Cómo recuperar los datos tras un rm -rf en Mac OS X

O tras un rm -rf en Linux (p.ej. Ubuntu) o tras enviar algo a la papelera y vaciarla, ya sea en Windows o en Mac.

Hola. Si has llegado a este post desde un buscador, desesperado por recuperar tus datos, sólo tres puntos a considerar:

  • respira y relájate. El daño ya está hecho. Con la cabeza en su sitio recuperarás lo que puedas sin ahondar aún más en el desastre
  • no vayas a enfadarte conmigo si lo que aquí pongo no te funciona. Te puedo aclarar dudas, pero no hacer milagros. Recuerda que quien vació la papelera no fui yo 🙂
  • lee la receta que viene a continuación, aplícala, y si recuperas tus datos dame las gracias en un comentario, contándome tu experiencia. ¡Ánimo!

Al resto, a los que (todavía) no habéis metido la pata, tras la receta contaré cómo metí la pata y mi historia de recuperación de datos. ¡Sí, otra batallita!

Cómo recuperar los datos tras el rm -rf

  1. No borres nada más, no toques el ordenador, no instales nada. Cuanto más utilices el disco duro, más datos se leerán de el, pero también se grabarán. Los ficheros que has borrado están aún en tu disco duro y probablemente los puedas recuperar. Pero si te pones a grabar cosas, la probabilidad de que uno de los bloques ocupados por tus archivos se sobreescriba crece y crece. Si puedes (y sabes que tu ordenador arrancará luego), apaga el ordenador y lee esto desde otro.
  2. Si has borrado parte del S.O., apagar el ordenador es el menor de tus males. Siempre puedes arrancar con un disco live de Ubuntu (o un USB arrancable de Windows, p.ej. creado con BartPE o de Mac OS X), copiar los datos en un disco USB / Firewire externo y reinstalar. Voy a suponer que has perdido ficheros de datos, y que el S.O. está OK.
  3. Herramientas que necesitas:
    1. Un disco externo donde guardar la información que vas a recuperar, con suficiente espacio libre. Si tienes uno lleno de películas bajadas de Internet, las borras que siempre podrás bajarlas de nuevo y haces sitio. Lo primero es lo primero.
    2. El excelente programa PhotoRec, utilidad de recuperación de datos para Linux, Mac, Windows y casi cualquier S.O. moderno.
    3. Paciencia, muuuucha paciencia. Recuperar los datos es un proceso muy largo (dependiendo del tamaño de los discos). Para que calcules, 200 GB tardaron más de 24 h.
    4. Opcional. Un disco de arranque externo USB en el que puedas instalar PhotoRec, para hacer la recuperación desde ese disco, leyendo el interno en el que has borrado, y grabando en otro disco USB que pinches para recibir los datos rescatados.
    5. Opcional. Una SAI si el equipo no es un portátil. No quiero imaginarme lo divertido que debe ser estar en medio de la recuperación y que se vaya la luz…
  4. ¿Ya lo tienes todo? Arranca con tu disco externo o instala PhotoRec en el sistema a salvar, y ejecútalo. Lo debes lanzar desde una consola, mejor si tienes privilegios de administrador: cmd.exe en Windows, Terminal en Mac OS X, Gnome Terminal en Linux, etc. En el caso concreto de Mac está en una carpeta llamada Darwin dentro de la carpeta que se descomprime al bajar el fichero.
  5. Si no tienes privilegios de administrador, en Ubuntu Linux y Mac OS X se obtienen escribiendo en la consola: sudo su e introduciendo tu clave de inicio de sesión.
  6. Sí, es muy feo, es el típico programa de MS-DOS que corría sólo con modo texto. Pero ¿para qué lo quieres bonito? Lo que quieres son tus datos. Y es GPL. Luego coste cero. Todo el programa se maneja con las teclas de cursor y el Enter. Aquí no hay ratón que valga.
  7. Escoge el disco donde están los datos perdidos. En Windows te aparecerán las letras de unidad.
  8. A continuación hay que indicarle el tipo de tabla de particiones que tenemos. Normalmente Intel funcionará con Linux y Windows, EFI GPT con los Macs nuevos (con procesadores no PowerPC) y Mac con los macs PowerPC.
  9. Ahora podemos pasarle opciones sobre los ficheros que queremos recuperar (p.ej., para que sólo busque fotos, o sólo archivos comprimidos, etc.)
  10. Finalmente le indicamos el disco destino de la recuperación. Muy importante: que no sea el mismo desde el que recuperas. Puedes sobreescribir datos que estás intentando recuperar.
  11. Cuando termine la recuperación, tendrás un montón de carpetas, cada una con 500 ficheros. PhotoRec, va recuperando pero para no hacer los directorios muy largos, cuando llega a 500 para y crea una nueva carpeta. Los nombres de los ficheros se los va inventando.
  12. Ahora viene lo duro. Localizar tus ficheros. Yo te recomiendo que hagas búsquedas por tipo de fichero, por ejemplo, que busques todos los .MP3 que están en esas carpetas, o todos los .DOC, etc. Ir viendo una a una puede ser desesperante, ya que te encontrarás todo tipo de ficheros recuperados que probablemente sean basura para ti.

