Esquina Forense: Recuperando archivos con Photorec

¿Cuántas veces nos hemos topado con el problema que eliminamos información que pensamos que no iba a ser útil y resultó que sí lo era? ¿Cuántos clientes nos solicitan que recuperemos archivos de sus memorias USB, de sus MicroSD o algún otro medio de almacenamiento? y más importante aún ¿Cuánta información podemos encontrar en un medio de almacenamiento que es evidencia y ha sido eliminada intencionalmente o no?

En nuestro mundo Forense Informático, una de las tareas más comunes es realizar recuperación de archivos eliminados de una evidencia, ya sea que conozcamos que está eliminado o no. Para ello, una de las herramientas más eficaces que encontramos, en forma gratuita, es Photorec.

En esta entrada demostraremos cómo se utiliza la herramienta y lo eficaz que es al momento de realizar recuperación de archivos, para ello necesitaremos lo siguiente:

  • Medio de almacenamiento con información eliminada. (Evidencia)
  • Computadora con sistema operativo Linux (Kali en mi caso)
  • Photorec (lo puedes descargar desde aquí y existe para diferentes Sistemas Operativos)
  • Medio de almacenamiento mayor a nuestra Evidencia (Acá se almacenará lo recuperado).

Para nuestro ejercicio he utilizado una MicroSD de 2Gb a la cual le he copiado 1,353 archivos variados, tanto en la raíz, como en carpetas.

Para poder recuperar los archivos tuve que formatear la MicroSD y así «eliminar por completo» los archivos que contenía.

Paso 1

He iniciado sesión en mi laptop con Kali Linux y ya tengo instalado Photorec, por lo cual desde la consola he escrito «photorec» (sin las comillas) y ha iniciado la herramienta, mostrando los diferentes medios de almacenamiento conectados a mi laptop. El que me interesa en este caso es el /dev/sdg y selecciono «[Proceed]»

Paso 2

Photorec nos da la oportunidad de seleccionar una de las particiones que posee el medio de almacenamiento o el medio de almacenamiento completo (Whole disc) para realizar la extracción, esto va a depender de cada caso, yo lo hice completo. y luego seleccionamos «[Search]».

Si lo que buscas es un archivo con una extensión específica, puedes seleccionar «[File Opt»] y dentro puedes marcas o desmarcar las extensiones conocidas por Photorec y así minimizas el tiempo de búsqueda; cuando finalizas, presionas «b» para guardar los cambios.

Paso 3

Ya que se ha seleccionado la Evidencia, la partición y el tipo de archivo a recuperar, es necesario especificar qué tipo de Sistema de Archivos posee la Evidencia; en mi caso es Fat32 por los cual seleccioné «[Other]»

Paso 4

Photorec necesita saber la ruta de almacenamiento de los archivos recuperados, por lo cual necesitamos especificarle una carpeta creada con anterioridad para el almacenamiento. Al tener la ruta lista, presionamos «c» y automáticamente Photorec iniciará la recuperación

Paso 5

Esperamos que termine el proceso de recuperación y podremos observar la cantidad de archivos que fueron recuperados.

¡HECHO!

Podemos observar que recuperó 1,121 archivos de los 1,353 que contenía la MicroSD antes de ser formateada. Esta herramienta es una de las mejores que existen en el área forense informática y es recomendable para poder recuperar la información necesaria.

Comentario final: Hice la misma prueba con Photorec para Windows y recuperó la misma cantidad de archivos, la diferencia fue en tiempo, el Linux transcurrió alrededor de 7 minutos y en Windows transcurrió alrededor de 4 horas.

Recuerda que en Noise-SV somos especialistas en Informática Forense y que nuestros servicios son de calidad y confianza, no dudes en contactarnos cuando necesites de ellos.

About the author: René Marenco

Perito en casos de Delito Informático, Informático Forense, Analista y Extractor de información de Dispositivos Móviles CCLO y CCPA, Ethical Hacker, Especialista en Cibercrimen, Cybersecurity Researcher, Pentester, Instructor certificado de Cibercrimen por UNODC.

Leave a Reply

Your email address will not be published.