RSS

Recuperación de datos

18 Mar

El proceso de restablecer la información contenida en dispositivos de almacenamiento secundarios dañados, defectuosos, corruptos, inaccesibles o que no se pueden acceder de forma normal

Técnicas de recuperación de datos

 

La recuperación de datos en caso de daños físicos de los medios de almacenamiento puede involucrar múltiples técnicas.

Algunos daños pueden ser reparados sustituyendo piezas o partes de un disco duro. Con sólo esto, se puede lograr que el disco sea utilizable, pero puede que haya aún más daños físicos y/o lógicos.

Un procedimiento especializado de lectura bit a bit es utilizado para recuperar cualquier bit legible de las superficies magnéticas de los discos duros.

Una vez se obtiene una imagen del disco, esta se guarda en un medio confiable, de este modo la imagen puede ser analizada de forma segura buscando daños lógicos y posiblemente permitiendo que gran parte del sistema de archivos original pueda ser reconstruido.

Recuperaciones físicos  (Reparación de hardware):

Es sustituir uno o varios circuitos impresos dañados y reemplazarlos con otros idénticos o compatibles. Existen técnicas de sustitución de componentes denominada “en vivo” (en algunos casos, para lo cual se lee y escribe dicho sistema desde la unidad dañada con varios discos en funcionamiento a la vez). Otros métodos se basan en sustituir los cabezales de lectura/escritura con piezas idénticas extraídas de otra unidad en buen estado. Otras técnicas son quitar los platos de un disco duro dañado e instalarlos en una unidad en buen estado, y usualmente una combinación de estos procedimientos.

Algunas empresas dedicadas a la recuperación de datos tienen procedimientos que son de naturaleza altamente técnica, estas técnicas no son recomendables para personal no cualificado por la dificultad que conllevan estos procedimientos, en los cuales el más mínimo error es motivo de pérdida definitiva de la información contenida en un disco duro haciendo irreversible e irrecuperable definitivamente la información que se pretendía recuperar.

Recuperaciones lógicos:

Datos sobrescritos – Cuando los datos han sido sobrescritos físicamente en un disco duro, se asume por lo general que los datos anteriores ya no se pueden recuperar. En 1996, el científico de computación Peter Gutmann, escribió un artículo en el que sugería que los datos sobrescritos podían ser recuperados por medio del uso de un microscopio de fuerza magnética. En 2001, presentó otro artículo sobre una tema similar. Posteriormente hubo una considerable cantidad de crítica, que trataba principalmente sobre la falta de ejemplos concretos de cantidades significativas de datos sobrescritos recuperados. Para protegerse contra este tipo de recuperación de datos. El y Colin Plumb diseñaron el Método Gutmann, el cual es usado en varios paquetes de software de borrado de discos.

Aunque la teoría de Gutmann pueda ser correcta, no existe evidencia práctica de que datos sobreescritos pueda ser recuperada. Por otra parte, hay buenas razones para creer que esto no sea posible.

Las unidades de estado sólido (SSD) sobrescriben datos de forma distinta a las unidades de disco duro (HDD), lo cual hace que al menos algunos de sus datos sean fácilmente recuperables. Muchos SSD usan memorias flash para almacenar datos en páginas y bloques, reverenciados por direcciones lógicas de bloque (LBA) las cuales son manejadas por la capa de traducción de flash (FTL). Cuando la FTL modifica un sector, éste escribe los datos nuevos en otra ubicación y actualiza el mapa para que los nuevos datos aparezcan en el LBA objetivo. Esto deja a los datos viejos en su lugar, y que puedan ser recuperables por un software de recuperación de datos

Particiones y sistemas de archivos corruptos, errores en medios:

En algunos casos, los datos en un disco duro pueden ser no leíbles debido a daños en la tabla de particiones y en el sistema de archivos o debido a errores (intermitentes) en el medio. En la mayoría de estos casos, al menos una porción de los datos originales pueden ser recuperados tras reparando la tabla de particiones o sistema de archivos dañado usando software especializado en recuperación de datos tal como Testdisk; software como dd rescue puede obtener imágenes de disco incluso con errores intermitentes, y cuando hay daños en la tabla de particiones o en el sistema de archivos. Este tipo de recuperación de datos puede ser realizado por usuarios finales experimentados, puesto que no requiere de ningún equipo físico especial. Sin embargo, casos más serios pueden todavía requerir de intervención experimentada.

Recuperación remota de datos:

La recuperación de datos “remota” u “online” es aún otro método para restaurar datos perdidos o borrados. Es lo mismo que realizar recuperaciones con software regular, excepto que este tipo de recuperación es realizada a través de la Internet sin poseer físicamente la unidad o computador. El técnico de recuperación, ubicado en alguna parte, obtiene acceso a un computador de un usuario y completa su labor de recuperación remotamente. En este escenario, el usuario no tiene que viajar o enviar el medio físico a lugar alguno.

