2008/8/18 Manuel Alejandro Cerón Estrada <[EMAIL PROTECTED]>: > Hola. > > El día 18 de agosto de 2008 9:21, Andrés Calderón > <[EMAIL PROTECTED]> escribió: > >> Estas utilidades no son mágicas, el problema de borrar archivos es >> realmente realmente grave en sistemas de archivos como ext2/3. >> Normalmente lo que hacen es buscar en inodes sueltos fragmentos >> reconocibles de archivos... por ejemplo, el header de un jpg o de un >> otd, pero sí el archivo excede el tamaño de un inode, deben hacer >> búsqueda en todos los inodes libres y tratar de encontrar el que sigue >> en la cadena de inodes que formaban el archivo... lo cual suele ser >> muy difícil. Lo inodes, no tienen registro del siguiente. > > Foremost es una herramienta de escarbado de datos y no hace nada con > los inodes. Foremost busca patrones de header y footer en un archivo > imagen en crudo. El sistema de archivos no importa. Incluso se puede > usar en archivos binarios de word y cosas por el estilo.
Creo que fui impreciso, no se realmente como este implementado foremost, pero alguna vez escribí un programa de ese tipo... y especulé un poco con base en mi propio experiencia (trauma). A estas herramientas, como explica Manuel, no suelen importarles los sistemas de archivos. El problema que queria presentar es que a la herramienta de recuperación le importa el formato de los archivos, necesita conocimiento sobre su estructura... y además debería tener en cuenta, la segmentación lógica del disco en inodes (así no sea de manera explicita), dado que un archivo mas grande que un inode pueden estar compuesto por varios inodes no consecutivos... no se si foremost pueda tratar este problema. Un problema adicional en la búsqueda, es que además pueden existir muchos fragmentos con secuencias de versiones diferentes del mismo archivo... cuando se hace una edición de un archivo, el sistema de archivos no usa los mismos inodes, usa nuevos y los anteriores pasan a ser disponibles. Esto es dado a que el acceso a disco es páginado, y no se puede borrar o editar fragmendos de un segmento.... se borran o se escriben bloques completos. bueno, tremendo problema. Mejor tener buenos hábitos para hacer copias, como usar repositorios públicos (o privados) para el código fuente. O aprovechar la infraestructura de google. Andrés Calderón Cel: +57 (300) 275 3666 Email: [EMAIL PROTECTED] Web: www.emqbit.com > > A mi me ha dado muy buenos resultados Foremost. Lo malo es que solo > sirve con ciertos tipos de archivos conocidos. > > Lo mejor es que se use una herramienta de informatica forense como > Helix Live CD y se cree una imagen del disco o la partición en la que > se perdieron los datos, luego se aplique Foremost, se tenga paciencia. > Es probable que pueda recuperar 100% de lo que perdió. > >> Sí el disco siguió en uso, la probabilidad de encontrar algo, baja >> rápidamente... los inodes de los archivos borrados pasaron a ser >> disponibles, y probablemente sean sobreescritos... > > Esto es verdad, si se ha usado el disco despues del incidente, aumenta > la probabilidad de pérdida. Sin embargo, yo he llegado a encontrar > datos borrados hace meses. > > > Manuel. > > _______________________________________________ > Lista de correo de Colibri > Colibri@listas.el-directorio.org > http://listas.el-directorio.org/cgi-bin/mailman/listinfo/colibri > http://slcolombia.org/Colibri/UsoLista > http://slcolombia.org/Colibri/ContratoSocial > > El Directorio, el sitio del Software Libre en Colombia: > http://www.el-directorio.org > _______________________________________________ Lista de correo de Colibri Colibri@listas.el-directorio.org http://listas.el-directorio.org/cgi-bin/mailman/listinfo/colibri http://slcolombia.org/Colibri/UsoLista http://slcolombia.org/Colibri/ContratoSocial El Directorio, el sitio del Software Libre en Colombia: http://www.el-directorio.org
