La recuperación es una función para restaurar archivos de computadora que han sido eliminados de un sistema de archivos mediante la eliminación de archivos . Los datos eliminados se pueden recuperar en muchos sistemas de archivos, pero no todos los sistemas de archivos ofrecen una función de recuperación. La recuperación de datos sin una función de recuperación generalmente se denomina recuperación de datos , en lugar de recuperación. La recuperación puede ayudar a evitar que los usuarios pierdan datos accidentalmente o puede suponer un riesgo para la seguridad informática , ya que es posible que los usuarios no sepan que los archivos eliminados siguen siendo accesibles.
No todos los sistemas de archivos o sistemas operativos admiten la recuperación. La recuperación es posible en todos los sistemas de archivos FAT , con utilidades de recuperación proporcionadas desde MS-DOS 5.0 [1] [2] y DR DOS 6.0 en 1991. No es compatible con la mayoría de los sistemas de archivos UNIX modernos , aunque AdvFS es una excepción notable. El sistema de archivos ext2 tiene un programa complementario llamado e2undel [3] que permite recuperar archivos. El sistema de archivos ext3 similar no admite oficialmente la recuperación, pero se escribieron utilidades como ext4magic, [4] extundelete, [5] PhotoRec y ext3grep [6] para automatizar la recuperación en volúmenes ext3 . [7] Se propuso recuperar la eliminación en ext4 , pero aún no se ha implementado. [8] Sin embargo, se publicó una función de papelera como parche el 4 de diciembre de 2006. [9] La función de papelera utiliza atributos de recuperación en los sistemas de archivos ext2/3/4 y Reiser. [10]
Norton UNERASE fue un componente importante en la versión 1.0 de Norton Utilities en 1982.
Microsoft incluyó un programa UNDELETE similar en las versiones 5.0 a 6.22 de MS-DOS , pero aplicó el enfoque de la Papelera de reciclaje en sistemas operativos posteriores que usan FAT.
DR DOS 6.0 y versiones posteriores también admiten UNDELETE, pero opcionalmente ofrecen protección adicional utilizando la utilidad de instantáneas FAT DISKMAP y el componente de seguimiento de eliminación DELWATCH residente, que mantiene activamente las marcas de fecha y hora de los archivos eliminados y evita que el contenido de los archivos eliminados se sobrescriba a menos que quedarse sin espacio en disco. DELWATCH también admite la recuperación de archivos remotos en servidores de archivos. Desde Novell DOS 7, el kernel almacenará la primera letra de los archivos eliminados en las entradas del directorio para ayudar aún más a las herramientas de recuperación a recuperar el nombre original.
PTS-DOS ofrece la misma característica, configurable mediante una directiva SAVENAME CONFIG.SYS .
La versión FreeDOS de UNDELETE fue desarrollada por Eric Auer y tiene licencia GPL . [11]
Los entornos de usuario gráficos a menudo adoptan un enfoque diferente para la recuperación, utilizando en su lugar un "área de retención" para los archivos que se van a eliminar. Los archivos no deseados se mueven a esta área de retención y todos los archivos en el área de retención se eliminan periódicamente o cuando un usuario lo solicita. Este enfoque lo utilizan la Papelera en los sistemas operativos Macintosh y la papelera de reciclaje en Microsoft Windows . Esta es una continuación natural del enfoque adoptado por sistemas anteriores, como el grupo limbo utilizado por LocoScript . [12] Este enfoque no está sujeto al riesgo de que otros archivos escritos en el sistema de archivos interrumpan un archivo eliminado muy rápidamente; La eliminación permanente se producirá según un cronograma predecible o solo con intervención manual.
Otro enfoque lo ofrecen programas como Norton GoBack (anteriormente Roxio GoBack ): una parte del espacio del disco duro se reserva para que las operaciones de modificación de archivos se registren de forma que puedan deshacerse posteriormente. Este proceso suele ser mucho más seguro para ayudar a recuperar archivos eliminados que la operación de recuperación que se describe a continuación.
De manera similar, los sistemas de archivos que admiten "instantáneas" (como ZFS o btrfs ) se pueden utilizar para crear instantáneas de todo el sistema de archivos a intervalos regulares (por ejemplo, cada hora), permitiendo así la recuperación de archivos de una instantánea anterior.
