Ejemplos de recuperación de datos

From CGSecurity
Jump to: navigation, search

En.png english version De.png deutsche Version Es.png versión español Fr.png version française Ru.png Русская версия


Puede ver algunos ejemplos complejos de recuperación de datos usando TestDisk.

El tipo de sistema de archivos es RAW - Recuperación de un sector de booteo de una FAT dañada

Analyse Disk 80 - CHS 3737 255 63 - 29313 MB (Enh BIOS mode)
1 * FAT32                    0   1  1   382 254 63    6152832 [LOKAL DISK]
2 E extended LBA           383   0  1  3736 254 63   53882010
Partition sector doesn't have the endmark 0xAA55
5 L FAT32                  383   1  1  3736 254 63   53881947
5 L FAT32                  383   1  1  3736 254 63   53881947

El sector de booteo de la partición lógica FAT32 está dañada. (El error usual de Windows es The type of the file system is RAW. ó The disk in drive D is not formatted. Do you want to format it now?) En 'Advanced', seleccionar esta partición:

Interface Advanced
1 * FAT32                    0   1  1   382 254 63    6152832 [LOKAL DISK]
2 E extended LBA           383   0  1  3736 254 63   53882010
5 L FAT32                  383   1  1  3736 254 63   53881947
Boot sector
test_FAT :
Partition sector doesn't have the endmark 0xAA55
Backup boot sector
OK
First sectors (Boot code and partition information) are not identical.
Second sectors (cluster information) are not identical.
Third sectors (Second part of boot code) are not identical.

El sector de booteo de backup es válido, elija Backup BS para copiar el sector de booteo de backup sobre el sector de booteo. Si Backup BS no está disponible seleccione RebuildBS.

Recuperación de un sistema NTFS dañado

Analyse Disk 81 - CHS 2434 255 63 - 19092 MB (Enh BIOS mode)
No partition is bootable

No hay una partición disponible

Analyse Disk 81 - CHS 2434 255 63 - 19092 MB (Enh BIOS mode)
L FAT32                 1275   1  1  2433 254 63   18619272 [NO NAME]

Sólo la segunda partición fue encontrada durante el Quick Search. Seleccione Deeper Search para intentar encontrar más particiones.

Analyse Disk 81 - CHS 2434 255 63 - 19092 MB (Enh BIOS mode)
* HPFS - NTFS              0   1  1  1274 254 63   20482812
L FAT32                 1275   1  1  2433 254 63   18619272 [NO NAME]

Ambas particiones fueron encontradas, pero la primera NTFS ha sido encontrada utilizando el sector de booteo de bakcup, necesitamos recuperar el sector de booteo. Elija Write y luego seleccione Backup BS para copiar el sector de booteo de backup sobre el de booteo.

Recuperación de una computadora Dell

En una computadora Dell, hay una partición especial llamada DellUtility. Es una partició FAT16 que no está visible desde Windows porque su tipo de partición es DE.

Disk 80 - CHS 4865 255 63 - 38162 MB (Enh BIOS mode)
* FAT16 >32M               0   1  1     3 254 63      64197 [DellUtility]
P HPFS - NTFS              4   0  1  4864 254 63   78091965

Luego de Analyse, seleccione la partición DellUtility, use 'T' para cambiar el tipo de partición a DE. Use la tacla de flecha para bootear en la partición NTFS.

Disk 80 - CHS 4865 255 63 - 38162 MB (Enh BIOS mode)
P Dell Utility             0   1  1     3 254 63      64197 [DellUtility]
* HPFS - NTFS              4   0  1  4864 254 63   78091965

Problema de geometría del disco - Cuando todas las particiones están eliminadas

En este caso, todas las particiones fueron eliminadas. ¡TestDisk no muestra particiones! El usuario a ejecutado el comando testdisk /debug /log. Extracto de testdisk.log

Analyse Disk /dev/hdb - CHS 5169 240 63 - 38161 MB
No partition is bootable
search_part()
Disk /dev/hdb - CHS 5169 240 63 - 38161 MB
FAT32 at 0/1/1
heads/cylinder 255 (FAT) != 240 (HD)

Una partición FAT32 ha sido encontrada pero hay una alarma sobre la geometría del disco rígido. El BIOD ha seleccionado otra geometría de disco de acuerdo al contenido del MBR (en este caso vacío). En la aplicación TestDisk, seleccione Geometry, setee el número de cabezales a 255 en vez de 240 y ejecute Analyse nuevamente.

Dos particiones FAT32 para recuperar

Hay dos particiones FAT32 en el disco rígido pero han sido eliminadas. Luego de ejecutar Analyze, Quick Search e incluso Deeper Search, TestDisk encontró solamente la segunda partición

Disk 81 - CHS 525 255 63 - 4118 MB
L FAT32                  384   1  1   524 254 63    2265102

Usando A para agregar la que pensamos que es la partición faltante, una nueva tabla de partición ha sido escrita con dos particiones de tipo FAT32:

1 P FAT32                    0   1  1   383 254 63    6168897
2 E extended               384   0  1   524 254 63    2265165
5 L FAT32                  384   1  1   524 254 63    2265102

Usando Advanced, Boot, RebuildBS, hemos intentado reconstruir el sector de booteo de la primera partición FAT32. Usando List, es posible ver un listado de archivos del directorio raíz pero también hay un montón de basura... Nada ha sido escrito. En el archivo de Log (El modo Expert puede dar esta información), podemos ver que 4 copias de la FAT32 han sido encontradas:

FAT32 at 32(0/1/33), nbr=123
FAT32 at 8221(0/131/32), nbr=123
FAT32 at 16097(1/1/33), nbr=1234
FAT32 at 22100(1/96/51), nbr=1234

Normalmente debería haber sólo dos copias de FAT. Hay datos remanentes de dos particiones FAT32 diferentes: una comenzando en 0/1/1, la segunda en 1/1/1. Hemos cometido un error. Esta vez, agregamos la partición correcta y elegimos escribir

1 E extended                 1   0  1   524 254 63    8418060
5 L FAT32                    1   1  1   383 254 63    6152832
6 L FAT32                  384   1  1   524 254 63    2265102

Con RebuildBS (Advanced/Boot), hemos podido reconstruir exitosamente el sector de booteo.

Partición perdida luego de un defrag

Luego de ejecutar defrag contra la primera partición, el segundo disco FAt32 desaparece. Cuando se revisa la tabla de particiones, TestDisk detecta un problema con la primera partición y no detecta particiones lógicas.

Disk 81 - CHS 1245 255 63 - 9766 MB
check_FAT: Incorrect size of partition
 1 * FAT32 LBA                0   1  1   746 254 63   12000492
 1 * FAT32 LBA                0   1  1   746 254 63   12000492
 2 E extended               747   0  1  1244 254 63    8000370

TestDisk ha podido encontrar la primera partición pero esta partición es un sector más grande que la entrada real en la tabla. Defrag ha sobreesctrito el principio de la partición extendida, limpiando la entrada de la partición lógica.

* FAT32                    0   1  1   747 254 63   12016557 [D DRIVE]
D Linux                 1023   1  1  1244 254 63    3566367

El usuario ha seleccionado solamente recuperar la partición FAT32. Luego de hacer un backup de sus datos, ha reducido el sistema de archivos FAT32 para usar un sector menos. Ahora es momento de recuperar la segunda partición. El usuario ha manualmente agregado la segunda entrada de la partición.

 1 * FAT32                    0   1  1   746 254 63   12000492 [D DRIVE]
 2 E extended LBA           747   0  1  1244 254 63    8000370
 5 L FAT32                  747   1  1  1244 254 63    8000307

En Advanced, seleccione la segunda FAT32 y RebuildBS. Luego de reiniciar y de un pequeño checkeo del sistema de archivos, los datos están nuevamente disponibles.

Recuperación de una sesión de CD-ROM

Con CD-ROMs de multi sesión, es posible borrar archivos de sesiones anteriores. Como los archivos no son realmente borrados, es posible recuperarlos. Para leer archivos de la primera sesión, ejecutar bajo Linux

mount /dev/cdrom /mnt/cdrom -t iso9660  -o session=0

Recuperación de una partición preformateada

Si la partición ha sido formateada a otro filesystem (FAT32 formateado como NTFS ó viceversa),

  • ejecutar TestDisk,
  • seleccionar el disco, seleccionar el tipo de partición
  • seleccionar Advanced
  • seleccionar la partición
  • elegir Type,
  • ingresar el valor correspondiente al filesystem anterior
  • elegir Boot
  • elegir RebuildBS
  • List
  • Si puede ver los archivos, elegir Write y confirmar
  • En Analyse, elegir reescribir la partición con el tipo correcto de partición.

Volver a la página TestDisk (Castellano)