En esta segunda parte, les traigo algo más de información sobre informática forense. Hace unos días necesitaba recuperar unos ficheros .cap que borré porque pensé que no me serían útiles en otro momento. Horas después me di cuenta de la catástrofe que había cometido. Mantuve la calma, busqué en internet información al respecto y, usando una memoria extraíble pude cumplir mi objetivo. Si piensan el por qué de no haber utilizado foremost, es principalmente por su método de operar. Foremost permite recuperar archivos con determinadas extensiones: .txt, .doc, .jpeg, etc.

$su
#photorec

3) Nos aparece una pantalla gris. Por si no lo esperaban, este programa no posee de interfaz gráfica. Su uso es a través de la consola. En una primera pantalla nos indica en que disco duro están nuestros archivos a recuperar. Cuando indico partición puedo referirme perfectamente a un disco duro extraíble, o un reproductor mp3,no hay ningún problema.



Si les sale alguna ventana hablando de sectores ocultos, aceptar. No requiere una mayor atención:




Ahora deberemos escoger el tipo de partición de nuestro disco duro, o en caso de que no esté particionada, escoger la opción correspondiente (NONE):



Tras pulsar Intel dado que en mi ordenador personal si que existen particiones me aparece una tabla con las mismas. Aparte tenemos la opción de "File Opt " entre otras:



Aquí es muy recomendable escoger únicamente los archivos que nos interesan, dado que disminuiremos notablemente el tiempo que durará el proceso. Para terminar, guardamos los cambios pulsando "b".




Volveremos a la pantalla anterior. Esta vez, ya modificadas las opciones, pulsamos en "search".


Escogemos el tipo de partición donde almacenar nuestros datos.




Marcamos que busque en todo el espacio disponible. Lo siento, no he descubierto la opción de que únicamente se centre en un determinado directorio =(



Y finalmente el directorio (basta desplazarse hasta el mismo y pulsar la letra 's'). No olvidéis que es altamente recomendable que no sea en la misma partición, pues sobreescribiréis ciertos datos. Recordar que en la carpeta /media o /mnt según la distribución encontraréis las otras particiones o unidades extraíbles.