Software de recuperación de datos

Recuperación de datos desde discos duros, tarjetas de memoria y otros medios

 

Se debe recurrir a la recuperación de datos si los archivos necesarios se eliminan accidentalmente, cuando el sistema de archivos está formateado con los datos necesarios, cuando el sistema de archivos «vuela», cuando por alguna razón el disco simplemente deja de ser detectado por el sistema operativo, o si el medio está dañado, se producen algunos archivos. Se vuelven inaccesibles o desaparecen.

Este artículo proporciona una lista de programas que están relacionados de alguna manera con la restauración de archivos, carpetas, fotos, documentos, etc. desde los medios de almacenamiento. Absolutamente todos estos programas son gratuitos, cada uno de ellos tiene un código fuente abierto.

Dividí estos programas en cuatro grupos:

  • Programas para recuperar archivos borrados.
  • Programas de restauración del sistema de archivos
  • Software para recuperar datos de medios dañados
  • Software forense con recuperación de datos.

La división es algo condicional, ya que algunos programas tienen una amplia funcionalidad y pueden ubicarse en varios grupos a la vez.

Los programas tienen sus propias características: el sistema operativo en el que funcionan, los métodos utilizados, los tipos de archivos que pueden encontrar, los sistemas de archivos, los métodos utilizados, etc. Si uno de los programas no produjo resultados, entonces tiene sentido intentar otro.

Todos los programas descritos aquí funcionan en Linux, algunos de ellos son multiplataforma y funcionan en otros sistemas operativos, por ejemplo, Windows. Esto se anotará en la descripción del programa.

Generalmente, cuando se elimina un archivo, su contenido no se elimina, pero la información sobre este archivo se elimina. Aproximadamente lo mismo sucede con el formateo rápido de los medios. Esto es lo que utilizan muchos programas de recuperación de archivos: buscan el contenido de un archivo y lo copian, este proceso se llama «recuperación de archivos». El espacio (área en el disco) que ocupó el archivo después de la eliminación se considera no asignado (no distribuido) y se puede sobrescribir cuando se guarda otro archivo. Por lo tanto, es extremadamente importante no guardar datos nuevos en los medios. Si no lo hace, los programas y los procesos del sistema pueden hacerlo sin su participación. Los sistemas operativos acceden continuamente al sistema de archivos. Por ejemplo, Windows varias veces cada segundo a lo largo del trabajo de la computadora se convierte en su registro. Muchos procesos Lo que ni siquiera adivinas, también funciona con el sistema de archivos. A partir de aquí siguen unas reglas bastante obvias:

  • No escriba nuevos archivos en el disco o en la unidad flash USB desde la que desea recuperar un archivo eliminado o perdido;
  • Los archivos recuperados se deben guardar en otro medio y no en el que se está realizando la restauración, ya que estos archivos sobrescribirán los datos y las posibilidades de recuperación de cada archivo subsiguiente caerán;
  • Si está trabajando en Linux, desmonte la partición o vuelva a montarla de solo lectura;
  • Si se trata de una partición del sistema, se recomienda apagar la computadora y trabajar desde el disco en vivo o con la imagen de esta sección.

Una buena práctica es no trabajar directamente con los medios, sino hacer su imagen y trabajar con el archivo de imagen. Gracias a este enfoque:

  • el operador se puede desconectar del sistema, lo que garantiza que los procesos del sistema operativo no accederán a él ni le escribirán datos;
  • Definitivamente no haces daño al portador si haces algo mal;
  • Si la necesidad de restaurar archivos se debe a un mal funcionamiento del operador, el trabajo intensivo de varios programas puede agravar la situación.

Programas para recuperar archivos borrados.

Esta sección es principalmente programas que restauran archivos y carpetas individuales.

PhotoRec

 

PhotoRec

PhotoRec, quizás, es uno de los programas más fáciles de usar. Funciona en varios sistemas operativos, incluyendo Windows. En Windows, puede funcionar tanto en modo consola como con una interfaz gráfica. A pesar de su amabilidad, es muy eficaz para la recuperación de archivos. Incluso puede funcionar con medios en los que ha volado el sistema de archivos.

Este programa es un complemento de TestDisk, que también podría considerarse en la misma sección, ya que también puede recuperar archivos. Pero el propósito principal de TestDisk es restaurar los sistemas de archivos, por lo que se tratará un poco más adelante.

Scalpel

Scalpel es un programa de código abierto para recuperar archivos usando una base de datos de encabezados y pies de página. Puede recuperarse de imágenes de disco o dispositivos con bloques en bruto, los encabezados y pies de página son configurados por el usuario. El programa se utiliza no solo para la recuperación de archivos, sino también para la investigación forense digital.

extundelete

extundelete es una utilidad que puede recuperar archivos eliminados de las particiones ext3 o ext4.

Foremost es un programa de consola para recuperar archivos según sus encabezados, pies de página y estructura de datos interna. Este proceso se conoce comúnmente como «raspado de datos». Foremost puede trabajar con archivos de imagen, como los generados en dd, Safeback, Encase, etc., o directamente con el disco. Los encabezados y pies de página se pueden especificar en el archivo de configuración, o puede usar los interruptores de línea de comando para definir con precisión los tipos incorporados. Estos tipos incorporados miran la estructura de datos de un formato de archivo dado, lo que permite una recuperación más confiable y rápida.

 

ext4magic

ext4magic es una herramienta de administrador de Linux que puede ayudar a recuperar archivos eliminados o sobrescritos en sistemas de archivos ext3 y ext4.

En su trabajo se basa en el registro del sistema de archivos.

ext3grep

ext3grep es una herramienta para examinar sistemas de archivos ext3 en busca de contenido eliminado y la capacidad de restaurarlo. El programa ayuda a recuperar archivos borrados solo de sistemas de archivos ext3.

scrounge-ntfs

scrounge-ntfs es una utilidad para rescatar datos de particiones NTFS dañadas, escribe los archivos resultantes en otro sistema de archivos en funcionamiento. Alguna información sobre la partición dañada debe ser conocida de antemano.

Recuperarjpeg

Recoverjpeg – Recupera fotos JFIF (JPEG) y archivos de video MOV. Recoverjpeg intenta identificar imágenes jpeg en el sistema de archivos o desde una imagen del sistema de archivos.

Rescate mágico

magicrescue: escanea el dispositivo de bloque y extrae archivos de tipos conocidos mediante «bytes mágicos». Puede utilizarse como una utilidad para recuperar archivos eliminados y guardar datos de un disco o partición dañado. Funciona en cualquier sistema de archivos, pero en sistemas de archivos muy fragmentados, el programa puede recuperar solo la primera parte de cada archivo. Sin embargo, estos trozos alcanzan a veces 50 megabytes.

ddrescue

ddrescue es una herramienta de recuperación de datos. Copia datos de un archivo o dispositivo de bloque a otro, intenta guardar las partes buenas primero, si hay errores de lectura.

Programas de restauración del sistema de archivos

Testdisk

 

Testdisk

TestDisk es un programa de código abierto y licencia pública general de GNU (GPL v2 +).

TestDisk es un poderoso programa gratuito de recuperación de datos. Fue diseñado principalmente para ayudar a recuperar particiones perdidas y / o restaurar la capacidad de arranque del disco si este problema es causado por software, virus o errores humanos (como la eliminación accidental de una tabla de particiones). Es muy fácil recuperar las Tablas de partición de TestDisk.

TestDisk puede:

  • Corregir la tabla de particiones, restaurar particiones eliminadas;
  • Restaurar el sector de arranque FAT32 desde la copia de seguridad;
  • Reconstruir (reconstruir) el sector de arranque FAT12 / FAT16 / FAT32;
  • Corregir tabla FAT;
  • Reconstruir (reconstruir) el sector de arranque NTFS;
  • Restaurar el sector de arranque NTFS desde la copia de seguridad;
  • Recuperar MFT utilizando espejo MFT;
  • Detectar copia de seguridad SuperBlock ext2 / ext3 / ext4;
  • Recupere archivos eliminados en sistemas de archivos FAT, NTFS y ext2;
  • Copie archivos desde particiones remotas FAT, NTFS y ext2 / ext3 / ext4.

TestDisk es adecuado para principiantes y expertos. Para aquellos que saben poco o nada sobre los métodos de recuperación de datos, TestDisk se puede usar para recopilar información detallada sobre los discos que no se pueden arrancar, que luego se pueden usar para un análisis más detallado. Aquellos que ya están familiarizados con tales procedimientos deberían encontrar a TestDisk una herramienta conveniente cuando realizan la recuperación.

TestDisk puede trabajar bajo:

  • DOS (real o en Windows 9x, DOS-box)
  • Windows (NT4, 2000, XP, 2003, Vista, 2008, Windows 7 (x86 y x64), Windows 10
  • Linux
  • FreeBSD, NetBSD, OpenBSD
  • SunOS
  • MacOS X

gpart

gpart intenta adivinar qué particiones están en el disco duro. Está intentando encontrar un archivo perdido, reescrito o destruido, pero aún existente en la tabla de particiones del disco, al que el sistema operativo no puede acceder. gpart ignora la tabla de particiones principal y escanea el disco (o imagen de disco) sector por sector en busca de varios tipos de sistemas de archivos / particiones. En su trabajo, ella usa módulos de reconocimiento de sistema de archivos, preguntándoles si esta secuencia de sectores se parece a un sistema de archivos o tipo de partición.

anyfs-herramientas

anyfs-tools – un kit de herramientas de unix para recuperar y convertir sistemas de archivos.

Herramientas:

  • anyfs-tools proporciona un kit de herramientas de unix para recuperar y convertir sistemas de archivos.
  • build_it lee desde el directorio información recursiva sobre todos los inodos del sistema de archivos usando el controlador (para la lectura) del sistema operativo Linux y lo almacena como una tabla de inodos externos.
  • anysurrect busca archivos en un dispositivo basándose en la estructura conocida de varios tipos de archivos. La información sobre los archivos encontrados también se guarda como una tabla de inodo externa.
  • reblock  cambia el tamaño del bloque del sistema de archivos. volver a bloquear utilizando la información de la tabla de inodos cambia las posiciones de los fragmentos de archivos individuales para que se alineen con los nuevos bordes de tamaño de bloque.
  • build_e2fs basado en la información proporcionada por la tabla de inodos externos construye el sistema de archivos ext2fs en el dispositivo.
  • build_xfs, basado en la información proporcionada por la tabla de inodos externos, construye el sistema de archivos xfs en el dispositivo.
  • anyconvertfs convierte el sistema de archivos del dispositivo utilizando otras utilidades de anyfs-tools.
  • El controlador del sistema de archivos de Linux anyfs le permite montar el dispositivo utilizando información de la tabla de inodos externos. Al mismo tiempo, en el sistema de archivos montado estarán disponibles las operaciones de archivos, como eliminar o mover archivos; Creación de enlaces simbólicos y duros, archivos especiales; Cambio de derechos de acceso. Todos estos cambios se guardan al desmontar la tabla de inodos externos en el mismo archivo y no afectan al dispositivo en sí.
  • anyfuse es una implementación FUSE de anyfs.

Software para recuperar datos de medios dañados

copia de seguridad

safecopy es una herramienta para recuperar datos de medios problemáticos o dañados. El programa guarda datos de fuentes que tienen errores de lectura y escritura. Intenta obtener la mayor cantidad de datos de la fuente como sea posible, incluso recurriendo a operaciones de bajo nivel específicas del dispositivo, cuando sea posible.

recuperacion

recoverdm – recupera archivos de discos con sectores defectuosos.

recuperar

recuperabit es una herramienta para la reconstrucción del sistema de archivos forense.

Software forense con recuperación de datos.

Autopsia

 

Autopsia

Autopsy es una plataforma forense digital y una GUI para Sleuth Kit y otras herramientas forenses digitales. Es utilizado por agencias policiales, militares y expertos corporativos para investigar lo que ha sucedido en las computadoras. Los usuarios normales pueden usarlo, por ejemplo, para recuperar fotos de una tarjeta de memoria de cámara digital.

Autopsia fue creada para ser intuitiva fuera de la caja. La instalación es simple y el asistente lo guiará a través de todos los pasos.

Kit de detección

El Sleuth Kit (TSK) es una biblioteca de C y una colección de herramientas de línea de comandos que le permiten examinar imágenes de disco. La funcionalidad clave de TSK le permite analizar volúmenes y datos del sistema de archivos en la computadora de un sospechoso. El marco de complementos le permite incorporar módulos adicionales para analizar el contenido de los archivos y crear sistemas automatizados. La biblioteca se puede incorporar a una gran cantidad de herramientas forenses digitales, y las herramientas de la línea de comandos se pueden usar directamente para buscar evidencia.

Dado que las herramientas no dependen del sistema operativo para trabajar con el sistema de archivos, muestra el contenido eliminado y oculto. El programa se ejecuta en plataformas Windows y Unix.

DFF (Digital Forensics Framework – Digital Forensic Framework)

 

DFF (Digital Forensics Framework – Digital Forensic Framework) es una plataforma informática forense de código abierto construida sobre API separadas. El DFF está destinado a reemplazar las antiguas soluciones forenses digitales utilizadas hoy en día. Diseñada para facilitar su uso y automatización, la interfaz DFF guía al usuario a través de los pasos principales de una investigación digital, por lo que puede ser utilizado por profesionales y no expertos para realizar investigaciones digitales y respuestas a incidentes de forma rápida y sencilla.

Descargo de responsabilidad : este artículo está escrito sólo para fines educativos. El autor o editor no publicó este artículo con fines maliciosos. Si los lectores desean usar la información para beneficio personal, el autor y el editor no son responsables de ningún daño o daño causado.

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

A %d blogueros les gusta esto: