jueves, 10 de julio de 2008

PhotoRec - recupera datos borrados

PhotoRec y TestDisk son aplicaciones totalmente independientes aunque van unidas en un único paquete para que el usuario pueda hacer uso de ambas.

PhotoRec lo usamos para recuperar ficheros que hemos borrado por error
TestDisk
los usamos para reparar errores en el disco duro. (enlace al manual)



Instalación de los programas.

Como he indicado antes ambos programas vienen en un mismo paquete, con lo cual la instalación es muy facil, y como siempre hacemos ejecutamos synaptic para la instalación de los programas, o bien desde consola con el siguiente comando:

#apt-get install testdisk






--------------------------------------------------------------------------
PHOTOREC
--------------------------------------------------------------------------


PhotoRec lo utilizamos para recuperar con muchísima eficacia archivos borrados del disco duro.

Puede recuperar datos de los siguientes dispositivos:
  • Disco duro
  • Tarjetas de memorias
  • Lápiz USB
  • MP3
  • MP4

Ahora pasomos a ver con un ejemplo real como funciona PhotoRec.

Primero abrimos una consola y nos logeamos como usuario administrador "root" (como usuario normal no podremos ejecutar dicha aplicación).


Si cuando ejecutemos PhotoRec nos muestra un mensaje como el de la imagen inferior, lo que nos indica es que la ventana es muy pequeña para poder trabajar, necesita como mínimo 25 linea con lo cual la solución es tan fácil como agrandar un poco mas la ventana o bien la maximizamos.

Una vez que hayamos agrandado la ventana nos muestra la siguiente pantalla.

En la siguiente pantalla seleccionamos el dispositivo en el cual vamos a realizar la recuperación de datos, que puedes ser:

Disco duro
Pendrive
MP3
MP4
o cualquier otra unidad de almacenamiento.

En este ejemplo como solo disponemos de un disco duro, seleccionamos este, y pulsamos en proceder (Proceed)

Observacion: Para seleccionar y aceptar en programas que usan la consola hacemos uso de las teclas de los cursores (las 4 flechitas) y la tecla intro o retorno de carro (enter)


En la siguiente captura de pantalla nos informa del dispositivo que hemos seleccionado, y nos pregunta que tipo de tabla de partición esta usando dicho medio de almacenamiento.


Acto seguido nos muestra la tabla de particiones del disco duro, para que seleccionemos la partición en la cual vamos a proceder a la recuperación de los datos borrados.

En la siguiente imagen nos pregunta que elijamos el lugar donde queremos que nos guarde los datos que vamos recuperando.

En este ejemplo le he indicado que lo guarde en el directorio home del usuario diego.

Cuando se encuentre seleccionada la carpeta en la cual queremos que guarde los datos pulsamos la tecla de confirmación "Y".


Ahora comienza el proceso de recuperación de datos.
En la siguiente captura podemos observar:

- Toda la información que nos puede ofrecer del disco duro, tal que: Comienzo y final de la partición, numero de sectores, etc..
- Los sectores que tiene y los que lleva leído
- La cantidad de ficheros que a encontrado para recuperar
- El tiempo que lleva usando la aplicación
- El tiempo estimado que le queda para recuperar todos los ficheros

Podemos observar en la siguiente imagen las carpetas que nos ha creado la aplicación PhotoRec con todos los ficheros recuperados. (dependiendo de la cantidad de ficheros a recuperar nos creara mas o menos carpetas)

PhotoRec usa el siguiente patrón para asignarle el nombre a las carpetas:

- Una parte del nombre de las carpetas es fija: recup_dir.
- y la otra parte es variable y progresiva, empezando siempre por el numero: 1

NOTA: como podemos observar en la captura de pantalla de arriba, las carpetas llevan incorporada una imagen de un candado, si recordamos que solo el usuario "root" puede hacer uso del programa, dicha imagen nos informa que igualmente este es el único usuario (root) que puede visualizar el contenido de dichas carpetas.

---------------------------------

Si lanzamos el explorador de archivos konqueror sin darnos cuenta o sin acordarnos que somos un usuario normal (no root), e intentamos visualizar el contenido de alguna de estas carpetas, nos muestra una informacion de error, con el contenido: No tiene permisos suficientes para leer



Para visualizar el contenido de dichas carpetas hemos de lanzar konqueror con permisos de administrador, para ello nos dirijimos a:
MenuK>Sistema>Más aplicaciones>Gestor de archivos - modo superusuario


Observamos que las carpetas ya NO llevan ninguna restricción, con lo cual ya podemos visualizar el contenido de dichas carpetas.


Visualizando el contenido de la carpeta:
recup_dir.1








Si quieres ver el manual de TestDisk haz clic en el siguiente enlace: (enlace al manual)






.

7 comentarios:

mark dijo...

GRacias man , ayudo de mucho !! y gracias a photorec tambiennnnnnnnn .
marcosarbelo@hotmail.com

mark dijo...

gracias manme sirbio de mucho sigue asi!!!!
DTB , y gracias a photorec tambien
marcosarbelo@hotmail.com

Anónimo dijo...

Maravilla de utilidad TESTDISK. Tenia un USB que se quedo frito de repente indicando que se necesitaba formatear, ya que Windows lo detectaba como RAW. Pues despues de probar una docena de utilidades de recuperacion sin exito (mas descartar otras tantas porque hay h.p. que aprovechan para incluir virus) con TestDISK lo bueno, sencillo y super efectivo. Por precaucion primero fui a copiar los ficheros. TestDisk me supo acceder a la particion y mostrarme los ficheros borrados antiguos y los actuales. Los copie. y ya probé a manipular el MBR sin miedo a perder los datos. Pues con solo realizar un recovery del MBR en 2 segundos la llave volvio a la vida. Repito maravilla de utilidad. Gracias.

Elly dijo...

Muchas gracias por la información sobre recuperacion de datos, ya que, un amigo tuvo un problema con su disco duro y buscaba alguna alternativa para que pudiera recuperar lo más importante de su dispositivo de almacenamiento dañado.

Windy dijo...

Te agradezco mucho por compartir con nosotros este artículo, y quisiera saber que documentación me recomendarías para poder aprender más sobre el tema de recuperacion de datos e informática forense en general. Saludos!

Unknown dijo...

Haciendo el proceso de recuperación, faltando 14 horas salí y dejé la laptop trabajando, cuando regresé estaba apagada.
Hay alguna forma de saber si se recuperó todo? Si lo hago de nuevo empieza el proceso desde cero?
La laptop no es mía, así que no sé que tenía el disco

Usuario_Debian dijo...

Hola Jose Vargas, muchas gracias por comentar.

Tu preguntas: Hay alguna forma de saber si se recuperó todo?

Respuesta: Tu tienes que saber lo que buscas, y tienes que ver si esta todo recuperado, pero tienes que tener en cuenta que es un programa que depende de muchos factores.

Por ejemplo: si el espacio libre del dispositivo es menor que el espacio que tenemos que recuperar evidentemente NO recuperará todo, solo recuperará una parte.

Tu preguntas: Si lo hago de nuevo empieza el proceso desde cero?
Respuesta: En la configuración por defecto es: SI. (empieza desde cero)
Para que continué por donde se quedo tienes que leer manual de photorec o testdisk, ver las opciones que tiene.

Saludos