Recuperación

Característica para restaurar archivos de computadora

La recuperación es una característica para restaurar archivos de computadora que han sido eliminados de un sistema de archivos mediante la eliminación de archivos . Los datos eliminados se pueden recuperar en muchos sistemas de archivos, pero no todos los sistemas de archivos ofrecen una función de recuperación. La recuperación de datos sin una función de recuperación generalmente se denomina recuperación de datos , en lugar de recuperación. La recuperación puede ayudar a evitar que los usuarios pierdan datos accidentalmente o puede suponer un riesgo para la seguridad informática , ya que es posible que los usuarios no sepan que los archivos eliminados siguen siendo accesibles.

Apoyo

No todos los sistemas de archivos o sistemas operativos admiten la recuperación. La recuperación es posible en todos los sistemas de archivos FAT , con utilidades de recuperación proporcionadas desde MS-DOS 5.0 ^{[1] [2]} y DR DOS 6.0 en 1991. No es compatible con la mayoría de los sistemas de archivos UNIX modernos, aunque AdvFS es una excepción notable. El sistema de archivos ext2 tiene un programa complementario llamado e2undel ^[3] que permite recuperar archivos. El sistema de archivos ext3 similar no admite oficialmente la recuperación, pero se escribieron utilidades como ext4magic, ^[4] extundelete, ^[5] PhotoRec y ext3grep ^[6] para automatizar la recuperación en volúmenes ext3 . ^[7] Se propuso recuperar la eliminación en ext4 , pero aún no se ha implementado. ^[8] Sin embargo, se publicó una función de papelera como parche el 4 de diciembre de 2006. ^[9] La función de papelera utiliza atributos de recuperación en los sistemas de archivos ext2/3/4 y Reiser. ^[10]

Herramientas de línea de comandos

Utilidades Norton

Norton UNERASE fue un componente importante en la versión 1.0 de Norton Utilities en 1982.

MS-DOS

Microsoft incluyó un programa UNDELETE similar en las versiones 5.0 a 6.22 de MS-DOS , pero aplicó el enfoque de la Papelera de reciclaje en sistemas operativos posteriores que usan FAT.

DR-DOS

DR DOS 6.0 y versiones posteriores también admiten UNDELETE, pero opcionalmente ofrecen protección adicional utilizando la utilidad de instantáneas FAT DISKMAP y el componente de seguimiento de eliminación DELWATCH residente, que mantiene activamente las marcas de fecha y hora de los archivos eliminados y evita que el contenido de los archivos eliminados se sobrescriba a menos que quedarse sin espacio en disco. DELWATCH también admite la recuperación de archivos remotos en servidores de archivos. Desde Novell DOS 7, el kernel almacenará la primera letra de los archivos eliminados en las entradas del directorio para ayudar aún más a las herramientas de recuperación a recuperar el nombre original.

PTS-DOS

PTS-DOS ofrece la misma característica, configurable mediante una directiva SAVENAME CONFIG.SYS .

GratisDOS

La versión FreeDOS de UNDELETE fue desarrollada por Eric Auer y tiene licencia GPL . ^[11]

Programas gráficos

Los entornos de usuario gráficos a menudo adoptan un enfoque diferente para la recuperación, utilizando en su lugar un "área de retención" para los archivos que se van a eliminar. Los archivos no deseados se mueven a esta área de retención y todos los archivos en el área de retención se eliminan periódicamente o cuando un usuario lo solicita. Este enfoque lo utilizan la Papelera en los sistemas operativos Macintosh y la papelera de reciclaje en Microsoft Windows . Esta es una continuación natural del enfoque adoptado por sistemas anteriores, como el grupo limbo utilizado por LocoScript . ^[12] Este enfoque no está sujeto al riesgo de que otros archivos escritos en el sistema de archivos interrumpan un archivo eliminado muy rápidamente; La eliminación permanente se producirá según un cronograma predecible o solo con intervención manual.

Otro enfoque lo ofrecen programas como Norton GoBack (anteriormente Roxio GoBack ): una parte del espacio del disco duro se reserva para que las operaciones de modificación de archivos se registren de forma que puedan deshacerse posteriormente. Este proceso suele ser mucho más seguro para ayudar a recuperar archivos eliminados que la operación de recuperación que se describe a continuación.

De manera similar, los sistemas de archivos que admiten "instantáneas" (como ZFS o btrfs ) se pueden utilizar para crear instantáneas de todo el sistema de archivos a intervalos regulares (por ejemplo, cada hora), permitiendo así la recuperación de archivos de una instantánea anterior.

Limitaciones

La recuperación no es a prueba de fallos. En general, cuanto antes se intente recuperar el archivo, más probabilidades habrá de tener éxito. Esto se debe a que cuanto más se utiliza un sistema, más datos se escriben en la unidad y potencialmente se asignan a ese espacio eliminado. La fragmentación del archivo eliminado también puede reducir la probabilidad de recuperación, según el tipo de sistema de archivos (ver más abajo). Un archivo fragmentado se encuentra disperso en diferentes partes del disco, en lugar de estar en un área contigua.

Mecánica

El funcionamiento de la recuperación depende del sistema de archivos en el que se almacenó el archivo eliminado. Algunos sistemas de archivos, como HFS , no pueden ofrecer una función de recuperación porque no se conserva ninguna información sobre el archivo eliminado (excepto mediante software adicional, que normalmente no está presente). Sin embargo, algunos sistemas de archivos no borran todos los rastros de un archivo eliminado, incluidos los sistemas de archivos FAT:

Sistemas de archivos FAT

Cuando un archivo se "elimina" usando un sistema de archivos FAT , la entrada del directorio permanece casi sin cambios excepto por el primer carácter del nombre del archivo, preservando la mayor parte del nombre del archivo "eliminado", junto con su marca de tiempo, longitud del archivo y, la mayoría Lo más importante: su ubicación física en el disco. Sin embargo, la lista de grupos de discos ocupados por el archivo se borrará de la Tabla de asignación de archivos , marcando aquellos sectores disponibles para su uso por otros archivos creados o modificados posteriormente. En el caso de FAT32, se borra adicionalmente el campo responsable de los 16 bits superiores del valor del grupo de inicio del archivo.

Cuando se intenta la operación de recuperación, se deben cumplir las siguientes condiciones para una recuperación exitosa del archivo:

• La entrada del archivo eliminado aún debe existir en el directorio, lo que significa que aún no debe ser sobrescrita por un nuevo archivo (o carpeta) que se haya creado en el mismo directorio. Si este es el caso se puede detectar fácilmente comprobando si el nombre restante del archivo que se va a recuperar todavía está presente en el directorio.
• Los clústeres utilizados anteriormente por el archivo eliminado no deben ser sobrescritos todavía por otros archivos. Esto se puede verificar bastante bien comprobando que los clústeres no estén marcados como utilizados en la Tabla de asignación de archivos . Sin embargo, si, mientras tanto, se escribió un nuevo archivo en el disco, utilizando esos sectores, y luego se eliminó nuevamente, liberando esos sectores nuevamente, el programa de recuperación no puede detectarlo automáticamente. En este caso, una operación de recuperación, incluso si parece exitosa, puede fallar porque el archivo recuperado contiene datos diferentes.
• Para dispositivos FAT32 , los 16 bits inferiores de la dirección física normalmente se conservan en la entrada del directorio, pero los bits superiores de la dirección se ponen a cero. Muchos programas de recuperación ignoran este hecho y no logran recuperar los datos correctamente.

Las posibilidades de recuperar archivos eliminados suelen ser mayores en FAT12 y FAT16 en comparación con los volúmenes FAT32 debido a los tamaños de clúster típicamente más grandes utilizados por los sistemas anteriores y debido a la pérdida de los 16 bits superiores de la dirección lógica del clúster para FAT32.

Si el programa de recuperación no puede detectar signos claros de que no se cumplen los requisitos anteriores, restaurará la entrada del directorio como si estuviera en uso y marcará todos los grupos consecutivos, comenzando con el registrado en la entrada del directorio anterior, tal como se usó en la asignación de archivos. Mesa . Luego depende del usuario abrir el archivo recuperado y verificar que contiene los datos completos del archivo eliminado anteriormente.

