Cómo recuperar archivos borrados

Introducción

Cuando se "elimina" un archivo, su contenido no suele borrarse del dispositivo de almacenamiento en el que estaba guardado. La mayoría de las veces, los bloques que almacenaban el archivo se marcan como no asignados y los punteros del sistema de archivos se eliminan de él. Esto implica que el archivo sigue existiendo en el disco hasta que se sobrescribe. Recupere sus archivos eliminados

Existen muchos métodos para recuperar los datos brutos no asignados. Este sitio web enumera muchas herramientas que se pueden utilizar para la recuperación de archivos en diferentes escenarios. En este artículo, voy a caminar a través de 5 herramientas diferentes que se pueden utilizar para recuperar datos.

Configurar

Voy a utilizar haciendo análisis forense en una unidad que he creado y conectado a mi Kali Linux VM. Para ver cómo se hace esto, puede hacer referencia a este artículo. En esta unidad, guardé y luego borré un archivo de imagen y un archivo de texto. Recupera tus archivos eliminados

Empezaré haciendo una enumeración general de la imagen de disco. A continuación, mostraré diversas técnicas de recuperación de archivos utilizadas por analistas forenses que me permitieron recuperar los archivos eliminados. Muchas de las herramientas utilizadas serán del Kit de detective (TSK).

Antes de empezar, desmontaré el sistema de archivos, crearé un duplicado del mismo, eliminaré los permisos de escritura del duplicado y verificaré la integridad del duplicado con el hash original de /dev/sdb. Recupere sus archivos eliminados

$ cd ../ && umount /mnt/secret # unmount /mnt/secret

$ dd if=/dev/sdb of=/home/kali/forensics/sdb.img # copy /dev/sdb into sdb.img
22286+0 registros dentro
22286+0 registros fuera
11410432 bytes (11 MB, 11 MiB) copiados, 0.0412053 s, 277 MB/s$ chmod a-w /home/kali/forensics/sdb.img # eliminar el acceso de escritura a la imagen
                                                                
$ md5sum /home/kali/forensics/sdb.img /dev/sdb
6c49fb21916d59e0df69453959392e23 /home/kali/forensics/sdb.img
6c49fb21916d59e0df69453959392e23 /dev/sdb

Enumeración

Análisis de imágenes

Utilización de la archivo revela que la imagen utiliza un sistema de archivos ext4.

Además, el stat muestra información sobre la imagen, como su tamaño, marcas de tiempo y detalles del bloque.

Con la información de que la imagen utiliza ext4, el fsstat se puede utilizar para extraer información más detallada sobre el sistema de archivos, los metadatos, los datos de contenido y los grupos de bloques. Recupere sus archivos eliminados

$ fsstat -f ext4 sdb.img 
INFORMACIÓN DEL SISTEMA DE ARCHIVOS
--------------------------------------------
Tipo de sistema de archivos: Ext4
Nombre del volumen:
ID del volumen: dc8a4fb36dce8eabee4c51cf01c2d52a

Escrito por última vez en: 2023-05-09 22:35:31 (EDT)
Comprobado por última vez en: 2023-05-09 22:23:26 (EDT)Montado por última vez en: 2023-05-09 22:24:27 (EDT)
Desmontado correctamente
Montado por última vez en /mnt/secretSistema operativo de origen: Linux
Estructura dinámica
Características Compat: Diario, Atributos Ext, Redimensionar Inodo, Indice Dir
Características InCompat: Tipo de archivo, extensiones, 64 bits, grupos de bloques flexibles,
Sólo lectura Funciones Compat: Sparse Super, Archivo grande, Archivo enorme, Tamaño de nodo adicionalDiario ID: 00
Diario Inode: 8INFORMACIÓN DE METADATOS
--------------------------------------------
Rango Inode: 1 - 2785
Directorio raíz: 2
Inodos libres: 2773
Tamaño del nodo: 256INFORMACIÓN DE CONTENIDO
--------------------------------------------
Grupos de bloques por grupo flexible: 16
Rango de bloques: 0 - 11139
Tamaño de bloque: 1024
Bloques reservados antes de grupos de bloques: 1
Bloques libres: 9223INFORMACIÓN SOBRE GRUPOS DE BLOQUES
--------------------------------------------
Número de grupos de bloques: 2
Inodos por grupo: 1392
Bloques por grupo 8192Grupo: 0:
  Grupo de bloques Banderas: [INODE_ZEROED]
  Rango Inode: 1 - 1392
  Rango de bloques: 1 - 8192
  Disposición:
    Superbloque: 1 - 1
    Tabla de descriptores de grupo: 2 - 2
    Bloques de crecimiento de descriptores de grupo: 3 - 89
    Mapa de bits de datos: 90 - 90
    Mapa de bits de inodos: 92 - 92
    Tabla de Inodos: 94 - 441
    Mapa de bits de datos Uninit: 92 - 105
    Bitmaps de Inodos Uninit: 94 - 107
    Tabla de nodos no iniciados: 790 - 5661
    Bloques de datos: 5690 - 8192
  Inodos libres: 1381 (99%)
  Bloques libres: 6365 (77%)
  Directorios totales: 2
  Suma de comprobación almacenada: 0x7DEBGrupo: 1:
  Block Group Flags: [INODE_UNINIT, INODE_ZEROED]
  Rango de inodos: 1393 - 2784
  Rango de bloques: 8193 - 11139
  Disposición:
    Superbloque: 8193 - 8193
    Tabla de descriptores de grupo: 8194 - 8194
    Bloques de crecimiento de descriptores de grupo: 8195 - 8281
    Mapa de bits de datos: 91 - 91
    Mapa de bits de inodos: 93 - 93
    Tabla de inodos: 442 - 789
    Bloques de datos: 8282 - 11139
  Inodos libres: 1392 (100%)
  Bloques libres: 2858 (96%)
  Directorios totales: 0
  Suma de comprobación almacenada: 0xDFA7

