Phenquestions
Recuperación de datos del disco duro con Foremost:
Para comenzar, veamos los dispositivos de almacenamiento conectados usando el comando lsblk, en la consola ejecute:
# lsblk
Lsblk mostrará todos los dispositivos de almacenamiento y particiones disponibles, incluidos los dispositivos ópticos y de intercambio, en este caso quiero el dispositivo sdb.
Nota: para obtener más información sobre el comando lsblk, lea Cómo enumerar todos los dispositivos de disco Linux.
Como puede ver, el pendrive USB de 32 GB se llamaba sdb y ese es el dispositivo en el que trabajaré.
Recuperación de datos desde una unidad USB con Foremost:
Para comenzar la recuperación de datos desde una unidad USB, comience instalando Foremost usando el administrador de paquetes APT en Debian o distribuciones Linux basadas en:
# apt install ante todo
Una vez instalado, puede mostrar la página de manual para verificar todas las opciones disponibles:
# hombre ante todo
Desde la página de manual entendemos la bandera -I es determinar un archivo de entrada, desde el cual Foremost comenzará a trabajar. Suele estar orientado a trabajar con imágenes como estas producidas por herramientas como dd o Encase. Para iniciar Foremost de la manera más sencilla sin indicadores adicionales, ejecute el siguiente comando reemplazando / sdb por el ID del dispositivo del que desea recuperar datos.
Correr:
Dónde sdb poner el dispositivo correcto.
Una vez ejecutado, el proceso de tallado se verá así:
Nota: también puede especificar particiones como, por ejemplo, / dev / sdb1.
Cuando el proceso termine corre ls para confirmar la creación de un nuevo directorio llamado producción:
# ls
Como puede ver, la salida del directorio existe, para ver los archivos recuperados, ingréselo usando el comando CD (Cambiar directorio) y luego ejecutar ls:
# ls
En el interior verá directorios para todos los tipos de archivos que Foremost logró recuperar, además verá un archivo llamado auditoría.txt con un informe sobre archivos tallados.
Puede verificar qué archivos se encontraron dentro de cada directorio ejecutando ls
También puede explorar todos los archivos recuperados a través de un administrador de archivos gráfico:
Recuperación de datos del disco duro con PhotoRec:
PhotoRect es junto con Foremost la herramienta de recuperación de datos o talla de archivos más popular, tanto para uso forense profesional como doméstico. Mientras que Foremost realiza una recuperación más inteligente que muestra un rendimiento más rápido, la fuerza bruta de PhotoRec muestra mejores resultados al grabar archivos. Esta sección muestra cómo llevar a cabo la recuperación de datos desde el disco duro usando PhotoRec.
Para comenzar con Debian y distribuciones Linux basadas, instale photorec ejecutando:
# apt install testdisk
La página de manual de PhotoRec está casi vacía, Photorec es bastante simple de usar y solo necesita ser ejecutado, una interfaz didáctica amigable similar a la de CFDISK aparecerá para guiarlo durante todo el proceso.
Una vez instalado, ejecútelo llamando al programa:
# fotorec
Recuerde ejecutar PhotoRec con suficientes permisos para acceder al dispositivo que se va a tallar.
En la primera pantalla, debe seleccionar el disco de origen o la imagen de la que PhotoRec necesita recuperar los datos. En este caso, estoy seleccionando el dispositivo / dev / sdb como se muestra en la siguiente imagen:
En este paso, debe seleccionar la partición de la que desea recuperar los datos.
Si las particiones no se encuentran y no se enumeran antes de continuar con una búsqueda usando las flechas del teclado, muévase a Opción de archivo para explorar las opciones disponibles como se muestra en la siguiente imagen:
Como puedes ver dentro Opción de archivo puede aumentar la precisión de los resultados que desea especificando el tipo de archivos que está buscando. Seleccione el tipo de archivos que desea y luego presione B para continuar, o Dejar volver.
Una vez de vuelta en la pantalla anterior, seleccione Buscar y presione Enter para continuar y comenzar el proceso de recuperación de datos.
En esta etapa, Foremost preguntará qué tipo de sistema de archivos tiene o solía tener el dispositivo, en este caso era FAT o NTFS, seleccione el sistema de archivos adecuado, incluso si actualmente está roto y presione INGRESAR.
Finalmente PhotoRec te preguntará dónde quieres guardar los archivos, acabo de salir del Escritorio pero puedes crear una carpeta dedicada para ello, luego de elegir el destino presiona C continuar.
El proceso comenzará y puede durar algunos minutos u horas dependiendo del tamaño.
Al finalizar el proceso PhotoRect notificará la creación de un directorio con los archivos recuperados, en este caso recup_dir * dentro del Escritorio previamente seleccionado como destino.
Al igual que con Foremost, puede enumerar todos los archivos de la consola:
O puede buscar archivos usando su administrador de archivos gráfico preferido:
Conclusión sobre la recuperación de datos del disco duro con PhotoRec y Foremost:
Ambas herramientas lideran el mercado de tallado de archivos, ambas herramientas permiten recuperar cualquier tipo de archivos, Foremost admite el tallado jpg, gif, png, bmp, avi, exe, mpg, wav, riff, wmv, mov, pdf, viejo, Doc, Código Postal, rar, htm, y cpp y más. Ambas herramientas son compatibles con imágenes de disco como dd o para Encase. Mientras que PhotoRec se basa en la fuerza bruta que proporciona una talla más profunda, Foremost se centra en los encabezados y pies de los bloques que funcionan más rápido. Ambas herramientas se incluyen en las suites forenses y distribuciones de sistemas operativos más populares, como Deft / Deft Zero live o CAINE, que se describieron en https: // linuxhint.com / live_forensics_tools /.
El uso de PhotoRec o Foremost brinda la posibilidad de aplicar herramientas forenses de alto nivel incluso para uso doméstico, las herramientas mencionadas no tienen banderas complejas y opciones para agregar el lanzamiento.
Espero que haya encontrado útil este tutorial sobre cómo recuperar datos desde el disco duro. Siga siguiendo LinuxHint para obtener más consejos y actualizaciones sobre Linux y redes.
