Herramientas personales

Recuperar archivos en linux

De Proyectos GULIX

Tabla de contenidos

Primer forma (debugfs)

Como superusuario :

desmonta la unidad:

1.- umount /dev/hda1

2.- debugfs -w /dev/hda1

3.- lsdel

Esto te dará una lista de inodos borrados. Seguramente mas de los que quieres.

Mira un poco las fechas, sino puedes hacer:

4.- stat <numerodeinode>

Y te dirá información sobre cada inode. Quizás eso te sirva para saber lo que quieres recuperar.

Una vez que lo sepas

5.- dump <numerodeinode> (nombre del fichero donde lo quieras guardar.)

Una cosa mas. debugfs -f fichero ejecuta los comandos que le pongas en el fichero. asi puedes hacerlo mas rapido. te haces un fichero con todos los dumps que quieras hacer y luego lo ejecutas de una vez.

--Panic 15:45 05 abr 2008 (ART)

segunda forma (testdisk)

Particularmente probe la primer forma y logré recuperar un archivo tiempo atrás, sin embargo en una oportunidad falló la tabla fat del pendrive en donde tenía varios archivos, ahi descubrí testdisk como solución. La herramienta testdisk no tan solo recupera archivos eliminados, tambien puede crear una imagen de respaldo, recuperar tabla de particiones, entre otras utilidades.

Con permisos de superusuario desmontar la unidad

sudo umount /dev/sda1

ejecutar el comando testdisk con la unidad seleccionada

sudo testdisk /dev/sda1
  • Seleccionar Proceed para continuar
  • Seleccionar el tipo de particion (Normalmente es Intel si se está analizando el disco completo, aunque puede ser none si se ha perdido la tabla de particiones o se analiza una sola partición)
  • Seleccionar Analyse
  • Seleccionar Quick Search
  • Seleccionar P
  • Usar las flechas del teclado para recorrer el disco, los archivos eliminados los marca con color rojo, para recuperarlo se presiona c y se elije el destino.

testdisk viene en la distro live knoppix, con lo que si lo que has borrado es el disco duro, es 100% factible recuperar sus archivos.

Tercera forma, utilizando autopsy

Autopsy es una herramienta de uso forense ( http://www.sleuthkit.org/autopsy/ ). La única forma que conozco de utilizar autopsy consta de volcar todo el contenido del sistema de archivos que se desea revisar a fondo ( o recuperar datos ) a una imagen. y luego revisar esa imagen con autopsy.

Primero, enviando todo el sistema de archivos a una imagen. Se recomienda enviar a otro disco duro diferente

dd if=/dev/sda1 of=/media/otro_disco/archivo_con_disco_a_recuperar.dd

Segundo, descargar e instalar la herramienta autopsy ( http://www.sleuthkit.org/autopsy/ )

Tercero, arrancamos la herramienta con niveles root. Tu sistema levantará un servidor en: http://localhost:9999/autopsy.

Cuarto, seguir las instrucciones, cargar la imagen generada en el paso 1.

Cuarta forma, Utilizando algún live CD

Existe muchas distribuciones GNU/Linux en forma de Live CD, especializadas en contener y ejecutar software para la recuperación e archivos ( como los que han sido nombrados anteriormente ). Algunas de las distribuciones más famosas son :


Leer más

Autores de este Resumen

  • Panic 15:45 05 abr 2008 (ART)
  • RAcl 15:36 22 ene 2010 (UTC)
  • Dalacost 18:11 26 ene 2010 (UTC)

Buscar