El uso de herramienta FOREMOST es demasiado util para extraer todos los ficheros de un tipo particular , analizándolo por sus headers , footers y estructuras internas . En otras palabras poder recuperar cualquier tipo de archivo borrado
-El comando es el siguiente:
foremost -t {tipo de archivo} -i {imagen o copia que se analiza} -o {ruta donde se almacenara}
Ejemplo:
Imagen 1.1
Paso 1: Como se muestran en la imagen 1.1 el primer comando que se ingresa es fdisk -l este comando permite ver los dispositivos de almacenamiento por lo regular los /dev/sda pertenecen a unidades de disco duro en la imagen 1.2 se muestra la nomenclatura de los dispositivos como USB es dev/sdb.
Imagen 1.2
Como se hacia referencia aca se muestra nuestro dispositivo USB con el comando fdisk -l con la nomenclatura /dev/sdb : 7.2gb como se observa que nos dice el tamaño de la unidad. 
Imagen 1.3
Paso 2: Se ingresa el comando sudo foremost -t jpg -i /dev/sdc -o Desktop/prueba/respaldo_usb cuando apretemos enter nos aparecerá el mensaje processing y esperemos a que se termine de cargar como se muestra en la imagen en 1.4
Imagen 1.4
Por ultimo iremos a la carpeta y nos aparecerán los archivos recuperados .Dentro de la carpeta nos aparecerán dos archivos una carpeta que contiene los archivos y la otra contiene el archivo de texto que sirve para investigaciones de forense digital. se muestra en la imagen 1.5.
----------------------------------------------------------------------------------------------------------------------
Extensiones diferente para la linea de comandos. --Donde esta jpg se puede modificar por otro tipo de archivo como .doc , xls , png ,all.
--Donde esta /dev/sdc es la ruta de donde extraeremos los archivos.
--Donde esta Forense es la ruta en donde se guardaran en el ejemplo se llama asi la carpeta y no se pone la ruta entera ya que esta en la raiz pero puede ser de esta manera Desktop/prueba y asignable la ruta donde se quieran guardar los archivos recuperados.
0 comentarios:
Publicar un comentario