Saludos: > Hola colegas. > > Por acá por mi empresa tenemos un problema "pequeño". Un técnico IT de > nuestro departamento por accidente reparticionó un HDD con windows XP para > reisntalar este sistema en un equipo de Contabilidad, pero olvidó hacer > backup de la partición de trabajo. > > He estado mirando las distintas herramientas forenses que vienen en los > paquetes de Lenny y la gran mayoría informan o recuperan archivos que > coincidan con patrones buscados. Pero mi pregunta en cuestión es si existe > una herramienta que me permita recuperar la partición ntfs antigua? >
Decir que Análisis Forense o Cómputo Forense NO es recuperación de archivos, una de las fases es recuperar archivos o particiones perdidas, ocultas, etc. Tener siempre en claro ello. > Algunos articulos de análisis forense que he leído comentan la posibilidad > de recuperar información de discos que han sido reparticionados/formateados. > Algún colega tiene alguna experiencia al respecto que pueda ayudarnos a > recuperar el trabajo perdido en el disco. > Te sugiero que hagas una copia bit a bit de todo el disco duro, bloqueando el acceso de escrito a dicha unidad, y utilizar un simple dd o dcfldd para hacer la imagen exacta. Luego de ello, puede aplicar las herramientas que gustes sobre la copia, sin preocuparte de dañar nada. Claro está, si vas a jugar con la copia haz una copia más y verifica cambios en ellas utilizando hash. Repito, ya luego puedes jugar con las herramientas, con la seguridad de no dañar el original. Atte: -- Alonso Eduardo Caballero Quezada aka ReYDeS - [email protected] Brainbench Certified Computer Forensics (U.S.) - SSP-CNSA www.npros.com.pe - www.ReYDeS.com - www.PeruSEC.org - LRU #307242 -- To UNSUBSCRIBE, email to [email protected] with a subject of "unsubscribe". Trouble? Contact [email protected] Archive: http://lists.debian.org/[email protected]
