Recuperar archivos borrados con Scalpel

Hoy inauguramos la sección forense y no tanto (dedicada a la recuperación de archivos) con Scalpel.

Scalpel es de esas utilidades en GNU/Linux, que nos permite recuperar los archivos que hemos borrado accidentalmente en nuestro equipo.

Scalpel (“bisturí”) como su nombre indica, nos permite diseccionar los archivos,  utilizando una técnica que se basa  en los encabezados, pies de página y estructura interna de los mismos, que le facilita acceder a la de la base de datos de bloques donde están los archivos borrados,identificarlos y recuperarlos casi al instante,lo que le convierte en una herramienta muy útil tanto para la investigación forense digital, como a la hora de restaurar nuestros datos.

Es una técnica conocida como File Carving (supongo que la traducción será “talla o tamaño de archivo” o algo así!) que además tiene la ventaja de poder recuperar datos, independientemente del sistema de archivos utilizado: FAT, NFTS, EXT, HFS+ etc…pero mejor no nos enrollarnos con la teoría, vamos a ir al grano y lo primero que tenemos que hacer es…

La instalación es sencilla:

 

 

Después de instalarlo necesitamos editar el archivo de configuración (lo podéis encontrar en esta ruta /etc/scalpel/scalpel.conf),  y descomentar (quitar el símbolo #) las lineas correspondientes a las extensiones que nos interesa recuperar.

En mi caso voy a intentar recuperar unos archivos .jpg en mi pendrive, así que descomento la linea que corresponde a esa extensión.

 

scalpel_2-0-2_config

ahora solo bastaría ejectuar el comando

 

o sea que nos quedaría:

y ya tendremos por arte de magia todos los archivos que pudimos recuperar en la carpeta prueba.

Verdaderamente esta herramienta es muy interesante sobre todo cuanto nuestros clientes y amigos pierden info que en muchos de los casos es recuperable.

 

 

 

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos necesarios están marcados *