lunes, 17 de enero de 2011

Recuperación de datos en una unidad USB sin formato

Hoy me han dado un lápiz USB que, de repente, había perdido el formato. En general aplicamos photorec (del paquete testdisk) y siguiendo las instrucciones se recuperan todos, o al menos gran parte, de los ficheros; es especialmente útil para recuperar las fotos de las tarjetas de las cámaras digitales. Sin embargo, hoy la cosa se puso más difícil, por que al llegar al quinto fichero se paraba la acción por algún error y se cortaba photorec en el terminal.
Aunque no tenía experiencia, decidí aplicar foremost sobre la unidad, pero tardaba mucho tiempo, mucho más del necesario. Llegado a este punto copie una imagen del lápiz (sudo ddrescue -d /dev/sd? imagen fichero.log) y trabajar sobre ella. La imagen no se pudo montar, así que aplicamos foremost sobre ella (foremost -vqT /rutadeenlace/imagen) y recuperamos CASI todo, unos 180 ficheros, más o menos. La única pena es que el que se necesitaba en ese momento fue el único que no se recuperó. Eso me lleva a pensar de que la razón de la pérdida de formato del lápiz se deba a que estaba en formato FAT32 y había sido extraído del ordenador con ese fichero abierto. La segunda posibilidad es que el troyano que posiblemente tenía (un fichero exe pequeño, 9KB, que recuperó foremost me parece muy sospechoso) pudiera impedir el desmontado del USB, y ya sabemos que los sistemas de ficheros sin journaling, como FAT o FAT32, si no se extraen adecuadamente, pierden fácilmente el formato (el ejemplo más claro son las unidades con Slax en FAT32).
Después intenté trabajar en la imagen con autopsy, pero me superó y no pude cargar la imagen en el "caso nuevo" abierto. Tengo que aprender más sobre ello. O no encontré documentación clara para mi o no busqué lo suficiente.

1 comentario:

  1. mm interesante no sabia la forma para recuperar informacion :P gracias por darte un tiempo y compartir dicha informacion

    ResponderEliminar