Fundl es un script el cual hace posible recuperar todos los archivos borrados o buscar por extensiones de archivo. Permite también generar un reporte en HTML. Y utiliza The Sleuth Kit para recuperar los archivos borrados.

The Sleutk Kit es una librería y colección de herramientas en linea de comando para investigar imágenes de disco. La funcionalidad principal de TSK permite analizar datos de volumen y sistema de archivos.

Para la siguiente demostración se utiliza CAINE y una imagen forense. El script se ubica en el directorio “/usr/share/caine/pacchetti/scripts/”.

Al ejecutar el script de nombre “fundl.sh”, se solicita insertar la ubicación de la imagen forense o el dispositivo. Para el presente escenario se utiliza una imagen forense en formato raw o en bruto. Luego se solicita definir el directorio de salida para los resultados. Dado el hecho de existir el directorio se muestra un mensaje de error. También se solicita insertar la extensión de los archivos a recuperar, en caso se requiera realizar la recuperación de todos los archivos se utiliza en símbolo “*”.

La herramienta muestra la disposición de las particiones contenidas en la imagen forense, para luego solicitar definir el sector inicial de la partición sobre la cual se realizará el proceso.

Se solicita insertar el tipo de sistema de archivos. Para este caso es NTFS.

Finalizado el proceso de recuperación se muestra un listado de los archivos producidos durante la ejecución de la herramienta.

El archivo de nombre “filelist.txt” contiene un listado de los archivos recuperados. El archivo de nombre “filenames.htm” contiene el mismo listado de archivos recuperados pero en formato htm, lo cual permite realizar una navegación y visualizar por ejemplo directamente archivos de tipo txt, o jpeg.

Fuentes:

http://www.caine-live.net/page11/page11.html
http://sfdumper.sourceforge.net/fundl.htm
http://www.sleuthkit.org/sleuthkit/