La recuperación es una función para restaurar archivos de computadora que se han eliminado de un sistema de archivos mediante la eliminación de archivos . Los datos eliminados se pueden recuperar en muchos sistemas de archivos, pero no todos los sistemas de archivos ofrecen una función de recuperación. La recuperación de datos sin una función de recuperación se suele denominar recuperación de datos , en lugar de recuperación. La eliminación puede ayudar a evitar que los usuarios pierdan datos accidentalmente o puede suponer un riesgo para la seguridad de la computadora , ya que es posible que los usuarios no sepan que los archivos eliminados siguen estando accesibles.
Apoyo
No todos los sistemas de archivos o sistemas operativos admiten la recuperación. La recuperación es posible en todos los sistemas de archivos FAT , con utilidades de recuperación proporcionadas desde MS-DOS 5.0 [1] [2] y DR DOS 6.0 en 1991. No es compatible con la mayoría de los sistemas de archivos UNIX modernos, aunque AdvFS es una excepción notable. El sistema de archivos ext2 tiene un programa adicional llamado e2undel [3] que permite la eliminación de archivos. El sistema de archivos ext3 similar no admite oficialmente la recuperación, pero utilidades como ext4magic, [4] extundelete, [5] PhotoRec y ext3grep [6] se escribieron para automatizar la recuperación en volúmenes ext3 . [7] Undelete fue propuesto en ext4 , pero aún no se ha implementado. [8] Sin embargo, una función de papelera se publicó como parche el 4 de diciembre de 2006. [9] La función de papelera utiliza atributos de recuperación en los sistemas de archivos ext2 / 3/4 y Reiser. [10]
Herramientas de línea de comandos
Utilidades Norton
Norton UNERASE fue un componente importante en Norton Utilities versión 1.0 en 1982.
MS-DOS
Microsoft incluyó un programa UNDELETE similar en las versiones 5.0 a 6.22 de MS-DOS , pero aplicó el enfoque de la Papelera de reciclaje en su lugar en los sistemas operativos posteriores que usan FAT.
DR DOS
DR DOS 6.0 y superior también admiten UNDELETE, pero opcionalmente ofrecen protección adicional utilizando la utilidad de instantáneas FAT DISKMAP y el componente de seguimiento de eliminación de DELWATCH residente , que mantiene activamente las marcas de fecha y hora de los archivos eliminados y evita que el contenido de los archivos eliminados se sobrescriba quedando sin espacio en disco. DELWATCH también admite la recuperación de archivos remotos en servidores de archivos. Desde Novell DOS 7, el kernel almacenará la primera letra de los archivos eliminados en las entradas del directorio para ayudar aún más a las herramientas de recuperación a recuperar el nombre original.
PTS-DOS
PTS-DOS ofrece la misma característica, configurable por una directiva SAVENAME CONFIG.SYS .
FreeDOS
La versión FreeDOS de UNDELETE fue desarrollada por Eric Auer y tiene licencia GPL . [11]
Programas graficos
Los entornos gráficos de usuario a menudo adoptan un enfoque diferente para la recuperación, en lugar de utilizar un "área de espera" para que los archivos se eliminen. Los archivos no deseados se mueven a esta área de almacenamiento y todos los archivos en el área de almacenamiento se eliminan periódicamente o cuando un usuario lo solicita. Este enfoque lo utiliza la papelera en los sistemas operativos Macintosh y la papelera de reciclaje en Microsoft Windows . Esta es una continuación natural del enfoque adoptado por sistemas anteriores, como el grupo limbo utilizado por LocoScript . [12] Este enfoque no está sujeto al riesgo de que otros archivos que se escriben en el sistema de archivos interrumpan un archivo eliminado muy rápidamente; la eliminación permanente ocurrirá en un horario predecible o solo con intervención manual.
Programas como Norton GoBack (anteriormente Roxio GoBack ) ofrecen otro enfoque : una parte del espacio del disco duro se reserva para que las operaciones de modificación de archivos se registren de tal manera que luego puedan deshacerse. Este proceso suele ser mucho más seguro para ayudar a la recuperación de archivos eliminados que la operación de recuperación como se describe a continuación.
De manera similar, los sistemas de archivos que admiten "instantáneas" (como ZFS o btrfs ) se pueden utilizar para realizar instantáneas de todo el sistema de archivos a intervalos regulares (por ejemplo, cada hora), lo que permite la recuperación de archivos de una instantánea anterior.
Limitaciones
La eliminación no es a prueba de fallos. En general, cuanto antes se intente deshacer la eliminación, es más probable que tenga éxito. Esto se debe a que cuanto más se usa un sistema, más datos se escriben en la unidad y potencialmente se asignan a ese espacio eliminado. La fragmentación del archivo eliminado también puede reducir la probabilidad de recuperación, según el tipo de sistema de archivos (ver más abajo). Un archivo fragmentado se encuentra disperso en diferentes partes del disco, en lugar de estar en un área contigua.
Mecánica
El funcionamiento de la restauración depende del sistema de archivos en el que se almacenó el archivo eliminado. Algunos sistemas de archivos, como HFS , no pueden proporcionar una función de recuperación porque no se retiene información sobre el archivo eliminado (excepto por software adicional, que generalmente no está presente). Sin embargo, algunos sistemas de archivos no borran todos los rastros de un archivo eliminado, incluidos los sistemas de archivos FAT:
Sistemas de archivos FAT
Cuando se "elimina" un archivo mediante un sistema de archivos FAT , la entrada del directorio permanece casi sin cambios excepto el primer carácter del nombre del archivo, conservando la mayor parte del nombre del archivo "eliminado", junto con su marca de tiempo, la longitud del archivo y - la mayoría lo que es más importante, su ubicación física en el disco. Sin embargo, la lista de grupos de discos ocupados por el archivo se borrará de la Tabla de asignación de archivos , marcando los sectores disponibles para su uso por otros archivos creados o modificados posteriormente. En el caso de FAT32, también se borra el campo responsable de los 16 bits superiores del valor del clúster de inicio del archivo.
Cuando se intenta la operación de recuperación, se deben cumplir las siguientes condiciones para una recuperación exitosa del archivo:
- La entrada del archivo eliminado aún debe existir en el directorio, lo que significa que aún no debe ser sobrescrito por un nuevo archivo (o carpeta) que se haya creado en el mismo directorio. Si este es el caso, puede detectarse con bastante facilidad comprobando si el nombre restante del archivo que se va a recuperar todavía está presente en el directorio.
- Los clústeres utilizados anteriormente por el archivo eliminado no deben sobrescribirse todavía con otros archivos. Esto se puede verificar bastante bien al verificar que los clústeres no estén marcados como usados en la Tabla de asignación de archivos . Sin embargo, si, mientras tanto, se escribió un nuevo archivo en el disco, utilizando esos sectores, y luego se eliminó nuevamente, liberando esos sectores nuevamente, esto no puede ser detectado automáticamente por el programa de recuperación. En este caso, una operación de recuperación, incluso si parece exitosa, puede fallar porque el archivo recuperado contiene datos diferentes.
- Para los dispositivos FAT32 , los 16 bits más bajos de la dirección física normalmente se retienen en la entrada del directorio, pero los bits más altos de la dirección se ponen a cero. Muchos programas de recuperación ignoran este hecho y no logran recuperar los datos correctamente.
Las posibilidades de recuperar archivos eliminados suelen ser mayores en FAT12 y FAT16 en comparación con los volúmenes FAT32 debido a los tamaños de clúster típicamente más grandes utilizados por los sistemas anteriores y debido a la pérdida de los 16 bits superiores de la dirección de clúster lógico para FAT32.
Si el programa de recuperación no puede detectar signos claros de que no se cumplen los requisitos anteriores, restaurará la entrada del directorio como en uso y marcará todos los grupos consecutivos, comenzando con el registrado en la entrada del directorio anterior, como se usa en la Asignación de archivos. Mesa . Luego, depende del usuario abrir el archivo recuperado y verificar que contiene los datos completos del archivo anteriormente eliminado.
Por lo tanto, la recuperación de archivos fragmentados (después del primer fragmento) normalmente no es posible mediante procesos automáticos, solo mediante el examen manual de cada bloque (no utilizado) del disco. Esto requiere un conocimiento detallado del sistema de archivos, así como del formato binario del tipo de archivo que se está recuperando y, por lo tanto, solo lo realizan especialistas en recuperación o profesionales forenses.
Sistemas de archivos NTFS
NTFS almacena la información del archivo como un conjunto de registros de tamaño fijo (normalmente, 1 KB) dentro de la denominada tabla maestra de archivos (MFT). El nombre de archivo y la información de asignación de archivos se encapsulan en estos registros, proporcionando información completa sobre cada archivo específico. Cuando el sistema elimina un archivo, la entrada en la tabla maestra de archivos se libera para desvincularla o reutilizarla, pero aún permanece en el disco. Hasta que la entrada MFT se reutilice o sobrescriba, el archivo se puede recuperar fácilmente: el software de recuperación de datos puede encontrar la entrada MFT "perdida" y obtener información completa sobre el archivo perdido.
Sin embargo, tenga en cuenta que cuando la función SSD TRIM está habilitada, el contenido del archivo puede destruirse poco después de la eliminación para reutilizar las celdas de memoria SSD. Esto hace que la recuperación del contenido del archivo sea imposible (solo permanecerá en el disco la información sobre el nombre, la fecha y el tamaño del archivo).
Prevención
El borrado de datos es un término que se refiere a métodos basados en software para prevenir la eliminación de archivos.
Ver también
- Respaldo
- Lista de software de recuperación de datos
- Trituradora de papel
- Rollback (gestión de datos)
- Deshacer
Referencias
- ^ "Cuándo no utilizar los comandos CHKDSK y UNDELETE de MS-DOS 5.0" . Support.microsoft.com. 2006-11-16. Archivado desde el original el 2 de febrero de 2012 . Consultado el 9 de enero de 2012 .
- ^ "Utilizando un archivo UNDELETE.INI común con Undelete" . Support.microsoft.com. 1999-11-16. Archivado desde el original el 26 de agosto de 2009 . Consultado el 9 de enero de 2012 .
- ^ "la página de inicio de e2undel" . e2undel.sourceforge.net . Consultado el 2 de julio de 2020 .
- ^ "Ext4magic" . ext4magic.sourceforge.net . Consultado el 2 de julio de 2020 .
- ^ "extundelete: una utilidad de eliminación de archivos ext3 y ext4" . extundelete.sourceforge.net . Consultado el 2 de julio de 2020 .
- ^ "Archivo de código de Google - almacenamiento a largo plazo para el alojamiento de proyectos de código de Google" . code.google.com . Consultado el 2 de julio de 2020 .
- ^ Carlo Wood (7 de febrero de 2008). "CÓMO recuperar archivos borrados en un sistema de archivos ext3" . Xs4all.nl. Archivado desde el original el 19 de septiembre de 2010 . Consultado el 9 de enero de 2012 .
- ^ Nuevas funciones de ext4 Archivado el 18 de diciembre de 2008 en Wayback Machine.
- ^ "Soporte de eliminación segura y papelera para Ext4" . Article.gmane.org. Archivado desde el original el 9 de julio de 2008 . Consultado el 9 de enero de 2012 .
- ^ "Telar de Gmane" . Thread.gmane.org. Archivado desde el original el 11 de enero de 2016 . Consultado el 9 de enero de 2012 .
- ^ http://www.ibiblio.org/pub/micro/pc-stuff/freedos/files/distributions/1.2/repos/pkg-html/undelete.html
- ^ "Langford en PCW TODAY columna # 6" . Ansible.co.uk. Archivado desde el original el 14 de febrero de 2012 . Consultado el 9 de enero de 2012 .
enlaces externos
- FreeUndelete
- Investigador de medios
- win.tue.nl
- Problema de bits altos del puntero del clúster FAT32