Basándonos en esta salida, está claro que el tamaño de bloque es de 1024 bits, hay 1113 bloques en total y hay 2785 inodos.

Además, partido se puede utilizar para encontrar más información sobre la tabla de particiones, que puede ser útil cuando se utiliza scalpel.

Por último, ejecutar cadenas en la imagen da más información sobre lo que hay en el sistema de archivos. Parece que mi secreto.txt con el contenido Hola Mundo aparece desde el cadenas además de un intento fallido de descarga de la imagen. Recupere sus archivos eliminados

En el comando strings -a --radix=d sdb.img, -a es una opción para escanear todo el archivo y --radix=d dice cadenas para mostrar el desplazamiento en el que se encontró la cadena en base 10. Recupere sus archivos eliminados

Análisis de los archivos

Esta imagen en particular no tiene ningún archivo actualmente en ella aparte de los archivos borrados, por lo que no hay mucha información que obtener al montarla y analizar los archivos. En los casos en los que se desee hacerlo, se puede utilizar el siguiente comando:

$ mount -o ro,loop,noexec,noatime sdb.img

A continuación, te explico para qué sirven las opciones:

• -o: establece las opciones de montaje sdb.img.
• rouna opción para montar el sistema de archivos como de sólo lectura
• bucle: montar el sistema de archivos en un dispositivo de bucle
• noexec: no permitir la ejecución
• noatime: no cambian el tiempo de acceso de los archivos

A continuación, puede seguir ejecutando archivo en los archivos dentro del dispositivo de bucle montado y guardar sus hashes md5 para verificar la integridad. Recupera tus archivos borrados

Recuperar los archivos

Método 1: Utilizar Kit de detective

A menudo, si ha borrado archivos, puede que aparezcan con fls sdb.imgenumerado con istat -o sdb.imgy se recuperó con icat -o sdb.img. En la siguiente captura de pantalla se muestra un ejemplo de los dos últimos pasos.

https://www.therootuser.com/wp-content/uploads/2017/11/Screenshot-2017-11-07-17.27.58.png

Sin embargo, este no parece ser mi caso. Mis archivos borrados no aparecen en el fls comando. En su lugar, veo una variable llamada $OrphanFiles. Recupere sus archivos eliminados

$OrphanFiles son archivos que aún existen en la imagen, pero a los que ya no se puede acceder desde el directorio raíz. $OrphanFiles no es un directorio real en la imagen, es la forma virtual de Sleuth Kit de demostrar que los metadatos del archivo todavía existen (leer más).

Para recuperar estos archivos huérfanos, intentaré algunas técnicas empezando por extundelete. Recupere sus archivos eliminados

Método 2: Extundelete

Esta herramienta se puede utilizar para recuperar archivos en sistemas de archivos ext3 y ext4. Estaba teniendo algunas dificultades con la compilación de aptAsí que construyo el programa desde el código fuente con los siguientes comandos para que funcione de nuevo:

apt update && apt install -y libext2fs-dev
git clonar https://github.com/cherojeong/extundelete.git
./configurar
make
src/extundelete --restore-all /ruta/a/imagen.img

Nota: Si se produce un error al ejecutar hacer en src/insertionoops.cc en la línea 36, puede que tenga que sustituir la línea os << "ACL de directorio: " << inode.i_dir_acl << std::endl; con os << "ACL de directorio: " << inode.i_file_acl << std::endl;.

La orden extundelete --restore-all sdb.img para recuperar archivos.

Como se puede ver en la captura de pantalla anterior, la herramienta no tuvo éxito en la recuperación de los archivos huérfanos. Esta sigue siendo una opción viable que puede funcionar en muchos escenarios que es por eso que decidí incluirlo en este artículo.

Todavía no me rindo. Lo intentaremos de nuevo.

