The Sleuth Toolkit

Recuperar arquivos excluídos com The Seulth Toolkit

Etapas

1. Identificar o material
2. identificar sistema de arquivos
3. Listar arquivos e diretórios
4. Salvar arquivos recuperados

Material questionado.
Uma imagem raw de uma pen drive.

# fsstat recover.dd | grep File

# fls recover.dd -r

d/d 11: lost+found
r/r 12: blogo.gif
r/- * 0: haxor2.bmp
r/- * 0: jimmy.doc
r/r 15: jn.jpg
r/r 16: lin_test.pdf
r/r 17: main_dive.jpg
r/r 18: n_lin_ss.pdf
r/r 19: sherry.jpg
r/r 20: stats.xls
r/r 21: test.ppt
d/d 31617: $OrphanFiles
+ -/r * 13: OrphanFile-13
+ -/r * 14: OrphanFile-14

Note as entradas r/- * 0: haxor2.bmp e r/- * 0: jimmy.doc possuem um * no inode e logo mais embaixo o endereço do inode, a partir do endereço do inode que será realziada a recuperação

#ils -rA recover.dd
class|host|device|start_time
ils|kali||1460223885
st_ino|st_alloc|st_uid|st_gid|st_mtime|st_atime|st_ctime|st_crtime|st_mode|st_nlink|st_size
13|f|0|0|1110477710|1110477710|1110477846|0|644|0|163878
14|f|0|0|1110477710|1110477710|1110477838|0|644|0|12800

Recuperando arquivo do inode 13 e 14

# icat -r recover.dd 13 > /root/haxor2.bmp
# icat -r recover.dd 14 > /root/recuperado2.doc