Tecnología

Inicio

Cómo obtener una lista de archivos borrados en Linux

April 20

Cómo obtener una lista de archivos borrados en Linux


En algún momento, todo el mundo borra accidentalmente foto errónea de la tarjeta de memoria de una cámara, pierde archivos importantes de una unidad flash, o se vacía la papelera justo antes de darse cuenta de que había algo importante en ella. Aunque no todo es eliminado recuperables, forenses Linux libremente disponibles herramientas como el Sleuth Kit puede ayudar a identificar lo que ha perdido y tal vez ayudará a obtener los archivos de nuevo.

Instrucciones

Crear lista de archivos borrados

1 Descargar e instalar el kit Sleuth (TSK) utilizando el sistema de gestión de paquetes de su distribución Linux o desde la línea de comandos escribiendo: "sudo apt-get install sleuthkit" (o el comando equivalente para su versión de Linux).

Si Sleuth Kit no está disponible en los repositorios, puede descargarlo de la página de inicio Sleuth Kit e instalarlo siguiendo las instrucciones indicadas.

2 Identificar la partición o dispositivo que desea recuperar los archivos. Si conoce el punto de montaje, esto será suficiente. De lo contrario, ejecute "mount-l" desde la línea de comando para obtener una lista de todos los dispositivos montados y sus puntos de montaje. La ubicación del dispositivo se verá algo como: "/ dev / sdb1". Lo necesitará en los pasos posteriores.

3 Identificar el sistema de archivos usado por el dispositivo. Tipo "sudo df -T <dispositivo de localización>" de la línea de comandos.

Una vez conocido el tipo de sistema de archivos, ejecute "FLS -f lista" para encontrar el Kit de palabras clave Sleuth utiliza para ese sistema de archivos. Para la grasa, extensión, y los sistemas de archivos UFS, utilice la palabra clave de detección automática de tener Sleuth Kit resuelve los detalles.

4 Generar un registro de los archivos borrados mediante la ejecución del siguiente desde la línea de comandos: "sudo FLS -f <archivo de palabras clave del sistema> -d -r -v -p <dispositivo / partición ubicación>> <archivo de escribir en>." Por ejemplo, una recuperación ext3 en / dev / sdb1 escrito a deleted_files.txt en el escritorio se vería así: "sudo FLS-f ext -d -r -v -p / dev / sdb1> ~ / Desktop / deleted_files.txt. "

Con este comando, le está diciendo FLS para encontrar los archivos borrados (-d), de forma recursiva mostrar directorios (-R), mostrar la ruta completa de los archivos (-p), y para ejecutarse en modo prolijo (-v) para que pueda ver lo que está pasando.

Tenga en cuenta que este comando va a escanear toda una partición, por lo que grandes particiones o dispositivos pueden tardar un tiempo en completarse.

5 Lea la lista generada de los archivos eliminados. Hay tres columnas importantes que usted debe prestar atención. La primera muestra si el archivo es un archivo normal (r) o un directorio (d). El segundo es el i-nodo donde se encuentra el archivo (necesitará esto si desea recuperar el archivo). La última columna es el nombre del archivo eliminado.

6 (Opcional) Recuperar archivos. Una vez que tenga una lista de los archivos eliminados y sus correspondientes nodos-i, se puede recuperar archivos individuales utilizando la herramienta icat incluidos con el Kit detective.

Simplemente escriba lo siguiente desde la línea de comandos: "sudo icat -f <palabra clave sistema de archivos> -r -s <ubicación del dispositivo / partición> <i-nodo>> <salida de destino>."

El destino de salida es donde se escribirá el archivo recuperado a. Se debe incluir tanto el directorio (que debe ser en un dispositivo o partición distinta de la que contiene el archivo borrado) y el nuevo nombre de archivo, que puede o no ser el mismo que el archivo borrado.

Consejos y advertencias

  • Si va a hacer más extensas tareas forenses, considere hacer una imagen de espejo de la partición o dispositivo con el que desea trabajar y trabajar con esa imagen para eliminar cualquier riesgo de pérdida de datos. El comando dd es muy útil para crear imágenes de disco.