miércoles, 29 de abril de 2009

Recuperar datos de USB con Autopsy-SleuthKit




A quién no le apasado que por andar jugando en la consola hace un rm archivo.* para borrar varios archivos con el mismo nombre pero con diferente extensión pero se olvidaron que había un archivo que no debían borrar y que se llamaba igual y ya no está!!!!! =(

Estamos que nos lleva la x!"$&$% lo digo porque me ha pasado... pero no más! =)

Les presento - para los que no lo conozcan - a Autopsy, es una interfaz gráfica para las herramientas de linea de comandos de SleuthKit, que es una colección de herramientas para el análisis forense de ordenadores.

Yo lo uso para recuperar datos de Memorias USB sobre todo, debido a que no son de gran capacidad... aunque se puede hacer con discos duros... pero necesitariamos otro de igual o mayor capacidad de almacenamiento... Autopsy lo uso en conjunto con dd (una herramienta unix que sirve para copiar datos en bruto).

para instalarlo en Debian y derivados:
#apt-get install autopsy sleuthkit
para conseguirlo desde su página oficial de Sleuth Kit:
http://www.sleuthkit.org/autopsy/

la sintaxis con la que uso dd es la siguiente:
#dd if=/dev/dispositivo of=/ruta/de/almacenamiento/archivo.dd
y así creo un fichero que contiene toda la información de una memoria usb por ejemplo.... luego sólo hago en una terminal:
#autopsy
y abro un navegador y escribo:
http://localhost:9999/autopsy
y lo demás mejor lo muestro en este video que hice.... si se ve entrecortado veanlo en YouTube.com:
http://www.youtube.com/watch?v=mk6q9kHYswA




Datos curiosos:
  • Cuando borras un archivo.... no lo borras!!! XD lo que haces es borrar el índice que apuntaba al sector donde está el archivo.
  • Un archivo se borra o corrompe cuando se sobreescribe otro dato en el sector donde está almacenado.
  • Tomando en consideración lo anterior... si quieres recuperar datos borrados es mejor no sobreescribir nada en el dispositivo de almacenamiento hasta después de haber recuperado la información.
  • Si sobreescribes antes de recuperar la información, es posible que puedas recuperar los datos, pero corruptos!
Cualquier cosa por aquí me encuentran jejeje....

5 comentarios:

Anónimo dijo...

Excelente material, para los q empezamos en estas cuestiones !!!

Recuperando los datos on 21 de julio de 2009, 19:31 dijo...

Graciassssssss

wilmer fernandez on 9 de enero de 2010, 21:19 dijo...

queria preguntarte si se puede hacwer una copia de un disco virtual de windows... con el autopsy, en una maquina virtual de caine

Pyr0S-9889 on 10 de enero de 2010, 14:06 dijo...

@wilmer, esa es una interesante pregunta, la verdad no tengo idea :P siento no ser de ayuda en esta ocasión, pero podrías intentar, no estoy muy seguro, si se pueda montar la unidad virtual directamente en el autopsy, sin tener la necesidad de usar el DD.

El Sistemas de archivos no creo que sea mucho problema.

Podrías experimentar, a ver que sale y comentarme luego tus resultados.

CINER dijo...

BUEN TUTO

Publicar un comentario

 

Pyr0S-9889 © 2008 Business Ads Ready is Designed by Ipiet Supported by Tadpole's Notez