O Sleuth Kit é uma coleção de ferramentas para análise forensic em sistemas de arquivos (file system), para maioress informações e funcionalidades acesse o site oficial http://www.sleuthkit.org/sleuthkit/desc.php.
Este post tem como objetivo mostrar como recuperar arquivos deletados em sistemas de arquivos linux (ext), mas este kit suporta também partições DOS, BSD, MAC, SUN, FAT, NTFS, ISO9660, RAW e SWAP.
Os comandos abaixo devem ser executados como root, se você não estiver logado como root utilize o sudo.
No repositório oficial do Ubuntu o pacote se chama “sleuthkit”, sendo assim:
#aptitude install sleuthkit
Vamos organizar nosso trabalho tudo dentro de um diretório, para isso crie um diretório próprio:
#mkdir ~/recovery
Com comando “fls” podemos listar os arquivos deletados e salvar essa relação dentro de um arquivo, abaixo segue o comando completo:
#fls -f ext -d -r -p /dev/sdb1 > ~/recovery/deletados.txt
-f ext: sistema de arquivos da partição
-d: mostra apenas arquivos e diretorios deletados
-r: busca de forma recursiva
-p: mostra o caminho completo dos arquivos e diretórios
/dev/sdb1: é a partição onde esta o arquivo deletado
del_var.txt: onde estará a lista dos arquivos deletados
Vamos ver a saída do comando acima:
#cat ~/recovery/deletados.txt
r/r * 910452: home/osvaldo/arquivodeletado.txt
Encontramos um arquivo de nome arquivodeletado.txt e inode 910452 que foi deletado, vamos tentar recuperá-lo usando o comando icat, que copia os arquivos pelo número do seu inode, para isso execute o comando abaixo:
#icat -f ext -r -s /dev/sdb1 910452 > ~/recovery/deletedfile.txt
-f ext: sistema de arquivos da partição
-r: recupera arquivos deletados
910452: inode do arquivo deletado
deletedfile.txt: este é o nosso arquivo recuperado
Com isso podemos recuperar os arquivos deletados acidentalmente ou de forma proposital, é uma ótima ferramenta para análises forensic, o único trabalho que você terá é em criar um script que faça isso de forma automática. Dê uma olhada na ferramenta Autopsy Forensic Browser (http://www.sleuthkit.org/autopsy/desc.php), tenho certeza que vai ser muito útil.
By Osvaldo.
Nenhum comentário:
Postar um comentário