Mi experiencia (doble) con PhotoRec

Por desgracia (o por suerte, nunca se sabe) he tenido que tratar con PhotoRec dos veces seguidas en un corto espacio de tiempo. La primera, tras lanzar un rm -rf donde no debía en Mac OS X y la segunda para recuperar las fotos de una tarjeta Memory Stick Pro Duo que no se podía leer. ¡Vamos con la primera experiencia!

Borrando donde no se debe en Mac OS X

Mac OS X monta los volúmenes (particiones, discos externos, etc.) en una carpeta llamada /Volumes. En esta carpeta se monta, por ej., mi Drobo. Concretamente debe montarse en /Volumes/Drobo. Pero hay veces que se me olvida apagar el Drobo antes que el PowerMac G5 al que está conectado y, por un fallo documentado esta carpeta no se borra. Resultado: en el siguiente arranque Drobo detecta que ya existe una carpeta con nombre Drobo y crea otra «Drobo 1». Y así hasta el infinito. Feo. No me gusta. Solución: borrar las carpetas «Drobo*» para que no se acumulen. Aquí en donde entra el rm -rf /Volumes/Drobo 1/, pero por causas que no acierto a concretar, escribí como rm -rf /Volumes/. Resultado: todos los discos conectados al Mac, preparados para ser exterminados. Todos. Los dos discos duros internos, los discos por red (Time Capsule). El Drobo no, porque antes de estas operaciones lo suelo apagar. Menos mal que fui rápido y sólo se borró el segundo disco duro interno del G5. Sólo. 200 GB a la basura.

¿Y no tenías backup? Bueno, la mayoría del contenido era prescindible: cosas bajadas de Internet (que se vuelven a bajar). Pero había algunas películas de vídeo propias que no tenía pasadas a ningún sitio. ¡Gosh!. ¡La liamos!. Y aquí es donde ha entrado PhotoRec. He podido recuperar gran parte de los vídeos, que es lo que me interesaba. El resto ni lo he buscado. Y han aparecido fotos que habían estado en ese disco pero había borrado, MP3s, de todo. Es curioso cuando recuperas datos, las cosas que pueden llegar a aparecer.

Al final la cosa no ha sido tan grave, pero necesito urgentemente un plan de backup (y probar los restores). A ver qué puedo organizar con lo que tengo (y, a lo mejor, ampliando un poco mi Drobo) y cuando lo tenga lo pondré por aquí.

Recuperar una tarjeta de memoria irrecuperable

Una amiga me trajo una tarjeta, en teoría llena de fotos, pero que no era capaz de ver con la cámara. Le decía que debía formatearla. Un poco radical ¿no?. Así que decidí ayudarle: igual con mi PSP, o conectando la tarjeta al lector de MS Pro Duo de mi Dell Vostro 1510 la cosa mejorase. Pues no. No hay forma. No se puede leer la tarjeta. Varias máquinas, varios S.O. y misma respuesta.

¿Solución? Hacer lo que nos pide. Formatear la tarjeta y luego usar PhotoRec. A fin de cuentas, la mayoría de tarjetas de memoria vienen con formato FAT32, así que formatearlas no es más que escribir algunos bloques del inicio del disco. El resto se queda como está. De esta forma, PhotoRec (esta vez corriendo en Windows 7 Ultimate) recuperó un 1GB de fotos sin ningún problema.

¿Y tu experiencia? ¿Cómo te ha ido recuperando datos? ¿Qué herramientas has usado? ¡Compártelo en los comentarios!

j j j

Aviso apocalíptico de Virus

Los mails avisando de virus son un clásico en el mundo de la Informática. A los que llevamos algo más de tiempo en ésto (bueno, pensando en Alan Turing, Brian kernighan o Bill Gates tampoco llevo tanto tiempo) ya nos suenan estos correos un poco como los clásicos de los 80. Con aroma a HOAX y todo.

Os lo pego porque me ha resultado un poco tierno el tono apocalíptico utilizado:

GRAVE VIRUS NUEVO

POR FAVOR, HAGA CIRCULAR ESTE E-MAIL ENTRE SUS AMIGOS, FAMILIA, CONTACTOS

Estén atentos en los próximos días

No abran ningún mensaje con un archivo llamado COPA DEL MUNDO 2006, independientemente de quien se lo envie.

