Recuperación de Datos PDF

Recuperación de Datos
PRIMERA EDICIÓN
Autor: Cristian1604
www.caleidoscopio.netii.net
Recuperación de Discos Cristian1604 1

Título: Recuperación de Datos
Autor: Cristian1604
Agradecimientos y colaboración: Cecilia S.
Fecha de liberación: 05 de agosto de 2009
Información de Licencia
Recuperación de Datos by Cristian1604 is licensed under a Creative Commons

Reconocimiento-No comercial-Sin obras derivadas 2.5 Argentina License.
Based on a work at caleidoscopio.netii.net.
Licencia completa: http://creativecommons.org/licenses/by-nc-nd/2.5/ar/legalcode
Contacto: cristian@caleidoscopio.netii.net

INDICE
Nombre Capítulo Página

Funcionamiento del disco rígido. Elementos básicos 1 5
Particiones: ¿Qué son y para qué sirven? 2 8
PARTICIONES PRIMARIAS, EXTENDIDAS, PARTICIONES 2 9
ACTIVAS
Sistema de Archivos 3 11
El Master Boot Record (MBR) 4 13
¡Virus! 5 15
Pasos previos a recuperar un disco, y herramientas 6 17
CAJA DE HERRAMIENTAS 6 18
LISTADO DE EQUIVALENCIAS ENTRE SOFTWARE PAGO Y 6 19
LIBRE
¿Cuándo no es necesario recuperar información? 7 22
EJEMPLO PRÁCTICO 7 22
La práctica es la mejor herramienta 8 26
Recuperación directa de una partición 9 35
Destrucción del MBR 10 38
Recuperación de Particiones 11 46
Bibliografía - 51

Recuperación de Datos
Cómo recuperar la información de un disco que fue atacado por un virus o sufrió un
formateo accidental.
Hoy los discos rígidos se han vuelto mucho más económicos que hace años atrás.
Podríamos decir que el precio por Gigabyte ha descendido considerablemente en los
últimos 10 o 15 años. Pero no así para la información que almacenamos, ya que
cuando los discos aumentan gradualmente su capacidad, la información que
almacenamos se incrementa de la misma manera, junto con el valor de la
información. Por lo cual el riesgo de perder datos se vuelve una amenaza seria.
Cuando un disco pierde toda su información, en ocasiones su recuperación se

vuelve una tarea muy compleja, dependiendo del problema. Por ello el costo de
recuperar un disco afectado representa la compra de varios discos idénticos al que
tenemos, por lo que dijimos anteriormente.
Afortunadamente existen programas de recuperación, que si bien no son simples de
utilizar algunos de ellos, son muy eficaces para restaurar la estructura de nuestro
disco.
Para comenzar, es muy necesario conocer cómo el disco guarda la información en

él, porque en el peor de los casos necesitaremos conocer datos precisos acerca de
nuestro disco, como cabezales, cilindros o sectores. Así es como arrancamos en el
capítulo 1

CAPÍTULO 1: Funcionamiento del disco rígido. Elementos básicos
El disco duro almacena la información sobre un plato magnetizado que gira a altas
revoluciones (los discos promedio actuales alcanzan las 7400 rpm para las PCs de
escritorio y 5200rpm para las notebooks)
En este capítulo sólo trataremos los discos

rígidos mecánicos, ya que existen también
discos de estado sólido. Éstos no utilizan
partes mecánicas, a las que aquí haremos
referencia.
Los discos duros basan su funcionamiento

en la relación que hay entre la electricidad y
el magnetismo. Existen un fenómeno físico
llamado inducción electromagnética, que
nos dice que toda variación de campos
magnéticos genera en su cercanía una fuerza electromotriz (para nuestro caso una
tensión eléctrica), y, a su vez toda variación de campos eléctricos produce un
campo magnético. En estos discos, la información se almacena como pequeños
campos magnéticos en platos que giran a gran velocidad.
La información es escrita y leída por un cabezal que recorre la superficie del plato.
Este cabezal es quien detecta e induce estas cargas electromagnéticas.
Como comentamos, un campo electromagnético puede ser detectado en sus
cercanías, por lo cual este cabezal no toca los platos, sino que están muy muy
próximos entre sí (en el orden de las décimas de micrón, algo así como 10-7
metros). Es por ello que los discos se encuentran rigurosamente aislados, porque
cualquier impureza que haya sobre la superficie de los platos puede impedir la
correcta detección de los campos magnéticos.
Los platos están construidos en base a un sustrato y se encuentran recubiertos por

una capa extremadamente fina de un material magnetizable.
Los sustratos más utilizados son el aluminio y el vidrio ya que son livianos y rígidos.
Son muy finos y extremadamente planos (ya vimos que la separación que tienen
con los cabezales son pequeñísimos, y cualquier irregularidad arruinaría el disco por
completo).
Actualmente los discos rígidos están compuestos por varios platos, encimados como
muestra la figura que sigue:
Para saber cómo un disco almacena la información,

Como sabemos, un plato es una superficie circular. Por lo tanto una manera simple
de organizar la información es en platos (cada uno con un cabezal) y pistas (radios
concéntricos), subdivididas en una cantidad de sectores que contienen una cierta
cantidad de información. Dado que todos los cabezales están en una misma
estructura, y acceden a la misma pista en todo momento, es más conveniente
hablar de cilindros en vez de pistas. Así se puede definir la capacidad de un disco

como cilindros * cabezales * sectores * bytes por sector. Por cierto, el
estándar define 512 bytes por sector.
Esto en la teoría es así, pero en la práctica no lo es, ya que las limitaciones de los
BIOS de la PC, se han tenido que definir otros modelos de geometría lógica que
difieren un poco de la geometría física real de los discos. Esto quiere decir que para
los BIOS, un disco contiene una cierta cantidad de cabezales, cilindros y sectores,
que no es la real, pero es traducido por la placa lógica de nuestro disco cuando es
necesario buscar o escribir información en un lugar exacto.
Solo para agregar, de estos traductores , el más popular es el LBA (Local Block
Addressing), del cual haremos alusión a él más adelante.
Entonces hemos visto cómo se distribuye la información en un disco: asignando un

cabezal (plato), un cilindro y por último un sector.
Platos
Cilindros
Sectores
Bytes por sector
El espacio donde es escrito cada uno de estos bits se los llama clúster , o como
Microsoft lo denomina: unidad de asignación .
Éstos componen la unidad más pequeña de almacenamiento de un disco. Los
archivos se almacenan en uno o varios clústeres, dependiendo de su tamaño de
unidad de asignación. Sin embargo, si el archivo es más pequeño que un clúster,
éste lo ocupa completo.
Básicamente es lo que necesitamos saber para trabajar en profundidad con nuestro

disco. Pero existen más elementos que lo componen, que por el momento lo vamos
a omitir.
Para dejar expresado nomás, citaremos los elementos en los que no
profundizaremos todavía:

Plato: cada uno de los discos que hay dentro del disco duro.
Cara: cada uno de los dos lados de un plato
Cabeza: número de cabezales;
Pista: una circunferencia dentro de una cara; la pista 0 está en el borde
exterior.
Cilindro: conjunto de varias pistas; son todas las circunferencias que están
alineadas verticalmente (una de cada cara).
Sector : cada una de las divisiones de una pista. El tamaño del sector no es
fijo, siendo el estándar actual 512 bytes. Antiguamente el número de
sectores por pista era fijo, lo cual desaprovechaba el espacio
significativamente, ya que en las pistas exteriores pueden almacenarse más
sectores que en las interiores. Así, apareció la tecnología ZBR (grabación
de bits por zonas) que aumenta el número de sectores en las pistas
exteriores, y usa más eficientemente el disco duro.
De ser necesario, profundizaremos más adelante.

Ahora simplemente vamos a echarle un vistazo a la placa lógica del disco. Ese
circuito integrado ubicado en la parte inferior del disco:
DSP: Siglas de Digital Signal Processor, encargado de recibir instrucciones

de la CPU y realizar cálculos en la geometría del disco para transferir los
datos, y así optimizar el rendimiento del equipo. Sería el Microprocesador
del disco rígido.
MEMORIA CACHE: En los discos se utiliza una memoria cache que actúa
como buffer. Esta es del tipo SDRAM, y suele tener una frecuencia de
funcionamiento entre 100 y 166 MHz
Firmware: Aunque no se ve (está dentro del DSP), es un pequeño BIOS
que contiene el software lógico que ejecutará el DSP para tratar con los
datos desde y hacia el disco duro. Es el que interactúa con la PC para su
correcta detección.

