Recuperar un fichero de video

Todo sobre análisis forense de sistemas. Herramientas, tutoriales, etc.

Moderador: Moderadores

Recuperar un fichero de video

Notapor NeTTinG » Lun Ago 18, 2008 1:47 am

Hola:

Resulta que unos amigos han borrado un fichero de vídeo sin querer de la cámara digital... y me han comentado si podría recuperarlo...

La cámara digital es una SUPRATECH - SupraCam ZELUS HD High Definition 5.0 Megapixel. De estas que regalaban a través del periódico La Voz de Galicia y que tenías que recoger en el Carrefour.

La tarjeta SD que utiliza la cámara es de 8 GB.
Si se inserta directamente en el lector de tarjetas SD no la reconoce... Bueno, si. Crea la unidad lógica (SD/MMC) pero no se puede entrar en ella.

No se si es culpa del lector que no es capaz de leer tarjetas SD de 8 GB o por otros motivos...

Si conecto la cámara digital con la tarjeta SD al portátil a través de un cable USB. Se reconocen dos unidades lógicas.

- Una de 8 GB con FAT32.
- Otra e apenas 20 megas y con FAT.

En la primera es donde encontramos los ficheros generados por la cámara.

En la segunda no se encentra ninguna información "aparentemente" aunque las dos tienen la misma jerarquía de carpetas, que es la siguiente:

Código: Seleccionar todo
Unidad:
-DCIM: 100MEDIA: Ficheros.
-MISC:


Los ficheros generados por la cámara utilizan las siguientes extensiones:

*.MOV: Para vídeos.
*.JPG: Para imágenes.

La tarjeta esta protegida contra escritura. Pero no físicamente...

Antes de tener que tirar del EnCaSe e intentado buscar la solución de una manera menos laboriosa, más sencilla y "automática".

He tirado de:

- PC Inspector File Recovery. Muy sencillo e intuitivo aunque poco estable... Este programa es capaz de indicarme los ficheros que fueron eliminados, por lo menos los últimos. Y capaz de recuperarme algunos, aunque luego no pueda abrirlos...

Imagen

- PC Inspector smart recovery: Me dice que el dispositivo esta dañado y que no puede utilizarse la modalidad rápida. Por lo tanto utilizo la modalidad intensiva...

- Por último he utilizado, Photorec, que "a ciegas" he conseguido extraer información de la tarjeta, desde todos los vídeos, imágenes y demás ficheros localizados... Incluso he sido capaz de sacar los videos que creo que quieren mis amigos... pero también obtengo el mismo error...

Otra cosa. Desde que se cargaron el vídeo que les interesa no han vuelto a grabar nada en esa tarjeta SD.

¿Alguna idea?

Por cierto, el video es bastante largo... aunque no mucho... y esto no se si será un problema... creo que unos 120 megas...

Un saludo.
-
| Blog NeTTinG | Proyecto Destripando iOS |
_____________________________
Todos somos muy ignorantes. Lo que ocurre es que no todos ignoramos las mismas cosas. (Albert Einstein)
Todos recaerán en la necesidad de conocer la única y presumible verdad que el gran embudo emana. (Sire Netting)
Avatar de Usuario
NeTTinG
Wadalbertita
Wadalbertita
 
Mensajes: 6272
Registrado: Mar Sep 20, 2005 5:54 pm
Ubicación: Bajo la trampilla del décimo primer piso.

Notapor NeTTinG » Lun Ago 18, 2008 3:53 am

Hola:

Lo he intentado también con el GetDataBack para FAT en su versión 3.03... y aunque me saca también los ficheros de video *.MOV tampoco me deja abrirlos con el reproductor...

He probado con el BadCopy pro para restaurar/recuperar los ficheros pero nada...

Lo único que se me ocurre es hacer que la cámara piense que el fichero de vídeo NO está borrado...

A ver si Vic_Thor me puede iluminar un poco con el asunto...

