Latest Event Updates

ProcessDoppelgänging: nueva técnica de evasión de Antivirus

Posted on

Un equipo de investigadores de seguridad informática ha descubierto un nuevo malware de técnicas de evasión que podría ayudar a otros autores de malware a derrotar la mayoría de las soluciones de antivirus modernos y herramientas del forense

El apodado proceso Doppelgänging es un nuevo código inyectado sin archivos cuya técnica tiene ventajas en las funciones Preconstruidos de Windows y una implementación sin documentos de los procesos cargados de Windows

Los investigadores de seguridad informática de Ensilo Tal Liberman and Eugene Kogan quienes descubrieron este ataque, presentaron sus hallazgos hoy en la conferencia llevada cabo en Londres en el Black Hat 2017 Security conference.

Funciona en todas las versiones de Windows

Aparentemente el ataque proceso Doppelgänging funciona en todas las versiones modernas de sistema operativo de Microsoft Windows empezando por Windows vista hasta la versión de Windows 10.

Tal Liberman, la cabeza del equipo de investigación de EnSilo comunicó que esta invasión del malware es similar al proceso Hollowing, un método que se introdujo hace años por atacantes para vencer las capacidades de mitigación de los productos de seguridad informática.

En el proceso del Hollowing, los hackers remplazan la memoria de procesos legítimos con un código malicioso para que el segundo código se ejecute en lugar del original engañando a las herramientas de monitoreo y al antivirus haciéndoles creer que el proceso original está siendo ejecutado.

Desde que los antivirus modernos y productos de seguridad informática han sido mejorados para detectar procesos de ataque como Hollowing, el uso de esta técnica no es tan buena idea.

Por otra parte, el proceso Doppelgänging es un enfoque completamente diferente que logra lo mismo, abusando de las transacciones de NTFS de Windows y una implementación obsoleta del cargador del proceso, que originalmente fue diseñado por Windows XP, pero cargado a través de las versiones posteriores de Windows.

¿Cómo funciona el ataque del Doppelgänging?

Antes de adentrarnos en cómo esta inyección del código funciona,  necesitas entender lo que es una transacción NTFS de Windows y como un hacker puede aprovecharlo para llevar a cabo sus acciones.

La transacción NTFS es una función de Windows que trae el concepto de transacciones atómicas al archivo del sistema NTFS, permitiendo que archivos y directorios sean creados modificados renombrados y eliminados automáticamente

La transacción NTFS es un espacio apartado que permite que los desarrolladores de la aplicación de Windows, escriban las rutinas de un archivo output que están aseguradas que van a salir completamente exitosas o a fallar absolutamente, nos menciona Jim Gil, un experto de seguridad informática de International Institute of Cyber Security (IICS).

Según el investigador, ProcessDoppelgänging es un ataque sin archivos y funciona en cuatro pasos que mencionamos a continuación:

  1. Transact- procesa una ejecución legitima a la transacción NTFS y luego lo sobre-escribe con un archivo malicioso
  2. Load- crea una sección de memoria desde el archivo malicioso
  3. Rollback- reduce la transacción, (deliberadamente hace que falle), resultando en que se tengan que quitar todos los cambios en la ejecución legitima como si nunca hubieran existido
  4. Animate- trae al doppelganger (la copia) a la vida. Utiliza la vieja implementación del cargador de procesos de Windows para crear procesos con la memoria previamente creada (en el paso 2), que es maliciosa y jamás fue guardada en el disco, “haciéndola invisible para la mayoría de las herramientas de grabación tales como EDRs modernos”.

El ProcessDoppelgänging  evade la detección de la mayoría de los antivirus

product

Liberman comentó en The Hacker News que durante su investigación probaron el ataque en productos de seguridad informática de Windows Defender, KasperskyLabs, ESET NOD32, Symantec, Trend Micro, Avast, McAfee, AVG, Panda, e incluso en herramientas avanzadas del forense.

Para demostrarlo, los investigadores utilizaron Mimikatz, una herramienta post-exploratoria que ayuda a extraer los accesos de los sistemas afectados, con ProcessDoppelgänging para realizar una detección antivirus.

Cuando los investigadores ejecutaron Mimikatz en un sistema operacional de Windows, Symantec antivirus solution, encontró la herramienta inmediatamente, como lo podemos ver a continuación:

download (1)

Sin embargo, Mimikatzs se ejecutó sigilosamente, sin que el antivirus diera aviso alguno cuando se estuviera ejecutando usando el  ProcessDoppelgänging, mostrado en la imagen inicial de este artículo.

