El post que buscas se encuentra eliminado, pero este también te puede interesar

Recuperando un HDD y archivos

Sectores Defectuosos
Bad Cluster

Generalmente cuando se habla de Bad Clúster o Sectores defectuosos, da miedo y lo primero que dicen es: ”cómprate uno nuevo”.

Los Sectores Defectuosos (Bad Clúster), son nada más que daños físicos en los discos magnéticos, fallos en la superficie de grabación, que generalmente aparecen a los picos de tensión en el uso normal o al simple envejecimiento del dispositivo.

En el primer caso no hay de que preocuparse. Pero si cuando el cabezal de lectura del HDD está leyendo un sector se corta de pronto el suministro de energía, el sector podría llegar a estropearse. En este caso solo basta pasar un Scandisk, por el HDD para seguir utilizándolo normalmente.

SAI

En los casos que existan muchos Bad clústers, es recomendable reparticionar el HDD, aislando los bad clústers, por ejemplo si observas que la mayoria de los Bad Clúster se encuentran en el último 25% del Disco, reparticionare mos el Disco quedando solo el 75% para utilizarlo, claro es mejor que botarlo o no Huh

Tengamos en cuenta que los HDD´s modernos tienen una zona reservada para estos casos, los clústers se sustituyen por otros que el mismo disco tenia reservados de esta forma se puede utilizar la mayoria de los clusters en buen estado.

Formateo del Fabricante

El número de sectores guardados depende totalmente del fabricante del disco, pero en total hay sólo unas cuantas decenas de ellos.

Las direcciones de los principales fabricantes son:

Adaptec
BusLogic
Chinon
CMD Technology
Conner
Data Technology
Digital Research
Fujitsu
GSI
IBM
Initio
KingByte
Longshin
Maxtor
New Media
Paradise
Qlogic
Quantum
Seagate
Tekram
Toshiba
Tyan Computer


La mayor parte de estos programas han sido desarrollados por Ontrack y licenciados luego para sus respectivos fabricantes. Pero Ontrack comercializa un programa llamado Ontrack Disk Manager (Disk Go!), que funciona para cualquier HDD

Ontrack Disk Manager

Recuperación de Archivos

La clave de la Informática Forense, es el análisis correspondient e de los Discos Duros, discos extraíbles, Cd´s, Discos SCSI, entre otros muchos otros medios de almacenamiento . Este análisis no solo busca pruebas incriminatoria s, sino que también contraseñas, nombres de usuario entre otros mas que se pueden utilizar para tener pruebas correspondient es para un juicio.
Por esto quiero comenzar con el asunto de:

Los archivos son creados en varios tamaños dependiendo de lo que contengan. Los sistemas basados en DOS, Windows 95/98/ME/XP y Windows NT/2000 almacenan los archivos en bloques de tamaño fijo llamados clusters, en los cuales raramente el tamaño de los archivos coinciden perfectamente con el tamaño de uno o muchos clusters.

El espacio de almacenamiento de datos que existe desde el final del archivo hasta el final del cluster se llama ”file slack". Los tamaños de los clusters varían en longitud dependiendo del sistema operativo involucrado y, en el caso de Windows 95/98/ME/XP, del tamaño de la partición lógica implicada.

Un tamaño más grande en los clusters significan más file slack y también mayor pérdida de espacio de almacenamiento . Sin embargo, esta debilidad de la seguridad del computador crea ventajas para el investigador forense, porque el file slack es una fuente significativa de evidencia y pistas.

El file slack, potencialmente contiene octetos de datos aleatoriamente seleccionados de la memoria del computador. Esto sucede porque DOS/Windows escribe normalmente en bloques de 512 bytes llamados sectores. Los clusters están compuestos por bloques de sectores, si no hay suficientes datos en el archivo para llenar el ultimo sector del archivo, DOS/Windows diferencia hacia arriba(los datos) completando el espacio restante con datos que se encuentran en ese momento en la memoria del sistema.

