Para recuperar ficheros o reparar sistemas de archivos basados en Ext, es necesario utilizar la herramienta e2fsck, la cual espera como parámetro el dispositivo que se desea chequear, es necesario que este se encuentre desmontado:

e2fsck /path/filesystemExt

Recuperando ficheros borrados:

En primer lugar, un fichero es una relación de disco y enlace, de esta forma el sistema operativo puede acceder al fichero por medio del enlace que apunta a la ubicación física en el disco duro, (llamado inode) cuando se emplea el comando rm para eliminar un fichero, solamente se elimina el enlace al que apunta, sin embargo el fichero permanece en el disco duro por un periodo de tiempo, vamos a ver una practica habitual cuando un fichero es eliminado y un proceso hace uso de el (un proceso zoombie)

1. echo “fichero de pruebas” > testfile

2. less testfile (Presionar Crtl + z para que quede el proceso zoombie)

3. rm testfile

4. lsof | grep testfile (Esto enseñara la información relacionada con el proceso que se encuentra ejecutándose con la información del fichero, nos interesa el PID)

5. Posteriormente en el directorio /proc se encuentran almacenados los procesos en ejecución actuales, cada uno incluido en un subdirectorio nombrado con el PID del proceso, de esta forma, con el numero del proceso que se indica en el comando anterior se puede recuperar el fichero, por ejemplo:

sudo ls /proc/4336/fd/
0 1 2 3 4
sudo cp /proc/4336/fd/4 recuperado

6. después de lo anterior se puede apreciar que el fichero recuperado tiene el mismo contenido que aquel que se ha borrado anteriormente.

Recuperando ficheros con Scapel

Esta herramienta permite escanear una partición y posteriormente recuperar los ficheros perdidos que en ella se encuentren, basta con editar el fichero de propiedades ubicado en /etc/scalpel/scalpel.conf descomentando aquellos tipos de ficheros que deseamos recuperar (PDF, GIF, DOC, etc)

Posteriormente simplemente especificar el dispositivo, el directorio donde almacenar los ficheros recuperados y esperar los resultados:

sudo scalpel /dev/sdbX -o DIRECTORIO_RECUPERACION

Puede tardar un poco dependiendo del tamaño de la partición.