você está aqui: Home  → Arquivo de Mensagens

Foremost e Scalpel - Recuperação de arquivos

Colaboração: Rubens Queiroz de Almeida

Data de Publicação: 28 de junho de 2010

Este artigo foi traduzido e adaptado a partir do artigo Recover Deleted Files with Foremost,scalpel in Ubuntu, publicado no site UbuntuGeek. A versão traduzida foi publicada originalmente no site SegurancaLinux.com.

foremost e scalpel não estão interessados no sistema de arquivos subjacente. Eles simplesmente esperam que os blocos de dados dos arquivos residam sequencialmente na imagem que está sob investigação. As ferramentas encontrarão imagens em dumps gerados com o comando dd, dumps de memória RAM, ou arquivos de swap. Com esta ferramenta é possível identificar e reconstruir arquivos em partições corrompidas, em espaço não alocado, mesmo após a instalação de um novo sistema operacional, desde que os blocos de dados necessários ainda existam.

Aplicações forenses para recuperação de dados

Foremost é um programa de console para recuperação de dados a partir de seus cabeçalhos, rodapés e estruturas de dados internas. Este processo é conhecido como extração de dados (data carving). O utilitário Foremost pode trabalhar em arquivos de imagens, tais como as imagens geradas pelo comando dd, Safeback, Encase etc ou diretamente em uma partição ou disco.

Os cabeçalhos e rodapés pode ser especificados em um arquivo de configuração ou você pode usar diretivas de linha de comando para especificar tipos de arquivos nativos. Estes tipos de arquivos nativos analisam as estruturas de dados de um formato de arquivo, permitindo que a recuperação seja feita de forma mais rápida e confiável.

Instalação e uso do comando Foremost no Ubuntu

Foremost é um programa de console para recuperação de dados a partir de seus cabeçalhos, rodapés e estruturas de dados internas. Este processo é conhecido como extração de dados (data carving).

O utilitário Foremost pode trabalhar em arquivos de imagens, tais como as imagens geradas pelo comando dd, Safeback, Encase etc ou diretamente em uma partição ou disco. Os cabeçalhos e rodapés pode ser especificados em um arquivo de configuração ou você pode usar diretivas de linha de comando para especificar tipos de arquivos nativos. Estes tipos de arquivos nativos analisam as estruturas de dados de um formato de arquivo, permitindo que a recuperação seja feita de forma mais rápida e confiável.

Instalação do Foremost no Ubuntu:

$ sudo aptitude install foremost

Usando o Foremost

Sintaxe:

  foremost  [-h][-V][-d][-vqwQT][-b<blocksize>][-o<dir>] [-t<type>][-s<num>][-i<file>]

Opções disponíveis:

-h exibe a tela de ajuda e sai
-V exibe a tela de informações de copyright e sai
-d ativa a detecção indireta de blocos, funciona em sistemas Unix
-T faz a marcação do timestamp no diretório de saída para que você não precise apagar este diretório ao executar o programa diversas vezes
-v habilita o modo verboso. Gera mais informações relativas ao estado atual do programa. As informações são exibidas na tela e este modo é altamente recomendável.
-q Habilita o modo rápido. Neste modo de operação, apenas o início de cada setor é investigado em busca de cabeçalhos que casem com o padrão pesquisado. Ou seja, o cabeçalho é investigado apenas até o comprimento do cabeçalho mais longo. O restante do setor, normalmente cerca de 500 bytes, é ignorado. Este modo torna a execução do comando consideravelmente mais rápida, mas pode fazer com que você perca arquivos que estejam dentro de outros arquivos. Por exemplo, no modo rápido você não conseguirá descobrir imagens JPEG que estejam embutidas em documentos Microsoft Word. O modo rápido não deve ser usado ao se examinar partições do tipo NTFS. Como o NTFS armazena pequenos arquivos dentro da Master File Table, estes arquivos não serão detectados em uma análise rápida.
-Q Habilita o modo quieto. A maior parte das mensagens de erro serão suprimidas
-w Habilita o modo de auditoria apenas. Nenhum arquivo será extraído.
-a Habilita a escrita de todos os cabeçalhos, não realiza detecção de erros em arquivos corrompidos.
-b Permite especificar o tamanho de bloco que será usado pelo comando foremost. Isto é relevante para especificar o nome de arquivos e buscas rápidas. O default é 512. Por exemplo: foremost -b 1024 imagem.dd.
-k número Permite que você especifique o tamanho a ser usado pelo comando foremost. Esta opção pode aumentar a velocidade de processamento se você possui memória RAM suficiente para conter a imagem inteira. Reduz a verificação que ocorre entre o processamento de blocos de dados do buffer. Por exemplo, se você tiver menos de 500 MB de RAM: foremost -k 500 image.dd
-i arquivo que será usado como entrada de dados. Se não for especificado nenhum arquivo, será usada a entrada padrão (stdin).
-o diretório Arquivos recuperados serão escritos no diretório especificado
-c arquivo Define o arquivo de configuração a ser usado. Se não for especificado, o arquivo foremost.conf será usado. O formato do arquivo de configuração é descrito no arquivo default de configuração distribuído com o programa. Veja a seção Arquivo de Configuração abaixo para saber mais.
-s número pula o número de blocos especificados antes de começar a busca por cabeçalhos no arquivo de entrada. Exemplo: foremost -s 512 -t jpeg -i /dev/hda1

Exemplos de uso do comando foremost

Buscar arquivos jpeg pulando os primeiros 100 blocos:

  $ sudo foremost -s 100 -t jpg -i image.dd

Gerar apenas o arquivo de auditoria, e imprimir para a tela (modo verboso)

  $ sudo foremost -av image.dd

Buscar todos os tipos de arquivos definidos:

  $ sudo foremost -t all -i image.dd

Buscar arquivos no formato gif e pdf

  $ sudo foremost -t gif,pdf -i image.dd

Buscar arquivos de escritório e arquivos jpeg em uma partição Unix, usando o modo verboso:

  $ sudo foremost -v -t ole,jpeg -i image.dd

Executar a operação default:

  $ sudo foremost image.dd

image.dd significa que você precisa fornecer o ponto de montagem, por exemplo, /dev/sda1 ou /dev/sda2.

O comando scalpel - Instalação e uso

Scalpel é um recuperador de arquivos frugal, de alta performance, que lê um banco de dados de definições de cabeçalho e rodapé e extrai os arquivos desejados de um conjunto de arquivos de imagem ou dispositivos raw. Scalpel é independente de tipo de partição e consegue extrair arquivos de partições FATx, NTFS, ext2/3 ou partições raw. É útil tanto para investigações forenses como para recuperação de arquivos.

Instalação em sistemas Ubuntu

  $ sudo aptitude install scalpel

Usando o Scalpel

Por padrão, todos os tipos de arquivos no banco de dados (/etc/scalpel/scalpel.conf) estão comentados. Para especificar quais tipos de arquivos você deseja extrair, você precisa editar o arquivo e descomentar as linhas desejadas.

  $ sudo scalpel ARQUIVO -o Diretório

ARQUIVO é o arquivo de imagem a ser analisada (ou dispositivo) e Diretório é o diretório onde serão gravados os arquivos extraídos.



 

 

Veja a relação completa dos artigos de Rubens Queiroz de Almeida

Opinião dos Leitores

Seja o primeiro a comentar este artigo
*Nome:
Email:
Me notifique sobre novos comentários nessa página
Oculte meu email
*Texto:
 
  Para publicar seu comentário, digite o código contido na imagem acima
 


Powered by Scriptsmill Comments Script