Cuántas veces no hemos estado al borde de la desesperación al darnos cuenta que hemos borrado algún archivo delicado (ya sea una imagen, carta, hoja de cálculo, etc) la cual puede comprometernos seriamente si se trata de un archivo importante o de uso cotidiano. Aunque la mayoría de veces que borramos algo es por accidente otras veces puede ser porque consideramos que ya no lo usaremos más, pero espera, para recuperar estos elementos no debemos ir a pedir ayuda a grandes corporaciones como el FBI sino que Solvetic te ayudará a recuperar tu información con Foremost.
Para este caso usaremos Ubuntu 19.
Al ser una utilidad de gran impacto en el rescate de información, esta herramienta fue desarrollada hace algunos años por la Oficina de Investigaciones Especiales de la Fuerza Aérea de los Estados Unidos junto con el apoyo del Centro de Estudios e Investigación de Seguridad de Sistemas de Información, lo cual nos da pautas más directas de su funcionalidad.
Foremost está en la capacidad de trabajar en archivos de imagen o directamente en una unidad de disco duro ya que podremos usar modificadores de línea de comandos para especificar los tipos de archivo que deseamos buscar y así ser más específicos con lo que deseamos con esta utilidad.
Foremost se encarga de copiar y analizar el disco duro para detectar los archivos ocultos y luego aloja esa información de forma temporal tomando como recurso la memoria del equipo y seguirá buscando todas las coincidencias para finalmente dar como resultado un archivo integral.
Foremost está en la capacidad de recuperar archivos como jpg, gif, png, bmp, avi, tiff, mp4, exe, mpg, wav, asf, wma, mp3, fws, riff, wmv, mov, pdf, ole, doc, docx, xls, xlsx. ppt, pptx, zip, rar, html, cpp, java, art, pst, ost, dbx, idx, mbx, wpc, pgp, txt, rpm, dat, etc.
La sintaxis a usar con Foremost es la siguiente:
foremost (-v / -V - -h / -T / -Q / -q / -a / -w / -d) (-t (tipo)) (-s (bloques)) (-k (tamaño)) (-b (tamaño)) (-c (archivo)) (-o (dir)) (-i (archivo))
- -V: despliega los derechos de Copyright y la información del objeto.
- -t: especifica el tipo de archivo.
- -d: activa la detección indirecta de bloques.
- -i: permite especificar el archivo de salida.
- -a: escribe todos los encabezados y no detecta errores.
- -w: solo escribe en el archivo auditado mas no escribe en los demás archivos del sistema.
- -o: define la salida del archivo.
- -c: establece la configuración del archivo.
- -q: habilita el modo rápido.
- -Q: habilita el modo silencio.
- -v: activa el modo verbose para obtener mejores detalles.
A continuación veremos cómo instalar y usar Foremost para recuperar archivos en Linux.
1. Instalar Foremost para recuperar archivos borrados en Linux
Para instalarlo basta con ejecutar el siguiente comando:
sudo apt install foremost
pacman -S foremost
dnf install foremost
sudo yum install https://forensics.cert.org/centos/cert/7/x86_64//foremost-1.5.7-13.1.el7.x86_64.rpm -y
2. Usar Foremost para recuperar archivos borrados en Linux
Una vez instalado estaremos listos para su uso, y el primer método es tratar de recuperar todos los archivos que son del mismo tipo de archivo que ha sido borrado, por ejemplo, buscar todos los archivos .txt o .png, etc
Para ello primero debemos conocer el ID de la unidad así que debemos ejecutar lo siguiente:
df -h
Por ejemplo, podemos seleccionar /dev/sda1 para realizar la búsqueda allí y debemos siempre tener en cuenta el nombre bajo la columna “S. Ficheros”. Ahora, intentaremos rescatar archivos .docx en dicha ruta, para ello ejecutamos lo siguiente en la terminal:
foremost -v -t docx -i /dev/sda1 -o ~/recovery/
Al ejecutar esto se dará paso al análisis en dicha unidad:
Cuando la búsqueda haya finalizado, los archivos recuperados estarán disponibles en la carpeta precedida del parámetro -o. Allí podemos reemplazar el tipo de archivo por el deseado:
El proceso puede tardar un poco en base al tamaño de la unidad y al tipo de archivos buscados. De forma automática la utilidad Foremost creará una carpeta en el directorio Home con el nombre indicado donde se guardarán los archivos recuperados:
Gracias a Foremost será posible analizar en detalle las unidades y recuperar archivos que han sido borrados en Linux.