Archivo Swap de Windows

Los sistemas operativos Microsoft Windows utilizan un archivo especial como un "cuaderno de apuntes" para escribir datos cuando se necesita memoria de acceso aleatorio adicional. En Windows 95/98/ME/XP, a estos archivos se les conoce como Archivos Swap de Windows. En Windows NT/2000 se conocen como directorios de página de Windows pero tiene esencialmente las mismas características que los de Win9x.

Los archivos de intercambio son potencialmente enormes y la mayoría de los usuarios de PC son inconscientes de su existencia. El tamaño de estos archivos puede extenderse desde 20MB a 200MB, el potencial de estos es contener archivos sobrantes del tratamiento de los procesadores de texto, los mensajes electrónicos, la actividad en Internet (cookies, etc), logs de entradas a bases de datos y de casi cualquier otro trabajo que haya ocurrido durante las últimas sesiones. Todo esto genera un problema de seguridad, porque el usuario del computador nunca es informado de este almacenamiento transparente.

Los Archivos Swap de Windows actualmente proporcionan a los especialistas en computación forense pistas con las cuales investigar, y que no se podrían conseguir de otra manera.

Unallocated File Space

Cuando los archivos son borrados o suprimidos en DOS, Win9x, WinNT/2000, el contenido de los archivos no es verdaderamente borrado. A menos que se utilice algún software especial que ofrezca un alto grado de seguridad en el proceso de eliminación, los datos "borrados", permanecen en un área llamada espacio de almacenamiento no-asignado (Unallocated File Space). Igual sucede con el file slack asociado al archivo antes de que éste fuera borrado. Consecuentemen te, siguen existiendo los datos, escondidos pero presentes, y pueden ser detectados mediante herramientas de software para el análisis de la computación forense.

Eliminación por la papelera de Reciclaje

Windows no elimina totalmente el archivo aunque hubiesemos ordenado vaciar la papelera, simplemente sustituye la primera letra del nombre de cada archivo en el sistema de archivos del disco, para no volver a reconocerlo y seguidamente marca todo el espacio ocupado por el archivo como segmentos disponibles, y designa al archivo como susceptible de escribírsele encima.
Si trabajamos con Windows XP podemos restaurar estos archivos manualmente:

1. Desde Inicio, Ejecutar, escribir MSCONFIG y pulsar Enter.
2. En la pestaña “General”, se oprime el botón “Expandir archivo”
3. En “Archivo para restaurar” escribir el nombre del archivo a restaurar. Ej.: NOMBRE.XXX
4. En “Restaurar desde” escribir el camino completo a los archivos de instalación de Windows (en el CD, generalmente es D:I386, si la unidad de CD fuera la D:, de lo contrario, buscar su ubicación en el disco rígido, donde se suelen copiar antes de una instalación).
5. En “Guardar archivo en” asegurarse de tener C:WINDOWSSYSTEM3 2, o la carpeta donde Windows guarda el archivo a recuperar (System32 es la ubicación por defecto para los archivos del sistema en Windows XP)
6. Hacer clic en “Aceptar”.
7. Repetir los pasos 2 a 6 para extraer los archivos que sean necesarios

GetDataBack.

GetDataBack for NTFS es un software de recuperación de datos para sistemas de archivos NTFS. El programa va a recuperar tus datos incluso en situaciones extremas, con la tabla de particiones, el boot record o el directorio root destruídos.
Además de todo esto se pueden recuperar archivos en particiones borradas y formateadas, que el sistema operativo no reconoce, o donde toda la información de directorios está perdida.
Funciona con algoritmos avanzados que aseguran que todos los directorios y subdirectorios se recompongan tal y como eran, y que los nombres de archivos largos se reconstruyan correctamente. Y lo cierto, según hemos podido comprobar algún compañero del foro y yo misma, es así, lo que recupera está tan correcto en sus datos que se puede usar inmediatamente .

Se trata de un programa que aunque no es free, su precio lo hace muy asequible, la versión que nos bajamos sólo nos permite ver que es lo que se puede recuperar, y tan sólo cuando adquirimos la licencia, nos permite recuperarlo.


http://www.runtime.org/downloads.htm

Recover My Files

Recover My Files es una utilidad para cuando parece que es demasiado tarde, que todo está perdido, y cuando el dicho más vale prevenir que curar ya no es válido y toca irremediableme nte curar.

Con esta aplicación podrás recuperar la mayoría de archivos que creías perdidos por obra y gracia de un virus, una equivocación, o cualquier otro problema que te haya hecho perder tus archivos. Incluso si has formateado aún hay posibilidad de recuperar los datos.

Recover My Files ordena los archivos a recuperar por tipo, de forma que si has perdido todos los datos de un disco duro y sólo te interesa recuperar un determinado formato puedes hacerlo fácilmente.

El programa ordena todos los archivos por extensión, como ya hemos comentado, puedes verlos todos o ir directamente a las extensiones que te interesen. Obviamente puedes realizar múltiples selecciones, recuperando por ejemplo los documentos DOC y XLS, y los archivos MP3 (así hasta más de cien tipos de archivos).
El resto de formatos también puede recuperarlos, simplemente que no los clasifica individualment e.

Recuerda que para poder recuperar el máximo de archivos posible lo mejor es que no uses el disco duro dañado para nada en absoluto, o podrías sobrescribir los datos a recuperar.

Es compatible con los sistemas de archivos FAT 12, FAT 16, FAT 32 y NTFS.

Hay que tener claro que un volcado no es lo mismo que una simple transferencia de ficheros, si no que es una copia EXACTA de un soporte en otro, los mismos bits uno tras otro desde el principio hasta el fin. Para comprobar, una vez finalizado el volcado, de que las copias son idénticas, se pasa el algoritmo de hash MD5 de 128 bits cuyo resultado es un valor hexadecimal de 32 dígitos; si éste es el mismo en los dos podemos asegurar que el proceso ha sido completado con éxito, y de esta forma trabajar como si se tratara del mismo sistema justo antes de sufrir daños.

El algoritmo MD5 es una funcion de cifrado tipo hash que acepta una cadena de texto como entrada, y devuelve un numero de 128 bits.

http://www.recovermyfiles.com


Recuperación On-Line

http://www.e-rol.com/es/erol_ntfs.htm



“CONSEJOS PARA LA RECUPERACIÓN DE DATOS”

Defragmentar regularmente la unidad: cuanto más repartida esté la info más difícil de recuperar
Estas herramientas recomiendan su instalación en un segundo disco o partición, de tal manera de enviar a otro lado los archivos recuperados.

Ya sea con programas u online, antes de trabajar sobre el rígido o una tarjeta Flash, lo mejor es hacer la prueba con un disquete. Si esta muy usado (con sucesivas “capas” de grabaciones), mejor.

Además, los responsables de PC Inspector recomiendan, para asegurar mayor eficacia en la recuperación de archivos, lo siguiente:

No guardar archivos importantes en el directorio raíz: Los archivos que se guardan en el directorio raíz son sensibles a perderse por formateo rápido, porque las entradas de archivo se encuentran en ese lugar. Evite guardar archivos directamente en la raíz ya que el archivo desaparece si se daña la entrada del directorio. En una emergencia puede recuperar datos muy rápidamente si está en un subdirectorio.

No guardar datos importantes en unidades de pequeña capacidad: La probabilidad de recuperación es menor cuanto más pequeña sea la capacidad del disco.

Una parte esencial para el examinador de evidencias es tener el cuidado necesario para que las pruebas no sean modificadas, para no decir destruidas. Un solo cambio de código puede ocasionar la destrucción de la evidencia, y esta claro esta que queda totalmente inutilizable.

Para poder realizar esta maniobra debemos realizar un Hash al S.O.





Fuente

Anuncios

12 comentarios - Recuperando un HDD y archivos

_Undercover_
despeus enseñame que se me cago un disco de 8 gb con info del laburo