Obtener los Nombres de los Archivos Recuperados por Foremost utilizando Raw2Fs
Raw2Fs es un script incluido en la más reciente versión de CAINE, el cual posibilita obtener los nombres de archivo desde los nombres de los archivos tallados o recuperados utilizando la herramienta Foremost. También permite encontrar todas las palabras claves en un archivo de dispositivo o flujo de bits, además de obtener los nombres de archivos o espacio residual donde estuvieron.
Las herramientas de “Carving” o Tallado como Foremost guardan los archivos nombrándolos con el número de sector (de 512 bytes) de inicio donde se encuentran. Por lo tanto es útil una herramienta la cual permita rastrear su probable nombre en el sistema de archivos.
Para la siguiente demostración se requiere previamente realizar un procedimiento de “Carving” o Tallado, para recuperar algunos tipos de archivos utilizando la herramienta Foremost.
Los tipos de archivos recuperados han sido JPG y PDF, los cuales son almacenados en directorio nombrados con las extensiones indicadas.
Al ejecutar la herramienta Raw2Fs se presenta un menú principal. La opción 1 permite obtener los nombres de archivo desde el espacio tallado sobre un nuevo dispositivo. La opción 2 busca por palabras clave. Seleccionar la Opción 1.
Se solicita insertar el nombre de la imagen o dispositivo.
Luego se solicita insertar el directorio de salida para los resultados.
Ahora se solicita insertar el nombre del archivo tallado con Foremost. Únicamente ingresar el nombre del archivo sin su extensión.
Se muestra información sobre la disposición del archivo conteniendo la imagen forense bajo análisis. Para luego solicitar insertar el tamaño del sector (Sugiero ingresar el Tamaño del Cluster).
Ahora se solicita insertar el tipo del sistema de archivos.
La herramienta muestra información del Cluster, I-Nodo y el Nombre del Archivo buscado.
Para guardar el archivo bajo análisis utilizar la opción 1 del menú presentado.
El archivo se ha recuperado correctamente con su nombre original.
Fuentes:
http://scripts4cf.sourceforge.net/tools.html
http://foremost.sourceforge.net/
http://nannibassetti.com/dblog/articolo.asp?articolo=73
http://www.caine-live.net/
Sobre el Autor
Alonso Eduardo Caballero Quezada - ReYDeS
Instructor y Consultor Independiente en Ciberseguridad
WhatsApp: https://wa.me/51949304030
Correo Electrónico: ReYDeS@gmail.com
Twitter: https://twitter.com/Alonso_ReYDeS
Youtube: https://www.youtube.com/c/AlonsoCaballero
LinkedIn: https://pe.linkedin.com/in/alonsocaballeroquezada/