Scalpel es de esas utilidades en GNU/Linux, al estilo de PhotoRec o Foremost, que nos permite recuperar los archivos que hemos borrado accidentalmente en nuestro equipo.
Scalpel (“bisturí”) como su nombre indica, nos permite diseccionar los archivos, utilizando una técnica que se basa en los encabezados, pies de página y estructura interna de los mismos, que le facilita acceder a la de la base de datos de bloques donde están los archivos borrados, identificarlos y recuperarlos casi al instante,lo que le convierte en una herramienta muy útil tanto para la investigación forense digital, como a la hora de restaurar nuestros datos.
Es una técnica conocida como File Carving (supongo que la traducción será “talla de archivo” o algo así!) que además tiene la ventaja de poder recuperar datos, independientemente del sistema de archivos utilizado: FAT, NFTS, EXT, HFS+ etc…pero mejor no nos enrollarnos con la teoría, vamos a ir al grano y lo primero que tenemos que hacer es…
Instalar Scalper
En esta ocasión utilicé Lubuntu en vez de mi querida openSUSE, así que los que tengáis esta distro o similar, como son las derivadas de Debian, Ubuntu o la propia Linux Mint tan solo tenes que hacer:
sudo apt-get install scalpel
Recuperando archivos
Después de instalarlo necesitamos editar el archivo de configuración (lo podéis encontrar en esta ruta /etc/scalpel/scalpel.conf), y descomentar (quitar el símbolo #) las lineas correspondientes a las extensiones que nos interesa recuperar.
En mi caso voy a intentar recuperar unos archivos .jpg en mi pendrive, así que descomento la linea que corresponde a esa extensión.
Ahora solo precisamos ejecutar el comando
sudo scalpel [nombre_partición/carpeta_a_recuperar] -o [directorio_de_salida]
En nuestro ejemplo sería algo así:
sudo scalpel dev/sdb1 -o prueba
Unos minutos después vemos que hemos recuperado unos cuantas fotos (más de 1000…)
se nos crea un par de carpetas con los archivos recuperados y un log de salida
y aquí tenes las pruebas del delito XD
Como ven una herramienta fantástica, que no es que haga milagros pero… casi, casi…
Scalpel (“bisturí”) como su nombre indica, nos permite diseccionar los archivos, utilizando una técnica que se basa en los encabezados, pies de página y estructura interna de los mismos, que le facilita acceder a la de la base de datos de bloques donde están los archivos borrados, identificarlos y recuperarlos casi al instante,lo que le convierte en una herramienta muy útil tanto para la investigación forense digital, como a la hora de restaurar nuestros datos.
Es una técnica conocida como File Carving (supongo que la traducción será “talla de archivo” o algo así!) que además tiene la ventaja de poder recuperar datos, independientemente del sistema de archivos utilizado: FAT, NFTS, EXT, HFS+ etc…pero mejor no nos enrollarnos con la teoría, vamos a ir al grano y lo primero que tenemos que hacer es…
Instalar Scalper
En esta ocasión utilicé Lubuntu en vez de mi querida openSUSE, así que los que tengáis esta distro o similar, como son las derivadas de Debian, Ubuntu o la propia Linux Mint tan solo tenes que hacer:
sudo apt-get install scalpel
Recuperando archivos
Después de instalarlo necesitamos editar el archivo de configuración (lo podéis encontrar en esta ruta /etc/scalpel/scalpel.conf), y descomentar (quitar el símbolo #) las lineas correspondientes a las extensiones que nos interesa recuperar.
En mi caso voy a intentar recuperar unos archivos .jpg en mi pendrive, así que descomento la linea que corresponde a esa extensión.
Ahora solo precisamos ejecutar el comando
sudo scalpel [nombre_partición/carpeta_a_recuperar] -o [directorio_de_salida]
En nuestro ejemplo sería algo así:
sudo scalpel dev/sdb1 -o prueba
Unos minutos después vemos que hemos recuperado unos cuantas fotos (más de 1000…)
se nos crea un par de carpetas con los archivos recuperados y un log de salida
y aquí tenes las pruebas del delito XD
Como ven una herramienta fantástica, que no es que haga milagros pero… casi, casi…