Como recuperar arquivos excluídos com The Sleuth Kit
[caption id="attachment_179" align="aligncenter" width="300"]
The Sleuth Toolkit[/caption]
Recuperar arquivos excluídos com The Seulth Toolkit
Etapas- Identificar o material
- identificar sistema de arquivos
- Listar arquivos e diretórios
- Salvar arquivos recuperados
# fsstat recover.dd | grep File # fls recover.dd -r d/d 11: lost+found r/r 12: blogo.gif r/- * 0: haxor2.bmp r/- * 0: jimmy.doc r/r 15: jn.jpg r/r 16: lin_test.pdf r/r 17: main_dive.jpg r/r 18: n_lin_ss.pdf r/r 19: sherry.jpg r/r 20: stats.xls r/r 21: test.ppt d/d 31617: $OrphanFiles + -/r * 13: OrphanFile-13 + -/r * 14: OrphanFile-14Note as entradas r/- * 0: haxor2.bmp e r/- * 0: jimmy.doc possuem um * no inode e logo mais embaixo o endereço do inode, a partir do endereço do inode que será realziada a recuperação
#ils -rA recover.dd class|host|device|start_time ils|kali||1460223885 st_ino|st_alloc|st_uid|st_gid|st_mtime|st_atime|st_ctime|st_crtime|st_mode|st_nlink|st_size 13|f|0|0|1110477710|1110477710|1110477846|0|644|0|163878 14|f|0|0|1110477710|1110477710|1110477838|0|644|0|12800Recuperando arquivo do inode 13 e 14
# icat -r recover.dd 13 > /root/haxor2.bmp # icat -r recover.dd 14 > /root/recuperado2.doc