Recuperación de Archivos Eliminados o Borrados en Linux

El presente instructivo tiene como finalidad la instalación y ejecución de herramientas para la recuperación de archivos borrados o eliminados en Linux.

– Foremost, es una herramienta que permite, basándose en los encabezados, pies de página y estructura interna de los archivos, recuperar los siguientes tipos de archivos: avi, bmp, dll, doc, exe, gif, htm, jar, jpg, mbd, mov, mpg, pdf, png, ppt, rar, rif, sdw, sx, sxc, sxi, sxw, vis, wav, wmv, xls, zip y otros tipos más que pueden verse en el archivo /etc/foremost.conf.

– Extundelete, es una utilidad que permite la recuperación de archivos borrados en sistemas de arhivos ext3/ext4.

– Scalpel

Requisitos:

  • Se debe contar con suficiente privilegios para la instalación de aplicativos

Plataforma:

  • Equipos de arquitectura 64 bits
  • Sistema operativo ‘GNU/Linux’ Debian versión 8.0

Aplicaciones:

  • foremost -> 1.5.7-5
  • Extundelete -> 0.2.4-1
  • scalpel -> 1.60-1

Instalación

operador@servidor:~/$ sudo aptitude install foremost extundelete scalpel


Comando Foresmost

1. Recuperar todo el contenido de dispositivo USB pendriver:

operador@servidor:~/$ sudo foremost -v -t all -i /dev/sdc1 -o /home/operador/recuperado

Donde:

-v -> verbose, muestra información adicional al momento de la ejecución
-t -> indica el tipo de archivo a recuperar, en éste caso “all” es para todos los archivos
-i -> indica la ruta de la partición desde donde se efectuará la recuperación
-o -> indica el directorio o carpeta donde foremost guardará los archivos recuperados

2. Recuperar los archivos con formato .doc, .jpg, .pdf y .xls

operador@servidor:~/# foremost -v -t doc,jpg,pdf,xls -i /dev/sdc1 -o /home/operador/recuperado

Nota: Es importante revisar los permisos de la carpeta “recuperado” luego del proceso de recuperación, y cambiarlos para el usuario idicado, ya que sólo tendrá acceso el usuario root

Configuración Foresmost
Foresmost contiene un archivo de configuración ubicado en /etc/foresmost.conf, donde se pueden encontrar los diferentes tipos que pueden ser recuperados, es por ello que al momento de la recuperación se deben descomentar los formatos que sea de interes en recuperar.

1. Editar archivo de configuración foresmost:

operador@servidor:~/# nano /etc/foresmost.conf

2. Descomenta las líneas requeridas, en nuestra caso .doc y .pdf

#---------------------------------------------------------------------
# MICROSOFT OFFICE
#---------------------------------------------------------------------
#
# Word documents
#       (NOTE THIS FORMAT HAS A BUILTIN EXTRACTION FUNCTION)
        doc     y       12500000  \xd0\xcf\x11\xe0\xa1\xb1
#
# Outlook files
#       pst     y       400000000 \x21\x42\x4e\xa5\x6f\xb5\xa6
#       ost     y       400000000 \x21\x42\x44\x4e
#
# Outlook Express
#       dbx     y       4000000 \xcf\xad\x12\xfe\xc5\xfd\x74\x6f
#       idx     y       4000000 \x4a\x4d\x46\x39
#       mbx     y       4000000 \x4a\x4d\x46\x36
#---------------------------------------------------------------------
# ADOBE PDF (NOTE THIS FORMAT HAS A BUILTIN EXTRACTION FUNCTION)
#---------------------------------------------------------------------
#
pdf y 5000000 %PDF- %EOF
#
#---------------------------------------------------------------------

Adicionalmente Foresmost tiene la ventaja, por su método de busqueda y recuperación, de poder agregar (para que se recupere) formatos de archivos adicionales a los incluidos por defecto, tal es el caso de los archivos con formato OpenDocument (odt, ods, odp) y archivos de Thunderbird (msf), para ellos se hace necesario incluir lo siguientes:

1. Editar archivo de configuración foresmost:

operador@servidor:~/# nano /etc/foresmost.conf

2. Incluir al final del archivo la siguiente información:

#---------------------------------------------------------------------
# LIBREOFFICE AND OPENOFFICE FILES
#---------------------------------------------------------------------
     odt y 20000000 PK????????????????????????????mimetypeapplication/vnd.oasis.opendocument.textPK META-INF/manifest.xmlPK????????????????????
     ods y 10000000 PK????????????????????????????mimetypeapplication/vnd.oasis.opendocument.spreadsheetPK META-INF/manifest.xmlPK????????????????????
     odp y 10000000 PK????????????????????????????mimetypeapplication/vnd.oasis.opendocument.presentationPK META-INF/manifest.xmlPK????????????????????
# odg y 10000000 PK????????????????????????????mimetypeapplication/vnd.oasis.opendocument.graphicsPK META-INF/manifest.xmlPK????????????????????
# odc y 10000000 PK????????????????????????????mimetypeapplication/vnd.oasis.opendocument.chartPK META-INF/manifest.xmlPK????????????????????
# odf y 10000000 PK????????????????????????????mimetypeapplication/vnd.oasis.opendocument.formulaPK META-INF/manifest.xmlPK????????????????????
# odi y 10000000 PK????????????????????????????mimetypeapplication/vnd.oasis.opendocument.imagePK META-INF/manifest.xmlPK????????????????????
# odm y 10000000 PK????????????????????????????mimetypeapplication/vnd.oasis.opendocument.text-masterPK META-INF/manifest.xmlPK????????????????????
# sxw y 10000000 PK????????????????????????????mimetypeapplication/vnd.sun.xml.writerPK META-INF/manifest.xmlPK????????????????????
#---------------------------------------------------------------------
# THUNDERBIRD FILES
#---------------------------------------------------------------------
     msf y 10000000 //\s<!--\s\s-->?\s//\s(f=iso-8859-1) //\s<!--\s\s-->?\s//\s(f=iso-8859-1) NEXT
# actual Local Folder data files, no way to tell end so grab 100MB
     NONE y 100000000 From????????????????????????????X-Mozilla-Status:\s?????X-Mozilla-Status2: NEXT

3. Ejemplo de una recuperación archivo .doc de un dispositivo USB pendriver (/dev/sdc1)

operador@servidor:~/# foremost -v -t doc -i /dev/sdc1 -o /home/operador/recuperado/
Foremost version 1.5.7 by Jesse Kornblum, Kris Kendall, and Nick Mikus
Audit File

Foremost started at Tue Sep  6 14:19:59 2016
Invocation: foremost -v -t doc -i /dev/sdc1 -o /home/operador/recuperado/ 
Output directory: /home/operador/recuperado
Configuration file: /etc/foremost.conf
Processing: /dev/sdc1
|------------------------------------------------------------------
File: /dev/sdc1
Start: Tue Sep  6 14:19:59 2016
Length: 3 GB (3925901312 bytes)
 
Num	 Name (bs=512)	       Size	 File Offset	 Comment 

*0:	00264032.doc 	      11 MB 	  135184384 	 
1:	00264288.odt 	     136 KB 	  135315456 	 
2:	00264664.odt 	      66 KB 	  135507968 	 
3:	00264248.ods 	      17 KB 	  135294976 	 
**************4:	03168819.pdf 	       1 MB 	 1622435458 	 
5:	03169154.pdf 	       1 MB 	 1622607322 	 
6:	03175800.pdf 	     842 KB 	 1626009874 	 
7:	03176431.pdf 	     527 KB 	 1626333142 	 
******8:	04574500.pdf 	       4 MB 	 2342144000 	 
*9:	04766195.pdf 	       4 MB 	 2440292087 	 
*****10:	05786836.pdf 	       3 MB 	 2962860032 	 
11:	05842780.pdf 	       2 MB 	 2991503360 	 
*******12:	07317888.odt 	      73 KB 	 3746758656 	 
***|
Finish: Tue Sep  6 14:22:49 2016