Un saludo.
| Blog NeTTinG | Proyecto Destripando iOS |
_____________________________
Todos somos muy ignorantes. Lo que ocurre es que no todos ignoramos las mismas cosas. (Albert Einstein)
Todos recaerán en la necesidad de conocer la única y presumible verdad que el gran embudo emana. (Sire Netting)
Avatar de Usuario
NeTTinG
Wadalbertita
Wadalbertita
 
Mensajes: 6272
Registrado: Mar Sep 20, 2005 5:54 pm
Ubicación: Bajo la trampilla del décimo primer piso.

Notapor TuXeD » Lun Ago 18, 2008 11:32 am

Hola ;)

Yo tuve una de esas el otro día con fotos (también un amigo que las había borrado alegremente) y para no complicarme pasé el PhotoRec (parte de testdisk) y recuperó unas 40000 imagenes de todo su disco duro (os podéis imaginar todo lo que había por ahí :badgrin: ) entre ellas las fotos en cuestión.

Puedes probar el PhotoRec con la tarjeta de la cámara montada (o una imagen de la misma) e indicandole que recupere solo archivos mov.

Quizás también podrías tirar de The SleuthKit ( con Autopsy ) y ver los archivos que te muestra en la partición.

Un saludo
TuXeD
Wadalbertita
Wadalbertita
 
Mensajes: 1053
Registrado: Sab Ene 29, 2005 12:46 pm

Notapor NeTTinG » Lun Ago 18, 2008 12:52 pm

Hola:

Ya he utilizado el PhotoRec en Windows, aunque como he dicho "a ciegas", sin saber muy bien lo que hacia...

Me ha sacado un lote de información, pero ninguno de los ficheros *.MOV puede ser visualizado...

El tema es que puede abrir sin problema los *.JPG, los *.txt y los *.h. Que la verdad, estos ficheros no se que pintan aquí.

Voy a volver a intentarlo, por si las moscas...

Otro cosa, el fichero MOV que me interesa he podido extraerlo con diferentes utilidades que he probado. Lo que ocurre es que no me deja visualizarlo con VLC ni con QuickTime.

No se cual es el problema :roll: :roll: :(
| Blog NeTTinG | Proyecto Destripando iOS |
_____________________________
Todos somos muy ignorantes. Lo que ocurre es que no todos ignoramos las mismas cosas. (Albert Einstein)
Todos recaerán en la necesidad de conocer la única y presumible verdad que el gran embudo emana. (Sire Netting)
Avatar de Usuario
NeTTinG
Wadalbertita
Wadalbertita
 
Mensajes: 6272
Registrado: Mar Sep 20, 2005 5:54 pm
Ubicación: Bajo la trampilla del décimo primer piso.

Notapor NeTTinG » Lun Ago 18, 2008 1:39 pm

Hola:

No hay manera... Todos los ficheros *.MOV que recupero o bien no los abre por el error indicado o bien los abre pero no reproduce nada... :x :x

No entiendo por que pasa esto... si saco la información tal cual de los clusters no debería de tener ningún problema... :(

Un saludo.
| Blog NeTTinG | Proyecto Destripando iOS |
_____________________________
Todos somos muy ignorantes. Lo que ocurre es que no todos ignoramos las mismas cosas. (Albert Einstein)
Todos recaerán en la necesidad de conocer la única y presumible verdad que el gran embudo emana. (Sire Netting)
Avatar de Usuario
NeTTinG
Wadalbertita
Wadalbertita
 
Mensajes: 6272
Registrado: Mar Sep 20, 2005 5:54 pm
Ubicación: Bajo la trampilla del décimo primer piso.

Notapor Sor_Zitroën » Lun Ago 18, 2008 5:06 pm

Siento no poder aportar nada de valor a este post; sólo decir que a mí me pasó lo mismo con ficheros .mov recuperados, y al final lo dejé por imposible :(
[Padre] ¿Crees en el fracaso?
[Hijo] Sí
[Padre] Entonces lo experimentarás
Avatar de Usuario
Sor_Zitroën
-<|:·þ
-<|:·þ
 
Mensajes: 2064
Registrado: Vie Nov 25, 2005 2:01 am

Notapor vlan7 » Lun Ago 18, 2008 5:27 pm

Netting, para lo que quieres el photorec es lo mejor que puedes usar.

