Recuperando archivos eliminados con grep en Linux-Unix

0
1171

En el mundo de las computadoras y de los S.O, se sabe que existe la manera de recuper diferentes tipo de archivos que han sido eliminados por accidente de nuestras pc’s, en la decada de los 90’s, se tenia el Norton Utilities que fue uno de los mejores programas para recupera archivos, PC-tools, Xtree Gold o el Undelete en MS-DOS. Hoy en dia existe una gran variedad de programas de recuperación de archivos, pero cuanto de ellos son han sido portados a los sistemas operativos de red….

Se sabe, que en los sistemas operativos multitarea, multiusiuario y muntiproceso de red como son los UN*X-Linux entre otros, hasta hace poco “no se podian recuperar archivos tipo texto”, si existia la manera, en su momento no era difundido…, hoy en dia y con el paso del tiempo, esto es posible.

Para ello, existen dos maneras de hacerlo (sin backup):

  • Si el servidor es Linux, y es un servidor en produccion con usuarios de sistema, sera necesario entrar en modo mono usuario, ya que si los usuarios escriben un archivo en el servidor, entonces el o los archivos eliminados accidentalmente no se podran recuperar por completo.
  • Y si el servidor, es un servidor Unix, aqui no es necesario re-iniciar el servidor, solo se requiere que los usuarios se desconecten del sistema.

Para la recuperacion de archivos “sin backup”, se usará el comando GREP y la manera de hacerlo es:

 

Uso del comando grep (modo tradicional UNIX).
 
grep -a -B[size before] -A[size after] ‘text’ /dev/[your_partition]
donde [size before], [size after] y [your_partition] se sustituira con algun numero X
Por ejemplo:
Si se desea recuperar un archivo (+- 200 líneas) que comienza con el texto “Hola mama“, y que que se ha almacenado en la particion /dev/hda1, el proceso de recuperacion es el siguiente:

# grep -a -B2 -A200 “Hola mama” /dev/hda1 > archivo.txt        (
Chulo )
existe otra forma de hacer la recuperacion y es:
# grep -b ’search-text’ /dev/partition > archivo.txt
Un ejemplo mas:
# grep -i -a -B10 -A100 ‘nixCraft’ /dev/sda1 > archivo.txt
donde:

  • -i: No distingue entre mayusculas y minusculas
  • -a: Proceso binario como si se tratara de texto
  • -B: Imprime el número de líneas/tamaño
  • -A: Imprime el número de líneas/tamaño.

NOTA:
  • Esto solo lo puede hacer el SysAdmin (root) o algun otro usuario con privilegios de root.
  • Para mayor informacion del comando grep, man grep
 
Finalmente para FS tipo ext2, existe el comando comando recover que puede ser instalado en Debian (apt-get install recover)
Anexo la informacion.
 
 
 
 
 

———————


RECOVER(1)

NAME
recover – recover a deleted file

SYNOPSIS
recover [device] [options]

OPTIONS
-h, –help prints help
-a, –all no filtering; dump all deleted inodes

DESCRIPTION
recover recovers a file which matches some ext2 – info about the deleted inode by getting all the deleted inodes and filtering them. It’s based upon the Ext2Undele-
tion-howto by Aaron Crane. Using this utility, your chances to recover a lost file should increase a lot.

QUESTIONS ABOUT THE DELETED FILE
o Hard disk device name
o Year of deletion
o Month of deletion
o Weekday of deletion
o First/Last possible day of month
o Min/Max possible file size
o Min/Max possible deletion hour
o Min/Max possible deletion minute
o Min/Max possible file size
o Month of deletion
o Weekday of deletion
o First/Last possible day of month
o Min/Max possible file size
o Min/Max possible deletion hour
o Min/Max possible deletion minute
o User ID of the deleted file
o A text string the file included (can be ignored)

BUGS
Please note that recover does not work with ext3 filesystems, it is strictly ext2-only. For further information on this, please read
/usr/share/doc/recover/README.ext2only

WARRANTY
There is no warranty.

SEE ALSO
debugfs (8)

AUTHOR
Tom Pycke (Tom.Pycke@advalvas.be)

WEBSITE
http://users.linuxbox.com/~recover

 
 
 
 
————-
By: Domingo Varela Y.
dvarela@linuxsc.net
 
 

LEAVE A REPLY

Please enter your comment!
Please enter your name here