¿Cómo Recuperar Archivos Borrados?

VM-Noticias

Para la Comunidad algo Util ¿Cómo Recuperar Archivos Borrados?

En un Post Anterior les hable de cómo borrar archivos de tu Equipo, bueno pues por recomendación de @carloschicken de @889noticias de la Primera de Panorama, Ahora lo contrario, ¿cómo recuperar los archivos borrados en tu equipo?

Para tener un mejor entendimiento, creo necesario que hablemos un poco de cómo funciona y como es tu Disco Duro, Un disco duro o disco rígido HDD (en inglés Hard Disk Drive) es un dispositivo de almacenamiento de datos no volátil que emplea un sistema de grabación magnética para almacenar datos digitales (archivos).

Se compone de uno o más platos o discos rígidos, unidos por un mismo eje que gira a gran velocidad dentro de una caja metálica sellada. Sobre cada plato, y en cada una de sus caras, se sitúa un cabezal de lectura/escritura que flota sobre una delgada lámina de aire generada por la rotación de los discos.

estructura de un HDD 1


estructura de un HDD 2El interior de un disco duro; se aprecia la superficie de un plato y el cabezal de lectura/escritura retraído. Dentro de un disco duro hay uno o varios discos (de aluminio o cristal) concéntricos llamados platos (normalmente entre 2 y 4, aunque pueden ser hasta 6 ó 7 según el modelo), y que giran todos a la vez sobre el mismo eje, al que están unidos.

Cilindro, Cabeza y Sector
Pista (A), Sector (B), Sector de una pista (C), Clúster (D) Hay varios conceptos para referirse a zonas del disco:

CILINDRO-CABEZA-SECTORPlato: cada uno de los discos que hay dentro del disco duro.
Cara: cada uno de los dos lados de un plato.
Cabeza: número de cabezales.

cabezas de un HDD

Pistas: una circunferencia dentro de una cara; la pista 0 está en el borde exterior.
Cilindro: conjunto de varias pistas; son todas las circunferencias que están alineadas verticalmente (una de cada cara).
Sector: cada una de las divisiones de una pista. El tamaño del sector no es fijo, siendo el estándar actual 512 bytes.

Tipos de conexión

Si hablamos de disco duro podemos citar los distintos tipos de conexión que poseen los mismos con la placa base, es decir pueden ser SATA, IDE, SCSI o SAS:

IDE: Integrated Device Electronics (“Dispositivo con electrónica integrada”) o ATA (Advanced Technology Attachment), controla los dispositivos de almacenamiento masivo de datos, como los discos duros y ATAPI (Advanced Technology Attachment Packet Interface) Hasta aproximadamente el 2004, el estándar principal por su versatilidad y asequibilidad. Son planos, anchos y alargados.

SCSI: Son interfaces preparadas para discos duros de gran capacidad de almacenamiento y velocidad de rotación. Se presentan bajo tres especificaciones: SCSI Estándar (Standard SCSI), SCSI Rápido (Fast SCSI) y SCSI Ancho-Rápido (Fast-Wide SCSI). Su tiempo medio de acceso puede llegar a 7 milisegundos y su velocidad de transmisión secuencial de información puede alcanzar teóricamente los 5 Mbps en los discos SCSI Estándares, los 10 Mbps en los discos SCSI Rápidos y los 20 Mbps en los discos SCSI Anchos-Rápidos (SCSI-2). Un controlador SCSI puede manejar hasta 7 discos duros SCSI (o 7 periféricos SCSI) con conexión tipo margarita (daisy-chain). A diferencia de los discos IDE, pueden trabajar asincrónicamente con relación al microprocesador, lo que posibilita una mayor velocidad de transferencia.

SATA (Serial ATA): El más novedoso de los estándares de conexión, utiliza un bus serie para la transmisión de datos. Notablemente más rápido y eficiente que IDE. Existen tres versiones, SATA 1 con velocidad de transferencia de hasta 150 MB/s (hoy día descatalogado), SATA 2 de hasta 300 MB/s, el más extendido en la actualidad; y por último SATA 3 de hasta 600 MB/s el cual se está empezando a hacer hueco en el mercado. Físicamente es mucho más pequeño y cómodo que los IDE, además de permitir conexión en caliente.

SAS (Serial Attached SCSI): Interfaz de transferencia de datos en serie, sucesor del SCSI paralelo, aunque sigue utilizando comandos SCSI para interaccionar con los dispositivos SAS. Aumenta la velocidad y permite la conexión y desconexión en caliente. Una de las principales características es que aumenta la velocidad de transferencia al aumentar el número de dispositivos conectados, es decir, puede gestionar una tasa de transferencia constante para cada dispositivo conectado, además de terminar con la limitación de 16 dispositivos existente en SCSI, es por ello que se vaticina que la tecnología SAS irá reemplazando a su predecesora SCSI. Además, el conector es el mismo que en la interfaz SATA y permite utilizar estos discos duros, para aplicaciones con menos necesidad de velocidad, ahorrando costes. Por lo tanto, las unidades SATA pueden ser utilizadas por controladoras SAS pero no a la inversa, una controladora SATA no reconoce discos SAS.

La estructura de un disco duro

Estructura de un HDD

Cada vez que leemos un dato del disco duro se le da una dirección lógica que traduce en una dirección física, que no es más que el cilindro, pista y sector a dónde tiene que ir a buscar el dato, como si fuera la dirección de una vivienda donde necesitamos la calle, el número de casa para encontrarla.

¿Qué ocurre cuando se lee un dato?

Para cada plato hay un cabezal arriba y abajo. A partir de la dirección física del dato (cilindro, pista y sector), se mueven todos los cabezales a la vez al cilindro correspondiente. Esta es la operación temporalmente más costosa de realizar y se llama tiempo de búsqueda.
A continuación, el disco tiene que esperar a que el sector pase por debajo del cabezal que está encima de la pista que se tiene que leer. Éste recibe el nombre de tiempo de latencia y es muchísimo menor que el tiempo de búsqueda, ya que el disco está girando constantemente a gran velocidad (entre 5.000 y 10.000 rpm).
Este tiempo de espera es el llamado tiempo de transferencia que es muchísimo menor que el tiempo de latencia. Simplemente consiste en que el campo magnético producido por el disco, al pasar por debajo del cabezal, genere una corriente en el.

¿Qué ocurre cuando tenemos una sola partición para todo el disco?

Pues que el archivo puede estar fragmentado a lo largo de todas las pistas del disco, aumentando considerablemente el tiempo de búsqueda a la hora de leer el archivo completo. Por otro lado, si particionamos el disco, el archivo sólo se puede fragmentar dentro de la partición en la que se encuentre, ya que no se podrá almacenar más allá del cilindro donde termina su partición. De esta manera el cabezal no se tendrá que desplazar a lo largo de todo el disco para leer el archivo completo, reduciéndose así en gran medida el tiempo que se tarda en leer la totalidad del archivo. Por esta razón es muy recomendable crear particiones.

¿Cuál es el número ideal de particiones?

Depende del tipo de sistema operativo a utilizar y la capacidad del disco aunque como mínimo debería de haber 3, una para el archivo de paginación de memoria virtual, otra para el sistema operativo y los programas y, finalmente, otra para nuestros archivos personales.

PARTICIONES DE UN HDD

El formato o sistema de archivos de las particiones ( ej. NTFS) no debe ser confundido con el tipo de partición (ej. partición primaria), ya que en realidad no tienen directamente mucho que ver. Independientemente del sistema de archivos de una partición (FAT, ext3, NTFS, etc.), existen 3 tipos diferentes de particiones:

PARTICIONES DE UN HDD

Partición primaria: Son las divisiones crudas o primarias del disco, solo puede haber 4 de éstas o 3 primarias y una extendida. Depende de una tabla de particiones. Un disco físico completamente formateado consiste, en realidad, de una partición primaria que ocupa todo el espacio del disco y posee un sistema de archivos. A este tipo de particiones, prácticamente cualquier sistema operativo puede detectarlas y asignarles una unidad, siempre y cuando el sistema operativo reconozca su formato (sistema de archivos).

Partición extendida: También conocida como partición secundaria es otro tipo de partición que actúa como una partición primaria; sirve para contener infinidad de unidades lógicas en su interior. Fue ideada para romper la limitación de 4 particiones primarias en un solo disco físico. Solo puede existir una partición de este tipo por disco, y solo sirve para contener particiones lógicas. Por lo tanto, es el único tipo de partición que no soporta un sistema de archivos directamente.

Partición lógica: Ocupa una porción de la partición extendida o la totalidad de la misma, la cual se ha formateado con un tipo específico de sistema de archivos (FAT32, NTFS, ext2,…) y se le ha asignado una unidad, así el sistema operativo reconoce las particiones lógicas o su sistema de archivos. Puede haber un máximo de 23 particiones lógicas en una partición extendida. Linux impone un máximo de 15, incluyendo las 4 primarias, en discos SCSI y en discos IDE 8963.

¿Sabes que es el Master Boot Sector?

Un master boot record (MBR) es el primer sector (“sector cero”) de un dispositivo de almacenamiento de datos, como un disco duro. A veces, se emplea para el arranque del sistema operativo con bootstrap, otras veces es usado para almacenar una tabla de particiones y, en ocasiones, se usa sólo para identificar un dispositivo de disco individual, aunque en algunas máquinas esto último no se usa y es ignorado.

Master Boot Sector

 

¿Pero, Como recupero mis archivos o información borrada?

Los archivos que borramos en un equipo ya sea por error ó de forma intencional, para la mayoría es ya una grave pérdida y para otros una gran frustración, pero no hay problema y solo se tienen que seguir las siguientes instrucciones al pie de la letra:
1. Conserva la Calma y No Desesperes.

2. No Le muevas mas, no guardes información ni modifiques archivos.

3. Trata de buscar tu archivo en la “Papelera de Reciclaje” si es que utilizas Windows o si es Linux en /dev/sda2.

4. Si los encuentras recupéralos y cópialos de nuevo en su lugar origen.

5. En caso de que no los veas, sigue conservando la calma.

6. Trata de buscar la siguiente herramienta en Internet “” o bájala desde este LINK, descárgala en un USB para que la puedas ejecutar desde ahí y no afectes los archivos a recuperar (es una versión viejita pero muy funcional).

7. Esta herramienta también te permite recuperar de USB y discos duros externos.

8. Estas son las instrucciones para el uso de la herramienta:

a. Este procedimiento es tardado, dependiendo del tamaño del disco duro y/o Partición que se desee buscar el archivo, una vez que inicies te recomiendo no detenerlo, de preferencia déjalo trabajando toda la noche y al día siguiente veras todos los archivos que encontró y que podrán ser recuperados.

b. El tiempo de Recuperación es proporcional al número de archivos a recuperar y también toma su tiempo, de preferencia deberás de guardar los archivos a recuperar en un disco externo o USB con capacidad de almacenar lo que recuperaras.

c. Paso Uno – Rescatar el índice de archivos borrados del disco duro.

