Actividad: Recuperación de ficheros borrados

Recuperación de ficheros borrados

Esta actividad consiste en recuperar ficheros que previamente han sido borrados. Para ello se utiliza la herramienta scalpel (presente en Kali) con una imagen de un dispositivo previamente extraída.

El procedimiento se realizaría siguiendo estos pasos:

1. Copiar la imagen del disco (myfs.img) al entorno de trabajo Kali.
2. Adaptar el fichero de configuración de scalpel para que admita los tipos de ficheros que interesa recuperar.
3. Ejecutar el comando scalpel con las opciones pertinentes para indicar el fichero de configuración, una carpeta para los ficheros recuperados y el nombre de la imagen de disco.
4. Inspeccionar los archivos recuperados.

Nota: la imagen proporcionada se puede examinar haciendo un montaje de la misma. De este modo se puede observar que scalpel recupera archivos que no se ven a simple vista.

A continuación se puede experimentar con esta imagen, montándola en modo R/W y haciendo varias operaciones de manipulación de ficheros sobre la carpeta montada (copiar archivos, borrar archivos, ...). Después, se desmonta y se procede a repetir los pasos anteriores. Cuantas más hayamos manipulado el sistema de ficheros, menos posibilidades hay de recuperar ficheros.

¿Qué sucedió?

Para conocer qué operaciones se llevaron a cabo en la imagen de disco analizada (p.ej. saber qué ficheros borraron, cuándo los borraron, etc.) podemos utilizar las herramientas fls y mactime.