Este tutorial muestra cómo recuperar datos de dispositivos de almacenamiento en Linux. En este caso los datos serán recuperados de un pendrive USB SanDisk de 32 GB, sin embargo el proceso mostrado en este tutorial es el mismo que para un disco duro normal. Este tutorial se centrará en dos de las herramientas de tallado de archivos más populares, Foremost y PhotoRect, ambas descritas en el artículo Herramientas de tallado de archivos. Ambas serán explicadas desde el proceso de instalación en Debian 10 Buster hasta la recuperación de datos.
Recuperación de datos del disco duro con Foremost:
Para empezar vamos a ver los dispositivos de almacenamiento conectados mediante el comando lsblk, en la consola ejecutar:
Lsblk mostrará todos los dispositivos de almacenamiento y particiones disponibles, incluyendo los dispositivos de intercambio y ópticos, en este caso quiero el dispositivo sdb.
Nota: para saber más sobre el comando lsblk lee Cómo listar todos los dispositivos de disco de Linux.
Como puedes ver el pendrive USB de 32 GB se llamaba sdb y ese es el dispositivo sobre el que voy a trabajar.
Recuperación de datos de un pendrive con Foremost:
Para comenzar la recuperación de datos de un pendrive comienza instalando Foremost mediante el gestor de paquetes APT en Debian o distribuciones Linux basadas ejecutando:
Una vez instalado puedes mostrar la página man para comprobar todas las opciones disponibles:
De la página man entendemos que la bandera -i es para determinar un archivo de entrada, a partir del cual Foremost comenzará a trabajar. Suele estar orientado a trabajar con imágenes como las que producen herramientas como dd o Encase. Para lanzar Foremost de la forma más sencilla sin banderas adicionales ejecuta el siguiente comando sustituyendo /sdb por el ID del dispositivo del que quieres recuperar los datos.
Ejecuta:
Donde sdb pone el dispositivo correcto.
Una vez ejecutado el proceso de tallado se verá así:
Nota: también se pueden especificar particiones como por ejemplo /dev/sdb1.
Cuando el proceso termina ejecuta ls para confirmar la creación de un nuevo directorio llamado output:
Como puedes ver el directorio output existe, para ver los archivos recuperados entra en él usando el comando cd (Change Directory) y luego ejecuta ls:
# ls
Dentro verás los directorios de todos los tipos de archivos que Foremost logró recuperar, adicionalmente verás un archivo llamado audit.txt con un informe de los archivos tallados.
Puedes comprobar qué archivos se han encontrado dentro de cada directorio ejecutando ls <directorio>:
También puedes explorar todos los archivos recuperados a través de un gestor gráfico de archivos:
Recuperación de Datos del Disco Duro con PhotoRec:
PhotoRect es junto con Foremost la herramienta de tallado de archivos o recuperación de datos más popular tanto en el ámbito forense profesional como en el doméstico. Mientras que Foremost realiza una recuperación más inteligente mostrando un rendimiento más rápido, la fuerza bruta de PhotoRec muestra mejores resultados al tallar archivos. En este apartado se muestra cómo realizar la recuperación de datos del disco duro con PhotoRec.
Para empezar en Debian y distribuciones Linux basadas instale photorec ejecutando:
La página man de PhotoRec está casi vacía, Photorec es bastante sencillo de usar y sólo hay que ejecutarlo, una interfaz didáctica amigable similar a la de CFDISK se mostrará para guiarte durante todo el proceso.
Una vez instalado ejecútelo llamando al programa:
Recuerde ejecutar PhotoRec con los permisos suficientes para acceder al dispositivo a tallar.
En la primera pantalla hay que seleccionar el disco o imagen de origen del que PhotoRec necesita recuperar los datos. En este caso estoy seleccionando el dispositivo /dev/sdb como se muestra en la siguiente imagen:
En este paso hay que seleccionar la partición de la que se quieren recuperar los datos.
Si no se encuentran las particiones y se listan antes de proceder a la búsqueda usando las flechas del teclado muévase a File Opt para explorar las opciones disponibles como se muestra en la imagen de abajo:
Como puede ver dentro de File Opt puede aumentar la precisión del resultado que desea especificando el tipo de archivos que está buscando. Seleccione el tipo de archivos que desea y luego presione b para continuar, o Quit para volver atrás.
Una vez de vuelta en la pantalla anterior seleccione Search y presione Enter para continuar para comenzar el proceso de recuperación de datos.
En esta fase Foremost preguntará qué tipo de sistema de archivos tiene o tenía el dispositivo, en este caso era FAT o NTFS, seleccione el sistema de archivos adecuado, aunque actualmente esté roto y pulse ENTER.
Finalmente PhotoRec te preguntará donde quieres guardar los archivos, yo solo dejé el Escritorio pero puedes crear una carpeta dedicada para ello, después de elegir el destino pulsa C para continuar.
El proceso comenzará y puede durar algunos minutos u horas dependiendo del tamaño.
Al final del proceso PhotoRect notificará la creación de un directorio con los archivos recuperados, en este caso recup_dir* dentro del Escritorio previamente seleccionado como destino.
Al igual que con Foremost puedes listar todos los archivos desde la consola:
O puedes navegar por los archivos utilizando tu gestor gráfico de archivos preferido:
Conclusión sobre la recuperación de datos del disco duro con PhotoRec y Foremost:
Ambas herramientas lideran el mercado del tallado de archivos, ambas herramientas permiten recuperar cualquier tipo de archivos, Foremost soporta el tallado de jpg, gif, png, bmp, avi, exe, mpg, wav, riff, wmv, mov, pdf, ole, doc, zip, rar, htm, y cpp y más. Ambas herramientas son compatibles con imágenes de disco como dd o para Encase. Mientras que PhotoRec se basa en la fuerza bruta proporcionando un tallado más profundo, Foremost se centra en las cabeceras y pies de bloque trabajando más rápido. Ambas herramientas están incluidas en las suites forenses y distribuciones de SO más populares como Deft/Deft Zero live o CAINE que fueron descritas en https://linuxhint.com/live_forensics_tools/.
Utilizar PhotoRec o Foremost aporta la posibilidad de aplicar herramientas forenses de alto nivel incluso para uso doméstico, las herramientas mencionadas no tienen banderas y opciones complejas para añadir el lanzamiento de las mismas.
Espero que este tutorial sobre Cómo recuperar datos del disco duro te haya resultado útil. Continúa siguiendo LinuxHint para más consejos y actualizaciones sobre Linux y redes.