ochobitshacenunbyte

Free Software, GNU y Linux

Rescate de datos en Linux con Foremost

por · 4 abril, 2019

Quien más quien menos ha tenido un despiste y ha borrado lo que no debía. En fin, esta entrada es encontrar la solución a este inconveniente. Para ello hablamos de la herramienta Foremost, una herramienta forense especializada en la recuperación de información borrada.

Sin duda Foremost nos puede ser de gran ayuda, como herramienta de línea de comandos, que nos permite recuperar información de discos duros, dispositivos externos, como USB o tarjetas SD.

La herramienta fue desarrollada originalmente por el gobierno de los Estados Unidos, tal y como indica en su página de man. Aún así esta liberada utilizando una licencia de software libre.

Su diseño está inspirado en un programa llamado CarvThis, original de MS-DOS, escrito en el Laboratorio Forense de Informática de Defensa en el año 1999

¿Cómo funciona Foremost?

La herramienta hace uso de una técnica llamada data mining, que recupera los elementos utilizando sus encabezados, pies de página y escritura interno de estos, lo que permite recuperar un largo lista de formatos, que por defecto son:

  1. jpg, gif, png, bmp, avi, tiff, mp4, exe, mpg, wav, asf, wma, mp3,
  2. fws, riff, wmv, mov, pdf, ole, doc, docx, xls, xlsx. ppt, pptx, zip, 
  3. rar, html, cpp, java, art,pst, ost, dbx, idx, mbx, wpc, pgp, txt, 
  4. rpm, dat, etc.

Si deseamos añadir más formatos, una vez instalada, debemos modificar el fichero de configuración ubicado en «/etc/foremost.conf»

Instalación de Foremost en GNU/Linux

La herramienta está disponible a través del repositorio Repoforge.org para sistemas con paquetería RPM. En Debian y derivados como Ubuntu o Linux Mint, tenemos la herramienta en los repositorios oficiales.

La instalación en Debian, Ubuntu y derivados

  1. sudo apt-get install foremost

Para habilitar el repositorio en nuestro Centos 7:

  1. rpm -Uvh \
  2. http://repository.it4i.cz/mirrors/repoforge/redhat/el7/en/x86_64/rpmforge/RPMS/rpmforge-release-0.5.3-1.el7.rf.x86_64.rpm

Actualizamos e instalamos:

  1. apt update
  2. yum install foremost

Trabajando con Foremost

Para recuperar los ficheros deberemos utilizar el siguiente formato: primero el tipo de fichero (aunque no es imprescindible), después la partición donde estaban ubicados los ficheros y por último el lugar donde los queremos recuperar:

  1. foremost -v -t jpg -i /dev/sdb1 -o /Recuper

La carpeta donde queremos que se ubique la información recuperada debe de estar vacía antes de lanzar el comando. Además, se recomienda que esté en un disco separado.

La información, una vez recuperada se encontrará en una subcarpeta, en el caso de nuestro ejemplo llamada “jpg»

Muestra de uso de Foremost

Una vez finalizado el proceso:

Fin del proceso de recuperación

Una vez finalizado el proceso, podemos ver las imágenes recuperadas:

Imágenes en formato JPG recuperadas con Foremost

Conclusión

Un programa más para nuestra caja de herramientas para sistemas GNU/Linux. La verdad es que sorprende la información que pueda llegar a recuperar.

No quiero dejar de mencionar otras webs que me he encontrado en el camino, buscando información de esta herramienta, muchas de ellas colegas, como Lamiradadelreplicante.com

Etiquetas: