Forense

Herramientas para tallar archivos

Herramientas para tallar archivos
En computadoras, talla de archivo Consiste en recuperar y reconstruir, reconstruir o reensamblar archivos fragmentados después de que se formateó un disco, se corrompió o dañó su sistema de archivos o partición o se eliminaron los metadatos de un archivo. Todos los archivos contienen metadatos, los metadatos significan: "datos que proporcionan información sobre otros datos". Entre más información, los metadatos de archivos contienen la ubicación y estructura de un archivo dentro del sistema de archivos y bloques físicos.  File Carving consiste en recuperar archivos incluso si sus metadatos con la información de su ubicación dentro del sistema de archivos no están disponibles.

Este artículo describe algunas de las herramientas de talla de archivos disponibles más populares para Linux, incluidas PhotoRec, Scalpel, Bulk Extractor with Record Carving, Foremost y TestDisk.

Herramienta de tallado PhotoRec

Photorec le permite recuperar medios, documentos y archivos de discos duros, discos ópticos o memorias de la cámara. PhotoRec intenta encontrar el bloque de datos de archivo del superbloque para sistemas de archivos Linux o del registro de inicio de volumen para sistemas de archivos Windows. Si no es posible, el software verificará bloque por bloque comparándolo con la base de datos de PhotoRec. Verifica todos los bloques, mientras que otras herramientas solo verifican el inicio o el final de un encabezado, es por eso que el rendimiento de PhotoRec no es el mejor en comparación con las herramientas que usan diferentes métodos de tallado como la búsqueda de encabezado de bloque, sin embargo, PhotoRec es quizás la herramienta de tallado de archivos con mejores resultados en esta lista, si el tiempo no es un problema, PhotoRec es la primera recomendación.

Si PhotoRec logra recopilar el tamaño del archivo del encabezado del archivo, comparará el resultado de los archivos recuperados con el encabezado descartando los archivos incompletos. Sin embargo, PhotoRec dejará archivos recuperados parciales cuando sea posible, por ejemplo, en el caso de archivos multimedia.

PhotoRec es de código abierto y está disponible para Linux, DOS, Windows y MacOS, puedes descargarlo gratis desde su sitio web oficial en https: // www.cgsecurity.org /.

Herramienta de tallado de bisturí:

Bisturí es otra alternativa para la talla de archivos disponible para sistemas operativos Linux y Windows. El bisturí es parte del kit de detective descrito en  Herramientas forenses en vivo artículo. Es más rápido que PhotoRec y se encuentra entre las herramientas de tallado de archivos más rápidas, pero sin el mismo rendimiento de PhotoRec. Busca en bloques o grupos de encabezados y pies de página. Entre sus características se encuentran el multiproceso para CPU multinúcleo, E / S asíncronas que aumentan el rendimiento. El bisturí se utiliza tanto en análisis forense profesional como en recuperación de datos, es compatible con todos los sistemas de archivos.

Puede obtener Scalpel para tallar archivos ejecutando en la terminal:

# git clon https: // github.com / sleuthkit / bisturí.git

Ingrese al directorio de instalación con el comando CD (Cambio de directorio):

# bisturí cd

Para instalarlo, ejecute:

# ./oreja
#  ./ configurar
# fabricar

En las distribuciones de Linux basadas en Debian, como Ubuntu o Kali, puede instalar bisturí desde el administrador de paquetes apt ejecutando:

# sudo apt install bisturí

Los archivos de configuración pueden estar en / etc / scalpel / scalpel.conf 'o / etc / bisturí.conf dependiendo de su distribución de Linux. Puede encontrar las opciones de Scalpel en la página de manual o en línea en https: // linux.morir.red / hombre / 1 / bisturí.

En conclusión, Scalpel es más rápido que PhotoRect, que tiene mejores resultados al recuperar archivos, la siguiente herramienta es BulkExtractor With Record Carving.