CAPÍTULO 2: Particiones: ¿Qué son y para qué sirven?
Básicamente patricionar un disco nos brinda la posibilidad de crear discos más

pequeños o fraccionar una unidad física en varias más pequeñas.
Esto es muy útil si queremos, por ejemplo, tener la información organizada en
diferentes unidades. Imaginemos que queremos tener una unidad para almacenar
toda nuestra música, fotos y documentos; también queremos una unidad para
almacenar nuestras películas y por último instalar nuestro sistema operativo en una
unidad separada. Esto es posible gracias a las particiones.
En la siguientes imágenes vemos lo simple que es acceder a diferentes particiones
desde Windows y Mac (lo mismo sucede para Linux)
En el escritorio de Mac OSX vemos las particiones de nuestro disco.
Desde Mi PC vemos las particiones en un mismo disco físico

Como vemos entonces, es posible organizar nuestra información por medio de
particiones. Pero, ahora la pregunta es: ¿Cómo creo una partición? Y además ¿Qué
ventajas tiene organizar la información en particiones en vez de carpetas comunes?
Respondamos de a una: Afortunadamente existen varias aplicaciones que con el
tiempo se hicieron más simples de utilizar. Ejemplos claros de excelentes
programas son EASEUS Partition Manager que en su versión HOME es totalmente
gratuita, o versiones pagas como Paragon Partition Manager o Partition Magic.
Desde su interfaz simple de usar nos permite no solo crear particiones, sino
redimensionarlas, editarlas, clonarlas, y mucho más.
¿Y qué diferencias tiene? ¡Muchas!, empezando por la seguridad: Si nuestro
sistema operativo se ve afectado por un virus, o deseamos reinstalarlo, la
información que esté alojada en otra partición no corre absolutamente ningún
riesgo de perderse.
Además, si utilizamos múltiples sistemas operativos en una PC, podemos tener
instalado Windows en una partición, Linux en otra y compartir archivos entre estos
dos sistemas por medio de una tercera partición.
¿Ves las ventajas? ¿Todavía no? Bueno, sigamos ejemplificando: Si tenemos
nuestra PC conectada a una red, podemos seleccionar qué particiones compartir y
cuales no. Por ejemplo tenemos 3 particiones, una está nuestro sistema operativo
instalado, y sus aplicaciones. En la segunda está nuestra información confidencial
(a resguardo de los virus e inestabilidades de nuestro sistema operativo), y en una
tercera partición tenemos información que queremos compartir en la red. Entonces
todos tendrán acceso exactamente a lo que queremos, sin correr riesgos en cuanto
a la seguridad de nuestra información.
En definitiva, cuando hablamos de particionar, hablamos de organizar la

información e incrementar la seguridad y resguardo de nuestros datos.
Además que el particionado de una unidad física en varias unidades lógicas
incrementan la velocidad de respuesta de un disco, porque es más simple buscar
datos en una partición de 80 GB que en una de 500 GB, por ejemplo.
PARTICIONES PRIMARIAS, EXTENDIDAS, PARTICIONES ACTIVAS
Las particiones a su vez se subdividen en categorías:
Partición primaria: Son las divisiones crudas o primarias del disco, solo
puede haber 4 de éstas. Depende de una tabla de particiones. Un disco físico
completamente formateado, consiste en realidad de una partición primaria
que ocupa todo el espacio del disco, y posee un sistema de archivos. A este
tipo de particiones, prácticamente cualquier sistema operativo puede
detectarlas y asignarles una unidad, siempre y cuando el sistema operativo
reconozca su formato (sistema de archivos).
Partición extendida: Es otro tipo de partición que actúa como una
partición primaria; sirve para contener infinidad de unidades lógicas en su
interior. Fue ideada para romper la limitación de 4 particiones primarias en
un solo disco físico. Solo puede existir una partición de este tipo por disco, y
solo sirve para contener particiones lógicas. Por lo tanto, es el único tipo de
partición que no soporta un sistema de archivos directamente.
Partición lógica: Ocupa una porción de la partición extendida o la totalidad
de la misma, la cual se ha formateado con un tipo específico de sistema de
archivos (FAT32, NTFS, ext2,...) y se le ha asignado una unidad, así el
sistema operativo reconoce las particiones lógicas o su sistema de archivos.
A su vez, una sola de las particiones puede ser activa. La partición activa es la que
le dice a nuestra PC desde qué partición arrancar. En esta debe encontrarse un
Sistema Operativo.

Podemos hacer la prueba de establecer como partición activa cualquiera que no
tenga un S.O. y veremos un error, como el de la figura 2 capítulo 5.
Representación de particiones desde cualquier gestor de éstas.
Los programas que antes mencionamos representarán de forma gráfica la

estructura de nuestro disco, haciendo más simple la tarea de administrarlos.

CAPÍTULO 3: Sistema de Archivos
Ya hemos definido cómo se guarda la información en nuestro disco, además de que

es posible particionarlo para organizar nuestra información, instalar múltiples
sistemas operativos, y que nos da una importante ventaja en cuanto a la seguridad
de nuestra PC en una red o Internet.
En este capítulo vamos a definir qué son los sistemas de archivos y para qué
sirven. Siendo parte fundamental de nuestro sistema, ya que es éste sistema quien
organiza la información en nuestro disco.
Un sistema de archivos estructura la información guardada en una unidad de

almacenamiento (normalmente un disco duro de una computadora), que luego será
representada ya sea textual o gráficamente utilizando un gestor de archivos. La
mayoría de los sistemas operativos poseen su propio sistema de archivos.
El software del sistema de archivos es responsable de la organización de estos
sectores en archivos y directorios y mantiene un registro de qué sectores
pertenecen a qué archivos y cuáles no han sido utilizados. Los sistemas de archivos
tradicionales proveen métodos para crear, mover, renombrar y eliminar tanto
archivos como directorios.
Es parte fundamental para organizar la información en un disco. Éste será entonces

quien determine cómo los datos serán almacenados.
Existen tantos formatos de archivo como Sistemas Operativos, e incluso más, ya

que cada sistema operativo posee versiones viejas y nuevas de Sistemas de
Archivo (SdA).
En la siguiente tabla vemos qué sistema de archivos es utilizado por cada sistema
operativo (solo mencionamos algunos, a modo ilustrativo):
Sistema operativo
Windows 95 FAT16 FAT32 (obsoletos)
Windows 98 FAT16 FAT32 NTFS (Parche)
Windows XP FAT32 NTFS
Mac OSX HFS HFS+
GNU/Linux EXT2 EXT3 ReiserFS ZFS
OpenSolaris ZFS
En negrita figura el sistema de archivos utilizado en la actualidad por cada S.O.
Vemos que Linux cuenta con 2, ya que es muy extendido el uso de ambos SdA
Cada Sistema de Archivos tiene su particularidad. No es nuestra intención

profundizar demasiado en estos aspectos, pero brevemente podemos nombrar
algunos, por ejemplo:
FAT16: Soporta archivos que no excedan los 4GB de peso. Soporta hasta
65.517 archivos.
FAT32: Soporta archivos que no excedan los 4GB de peso. Soporta hasta
268.435.437 archivos.
NTFS (New Technology File System): Soporta archivos de hasta 16
Terabytes (16.000 Gigabytes), puede comprimir automáticamente su
contenido sin perder rendimiento, más simple de recuperar que FAT32.
ZFS (ZetaByte File System): Soporta archivos de hasta 16 Exabytes,
estos son 260 Gigabytes. Posee Auto Reparación, Tamaño de clusters
variable.
ReiserFS:Soporta archivos de hasta 8 Terabytes, posee un sistema que
previene la corrupción de datos, Particiona y redimensiona particiones sin
necesidad de reiniciar o desmontar la unidad.

HFS+: Soporta archivos de hasta 8 Exabytes, posee encriptación de datos
aumentando la seguridad
Como vemos, la elección de un sistema de archivos es muy importante, teniendo

en cuenta el uso que se le dará a la información que sea almacenada en la PC,
servidor o mainframe.
Sabemos que utilizando un determinado sistema de archivos se encuentra la
posibilidad de albergar archivos de un tamaño límite (actualmente los SdA soportan
archivos descomunalmente grandes). Se encuentra la posibilidad de asegurar
nuestra información ante eventuales problemas, encriptarlos para aumentar la
seguridad, comprimirlos para reducir su tamaño, variar el tamaño de los sectores,
para evitar la fragmentación de datos y perder rendimiento en el sistema, etcétera.
Usualmente si utilizamos Windows, NTFS sea nuestra elección. Lo mismo para

Macintosh, utilizando HFS+. Para Linux mi opción es ReiserFS. En OpenSolaris, el
soporte del nuevo SdA ZFS parece ser muy prometedor e increíblemente estable y
seguro.
Ahora que tenemos más noción de los Sistemas de Archivos, quizás sea hora de
pasar al próximo capítulo: el MBR.

