* Imagenes de instalación de las versiones estables para Mageia y OpenMandriva.

OpenMandriva: Mageia (Mageia 9) 20/Agosto/2023 - Anuncio, Descargas.

Blogdrake recomienda descargar las imágenes de instalación (iso) vía torrent para evitar corrupción de datos, aprovechar mejor su ancho de banda y mejorar la difusión de las distribuciones.

Como recuperar archivos con Scalpel y Foremost

A Scapel y Foremost no les importa el sistema de archivos, simplemente buscan bloques de datos consecutivos en la imagen que investigan.

Las herramientas encuentran imágenes en volcados dd, RAM o archivos swap. Le ayudaran a identificar y reconstruir archivos en sistemas de archivos corruptos, con falta de espacio o incluso tras la instalación de un nuevo sistema operativo mientras los bloques de datos sigan existiendo.

Scalpel

Scalpel es un rápido buscador de archivos que lee una base de datos de encabezados y finales (headers y footers) y extrae los archivos encontrados de un archivo de imagen o desde un dispositivo en crudo (RAW).

Scalpel es independiente del sistema de archivos y puede trabajar con FATx, NTFS, ext2/3 y particiones en crudo (RAW). Es muy util tanto en investigación forense como en recuperación de archivos. Se mostrara como se puede usar Scalpel para recuperar archivos.

Se descarga Scalpel desde su pagina, se extrae el contenido del tar.gz y en una consola nos dirigimos al directorio que se crea.

cd lugar-en-que-puse-scalpel/scalpel-1.60

Nota: lugar-en-que-puse-scalpel , se cambia por el directori en que se extrajo el tar.gz, en mi caso mi home

Compilamos Scalpel

make
gcc -Wall -O2 -D__LINUX -c helpers.c
gcc -Wall -O2 -D__LINUX -c scalpel.c
gcc -Wall -O2 -D__LINUX -c files.c
files.c:133: aviso: se definió ‘valid_offset’ pero no se usa
gcc -Wall -O2 -D__LINUX -c dig.c
gcc -Wall -O2 -D__LINUX -c prioque.c
gcc -Wall -O2 -D__LINUX -c base_name.c
gcc -Wall -O2 -D__LINUX -o scalpel helpers.o scalpel.o files.o dig.o prioque.o base_name.o -lm

Cambiamos a root

su -

copiamos el archivo scalpel.conf al directorio /etc

cp lugar-en-que-puse-scalpel/scalpel-1.60/scalpel.conf /etc

Con nuestro editor favorito editamos el archivo /etc/scalpel.conf y descomentamos estas lineas

# pdf y 5000000 %PDF %EOF\x0d REVERSE
# pdf y 5000000 %PDF %EOF\x0a REVERSE

Para intentar recuperar archivo se puede hacer lo siguiente:

scalpel /dev/sda1 -o output

Donde output es el directorio en donde se pondrán los archivos recuperados, en el caso de este ejemplo sera un subdirectorio del sitio desde donde se ejecuta scalpel.

Despues de que Scalpel finalice, tendremos un directorio output en el sitio en donde se ejecuto Scalpel, un archivo audit.txt que contiene un resumen de lo que ha realizado Scalpel y un subdirectorio pdf-0-0/ en el que estarán los archivos (pdf) recuperados.

Antes de ejecutar Scalpel nuevamente deberán mover/renombrar o borrar el directorio output (ya que Scalpel no trabajara si el directorio ya existe) o especificar un directorio distinto después de la opción - o

Foremost

foremost se encuentra en los repositorios así que lo podemos instalar con rpmdrake o con urpmi.

Foremost es aplicación de linea de comandos para recuperar archivos basándose en sus encabezados y finales (Headers y footers) así como en su estructura interna.

Foremost puede trabajar en archivos creados con dd , Safeback , Encase , etc. o directamente en el dispositivo.

Los encabezados y finales pueden especificarse en un archivo de configuración o por medio de opciones que indiquen uno de los tipos de archivo integrados. Estos tipos buscan en la estructura interna de un archivo produciendo una recuperación más rápida y confiable.

Sintaxis

foremost [-h][-V][-d][-vqwQT][-b][-o] [-t][-s][-i]

Opciones disponibles:

-h Muestra la pantalla de ayuda.
-V Muestra el copyright.
-d Habilita la detección indirecta de bloques, funciona bien en sistemas de archivos Unix.
-T Agrega una marca de tiempo al directorio de salida, así no tendra que eliminarlo cuando se ejecute varias veces.
-v Habilita el modo verbose. Esto proporciona más información en pantalla sobre el estado de la aplicación y se recomienda ampliamente.
-q Habilita el modo rápido. En este modo solo se buscan los encabezados en el inicio de cada sector. Esto es, el encabezado solo se busca en la longitud del encabezado más largo posible. El resto del sector, normalmente sobre 500 bytes, es ignorado. Esto hace que foremos funcione considerablemente más rapido, pero puede ocasionar que se pierdan archivo empotrados en otros. Por ejemplo imágenes JPEG empotradas en archivos de Texto (Word/ooo-write).

El modo rápido no debe usarse al examinar particiones NTFS. Ya que NTFS almacena pequeños archivos dentro de la Tabla Maestra de Archivos (Master File Table), estos archivos serán ignorados en el modo rápido.

-Q Habilita el modo silencioso. La mayoria de los mensajes de error no seran mostrados.
-w Solo escribe el archivo audit. No se extraera ningun archivo.
-a Escribe todos los encabezados, no se realiza la detección de archivos corruptos.
-b numero Le permite especificar el tamaño de bloque que utilizara foremost. Es importante para los nombres de archivo y búsquedas rápidas. El valor por omisión es 512. p.ej. foremost -b 1024 image.dd

-k numero Permite especificar el tamaño de chunk utilizado por foremost.Esto puede mejorar la velocidad si tiene suficiente RAM para poner la imagen. Se reducen las revisiones que ocurren entre chunks del buffer. Por ejemplo si tiene más de 500MB of RAM. foremost -k 500 image.dd

-i archivo Especifica el archivo de entrada. Si no es especificado algún archivo o el archivo dado no puede leerse se utiliza la entrada estandard (stdin).

-o directorio Los archivos recuperados son puestos en el directorio especificado.

-c archivo Especifica el archivo de configuración que se utilizara. Si no se especifica uno, se utiliza el archivo “foremost.conf” de directorio actual, si no existe entonces se utiliza “/etc/fore-most.conf”. El formato del archivo de configuración se describe en el archivo de configuración incluido con la aplicación.
-s numero Omite el numero especificado de bloques del archivo de entrada antes de empezar la busqueda de encabezados. p.ej.

foremost -s 512 -t jpeg -i /dev/hda1

Ejemplos

Nota: Debes ejecutar

su -

antes de ejecutar foremost o alguno de estos ejemplos sobre su uso

Buscar archivos jpeg omitiendo los primeros 100 bloques.

foremost -s 100 -t jpg -i image.dd

Solo generar el archivo audit e mostrar el resultado en pantalla (modo verbose)

foremost -av image.dd

Buscar todos los tipos de archivos definidos

foremost -t all -i image.dd

Buscar archivo gif y pdf

foremost -t gif,pdf -i image.dd

Buscar documentos de office y jpeg en un sistema de archivos Unix con modo verbose

foremost -v -t ole,jpeg -i image.dd

Caso más común

foremost image.dd

image.dd debe sustituirse por el dispositivo correspondiente a su partición o por un archivo generado por dd o herramienta similar.

Adaptado de este articulo.