Página principal » cómo » Recupere datos como un experto forense usando un Live CD de Ubuntu

    Recupere datos como un experto forense usando un Live CD de Ubuntu

    Existen muchas utilidades para recuperar archivos eliminados, pero ¿qué sucede si no puede iniciar su computadora o si se ha formateado todo el disco? Le mostraremos algunas herramientas que profundizarán y recuperarán los archivos eliminados más esquivos, o incluso las particiones de disco duro completas.

    Le hemos mostrado formas sencillas de recuperar archivos borrados accidentalmente, incluso un método simple que se puede hacer desde un Live CD de Ubuntu, pero para los discos duros que han sido muy dañados, esos métodos no lo cortarán. En este artículo, examinaremos cuatro herramientas que pueden recuperar datos de las unidades de disco duro más desordenadas, independientemente de si se formatearon para una computadora con Windows, Linux o Mac, o incluso si la tabla de particiones se eliminó por completo.

    Nota: estas herramientas no pueden recuperar datos que se han sobrescrito en un disco duro. El hecho de que un archivo eliminado se haya sobrescrito depende de muchos factores: cuanto más rápido se dé cuenta de que desea recuperar un archivo, es más probable que pueda hacerlo..

    Nuestra configuración

    Para mostrar estas herramientas, hemos configurado un pequeño disco duro de 1 GB, con la mitad del espacio particionado como ext2, un sistema de archivos usado en Linux, y la mitad del espacio particionado como FAT32, un sistema de archivos usado en sistemas Windows más antiguos. Almacenamos diez imágenes al azar en cada disco duro..

    Luego borramos la tabla de particiones del disco duro eliminando las particiones en GParted.

    Es nuestra información perdida para siempre?

    Instalando las herramientas

    Todas las herramientas que vamos a utilizar están en Ubuntu universo repositorio.

    Para habilitar el repositorio, abra el Administrador de paquetes Synaptic haciendo clic en Sistema en la parte superior izquierda, luego Administración> Administrador de paquetes Synaptic.

    Haga clic en Configuración> Repositorios y agregue una marca en la casilla "Software de código abierto mantenido por la comunidad (universo)".

    Haga clic en Cerrar, y luego en la ventana principal del Administrador de paquetes Synaptic, haga clic en el botón Recargar. Una vez que la lista de paquetes se haya recargado y el índice de búsqueda se haya reconstruido, busque y marque para instalar uno o todos los paquetes siguientes: disco de prueba, principal, y bisturí.

    Testdisk incluye TestDisk, que puede recuperar particiones perdidas y reparar sectores de arranque, y PhotoRec, que puede recuperar muchos tipos diferentes de archivos de toneladas de diferentes sistemas de archivos.

    Principal, originalmente desarrollado por la Oficina de Investigaciones Especiales de la Fuerza Aérea de los EE. UU., recupera archivos basándose en sus encabezados y otras estructuras internas. Foremost opera en discos duros o archivos de imagen de unidad generados por varias herramientas.

    Finalmente, bisturí realiza las mismas funciones que las principales, pero se centra en un mejor rendimiento y un menor uso de memoria. El bisturí puede funcionar mejor si tiene una máquina más antigua con menos RAM.

    Recuperar particiones del disco duro

    Si no puede montar su disco duro, entonces su tabla de partición podría estar dañada. Antes de comenzar a intentar recuperar sus archivos importantes, puede ser posible recuperar una o más particiones en su unidad, recuperando todos sus archivos en un solo paso..

    Testdisk Es la herramienta para el trabajo. Comience abriendo un terminal (Aplicaciones> Accesorios> Terminal) y escribiendo:

    sudo testdisk

    Si lo desea, puede crear un archivo de registro, aunque no afectará la cantidad de datos que recupere. Una vez que haga su elección, recibirá una lista de los medios de almacenamiento en su máquina. Debería poder identificar el disco duro del que desea recuperar particiones por su tamaño y etiqueta.

