Búsqueda de sitios web

ext3grep - Recuperar archivos eliminados en Debian y Ubuntu

ext3grep es un programa sencillo para recuperar archivos en un sistema de archivos EXT3. Es una herramienta de investigación y recuperación que resulta útil en investigaciones forenses. Ayuda a mostrar información sobre los archivos que existían en una partición y también a recuperar archivos eliminados accidentalmente.

En este artículo, demostraremos un truco útil que le ayudará a recuperar archivos eliminados accidentalmente en sistemas de archivos ext3 utilizando ext3grep en Debian y Ubuntu.

Escenario de prueba

  • Nombre del dispositivo: /dev/sdb1
  • Punto de montaje: /mnt/TEST_DRIVE
  • Tipo de sistema de archivos: EXT3

Cómo recuperar archivos eliminados usando la herramienta ext3grep

Para recuperar archivos eliminados, primero debe instalar el programa ext3grep en su sistema Ubuntu o Debian usando el administrador de paquetes APT como se muestra.

sudo apt install ext3grep

Una vez instalado, ahora demostraremos cómo recuperar archivos eliminados en un sistema de archivos ext3.

Primero, crearemos algunos archivos con fines de prueba en el punto de montaje /mnt/TEST_DRIVE de la partición/dispositivo ext3, es decir, /dev/sdb1 en este caso.

cd /mnt/TEST_DRIVE
sudo touch files[1-5]
ls -l

Ahora eliminaremos un archivo llamado file5 del punto de montaje /mnt/TEST_DRIVE de la partición ext3.

sudo rm file5

Ahora veremos cómo recuperar archivos eliminados usando el programa ext3grep en la partición de destino. Primero, debemos desmontarlo desde el punto de montaje anterior (tenga en cuenta que debe usar el comando cd para cambiar a otro directorio para que funcione la operación de desmontaje; de lo contrario, el comando umount mostrará el error “ese objetivo está ocupado“).

cd
$sudo umount /mnt/TEST_DRIVE

Ahora que hemos eliminado uno de los archivos (lo cual asumiremos que se hizo accidentalmente), para ver todos los archivos que existían en el dispositivo, ejecute la opción --dump-name (reemplace /dev/sdb1 con el nombre real del dispositivo).

ext3grep --dump-name /dev/sdb1

Para recuperar el archivo eliminado anterior, es decir, file5, utilizamos la opción --restore-all como se muestra.

ext3grep --restore-all /dev/sdb1

Una vez que se complete el proceso de recuperación, todos los archivos recuperados se escribirán en el directorio RESTORED_FILES, podrá verificar si el archivo eliminado se recuperó o no.

cd RESTORED_FILES
ls

Podemos especificar un archivo particular para recuperar, por ejemplo el archivo llamado file5 (o especificar la ruta completa del archivo dentro del dispositivo ext3).


ext3grep --restore-file file5 /dev/sdb1 
OR
ext3grep --restore-file /path/to/some/file /dev/sdb1

Además, también podremos restaurar archivos dentro de un periodo de tiempo determinado. Por ejemplo, simplemente especifique la fecha y el período de tiempo correctos como se muestra.

ext3grep --restore-all --after `date -d 'Jan 1 2019 9:00am' '+%s'` --before `date -d 'Jan 5 2019 00:00am' '+%s'` /dev/sdb1

Para obtener más información, consulte la página del manual de ext3grep.

man ext3grep

¡Eso es todo! ext3grep es una herramienta sencilla y útil para investigar y recuperar archivos eliminados en un sistema de archivos ext3. Es uno de los mejores programas para recuperar archivos en Linux. Si tiene alguna pregunta o idea para compartir, comuníquese con nosotros a través del formulario de comentarios a continuación.