Liberman comentó que el ProcessDoppelgänging funciona incluso en la última versión de Windows 10, exceptuando Windows 10 Redstone y  FallCreatorsUpdate, lanzados a principios de este año.

Pero debido a un virus diferente en Windows 10 Redstome  y  FallCreatorsUpdate, usar ProcessDoppelgänging ocasiona BSOD (bluescreen of death), que colisiona las computadoras de los usuarios.

Irónicamente, el virus fue parchado por Microsoft en las actualizaciones posteriores, permitiendo que el  ProcessDoppelgänging, corra en las versiones más recientes de Windows 10 acuerdo a los expertos de seguridad informáticade webimprints.

No espero que Microsoft intervenga rápidamente con un parche que pueda hacer que los softwares se apoyan en versiones implementadas inestables, pero sí que las compañías de antivirus puedan mejorar sus productos para detectar programas maliciosos  que estén utilizando ProcessDoppelgänging o ataques similares.

Esta no es la primera vez que investigadores de EnSilo han descubierto malwares de técnicas de evasión. Anteriormente descubrieron y demostraron AtomBombing technique que abusa también de unan debilidad en el diseño del sistema operativo de Windows.

En septiembre, los investigadores de EnSilo, divulgaron un error de 17 años en la programación de Microsoft Windows kernel que previene que los software de seguridad detecten malware en tiempo de ejecución cuando se baja al sistema de memoria.

 

Advertisements

Alemania prohíbe el uso de smartwatches para niños y les pide a los padres destruirlos

Posted on Updated on

La Federal Network Agency es el regulador de la Telecom de Alemania que es el encargado de revisar las telecomunicaciones de Alemania, ha prohibido que los niños utilicen smartwatches pues los clasifica como aparatos para espiar. Así mismo, les pidió a los padres que destruyeran estos aparatos (los smartwatches o relojes inteligentes) que son usados principalmente por niños en un rango de edad de 5 a 12 años de acuerdo a los expertos de seguridad informática de webimprints.

La decisión llegó meses después de que la misma agencia prohibiera la muñeca “MyFriendCaylaDoll” mencionando que el smarttoy (juguete inteligente) vigila, escucha las conversaciones de los niños y les responde en tiempo real. La agencia Bundesnetzagentur describió a la muñeca como un auténtico ejemplo de “equipo no autorizado de transmisión de datos vía inalámbrica”.

smartwatch_10_670x355

La última decisión de la agencia es de prohibir los relojes ya que los describen como “transmisores no autorizados”. El presidente de la agencia Bundesnetzagentur Jochen Homann declaró: “De acuerdo a nuestras investigaciones, los padres de los niños han utilizado los smartwatches para escuchar a los maestros de sus hijos durante sus clases.”

Mientras las autoridades le piden a los padres que se deshagan de los ya mencionados relojes, medidas severas en contra de algunas de las firmas que los venden en línea han sido puestas en marcha. Se les ha pedido también a las escuelas dentro del país que pongan más atención acerca del uso de dichos relojes, nos señala Jim Gil, un experto de seguridad informática de International Institute of Cyber Security (IICS).

“A través de una app, los padres pueden utilizar los relojes de sus hijos para escuchar sin que los noten, el ambiente en el que se encuentra el niño, por esto se les considera (a los relojes) sistemas de transmisión no autorizados.” declaró Homann.

De acuerdo al comunicado de prensa de Bundesnetzagentur, éstos relojes cuentan con una tarjeta SIM y funciones limitadas de telefonía, que están configuradas y controladas mediante una app. Dicho monitoreo usualmente es llamado “baby monitor” (monitor de bebé) o “monitor function” (función de monitor”. Quien esté utilizando la app puede especificar que sin que el portador lo note el reloj realice llamadas a algún número; esto permite que la persona que está utilizando la app escuche las conversaciones que está teniendo el portador del reloj sin que éste lo note. Dicho monitoreo está prohibido en Alemania.

En Octubre del año en curso,  el “guardián” del consumo en Noruega, NorwegianConsumer Council (NCC) y equipo de seguridad informática, dijeron que hay muchas fallas de seguridad en los smartwatches que pueden ser explotadas, los pueden hackear y ubicar la localización del niño y engañar a sus padres mostrando una ubicación diferente. Los relojes probados por los investigadores, fueron equipados con ubicación en tiempo real y facilitando llamadas de dos vías con algunos de los contactos seleccionados.

