Estas son de las cosas que uno no puede dejar de compartir pues como que pasas el mal rato te hace pensar que quizás alguien más puede estar en tu situación.
Resulta que llevo unas semanas, intentando recuperar algunos archivos y documentos de una partición de trabajo que tenía cifrada con truecrypt, muy de moda por acá por la UCI. Luego de muchas opiniones en internet y entre los colegas, todo el mundo apostaba por la herramienta testdisk como la más recomendable pero nadie la había probado con una partición truecrypt, por más que lo intenté y revisé en sus foros, no tuve suerte de recuperar nada entendible con photorec, una herramienta desarrollada por las mismas personas de testdisk, con la cual pude recuperar una cantidad de archivos pero en lotes, ya saben con un nombre aleatorio que le da a los archivos, piensen en un proyecto hecho con symfony2, vaya como que tenía un rompecabezas para estar mucho tiempo intentando armarlo.
Casualmente hoy revisando en mis RSS, me encuentro con este artículo en DesdeLinux donde mencionan la herramienta Undelete la cual da motivo a este artículo y ahora que la he probado, para mi sorpresa, pues me ha recuperado gran parte de mis archivos, en mi caso pudiera decir que un 75 %, quizás porque estuve probando con otras herramientas y sobre escribí algunos sectores de la partición en cuestión, no obstante se las recomiendo y espero que les vaya también como a mí.
Importante decir, que respeta la estructura de directorios y archivos que se tenían antes del accidente, por cierto, algo importante es que está en los repositorios de las distribuciones, así que para debian y derivados con un simple:
sudo apt-get install extundelete
Para el resto de las distribuciones habría que revisar en los repositorios, ya me contarán en los comentarios, pero un ejemplo de su uso que fue el que me resolvió, es el siguiente comando:
sudo extundelete /dev/mapper/truecrypt4 --restore-all
En mi caso era una partición pequeña y restauró todo en una carpeta que se crea con el nombre de RECOVERED_FILES, la carpeta la ubica en el directorio donde estés situado en la consola, de más está decir que hay que tener espacio libre.
Un ejemplo más concreto en caso que nos acordemos de un directorio perdido específico puede ser:
sudo extundelete /dev/mapper/truecrypt4 --restore-directory /media/truecrypt4/proyecto
o un archivo:
sudo extundelete /dev/mapper/truecrypt4 --restore-file /media/truecrypt4/proyecto/controler.php
Para los curiosos con un –help pueden revisar sus opciones que hay unas cuantas interesantes, como especificándole fechas, etc.
Si no conoces el nombre de las particiones que te interesan escribe en la consola:
df -h
o puede usar también:
sudo fdisk -l
Esto es todo, pero igual si conoces alguna otra herramienta para GNU/Linux que permita recuperar archivos y directorios borrados que me recomiendes puedes ponerlo en los comentarios.
Comentarios ( 27 )
+5 Buen post. Lo único que me da mala espina es que en los repos de Trusty está en la versión 0.2.0 ¿inestable?
Amigo, tienes que tener cuidado con el titulo, pues tal parece que dices que recupera las cosas encriptadas con TrueCrypt, lo cual no es el caso, con TrueCrypt se monta una particion que es como si fuera un disco duro normal, con cualquier herramienta de recuperacion se puede recuperar de los puntos montados por truecrypt, lo que +10 para extundelete, porque recuperar la estructura de directorio en sistemas de ficheros ext no es nada gracioso…
Esto no es lo que se necesita, es imprescindible algo con interfaz gráfica, hace unas semanas por alguna razon desconocida perdí una carpeta y no me fue posible recuperarla, al menos no con los nombres de los archivos que eran como 25.000, creo que esto es una gran deuda de los desarrolladores
por aquí puede salir una tesis de grado para el curso que viene …alguien se embulla? 😀
¿Qué estoy haciendo mal que no me funciona?
sudo extundelete /dev/sda6/ –restore-all /media/Datos/REPOSITORIOS/repo/
extundelete: Too many non-options. Use –help for a usage message.
y recuperó respetando la estructura que tenía antes
??
@N3T0
Creo que lo tuyo quedaría algo así:
sudo extundelete /dev/sda6/ –restore-directory /media/Datos/REPOSITORIOS/repo/
@Alejo para nada inestable, la última versión oficial es la 0.2.4…
@H3R3T1C gracias colega, no me da esa impresión pero lo tendré en cuenta!
@Shupacabras sería bueno que lo tuviera, pero creeme cuando pasan estas cosas como la que me sucedió a mí, me da lo mismo como si tengo que usar un MS-DOS para recuperar algo. 🙂
@N3T0 es correcto como dice @alex , esa opción que estas pidiendo es para la partición completa, por el contrario si le especifícas una ruta, tienes que usar la opción de un directorio o archivo.
@L Sí, al menos todo lo que me recuperó respetó su estructura y nombre de los archivos.
Lo que tienen que tener en cuenta que siempre es MUY RECOMENDADO montar la partición en modo de solo lectura para la recuperación de datos. Y si es de manera forense (mucho más detallista) lo primero que se hace es crear una imágen del dispositivo lo más RAW posible, la cual con dd es una muy buena opción y luego pasarle todas las herramientas de recuperación sin temor a modificar los datos.
Hola,
Me gustó els artículo aunque me sorprendió que utilizarais Truecrypt por tener una licencis que no es libre. Mejor usar encfs y alguna de sus herramientas graficas disponibles para Ubuntu.
Os felicito por el portal que teneis.
Gracias
@Joan de Gracia
cosas de la UCI, como también sorprende que tengamos que usar kaspersky el linux 😉
@Joan de Gracia muchas gracias por tus palabras. Es bueno saber que nuestro trabajo es bien recibido por nuestros lectores.
genial el artículo, +10
mmm, una herramienta más que me vendría muy bien, pero lástima que sea a golpe de consola, sin interfaz gráfica, no todos somos informáticos :-/
@alex
Hola de nuevo:
1- Hago sudo umount /dev/sda6..incluso fuser -k /dev/sda6 para desmontar la partición por lo que me dice…y aún así me da sale este warning:
extundelete /dev/sda6 –restore-directory /media/Datos/REPOSITORIOS/repo/
WARNING: Extended attributes are not restored.
WARNING: EXT3_FEATURE_INCOMPAT_RECOVER is set.
The partition should be unmounted to undelete any files without further data loss.
If the partition is not currently mounted, this message indicates
it was improperly unmounted, and you should run fsck before continuing.
If you decide to continue, extundelete may overwrite some of the deleted
files and make recovering those files impossible. You should unmount the
file system and check it with fsck before using extundelete.
Would you like to continue? (y/n)
y
Loading filesystem metadata … 6924 groups loaded.
Loading journal descriptors … 32123 descriptors loaded.
Writing output to directory RECOVERED_FILES/
Failed to restore file /media/Datos/REPOSITORIOS/multisaber/
Could not find correct inode number past inode 2.
??? Por queé a mí???
@N3T0
Datos no será sda6?? revisa el listado de tus particiones, como norma la recuperación se hace para un dispositivo distinto al que se intenta recuperar
@kKk
mmmm..bueno la verdad que sí…….pero es que temo que si hago una partición ahora con el espacio disponible que tenga no pueda recuperar algunos archivos, y las demás particiones el espacio disponible que tengo es muy reducido para la recuperación…pensé que el programa no le importaría recuperar en la misma partición….alguna otra idea ??
@N3T0
NO, no vayas a hacer una partición ahi mismo, el resultado no creo q sea agradable dadas tus intenciones de recuperar información.
puedes pedir prestado un dispositivo de almacenamiento externo (memoría, hdd externo, por la red, etc), y cuando termines de recuperar, pues lo copias nuevamente a tu pc.
@N3TO: hazlo como te dice kKk, en otro dispositivo es como debe ser, sucede que si estas recuperando en la misma partición, pues el programa escribe sobre lo que recuperas, y se forma el arroz con mango, y al final, no logras buen resultado… 😀
@kKk
@Akuma
bueno me llevé el mensaje, ya tengo el dispositivo externo, cambié el comando que tenía mal..ejecuto
extundelete /dev/sda6 –restore-directory /media/Datos/REPOSITORIOS/multisaber/
y…tacháaaaannn
Loading filesystem metadata … 6924 groups loaded.
Loading journal descriptors … 32415 descriptors loaded.
Failed to restore file /media/Datos/REPOSITORIOS/repo/
Could not find correct inode number past inode 2.
no que Datos es tu partición sda6?, tienes q recuperar de una partición a otra, por favor revisa eso.
@kKk
Lamento ser tan repetitivo pero aún no comprendo la lógica del comando…
En el ejemplo sudo extundelete /dev/mapper/truecrypt4 –restore-directory /media/truecrypt4/proyecto…. /dev/mapper/truecrypt4 sería la carpeta de destino donde copairá los archivos recuperados y /media/truecrypt4/proyecto sería la carpeta a recuperar ??
otra cosa: los archivos los perdí haciendo: deluser usuario –remove-all-files..aún así me puede ayudar este programa?
@N3T0 en el ejemplo, /dev/mapper/truecrypt4 es como se llama el punto de montaje de la partición truecrypt, asi es como la monta el truecrypt, supongo que tus datos de usuarios estén en algo como /dev/sda o /dev/sdb, en dependencia de como se reconozca tu disco duro o en el disco duro que este, para ello debes hacer un sudo fdisk -l y eso te dirá en que punto esta montado tu home o si es parte de tu sistema pues debes tomar el punto de montaje del sistema, lo demás si lo tienes correcto, por cierto el te recupera los archivos en el lugar donde estés ubicado en la consola…
@Pochy
SI el tema es así entonces no veo por qué no se puede hacer extundelete /dev/sda6/ –restore-directory /media/Datos/recuperar….por ejemplo..es cierto que mi Datos es sd6 pero por lo que leo no tiene que ver, porque primero me muevo al dispositivo externo que tengo para recuperar (digamos sdb1 o usb0 cual es el que debo poner)…aun así continua dandome el error del inode que no puede encontrar…
???
El error : Could not find correct inode number past inode 2. a qué se debe? alguien sabe? por favor que no tengo internet para buscar…..
otra cosa: los archivos los perdí haciendo: deluser usuario –remove-all-files..aún así me puede ayudar este programa?
PD: estan poniendo los captcha más difíciles ahora…jajajjaja
Hola de nuevo,
Sobre el Truecrypt, creo que os interesará el artículo siguiente:
hacking-etico.com/2014/05/29/el-misterioso-truecrypt/?utm_medium=twitter&utm_source=twitterfeed
Felicidades por vuestra web 😉