13 FILES EXTRACTED
	
doc:= 1
pdf:= 8
odt:= 3
ods:= 1
------------------------------------------------------------------

Foremost finished at Tue Sep  6 14:22:49 2016

Comando Extundelete

Ejemplo: Recuperar la partición completa del dispositivo USB pendriver con sistema de archivos EXT4. EL dispositivo contenía 4 archivos (.pdf, .png, .mp4, .txt), los mismos fueron borrados con la sentencia #rm -rf y luego se inicia la recuperación

1. Crear una carpeta para almacenar la recuperación del dispositivo:

operador@servidor:~/# mkdir -p /home/operador/extundelete

Nota: Esto es necesario, ya que el comando extundelete crea una carpeta con el nombre “RECOVERED_FILES” en la ruta desde donde se ejecute el comendo. Es importante tener espacio suficiente

2. Montar en modo lectura el dispositivo a recuperar:

operador@servidor:~/# mount -o ro,remount /dev/sdc1 /media/operador/usbprueba

3. Verificar el punto de montura:

operador@servidor:~/# mount
/dev/sdc1 on /media/operador/usbprueba type ext4 (ro,relatime,data=ordered,uhelper=udisks2)

4. Situarse en la ruta de la carpeta creada para almacenar la recuperación:

operador@servidor:~/# cd /home/operador/extundelete

5. Iniciar la recuperación:

operador@servidor:/home/operador/extundelete# extundelete /dev/sdc1 --restore-all
NOTICE: Extended attributes are not restored.
Loading filesystem metadata ... 30 groups loaded.
Loading journal descriptors ... 50 descriptors loaded.
Searching for recoverable inodes in directory / ... 
2 recoverable inodes found.
Looking through the directory structure for deleted files ... 
0 recoverable inodes still lost.

Donde:
/dev/sdc1 -> origen de los datos a recuperar
–restore-all -> restaurar todos los archivos posibles

6. Verificar los archivos restaurados

operador@servidor:/home/operador/extundelete# ls -la RECOVERED_FILES/

Ejemplo: Recuperar sólo un directorio “prueba” del mismo dispositivo

1. Seguir hasta el paso “4” del proceso anterior:

2. Iniciar la recuperación del directorio:

operador@servidor:/home/operador/extundelete# extundelete /dev/sdc1 --restore-directory /prueba
NOTICE: Extended attributes are not restored.
Loading filesystem metadata ... 30 groups loaded.
Loading journal descriptors ... 53 descriptors loaded.
Searching for recoverable inodes in directory /prueba ... 
3 recoverable inodes found.
Looking through the directory structure for deleted files ... 
1 recoverable inodes still lost.

3. Verificar los archivos restaurados:

operador@servidor:/home/operador/extundelete# ls -la RECOVERED_FILES/

Ejemplo: Recuperar sólo un archivo, el mismo estaba ubicado en una carpeta “prueba”

1. Seguir hasta el paso “4” del proceso anterior:

2. Iniciar la recuperación del archivo “google-chrome-stable_current_amd64.deb”:

operador@servidor:/home/operador/extundelete# extundelete /dev/sdc1 --restore-file /prueba/google-chrome-stable_current_amd64.deb

3. Verificar los archivos restaurados:

operador@servidor:/home/operador/extundelete# ls -la RECOVERED_FILES/

Comando Scalpel

Enlaces:
Foremost
Foremost Package Description
Recuperar datos del disco duro y memorias externas con foremost
scalpel recuperar archivos borrados de openofficelibreoffice
Recuperar archivos borrados
Extundelete recupera archivos borrados

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s