Los procedimientos que describiremos a continuación se realizaron en Ubuntu Linux 8.06 (Hardy Heron), pero deben de poderse utilizar en otras distribuciones casi sin cambios.
Preparativos.
Para incrementar las posibilidades de éxito, de preferencia el disco duro o partición a analizar debe tener poca o nula actividad. Si es posible, podemos manejar el disco como unidad esclava y en otro realizar el análisis y posible recuperación.Utilización de recover.
Esta es una utilería que incrementa nuestras posibilidades de recuperar un archivo sobre un sistema de archivos ext2 (en este momento no puede trabajar en ext3). Lo primero es instalarlo.sudo apt-get install recoverLuego lo ejecutamos desde la línea de comandos como administrador, en donde nos hara una serie de preguntas para ubicar más fácilmente el nodo donde se encuentre el archivo. En este caso, la unidad a analizar es sda1. Aconsejamos paciencia porque posiblemente tarde un rato.
sudo recover /dev/sda1
Getting inodes (this can take some time)...
debugfs 1.40.8 (13-Mar-2008)
In what year did you delete the file? (eg. 1999): 2008
In what month did you delete the file? (Jan, Feb, Mar, Apr, May, Jun, Jul, Aug, Sep, Oct, Nov, Dec or -1=unknown): -1
Aborting month
On which day of the week did you delete the file? (Mon, Tue, Wed, Thu, Fri, Sat, Sun or -1=unknown): -1
Aborting weekday
What was the first possible day of the month on which you deleted the file? (1 - 31): 1
What was the last possible day of the month on which you deleted the file? (1 - 31): 31
What was the soonest possible hour(0-23) when you deleted the file? 15
What was the latest possible hour(0-23) when you deleted the file? 20
What was the soonest possible minute(0-59) when you deleted the file? 0
What was the latest possible minute(0-59) when you deleted the file? 59
What was the minimum possibly file size in bytes? (0-2147483640): 40000
What was the maximum possibly file size in bytes? (0-2147483640): 400000
What was the user ID of the deleted the file? (-1 if you have no idea): 1000
En caso de encontrar algún archivo rescatable, nos preguntará por una carpeta donde colocarlo.
Utilización de lsdel.
Este procedimiento es similar al anterior pero lo podemos usar cuando no esté disponible en nuestra distribución la herramienta recover. Esta aplicación es parte de debugfs, cuya utilización es relativamente sencilla.
sudo debugfs /dev/sda1
debugfs 1.40.8 (13-Mar-2008)
debugfs: lsdel
Al terminar de leer la unidad, nos debe presentar una salida similar a esta, relativamente técnica ya que se basa en la información de los inodes donde se ubican los archivos.
.......
2048260 0 100644 27165 7/ 7 Sat Nov 29 21:10:09 2008
2048261 0 100644 248 1/ 1 Sat Nov 29 21:10:09 2008
2048262 0 100644 4066 1/ 1 Mon Feb 2 12:42:32 2008
14 deleted inodes found.
debugfs:
La fecha nos puede dar una idea de cuál archivo estamos buscando, pero podemos solicitar más detalles de cada uno.
stat número_inode
Otra opción es usar cat para ver su contenido.
cat número_inode
Una vez que identificamos el que deseamos restaurar, usamos dump para recuperarlo.
dump número_inode /ruta/nuevo_nombre_archivo
Utilización de Autopsy y The Sleuth Kit (TSK).
The Sleuth Kit es un conjunto de herramientas en línea de comandos que permiten obtener información de volúmenes y sistemas de archivos en múltiples plataformas; por otro lado Autopsy Forensic Browser es un navegador tipo Web donde pueden realizarse las revisiones y recuperaciones de archivos que necesitemos.En este sentido, lo primero es instalarlo en el equipo donde realizaremos la revisión, no necesariamente debe ser en el mismo equipo donde fue eliminado el archivo (este procedimiento es el recomendado).
sudo apt-get install sleuthkit autopsyIniciamos autopsy desde la línea de comandos.
sudo autopsyAhora, en el equipo donde tenemos la información a recuperar, creamos una copia con dd de la partición a analizar, en este caso sda1. En este ejemplo usamos una unidad USB, pero puede ser otro disco duro o equipo en red, el punto es que debe tener suficiente espacio para alojar la copia y de hecho, es preferible que tenga al menos un 50% más de espacio para las restauraciones.
dd if=/dev/sda1 of=/media/usbdisk/recuperar.isoMovemos la imagen al equipo de análisis y desde nuestro navegador accedemos a autopsy, con la dirección http://localhost:9999/autopsy (por defecto no permite conexiones remotas), adicionamos un nuevo caso, los datos del host y damos de alta la ruta hacía la imagen; para cada categoría aparece una pantalla donde nos solicita la información correspondiente. Al terminar se debe pulsar el botón File analysis para que nos indique los archivos eliminados y que pueden recuperarse.
Para estas herramientas, se recomienda revisar primero la documentación en línea, ya que se trata de una colección de aplicaciones profesionales para análisis de unidades.
Ultima actualización ( martes, 23 diciembre 2008 )
FUENTE:http://www.mexicoextremo.com.mx/content/view/1277/62/
No hay comentarios:
Publicar un comentario