Análisis forense. Recuperando ficheros.

Publicado en por

Uno de los campos que personalmente me llama más la atención en el mundo de la Seguridad Informática es el análisis forense. Buscar donde ya no hay (supuestamente) o rehacer un patrón de ataque para explicar el por qué.

En el campo del análisis forense, hay diferentes temas a tratar. Desde visualizar la fecha de creación de un determinado fichero, hasta resucitar archivos borrados adrede por alguien con malignas intenciones, pasando por análisis de código sospechoso o interminables logs.

Obviamente, en esta área de la Seguridad informática no siempre se obtienen resultados favorables y puedes tirar por la borda infinidad de horas de análisis sin sacar en claro ninguna conclusión, pero siempre se descubre algo, un pequeño rastro.

El recuperar ficheros borrados, inconscientemente o no, es un tema vox populi entre los usuarios básicos. Estudiantes que no tienen copias de seguridad de su proyecto final, empresas que prefieren ahorrarse un dinero en vez de tener un NAS, o cualquier sistema de copia, o un ex empleado o persona ajena que está por incendiar la empresa borrando archivos vitales.

forense

En Windows tenemos programas de relativa efectividad como Recuva. Más o menos efectivos siempre y cuando no se haya escrito en la zona «liberada» al eliminar el fichero. Cuanto más tiempo haya pasado más probabilidad de que no se recupere nada.

En la distribución Kali Linux, una de las aplicaciones para recuperar archivos es Foremost.

La sentencia de uso es relativamente sencilla.

foremost

Donde -t es para indicar que tipo de extensión buscamos, sino la sabemos quitamos este parámetro. La opción -i es para decir donde buscar, y la -o en que carpeta de salidad colocará los archivos recuperados.

Como he mencionado, se puede tener éxito o no. Hay que tener en cuenta que estamos intentando encontrar algo eliminado.

En Kali Linux podemos encontrar muchas aplicaciones de análisis forense para diferentes objetivos. Unas muy potentes, otras simples de usar, y otras que cuesta un «suplicio» poder configurarlas o echarlas a andar.

Un saludo.