LinuxParty
Si escribiéramos "yum info scalpel", (en fedora), o apt-cache show scalpel (en Ubuntu)
La información de scalpel, indica (en inglés) que:
scalpel es un rápido "tallador de archivos" que lee una base de datos de cabezeras y pie de definiciones y extractos de los ficheros correspondientes de un conjunto de archivos de imagen o en bruto.
Archivos de dispositivo.
Scalpel es independiente del sistema de archivos utilizado y funciona con los sistemas de ficheros: FATx, NTFS, ext2/3, o particiones raw. Es útil tanto para La investigación forense como para la recuperación de archivos.
Nos lo cuentan con un completo tutorial en Linux.com, en el que hablan también de cómo reparar sistemas de ficheros en Linux a través de la herramienta e2fsck, una de las legendarias en Linux y que soporta particiones Ext2, Ext3 y Ext4.
La parte más interesante del tutorial es sin duda la de recuperación de archivos borrados, en la que primero describen el proceso que tiene lugar cuando borramos un fichero, un análisis interesante que permite comprender qué ocurre cuando ejecutamos un rm sobre cualquier archivo. De hecho, en esa misma explicación se hace una recuperación “a pelo” de un fichero borrado en pruebas para mostrar el funcionamiento de la técnica.
A partir de ahí llega la descripción de una herramienta específica para la recuperación de archivos borrados en Linux, llamada Scalpel. La instalación de esta utilidad es trivial, en Fedora por ejemplo (como root, o utilizar sudo) yum install scalpel, -en Ubuntu, por ejemplo,basta hacer un sudo apt-get install scalpel- y una vez instalada tendremos que editar el fichero /etc/scalpel/scalpel.conf para establecer las extensiones de archivos que queremos recuperar.
El lanzamiento de la utilidad tiene esta sintaxis:
sudo scalpel /dev/sdX -o ~/RECUPERADOS
Siendo X el número de partición que queremos escanear y donde se supone que teníamos el fichero borrado. El proceso tarda -puede llegar a una hora o más, según el tamaño de la partición- pero si tenemos suerte en el directorio RECUPERADOS que hemos creado podremos ver cómo están los archivos que buscábamos.
Ojo, hay que ser realistas con este tipo de herramientas: la recuperación de archivos depende del momento en que la ejecutemos. Si hemos borrado un fichero y a los pocos minutos nos damos cuenta de que queremos recuperarlo tenemos muchas probabilidades de conseguirlo. Pero si queremos recuperar algún fichero de meses atrás, lo tenemos mucho más complicado.
La explicación es sencilla: durante todo ese tiempo habremos utilizado el disco duro de forma intensa, escribiendo y eliminando otros datos y, por tanto, modificando los sectores del disco, que estaban marcados como disponibles cuando borramos los ficheros y que por lo tanto pueden haber sido ocupados con otro tipo de información.
Así pues, tenedlo en cuenta: si tratáis de recuperar ficheros borrados, mejor que sea cuanto antes.
Tal vez te interese saber de otras soluciones que en LinuxParty hemos hablado antes, puedes verlas en este enlace y en este otro enlace.
-
Linux
- ¿Por qué Torvalds eliminó a los encargados rusos del mantenimiento del núcleo de Linux?
- 10 cosas que siempre hago después de instalar Linux (y por qué tú también deberías hacerlo)
- 7 cosas que nunca hago después de instalar Linux (y por qué tú tampoco deberías)
- Detección de Intrusos: Snort, Base, MySQL, y Apache2 en Ubuntu Linux 7.10
- He utilizado Linux durante 30 años. Aquí hay 5 razones por las que nunca cambiaré a Windows o MacOS
- ¿Por qué no más personas usan Linux en el escritorio? Tengo una teoría que quizás no te guste.
- Los países occidentales ricos lideran la expansión mundial del petróleo y el gas
- Systemd 256.1 aborda la queja de que 'systemd-tmpfiles' podría eliminar inesperadamente su directorio /home
- Por qué un kernel Linux de distribución 'congelada' no es la mejor opción para la seguridad
- RebornOS es una versión hermosa y fácil de usar de Arch Linux con abundantes opciones de escritorio
- Linus Torvalds sobre el 'hilarante' bombo de la IA
- Cambiar la hora en Linux con Chrony
- Renombrar multiples archivos masivamente en Linux (quitar espacios, cambiar mayúsculas) a la vez en Linux
- Linux 6.9 será el primero en superar los 10 millones de objetos Git
- Zorin OS 17.1 lanzado con soporte mejorado para aplicaciones de Windows, edición educativa