COMO RECUPERAR ARCHIVOS BORRADOS EN LINUX

 COMO RECUPERAR ARCHIVOS BORRADOS EN LINUX

¿Quien no ha eliminado sin querer algún archivo incluso de la papelera para darnos cuenta luego que no debíamos tirarlo? o peor aún, algunos tenemos la costumbre de no pasar por la papelera. O se nos pierden fotos de nuestra cámara o la información que tenemos en ese pendrive que llevamos de un lado a otro.

Pues bien para estos u otros casos en GNU/Linux tenemos varias herramientas para intentar recuperar esos preciados datos. En esta entrada hablaremos de dos de ellas, para utilizarlas según sea el caso.

Preparé un pendrive al que le eliminé la partición, luego hice una ext3, la borré también y cree otra Fat32, copie unas imágenes jpg y luego las borre como se puede ver en las siguientes capturas:

Antes de explicar el uso de las herramientas de recuperación, vamos a ver como identificar de manera sencilla cual es el punto de montaje del dispositivo del cual queramos recuperar los datos, luego veremos por que necesitamos saber esto.
Tenemos varias maneras de saber esto, sin embargo para hacerlo de manera gráfica vamos a usar Gparted, un gestor de particiones que viene instalado en muchas distribuciones basadas en Debian.
En Ubuntu 12.04 no está instalado por defecto asi que abrimos una terminal y lo instalamos:

sudo apt-get install gparted

Si por ejemplo queremos rescatar datos de un pendrive o memoria lo/a conectamos ahora.

Desde el dash lanzamos Gparted, nos pedirá la contraseña de super usuario y veremos una imagen similar a la siguiente:

Como se puede ver nos muestra el dispositivo /dev/sda (en este caso) que es un disco duro y dentro tiene las siguientes particiones: sda1, es una partición ntfs donde tengo Window$, sda2 es ext4 donde está mi home, sda3 también ext4 es el punto de montaje del sistema, sda4 que es el swap y una porción sin formato.

Si nos fijamos en la parte superior a nuestra derecha, al lado del dispositivo, tenemos una flechita para cambiar el mismo, para por ejemplo buscar el pendrive conectado.

Vemos entonces que el dispositivo correspondiente a el pendrive (nos damos cuenta por el tamaño) es sdb y como podemos corroborar dentro está la partición sdb1.

Anotemos estos datos.

Ahora que ya sabemos como se llama el dispositivo y la partición desde donde queremos recuperar datos, si vamos a centrarnos en como recuperar esos archivos borrados.
La primera herramienta y mas potente que vamos a usar es Photorec.
Como el post ya es muy largo voy a obviar como trabaja el programa para centrarnos en su uso práctico, pero si quieren pueden ver mas aquí.

Vamos a instalarlo desde una terminal:

sudo apt-get install testdisk

El software no tiene interfaz gráfica y está en ingles, sin embargo tranquilos que es bastante fácil de usar. Vamos nuevamente a la terminal y ejecutamos:

sudo photorec

Tras pedirnos la contraseña veremos una ventana como la que sigue:

En este primer paso nos pregunta de que dispositivo deseamos recuperar datos (para eso es que vimos como saber el punto de montaje al principio) seleccionamos el deseado, en este caso el pendrive que corresponde para el ejemplo a sdb y damos enter.

En esta segunda ventana nos pregunta la partición del pendrive (en este caso) desde la que queremos recuperar, como en el ejemplo tenemos una sola (la que vimos como sdb1) le damos enter.

Ahora pregunta donde guardaremos los datos recuperados, es conveniente haber creado en nuestra carpeta personal con anterioridad un directorio para este fin, nos movemos con los cursores hasta el directorio deseado y presionamos C

Dejamos como está y nuevamente presionamos C

En este momento se pondrá a trabajar como podemos ver...

Cuando termina nos muestra un pequeño informe con los archivos que recuperó, nada menos que 1302

Ahora bien, como el programa trabaja como super usuario no tendremos permisos para mover, copiar o eliminar los datos recuperados. Cuando entremos al directorio veremos algo así:

Para solucionar esto vamos una ves mas a una terminal y para el ejemplo pondremos esto:

sudo chmod -R 777 /home/yeti/recuperados

Donde /home/yeti/recuperados es la ruta al directorio donde se encuentran los archivos, tu debes cambiarla según tu usuario y el directorio que elegiste para guardarlos.
Entonces nos debe quedar así:

Como se puede apreciar ya no tenemos los símbolos que indican la falta de permisos.
Les dejo unas capturas de el contenido de los directorios:

Como pudieron ver a pesar de haber formateado varias veces recuperó nada menos que 1302 archivos. ¿Nada mal verdad?

 Otra alternativa es Foremost (Forensic data recovery)también trabaja desde la línea de comandos y da buenos resultados.

Para instalarlo ejecutamos en una terminal:

sudo apt-get install foremost

Foremost puede recuperar datos en los siguientes formatos: avi, bmp, dll, doc, exe, gif, htm, jar, jpg, mbd, mov, mpg, pdf, png, ppt, rar, rif, sdw, sx, sxc, sxi, sxw, vis, wav, wmv, xls, zip

Para indicar los tipos de archivo que queremos recuperar, pondremos la opción “-t” seguida de las tipos de archivo que queramos recuperar separados por comas, o “all” si queremos recuperar todos los tipos soportados.

Estas son algunas de las opciones de Foremost:

-h, muestra la ayuda y sale
-v, muestra la versión y sale
-T, añade la fecha al directorio donde quieres guardar los archivos recuperados
-v, muestra la salida de datos
-q, modo rápido
-Q, modo silencioso
-w, escribe solo la el fichero donde informa de lo que se puede recuperar pero sin recuperar nada
-i, la partición que queremos escanear
-o, el directorio de salida

Para el ejemplo vamos a utilizar el mismo pendrive desde donde recuperamos anteriormente conPhotorec, pero esta ves solo vamos a intentar la recuperación de archivos jpg y png.
Veamos entonces el comando a utilizar para el ejemplo:

sudo foremost -v -T -t jpg,png  -i /dev/sdb1 -o /home/yeti/recuperados/

Donde "-v" es para que nos muestre la salida, "-T" le añade la fecha al directorio donde guardamos los datos recuperados, "-t jpg,png" le dice que tipo de archivos recuperar, "-i /dev/sdb1" la partición donde se encuentran los datos a recuperar y "-o /home/yeti/recuperados/” el directorio donde se guardaran los archivos recuperados.

Los archivos no se guardaran en “recuperados”, sino en “recuperados” seguido de la fecha, tal como elegimos cuando pusimos la opción "-T".

Ten en cuenta que /dev/sdb1 es la ruta al pendrive en mi maquina y /home/yeti/recuperados/es la ruta de salida para los archivos recuperados en mi computadora, tu deberás poner ambas rutas según la partición desde donde desees recuperar (para saberlo ve al principio del post)y la ruta a donde quieras guardar los datos recuperados.

Recuerda además que como con Photorec, al trabajar como super usuario no tendremos permisos sobre los archivos recuperados y deberás cambiar los permisos para poder manipular los archivos, para el ejemplo:

sudo chmod -R 777 /home/yeti/recu_Tue_Jul__3_20_00_18_2012

Debes cambiar /home/yeti/recu_Tue_Jul__3_20_00_18_2012 por la ruta a donde se encuentran los datos recuperados.
  
En las siguientes capturas podemos ver el programa trabajando y los directorios con los archivos recuperados.

El resultado de la recuperación con Foremost:

En definitiva si queremos algo bien potente y recuperar todo tipo de archivos la mejor opción esPhotorec y si queremos recuperar imágenes, o alguno de los tipos soportados por Foremost, esta es tu opción.