Creo que lo que te ocurre es un problema comun con videos largos (decias que ocupaba 100 y pico MB). La utilidad esa con archivos largos aun se vuelve un poco loca, y fragmenta tgdo. Con fotos no hay problema, pero con un mov de 100 MB si.

Tienes que tener un poco de intuicion en este caso Netting. Lo mas probable, o lo que yo me imagino que te hara la utilidad, es que tengas un monton de archivos relativamente pequeños, y con nombres no descriptivos. Algo como numeros.mov

Bien, yo lo que he hecho en estos casos es irme a un unix, y usar cat.

si tienes por ejemplo 2 archivos: 12.mov y 132.mov , algo como:

cat 12.mov 132.mov >archivo.mov

Tienes que intuir que archivos son, yo siempre me he encontrado que por lo menos estan ordenados por nombre a pesar de estar fragmentados.

Yo usaba un script como este:

Código: Seleccionar todo
#!/bin/bash
NUM=$1
while [ $NUM != $2 ]; do
OUT=`echo $OUT $NUM.mpg`
((NUM++)); done
cat $OUT


Y su uso es como sigue:

./unir.sh 7 78 >video.mov

Prueba esa idea Netting.

Suerte
There is a crack, a crack in everything That's how the light gets in. -subculture

zen7.vlan7.org
Avatar de Usuario
vlan7
<|:-D
<|:-D
 
Mensajes: 1176
Registrado: Dom Mar 05, 2006 11:16 pm
Ubicación: Mas alla del EIP

Notapor NeTTinG » Lun Ago 18, 2008 8:54 pm

Hola:

Gracias por la respuesta risperdal ;)

Buff!! Me crea muchísimos ficheros mov. Y por encima el vídeo que quiero recuperar ocupa unos 400 y pico megas... o eso es lo que me marca cuando extraigo el fichero con cualquiera de las utilidades citadas...

Con photorec saco directamente el vídeo que me interesa, pero no me deja reproducirlo. Vamos, que no lo fragmenta en ficheros más pequeños, por lo menos de esta forma.

No se si me explico.

Un saludo.
| Blog NeTTinG | Proyecto Destripando iOS |
_____________________________
Todos somos muy ignorantes. Lo que ocurre es que no todos ignoramos las mismas cosas. (Albert Einstein)
Todos recaerán en la necesidad de conocer la única y presumible verdad que el gran embudo emana. (Sire Netting)
Avatar de Usuario
NeTTinG
Wadalbertita
Wadalbertita
 
Mensajes: 6272
Registrado: Mar Sep 20, 2005 5:54 pm
Ubicación: Bajo la trampilla del décimo primer piso.

Notapor Arakiss » Mar Ago 19, 2008 3:09 pm

Antes de nada solo un pequeño apunte,si haces demasiados intentos de recovery te puedes cargar la informacion me ha pasado mas de una vez,por estar utilizando software que no servia para lo que necesitaba hacer.Para mi la mejor suite de recuperacion de datos es OnTrack Easy Recovery,porsupuesto que no es gratis pero es lo mejor que he visto hasta ahora.Si quieres te puedo proporcionar link a una pagina en internet donde puedes "comprar" el software.

Un saludo
//When I wrote this, only God and I understood that I was doing
//Now, God only knows

Imagen

https://petruarakiss.com
Avatar de Usuario
Arakiss
<|:-D
<|:-D
 
Mensajes: 1334
Registrado: Mié Ene 11, 2006 3:41 pm
Ubicación: Madrid

Notapor NeTTinG » Mar Ago 19, 2008 3:21 pm

Hola:

si haces demasiados intentos de recovery te puedes cargar la informacion me ha pasado mas de una vez


No entiendo el motivo :roll: :roll:

De todas maneras la unidad está protegida contra escritura. Lo mejor que se puede hacer en estos casos es una imagen, por ejemplo, con GetDataBack. Y luego trastear con ella.

Ahora te envío un PM.

Gracias.

