cyb3rpunk

Recuperar archivos eliminados con “rm” es posible, a veces.

Posted in Comandos, Consola, Tips by ramonovski on abril 20, 2011

Eliminar un archivo con un típico “rm archivo” en los inicios de una persona en entornos Unix es más común que hacer un ls en la terminal de windows. Cuando sea el caso y eliminemos sin querer un archivo con el comando rm es posible recuperarlo siempre y cuando exista un proceso en ejecución que involucre al archivo eliminado.

 
Un caso hipotético.

Lanzo el navegador Opera mediante un script llamado oopera.sh, el navegador sigue abierto y por accidente he eliminado el archivo:

rm Scripts/oopera.sh

 
Lo primero que hay que hacer es listar los procesos del sistema y comprobar que el archivo que hemos eliminado se encuentre ahí:

ps -A | grep -i opera
PID TTY TIME CMD
4092 ? 00:00:00 oopera.sh
4093 ? 00:11:35 opera
4219 ? 00:00:00 operapluginclean
12369 ? 00:00:02 operapluginwrap

 

En el directorio /proc están listados y organizados los procesos del Sistema
El subdirectorio /proc/NumeroDelPID/fd/ contiene (entre otras cosas) un enlace simbólico de cada archivo, proceso, socket, directorio activo en el Sistema.
fd = file descriptor

 

Teniendo el PID (Identificador del Proceso) del archivo se comprueba el estado del archivo y al mismo tiempo el nombre del enlace simbólico:

ls -l /proc/4092/fd/* | grep oopera.sh
lr-x------ 1 ramonoid ramonoid 64 Apr 20 13:57 /proc/4092/fd/255 -> /home/ramonoid/Scripts/oopera.sh (deleted)

Estado: (deleted)
Enlace: 255

 
Y ya localizado el enlace, lo único que queda es hacer la restauración con un simple cp:

cp /proc/4092/fd/255 $HOME/Scripts/oopera.sh

 
:wq

Anuncios
Tagged with: , , ,