Disco de prueba

TestDisk es una utilidad de recuperación de datos gratuita y de código abierto que ayuda a los usuarios a recuperar particiones perdidas o reparar sistemas de archivos dañados. ^[1] TestDisk puede recopilar información detallada sobre una unidad dañada, que luego puede enviarse a un técnico para su posterior análisis. TestDisk es compatible con DOS , Microsoft Windows (es decir , NT 4.0 , 2000 , XP , Server 2003 , Server 2008 , Vista , Windows 7 , Windows 8.1 , Windows 10 ), Linux , FreeBSD , NetBSD , OpenBSD , SunOS y MacOS . TestDisk maneja medios particionados y no particionados. ^[2] En particular, reconoce la tabla de particiones GUID (GPT), el mapa de particiones de Apple , las tablas de particiones de BIOS de PC/Intel, el segmento de Sun Solaris y el esquema de particiones fijo de Xbox . TestDisk utiliza una interfaz de usuario de línea de comandos . TestDisk puede recuperar archivos eliminados con una precisión del 97%. ^[3]

Características

TestDisk puede recuperar particiones eliminadas, reconstruir tablas de particiones o reescribir el registro de arranque maestro (MBR). ^{[4] [3]}

Recuperación de la partición

TestDisk recupera el tamaño LBA y la geometría CHS de los dispositivos de almacenamiento de datos conectados (es decir , discos duros , tarjetas de memoria , unidades flash USB e imágenes de discos virtuales ) del BIOS o del sistema operativo . La información de geometría es necesaria para una recuperación exitosa. TestDisk lee sectores en el dispositivo de almacenamiento para determinar si la tabla de particiones o el sistema de archivos requiere reparación (consulte la siguiente sección).

TestDisk puede reconocer los siguientes formatos de tablas de particiones: ^[2]

• Mapa de partición de Apple
• Tabla de particiones GUID
• humax
• Tabla de particiones PC/Intel (registro de arranque maestro)
• Rebanada de sol solaris
• Esquema de partición fija de Xbox
• Medios no particionados

TestDisk puede realizar comprobaciones más profundas para localizar particiones que se han eliminado de la tabla de particiones. ^[2] Sin embargo, depende del usuario revisar la lista de posibles particiones encontradas por TestDisk y seleccionar aquellas que desea recuperar.

Una vez ubicadas las particiones, TestDisk puede reconstruir la tabla de particiones y reescribir el MBR. ^[2]

Reparación del sistema de archivos

TestDisk puede lidiar con algunos daños específicos del sistema de archivos lógicos. ^[5]

Recuperación de archivo

Cuando se elimina un archivo, la lista de grupos de discos ocupados por el archivo se borra, marcando aquellos sectores disponibles para su uso por otros archivos creados o modificados posteriormente. TestDisk puede recuperar archivos eliminados, especialmente si el archivo no estaba fragmentado y los clústeres no se han reutilizado.

Hay dos mecanismos de recuperación de archivos en el paquete TestDisk: ^[2]

• TestDisk utiliza el conocimiento de la estructura del sistema de archivos para realizar la "recuperación".
• PhotoRec es un "grabador de archivos". No necesita ningún conocimiento del sistema de archivos, sino que busca patrones de formatos de archivos conocidos en la partición o imagen del disco. Funciona mejor en archivos no fragmentados y no puede recuperar el nombre del archivo.

Forense digital

TestDisk se puede utilizar en análisis forense digital para recuperar particiones que se eliminaron hace mucho tiempo. ^[3] Puede montar varios tipos de imágenes de disco, incluido el formato de archivo de testigo experto utilizado por EnCase . ^{[2] [6] TestDisk puede leer} las imágenes de disco binario , como las creadas con ddrescue , como si fueran dispositivos de almacenamiento. ^[7]

En las versiones de TestDisk anteriores a la versión 7, se puede utilizar un disco con formato incorrecto o su imagen para inyectar código malicioso en una aplicación TestDisk en ejecución en Cygwin . ^[7]

Soporte del sistema de archivos

La compatibilidad del sistema de archivos para TestDisk se muestra en la tabla:

Algunas funciones, como la edición de tablas de particiones y el "tallado" de PhotoRec, no dependen en absoluto del sistema de archivos.

1. Encuentre parámetros del sistema de archivos para reescribir un bloque de parámetros de BIOS válido (análogo a los "superbloques" en los sistemas de archivos Unix)
2. Restaurar el BPB usando su copia de seguridad (NTFS, FAT32, exFAT)
3. Utilice las dos copias del FAT para reescribir una versión coherente
4. Restaurar la tabla maestra de archivos (MFT) desde su copia de seguridad
5. Encuentre la ubicación del superbloque de respaldo para ayudar a fsck
6. RAID 1: duplicación, RAID 4: matriz seccionada con dispositivo de paridad, RAID 5: matriz seccionada con información de paridad distribuida y RAID 6: matriz seccionada con información de redundancia dual distribuida

Ver también

• Portal de software gratuito y de código abierto

• FotoRec
• Lista de software de recuperación de datos
• Lista de paquetes de software gratuitos y de código abierto

Referencias

1. Moggridge, J. (2017). "Seguridad de los datos de los pacientes durante el desmantelamiento de los sistemas de ultrasonido". Ultrasonido . Leeds, Inglaterra. 25 (1): 16-24. doi :10.1177/1742271X16688043. PMC  5308389 . PMID  28228821.
2. Grenier, Christophe (31 de mayo de 2021), Documentación de TestDisk, Seguridad CG(PDF)
3. kumar, Hany; saharaui, Ravi; Panda, Saroj Kumar (marzo de 2020). "Identificación de posibles artefactos forenses en aplicaciones de almacenamiento en la nube". 2020 Conferencia Internacional sobre Ciencias de la Computación, Ingeniería y Aplicaciones (ICCSEA) . págs. 1 a 5. doi :10.1109/ICCSEA49143.2020.9132869. ISBN 978-1-7281-5830-3. S2CID  220367251.
4. Debra Littlejohn Shinder, Michael Cross (2002). Escena del ciberdelito , página 328. Syngress. ISBN 978-1-931836-65-4 . 
5. Jack Wiles, Kevin Cardwell, Anthony Reyes (2007). El mejor libro sobre cibercrimen y ciencia forense digital , página 373. Syngress. ISBN 978-1-59749-228-7 . 
6. Altheide, C. y Carvey, H. (2011). Análisis de sistemas de archivos y discos. En Forense Digital con Herramientas de Código Abierto. Elsevier. https://booksite.elsevier.com/samplechapters/9781597495868/Chapter_3.pdf
7. Németh, ZL (2015). "Defensas y ataques binarios modernos en el entorno de Windows: lucha contra Microsoft EMET en siete rondas". 2015 IEEE 13º Simposio Internacional sobre Sistemas Inteligentes e Informática (SISY) . págs. 275–280. doi :10.1109/SISY.2015.7325394. ISBN 978-1-4673-9388-1. S2CID  18914754.

enlaces externos

• Wiki TestDisk
• Lista de artículos de noticias sobre TestDisk y PhotoRec
• Recuperación de datos con TestDisk, Falko Timme, HowtoForge
• Análisis forense digital utilizando Linux y herramientas de código abierto

Equipo de Test Disk:
Colaborador principal: Christophe Grenier. Ubicación: París, Francia. URL: cgsecurity.org. Inició el proyecto en 1998 y sigue siendo el principal desarrollador. También es responsable del empaquetado de TestDisk y PhotoRec para DOS, Windows, Linux (versión genérica), MacOS X y distribución Fedora.