¿Por qué es más difícil recuperar ficheros en Linux que en Windows?
El sistema de ficheros de Windows, centrándonos en NTFS, está hecho para cubrir el error humano del usuario, no se sabe si por casualidad o como feature que diría Microsoft. El caso es que cuando se borra la entrada del índice, por así decirlo, se puede leer lo que había escrito antes si miramos fijamente. Mientras que en Linux esto no ocurre.

La explicación técnica para el que quiera leerla, es que por ejemplo ext3 rellena con ceros todos los punteros de bloques del i-nodo correspondiente al fichero. Característica que no tenía el sistema de ficheros del que evoluciona ext2. Por eso en ext2 resulta mucho más sencillo recuperar datos borrados, utilizando una herramienta llamada debugfs. Sin embargo, esta característica no está puesta por los desarrolladores con mala leche, sino para evitar problemas con el journal cuando el sistema se cuelgue o apague por cortes luz.

¿Podré recuperarlo todo?
Hombre, tampoco es que esto sea Renault ocasión, si la página ha sido reescrita, es decir, si los bloques donde estaba el fichero han sido reutilizados, recuperarlo queda fuera de técnicas software. Sin embargo, resulta sorprendente la cantidad de información que puede salvarse incluso después de un formateo (esta es otra historia que pronto os contaré).

GRESCUE
Estaba yo lamentando la calamidad de haber borrado un trozo de una práctica para la Universidad, cuando en Gnome files di con una
herramienta de nombre Grescue, poco conocida. Grescue es una interfaz gráfica (GUI) para un programa llamado magicrescue.

Magicrescue es un programa de línea de comandos capaz de recuperar datos de cualquier sistema de ficheros. Para ello utiliza los magic numbers (que son combinaciones binarias que tienen los ficheros según de qué tipo sean que los identifica de forma única) y llama a otros programas para recuperar los trozos reconocidos. No es tan efectivo como una recuperación manual, pero si lo suficiente en la mayoría de los casos. Este software no funciona demasiado bien en sistemas de ficheros demasiado fragmentados, pero esto no suele ser un problema ya que es poco común.

En la página oficial de este software libre podremos acceder al código y otros detalles. Para aprender a utilizarlo el mejor manual es su página man, pero gracias a grescue no será necesario.

INSTALACIÓN Y FUNCIONAMIENTO
Grescue tiene pocas versiones y está en fase beta, preliminar, pero resultará fácil instalarlo y sacarle provecho, creedme. En su página de desarrollo de google code, podremos bajarnos el código, un .deb o un binario. Para instalarlo nos descargamos el .deb para Ubuntu/Debian de aquí y luego en una consola hacemos:

sudo apt-get install magicrescue
sudo dpkg -i /ruta/descarga/grescue_0.1.2~welemski1_i386.deb

Una vez hecho esto tendremos un icono en “Aplicaciones >> Herramientas del sistema >> GRescue”.

grescuemenu.png

La interfaz no es muy comercial pero es efectiva. Esta es la primera ventana que nos aparecerá:

grescueinicio.png

Pincharemos en el botón inferior derecho que dice “Start Rescue” o “Comenzar Rescate” y nos aparecerá una ventana donde configurar los parámetros que queremos recuperar:

grescueparametros.png

En mi caso quiero recuperar todas las imágenes png de mi partición home que haya borrado y que las ponga en el directorio /home/miguel. Ahora bastará con darle al start y esperar, puede que tu máquina se ralentice un poco, es normal piensa que está barriendo el dispositivo a nivel de bloque.
Si salta algún error, deberás estudiarlo, puede que necesite otras aplicaciones que no tengas instaladas para recuperar el fichero que haya encontrado. Por ejemplo, para recuperar .avis tendremos que tener instalado mencoder.

sudo apt-get install mencoder

Cuando acabe, aparecerá todo lo que ha recuperado que encaje con la descripción en el directorio que hayamos especificado.

Otras técnicas y programas
Un día pienso dedicar un artículo entero a lo que sería una recuperación manual al completo, así que este tema queda pospuesto. Sin embargo, magicrescue no es la única opción que disponemos en Linux para recuperar ficheros. Podemos buscar una solución de software específica para nuestro sistema de ficheros. Así pues, si utilizamos ext3, bastarías con buscar en google “undelete ext3″ (undelete es la palabra en inglés para recuperar ficheros borrados). El caso es que la mayoría de estos programas, suelen estar en fase beta (preliminar) o alfa, y suelen ser de línea de comandos.

PARA PROFUNDIZAR. SI NO TE ASUSTA LA LÍNEA DE COMANDOS
La recuperación de datos se considera una técnica de análisis forense (una rama de la seguridad que analiza un equipo después de que su seguridad haya sido comprometida). En inglés el término es “data carving” y destacan tres herramientas:

  • Foremost: Una aplicación de línea de comandos muy potente.
  • Photorec: Un software libre y gratuito multisistema orientado a recuperar contenido multimedia de memorias portátiles, discos duros y cds. En su wiki disponéis de un manual paso a paso sobre su uso.
  • Sleuthkit: Una herramienta muy completa de análisis forense que se utiliza en entornos profesionales. En un charla de David Barroso de Secuware en mi Universidad mencionó que utilizaban esta aplicación. El problema es que es demasiado completa y grande para solo recuperar ficheros fácilmente. Existen diversas GUIs que trabajan de wrappers de este software por Internet.

http://www.sleuthkit.org/proj.php

Por admin

Deja una respuesta

Ads Blocker Image Powered by Code Help Pro

Ads Blocker Detected!!!

We have detected that you are using extensions to block ads. Please support us by disabling these ads blocker.

Powered By
Best Wordpress Adblock Detecting Plugin | CHP Adblock