Skip to content

5.3. ext4magic

Recuperación de Archivos con ext4magic

Objetivo

El objetivo de esta práctica es aprender a utilizar la herramienta ext4magic para recuperar archivos eliminados en un sistema de archivos ext4. Aprenderás a instalar y utilizar ext4magic para recuperar archivos, y cómo interpretar los resultados de la recuperación.

Materiales

  • Ubuntu 24.04
  • Sistema de archivos ext4 con archivos eliminados.
  • ext4magic (herramienta instalada en Ubuntu 24.04).

Instrucciones

Parte 1: Instalación de ext4magic

  1. Instalar ext4magic:
    Para instalar ext4magic en Ubuntu 24.04, abre una terminal y ejecuta el siguiente comando:

    sudo apt update
sudo apt install ext4magic

  2. Verificar la instalación: Asegúrate de que ext4magic se haya instalado correctamente ejecutando el siguiente comando:

    ext4magic --help

Esto debería mostrarte las opciones y comandos disponibles en ext4magic.

Parte 2: Preparación de los Datos

  1. Crear un archivo en el sistema ext4: En una máquina con un sistema de archivos ext4, crea un archivo o varios archivos que puedas eliminar más tarde para probar la recuperación.

Ejemplo para crear un archivo de texto:

echo "Este es un archivo de prueba" > archivo_prueba.txt
  1. Eliminar el archivo: Elimina uno de los archivos creados para que puedas intentar recuperarlo usando ext4magic:
rm archivo_prueba.txt
  1. Verificar la eliminación: Comprueba que el archivo ha sido eliminado ejecutando el siguiente comando:
ls

Parte 3: Uso de ext4magic para la Recuperación de Archivos

  1. Ejecutar ext4magic: Para recuperar un archivo eliminado, usa el siguiente comando básico con ext4magic:
sudo ext4magic /dev/sdX -d /ruta/de/recuperacion

Donde:

  • /dev/sdX es el dispositivo de disco donde estaba el sistema de archivos ext4 (por ejemplo, /dev/sda1).

  • /ruta/de/recuperacion es el directorio donde los archivos recuperados serán almacenados.

  • Recuperar archivos eliminados: Si solo deseas recuperar un archivo específico, puedes hacerlo proporcionando un número de inode (obtenido previamente con el comando ls -i), o el número de bloque correspondiente, según la configuración de tu sistema.

  • Recuperación sin especificar el inode: Si no tienes el número de inode, ext4magic intentará recuperar todos los archivos eliminados:

sudo ext4magic /dev/sdX -d /ruta/de/recuperacion
  1. Verificar los archivos recuperados: Una vez que la recuperación se haya completado, puedes verificar los archivos recuperados en el directorio especificado (/ruta/de/recuperacion):
ls /ruta/de/recuperacion

También puedes verificar el contenido de los archivos recuperados para asegurarte de que la recuperación fue exitosa.

Parte 4: Análisis de Resultados

  1. Explorar los archivos recuperados: Los estudiantes deben analizar los archivos recuperados. Pueden abrir los documentos o archivos utilizando herramientas apropiadas de Ubuntu.

  2. Verificar la integridad de los archivos: Algunos archivos pueden no recuperarse correctamente debido a la sobrescritura de bloques en el disco. Los estudiantes deben intentar abrir varios de ellos y documentar los resultados.