Recuperando Información con Scalpel

“Como recuperar información cuando no queremos perderla.”


La herramienta que utilizaremos utiliza una técnica llamada File Carving.

Cuando borramos algún archivo en realidad no lo estamos borrando, lo que ocurre es que estamos diciendo al disco que esos segmentos están vacíos, la técnica de la que estamos hablando lo que hará será buscar en todos los segmentos que se suponen vacíos para ver si ahí hay algo de información.

Underc0de - Scalpel

Una vez comprendido, procedemos a descargar desde el repositorio en Github y una herramienta que será util.

Scalpel es una herramienta para utilizar en Linux como Windows, la única diferencia es que bajo Windows no puede analizar el disco, si no que debe analizar una imagen del disco, para esto, será util FTK.

Para la presente práctica, obtendremos la información de un pendrive de 2GB.

Creando una imagen con FTK

Lo primero que haremos es pulsar el botón de “add evidence item” y elegiremos “Logical Drive”.

Underc0de - Ftk

Elegimos la unidad.

Underc0de - Eligiendo unidad

Luego, haremos clic derecho a la unidad y seleccionamos “Export Disk Image”

Underc0de - Exportando imagen

Configuramos donde se exportará la imagen.

"Underc0de

Underc0de - Destino de la imagen

Al concluir los pasos anteriores, estamos en condiciones de crear la imagen, solo debemos hacer clic en el boton “Start”.

Underc0de - Iniciando proceso de guardado

Underc0de - Proceso finalizado

Obteniendo información con Scalpel

Estamos en condiciones de buscar la información, lo primero que haremos será comprobar la ayuda, haciendo:

Underc0de - Ayuda de scalpel

Visualizando la ayuda, notaremos que la sintaxis es: scalpel -opcion1 -opcion2 imagen

Algunas de las opciones mas relevantes:

  • -c : Sirve para elegir el archivo de configuración. (de serie es scalpel.conf)
  • -o : Sirve para elegir la carpeta donde se mandará la información. (de serie es scalpel-output)
  • -v : Sirve para entrar en el verbose mode.

El archivo de configuración predeterminado trae muchas opciones para buscar gran cantidad de ficheros diferentes, solo tendríamos que ir a dicha sección y borrar ‘#’ para que dejase de ser un comentario.

Underc0de - Comentarios

Para añadir una nueva regla debemos seguir la siguiente forma: ‘extension’ y ‘tamaño’ ‘header’ ‘EOF’

Podemos buscar el header y el EOF de cada tipo de archivo por internet, para esta práctica harmeos un archivo de configuración que saque todas las imagenes.

Underc0de - Headers

Y lanzamos el programa hacia la imagen:

Una vez ejecutado comenzará a buscar las imagenes y enviará a la carpeta que hemos indicado.

Underc0de - Buscando imagenes con scalpel

En la carpeta que hemos pasado como parámetro habrá varias carpetas con los diferentes archivos que ha recuperado y por fin hemos encontrado aquello que estabamos buscando.

Underc0de - Resultado de scalpel


Agradecemos a ROLLTH por enseñarnos a utilizar la herramienta: Recuperando información con Scalpel


Posts Relacionados

Comments

comments

Deja una respuesta

Tu email no será publicado. Los campos requeridos estan marcados con *
Puedes usar tags HTML y los atributos: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">