Recuperación de Datos con Magic Rescue
Recuperación de Datos con Magic Rescue
Magic Rescue es una herramienta de recuperación de datos extremadamente potente disponible en Kali Linux. A diferencia de otros programas que buscan archivos borrados en la tabla de particiones, Magic Rescue escanea los bloques de datos directos del disco, buscando "firmas" o "números mágicos" de archivos (como los encabezados de un JPG o un PDF).
Es ideal para situaciones donde la tabla de archivos está dañada o el disco ha sido formateado.
1. Conceptos Básicos
Magic Rescue utiliza recetas (recipes). Una receta es un pequeño archivo que le dice al programa: "Busca esta secuencia específica de bytes que indica que aquí empieza un archivo PNG".
Ubicación de las recetas en Kali:
/usr/share/magicrescue/recipes/Modo de operación: Lee el dispositivo de origen (lectura simple) y extrae lo que encuentra a una carpeta de destino.
2. Cómo usarlo paso a paso
Para usarlo, primero debes identificar tu unidad de disco (por ejemplo, /dev/sdb1). Nunca guardes los archivos recuperados en la misma partición que estás escaneando.
Paso A: Crear un directorio para los archivos
mkdir ~/archivos_recuperados
Paso B: Ejecutar el escaneo
La sintaxis básica es:
magicrescue -r [receta] -d [destino] [dispositivo]
Si quieres buscar imágenes JPEG y archivos PDF, el comando sería:
sudo magicrescue -r jpeg-jfif -r pdf -d ~/archivos_recuperados /dev/sdb1
-r: Define la receta a usar (puedes usar varios-r).-d: Directorio donde se enviará lo rescatado./dev/sdb1: La partición dañada.
3. Herramientas complementarias (Magicsort)
Magic Rescue suele extraer miles de archivos, y muchos pueden estar corruptos o ser basura. Para organizar esto, se utiliza magicsort.
Después de recuperar los archivos, puedes ejecutar:
magicsort ~/archivos_recuperados
Esto clasificará los archivos por tipo y eliminará duplicados obvios, ahorrándote horas de revisión manual.
Consejos de "Hacker" Ético
Crea una imagen de disco: Es mejor trabajar sobre una copia que sobre el disco físico. Usa
ddodc3ddpara crear un archivo.img.Permisos: Asegúrate de ejecutarlo con
sudo, ya que necesitas acceso directo al hardware (bloques del disco).Falsos positivos: Prepárate para encontrar fragmentos de miniaturas, iconos de caché y archivos temporales.
Para listar las recetas de Magic Rescue en Kali Linux, simplemente debes mirar dentro del directorio donde el programa almacena sus definiciones de firmas. Cada archivo en esa carpeta representa un tipo de archivo que el software es capaz de identificar y extraer.
Aquí tienes los comandos y la lista de las más comunes:
Cómo ver la lista completa en tu terminal
Ejecuta este comando para ver todos los nombres disponibles:
ls /usr/share/magicrescue/recipes/
Si quieres una descripción más detallada de lo que hace cada receta (algunas tienen comentarios internos), puedes usar:
grep -r "Description" /usr/share/magicrescue/recipes/
Recetas más comunes y útiles
Aquí tienes una tabla con las recetas que probablemente más necesites durante una recuperación:
| Receta | Tipo de archivo que recupera |
jpeg-jfif | Fotos e imágenes estándar (JPG) |
pdf | Documentos de Adobe PDF |
zip | Archivos comprimidos (incluye archivos de Office modernos como .docx o .xlsx) |
png | Imágenes con transparencia |
mp3-id3v2 | Archivos de audio con etiquetas de metadatos |
avi / mpg | Formatos de video comunes |
gzip | Archivos comprimidos de Linux |
sqlite | Bases de datos (común en historiales de navegadores y apps móviles) |
¿Cómo usar todas a la vez?
Si no estás seguro de qué buscas y quieres intentar recuperar todo lo que Magic Rescue reconozca, puedes usar un "comodín" en el comando, aunque ten cuidado: esto generará una cantidad masiva de archivos.
sudo magicrescue -r /usr/share/magicrescue/recipes/* -d ~/recuperacion_total /dev/sdb1
Nota importante: Algunas recetas pueden entrar en conflicto o generar muchos falsos positivos. Siempre es más eficiente elegir solo 3 o 4 tipos de archivos específicos que realmente necesites.
Filtrar por tamaño es la mejor forma de evitar que tu carpeta de recuperación se llene de miles de iconos de 1 KB o fragmentos de caché que no sirven para nada.
Para hacer esto, Magic Rescue no tiene un parámetro directo de "tamaño mínimo" en su comando principal, pero se soluciona utilizando la herramienta dupemap (que viene en el mismo paquete) o un pequeño truco de limpieza post-recuperación.
Aquí tienes las dos mejores formas de hacerlo:
Método 1: El filtro de "Limpieza Inmediata" (Recomendado)
Una vez que Magic Rescue termine de extraer archivos, puedes borrar automáticamente todo lo que sea menor a un tamaño específico (por ejemplo, menor a 50 KB).
find ~/archivos_recuperados -type f -size -50k -delete
-type f: Busca solo archivos.-size -50k: Busca archivos de menos de 50 Kilobytes.-delete: Los borra al instante.
Método 2: Uso de dupemap para evitar basura
dupemap crea una base de datos de los archivos que ya tienes o de archivos "basura" conocidos para que Magic Rescue no los extraiga repetidamente.
Crea una base de datos de firmas:
Bashdupemap -d mi_archivo.db scan ~/archivos_recuperadosUsa esa base de datos al rescatar:
Esto evitará que se extraigan archivos que coincidan exactamente con lo que ya detectó anteriormente.
¿Cómo saber qué es basura y qué no?
Para ayudarte a decidir el tamaño del filtro, aquí tienes una referencia rápida de tamaños comunes:
| Tipo de Archivo | Tamaño mínimo sugerido | Por qué filtrar |
| Fotos (JPG) | 100k | Evitas miniaturas (thumbnails) y emoticonos. |
| Documentos (PDF) | 20k | Los PDF muy pequeños suelen estar corruptos o vacíos. |
| Video (MP4/AVI) | 1M | Cualquier video de menos de 1MB suele ser un fragmento inservible. |
Mi recomendación final
Si estás buscando fotos personales, usa un filtro de 100 KB. Las fotos reales de cámaras modernas suelen pesar entre 2 MB y 10 MB, así que borrar todo lo menor a 100 KB limpiará el 90% de la "basura" del sistema sin riesgo de perder tus recuerdos.
