Hosting - Cyberneticos.com

He perdido todas mis fotos – Recuperar archivos borrados

Este post está basado en un caso real. El otro día un cliente nos indicó que, al actualizar su móvil Android se habían borrado todas las fotos que tenía. Lo primero que pensé, tal y como decía el doctor House, es que todos los usuarios mienten y que se habría equivocado y había formateado la tarjeta. Posteriormente verifiqué que no, que efectivamente el sistema operativo la formateaba al actualizar para utilizarla como memoria interna.

Sea como sea, era hora de ponernos a trabajar. El primer paso para evitar problemas era poner la SD en modo solo lectura. Para los que no lo sepan, las SD traen una pestaña para impedir la escritura en ellas:

Foremost: escavando en mi SD

Para comenzar la recuperación use una herramienta muy útil y sencilla: Foremost.

Foremost es una aplicación para linux que suele venir preinstalada en las distribuciones de seguridad/forense. Yo, por ejemplo, usé la distribución Kali Linux desde un pendrive (Ni siquiera tuve que instalarla). El comando a usar fue el siguiente:
foremost -i /dev/sdb1 -o /home/root/recuperado

donde:

-i /dev/sdb1 es la partición perteneciente a la SD.
-o /home/root/recuperado es la carpeta donde guardaré lo recuperado.

Al finalizar tendremos en la carpeta final tanto un log del resultado como un conjunto de carpetas donde se nos guardaran los archivos por tipo (jpg, mov, pdf)

Recuperar cualquier tipo de fichero borrado

Una limitación de esta aplicación es que solo es capaz de recuperar algunos tipos de archivos. La lista completa podéis verla aquí, aunque abarca la mayoría de los archivos importantes para «usuarios terrenales». Uno de mis dos lectores @_N4rr34n6_  me informa de que Foremost no esta limitado a una serie de archivos (Gracias Marcos!!!!!!!). Tras investigarlo lo confirmo, Foremost trae una serie de tipos de archivos predefinidos, pero podemos indicarle otros tipos de archivos a buscar. Para ello hay que editar el /etc/foremost.conf y añadir la firma del tipo de archivos que necesitemos. En el propio archivo de muestra tenemos muchos tipos con sus firmas y podemos obtener mas desde http://www.garykessler.net/library/file_sigs.html

No esperéis recuperar el 100% de los datos pero, si habéis evitado usar la tarjeta tras el «incidente», es posible recuperar un gran número de ellos. En el caso que estoy tratando se recuperaron unos 4000 ficheros (la mayoría fotos) y se quedaron sin recuperar aproximadamente otros 100. Como veis es un porcentaje más que aceptable.

Y poco más, espero que os sea útil a todos los que actualicéis Android.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.