Cómo Funciona la Recuperación de Datos

Esta publicación continúa una serie de artículos sobre los mecanismos internos de las herramientas de recuperación de datos actuales.

En «Cómo Funciona la Recuperación de Datos«, analizamos cómo las herramientas de recuperación de archivos pueden recuperar archivos eliminados utilizando el sistema de archivos. Pero, ¿qué sucede si el archivo fue eliminado hace mucho tiempo y su registro en el sistema de archivos ya no existe? ¿O qué pasa si el disco fue formateado o reparticionado y el sistema de archivos está vacío o falta? Finalmente, ¿qué ocurre si el sistema de archivos es sobrescrito por otro sistema de archivos (como el utilizado por Linux o Ubuntu si experimentaste con un sistema operativo alternativo)? En este caso, las herramientas de recuperación de archivos tradicionales no podrán recuperar nada.

Cómo Funciona la Recuperación de Datos

Para recuperar información en tales situaciones, los fabricantes de herramientas de recuperación de datos inventaron un conjunto de algoritmos llamados ‘carving’ basados en la búsqueda de firmas. A diferencia de los métodos tradicionales de recuperación de archivos que dependen del sistema de archivos, el ‘data carving’ funciona leyendo toda la superficie del disco duro (o escaneando todo el contenido de medios basados en flash). Mientras escanean el disco, los algoritmos de ‘data carving’ buscan firmas características (de ahí el nombre «búsqueda de firmas») que identifican formatos de archivo conocidos. Esto es muy similar a cómo funcionan las herramientas antivirus, escaneando archivos y buscando patrones de código para identificar virus.

Por ejemplo, los archivos ZIP normalmente comienzan con «PK» seguido de datos binarios en un formato predefinido. Al analizar esos datos binarios, un algoritmo de ‘carving’ puede determinar si ese «PK» indica el inicio de un archivo ZIP (si todos los números coinciden), o si es solo un «PK» que fue escrito en un documento como este.

Si se confirma que la firma pertenece al archivo real, el algoritmo comenzará a analizar el encabezado del archivo. Al analizar el encabezado del archivo, el programa de recuperación de datos puede calcular la longitud original del archivo. Sabiendo la dirección inicial del archivo en el disco y conociendo la longitud de ese archivo, la herramienta puede determinar exactamente qué sectores son utilizados por los datos de ese archivo, leerlos y reensamblar el archivo original.

File carving: problemas y desafíos

¿No ves un problema en este enfoque? De hecho, hay al menos dos. Primero, sin el sistema de archivos no hay manera de descubrir el nombre original del archivo. Los archivos recuperados se guardan como «imagen0001.jpg» o «documento012.jpg» en lugar de tener un nombre adecuado. El otro problema tiene que ver con la fragmentación del disco. Si un archivo no está almacenado en un bloque contiguo (lo cual es típico para archivos más grandes), el ‘file carving’ no podrá recuperar el archivo completo.

Para resolver este problema, los desarrolladores combinan la información obtenida del sistema de archivos con los datos descubiertos mediante el uso de algoritmos de ‘file carving’. Este enfoque ofrece lo mejor de ambos mundos: una recuperación confiable completa con nombres de archivo y sin importar el nivel de fragmentación del disco.

Actualizado:
5/117
Den Broosen

Escrito por Den Broosen

Autor y editor del sitio para RecoverySoftware. En sus artículos, comparte su experiencia en la recuperación de datos en una PC y el almacenamiento seguro de información en discos duros y arreglos RAID.
Deja un comentario

Artículos relacionados

Comparación y diferencia entre RAID lvm y mdadm
Comparación y diferencia entre RAID lvm y mdadm
Los sistemas operativos modernos tienen muchas características para mejorar la seguridad de los datos y la usabilidad. En este artículo, compararemos RAID LVM y RAID mdadm, dos tecnologías interesantes cuyo objetivo principal es mantener su servidor, computadora o NAS en … Continue reading
¿Cuál es la mejor configuración RAID para un NAS?
¿Cuál es la mejor configuración RAID para un NAS?
Uno de los criterios importantes para elegir un dispositivo NAS (almacenamiento conectado a la red) es su capacidad para garantizar la integridad de los datos utilizando matrices RAID. Sin embargo, para asegurar una protección confiable de los datos, es importante … Continue reading
¿Qué es LVM y cómo funciona?
¿Qué es LVM y cómo funciona?
Con el objetivo de aumentar el nivel de seguridad de los datos, los desarrolladores implementan nuevas tecnologías en sus sistemas operativos. En este artículo hablaremos sobre LVM y responderemos las preguntas de qué es y cuáles son sus principales ventajas.
Cómo eliminar un virus que crea accesos directos a archivos y carpetas
Cómo eliminar un virus que crea accesos directos a archivos y carpetas
¿Han comenzado a aparecer accesos directos inútiles de archivos y carpetas en tu computadora? Probablemente sean bromas de virus. A continuación, analizaremos los principales métodos para buscar y eliminar los programas maliciosos que crean accesos directos.
Online Chat with Recovery Software