search

Foremost y Scalpel

Contenido

PARTE 1 2

CREACION DISCO 2

INTRODUCCION DE FICHEROS Y POSTERIOR BORRADO 4

PARTE 2 6

FOREMOST 6

SCALPEL 9

hashtag
PARTE 1

hashtag
CREACION DISCO

Vamos a comenzar creando el disco en nuestra maquina kali y montándolo:

Luego una vez arrancada la maquina vamos a listar los discos conectados a ella:

Como podemos ver nuestro disco de 256MB esta en /dev/sdc/

Asi que ahora vamos a crearle las particiones:

Para comenzar a configurar hay que escribir “n”

Luego elegimos que tipo de partición tendrá si primaria o extendida. Luego el numero de particiones y donde comenzara y terminara el primer y ultimo sector respectivamente.

Por ultimo escribimos “w”.

A continuación vamos al gparted y formateamos el disco como fat32:

Ahora tendríamos solo que montar el disco:

Con el comando sudo mount /dev/sdc1

hashtag
INTRODUCCION DE FICHEROS Y POSTERIOR BORRADO

Ahora que ya contamos con el nuestro disco de 256mb formateado en fat32 vamos a añadirle información:

Lo siguiente será borrar algunos archivos , en este caso será el archivo flag.txt y el zip del autofirma:

Y una vez hecho esto pasamos a generar nuestra imagen.Para esta ocasión utilizaremos la herramienta dcfldd:

Y como podemos ver ya tenemos generado nuestra imagen .dd , ya solo faltaría subirla al one drive.

hashtag
PARTE 2

hashtag
FOREMOST

A continuación vamos a proceder a descargar la imagen de un compañero y analizarla con foremost:

Una vez tenemos descargada la imagen del compañero vamos a actualizar foremost en nuestro equipo en caso de que sea necesario:

Ahora simplemente ejecutamos el siguiente comando

Con el –i indicamos el archivo desde el cual recuperar información. Y con el –o el nombre del directorio donde se guardaran los archivos.

Una vez que haya terminado el proceso vamos a ver que ha recuperado:

Si mostramos el contenido del archivo audit.txt que se genera siempre con foremost veremos un resumen de lo que recupero:

Si navegamos un poco por el directorio podemos ver los diferentes archivos:

hashtag
SCALPEL

Comenzaremos configurando el archivo /etc/scalpel/scalpel.conf:

Y descomentaremos los archivos png y jpg. Una vez hecho esto lanzaremos el comando para que recupere dichos archivos:

Y podemos ver como ha recuperado los mismos archivos que recuperamos con foremost.

CONCLUSION

Me ha gustado la practica , aunque la primera parte si sabia como se hacia de las practicas anteriores. La suma de estas dos herramientas , tanto foremost como scalpel creo que es muy buena. Me parecen que funcionan muy rápido y tienen bastante versatilidad de configuración. Estoy seguro que en un futuro podrán ser muy útiles.

PreviousPractica2.1 dcflddNextPractica2.3 Crear imagen dd en red con kali forense

Last updated