Puede que te haya sucedido en algún momento que borraste un archivo o una imagen por error y luego lo lamentaste de inmediato. Entonces, ¿podemos restaurar un archivo/imagen eliminados en una máquina Linux? En este tutorial, vamos a hablar solo eso, es decir, cómo restaurar un archivo eliminado en una máquina.

Para restaurar un archivo eliminado en una máquina Linux, utilizaremos una aplicación llamada ‘Foremost’. Foremost es un programa de datos basado en Linux para recuperar archivos eliminados. El programa usa un archivo de configuración para especificar encabezados y pies de página para buscar. Diseñado para ejecutarse en imágenes de disco, lo más importante es buscar en la mayoría de los tipos de datos sin preocuparse por el formato.

Nota: – Solo podemos restaurar archivos eliminados en Linux, siempre que dichos sectores no se hayan sobrescrito en el disco duro.

Ahora hablaremos cómo recuperar los datos con anticipación. Comencemos el tutorial mediante la instalación de Foremost en los sistemas CentOS y Ubuntu.

Instalar Foremost
Para instalar Foremost en CentOS, descargaremos e instalaremos los rpm más destacadas de la página web oficial. Abre el terminal y ejecuta el siguiente comando

$ sudo yum install https://forensics.cert.org/centos/cert/7/x86_64//foremost-1.5.7-13.1.el7.x86_64.rpm -y

Con Ubuntu, el primer paquete está disponible con repositorio predeterminado. Para instalar primero en Ubuntu, ejecuta el siguiente comando desde el terminal,

$ sudo apt-get install foremost

Restaurar archivos eliminados en Linux
Para este escenario, hemos mantenido una imagen llamada ‘dan.jpg’ en nuestro sistema. Ahora lo borraremos del sistema con el siguiente comando:

$ sudo rm -rf dan.jpg

Ahora utilizaremos la utilidad principal para restaurar la imagen, ejecuta el siguiente comando para restaurar el archivo,

$ foremost -t jpeg -I /dev/sda1

Aquí, con la opción ‘t‘, hemos definido el tipo de archivo que debe restaurarse,

-I, le dice a lo primero que busque el archivo en la partición ‘/dev/sda1’. Podemos verificar la partición con el comando ‘mount’.

Tras la ejecución exitosa del comando, el archivo se restaurará en la carpeta actual. También podemos agregar la opción para restaurar el archivo en una carpeta particular con la opción ‘o

$ foremost -t jpeg -I /dev/sda1 -o /root/ test_folder

Nota: – El archivo restaurado no tendrá el mismo nombre de archivo original ya que el nombre del archivo no se almacena con el archivo. Entonces, el nombre del archivo será diferente, pero los datos deberían estar allí.

Original

(Visitada 1 veces, 2 visitas hoy )