    TestDisk le pide que seleccione el tipo de tabla de partición para buscar. En la mayoría de los casos (ext2 / 3, NTFS, FAT32, etc.) debe seleccionar Intel y presionar Enter.

    Resalta Analizar y presiona entrar.

    En nuestro caso, nuestro pequeño disco duro ha sido previamente formateado como NTFS. Sorprendentemente, TestDisk encuentra esta partición, aunque no puede recuperarla.

    También encuentra las dos particiones que acabamos de eliminar. Podemos cambiar sus atributos o agregar más particiones, pero simplemente las recuperaremos presionando Enter.

    Si TestDisk no ha encontrado todas sus particiones, puede intentar hacer una búsqueda más profunda seleccionando esa opción con las teclas de flecha izquierda y derecha. Solo tuvimos estas dos particiones, así que las recuperaremos seleccionando Escribir y presionando Intro.

    Testdisk nos informa que tendremos que reiniciar.

    Nota: Si su Live CD de Ubuntu no es persistente, cuando reinicie tendrá que volver a instalar las herramientas que instaló anteriormente..

    Después de reiniciar, nuestras dos particiones vuelven a sus estados originales, fotos y todos.

    Recuperar archivos de ciertos tipos

    Para los siguientes ejemplos, eliminamos las 10 imágenes de ambas particiones y luego las reformateamos..

    PhotoRec

    De las tres herramientas que mostraremos., PhotoRec Es el más fácil de usar, a pesar de ser una utilidad basada en consola. Para iniciar la recuperación de archivos, abra un terminal (Aplicaciones> Accesorios> Terminal) y escriba:

    sudo photorec

    Para comenzar, se le pide que seleccione un dispositivo de almacenamiento para buscar. Debe poder identificar el dispositivo correcto por su tamaño y etiqueta. Seleccione el dispositivo correcto y luego presione Enter.

    PhotoRec le pide que seleccione el tipo de partición para buscar. En la mayoría de los casos (ext2 / 3, NTFS, FAT, etc.) debe seleccionar Intel y presionar Enter.

    Se le proporciona una lista de las particiones en su disco duro seleccionado. Si desea recuperar todos los archivos en una partición, seleccione Buscar y pulse Intro.

    Sin embargo, este proceso puede ser muy lento, y en nuestro caso solo queremos buscar archivos de imágenes, por lo que en lugar de eso usamos la tecla de flecha derecha para seleccionar Opción de archivo y presionar Entrar.

    PhotoRec puede recuperar muchos tipos diferentes de archivos y deseleccionar cada uno llevaría mucho tiempo. En su lugar, presionamos "s" para borrar todas las selecciones, y luego encontramos los tipos de archivo apropiados (jpg, gif y png) y los seleccionamos presionando la tecla de flecha derecha.

    Una vez que hayamos seleccionado estos tres, presionamos "b" para guardar estas selecciones.

    Pulse Intro para volver a la lista de particiones del disco duro. Queremos buscar en nuestras dos particiones, así que seleccionamos "Sin partición" y "Buscar" y luego presionamos Enter.

    PhotoRec solicita una ubicación para almacenar los archivos recuperados. Si tiene otro disco duro en buen estado, le recomendamos que guarde los archivos recuperados allí. Como no nos estamos recuperando mucho, lo almacenaremos en el escritorio del CD de Ubuntu Live..

    Nota: no recupere archivos en el disco duro del que se está recuperando.

    PhotoRec es capaz de recuperar las 20 imágenes de las particiones en nuestro disco duro!

    Una mirada rápida en el directorio recup_dir.1 que crea confirma que PhotoRec ha recuperado todas nuestras imágenes, excepto los nombres de archivo.

    Principal

    Foremost es un programa de línea de comandos sin interfaz interactiva como PhotoRec, pero ofrece una serie de opciones de línea de comandos para obtener la mayor cantidad de datos posible de su disco duro..

