30 de enero de 2009

Recuperar archivos eliminados

Cayó en mis manos una memoria USB de 2 GB con el sistema de particiones dañado y por ende los archivos inaccesibles. Anteriormente, en una ocasión había recuperado archivos eliminados accidentalmente de una USB con el programa PC Inspector smart recovery desde Windows. Así que fue lo primero que probé pero dicho programa solo recuperaba imágenes. Así que me decidí a probar las herramientas libres forenses disponibles para GNU/Linux.

Foremost

A continuación los pasos que seguí para recuperar los archivos con foremost:

Instalación:

# aptitude install foremost

Se genera una imagen de la unidad de disco de la cual se quiere recuperar información antes de realizar cualquier acción:

$ dd if=/dev/sdc1 of=/ruta/de/la/imagen.dd

Luego ejecutamos lo siguiente para recuperar todos los tipos de archivos posibles soportados por foremost:

$ foremost -t all -i /ruta/de/la/imagen.dd

Para recuperar sólo documentos, hojas de calculo, presentaciones e imágenes se ejecuta la siguiente orden:

$ foremost -vd -t ole,zip,jpeg -i /ruta/de/la/imagen.dd

Con la opción -t se especifican los tipos de formatos que se desean recuperar. ole se refiere a archivos (xls, doc, ppt, etc) de Office. zip se refiere a archivos de OpenOffice y Office 2007.

En la ruta de donde se ejecuto la orden anterior se creará un directorio llamado "output" con los archivos recuperados separados por tipo de archivos.

Para más información ejecutar:

$ man foremost


Testdisk

Otra herramienta poderosa para recuperación de datos es testdisk. Permite recuperar particiones perdidas y/o volver discos no booteables a booteables nuevamente. Soporta múltiples sistemas de archivos entre ellas: Fat16, Fat32, NTFS, Ext2, Ext3, etc. Testdisk incluye una herramienta llamada photorec que es usada para recuperar archivos eliminados o perdidos por formateo de una unidad.

A continuación los pasos a seguir para recuperar archivos eliminados usando photorec:

Opcionalmente, puede generarse una imagen de la unidad de donde se desea recuperar los archivos.

Instalación de testdisk:

# aptitude install testdisk

Se ejecuta la siguiente orden para recuperar los archivos de un disco sin generar una imagen:

# photorec /d /algun/lugar/

Si se generó una imagen de la unidad, se ejecuta la siguiente orden:

# photorec /d /algun/lugar/ /ruta/de/la/imagen.dd

"/algun/lugar/" es la ruta donde se guardarán los archivos recuperados.

Se ejecutará el programa, donde hay que seleccionar el disco de donde se desean recuperar los archivos, posteriormente el tipo de partición (normalmente [Intel ] Intel/PC partition) luego la partición especifica de donde se encontraban los archivos, el tipo de partición y si se desea buscar el toda la partición o solo en el espacio disponible.

Si se desea sólo recuperar determinados tipos de archivos, se puede modificar los tipos de archivos (File Opt) que se desean recuperar. Si se desean recuperar archivos de OpenOffice, MSOffice 2007 y versiones anteriores hay que seleccionar los formatos doc y zip.

Después de unos minutos los archivos serán recuperados.

Para más información ejecutar:

# man photorec

O leer la documentación oficial que incluye una guia paso a paso.

Otras aplicaciones

Hay más aplicaciones que sirven para este propósito en entornos GNU/Linux, a continuación listo algunas:
- Testdrive
- Autopsy (la probe pero no logre entenderla)
- Magicrescue
- Scalpel
- Tct

No hay comentarios: