Recuperación de datos

La versión actual de la página aún no ha sido revisada por colaboradores experimentados y puede diferir significativamente de la versión revisada el 6 de junio de 2015; las comprobaciones requieren 27 ediciones .

La recuperación de datos  es el procedimiento para extraer información de un dispositivo de almacenamiento cuando no se puede leer de la forma habitual.

La recuperación se puede realizar desde cualquier medio informático, incluidos CD , DVD , discos duros , memoria flash , etc. Como regla general, los datos de cierto valor están sujetos a recuperación.

Razones

La necesidad de recuperación puede surgir cuando el soporte tiene daños en el hardware o el software, o cuando los archivos de datos solo se marcaron como eliminados, pero continúan almacenándose hasta que se sobrescriben.

En la tabla se presentan algunas razones comunes para la necesidad de recuperación de datos:

Tipo de medio Interrupción de la organización de datos Daño físico
Disquete Debido a errores de hardware y software al escribir datos, borrado accidental Desmagnetización , arañazos, contaminación superficial [1]
Disco compacto Debido a errores de hardware y software al escribir datos Daño/descomposición de una capa transparente, detectable o reflectante [2]
Flash NAND Debido a la eliminación incorrecta del dispositivo, formateo no autorizado , eliminación accidental Rotura de la placa , destrucción de contactos, quema de estabilizadores de potencia, controladores [3]
disco duro Formateo no autorizado , borrado accidental, daño a sectores que contienen información de servicio (área de servicio del disco duro) e información sobre la ubicación de archivos y carpetas (zona MFT) [4] Falla en la ROM del controlador, falla del bloque de cabezas magnéticas, defectos en la superficie de la placa magnética [5]

Métodos de recuperación

Actualmente, hay dos formas principales de recuperar datos. El método se selecciona dependiendo del mal funcionamiento de la unidad. El método de hardware-software se utiliza en los casos en que el método de software no funcionará.

Programáticamente

El método de software es la recuperación de datos sin intervención física en el dispositivo de la unidad, así como en el funcionamiento del firmware y la estructura de los módulos de información de servicio. Este método se usa en los casos en que se conserva la operatividad de la unidad, pero por una razón u otra, se pierde el acceso a los datos almacenados en ella. La razón de esto puede ser el formateo de discos lógicos, un cambio fallido en la geometría lógica de la unidad, eliminación de información, destrucción parcial o total del sistema de archivos, como información sobre la estructura de ubicación de datos en la unidad. A menudo, en estos casos, es posible recuperar la mayoría de los datos, sin embargo, hay casos en los que la recuperación de datos perdidos es imposible (la sobrescritura de datos puede considerarse un caso especial). Para automatizar el proceso de recuperación, se han escrito muchos programas, incluidos los gratuitos.

Restauración de la estructura del sistema de archivos

En el caso de formatear un disco lógico o una partición, la estructura y los atributos de los datos no se violan, pero la información sobre la ubicación de los datos en la unidad dada se cambia o se inventaria (restablece a su estado inicial).

Con el formateo rápido, se actualiza una pequeña parte de la tabla de archivos , quedan algunos registros de servicio, solo necesita interpretarlos y leer los datos en el orden correcto.

El formateo completo puede actualizar toda la tabla de archivos, por lo que no siempre es posible restaurar la estructura de archivos y carpetas. Para recuperar datos sin información sobre la estructura, puede utilizar la recuperación de archivos por firmas.

Si el sistema de archivos está dañado debido a una falla del software o de los medios, los programas de recuperación de datos pueden recuperar parte de la información, dependiendo de la cantidad de daño.

Restauración de datos del sistema de archivos eliminados

Al eliminar datos, de hecho, los datos permanecen físicamente en el disco, sin embargo, ya no se muestran en el sistema de archivos, y el lugar en el medio donde se encuentran se marca como libre y listo para escribir nueva información. En este caso, se cambian los atributos del archivo . En el caso de escribir en esta partición o unidad lógica, puede ocurrir el reemplazo parcial o total de los datos marcados como eliminados.

Dichos archivos se pueden leer y restaurar fácilmente con todos los atributos e información de ubicación al leer los registros de servicio del sistema de archivos. Existen tanto programas para recuperar datos eliminados únicamente como soluciones complejas, donde la recuperación de datos eliminados es solo una de las funciones.

También hay programas especiales: "trituradoras" diseñadas para destruir datos. [6] Una vez que dichos programas se utilizan correctamente, la recuperación no es posible.

Recuperación por firmas

En el caso de que la reconstrucción del sistema de archivos no sea posible por algún motivo, algunos archivos aún se pueden restaurar mediante la recuperación de firmas. Con este tipo de recuperación, se realiza un escaneo sector por sector de la unidad para detectar la presencia de firmas de archivos conocidas [7] .

El principio básico de funcionamiento de los algoritmos de búsqueda de firmas [8] es el mismo que el de los primeros antivirus. Al igual que un antivirus analiza un archivo en busca de datos que coincidan con fragmentos de código de virus conocidos, los algoritmos de búsqueda de firmas utilizados en los programas de recuperación de datos leen información de la superficie del disco con la esperanza de encontrar datos familiares. Los encabezados de muchos tipos de archivos contienen secuencias características de caracteres. Por ejemplo, los archivos JPEG contienen la secuencia de caracteres "JFIF", los archivos ZIP comienzan con los caracteres "PK" y los documentos PDF comienzan con los caracteres "%PDF-".

Algunos archivos (por ejemplo, archivos de texto y HTML ) no tienen firmas características, pero pueden determinarse indirectamente, porque contienen solo caracteres de la tabla ASCII .

Expediente Comienza con una firma
avi 5249
bmp 424D
tif 4949
doc D0CF
docx 504B
jpeg FFD8
png 8950

En función de los resultados del análisis, la mayoría de las veces se emite una lista de archivos ordenados por tipo. La información de ubicación del archivo no se restaura.

Este tipo de recuperación es bueno para recuperar fotos de tarjetas de memoria, ya que los datos en la tarjeta son del mismo tipo y, en general, se escriben de forma estrictamente secuencial, sin fragmentación.

Recuperación mixta

La mayoría de los programas le permiten aplicar varios métodos de recuperación al mismo tiempo en un solo escaneo. El resultado es el máximo resultado posible al usar este programa.

Restauración desde copias de seguridad

La forma más fiable, sencilla y económica de recuperar información es restaurar la información a partir de copias de seguridad realizadas anteriormente. Para crear copias de seguridad, se utiliza un software especializado que, entre otras cosas, puede realizar la recuperación de datos.

Método hardware-software

Se requiere el método de hardware-software si la unidad está dañada físicamente. Aquí es necesario centrarse en el tipo de unidad: si se trata de un disquete (disquete), disco duro (HDD), flash (unidad NAND-Flash) o CD / DVD / BD. Considere los principales tipos de medios y sus fallas.

Una unidad de disquete (FMD)

La falla principal es la llamada " desmagnetización ".

Ocurre con mayor frecuencia al pasar detectores magnéticos en tiendas, subterráneos , aeropuertos . Es posible recuperar datos solo de áreas no desmagnetizadas de la unidad. También hay fallas de funcionamiento asociadas con daños físicos en los medios, como rasguños, suciedad intensa. Cada caso debe ser considerado individualmente y solo después de eso para predecir el resultado de la recuperación de la información.

Unidades de CD/DVD/BR

Las unidades ópticas pueden tener varias razones para no poder leer datos:

  1. Mecánico
    • daño a la capa transparente
    • daños en la capa reflectante
  2. Químico
    • descomposición de la capa transparente
    • descomposición de la capa grabada (para discos grabables)
    • corrosión de la capa reflectante
  3. Interrupción de la organización de datos
    • debido a errores de hardware y software al escribir datos
    • por datos incorrectos

Las causas más comunes de los discos ilegibles son los daños en las capas reflectantes y transparentes, así como la descomposición de la capa grabada en los discos grabables. En caso de rayaduras en la superficie del CD , es posible aplicar un pulido de la superficie de trabajo, lo que eliminará daños no deseados y mejorará la lectura de datos, sin embargo, si se forman grietas, es peligroso utilizar este método, ya que durante la lectura posterior el disco puede destruirse en la unidad bajo la acción de la fuerza centrífuga. El daño a la capa de lámina de un disco (envejecimiento del metal, rayones) complica más la recuperación de datos.

NAND - Flash

Este tipo de almacenamiento incluye USB Flash , unidades SSD , tarjetas de memoria SD , miniSD , microSD , xD , MS, M2, Compact Flash .

Las fallas técnicas más comunes [9]  :

  • Fallos lógicos
La unidad no tiene daños físicos visibles y se reconoce en el sistema. El problema ocurre al intentar acceder o escribir/leer datos. Estos fallos de funcionamiento se producen en una variedad de casos. Una de las razones más comunes es la eliminación incorrecta del dispositivo de la computadora. En caso de fallas lógicas, la recuperación de datos es posible con la ayuda de programas de recuperación de datos .
  • Daños mecanicos
La unidad ha dejado de funcionar correctamente como resultado de algún impacto físico (caída, humedad, flexión, compresión, etc.). La causa del mal funcionamiento, con mayor frecuencia, es la ruptura de la placa o la destrucción de contactos y componentes. Puede recuperar datos si soluciona la avería: reemplace el componente defectuoso o restablezca el contacto roto. También es posible leer datos directamente desde el chip de memoria utilizando un equipo especial.
  • Daños eléctricos
El daño eléctrico es causado por una descarga estática o un problema de energía. Como resultado, los estabilizadores de potencia, los diodos y los controladores pueden quemarse. La recuperación de datos se realiza como en el caso anterior: reemplazando componentes o leyendo directamente de los chips de memoria. Unidad de disco duro (HDD)

