LinuxParty

¿Has borrado un fichero de forma accidental en Linux y ahora quieres tratar de recuperarlo? La situación seguro que te suena, y aunque en algunos casos esa recuperación no es posible, sí existen formas de tratar de deshacer el borrado de ficheros.

Si escribiéramos "yum info scalpel", (en fedora), o apt-cache show scalpel (en Ubuntu)
La información de scalpel, indica (en inglés) que:

scalpel es un rápido "tallador de archivos" que lee una base de datos de cabezeras y pie de definiciones y extractos de los ficheros correspondientes de un conjunto de archivos de imagen o en bruto.
 Archivos de dispositivo.
Scalpel es independiente del sistema de archivos utilizado y funciona con los sistemas de ficheros: FATx, NTFS, ext2/3, o particiones raw. Es útil tanto para La investigación forense como para la recuperación de archivos.

Nos lo cuentan con un completo tutorial en Linux.com, en el que hablan también de cómo reparar sistemas de ficheros en Linux a través de la herramienta e2fsck, una de las legendarias en Linux y que soporta particiones Ext2, Ext3 y Ext4.

La parte más interesante del tutorial es sin duda la de recuperación de archivos borrados, en la que primero describen el proceso que tiene lugar cuando borramos un fichero, un análisis interesante que permite comprender qué ocurre cuando ejecutamos un rm sobre cualquier archivo. De hecho, en esa misma explicación se hace una recuperación “a pelo” de un fichero borrado en pruebas para mostrar el funcionamiento de la técnica.

A partir de ahí llega la descripción de una herramienta específica para la recuperación de archivos borrados en Linux, llamada Scalpel. La instalación de esta utilidad es trivial, en Fedora por ejemplo (como root, o utilizar sudo) yum install scalpel, -en Ubuntu, por ejemplo,basta hacer un sudo apt-get install scalpel- y una vez instalada tendremos que editar el fichero /etc/scalpel/scalpel.conf para establecer las extensiones de archivos que queremos recuperar.

El lanzamiento de la utilidad tiene esta sintaxis:

sudo scalpel /dev/sdX -o ~/RECUPERADOS

Siendo X el número de partición que queremos escanear y donde se supone que teníamos el fichero borrado. El proceso tarda -puede llegar a una hora o más, según el tamaño de la partición- pero si tenemos suerte en el directorio RECUPERADOS que hemos creado podremos ver cómo están los archivos que buscábamos.

Ojo, hay que ser realistas con este tipo de herramientas: la recuperación de archivos depende del momento en que la ejecutemos. Si hemos borrado un fichero y a los pocos minutos nos damos cuenta de que queremos recuperarlo tenemos muchas probabilidades de conseguirlo. Pero si queremos recuperar algún fichero de meses atrás, lo tenemos mucho más complicado.

La explicación es sencilla: durante todo ese tiempo habremos utilizado el disco duro de forma intensa, escribiendo y eliminando otros datos y, por tanto, modificando los sectores del disco, que estaban marcados como disponibles cuando borramos los ficheros y que por lo tanto pueden haber sido ocupados con otro tipo de información.

Así pues, tenedlo en cuenta: si tratáis de recuperar ficheros borrados, mejor que sea cuanto antes.

Tal vez te interese saber de otras soluciones que en LinuxParty hemos hablado antes, puedes verlas en este enlace y en este otro enlace.