Un saludo.
| Blog NeTTinG | Proyecto Destripando iOS |
_____________________________
Todos somos muy ignorantes. Lo que ocurre es que no todos ignoramos las mismas cosas. (Albert Einstein)
Todos recaerán en la necesidad de conocer la única y presumible verdad que el gran embudo emana. (Sire Netting)
Avatar de Usuario
NeTTinG
Wadalbertita
Wadalbertita
 
Mensajes: 6272
Registrado: Mar Sep 20, 2005 5:54 pm
Ubicación: Bajo la trampilla del décimo primer piso.

Notapor Arakiss » Mié Ago 20, 2008 12:11 pm

En este caso no habria problemas,haciendolo de esta manera que comentas sin embargo si estas "operando" directamente sobre el HDD y no lo proteges contra escritura te lo cargas literalmente,se me habia olvidado comentarlo.

PD:Ahora te mando el link....

Un saludo
//When I wrote this, only God and I understood that I was doing
//Now, God only knows

Imagen

https://petruarakiss.com
Avatar de Usuario
Arakiss
<|:-D
<|:-D
 
Mensajes: 1334
Registrado: Mié Ene 11, 2006 3:41 pm
Ubicación: Madrid

Notapor NeTTinG » Mié Ago 20, 2008 4:13 pm

Hola:

He probado con la aplicación que comentaba Arakiss y ocurre lo mismo que con las otras aplicaciones. Encuentra el fichero y lo recupera pero no se puede visualizar... Es como si recuperase mal el fichero...

Solo me queda una vía de escape... tirar de EnCaSe y hacerlo "a mano", a ver si ha Vic_Thor se le ocurre algo y puede ayudarme con el asunto.

Un saludo.

PD: Gracias a todos por participar en el hilo.
| Blog NeTTinG | Proyecto Destripando iOS |
_____________________________
Todos somos muy ignorantes. Lo que ocurre es que no todos ignoramos las mismas cosas. (Albert Einstein)
Todos recaerán en la necesidad de conocer la única y presumible verdad que el gran embudo emana. (Sire Netting)
Avatar de Usuario
NeTTinG
Wadalbertita
Wadalbertita
 
Mensajes: 6272
Registrado: Mar Sep 20, 2005 5:54 pm
Ubicación: Bajo la trampilla del décimo primer piso.

Notapor Arakiss » Mié Ago 20, 2008 8:23 pm

¿Que opcion has utilizado para la recuperacion de los archivos,utilizando el software?Aparte de eso,al intentar visualizar el archivo en cuestion,no te marca ningun tipo de error?

Un saludo
//When I wrote this, only God and I understood that I was doing
//Now, God only knows

Imagen

https://petruarakiss.com
Avatar de Usuario
Arakiss
<|:-D
<|:-D
 
Mensajes: 1334
Registrado: Mié Ene 11, 2006 3:41 pm
Ubicación: Madrid

Notapor Vic_Thor » Mié Ago 20, 2008 9:07 pm

Antes de nada haz una imagen completa de la SD (como ya te he dicho por pm) para poder restaurarla en otro disco y trabajar con ella... de ese modo no hay miedos a perder información en las recuperaciones posteriores.

Haz una en bruto con dd o similares y otra con una herramienta forense.

Después ya veremos... pásame esa imagen de videos comprometedores (a ver que me encuentro, jajaja, porque ufff... tengo una anécdota de un juicio estupenda con una recuperación de un vídeo de un grabado en un tel movil)

Ya me dirás.
Vic_Thor
Gran Wadalbertita
Gran Wadalbertita
 
Mensajes: 855
Registrado: Vie Ene 28, 2005 11:56 pm

Notapor envor » Jue Ago 21, 2008 1:13 am

Prueba con Pandora Recovery, lo he probado y me ha funcionado. Es en español y gratuito. Espero que te sirva
Avatar de Usuario
envor
:-D
:-D
 
Mensajes: 96
Registrado: Lun Jul 14, 2008 1:15 pm

Siguiente

Volver a Análisis Forense

¿Quién está conectado?

Usuarios navegando por este Foro: No hay usuarios registrados visitando el Foro y 1 invitado

cron