Powered by Kike & GNU/LINUX

THE FUTURE IS OPEN

Recuperar Archivos borrados en linux (ext3)

Posted by Enrique A. en febrero 19, 2008

El post original, lo encontre en Cómo recuperar datos en Linux (ext3) me parecio bastente bueno asi que lo tenia que probar😛, aunque mi usb no dio el ancho (124mb😛 ) y tuve que montar otro disco duro con el convertidor a usb😀, hice el copy and paste porque esta muy bien explicado.
Nuevo artículo de A. Cuartango:
La mayoría de distros de Linux usan por defecto ext3, un sistema de archivos con journaling que funciona estupendamente, aunque dependiendo del uso puede dar mejores o peores rendimientos. Pero la comparativa para saber cual es mejor si ext2, ext3, reiserfs, jfs, etc etc sería para hacer otro artículo. ¡Que alguien se anime !Bueno, lo que nos ocupa es que estamos en nuestra distro favorita de Linux😉 y borramos una carpeta entera o un archivo sin querer… bueno pues … ¡no todo está perdido!

Rápidamente monta un disco USB con espacio y vuelca tu sistema de archivos en ese disco. Un ejemplo:

Nuestra particion con datos borrados es por ejemplo /dev/sda1 y hemos montado un disco USB con muuucho espacio libre, de hecho con tanto o más de lo que ocupa el disco de nuestro ordenador.

Copiamos nuestro disco completo en un archivo dentro del disco USB con la utilidad dd :

dd if=/dev/sda1 of=/media/usb/archivo_con_disco_a_recuperar.dd

Ahora instalamos la utilidad de análisis fornese “autopsy” que está en los prepositorios de debian.

http://www.sleuthkit.org/autopsy/

La arrancamos desde el usuario root y dejamos la consola con la utilidad corriendo, mientras que abrimos un navegador que apunte a http://localhost:9999/autopsy con lo que nos conectamos a la utilidad de autopsias.

En el interfaz creamos un nuevo caso con cualquier nombre, seleccionamos en “add image” el fichero que hemos creado con la imagen de nuestra partición, e incorporamos el fichero de imagen al proyecto. Ahora seleccionamos “Analizar” y luego en “File Analysis”, con lo que veremos ya los ficheros que se borraron y podremos visualizarlos e incluso si no se han machacado, recuperarlos.

Si alguien conoce más aplicaciones de recuperar datos en Linux, con algún manualillo o pequeño post como éste, que responda a este post y así en los comentarios tendremos una buena base de conocimiento para nuestro amigo Google😉

Suerte y como recomendación… copias de seguridad!”

GRACIAS A “diariolinux”

8 comentarios to “Recuperar Archivos borrados en linux (ext3)”

  1. obelich said

    Holax pues estoy en el proceso de recuperacion con el programa que mencionas pero no encuentro como recuperarlos si miro los archivos borrados tienen una palomita y estan en rojo por que son borrados pero no tienen la opcion de recuperar me podrias dar unos detallitos mas sobre como usarlo porfavor🙂 me es urgente recuperar esos datos

  2. invitado said

    Tengo el mismo problema que Obelich, no veo como recuperar el fichero con autopsy :S

    Alguien que de una pista ¿?

    Saludos y gracias de antemano

  3. Nicso said

    Excelente tu artículo. Gracias a Dios existen este tipo de programas =p

  4. jesus said

    oie si puedes decirnos como guardar los datos recuperados, todos los lugares tiene una copia identica de este tutorial por lo cual ninguno nos da respuesta. gracias

  5. Vanghuld said

    Hola, haho el mismo pedido de los que me antecedieron , he logrado montar la imagen y ver los archivos recuperados, selecciono individualmente los archivos que estaban borrados los visualizo cuando son imagenes pero no veo la opcion de hacer una copia masiva de los archivos borrados, se ve un ninculo Save pero solo por cada archivo y pues se imaginaran esto resulta bastante tedioso de hacer si son cientos los archivos que tratamos de restaurar. Como referencia les dejo que hay otro utilitario sobre win2 UFS explorer, lo estoy probando y parece que hace su trabajo y redupera en masa varias carpetas, el asunto es que no lo restaura con sus nombres originales. Sigo en la brega a ver que resulta.
    Saludos

  6. Ithaki said

    Como recuperar archivos

    1.- Instalar foremost ( aptitude install foremost)
    2.- Usar dd para crear una copia del medio del cual se van a recuperar los archivos:

    if – input file
    of – output file
    noerror – Si estás recuperando desde un medio dañado

    Usa el nombre del dispositivo:
    /dev/sda para usb
    /dev/hda-hdz para discos duros
    /dev/cdrom para DvDs o CDs

    Ejemplo: dd if=/dev/xxx of=~/Desktop/image.img /dev/sdb1

    Este archivo es creado en “Desktop” y es nombrado como “image.img”
    of=~/Desktop/image.img

    3.- Crear un directorio vacioen Desktop. Debe estar vcio sino “foremost” no funcionará.

    mkdir ~/Desktop/recovery

    4.- Correr foremost sobre el archivo image

    -i archivo image
    -o directorio de salida, debe estar vacio
    -t types of file to recover, usar all para all types of files

    foremost -o ~/Desktop/recovery/ -t all -i ~/Desktop/image.img

    5.- Ver que ha sido recuperado (el ritmo de éxito varia). Foremost crea muchos directorios para cada tipo de archivo y un archivo audit.txt con una memoria del proceso.

  7. jp said

    MMMMMMMMMM, pero, es bastante estupido tener que hacer copia de todo el FS para recuperar un archivo, no habrá un método más nice que permita buscar las referencias al archivo, i-nodos o lo que sea y en base a ello buscar los datos del archivo, por cluster, etc?

    Digo esto sin conocer el FS, pero creo que las herramientas tienen que ser simples, rápidas y eficaces.

    Alguna idea o proyecto para hecer la recuperación una tarea menos tediosa, latera, nada productiva y que nada ayuda ante una emergencia?

    Quizás un microForensis?

    Saludos

  8. jp said

    Este articulo aclara mis dudas, pese a ello, la cosa no puede detenerse ahí.

    http://belinux.wordpress.com/2007/07/16/porque-es-dificil-recuperar-un-fichero-borrado-de-ext3/

    Saludos

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s