Y bien... ¿Como recupero archivos borrados en linux (EXT3) ?

La mayoría de las distribuciones de Linux usan por defecto ext3, un sistema de archivos con journaling que funciona estupendamente, aunque dependiendo del uso puede dar mejores o peores rendimientos.

Rápidamente montamos un disco USB con espacio y vuelca tu sistema de archivos en ese disco usb. Un ejemplo de como hacerlo, es asi:

Nuestra particion con datos borrados de ejemplo es /dev/sda1 y hemos montado un disco USB con mucho espacio libre.

Copiamos nuestro disco completo en un archivo dentro del disco USB con la utilidad dd :

dd if=/dev/sda1 of=/media/usb/archivo_con_disco_a_recuperar.dd


Ahora necesitamos instalar la utilidad de análisis fornese “autopsy” que está en en el repositorio de debian o en la web:

http://www.sleuthkit.org/autopsy/

Arrancamos desde el usuario root y dejamos la consola con la utilidad ejecutandose, mientras que abrimos un navegador que apunte a http://localhost:9999/autopsy con lo que nos conectamos a la utilidad o consola de autopsias.

En el interfaz creamos un nuevo caso con cualquier nombre, seleccionamos en “add image” el fichero que hemos creado con la imagen de nuestra partición, e incorporamos el fichero de imagen al proyecto. Ahora seleccionamos “Analizar” y luego en “File Analysis”, con lo que veremos ya los ficheros que se borraron y podremos visualizarlos e incluso si no se han machacado, recuperarlos.

Eso si, siempre por mas pereza que de, hagan copias de seguridad de los archivos que nunca se sabe cuando se puede llegar a borrar algo.

Captura de la consola o utilidad corriendo bajo Firefox:

Share on Google Plus
    Blogger Comment

0 comentarios: