Hola con la intencion de ayudar a todas aquellas personas que han perdido algun dato importante de su HDD,a continuacion os proporcionare una lista de software de recuperacion de datos bajo distinctas plataformas con el fin llevar acabo una operacion de forensic exitosa.Empezare exponiendo una lista de software "libre de cargos" que no cuesta dinero y tiene mucha "potencia" a la hora de utilizarlo tanto en la recuperacion de datos de memorias de camaras digitales como cualquier otro medio de almacenamiento de datos:
Photorec
Es conocido por su efectividad en la recuperación de memorias SD de las cámaras digitales. Se encuentra bajo licencia GPL y es multiplataforma. Actualmente soporta:
* DOS/Win9x
* Windows NT 4/2000/XP/2003
* Linux
* FreeBSD, NetBSD, OpenBSD
* Sun Solaris
* Mac OS X
Los tipos de particiones soportados son:
* FAT,
* NTFS,
* EXT2/EXT3 filesystem
* HFS+
según la pagina web del proyecto se probó recuperar información con éxito de las siguientes cámaras:
* Canon EOS300D, 10D
* HP PhotoSmart 620, 850, 935
* Nikon CoolPix 775, 950, 5700
* Olympus C350N, C860L, Mju 400 Digital, Stylus 300
* Sony DSC-P9
* Praktica DCZ-3.4
* Casio Exilim EX-Z 750
Pagina oficial del proyecto : http://www.cgsecurity.org/wiki/PhotoRec
Foremost
Muy efectivo para recuperar diferentes tipos de archivos. La técnica que utiliza es el método de lectura RAW en busca de cabeceras, finalización y estructura interna de archivos. El propio soft tiene una base de datos de estructura de archivos bastante amplia entre las que se destacan:
jpg (Soporte para JFIF y Exif incluidas en las camaras digitales modernas), gif, png, bmp, avi, mpg (soporta la mayoria de MPEG’s (comenzando con la cabecera de archivo 0×000001BA)), exe (Windows PE executables), rar, wav, riff, wmv, wma, mov, pdf, ole (Incluye powerpoint, Word, Excel, Access, y Star Writer) ,zip, htm y cpp.
Un dato interesante en la pagina oficial dice lo siguente:
"Originally developed by the United States Air Force Office of Special Investigations and The Center for Information Systems Security Studies and Research " por lo tanto no es "un juego de niños".
Pagina oficial del proyecto: http://foremost.sourceforge.net/
dd
Esta utilidad existe desde hace tiempo dentro de las coreutils de cualquier sistema *nix. Se encuentra también bajo licencia GPL.
Cual es la utilidad?. Nos permite copiar bloque a bloque información. Por ejemplo si deseamos hacer una imagen de un cd deberíamos hacer lo siguiente:
dd if=/dev/cdrom of=/home/usuario1/imagen.img
Pero el problema recide si el cd o medio donde se encuentra la información esta dañado.
Para poder solventarse este problema dio origen a una serie de forks de dd con ciertas mejoras para estos casos:
dd_rescue
Este este programa nació al poco tiempo de dd. El funcionamiento es simple: tratará de copiar toda la información por más que existan errores en el dispositivo. Se lo puede ejecutar varias veces y no volverá a empezar de cero, sino que tratara de completar la operación hasta conseguir la información completa.
Ejemplo:
# dd_rescue –e 7 –l /tmp/resultado.log –r –d /dev/hdc /var/tmp/cd.img
Se lee el contenido de /dev/hdc y se escribe en cd.img
–e 7 es el parámetro que indica el numero de veces que se lecturas reiteradas
–l luego esta el archivo en el cual se guardan los registros de la lectura
–r es para el sentido de la lectura hacia atrás o hacia delante
El defecto del dd_rescue es que puede tomar mucho tiempo en las lecturas, por la cantidad de veces que le pediremos pasar sobre el sector defectuoso y también por el tamaño de la información a recuperar.
Myrescue
Este programa es una mejora a dd_rescue y trata de encontrar la mejor manera de enfrentar el problema. Por ejemplo primero leer la información sana para continuar donde esta el problema.
Pagina oficial del proyecto: http://myrescue.sourceforge.net/
DD_rhelp
En este caso prueba diferentes métodos de lectura.
Pagina oficial del proyecto: http://www.kalysto.org/utilities/dd_rhelp/index.en.html
DDrescue
Abarca todas las funciones de los programas anteriores y de dd_rescue.