Hasta la fecha, estas unidades se consideran las más potentes y lo suficientemente rápidas, pero muy vulnerables a la tensión eléctrica y mecánica. Si se excede el voltaje de suministro o si el voltaje es inestable, puede ocurrir una falla térmica en la placa del controlador, así como una falla en el interruptor del preamplificador dentro del HDA. En el primer caso, la placa controladora del disco duro falla y el procedimiento de recuperación de datos finaliza con su reemplazo con la transferencia de los parámetros adaptativos de la unidad defectuosa a la nueva placa. Sin embargo, hay casos en los que, como resultado de una avería, la electrónica del HDA falla , en cuyo caso es necesario reemplazar la MHA (unidad de cabeza magnética) [10] , lo que, en esencia, es un proceso costoso y que requiere mucho tiempo. procedimiento.

En caso de daño mecánico, como caída, impacto , deformación , es necesaria la intervención de un especialista en el HDA, ya que para determinar la posibilidad de recuperación de datos, es necesario analizar el estado de los discos magnéticos. En el caso de raspaduras o abrasiones radiales concéntricas en la superficie del plato, la probabilidad de recuperación de datos se reduce, ya que se requiere una superficie perfectamente lisa y uniforme de los discos magnéticos para una lectura exitosa de los datos. También existen fallas asociadas con el atasco del eje de un motor eléctrico sin escobillas . En este caso, los especialistas recurren a trasplantar todo el paquete de discos magnéticos a un SD ( motor de husillo ) que funcione, después de lo cual se calibra y se ajusta el BMG.

Muy a menudo hay un mal funcionamiento asociado con la destrucción de la llamada información de servicio de la unidad. Algunas partes (de ninguna manera toda) de la información de servicio pueden tomarse de unidades similares y escribirse en una unidad defectuosa utilizando un equipo especial que, por regla general, está disponible en los centros de servicio involucrados en la recuperación de datos a nivel profesional. Como muestra la práctica, los intentos de interferencia no calificada en la estructura de la información de servicio de la unidad, lamentablemente, conllevan la pérdida final e irrecuperable de datos.

En caso de destrucción del disco magnético, la recuperación de datos es imposible en principio.

Datos interesantes

  • De uno de los discos duros a bordo del transbordador Columbia accidentado , utilizado para registrar información sobre experimentos científicos en vuelo, y dañado significativamente como consecuencia del desastre, se pudo recuperar posteriormente el 90% de la información, lo que hizo posible el final. de un estudio científico de 20 años. La restauración de la información tomó alrededor de 5 años [11] .

Notas

  1. F. Cohen, C. Preston. Un método para recuperar datos de unidades de disquete defectuosas . Fecha de acceso: 18 de enero de 2013. Archivado desde el original el 30 de junio de 2014.
  2. K. Bradley. Riesgos asociados con el uso de CD y DVD grabables como medios de almacenamiento confiables en colecciones de archivos: estrategias y alternativas . Fecha de acceso: 18 de enero de 2013. Archivado desde el original el 8 de febrero de 2012.
  3. Cómo prolongar la vida útil de sus unidades flash . R.LAB (10 de noviembre de 2006). Consultado el 30 de abril de 2020. Archivado desde el original el 30 de mayo de 2020.
  4. Recuperación de datos de un disco duro. Hdd-Info, 2013 . Consultado el 30 de abril de 2020. Archivado desde el original el 5 de agosto de 2020.
  5. Storelab. ¿Por qué falla un disco duro ? Consultado el 30 de abril de 2020. Archivado desde el original el 22 de septiembre de 2020.
  6. Destrucción y recuperación de datos . Consultado el 27 de junio de 2011. Archivado desde el original el 23 de mayo de 2012.
  7. Fácil recuperación de datos . R.LAB (11 de enero de 2011). Consultado el 30 de abril de 2020. Archivado desde el original el 13 de mayo de 2020.
  8. Cómo funcionan los algoritmos de búsqueda de firmas en los programas de recuperación de datos . HABR (14 de enero de 2013). Archivado desde el original el 21 de marzo de 2013.
  9. Cómo prolongar la vida útil de sus unidades flash . R.LAB (10 de noviembre de 2006). Consultado el 30 de abril de 2020. Archivado desde el original el 30 de mayo de 2020.
  10. Artículo "Recuperación de datos con sustitución del bloque de cabezas magnéticas (BMG)" (enlace inaccesible) . Consultado el 24 de octubre de 2011. Archivado desde el original el 16 de mayo de 2012. 
  11. Disco descifrado del transbordador Columbia accidentado (enlace inaccesible) . RosBusinessConsulting (10 de mayo de 2008). Archivado desde el original el 28 de octubre de 2011. 
 software de recuperación de datos
fuente abierta
software gratuito
shareware