Herramienta para recuperar archivos borrados Linux
Scalpel herramienta de que permite recuperar del sistema archivos borrados y carpetas en distribuciones Linux. Esta herramienta se utiliza con la finalidad de recuperar archivos del sistema, es una herramienta libre de código abierto para sistemas operativos Linux. Scapel
es un fork actualizado de foremost, aunque más rápida y más eficiente en el rastreo y búsqueda de patrones de archivos.
Scalpel utiliza una base de datos que almacena patrones de bytes conocidos de archivos e identifica los archivos borrados y recuperar los recupera de manera instantánea. Muchas veces sucede que por accidente o por error de sistema se pide información de archivos o carpetas que son importantes. Scalpel tiene una gran ventaja y es que nos permite restaurar información que puede haber eliminado y cuando eliminamos información el sistema operativo normalmente sólo se elimina los metadatos del archivo, tales como nombre de archivo, propietario y ubicación. Los datos del usuario se mantiene en el medio de almacenamiento hasta que se sobrescribe.
Que analiza Scalpel?
Scapel analiza un disco o un dispositivo de almacenamiento con la finalidad de buscar patrones de bytes que responden a las cabeceras de archivos y pies de archivos, de esta manera intentara recuperar los datos pertenecientes al archivo. Scalpel puede detectar diversos tipos de archivos. Soporta distintas estructura de disco y formatos de archivos para ello utiliza una base de datos con encabezados y pies de de archivos con reglas de expresión para detectar que formato puede recuperar.
Muchas distribuciones Linux tienen Scalpel en sus repositorios.
Importante: Conviene tener Scalpel actualizado para añadir nuevas expresiones regulares para los encabezados y pies de archivos.
Scalpel brinda un rendimiento de escaneo a gran velocidad, durante el rastreo lee una base de datos de encabezado y pie de los formatos de archivos y extrae los archivos que coinciden entre un conjunto de de definiciones y expresiones regulares de un dispositivo.
Que formatos soporta Scalpel?
Scalpel soporta formatos de disco desde FAT, NTFS, ext2 o particiones sin formato. Es útil tanto para la investigación forense digital, como para recuperación de archivos. Esta herramienta es parte de Seulkit que se integra con Autopsy
Como instalar Scalpel?
Primero procedemos a realizar actualización del sistema
#aptitude update
Una vez actualizado el sistema procedemos a la instalación
#apt-get install scalpel
Ahora procedemos a Configurar Scalpel para eso debemos ubicar el archivo de configuración luego de la instalación con el siguiente comando
#whereis scalpel
scalpel: /usr/bin/scalpel /etc/scalpel /usr/share/man/man1/scalpel.1.gz
Ahora abrimos el archivo scalpel.conf ubicado en la ruta /etc/scalpel con el editor de texto de su preferencia como nano o vi.
Por defecto, todas las líneas de las expresiones se comentan con # en el archivo de configuración.
En el archivo de configuración scalpel.conf, hay algunas líneas que contienen los tipos de archivos que podemos recuperar. Por ejemplo jpg, png, doc, etc.
IMPORTANTE:
Antes de ejecutar Scalpel debemos descomentar el formato de archivo que queremos que Scalpel recupere, sino están descomentadas esos archivos serán ignorados.
En el caso de encontrar un error al ejecutar debemos proceder a crear manualmente la carpeta /etc/scalpel y dentro copiar el archivo scalpel.conf.
A continuación ejecutamos scalpel desde su carpeta, indicamos la carpeta donde se guardan los archivos recuperados.
/ect/scalpel/scapel.conf = ruta donde se indica que format de archivos va recuperar
/dev/sda = ruta donde scapel va recuperar la información
-o = es output, indica un directorio de salida, en la que desea restaurar los archivos borrados
respaldo = directorio que debe estar vacío antes de ejecutar cualquier comando de lo contrario nos dará un error.
scalpel -c /etc/scalpel/scalpel.conf /dev/sda -o respaldo
Una vez ejecutado el comando anterior, scalpel iniciara el proceso de escaneo y posteriormente en base al espacio de disco o dispositivo que se esta evaluando iniciara la recuperación de archivos, este proceso de recuperación de archivos borrados puede llevar mucho tiempo.
#whereis scalpel
scalpel: /usr/bin/scalpel /etc/scalpel /usr/share/man/man1/scalpel.1.gz
Ahora abrimos el archivo scalpel.conf ubicado en la ruta /etc/scalpel con el editor de texto de su preferencia como nano o vi.
Por defecto, todas las líneas de las expresiones se comentan con # en el archivo de configuración.
En el archivo de configuración scalpel.conf, hay algunas líneas que contienen los tipos de archivos que podemos recuperar. Por ejemplo jpg, png, doc, etc.
IMPORTANTE:
Antes de ejecutar Scalpel debemos descomentar el formato de archivo que queremos que Scalpel recupere, sino están descomentadas esos archivos serán ignorados.
En el caso de encontrar un error al ejecutar debemos proceder a crear manualmente la carpeta /etc/scalpel y dentro copiar el archivo scalpel.conf.
A continuación ejecutamos scalpel desde su carpeta, indicamos la carpeta donde se guardan los archivos recuperados.
/ect/scalpel/scapel.conf = ruta donde se indica que format de archivos va recuperar
/dev/sda = ruta donde scapel va recuperar la información
-o = es output, indica un directorio de salida, en la que desea restaurar los archivos borrados
respaldo = directorio que debe estar vacío antes de ejecutar cualquier comando de lo contrario nos dará un error.
scalpel -c /etc/scalpel/scalpel.conf /dev/sda -o respaldo
Una vez ejecutado el comando anterior, scalpel iniciara el proceso de escaneo y posteriormente en base al espacio de disco o dispositivo que se esta evaluando iniciara la recuperación de archivos, este proceso de recuperación de archivos borrados puede llevar mucho tiempo.
No hay comentarios:
Publicar un comentario