7 ago. 2017

Foremost: herramienta de carving forense

En la entrada anterior, descubrimos quién era es Señor "X", haciendo uso de BulkExtractor. Hoy quiero hablaros de Foremost. Bajo mi punto de vista, la herramienta de carving por excelencia.

Foremost es un programa forense, que trabaja bajo la consola de Linux, diseñado para la recuperación de datos borrados, o no borrados, y que fue desarrollado por Jesse Kornblum y Kris Kendall cuando sirvieron en la Oficina de Investigaciones Especiales de la Fuerza Aérea. Es la base de Scalpel, su evolución, aunque su funcionamiento es, exactamente, el mismo.
Para realizar la recuperación de ficheros, utiliza un archivo de configuración, (foremost.conf), que veremos más abajo, en el que se especifican unos encabezados y unos pies, de estructura de archivos, como patrones de búsqueda, conocidos como números mágicos. Busca un encabezado especificado en foremost.conf y, cuando lo encuentra, lo escribe a un fichero, junto con los datos que le siguen, hasta que encuentra el pie especificado, o llega al límite de tamaño indicado en el fichero de configuración. Y este fichero, foremost.conf, es muy importante, pues de él depende la fiabilidad de la recuperación.

Originalmente fue diseñado para trabajar sobre imágenes de disco, pero puede ser ejecutado bajo cualquier fichero, sin importar su formato, o incluso directamente bajo una unidad.

Vamos a verlo en funcionamiento, para explicarlo lo mejor posible.

Contenido completo en fuente original fwhibbit

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!