Introducción a Foremost, herramienta de File carving

1
515
views

Foremost  es una herramienta forense para recuperar archivos basándose en sus cabeceras, y estructuras internas, en al área forense se le llama File carving o data carving.

Foremost puede trabajar con imagen forenses generadas por dd, Safeback,Encase, etc, o directamente desde el Disco duro.

Foremost
Clic para hacer la imagen más grande

 

Foremost cubre los siguientes tipos de archivos

 
Extensión Descripción
jpg Soporte para los formatos JFIF y Exif incluidas las implementaciones utilizados en las cámaras digitales modernas .
gif
png
bmp Soporte para el formato BMP de Windows .
avi
exe Soporte para archivos binarios de Windows PE , que va a extraer los archivos DLL y EXE junto con sus tiempos de compilación .
mpg Soporte para la mayoría de los archivos MPEG ( debe comenzar con 0x000001BA )
wav
riff Esto extraerá AVI y RIFF ya que utilizan el mismo formato de archivo ( RIFF ) . Es más rápido que ejecutar cada uno por separado
wmv Puede que extraiga- archivos wma, ya que tienen el mismo formato
mov
pdf
 ole Esto va a agarrar cualquier archivo utilizando la estructura de archivos OLE . Esto incluye PowerPoint , Word , Excel , Access y StarWriter
 doc  Es más eficiente ejecutar OLE para sacar mejor partido a la búsqueda . Si deseas ignorar todos los otros archivos ole utiliza doc
zip Extraerá archivos jar debido a que utilizan un formato similar. Los documentos Open Office solo son archivos XML comprimido así que son extraídos. Estos incluyen SXW , SXC , SXI y SX ? para los archivos de OpenOffice indeterminados .
rar
htm
 cpp  Detección de código fuente C , tenga en cuenta este es primitivo y puede generar documentos que no sean de código C

Puedes modificar / etc / foremost.conf para añadir soporte para más tipos de archivos .

Uso de Foremost

Lo primero es echar un vistazo al manual de foremost y para eso tecleamos

man foremost

foremost options
Clic para hacer la imagen más grande

Una vez hecho esto podemos observar el manual de Foremost y la explicación de su sintaxis de uso.

Ejemplos

Ahora realizaremos algunos ejemplos de su funcionamiento. Para realizar estas pruebas descargue una imagen forense, la cual pueden descargar aqui.

1. Recuperar todos los archivos que estén dentro de la imagen sin importar su tipo

foremost -t all -i 11-carve-fat.dd

foremost ejemplo1
Clic para hacer la imagen más grande

Automáticamente te crea una carpeta output, justo en el directorio donde estés trabajando con tu imagen.

2. Búsqueda de un solo tipo de archivo.

foremost -t jpg -i 11-carve-fat.dd

foremost un solo archivo
Clic para hacer la imagen más grande

En nuestra carpeta output encontraremos los archivos recuperados dentro de una carpeta con el nombre del tipo de archivo en este caso jpg.

3. Búsqueda de 2 o más diferentes tipos de archivos

foremost -t jpg,gif,pdf -i 11-carve-fat.dd

Foremost busqueda multi archivos
Clic para hacer la imagen más grande

En esta siguiente expresión se observa que solo busco los 3 tipos de archivos que indicamos.

4- Búsquedas con una salida especifica.

foremost -t jpg -o evidencias -i 11-carve-fat.dd

evidencia
Clic para hacer la imagen más grande

aquí nos ha creado una carpeta llamada “evidencias” donde se guardaran los archivos encontrados en lugar de la carpeta predeterminada output.

4.Auditar la imagen

foremost -av 11-carve-fat.dd

foremost audit
Clic para hacer la imagen más grande

Esta sentencia nos permite auditar la imagen completamente, mostrando todos los archivos dentro de la imagen, junto con un resumen de todo lo encontrado al final.

5. Búsqueda con time stamp y archivos de office.

foremost -T -t ole -i 11-carve-fat.dd

Click hacer mas grande la imagen
Clic para hacer la imagen más grande

Esta opción crea una carpeta de salida con un Time stamp ( fecha y hora) y busca específicamente archivos de office.

6. Analizar una unidad, en este caso una USB.

sudo foremost -t jpg,png -o usb -i /dev/sdb4

Clic para hacer la imagen más grande
Clic para hacer la imagen más grande

Una vez realizado esto, obtenemos la carpeta con los archivos encontrados dentro de la memoria USB. Cabe mencionar que para realizar estas pruebas utilice el sistema operativo libre DEFT Linux la versión 7.2.

 

Nota: Pueden descargar el pdf en el icono que se muestra en la parte de abajo.

 

Toda la información proporcionada en este medio es para fines educativos, en ningún caso alguno se hace responsable e cualquier mal uso de la información. Toda la información es para el desarrollo e investigación de métodos de seguridad informática.

No olvides visitar nuestra hacking shop

shop