viernes, 21 de enero de 2011

SIF Ejercicio 3.11

Recuperación de una partición: 

Tu pendrive ha sufrido daños y no se puede montar. Vamos a intentar
recuperar toda la información posible.

Recuperación de archivos borrados: Una vez recuperado el pendrive tenemos un fichero comprimido
con datos. Este fichero esta cifrado, y que casualidad, el fichero donde estaba la contraseña se ha borrado,
veremos como recuperarlo.


Partimos de una imagen del disco llamada disco.dd. Pero si realmente tuviéramos
físicamente un pendrive con daños, la forma de hacer este archivo .dd o imagen sería
utilizando el comando “dd”:

dd if=/dev/sdb1 of=/tmp/disco.dd
if → entrada
of → salida

El comando anterior vuelca todo el contenido de la partición /dev/sdb1 al archivo /tmp/disco.dd

 Nos bajamos la imagen “disco.dd” de la carpeta del servidor, que es lo que se ha podido rescatar utilizando
“ddrescue” del disco original.

A continuación vamos a asociar la imagen realizada como un dispositivo
“loop”.

$ sudo losetup /dev/loop0 /tmp/disco.dd

A continuación creamos el directorio donde montarás la imagen con el comando:
sudo mkdir /mnt/usb_imagen

Y luego intentamos montar la imagen con el comando:
sudo mount /dev/loop0 /mnt/usb_imagen


Nos dará un error ya que parece que la tabla de particiones está dañada. Intentaremos recuperarla con
gparted:



sudo gparted /dev/loop0

Utilizamos la opción “Verificar” para reparar la tabla de particiones.




Ahora volvemos a montar la imagen con el comando:

sudo mount /dev/loop0 /mnt/usb_imagen

Ahora ya se hara correctamente.


A continuación entramos en el directorio /mnt/usb_imagen y comprobamos que extá el fichero “contraseñas.
zip”.



En este archivo por desgracia no tenemos la clave para descomprimir el archivo.
La contraseña se encontraba en un archivo de texto del disco pero que ha sido borrado.
Vamos a utilizar la herramienta e2undel que sirve para recuperar archivos de una partición ext2.
Instalar e2undel con apt y desmonta la partición escribiendo:



$ sudo apt-get install e2undel

$ sudo umount /mnt/isoimage

A continuación escribimos lo siguiente para recuperar archivos de la partición

$ sudo e2undel -d /dev/loop0 -s $HOME -a


Inode 13 y 14 son los archivos para recuperar.






inode-14 es el que tiene la contraseña "tronlegacy"
Publicado por en
Etiquetas:

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)