CAPÍTULO 4: El Master Boot Record (MBR)
El Master Boot Record o Sector de Arranque Maestro (MBR por sus siglas en
inglés) es un sector del disco al comienzo de éste que contiene toda la información
de particiones, sectores y formato de archivos, Partición Activa y otra información
relacionada con la estructura lógica de nuestro disco.
Frecuentemente es el objetivo de numerosos virus, ya que alterando su contenido
arruina parcial o completamente nuestro sistema operativo y/o particiones
aledañas.
Su estructura básicamente consta de los primeros 512 bytes del disco, ocupando la
pista 0 de éste. En la imagen vemos que los primeros 446 bytes corresponden al
gestor de arranque. Éste es quien se encarga de arrancar nuestro sistema
operativo, sea Windows, Linux, Macintosh, Solaris, etc.
La segunda parte, de 6 bytes corresponde a la tabla de particiones. Éste delimita
las particiones de nuestro disco (si está particionado) o una partición que ocupa la
totalidad de éste. Además contiene el tipo de sistema de archivos en la que se
encuentra cada partición.
La tercera y última sección de la tabla contiene la firma que es de uso interno del
disco.
Es aquí donde nos centraremos: en la recuperación de datos a partir de una MBR

totalmente destruida por un virus, o un disco defectuoso que aún puede ser
restaurado para realizar una copia de seguridad.
Por supuesto que es posible crear copias de seguridad de la MBR, siendo muy
recomendable ante posibles eventualidades. Ahora vamos a ver cómo crear una
copia de seguridad:
COPIA DE SEGURIDAD DEL MBR DESDE UNIX/LINUX Y WINDOWS
MANOS A LA OBRA: Crear copia de seguridad de la MBR en Linux/UNIX
En UNIX/Linux se puede usar el comando dd para hacer un backup y

restaurar el MBR desde una consola.
Para hacer la copia de seguridad (backup):
dd if=/dev/xxx of=mbr.backup bs=512 count=1
Para restaurarlo:
dd if=mbr.backup of=/dev/xxx bs=512 count=1
siendo xxx sda, hda u otro.

Si se quiere hacer una copia de seguridad del MBR, sería recomendable copiar
los primeros 63 sectores del disco (que equivaldrían al primer cilindro del disco)
y no sólo el primero, ya que nuestro sistema podría tener implementado el
sistema GUID, el cual utiliza más sectores para guardar la información sobre las
particiones del disco duro. La instrucción sería:
dd if=/dev/xxx of=mbr_63.backup bs=512 count=63
Para borrarlo, si no tenemos una copia de seguridad pero necesitamos eliminar

la información de este sector, tenemos que poner los 512 bytes a cero:
dd if=/dev/zero of=/dev/xxx bs=512 count=1
Si bien para Windows no existe una forma nativa para hacerlo desde MS-DOS o
alguna herramienta propia, existen aplicaciones gratuitas de terceros como
MBRWizard!, MBR Tool, MBRFix, MBR Util, HDHacker
Pueden ser descargadas (en su respectivo orden) desde:

http://mbrwizard.com/download.shtml
http://www.diydatarecovery.nl/downloads/MBRtool_Setup.exe
http://www.sysint.no/Nedlasting/MbrFix.zip
ftp://ftp.symantec.com/public/english_us_canada/tools/pq/utilities/head.zip
http://dimio.altervista.org/stats/download.php?id=6
Aquí vemos al MBRWizard! realizando una copia de seguridad del MBR
Este capítulo ya hemos visto la función que cumple el Master Boot Record o Sector
de Arranque Maestro. También podemos decir que está presente no sólo en los
discos rígidos, sino también en los CDs, DVDs, PenDrives, Disquetes, y todo
dispositivo de almacenamiento.
Hemos visto cómo realizar una copia de seguridad, ya que si bien no es muy
frecuente la pérdida de información, es recomendable tener un resguardo.

CAPÍTULO 5: ¡Virus!
Un virus informático es un malware que tiene por objeto alterar el normal

funcionamiento de la computadora, sin el permiso o el conocimiento del usuario.
Los virus, habitualmente, reemplazan archivos ejecutables por otros infectados con
el código de este. Los virus pueden destruir, de manera intencionada, los datos
almacenados en un ordenador, aunque también existen otros más "benignos", que
solo se caracterizan por ser molestos.
Pero dentro de los más peligrosos se encuentran los que arruinan por completo el
funcionamiento del sistema operativo y hasta causan daños en nuestro sistema de
archivos y sector de arranque (MBR).
Cuando esto sucede y nuestra PC no está protegida, no hay mucho que podamos
hacer. Sólo con reiniciar la PC veremos un mensaje como se muestra en las figuras
siguientes:
Fig 1: Error en el arranque del S.O.
Fig 2: Otro error, este más común en el arranque del sistema

Por ello es recomendable el uso de antivirus, firewalls (cortafuegos), programas
para congelar la PC (como el WinRollBack o el DeepFreeze), antispywares o
programas de mantenimiento que gocen de buena reputación en Internet.
¿Qué son los freezadores o Congeladores ?

Son software del tipo "reinicie y restaure". El principal objetivo de
estas aplicaciones es que, mientras esté instalado, la computadora
estará "congelada". Cualquier cambio que se le realice a una
computadora "congelada" será eliminado al reiniciar la PC, es decir
que el equipo volverá al estado en que se activó la protección.
Cuando una computadora está "descongelada" (Thawed), cualquier
cambio que se le realice se mantendrá, a menos que sea
manualmente revertido. Los usuarios también pueden crear una
"partición descongelada". En ella, los datos pueden ser guardados y
no se eliminarán al resetear la máquina.
Si la PC al reiniciarse o apagarse y luego encenderse (por una orden del usuario o

sola, por efecto del virus) aparece el mensaje que vimos en las figuras 1 y 2, ha
comenzado la hora de ponerse a trabajar, sea reinstalando el sistema operativo o
con diversas técnicas de reparación.
Ante esta situación, antes de dar por sentado que se trata de un problema que
afectó el sector de arranque de nuestro disco o bien de un virus malicioso,
deberemos confirmar que no se trata de un problema de alimentación, de datos, de
que estemos arrancando desde la unidad equivocada, etc.
Eso lo veremos en el capítulo número 7.

CAPÍTULO 6: Pasos previos a recuperar un disco, y herramientas.
Ya hemos visto que el mensaje DISK BOOT FAILURE puede producirse por una
mala conexión de nuestro disco a la alimentación de energía, de datos, o estamos
arrancando desde una unidad equivocada o en el peor de los casos el sector de
arranque está arruinado.
Entonces, verifiquemos los siguientes puntos para reducir las posibilidades:
La conexión de alimentación es correcta.

La conexión del cable de datos es correcta.
Reiniciar la PC y ver que el disco es correctamente detectado
Intercambiar cable de datos y alimentación por otro en la PC.
Si tenemos la posibilidad, probar el mismo disco en otra PC.
Si todas estas opciones fallan, deberemos analizar la unidad en búsqueda de

defectos físicos del tipo electrónico o mecánico:
Analizar la placa lógica en búsqueda de rastros que indiquen un error físico o

electrónico:
o Buscar pistas quemadas
o Olor a quemado en la superficie de la placa lógica
o Carbón en la superficie de la placa lógica o soldaduras
o Pistas oscurecidas por temperatura
Enchufar sólo el cable de energía y escuchar el giro del plato y prestar
especial atención si:
o Se escucha el sonido de pequeños golpes clac, clac de forma
repetida.
o Se escucha cómo el motor inicia y se detiene cíclicamente.
En el caso de que encontremos evidencias que indiquen que el disco tiene algún
tipo de error electrónico, deberemos acudir al reemplazo de la placa lógica en su
totalidad. Enchufarlo y ponerlo a funcionar podría empeorar las cosas.
El proceso es simple: reemplazar la placa lógica por otra de exactamente las
mismas características de un disco del mismo modelo, aunque sea para la
recuperación de los datos.
Si al enchufar el disco se escuchan sonidos que no son los propios del

funcionamiento, nos indica una falla mecánica, o un error en la placa lógica de la
unidad. En este caso la solución no es tan simple como la anterior. Deberemos
determinar con exactitud de dónde proviene la falla para optar por una solución.
Por lo general el problema suele provenir de la placa lógica, por excesos de
temperatura o fluctuaciones en el voltaje producto de una fuente de alimentación
defectuosa o de mala calidad.
Si el problema no se soluciona teniendo en cuenta los primeros puntos, y tampoco

parece ser originado por problemas mecánicos/electrónicos entonces es momento
de tomar las herramientas para comenzar con la recuperación de información.
RECUERDE: NUNCA ABRA UN DISCO RÍGIDO. SU INTERIOR DEBE ESTAR

PERFECTAMENTE LIBRE DE POLVILLO (ver capítulo 1)

CAJA DE HERRAMIENTAS
Las herramientas que utilizaremos son:

TestDisk http://www.cgsecurity.org/wiki/TestDisk_ES
EASEUS http://www.partition-tool.com/download.htm
Linux Ubuntu: http://www.ubuntu.com/getubuntu/download
TestDisk & PhotoRec es un excelente programa libre y gratuito para recuperar

discos, y el PhotoRec para recuperar fotos borradas desde la memoria de nuestra
cámara digital. Es increíblemente eficaz, aunque el TestDisk no es muy simple de
utilizar para el usuario novato. Esta aplicación es compatible con Windows, Linux,
MacOS, Solaris, FreeBSD, NetBSD, OpenBSD y SunOS.
Soporta los siguientes sistemas de archivo:
BeFS (BeOS)
BSD disklabel (FreeBSD/OpenBSD/NetBSD)
CramFS, Sistema de Archivos Comprimidos
DOS/Windows FAT12, FAT16 y FAT32
Windows exFAT
HFS and HFS+, Sistema de Archivos Jerárquicos
JFS, IBM's Sistema Diario de Archivos(Journaled File System)
Linux Ext2 y Ext3
Linux Raid
o RAID 1: espejos
o RAID 4: arreglos con dispositivo de paridad rayados
o RAID 5: arregloscon información de paridad distribuida rayados
o RAID 6: arreglos con información de dúo redundancia distribuida
rayados
Linux Swap (versiones 1 y 2)
LVM y LVM2, Administración de Volumen Lógico de Linux
Mapa de particiones Mac
NSS Servicio de Almacenamiento Novell
NTFS ( Windows NT/2K/XP/2003/Vista )
ReiserFS 3.5, 3.6 y 4
Sun Solaris i386 disklabel
UFS y UFS2, Sistema de Archivos Unix (Sun/BSD/...)
XFS, SGI's Sistema Diario de Archivos(Journaled File System)

UBUNTU:
Estas versiones de Linux no necesitan instalarse. Es útil cuando no tiene ningún
disco funcionando para recuperar su información.
He elegido a Ubuntu por su compatibilidad, facilidad y abundante documentación en
Internet. Si tenemos algún problema, siempre encontraremos la solución.
Ubuntu puede ser descargado desde:

http://www.ubuntu.com/getubuntu/download
También existe una distribución LiveCD en la cual se incluye como herramienta el

TestDisk, además de muchas aplicaciones de análisis forense y diagnóstico.
Estamos hablando de Linux SystemRescue
System Rescue CD puede ser descargado desde

http://www.sysresccd.org/Download
De todas maneras, en la próxima unidad incluimos software gratuito para Windows,

con el cual podremos recuperar datos y particionar.
LISTADO DE EQUIVALENCIAS ENTRE SOFTWARE PAGO Y LIBRE:
El software pago puede ser perfectamente reemplazado por software libre sin
abonar licencias ni regalías. El software libre ha avanzado muchísimo en los últimos
10 años, por lo cual hoy se pueden encontrar aplicaciones de excelente calidad,
simples de utilizar y tan precisos como los pagos. A continuación una lista con el
programa pago y su equivalente gratuito para Windows y Linux.
Los Linux se pueden utilizar sin ser instalados, como se explica más arriba.
Aunque en el listado de Linux no abunden los programas para realizar esas tareas
no significa que no haya variedad. Simplemente pueden ser encontrados cientos de
aplicaciones libres que cumplen con esa tarea.

PAGO ($$) GRATUITO (gratis) SIRVE PARA
WINDOWS LINUX
Paragon Partition EASEUS Partition GParted Administrar

Manager Manager Home particiones
Data Recovery PC Inspector

Wizard Active@
Professional Partition
Foremost Recuperación
Recovery
de datos y
RECUVA
Undelete Plus PC Inspector TestDisk particiones
Pandora
Recovery
TestDisk
Ya teniendo todas las herramientas que hemos propuesto, vamos a dividir el tipo de
problema según su tipo y complejidad:
Inicia el Sistema Operativo pero no detecta una o más particiones

Toda la estructura del disco está arruinada*
No inicia el Sistema Operativo, pero si las demás particiones
Las particiones y el MBR están bien, pero no inicia el sistema operativo
Formatee sin querer una partición, o todo el disco*
Esto es importante, ya que cada problema puede ser resuelto de una forma más
simple que otra, o posee una forma particular de ser resuelto.
Ahora, si su problema se encuentra con un asterisco (*) al final, puede encontrarse
en alguna de las siguientes dos situaciones:
Tengo un Disco Rígido extra para instalar un S.O. de recuperación

No tengo otro disco para recuperar la información
Una vez que hayamos identificado el tipo de problema y saber si tendremos o no un

disco que funcione de respaldo para instalar un S.O. provisional para recuperar la
información (si es necesario) procederemos a explicar cada una de las posibles
formas de recuperar nuestros datos.
Vamos a mencionar que el procedimiento para recuperar información varía

muchísimo, dependiendo el tipo de PC, el disco, su capacidad y por supuesto el
problema que tuvo.
El éxito en la misión de recuperación dependerá también de la avidez de quien
resolverá el problema, ya que deberá contar con el conocimiento y entendimiento
necesarios (que no va más allá de lo explicado en esta obra).
No se preocupe si durante el proceso aparecen datos que no entiende. Cuenta con
la referencia de esta obra y de Internet, que es el mejor medio para realizar
consultas, no importa cuan compleja sean.
Antes de comenzar con los pasos para la recuperación, vamos a explicar algo que
es de suma importancia si deseamos recuperar información.
Cuando formateamos un disco, éste es borrado de diferentes maneras, según cuál
se seleccione.

Los tipos de formato más frecuentes son:
Formato Rápido
Formato incondicional
Formato de bajo nivel
El formato rápido limpia la unidad completamente, borrando la cabecera de los

archivos en el MBR pero nos da la posibilidad de recuperar los datos.
El formato incondicional borra TODOS los datos de una unidad, dificultando su
recuperación. Pero aún hay posibilidades por los medios que disponemos.
El formato de bajo nivel destruye físicamente todos los datos, y reestructura de
manera física la estructura del disco rígido. Su recuperación se vuelve imposible
para los medios a los cuales accedemos. Incluso su recuperación es compleja para
las empresas que se dedican a esta tarea.
Cuando instalamos o creamos archivos en una partición que antes fue formateada,
los datos antiguos van siendo progresivamente reescritos, es decir, se van
sobrescribiendo los datos que teníamos antes por los nuevos. Si sucede esto, los
datos que fueron sobrescritos no podrán recuperarse. Por ello es muy importante
que no instalemos absolutamente nada en el disco que vamos a restaurar, porque
ello irá destruyendo los datos que estemos intentando recuperar.
Por eso decimos que es importante tener una unidad adicional que nos permita ir
copiando los datos desde el disco defectuoso al sano.

CAPÍTULO 7: ¿Cuándo no es necesario recuperar información?
Antes de asumir que se trata de una pérdida de información y lanzarnos con todo el
arsenal de software de recuperación deberemos descartar que no se trate de un
problema lógico (firmware y software). Ya hemos analizamos los posibles
problemas físicos (verificar la alimentación, datos, etcétera).
Para ello lo que vamos a probar son las siguientes causas:
(Si no las entiende, diríjase al capítulo 2)
Si no arranca el S.O. verificamos que la partición activa sea donde está

instalado éste.
Si no detecta particiones, pero nuestro S.O. funciona bien, verificamos que
ninguna partición esté oculta
¿Cómo hago esto? Así iniciamos el primer ejemplo práctico.
EJEMPLO PRÁCTICO #1
En este ejemplo tenemos un disco con dos particiones, una de datos y otra del
sistema operativo. El problema es que desde Windows la partición de datos no
aparece en Mi PC (no es visible).
Los pasos que podríamos seguir son los siguientes:
Iniciamos una versión LiveCD de Linux (en este caso vamos a utilizar Ubuntu 9.04)
Probamos Ubuntu sin instalarlo. Esperamos que inicie y luego nos dirigimos en la
barra superior a Sistema Administración Editor de Particiones
Esperamos unos segundos y abrirá un programa llamado Gparted.
Desde allí podremos redimensionar, borrar, editar, formatear, crear y algunas cosas
más con particiones.

