Scalpel es un programa Open Source para recuperar archivos borrados basado originalmente en foremost pero mucho mas rápido y eficiente.Scalpel utiliza una técnica llamada In-Place File Carving. El File Carving es una conocida técnica para recuperar archivos borrados que consiste en identificar una secuencia de caracteres que algunos archivos utilizan en su comienzo y en su final. Por ejemplo, un archivo JPEG utiliza la secuencia "\xff\xd8\xff\xe0\x00\x10" en su comienzo, y la secuencia "\xff\xd9" en su final.
El File Carving es efectivo pero consume mucho espacio y tiempo, ya que copia todos los datos desde la secuencia de comienzo al final en un nuevo archivo, mientras que el In-Place File Carving simplemente loguea las posiciones de comienzo y final de los archivos, también lleva cuenta de los sectores que ya han sido asignados a un archivo, y permite acceder los archivos encontrados a través de un sistema de archivos virtual.
Scalpel puede ser compilado en Linux, Windows o Mac OS X de una forma muy sencilla. Para utilizarlo debemos indicarle cual es el archivo de configuración, en donde guarda las firmas de comienzo y final de los archivos, y cual es la imagen del disco que vamos a utilizar.
Hay que tener en cuenta que debemos quitar los comentarios de las firmas que queremos buscar en el archivo de configuración, y previamente debemos de haber realizado la imagen de un disco o una partición.
Para realizar la imagen de un disco pueden ver mi post "Adquisición de un sistema Windows sobre la red utilizando DD y Netcat".
Para realizar la imagen de un disco pueden ver mi post "Adquisición de un sistema Windows sobre la red utilizando DD y Netcat".
No hay comentarios.:
Publicar un comentario