La recuperación no es a prueba de fallos. En general, cuanto antes se intente recuperar el archivo, más probabilidades habrá de tener éxito. Esto se debe a que cuanto más se utiliza un sistema, más datos se escriben en la unidad y potencialmente se asignan a ese espacio eliminado. La fragmentación del archivo eliminado también puede reducir la probabilidad de recuperación, según el tipo de sistema de archivos (ver más abajo). Un archivo fragmentado se encuentra disperso en diferentes partes del disco, en lugar de estar en un área contigua.
El funcionamiento de la recuperación depende del sistema de archivos en el que se almacenó el archivo eliminado. Algunos sistemas de archivos, como HFS , no pueden ofrecer una función de recuperación porque no se conserva ninguna información sobre el archivo eliminado (excepto mediante software adicional, que normalmente no está presente). Sin embargo, algunos sistemas de archivos no borran todos los rastros de un archivo eliminado, incluidos los sistemas de archivos FAT:
Cuando un archivo se "elimina" usando un sistema de archivos FAT , la entrada del directorio permanece casi sin cambios excepto por el primer carácter del nombre del archivo, preservando la mayor parte del nombre del archivo "eliminado", junto con su marca de tiempo, longitud del archivo y, la mayoría importante: su ubicación física en el disco. Sin embargo, la lista de grupos de discos ocupados por el archivo se borrará de la Tabla de asignación de archivos , marcando aquellos sectores disponibles para su uso por otros archivos creados o modificados posteriormente. En el caso de FAT32, se borra adicionalmente el campo responsable de los 16 bits superiores del valor del grupo de inicio del archivo.
Cuando se intenta la operación de recuperación, se deben cumplir las siguientes condiciones para una recuperación exitosa del archivo:
Las posibilidades de recuperar archivos eliminados suelen ser mayores en FAT12 y FAT16 en comparación con los volúmenes FAT32 debido a los tamaños de clúster típicamente más grandes utilizados por los sistemas anteriores y debido a la pérdida de los 16 bits superiores de la dirección lógica del clúster para FAT32.
Si el programa de recuperación no puede detectar signos claros de que no se cumplen los requisitos anteriores, restaurará la entrada del directorio como si estuviera en uso y marcará todos los grupos consecutivos, comenzando con el registrado en la entrada del directorio anterior, tal como se usó en la Asignación de Archivos. Mesa . Luego, corresponde al usuario abrir el archivo recuperado y verificar que contenga los datos completos del archivo eliminado anteriormente.
Por lo tanto, la recuperación de archivos fragmentados (después del primer fragmento) normalmente no es posible mediante procesos automáticos, sino únicamente mediante el examen manual de cada bloque (no utilizado) del disco. Esto requiere un conocimiento detallado del sistema de archivos, así como del formato binario del tipo de archivo que se recupera y, por lo tanto, solo lo realizan especialistas en recuperación o profesionales forenses.
NTFS almacena información de archivos como un conjunto de registros de tamaño fijo (normalmente, 1 KB) dentro de la llamada tabla maestra de archivos (MFT). El nombre del archivo y la información de asignación de archivos se encapsulan en estos registros, lo que proporciona información completa sobre cada archivo específico. Cuando el sistema elimina un archivo, la entrada en la tabla maestra de archivos se libera para desvincularla o reutilizarla, pero aún permanece en el disco. Hasta que la entrada MFT se reutilice o sobrescriba, el archivo se puede recuperar fácilmente: el software de recuperación de datos puede encontrar la entrada MFT "perdida" y obtener de ella información completa sobre el archivo perdido.
Sin embargo, tenga en cuenta que cuando la función SSD TRIM está habilitada, el contenido del archivo puede destruirse poco después de eliminarse para reutilizar las celdas de memoria SSD. Esto hace que la recuperación del contenido del archivo sea imposible (solo el nombre, la fecha y el tamaño del archivo permanecerán en el disco).
El borrado de datos es un término que se refiere a los métodos basados en software para evitar la recuperación de archivos.