Este virus vendrá de una persona conocida que tenga su nombre en su lista de correos, por ello debe enviar este mensaje a todos sus contactos.

Es preferible recibir este mensaje 25 veces que recibir el virus al abrirlo.

Si recibe un mensaje llamado COPA DEL MUNDO 2006 ¡no lo abra y apague su ordenador inmediatamente!

Se trata del peor virus conocido y se ha anunciado su existencia en la CNN.

Microsoft lo ha clasificado como el más destructivo que jamás haya existido.

El virus fue descubierto hace poco por McKafee y no existe anti-virus,

El virus destruye el Sector Cero del Disco Duro, en el que se guardan las informaciones vitales para su funcionamiento.

ENVÍA COPIA DE ESTE E-MAIL A TODOS TUS AMIGOS Y CONTACTOS. AL HACERLO CIRCULAR ESTÁS AYUDANDO A TODOS.

En mi opinión, es un HOAX clásico. Veamos la forma de detectar un HOAX:

1. Se nos trata de asustar, poniéndonos en tensión, para responder al correo: «estén atentos en los próximos días», «no abra ningún mensaje…independientemente de quien se lo envíe»

2. Se promociona su reenvío (como todo buen HOAX): «Es preferible recibir este mensaje 25 veces», «HAGA CIRCULAR ESTE E-MAIL», «ENVÍA COPIA DE ESTE E-MAIL»

3. Cita fuentes «de confianza» pero no los enlaces a sitios donde podamos verificarlo: «CNN», «Microsoft», «McAfee» (por cierto, la empresa de antivirus se llama así)

4. Nos lo pinta como algo nuevo e increíblemente destructivo: «borra el Sector Cero» (todo en mayúsculas, claro, que así asusta más). El sector cero son unos humildes 512 bytes que guardan información sobre el cargador del S.O. Si se borra, a los datos no les pasa nada. El problema es que el ordenador no arrancará, pero con volver a restaurar el S.O. (si es Windows), reinstalar GRUB (si es Linux) o bien arrancar desde un CD, llave USB o diskette, listo.

No creo que se trate del «peor virus conocido» ni que sea algo nuevo (¿alguien se acuerda del Viernes 13?).

5. Nos calma frente a su auténtica acción: hacernos perder el tiempo. Recibir esto 25 veces es un petardo absoluto.

6. Aporta soluciones de alto calado técnico: «¡no lo abra y apague su ordenador inmediatamente!», «no existe anti-virus»

Releyendo estas líneas empiezo a pensar que estos HOAX los escriben los fabricantes de Antivirus. Por cierto, como no es obligatorio saber lo que es un HOAX (y estoy abusando deliberadamente de la palabrita) os pego su definición más abajo.

j j j

Escaneo de puertos mediante web

Siempre es interesante conocer qué puertos tenemos abiertos al estar conectados a Internet. Cuando estamos configurando nuestro firewall, las herramientas para ir depurando su funcionamiento son básicamente el escaner de puertos nmap y el log del sistema (que podemos monitorizar continuamente con

tail -f /var/log/syslog

Pero la duda siempre puede persistir: el escaneo de puertos realizado desde dentro de nuestra red ¿es efectivo?. Lo ideal sería escanear desde fuera. Para ello, podemos dejar la máquina encendida y acercarnos a casa de un amigo, a un cibercafé, hacer ssh a una máquina que tengamos disponible en Internet o bien usar el servicio de escaneo de puertos disponible en www.derkeiler.com/Service/PortScan/

Aviso para los hackers de medio-pelo que estén pensando en usar este servicio para escanear la web de su empresa o de sus amigos: únicamente funciona con nuestra dirección IP pública. Para impedir usar el escaner desde un programa, se nos solicita usuario y contraseña (ambos son scan). Y además, entre cada escaneo hay que esperar 10 min. En cualquier caso, es una excelente herramienta.

j j j

Vulnerabilidades en Skype

Buenas. Leyendo en www.hispasec.com/unaaldia/2558 me encuentro con que Skype tiene una vulnerabilidad y tal y cual.

Afecta a TODAS las versiones, Linux incluido. Luego a mí me afecta. Antes de que los anti-linuxeros entre la audiencia comiencen a frotarse las manos, que se sepa que si ese Skype ejecuta código en mi máquina, como no borre /home/dfreniche …

Así que ya sabeis:

a) Actualizad la versión

b) No acepteis tarjetas de visita de gente que no os suene. Se aprovechan de eso para colar código.

Y otra cosa. El colmo del SPAM. El otro día me mandaron un mensaje instantáneo por Skype para venderme páginas web a 100 Eur. Tiene bemoles.

j j j