En informática , la recuperación de datos es un proceso de recuperación (recuperación) de datos inaccesibles, perdidos, corruptos, dañados o formateados del almacenamiento secundario , medios extraíbles o archivos , cuando no se puede acceder a los datos almacenados en ellos de forma habitual. Los datos se recuperan con mayor frecuencia de medios de almacenamiento, como unidades de disco duro (HDD) internas o externas , unidades de estado sólido (SSD), unidades flash USB , cintas magnéticas , CD , DVD , subsistemas RAID y otros dispositivos electrónicos.. La recuperación puede ser necesaria debido al daño físico a los dispositivos de almacenamiento o daño lógico al sistema de archivos que le impide ser montados por el anfitrión sistema operativo (OS).
El escenario de recuperación de datos más común implica una falla del sistema operativo, mal funcionamiento de un dispositivo de almacenamiento, falla lógica de los dispositivos de almacenamiento, daño o eliminación accidental, etc. (generalmente, en un sistema de una sola unidad, una sola partición , un solo sistema operativo), en cuyo caso, el objetivo final es simplemente copiar todos los archivos importantes del medio dañado a otra unidad nueva. Esto se puede lograr fácilmente usando un Live CD o DVD arrancando directamente desde una ROM en lugar de la unidad dañada en cuestión. Muchos Live CD o DVD proporcionan un medio para montar la unidad del sistema y las unidades de respaldo o los medios extraíbles, y para mover los archivos desde la unidad del sistema al medio de respaldo con un administrador de archivos o un software de creación de discos ópticos . Estos casos a menudo pueden mitigarse mediante la partición del disco y el almacenamiento constante de archivos de datos valiosos (o copias de ellos) en una partición diferente a la de los archivos reemplazables del sistema operativo.
Otro escenario implica una falla a nivel de la unidad, como un sistema de archivos o una partición de la unidad comprometidos , o una falla en la unidad de disco duro . En cualquiera de estos casos, los datos no se pueden leer fácilmente desde los dispositivos multimedia. Dependiendo de la situación, las soluciones implican reparar el sistema de archivos lógicos, la tabla de particiones o el registro de arranque maestro , o actualizar el firmware o las técnicas de recuperación de la unidad que van desde la recuperación basada en software de datos corruptos, la recuperación basada en hardware y software de áreas de servicio dañadas ( también conocido como "firmware" de la unidad de disco duro), al reemplazo de hardware en una unidad físicamente dañada que permite la extracción de datos a una nueva unidad. Si es necesaria una recuperación de la unidad, la propia unidad normalmente ha fallado de forma permanente, y la atención se centra más bien en una recuperación única, salvando todos los datos que se puedan leer.
En un tercer escenario, los usuarios han " borrado " accidentalmente archivos de un medio de almacenamiento. Normalmente, el contenido de los archivos eliminados no se elimina inmediatamente de la unidad física; en su lugar, se eliminan las referencias a ellos en la estructura del directorio y, a partir de entonces, el espacio que ocupan los datos eliminados se pone a disposición para una posterior sobreescritura de datos . En la mente de los usuarios finales , los archivos eliminados no se pueden descubrir a través de un administrador de archivos estándar, pero los datos eliminados todavía existen técnicamente en la unidad física. Mientras tanto, el contenido del archivo original permanece, a menudo en varios fragmentos desconectados , y puede recuperarse si no se sobrescribe con otros archivos de datos.
El término "recuperación de datos" también se utiliza en el contexto de aplicaciones forenses o espionaje , donde se recuperan datos que han sido encriptados u ocultos, en lugar de dañados. A veces, los datos presentes en la computadora se cifran u ocultan debido a razones como un ataque de virus que solo pueden recuperar algunos expertos forenses en computadoras.
Daño físico
Una amplia variedad de fallas pueden causar daños físicos a los medios de almacenamiento, que pueden resultar de errores humanos y desastres naturales. A los CD-ROM se les puede raspar el sustrato metálico o la capa de tinte; los discos duros pueden sufrir una multitud de fallas mecánicas, como cabezales , fallas de PCB y motores fallados; las cintas pueden simplemente romperse.
