La recuperación de datos es una función que permite restaurar archivos de la computadora que se han eliminado de un sistema de archivos mediante la eliminación de archivos . Los datos eliminados se pueden recuperar en muchos sistemas de archivos, pero no todos ofrecen una función de recuperación de datos. La recuperación de datos sin una función de recuperación de datos se denomina generalmente recuperación de datos , en lugar de recuperación de datos eliminados. La recuperación de datos eliminados puede ayudar a evitar que los usuarios pierdan datos accidentalmente o puede suponer un riesgo para la seguridad de la computadora , ya que los usuarios pueden no saber que los archivos eliminados siguen estando accesibles.
No todos los sistemas de archivos o sistemas operativos admiten la recuperación de archivos eliminados. La recuperación de archivos eliminados es posible en todos los sistemas de archivos FAT , con utilidades de recuperación de archivos eliminados proporcionadas desde MS-DOS 5.0 [1] [2] y DR DOS 6.0 en 1991. No es compatible con la mayoría de los sistemas de archivos UNIX modernos , aunque AdvFS es una excepción notable. El sistema de archivos ext2 tiene un programa complementario llamado e2undel [3] que permite la recuperación de archivos eliminados. El sistema de archivos ext3 similar no admite oficialmente la recuperación de archivos eliminados, pero se escribieron utilidades como ext4magic, [4] extundelete, [5] PhotoRec y ext3grep [6] para automatizar la recuperación de archivos eliminados en volúmenes ext3 . [7] La recuperación de archivos eliminados se propuso en ext4 , pero aún no se ha implementado. [8] Sin embargo, el 4 de diciembre de 2006 se publicó una función de papelera como parche. [9] La función de papelera utiliza atributos de recuperación en los sistemas de archivos ext2/3/4 y Reiser. [10]
Norton UNERASE fue un componente importante de Norton Utilities versión 1.0 en 1982.
Microsoft incluyó un programa UNDELETE similar en las versiones 5.0 a 6.22 de MS-DOS , pero aplicó el enfoque de la Papelera de reciclaje en sistemas operativos posteriores que usaban FAT.
DR DOS 6.0 y versiones posteriores también admiten la función UNDELETE, pero ofrecen opcionalmente protección adicional mediante la utilidad de instantáneas FAT DISKMAP y el componente residente de seguimiento de eliminación DELWATCH, que mantiene de forma activa las marcas de fecha y hora de los archivos eliminados y evita que se sobrescriba el contenido de los archivos eliminados a menos que se agote el espacio en disco. DELWATCH también admite la recuperación de archivos remotos en servidores de archivos. A partir de Novell DOS 7, el núcleo almacenará la primera letra de los archivos eliminados en las entradas de directorio para ayudar a las herramientas de recuperación a recuperar el nombre original.
PTS-DOS ofrece la misma característica, configurable mediante la directiva SAVENAME CONFIG.SYS .
La versión FreeDOS de UNDELETE fue desarrollada por Eric Auer y tiene licencia GPL . [ 11]
Los entornos gráficos de usuario suelen adoptar un enfoque diferente para la recuperación de datos eliminados, y en su lugar utilizan un "área de almacenamiento" para los archivos que se van a eliminar. Los archivos no deseados se mueven a esta área de almacenamiento y todos los archivos de esta área se eliminan periódicamente o cuando un usuario lo solicita. Este enfoque lo utiliza la papelera de los sistemas operativos Macintosh y la papelera de reciclaje de Microsoft Windows . Se trata de una continuación natural del enfoque adoptado por sistemas anteriores, como el grupo limbo utilizado por LocoScript . [12] Este enfoque no está sujeto al riesgo de que otros archivos que se escriban en el sistema de archivos interrumpan muy rápidamente un archivo eliminado; la eliminación permanente se producirá según un cronograma predecible o solo con intervención manual.
Otro método lo ofrecen programas como Norton GoBack (anteriormente Roxio GoBack ): se reserva una parte del espacio del disco duro para que las operaciones de modificación de archivos queden registradas de forma que puedan deshacerse más tarde. Este proceso suele ser mucho más seguro para ayudar a recuperar archivos eliminados que la operación de recuperación que se describe a continuación.
De manera similar, los sistemas de archivos que admiten "instantáneas" (como ZFS o btrfs ) se pueden usar para realizar instantáneas de todo el sistema de archivos a intervalos regulares (por ejemplo, cada hora), lo que permite la recuperación de archivos de una instantánea anterior.
La recuperación de datos no es infalible. En general, cuanto antes se intente recuperar datos eliminados, más probabilidades hay de que se realice con éxito. Esto se debe a que cuanto más se utiliza un sistema, más datos se escriben en la unidad y se asignan potencialmente a ese espacio eliminado. La fragmentación del archivo eliminado también puede reducir la probabilidad de recuperación, según el tipo de sistema de archivos (consulte a continuación). Un archivo fragmentado se encuentra disperso en diferentes partes del disco, en lugar de estar en un área contigua.
El funcionamiento de la recuperación de datos depende del sistema de archivos en el que se almacenó el archivo eliminado. Algunos sistemas de archivos, como HFS , no pueden proporcionar una función de recuperación de datos porque no se conserva información sobre el archivo eliminado (excepto mediante software adicional, que normalmente no está presente). Sin embargo, algunos sistemas de archivos no borran todos los rastros de un archivo eliminado, incluidos los sistemas de archivos FAT:
Cuando se "elimina" un archivo utilizando un sistema de archivos FAT , la entrada del directorio permanece casi sin cambios excepto por el primer carácter del nombre del archivo, preservando la mayor parte del nombre del archivo "eliminado", junto con su marca de tiempo, longitud del archivo y, lo más importante, su ubicación física en el disco. Sin embargo, la lista de clústeres de discos ocupados por el archivo se borrará de la Tabla de asignación de archivos , marcando aquellos sectores disponibles para su uso por otros archivos creados o modificados posteriormente. En el caso de FAT32, se borra adicionalmente el campo responsable de los 16 bits superiores del valor del clúster de inicio del archivo.
Cuando se intenta la operación de recuperación de archivos eliminados, se deben cumplir las siguientes condiciones para recuperar exitosamente el archivo:
Las posibilidades de recuperar archivos eliminados suelen ser mayores en volúmenes FAT12 y FAT16 que en FAT32 debido a los tamaños de clúster generalmente más grandes utilizados por los sistemas anteriores y debido a la pérdida de los 16 bits superiores de la dirección de clúster lógica para FAT32.
Si el programa de recuperación de archivos eliminados no puede detectar signos claros de que no se cumplen los requisitos anteriores, restaurará la entrada del directorio como en uso y marcará todos los clústeres consecutivos, comenzando con el que estaba registrado en la entrada del directorio anterior, como se usa en la Tabla de asignación de archivos . Luego, el usuario debe abrir el archivo recuperado y verificar que contiene los datos completos del archivo eliminado anteriormente.
Por lo tanto, la recuperación de archivos fragmentados (después del primer fragmento) normalmente no es posible mediante procesos automáticos, sino solo mediante el examen manual de cada bloque (no utilizado) del disco. Esto requiere un conocimiento detallado del sistema de archivos, así como del formato binario del tipo de archivo que se está recuperando, y por lo tanto solo lo realizan especialistas en recuperación o profesionales forenses.
NTFS almacena la información de los archivos como un conjunto de registros de tamaño fijo (normalmente, 1 KB) dentro de la denominada Tabla maestra de archivos (MFT). La información sobre el nombre de archivo y la asignación de archivos se encapsulan en estos registros, lo que proporciona información completa sobre cada archivo específico. Cuando el sistema elimina un archivo, la entrada de la Tabla maestra de archivos se libera para que se desvincule o se reutilice, pero sigue estando en el disco. Hasta que la entrada de la MFT se reutilice o sobrescriba, el archivo se puede recuperar fácilmente: el software de recuperación de datos puede encontrar la entrada de la MFT "perdida" y derivar de ella información completa sobre el archivo perdido.
Sin embargo, tenga en cuenta que, cuando la función SSD TRIM está habilitada, el contenido del archivo puede destruirse poco después de la eliminación para reutilizar las celdas de memoria SSD. Esto hace que la recuperación del contenido del archivo sea imposible (solo la información del nombre, la fecha y el tamaño del archivo permanecerá en el disco).
El borrado de datos es un término que se refiere a los métodos basados en software para evitar la recuperación de archivos.