Por lo tanto, la recuperación de archivos fragmentados (después del primer fragmento) normalmente no es posible mediante procesos automáticos, sino únicamente mediante el examen manual de cada bloque (no utilizado) del disco. Esto requiere un conocimiento detallado del sistema de archivos, así como del formato binario del tipo de archivo que se recupera y, por lo tanto, solo lo realizan especialistas en recuperación o profesionales forenses.

Sistemas de archivos NTFS

NTFS almacena información de archivos como un conjunto de registros de tamaño fijo (normalmente, 1 KB) dentro de la llamada tabla maestra de archivos (MFT). El nombre del archivo y la información de asignación de archivos se encapsulan en estos registros, lo que proporciona información completa sobre cada archivo específico. Cuando el sistema elimina un archivo, la entrada en la tabla maestra de archivos se libera para desvincularla o reutilizarla, pero aún permanece en el disco. Hasta que la entrada MFT se reutilice o sobrescriba, el archivo se puede recuperar fácilmente: el software de recuperación de datos puede encontrar la entrada MFT "perdida" y obtener de ella información completa sobre el archivo perdido.

Sin embargo, tenga en cuenta que cuando la función SSD TRIM está habilitada, el contenido del archivo puede destruirse poco después de eliminarse para reutilizar las celdas de memoria SSD. Esto hace que la recuperación del contenido del archivo sea imposible (solo el nombre, la fecha y el tamaño del archivo permanecerán en el disco).

Prevención

El borrado de datos es un término que se refiere a los métodos basados ​​en software para evitar la recuperación de archivos.

Ver también

• Respaldo
• Eliminación de artículos en Wikipedia § Revisión de eliminación y recuperación
• Lista de software de recuperación de datos
• trituradora de papel
• Rollback (gestión de datos)
• Deshacer

Referencias

1. "Cuándo no utilizar los comandos CHKDSK y UNDELETE de MS-DOS 5.0". Soporte.microsoft.com. 2006-11-16. Archivado desde el original el 2 de febrero de 2012 . Consultado el 9 de enero de 2012 .
2. "Uso de un archivo UNDELETE.INI común con Recuperar". Soporte.microsoft.com. 1999-11-16. Archivado desde el original el 26 de agosto de 2009 . Consultado el 9 de enero de 2012 .
3. "la página de inicio de e2undel". e2undel.sourceforge.net . Consultado el 2 de julio de 2020 .
4. "Ext4magia". ext4magic.sourceforge.net . Consultado el 2 de julio de 2020 .
5. "extundelete: una utilidad para recuperar archivos ext3 y ext4". extundelete.sourceforge.net . Consultado el 2 de julio de 2020 .
6. "Google Code Archive: almacenamiento a largo plazo para el alojamiento de proyectos de Google Code". código.google.com . Consultado el 2 de julio de 2020 .
7. Carlo Wood (7 de febrero de 2008). "CÓMO recuperar archivos eliminados en un sistema de archivos ext3". Xs4all.nl. Archivado desde el original el 19 de septiembre de 2010 . Consultado el 9 de enero de 2012 .
8. Nuevas funciones de ext4 Archivado el 18 de diciembre de 2008 en Wayback Machine .
9. "Eliminación segura y compatibilidad con papelera para Ext4". Artículo.gmane.org. Archivado desde el original el 9 de julio de 2008 . Consultado el 9 de enero de 2012 .
10. "Telar Gmane". Thread.gmane.org. Archivado desde el original el 11 de enero de 2016 . Consultado el 9 de enero de 2012 .
11. "Paquete de actualizaciones de FreeDOS 1.2: recuperar (base de FreeDOS)". Ibiblio.org. 2009-04-05 . Consultado el 4 de septiembre de 2022 .
12. "Langford en la columna n.º 6 de PCW TODAY". Ansible.co.uk. Archivado desde el original el 14 de febrero de 2012 . Consultado el 9 de enero de 2012 .

enlaces externos

• Recuperar gratis
• GratisRecuperar
• Investigador de medios
• win.tue.nl
• Problema de bits altos del puntero del clúster FAT32