Estoy intentando encontrar cualquier archivo o carpeta en una tarjeta SD.
Actualmente lo he estado viendo con Foremost, pero sin éxito. Sé con certeza que el sistema de archivos en la tarjeta SD no es estándar y no está disponible públicamente / Creo que esto está causando problemas con la detección de talla de datos de Foremost.
¿Es mi única opción examinar la memoria por sí misma? Si es así, ¿qué herramienta o texto es mejor utilizar para esta tarea?
Imagine la SD en un archivo RAW en un SSD, luego use magicrescue, ante todo, photorec, scalpel. Cuando esto falla (fallará), busque números mágicos para encontrar los tipos de archivos deseados (el taller HEX es bueno), y los arroja en hexadecimal. Desde el hex, reconstruir los archivos con python / perl. La excelente función pack() de Perl es tu amiga, y Python también la tiene.
El tallado de datos (con algo como Foremost) funciona fuera del sistema de archivos, al mirar directamente el almacenamiento de datos, por lo que de alguna manera no se ve afectado por el sistema de archivos. Pero, por supuesto, depende en cierto modo de cómo el sistema de archivos almacena los datos. Los sistemas de archivos más comunes comúnmente almacenan datos en áreas contiguas y es por eso que el tallado de archivos funciona y puede recuperar archivos completos. Supongo que es posible que algunos sistemas de archivos desconocidos dispersen pequeños fragmentos de datos, lo que hace que sea mucho más difícil detectar los archivos y realmente es realmente difícil reunir todos los archivos. También es posible que los datos estén encriptados o codificados de alguna manera por este.
Photorec funciona bien recuperando archivos de datos en bruto (sin tener en cuenta cualquier sistema de archivos) para muchos diferentes tipos de archivo según los identificadores para cada tipo de archivo admitido). Es gratis y de código abierto. También hay otras buenas herramientas de código no abierto como R-studio y ReclaiMe.
¿Qué tipos de archivos vas a buscar? Algunos son más fáciles de tallar que otros. Algunos incluso pueden tener que tallar completamente manualmente. Como dije, también es posible que los datos estén encriptados o codificados de alguna manera si no encuentra nada con los tipos de archivos comunes. ¿Has visto algo de eso en un editor hexadecimal? Winhex es una buena opción para Windows. Ese podría ser un buen paso para tener una idea de lo que hay allí. De lo contrario, podrías estar haciendo girar las ruedas.
Una herramienta llamada Scalpel puede funcionar en sistemas de archivos no estándar. Míralo aquí
Lea otras preguntas en las etiquetas forensics file-system data-recovery sd-card