Banner 1

Herramientas de recuperación de archivos eliminados en Linux

Publicado por Unknown en 10:58 domingo, 26 de abril de 2009 Etiquetas: ,
Es de conocimiento pupular el hecho que en un ambiente tipo Unix, un archivo eliminado se pierde definitivamente, sin embargo esto no es completamente cierto, ya que existen diferentes procedimeintos para recuperar archivos borrados, sin embargo su éxito depende de diversos factores, como el tiempo que tiene de haberse eliminado, la frecuencia de uso del equipo, el tamaño del archivo y algunos más.

Los procedimientos que describiremos a continuación se realizaron en Ubuntu Linux 8.06 (Hardy Heron), pero deben de poderse utilizar en otras distribuciones casi sin cambios.

Preparativos.

Para incrementar las posibilidades de éxito, de preferencia el disco duro o partición a analizar debe tener poca o nula actividad. Si es posible, podemos manejar el disco como unidad esclava y en otro realizar el análisis y posible recuperación.

Utilización de recover.

Esta es una utilería que incrementa nuestras posibilidades de recuperar un archivo sobre un sistema de archivos ext2 (en este momento no puede trabajar en ext3). Lo primero es instalarlo.
sudo apt-get install recover
Luego lo ejecutamos desde la línea de comandos como administrador, en donde nos hara una serie de preguntas para ubicar más fácilmente el nodo donde se encuentre el archivo. En este caso, la unidad a analizar es sda1. Aconsejamos paciencia porque posiblemente tarde un rato.

sudo recover /dev/sda1

Getting inodes (this can take some time)...
debugfs 1.40.8 (13-Mar-2008)

In what year did you delete the file? (eg. 1999): 2008
In what month did you delete the file? (Jan, Feb, Mar, Apr, May, Jun, Jul, Aug, Sep, Oct, Nov, Dec or -1=unknown): -1
Aborting month
On which day of the week did you delete the file? (Mon, Tue, Wed, Thu, Fri, Sat, Sun or -1=unknown): -1
Aborting weekday
What was the first possible day of the month on which you deleted the file? (1 - 31): 1
What was the last possible day of the month on which you deleted the file? (1 - 31): 31
What was the soonest possible hour(0-23) when you deleted the file? 15
What was the latest possible hour(0-23) when you deleted the file? 20
What was the soonest possible minute(0-59) when you deleted the file? 0
What was the latest possible minute(0-59) when you deleted the file? 59
What was the minimum possibly file size in bytes? (0-2147483640): 40000
What was the maximum possibly file size in bytes? (0-2147483640): 400000
What was the user ID of the deleted the file? (-1 if you have no idea): 1000

En caso de encontrar algún archivo rescatable, nos preguntará por una carpeta donde colocarlo.

Utilización de lsdel.

Este procedimiento es similar al anterior pero lo podemos usar cuando no esté disponible en nuestra distribución la herramienta recover. Esta aplicación es parte de debugfs, cuya utilización es relativamente sencilla.

sudo debugfs /dev/sda1
debugfs 1.40.8 (13-Mar-2008)
debugfs:  lsdel

Al terminar de leer la unidad, nos debe presentar una salida similar a esta, relativamente técnica ya que se basa en la información de los inodes donde se ubican los archivos.

.......
2048260 0 100644 27165 7/ 7 Sat Nov 29 21:10:09 2008
2048261 0 100644 248 1/ 1 Sat Nov 29 21:10:09 2008
2048262 0 100644 4066 1/ 1 Mon Feb 2 12:42:32 2008
14 deleted inodes found.
debugfs:

La fecha nos puede dar una idea de cuál archivo estamos buscando, pero podemos solicitar más detalles de cada uno.

stat número_inode

Otra opción es usar cat para ver su contenido.

cat número_inode

Una vez que identificamos el que deseamos restaurar, usamos dump para recuperarlo.

dump  número_inode   /ruta/nuevo_nombre_archivo

Utilización de Autopsy y The Sleuth Kit (TSK).

The Sleuth Kit es un conjunto de herramientas en línea de comandos que permiten obtener información de volúmenes y sistemas de archivos en múltiples plataformas; por otro lado Autopsy Forensic Browser es un navegador tipo Web donde pueden realizarse las revisiones y recuperaciones de archivos que necesitemos.

En este sentido, lo primero es instalarlo en el equipo donde realizaremos la revisión, no necesariamente debe ser en el mismo equipo donde fue eliminado el archivo (este procedimiento es el recomendado).
sudo apt-get install sleuthkit autopsy
Iniciamos autopsy desde la línea de comandos.
sudo autopsy
Ahora, en el equipo donde tenemos la información a recuperar, creamos una copia con dd de la partición a analizar, en este caso sda1. En este ejemplo usamos una unidad USB, pero puede ser otro disco duro o equipo en red, el punto es que debe tener suficiente espacio para alojar la copia y de hecho, es preferible que tenga al menos un 50% más de espacio para las restauraciones.
dd if=/dev/sda1 of=/media/usbdisk/recuperar.iso
Movemos la imagen al equipo de análisis y desde nuestro navegador accedemos a autopsy, con la dirección http://localhost:9999/autopsy (por defecto no permite conexiones remotas), adicionamos un nuevo caso, los datos del host y damos de alta la ruta hacía la imagen; para cada categoría aparece una pantalla donde nos solicita la información correspondiente. Al terminar se debe pulsar el botón File analysis para que nos indique los archivos eliminados y que pueden recuperarse.

Para estas herramientas, se recomienda revisar primero la documentación en línea, ya que se trata de una colección de aplicaciones profesionales para análisis de unidades.

Ultima actualización ( martes, 23 diciembre 2008 )

FUENTE:http://www.mexicoextremo.com.mx/content/view/1277/62/

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)
Powered by Bad Robot
Helped by Blackubay