Practica 2.4.
Recuperación de datos 1
Existen diferentes soluciones que realizan el rastreo de
información marcada como borrada en un medio de almacenamiento y que puede ser
recuperable.
En esta práctica voy a usar:
Herramienta Recuva en el
sistema Windows 7 y también os enseñaré que herramientas se usan en el sistema
Linux.
Es importante recordar que no siempre es posible recuperar
el 100% de los datos, en ocasiones se puede recuperar parcialmente parte de
texto, imágenes, etc.
En muchas ocasiones los nombres de los archivos recuperados
no coinciden con el original.
El método que poseen estos programas para la búsqueda de
datos en clúster de un dispositivo está basado en comparar los datos contenidos
en ellos con las estructuras de datos de los formatos de archivos más comunes:
Texto (odt, doc, txt), gráficos (bmp, jpg, gif, png, tiff),
videos (avi, mpg, mov), sonido (mp3, wav, wma), otros como html, pdf, rar, etc.
Todo esto, lo veremos
en el desarrollo de la práctica a continuación.
Para realizar esta demostración tengo preparado un USB con
varios documentos en su interior (imágenes, videos, documentos Word,
directorios, etc).
El primer paso será borrar todos los datos del pen drive USB
mediante un formateo rápido a forma de ejemplo.
Aquí podemos ver el USB con documentos y posteriormente el
USB formateado completamente vacío:
Aquí vemos como
pulsando sobre el USB botón derecho, pinchamos en formatear y se nos abre la
ventana de opciones, elegimos formateo rápido.
Una vez formateado,
podemos ver aquí que tenemos el USB completamente vacio:
Una vez tenemos preparado para recuperar los datos del USB,
pasamos a instalar el programa recuva, en mí caso he instalado recuva143, aquí
podemos ver la página principal del programa:
Dentro de esta página principal podemos comenzar a
configurar el programa para que comience a trabajar sobre mi USB formateado:
Seleccionamos la partición de disco en la que vamos a buscar
los datos, en mi caso, el USB, y pulsamos en escanear para que comience la
búsqueda de documentos:
Aquí podemos ver cómo ha comenzado la recuperación:
Cuando finaliza el escaneo de los archivos, nos muestra
todos los archivos que ha encontrado puede suceder que los nombres de los
archivos hayan cambiado al recuperarlos:
El siguiente paso, será seleccionar cuales de los archivos que
nos ha encontrado, queremos recuperar, en mi caso voy a seleccionar todos y
pulso sobre el botón recuperar, nos pide que elijamos un lugar en donde
queramos guardar los archivos recuperados, en mi caso elijo el propio USB ya
que es una prueba, pero deberíamos guardarlo en un lugar distinto de donde lo
estamos recuperando ya que de lo contrario puede que perdamos varios documentos
de los que necesitamos recuperar:
Al pulsar sobre recuperar, comienza a guardar los archivos
recuperados a mi USB:
Cuando terminada esta
recuperación, nos aparece este mensaje con un resumen de la operación una vez
completada:
Nos vamos al USB para comprobar que de nuevo tenemos
nuestros archivos y vemos como efectivamente han cambiado sus nombres, pero que
en su interior permanecen sus datos correctamente:
Simplemente debemos ir modificando cada uno de los archivos
a su nombre original y ya tendríamos recuperados nuestros archivos gracias al
programa Recuva.
Por ultimo os voy a mostrar diferentes opciones que posee la
herramienta recuva, por si alguna vez necesitamos usar alguna de estas
opciones:
El botón Escanear, nos da la opción de elegir un escaneo
mediante una búsqueda del contenido de un archivo:
Y en el botón opciones podemos modificar el idioma el modo
de visualización y otras configuraciones avanzadas como la cantidad de pasadas
que debe realizar para encontrar los archivos (Borrado seguro):
El programa Recuva es uno de los mejores Programas de
recuperación de Datos que a día de hoy se conocen.
En el sistema
Linux existen diferentes herramientas de recuperación de datos
incluso algunas de ellas se encuentran disponibles en USB o CD/DVD Live para
poder recuperar archivos incluso en caso de no poder arrancar el sistema
operativo. Algunas de las más conocidas y disponibles en los repositorios de
descargas son:
·
TestDisk: herramienta que puede recuperar
particiones perdidas y sectores de arranque, y PhotoRec, que es una herramienta
sencilla de usar para la recuperación de archivos.
·
Foremost: recupera archivos basándose en una
serie de estructuras internas además de otros datos. Trabaja sobre todo con
discos duros. Es un programa de línea de comandos, sin interfaz gráfica.
·
Scalpel: realiza las mismas funciones que
Foremost, pero se centra en un mejor rendimiento y un menor consumo del
sistema, por tanto, trabaja mejor con equipos viejos o con poca RAM.
Podemos instalar la herramienta
Foremost ejecutando este comando:
sudo aptitude install Foremost
Una vez instalado podemos ver la ayudas con el comando: foremost –h
Por ejemplo podemos usar las
opciones:
-t: con una
lista de extensiones de archivo, separadas por comas.
-v: que es
el modo detallado, para saber que esta haciendo foremost de una manera más
completa.
-o: indicara la
carpeta donde van a ir los archivos recuperados.
-i: donde
indicaremos el sitio en el que están los archivos a recuperar.
Un ejemplo de uso seria:
foremost –t jpeg,png,gif –o foremost –v –i /dev/sda1
En mi ejemplo /dev/sda1 es la partición
donde queremos buscar los archivos borrados o perdidos. En ocasiones es necesario
realizar una copia exacta del dispositivo o partición mediante el comando dd (duplicate
disk): dd if=/dev/sda1 of=/home/usuario/imagen.dd pudiendo posteriormente
emplear como ubicación de entrada (-i) a foremost dicho archivo con extensión
.dd.
Foremost encuentra y guarda en
carpetas por cada formato, tanto los disponibles como legibles en el disco
duro, como los recuperados. Los nombres de los archivos pueden no corresponder
con los originales por lo que habrá que realizar un análisis posterior de los
mismos hasta encontrar los recuperados. En caso de querer conocer las
particiones disponibles podemos ejecutar sudo fdisk –I.
Con esto quedaría
terminada la práctica de recuperación de datos.
Ok. Sobresaliente.
ResponderEliminar