Herramienta para recuperar archivos borrados en Windows
>> miércoles, 9 de octubre de 2013
Cómo recuperar archivos borrados en Windows usando un Live CD de Ubuntu
http://bitelia.com/ 09/10/2013
Ya sea por error, corrupción del sistema, problemas de hardware, o simplemente, mala suerte; la perdida de archivos es uno de los dolores de cabeza mas grandes que sufre cualquiera que haya usado un ordenador. Por suerte existen una gran variedad de herramientas disponibles para recuperar archivos borrados en Windows que nos pueden ayudar.
Cuando eliminamos un archivo desde Windows, éste en realidad no se ha borrado, sino que continúa existiendo en nuestro disco duro, incluso luego de que vaciamos la papelera de reciclaje. Windows, y otros sistemas operativos, saben dónde se encuentran los archivos en un disco duro a través de una especie de "indicadores" que le dicen al sistema dónde empiezan y terminan los datos. Cuando borramos un archivo lo único que Windows hace es remover ese indicador y marcar como disponibles los sectores del disco duro que contenían esa información.
Mientras Windows no escriba nuevos datos sobre esos sectores, los archivos que se borraron aún pueden ser recuperados. Por tanto es ideal que cuando se quiere recuperar archivos borrados de un disco durodebemos dejar de usarlo inmediatamente, para evitar sobrescribir los sectores y hacer irrecuperable la información.
En Bitelia hemos comentado sobre muchas herramientas para Windows que nos pueden ayudar, pero la mayoría requieren ser instaladas en nuestro sistema, lo que supone el riesgo de sobrescribir los datos en el disco duro.
Una manera bastante efectiva de recuperar archivos borrados en Windows es usando un Live CD/USB de Ubuntu (o cualquier distribución derivada).
Puedes descargar la imagen de Ubuntu desde aquí, luego quémala en un DVD o crea un disco de arranque USB. Importante no descargar el .ISO ni crear el Live CD desde el sistema que usa el disco duro cuyos datos queremos recuperar, lo mejor es usar otro ordenador.
Ubuntu por defecto incluye una herramienta de nombre ntfsundelete la cual nos permite recuperar archivos borrados de discos que contengan particiones NTFS, el sistema de particiones que usa Windows.
Esta es una manera ideal, ya que al bootear desde un Live CD no corremos el riesgo de sobrescribir los datos en el disco duro, ya que no sera utilizado en ningún momento.
Identificar el disco
Antes de recuperar nuestros archivos, lo primero que debemos hacer es identificar el disco duro y la partición en la cual se encuentran los archivos que deseamos recuperar.
Abrimos la Terminal y escribimos:
sudo fdisk –l
Presionamos enter.
Ahora la terminal nos va a listar todos los discos que tengamos y sus respectivas particiones. Buscamos una linea que termine con HPSF/NTFS bajo la etiqueta Sistema.
Ubuntu nombra todos los discos como sd seguidos de las letras del alfabeto en orden de aparición, y un numero para identificar la partición. Si solo tenemos un disco duro este se llamará sda y si solo tenemos una partición sería sda1.
Como pueden ver en la imagen arriba, la consola en mi caso detecto 2 discos: /dev/sda de 500GB que es mi disco duro primario, y un disco /dev/sdb de 4GB que es el que vamos a estar usando para los fines de este tutorial.
Los archivos que voy a recuperar se encuentran en /dev/sdb1, el nombre del disco y la partición pueden ser diferentes en tu caso, pero siempre comenzará por /dev/.
Si tienes mas de un disco duro, y más de una partición, puedes tratar de identificar el disco por su tamaño. La consola los muestra en GB y también te dice el número de bloques que ocupa una partición en el disco, mientras más alto sea el numero de bloques mayor el tamaño. También puedes chequear todos los discos y particiones si no estás seguro, solo que te tomará más tiempo.
Buscar archivos recuperables
Ahora que ya sabemos cual es el nombre de nuestro disco, vamos a escanearlo para ver que archivos podemos recuperar.
Escribimos en la terminal:
sudo ntfsundelete
En mi caso sería:
sudo ntfsundelte /dev/sdb1
Los nombres de los archivos que pueden recuperarse aparecerán en la columna de la derecha. En la tercera columna aparece un porcentaje que indica la fracción de un archivo que es recuperable.
En mi caso había guardado 5 archivos en el disco, que luego borré para los fines de este artículo, por suerte aparecen los 5 y pueden ser recuperados en un 100%.
No siempre los resultados serán tan favorables, especialmente si tratas de recuperar muchos archivos.
Recuperar los archivos
En mi caso tengo 5 archivos que recuperar, 3 .PNG, 1 archivo .AI y 1 archivo .MD.
Para recuperar rápidamente todos los PNGs usaremos *, el asterisco funciona como una especie de wildcardque selecciona todos los archivos al mismo tiempo.
Escribimos en la terminal:
sudo ntfsundelete –u –m *.png
En mi caso sería
sudo ntfsundelete /dev/sdb1 -u -m *.png
Los archivos recuperados se almacenan en la carpeta HOME o Carpeta Personal, por defecto. La herramienta ntfsundelte no realiza ningún cambio sobre tu disco duro, así que para enviar de regreso los archivos a tu disco deberás moverlos manualmente después de la recuperación. También puedes guardarlos en un pendrive, subirlos a la nube o enviártelos por correo, las opciones son variadas.
Existe otra manera de recuperar los archivos a través de un numero de identificación única en el disco. En lugar de usar la extensión del archivo usamos su Inode.
En la lista de archivos recuperables, la primera columna a la izquierda muestra un número. Ese número puede ser usado para elegir el archivo a recuperar.
Aún tengo un archivo .AI que recuperar, su Inode según se lee en la terminal es "64".
Para recuperar un archivo por su Inode, escribimos en la terminal:
sudo ntfsundelete –u –i
En mi caso:
sudo ntfsundelete /dev/sdb1 –u –i 64
Tomar propiedad de los archivos recuperados
Ahora todos mis archivos recuperados se encuentran en la carpeta HOME. Sin embargo, aún no podemos acceder a ellos. Esto pasa porque ntfsundelete guarda los archivos como "root" y no como el usuario actual.
Podemos verificar el propietario de los archivos escribiendo en la terminal:
ls –l
La lista muestra los permisos, propietarios, tamaño y ultima fecha de modificación.
Para tomar propiedad de estos archivos escribimos:sudo chown *
En mi caso sería:
sudo chown gabriela *
Los archivos ahora son accesibles y podemos hacer con ellos lo que queramos.
Aunque este método no es precisamente el mas amigable, ni tampoco cuenta con una interfaz gráfica, es muyefectivo, seguro y gratuito. Por último les comento que este proceso no funciona con discos SSD (Solid State Drive), ya que en este tipo de dispositivos una vez borrado un archivo este se borra para siempre de manera real.
http://bitelia.com/ 09/10/2013
Ya sea por error, corrupción del sistema, problemas de hardware, o simplemente, mala suerte; la perdida de archivos es uno de los dolores de cabeza mas grandes que sufre cualquiera que haya usado un ordenador. Por suerte existen una gran variedad de herramientas disponibles para recuperar archivos borrados en Windows que nos pueden ayudar.
Cuando eliminamos un archivo desde Windows, éste en realidad no se ha borrado, sino que continúa existiendo en nuestro disco duro, incluso luego de que vaciamos la papelera de reciclaje. Windows, y otros sistemas operativos, saben dónde se encuentran los archivos en un disco duro a través de una especie de "indicadores" que le dicen al sistema dónde empiezan y terminan los datos. Cuando borramos un archivo lo único que Windows hace es remover ese indicador y marcar como disponibles los sectores del disco duro que contenían esa información.
Mientras Windows no escriba nuevos datos sobre esos sectores, los archivos que se borraron aún pueden ser recuperados. Por tanto es ideal que cuando se quiere recuperar archivos borrados de un disco durodebemos dejar de usarlo inmediatamente, para evitar sobrescribir los sectores y hacer irrecuperable la información.
En Bitelia hemos comentado sobre muchas herramientas para Windows que nos pueden ayudar, pero la mayoría requieren ser instaladas en nuestro sistema, lo que supone el riesgo de sobrescribir los datos en el disco duro.
Una manera bastante efectiva de recuperar archivos borrados en Windows es usando un Live CD/USB de Ubuntu (o cualquier distribución derivada).
Puedes descargar la imagen de Ubuntu desde aquí, luego quémala en un DVD o crea un disco de arranque USB. Importante no descargar el .ISO ni crear el Live CD desde el sistema que usa el disco duro cuyos datos queremos recuperar, lo mejor es usar otro ordenador.
Ubuntu por defecto incluye una herramienta de nombre ntfsundelete la cual nos permite recuperar archivos borrados de discos que contengan particiones NTFS, el sistema de particiones que usa Windows.
Esta es una manera ideal, ya que al bootear desde un Live CD no corremos el riesgo de sobrescribir los datos en el disco duro, ya que no sera utilizado en ningún momento.
Identificar el disco
Antes de recuperar nuestros archivos, lo primero que debemos hacer es identificar el disco duro y la partición en la cual se encuentran los archivos que deseamos recuperar.
Abrimos la Terminal y escribimos:
sudo fdisk –l
Presionamos enter.
Ahora la terminal nos va a listar todos los discos que tengamos y sus respectivas particiones. Buscamos una linea que termine con HPSF/NTFS bajo la etiqueta Sistema.
Ubuntu nombra todos los discos como sd seguidos de las letras del alfabeto en orden de aparición, y un numero para identificar la partición. Si solo tenemos un disco duro este se llamará sda y si solo tenemos una partición sería sda1.
Los archivos que voy a recuperar se encuentran en /dev/sdb1, el nombre del disco y la partición pueden ser diferentes en tu caso, pero siempre comenzará por /dev/.
Si tienes mas de un disco duro, y más de una partición, puedes tratar de identificar el disco por su tamaño. La consola los muestra en GB y también te dice el número de bloques que ocupa una partición en el disco, mientras más alto sea el numero de bloques mayor el tamaño. También puedes chequear todos los discos y particiones si no estás seguro, solo que te tomará más tiempo.
Buscar archivos recuperables
Ahora que ya sabemos cual es el nombre de nuestro disco, vamos a escanearlo para ver que archivos podemos recuperar.
Escribimos en la terminal:
sudo ntfsundelete
En mi caso sería:
sudo ntfsundelte /dev/sdb1
Los nombres de los archivos que pueden recuperarse aparecerán en la columna de la derecha. En la tercera columna aparece un porcentaje que indica la fracción de un archivo que es recuperable.
En mi caso había guardado 5 archivos en el disco, que luego borré para los fines de este artículo, por suerte aparecen los 5 y pueden ser recuperados en un 100%.
No siempre los resultados serán tan favorables, especialmente si tratas de recuperar muchos archivos.
Recuperar los archivos
En mi caso tengo 5 archivos que recuperar, 3 .PNG, 1 archivo .AI y 1 archivo .MD.
Para recuperar rápidamente todos los PNGs usaremos *, el asterisco funciona como una especie de wildcardque selecciona todos los archivos al mismo tiempo.
Escribimos en la terminal:
sudo ntfsundelete
En mi caso sería
sudo ntfsundelete /dev/sdb1 -u -m *.png
Los archivos recuperados se almacenan en la carpeta HOME o Carpeta Personal, por defecto. La herramienta ntfsundelte no realiza ningún cambio sobre tu disco duro, así que para enviar de regreso los archivos a tu disco deberás moverlos manualmente después de la recuperación. También puedes guardarlos en un pendrive, subirlos a la nube o enviártelos por correo, las opciones son variadas.
Existe otra manera de recuperar los archivos a través de un numero de identificación única en el disco. En lugar de usar la extensión del archivo usamos su Inode.
En la lista de archivos recuperables, la primera columna a la izquierda muestra un número. Ese número puede ser usado para elegir el archivo a recuperar.
Aún tengo un archivo .AI que recuperar, su Inode según se lee en la terminal es "64".
sudo ntfsundelete
En mi caso:
sudo ntfsundelete /dev/sdb1 –u –i 64
Tomar propiedad de los archivos recuperados
Ahora todos mis archivos recuperados se encuentran en la carpeta HOME. Sin embargo, aún no podemos acceder a ellos. Esto pasa porque ntfsundelete guarda los archivos como "root" y no como el usuario actual.
Podemos verificar el propietario de los archivos escribiendo en la terminal:
ls –l
La lista muestra los permisos, propietarios, tamaño y ultima fecha de modificación.
Para tomar propiedad de estos archivos escribimos:sudo chown
En mi caso sería:
sudo chown gabriela *
Los archivos ahora son accesibles y podemos hacer con ellos lo que queramos.
Aunque este método no es precisamente el mas amigable, ni tampoco cuenta con una interfaz gráfica, es muyefectivo, seguro y gratuito. Por último les comento que este proceso no funciona con discos SSD (Solid State Drive), ya que en este tipo de dispositivos una vez borrado un archivo este se borra para siempre de manera real.
0 comentarios :
Publicar un comentario