Rápidamente montamos un disco USB con espacio y vuelca tu sistema de archivos en ese disco usb. Un ejemplo de como hacerlo, es asi:
Nuestra particion con datos borrados de ejemplo es /dev/sda1 y hemos montado un disco USB con mucho espacio libre.
Copiamos nuestro disco completo en un archivo dentro del disco USB con la utilidad dd :
dd if=/dev/sda1 of=/media/usb/archivo_con_disco_a_recuperar.dd
Ahora necesitamos instalar la utilidad de análisis fornese “autopsy” que está en en el repositorio de debian o en la web:
http://www.sleuthkit.org/autopsy/
Arrancamos desde el usuario root y dejamos la consola con la utilidad ejecutandose, mientras que abrimos un navegador que apunte a http://localhost:9999/autopsy con lo que nos conectamos a la utilidad o consola de autopsias.
En el interfaz creamos un nuevo caso con cualquier nombre, seleccionamos en “add image” el fichero que hemos creado con la imagen de nuestra partición, e incorporamos el fichero de imagen al proyecto. Ahora seleccionamos “Analizar” y luego en “File Analysis”, con lo que veremos ya los ficheros que se borraron y podremos visualizarlos e incluso si no se han machacado, recuperarlos.
Eso si, siempre por mas pereza que de, hagan copias de seguridad de los archivos que nunca se sabe cuando se puede llegar a borrar algo.
Captura de la consola o utilidad corriendo bajo Firefox:
0 comentarios:
Publicar un comentario