ext3grep – Recuperar archivos borrados en Debian y Ubuntu

ext3grep es un programa simple para recuperar archivos en un sistema de archivos EXT3. Es una herramienta de investigación y recuperación que es útil en investigaciones forenses. Ayuda a mostrar información sobre los archivos que existían en una partición y también a recuperar archivos borrados accidentalmente.

En este artículo, demostraremos un truco útil que le ayudará a recuperar archivos borrados accidentalmente en sistemas de archivos ext3 usando ext3grep en Debian y Ubuntu.

Escenario de prueba

  • Nombre del dispositivo: / dev / sdb1
  • Punto de montaje: / mnt / TEST_DRIVE
  • Tipo de sistema de archivos: EXT3

Cómo recuperar archivos borrados con la herramienta ext3grep

Para recuperar archivos eliminados, primero debe instalar el programa ext3grep en su sistema Ubuntu o Debian usando el administrador de paquetes APT como se muestra.

$ sudo apt install ext3grep

Una vez instalado, ahora demostraremos cómo recuperar archivos eliminados en un sistema de archivos ext3.

Primero, crearemos algunos archivos con fines de prueba en el punto /mnt/TEST_DRIVEde montaje de la partición / dispositivo ext3, es decir, /dev/sdb1en este caso.

$ cd /mnt/TEST_DRIVE
$ sudo touch files[1-5]
$ ls -l

Crear archivos en Mount PointCrear archivos en Mount Point

Ahora eliminaremos un archivo llamado file5desde el punto /mnt/TEST_DRIVEde montaje de la partición ext3.

$ sudo rm file5

Eliminar un archivo en LinuxEliminar un archivo en Linux

Ahora veremos cómo recuperar archivos eliminados usando el programa ext3grep en la partición de destino. Primero, necesitamos desmontarlo desde el punto de montaje anterior (tenga en cuenta que debe usar el comando cd para cambiar a otro directorio para que funcione la operación de desmontaje, de lo contrario, el comando umount mostrará el error ” ese objetivo está ocupado “).

$ cd
$sudo umount /mnt/TEST_DRIVE

Ahora que hemos eliminado uno de los archivos (que asumiremos que se hizo accidentalmente), para ver todos los archivos que existían en el dispositivo, ejecute la --dump-nameopción (reemplácelo /dev/sdb1con el nombre real del dispositivo).

$ ext3grep --dump-name /dev/sdb1

Ver archivos en particiónVer archivos en partición

Para recuperar el archivo eliminado anterior file5, es decir , usamos la --restore-allopción como se muestra.

$ ext3grep --restore-all /dev/sdb1

Una vez que se complete el proceso de recuperación, todos los archivos recuperados se escribirán en el directorio RESTORED_FILES , puede verificar si el archivo eliminado se recupera o no.

$ cd RESTORED_FILES
$ ls 

Recuperar un archivo eliminadoRecuperar un archivo eliminado

Podemos especificar un archivo en particular para recuperar, por ejemplo, el archivo llamado file5(o especificar la ruta completa del archivo dentro del dispositivo ext3).

$ ext3grep --restore-file file5 /dev/sdb1 
OR
$ ext3grep --restore-file /path/to/some/file /dev/sdb1 

Además, también podemos restaurar archivos dentro de un período de tiempo determinado. Por ejemplo, simplemente especifique la fecha y el período de tiempo correctos como se muestra.

$ ext3grep --restore-all --after `date -d 'Jan 1 2019 9:00am' '+%s'` --before `date -d 'Jan 5 2019 00:00am' '+%s'` /dev/sdb1 

Para obtener más información, consulte la página de manual de ext3grep.

$ man ext3grep

¡Eso es! ext3grep es una herramienta simple y útil para investigar y recuperar archivos eliminados en un sistema de archivos ext3. Es uno de los mejores programas para recuperar archivos en Linux. Si tiene alguna pregunta o algún comentario que compartir, comuníquese con nosotros a través del formulario de comentarios a continuación.

Comandos de Linux

Leave a Comment

Your email address will not be published. Required fields are marked *

Hazlo Linux