recuperacion de datos

Recuperación de Discos Cristian1604 1

Recuperación de Datos

PRIMERA EDICIÓN

Autor: Cristian1604

www.caleidoscopio.netii.net

http://www.caleidoscopio.netii.net


Título: Recuperación de Datos Autor: Cristian1604 Agradecimientos y colaboración: Cecilia S. Fecha de liberación: 05 de agosto de 2009

Información de Licencia

Recuperación de Datos by Cristian1604

is licensed under a Creative Commons Reconocimiento-No comercial-Sin obras derivadas 2.5 Argentina License.

Based on a work at caleidoscopio.netii.net.

Licencia completa: http://creativecommons.org/licenses/by-nc-nd/2.5/ar/legalcode

Contacto: [email protected]

http://creativecommons.org/licenses/by-nc-nd/2.5/ar/legalcode


INDICE

Nombre Capítulo

Página

Funcionamiento del disco rígido. Elementos básicos 1 5 Particiones: ¿Qué son y para qué sirven? 2 8 PARTICIONES PRIMARIAS, EXTENDIDAS, PARTICIONES ACTIVAS

2 9

Sistema de Archivos 3 11 El Master Boot Record (MBR) 4 13 ¡Virus! 5 15 Pasos previos a recuperar un disco, y herramientas 6 17 CAJA DE HERRAMIENTAS 6 18 LISTADO DE EQUIVALENCIAS ENTRE SOFTWARE PAGO Y LIBRE

6 19

¿Cuándo no es necesario recuperar información? 7 22 EJEMPLO PRÁCTICO 7 22 La práctica es la mejor herramienta 8 26

Recuperación directa de una partición 9 35 Destrucción del MBR 10 38 Recuperación de Particiones 11 46 Bibliografía - 51


Recuperación de Datos

Cómo recuperar la información de un disco que fue atacado por un virus o sufrió un formateo accidental.

Hoy los discos rígidos se han vuelto mucho más económicos que hace años atrás. Podríamos decir que el precio por Gigabyte ha descendido considerablemente en los últimos 10 o 15 años. Pero no así para la información que almacenamos, ya que cuando los discos aumentan gradualmente su capacidad, la información que almacenamos se incrementa de la misma manera, junto con el valor de la información. Por lo cual el riesgo de perder datos se vuelve una amenaza seria.

Cuando un disco pierde toda su información, en ocasiones su recuperación se vuelve una tarea muy compleja, dependiendo del problema. Por ello el costo de recuperar un disco afectado representa la compra de varios discos idénticos al que tenemos, por lo que dijimos anteriormente. Afortunadamente existen programas de recuperación, que si bien no son simples de utilizar algunos de ellos, son muy eficaces para restaurar la estructura de nuestro disco.

Para comenzar, es muy necesario conocer cómo el disco guarda la información en él, porque en el peor de los casos necesitaremos conocer datos precisos acerca de nuestro disco, como cabezales, cilindros o sectores. Así es como arrancamos en el capítulo 1


CAPÍTULO 1: Funcionamiento del disco rígido. Elementos básicos

El disco duro almacena la información sobre un plato magnetizado que gira a altas revoluciones (los discos promedio actuales alcanzan las 7400 rpm para las PCs de escritorio y 5200rpm para las notebooks)

En este capítulo sólo trataremos los discos rígidos mecánicos, ya que existen también discos de estado sólido. Éstos no utilizan partes mecánicas, a las que aquí haremos referencia.

Los discos duros basan su funcionamiento en la relación que hay entre la electricidad y el magnetismo. Existen un fenómeno físico llamado inducción electromagnética, que nos dice que toda variación de campos

magnéticos genera en su cercanía una fuerza electromotriz (para nuestro caso una tensión eléctrica), y, a su vez toda variación de campos eléctricos produce un campo magnético. En estos discos, la información se almacena como pequeños campos magnéticos en platos que giran a gran velocidad. La información es escrita y leída por un cabezal que recorre la superficie del plato. Este cabezal es quien detecta e induce estas cargas electromagnéticas. Como comentamos, un campo electromagnético puede ser detectado en sus cercanías, por lo cual este cabezal no toca los platos, sino que están muy muy próximos entre sí (en el orden de las décimas de micrón, algo así como 10-7

metros). Es por ello que los discos se encuentran rigurosamente aislados, porque cualquier impureza que haya sobre la superficie de los platos puede impedir la correcta detección de los campos magnéticos.

Los platos están construidos en base a un sustrato y se encuentran recubiertos por una capa extremadamente fina de un material magnetizable. Los sustratos más utilizados son el aluminio y el vidrio ya que son livianos y rígidos. Son muy finos y extremadamente planos (ya vimos que la separación que tienen con los cabezales son pequeñísimos, y cualquier irregularidad arruinaría el disco por completo).

Actualmente los discos rígidos están compuestos por varios platos, encimados como muestra la figura que sigue:

Para saber cómo un disco almacena la información, Como sabemos, un plato es una superficie circular. Por lo tanto una manera simple de organizar la información es en platos (cada uno con un cabezal) y pistas (radios concéntricos), subdivididas en una cantidad de sectores que contienen una cierta cantidad de información. Dado que todos los cabezales están en una misma estructura, y acceden a la misma pista en todo momento, es más conveniente hablar de cilindros en vez de pistas. Así se puede definir la capacidad de un disco


como cilindros * cabezales * sectores * bytes por sector. Por cierto, el estándar define 512 bytes por sector. Esto en la teoría es así, pero en la práctica no lo es, ya que las limitaciones de los BIOS de la PC, se han tenido que definir otros modelos de geometría lógica que difieren un poco de la geometría física real de los discos. Esto quiere decir que para los BIOS, un disco contiene una cierta cantidad de cabezales, cilindros y sectores, que no es la real, pero es traducido por la placa lógica de nuestro disco cuando es necesario buscar o escribir información en un lugar exacto. Solo para agregar, de estos traductores , el más popular es el LBA (Local Block Addressing), del cual haremos alusión a él más adelante.

Entonces hemos visto cómo se distribuye la información en un disco: asignando un cabezal (plato), un cilindro y por último un sector.

Platos

Cilindros

Sectores

Bytes por sector

El espacio donde es escrito cada uno de estos bits se los llama clúster , o como Microsoft lo denomina: unidad de asignación . Éstos componen la unidad más pequeña de almacenamiento de un disco. Los archivos se almacenan en uno o varios clústeres, dependiendo de su tamaño de unidad de asignación. Sin embargo, si el archivo es más pequeño que un clúster, éste lo ocupa completo.

Básicamente es lo que necesitamos saber para trabajar en profundidad con nuestro disco. Pero existen más elementos que lo componen, que por el momento lo vamos a omitir. Para dejar expresado nomás, citaremos los elementos en los que no profundizaremos todavía:


Plato: cada uno de los discos que hay dentro del disco duro.

Cara: cada uno de los dos lados de un plato

Cabeza: número de cabezales;

Pista: una circunferencia dentro de una cara; la pista 0 está en el borde exterior.

Cilindro: conjunto de varias pistas; son todas las circunferencias que están alineadas verticalmente (una de cada cara).

Sector : cada una de las divisiones de una pista. El tamaño del sector no es fijo, siendo el estándar actual 512 bytes. Antiguamente el número de sectores por pista era fijo, lo cual desaprovechaba el espacio significativamente, ya que en las pistas exteriores pueden almacenarse más sectores que en las interiores. Así, apareció la tecnología ZBR (grabación de bits por zonas) que aumenta el número de sectores en las pistas exteriores, y usa más eficientemente el disco duro.

De ser necesario, profundizaremos más adelante. Ahora simplemente vamos a echarle un vistazo a la placa lógica del disco. Ese circuito integrado ubicado en la parte inferior del disco:

DSP: Siglas de Digital Signal Processor, encargado de recibir instrucciones de la CPU y realizar cálculos en la geometría del disco para transferir los datos, y así optimizar el rendimiento del equipo. Sería el Microprocesador del disco rígido.

MEMORIA CACHE: En los discos se utiliza una memoria cache que actúa como buffer. Esta es del tipo SDRAM, y suele tener una frecuencia de funcionamiento entre 100 y 166 MHz

Firmware: Aunque no se ve (está dentro del DSP), es un pequeño BIOS que contiene el software lógico que ejecutará el DSP para tratar con los datos desde y hacia el disco duro. Es el que interactúa con la PC para su correcta detección.


CAPÍTULO 2: Particiones: ¿Qué son y para qué sirven?

Básicamente patricionar un disco nos brinda la posibilidad de crear discos más pequeños o fraccionar una unidad física en varias más pequeñas. Esto es muy útil si queremos, por ejemplo, tener la información organizada en diferentes unidades. Imaginemos que queremos tener una unidad para almacenar toda nuestra música, fotos y documentos; también queremos una unidad para almacenar nuestras películas y por último instalar nuestro sistema operativo en una unidad separada. Esto es posible gracias a las particiones. En la siguientes imágenes vemos lo simple que es acceder a diferentes particiones desde Windows y Mac (lo mismo sucede para Linux)

En el escritorio de Mac OSX vemos las particiones de nuestro disco.

Desde Mi PC vemos las particiones en un mismo disco físico


Como vemos entonces, es posible organizar nuestra información por medio de particiones. Pero, ahora la pregunta es: ¿Cómo creo una partición? Y además ¿Qué ventajas tiene organizar la información en particiones en vez de carpetas comunes? Respondamos de a una: Afortunadamente existen varias aplicaciones que con el tiempo se hicieron más simples de utilizar. Ejemplos claros de excelentes programas son EASEUS Partition Manager que en su versión HOME es totalmente gratuita, o versiones pagas como Paragon Partition Manager o Partition Magic. Desde su interfaz simple de usar nos permite no solo crear particiones, sino redimensionarlas, editarlas, clonarlas, y mucho más. ¿Y qué diferencias tiene? ¡Muchas!, empezando por la seguridad: Si nuestro sistema operativo se ve afectado por un virus, o deseamos reinstalarlo, la información que esté alojada en otra partición no corre absolutamente ningún riesgo de perderse. Además, si utilizamos múltiples sistemas operativos en una PC, podemos tener instalado Windows en una partición, Linux en otra y compartir archivos entre estos dos sistemas por medio de una tercera partición. ¿Ves las ventajas? ¿Todavía no? Bueno, sigamos ejemplificando: Si tenemos nuestra PC conectada a una red, podemos seleccionar qué particiones compartir y cuales no. Por ejemplo tenemos 3 particiones, una está nuestro sistema operativo instalado, y sus aplicaciones. En la segunda está nuestra información confidencial (a resguardo de los virus e inestabilidades de nuestro sistema operativo), y en una tercera partición tenemos información que queremos compartir en la red. Entonces todos tendrán acceso exactamente a lo que queremos, sin correr riesgos en cuanto a la seguridad de nuestra información.

En definitiva, cuando hablamos de particionar, hablamos de organizar la información e incrementar la seguridad y resguardo de nuestros datos. Además que el particionado de una unidad física en varias unidades lógicas incrementan la velocidad de respuesta de un disco, porque es más simple buscar datos en una partición de 80 GB que en una de 500 GB, por ejemplo.

PARTICIONES PRIMARIAS, EXTENDIDAS, PARTICIONES ACTIVAS

Las particiones a su vez se subdividen en categorías:

Partición primaria: Son las divisiones crudas o primarias del disco, solo puede haber 4 de éstas. Depende de una tabla de particiones. Un disco físico completamente formateado, consiste en realidad de una partición primaria que ocupa todo el espacio del disco, y posee un sistema de archivos. A este tipo de particiones, prácticamente cualquier sistema operativo puede detectarlas y asignarles una unidad, siempre y cuando el sistema operativo reconozca su formato (sistema de archivos).

Partición extendida: Es otro tipo de partición que actúa como una partición primaria; sirve para contener infinidad de unidades lógicas en su interior. Fue ideada para romper la limitación de 4 particiones primarias en un solo disco físico. Solo puede existir una partición de este tipo por disco, y solo sirve para contener particiones lógicas. Por lo tanto, es el único tipo de partición que no soporta un sistema de archivos directamente.

Partición lógica: Ocupa una porción de la partición extendida o la totalidad de la misma, la cual se ha formateado con un tipo específico de sistema de archivos (FAT32, NTFS, ext2,...) y se le ha asignado una unidad, así el sistema operativo reconoce las particiones lógicas o su sistema de archivos.

A su vez, una sola de las particiones puede ser activa. La partición activa es la que le dice a nuestra PC desde qué partición arrancar. En esta debe encontrarse un Sistema Operativo.


Podemos hacer la prueba de establecer como partición activa cualquiera que no tenga un S.O. y veremos un error, como el de la figura 2 capítulo 5.

Representación de particiones desde cualquier gestor de éstas.

Los programas que antes mencionamos representarán de forma gráfica la estructura de nuestro disco, haciendo más simple la tarea de administrarlos.


CAPÍTULO 3: Sistema de Archivos

Ya hemos definido cómo se guarda la información en nuestro disco, además de que es posible particionarlo para organizar nuestra información, instalar múltiples sistemas operativos, y que nos da una importante ventaja en cuanto a la seguridad de nuestra PC en una red o Internet. En este capítulo vamos a definir qué son los sistemas de archivos y para qué sirven. Siendo parte fundamental de nuestro sistema, ya que es éste sistema quien organiza la información en nuestro disco.

Un sistema de archivos estructura la información guardada en una unidad de almacenamiento (normalmente un disco duro de una computadora), que luego será representada ya sea textual o gráficamente utilizando un gestor de archivos. La mayoría de los sistemas operativos poseen su propio sistema de archivos. El software del sistema de archivos es responsable de la organización de estos sectores en archivos y directorios y mantiene un registro de qué sectores pertenecen a qué archivos y cuáles no han sido utilizados. Los sistemas de archivos tradicionales proveen métodos para crear, mover, renombrar y eliminar tanto archivos como directorios.

Es parte fundamental para organizar la información en un disco. Éste será entonces quien determine cómo los datos serán almacenados.

Existen tantos formatos de archivo como Sistemas Operativos, e incluso más, ya que cada sistema operativo posee versiones viejas y nuevas de Sistemas de Archivo (SdA). En la siguiente tabla vemos qué sistema de archivos es utilizado por cada sistema operativo (solo mencionamos algunos, a modo ilustrativo):

Sistema operativo

Windows 95 FAT16 FAT32 (obsoletos) Windows 98 FAT16 FAT32 NTFS (Parche) Windows XP FAT32 NTFS Mac OSX HFS HFS+ GNU/Linux EXT2 EXT3 ReiserFS ZFS OpenSolaris ZFS

En negrita figura el sistema de archivos utilizado en la actualidad por cada S.O. Vemos que Linux cuenta con 2, ya que es muy extendido el uso de ambos SdA

Cada Sistema de Archivos tiene su particularidad. No es nuestra intención profundizar demasiado en estos aspectos, pero brevemente podemos nombrar algunos, por ejemplo:

FAT16: Soporta archivos que no excedan los 4GB de peso. Soporta hasta 65.517 archivos.

FAT32: Soporta archivos que no excedan los 4GB de peso. Soporta hasta 268.435.437 archivos.

NTFS (New Technology File System): Soporta archivos de hasta 16 Terabytes (16.000 Gigabytes), puede comprimir automáticamente su contenido sin perder rendimiento, más simple de recuperar que FAT32.

ZFS (ZetaByte File System): Soporta archivos de hasta 16 Exabytes, estos son 260 Gigabytes. Posee Auto Reparación, Tamaño de clusters variable.

ReiserFS:Soporta archivos de hasta 8 Terabytes, posee un sistema que previene la corrupción de datos, Particiona y redimensiona particiones sin necesidad de reiniciar o desmontar la unidad.


HFS+: Soporta archivos de hasta 8 Exabytes, posee encriptación de datos aumentando la seguridad

Como vemos, la elección de un sistema de archivos es muy importante, teniendo en cuenta el uso que se le dará a la información que sea almacenada en la PC, servidor o mainframe. Sabemos que utilizando un determinado sistema de archivos se encuentra la posibilidad de albergar archivos de un tamaño límite (actualmente los SdA soportan archivos descomunalmente grandes). Se encuentra la posibilidad de asegurar nuestra información ante eventuales problemas, encriptarlos para aumentar la seguridad, comprimirlos para reducir su tamaño, variar el tamaño de los sectores, para evitar la fragmentación de datos y perder rendimiento en el sistema, etcétera.

Usualmente si utilizamos Windows, NTFS sea nuestra elección. Lo mismo para Macintosh, utilizando HFS+. Para Linux mi opción es ReiserFS. En OpenSolaris, el soporte del nuevo SdA ZFS parece ser muy prometedor e increíblemente estable y seguro.