Utiliza el método de leer primero lo que esta bien y luego utilizar diferentes técnicas sobre los sectores erróneos. Tengan en cuenta que el proceso de recuperación de este programa también es muy lento.
Pagina oficial del proyecto: http://www.gnu.org/software/ddrescue/ddrescue.html
Recoverdm
Util para recuperar CD’s rayados, al encontrar un error baja la velocidad de lectura e intenta copiarlo.
Ejemplo:
# recoverdm –t30 -o /home/user1/recupero.img –n l –r6-i/dev/hdc
-t 30 ajusta el tipo de unidad para DVD
-o el archivo destino
-i el dispositivo a leer
-n el numero de repeticiones para la lectura
Personalmente me ha tocado utilizarlo una vez y no creia que fuera capaz de recuperar algo de ese disco,me he llevado una sorpresa al ver que he podido recuperar cierta informacion del disco.Aun asi no os engañeis tampoco,este programa tampoco es que haga las "mil maravillas" recupera "lo que se puede" es decir la informacion que no esta "rayada",aun asi hay dispositivos "electronicos" que pueden "limpiar" discos,los he visto y valen alrededor de unos 300 euros.
Pagina oficial del proyecto: http://www.vanheusden.com/recoverdm/
gpart
Intenta recuperar la partición primaria en caso de que la tabla de la partición tenga el sector 0 dañado,incorrecto o borrado. Los tipos de particiones soportados son:
* DOS/Windows FAT (FAT 12/16/32)
* Linux ext2
* Linux swap partitions versions 0 and 1 (Linux >= v2.2.X)
* OS/2 HPFS
* Windows NT/2000 FS
* *BSD disklabels
* Solaris/x86 disklabels
* Minix FS
* Reiser FS
* Linux LVM physical volume module (LVM by Heinz Mauelshagen)
* SGI XFS on Linux
* BeOS filesystem
* QNX 4.x filesystem
Pagina oficial del proyecto: http://www.stud.uni-hannover.de/user/76201/gpart/
Test disk
Infaltable, es multiplataforma, actualmente soporta:
* DOS
* Windows (NT4, 2000, XP, 2003),
* Linux,
* FreeBSD, NetBSD, OpenBSD,
* SunOS
* MacOS
Soporta los siguientes file systems:
* BeFS ( BeOS )
* BSD disklabel ( FreeBSD/OpenBSD/NetBSD )
* CramFS, Compressed File System
* DOS/Windows FAT12, FAT16 and FAT32
* HFS and HFS+, Hierarchical File System
* JFS, IBM’s Journaled File System
* Linux Ext2 and Ext3
* Linux Raid
o RAID 1: mirroring
o RAID 4: striped array with parity device
o RAID 5: striped array with distributed parity information
o RAID 6: striped array with distributed dual redundancy information
* Linux Swap (versions 1 and 2)
* LVM and LVM2, Linux Logical Volume Manager
* Mac partition map
* Novell Storage Services NSS
* NTFS ( Windows NT/2K/XP/2003 )
* ReiserFS 3.5, 3.6 and 4
* Sun Solaris i386 disklabel
* Unix File System UFS and UFS2 (Sun/BSD/…)
* XFS, SGI’s Journaled File System
Ideal para recuperar particiones perdidas por el mal uso de fdisk o en los casos de pendrives o flash memory que perdieron la partición por ser retirados sin ser desmontados correctamente.
Este software es mi favorito y es el que mas utilizo,principalmente porque es gratuito y un proyecto "en expansion" que tratan de mejorarlo con cada version que sacan.Personalmente he obtenidos muy buenos resultados al utilizar este software y no hacen falta grandes conocimientos para poder utilizarlo.A continuacion os dejo algunos ejemplos de recuperaciones de datos:
http://www.cgsecurity.org/wiki/Ejemplos_de_recuperacion_de_datos
Pagina oficial del proyecto : http://www.cgsecurity.org/wiki/TestDisk
Sleuthkit + autospy Browser
Cuando todo lo anterior falla tenemos a estas dos herramientas bastante complejas y no aptas para novatos. Sleuthkit es un conjunto de herramientas para realizar análisis del tipo forense. Solamente esta disponible para ambiente *nix (Linux, OS X, FreeBSD, OpenBSD y Solaris). Autospy es una interfaz que facilita la utilización de sleuthkit.
