La herramienta que utilizaremos utiliza una técnica llamada File Carving.

Cuando borramos algún archivo en realidad no lo estamos borrando, lo que ocurre es que estamos diciendo al disco que esos segmentos están vacíos, la técnica de la que estamos hablando lo que hará será buscar en todos los segmentos que se suponen vacíos para ver si ahí hay algo de información.


Una vez comprendido, procedemos a descargar desde el repositorio en Github y una herramienta que será util.



Scalpel es una herramienta para utilizar en Linux como Windows, la única diferencia es que bajo Windows no puede analizar el disco, si no que debe analizar una imagen del disco, para esto, será util FTK.
Para la presente práctica, obtendremos la información de un pendrive de 2GB.

Creando una imagen con FTK


Lo primero que haremos es pulsar el botón de “add evidence item” y elegiremos “Logical Drive”.



Elegimos la unidad.



Luego, haremos clic derecho a la unidad y seleccionamos “Export Disk Image”



Configuramos donde se exportará la imagen.




Al concluir los pasos anteriores, estamos en condiciones de crear la imagen, solo debemos hacer clic en el boton “Start”.





Obteniendo información con Scalpel

Estamos en condiciones de buscar la información, lo primero que haremos será comprobar la ayuda, haciendo:



Visualizando la ayuda, notaremos que la sintaxis es: scalpel -opcion1 -opcion2 imagen

Algunas de las opciones mas relevantes:

  • -c : Sirve para elegir el archivo de configuración. (de serie es scalpel.conf)
  • -o : Sirve para elegir la carpeta donde se mandará la información. (de serie es scalpel-output)
  • -v : Sirve para entrar en el verbose mode.


El archivo de configuración predeterminado trae muchas opciones para buscar gran cantidad de ficheros diferentes, solo tendríamos que ir a dicha sección y borrar ‘#’ para que dejase de ser un comentario.



Para añadir una nueva regla debemos seguir la siguiente forma: ‘extension’ y ‘tamaño’ ‘header’ ‘EOF’
Podemos buscar el header y el EOF de cada tipo de archivo por internet, para esta práctica harmeos un archivo de configuración que saque todas las imagenes.



Y lanzamos el programa hacia la imagen:

Una vez ejecutado comenzará a buscar las imagenes y enviará a la carpeta que hemos indicado.



En la carpeta que hemos pasado como parámetro habrá varias carpetas con los diferentes archivos que ha recuperado y por fin hemos encontrado aquello que estabamos buscando.




Agradecemos a ROLLTH por enseñarnos a utilizar la herramienta: Recuperando información con Scalpel