Ahora que tenemos más noción de los Sistemas de Archivos, quizás sea hora de pasar al próximo capítulo: el MBR.


CAPÍTULO 4: El Master Boot Record (MBR)

El Master Boot Record o Sector de Arranque Maestro (MBR por sus siglas en inglés) es un sector del disco al comienzo de éste que contiene toda la información de particiones, sectores y formato de archivos, Partición Activa y otra información relacionada con la estructura lógica de nuestro disco. Frecuentemente es el objetivo de numerosos virus, ya que alterando su contenido arruina parcial o completamente nuestro sistema operativo y/o particiones aledañas.

Su estructura básicamente consta de los primeros 512 bytes del disco, ocupando la pista 0 de éste. En la imagen vemos que los primeros 446 bytes corresponden al gestor de arranque. Éste es quien se encarga de arrancar nuestro sistema operativo, sea Windows, Linux, Macintosh, Solaris, etc. La segunda parte, de 6 bytes corresponde a la tabla de particiones. Éste delimita las particiones de nuestro disco (si está particionado) o una partición que ocupa la totalidad de éste. Además contiene el tipo de sistema de archivos en la que se encuentra cada partición.

La tercera y última sección de la tabla contiene la firma que es de uso interno del disco.

Es aquí donde nos centraremos: en la recuperación de datos a partir de una MBR totalmente destruida por un virus, o un disco defectuoso que aún puede ser restaurado para realizar una copia de seguridad. Por supuesto que es posible crear copias de seguridad de la MBR, siendo muy recomendable ante posibles eventualidades. Ahora vamos a ver cómo crear una copia de seguridad:

COPIA DE SEGURIDAD DEL MBR DESDE UNIX/LINUX Y WINDOWS

MANOS A LA OBRA: Crear copia de seguridad de la MBR en Linux/UNIX

En UNIX/Linux se puede usar el comando dd para hacer un backup y restaurar el MBR desde una consola.

Para hacer la copia de seguridad (backup):

dd if=/dev/xxx of=mbr.backup bs=512 count=1

Para restaurarlo:

dd if=mbr.backup of=/dev/xxx bs=512 count=1

siendo xxx

sda, hda u otro.


Si bien para Windows no existe una forma nativa para hacerlo desde MS-DOS o alguna herramienta propia, existen aplicaciones gratuitas de terceros como MBRWizard!, MBR Tool, MBRFix, MBR Util, HDHacker

Aquí vemos al MBRWizard! realizando una copia de seguridad del MBR

Este capítulo ya hemos visto la función que cumple el Master Boot Record o Sector de Arranque Maestro. También podemos decir que está presente no sólo en los discos rígidos, sino también en los CDs, DVDs, PenDrives, Disquetes, y todo dispositivo de almacenamiento. Hemos visto cómo realizar una copia de seguridad, ya que si bien no es muy frecuente la pérdida de información, es recomendable tener un resguardo.

Si se quiere hacer una copia de seguridad del MBR, sería recomendable copiar los primeros 63 sectores del disco (que equivaldrían al primer cilindro del disco) y no sólo el primero, ya que nuestro sistema podría tener implementado el sistema GUID, el cual utiliza más sectores para guardar la información sobre las particiones del disco duro. La instrucción sería:

dd if=/dev/xxx of=mbr_63.backup bs=512 count=63

Para borrarlo, si no tenemos una copia de seguridad pero necesitamos eliminar la información de este sector, tenemos que poner los 512 bytes a cero:

dd if=/dev/zero of=/dev/xxx bs=512 count=1

Pueden ser descargadas (en su respectivo orden) desde: http://mbrwizard.com/download.shtml

http://www.diydatarecovery.nl/downloads/MBRtool_Setup.exe

http://www.sysint.no/Nedlasting/MbrFix.zip

ftp://ftp.symantec.com/public/english_us_canada/tools/pq/utilities/head.zip

http://dimio.altervista.org/stats/download.php?id=6

http://mbrwizard.com/download.shtml

http://www.diydatarecovery.nl/downloads/MBRtool_Setup.exe

http://www.sysint.no/Nedlasting/MbrFix.zip

ftp://ftp.symantec.com/public/english_us_canada/tools/pq/utilities/head.zip

http://dimio.altervista.org/stats/download.php?id=6


CAPÍTULO 5: ¡Virus!

Un virus informático es un malware que tiene por objeto alterar el normal funcionamiento de la computadora, sin el permiso o el conocimiento del usuario. Los virus, habitualmente, reemplazan archivos ejecutables por otros infectados con el código de este. Los virus pueden destruir, de manera intencionada, los datos almacenados en un ordenador, aunque también existen otros más "benignos", que solo se caracterizan por ser molestos.

Pero dentro de los más peligrosos se encuentran los que arruinan por completo el funcionamiento del sistema operativo y hasta causan daños en nuestro sistema de archivos y sector de arranque (MBR).

Cuando esto sucede y nuestra PC no está protegida, no hay mucho que podamos hacer. Sólo con reiniciar la PC veremos un mensaje como se muestra en las figuras siguientes:

Fig 1: Error en el arranque del S.O.

Fig 2: Otro error, este más común en el arranque del sistema


Por ello es recomendable el uso de antivirus, firewalls (cortafuegos), programas para congelar la PC (como el WinRollBack o el DeepFreeze), antispywares o programas de mantenimiento que gocen de buena reputación en Internet.

Si la PC al reiniciarse o apagarse y luego encenderse (por una orden del usuario o sola, por efecto del virus) aparece el mensaje que vimos en las figuras 1 y 2, ha comenzado la hora de ponerse a trabajar, sea reinstalando el sistema operativo o con diversas técnicas de reparación.

Ante esta situación, antes de dar por sentado que se trata de un problema que afectó el sector de arranque de nuestro disco o bien de un virus malicioso, deberemos confirmar que no se trata de un problema de alimentación, de datos, de que estemos arrancando desde la unidad equivocada, etc. Eso lo veremos en el capítulo número 7.

¿Qué son los freezadores o Congeladores ? Son software del tipo "reinicie y restaure". El principal objetivo de estas aplicaciones es que, mientras esté instalado, la computadora estará "congelada". Cualquier cambio que se le realice a una computadora "congelada" será eliminado al reiniciar la PC, es decir que el equipo volverá al estado en que se activó la protección. Cuando una computadora está "descongelada" (Thawed), cualquier cambio que se le realice se mantendrá, a menos que sea manualmente revertido. Los usuarios también pueden crear una "partición descongelada". En ella, los datos pueden ser guardados y no se eliminarán al resetear la máquina.


CAPÍTULO 6: Pasos previos a recuperar un disco, y herramientas.

Ya hemos visto que el mensaje DISK BOOT FAILURE puede producirse por una mala conexión de nuestro disco a la alimentación de energía, de datos, o estamos arrancando desde una unidad equivocada o en el peor de los casos el sector de arranque está arruinado.

Entonces, verifiquemos los siguientes puntos para reducir las posibilidades:

La conexión de alimentación es correcta.

La conexión del cable de datos es correcta.

Reiniciar la PC y ver que el disco es correctamente detectado

Intercambiar cable de datos y alimentación por otro en la PC.

Si tenemos la posibilidad, probar el mismo disco en otra PC.

Si todas estas opciones fallan, deberemos analizar la unidad en búsqueda de defectos físicos del tipo electrónico o mecánico:

Analizar la placa lógica en búsqueda de rastros que indiquen un error físico o electrónico:

o Buscar pistas quemadas o Olor a quemado en la superficie de la placa lógica o Carbón en la superficie de la placa lógica o soldaduras o Pistas oscurecidas por temperatura

Enchufar sólo el cable de energía y escuchar el giro del plato y prestar especial atención si:

o Se escucha el sonido de pequeños golpes clac, clac de forma repetida.

o Se escucha cómo el motor inicia y se detiene cíclicamente.

En el caso de que encontremos evidencias que indiquen que el disco tiene algún tipo de error electrónico, deberemos acudir al reemplazo de la placa lógica en su totalidad. Enchufarlo y ponerlo a funcionar podría empeorar las cosas. El proceso es simple: reemplazar la placa lógica por otra de exactamente las mismas características de un disco del mismo modelo, aunque sea para la recuperación de los datos.

Si al enchufar el disco se escuchan sonidos que no son los propios del funcionamiento, nos indica una falla mecánica, o un error en la placa lógica de la unidad. En este caso la solución no es tan simple como la anterior. Deberemos determinar con exactitud de dónde proviene la falla para optar por una solución. Por lo general el problema suele provenir de la placa lógica, por excesos de temperatura o fluctuaciones en el voltaje producto de una fuente de alimentación defectuosa o de mala calidad.

Si el problema no se soluciona teniendo en cuenta los primeros puntos, y tampoco parece ser originado por problemas mecánicos/electrónicos entonces es momento de tomar las herramientas para comenzar con la recuperación de información.

RECUERDE: NUNCA ABRA UN DISCO RÍGIDO. SU INTERIOR DEBE ESTAR PERFECTAMENTE LIBRE DE POLVILLO (ver capítulo 1)


TestDisk & PhotoRec es un excelente programa libre y gratuito para recuperar discos, y el PhotoRec para recuperar fotos borradas desde la memoria de nuestra cámara digital. Es increíblemente eficaz, aunque el TestDisk no es muy simple de utilizar para el usuario novato. Esta aplicación es compatible con Windows, Linux, MacOS, Solaris, FreeBSD, NetBSD, OpenBSD y SunOS.

Soporta los siguientes sistemas de archivo:

BeFS (BeOS)

BSD disklabel (FreeBSD/OpenBSD/NetBSD)

CramFS, Sistema de Archivos Comprimidos

DOS/Windows FAT12, FAT16 y FAT32

Windows exFAT

HFS and HFS+, Sistema de Archivos Jerárquicos

JFS, IBM's Sistema Diario de Archivos(Journaled File System)

Linux Ext2 y Ext3

Linux Raid o RAID 1: espejos o RAID 4: arreglos con dispositivo de paridad rayados o RAID 5: arregloscon información de paridad distribuida rayados o RAID 6: arreglos con información de dúo redundancia distribuida

rayados

Linux Swap (versiones 1 y 2)

LVM y LVM2, Administración de Volumen Lógico de Linux

Mapa de particiones Mac

NSS Servicio de Almacenamiento Novell

NTFS ( Windows NT/2K/XP/2003/Vista )

ReiserFS 3.5, 3.6 y 4

Sun Solaris i386 disklabel

UFS y UFS2, Sistema de Archivos Unix (Sun/BSD/...)

XFS, SGI's Sistema Diario de Archivos(Journaled File System)

CAJA DE HERRAMIENTAS

Las herramientas que utilizaremos son:

TestDisk http://www.cgsecurity.org/wiki/TestDisk_ES

EASEUS http://www.partition-tool.com/download.htm

Linux Ubuntu: http://www.ubuntu.com/getubuntu/download

http://www.cgsecurity.org/wiki/TestDisk_ES

http://www.partition-tool.com/download.htm

http://www.ubuntu.com/getubuntu/download


UBUNTU: Estas versiones de Linux no necesitan instalarse. Es útil cuando no tiene ningún disco funcionando para recuperar su información. He elegido a Ubuntu por su compatibilidad, facilidad y abundante documentación en Internet. Si tenemos algún problema, siempre encontraremos la solución.

Ubuntu puede ser descargado desde: http://www.ubuntu.com/getubuntu/download

También existe una distribución LiveCD en la cual se incluye como herramienta el TestDisk, además de muchas aplicaciones de análisis forense y diagnóstico. Estamos hablando de Linux SystemRescue

System Rescue CD puede ser descargado desde http://www.sysresccd.org/Download

De todas maneras, en la próxima unidad incluimos software gratuito para Windows, con el cual podremos recuperar datos y particionar.

LISTADO DE EQUIVALENCIAS ENTRE SOFTWARE PAGO Y LIBRE:

El software pago puede ser perfectamente reemplazado por software libre sin abonar licencias ni regalías. El software libre ha avanzado muchísimo en los últimos 10 años, por lo cual hoy se pueden encontrar aplicaciones de excelente calidad, simples de utilizar y tan precisos como los pagos. A continuación una lista con el programa pago y su equivalente gratuito para Windows y Linux. Los Linux se pueden utilizar sin ser instalados, como se explica más arriba. Aunque en el listado de Linux no abunden los programas para realizar esas tareas no significa que no haya variedad. Simplemente pueden ser encontrados cientos de aplicaciones libres que cumplen con esa tarea.

http://www.ubuntu.com/getubuntu/download

http://www.sysresccd.org/Download


GRATUITO (gratis) PAGO ($$)

WINDOWS LINUX SIRVE PARA

Paragon Partition Manager

EASEUS Partition Manager Home

GParted Administrar particiones

Data Recovery Wizard

Professional

Undelete Plus

PC Inspector

Active@ Partition Recovery

RECUVA

PC Inspector

Pandora Recovery

TestDisk

Foremost

TestDisk

Recuperación de datos y particiones

Ya teniendo todas las herramientas que hemos propuesto, vamos a dividir el tipo de problema según su tipo y complejidad:

Inicia el Sistema Operativo pero no detecta una o más particiones

Toda la estructura del disco está arruinada*

No inicia el Sistema Operativo, pero si las demás particiones

Las particiones y el MBR están bien, pero no inicia el sistema operativo

Formatee sin querer una partición, o todo el disco*

Esto es importante, ya que cada problema puede ser resuelto de una forma más simple que otra, o posee una forma particular de ser resuelto. Ahora, si su problema se encuentra con un asterisco (*) al final, puede encontrarse en alguna de las siguientes dos situaciones:

Tengo un Disco Rígido extra para instalar un S.O. de recuperación

No tengo otro disco para recuperar la información

Una vez que hayamos identificado el tipo de problema y saber si tendremos o no un disco que funcione de respaldo para instalar un S.O. provisional para recuperar la información (si es necesario) procederemos a explicar cada una de las posibles formas de recuperar nuestros datos.

Vamos a mencionar que el procedimiento para recuperar información varía muchísimo, dependiendo el tipo de PC, el disco, su capacidad y por supuesto el problema que tuvo. El éxito en la misión de recuperación dependerá también de la avidez de quien resolverá el problema, ya que deberá contar con el conocimiento y entendimiento necesarios (que no va más allá de lo explicado en esta obra). No se preocupe si durante el proceso aparecen datos que no entiende. Cuenta con la referencia de esta obra y de Internet, que es el mejor medio para realizar consultas, no importa cuan compleja sean.

Antes de comenzar con los pasos para la recuperación, vamos a explicar algo que es de suma importancia si deseamos recuperar información. Cuando formateamos un disco, éste es borrado de diferentes maneras, según cuál se seleccione.


Los tipos de formato más frecuentes son:

Formato Rápido

Formato incondicional

Formato de bajo nivel

El formato rápido limpia la unidad completamente, borrando la cabecera de los archivos en el MBR pero nos da la posibilidad de recuperar los datos. El formato incondicional borra TODOS los datos de una unidad, dificultando su recuperación. Pero aún hay posibilidades por los medios que disponemos. El formato de bajo nivel destruye físicamente todos los datos, y reestructura de manera física la estructura del disco rígido. Su recuperación se vuelve imposible para los medios a los cuales accedemos. Incluso su recuperación es compleja para las empresas que se dedican a esta tarea.

Cuando instalamos o creamos archivos en una partición que antes fue formateada, los datos antiguos van siendo progresivamente reescritos, es decir, se van sobrescribiendo los datos que teníamos antes por los nuevos. Si sucede esto, los datos que fueron sobrescritos no podrán recuperarse. Por ello es muy importante que no instalemos absolutamente nada en el disco que vamos a restaurar, porque ello irá destruyendo los datos que estemos intentando recuperar. Por eso decimos que es importante tener una unidad adicional que nos permita ir copiando los datos desde el disco defectuoso al sano.


CAPÍTULO 7: ¿Cuándo no es necesario recuperar información?

Antes de asumir que se trata de una pérdida de información y lanzarnos con todo el arsenal de software de recuperación deberemos descartar que no se trate de un problema lógico (firmware y software). Ya hemos analizamos los posibles problemas físicos (verificar la alimentación, datos, etcétera). Para ello lo que vamos a probar son las siguientes causas: (Si no las entiende, diríjase al capítulo 2)

Si no arranca el S.O. verificamos que la partición activa sea donde está instalado éste.

Si no detecta particiones, pero nuestro S.O. funciona bien, verificamos que ninguna partición esté oculta

¿Cómo hago esto? Así iniciamos el primer ejemplo práctico.

EJEMPLO PRÁCTICO #1 En este ejemplo tenemos un disco con dos particiones, una de datos y otra del sistema operativo. El problema es que desde Windows la partición de datos no aparece en Mi PC (no es visible). Los pasos que podríamos seguir son los siguientes: Iniciamos una versión LiveCD de Linux (en este caso vamos a utilizar Ubuntu 9.04)

Probamos Ubuntu sin instalarlo. Esperamos que inicie y luego nos dirigimos en la barra superior a Sistema Administración Editor de Particiones Esperamos unos segundos y abrirá un programa llamado Gparted. Desde allí podremos redimensionar, borrar, editar, formatear, crear y algunas cosas más con particiones.


Ahora lo que sigue es seleccionar la partición problemática y hacer un click con el botón derecho del mouse. En el menú, seleccionar Gestionar flags y se desplegará un pequeño cuadro que dirá

boot

hidden

lba

lvm

palo

prep

raid


Ahora vemos que el problema radica en que esa partición figura Hidden (oculta). Solucionar este problema es sumamente sencillo: Deseleccionamos la casilla y listo. Aplicamos los cambios desde el botón Aplicar. Reiniciamos la PC y listo. La partición deberá aparecer.

Recordemos siempre aplicar los cambios sólo cuando estemos seguros

De la misma manera, si el sistema operativo no arranca (no bootea) seleccionamos la partición donde está instalado el S.O. Y verificamos que la casilla esté seleccioada en boot, de lo contrario, la causa era que esa partición no estaba activada como arrancable , por lo tanto nuestro S.O. Nunca iba a funcionar. Si utilizamos otro gestor de particiones, este puede llamarse Active . Para este caso son sinónimos. Este problema usualmente está asociado al uso de múltiples sistemas operativos iguales (Windows-Windows).

Entonces, vemos que ante estas situaciones no es para nada necesario utilizar otras herramientas más avanzadas para la recuperación de datos.

-FIN EJEMPLO-

Ahora que hemos tenido un acercamiento con Linux, vemos que no es complejo manejarlo. Una buena idea es utilizar una máquina virtual para hacer todas nuestras pruebas en un entorno completamente seguro. Una opción gratuita y conveniente para hacer estas pruebas es el Microsoft Virtual PC.

Para quienes no conozcan este tipo de programas, nos permite simular una computadora virtual (virtualizar) e instalar sistemas operativos, probar (como en este caso) aplicaciones y jugar con particiones, formatear, etcétera, sin modificar absolutamente nada de nuestra PC real .

Puede ser descargado desde: http://www.microsoft.com/downloadS/details.aspx?displaylang=es&FamilyID=04d26402-3199-48a3-afa2-2dc0b40a73b6

Una vez que se haya familiarizado (o no) con las herramientas que vamos a utilizar, ahora sí estamos en condiciones de comenzar el proceso de restauración de datos. Es necesario en más de un caso tener otro disco rígido para ir creando nuestra copia de seguridad, ya que en ocasiones si tratamos con un disco defectuoso las probabilidades de que volvamos a perder los datos son muchas.

A partir del capítulo 9, verá casos reales de recuperación de datos. Si ha seguido las instrucciones hasta aquí, deberá tener todos los conocimientos para aplicar sus

http://www.microsoft.com/downloadS/details.aspx?displaylang=es&FamilyID=04d2

6402-3199-48a3-afa2-2dc0b40a73b6


conocimientos. Lo que sigue puede ser utilizado como referencia para distintos tipos de problemas.


Capítulo 8: La práctica es la mejor herramienta

Como dice el dicho, la práctica es la mejor herramienta , y de eso no cabe dudas. En el presente capítulo vamos a proponer una serie de ejercicios simples para unificar los conceptos que hemos adquirido hasta aquí. Las herramientas son exactamente las mismas que presentamos en capítulos anteriores, sólo que en este utilizaremos la distribución de recuperación Linux Rescue CD y Knoppix. Si no poseen las dos versiones de los Linux que utilizaremos (o no desean tener las dos versiones, sino una que tenga todo), pueden reemplazarlo por Linux Ubuntu y descargar de Internet la versión de TestDisk para este sistema. Los pasos serán exactamente los mismos. Optamos por utilizar dos distribuciones distintas sólo para complicar un poco las cosas y ver que es perfectamente posible y sencillo.

La idea es la siguiente: Vamos a instalar VirtualPC en nuestra computadora (si utilizamos Windows) y desde allí utilizaremos una versión de Linux para realizar nuestras prácticas en un entorno 100% libre de posibles fallas, y seguro para nuestros datos, y nosotros. Cualquier error que cometamos, simplemente reiniciamos la PC virtual ¡y listo! Nada ha sucedido.

Sigamos los pasos de la siguiente manera: Iniciamos VirtualPC y desde allí el Linux Rescue CD. Para ello, si tenemos la ISO descargada directamente de Internet en nuestro disco podemos ir al menú CD > Capturar imagen ISO , o si la grabamos en un CD, Usar la unidad física X: (X, siendo el nombre de la unidad donde esté el LiveCD de Linux).

Una vez que cargó la distribución del Linux Rescue CD, seguramente ha desplegado un menú como el que vemos a continuación:

Escribimos wizard, y desplegará el siguiente menú:


Ahora, por lo general en la gran mayoría de las PCs funciona la opción Xvesa-run (la 3ra en la lista). Seleccionamos y deberá cargar Linux de la siguiente manera:

Ya está listo para utilizar. En el menú, dispondremos de todas las herramientas que precisaremos para la práctica:

TestDisk

GParted


Están en el menú System . Lo que haremos, será lo siguiente: crearemos una serie de particiones, a la que luego le agregaremos datos y la formatearemos accidentalmente para luego volver a recuperar los datos. Para ello, nos dirigimos al GParted y crearemos un par de particiones (en realidad, experimenten y creen las que quieran). Les quedará algo como esto:

Son 2 particiones NTFS, una de 7,91 GB y la otra de 8,09 GB (más o menos 8 GB cada una) Aplicamos los cambios y finalizamos con el tema de las particiones.


Ahora, haré una pequeña crítica para el Linux Rescue CD: Su sistema de ficheros no monta automáticamente unidades en NTFS. Aunque podríamos indicar aquí cómo hacerlo, no es nuestro objetivo incursionar en el sistema de montaje de unidades de Linux ni profundizar en el uso de fstab. En cambio, utilizaremos Knoppix, otra distribución Linux que permite montar y escribir particiones en NTFS automáticamente. Quien no entienda lo que dijimos en las líneas anteriores, no se asuste. Simplemente dijimos que Linux Rescue CD no nos permite escribir archivos en las particiones que hemos creado sin antes realizar un procedimiento llamado montar una unidad. Entonces, como solución a ello, utilizaremos de ahora en adelante Knoppix, que lo hace de forma automática. Iniciamos con el CD o el ISO de Knoppix de la misma forma que iniciamos anteriormente, y una vez que nos encontremos en el escritorio nos dirigimos a My Documents y seleccionamos alguna de las particiones que hayamos creado, como se muestra en la siguiente figura

Ahora, sólo necesitaremos llenar con algo esa partición. Esos son los datos que luego deberemos recuperar. Para ello, copiaremos el contenido de nuestro cd de Knoppix (o cualquier otro cd que queramos copiar) a esta nueva partición.


Una vez que la copia haya finalizado, llegó la hora de arruinar accidentalmente esta partición, y luego recuperarla con las herramientas de las que disponemos. Ahora, para la destrucción del sistema, utilizaremos nuevamente el Linux Rescue CD. Arrancamos e iniciamos el programa llamado GParted y eliminamos la partición seleccionada. Podemos eliminarla, formatearla, redimensionarla y formatearla, en fin, lo que queramos, siempre y cuando los datos no queden recuperables por los medios convencionales. Para este ejercicio, formatearemos y eliminaremos la partición. Para ello seguimos como muestra la imagen:


Formateamos a NTFS y luego eliminamos la partición donde teníamos los datos almacenados. Aplicamos los cambios.

Listo, hemos perdido toda la partición, y con ella todos los datos que teníamos almacenados en ella. Si lo desean, pueden reiniciar la máquina virtual (VirtualPC).

INICIO DE LA RECUPERACIÓN Para iniciar con el proceso de recuperación de datos y del disco mismo, utilizaremos el TestDisk. Se incluye en la misma distribución que venimos utilizando.


