Autodiagnóstico de discos duros y recuperación de datos

Este artículo describe métodos para el autodiagnóstico de varios fallos de funcionamiento de los discos duros por los síntomas de su manifestación, así como métodos para la clonación relativamente segura de discos duros con problemas menores.

Se consideran varios casos de pérdida de datos y un conjunto de acciones óptimas que sin un conocimiento profundo de los sistemas de archivos del dispositivo que utilizan programas de recuperación automática lo ayudarán a devolver su información sin ayuda externa.

Pero antes de comenzar cualquier acción independiente, debe leer cuidadosamente todos los materiales en el artículo, y solo luego analizar el estado de su disco duro para que sus intentos no se conviertan en los últimos en la vida útil del disco, y para que no se prive de la última esperanza de recuperación datos que necesita

CONTENIDO

Primera parte: diagnósticos

1. Inspección visual
2. Prueba de funcionamiento
3. Preparación para la prueba
4. Prueba
5. Copia sectorial

Segunda parte: recuperación de datos.

6. Métodos de recuperación de datos.
7. Casos típicos y acciones recomendadas.
8. Comprobación de integridad del archivo
9. Errores frecuentes del usuario

Al aceptar seguir las instrucciones adicionales, usted reconoce que nadie, excepto usted, es responsable de la posible falla del disco y la pérdida permanente de datos. Un conjunto de medidas tiene como objetivo reducir la probabilidad de un resultado adverso, pero no lo asegura en un 100%.

Diagnósticos

1. Inspección visual

Inspeccione el variador en busca de deformaciones, elementos faltantes o quemados en la placa del controlador y verifique la integridad de los conectores. Si se detectan daños graves o elementos quemados, se recomienda encarecidamente que no intente suministrar energía a dicha unidad para evitar exacerbar el problema.

Usando destornilladores (generalmente Torx - T5, T6, T9), desenrosque los tornillos que aseguran la placa del controlador y verifique el estado de las almohadillas en la placa del controlador.


Fig. 2 hay una película de óxido en las almohadillas

En presencia de óxidos, puede intentar eliminarlos de las almohadillas de contacto con un borrador normal. Puede trabajar con el borrador solo en áreas planas, como en la figura. En otros casos, tal acción no se aplica.


Fig. 3 almohadillas despejadas.

Si se detecta algún daño en la placa, entonces no debe intentar sustituir la placa controladora de una unidad similar en los discos duros modernos, ya que en los dispositivos modernos en la ROM puede haber varios parámetros adaptativos en la placa que se forman durante el ciclo de producción y son únicos para cada unidad. En casos relativamente raros, los parámetros de otras personas pueden amenazar con dañar el disco duro.

<sub>Si tiene una estación de soldadura, necesita transferir la MCU , EEPROM , NV-RAM , NAND (dependiendo de lo que esté a bordo de la placa del controlador y cuál de estas necesariamente debe transferirse) y después de dicha adaptación use un controlador de donante. Vale la pena señalar que para la adaptación de muchos controladores será suficiente transferir solo el chip EEPROM .

Al seleccionar una tarjeta, primero mire el número de PCB grabado. Evalúe aún más la coincidencia de las marcas de MCU y VCM & SM del controlador. Si las marcas de MCU y VCM & SM del controlador son diferentes en la placa original y en la placa de donantes, entonces es muy probable que la placa de donantes potenciales no sea adecuada. Dentro de la misma familia, pueden existir diferentes versiones de los tableros, y en algunos casos pueden ser compatibles con ciertas reservas, pero no intente averiguarlo en casa.

Intentar sustituir una placa controladora inadecuada (con un número diferente en la PCB ) puede provocar el agotamiento del preamplificador.

Si hay un multímetro disponible, revise los circuitos de 5V y 12V para ver si hay un cortocircuito. Compruebe también la resistencia de los devanados del motor. Si hay un servicio garantizado exactamente el mismo variador (el fabricante, la gama de modelos, la revisión de la placa del controlador está disponible), puede verificar si el mismo número de pines en el bloque del interruptor sonará al suelo, y también comparar las resistencias. Con serias diferencias, podemos concluir que el interruptor del preamplificador está defectuoso, y esto detendrá cualquier intento independiente de restaurar más los datos.</sub>

2. Prueba de funcionamiento

Asegúrese de que su sistema de prueba esté en buen estado de funcionamiento, para evitar hacer diagnósticos incorrectos y si no encuentra ningún motivo externo que impida un intento de inicio, luego conecte el cable de interfaz y el cable de alimentación a los conectores correspondientes y encienda la fuente de alimentación .

Si sabe que la unidad se golpeó o se cayó en condiciones de funcionamiento, o antes de que llegara a usted, comenzó a emitir sonidos de golpes, no intente encenderla.