NCC también encontró que estos smartwatches guardan y transmiten data sin codificación y una vez que se extrae, se torna en una gran amenaza. “Es muy serio cuando hay productos que pretenden dar seguridad a los niños, los ponen en riesgo debido a su poca seguridad informática y sus características que no funcionan adecuadamente. Importadores y vendedores deben de conocer lo que tienen en almacén y lo que está en venta. Estos relojes no deberían de estar en las tiendas, mucho menos en posesión  de los niños.” menciona FinnMyrstad de la NCC.

Nuevo Ransomware/shellcode que recrea la escena de Jurassic Park en la que se hackea el servidor.

Posted on

 

Ransomware shellcode

¿Porqué pop calc cuando puedes utilizar pop Nedry? Esta herramienta contiene un x86-64 payload que recrea la  escena de Jurassic Park en la que Dennis Nedry encierra a Ray Arnold fuera de su terminal, explica  Jim Gil, un experto de seguridad informática del International Institute of Cyber Security (IICS) acerca de pop Nedry. Cuando se ejecuta pasa lo siguiente:

  1. Asigna una ventana en la consola con llamada a AllocConsole
  2. Sale un aviso que dice “¡No has dicho la palabra mágica!” repetitivamente con llamadas a WriteConsoleA
  3. Al mismo tiempo baja winmm.dll y obtiene la dirección del procedimiento para PlaySound
  4. Baja el audio “¡No, no, no…no has dicho la palabra mágica!” de la memoria utilizando PlaySound
  5. Baja shell32.dll y obtiene la dirección del proceso para ShellExecuteA
  6. Abre el buscador del objetivo en una página web que tiene en infame Nedry GIF utilizando ShellExecuteA
  7. Entra en modo reposo durante un tiempo para que el audio se reproduzca
  8. Restaura el stack’s y los ret’s

zznop

 

Construcción

Se utiliza Python script (Windows)

El Python Script se realizó para Windows. Para activarlo asegúrese de que tanto nasm y Python 2 estén instalados y añadidos en la variable PATHenvironment. Inicie el siguiente comando desde el directorio de project’s parent para generar la posición independiente del código binario:

> python build.py –outfile nedry.bin –url http://127.0.0.1:8080/nedry.html

Ésto reunirá lo armado, soltará el binary in .\build, y escribe en la página URL de Nedry

Construcción manual (Cualquier sistema operativo)

También puedes construir el shellcode manualmente para cualquier sistema operativo con nasm

> cd .\src
> nasm -f bin -o pop-nedry.bin pop-nedry.asm

Una vez que hayas construido el binary, necesitas un patch en tu URL. Para hacer esto, abre un editor hex y busca 0x1dd. Re-escribe los NULL bytes con tu URL. Asegúrate que comience con http:// o https://. No utilices una URL de más de 63 caracteres para asegurar que quede al menos un NULL para terminar el string.

Uso de prueba

Construir el shellcode binary

> python build.py –outfile nedry.bin –url http://127.0.0.1:8080/nedry.html

Inicie un servidor web de Python para instalar la página HTML Nedry

> cd .\html
> python -m SimpleHTTPServer 8080

Pruebe el shellcode con ShellcodeTester.exe incluido (o su explorador favorito).

> cd .\utils
> ShellcodeTester.exe ..\build\nedry.bin

Fuente: https://github.com/zznop/pop-nedry

Nueva postura agresiva de NATO en armas cibernéticas.

Posted on Updated on

No muchos lo notaron, pero el mes pasado, NATO realizó cambios dramáticos en sus políticas cibernéticas.

No mucha gente lo ha notado, pero el mes pasado, NATO realizó cambios severos en sus ciber-políticas anunciadas por el Secretario General de NATO, es el cambio más grande en las políticas desde hace algunas décadas.

