Comandos interesantes, foremost

Uno de los grandes problemas que tenemos en GNU/Linux cuando se trata de análisis forense son las herramientas con las que se puede contar. No suelen ser muchas y la calidad de las mismas, en comparación con las de Windows, puede quedar en algunos cosas en entredicho.
foremost es una aplicación que permite la recuperación de archivos borrados (no de forma segura) de un dispositivo, ayudando así a recuperar evidencias de discos, pen drive's, etc.
Ya si no pensamos en herramientas forenses, sino simplemente en utilidades, foremost es una estupenda herramienta para recuperar archivos borrados desde nuestro sistema operativo favorito.
Vamos a continuación a ver cómo poder usarlo, de forma muy sencilla.
  • Instalación
    foremost está disponible en sistemas debian en los repositorios oficiales, por lo tanto para instalarlo,
    shell> apt-get install foremost
    
  • Todas sus posibilidades
    Como todos los buenos programas de Linux, tiene un manual que ayudará a saber todas las opciones y cómo usar cada uno. Para consultarlo,
    shell> man foremost
    
  • Ejemplo de uso
    • Ejemplo 1
      Este es un ejemplo muy sencillo de uso, que permitirá recuperar de un pen (/dev/sdf1) todos los archivos jpg que estuvieran en él, dejando los recuperados en /tmp/recovery.
      shell> foremost -t jpg -i /dev/sdf1 -o /tmp/recovery
      
    • Ejemplo 2
      Este segundo ejemplo ya tiene un poco más de interés, ya que trabajamos sobre una imagen de un dispositivos (image.dd) realizada con el comando dd. Y vamos a recuperar de ella todos los archivos borrados.
      Hay que destacar la potencia del comando foremost, que permite trabajar con copias de dispositivos, dejando así siempre el dispositivo original sin alterar.
      shell> foremost -t all -i image.dd -o /tmp/recovery
      


No hay comentarios :

Publicar un comentario

Formulario de contacto

Nombre

Correo electrónico *

Mensaje *

Últimos comentarios