_{En estos casos, se requiere la apertura obligatoria del disco duro en una caja laminar (o sala limpia) y un examen exhaustivo con un microscopio.}


Fig. 4 cables de conexión a discos duros.

Después del encendido, la unidad debe comenzar a girar el eje. En algunos casos, esto puede no suceder con unidades que funcionen perfectamente, si por alguna razón se ha agregado un requisito para enviar un comando giratorio a la configuración de la unidad.

Cuando el eje gira, aparece un ligero ruido del flujo de aire. En algunas unidades, apenas es audible, por lo que puede armarse con un estetoscopio (o mantener la unidad cerca de su oído de acuerdo con todas las reglas de seguridad para evitar cortocircuitos).
Si en lugar del ruido del aire se escuchan una serie de zumbidos cíclicos, chirridos silenciosos o sonidos remotamente similares a los pitidos del teléfono, lo más probable es que el variador no pueda iniciar la rotación del eje del motor. Las razones para esto pueden ser las siguientes: BMG pegado fuera de la rampa de estacionamiento (zona), atasco del eje del motor, mal funcionamiento del chip del controlador VCM y SM .

<sub>Si tiene una unidad donante adecuada, puede verificar la versión con un mal funcionamiento del controlador VCM & SM si está listo para realizar las adaptaciones necesarias de la placa donante descrita en el párrafo "inspección visual".

En los casos en que BMG se pega fuera de la rampa de estacionamiento, las acciones independientes basadas en videos de YouTube generalmente conducen a la formación de rasguños adicionales en las superficies de las placas o al desprendimiento de los controles deslizantes. Incluso si logra llevar BMG con bastante éxito a la rampa de estacionamiento, entonces los defectos de recubrimiento de polímero que se formaron en el lugar donde se pegaron los controles deslizantes, los micro arañazos de los controles deslizantes recibidos durante la extracción de BMG , junto con los procedimientos de escaneo fuera de línea y el polvo del aire sin limpiar, es poco probable que le permitan leer una cantidad significativa datos en la gran mayoría de los casos antes del desarrollo de más procesos de degradación irreversibles. En este artículo se puede encontrar cómo se produce el proceso de recuperación de datos en estos casos en una compañía de perfiles "Recuperación de datos del disco duro externo Seagate FreeAgent Go"

Cuando un eje del motor está atascado, generalmente es necesario transferir un paquete de discos al bloque de presión del donante. Tal evento en el hogar sin la preparación adecuada y la falta de herramientas necesarias en el 99.9% de los casos estará condenado al fracaso.</sub>

Si no hay sonido cuando se aplica energía y el variador no comienza a girar el eje, entonces son posibles los siguientes diagnósticos: el tablero del controlador está defectuoso, el interruptor del preamplificador está defectuoso, el BMG está defectuoso.

Después de que la unidad comienza a girar el eje, debe calibrarse, leer el firmware y, después de inicializar el sistema de traducción, estar listo. Si en lugar de la calibración, se escuchan sonidos cíclicos de golpeteo, traqueteo u otros sonidos de llamada, apague la unidad de inmediato. La causa de tales fenómenos puede ser: un mal funcionamiento del BMG o un interruptor del preamplificador, un mal funcionamiento del chip controlador VCM & SM .

<sub>Los microprogramas de algunos variadores interrogan el interruptor del preamplificador antes de que se desenrolle el eje del motor, y en casos de detectar una respuesta incorrecta o resistencia abrumadora para cualquiera de los cabezales, se realiza una parada de emergencia del proceso de inicialización. Desafortunadamente, no todos los microprogramas controlan suficientemente la salud del dispositivo y permiten intentos de iniciar un disco duro francamente problemático. Se recomienda realizar un trasplante de BMG en una caja laminar con flujo de aire limpio y una herramienta especializada. Además, es necesario saber cómo seleccionar un donante para elegirlo con una revisión adecuada del interruptor del preamplificador, un mapa principal y parámetros adaptativos cercanos. Solo la coincidencia del fabricante y el modelo no garantiza que la unidad sea un donante adecuado. Incluso si es posible seleccionar un donante de forma independiente y realizar un procedimiento de trasplante, es poco probable que pueda leer una gran cantidad de datos debido a problemas relacionados.

Las acciones que se pueden tomar si la placa del controlador está defectuosa se indican en la sección Inspección visual.</sub>


Fig. 5 superficie muy rayada de la placa (cortes múltiples).

Es importante comprender que con cada intento de encender una unidad con un BMG defectuoso , existe el riesgo de una mayor destrucción de las superficies de la placa, lo que puede conducir a la imposibilidad total de recuperación de datos.

