Práctica 5 – Recuperación de datos

Objetivo

Recuperación de datos perdidos, eliminados o dañados.

Introducción

La recuperación de datos implica emplear diferentes métodos y herramientas para localizar y extraer información de dispositivos digitales que han sufrido daños, fallos o borrados accidentales, impidiendo el acceso habitual a los archivos.

Es fundamental evitar el uso del dispositivo afectado tras detectar la pérdida de datos, ya que el sistema operativo solo marca el espacio de los archivos eliminados como libre, pero no borra inmediatamente la información. Esto permite que los datos puedan ser restaurados antes de que sean sobrescritos por nuevos archivos.

Además, existen soluciones tanto de software como de hardware especializadas en la recuperación de datos, que pueden actuar sobre discos duros, memorias USB, tarjetas SD y otros soportes. La elección de la herramienta adecuada dependerá del tipo de daño y del sistema de archivos utilizado.

Métodos de recuperación:

• Copias de seguridad (visto en prácticas anteriores)
• Imágenes de disco
• Recuperación de tipos de datos concretos
• Recuperación de datos eliminados

Herramientas:

• ddrescue, clonezilla
• foremost, scalpel
• ext4magic, recuva

---

1. Instalar las herramientas Linux

Usar una máquina virtual Ubuntu 24.04, Kubuntu, Xubuntu o Lubuntu para instalar las herramientas indicadas.

DDRESCUE

Utilizando imágenes de discos

Práctica 5.1 - ddrescue

foremost - Utilizando la recuperación de tipos de datos concretos

Una herramienta para esto en Linux es foremost.

foremost analiza un disco o una imagen buscando archivos según sus cabeceras.

Instalación:

sudo apt install foremost

Tipos de archivo detectables:

jpg, gif, png, bmp, avi, exe, mpg, wav, riff, wmv, mov, pdf, ole, doc, zip, rar, htm, cpp, mp4

Archivo de configuración: /etc/foremost.conf

Funcionamiento por defecto:

Busca cualquier archivo dentro de la imagen indicada. Guarda los resultados en la carpeta output, junto con audit.txt.

Opciones:

• -t tipos de archivo a recuperar
• -i entrada
• -o salida

Practica 5.2 - Foremost

** Utilizando recuperación de datos eliminados**

Una herramienta para recuperar archivos borrados en Linux es ext4magic, para particiones ext3 y ext4.

Manual: https://manpages.ubuntu.com/manpages/xenial/man8/ext4magic.8.html

Instalación:

sudo apt install ext4magic

Ejemplo: Búsqueda de archivos borrados en /dev/sdi.

Los archivos recuperados se guardan en RECOVERDIR.

Opciones:

• -m recupera archivos eliminados
• -M recupera todos los archivos

2. Utilizar las herramientas Linux

Usar la máquina virtual donde están instaladas las herramientas.

1. Añadir un disco de 100 MB
2. Aplicar formato ext4
3. Montarlo en /mnt/recuperar
4. Crear estructura de carpetas similar a:

/mnt
 └── recuperar
      ├── docs
      │    └── doc1.pdf
      ├── imgs
      │    └── foto1.jpg
      └── texto.txt

1. Generar una imagen del disco
2. Eliminar algunos archivos o carpetas
3. Realizar la recuperación usando varias herramientas
4. Explicar el proceso seguido en cada caso

3. Otras herramientas

Clonezilla

• https://clonezilla.org
• https://www.wikihow.com/Use-Clonezilla

Recuva

• https://www.ccleaner.com/es-es/recuva
• https://www.solvetic.com/tutoriales/article/5548-recuperar-archivos-borrados-con-recuva-de-disco-particion-o-usb/