viernes, 11 de febrero de 2011

Recuperando ficheros borrados con Scalpel

Cuando borramos un fichero que no deberíamos haber eliminado, lo primero, es buscarlo en la papelera. Los gritos y los lamentos llegan cuando descubrimos que el fichero no esta en la papelera, por el motivo que sea.

Bien, no desesperemos. Todavía es posible recuperar el fichero, en este caso, con una aplicación para la terminal llamada Scalpel.

Scalpel esta disponible en los repositorios oficiales, por lo que su instalación no tiene ningún secreto. Desde Synaptic, con un par de clics estará listo para usar.

Ahora viene la parte menos cómoda. Scalpel busca ficheros eliminados buscando la cabecera del fichero y su marca final en el disco. Para indicarle que tipos de fichero debe buscar, y por tanto, cuales son las cabeceras que debe rastrear, hay que configurar el fichero scalpel.conf. Tenemos un fichero de configuración “maestro” en /etc/scalpel/scalpel.conf, que podemos editar directamente con gedit
  • sudo gedit /etc/scalpel/scalpel.com
En este fichero, tan solo tenemos de buscar la extensión del fichero que queremos recuperar, por ejemplo .jpg y eliminar el carácter # que hay al principio de la línea. Todas las líneas que comienzan por # se consideran comentarios, y se ignoran en la búsqueda, por tanto, aquellas de las que los eliminemos, serán los tipos de fichero que se buscaran.

Podemos guardar sin más los cambios en /etc/scalpel/scalpel.conf o guardar una copia con nuestras modificaciones donde deseemos, para usar esa copia y dejar el fichero original intacto para futuros usos. Sea como fuere, el siguiente paso es ejecutar scalpel, indicándole donde debe buscar, donde guardar lo que encuentre, y si así lo hemos decidido, cual es el fichero de configuración con que trabajar.
  • sudo scalpel /dondebuscar -f /mificheroscalpel.conf -o /dondeguardar
El primer parámetro, indica donde se debe buscar, por ejemplo, en /dev/sda1, que es la primera partición del primer disco duro.

El segundo parámetro, es opcional, e indica donde esta el fichero scalpel.conf que hemos personalizado para esta búsqueda. Si nos saltamos este parámetro, buscara un fichero scalpel.conf en el directorio actual, y si allí no existe, usara /etc/scalpel/scalpel.conf

El último parámetro, es la ruta a una carpeta donde guardar los resultados. Esta carpeta debe estar vacía, y en caso de no existir, el propio programa la creará.

Ya solo nos queda dejar trabajar al programa, y esperar que no se haya escrito en ningún fragmento del disco donde antes estaba nuestro fichero. Paciencia y fe.

No hay comentarios:

Publicar un comentario

prekes sodui