar Archivos Borrados

3 Analisis Forense – Parte III – Autopsy: Como analizar un disco duro

4 Analisis Forense – Parte IV – Como funciona la papelera de Windows

5 Analisis Forense – Parte V – Volatility: Como analizar la memoria RAM de Windows

6 Analisis Forense – Parte VI – Como ocultar un archivo



Continuamos la serie con el laboratorio que hemos montado en el post anterior.

Hoy vamos a ver como se utiliza la herramienta Foremost que es capaz de detectar tipos de ficheros por su cabecera (no por su extensión que puede estar cambiada para engañar y ocultar información) y para encontrar ficheros borrados. Montaremos la partición sdb1 para borrar un fichero y ver como podemos recuperarlo luego.

forense21

Una vez hemos borrado el fichero que es una foto y hemos desmontado la partición, procederemos a realizar un clonado del disco sdb al disco sdc. Como siempre realizaremos el analisis en el disco clonado que será sdc.

Para utilizar la herramienta Foremost le pondremos la opción

-s: quiere decir cuantos bytes va a leer de la cabecera de cada fichero

-t: será un filtro en el que indicaremos el tipo de fichero que queremos buscar

-i: el disco en el que queremos realizar la búsqueda

-o: la carpeta en la que queremos que nos guarde los resultados encontrados y un informe sobre estos

forense22

Al ejecutar la herramienta nos genera un archivo con nombre audit.txt, que es el informe de los resultados. En estos resultados podemos ver que nos ha rescatado 5 imagenes. De esto obtenemos 2 conclusiones:

1. Hemos recuperado la foto que habíamos borrado en el disco original antes de hacer la copia.

2. En el disco original solo había 4 ficheros con extensión .jpeg, esto quiere decir que había uno de ellos que era una foto pero que le habian cambiado o quitado la extensión para ocultar la foto

forense23

Como veis es bien sencilla de utilizar esta herramienta para Linux para recuperar vuestros ficheros borrados.

 

Roberto – @leurian

Leave a Reply

*

    No Twitter Messages