Lo cual ha generado discusiones políticas en varios comités de NATO desde hace cuatro años se discute sobre las capacidades cibernéticas y las armas cibernéticas, les puedo decir que esto fue uno de las más debatidas y contenciosas decisiones durante mi ocupación en NATO.

nato.png

Según Jim Gil, un experto de seguridad informática de International Institute of Cyber Security (IICS). NATO se adaptó rápidamente a las armas cibernéticas en sus operaciones. Ésto es un gran avance dentro de la histórica, la postura de solamente usarlas sólo como medio de defensa, principalmente para guardarse de ataques contra su propia red. El ataque más agresivo se suponía como un mensaje, primordialmente hacia Rusia,  NATO usará las capacidades cibernéticas de sus miembros para disuadir los ataques en la misma manera en la que utiliza armas en tierra, aire y mar.

Las provocativas acciones de Rusia durante las elecciones presidenciales de Estados Unidos, sus intentos por influenciar las elecciones de los franceses y a los alemanes, y su abiertamente agresiva y continua ciber guerra en contra de Ucrania fueron factores determinantes que llevaron a los ministros de defensa de NATO a adoptar una postura más asertiva.

Por fuera, los cambios en las políticas cibernéticas de NATO parecieran ser sólo cambios en sus políticas ya existentes, Sin embargo, el hecho de que la alianza está erigiendo un centro de operaciones cibernéticas para integrar más habilidades cibernéticas de los miembros del grupo, manda de por sí un mensaje al mundo, especialmente a Rusia, que los miembros del grupo tanto tienen la posesión, así como el poder de hacer uso de las capacidades cibernéticas junto con sus armas durante operaciones militares.

Ésta no es la primera vez que NATO ha intentado reafirmarse en el ciberespacio. En el 2008, la primer ciberdefensa de NATO se implementó  y el Cooperative Cyber Defense Center of Excellence ubicado en Estonia, establecido a partir de los devastadores ciberataques de Rusia en Estonia. Desafortunadamente, ésta política fue meramente acerca en la defensa para las mismas redes de NATO. Además, el establecer el centro en Estonia, hizo muy poco como disuadir las acciones agresivas de Rusia en el ciberespacio.

Implementar ésta nueva ciberpolítica, será una mejoría en la batalla para NATO. En un desafío interesante, los efectos cibernéticos (es decir, las armas cibernéticas), serán provistas por los miembros del grupo y serán completamente controladas por la alianza, la cual ha provisto las capacidades específicas. Ésto es un magnífico avance en la manera en la que NATO maneja los comandos y el control de las otras capacidades y fuerzas de sus miembros. Si un miembro de la nación provee un escuadrón de aviones, dichos aviones y sus miembros están bajo el control operacional del Comando militar asignado de NATO. En dicho caso, la nación que ha provisto las capacidades cibernéticas tendrá el comando y control de las armas y fuerza cibernética. ninguna de éstas se traerá bajo las control de operaciones tradicionales de la comandancia de NATO.

Éste acercamiento tipo “black box” hacia las operaciones militares, es uno que rara vez es utilizado, debido a que está lleno de problemas. Cuando se llevan a cabo operaciones, los comandantes militares quieren saber los detalles acerca de las capacidades que están a su disposición, para poder así incluir las limitaciones. Así mismo quieren saber acerca de los posibles conflictos que las capacidades podrían presentar con otras operaciones subsecuentes y las implicaciones legales en el uso de dicha capacidad. en el camino antepuesto por los ministros de defensa, estos detalles no estarán a la disposición de los comandantes de NATO. Según expertos de seguridad informática de webimprints, los comandantes requerirán los efectos del uso del arma cibernética durante la operación y uno de los miembros de la alianza se lo dará sin mayor información. Ésto es poco menos de lo ideal, pero es algo que los comandantes militares de NATO tendrán que resolver a través de sus procedimientos.

¿CÓMO HACER FÁCILMENTE INJECCION DE BLIND SQL CON BBQSQL?

Posted on

Blind SQL injection es casi idéntica a la inyección normal de SQL y afecta a la seguridad en base de datos, la única diferencia es la forma en que los datos se recuperan de la base de datos. Cuando la base de datos no genera datos en la página web, un atacante se ve obligado a robar datos pidiendo a la base de datos una serie de preguntas verdaderas o falsas.

Blind SQL injection puede ser un dolor para explotar. Cuando funcionan las herramientas disponibles, funciona bien, pero cuando no tienen que escribir algo personalizado para romper seguridad en base de datos. Esto es lento y tedioso. BBQSQL puede ayudarle a resolver esos problemas.