Extractor a granel con herramienta de talla de discos:

Como las herramientas mencionadas anteriormente Bulk Extractor con Record Carving son multihilo, es una mejora de la versión anterior "Bulk Extractor". Permite recuperar cualquier tipo de datos de sistemas de archivos, discos y volcado de memoria. Bulk Extractor con Record Carving se puede utilizar para desarrollar otros escáneres de recuperación de archivos. Admite complementos adicionales que se pueden usar para tallar, pero no para analizar. Esta herramienta está disponible tanto en modo texto para usar desde el terminal como en una interfaz gráfica fácil de usar.

Bulk Extractor with Record Carving se puede descargar desde su sitio web oficial en https: // www.kazamiya.net / es / bulk_extractor-rec.

Herramienta de talla más importante:

Lo más importante es quizás, junto con PhotoRect, una de las herramientas de talla más populares disponibles para Linux y en el mercado en general, una curiosidad es que fue desarrollada inicialmente por la Fuerza Aérea de EE. UU. Foremost tiene un rendimiento más rápido en comparación con PhotoRect, pero PhotoRec recupera mejor archivos. No existe un entorno gráfico para Foremost, se usa desde el terminal y busca en encabezados, pies de página y estructura de datos.  Es compatible con imágenes de otras herramientas como dd o Encase para Windows.

Foremost admite cualquier tipo de tallado de archivos, incluido jpg, gif, png, bmp, avi, exe, mpg, wav, riff, wmv, mov, pdf, viejo, Doc, Código Postal, rar, htm, y cpp. Lo más importante viene por defecto en distribuciones forenses y orientadas a la seguridad como Kali Linux con una suite para herramientas forenses.

En sistemas Debian, Foremost se puede instalar usando el administrador de paquetes APT, en Debian o en una distribución basada en Linux, ejecute:

# sudo apt install ante todo

Una vez instalado, consulte la página de manual para ver las opciones disponibles o consulte en línea en https: // linux.morir.net / man / 1 / ante todo.
A pesar de ser un programa en modo texto, Foremost es fácil de usar para tallar archivos.

TestDisk:

TestDisk es parte de PhotoRec, puede reparar y recuperar particiones, sectores de arranque FAT32, también puede reparar sistemas de archivos NTFS y Linux ext2, ext3, ext3 y restaurar archivos de todos estos tipos de particiones. TestDisk puede ser utilizado tanto por expertos como por nuevos usuarios facilitando el proceso de recuperación de archivos para los usuarios domésticos, está disponible para Linux, Unix (BSD y OS), MacOS, Microsoft Windows en todas sus versiones y DOS.

TestDisk se puede descargar de su sitio web oficial (el de PhotoRec) en https: // www.cgsecurity.org / wiki / TestDisk.

PhotoRect tiene un entorno de prueba para que practique la talla de archivos, puede acceder a https: // www.cgsecurity.org / wiki / TestDisk_and_PhotoRec_in_various_digital_forensics_testcase # Prueba_su_conocimiento.

La mayoría de las herramientas enumeradas anteriormente están incluidas en las distribuciones de Linux más populares centradas en la informática forense, como la herramienta forense en vivo Deft / Deft Zero, la herramienta forense en vivo CAINE y probablemente también en el forense en vivo de Santoku, consulte esta lista para obtener más información https: // linuxhint.com / live_forensics_tools /.

Espero que este tutorial sobre herramientas de tallado de archivos le haya resultado útil. Siga siguiendo LinuxHint para obtener más consejos y actualizaciones sobre Linux y redes.

Juegos Cómo impulsar FPS en Linux?
Cómo impulsar FPS en Linux?
FPS significa Cuadros por segundo. La tarea de FPS es medir la velocidad de fotogramas en reproducciones de video o actuaciones de juegos. En palabras...
Juegos Los mejores juegos de Oculus App Lab
Los mejores juegos de Oculus App Lab
Si es propietario de un visor Oculus, debe estar informado sobre la descarga lateral. Sideloading es el proceso de instalación de contenido que no es ...
Juegos Los 10 mejores juegos para jugar en Ubuntu
Los 10 mejores juegos para jugar en Ubuntu
La plataforma Windows ha sido una de las plataformas dominantes para juegos debido al gran porcentaje de juegos que se están desarrollando hoy para ad...