Scalpel Recuperar archivos borrados

borradoScalpel es de esas utilidades en GNU/Linux, al estilo de PhotoRec o Foremost, que nos permite recuperar los archivos que hemos borrado accidentalmente en nuestro equipo.

Scalpel (“bisturí”) como su nombre indica, nos permite diseccionar los archivos,  utilizando una técnica que se basa  en los encabezados, pies de página y estructura interna de los mismos, que le facilita acceder a la de la base de datos de bloques donde están los archivos borrados, identificarlos y recuperarlos casi al instante,lo que le convierte en una herramienta muy útil tanto para la investigación forense digital, como a la hora de restaurar nuestros datos.

Es una técnica conocida como File Carving (supongo que la traducción será “talla de archivo” o algo así!) que además tiene la ventaja de poder recuperar datos, independientemente del sistema de archivos utilizado: FAT, NFTS, EXT, HFS+ etc…pero mejor no nos enrollarnos con la teoría, vamos a ir al grano y lo primero que tenemos que hacer es…

Instalar Scalper

En esta ocasión utilicé Lubuntu en vez de mi querida openSUSE, así que los que tengáis esta distro o similar, como son las derivadas de Debian, Ubuntu o la propia Linux Mint tan solo tenéis que hacer:

sudo apt-get install scalpel

Recuperando archivos

Después de instalarlo necesitamos editar el archivo de configuración (lo podéis encontrar en esta ruta /etc/scalpel/scalpel.conf),  y descomentar (quitar el símbolo #) las lineas correspondientes a las extensiones que nos interesa recuperar.

En mi caso voy a intentar recuperar unos archivos .jpg en mi pendrive, así que descomento la linea que corresponde a esa extensión.

scalpel_2-0-2_configAhora solo precisamos ejecutar el comando

sudo scalpel [nombre_partición /carpeta_a_recuperar ] -o [directorio_de_salida]

En nuestro ejemplo sería algo así:

sudo scalpel dev/sdb1 -o prueba

Unos minutos después vemos que hemos recuperado unos cuantas fotos (más de 1000…)

scalpel_2-0-3_configse nos crea un par de carpetas con los archivos recuperados y un log de salida

scalpel_2-0-4_finaly aquí tenemos las pruebas del delito

scalpel_2-0-5_finalComo ven una herramienta fantástica, que no es que haga milagros pero… casi, casi…

Fuente