Forenses y Recuperación de datos en Kali linux

El otro día, pregunte que querían aprender en Twitter y Facebook y gano “FORENSE”, me encanta forense pero nunca me he metido tan profundo al tema.

Pero les mostrare algunos métodos que pueden recuperar todo tu porno perdido o algunas imágenes. Básicamente he escrito sobre eso anteriormente pero que hagan un recuerdo pueden ir AQUI.

Que es Forense?

Es una rama de la ciencia forense digital, perteneciente a la evidencia encontrada en las computadoras y medios de almacenamiento digital. El objetivo de la informática forense es examinar los medios digitales de una manera válida a efectos legales con el objetivo de identificar, preservar, recuperar, analizar y presentar datos y opiniones acerca de la información digital.

Ahora que les explique algo básico. Lo forense no tiene nada que ver con lo hacking porque tienes acceso a la herramienta, pero el chiste es recolectar todos datos de algún dispositivo.

Cuando he visto algunas herramienta que posee kali linux me ha llamado la atención “FOREMOST
Pero se preguntarán.

Que es Foremost?

Es más importante y fue escrito por agentes especiales de la Fuerza Aérea de los EE.UU., y es libre y de código abierto. Es muy eficiente en la talla de archivo – escanea rápidamente a través de imágenes de disco y reconstruye los archivos, utilizando una lista de encabezados y pies de página conocidas.
Esto hace que sea posible recuperar el contenido de los archivos, incluso después de que la información del directorio, a menudo por formatear el disco. Los nombres de archivo no se pueden recuperar mediante esta técnica, pero el contenido del archivo se puede.
Y es exageradamente fácil de usar. Ante todo, simplemente invocando sin ninguna opción busca todos los posibles tipos de archivo y coloca los archivos que encuentre en una carpeta llamada “output”.

En Kali Linux esta instalada pero por algún por las dudas dejare la instalación.

apt-get install foremost

Ahora como sirve la herramienta. Les daré un ejemplo “MY USB”

Usaremos :   fdisk -l

Para poder ver las conexiones sea tu disco duro o algún puerto USB. También con sus particiones.

Screenshot from 2016-04-10 02-37-20

La memoria es de 2G la cual vemos que solo tenemos un archivo.

Screenshot from 2016-04-10 02-39-30

Si presionamos Control+h podrás ver los archivos oculto en mi caso no tengo ninguno. Eso digo para que no digan que los archivos siguen allí.

Screenshot from 2016-04-10 02-41-49

Tenemos muchas opciones en el cual solo vamos a usar las opciones para recuperación y ubicación de archivo.

En mi caso el USB lo he formateado 3 veces o más veces pero allí subí algunos archivos que puedes recuperar con el siguiente comando.

 

foremost -t all -v -i /dev/sdb -o /root/Desktop/cread/

Les explicare rápidamente la opción -t indica el tipo de archivo a buscar, si no sabemos cual es o queremos recuperar diferentes tipos de archivos, lo sustituiremos por “all”, que recuperará todos los archivos que encuentre. Con -i indicamos el lugar donde buscarlo y con -o donde guardarlo. La carpeta donde guardarlo la he llamado /cread y no hace falta crearla.

Screenshot from 2016-04-10 02-51-31

El archivo Audit.txt podrás ver la información más detallada pero recuerda los nombres originales no los tendrás.

Dejare algunas herramientas más con sus utilizados pero poco contenido.

 

 recoverjpeg /dev/sda1

(Exclusivamente solo para imágenes)

 dcfldd --help
 scalpel

Espero haberte ayudado y no te olvides de compartir para seguir publicando más.