Si la unidad no emite ningún sonido sospechoso, luego de completar todos los procedimientos de inicialización, debería estar listo. A partir de este momento, el disco debe estar listo para el intercambio de datos a través de la interfaz, y si está conectado a un puerto en la placa base de la PC, debe responder a la solicitud de pasaporte del BIOS . Si todo está en orden con la conexión y la configuración del BIOS , pero el disco permanece invisible para la PC , lo más probable es que haya problemas en el firmware de la unidad, que no permiten que se prepare.

Si la unidad proporciona datos de pasaporte incorrectos, por ejemplo, solo el nombre del modelo y la capacidad cero, o el nombre del modelo no es el mismo que debería, falta el número de serie, esto indica que los procedimientos de inicialización no tuvieron éxito y hay problemas en el firmware. En tales casos, generalmente es imposible resolver el problema de forma independiente sin el uso de software profesional y sistemas de hardware.

<sub>Una excepción separada es el caso de Seagate 7200.11 (familia Moose) con el que algunos problemas podrían resolverse utilizando el adaptador RS232-TTL y un terminal convencional, pero aquí debe comprender que sin comprender el problema del microcódigo existen riesgos de agravar significativamente la situación.

Se recomienda encarecidamente no aplicar la metodología a otras familias, ya que dará lugar a un recuento del traductor, que en la gran mayoría de los casos será incorrecto y el acceso al área del usuario será hasta el primer punto de discrepancia. La recuperación de datos en este caso es significativamente complicada.</sub>

Si todos los campos en el pasaporte proporcionados por la unidad son correctos, excepto la capacidad, entonces debe verificar si esto es una consecuencia del error del BIOS de algunas placas base, que, usando comandos de control HPA en lugar de cortar una pequeña parte del rango LBA para guardar una copia del BIOS, corta casi 1TB.


Fig. 6 capacidad de pasaporte de una unidad de 1Tb después del desarrollo incorrecto de la alfombrilla de BIOS. Tableros Gigabyte

_{Para resolver este problema, puede usar HDAT2 o un software de diagnóstico gratuito similar, con el que puede devolver la capacidad del pasaporte original de la unidad, así como deshabilitar la capacidad de controlar HPA en DCO para evitar la recaída del problema.}

3. Preparación para la prueba

Al probar discos fuera de complejos profesionales, es importante preparar el sistema operativo con anticipación. Es necesario prohibir el montaje automático de volúmenes de disco para evitar que el sistema operativo funcione por sí solo.

_{En Windows, para esto, con privilegios de administrador, debe ejecutar diskpart y ejecutar el comando deshabilitar automount . Si previamente se conectó un disco potencialmente problemático a este sistema operativo , debe eliminar las opciones de montaje del registro con el comando de fregado automount . Para que esta configuración surta efecto, se recomienda reiniciar.}

También es necesario preparar un software de diagnóstico. En Windows, puede usar el PC3000 DiskAnalyzer gratuito en el que, además de la función de diagnóstico, es posible crear una copia sector por sector. También es recomendable tener una unidad flash USB de arranque con HDAT2.

_{No es necesario utilizar solo este software para el diagnóstico. Puede usar cualquier otro análogo, con la excepción de algún software no libre para usuarios demasiado crédulos, en cuya publicidad tales lemas pueden sonar "... programa único para la regeneración de unidades de disco duro físicamente dañadas. ¡No oculta los sectores defectuosos, realmente los restaura! De hecho, con declaraciones de muy alto perfil, dicho software tiene capacidades muy modestas que no exceden las capacidades del software libre, y la ideología de trabajar con defectos está más dirigida a la destrucción final del disco, en lugar de ayudar a obtener más datos.}

Si, con la unidad conectada, el tiempo de arranque del sistema operativo ha aumentado varias veces, incluso cuando el montaje automático de volúmenes está deshabilitado, se recomienda que detenga cualquier actividad para evitar agravar el problema.

_{Un aumento significativo en el tiempo de arranque del sistema operativo cuando se conecta un disco duro potencialmente problemático es una señal muy característica de que se producen defectos en la superficie de las placas de la unidad. Los retrasos en el arranque del sistema operativo son el resultado de llamadas a sectores defectuosos y los intentos del firmware para realizar procedimientos de exploración fuera de línea que son demasiado difíciles para ella.}

Después de cargar con éxito el sistema operativo, vaya al administrador de dispositivos y asegúrese de que su unidad esté en la lista de dispositivos. Si no está allí, asegúrese de que el controlador para el controlador al que está conectado esté instalado y que el controlador en sí no esté apagado en la lista de dispositivos. Si todo está bien con el controlador y la configuración del sistema operativo , y la unidad no apareció en el sistema operativo o apareció y desapareció después de un tiempo, esto generalmente indica una amplia gama de fallas. Los más probables son el mal funcionamiento de la placa del controlador, el bloqueo del firmware de la unidad o la unidad pasa al modo de emergencia, en el que deja de responder normalmente a la mayoría de los comandos.

_{Para aclarar el diagnóstico, puede intentar cargar DOS y usar HDAT2 para ver los parámetros SMART . Si hay signos de formación de defectos (valores distintos de cero de 5 y 197 (C5) atributos en los campos de valores no estandarizados), podemos concluir que sin interferir con la configuración del firmware en el hogar No se hará nada. Si no hay signos de formación de defectos, la causa de las congelaciones puede deberse al funcionamiento incorrecto de la placa del controlador. En este caso, puede intentar usar la placa controladora desde la unidad donante.}

4. Prueba

Después de seguir los pasos anteriores y no notar buenas razones para detener el proceso, puede continuar con una evaluación adicional de la unidad. La mayoría de las unidades lanzadas este siglo han introducido la tecnología SMART , que monitorea el estado de la unidad y captura varios eventos durante su funcionamiento. Lea más sobre la implementación de esta tecnología en el HDD y qué parámetros es deseable controlar durante la operación de los discos en nuestro artículo "Qué es SMART y cómo leerlo" .

Con el software de diagnóstico, debe solicitar parámetros SMART


Fig. 7 atributos INTELIGENTES de un disco duro saludable

Es importante evaluar los indicadores para los atributos 5 y 197 (C5). Si los valores en la columna RAW son cero o los indicadores de problemas son únicos, entonces es necesario continuar con las pruebas.


Fig. 8 atributos de disco SMART severos

Si el número de candidatos para defectos es un número de tres y cuatro dígitos, en la mayoría de los casos, los intentos adicionales de probar la superficie o escanear con las utilidades de recuperación automática de datos agravarán el problema hasta que sea completamente imposible obtener datos.

_{Para obtener datos en tales casos, es importante intervenir en la configuración del firmware de la unidad y deshabilitar los procedimientos de escaneo fuera de línea, el registro SMART para evitar que la unidad participe en procesos en segundo plano que pueden acortar en gran medida la vida útil de un dispositivo problemático. Desafortunadamente, esto no se puede hacer de manera simple sin un conocimiento profundo de la arquitectura del firmware de las unidades y sin complejos profesionales. La siguiente tarea es evaluar la condición de cada uno de los cabezales por separado y localizar las principales zonas defectuosas. La lectura lineal con repeticiones repetidas en áreas defectuosas en tales casos está contraindicada como demasiado peligrosa.}

Incluso si la unidad funciona correctamente a primera vista y de acuerdo con SMARTno muestra signos de defectos; esto no garantiza que realmente no lo sean. Por lo tanto, es necesario completar la etapa final de prueba y realizar la verificación de la superficie.

Es importante monitorear continuamente el proceso de escaneo. Si aparecen sonidos extraños o se detectan zonas grandes con errores de lectura, interrumpa inmediatamente el proceso y desconecte la unidad para evitar la aparición de consecuencias irreversibles.


Fig. Figura 9: programa de escaneo para un disco en funcionamiento

Si un escaneo del disco dio como resultado un gráfico de velocidad que disminuye de manera monótona y no se detectaron errores de lectura, entonces la unidad puede considerarse buena y pasar a la siguiente sección.

_{En discos con una gran memoria caché de medios y traducción que difiere de la clásica (como regla, en discos con grabación en mosaico (SMR)), el gráfico puede tener una forma diferente. Varios ataques son posibles.}


Fig. Gráfico 10 de escaneo de un disco con un cabezal problemático

Si se detectan zonas cíclicas "lentas" durante la verificación del disco, este es un signo característico de un cabezal no completamente operativo. No es necesario esperar a que se detecten defectos e inmediatamente detener la prueba.

_{En tal situación, uno no tiene que esperar nada bueno con intentos independientes de extraer datos. Con una alta probabilidad, la unidad no sobrevivirá al intento de crear una copia sector por sector por los medios disponibles para el usuario.}

En los casos en que se detectó la formación de defectos en los atributos SMART 5 y 197 (C5), o se detectaron defectos puntuales durante el proceso de verificación, es necesario crear una copia del disco.

5. Copia sectorial

Si, de acuerdo con los resultados de la prueba, la unidad funciona y no se detectan problemas, entonces no puede crear una copia sector por sector y trabajar con el disco original. Pero para evitar varios tipos de accidentes, se recomienda no omitir este paso y continuar trabajando solo con una copia.

Con un disco duro que funcione o un disco con una pequeña cantidad de defectos, no importa qué herramienta use, es importante que cree una copia completa. También es importante no intentar utilizar las opciones de algunos programas para crear una imagen comprimida, ya que lo más probable es que solo pueda trabajar dentro de las capacidades del software que creó dicha imagen.

En OS de Windows, puede utilizar los siguientes programas: WinHex, DEMS, PC3000 DiskAnalyzer, R-Studio y otros.

En el sistema operativoLinux tiene suficientes capacidades de un comando dd normal.

_{No todo el software es gratuito, pero en muchos sentidos las capacidades de la versión de prueba / demostración serán suficientes para crear una copia del disco.}

Como ejemplo, usamos WinHex para clonar un disco.


Fig. 11 opciones en el menú WinHex para clonar un disco

En la pestaña "Herramientas", seleccione la opción "Herramientas de disco" en la ventana emergente , seleccione "Clonar disco", o simplemente presione Ctrl + D.


Fig. 12 configuraciones de parámetros de clonación

Fuente seleccione el disco que desea clonar.

Un receptor puede ser un disco de un volumen similar o mayor, y también es posible clonarlo en una imagen de archivo.

Asegúrese de que haya suficiente espacio libre en el disco de destino.
En la configuración de copia, es conveniente utilizar la opción "omitir defectos, sectores".

Si su unidad con un sector con un tamaño de sector físico de 4096 bytes, pero se transmite en el sistema operativo con un tamaño virtual de 512 bytes, debe establecer el valor en 8 para evitar intentos innecesarios de leer el sector problemático.

“Plantilla para reemplazar defectos de origen”: indique una palabra o frase que se pueda buscar que llene el sector en una copia en lugar de sectores no leídos de la fuente. En el futuro, será conveniente encontrar archivos dañados.

Al crear una copia, siempre debe supervisar el proceso. Si hay sonidos anormales, la unidad se congela o se encuentra un número mayor que durante la prueba inicial, detenga el proceso inmediatamente y apague la unidad para evitar consecuencias irreversibles.

_{En las herramientas profesionales de recuperación de datos, como DataExtractor, existen oportunidades significativamente mayores para configurar una secuencia de comandos de copia de datos, así como la supervisión del estado de la unidad, lo que aumenta significativamente las posibilidades de una extracción exitosa si tiene un especialista competente.}


Fig. 13 configuraciones para reacciones profesionales complejas con problemas de lectura

Recuperación de datos

6. Métodos de recuperación

Hoy en día, hay muchos programas de recuperación automática de datos que no requieren ningún conocimiento especializado del usuario e implican recibir datos en casi un clic con el mouse. Pero este enfoque en muchos casos no dará el máximo resultado posible o se perderá en la masa de opciones de basura.

Para un software de recuperación de datos efectivo, es mejor limitar su búsqueda. Para hacer esto, es conveniente indicar el área de escaneo y el tipo de sistema de archivos a buscar. Tal refinamiento puede descartar muchas variantes de sistemas de archivos anteriores, así como reducir la probabilidad de interpretación incorrecta de los metadatos del sistema de archivos detectados.


Fig. 14 R-studio

_{— , , , , ..}


Fig. 15 Ejemplo de metadatos. Fragmento del registro MFT (Master File Table en NTFS)

No todos los programas de recuperación automática calculan con precisión el punto de partida en relación con los metadatos encontrados, y tampoco siempre filtran correctamente los datos de los diferentes sistemas de archivos, debido a lo cual es posible un cálculo erróneo de la ubicación de todos los archivos, Además, varias interpretaciones de basura aumentan la cantidad estimada de datos, a veces muchas veces más que la capacidad de la unidad en sí.

_{En los complejos profesionales, existen herramientas para crear volúmenes virtuales de varios sistemas de archivos con parámetros especificados manualmente, así como herramientas para buscar metadatos con la capacidad de eliminar objetos en exceso manualmente.}

En los casos en que los metadatos necesarios del sistema de archivos ya no existan o sean incorrectos, es necesario aplicar el método de búsqueda de expresiones regulares específicas para ciertos tipos de archivos.


Fig. 16 0xFF 0xD8 0xFF expresión regular típica para archivos JPG

Los programas de recuperación automática que buscan este método en su mayor parte tienen las siguientes desventajas: no hay estructura de directorios ni nombres de archivos originales, no se realiza el análisis de la estructura de archivos y la integridad del archivo encontrado no está suficientemente controlada, por lo tanto Hay muchos datos basura que no se pueden usar, para muchos tipos de archivos no se calcula el tamaño correcto.


