Trinity Rescue Kit es un conjunto de herramientas basadas en Linux con énfasis especial en recuperar sistemas Windows.

Hasta aquí se podría confundir con otros kits por el estilo como Hiren’s Boot CD, RIPLinux, ERD Commander, BartPE, PartedMagic, Ultimate Boot Cd o Sleuthkit, algunos libres y otros no tanto.

Pero Trinity Rescye Kit tiene características que lo hacen diferente, y a mi juicio, mejor. Tiene las caracterisitcas ya habituales en este tipo de herramientas, monta automáticamente todos las particiones (esto no es ninguna gran feature), soporte de escritura en ntfs, automonta los pendrive’s, discos IDE y muchos modelos de S-ATA, sistema para modificar passwords de la SAM en XP y Vista, testea memorias, discos duros, formatea, redimensiona y repara particiones. Todo esto esta muy bien, pero tiene características más interesantes:

>> Clonación: clonexp

Clona de una partición ntfs a otra por red. Solo iniciando en los dos pc’s el Trinity Rescue Kit y escogiendo en el cliente la opción 8 en el incio (que inicia un servidor ssh), podremos verter allí el contenido de la partición de origen. Es muy fácil y efectivo de usar:

clonexp <sourcedevice> <destinationhost>:<destinationdevice>
clonexp /dev/hda2 192.168.1.189:/dev/hda1

y nos clonaria la partición hda2 en el pc con ip 192.168.1.189 en la partición hda1. Lo único a tener en cuenta es que la partición de destino ha de ser de igual o mayor tamaño que la de origen, ya que clonexp no permite redimensionar ni comprimir las particiones de destino. Para modificar particiones podemos usar qtparted que viene incluido en TRK.

>> Antivirus: virusscan

Actualización, análisis y desinfección de virus. Para mi este es el gran paso, ya que los sistemas que yo he usado hasta ahora no permiten actualizar el fichero de firmas deantivirus y después analizar al vuelo. TRK lo permite y además con 4 antivirus diferentes. ClamAV, F-Prot, AVG y Bitdefender.

ClamAv es libre pero no viene incluido y al ejecutarlo se descargan los binarios y las updates, el resto si que vienen incluidos y al ejecturalos se descargan las updates. Sólo he probado AVG y funciona. Se actualiza, analiza, desinfecta y elimina virus y algun malware.

virusscan -a avg -d /hda1

Remarcar que antes hay que montar las particiones con soporte de escritura con el comando

mountallfs -g

Es curioso tener que desinfectar un Windows desde un Linux, mas teniendo en cuenta que estas soluciones desinfectan virus diseñados para windows del que éste es incapaz de defenderse.

>> Cuentas de usuario: winpass

Mediante winpass podemos listar los usuarios del sistema y cambiar las propiedades de las cuentas de ususario. Podemos deshabilitar la cuenta, borrar el password o cambiarlo. Todo con un script que nos va preguntando que hacer, solo con el comando:
winpass
y contestar a cada pregunta en función de lo que queramos hacer. Hay una opción para desactivar syskey, la herramienta que dota a la sam de mayor seguridad, aunque no recomiendo variar la configuración si no es necesario. Aquí hay detalles.

>> Actualización: updatetrk

Para mi la opción más interesante, ya que hace una actualización de las soluciones antivirus y los archivos de firmas, crea una iso con dichas actualizaciones añadiéndo los directorios /bin /sbin /lib y /etc para construir la iso y que sea arrancable luego con un nuevo TRK actualizado y funcional.

Durante el proceso de updatetrk existe la posibilidad de añadir al TRK actualizado el soporte de escritura ntfs mediante el driver ntfs-captive. Ntfs-captive era/es un sistema de escritura en ntfs que usa los archivos ntoskrnl.exe y ntfs.sys.

Updatetrk buscará estos dos archivos en el sistema windows, y si no los encuentra los descargará de la página de Microsoft automáticamente (los sacará de un service pack). Supongo que el creador ha añadido esta feature dada la imposibilidad de incluir dichos archivos en TRK por temas legales. A mi parecer ntfs-captive no hace ninguna falta, ya que ntfs-3g tiene un perfecto soporte de lectura-escritura sobre ntfs y es totalmente libre y estable. Por este motivo ntfs-3g ha ido substituyendo a ntfs-captive, al parecer su creador ya no mantiene ni saca nuevas versiones desde principios de 2006.

Por defecto updtrk intenta crear la iso en el archivo pagefile.sys (fichero de intercambio de windows) totalmente inservible cuando el sistema esta parado. Si no lo encuentra se le puede marcar otro destino, incluso un dispositivo USB en el que creará nuestro TRK actualizado. Fácil y práctico:

Para crear nuestra imagen iso actualizada de antivirus de TRK haremos:

updtrk -b {carpeta temporal donde almacenar el archivo}-i {donde_guardar_la_iso}
updtrk -b /hda1/temp -i /hda1/
y si queremos meterlo todo en un pen para luego bootear desde él
updtrk -u {dispositvo_USB}
updtrk -u /dev/sda1

En próximos artículos trataré el resto de características y usos de Trinity Rescue Kit.

Compártelo