El daño físico a un disco duro, incluso en los casos en los que se ha producido un accidente en la cabeza, no significa necesariamente que habrá una pérdida permanente de datos. Las técnicas empleadas por muchas empresas profesionales de recuperación de datos normalmente pueden salvar la mayoría, si no todos, de los datos que se habían perdido cuando ocurrió la falla.
Por supuesto que hay excepciones a esto, como los casos en los graves daños a las unidades de disco duro discos puede haber ocurrido. Sin embargo, si se puede reparar el disco duro y crear una imagen completa o un clon, la estructura lógica del archivo se puede reconstruir en la mayoría de los casos.
La mayoría de los daños físicos no pueden ser reparados por los usuarios finales. Por ejemplo, abrir una unidad de disco duro en un entorno normal puede permitir que el polvo del aire se asiente en el plato y quede atrapado entre el plato y el cabezal de lectura / escritura . Durante el funcionamiento normal, los cabezales de lectura / escritura flotan de 3 a 6 nanómetros por encima de la superficie del plato, y el promedio de partículas de polvo que se encuentran en un entorno normal suele rondar los 30.000 nanómetros de diámetro. [1] Cuando estas partículas de polvo quedan atrapadas entre los cabezales de lectura / escritura y el plato, pueden causar nuevos choques en el cabezal que dañan aún más el plato y, por lo tanto, comprometen el proceso de recuperación. Además, los usuarios finales generalmente no tienen el hardware o la experiencia técnica necesarios para realizar estas reparaciones. En consecuencia, las empresas de recuperación de datos a menudo se emplean para recuperar datos importantes con las más confiables que utilizan salas blancas libres de polvo y estática de clase 100 . [2]
Técnicas de recuperación
La recuperación de datos de hardware físicamente dañado puede implicar varias técnicas. Algunos daños se pueden reparar reemplazando piezas en el disco duro. Esto por sí solo puede hacer que el disco sea utilizable, pero aún puede haber daños lógicos. Se utiliza un procedimiento especializado de creación de imágenes de disco para recuperar todos los bits legibles de la superficie. Una vez que esta imagen se adquiere y se guarda en un medio confiable, la imagen se puede analizar de manera segura para detectar daños lógicos y posiblemente permitirá reconstruir gran parte del sistema de archivos original.
Reparación de hardware
Un error común es que una placa de circuito impreso (PCB) dañada puede ser simplemente reemplazada durante los procedimientos de recuperación por una PCB idéntica de una unidad en buen estado. Si bien esto puede funcionar en raras circunstancias en unidades de disco duro fabricadas antes de 2003, no funcionará en unidades más nuevas. Las placas electrónicas de los variadores modernos suelen contener datos de adaptación específicos del variador (generalmente un mapa de sectores defectuosos y parámetros de ajuste) y otra información necesaria para acceder correctamente a los datos del variador. Las placas de reemplazo a menudo necesitan esta información para recuperar de manera efectiva todos los datos. Es posible que sea necesario reprogramar la placa de reemplazo. Algunos fabricantes (Seagate, por ejemplo) almacenan esta información en un chip EEPROM en serie , que se puede quitar y transferir a la placa de reemplazo. [3] [4]
Cada unidad de disco duro tiene lo que se llama un área de sistema o área de servicio ; esta parte del variador, que no es directamente accesible para el usuario final , generalmente contiene el firmware del variador y los datos adaptativos que ayudan al variador a operar dentro de los parámetros normales. [5] Una función del área del sistema es registrar los sectores defectuosos dentro de la unidad; esencialmente indicando a la unidad dónde puede y dónde no puede escribir datos.
Las listas de sectores también se almacenan en varios chips conectados a la PCB y son únicos para cada unidad de disco duro. Si los datos de la PCB no coinciden con los almacenados en el plato, la unidad no se calibrará correctamente. [6] En la mayoría de los casos, los cabezales de la unidad harán clic porque no pueden encontrar los datos que coinciden con los almacenados en la PCB.