Fig. 17 configuraciones de R-Studio para buscar expresiones regulares de archivos que necesita

7. Casos típicos y acciones recomendadas.

Daño al sistema de archivos

Como resultado del mal funcionamiento de los componentes de la PC, el funcionamiento incorrecto del sistema operativo , el apagón repentino al escribir en el disco, el mal funcionamiento del disco duro, los metadatos del sistema de archivos pueden estar dañados. Con muchos tipos de daños, el sistema operativo no podrá montar un volumen con un sistema de archivos dañado.


Fig. 18 metadatos del sistema de archivos dañados (sistema de archivos RAW no reconocido)

En estos casos, el método de búsqueda de metadatos del sistema de archivos dentro de una partición existente es bastante efectivo. Con daños menores, puede obtener un resultado cercano al 100%. Esta recomendación es relevante para la mayoría de los diferentes sistemas de archivos.

Por supuesto, hay casos en los que, como resultado de fallas, se corrompe una gran cantidad de metadatos del sistema de archivos actual. Luego, si la primera opción no ha funcionado, debe usar el método de análisis de expresión regular para encontrar los archivos que necesita.

_{El trabajo del especialista es diferente, ya que evalúa la naturaleza del daño a los metadatos y si no se destruyen, pero están distorsionados, entonces las correcciones manuales son posibles en el editor hexadecimal.}

Eliminar un archivo o grupo de archivos.

La eliminación errónea de datos es un caso bastante común. Las consecuencias de esta acción dependen en gran medida del tipo de sistema de archivos, así como de discos relativamente nuevos, de la ideología del firmware del dispositivo en sí.

Si los archivos se eliminaron en una partición con el sistema de archivos NTFS, la búsqueda rápida en varias utilidades sería el mejor método de búsqueda, en el cual las estructuras clave (MFT, Index, Logfile) se escanean rápidamente sin un escaneo completo de la partición. Si los registros de archivos necesarios y el espacio ocupado por estos archivos no se sobrescriben con otros datos, puede obtener rápidamente los archivos de interés.


Fig. 19 después del escaneo $ MFT, las entradas violetas se resaltan como eliminadas.

Si no encontró o dañó los datos necesarios durante un escaneo rápido, puede realizar un escaneo de sección completa, pero lo más probable es que el resultado no cambie de manera seria y no quede nada para buscar expresiones regulares.

_{En el arsenal del especialista, hay una herramienta disponible para construir un mapa de espacio no asignado y análisis adicionales exclusivamente en estas áreas, que elimina los datos existentes del resultado de recuperación. Esto ahorra significativamente tiempo al usuario cuando busca los archivos necesarios en una variedad de datos sin nombre.}

Si los archivos se eliminan en la partición con el sistema de archivos FAT16, FAT32, puede usar el análisis de metadatos y obtener algunos de los datos con los nombres originales. En caso deSFN no tendrá el primer carácter en el nombre del archivo, si el archivo tenía un nombre largo, entonces su nombre completo estará en el registro LFN . En el caso de eliminar archivos fragmentados, la recuperación de datos mediante programas de recuperación automática no tendrá éxito, ya que al eliminar en la tabla FAT, se elimina el registro sobre la cadena de clústeres que pertenecen al archivo. También en FAT32 en algunos casos, además de eliminar la cadena de ubicación del archivo en ambas copias de la tabla, el primer carácter SFN y los dos bytes superiores en el número del primer clúster ocupado por el archivo se eliminan en el directorio . La mayoría de las utilidades de recuperación automática que analizan metadatos no determinarán la posición correcta del archivo.

_{La restauración de archivos fragmentados suele ser un trabajo bastante complicado, que está muy mal automatizado. Se pueden desarrollar métodos de automatización para un tipo específico de estructura. La mayoría de las veces, la tarea se reduce al análisis manual de bajo rendimiento para encontrar los fragmentos necesarios. Un ejemplo de dicho trabajo se puede evaluar en el artículo "Restauración de la base de datos 1C Enterprise (DBF) después del formateo"}

Si los métodos de análisis de metadatos no condujeron a la búsqueda de los datos necesarios o no se pudieron abrir los archivos necesarios, entonces el método de búsqueda de expresiones regulares permanece. Quizás se puedan detectar algunos de los archivos.

Si los archivos se eliminan en una partición con el sistema de archivos HFS +, Ext 2, Ext3, Ext4, entonces, desafortunadamente, es inútil analizar los metadatos. Aparte de la búsqueda de expresiones regulares, no queda nada más.

Eliminación de una sección con datos

Si una o varias particiones se eliminaron por error en el complemento Administración de discos, entonces, para un usuario que quiera recuperar datos, se recomendará iniciar las utilidades de recuperación automática con un análisis completo de todo el dispositivo. También es deseable tener en cuenta la posición de las secciones existentes para excluir opciones obviamente erróneas en el encontrado.


Fig. 20 sección remota

_{Por un especialista, dicho trabajo se realiza relativamente rápido buscando sectores de arranque, superbloques en los lugares esperados. En función de lo encontrado, se calculan las posiciones exactas del comienzo de las secciones y su longitud.}

También puede intentar utilizar DMDE o utilidades similares, que pueden encontrar signos relativamente rápidos del comienzo de una sección, y tratar de mostrar el sistema de archivos de la sección encontrada.


Fig. 21 resultados de búsqueda rápida DMDE

Sección de datos formateados.

En tales casos, el escenario de acción recomendado depende en gran medida del tipo de sistema de archivos que existía antes de formatear la partición y del sistema de archivos que se utilizó después del formateo.

<sub>Por ejemplo, si una partición FAT32 con un clúster de 8 kb se formateó en FAT 32 con un clúster de 64 kb, entonces el tamaño de las nuevas tablas FAT se hizo 8 veces más pequeño y, por lo tanto, ambas copias de las nuevas tablas arruinaron solo la primera copia de las antiguas tablas FAT. En tal situación, una búsqueda de metadatos puede arrojar un resultado cercano al 100%. Si la partición se formateó en FAT32 con un tamaño de clúster menor o igual que antes del formateo, las nuevas tablas limpias sobrescribirán por completo las antiguas y afectarán parcialmente el área con los datos del usuario. En este caso, una búsqueda de metadatos producirá un resultado significativamente peor.

Si la partición usó el sistema de archivos FAT32 antes de formatear, y la partición fue formateada en NTFS, entonces las nuevas estructuras ($ MFT, $ Bitmap, $ Logfile) generalmente no se encuentran al comienzo de la partición, y es muy probable que obtenga la mayoría usando la búsqueda de metadatos datos con una estructura de directorio normal y daños mínimos a los datos en sí.

Además, un alto porcentaje de recuperación será cuando la partición NTFS esté formateada en FAT32. En este caso, las tablas FAT estropearán los datos al comienzo de la sección y, por regla general, no afectarán las estructuras NTFS clave. Un resultado insatisfactorio será en el caso de una pequeña cantidad de datos, cuyo tamaño es comparable al tamaño de dos copias de las tablas FAT.</sub>

Pero si el usuario no quiere profundizar en los matices de la ubicación de los metadatos de varios sistemas de archivos, entonces un paso lógico sería iniciar la utilidad de recuperación automática de datos en el modo de búsqueda de metadatos. Y si no se reciben datos suficientes, aplique el método de búsqueda de expresión regular.

La sección de datos está formateada y parcialmente sobrescrita con otros datos.

Como suele suceder, el usuario puede formatear la sección y comenzar a llenarla con otros datos, y solo entonces se da cuenta de que la sección anterior tenía información importante. En tales casos, no puede haber una recomendación definitiva. Todo depende en gran medida de la cantidad (cuantitativa y en volumen) de datos nuevos que se registraron, así como de dónde se ubicaron. Dependiendo de las condiciones, el resultado puede ser de 0 a cerca del 100%. En ausencia, esto es impredecible.

En muchos casos, con una gran superposición en el área de datos, tiene sentido comenzar con un método de búsqueda de expresiones regulares para los tipos de archivo deseados, a fin de comprender si todavía hay signos de la existencia de los datos necesarios y, si se encuentran, buscar los metadatos del sistema de archivos.

_{En las condiciones de un laboratorio de recuperación de datos, un especialista construirá un mapa del espacio no asignado y buscará expresiones regulares solo en estas áreas para excluir la presencia de datos existentes en los resultados de búsqueda. Además, el uso de herramientas de monitoreo de integridad reducirá significativamente el número de falsos reconocimientos. Y en algunas tareas, como la restauración de archivos jpg (por ejemplo, el álbum de fotos de la casa de alguien), podrán ordenar de acuerdo con la información contenida en las etiquetas Exif de los archivos jpeg, lo que le permitirá obtener el resultado ordenado en orden cronológico y ordenado por modelo de cámara.}


Fig. 22 resultado de ordenar archivos jpg encontrados al buscar expresiones regulares

Terminación anormal de redimensionar, mover o fusionar particiones.

En casos de terminación anormal de los procedimientos de los administradores de discos para cambiar el tamaño de una partición, moverla o fusionar varias particiones, tendrá que averiguar qué pasos se tomaron y en qué etapa se detuvo la operación para obtener el máximo resultado posible.

Dada la complejidad y la cantidad de variaciones posibles, consideramos solo la opción universal para un usuario que necesita un resultado con un número mínimo de acciones. El objetivo a analizar es seleccionar la unidad completa para garantizar la cobertura de todas las ubicaciones de datos. Utilice el método de búsqueda de metadatos y copie todas las variantes de datos por sistemas de archivos encontrados. Es muy probable que en cada una de las opciones diferentes conjuntos de archivos sean correctos. La búsqueda de expresiones regulares por tipos de archivo dados también es importante, ya que en tales casos de pérdida de datos, es posible la pérdida parcial de información sobre los nombres y la ubicación del archivo.

8. Comprobación de la integridad de los datos recuperados.

Es importante comprender que mostrar nombres de archivos en el programa de recuperación de datos o la cantidad de expresiones regulares encontradas no garantiza que todo lo que se encuentre sea utilizable. Por lo tanto, una etapa igualmente importante después de la recuperación de datos por el programa de recuperación automática es una verificación de la integridad de los datos en sí.

Desafortunadamente, no existe una herramienta gratuita universal para verificar la integridad de una gran cantidad de archivos diferentes. Pero individualmente, puede encontrar software gratuito que puede controlar ciertos tipos de archivos. Por ejemplo, muchos archivadores le permitirán verificar la capacidad de servicio de los archivos, la utilidad MP3Diag puede verificar el estado de los archivos mp3, ImageMagick puede usarse para probar archivos jpg.

La principal desventaja de muchas utilidades gratuitas de comprobación de integridad de archivos es que no garantizan la verificación completa del archivo. Y los errores masivos son posibles.

Para muchos tipos de archivos, el usuario no tiene más remedio que evaluar visualmente la integridad de los datos abriendo los archivos uno por uno en las aplicaciones respectivas.

_{En los complejos profesionales, hay un conjunto de herramientas que le permite controlar parcialmente el estado de los archivos, lo que ahorra el resultado de la recuperación de datos de una gran cantidad de archivos basura.}

Además de eliminar la basura, es necesario capturar archivos dañados por defectos. Si creó una copia sector por sector rellenando el patrón de sectores no leídos, entonces el problema de encontrar archivos dañados puede resolverse fácilmente buscando la cadena de texto "¡MALO! ¡MALO! ¡MALO! MALO!" En los archivos (en nuestro ejemplo se usó el marcador de posición "¡MALO!"). Después de encontrarlo, es necesario verificar el grado de daño, ya que algunos formatos de archivo pueden no sufrir mucho por la pérdida de una pequeña pieza de datos, y algunos pueden ser completamente inutilizables.

9. Errores frecuentes del usuario.

Varios intentos de "tratar" defectos utilizando utilidades de diagnóstico populares con la esperanza de que esto devuelva el acceso a los datos son uno de los principales errores de muchos usuarios. Los intentos de ocultar defectos en una unidad con un polímero dañado en la superficie de las obleas generalmente dan como resultado el llenado de las obleas, en lugar de obtener acceso a los datos. Por esta razón, sin conocer la naturaleza de los defectos en la superficie, se recomienda encarecidamente que no realice ninguna operación de servicio en el disco antes de recibir datos. Después de recuperar con éxito la información, puede intentar reparar el disco, y si tiene suerte, entonces tal vez el disco sea adecuado para una operación adicional en tareas no muy críticas.

A menudo, los defectos recaen en los metadatos del sistema de archivos. En estos casos , cuando intenta montar un volumen dañado, el sistema operativo se congela durante mucho tiempo. Cuando se conecta una unidad problemática, el tiempo de arranque del sistema operativo puede alargarse por decenas de minutos. Una de las ideas más desafortunadas para resolver este problema es formatear la sección del problema. Los metadatos recién creados se pueden escribir correctamente y se resolverá el problema de una carga prolongada del sistema operativo , pero la tarea de recuperación de datos se volverá más complicada y la calidad del resultado de la recuperación puede verse gravemente afectada.

Copiando los datos detectados por la utilidad a la misma partición desde la que intentan recuperar archivos. En este caso, generalmente todo termina cuando el usuario recibe basura en lugar de datos, y el próximo intento de restaurar los datos ya tendrá un resultado mucho peor. Si sigue las instrucciones de este artículo, estará asegurado contra dicho error.

No se realiza la comprobación de integridad de los datos recuperados y se destruyen los contenidos de la unidad original con su copia. En este caso, existe el riesgo de quedarse con un montón de carpetas llenas con el resultado erróneo de un intento de restaurar datos sin la capacidad de obtener un resultado de alta calidad.

Elección incorrecta de herramientas y técnicas para la recuperación de datos, en relación con lo cual el resultado es mucho peor de lo que podría ser.

---

Espero que este conjunto de medidas lo ayude a decidir si la situación con su unidad permite intentos independientes de recuperar datos y si está listo para realizar este conjunto de acciones relativamente simples enumeradas en este artículo.

Publicación anterior: Pasando por la agonía o una larga historia de un intento de recuperación de datos