En el artículo de hoy, vamos a ver dos paquetes interesantes de Linux para borrar/recuperar datos de un disco duro.
(https://sgfm.elcorteingles.es/SGFM/dctm/MEDIA02/CONTENIDOS/201503/17/00128635405484____1__640x640.jpg)
En primer lugar empezaremos con el paquete foremost, que vale para recuperar archivos borrados de nuestro disco duro.
Antes de entrar en materia, solo comentar que cuando nosotros borramos un paquete de nuestro disco duro, lo que sucede realmente es que eliminamos unos datos de la MTF (tabla maestra de archivos) para que el sistema operativo interprete que ahora está libre el espacio que ocupaba el archivo en el disco; pero realmente no se ha borrado el archivo.
Dicho esto, pasemos a ver las capacidades de foremost.
Es capaz de recuperar archivos “borrados” utilizando la técnica “file carving” y soporta un montón de extensiones de archivos, y por supuesto entre ellas están las extensiones más típicas, pdf, jpg, avi, doc, docx, xls, xlsx, txt, zip, rar, etc.
Bien, vamos a ver como se utiliza este paquete.
foremost –t all –i /dev/sda2 –o /dev/sdb1
Esta sería la estructura si queremos recuperar todos los archivos soportados que pueda, donde en –t (target) le decimos la extensión a recuperar en este caso todas, si solo queremos recuperar las fotos de las vacaciones, pues sustituimos all por jpg y si además queremos los videos pues añadimos tantas extensiones como sean precisas con una coma entre ellas jpg,avi,mov
En –i (input) seleccionamos el disco donde están los archivos “borrados”, en mi caso el sda2 y en –o (output) seleccionamos donde queremos que se guarden esos archivos, en mi caso en el sdb1 (pendrive). Obviamente no conviene que el disco de salida, sea el mismo donde se vuelquen los datos recuperados, ya que los archivos recuperados pueden sobreescribir archivos que también quieres recuperar. Como veis es bastante intuitivo y fácil de utilizar, si queréis saber más, pues como siempre utilizáis la ayuda.
Ahora que sabemos que los archivos no se borran así como así, vamos a cambiar de tercio, por lo que vamos a ver el paquete shred
shred lo que hace básicamente es sobrescribir varias veces el espacio del disco duro para que no se pueda acceder al contenido original, con lo cual, las herramientas de recuperación como foremost no podrán recuperar información del disco.
El uso de shred también es sencillo, se puede aplicar a un solo archivo o a todo un disco duro.
Para un solo archivo
shred –n 14 –uvz /root/Desktop/prueba.txt
Donde –n (number) es el número de veces que vamos a sobrescribir el archivo, en este caso 14, donde u es que rompe y elimina el archivo, v (vervose) para ver el progreso en pantalla y z (zero) sobrescribe con ceros para no dejar rastro.
En el caso de todo un disco duro
shred -vu /dev/sda
no utilizo “n” con lo cual shred repite el proceso 3 veces por defecto y en este caso z al ser todo el disco duro, no importa la posición donde se almacenaba. Como siempre podéis consultar la ayuda si tenéis alguna duda.
fuente (http://warcry.ddns.jazztel.es/articulos-recuborrado-hdd.html) yo ;D