Seleccionamos el disco (en nuestro caso, el de 17 GB) Tipo de tabla de particiones: Intel Seleccionamos Analyse y nos arrojará los siguientes resultados:

Una partición de Linux (recuerden que el disco tenía una partición en ReiserFS y el segundo NTFS). Seleccionaremos la segunda partición, y como no nos dará ninguna información más, seleccionamos del menú de abajo Deeper Search . Esperamos que finalice el análisis y en nuestro caso nos arrojó los siguientes datos:


No fue necesario corregir la geometría del disco, agregar particiones de forma manual ni tampoco realizar análisis más profundos. Ya ha sido detectada una partición que fue formateada y posteriormente eliminada del disco. Seleccionaremos la última partición y cuando listemos los archivos que se encontraban en ella (presionando la tecla P), nos mostró todos los archivos.

Ahora que sabemos que los archivos son recuperables, en vez de copiarlos procederemos a recuperar por completo esta partición. Para ello, lo que haremos será volver al menú anterior (presionando la tecla Q) y veremos que el item seleccionado a su izquierda (al inicio de todo) si utilizamos las teclas derecha e izquierda, cambia el primer carácter entre *, P, D, L y E.

De acuerdo a lo visto en el capítulo 2 sobre particiones, vemos que concuerdan con el nombre de los tipos de particiones.

P nos indica que se trata de una partición Primaria (Primary Partition) L nos indica que se trata de una partición Lógica (Logical Partition) E nos indica que se trata de una partición Extendida (Extended Partition) D no se refiere a ningún tipo de partición. Puede hacer referencia a una

partición eliminada (Deleted Partition). Si se deja en D, TestDisk no recuperará esa partición.

* Deja que TestDisk examine qué tipo de partición fue.

En nuestro caso, sabemos precisamente que se trataba de una partición primaria, por lo que podemos optar por dejar el asterisco o cambiarlo por una P.


Presionamos ENTER y nos pedirá una confirmación para escribir esta partición nuevamente en la tabla de particiones, o salir. Por supuesto seleccionamos Write . Nos pedirá para reiniciar el sistema. Procedemos reiniciando VirtualPC, pero inicializamos con Knoppix, para ver qué tal resultó la recuperación.

Efectivamente, nuestras cosas han sido completamente recuperadas. Lo constatamos desde el GParted y el navegador de archivos de Knoppix.


CAPÍTULO 9: Recuperación directa de una partición

Vamos a ver un caso de recuperación de particiones desde Linux. El proceso es exactamente igual que en cualquier otro sistema operativo. Se trata de una recuperación directa de una partición en NTFS que ha sido eliminada o formateada (cortesía del equipo de TestDisk). El siguiente tutorial de recuperación lo guiará paso a paso utilizando TestDisk para recuperar una partición NTFS eliminada. Siempre y cuando los archivos no hayan sido sobrescritos, la información puede ser recuperada en su totalidad.

Comenzando el proceso de restauración

Seleccione el ítem Advanced

Seleccione la partición afectada y luego seleccione Undelete


Recuperación de la partición en NTFS

TestDisk escaneará las entradas MFT de archivos eliminados. Luego de este proceso todos los archivos encontrados serán listados como se muestra en la siguiente imagen.

Seleccione el archivo que desea recuperar y presione la tecla c para iniciar la copia en algún directorio.

Seleccionando el directorio donde los archivos serán copiados

Seleccione el destino. Debe tener muy en cuenta que NUNCA el destino debe pertenecer a la partición que está recuperando. De ser así los datos que deben ser restaurados serán reescritos por los que ya han sido recuperados y el proceso fallará y anulará la posibilidad de que pueda recuperar nuevamente los datos.


Después de unos minutos, cuando la recuperación de la partición en NTFS haya finalizado seleccione Quit presionando la tecla q

Con este mismo método puede recuperar:

Archivos pertenecientes a particiones NTFS desde la versión 6.11 en adelante.

Archivos y carpetas de los Sistemas de Archivo FAT12, FAT16 y FAT32.

Archivos de los sistemas de archivos Ext2.


CAPÍTULO 10: Destrucción del MBR

Este es un caso real, al cual le realizamos un seguimiento paso a paso. Se trata de un disco Western Digital WD800 de 80GB S-ATA. El caso presenta las siguientes características: Se trata de un disco de 80 GB con tres particiones (2 NTFS y una HFS+). Una de ellas (de 20GB) contenía una instalación de Windows XP que fue afectada por diferentes virus (no contaba con ninguna protección). La segunda, de 40 GB aproximadamente, contenía todos los datos del usuario. Y la tercera partición, de 20 GB, con su Sistema de Archivos HFS+ que contenía una instalación de Mac OSX Leopard. Los datos vitales a recuperar se encontraban en la partición de 40 GB, la cual estaba identificada con la etiqueta BILLI .

Como primera medida, realizamos los pasos que enumeramos en el capítulo 7 y 8. Como es de prever, no obtuvimos ninguna mejora. Paso siguiente, arrancamos con el Hiren s Boot y evaluamos la situación con el Paragon Partition Manager. Indicaba reiteradas veces un error I/O (In/Out Error, error de lectura y escritura) y no mostraba ningún dato de la partición, tampoco del disco.

Sospechando que se tratara de un error electrónico o físico del disco, analizamos en búsqueda de fallas, pero todo indicaba estar en buen estado.

Buscamos en Internet datos técnicos sobre el modelo, y en ellos son sobre los que nos basaremos para la recuperación:

* Velocidad de rotación 7,200 RPM (nominal) * Tamaño del buffer 2 MB * PIO modo 4 16.6 MB/s * DMA multipalabras modo 2 16.6 MB/s * Cilindros 16,383 * Cantidad de cabezales (lógicos) 16 * Cantidad de cabezales (físicos) 6 * Sectores por pista 63 * Capacidad formateada 80,026 MB * Interface S-ATA * Tipo de accionador Rotary Voice Coil * Cantidad de platos 3 * Bytes por sector 512 * Sectores de usuarios por disco 156,301,488

Para esta práctica utilizamos el disco de la imagen


Haciendo un análisis rápido, los problemas fueron los siguientes: El disco funcionaba perfectamente. Se detectaron muchos virus desde Windows, y como medida el usuario instaló un antivirus, un antispyware y un firewall, pero no dieron ningún resultado. La PC se reinició súbitamente, y el proceso de boot (arranque) demoró más de lo normal. La causa de esto fue que el disco no era correctamente detectado por el BIOS de la PC. Apagamos la computadora y analizamos los conectores del disco, lo intercambiamos de puerto S-ATA y lo detectó, pero la información del firmware del disco eran totalmente incorrectos (ya veremos qué significa esto). Iniciamos el Paragon, desde el CD del Hiren s Boot y fue en este momento cuando al ingresar nos arrojaba cuatro veces seguidas un error de I/O hasta que al final el programa iniciaba, pero el disco estaba completamente sin formato.

En nuestro caso, con otro disco rígido (WD5000 de 500 GB S-ATA2) instalamos una versión de Windows XP con el TestDisk. Lo mismo puede hacerse perfectamente desde una distribución LiveCD de Linux si no se cuenta con un segundo disco rígido.

Aplicaciones que utilizaremos:

TestDisk (desde Windows)

Paragon Partition Manager (desde Windows)

Ejecutamos la aplicación de testdisk_win (lo mismo para los demás sistemas operativos)


Seleccionamos el disco que deseamos restaurar

En este caso observe que el disco está irreconocible: El nombre de unidad es reconocido como WDC ROM MODEL-UNICORN- Y siendo de 80 GB, sólo reconoce 6213 MB / 5925 MiB

En tipo de tabla de particiones, seleccionamos Intel

Seleccionaremos Intel si la partición es del tipo Windows Compatible. Si deseamos restaurar una unidad para Mac OS, seleccionaremos EFI GTP o si estamos recuperando un sistema Solaris, seleccionaremos Sun. Ahora sí llegamos al menú de restauración. Donde tenemos varios ítems:

Para comenzar, realizaremos un análisis del disco. En el mejor de los casos, con un simple análisis, las particiones son detectadas de forma directa.


Esperamos que el escaneo finalice. El análisis de los cilindros debe ser veloz, de lo contrario si avanzan muy lentamente es porque hay un error en la estructura de nuestro disco (como lo es en este caso). De ser así, debemos ver la etiqueta que identifica nuestro disco (o buscar en Internet siempre que sepamos precisamente de qué disco se trata) y corroborar que la cantidad de Cilindros, Sectores, Cabezales y bytes por Sector sean los correctos. En nuestro caso particular el testeo demoraba al comienzo unos minutos (casi 2 minutos por cilindro), y a medida que avanzaba, a los 500 cilindros el tiempo de análisis se incrementaba a casi 10 minutos cada uno. Si figuraban 12041 cilindros, esto demoraría varios días en ser resuelto.

