Infra - Linux
Foremost e Scalpel - Recuperação de arquivos
foremost e scalpel não estão interessados no sistema de arquivos subjacente. Eles simplesmente esperam que os blocos de dados dos arquivos residam sequencialmente na imagem que está sob investigação.
por Rubens Queiroz de Almeidaforemost e scalpel não estão interessados no sistema de arquivos subjacente. Eles simplesmente esperam que os blocos de dados dos arquivos residam sequencialmente na imagem que está sob investigação. As ferramentas encontrarão imagens em dumps gerados com o comando dd, dumps de memória RAM, ou arquivos de swap. Com esta ferramenta é possível identificar e reconstruir arquivos em partições corrompidas, em espaço não alocado, mesmo após a instalação de um novo sistema operacional, desde que os blocos de dados necessários ainda existam.
Aplicações forenses para recuperação de dados
Foremost é um programa de console para recuperação de dados a partir de seus cabeçalhos, rodapés e estruturas de dados internas. Este processo é conhecido como extração de dados (data carving). O utilitário Foremost pode trabalhar em arquivos de imagens, tais como as imagens geradas pelo comando dd, Safeback, Encase etc ou diretamente em uma partição ou disco.
Os cabeçalhos e rodapés pode ser especificados em um arquivo de configuração ou você pode usar diretivas de linha de comando para especificar tipos de arquivos nativos. Estes tipos de arquivos nativos analisam as estruturas de dados de um formato de arquivo, permitindo que a recuperação seja feita de forma mais rápida e confiável.
Instalação e uso do comando Foremost no Ubuntu
Foremost é um programa de console para recuperação de dados a partir de seus cabeçalhos, rodapés e estruturas de dados internas. Este processo é conhecido como extração de dados (data carving).
O utilitário Foremost pode trabalhar em arquivos de imagens, tais como as imagens geradas pelo comando dd, Safeback, Encase etc ou diretamente em uma partição ou disco. Os cabeçalhos e rodapés pode ser especificados em um arquivo de configuração ou você pode usar diretivas de linha de comando para especificar tipos de arquivos nativos. Estes tipos de arquivos nativos analisam as estruturas de dados de um formato de arquivo, permitindo que a recuperação seja feita de forma mais rápida e confiável.
Instalação do Foremost no Ubuntu:
$ sudo aptitude install foremost
Usando o Foremost
Sintaxe:
foremost [-h][-V][-d][-vqwQT][-b<blocksize>][-o<dir>] [-t<type>][-s<num>][-i<file>]
Opções disponíveis:
-h | exibe a tela de ajuda e sai |
-V | exibe a tela de informações de copyright e sai |
-d | ativa a detecção indireta de blocos, funciona em sistemas Unix |
-T | faz a marcação do timestamp no diretório de saída para que você não precise apagar este diretório ao executar o programa diversas vezes |
-v | habilita o modo verboso. Gera mais informações relativas ao estado atual do programa. As informações são exibidas na tela e este modo é altamente recomendável. |
-q | Habilita o modo rápido. Neste modo de operação, apenas o início de cada setor é investigado em busca de cabeçalhos que casem com o padrão pesquisado. Ou seja, o cabeçalho é investigado apenas até o comprimento do cabeçalho mais longo. O restante do setor, normalmente cerca de 500 bytes, é ignorado. Este modo torna a execução do comando consideravelmente mais rápida, mas pode fazer com que você perca arquivos que estejam dentro de outros arquivos. Por exemplo, no modo rápido você não conseguirá descobrir imagens JPEG que estejam embutidas em documentos Microsoft Word. O modo rápido não deve ser usado ao se examinar partições do tipo NTFS. Como o NTFS armazena pequenos arquivos dentro da Master File Table, estes arquivos não serão detectados em uma análise rápida. |
-Q | Habilita o modo quieto. A maior parte das mensagens de erro serão suprimidas |
-w | Habilita o modo de auditoria apenas. Nenhum arquivo será extraído. |
-a | Habilita a escrita de todos os cabeçalhos, não realiza detecção de erros em arquivos corrompidos. |
-b | Permite especificar o tamanho de bloco que será usado pelo comando foremost. Isto é relevante para especificar o nome de arquivos e buscas rápidas. O default é 512. Por exemplo: foremost -b 1024 imagem.dd. |
-k número | Permite que você especifique o tamanho a ser usado pelo comando foremost. Esta opção pode aumentar a velocidade de processamento se você possui memória RAM suficiente para conter a imagem inteira. Reduz a verificação que ocorre entre o processamento de blocos de dados do buffer. Por exemplo, se você tiver menos de 500 MB de RAM: foremost -k 500 image.dd |
-i arquivo | que será usado como entrada de dados. Se não for especificado nenhum arquivo, será usada a entrada padrão (stdin). |
-o diretório | Arquivos recuperados serão escritos no diretório especificado |
-c arquivo | Define o arquivo de configuração a ser usado. Se não for especificado, o arquivo foremost.conf será usado. O formato do arquivo de configuração é descrito no arquivo default de configuração distribuído com o programa. Veja a seção Arquivo de Configuração abaixo para saber mais. |
-s número | pula o número de blocos especificados antes de começar a busca por cabeçalhos no arquivo de entrada. Exemplo: foremost -s 512 -t jpeg -i /dev/hda1 |
Exemplos de uso do comando foremost
Buscar arquivos jpeg pulando os primeiros 100 blocos:
$ sudo foremost -s 100 -t jpg -i image.dd
Gerar apenas o arquivo de auditoria, e imprimir para a tela (modo verboso)
$ sudo foremost -av image.dd
Buscar todos os tipos de arquivos definidos:
$ sudo foremost -t all -i image.dd
Buscar arquivos no formato gif e pdf
$ sudo foremost -t gif,pdf -i image.dd
Buscar arquivos de escritório e arquivos jpeg em uma partição Unix, usando o modo verboso:
$ sudo foremost -v -t ole,jpeg -i image.dd
Executar a operação default:
$ sudo foremost image.dd
image.dd significa que você precisa fornecer o ponto de montagem, por exemplo, /dev/sda1 ou /dev/sda2.
O comando scalpel - Instalação e uso
Scalpel é um recuperador de arquivos frugal, de alta performance, que lê um banco de dados de definições de cabeçalho e rodapé e extrai os arquivos desejados de um conjunto de arquivos de imagem ou dispositivos raw. Scalpel é independente de tipo de partição e consegue extrair arquivos de partições FATx, NTFS, ext2/3 ou partições raw. É útil tanto para investigações forenses como para recuperação de arquivos.
Instalação em sistemas Ubuntu
$ sudo aptitude install scalpel
Usando o Scalpel
Por padrão, todos os tipos de arquivos no banco de dados (/etc/scalpel/scalpel.conf) estão comentados. Para especificar quais tipos de arquivos você deseja extrair, você precisa editar o arquivo e descomentar as linhas desejadas.
$ sudo scalpel ARQUIVO -o Diretório
ARQUIVO é o arquivo de imagem a ser analisada (ou dispositivo) e Diretório é o diretório onde serão gravados os arquivos extraídos.
- Login automático com SSH e Automatização da instalação (deploy) e atualização de sites com GitLinux
- O que é Ar.DroneLinux
- Criando aplicativos para o iPhone no Linux (sem Xcode e MacOS X)Linux
- Blu-ray: Reproduzindo, copiando, ripando e assistindo no GNU/LinuxLinux
- Utilize seu iPad/iPhone/IPod Touch na plataforma GNU/LinuxLinux