Recuperar archivos con kali linux

Cómo recuperar archivos borrados en kali linux|usb|photorec

En este artículo, repasaré cómo realizar un análisis forense utilizando el sistema operativo Kali Linux. Explicaré cómo recuperar un archivo borrado de una unidad USB, así como los pasos a seguir para realizar un examen forense. No soy un experto en este campo, pero estaba buscando conocimiento y aprender los pasos básicos que se deben seguir para producir un análisis exitoso, ya sea para nuestro propio uso o para presentar en la corte. Este post fue escrito porque estaba buscando detalles sobre algunos recursos que son ampliamente utilizados para estas actividades y que ya están instalados en Kali Linux.
Como se ve en la imagen, primero aparece nuestro HDD y luego nuestro ordenador, que se encuentra en /dev/sdb.
Lo primero que hacemos una vez que tenemos la ruta es crear un hash de la memoria USB. Un hash es un algoritmo matemático que convierte cualquier bloque arbitrario de datos en un nuevo conjunto de caracteres con una longitud fija. El valor hash de salida siempre tendrá la misma longitud, independientemente de la longitud de los datos de entrada. Dado que un hash nunca se replica, puede utilizarse para demostrar que el ordenador o los datos que contiene no han sido manipulados o sobrescritos. El siguiente comando se utilizará para producir el hash.

Recuperar archivos borrados en kali linux (usb)| foremost|mk007

En /etc/scalpel/scalpel.conf, debemos especificar ciertos tipos de archivos que Scalpel debe buscar antes de poder utilizarlo. Ambas formas de archivo están comentadas por defecto. En este ejemplo quiero buscar archivos PDF borrados, así que descomento las siguientes líneas:
La opción -o especifica el directorio donde Scalpel guardará los archivos recuperados – en este caso, output, que es un subdirectorio del directorio desde el que estamos ejecutando el comando scalpel; el directorio no debe existir o scalpel se negará a iniciarse.
Debe borrar/renombrar el directorio actual output/ (porque Scalpel no se iniciará si el directorio output ya existe) o especificar otro directorio output antes de ejecutar Scalpel de nuevo desde el mismo directorio.

Cómo recuperar archivos borrados en linux | linux

Un software de consola llamado Foremost recuperará archivos basándose en sus cabeceras, pies de página y estructuras de datos internas. Data carving es un término utilizado para describir este método. Foremost puede operar con archivos de imagen generados por dd, Safeback, Encase y otros programas, así como directamente en una unidad.
Puede definir las cabeceras y los pies de página en un archivo de configuración o mediante el uso de interruptores de línea de comandos para especificar los tipos de archivo incorporados. Estas formas incorporadas examinan las estructuras de datos de un formato de archivo, lo que permite una recuperación más estable y rápida.
Una imagen forense de un dispositivo de destino, como una copia en bits del disco duro de un ordenador, se utiliza habitualmente en las investigaciones digitales y en los análisis forenses. Sin embargo, se requiere un conocimiento profundo de los datos que se encuentran dentro del conjunto de datos para evaluar correctamente las herramientas de file carving y producir resultados fiables.
¿Qué es el “Data Carving” y cómo funciona?
El tallado de datos es el oscuro arte de poner orden en una situación que de otro modo sería caótica. Según la teoría, se toma una mancha de datos electrónicos, se escanea en busca de firmas de archivos que puedan significar documentos y correos electrónicos creados por el usuario y, a continuación, se “tallan” los datos de la mancha en la mejor estimación del software sobre el aspecto que tenía el archivo.

  Como recuperar los contacto de mi celular samsung galaxy

¡recuperación de todos los datos borrados con kali linux !

extundelete es un programa que le ayuda a restaurar archivos borrados de una partición ext3 o ext4. En distribuciones de Linux como Mint, Mageia y Ubuntu, los sistemas de archivos ext3 y ext4 son los más comunes por defecto. extundelete intenta recuperar un archivo que ha sido eliminado de una partición utilizando la información contenida en el diario de la partición. No hay garantía de que se recupere un solo archivo, así que asegúrate de que tienes un sistema de copia de seguridad sólido, o al menos configura uno después de haber recuperado tus archivos.