¿Cómo recuperar archivos eliminados de una MicroSD con PhotoRec en Kali Linux?

¿Qué es PhotoRec?

PhotoRec es una aplicación utilizada con el fin de recuperación de información, es software libre y funciona en múltiples sistemas operativos: como Linux, Windows, Solaris, Mac OS, entre otros; soporta varios sistemas de archivos.

En esta oportunidad vamos a trabajar con PhotoRec en la distribución Kali Linux.

 ¿Qué puedo hacer con PhotoRec?

 Con PhotoRec usted puede recuperar archivos, documentos, videos y un largo etcétera de formatos de archivos; en la página web del proyecto, se menciona que PhotoRec “…funciona incluso si su sistema de archivos está muy dañado o ha sido re-formateado”. 

 ¿Cómo adquirir y ejecutar PhotoRec en Linux?

Puede verificar en su Kali Linux si cuenta con la herramienta, en caso de no tener la herramient PhotoRec en su Kali Linux, ejecute los siguientes pasos:

1. Se descarga PhotoRec en su versión 7.1 (la cual es la estable para el momento en el cual se escribió este post) del siguiente URL: https://www.cgsecurity.org/wiki/TestDisk_Download

Se inicia la descarga de un archivo en formato tar.bz2 (empaquetado como “tar”, comprimido con el método BZIP2)

Una vez se ha descargado, queda de la siguiente forma en el sistema de archivos:

2. A continuación se debe desempaquetar y descomprimir el archivo mediante la utilización de la utilidad “tar” de la siguiente forma:

$tar -jxvf nombredelarchivo

Explicación de las opciones:

-j —> Filtra el archivo a través de bzip2

x —> Extrae archivos desde el archivo

v —> Añade verbosidad

f —> Archivo

3. Ingrese al folder que se generó desde el paso anterior y liste el contenido:

Puede ver claramente la herramienta denominada “PhotoRec_static”, para este caso, es la herramienta que vamos a utilizar, en caso de querer ejecutarla, utilice el siguiente comando:

Al estar utilizando sudo, debe ingresar la contraseña de su usuario, una vez lo haga, se va a encontrar con lo siguiente:

¿Cómo puedo recuperar mi información?

Recuerde que para un proceso exitoso de recuperación de información, deben tenerse en cuenta múltiples aspectos; entre ellos, dos de los más importantes son:

• Un manejo adecuado del medio de almacenamiento del cual se borró “permanentemente” la información de forma accidental (o no tanto):

  • No escribir información adicional en este medio

  • Bloquear este medio contra escritura

  • Un paso ideal y obligatorio en un proceso de adquisición forense (imaging) de un medio de almacenamiento sospechoso,sería obtener una imágen forense del medio de almacenamiento. Si no está efectuando un procedimiento forense también sería ideal obtener la imagen, sin embargo, si no cuenta con las herramientas y el conocimiento, proceda con cuidado.

• Utilizar la herramienta de recuperación adecuada

1. Antes de iniciar la recuperación de información en el medio de almacenamiento es importante que esté protegido contra escritura.

2. Cree un directorio en su estación forense, en ese directorio usted almacenará la información recuperada

3. Determinar como reconoce el sistema operativo Linux su medio de almacenamiento

4. A continuación seleccione el medio de almacenamiento del cual desea recuperar la información; en la imagen puede ver los medios de almacenamiento disponibles

Con las flechas del teclado seleccione el medio de almacenamiento donde están los archivos que se quieren recuperar (1), presione la tecla enter para “Proceed” (2)

5. Ya se encuentra en el submenú en el cual deberá seleccionar la partición.

Se observan también los “botones”: “Search”, “Options”, “File Opt” y “Quit”

Si selecciona “Options”

se encontrará con el siguiente submenú:

Si quiere regresar al menú anterior, puede presionar la tecla “q”. 

Si selecciona “File Opt” 

Se encontrará con el siguiente submenú:

En este submenú usted tendrá la posibilidad de determinar qué tipos de archivos se intentarán recuperar; si quiere regresar al menú anterior, puede presionar la tecla “q”.

Una vez revisadas y configuradas las diferentes opciones, seleccione la partición mediante las “flechas” del teclado

Finalmente seleccione “Search” y presione la tecla “Enter”

6. A continuación se procede a seleccionar el tipo de sistema de archivos; si el sistema de archivos del medio de almacenamiento es “ext2”,”ext3” o “ext4”, seleccione la opción [ ext2/ext3 ]; de lo contrario, selecione la opción [ Other ]

7. Seleccione si se va a analizar total o parcialmente el medio de almacenamiento.

8. Seleccione el directorio en el cual va a almacenar los archivos que sean recuperados

Una vez tenga seleccionado el directorio creado para tal fin utilizando las flechas del teclado, presione la tecla “c”

El proceso de recuperación de información inicia a continuación

En la próxima imagen se observa que el proceso ha avanzado un poco más

En la próxima imagen se observa que el proceso de recuperación iniciado en PhotoRec 7.1 ha finalizado

A continuación se puede observar la carpeta donde quedaron los archivos recuperados

Gracias por leernos!

Referencias Bibliográficas

https://www.cgsecurity.org/wiki/PhotoRec_ES

https://www.cgsecurity.org/wiki/PhotoRec_Step_By_Step

¿Te gustó este post? por favor déjanos tus comentarios! Sé un buen HackerPro y comparte con tu comunidad! Suscríbete a Behackerpro