i. Ejecutar el archivo desde el USB, este mismo será donde se guardaran el o los archivos a recuperar.
ii. Seleccionar el primer icono de “Select Physical Disk Drive”
iii. Seleccionar el “HardDisk1” y dar clic en el botón de “Ok”
iv. Aquí te preguntará si deseas ver la tabla de particiones en casi de que las tengas ó buscar en todo el Disco, yo les recomiendo la segunda, ya verán que les mostrará cosas que ni se imaginan y presionan el botón de “Ok”
v. Dejan la selección en “Standard Search” y presionan el botón de “Ok”
vi. Hecho lo anterior, lo que hace el programa es realizar una búsqueda en el Disco Duro y encontrar un índice para iniciar la recuperación, en caso de que no lo encuentre les pedirá que den clic en “YES” para realizar una búsqueda exhaustiva, presionen el botón de “Ok”
vii. Hecho lo anterior, les manda una ventana de aviso de que la operación tardara dependiendo del tamaño del dispositivo y que se llevará una hora o más, de da clic en el botón de “Ok”
viii. Aquí es donde dejaremos que trabaje el programa, esto tomará un largo rato, así que deben de ser muy pacientes y dejarlo trabajar hasta que termine, es por ello que les recomiendo hacerlo cuando vayan a dormir o tengan que salir un largo tiempo para que den tiempo a que la herramienta haga su trabajo.
ix. Una vez, que ha pasado el tiempo que tenga que pasar, el programa presentará una ventana donde ha encontrado el “LogicalDrive” donde se alojan sus archivos borrados, lo seleccionamos y presionamos el botón que dice “Scan as NTFS”.
x. Hecho esto, nos avisa nuevamente del tiempo que se tomará en encontrar la información, de presiona el botón de “Ok”
xi. Con esto da inicio a la recuperación del índice de archivos borrados y nos dirá si es posible recuperarlo o no, esto dependerá mucho de que no se haya escrito nada ni hecho cambios a los archivos. Para que se den una idea aproximada, para 1GB se tardo alrededor de 40 min.

d. Paso Dos – Selección de los archivos a recuperar.

i. Una vez terminado aparecerán los archivos y los que se tienen que recuperar se van dando un clic en la casilla.
ii. Ya que se termino de seleccionar los archivos borrados a recuperar se da clic en el botón de “Recover Selected File”.

e. Paso Tres – Recuperación de los archivos seleccionados borrados.

i. Hecho esto, aparecerá una ventana de advertencia donde dice que no se deben de guardar estos archivos en el mismo disco de donde se están extrayendo los archivos borrados, se da clic en el botón “Ok”.
ii. Seleccionamos el USB para guardar la información y damos clic en el botón “Ok”
iii. Listo, ahora en tu USB tendrás una carpeta o directorio llamado #Root, en el encontraras los archivos recuperados

f. Esto también se puede hacer en memorias SD, MS, Pro, MMC, XD, USB y Discos Duros Externos de cualquier tamaño.

9. También existen estas herramientas para recuperar información.

a. Recover My Files (Recomendada)
b. PC INSPECTOR™ File Recovery
c. Handy Recovery™

10. Si deseas alguna ayuda para la recuperación de tu información puedes contactarme aquí, quecon gusto te apoyare o asesorare en la recuperación de tu información.

Espero que este Post haya sido de gran utilidad para ti.

No olvides dejar tus comentarios.

Que tengan un excelente inicio de Semana.

Reciban un cordial saludo de Victor Miranda.

 

Tags: , , , , , , , , , , ,

Professional Ethical Hacker, Pentester & Forensics Investigator MPCS, CEH v8, CSSP, CICP-CICAP HTCIA Member & ISECOM Member Twitter: @victormirandamx

4 Comments Leave yours

  1. ezequiel #

    hola esta bueno el post pero cuando lo quiero ejecuta al programa stelar phoenix me sale la ventana del progrmaa y desaparece y los demas piden una licencia
    conoces algun otro que recupere archivos despues de un formateo please porque elegi mal la particion
    a formatear y tenia todos los apuntes de estudio

    • Hay herramientas en live CD que te pueden ayudar o crear un live CD con el Stellar Phoenix y correrlo desde ahí, Saludos.

  2. Karla Ivon #

    Hola con el pc inspector me aparecen puros cluster y no los puedo abrir, que puedo hacer

Deja un comentario





October 2019
M T W T F S S
« Oct    
 123456
78910111213
14151617181920
21222324252627
28293031  
wordpress visitors