¿Cómo recuperar archivos borrados?

¿Existen herramientas, métodos, encantamientos para recuperar archivos eliminados recientemente en Ubuntu?

Si hace alguna diferencia, quiero recuperar un archivo de base de datos Keepass 2.x. Pero sería mejor tener un método / herramienta que funcione en cualquier tipo de archivo.

TestDisk a veces puede recuperar archivos eliminados recientemente.

He utilizado principalmente para recuperar el disco duro dañado tanto en NTFS (Windows), FAT32 (tarjeta Flash de un teléfono Nokia) y ext3 con excelentes resultados. Solo línea de comando, pero es bastante fácil, algo como esto:

sudo foremost -i /dev/sda -o <dir where recovered files will be stored>

Ordenará los archivos recuperados en las carpetas por tipo de archivo. Los documentos de Openoffice se recuperan como archivos zip. Como debe ejecutarlo como root (para acceder directamente al hardware), los archivos de salida también son propiedad de root, por lo que es probable que deba cambiar su propiedad más adelante.

extundelete es realmente genial si su sistema de archivos es ext3 o ext4.

Nota : extundelete requiere que desmontes tu unidad para que funcione correctamente (de todos modos, es una buena idea hacer lo antes posible, para evitar sobrescribir potencialmente los bytes recuperables en los archivos eliminados).

Desmontar la unidad en un sistema en vivo puede ser complicado ... a menudo recibirá el device is busymensaje " ". Para borrar esto 'correctamente' es necesario cerrar todos los procesos que acceden al sistema de archivos. Pero ... probablemente estaba trabajando en su directorio de inicio, y hay un montón de procesos conectados a su directorio de inicio, así que buena suerte con eso.

El truco para evitar esto es hacer un desmontaje 'perezoso':

$ mount
/dev/sda7 on /home type ext4 (rw)
$ sudo umount -l /home

dónde:

• ese ejemplo es para mí preparar mi /homemontaje para usar con extundelete. Obviamente necesita reemplazar /homecon su montura de interés
• mountPrimero hice el comando para averiguar qué dispositivo ( /dev/sda7) necesito pasar a extundelete (la salida se trunca por brevedad)
• esa es una L minúscula en la -lopción

Si eliminó algún archivo por accidente pero aún conoce algunas cadenas escritas en ese archivo, puede usar:

grep -a -B 25 -A 100 'containing string' /dev/sda1 > result.txt

Para recuperar el directorio puedes usar extundelete

1. Instalar extundelete

   sudo apt-get install extundelete
   

2. Comando para recuperar

   sudo extundelete --restore-directory /home/Documents/ /dev/sda1
   

Nota : en lugar de dev/sda1poner el nombre de la partición del disco duro.

/home/Documents/ es tu camino hacia la eliminación directa.

R-Linux (Recovery Studio) es uno de los mejores. He usado esta herramienta muchas veces antes. Trabajé en una compañía donde usaron la versión comercial, 9/10 veces recupera todo lo que quieres. Realmente excelente aplicación. Salvé al mío y a mis amigos muchas veces antes.

R-Linux es una utilidad gratuita de recuperación de archivos para el sistema de archivos Ext2 / Ext3 / Ext4 FS utilizado en el sistema operativo Linux y varios Unixes. R-Linux utiliza la misma tecnología InteligentScan que R-Studio y configuraciones de parámetros flexibles para proporcionar la recuperación de archivos más rápida y confiable para la plataforma Linux. Sin embargo, a diferencia de R-Studio, R-Linux no puede recuperar datos a través de la red ni reconstruir RAID, ni proporcionar copias de objetos.

Características (de su sitio web):

R-Linux recupera archivos :

• Eliminado por ataque de virus, falla de energía o bloqueo del sistema;
• Después de volver a formatear, dañar o eliminar la partición con los archivos;
• Cuando la estructura de partición en un disco fue cambiada o dañada. En este caso, R-Linux puede escanear el disco tratando de encontrar particiones previamente existentes y restaurar archivos de particiones encontradas.
• De discos con sectores defectuosos. En este caso, R-Linux puede copiar primero todo el disco o su parte en un archivo de imagen y luego procesar el archivo de imagen. Esto es especialmente útil cuando nuevos sectores defectuosos aparecen constantemente en el disco, y la información restante debe guardarse de inmediato.

