Scalpel: Herramienta para recuperar archivos borrados Linux

  • 0 Respuestas
  • 572 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado Denisse

  • *
  • Co Admin
  • Mensajes: 395
  • Actividad:
    43.33%
  • Country: mx
  • Reputación 23
  • Denisse ღ
  • Twitter: DenisseUC88
    • Ver Perfil


Una herramienta de que permite recuperar del sistema archivos borrados y carpetas en distribuciones Linux. Se utiliza con la finalidad de recuperar archivos del sistema, Herramienta libre de código abierto para sistemas operativos Linux.

Scalpel es un fork actualizado de foremost, aunque más rápida y más eficiente en el rastreo y búsqueda de patrones de archivos que utiliza una base de datos que almacena patrones de bytes conocidos de archivos e identifica los archivos borrados y recuperar los recupera de manera instantánea.
Muchas veces sucede que por accidente o por error de sistema se pide información de archivos o carpetas que son importantes.

Ventaja

Permite restaurar información que puede haber eliminado y cuando eliminamos información el sistema operativo normalmente sólo se elimina los metadatos del archivo, tales como nombre de archivo, propietario y ubicación. Los datos del usuario se mantiene en el medio de almacenamiento hasta que se sobrescribe.

Funciones

• Analiza un disco o dispositivo de almacenamiento con la finalidad de buscar patrones de bytes que responden a las cabeceras de archivos y pies de archivos, de esta manera intentara recuperar los datos pertenecientes al archivo.
• Puede detectar diversos tipos de archivos.
• Soporta distintas estructura de disco y formatos de archivos para ello utiliza una base de datos con encabezados y pies de de archivos con reglas de expresión para detectar que formato puede recuperar.

Muchas distribuciones Linux tienen Scalpel en sus repositorios.

Importante: Conviene tener Scalpel actualizado para añadir nuevas expresiones regulares para los encabezados y pies de archivos.

Scalpel brinda un rendimiento de escaneo a gran velocidad, durante el rastreo lee una base de datos de encabezado y pie de los formatos de archivos y extrae los archivos que coinciden entre un conjunto de de definiciones y expresiones regulares de un dispositivo.

Formatos soportados
Scalpel soporta formatos de disco desde:
• FAT
• NTFS
• ext2
• particiones sin formato

Es útil tanto para la investigación forense digital, como para recuperación de archivos. Esta herramienta es parte de Seulkit que se integra con Autopsy

Instalación

Primero procedemos a realizar actualización del sistema

Código: (text) You are not allowed to view links. Register or Login
#aptitude update


Una vez actualizado el sistema procedemos a la instalación

Código: (text) You are not allowed to view links. Register or Login
#apt-get install scalpel




Configuración
Ubicar el archivo de configuración luego de la instalación con el siguiente comando:

Código: (text) You are not allowed to view links. Register or Login
#whereis scalpel

scalpel: /usr/bin/scalpel /etc/scalpel /usr/share/man/man1/scalpel.1.gz



Ahora abrimos el archivo scalpel.conf ubicado en la ruta  /etc/scalpel con el editor de texto de su preferencia como nano o vi.

Por defecto, todas las líneas de las expresiones se comentan con # en el archivo de configuración.




En el archivo de configuración scalpel.conf, hay algunas líneas que contienen los tipos de archivos que podemos recuperar. Por ejemplo jpg, png, doc, etc.

IMPORTANTE:

Antes de ejecutar Scalpel debemos descomentar el formato de archivo que queremos que Scalpel recupere, sino están descomentadas esos archivos serán ignorados.

En el caso de encontrar un error al ejecutar debemos proceder a crear manualmente la carpeta /etc/scalpel y dentro copiar el archivo scalpel.conf.

A continuación ejecutamos scalpel desde su carpeta, indicamos la carpeta donde se guardan los archivos recuperados.

/ect/scalpel/scapel.conf = ruta donde se indica que format de archivos va recuperar
/dev/sda = ruta donde scapel va recuperar la información
-o = es output, indica un directorio de salida, en la que desea restaurar los archivos borrados
respaldo = directorio que debe estar vacío antes de ejecutar cualquier comando de lo contrario nos dará un error.

scalpel -c /etc/scalpel/scalpel.conf /dev/sda -o respaldo


Una vez ejecutado el comando anterior, scalpel iniciará el proceso de escaneo y posteriormente en base al espacio de disco o dispositivo que se esta evaluando iniciará la recuperación de archivos, este proceso de recuperación de archivos borrados puede llevar mucho tiempo.

Créditos del artículo
kimberling146.blogspot.com