ext3grep - Recuperar archivos borrados en Debian y Ubuntu


ext3grep es un programa simple para recuperar archivos en un sistema de archivos EXT3. Es una herramienta de investigación y recuperación que es útil en investigaciones forenses. Ayuda a mostrar información sobre los archivos que existían en una partición y también a recuperar archivos borrados accidentalmente.

En este artículo, demostraremos un truco útil que le ayudará a recuperar archivos borrados accidentalmente en sistemas de archivos ext3 usando ext3grep en Debian y Ubuntu.

  • Nombre del dispositivo:/dev/sdb1
  • Punto de montaje:/mnt/TEST_DRIVE
  • Tipo de sistema de archivos: EXT3

Cómo recuperar archivos borrados con la herramienta ext3grep

Al administrador de paquetes APT como se muestra.

$ sudo apt install ext3grep

Una vez instalado, ahora demostraremos cómo recuperar archivos eliminados en un sistema de archivos ext3.

Primero, crearemos algunos archivos con fines de prueba en el punto de montaje /mnt/TEST_DRIVE de la partición/dispositivo ext3, es decir, /dev/sdb1 en este caso.

$ cd /mnt/TEST_DRIVE
$ sudo touch files[1-5]
$ ls -l

Ahora eliminaremos un archivo llamado file5 del punto de montaje /mnt/TEST_DRIVE de la partición ext3.

$ sudo rm file5

Ahora veremos cómo recuperar archivos eliminados usando el programa ext3grep en la partición de destino. Primero, necesitamos desmontarlo desde el punto de montaje anterior (tenga en cuenta que debe usar el comando cd para cambiar a otro directorio para que funcione la operación de desmontaje; de lo contrario, el comando umount mostrará el error "ese objetivo está ocupado").

$ cd
$sudo umount /mnt/TEST_DRIVE

Ahora que hemos eliminado uno de los archivos (que asumiremos que se hizo accidentalmente), para ver todos los archivos que existían en el dispositivo, ejecute la opción --dump-name (reemplace /dev/sdb1 con el nombre real del dispositivo).

$ ext3grep --dump-name /dev/sdb1

Para recuperar el archivo eliminado anterior, es decir, file5 , usamos la opción --restore-all como se muestra.

$ ext3grep --restore-all /dev/sdb1

Una vez que se complete el proceso de recuperación, todos los archivos recuperados se escribirán en el directorio RESTORED_FILES, puede verificar si el archivo eliminado se recupera o no.

$ cd RESTORED_FILES
$ ls 

Podemos especificar un archivo en particular para recuperar, por ejemplo, el archivo llamado file5 (o especificar la ruta completa del archivo dentro del dispositivo ext3).

$ ext3grep --restore-file file5 /dev/sdb1 
OR
$ ext3grep --restore-file /path/to/some/file /dev/sdb1 

Además, también podemos restaurar archivos dentro de un período de tiempo determinado. Por ejemplo, simplemente especifique la fecha y el período de tiempo correctos como se muestra.

$ ext3grep --restore-all --after `date -d 'Jan 1 2019 9:00am' '+%s'` --before `date -d 'Jan 5 2019 00:00am' '+%s'` /dev/sdb1 

Para obtener más información, consulte la página de manual de ext3grep.

$ man ext3grep

¡Eso es! ext3grep es una herramienta simple y útil para investigar y recuperar archivos eliminados en un sistema de archivos ext3. Es uno de los mejores programas para recuperar archivos en Linux. Si tiene alguna pregunta o algún comentario que compartir, comuníquese con nosotros a través del formulario de comentarios a continuación.