Método 3: TestDisk

En .tar.bz puede descargarse aquí. Estoy utilizando la versión 7.2. Tenga en cuenta que para TestDisk para que funcione, debe ejecutarlo en el directorio de descargas. De lo contrario, es posible que aparezca un error como *** Error en `/path/to/testdisk-7.2-WIP/photorec_static': malloc(): memory corruption: 0x0000000002617d29 ***.

# extraer y ejecutar el archivo
tar -xf testdisk-7.2-WIP.linux26-x86_64.tar.bz2
cd testdisk-7.2-WIP
./photorec_static /ruta/a/sdb.img /log

Aparecerá un menú de ayuda. Primero seleccionaré la imagen con la que quiero trabajar.

A continuación, selecciono la opción de la tabla de particiones para el soporte. El mío no tiene ninguna, así que elijo "Ninguna". Verifiqué que esta era la única opción que era capaz de listar archivos para mí.

Después de esto, navego hasta la opción "Lista" en la parte inferior del terminal y pulso Entre en.

Esto me lleva al listado de los archivos de la imagen con los recuperados con éxito en rojo texto.

Como se puede ver en la captura de pantalla, no hay nuevos archivos que aparecen en rojo. Esto significa que TestDisk no tuvo éxito en la recuperación de los archivos borrados.

No pasa nada, aún me quedan algunos trucos en la manga.

Método 4: Foremost

Foremost puede instalarse con apt.

sudo apt install foremost

Esta herramienta utiliza una técnica conocida como tallado de limas que consiste en buscar entre los datos brutos de un disco y tallar los valores entre la cabecera y/o el pie del archivo.

Por desgracia, pudimos recuperar un archivo de imagen borrado de la unidad con foremost -t jpeg -o archivos-recuperados -i sdb.img. La imagen recuperada se muestra como se esperaba en el Visor de Imágenes. Qué hoguera más bonita.

El hecho de que este método haya funcionado y los tres anteriores no, demuestra que cada herramienta y técnica es más eficaz para recuperar datos en diferentes situaciones.

También vale la pena mencionar que se puede editar el /etc/foremost.conf para que contenga sus propios encabezados y pies de página personalizados para el archivo que está buscando. La modificación de estos valores se explorará en el siguiente y último método.

Método 5: Bisturí

Scalpel es muy parecido a Foremost con flexibilidad añadida. Usted no está tan limitado en los tipos de archivo y cabeceras, aunque hay una manera de modificar foremost para tener la misma personalización que scalpel proporciona.

sudo apt install scalpel
cp /etc/scalpel/scalpel.conf .
vim scalpel.conf

Voy a editar la configuración con un poco de información de fondo que tengo. Sé que estoy intentando recuperar un archivo JPEG y también sé que había un archivo de texto que empezaba por la palabra "Hola". Usando xxdpuedo determinar las cabeceras de archivo de un .txt que empiece por la palabra "Hola". En este caso, sería \x48\x65\x6c\x6c\x6f. Recupere sus archivos eliminados

$ echo -n Hola | xxd                                       
00000000: 4865 6c6c 6f Hola.

Utilizaremos esta información para actualizar la scalpel.conf archivo en vim. Como se explica en los comentarios de la parte superior del archivo config, la primera columna indica la extensión del archivo. La segunda indica si la cabecera y el pie de página distinguen entre mayúsculas y minúsculas, la tercera es la cabecera en bytes hexadecimales, la cuarta columna es un pie de página opcional, y la quinta columna es un parámetro opcional para buscar hacia atrás desde la cabecera en lugar de sólo hacia delante. Recupera tus archivos borrados

Con estas opciones configuradas, bisturí para extraer estos archivos de la unidad.

bisturí -o recuperado-bisturí_archivos -c scalpel.conf sdb.img

Parece que el archivo de texto se ha recuperado correctamente.

La imagen también se recuperó.

Conclusión

Hay muchas formas de conseguir el mismo resultado. Las diferentes herramientas que se muestran aquí tienen sus aplicaciones específicas en las que funcionan mejor. Aunque no todos los métodos descritos aquí funcionaron para mi situación particular, eso no significa que no funcionarán para usted. Hay muchos factores que determinan si la recuperación de archivos tendrá éxito, incluyendo el tipo de tabla de partición, cuánto tiempo ha pasado desde que se eliminaron, el tamaño del archivo (los archivos más pequeños tienen más probabilidades de ser recuperados), la salud del dispositivo de almacenamiento, y las operaciones que se han hecho en la unidad desde la eliminación de los archivos, tales como reformatear la unidad. Recupera tus archivos borrados

Espero que a través de la lectura de este artículo, haya podido profundizar su comprensión de la recuperación de archivos y obtener conocimientos prácticos que pueda aplicar en el mundo real. Gracias por leer y nos vemos la próxima vez.