BBQSQL es un marco de inyección de BLIND SQL escrito en Python por los expertos de auditoría de base de datos. Es extremadamente útil cuando se atacan vulnerabilidades de inyección SQL complicadas. BBQSQL es también una herramienta semi-automática, que permite un poco de personalización para aquellos difíciles hallazgos provocados por inyección de SQL. La herramienta está construida para ser agnóstico de base de datos y es extremadamente versátil ya que es enseñado durante cursos de seguridad en base de datos como de international institute of cyber security. También tiene una interfaz de usuario intuitiva para hacer la creación de ataques mucho más fácil. Python gevent también se implementa para auditoría de base de datos, haciendo BBQSQL extremadamente rápido.

USO DE ALTO NIVEL

Similar a otras herramientas de inyección de SQL, proporciona cierta información.

Debe proporcionar la información usual:

  • URL
  • HTTP Method
  • Headers
  • Cookies
  • Encoding methods
  • Redirect behavior
  • Files
  • HTTP Auth
  • Proxies

A continuación, especificamos dónde va la inyección y qué sintaxis estamos inyectando.

BBQSQL utiliza dos técnicas cuando se realiza un ataque de inyección SQL blind. La primera y la técnica predeterminada utilizada es binary_search. La segunda técnica que puede utilizar es frequency_search. La búsqueda de frecuencia se basa en un análisis del idioma inglés para determinar la frecuencia con la que un alfabeto a se producirá. Este método de búsqueda es muy rápido contra los datos no entrópicos, pero puede ser lento contra datos no ingleses o datos ofuscados según expertos de auditoría de base de datos de IICS.

Puede especificar binary_search o frequency_search como valor para este parámetro.

BBQSQL

Ganchos personalizados

A veces tienes que hacer algo realmente loco.

Tal vez usted necesita para cifrar los valores de entrada en un campo antes de enviar la solicitud o tal vez usted lo necesita hacer triple URL encode. Sin embargo, estas situaciones hacen que otras herramientas de auditoría de base de datos sean imposibles de usar. BBQSQL le permite definir funciones de “hook” que la herramienta llamará en varios puntos a lo largo de la solicitud.

Para implementar esto, cree un archivo de Python y especifique las funciones de gancho. En su archivo de ganchos, puede definir tan pocas o muchas de estas funciones de ganchos como desee. En la sección bbqsql_options del menú, puede especificar la ubicación de su hooks_file. BBQSQL tomará este archivo y usará los ganchos que haya definido explican expertos de seguridad en base de datos.

 

¿CÓMO PROTEGER DE USB RUBBER DUCKY CON HERRAMIENTA GRATUITA BEAMGUN?

Posted on

beamgun1

El USB Rubber Ducky es una pequeña herramienta increíble puesta en marcha por los expertos de ciberseguridad de HAK5. Básicamente, este pequeño dispositivo USB se registra como un teclado, espera un poco y luego corta la computadora de la víctima con una ráfaga de pulsaciones de teclado a una velocidad super humana y las soluciones tradicionales de seguridad en redes no pueden detectar esto. Esto requiere una sesión activa, aunque obviamente la computadora no necesita ser desatendida.

Los posibles efectos de este ataque son devastadores para ciberseguridad de una empresa. Por lo general, es trivial elevar los privilegios al administrador (ya que está emulando un usuario escribiendo), por lo que puede instalar cualquier tipo de malware que se desee, extraer scripts más grandes desde un servidor remoto, o peor explican consultor de seguridad en redes, Salvador Ruiz de iicybersecurity.

Usted puede protegerse contra USB Rubber Ducky usando Beamgun, una herramienta de ciberseguridad. Beamgun escucha tranquilamente el USB insertado. Se ejecuta como un proceso de fondo. Beamgun bloquea la inyección de golpe de la llave robando continuamente el enfoque y bloqueando la máquina. Todas las teclas de teclado se graban y se puede ver lo que el hacker estaba tratando de hacer según consultor de seguridad en redes.

Según expertos de ciberseguridad de Instituto internacional de seguridad cibernética, Beamgun se muestra en los procesos del sistema cada vez que ejecuta BeamgunApp.exe. Si lo instalas utilizando MSI installer, esto sucederá cada vez que inicie sesión. Puedes hacer clic en el icono correspondiente para ver el estado de la aplicación. Desde aquí, puedes desactivar Beamgun. Si estás a punto de insertar y quitar dispositivos USB con frecuencia, durante los próximos 30 minutos. También puedes hacer “Reset” Beamgun si has sido alertado y, finalmente, puedes forzar a Beamgun para salir haciendo clic en “Exit”.

También puedes configurar los ajustes de seguridad en redes para Beamgun utilizando las dos casillas de verificación. Cuando el beamgun detecta un dispositivo USB, sólo ejecutará las funciones que haya seleccionado. Si selecciona “Attempt to steal”, Beamgun intentará robar todas las teclas de teclado y robando continuamente el enfoque. Si marca “Lock workstation”, Beamgun le dirá a Windows que se bloquee, forzándolo a escribir su contraseña para continuar.

beamgun

CÓMO FUNCIONA

Según expertos de seguridad en redes y ciberseguridad, hay algunas llamadas importantes de la API de Win32 que nos permiten hacer lo siguiente:

  • Supervisar las inserciones de dispositivos de teclado para que podamos alertar,
  • Enganchar teclas para que podamos ver lo que el atacante intentó hacer,
  • Roba continuamente el enfoque al teclado para evitar que el atacante progrese y, finalmente,
  • Bloquea la estación de trabajo. Como otra opción (potencialmente más robusta), el usuario puede optar por bloquear la estación de trabajo cada vez que se produce una inserción USB.

CONSIDERACIONES ESPECIALES

Dado que el Rubber Ducky es un dispositivo de teclado, los expertos de seguridad en redes y ciberseguridad tuvieron que ser muy cuidadoso en la implementación de Beamgun para tratar de frustrar algunas contramedidas. El experto de seguridad en redes se aseguró de que algunos fans de Rubber Ducky se esforzarán para subvertir Beamgun, por estsos razones hay más seguridad:

  • Desactivación de ALT-F4
  • Usando botones personalizados que no responden a eventos del teclado
  • Robo de enfoque en un loop con un intervalo muy ajustado

 

RECUPERABIT – HERRAMIENTA FORENSE PARA LA RECONSTRUCCIÓN DEL SISTEMA DE ARCHIVOS

Posted on

RecuperaBit es un software de seguridad informática que intenta reconstruir las estructuras del sistema de archivos y recuperar archivos. Actualmente sólo soporta NTFS.

RecuperaBit intenta reconstruir la estructura de directorios independientemente de:

  • Tabla de particiones ausente
  • Límites de particiones desconocidos
  • Metadatos parcialmente sobrescritos
  • Formato rápido

recuperabit1-768x270

El argumento principal es el path para una imagen bitstream de un disco o partición. RecuperaBit determina automáticamente los sectores desde los que se inician las particiones explica Salvador Ruiz, experto de seguridad informática de iicybersecurity IICS.

  • RecuperaBit no modifica la imagen del disco, sin embargo, lee algunas partes de ella varias veces a través de la ejecución. También debería funcionar en dispositivos reales, como / dev / sda, pero esto no es recomendable por los expertos de seguridad informática.
  • Opcionalmente, se puede especificar un archivo guardado con -s. La primera vez, después del proceso de escaneado, los resultados se guardan en el archivo. Después de la primera ejecución, el archivo se lee para analizar únicamente sectores interesantes y acelerar la fase de carga.
  • La sobrescritura del archivo guardado se puede forzar con -w.
  • RecuperaBit incluye una pequeña línea de comandos que permite los consultores de seguridad informática recuperar archivos y exportar el contenido de una partición en formato CSV. Éstos se exportan en el directorio especificado por -o (o recuperabit_output).

PYPY

RecuperaBit se puede ejecutar con la implementación estándar de cPython, sin embargo la velocidad puede incrementarse al usarla con el intérprete Pypy y el compilador JIT según expertos de seguridad informática:

pypy main.py /path/to/disk.img

 

RECUPERACIÓN DEL CONTENIDO DEL ARCHIVO

Los archivos se pueden restaurar uno a la vez o recursivamente, comenzando desde un directorio. Una vez finalizado el proceso de análisis, puedes comprobar la lista de particiones que se pueden recuperarse mediante el siguiente comando en el indicador:

c0nalykw8aaubc6

Recoverable

Si desea recuperar archivos a partir de un directorio específico, puedes imprimir el tree en pantalla con el comando tree o puede exportar una lista de archivos CSV.

Acuerdo a expertos de seguridad informática, si prefieres extraer todos los archivos de los nodos Root y Lost Files, debes conocer el identificador del directorio raíz, dependiendo del tipo de sistema de archivos.