Entonces buscamos en Internet y verificamos que los datos sean correctos, y para nuestra sorpresa, la cantidad de cilindros era de 16383. Lo corregimos desde Geometry , reemplazando los datos que el programa había detectado por los

entregados por el fabricante. Resulta importante mencionar que cuando analizamos este disco con los programas Everest, Paragon, Partition Magic, TesttDisk, y otras herramientas, nos arrojaron un total de 12041 cilindros, cuando (vimos y verificamos por internet) el total es de 16388 cilindros.

Luego, al correr el análisis nuevamente, se realizó en no más de 3 minutos. Pero ahora el resultado daba lo siguiente:


Las particiones aún no son detectadas. Es más, sólo figura una sola y no es recuperable. Lo que sucede hasta aquí es que cuando cambiamos la cantidad de cilindros no hemos reiniciado la computadora. Esto nos trae problemas, ya que aparentemente el cambio que hemos propuesto no cambió nada. Fíjense que la cantidad de MB del disco ahora se ajustó de 6213 MB a 8455 MB, y no los 80 GB (80.000 MB) que corresponden.

Reiniciamos la computadora y acto seguido iniciamos nuevamente el TestDisk.

¿Ahora qué es lo que vemos? Nuestro disco parece estar volviendo en sí. Figuran los 80GB / 74 GiB WDC WD800JD-00LSA0

Corremos nuevamente el análisis y ahora lo que vemos sí nos deja más aliviados:

Ha detectado dos particiones en un disco que aparentemente hace unos minutos no existía. Es más, si utilizamos el EASEUS Partition Manager, o Paragon Prtition Manager detectaba un disco de 5 GB. Ahora detecta sus 80 GB. Esto es porque corregimos la cantidad de cilindros.


Si prestamos atención, ahora ha detectado las dos particiones de disco. Acto seguido, seleccionamos la partición que deseamos recuperar. En nuestro caso la partición que contiene los datos que deseamos restaurar se llama Billi .

En el panel de abajo observamos las opciones que podemos utilizar. Las opciones son las siguientes: A = En ese espacio crear una nueva partición L = Carga una copia de seguridad para la partición seleccionada T = Convierte el Sistema de Archivos de la partición seleccionada P = Lista los archivos de la partición seleccionada

Seleccionaremos P (listar archivos) y se desplegará una lista con todas las carpetas y archivos que pertenecen a la partición seleccionada. Como vemos en la imagen siguiente, tenemos la posibilidad de recuperar los archivos presionando la tecla C . Cuando elijamos qué archivo restaurar, el programa nos dará a elegir un directorio para realizar la copia de los archivos.

Recuerde: NUNCA el destino de la copia debe ubicarse en la partición que queremos recuperar. Los datos que estén siendo recuperados sobrescribirán los datos que esperan ser restaurados, y esto arruinará el proceso por completo.

Lo que ha sucedido hasta aquí es que cuando corregimos la cantidad de cilindros, a pesar de que la diferencia era de exactamente 4342 cilindros, la estructura del disco (LBA) no coincide de ninguna manera, y arroja datos incorrectos. La LBA (siglas de logical block addressing, dirección lógica de bloques) es un método usado para especificar la localización de los bloques de datos en los sistemas de almacenamiento. El término LBA puede referirse también a la dirección del bloque al que enlaza. Los bloques lógicos en los ordenadores modernos son normalmente de 512 o 1024 bytes cada uno.


En la imagen anterior hemos recuperado un archivo y el programa nos indica que la copia se ha realizado exitosamente.

Si no seleccionamos ningún archivo en particular, restaurará todo. Para ello vamos a los primeros 2 ítems (esos que figuran con . .. ) y presionamos la tecla C

Después de unos minutos, el proceso de recuperación de datos se llevó a cabo de forma exitosa.

En este caso particular, no recomendaría que restauren las particiones, porque será sumamente inestable, y peligroso si estas contenían virus o archivos infectados. Lo mejor sería hacer una copia de seguridad de los datos más necesarios y formatear de nuevo el disco con las particiones que queramos y volcar allí los archivos que rescatamos, previamente escaneados por un antivirus actualizado. Sino, lo más probable es que eventualmente ocurra un error como este:

El archivo o directorio está dañado o es ilegible.


Si aún así quiere hacer caso omiso y recuperar la partición, los pasos figuran al final del próximo capítulo.


CAPÍTULO 11: Recuperación de Particiones

Este es un caso que sucede mayormente cuando no prestamos atención al trabajo que estamos realizando y no solo borramos todas las particiones de un disco, sino que encima de ellas creamos nuevas particiones, y al momento de dar tamaño a cada una de ellas, vemos que ¿los tamaños no coinciden?... ¿Por qué este disco es diferente al ? OH NO!! ¡¡QUE HICE!! Aunque no parezca, es un error que suele ocurrir. Pero la presión con la que uno cuenta, hace que este caso se torne un dolor de cabeza recuperar los datos tal cual los teníamos. Pero la solución, sigue siendo relativamente sencilla, siempre y cuando no hayamos volcado gigabytes de datos en la partición nueva. Ahí sí, hemos metido la pata.

Seleccionamos la unidad que tenemos que recuperar. Utilizaré el disco rígido del capítulo anterior, el WD800 que luego de la recuperación, lo formatee para instalar Linux allí.

De esta manera el disco ahora tiene esta forma, donde la primer partición está en NTFS, la segunda es en ReiserFS y la tercera es Linux/SWAP (intercambio de Linux, que no es relevante para nosotros en este caso). La intención es, después de haber incluso formateado, poder acceder a los datos que teníamos en esa partición, que si recuerdan, su etiqueta era BILLI .

Bueno, seleccionado el disco, elegimos que el tipo de la tabla de partición sea Intel. Vamos a analizar el disco en búsqueda de particiones, y como resultado obtuve algo así.

Nada. Lo que vemos son las 3 particiones, 2 que he creado para instalar Linux y la NTFS para Windows. Entonces, seleccionamos Quick Search y esperamos a que termine el análisis.


Para nuestra sorpresa sigue siendo lo mismo. ¿Qué sucede? Nada, simplemente nos muestra el sistema de archivos tal cual están en este momento. Si queremos que haga un análisis más profundo, solo seleccionamos cualquiera de los 3 resultados que nos dio y en el panel de abajo seleccionamos Deeper search

Allí está, mientras analiza los cilindros ya encontró a nuestra querida partición. Esperamos pacientemente a que finalice el análisis de cilindros. Mientras tanto, pensemos lo importante que es etiquetar o nombrar a las unidades. Nos simplifica muchísimo a la hora de recuperar nuestros datos. Es un sano consejo. Ya va terminando ¡LISTO!


Seleccionamos la unidad y presionamos la tecla P para que liste los archivos.

Aquí tenemos listados los archivos, tal cual los teníamos. Ahora podemos realizar tranquilamente nuestra copia de seguridad.


- Pero, ¡no!, me está dando las instrucciones para realizar una copia de seguridad, yo quiero RESTAURAR las particiones como estaban

Epa!, tranquilo que aquí vamos. Hasta aquí hemos llegado a listar todos los archivos que contenía la partición. Pero todavía el trabajo no ha finalizado. Una vez que hayamos confirmado que se trataba de esta partición la que deseas recuperar, entonces presiona la q, que nos llevará a donde estábamos recién. Aquí deberemos actuar con calma, porque lo más frecuente es presionar ENTER ante la menor pista y esto nos llevará a perder el doble de tiempo, ya que TestDisk no detectará ninguna partición para restaurar y te llevará al inicio del programa y deberás comenzar todo de nuevo.

Ahora lo que haremos es desde aquí seleccionar las particiones que deseamos restaurar. Para ello vamos a utilizar las teclas de cursor DERECHA IZQUIERDA para cambiar entre las opciones *, P, L, E, D. Debes tener claro que las particiones marcadas con la letra D, no serán escritas en la tabla de particiones.

¿Qué es eso de *, P, L, E, D ? Si recuerdas lo que vimos en el capítulo 2 sobre particiones, vemos que concuerda perfectamente.

