La recuperación de ficheros borrados se refiere al proceso de recuperar archivos que han sido eliminados, ya sea de forma accidental o intencionada, en un sistema operativo Linux. Cuando un archivo se elimina, normalmente se marca como espacio libre en el disco duro y se deja disponible para su reutilización. Sin embargo, hasta que ese espacio se reutiliza, es posible recuperar el archivo eliminado.
Hay multitud de herramientas que permiten la recuperación de ficheros borrados. En este artículo, veremos algunas de ellas.
Herramientas de recuperación de ficheros borrados
Testdisk
Es una herramienta gratuita y de código abierto que se utiliza para recuperar datos perdidos en discos duros. Es compatible con varios sistemas de archivos, incluyendo FAT, exFAT, NTFS, ext2, ext3, ext4 y otros.
Sirve para la recuperación de ficheros borrados. Tiene la capacidad de recuperar datos perdidos en particiones y, a su vez, repara discos de arranque. Asimismo, podremos recuperar las tablas de particiones de un disco duro que, por una u otra razón, ha quedado sin formato.
El programa funciona escaneando el dispositivo de almacenamiento seleccionado en busca de estructuras de archivos y particiones que puedan estar dañadas o perdidas. Una vez que encuentra una partición o estructura de archivo dañada o perdida, el programa puede repararla o reconstruirla. TestDisk también puede recuperar archivos eliminados accidentalmente o que hayan sido dañados por virus o fallas en el sistema.
El proceso de recuperación de ficheros borrados con TestDisk puede resultar complicado para los usuarios novatos, ya que el programa utiliza una interfaz de línea de comandos y puede requerir conocimientos técnicos. Sin embargo, para los usuarios más avanzados, es una herramienta poderosa y útil para la recuperación de ficheros borrados o dañados de manera efectiva y gratuita.
Reparar discos de arranque con Testdisk
Una de las grandes funcionalidades que tiene esta herramienta, además de la recuperación de ficheros borrados, es que tiene la posibilidad de reparar discos de arranque. Aunque esto no aplica mucho al análisis forense, conviene saberlo, ya que si tenemos que hacer funcionar una máquina que tiene el arranque dañado, con Testdisk podemos recuperar este disco de arranque o, en su defecto, las tablas de particiones para que puedan arrancar.
🔴 ¿Quieres entrar de lleno a la Ciberseguridad? 🔴
Descubre el Ciberseguridad Full Stack Bootcamp de KeepCoding. La formación más completa del mercado y con empleabilidad garantizada
👉 Prueba gratis el Bootcamp en Ciberseguridad por una semanaSi han intentado formatear el equipo o le han intentado realizar algún tipo de técnica antiforense, como puede ser dañar el disco de arranque o dañar alguna partición para que no arranque, con Testdisk podemos intentar recuperarlo. En este caso, cabe resaltar el carácter de intención, ya que no siempre que se intente se va a poder lograr este cometido.
Foremost
Es una herramienta capaz de detectar tipos de ficheros por su cabecera, no por su extensión, que puede estar cambiada para engañar y ocultar información, y para encontrar y hacer la recuperación de ficheros borrados.
Una de las grandes ventajas de este programa es que tiene una gran librería, una base de datos de las cabeceras conocidas, y por eso puede detectar todo tipo de ficheros por su cabecera.
Su funcionamiento se basa en analizar la estructura de los datos almacenados en el dispositivo y buscar patrones que correspondan a diferentes tipos de archivos, como imágenes, vídeos, documentos o archivos de audio, entre otros.
El proceso de recuperación de ficheros borrados con Foremost comienza con la selección del dispositivo de almacenamiento del cual se desea recuperar los datos. Luego, se debe indicar la ubicación en la que se almacenarán los archivos recuperados. A continuación, el programa realiza un escaneo exhaustivo del dispositivo en busca de patrones que correspondan a los diferentes tipos de archivos.
Photorec
Esta es una forma en la que se puede hacer recuperación de ficheros borrados, ya que aquí podemos recuperar archivos perdidos de diversos formatos y desde diferentes medios de almacenamiento.
Photorec funciona analizando el disco o dispositivo de almacenamiento en busca de bloques de datos que aún no han sido sobrescritos por nuevos datos. Cuando se encuentra un bloque de datos que parece corresponder a un archivo perdido, el programa utiliza algoritmos de análisis de archivos para determinar qué tipo de archivo es y cómo reconstruirlo. El programa puede recuperar archivos de sistemas de archivos dañados o formateados, así como de medios de almacenamiento dañados o corruptos.
¿Qué sigue?
Ya hemos cómo hacer recuperación de archivos borrados en Linux con distintas herramientas. Si quieres seguir formándote en las distintas disciplinas de la seguridad informática, en KeepCoding tenemos nuestro Ciberseguridad Full Stack Bootcamp, el curso íntegro e intensivo con el que, en cuestión de meses, puedes convertirte en un gran profesional IT con la guía de expertos en el mundillo. ¡Pide más información y empieza ya a transformar tu vida profesional!
