Disco de prueba

Utilidad de recuperación de datos

TestDisk es una utilidad de recuperación de datos gratuita y de código abierto que ayuda a los usuarios a recuperar particiones perdidas o reparar sistemas de archivos dañados. ^[1] TestDisk puede recopilar información detallada sobre una unidad dañada, que luego se puede enviar a un técnico para un análisis más detallado. TestDisk es compatible con DOS , Microsoft Windows (es decir, NT 4.0 , 2000 , XP , Server 2003 , Server 2008 , Vista , Windows 7 , Windows 8.1 , Windows 10 ), Linux , FreeBSD , NetBSD , OpenBSD , SunOS y MacOS . TestDisk maneja medios particionados y no particionados. ^[2] En particular, reconoce la tabla de particiones GUID (GPT), el mapa de particiones de Apple , las tablas de particiones de BIOS de PC/Intel, el segmento Sun Solaris y el esquema de particionamiento fijo de Xbox . TestDisk utiliza una interfaz de usuario de línea de comandos . TestDisk puede recuperar archivos eliminados con un 97% de precisión. ^[3]

Características

TestDisk puede recuperar particiones eliminadas, reconstruir tablas de particiones o reescribir el registro de arranque maestro (MBR). ^{[4] [3]}

Recuperación de particiones

TestDisk recupera el tamaño de LBA y la geometría CHS de los dispositivos de almacenamiento de datos conectados (es decir , discos duros , tarjetas de memoria , unidades flash USB e imágenes de discos virtuales ) desde el BIOS o el sistema operativo . La información de geometría es necesaria para una recuperación exitosa. TestDisk lee sectores en el dispositivo de almacenamiento para determinar si la tabla de particiones o el sistema de archivos en él requieren reparación (consulte la siguiente sección).

TestDisk puede reconocer los siguientes formatos de tabla de particiones: ^[2]

• Mapa de particiones de Apple
• Tabla de particiones GUID
• Humamax
• Tabla de particiones de PC/Intel (registro de arranque maestro)
• Rebanada de Sun Solaris
• Esquema de particionamiento fijo de Xbox
• Medios no particionados

TestDisk puede realizar comprobaciones más profundas para localizar particiones que se han eliminado de la tabla de particiones. ^[2] Sin embargo, es responsabilidad del usuario revisar la lista de posibles particiones encontradas por TestDisk y seleccionar aquellas que desea recuperar.

Una vez ubicadas las particiones, TestDisk puede reconstruir la tabla de particiones y reescribir el MBR. ^[2]

Reparación del sistema de archivos

TestDisk puede solucionar algunos casos de corrupción específicos del sistema de archivos lógicos. ^[5]

Recuperación de archivos

Cuando se elimina un archivo, se borra la lista de clústeres de discos ocupados por el archivo, marcando aquellos sectores disponibles para que los utilicen otros archivos creados o modificados posteriormente. TestDisk puede recuperar archivos eliminados, especialmente si el archivo no se fragmentó y los clústeres no se reutilizaron.

Hay dos mecanismos de recuperación de archivos en el paquete TestDisk: ^[2]

• TestDisk utiliza adecuadamente el conocimiento de la estructura del sistema de archivos para realizar la "restauración".
• PhotoRec es un "tallador de archivos". No necesita ningún conocimiento del sistema de archivos, sino que busca patrones de formatos de archivos conocidos en la partición o imagen de disco. Funciona mejor con archivos no fragmentados y no puede recuperar el nombre del archivo.

Informática forense digital

TestDisk se puede utilizar en análisis forense digital para recuperar particiones que se eliminaron hace mucho tiempo. ^[3] Puede montar varios tipos de imágenes de disco, incluido el formato de archivo Expert Witness utilizado por EnCase . ^{[2] [6] TestDisk puede leer} imágenes de disco binarias , como las creadas con ddrescue , como si fueran dispositivos de almacenamiento. ^[7]

En versiones de TestDisk anteriores a la versión 7, un disco malformado o su imagen se pueden usar para inyectar código malicioso en una aplicación TestDisk que se ejecuta en Cygwin . ^[7]

Compatibilidad con sistemas de archivos

La compatibilidad del sistema de archivos con TestDisk se muestra en la tabla:

Algunas funciones, como la edición de la tabla de particiones y el "tallado" de PhotoRec, no dependen en absoluto del sistema de archivos.

1. Encuentra parámetros del sistema de archivos para reescribir un bloque de parámetros de BIOS válido (análogo a los "superbloques" en los sistemas de archivos Unix)
2. Restaurar el BPB usando su copia de seguridad (NTFS, FAT32, exFAT)
3. Utilice las dos copias del FAT para reescribir una versión coherente
4. Restaurar la tabla maestra de archivos (MFT) desde su copia de seguridad
5. Busque la ubicación del superbloque de respaldo para ayudar a fsck
6. RAID 1: duplicación, RAID 4: matriz en franjas con dispositivo de paridad, RAID 5: matriz en franjas con información de paridad distribuida y RAID 6: matriz en franjas con información de redundancia dual distribuida

Véase también

• Portal de software libre y de código abierto

• FotoRec
• Lista de software de recuperación de datos
• Lista de paquetes de software libre y de código abierto

Referencias

1. Moggridge, J. (2017). "Seguridad de los datos de los pacientes al desmantelar los sistemas de ultrasonidos". Ultrasonido . 25 (1). Leeds, Inglaterra: 16–24. doi :10.1177/1742271X16688043. PMC  5308389 . PMID  28228821.
2. Grenier, Christophe (31 de mayo de 2021), Documentación de TestDisk, CG Security(PDF)
3. kumar, Hany; Saharan, Ravi; Panda, Saroj Kumar (marzo de 2020). "Identificación de posibles artefactos forenses en aplicaciones de almacenamiento en la nube". Conferencia internacional sobre ciencias de la computación, ingeniería y aplicaciones (ICCSEA) de 2020. págs. 1–5. doi :10.1109/ICCSEA49143.2020.9132869. ISBN 978-1-7281-5830-3.S2CID220367251  .​
4. Debra Littlejohn Shinder, Michael Cross (2002). Escena del cibercrimen , página 328. Syngress. ISBN 978-1-931836-65-4 . 
5. Jack Wiles, Kevin Cardwell, Anthony Reyes (2007). El mejor libro sobre delitos informáticos y análisis forense digital , página 373. Syngress. ISBN 978-1-59749-228-7 . 
6. Altheide, C. y Carvey, H. (2011). Sistema de archivos y análisis de discos. En Informática forense digital con herramientas de código abierto. Elsevier. https://booksite.elsevier.com/samplechapters/9781597495868/Chapter_3.pdf
7. Németh, ZL (2015). "Ataques binarios modernos y defensas en el entorno de Windows: lucha contra Microsoft EMET en siete rondas". 2015 IEEE 13th International Symposium on Intelligent Systems and Informatics (SISY) . pp. 275–280. doi :10.1109/SISY.2015.7325394. ISBN 978-1-4673-9388-1. Número de identificación del sujeto  18914754.

Enlaces externos

• Wiki de TestDisk
• Lista de artículos de noticias sobre TestDisk y PhotoRec
• Recuperación de datos con TestDisk, Falko Timme, HowtoForge
• Análisis forense digital con Linux y herramientas de código abierto

Equipo de Test Disk:
Colaborador principal: Christophe Grenier. Ubicación: París, Francia. URL: cgsecurity.org. Comenzó el proyecto en 1998 y sigue siendo el desarrollador principal. También es responsable del empaquetado de TestDisk y PhotoRec para DOS, Windows, Linux (versión genérica), MacOS X y distribución Fedora.