P nos indica que se trata de una partición Primaria (Primary Partition) L nos indica que se trata de una partición Lógica (Logical Partition) E nos indica que se trata de una partición Extendida (Extended Partition) D no se refiere a ningún tipo de partición. Puede hacer referencia a una

partición eliminada (Deleted Partition) * Deja que TestDisk examine qué tipo de partición fue.

Si recuerdas exactamente que tipo de partición era, entonces la puedes seleccionar manualmente. De lo contrario, utiliza el comodín *. Una vez que tengamos seleccionadas las particiones, entonces ahora sí presionamos ENTER.


Si estamos seguros, entonces seleccionamos Write. Nos pedirá una confirmación. La aceptamos y nos pedirá reiniciar la PC. Una vez reiniciada, vamos a Mi PC , nuestra partición ha sido restaurada con éxito.

Fíjense que en este caso donde formatee de verdad esta unidad con otras 3 nuevas particiones (NTFS, ReiserFS y Swap), y se ha podido recuperar de manera muy sencilla.

Por supuesto, esto nos sirve para todos los casos en que tengamos una partición afectada, y nunca la hayamos sobrescrito con otros datos. Por ejemplo, funcionará en casos como:

Borrar y crear nuevas particiones en un mismo disco

meter mano con programas particionadores

Querer instalar un nuevo sistema operativo y elegir la partición incorrecta, pero nos damos cuenta antes de que comience con la copia de archivos.

Pero no funcionará en casos como:

Realizar un formato de bajo nivel

Instalar un sistema operativo y darnos cuenta que lo instalamos en la partición equivocada

Formatear una unidad, y llenarla de datos cuando nos dimos cuenta que lo estamos haciendo en la partición equivocada.

Si prestamos atención, vemos que la mayoría de los descuidos que no tienen vuelta atrás son por descuidos. Así concluimos este capítulo de restauración de particiones.


Glosario En el libro se mencionan palabras como LiveCD, fstab, boot, etcétera. Dichos significados se explican en esta misma obra, pero para su consulta directa se ha diseñado este glosario, con la pregunta y su significado.

Palabra Significado Boot En informática, la secuencia de arranque, (boot o booting en inglés) es el

proceso que inicia el sistema operativo cuando el usuario enciende una computadora. Se encarga de la inicialización del sistema y de los dispositivos.

distro cada una de las variantes del sistema operativo GNU/Linux que incorpora determinados paquetes de software para satisfacer las necesidades de un grupo específico de usuarios, dando así origen a ediciones domésticas, empresariales y para servidores.

Ficheros archivos informáticos se llaman así porque son los equivalentes digitales de los archivos en tarjetas, papel o microfichas del entorno de oficina tradicional

Firmware o programación en firme, es un bloque de instrucciones de programa para propósitos específicos, grabado en una memoria de tipo no volátilcontrola los circuitos electrónicos de un dispositivo de cualquier tipo

fstab Archivo presente comúnmente en los sistemas UNIX que lista todos los discos, particiones e indica cuál es la partición activa del sistema.

GB Abreviación de GigaByte. 1 GB equivalen a 1024 MB (MegaBytes), y para discos, 1 GB = 1000 MB

GNU/Linux Término empleado para referirse al sistema operativo libre similar a Unix que utiliza como base las herramientas de sistema de GNU y el núcleo Linux.

LiveCD sistema operativo almacenado en un medio extraíble, tradicionalmente un CD o un DVD (de ahí sus nombres), que puede ejecutarse desde éste sin necesidad de instalarlo en el disco duro de una computadora, para lo cual usa la memoria RAM como disco duro virtual y el propio medio como sistema de archivos.

mainframe Una computadora central o mainframe es una computadora grande, potente y costosa usada principalmente por una gran compañía para el procesamiento de una gran cantidad de datos; por ejemplo, para el procesamiento de transacciones bancarias.

SdA Abreviación de Sistema de Archivos . Ver capítulo 3 swap En informática, el espacio de intercambio es una zona del disco (un fichero o

partición) que se usa para guardar las imágenes de los procesos que no han de mantenerse en memoria física. A este espacio se le suele llamar swap, del inglés "intercambiar".

UNIX Sistema operativo portable, multitarea y multiusuario; desarrollado, en principio, en 1969 por un grupo de empleados de los laboratorios Bell de AT&TDurante fines de la década de 1970 y principios de la década de 1980, la influencia de Unix en círculos académicos indujo a su adopción en masa. También se pueden encontrar sistemas similares a Unix, como Linux y los derivados de BSD.


Bibliografía:

WIKIPEDIA http://es.wikipedia.org/wiki/Disco_duro http://es.wikipedia.org/wiki/Cl%C3%BAster_%28sistema_de_archivos%29 http://es.wikipedia.org/wiki/Master_Boot_Record http://es.wikipedia.org/wiki/Sistema_de_archivos http://es.wikipedia.org/wiki/Tabla_de_Asignaci%C3%B3n_de_Archivos http://es.wikipedia.org/wiki/ZFS_%28sistema_de_archivos%29 http://es.wikipedia.org/wiki/MBR http://es.wikipedia.org/wiki/Partici%C3%B3n_de_disco#Tipos_de_particiones http://es.wikipedia.org/wiki/Logical_block_addressing

http://www.caleidoscopio.netii.net http://www.raymond.cc/blog/archives/2008/11/10/5-free-tools-to-backup-and-restore-master-boot-record-mbr/ http://www.cgsecurity.org/wiki/TestDisk_ES http://www.hiren.info/pages/bootcd http://www.microsoft.com/downloadS/details.aspx?displaylang=es&FamilyID=04d26402-3199-48a3-afa2-2dc0b40a73b6 http://www.cgsecurity.org/wiki/Running_TestDisk POWER USERS #22 Disco Duro MP Ediciones S.A. Año MMV

Extensión Glosario http://es.wikipedia.org/wiki/Boot http://es.wikipedia.org/wiki/Distribuci%C3%B3n_Linux http://es.wikipedia.org/wiki/Firmware http://en.wikipedia.org/wiki/Fstab (inglés) http://es.wikipedia.org/wiki/GNU/Linux http://es.wikipedia.org/wiki/Unix http://es.wikipedia.org/wiki/Livecd http://es.wikipedia.org/wiki/Mainframe http://es.wikipedia.org/wiki/Espacio_de_intercambio http://es.wikipedia.org/wiki/Fichero

Colaboración de imágenes: http://www.tomshardware.com/reviews/samsung-adds-capacity-fast-quiet-t133-series,1194-4.html http://www.cgsecurity.org Wikimedia Commons Microsoft VirtualPC 2007 6.0.0192

http://es.wikipedia.org/wiki/Disco_duro

http://es.wikipedia.org/wiki/Cl%C3%BAster_%28sistema_de_archivos%29

http://es.wikipedia.org/wiki/Master_Boot_Record

http://es.wikipedia.org/wiki/Sistema_de_archivos

http://es.wikipedia.org/wiki/Tabla_de_Asignaci%C3%B3n_de_Archivos

http://es.wikipedia.org/wiki/ZFS_%28sistema_de_archivos%29

http://es.wikipedia.org/wiki/MBR

http://es.wikipedia.org/wiki/Partici%C3%B3n_de_disco#Tipos_de_particiones

http://es.wikipedia.org/wiki/Logical_block_addressing

http://www.caleidoscopio.netii.net

http://www.raymond.cc/blog/archives/2008/11/10/5-free-tools-to-backup-and-

restore-master-boot-record-mbr/

http://www.cgsecurity.org/wiki/TestDisk_ES

http://www.hiren.info/pages/bootcd

http://www.microsoft.com/downloadS/details.aspx?displaylang=es&FamilyID=04d2

6402-3199-48a3-afa2-2dc0b40a73b6

http://www.cgsecurity.org/wiki/Running_TestDisk

http://es.wikipedia.org/wiki/Boot

http://es.wikipedia.org/wiki/Distribuci%C3%B3n_Linux

http://es.wikipedia.org/wiki/Firmware

http://en.wikipedia.org/wiki/Fstab

http://es.wikipedia.org/wiki/GNU/Linux

http://es.wikipedia.org/wiki/Unix

http://es.wikipedia.org/wiki/Livecd

http://es.wikipedia.org/wiki/Mainframe

http://es.wikipedia.org/wiki/Espacio_de_intercambio

http://es.wikipedia.org/wiki/Fichero

http://www.tomshardware.com/reviews/samsung-adds-capacity-fast-quiet-t133-

series,1194-4.html

http://www.cgsecurity.org