Daño lógico
El término "daño lógico" se refiere a situaciones en las que el error no es un problema en el hardware y requiere soluciones a nivel de software.
Particiones y sistemas de archivos dañados, errores de medios
En algunos casos, los datos de una unidad de disco duro pueden ser ilegibles debido a daños en la tabla de particiones o el sistema de archivos , o por errores de medios (intermitentes). En la mayoría de estos casos, al menos una parte de los datos originales se puede recuperar reparando la tabla de particiones dañada o el sistema de archivos utilizando un software de recuperación de datos especializado como Testdisk ; El software como dd rescue puede crear imágenes de los medios a pesar de los errores intermitentes y generar imágenes de los datos sin procesar cuando hay daños en la tabla de particiones o el sistema de archivos. Este tipo de recuperación de datos puede ser realizado por personas sin experiencia en hardware de unidades, ya que no requiere equipo físico especial ni acceso a discos.
A veces, los datos se pueden recuperar utilizando métodos y herramientas relativamente simples; [7] los casos más graves pueden requerir la intervención de un experto, especialmente si partes de los archivos son irrecuperables. La talla de datos es la recuperación de partes de archivos dañados utilizando el conocimiento de su estructura.
Datos sobrescritos
Una vez que los datos se han sobrescrito físicamente en una unidad de disco duro , generalmente se asume que los datos anteriores ya no se pueden recuperar. En 1996, Peter Gutmann , un científico informático, presentó un artículo que sugería que los datos sobrescritos podrían recuperarse mediante el uso de microscopía de fuerza magnética . [8] En 2001, presentó otro artículo sobre un tema similar. [9] Para protegerse contra este tipo de recuperación de datos, Gutmann y Colin Plumb diseñaron un método de depuración irreversible de datos, conocido como el método Gutmann y utilizado por varios paquetes de software de depuración de disco.
Se han recibido críticas sustanciales, principalmente relacionadas con la falta de ejemplos concretos de recuperación de cantidades significativas de datos sobrescritos. [10] Aunque la teoría de Gutmann puede ser correcta, no hay evidencia práctica de que los datos sobrescritos se puedan recuperar, mientras que las investigaciones han demostrado que respaldan que los datos sobrescritos no se pueden recuperar. [ especificar ] [11] [12] [13]
Las unidades de estado sólido (SSD) sobrescriben los datos de manera diferente a las unidades de disco duro (HDD), lo que hace que al menos algunos de sus datos sean más fáciles de recuperar. La mayoría de los SSD usan memoria flash para almacenar datos en páginas y bloques, referenciados por direcciones de bloques lógicos (LBA) que son administradas por la capa de traducción flash (FTL). Cuando el FTL modifica un sector, escribe los nuevos datos en otra ubicación y actualiza el mapa para que los nuevos datos aparezcan en el LBA objetivo. Esto deja los datos previos a la modificación en su lugar, posiblemente con muchas generaciones, y recuperables mediante software de recuperación de datos.
Datos perdidos, eliminados y formateados
A veces, los datos presentes en las unidades físicas (disco duro interno / externo, Pen Drive, etc.) se pierden, eliminan y formatean debido a circunstancias como un ataque de virus, eliminación accidental o uso accidental de SHIFT + DELETE. En estos casos, el software de recuperación de datos se utiliza para recuperar / restaurar los archivos de datos.
Sector lógico defectuoso
En la lista de fallas lógicas de los discos duros, el sector lógico defectuoso es el más común en el que los archivos de datos no se pueden recuperar de un sector particular de las unidades de medios. Para resolver esto, se utiliza software para corregir los sectores lógicos de la unidad de medios. Si esto no es suficiente, se debe reemplazar el hardware que contiene los sectores defectuosos lógicos.
