Recuperación de información
1. Identificar el disco
Partimos de que tenemos una imagen de disco que queremos restaurar ya que se encuentra dañada. Lo primero es intentar identificar que tipo de sistema de particiones utiliza y para ello vamos a intentar identificarlo a bajo nivel.
Automáticamente vemos como detecta el tipo MBR
Ahora sabiendo esta información tenemos dos opciones:
- Restaurar la tabla de particiones para poder montar la imagen
- Intentar extraer los datos del disco con programas especializados
2. Restaurar la tabla MBR
Testdisk
Primero vamos a tomar la opción de restaurar la tabla de particiones para poder montar la imagen y acceder al contenido. Para esto vamos a hacer uso del siguiente software.
Montar la imagen de disco con FTK
Para facilitar el trabajo vamos a montar la imagen a recuperar usando FTK y activar la escritura en el mismo
Activar la escritura en el disco
Ejecutar TestDisk
Ahora podemos ejecutar Testdisk_win que encontramos en la carpeta descargada
Veremos que si nos muestra el disco montado, lo seleccionamos
Debemos tener en cuenta que al tratarse del sistema MBR debemos seleccionar la opcion INTEL/PC
Analizamos el disco en busca de particiones
No detecta particiones a simple vista, damos en busqueda rápida
Rápidamente detecta una partición NTFS, la seleccionamos
Escribimos los cambios
Comprobación
Listo, en principio debemos tener recuperado el sistema de archivos y ser accesible desde FTK.
Aprovechamos que tenemos el disco montado con el mismo y vamos a comprobar que podemos acceder.
Acceso completo a los archivos del disco
Información adicional
Adicionalmente ahora podemos verificar que sistemas de archivos tiene el disco mediante la comprobación del disco nuevamente con Active disk editor
Ahora si detecta la partición correcta
3. Extracción de datos sin recuperar MBR
Para este método vamos a ver tres programas de extracción de datos
Bulk Extractor
Version 1.5.0 graphical installer with Windows GUI
Importamos la imagen del disco dañada y añadir un directorio de salida
En el icono del engranaje podemos importar
Una vez haya extraido los datos los muestra como un registro de tareas que se han realizado, url visitadas, emails, archivos zip, etc…
También podemos ver los datos raw de los archivos del disco
Autopsy
Este software es uno de los más conocidos y utilizados debido a su versatilidad.
Vamos a ver que datos consigue extraer del disco.
Creamos un caso de prueba
Seleccionamos la imagen del disco y dejamos el resto por defecto hasta ejecutar
Si analizamos el contenido vemos que realmente si a completado la extracción de los archivos que hay en el disco.
Si hacemos click derecho en cualquiera de los documentos o ficheros podremos extraerlos.
Vemos que tambíen nos extrae metadatos de ciertos rastros que pueden ser interesantes
Photorec Testdisk
Por último vamos a usar la extensión photorec del software anteriormente utilizado Testdisk.
Aunque inicialmente fue pensado para recuperar imágenes es capaz de recuperar cualquier tipo de archivo y es muy intuitivo.
Lo tenemos disponible en la misma carpeta que descargamos de testdisk.
Ejecutamos qphotorec_win
Importamos la imagen del disco dañado y seleccionamos el directorio de salida
Como ya sabemos con anterioridad que es sistema NTFS lo seleccionamos
Ejecutamos y sin más pasos simplemente indica los archivos que ha recuperado.
Si vamos al directorio de salida los podremos encontrar.
Se trata de una herramienta sencilla pero potente aunque como su enfoque no es de análisis forense no proporciona tanta información como los anteriores programas.
4. Recuperación de arranque windows XP
Para esta sección vamos a intentar recuperar el arranque dañado de una máquina windows XP mediante testdisk.
El software de virtualización es virtualbox
Versión de windows xp funcionando
Dañar el arranque
En este caso vamos a usar una imagen live de kali linux para poder dañar el disco de arranque de windows. Simplemente añadimos la imagen a la máquina y arrancamos desde linux
Una vez en kali
1
sudo fdisk -l
Identificamos el disco del sistema windows /dev/sda1
1
sudo dd if=/dev/zero of=/dev/sda1 bs=512 count=1
Escribe ceros en los primeros 512 bytes
Podemos comprobar que el daño es correcto
Reparación con Testdisk
Ahora vamos a intentar reparar el sistema haciendo uso de testdisk.
Hemos usado kali linux porque contamos con la ventaja de que viene preinstalado por lo que será más rápido.
1
sudo testdisk /dev/sda1
Seleccionamos que no existen particiones
Indica que el sector de arranque está dañado pero el de respaldo es válido
Elegimos la opción de backup boot sector
Si comprobamos de nuevo la integridad veremos que indica el sector de arranque correctamente
Reparación con windows
Si no conseguimos arrancar de nuevo el sistema windows XP podemos intentar recuperar el arranque con el disco de instalación de windows
Presionamos R
Dentro del sistema hacemos lo siguiente
1
2
3
fixmbr
fixboot
bootcfg /rebuild
Escribimos fixmbr y aceptamos con s
Escribimos fixboot y aceptamos con s
Escribimos bootcfg /rebuild, aceptamos con s y presionamos enter dos veces.
Ahora reiniciamos escribiendo exit y al reiniciar ya tendremos el sistema de arranque arreglado.
5. Recuperación de arranque windows 7
Ahora vamos a realizar el mismo proceso pero de un sistema windows 7 en dualboot con debian
Comprobación
Vemos que el sistema windows es funcional
Proceso de dañar el arranque
Este proceso es exactamente igual que el anterior, arrancaremos kali live ya que el debian existente está desactualizado y tiene problemas de repositorios.
Visualizamos las particiones del disco
En la primera partición donde indica boot es la que neceistamos modificar
Comprobación de arranque
El sistema de arranque no funciona para windows 7
Reparación con Testdisk
De nuevo arrancamos kali linux para reparar el sistema de arranque
1
sudo testdisk /dev/sda1
None
Boot
Backup BS
Ahora reiniciamos para comprobar el arranque de windows
Comprobación de arranque reparado
Ahora al reiniciar y arrancar desde la partición de windows 7 todo funcionará correctamente