Aunque la recuperación remota de datos es útil y conveniente en muchos casos, todavía conserva algunos puntos que la hacen menos popular que los métodos clásicos de recuperación de datos. Primero que todo, requiere de una conexión de Internet estable de banda ancha para que pueda ser realizada correctamente, lo cual es carente en muchos países del tercer mundo. Por otra parte, no puede ser realizada en caso de daño físico a un medio, y para tales casos, tiene que realizarse la tradicional recuperación en el laboratorio.

 

Herramientas de recuperación de datos:

Software de recuperación de datos

Existe varias programa de pago y/o gratis para recuperación de datos. ,

Un ej: PhotoRec que es gratis y se puede descargar aquí 

Es un programa (software) de recuperación de datos de archivos diseñado para recuperar archivos perdidos incluyendo vídeos, documentos y archivos de los discos duros, CD, y las imágenes perdió (de ahí el nombre de Photo Recovery) de memoria de la cámara digital. PhotoRec ignora el sistema de archivos y se va después de los datos de base, por lo que seguirá funcionando incluso si el sistema de archivos de los medios de comunicación ha sido severamente dañada o re-formateado.

PhotoRec  – Es un aplicaciones multi-plataforma, se distribuye bajo Licencia Pública General (GPL) de código abierto, es gratis. PhotoRec es una harramienta que acompaña a TestDisk, un aplicación para recuperar particiones perdidas en una amplia variedad de sistemas de archivos y hacer que los discos no arranque, booteables nuevamente

Como funciona PhotoRec

Los sistemas de archivo FAT, NTFS, ext2/ext3/ext4 guardan los archivos en bloques de datos (también llamados clusters en Windows). El tamaño de cluster ó bloque es constante luego de haber sido definido al formatear el sistema de archivos. En general, la mayoría de los sistemas operativos intentan guardar los datos de forma contigua para minimizar el nivel de fragmentación. El tiempo de búsqueda de los discos mecánicos es bastante significante para escritura y lectura de datos, desde y hacia el disco rígido, por eso  que es importante mantener el nivel de fragmentación en un nivel mínimo.

Cuando un archivo es eliminado, la meta información sobre este archivo (Nombre, fecha/hora, tamaño, ubicación del primer bloque ó cluster..etc.) se pierden; por ej:, en un sistema ext2/ext3, los nombres de los archivos eliminados siguen presentes, pero la ubicación del primer bloque de datos es eliminada. Esto significa que los datos siguen estando presentes, pero solamente hasta que sean sobreescritos en parte o por completo por un nuevo archivo.

image005

 

Para recuperar estos archivos ‘perdidos’, PhotoRec primero intenta encontrar el tamaño del bloque (ó cluster). Si el sistema de archivos no está dañado, este valor puede ser leído del superblock (ext2/ext3/ext4) ó del Volume Boot Record (FAT, NTFS). Sino, PhotoRec lee el volumen, sector por sector, buscando los primeros diez archivos, de los cuales calcula el tamaño de bloque/cluster de acuerdo a sus ubicaciones. Una vez que el tamaño de bloque es conocido, PhotoRec lee el volumen bloque a bloque (ó cluster a cluster). Cada bloque es revisado contra una base de datos de firmas; la cual viene con el programa y ha estado creciendo en cuanto a tipos de archivos que se pueden recuperar desde que la primera versión de PhotoRec salió.

image006

Por ejemplo, PhotoRec identifica un archivo JPEG cuando el bloque comienza con:

0xff,0xd8,0xff,0xe0 , 0xff,0xd8,0xff,0xe1  o  0xff,0xd8,0xff,0xfe

Si PhotoRec ya ha comenzado a recuperar un archivo, detiene la recuperación, si es posible revisa la consistencia del archivo y comienza a grabar el nuevo archivo con la extensión determinada de la firma que encontró.

image007

 

Si los datos no están fragmentados, el archivo recuperado debería o bien idéntico ó posiblemente más grande que el original. En algunos casos, PhotoRec puede inferir el tamaño original, basándose en la cabecera del archivo, así, el archivo recuperado es truncado al tamaño correcto. Sin embargo, si el archivo recuperado termina siendo más chico que la especificación de su cabecera, es descartado. Algunos archivos, como los *MP3, son corrientes de datos (Data Streams), en este caso, PhotoRec revisa los datos recuperados, y se detiene cuando termina la corriente.

Cuando un archivo es correctamente recuperado, PhotoRec revisa los bloques de datos anteriores para ver si encuentra una firma de archivo pero el archivo no pudo ser correctamente recuperado (por ejemplo, el archivo era demasiado pequeño), y re-intenta. De esta forma, algunos archivos fragmentados pueden ser recuperados exitosa-mente.


¿Como recuperar datos de un pendrive (usb) formateado?

Anuncios
 

Etiquetas:

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

 
A %d blogueros les gusta esto: