Forums:
Buenas a tod_s,
estamos en un proceso de migración a Ubuntu y como para "al fin viernes" uno de los usuarios luego de que sacamos sus respaldos al servidor (samba) de archivos los elimino y no los bajo a su computador posterior a la instalación y ahora se quedo sin nada de info he realizado un volcado de disco:
dd if=/dev/mapper/disk1-home of=/mnt/disco_volcado/home.dd
Luego procedí a compilar e instalar en mi computador el sleuthkit y posteriormente autopsy.
Ejecuto autopsy:
[root@sist01 autopsy-2.24]# ./autopsy
============================================================================
Autopsy Forensic Browser
http://www.sleuthkit.org/autopsy/
ver 2.24
============================================================================
Evidence Locker: /home/jonas/evidencelocker
Start Time: Fri Jun 18 11:06:20 2010
Remote Host: localhost
Local Port: 9999
Open an HTML browser on the remote host and paste this URL in it:
http://localhost:9999/autopsy
Keep this process running and use to exit
inicio el navegador, creo el caso, el host, cargo la imagen, determino que es una partición y sigo con el análisis y aquí los problemas:
* navego por las carpetas pero el daño parece peor de lo que creía entonces no logro ingresar a las carpetas eliminadas
* intento revisar los inodes de los archivos y carpetas eliminadas pero no logro que se recuperen los datos
Ahora no sé que hacer, voy a tratar con photorec y testdisk pero quisiera que ustedes me sugieran alguna acción a tomar, los datos ya han sido asegurados en la imagen dd, la imagen tiene 1Tb.
Agradezco su ayuda, comentarios y sugerencias acerca de otras herramientas "mágicas" que pudiera utilizar con las que hayan tenido buenas experiencias.
Bueno, una vez que autopsy no
Bueno, una vez que autopsy no nos fue de utilidad he procedido a descargar photorec que es un programa para la recuperación de archivos de Cristoph Greiner http://www.cgsecurity.org/ y lo he ejecutado y ahora esta trabajando:
[jonas@sist01 linux]$ ./photorec_static /home/jonas/disco_volcado/home.dd
PhotoRec 6.11.3, Data Recovery Utility,
Christophe GRENIER
Y despues de 5h31m23s y faltando aún 3h59m02 mas pero ya he recuperado 11720 archivos ahora el reto es encontrar los que son buscados pues photorec reescribe los nombres de todos los archivos.
Aún espero algún comentario o alguna sugerencia.
Ese es muy bueno, una vez se
Ese es muy bueno, una vez se me dañaron los archivos de una cámara digital y con photorec los encontré casi todos, (un 95%), mi única sugerencia, ordénalos por tamaño.. xD
Saludos
------------
Cogito Ergo Sum
Eso es fundamental alo
Eso es fundamental alo parecer en el proceso de recuperación en algunas ocasiones photo_rec no encuentra el fin del fichero y se crean archivos de Gb... ya solo queda la tarea de encontrar los archivos buscados entre tantos que han sido recuperados.
slds.