Bienvenido al blog de Undercode   Click to listen highlighted text! Bienvenido al blog de Undercode
Inicio Linux Scalpel: Herramienta para recuperar archivos borrados Linux

Scalpel: Herramienta para recuperar archivos borrados Linux

por Denisse ღ

Una herramienta de que permite recuperar del sistema archivos borrados y carpetas en distribuciones Linux. Se utiliza con la finalidad de recuperar archivos del sistema, Herramienta libre de código abierto para sistemas operativos Linux.

Scalpel es un fork actualizado de foremost, aunque más rápida y más eficiente en el rastreo y búsqueda de patrones de archivos que utiliza una base de datos que almacena patrones de bytes conocidos de archivos e identifica los archivos borrados y recuperar los recupera de manera instantánea.

Muchas veces sucede que por accidente o por error de sistema se pide información de archivos o carpetas que son importantes.

Ventaja

  • Permite restaurar información que puede haber eliminado y cuando eliminamos información el sistema operativo normalmente sólo se elimina los metadatos del archivo, tales como nombre de archivo, propietario y ubicación. Los datos del usuario se mantiene en el medio de almacenamiento hasta que se sobrescribe.

Funciones

  • Analiza un disco o dispositivo de almacenamiento con la finalidad de buscar patrones de bytes que responden a las cabeceras de archivos y pies de archivos, de esta manera intentara recuperar los datos pertenecientes al archivo.
  • Puede detectar diversos tipos de archivos.
  • Soporta distintas estructura de disco y formatos de archivos para ello utiliza una base de datos con encabezados y pies de de archivos con reglas de expresión para detectar que formato puede recuperar.

Muchas distribuciones Linux tienen Scalpel en sus repositorios.

Importante: Conviene tener Scalpel actualizado para añadir nuevas expresiones regulares para los encabezados y pies de archivos.

Scalpel brinda un rendimiento de escaneo a gran velocidad, durante el rastreo lee una base de datos de encabezado y pie de los formatos de archivos y extrae los archivos que coinciden entre un conjunto de de definiciones y expresiones regulares de un dispositivo.

Formatos soportados

Scalpel soporta formatos de disco desde:

  • FAT
  • NTFS
  • ext2
  • particiones sin formato

Es útil tanto para la investigación forense digital, como para recuperación de archivos. Esta herramienta es parte de Seulkit que se integra con Autopsy

Instalación

Primero procedemos a realizar actualización del sistema

#aptitude update

Una vez actualizado el sistema procedemos a la instalación

#apt-get install scalpel

Configuración

Ubicar el archivo de configuración luego de la instalación con el siguiente comando:

#whereis scalpel scalpel: /usr/bin/scalpel /etc/scalpel /usr/share/man/man1/scalpel.1.gz

Ahora abrimos el archivo scalpel.conf ubicado en la ruta /etc/scalpel con el editor de texto de su preferencia como nano o vi.

Por defecto, todas las líneas de las expresiones se comentan con # en el archivo de configuración.

En el archivo de configuración scalpel.conf, hay algunas líneas que contienen los tipos de archivos que podemos recuperar. Por ejemplo jpg, png, doc, etc.

IMPORTANTE:

Antes de ejecutar Scalpel debemos descomentar el formato de archivo que queremos que Scalpel recupere, sino están descomentadas esos archivos serán ignorados.

En el caso de encontrar un error al ejecutar debemos proceder a crear manualmente la carpeta /etc/scalpel y dentro copiar el archivo scalpel.conf.

A continuación ejecutamos scalpel desde su carpeta, indicamos la carpeta donde se guardan los archivos recuperados./ect/scalpel/scapel.conf = ruta donde se indica que format de archivos va recuperar/dev/sda = ruta donde scapel va recuperar la información-o = es output, indica un directorio de salida, en la que desea restaurar los archivos borradosrespaldo = directorio que debe estar vacío antes de ejecutar cualquier comando de lo contrario nos dará un error.

scalpel -c /etc/scalpel/scalpel.conf /dev/sda -o respaldo

Una vez ejecutado el comando anterior, scalpel iniciará el proceso de escaneo y posteriormente en base al espacio de disco o dispositivo que se esta evaluando iniciará la recuperación de archivos, este proceso de recuperación de archivos borrados puede llevar mucho tiempo.

Créditos del artículo kimberling146.blogspot.com

You may also like

Dejar Comentario

Click to listen highlighted text!