Deshacer la eliminación

Función para restaurar archivos de computadora

La recuperación de datos es una función que permite restaurar archivos de computadora que se han eliminado de un sistema de archivos mediante la eliminación de archivos . Los datos eliminados se pueden recuperar en muchos sistemas de archivos, pero no todos ofrecen una función de recuperación de datos. La recuperación de datos sin una función de recuperación de datos se denomina generalmente recuperación de datos , en lugar de recuperación de datos eliminados. La recuperación de datos eliminados puede ayudar a evitar que los usuarios pierdan datos accidentalmente o puede suponer un riesgo para la seguridad de la computadora , ya que los usuarios pueden no saber que los archivos eliminados siguen estando accesibles.

Apoyo

No todos los sistemas de archivos o sistemas operativos admiten la recuperación de archivos eliminados. La recuperación de archivos eliminados es posible en todos los sistemas de archivos FAT , con utilidades de recuperación de archivos eliminados proporcionadas desde MS-DOS 5.0 ^{[1] [2]} y DR DOS 6.0 en 1991. No es compatible con la mayoría de los sistemas de archivos UNIX modernos , aunque AdvFS es una excepción notable. El sistema de archivos ext2 tiene un programa complementario llamado e2undel ^[3] que permite la recuperación de archivos eliminados. El sistema de archivos ext3 similar no admite oficialmente la recuperación de archivos eliminados, pero se escribieron utilidades como ext4magic, ^[4] extundelete, ^[5] PhotoRec y ext3grep ^[6] para automatizar la recuperación de archivos eliminados en volúmenes ext3 . ^[7] La ​​recuperación de archivos eliminados se propuso en ext4 , pero aún no se ha implementado. ^[8] Sin embargo, el 4 de diciembre de 2006 se publicó una función de papelera como parche. ^[9] La función de papelera utiliza atributos de recuperación en los sistemas de archivos ext2/3/4 y Reiser. ^[10]

Herramientas de línea de comandos

Utilidades Norton

Norton UNERASE fue un componente importante de Norton Utilities versión 1.0 en 1982.

MS-DOS

Microsoft incluyó un programa UNDELETE similar en las versiones 5.0 a 6.22 de MS-DOS , pero aplicó el enfoque de la Papelera de reciclaje en sistemas operativos posteriores que usaban FAT.

Dr. DOS

DR DOS 6.0 y versiones posteriores también admiten la función UNDELETE, pero ofrecen opcionalmente protección adicional mediante la utilidad de instantáneas FAT DISKMAP y el componente de seguimiento de eliminación residente DELWATCH, que mantiene de forma activa las marcas de fecha y hora de los archivos eliminados y evita que se sobrescriba el contenido de los archivos eliminados a menos que se agote el espacio en disco. DELWATCH también admite la recuperación de archivos remotos en servidores de archivos. A partir de Novell DOS 7, el núcleo almacenará la primera letra de los archivos eliminados en las entradas de directorio para ayudar aún más a las herramientas de recuperación de archivos eliminados a recuperar el nombre original.

PTS-DOS

PTS-DOS ofrece la misma característica, configurable mediante la directiva SAVENAME CONFIG.SYS .

FreeDOS

La versión FreeDOS de UNDELETE fue desarrollada por Eric Auer y tiene licencia GPL . ^[11]

Programas gráficos

Los entornos gráficos de usuario suelen adoptar un enfoque diferente para la recuperación de datos eliminados, y en su lugar utilizan un "área de almacenamiento" para los archivos que se van a eliminar. Los archivos no deseados se mueven a esta área de almacenamiento y todos los archivos de esta área se eliminan periódicamente o cuando un usuario lo solicita. Este enfoque lo utiliza la papelera de los sistemas operativos Macintosh y la papelera de reciclaje de Microsoft Windows . Se trata de una continuación natural del enfoque adoptado por sistemas anteriores, como el grupo limbo utilizado por LocoScript . ^[12] Este enfoque no está sujeto al riesgo de que otros archivos que se escriban en el sistema de archivos interrumpan muy rápidamente un archivo eliminado; la eliminación permanente se producirá según un cronograma predecible o solo con intervención manual.

Otro método lo ofrecen programas como Norton GoBack (anteriormente Roxio GoBack ): se reserva una parte del espacio del disco duro para que las operaciones de modificación de archivos queden registradas de forma que puedan deshacerse más tarde. Este proceso suele ser mucho más seguro para ayudar a recuperar archivos eliminados que la operación de recuperación que se describe a continuación.

De manera similar, los sistemas de archivos que admiten "instantáneas" (como ZFS o btrfs ) se pueden usar para realizar instantáneas de todo el sistema de archivos a intervalos regulares (por ejemplo, cada hora), lo que permite la recuperación de archivos de una instantánea anterior.

Limitaciones

La recuperación de datos no es infalible. En general, cuanto antes se intente recuperar datos eliminados, más probabilidades hay de que se realice con éxito. Esto se debe a que cuanto más se utiliza un sistema, más datos se escriben en la unidad y se asignan potencialmente a ese espacio eliminado. La fragmentación del archivo eliminado también puede reducir la probabilidad de recuperación, según el tipo de sistema de archivos (consulte a continuación). Un archivo fragmentado se encuentra disperso en diferentes partes del disco, en lugar de estar en un área contigua.

Mecánica

El funcionamiento de la recuperación de datos depende del sistema de archivos en el que se almacenó el archivo eliminado. Algunos sistemas de archivos, como HFS , no pueden proporcionar una función de recuperación de datos porque no se conserva información sobre el archivo eliminado (excepto mediante software adicional, que normalmente no está presente). Sin embargo, algunos sistemas de archivos no borran todos los rastros de un archivo eliminado, incluidos los sistemas de archivos FAT:

Sistemas de archivos FAT

Cuando se "elimina" un archivo utilizando un sistema de archivos FAT , la entrada del directorio permanece casi sin cambios excepto por el primer carácter del nombre del archivo, preservando la mayor parte del nombre del archivo "eliminado", junto con su marca de tiempo, longitud del archivo y, lo más importante, su ubicación física en el disco. Sin embargo, la lista de clústeres de discos ocupados por el archivo se borrará de la Tabla de asignación de archivos , marcando aquellos sectores disponibles para su uso por otros archivos creados o modificados posteriormente. En el caso de FAT32, se borra adicionalmente el campo responsable de los 16 bits superiores del valor del clúster de inicio del archivo.

Cuando se intenta la operación de recuperación de archivos eliminados, se deben cumplir las siguientes condiciones para recuperar exitosamente el archivo:

• La entrada del archivo eliminado debe seguir existiendo en el directorio, es decir, no debe haber sido sobrescrita por un nuevo archivo (o carpeta) creado en el mismo directorio. Para saber si este es el caso, basta con comprobar si el nombre restante del archivo que se desea recuperar sigue estando presente en el directorio.
• Los clústeres utilizados anteriormente por el archivo eliminado no deben haber sido sobrescritos por otros archivos. Esto se puede verificar comprobando que los clústeres no estén marcados como utilizados en la Tabla de asignación de archivos . Sin embargo, si, mientras tanto, se ha escrito un nuevo archivo en el disco, utilizando esos sectores, y luego se ha eliminado nuevamente, liberando esos sectores nuevamente, esto no puede ser detectado automáticamente por el programa de recuperación de archivos eliminados. En este caso, una operación de recuperación de archivos eliminados, incluso si parece exitosa, puede fallar porque el archivo recuperado contiene datos diferentes.
• En el caso de los dispositivos FAT32 , los 16 bits inferiores de la dirección física normalmente se conservan en la entrada del directorio, pero los bits superiores de la dirección se ponen a cero. Muchos programas de recuperación ignoran este hecho y no logran recuperar los datos correctamente.

Las posibilidades de recuperar archivos eliminados suelen ser mayores en volúmenes FAT12 y FAT16 que en FAT32 debido a los tamaños de clúster generalmente más grandes utilizados por los sistemas anteriores y debido a la pérdida de los 16 bits superiores de la dirección de clúster lógica para FAT32.

Si el programa de recuperación de archivos eliminados no puede detectar signos claros de que no se cumplen los requisitos anteriores, restaurará la entrada del directorio como en uso y marcará todos los clústeres consecutivos, comenzando con el que estaba registrado en la entrada del directorio anterior, como se usa en la Tabla de asignación de archivos . Luego, el usuario debe abrir el archivo recuperado y verificar que contiene los datos completos del archivo eliminado anteriormente.

Por lo tanto, la recuperación de archivos fragmentados (después del primer fragmento) normalmente no es posible mediante procesos automáticos, sino solo mediante el examen manual de cada bloque (no utilizado) del disco. Esto requiere un conocimiento detallado del sistema de archivos, así como del formato binario del tipo de archivo que se está recuperando, y por lo tanto solo lo realizan especialistas en recuperación o profesionales forenses.

Sistemas de archivos NTFS

NTFS almacena la información de los archivos como un conjunto de registros de tamaño fijo (normalmente, 1 KB) dentro de la denominada Tabla maestra de archivos (MFT). La información sobre el nombre de archivo y la asignación de archivos se encapsulan en estos registros, lo que proporciona información completa sobre cada archivo específico. Cuando el sistema elimina un archivo, la entrada de la Tabla maestra de archivos se libera para que se desvincule o se reutilice, pero sigue estando en el disco. Hasta que la entrada de la MFT se reutilice o sobrescriba, el archivo se puede recuperar fácilmente: el software de recuperación de datos puede encontrar la entrada de la MFT "perdida" y derivar de ella información completa sobre el archivo perdido.

Sin embargo, tenga en cuenta que, cuando la función SSD TRIM está habilitada, el contenido del archivo puede destruirse poco después de la eliminación para reutilizar las celdas de memoria SSD. Esto hace que la recuperación del contenido del archivo sea imposible (solo la información del nombre, la fecha y el tamaño del archivo permanecerá en el disco).

Prevención

El borrado de datos es un término que se refiere a los métodos basados ​​en software para evitar la recuperación de archivos.

Véase también

• Respaldo
• Eliminación de artículos en Wikipedia § Revisión de eliminación y recuperación de artículos eliminados
• Lista de software de recuperación de datos
• Trituradora de papel
• Reversión (gestión de datos)
• Deshacer

Referencias

1. "Cuándo no utilizar los comandos CHKDSK y UNDELETE de MS-DOS 5.0". Support.microsoft.com. 16 de noviembre de 2006. Archivado desde el original el 2 de febrero de 2012. Consultado el 9 de enero de 2012 .
2. "Uso de un archivo UNDELETE.INI común con Undelete". Support.microsoft.com. 16 de noviembre de 1999. Archivado desde el original el 26 de agosto de 2009. Consultado el 9 de enero de 2012 .
3. "la página de inicio de e2undel". e2undel.sourceforge.net . Consultado el 2 de julio de 2020 .
4. "Ext4magic". ext4magic.sourceforge.net . Consultado el 2 de julio de 2020 .
5. "extundelete: una utilidad para recuperar archivos ext3 y ext4 eliminados". extundelete.sourceforge.net . Consultado el 2 de julio de 2020 .
6. "Archivo de código de Google: almacenamiento a largo plazo para el alojamiento de proyectos de código de Google". code.google.com . Consultado el 2 de julio de 2020 .
7. Carlo Wood (7 de febrero de 2008). "CÓMO recuperar archivos eliminados en un sistema de archivos ext3". Xs4all.nl. Archivado desde el original el 19 de septiembre de 2010. Consultado el 9 de enero de 2012 .
8. Nuevas características de ext4 Archivado el 18 de diciembre de 2008 en Wayback Machine .
9. "Eliminación segura y compatibilidad con papelera para Ext4". Article.gmane.org. Archivado desde el original el 2008-07-09 . Consultado el 2012-01-09 .
10. "Gmane Loom". Thread.gmane.org. Archivado desde el original el 11 de enero de 2016. Consultado el 9 de enero de 2012 .
11. "Paquete de actualizaciones de FreeDOS 1.2 - Recuperación (base de FreeDOS)". Ibiblio.org. 2009-04-05 . Consultado el 2022-09-04 .
12. "Langford en la columna nº 6 de PCW TODAY". Ansible.co.uk. Archivado desde el original el 14 de febrero de 2012. Consultado el 9 de enero de 2012 .

Enlaces externos

• Recuperar gratis
• Recuperar archivos gratis
• Investigador de medios
• win.tue.nl
• Problema de bits altos del puntero del clúster FAT32