Soporta las siguientes particiones:
- FAT12 FAT16 FAT32
- Linux EXT2/EXT3
- Linux SWAP (version 1 and 2)
- NTFS (Windows NT/W2K/XP)
- BeFS (BeOS)
- UFS (BSD)
- Netware
- ReiserFS
Otro gran herramienta y muy poderosa sino me equivoco nuestro compi neofito hizo un gran manual sobre como utilizarlo.
Pagina del proyecto : http://www.sleuthkit.org/autopsy/
Incident Response Collection Report
The Incident Response Collection Report es un script para llamar a una colección de herramientas que recoge
y / o analiza los datos en un sistema Microsoft Windows. La mayoría de las herramientas están orientadas a la recopilación de datos en lugar de análisis.
Pagina oficial del proyecto : http://tools.phantombyte.com/
First Responder Evidence Disk (FRED)
El primer nivel de respuesta de la prueba de disco, o Fred, es un guión basado en la herramienta de respuesta a incidentes. Fue diseñado para capturar la información volátil de un sistema informático para su posterior análisis sin modificar nada a la víctima. Se trata de un archivo por lotes utilizado para ejecutar un conjunto de buenas herramientas conocidas que reúnen el estado víctima de un sistema informático. Es similar a la IRCR programa y ha sido ampliamente imitada por otras herramientas. Muchos otros instrumentos de respuesta a incidentes utilizado nombres similares a FRED.
Pagina oficial del proyecto : http://tools.phantombyte.com/
Forensic Acquisition Utilities
Descripción: Una colección de herramientas de Windows como 'dd.exe', 'md5sum.exe', 'wipe.exe', y 'nc.exe'. La versión de 'dd' en este paquete también puede hacer imagenes de los contenidos de la memoria de los HDD.
Pagina oficial del proyecto: http://users.erols.com/gmgarner/forensics/
FTimes
Descripción: FTimes es un sistema baselining y de recopilación de pruebas. El objetivo principal de ftimes es reunir y / o desarrollar la información especifica acerca de directorios y archivos de modo que favorezcan el análisis de intrusiones.
Pagina oficial del proyecto : http://ftimes.sourceforge.net/FTimes/index.shtml
liveview
Live View es una herramienta forense basada en Java que crea una maquina virtual VMware,(estilo dd)imagen de disco o disco fisico.Esto permite que el examinador forense pueda "arrancar" la imagen o el disco y hacerse un intercambio, a nivel de usuario perspectiva del medio ambiente, todo ello sin modificar la imagen subyacente o disco. Debido a que todas las modificaciones introducidas en el disco están escritos en un archivo separado, el examinador puede volver al instante todos sus cambios de vuelta al estado original del disco. El resultado final es que no es necesario crear extra "tirar" de copias del disco o la imagen para crear la máquina virtual.
Live View es capaz de arrancar :
-Disco completo de imágenes en "bruto".
-La partición de arranque de imágenes en bruto.
-Discos físicos (que se adjunta a través de una conexión USB o Firewire puente)
-Especializado y cerrado formatos de imagen (utilizando el 3er partido de montaje de imagen de software)
Que contengan los siguientes sistemas operativos
Windows 2003, XP, 2000, NT, Me, 98
Linux (un apoyo limitado)
Detrás de las escenas, Live View automatiza una amplia gama de tareas técnicas. Algunos de estas incluyen: la solución de conflictos de hardware que como resultado de hardware en el arranque distinto de aquel en que el sistema operativo originalmente instalado en crear una configuración personalizada para la partición MBR-sólo imágenes, y especificar correctamente un disco virtual para que coincida con la imagen original o disco físico.
Pagina oficial del proyecto: http://liveview.sourceforge.net/
pdd
Descripción: PDD (Palm dd) es una herramienta basada en la memoria de imágenes forenses y adquisición de datos del Palm OS familia de PDAs. PDD preserve la escena del crimen por la obtención bit-por-bit de imagen o "instantánea" del dispositivo Palm de los contenidos de la memoria. Estos datos pueden ser utilizados por los investigadores forenses, equipos de respuesta a incidentes, penal y civil y los fiscales.
Pagina oficial del proyecto : http://www.opensourceforensics.org/tools/archive/pdd-1.10.zip
Advanced Forensic Format Library (afflib)
Descripción: La Avanzada Forense Format (AFF) es un formato abierto extensible para el almacenamiento de imágenes de disco y las formas conexas de forenses de metadatos.
Pagina oficial del proyecto : http://www.afflib.org/
Automated Image and Restore (AIR)
AIR (Automatizado de Imagen y Restauración) es un GUI front-end para dd / dcfldd diseñado para crear fácilmente imágenes forenses poco.