    Para obtener una lista completa de opciones que se pueden modificar a través de la línea de comandos, abra un terminal (Aplicaciones> Accesorios> Terminal) y escriba:

    ante todo -h

    En nuestro caso, las opciones de línea de comando que vamos a utilizar son:

    • -t, una lista separada por comas de tipos de archivos para buscar. En nuestro caso, esto es "jpeg, png, gif".
    • -v, habilitando el modo detallado, dándonos más información sobre lo que está haciendo.
    • -o, la carpeta de salida en la que se almacenan los archivos recuperados. En nuestro caso, creamos un directorio llamado "ante todo" en el escritorio.
    • -i, la entrada en la que se buscarán los archivos. Esto puede ser una imagen de disco en varios formatos diferentes; Sin embargo, usaremos un disco duro, / dev / sda..

    Nuestra principal invocación es:

    sudo ante todo -t jpeg, png, gif -o ante todo -v -i / dev / sda

    Su invocación diferirá según lo que esté buscando y dónde lo busque.

    Foremost es capaz de recuperar 17 de los 20 archivos almacenados en el disco duro.

    Al mirar los archivos, podemos confirmar que estos archivos se recuperaron relativamente bien, aunque podemos ver algunos errores en la miniatura para 00622449.jpg.

    Parte de esto puede deberse al sistema de archivos ext2. Foremost recomienda usar la opción de línea de comandos -d para sistemas de archivos Linux como ext2.

    Volveremos a ejecutar Foremost, agregando la opción de línea de comandos -d a nuestra invocación más importante:

    sudo principal -t jpeg, png, gif -d -o principal -v -i / dev / sda

    Esta vez, ante todo es capaz de recuperar las 20 imágenes.!

    Una última mirada a las imágenes revela que las imágenes se recuperaron sin problemas.

    Bisturí

    Scalpel es otro programa poderoso que, como Foremost, es altamente configurable. A diferencia de Foremost, Scalpel requiere que edite un archivo de configuración antes de intentar cualquier recuperación de datos.

    Cualquier editor de texto lo hará, pero usaremos gedit para cambiar el archivo de configuración. En una ventana de terminal (Aplicaciones> Accesorios> Terminal), escriba:

    sudo gedit /etc/scalpel/scalpel.conf

    scalpel.conf contiene información sobre varios tipos de archivos diferentes. Desplácese a través de este archivo y elimine las líneas que comienzan con un tipo de archivo que desea recuperar (es decir, elimine el carácter “#” al comienzo de esas líneas).

    Guarde el archivo y ciérrelo. Regreso a la ventana del terminal..

    Scalpel también tiene un montón de opciones de línea de comandos que pueden ayudarte a buscar de forma rápida y eficaz; sin embargo, solo definiremos el dispositivo de entrada (/ dev / sda) y la carpeta de salida (una carpeta llamada "escalpelo" que creamos en el escritorio).

    Nuestra invocación es:

    sudo escalpelo / dev / sda -o escalpelo

    Scalpel es capaz de recuperar 18 de nuestros 20 archivos.

    Un vistazo rápido a los archivos que el bisturí recuperó revela que la mayoría de nuestros archivos se recuperaron con éxito, aunque hubo algunos problemas (por ejemplo, 00000012.jpg).

    Conclusión

    En nuestro ejemplo de juguete rápido, TestDisk pudo recuperar dos particiones eliminadas, y PhotoRec y Foremost pudieron recuperar las 20 imágenes eliminadas. Scalpel recuperó la mayoría de los archivos, pero es muy probable que jugar con las opciones de la línea de comandos para el bisturí nos haya permitido recuperar las 20 imágenes.

    Estas herramientas son salvavidas cuando algo sale mal con su disco duro. Si sus datos están en el disco duro en alguna parte, una de estas herramientas lo rastreará!

    Recupere archivos con instantáneas en cualquier versión de Windows Vista
    Recuperar datos perdidos de formulario en Firefox
    Graba videos de tu escritorio en cualquier SO gratis
    Siguiente articulo
    Recupere archivos eliminados en un disco duro NTFS desde un CD de Ubuntu Live
    Artículo anterior
    Grabe sus sesiones de línea de comando con asciinema