Recuperación remota de datos
Los expertos en recuperación no siempre necesitan tener acceso físico al hardware dañado. Cuando los datos perdidos se pueden recuperar mediante técnicas de software, a menudo pueden realizar la recuperación utilizando software de acceso remoto a través de Internet, LAN u otra conexión a la ubicación física del medio dañado. El proceso esencialmente no es diferente de lo que el usuario final podría realizar por sí mismo. [14]
La recuperación remota requiere una conexión estable con un ancho de banda adecuado. Sin embargo, no es aplicable cuando se requiere acceso al hardware, como en casos de daño físico.
Cuatro fases de recuperación de datos
Por lo general, hay cuatro fases cuando se trata de una recuperación de datos exitosa, aunque eso puede variar según el tipo de corrupción de datos y la recuperación requerida. [15]
- Fase 1
- Reparar la unidad de disco duro
- El disco duro se repara para que funcione de alguna forma, o al menos en un estado adecuado para leer los datos. Por ejemplo, si las cabezas son malas, es necesario cambiarlas; si la placa de circuito impreso está defectuosa, es necesario repararla o reemplazarla; si el motor del husillo está averiado, los platos y los cabezales deben cambiarse a una nueva unidad.
- Fase 2
- Imagen de la unidad en una nueva unidad o en un archivo de imagen de disco
- Cuando falla una unidad de disco duro, la importancia de sacar los datos de la unidad es la máxima prioridad. Cuanto más tiempo se utilice una unidad defectuosa, es más probable que se produzcan más pérdidas de datos. La creación de una imagen de la unidad garantizará que haya una copia secundaria de los datos en otro dispositivo, en el que sea seguro realizar los procedimientos de prueba y recuperación sin dañar la fuente.
- Fase 3
- Recuperación lógica de archivos, particiones, MBR y estructuras del sistema de archivos
- Una vez que la unidad se ha clonado en una nueva unidad, es adecuado intentar recuperar los datos perdidos. Si la unidad ha fallado lógicamente, existen varias razones para ello. Al usar el clon, puede ser posible reparar la tabla de particiones o el registro de arranque maestro (MBR) para leer la estructura de datos del sistema de archivos y recuperar los datos almacenados.
- Fase 4
- Reparar archivos dañados que se recuperaron
- Se pueden producir daños en los datos cuando, por ejemplo, se escribe un archivo en un sector de la unidad que se ha dañado. Esta es la causa más común en una unidad defectuosa, lo que significa que los datos deben reconstruirse para que sean legibles. Los documentos dañados se pueden recuperar mediante varios métodos de software o reconstruyendo manualmente el documento con un editor hexadecimal.
Restaurar disco
El sistema operativo Windows se puede reinstalar en una computadora que ya tenga licencia. La reinstalación se puede realizar descargando el sistema operativo o utilizando un "disco de restauración" proporcionado por el fabricante de la computadora. Eric Lundgren fue multado y sentenciado a una prisión federal de EE. UU. En abril de 2018 por producir 28,000 discos de restauración y tener la intención de distribuirlos por aproximadamente 25 centavos cada uno como una conveniencia para los talleres de reparación de computadoras. [dieciséis]
Lista de software de recuperación de datos
De arranque
La recuperación de datos no siempre se puede realizar en un sistema en ejecución. Como resultado, un disco de arranque , CD en vivo , USB en vivo o cualquier otro tipo de distribución en vivo contiene un sistema operativo mínimo.
- BartPE : una variante ligera de los sistemas operativos Microsoft Windows XP o Windows Server 2003 de 32 bits, similar a un entorno de preinstalación de Windows , que se puede ejecutar desde un CD o una unidad USB en vivo. Interrumpido.
- Finnix : un Live CD basado en Debian con un enfoque en ser pequeño y rápido, útil para el rescate de datos y computadoras
- Disk Drill Basic : capaz de crear unidades USB de arranque de Mac OS X para la recuperación de datos
- Knoppix : contiene utilidades para la recuperación de datos en Linux
- SpinRite : una herramienta de recuperación de datos basada en FreeDOS para discos duros y dispositivos de almacenamiento magnético
- SystemRescueCD : un CD en vivo basado en Arch Linux , útil para reparar sistemas informáticos que no se pueden arrancar y recuperar datos después de un bloqueo del sistema
- Entorno de preinstalación de Windows (WinPE): un DVD de arranque de Windows personalizable (fabricado por Microsoft y distribuido de forma gratuita). Puede modificarse para arrancar en cualquiera de los programas enumerados.
Comprobadores de consistencia
- CHKDSK : un verificador de coherencia para sistemas DOS y Windows
- Disk First Aid : un verificador de coherencia para Mac OS 9
- Utilidad de disco : un verificador de coherencia para Mac OS X
- fsck : un verificador de coherencia para UNIX
- gparted : una GUI para GNU parted , el editor de particiones GNU, capaz de llamar a fsck
Recuperación de archivo
- CDRoller : recupera datos de un disco óptico
- Asistente de recuperación de datos : utilidad de recuperación de archivos de Windows de EaseUS
- Disk Drill Basic : aplicación de recuperación de datos para Mac OS X y Windows
- dvdisaster : genera datos de corrección de errores para discos ópticos
- GetDataBack : un programa de recuperación de Windows
- Hetman Partition Recovery : solución de recuperación de unidades de datos
- IsoBuster : recupera datos de discos ópticos, memorias USB, unidades flash y discos duros
- Mac Data Recovery Guru : programa de recuperación de datos de Mac OS X que funciona en memorias USB, medios ópticos y discos duros
- Asistente de partición MiniTool : para Windows 7 y posterior; incluye recuperación de datos
- Norton Utilities : un conjunto de utilidades que tiene un componente de recuperación de archivos
- PhotoRec : programa multiplataforma avanzado con interfaz de usuario basada en texto que se utiliza para recuperar archivos
- Recuperar mis archivos : software propietario para Windows 2000 y versiones posteriores: FAT, NTFS y HFS
- Recovery Toolbox : herramientas gratuitas y shareware más servicios en línea para varios programas de Windows 2000 y posteriores
- Recuva : software propietario para Windows 2000 y versiones posteriores: FAT y NTFS
- Stellar Data Recovery para Mac : utilidad de recuperación de datos para Mac OS
- Stellar Data Recovery para Windows : utilidad de recuperación de datos para Windows
- Stellar Photo Recovery : utilidad de recuperación de fotos para Mac OS y Windows
- TestDisk : gratuito, de código abierto, multiplataforma. recuperar archivos y particiones perdidas
- TuneUp Utilities : un conjunto de utilidades que tiene un componente de recuperación de archivos para Windows XP y versiones posteriores.
- UFS Explorer : paquete de recuperación multiplataforma patentado con soporte para varios sistemas de archivos
- Recuperación de archivos de Windows : una utilidad de línea de comandos de Microsoft para recuperar archivos eliminados para Windows 10 versión 2004 y posteriores
Forense
- Principalmente : un programa de recuperación de archivos de línea de comandos de código abierto , desarrollado originalmente por la Oficina de Investigaciones Especiales de la Fuerza Aérea de EE. UU. Y el Centro de Estudios e Investigación de Seguridad de Sistemas de Información de NPS
- Kit de herramientas forenses : por AccessData, utilizado por las fuerzas del orden
- Arquitectura forense informática abierta : un programa de código abierto para Linux
- The Coroner's Toolkit : un conjunto de utilidades para ayudar en el análisis forense de un sistema UNIX después de un robo
- The Sleuth Kit : también conocido como TSK, un conjunto de herramientas de análisis forense desarrollado por Brian Carrier para sistemas UNIX, Linux y Windows. TSK incluye el navegador forense Autopsy.
Herramientas de imagen
- Clonezilla : un disco de clonación de disco, imágenes de disco, recuperación de datos y arranque de implementación gratuitos
- ddrescue : una herramienta de código abierto similar a dd pero con la capacidad de omitir y luego reintentar bloques defectuosos en dispositivos de almacenamiento defectuosos
- dd : herramienta común de clonación byte a byte que se encuentra en sistemas similares a Unix
- Team Win Recovery Project : un sistema de recuperación gratuito y de código abierto para dispositivos Android
Ver también
- Respaldo
- Sala limpia
- Comparación de sistemas de archivos
- Informática forense
- Protección de datos continua
- Trituración de cripto
- Arqueología de datos
- Conservación de datos
- Preservación de datos
- Pérdida de datos
- Detección y corrección de errores
- Tallado de archivos
- Archivo oculto y directorio oculto
- Recuperación
- Lista de software de recuperación de datos
- Lista de software de borrado de datos
Referencias
- ^ https://acsdata.com/data-recovery-3tb-seagate-hard-drive/#Hard_Drive_Flying_Height Archivado el 13 de febrero de 2017 en Wayback Machine
- ^ Vasconcelos, Pedro. "La recuperación de datos de bricolaje podría significar" adiós " " . El blog de recuperación de datos de Ontrack . Recuperación de datos de Ontrack . Consultado el 26 de julio de 2019 .
- ^ "Guía de reemplazo de la placa de circuito del disco duro o cómo cambiar la placa de circuito impreso del disco duro" . donordrives.com . Archivado desde el original el 27 de mayo de 2015 . Consultado el 27 de mayo de 2015 .
- ^ "Servicio de adaptación de firmware - Intercambio de ROM" . pcb4you.com . Archivado desde el original el 29 de marzo de 2013 . Consultado el 27 de mayo de 2015 .
- ^ Ariel Berkman (14 de febrero de 2013). "Ocultar datos en las áreas de servicio del disco duro" (PDF) . recovery.co.il . Archivado desde el original (PDF) el 26 de febrero de 2015 . Consultado el 23 de enero de 2015 .
- ^ "Informe de recuperación de datos - leer antes de elegir una empresa de recuperación de datos" . 16 de abril de 2013. Archivado desde el original el 16 de abril de 2013.
- ^ Software de recuperación de datos archivado el 17 de octubre de 2016 en Wayback Machine
- ^ Eliminación segura de datos de la memoria magnética y de estado sólido Archivado el 9 de diciembre de 2007 en Wayback Machine , Peter Gutmann, Departamento de Ciencias de la Computación, Universidad de Auckland
- ^ Remanencia de datos en dispositivos semiconductores Archivado el 21 de febrero de 2007 en Wayback Machine , Peter Gutmann, IBM TJ Watson Research Center
- ^ Feenberg, Daniel (14 de mayo de 2004). "¿Pueden las agencias de inteligencia leer datos sobrescritos? Una respuesta a Gutmann" . Oficina Nacional de Investigación Económica. Archivado desde el original el 9 de mayo de 2008 . Consultado el 21 de mayo de 2008 .
- ^ "Limpieza de disco: una pasada es suficiente" . anti-forensics.com . 17 de marzo de 2009. Archivado desde el original el 2 de septiembre de 2012.
- ^ "Limpieza de disco: una pasada es suficiente - Parte 2 (esta vez con capturas de pantalla)" . anti-forensics.com . 18 de marzo de 2009. Archivado desde el original el 27 de noviembre de 2012.
- ^ Wright, Dr. Craig (15 de enero de 2009). "Sobrescritura de datos del disco duro" . Archivado desde el original el 23 de mayo de 2010.
- ^ Barton, Andre (17 de diciembre de 2012). "Recuperación de datos a través de Internet" . Resumen de recuperación de datos . Archivado desde el original el 27 de mayo de 2015 . Consultado el 29 de abril de 2015 .
- ^ Stanley Morgan (28 de diciembre de 2012). "[Infografía] Cuatro fases de la recuperación de datos" . dolphindatalab.com . Archivado desde el original el 2 de abril de 2015 . Consultado el 23 de marzo de 2015 .
- ^ Washington Post (26 de abril de 2018). "El innovador del reciclaje de productos electrónicos va a la cárcel por intentar prolongar la vida de las computadoras" . Washington Post . Consultado el 2 de mayo de 2018 .
Otras lecturas
- Tanenbaum, A. y Woodhull, AS (1997). Sistemas operativos: diseño e implementación, 2ª ed. Nueva York: Prentice Hall.
- Recuperación de datos en Curlie