Pagina oficial del proyecto: http://air-imager.sourceforge.net/
dcfl-dd
Descripción: dcfl dd-es una versión modificada de la GNU binutils versión de 'dd'. Se calcula el valor hash MD5 de los datos, mientras que las copias de los datos.
Pagina oficial del proyecto : http://sourceforge.net/projects/biatchux
libewf
Descripción: Libewf es una biblioteca de apoyo de la testigo pericial formato de compresión (EWF), el apoyo tanto del formato SMART (EWF-S01) y el formato de EnCase (EWF-E01). Libewf te permite leer los medios de información dentro de los archivos de EWF.
Pagina oficial del proyecto : https://www.uitwisselplatform.nl/projects/libewf/
lsof
Descripción: lsof listas se encarga de abrir el archivo para ejecutar LOS PROCESOS DE Unix.
Pagina oficial del proyecto : ftp://vic.cc.purdue.edu/pub/tools/unix/lsof/
mac-robber
Descripción: mac-ladrón es un forense y respuesta a incidentes que recoge el programa se modificó, Acceso y Cambio (MAC) los tiempos de archivos. Su salida puede ser utilizado como insumo para la "mactime" La herramienta en Sleuth Kit para hacer una línea de tiempo de actividad de archivos.
Pagina oficial del proyecto : http://www.sleuthkit.org/mac-robber/index.php
memdump
Software para dummpear la memoria RAM en sistemas Unix-Like.
Pagina oficial del proyecto : http://www.porcupine.org/forensics/tct.html
mac-daddy
Coleccionista forense para respuesta a incidentes. Este conjunto de herramientas son una versión modificada de los dos programas tree.pl y mactime de la herramienta Coroner's Toolkit codeado Dan Farmer y Venema Weiste. Este programa es portátil y se puede ejecutar directamente desde un disquete o un cdrom con un intérprete perl que también pueden estar en el disquete o CD-ROM.
Pagina oficial del proyecto : http://www.porcupine.org/forensics/tct.html
RDA
RDA es un software que se utiliza mediante la línea de comandos de GNU/Linux herramienta para adquirir datos de forma remota (como la clonación de disco o disco / partición de imágenes) y verificar la transferencia mediante md5 y / o sumas de comprobación CRC32. El programa es el servidor y el cliente.
Pagina oficial del proyecto : http://md5sa.com/downloads/rda/index.htm
sdd
'SDD' podria ser un reemplazo para el programa llamado 'dd'. SDD es mucho más rápido que dd en los casos en que la entrada del tamaño de bloque (SII) no es igual a la salida del tamaño de bloque (OBS). Las estadísticas son más fácilmente que los understoon de 'dd'. Calendario disponible, en tiempo opción de imprimir la velocidad de transferencia de Calendario y Estadísticas disponibles en cualquier momento con SIGQUIT (^ \) se puede buscar en la entrada y la salida rápida de entrada nula rápida salida nula. Apoyo a la RMT (Remote Tape Server) hace de protocolo remoto de E / S rápida y fácil.
Pagina oficial del proyecto: http://directory.fsf.org/sysadmin/Backup/sdd.html
Webjob
WebJob permite descargar un programa a través de HTTP / HTTPS y ejecutarlo en una operación unificada. La salida, en su caso, pueden dirigirse a stdout / stderr Web o un recurso. WebJob puede ser útil en respuesta a incidentes y análisis de intrusiones, ya que proporciona un mecanismo para ejecutar el buen conocido diagnóstico sobre los programas potencialmente peligrosos en un sistema comprometido.
Pagina oficial del proyecto: http://webjob.sourceforge.net/WebJob/index.shtml
CDfs
CDF es un sistema de archivos para sistemas GNU/Linux que permite que "exportaciones" de todas las pistas y las imágenes de arranque en un CD como archivos normales. Estos archivos pueden ser montados (por ejemplo, para la ISO y la imágenes de arranque), copiado, reproducido (de audio y pistas de VideoCD).
Por el momento aqui acabare con la primera parte del software "libre de cargos" aunque aun hay mas que tengo que añadir,aparte de eso añadire los de pago y tambien las mejores Live-CD's que he visto y una que suelo utilizar en el trabajo,varios compañeros del foro ya le han echado un vistazo.
Saludos y espero que os sirva.
fuente:http://www.wadalbertia.org/phpBB2/viewtopic.php?t=4771 por arakis
Suscribirse a:
Enviar comentarios (Atom)
Entradas
No hay comentarios:
Publicar un comentario