En un momento u otro, cada usuario de computadora ha borrado accidentalmente un archivo en su sistema. Esto es particularmente cierto para los usuarios de Linux, donde un comando como rm -rf . elimina inmediatamente todos los archivos y carpetas del directorio actual.
La recuperación de archivos de una partición FAT/NTFS de Windows se ha discutido anteriormente. Este artículo analiza los pasos para recuperar archivos de particiones EXT3/EXT4 utilizando un sistema Ubuntu. Las técnicas son las mismas para todas las distribuciones de Linux (excepto el proceso de instalación, que es específico de la distribución).
Preparación
Lo primero que debe hacer inmediatamente después de darse cuenta de que ha eliminado los archivos incorrectos es desmontar el sistema de archivos o montarlo como de solo lectura. Si los archivos están en su partición raíz, debe apagar inmediatamente su sistema y arrancar un CD en vivo. Esto es muy importante para evitar que otros procesos sobrescriban sus archivos. Incluso si no sobrescribe explícitamente los archivos, otros procesos del sistema podrían escribir en el sistema de archivos y sobrescribir sus archivos.
Este artículo hará uso de un sistema que tiene una sola partición y usa un CD en vivo de Xubuntu para recuperar los archivos eliminados. El CD en vivo debe iniciarse con la opción de «probar sin instalar». En el arranque, lanzamos una terminal, creamos un punto de montaje usando el comando:
y montar la partición deseada
sudo mount /dev/sda5 root_dir
extinguir
Extundelete es una herramienta de código abierto y está disponible en FuenteForge. Sin embargo, puede instalarlo en Ubuntu usando:
sudo apt-get install extundelete
Para restaurar un solo archivo, (asumiendo que conoce el nombre del archivo) use el comando:
sudo extundelete /dev/sda5 –restore-file /home/obaro/mtetest/SpecialPic1.jpg –output-dir recovered
Para restaurar todos los archivos en un directorio, use el comando:
sudo extundelete /dev/sda5 –restore-directory /home/obaro/mtetest –output-dir recovered
ext4magic
Esta también es una herramienta de código abierto, disponible en FuenteForge.
También está disponible en los repositorios de Ubuntu y se puede instalar usando:
sudo apt-get install ext4magic
Con Ext4magic, se puede consultar la partición para obtener una lista de archivos eliminados y el porcentaje del archivo disponible para la recuperación. Esto se puede hacer usando el -a (borrado después del tiempo dado) y/o -b (borrado antes del tiempo dado) opciones. Estos tiempos se calculan en segundos desde la época de Unix. Un comando para encontrar todos los archivos eliminados en las últimas 24 horas en la carpeta Música, por ejemplo, es:
sudo ext4magic /dev/sda5 -a $(date -d "-24hours" +%s) -f home/obaro/Music -l
Para recuperar estos archivos, usamos el -r junto con la opción -d (directorio de salida), así:
sudo ext4magic /dev/sda5 -f home/obaro/Music -r -d recovered
Tenga en cuenta que la opción -f indica el directorio dentro de la estructura de partición «home/obaro/Music» sin el «/» inicial. Para recuperar un solo archivo, especifique el nombre de archivo para -fen lugar del directorio.
Conclusión
La probabilidad de recuperar archivos usando ambas herramientas disminuye significativamente cuanto más tiempo permanece en uso la partición después de la eliminación del archivo. Esto también se ve afectado por las condiciones en las que se escriben datos en la partición/dispositivo. Se recomienda que el directorio “/home” esté en una partición separada de su directorio raíz. Con un sistema de archivos estructurado de esta manera, los archivos se pueden recuperar sin recurrir a un CD en vivo.
La mejor manera de garantizar la recuperación de datos es tener copias de seguridad. Sin embargo, las copias de seguridad serán inútiles en los casos en que se eliminen archivos nuevos de los que no se ha realizado una copia de seguridad.