Características avanzadas de R-Linux :

• Interfaz de estilo "Explorador de Windows" estándar.
• SO host:
  • Variante de Linux: Linux, kernel 2.6 y superior
  • Variante de Windows: Win2000, XP, 2003, Vista, Windows 7, Windows 8
• Sistemas de archivos compatibles: Ext2 / Ext3 / Ext4 FS (Linux) solamente.

• Reconocimiento y análisis del esquema de diseño de particiones Dinámico (Windows 2000 / XP / Vista / Win7), Básico, GPT y BSD (UNIX) y mapa de particiones de Apple . Se admiten particiones dinámicas sobre GPT, así como particiones dinámicas sobre MBR.

• Crea archivos de imagen para un disco duro completo, disco lógico o su parte. Dichos archivos de imagen pueden procesarse como discos normales. Las imágenes pueden ser simples copias exactas de objetos (imágenes simples) compatibles con las versiones anteriores de R-Linux, o imágenes comprimidas que se pueden comprimir, dividir en varias partes y proteger con contraseña. Dichas imágenes son totalmente compatibles con las imágenes creadas por R-Drive Image, pero incompatibles con las versiones anteriores de R-Linux.

• Reconoce nombres localizados.

• Los archivos recuperados se pueden guardar en cualquier disco (incluida la red) accesible por el sistema operativo host.

Si usa HD interno secundario (sospecha lo mismo para HD externo) para la importación de archivos recuperados (desde HD principal, donde estaban originalmente los archivos), es necesario hacer un directorio en el que los archivos se colocarán en HD secundario. Para hacerlo, primero debe tener la configuración del BIOS para arrancar desde el CD. 1. Inicie Live Ubuntu Rescue-Remix CD, dé el comando para iniciar, luego, cuando se inicie en la terminal, verifique sus HD por comando - Código:sudo fdisk -l

Date cuenta de qué HD es principal, cuál es secundario, y qué partición para buscar archivos y en dónde recuperarlos: Linux ext3 o Windows NTFS. El mío fue Linux. ¡Tiene suficiente espacio! (Entonces puedes intentar ejecutar Photorec ("sudo photorec") y espero que puedas ver todos tus HD. No tuve tanta suerte, así que tuve que crear el directorio y montar el sec. HD.)

2. Cree un directorio para los archivos recuperados primero, por ejemplo, media / disk. Dar comando - Código:sudo mkdir /media/disk

Si está bien, el indicador de terminal simplemente regresa.

3. Debe montar HD secundario, o será invisible, incluso si "sudo fdisk -l" lo muestra. Dé el comando para su HD secundario - Código:sudo mount -t ext3 /dev/sdb2 /media/disk

Si está bien, el indicador de terminal simplemente regresa.

4. Ejecute Photorec por comando - Código:

   sudo photorec

Vaya a través de la configuración y solo elija los tipos de archivo que desee, de lo contrario, tendrá miles de archivos para examinar.

Para obtener más detalles, visite: http: /www..ubuntumanual.org/posts/357/recover-your-deleted-files-in-ubuntu

Prueba el bisturí

sudo apt-get install scalpel

para más información

bisturí hombre

Autopsy y lasherramientas Sleuthkit son excelentes para recuperar archivos borrados, con una interfaz de usuario fácil de usar, así como para estar disponibles en los repositorios :

sudo apt install autopsy

Instalar bisturí

sudo apt-get install scalpel

Edite el archivo scalpel.conf y descomente los tipos de archivo que desea recuperar. Cree una carpeta vacía (por ejemplo: recovery_data) Encuentre la partición donde estaban sus datos. Puede usar lsblk para obtener el mapa de partición.

sudo lsblk

Ejecute bisturí (suponga que los datos estaban en sda1)

sudo scalpel -o recovered_data/ /dev/sda1

Recientemente utilicé ext3grep para recuperar un gran archivo SQLite 3 que se eliminó de un sistema de archivos ext3.

Probé muchas otras herramientas de recuperación, todas las cuales no pudieron recuperar el archivo (de una imagen dd del disco).

Para usar ext3grep, necesitaba descargar y compilar la fuente. Lea detenidamente http://www.xs4all.nl/~carlo17/howto/undelete_ext3.html de arriba a abajo para comprender cómo funciona el sistema de archivos ext3 y cómo usar el diario para encontrar dónde solían estar los archivos eliminados en el disco también fue requerido.

Esta no es una solución simple, sino muy, muy poderosa. Si está preparado para invertir unas horas para estudiar el documento y compilar el programa, vale la pena.