Ahora lo que sigue es seleccionar la partición problemática y hacer un click con el
botón derecho del mouse. En el menú, seleccionar Gestionar flags y se desplegará
un pequeño cuadro que dirá
boot
hidden
lba
lvm
palo
prep
raid

Ahora vemos que el problema radica en que esa partición figura Hidden (oculta).
Solucionar este problema es sumamente sencillo: Deseleccionamos la casilla y listo.
Aplicamos los cambios desde el botón Aplicar. Reiniciamos la PC y listo. La partición
deberá aparecer.
Recordemos siempre aplicar los cambios

sólo cuando estemos seguros
De la misma manera, si el sistema operativo no arranca (no bootea) seleccionamos

la partición donde está instalado el S.O. Y verificamos que la casilla esté
seleccioada en boot, de lo contrario, la causa era que esa partición no estaba
activada como arrancable , por lo tanto nuestro S.O. Nunca iba a funcionar. Si
utilizamos otro gestor de particiones, este puede llamarse Active . Para este caso
son sinónimos.
Este problema usualmente está asociado al uso de múltiples sistemas operativos
iguales (Windows-Windows).
Entonces, vemos que ante estas situaciones no es para nada necesario utilizar otras
herramientas más avanzadas para la recuperación de datos.
-FIN EJEMPLO-
Ahora que hemos tenido un acercamiento con Linux, vemos que no es complejo
manejarlo.
Una buena idea es utilizar una máquina virtual para hacer todas nuestras pruebas
en un entorno completamente seguro.
Una opción gratuita y conveniente para hacer estas pruebas es el Microsoft Virtual
PC.
Para quienes no conozcan este tipo de programas, nos permite simular una
computadora virtual (virtualizar) e instalar sistemas operativos, probar (como en
este caso) aplicaciones y jugar con particiones, formatear, etcétera, sin modificar
absolutamente nada de nuestra PC real .
Puede ser descargado desde:

http://www.microsoft.com/downloadS/details.aspx?displaylang=es&FamilyID=04d2
6402-3199-48a3-afa2-2dc0b40a73b6
Una vez que se haya familiarizado (o no) con las herramientas que vamos a utilizar,
ahora sí estamos en condiciones de comenzar el proceso de restauración de datos.
Es necesario en más de un caso tener otro disco rígido para ir creando nuestra
copia de seguridad, ya que en ocasiones si tratamos con un disco defectuoso las
probabilidades de que volvamos a perder los datos son muchas.
A partir del capítulo 9, verá casos reales de recuperación de datos. Si ha seguido

las instrucciones hasta aquí, deberá tener todos los conocimientos para aplicar sus

conocimientos. Lo que sigue puede ser utilizado como referencia para distintos tipos
de problemas.

Capítulo 8: La práctica es la mejor herramienta
Como dice el dicho, la práctica es la mejor herramienta , y de eso no cabe dudas.

En el presente capítulo vamos a proponer una serie de ejercicios simples para
unificar los conceptos que hemos adquirido hasta aquí.
Las herramientas son exactamente las mismas que presentamos en capítulos
anteriores, sólo que en este utilizaremos la distribución de recuperación Linux
Rescue CD y Knoppix.
Si no poseen las dos versiones de los Linux que utilizaremos (o no desean tener las
dos versiones, sino una que tenga todo), pueden reemplazarlo por Linux Ubuntu y
descargar de Internet la versión de TestDisk para este sistema.
Los pasos serán exactamente los mismos. Optamos por utilizar dos distribuciones
distintas sólo para complicar un poco las cosas y ver que es perfectamente posible
y sencillo.
La idea es la siguiente: Vamos a instalar VirtualPC en nuestra computadora (si

utilizamos Windows) y desde allí utilizaremos una versión de Linux para realizar
nuestras prácticas en un entorno 100% libre de posibles fallas, y seguro para
nuestros datos, y nosotros.
Cualquier error que cometamos, simplemente reiniciamos la PC virtual ¡y listo!
Nada ha sucedido.
Sigamos los pasos de la siguiente manera: Iniciamos VirtualPC y desde allí el Linux
Rescue CD. Para ello, si tenemos la ISO descargada directamente de Internet en
nuestro disco podemos ir al menú CD > Capturar imagen ISO , o si la grabamos
en un CD, Usar la unidad física X: (X, siendo el nombre de la unidad donde esté el
LiveCD de Linux).
Una vez que cargó la distribución del Linux Rescue CD, seguramente ha desplegado
un menú como el que vemos a continuación:
Escribimos wizard, y desplegará el siguiente menú:

Ahora, por lo general en la gran mayoría de las PCs funciona la opción Xvesa-run
(la 3ra en la lista). Seleccionamos y deberá cargar Linux de la siguiente manera:
Ya está listo para utilizar. En el menú, dispondremos de todas las herramientas que
precisaremos para la práctica:
TestDisk
GParted

Están en el menú System .
Lo que haremos, será lo siguiente: crearemos una serie de particiones, a la que
luego le agregaremos datos y la formatearemos accidentalmente para luego
volver a recuperar los datos.
Para ello, nos dirigimos al GParted y crearemos un par de particiones (en realidad,
experimenten y creen las que quieran). Les quedará algo como esto:
Son 2 particiones NTFS, una de 7,91 GB y la otra de 8,09 GB (más o menos 8 GB

cada una)
Aplicamos los cambios y finalizamos con el tema de las particiones.

Ahora, haré una pequeña crítica para el Linux Rescue CD: Su sistema de ficheros
no monta automáticamente unidades en NTFS.
Aunque podríamos indicar aquí cómo hacerlo, no es nuestro objetivo incursionar en
el sistema de montaje de unidades de Linux ni profundizar en el uso de fstab. En
cambio, utilizaremos Knoppix, otra distribución Linux que permite montar y escribir
particiones en NTFS automáticamente.
Quien no entienda lo que dijimos en las líneas anteriores, no se asuste.
Simplemente dijimos que Linux Rescue CD no nos permite escribir archivos en las
particiones que hemos creado sin antes realizar un procedimiento llamado montar
una unidad. Entonces, como solución a ello, utilizaremos de ahora en adelante
Knoppix, que lo hace de forma automática.
Iniciamos con el CD o el ISO de Knoppix de la misma forma que iniciamos
anteriormente, y una vez que nos encontremos en el escritorio nos dirigimos a My
Documents y seleccionamos alguna de las particiones que hayamos creado, como
se muestra en la siguiente figura
Ahora, sólo necesitaremos llenar con algo esa partición. Esos son los datos que
luego deberemos recuperar.
Para ello, copiaremos el contenido de nuestro cd de Knoppix (o cualquier otro cd
que queramos copiar) a esta nueva partición.

Una vez que la copia haya finalizado, llegó la hora de arruinar accidentalmente
esta partición, y luego recuperarla con las herramientas de las que disponemos.
Ahora, para la destrucción del sistema, utilizaremos nuevamente el Linux Rescue
CD. Arrancamos e iniciamos el programa llamado GParted y eliminamos la partición
seleccionada.
Podemos eliminarla, formatearla, redimensionarla y formatearla, en fin, lo que
queramos, siempre y cuando los datos no queden recuperables por los medios
convencionales.
Para este ejercicio, formatearemos y eliminaremos la partición. Para ello seguimos
como muestra la imagen:

Formateamos a NTFS y luego eliminamos la partición donde teníamos los datos
almacenados. Aplicamos los cambios.
Listo, hemos perdido toda la partición, y con ella todos los datos que teníamos
almacenados en ella.
Si lo desean, pueden reiniciar la máquina virtual (VirtualPC).
INICIO DE LA RECUPERACIÓN
Para iniciar con el proceso de recuperación de datos y del disco mismo, utilizaremos
el TestDisk. Se incluye en la misma distribución que venimos utilizando.

Seleccionamos el disco (en nuestro caso, el de 17 GB)
Tipo de tabla de particiones: Intel
Seleccionamos Analyse y nos arrojará los siguientes resultados:
Una partición de Linux (recuerden que el disco tenía una partición en ReiserFS y el
segundo NTFS). Seleccionaremos la segunda partición, y como no nos dará ninguna
información más, seleccionamos del menú de abajo Deeper Search .
Esperamos que finalice el análisis y en nuestro caso nos arrojó los siguientes datos:

No fue necesario corregir la geometría del disco, agregar particiones de forma
manual ni tampoco realizar análisis más profundos. Ya ha sido detectada una
partición que fue formateada y posteriormente eliminada del disco.
Seleccionaremos la última partición y cuando listemos los archivos que se
encontraban en ella (presionando la tecla P), nos mostró todos los archivos.
Ahora que sabemos que los archivos son recuperables, en vez de copiarlos
procederemos a recuperar por completo esta partición.
Para ello, lo que haremos será volver al menú anterior (presionando la tecla Q) y
veremos que el item seleccionado a su izquierda (al inicio de todo) si utilizamos las
teclas derecha e izquierda, cambia el primer carácter entre *, P, D, L y E.
De acuerdo a lo visto en el capítulo 2 sobre particiones, vemos que concuerdan con

el nombre de los tipos de particiones.
P nos indica que se trata de una partición Primaria (Primary Partition)

L nos indica que se trata de una partición Lógica (Logical Partition)
E nos indica que se trata de una partición Extendida (Extended Partition)
D no se refiere a ningún tipo de partición. Puede hacer referencia a una
partición eliminada (Deleted Partition). Si se deja en D, TestDisk no recuperará esa
partición.
* Deja que TestDisk examine qué tipo de partición fue.
En nuestro caso, sabemos precisamente que se trataba de una partición primaria,

por lo que podemos optar por dejar el asterisco o cambiarlo por una P.

Presionamos ENTER y nos pedirá una confirmación para escribir esta partición
nuevamente en la tabla de particiones, o salir. Por supuesto seleccionamos Write .
Nos pedirá para reiniciar el sistema. Procedemos reiniciando VirtualPC, pero
inicializamos con Knoppix, para ver qué tal resultó la recuperación.
Efectivamente, nuestras cosas han sido completamente recuperadas. Lo

constatamos desde el GParted y el navegador de archivos de Knoppix.

CAPÍTULO 9: Recuperación directa de una partición
Vamos a ver un caso de recuperación de particiones desde Linux. El proceso es

exactamente igual que en cualquier otro sistema operativo.
Se trata de una recuperación directa de una partición en NTFS que ha sido
eliminada o formateada (cortesía del equipo de TestDisk).
El siguiente tutorial de recuperación lo guiará paso a paso utilizando TestDisk para
recuperar una partición NTFS eliminada. Siempre y cuando los archivos no hayan
sido sobrescritos, la información puede ser recuperada en su totalidad.
Comenzando el proceso de restauración
Seleccione el ítem Advanced
Seleccione la partición afectada y luego seleccione Undelete

Recuperación de la partición en NTFS
TestDisk escaneará las entradas MFT de archivos eliminados. Luego de este proceso
todos los archivos encontrados serán listados como se muestra en la siguiente
imagen.
Seleccione el archivo que desea recuperar y presione la tecla c para iniciar la

copia en algún directorio.
Seleccionando el directorio donde los archivos serán copiados
Seleccione el destino. Debe tener muy en cuenta que NUNCA el destino debe
pertenecer a la partición que está recuperando. De ser así los datos que deben ser
restaurados serán reescritos por los que ya han sido recuperados y el proceso
fallará y anulará la posibilidad de que pueda recuperar nuevamente los datos.

Después de unos minutos, cuando la recuperación de la partición en NTFS haya
finalizado seleccione Quit presionando la tecla q
Con este mismo método puede recuperar:
Archivos pertenecientes a particiones NTFS desde la versión 6.11 en

adelante.
Archivos y carpetas de los Sistemas de Archivo FAT12, FAT16 y FAT32.
Archivos de los sistemas de archivos Ext2.

CAPÍTULO 10: Destrucción del MBR
Este es un caso real, al cual le realizamos un seguimiento paso a paso. Se trata de

un disco Western Digital WD800 de 80GB S-ATA.
El caso presenta las siguientes características:
Se trata de un disco de 80 GB con tres particiones (2 NTFS y una HFS+). Una de
ellas (de 20GB) contenía una instalación de Windows XP que fue afectada por
diferentes virus (no contaba con ninguna protección). La segunda, de 40 GB
aproximadamente, contenía todos los datos del usuario. Y la tercera partición, de
20 GB, con su Sistema de Archivos HFS+ que contenía una instalación de Mac OSX
Leopard.
Los datos vitales a recuperar se encontraban en la partición de 40 GB, la cual
estaba identificada con la etiqueta BILLI .
Como primera medida, realizamos los pasos que enumeramos en el capítulo

7 y 8. Como es de prever, no obtuvimos ninguna mejora.
Paso siguiente, arrancamos con el Hiren s Boot y evaluamos la situación con el
Paragon Partition Manager. Indicaba reiteradas veces un error I/O (In/Out Error,
error de lectura y escritura) y no mostraba ningún dato de la partición, tampoco del
disco.
Sospechando que se tratara de un error electrónico o físico del disco, analizamos en

búsqueda de fallas, pero todo indicaba estar en buen estado.
Buscamos en Internet datos técnicos sobre el modelo, y en ellos son sobre los que
nos basaremos para la recuperación:
* Velocidad de rotación 7,200 RPM (nominal)

* Tamaño del buffer 2 MB
* PIO modo 4 16.6 MB/s
* DMA multipalabras modo 2 16.6 MB/s
* Cilindros 16,383
* Cantidad de cabezales (lógicos) 16
* Cantidad de cabezales (físicos) 6
* Sectores por pista 63
* Capacidad formateada 80,026 MB
* Interface S-ATA
* Tipo de accionador Rotary Voice Coil
* Cantidad de platos 3
* Bytes por sector 512
* Sectores de usuarios por disco 156,301,488
Para esta práctica utilizamos el disco

de la imagen

Haciendo un análisis rápido, los problemas fueron los siguientes:
El disco funcionaba perfectamente. Se detectaron muchos virus desde Windows, y
como medida el usuario instaló un antivirus, un antispyware y un firewall, pero no
dieron ningún resultado.
La PC se reinició súbitamente, y el proceso de boot (arranque) demoró más de lo
normal. La causa de esto fue que el disco no era correctamente detectado por el
BIOS de la PC.
Apagamos la computadora y analizamos los conectores del disco, lo
intercambiamos de puerto S-ATA y lo detectó, pero la información del firmware del
disco eran totalmente incorrectos (ya veremos qué significa esto). Iniciamos el
Paragon, desde el CD del Hiren s Boot y fue en este momento cuando al ingresar
nos arrojaba cuatro veces seguidas un error de I/O hasta que al final el programa
iniciaba, pero el disco estaba completamente sin formato.
En nuestro caso, con otro disco rígido (WD5000 de 500 GB S-ATA2) instalamos una
versión de Windows XP con el TestDisk.
Lo mismo puede hacerse perfectamente desde una distribución LiveCD de Linux si
no se cuenta con un segundo disco rígido.
Aplicaciones que utilizaremos:

TestDisk (desde Windows)
Paragon Partition Manager (desde Windows)
Ejecutamos la aplicación de testdisk_win (lo mismo para los demás sistemas

operativos)

Seleccionamos el disco que deseamos restaurar
En este caso observe que el disco está irreconocible: El nombre de unidad es

reconocido como
WDC ROM MODEL-UNICORN-
Y siendo de 80 GB, sólo reconoce 6213 MB / 5925 MiB
En tipo de tabla de particiones, seleccionamos Intel
Seleccionaremos Intel si la partición es del tipo Windows Compatible. Si deseamos

restaurar una unidad para Mac OS, seleccionaremos EFI GTP o si estamos
recuperando un sistema Solaris, seleccionaremos Sun.
Ahora sí llegamos al menú de restauración. Donde tenemos varios ítems:
Para comenzar, realizaremos un análisis del disco. En el mejor de los casos, con un
simple análisis, las particiones son detectadas de forma directa.

Esperamos que el escaneo finalice. El análisis de los cilindros debe ser veloz, de lo
contrario si avanzan muy lentamente es porque hay un error en la estructura de
nuestro disco (como lo es en este caso).
De ser así, debemos ver la etiqueta que identifica nuestro disco (o buscar en
Internet siempre que sepamos precisamente de qué disco se trata) y corroborar
que la cantidad de Cilindros, Sectores, Cabezales y bytes por Sector sean los
correctos.
En nuestro caso particular el testeo demoraba al comienzo unos minutos (casi 2
minutos por cilindro), y a medida que avanzaba, a los 500 cilindros el tiempo de
análisis se incrementaba a casi 10 minutos cada uno. Si figuraban 12041 cilindros,
esto demoraría varios días en ser resuelto.
Entonces buscamos en Internet y verificamos que los datos sean correctos, y para
nuestra sorpresa, la cantidad de cilindros era de 16383. Lo corregimos desde
Geometry , reemplazando los datos que el programa había detectado por los
entregados por el fabricante.
Resulta importante mencionar que cuando analizamos este disco con los programas
Everest, Paragon, Partition Magic, TesttDisk, y otras herramientas, nos arrojaron un
total de 12041 cilindros, cuando (vimos y verificamos por internet) el total es de
16388 cilindros.
Luego, al correr el análisis nuevamente, se realizó en no más de 3 minutos. Pero

ahora el resultado daba lo siguiente:

Las particiones aún no son detectadas. Es más, sólo figura una sola y no es
recuperable. Lo que sucede hasta aquí es que cuando cambiamos la cantidad de
cilindros no hemos reiniciado la computadora.
Esto nos trae problemas, ya que aparentemente el cambio que hemos propuesto no
cambió nada. Fíjense que la cantidad de MB del disco ahora se ajustó de 6213 MB a
8455 MB, y no los 80 GB (80.000 MB) que corresponden.
Reiniciamos la computadora y acto seguido iniciamos nuevamente el TestDisk.
¿Ahora qué es lo que vemos? Nuestro disco parece estar volviendo en sí. Figuran
los 80GB / 74 GiB WDC WD800JD-00LSA0
Corremos nuevamente el análisis y ahora lo que vemos sí nos deja más aliviados:
Ha detectado dos particiones en un disco que aparentemente hace unos minutos no

existía. Es más, si utilizamos el EASEUS Partition Manager, o Paragon Prtition
Manager detectaba un disco de 5 GB. Ahora detecta sus 80 GB. Esto es porque
corregimos la cantidad de cilindros.

Lo que ha sucedido hasta aquí es que cuando corregimos la cantidad de
cilindros, a pesar de que la diferencia era de exactamente 4342 cilindros, la
estructura del disco (LBA) no coincide de ninguna manera, y arroja datos
incorrectos.
La LBA (siglas de logical block addressing, dirección lógica de bloques) es
un método usado para especificar la localización de los bloques de datos en
los sistemas de almacenamiento. El término LBA puede referirse también a
la dirección del bloque al que enlaza. Los bloques lógicos en los ordenadores
modernos son normalmente de 512 o 1024 bytes cada uno.
Si prestamos atención, ahora ha detectado las dos particiones de disco.

Acto seguido, seleccionamos la partición que deseamos recuperar. En nuestro caso
la partición que contiene los datos que deseamos restaurar se llama Billi .
En el panel de abajo observamos las opciones que podemos utilizar. Las opciones
son las siguientes:
A = En ese espacio crear una nueva partición
L = Carga una copia de seguridad para la partición seleccionada
T = Convierte el Sistema de Archivos de la partición seleccionada
P = Lista los archivos de la partición seleccionada
Seleccionaremos P (listar archivos) y se desplegará una lista con todas las carpetas
y archivos que pertenecen a la partición seleccionada. Como vemos en la imagen
siguiente, tenemos la posibilidad de recuperar los archivos presionando la tecla C .
Cuando elijamos qué archivo restaurar, el programa nos dará a elegir un directorio
para realizar la copia de los archivos.
Recuerde: NUNCA el destino de la copia debe ubicarse en la partición que

queremos recuperar. Los datos que estén siendo recuperados sobrescribirán los
datos que esperan ser restaurados, y esto arruinará el proceso por completo.

En la imagen anterior hemos recuperado un archivo y el programa nos indica que la
copia se ha realizado exitosamente.
Si no seleccionamos ningún archivo en particular, restaurará todo. Para ello vamos

a los primeros 2 ítems (esos que figuran con . .. ) y presionamos la tecla C
Después de unos minutos, el proceso de recuperación de datos se llevó a cabo de

forma exitosa.
En este caso particular, no recomendaría que restauren las particiones, porque será
sumamente inestable, y peligroso si estas contenían virus o archivos infectados. Lo
mejor sería hacer una copia de seguridad de los datos más necesarios y formatear
de nuevo el disco con las particiones que queramos y volcar allí los archivos que
rescatamos, previamente escaneados por un antivirus actualizado.
Sino, lo más probable es que eventualmente ocurra un error como este:
El archivo o directorio está dañado o es ilegible.

Si aún así quiere hacer caso omiso y recuperar la partición, los pasos figuran al final
del próximo capítulo.

CAPÍTULO 11: Recuperación de Particiones
Este es un caso que sucede mayormente cuando no prestamos atención al trabajo

que estamos realizando y no solo borramos todas las particiones de un disco, sino
que encima de ellas creamos nuevas particiones, y al momento de dar tamaño a
cada una de ellas, vemos que ¿los tamaños no coinciden?... ¿Por qué este disco
es diferente al ? OH NO!! ¡¡QUE HICE!!
Aunque no parezca, es un error que suele ocurrir. Pero la presión con la que uno
cuenta, hace que este caso se torne un dolor de cabeza recuperar los datos tal cual
los teníamos.
Pero la solución, sigue siendo relativamente sencilla, siempre y cuando no hayamos
volcado gigabytes de datos en la partición nueva. Ahí sí, hemos metido la pata.
Seleccionamos la unidad que tenemos que recuperar. Utilizaré el disco rígido del
capítulo anterior, el WD800 que luego de la recuperación, lo formatee para instalar
Linux allí.
De esta manera el disco ahora tiene esta forma, donde la primer partición está en
NTFS, la segunda es en ReiserFS y la tercera es Linux/SWAP (intercambio de Linux,
que no es relevante para nosotros en este caso).
La intención es, después de haber incluso formateado, poder acceder a los datos
que teníamos en esa partición, que si recuerdan, su etiqueta era BILLI .
Bueno, seleccionado el disco, elegimos que el tipo de la tabla de partición sea Intel.
Vamos a analizar el disco en búsqueda de particiones, y como resultado obtuve
algo así.
Nada. Lo que vemos son las 3 particiones, 2 que he creado para instalar Linux y la
NTFS para Windows. Entonces, seleccionamos Quick Search y esperamos a que
termine el análisis.

Para nuestra sorpresa sigue siendo lo mismo. ¿Qué sucede?
Nada, simplemente nos muestra el sistema de archivos tal cual están en este
momento. Si queremos que haga un análisis más profundo, solo seleccionamos
cualquiera de los 3 resultados que nos dio y en el panel de abajo seleccionamos
Deeper search
Allí está, mientras analiza los cilindros ya encontró a nuestra querida partición.
Esperamos pacientemente a que finalice el análisis de cilindros. Mientras tanto,
pensemos lo importante que es etiquetar o nombrar a las unidades. Nos simplifica
muchísimo a la hora de recuperar nuestros datos. Es un sano consejo.
Ya va terminando ¡LISTO!

Seleccionamos la unidad y presionamos la tecla P para que liste los archivos.
Aquí tenemos listados los archivos, tal cual los teníamos. Ahora podemos realizar
tranquilamente nuestra copia de seguridad.

- Pero, ¡no!, me está dando las instrucciones para realizar una copia de seguridad,
yo quiero RESTAURAR las particiones como estaban
Epa!, tranquilo que aquí vamos. Hasta aquí hemos llegado a listar todos los
archivos que contenía la partición. Pero todavía el trabajo no ha finalizado. Una vez
que hayamos confirmado que se trataba de esta partición la que deseas recuperar,
entonces presiona la q, que nos llevará a donde estábamos recién.
Aquí deberemos actuar con calma, porque lo más frecuente es presionar ENTER
ante la menor pista y esto nos llevará a perder el doble de tiempo, ya que TestDisk
no detectará ninguna partición para restaurar y te llevará al inicio del programa y
deberás comenzar todo de nuevo.
Ahora lo que haremos es desde aquí seleccionar las particiones que deseamos
restaurar. Para ello vamos a utilizar las teclas de cursor DERECHA IZQUIERDA
para cambiar entre las opciones *, P, L, E, D. Debes tener claro que las particiones
marcadas con la letra D, no serán escritas en la tabla de particiones.
¿Qué es eso de *, P, L, E, D ? Si recuerdas lo que vimos en el capítulo 2 sobre

particiones, vemos que concuerda perfectamente.
P nos indica que se trata de una partición Primaria (Primary Partition)

L nos indica que se trata de una partición Lógica (Logical Partition)
E nos indica que se trata de una partición Extendida (Extended Partition)
D no se refiere a ningún tipo de partición. Puede hacer referencia a una
partición eliminada (Deleted Partition)
* Deja que TestDisk examine qué tipo de partición fue.
Si recuerdas exactamente que tipo de partición era, entonces la puedes seleccionar

manualmente. De lo contrario, utiliza el comodín *.
Una vez que tengamos seleccionadas las particiones, entonces ahora sí
presionamos ENTER.

Si estamos seguros, entonces seleccionamos Write. Nos pedirá una confirmación.
La aceptamos y nos pedirá reiniciar la PC.
Una vez reiniciada, vamos a Mi PC , nuestra partición ha sido restaurada con éxito.
Fíjense que en este caso donde formatee de verdad esta unidad con otras 3 nuevas
particiones (NTFS, ReiserFS y Swap), y se ha podido recuperar de manera muy
sencilla.
Por supuesto, esto nos sirve para todos los casos en que tengamos una partición
afectada, y nunca la hayamos sobrescrito con otros datos.
Por ejemplo, funcionará en casos como:
Borrar y crear nuevas particiones en un mismo disco
meter mano con programas particionadores
Querer instalar un nuevo sistema operativo y elegir la partición incorrecta,
pero nos damos cuenta antes de que comience con la copia de archivos.
Pero no funcionará en casos como:

Realizar un formato de bajo nivel
Instalar un sistema operativo y darnos cuenta que lo instalamos en la
partición equivocada
Formatear una unidad, y llenarla de datos cuando nos dimos cuenta que lo
estamos haciendo en la partición equivocada.
Si prestamos atención, vemos que la mayoría de los descuidos que no tienen vuelta
atrás son por descuidos.
Así concluimos este capítulo de restauración de particiones.

Glosario
En el libro se mencionan palabras como LiveCD, fstab, boot, etcétera. Dichos
significados se explican en esta misma obra, pero para su consulta directa se ha
diseñado este glosario, con la pregunta y su significado.
Palabra Significado
Boot En informática, la secuencia de arranque, (boot o booting en inglés) es el
proceso que inicia el sistema operativo cuando el usuario enciende una
computadora. Se encarga de la inicialización del sistema y de los dispositivos.
distro cada una de las variantes del sistema operativo GNU/Linux que incorpora
determinados paquetes de software para satisfacer las necesidades de un grupo
específico de usuarios, dando así origen a ediciones domésticas, empresariales y
para servidores.
Ficheros archivos informáticos se llaman así porque son los equivalentes digitales de los
archivos en tarjetas, papel o microfichas del entorno de oficina tradicional
Firmware o programación en firme, es un bloque de instrucciones de programa para
propósitos específicos, grabado en una memoria de tipo no volátilcontrola los
circuitos electrónicos de un dispositivo de cualquier tipo
fstab Archivo presente comúnmente en los sistemas UNIX que lista todos los discos,
particiones e indica cuál es la partición activa del sistema.
GB Abreviación de GigaByte. 1 GB equivalen a 1024 MB (MegaBytes), y para
discos, 1 GB = 1000 MB
GNU/Linux Término empleado para referirse al sistema operativo libre similar a Unix que
utiliza como base las herramientas de sistema de GNU y el núcleo Linux.
LiveCD sistema operativo almacenado en un medio extraíble, tradicionalmente un CD o
un DVD (de ahí sus nombres), que puede ejecutarse desde éste sin necesidad de
instalarlo en el disco duro de una computadora, para lo cual usa la memoria RAM
como disco duro virtual y el propio medio como sistema de archivos.
mainframe Una computadora central o mainframe es una computadora grande, potente y
costosa usada principalmente por una gran compañía para el procesamiento de
una gran cantidad de datos; por ejemplo, para el procesamiento de transacciones
bancarias.
SdA Abreviación de Sistema de Archivos . Ver capítulo 3
swap En informática, el espacio de intercambio es una zona del disco (un fichero o
partición) que se usa para guardar las imágenes de los procesos que no han de
mantenerse en memoria física. A este espacio se le suele llamar swap, del inglés
"intercambiar".
UNIX Sistema operativo portable, multitarea y multiusuario; desarrollado, en principio,
en 1969 por un grupo de empleados de los laboratorios Bell de AT&TDurante fines
de la década de 1970 y principios de la década de 1980, la influencia de Unix en
círculos académicos indujo a su adopción en masa. También se pueden encontrar
sistemas similares a Unix, como Linux y los derivados de BSD.

Bibliografía:
WIKIPEDIA
http://es.wikipedia.org/wiki/Disco_duro
http://es.wikipedia.org/wiki/Cl%C3%BAster_%28sistema_de_archivos%29
http://es.wikipedia.org/wiki/Master_Boot_Record
http://es.wikipedia.org/wiki/Sistema_de_archivos
http://es.wikipedia.org/wiki/Tabla_de_Asignaci%C3%B3n_de_Archivos
http://es.wikipedia.org/wiki/ZFS_%28sistema_de_archivos%29
http://es.wikipedia.org/wiki/MBR
http://es.wikipedia.org/wiki/Partici%C3%B3n_de_disco#Tipos_de_particiones
http://es.wikipedia.org/wiki/Logical_block_addressing
http://www.caleidoscopio.netii.net
http://www.raymond.cc/blog/archives/2008/11/10/5-free-tools-to-backup-and-
restore-master-boot-record-mbr/
http://www.cgsecurity.org/wiki/TestDisk_ES
http://www.hiren.info/pages/bootcd
http://www.microsoft.com/downloadS/details.aspx?displaylang=es&FamilyID=04d2
6402-3199-48a3-afa2-2dc0b40a73b6
http://www.cgsecurity.org/wiki/Running_TestDisk
POWER USERS #22 Disco Duro MP Ediciones S.A. Año MMV
Extensión Glosario
http://es.wikipedia.org/wiki/Boot
http://es.wikipedia.org/wiki/Distribuci%C3%B3n_Linux
http://es.wikipedia.org/wiki/Firmware
http://en.wikipedia.org/wiki/Fstab (inglés)
http://es.wikipedia.org/wiki/GNU/Linux
http://es.wikipedia.org/wiki/Unix
http://es.wikipedia.org/wiki/Livecd
http://es.wikipedia.org/wiki/Mainframe
http://es.wikipedia.org/wiki/Espacio_de_intercambio
http://es.wikipedia.org/wiki/Fichero
Colaboración de imágenes:
http://www.tomshardware.com/reviews/samsung-adds-capacity-fast-quiet-t133-
series,1194-4.html
http://www.cgsecurity.org
Wikimedia Commons
Microsoft VirtualPC 2007 6.0.0192

Recuperación de Datos PDF

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Recuperación de Datos PDF

Uploaded by

Copyright:

Available Formats

Recuperación de Datos

Recuperación de Discos Cristian1604 1

Recuperación de Datos by Cristian1604 is licensed under a Creative Commons

Licencia completa: http://creativecommons.org/licenses/by-nc-nd/2.5/ar/legalcode

Recuperación de Discos Cristian1604 2

Nombre Capítulo Página

Recuperación de Discos Cristian1604 3

Cuando un disco pierde toda su información, en ocasiones su recuperación se

Para comenzar, es muy necesario conocer cómo el disco guarda la información en

Recuperación de Discos Cristian1604 4

En este capítulo sólo trataremos los discos

Los discos duros basan su funcionamiento

Los platos están construidos en base a un sustrato y se encuentran recubiertos por

Para saber cómo un disco almacena la información,

Recuperación de Discos Cristian1604 5

Entonces hemos visto cómo se distribuye la información en un disco: asignando un

Básicamente es lo que necesitamos saber para trabajar en profundidad con nuestro

Recuperación de Discos Cristian1604 6

De ser necesario, profundizaremos más adelante.

DSP: Siglas de Digital Signal Processor, encargado de recibir instrucciones

Recuperación de Discos Cristian1604 7

Básicamente patricionar un disco nos brinda la posibilidad de crear discos más

En el escritorio de Mac OSX vemos las particiones de nuestro disco.

Desde Mi PC vemos las particiones en un mismo disco físico

Recuperación de Discos Cristian1604 8

En definitiva, cuando hablamos de particionar, hablamos de organizar la

PARTICIONES PRIMARIAS, EXTENDIDAS, PARTICIONES ACTIVAS

Las particiones a su vez se subdividen en categorías:

Recuperación de Discos Cristian1604 9

Representación de particiones desde cualquier gestor de éstas.

Los programas que antes mencionamos representarán de forma gráfica la

Recuperación de Discos Cristian1604 10

Ya hemos definido cómo se guarda la información en nuestro disco, además de que

Un sistema de archivos estructura la información guardada en una unidad de

Es parte fundamental para organizar la información en un disco. Éste será entonces

Existen tantos formatos de archivo como Sistemas Operativos, e incluso más, ya

Cada Sistema de Archivos tiene su particularidad. No es nuestra intención

Recuperación de Discos Cristian1604 11

Como vemos, la elección de un sistema de archivos es muy importante, teniendo

Usualmente si utilizamos Windows, NTFS sea nuestra elección. Lo mismo para

Recuperación de Discos Cristian1604 12

Es aquí donde nos centraremos: en la recuperación de datos a partir de una MBR

COPIA DE SEGURIDAD DEL MBR DESDE UNIX/LINUX Y WINDOWS

MANOS A LA OBRA: Crear copia de seguridad de la MBR en Linux/UNIX

En UNIX/Linux se puede usar el comando dd para hacer un backup y

Para hacer la copia de seguridad (backup):

dd if=/dev/xxx of=mbr.backup bs=512 count=1

dd if=mbr.backup of=/dev/xxx bs=512 count=1

siendo xxx sda, hda u otro.

Recuperación de Discos Cristian1604 13

dd if=/dev/xxx of=mbr_63.backup bs=512 count=63

Para borrarlo, si no tenemos una copia de seguridad pero necesitamos eliminar

dd if=/dev/zero of=/dev/xxx bs=512 count=1

Pueden ser descargadas (en su respectivo orden) desde:

Aquí vemos al MBRWizard! realizando una copia de seguridad del MBR

Recuperación de Discos Cristian1604 14

Un virus informático es un malware que tiene por objeto alterar el normal

Fig 1: Error en el arranque del S.O.

Fig 2: Otro error, este más común en el arranque del sistema

Recuperación de Discos Cristian1604 15

¿Qué son los freezadores o Congeladores ?

Si la PC al reiniciarse o apagarse y luego encenderse (por una orden del usuario o

Recuperación de Discos Cristian1604 16