TUTORIAL: Recuperación de datos perdidos

[Manu1613]

Vamos a dar un paso más. Ahora vamos a intentar recuperar datos que hemos eliminado. Antes de empezar vamos a necesitar los siguientes programas:

•Recuva
•R-Studio
•Hiren's Boot CD

Dependiendo de lo que queramos recuperar usaremos una u otra.

NOTA IMPORTANTE: ESTE TIPO DE PROGRAMAS TE PEDIRÁ MÁS DE UNA VEZ QUE CUANDO RECUPERES UN ARCHIVO LA RUTA DEL ARCHIVO RECUPERADO SEA DIFERENTE A LA PARTICIÓN DONDE HEMOS ESCANEADO. TIENE SU LÓGICA DEBIDO A QUE SI HACEMOS EN LA MISMA ESTAMOS DE NUEVO REOCUPANDO CLÚSTERES DIFICULTANDO UN POSIBLE ESCANEO SUPERIOR. TAMBIÉN HAY QUE DECIR QUE NO SERÁ SIEMPRE PROSIBLE EL RECUPERAR AL 100% DE LOS DATOS PERDIDOS.

Antes de comenzar recomiendo el desfragmentar y examinar en busca de errores (indicando que se quieren arreglar) en la partición que queremos buscar los archivos. Más adelante explicaré por qué pero creer que esto es para sacarle más provecho y no quiero complicaros más la vida. :wink:


1. RECUPERACIÓN DE ARCHIVOS QUE HEMOS ELIMINADO


Cuando borramos un archivo creemos que desaparece, ¡NO! lo que hace el Sistema Operativo es ocultar el archivo y marcar los clústeres (espacio del disco duro) que ocupaba como escribibles. Si has leido bien, ¡ESCRIBIMOS NUEVOS DATOS ENCIMA DE LOS YA EXISTENTES! Por esto es que dependiendo de las veces que hayamos escrito encima de los clústeres del archivo borrado obtendremos si se puede recuperar completamente, en parte o no. Para recuperar estos archivos recomiendo usar el programa Recuva (Gratis). Cuando lo abramos aparecerá un asistente que te será muy útil (daremos clic en siguiente):



En esta ventana seleccionaremos aquello que queramos recuperar. Ante la duda puedes seleccionar Otros. Clic en Siguiente>



Aquí le indicaremos dónde debe de buscar los archivos eliminados. Ante la duda daremos un clic en No estoy seguro. Clic en Siguiente> La siguiente ventana es para decir que el programa está listo para buscar. Recomiendo activar la opción Activar escaneo profundo. Clic en Iniciar. Empezará a analizarse el equipo.



Cuando termine (recomiendo dar un clic en Vista Avanzada para tener más opciones como las de la imagen) tendrás algo así:



Recuva en modo avanzado.


El código de colores es así:

•Verde: Probabilidad alta de recuperación completa.
•Ambar/Naranja: 50% de probabilidad de recuperación.
•Roja: No hay probabilidad.

Con cualquiera de ellas solo se sabrá el resultado final seleccionando los archivos oportunos y dando clic en Recuperar donde nos preguntará dónde queremos guardar los archivos recuperados. Explora por tu cuenta, es muy fácil y verás cómo puedes moverte por cualquiera de las unidades e incluso volverlas a escanear.


2. RECUPERACIÓN DE ARCHIVOS ELIMINADOS Y DESPUÉS DE HABER FORMATEADO O PARTICIONADO.

Para esto usaremos primero R-Studio para poder analizar desde nuestro Windows. A pesar de que está en un perfecto inglés, también verás que su forma de usar es muy simple pero antes de nada debes de recordar:

Formato a alto nivel completo (Full):
Este elimina los archivos en la partición y examina cada sector en busca de errores. Aunque se usa la palabra "eliminar", estos archivos pueden ser recuperados.

Formato a alto nivel rápido (Quick):
Este es idéntico al formato a alto nivel completo, pero no examina los sectores.

Formato a bajo nivel:
Este es un formato que se realiza al nivel del disco. Los archivos y particiones son eliminados, ya que este define o vuelve a crear las pistas y sectores del disco.

SOLO DANDO UN FORMATO A BAJO NIVEL ES CUANDO NO PODREMOS RECUPERAR LA INFORMACIÓN

Hay que tener cuidado con el formato a bajo nivel porque un error conllevaría A QUE EL DISCO DURO QUEDARÍA INUTILIZABLE. Para más información ve a esta página (que es además de dónde  he sacado esta información):

http://www.letheonline.net/lowlevel.htm


Una vez dicho esto abramos R-Studio (y una vez registrado, te lo preguntará cuando lo abras, el nombre y empresa puede ser inventado, el serial es el que hay en key.txt que lleva incluido) tendremos esta interfaz:
 


Es tan sencillo como seleccionar la unidad a escanear y dar un clic en Scan. Podrás parar, pausar para continuar más tarde e incluso guardar la información de lo escaneado desde Drive/Save Scan Information. Cuando des un clic en Scan, una vez seleccionada la unidad, aparecerá esto


 
En un principio con darle a Scan tal y como está está bien. Ahora si quieres analizar parte de él es algo complejo de entender pero matemáticamente debe ser así:

En Start debes de poner dónde empezar (aunque pone Bytes, usa GB). Llamemosle x

En Siza debes de poner la cantidad total de tu disco duro (llamemosle y) – lo que hay en start, es decir de forma genérica para esta imagen analizar lo que queramos queda así:

Start: x

Size: y=223.57-x


Esto es analizar de x a y (x e y deben de estar en la misma unidad, como he dicho mejor en GB).

Tal y como muestra la imagen es para analizar todo el disco duro. Damos un clic en Scan y a nuestra derecha iremos viendo el proceso clúster a clúster con la leyenda de lo recuperado. Una vez terminado será algo parecido a esto:



A la izquierda bajo la unidad seleccionada encontraremos varios Recognized y algún que otro Extra Found Files. Lo que debes de hacer es darles doble clic para que muestre su contenido



Las carpetas que veamos tachadas será que han sido eliminadas (actua como Recuva) o bien no tendrás probabilidad de recuperarlo todo. Los recognized también tiene su código de colores:


•Verde: Probabilidad muy alta de recuperación.
•Ambar/Naranja: 50% de probabilidad de recuperación completa.
•Roja: Probabilidad baja de recuperación o bien no se ha identificado el sistema de archivos (Por ejemplo si hemos usado en esa partición Linux o MacOS).

Para recuperar seleccionaremos lo que nos interese y luego clic en Recover Marked. El botón Recover es para recuperar todo. Podemos ayudarnos del botón Find/Mark para buscar archivos.

Si este programa se te quedó corto entonces toca la hora de usar GetDataBackNTFS (o GetDataBackFAT si usas Windows Me o inferior). Este programa viene incluido en el CD Hiren's Boot.

Lo primero que debemos de hacer es introducir el CD en la unidad y reiniciar el ordenador. Cuando se cargue debes de acceder al menú de arranque. Este menú se suele llegar mediante las teclas ESC, F2 o F12 dependiendo del ordenador (lo suele indicar Press <tecla> for menu entry o similar). Cuando entre deberás de seleccionar la opción Start Mini Windows XP:



Cuando pasen unos minutos entrarás en Windows XP en un perfecto inglés:



Entonces lo que tenemos que hacer es dar un clic en la única aplicación que tenemos en la barra de tareas para localizar el programa (Menu/Recovery/GetDataBackNTFS):



Pasados unos segundos tendremos el programa abierto:



Las opciones son:

1.I Don't Know, use default settings: Si no quieres complicarte la vida y que el programa haga lo que quiera y crea conveniente.

2.Perfom a Quick Scan (sudden partition loss, FDisk): Hacer un esceneo rápido de la partición. También para analizar si hemos operado en ella usando el comando FDISK.

3.Systematic File system damage: Análisis si hemos usado usado los comandos FORMAT o FDISK. Es decir cuando hemos eliminado y/o formateado una partición. Análisis profundo

4.Sustained flie system damage: Análisis en una partición en la cual tenemos actualmente o tuvimos instalado un Sistema Operativo. Esto equivale al análisis más profundo que se puede hacer.

5.I Want to recover deleted files: Equivale a hacer lo mismo que Recuva.

Yo recomendaría usar la número 4 pero claro, dependiendo de tu nivel de informática puedes usar el que más apropiado te parezca. Ante la duda ya te digo que uses primero la opción 4 y sino te gusta pues usa cualquiera de las otras. Una vez terminado damos un clic en Next. Comenzará el escaneo del disco duro para mostrarnos las particiones encontradas para darle un clic a la que queramos:



Debes de guiarte por el tamaño de la partición. Puedes usar el explorador de Windows para ver cual de las particiones es la que quieres analizar y localizarla en este programa por su tamaño. Una vez seleccionada damos un clic en Next donde empezará el proceso y toca la espera.



Al terminar aparecerá algo así:



Recomiendo dejarla como la imagen, da un clic abajo a la izquierda en Show all (por defecto viene Show recommended). De esta forma veremos todos los resultados. El código de colores viene a ser casi siempre el mismo:

1.Verde, alta probabilidad.
2.Amarillo/Ámbar/Naranja: Probabilidad media.
3.Roja: Probabilidad baja o sistema de archivos diferente.

Así que como siempre toca probar a ver que se puede recuperar. Una vez seleccionado el sistema de archivos adecuado a la izquierda, clic en Next, al cabo de un rato tendrás algo parecido a esto:



La leyenda lo dice todo:
•Gris: Archivos de solo lectura
•Gris claro: Archivos ocultos
•Rojo: Archivos del sistema
•Morado: Archivos comprimidos
•Negro y tachado: Archivos borrados (equivalente a lo que hacemos con Recuva).

Esto es como un explorador de Windows, nos toca explorar, buscar y localizar. Podemos ayudarnos del botón Search.

Cuando hayamos localizado lo interesado, daremos un clic (archivo o carpeta) y luego al botón Copy para recuperar el archivo a la ruta que queramos (Hiren's Boot crea una unidad virtual RAM donde se pueden almacenar hasta cas 800 MB para no usar nuestras particiones pero vamos esto ya depende del usuario donde quiera guardar los datos recuperados).



Con esto se termina, ahora ya sea con este programa, R-Studio o Recuva hay que repetir estas operaciones las veces que lo deseemos. Otra nota importante, yo he usado Hiren's Boot 10. Actualmente está la 14 pero no la he usado porque antes de usar este programa requiere hacer una serie de pasos previos que he preferido omitir, de esta forma se hace más fácil dentro de lo complicado que ya es todo esto. Ambos están también disponibles en mi cuenta mediafire. Espero que os haya servido.

¡Saludos!

[ZZERO]

MANU, tremendo tutorial. Me lo guardo para casos de emergencia.

Gracias.

[Deckard]

 PLAS PLAS PLAS!!! Muy bueno Manu.

[PISCIS13]

¡Genial Manu! ¡Muchas gracias! Yo también me lo guardo, que nunca se sabe...  :wink: