Tengo la mala costumbre de borrar archivos utilizando la combinación
shift+del, para borrarlos directamente sin pasar por la papelera.
Llegará el momento en que borre algo que no debería o algo que
necesitaré más tarde.
Si esto sucediese, lo mejor podría ser:
-
Desmontar el USB para evitar males mayores
$ sudo umount /media/miusb # 'miusb' es el nombre del volumen del USB
-
Hacer una copia del USB con
dd$ dd if=/dev/sdb1 of=/tmp/miusb.dd # sdb1 es la unidad donde se monta el USB
-
Podemos listar los archivos borrados con
ils$ ils -r /tmp/miusb.dd
class|host|device|start_time ils|anacreonte||1288172460 st_ino|st_alloc|st_uid|st_gid|st_mtime|st_atime|st_ctime|st_crtime|st_mode|st_nlink|st_size 8|f|0|0|1263329350|1265842800|0|1263329350|777|0|33076 12|f|0|0|1265738134|1288130400|0|1265738134|777|0|31609 14|f|0|0|1263325690|1288130400|0|1263325690|777|0|28946 16|f|0|0|1263326438|1288130400|0|1263326438|777|0|2305751 19|f|0|0|1263327386|1288130400|0|1263327386|777|0|91028
-
Creamos un directorio para tener todos los archivos que se puedan recuperar
$ mkdir /tmp/miusb_tmp
-
Recuperamos los archivos con
icat\( for i in $(ils -r /tmp/miusb.dd | awk '{print $1}' FS="|" | sed 1,3d); do icat -r /tmp/miusb.dd $i > /tmp/miusb_tmp/\)i echo $i done
-
Comprobamos el tipo de archivos recuperados
$ file /tmp/miusb_tmp/*
8: OpenDocument Text 12: PDF document, version 1.2 14: PDF document, version 1.3 16: PDF document, version 1.4 19: PDF document, version 1.2
ils y icat vienen incluidos en el paquete sleuthkit, que se
encuentra en los repositorios. También existe autopsy, que es una
interfaz web para sleuthkit.