Forensics in Spanish
Re: Recuperación de información Feb 16 2006 06:30PM
Christian Charette (ccharette Lastminute com)
Si conectas el disco a una caja linux al menos es detectado? De ser asi en el peor de los casos saca la info de el cuanto antes usando netcat y dd, despues podes usar cualquier editor para analizar el disco, generalmente las herramientas q vienen en la distro "auditor" de linux son mas q suficiente.

Eso si, por ahi termines recuperando pedazos de info y no el disco entero... (Por ahi ni siquiera un archivo entero) :(

Anyway, proba si podes sacar la info cuannto antes de la unidad danadam avisame si necesitas referencias del uso de netcat y dd, aunq va a ser mas rapido googlearlo calculo.

Buena suerte!!!

C.

-----Original Message-----

From: Francisco Rodrigo Cortinas Maseda <francisco.cortinas (at) jazztel (dot) com [email concealed]>

To: Claudio Castro <ccastro (at) unr.edu (dot) ar [email concealed]>; forensics-es (at) securityfocus (dot) com [email concealed] <forensics-es (at) securityfocus (dot) com [email concealed]>

Sent: Wed Feb 15 17:41:00 2006

Subject: RE: Recuperación de información

Knoppix.

-----Mensaje original-----

De: Claudio Castro [mailto:ccastro (at) unr.edu (dot) ar [email concealed]]

Enviado el: miércoles 15 de febrero de 2006 16:40

Para: forensics-es (at) securityfocus (dot) com [email concealed]

Asunto: Recuperación de información

Que tal?

Necesito sus opiniones en cuanto al siguiente incidente. Un disco SCSI

de uno de mis servidores se daño, ya que no puedo acceder logicamente a

ninguna de sus particiones, sin embargo si es detectado fisicamente. Al

conectar el disco en caliente en otro servidor este es detectado por

windows (figura en la lista de dispositivos) pero no aparecen las

unidades logicas del mismo. A su ves, cada ves que se tiene accesso al

disco este realiza unos clasicos ruidos de cabezales.

Quisiera saber cual es el mejor procedimiento y herramientas que

recomiendan dada su expericiencia personal para intentar recuperar la

mayor información almacenada en el mismo. Si son libres mejor. Como dato extra sistema de archovos es NTFS.

Muchas gracias y espero sus comentarios.

**********************************************************************

This email and any files transmitted with it are confidential and

intended solely for the use of the individual or entity to whom they

are addressed. If you have received this email in error please notify

the system manager.

This footnote also confirms that this email message has been swept by

MIMEsweeper for the presence of computer viruses.

www.mimesweeper.com

**********************************************************************

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2//EN">

<HTML>

<HEAD>

<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=utf-8">

<META NAME="Generator" CONTENT="MS Exchange Server version 6.5.7638.1">

<TITLE>Re: Recuperación de información</TITLE>

</HEAD>

<BODY>

<!-- Converted from text/plain format -->

<P><FONT SIZE=2>Si conectas el disco a una caja linux al menos es detectado? De ser asi en el peor de los casos saca la info de el cuanto antes usando netcat y dd, despues podes usar cualquier editor para analizar el disco, generalmente las herramientas q vienen en la distro "auditor" de linux son mas q suficiente.<BR>

Eso si, por ahi termines recuperando pedazos de info y no el disco entero... (Por ahi ni siquiera un archivo entero) :(<BR>

<BR>

Anyway, proba si podes sacar la info cuannto antes de la unidad danadam avisame si necesitas referencias del uso de netcat y dd, aunq va a ser mas rapido googlearlo calculo.<BR>

<BR>

Buena suerte!!!<BR>

<BR>

C.<BR>

<BR>

-----Original Message-----<BR>

From: Francisco Rodrigo Cortinas Maseda <francisco.cortinas (at) jazztel (dot) com [email concealed]><BR>

To: Claudio Castro <ccastro (at) unr.edu (dot) ar [email concealed]>; forensics-es (at) securityfocus (dot) com [email concealed] <forensics-es (at) securityfocus (dot) com [email concealed]><BR>

Sent: Wed Feb 15 17:41:00 2006<BR>

Subject: RE: Recuperación de información<BR>

<BR>

Knoppix.<BR>

<BR>

<BR>

<BR>

-----Mensaje original-----<BR>

De: Claudio Castro [<A HREF="mailto:ccastro (at) unr.edu (dot) ar [email concealed]">mailto:ccastro (at) unr.edu (dot) ar [email concealed]</A>]<BR>

Enviado el: miércoles 15 de febrero de 2006 16:40<BR>

Para: forensics-es (at) securityfocus (dot) com [email concealed]<BR>

Asunto: Recuperación de información<BR>

<BR>

<BR>

Que tal?<BR>

<BR>

Necesito sus opiniones en cuanto al siguiente incidente. Un disco SCSI<BR>

de uno de mis servidores se daño, ya que no puedo acceder logicamente a<BR>

ninguna de sus particiones, sin embargo si es detectado fisicamente. Al<BR>

conectar el disco en caliente en otro servidor este es detectado por<BR>

windows (figura en la lista de dispositivos) pero no aparecen las<BR>

unidades logicas del mismo. A su ves, cada ves que se tiene accesso al<BR>

disco este realiza unos clasicos ruidos de cabezales.<BR>

Quisiera saber cual es el mejor procedimiento y herramientas que<BR>

recomiendan dada su expericiencia personal para intentar recuperar la<BR>

mayor información almacenada en el mismo. Si son libres mejor. Como dato extra sistema de archovos es NTFS.<BR>

<BR>

Muchas gracias y espero sus comentarios.<BR>

</FONT>

</P>

<FONT SIZE=3><BR>

<BR>

**********************************************************************<B
R>

This email and any files transmitted with it are confidential and<BR>

intended solely for the use of the individual or entity to whom they<BR>

are addressed. If you have received this email in error please notify<BR>

the system manager.<BR>

<BR>

This footnote also confirms that this email message has been swept by<BR>

MIMEsweeper for the presence of computer viruses.<BR>

<BR>

www.mimesweeper.com<BR>

**********************************************************************<B
R>

</FONT>

</BODY>

</HTML>

[ reply ]


 

Privacy Statement
Copyright 2010, SecurityFocus