LinuxParty

Muchas veces sucede que por accidente o por error, pulsas "Mayúsculas + Supr" para borrar archivos. La naturaleza humana de la gente tiene el hábito de usar  "Mayúsculas + Supr" en lugar de utilizar sólo la opción" Eliminar" (Así las cosas se irían a la papelera de reciclaje). En realidad, tuve este incidente unos días atrás. Estaba trabajando en un proyecto y salvé mi archivo de trabajo en un directorio. Había muchos archivos no deseados en ese directorio y debeían ser eliminados de forma permanente. Así que empecé a eliminarlos uno por uno. Cuando borraba esos archivos, accidentalmente usé "Mayúsculas + Supr" a un archivo importante. El archivo se borro definitivamente de mi directorio. Me preguntaba cómo recuperar archivos borrados y no tenía ni idea de qué hacer. Pasé mucho tiempo intentando restaurar el archivo, pero no hubo suerte.

Herramienta de recuperación de Scalpel para Linux

Teniendo unos pocos conocimientos técnicos, sabía acerca de cómo funciona el sistema de archivos. Cuando se elimina un archivo por accidente, el contenido del archivo no quede eliminado de su ordenador. Simplemente se quita de la carpeta de base de datos y no se puede ver el archivo en el directorio, pero aún permanece en algún lugar de tu disco duro. Básicamente, el sistema aún tiene un puntero de lista de bloques en el dispositivo de almacenamiento donde tiene los datos. Los datos no se eliminan del dispositivo de almacenamiento en bloque a menos que se sobrescriba con un nuevo archivo. En este punto supe que mi archivo borrado todavía podía permanecer en algún lugar en un área no indexados del disco duro. Sin embargo, se recomienda desmontar inmediatamente un dispositivo tan pronto como te das cuenta de que has eliminado cualquier archivo importante. Desmontar le ayuda a evitar que bloques de nuevos archivos sobrescriban el contenido del archivo borrado.

En este caso yo no quiero escribir sobre esos datos, por lo tanto, he preferido buscar en el disco duro sin necesidad de montarlo.

Normalmente, en Windows tenemos un montón de herramientas de terceras partes para la recuperación de datos perdidos, pero en Linux sólo hay algunos. Sin embargo yo uso Ubuntu como sistema operativo y es muy difícil encontrar una herramienta que recupera archivos perdidos. Durante mi investigación llegué a saber de 'Scalpel' una herramienta que corre a través de todo el disco duro y recupera un archivo perdido. Instalé y recuperé con éxito mi archivo perdido con la ayuda de la herramienta de Scalpel. Es realmente una herramienta increíble debo decir.

Esto también puede sucederle a usted también. Así que pensé en compartir mi experiencia. En este artículo voy a mostrar cómo recuperar archivos borrados con la ayuda de la herramienta de Scalpel. Así que aquí vamos.

¿Qué es la Herramienta de Scalpel?

Scalpel es una herramienta de recuperación del sistema de archivos de código abierto para sistemas operativos Mac y Linux. La herramienta visita el almacenamiento de la base de datos de bloques e identifica los archivos borrados y lo recupera al instante. Además de la recuperación de archivos también es útil para la investigación forense digital.

Cómo instalar el Scalpel en Debian / Ubuntu y Linux Mint

Para instalar Scalpel, Abra una terminal haciendo "Ctrl + Alt + T" desde el escritorio y ejecute el siguiente comando.

$ sudo apt-get install scalpel

Ejemplo de Salida

Reading package lists... Done
Building dependency tree       
Reading state information... Done
The following NEW packages will be installed:
  scalpel
0 upgraded, 1 newly installed, 0 to remove and 390 not upgraded.
Need to get 0 B/33.9 kB of archives.
After this operation, 118 kB of additional disk space will be used.
Selecting previously unselected package scalpel.
(Reading database ... 151082 files and directories currently installed.)
Unpacking scalpel (from .../scalpel_1.60-1build1_i386.deb) ...
Processing triggers for man-db ...
Setting up scalpel (1.60-1build1) ...
tecmint@tecmint-Latitude-D630:~$

Instalación de Scalpel en RHEL / CentOS y Fedora

Para instalar la herramienta de recuperación de Scalpel, debe primero activar repositorio EPEL . Una vez activado, puede hacerlo 'yum' para instalarlo como se muestra.

# yum install scalpel

Ejemplo de Salida

Loaded plugins: fastestmirror
Loading mirror speeds from cached hostfile
 * base: centos.01link.hk
 * epel: mirror.nus.edu.sg
 * epel-source: mirror.nus.edu.sg
Setting up Install Process
Resolving Dependencies
--> Running transaction check
---> Package scalpel.i686 0:2.0-1.el6 will be installed
--> Finished Dependency Resolution

Dependencies Resolved

==========================================================================================================================================================
 Package		Arch		Version			Repository		Size
==========================================================================================================================================================
Installing:
 scalpel                i686            2.0-1.el6               epel                    50 k

Transaction Summary
==========================================================================================================================================================
Install       1 Package(s)

Total download size: 50 k
Installed size: 108 k
Is this ok [y/N]: y
Downloading Packages:
scalpel-2.0-1.el6.i686.rpm                                                           |  50 kB     00:00     
Running rpm_check_debug
Running Transaction Test
Transaction Test Succeeded
Running Transaction
  Installing : scalpel-2.0-1.el6.i686							1/1 
  Verifying  : scalpel-2.0-1.el6.i686                                                   1/1 

Installed:
  scalpel.i686 0:2.0-1.el6                                                                                                                                

Complete!

Una vez instalado Scalpel, tiene que editar el archivo de configuración. La utilidad Scalpel por defecto tiene su propio archivo de configuración en el directorio '/etc' y la ruta completa es "/etc/scalpel/scalpel.conf" o "/etc/scalpel.conf". Puede notar que todo está comentado (#). Así que antes de ejecutar Scalpel tiene que descomentar el formato de archivo que se necesita para recuperarse. Sin embargo descomentar la totalidad del expediente lleva mucho tiempo y va a generar un enorme resultados falsos.

Digamos por ejemplo que quiero recuperar sólo los archivos ".jpg", por lo que simplemente elimine la sección de archivo. Jpg "para el archivo de configuración del Scalpel.

  # GIF y JPG (muy común)
        gif     y       5000000         \x47\x49\x46\x38\x37\x61        \x00\x3b
        gif     y       5000000         \x47\x49\x46\x38\x39\x61        \x00\x3b
        jpg     y       200000000       \xff\xd8\xff\xe0\x00\x10        \xff\xd9

Ir a la terminal y la sintaxis siguiente es del tipo. El "/dev/sda1" es una ubicación de un dispositivo desde donde se eliminó el archivo.

$ sudo scalpel /dev/sda1 -o output

El conmutador '-o' indica un directorio de salida, en la que desea restaurar los archivos eliminados. Asegúrese de que este directorio está vacío antes de ejecutar cualquier comando de lo contrario, le dará un error. La salida del comando anterior es.

Scalpel version 1.60
Written by Golden G. Richard III, based on Foremost 0.69.

Opening target "/dev/sda1"

Image file pass 1/2.
/dev/sda1:   6.1% |***** 		|    6.6 GB    39:16 ETA

Como puede ver, el Scalpel está realizando su proceso y tomará tiempo para la recuperación de su archivo eliminado dependiendo del espacio en disco que está intentando escanear y la velocidad de la máquina.

Yo recomendaría a todos los que tienen la costumbre de utilizar Mayús+Supr utilizar sólo Supr en su lugar. Porque la prevención es siempre mejor que curar.