Recuperar datos como un experto forense uso de un Live CD de Ubuntu

Hay un montón de utilidades para recuperar archivos borrados, pero lo que si no puede arrancar el ordenador, o todo el disco ha sido formateado? Le mostraremos algunas herramientas que cavar profundamente y recuperar los archivos más difíciles eliminar o particiones de disco duro, incluso toda la unidad.

Te hemos mostrado maneras simples para recuperar
archivos borrados accidentalmente, incluso un método simple que se puede hacer desde un CD de Ubuntu Live, pero para los discos duros que han sido fuertemente dañados, esos métodos no se va a cortar. En este artículo vamos a examinar cuatro herramientas que se pueden recuperar los datos de los discos más duro en mal estado, independientemente de si se ha dado formato a un equipo con Windows, Linux, o Mac, o incluso si la tabla de particiones se borra por completo.

Nota: Estas herramientas no se pueden recuperar los datos que ha sido sobrescrito en un disco duro. Si se elimina un archivo ha sido sobrescrito depende de muchos factores – el más rápido te das cuenta de que desea recuperar un archivo, más probable es que será capaz de hacerlo.

Nuestra configuración

Para mostrar estas herramientas, hemos creado un pequeño 1 GB de disco duro, con la mitad del espacio con particiones como ext2, un sistema de archivos utilizados en Linux, y la mitad del espacio particionado como FAT32, un sistema de archivos usado en los antiguos sistemas Windows. Nos guardaron diez cuadros al azar en cada disco duro.

A continuación, se limpió la tabla de particiones del disco duro mediante la eliminación de las particiones GParted.

Es nuestra pérdida de datos para siempre?

Instalación de las herramientas

Todas las herramientas que vamos a utilizar en Ubuntu universo repositorio.

Para habilitar el repositorio, abra el Administrador de paquetes Synaptic, haga clic en Sistema en la parte superior izquierda, luego la Administración Gestor de paquetes> Synaptic.

Haga clic en Configuración> Repositorios y añadir una marca en la casilla “mantenido por la comunidad de software Open Source (el universo)”.


Haga clic en Cerrar y luego en la ventana principal de Synaptic Package Manager, haga clic en el botón Actualizar. Una vez que la lista de paquetes se ha recargado, y la reconstrucción de índice de búsqueda, la búsqueda y la marca para la instalación de uno o todos los siguientes paquetes: testdisk , sobre todo , y bisturí .

TestDisk TestDisk incluye, lo que puede recuperar particiones perdidas y reparar sectores de arranque, y PhotoRec, que puede recuperar muchos tipos diferentes de archivos de toneladas de diferentes sistemas de archivos.


Sobre todo , originalmente desarrollado por la Oficina de la Fuerza Aérea de los EE.UU. de Investigaciones Especiales, recupera los archivos basados ​​en sus cabeceras y otras estructuras internas. Todo funciona con unidades de disco duro o los archivos de la unidad de imagen generados por diferentes herramientas.


Por último, bisturí realiza las mismas funciones como el más destacado, pero se centra en un mejor rendimiento y menor consumo de memoria. Bisturí puede funcionar mejor si usted tiene una máquina más vieja, con menos RAM.


Recuperar particiones del disco duro

Si usted no puede montar el disco duro, entonces su tabla de particiones podría estar dañado. Antes de empezar a tratar de recuperar sus archivos importantes, puede ser posible recuperar uno o más particiones en el disco, recuperar todos los archivos con un solo paso.

TestDisk es una herramienta para el trabajo. Inícielo abriendo un terminal (Aplicaciones> Accesorios> Terminal) y escribiendo:

testdisk sudo


Si lo desea, puede crear un archivo de registro, aunque esto no afectará la cantidad de datos que se recupere. Una vez realizada la elección, te da la bienvenida con una lista de los medios de almacenamiento en el equipo. Usted debe ser capaz de identificar el disco duro que desea recuperar particiones de por su tamaño y etiqueta.


TestDisk le pide que seleccione el tipo de tabla de particiones para buscar. En la mayoría de los casos (ext2 / 3, NTFS, FAT32, etc), debe seleccionar Intel y pulse Intro.


Resalte Analizar y pulse enter.


En nuestro caso, nuestro pequeño disco duro ha sido previamente formateado como NTFS. Sorprendentemente, TestDisk se encuentra la partición, aunque es incapaz de recuperarlo.


También se encuentra las dos particiones que acaba de eliminar. Somos capaces de cambiar sus atributos, o añadir más particiones, pero sólo tendremos que recuperar pulsando Enter.


Si TestDisk no ha encontrado todas las particiones, se puede intentar hacer una búsqueda más profunda mediante la selección de esta opción con las teclas de flecha izquierda y derecha. Sólo teníamos estas dos particiones, así que vamos a recuperar mediante la selección de escribir y pulsar Intro.


TestDisk nos informa que vamos a tener que reiniciar el sistema.


Nota: Si el Ubuntu Live CD no es persistente , entonces cuando se reinicie tendrá que reinstalar las herramientas que ha instalado anteriormente.

Después de reiniciar, tanto de nuestras particiones están de vuelta a su estado original, fotos y todo.


Recuperar archivos de determinados tipos

Para los siguientes ejemplos, hemos suprimido las 10 imágenes de las dos particiones y luego formatear.

PhotoRec

De las tres herramientas que vamos a mostrar, PhotoRec es el más fácil de usar, a pesar de ser una utilidad basada en consola. Para iniciar la recuperación de archivos, abra una terminal (Aplicaciones> Accesorios> Terminal) y escriba:

sudo photorec

Para comenzar, se le pedirá que seleccione un dispositivo de almacenamiento para la búsqueda. Usted debe ser capaz de identificar el dispositivo adecuado por su tamaño y etiqueta. Seleccione el dispositivo de la derecha, y luego pulsa Enter.


PhotoRec le pide que seleccione el tipo de partición de búsqueda. En la mayoría de los casos (ext2 / 3, NTFS, FAT, etc), debe seleccionar Intel y pulse Intro.


Se le da una lista de las particiones en el disco duro seleccionado. Si desea recuperar todos los archivos en una partición, a continuación, seleccione Buscar y pulsa enter.

Sin embargo, este proceso puede ser muy lento, y en nuestro caso lo único que queremos para buscar archivos de imágenes, por lo que en su lugar utilizamos la tecla de flecha derecha para seleccionar Opción Archivo y pulse Enter.


PhotoRec puede recuperar muchos tipos diferentes de archivos y anulando la selección de cada uno tomaría un largo tiempo. En su lugar, pulse el botón “s” para borrar todas las selecciones, y luego encontrar el tipo de archivo adecuado – jpg, gif y png – y selecciónelos pulsando la tecla de flecha hacia la derecha.


Una vez que hemos seleccionado estas tres, pulsamos “b” para salvar a estas selecciones.


Pulse Intro para volver a la lista de particiones del disco duro. Queremos buscar nuestros dos particiones, de modo que se destacan “No hay una partición” y “Buscar” y pulse Enter.


PhotoRec pedirá una ubicación para almacenar los archivos recuperados. Si usted tiene un disco duro diferente saludable, entonces se recomienda almacenar los archivos recuperados allí. Puesto que no se está recuperando mucho, vamos a guardar en el escritorio del Live CD de Ubuntu es.

Nota: No recuperar archivos en el disco duro se está recuperando de.


PhotoRec es capaz de recuperar las 20 imágenes de las particiones de nuestro disco duro!


Un rápido vistazo en el directorio recup_dir.1 que crea confirma que PhotoRec ha recuperado todas nuestras imágenes, con excepción de los nombres de archivo.


Principal

Todo es un programa de línea de comandos sin interfaz interactiva como PhotoRec, pero ofrece una serie de opciones de línea de comandos para obtener mayor cantidad de datos de su disco tuvo como sea posible.

Para obtener una lista completa de opciones que pueden ser ajustadas a través de la línea de comandos, abre un terminal (Aplicaciones> Accesorios> Terminal) y escriba:

todo-h

En nuestro caso, las opciones de línea de comandos que vamos a utilizar son:

  • -T, una lista separada por comas de los tipos de archivos a buscar. En nuestro caso, se trata de “jpeg, png, gif”.
  • -V, lo que permite de modo detallado, que nos da más información sobre lo más importante es hacerlo.
  • -O, la carpeta de salida para guardar los archivos recuperados pulg En nuestro caso, hemos creado un directorio llamado “lugar” en el escritorio.
  • -I, la entrada que se va a buscar los archivos. Esto puede ser una imagen de disco en varios formatos diferentes, sin embargo, vamos a utilizar un disco duro, / dev / sda.

Nuestra invocación más importante es:

sudo todo-t jpeg, png, gif, o sobre todo-v-i / dev / sda

Su invocación será diferente dependiendo de lo que estás buscando y dónde usted está buscando para ello.


Todo es capaz de recuperar 17 de los 20 archivos almacenados en el disco duro.


En cuanto a los archivos, se puede afirmar que estos archivos se recuperaron relativamente bien, aunque podemos ver algunos errores en la miniatura de 00622449.jpg.


Parte de esto puede ser debido al sistema de ficheros ext2. Lugar recomienda el uso de la-d de línea de comandos para sistemas de archivos Linux como ext2.

Vamos a correr todo de nuevo, añadiendo la opción-d de línea de comandos opción para nuestra invocación más importante:

sudo todo-t jpeg, png, gif-d-o todo-v-i / dev / sda


Esta vez, todo es capaz de recuperar todas las 20 imágenes!


Un último vistazo a las imágenes revela que las imágenes fueron recuperados sin ningún problema.


Bisturí

Bisturí es otro programa de gran alcance que, como todo, es muy configurable. A diferencia de Foremost, bisturí requiere editar un archivo de configuración antes de intentar la recuperación de datos.

Cualquier editor de texto va a hacer, pero vamos a usar gedit para cambiar el archivo de configuración. En una ventana de terminal (Aplicaciones> Accesorios> Terminal), escriba:

sudo gedit / etc / bisturí / scalpel.conf


scalpel.conf contiene información sobre un número de diferentes tipos de archivos.Desplazarse a través de este archivo y descomentar las líneas que comienzan con un tipo de archivo que desea recuperar (es decir, eliminar el carácter “#” al comienzo de estas líneas).


Guarde el archivo y ciérrelo. Volver a la ventana de terminal.

Bisturí también tiene un montón de opciones de línea de comandos que puede ayudarle a buscar de forma rápida y eficaz, sin embargo, sólo tendremos que definir el dispositivo de entrada (/ dev / sda) y la carpeta de salida (una carpeta llamada “bisturí” que hemos creado en el escritorio).

Nuestra invocación es:

sudo bisturí / dev / sda-o bisturí


Bisturí es capaz de recuperar 18 de los 20 archivos.


Un rápido vistazo a los archivos recuperados bisturí revela que la mayoría de nuestros archivos fueron recuperados con éxito, aunque hubo algunos problemas (por ejemplo, 00000012.jpg).


Conclusión

En nuestro ejemplo de juguete rápido, TestDisk fue capaz de recuperar dos particiones borradas, y PhotoRec y principal fueron capaces de recuperar todas las 20 imágenes borradas. Bisturí se recuperó la mayor parte de los archivos, pero es muy probable que el jugar con las opciones de línea de comandos para bisturí que nos han permitido recuperar todas las 20 imágenes.

Estas herramientas son salvavidas cuando algo va mal con su disco duro. Si los datos se encuentra en el disco duro en alguna parte, entonces una de estas herramientas es rastrear!

About these ads

Deja un comentario

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

Seguir

Recibe cada nueva publicación en tu buzón de correo electrónico.

%d personas les gusta esto: