Crear lista de archivos borrados
1
descargar e instalar el kit Sleuth (TSK ), utilizando el sistema de gestión de paquetes de su distribución de Linux o desde la línea de comandos escribiendo : "sudo apt- get install sleuthkit " ( o la orden equivalente para la versión de Linux) .
Si Sleuth Kit no está disponible desde los repositorios , puede descargarlo de la página de inicio Sleuth Kit e instalarlo siguiendo las instrucciones proporcionadas .
Página 2
Identificar la partición o dispositivo con el que desea recuperar los archivos. Si conoce el punto de montaje , esto será suficiente . De lo contrario , ejecute " mount- l " de la línea de comandos para obtener una lista de todos los dispositivos montados y sus puntos de montaje . La ubicación del dispositivo se verá algo como : " /dev/sdb1 ". Usted necesitará esto en etapas posteriores
3
Identificar el sistema de archivos que utiliza el dispositivo. . Tipo " sudo df -T dispositivo> ubicación> " de la línea de comandos .
Una vez conocido el tipo de sistema de archivos , ejecute " lista fls -f" para encontrar el kit Sleuth palabra clave que utiliza para sistema de archivos. Para la grasa , extensión y sistemas de archivos UFS , utilice la palabra clave Detección automática tener Sleuth Kit elaborar los detalles
4
Generar un registro de los archivos eliminados mediante la ejecución de las siguientes opciones en la línea de comandos . " ; . sudo sistema archivo> fls -f keyword> -d- r- v -p con este comando , le está diciendo fls para encontrar archivos borrados ( -d ) , mostrar de forma recursiva directorios ( -r ) , mostrar la ruta completa de los archivos (-p ) , y para ejecutar en modo prolijo ( - v ) para que pueda ver lo que hay sucediendo. Tenga en cuenta que este comando analizar una partición entera , por lo que grandes particiones o dispositivos pueden tardar un tiempo en completarse. Lea la lista generada por los archivos eliminados . Hay tres columnas importantes que usted debe prestar atención. La primera muestra si el archivo es un archivo regular ( R) o un directorio ( d ) . El segundo es el inodo donde existe el archivo (necesitará esta opción si desea recuperar el archivo ) . La última columna es el nombre del archivo eliminado . ( Opcional) Recuperar archivos . Una vez que tenga una lista de los archivos eliminados y sus correspondientes nodos-i , puede recuperar archivos individuales utilizando la herramienta icat incluido con el kit Sleuth Simplemente escriba lo siguiente desde la línea de comandos: . "Sudo icat -f < clave del sistema de archivos > -r- s el destino de salida es donde está el archivo recuperado se escribirá . Se debe incluir tanto el directorio (que debe ser en un dispositivo o partición distinta de la que contiene el archivo borrado ) y el nuevo nombre de archivo , que puede o no puede ser el mismo que el archivo borrado .
5
6