13 de septiembre de 2010

Recuperar archivos después de formatear un disco duro

Hard disk dissection
Estos días he estado echando una mano para intentar recuperar unas fotos de un ordenador con las peores condiciones posibles.

El caso

Era un ordenador que tenía Linux (Ubuntu) instalado, sin particiones y en el que se realizó una instalación nueva de Ubuntu encima de la existente, por lo que se formateo la partición y se instaló de nuevo Ubuntu. Tras unos días funcionando el propietario se percató de que no había hecho copia de seguridad de las fotos, que estaban en una carpeta diferente.

Intentar recuperar ese material de un ordenador que ya llevaba un tiempo funcionando es una tarea complicada, aunque al final tuvimos suerte y conseguimos recuperar casi todas las fotos, unas 15.000.

Primeros pasos

Realmente es impresionante la cantidad de herramientas disponibles para recuperar información a través de Linux. Lo primero que deberíamos hacer es montar un pequeño laboratorio de recuperación con uno de estos dos métodos:

a) Tomar una versión Live de Ubuntu o cualquier otra versión de Linux para evitar que el ordenador vuelva a arrancar desde el disco duro. Cuanto menos operemos con el disco duro original, más posibilidades tendremos de recuperarlo todo.

b) Extraer el disco duro del ordenador y conectarlo a otro ordenador, ya sea abríendolo y conectándolo como un disco secundario más o conectándolo mediante alguna carcasa externa de las disponibles en el mercado. En este caso debemos asegurarnos de que contamos con los conectores necesarios, ATA o SATA.

Documentación

Lo siguiente es seleccionar la herramienta adecuada. La primera opción que encontré fue el uso de Testdisk, mediante esta magnífica guía:

¿Cómo recuperar datos después de formatear con Ubuntu?

Este método no fue válido porque la partición que se creo en la segunda instalación iba justo encima de la otra, no se trata de una partición eliminada de datos, como en el ejemplo, además con un nombre específico. Aquí todas las particiones se llamaban igual y era casi imposible encontrar nada útil.

Antes de tirar la toalla investigué algúnos métodos más. Ubuntu cuenta con un documento perfecto para comprobar todas nuestas opciones.

Data Recovery en Ubuntu

De estas alternativas, dos herramientas (Foremost y Scalpel) pueden revisar el disco duro sector a sector buscando cabeceras de archivos conocidas y a partir de ellas recuperar los archivos. Ambos vienen a ser versiones de los mismo, por lo que opté por Foremost.

Instalar foremost

Tras arrancar con la versión Live o con un segundo equipo con el disco conectado, en Ubuntu se hace escribiendo
sudo apt-get install foremost
 Foremost, la salvación

Una vez instalado, la línea que lo pone en marcha es
sudo foremost -d -t jpg -i /dev/sde1 -o /home/antonio/restore

El -d es fundamental, ya que sino encontrará un montón de archivos pero estarán todos corruptos o incompletos. Ese parámetro hará que siga los bloques para completar las imágenes y no se quede sólo en el bloque que contiene la cabecera.

El -t jpg hace que sólo se busque ese tipo de archivos. En mi caso sólo buscábamos imágenes, aunque hay una lista amplia de extensiones que podemos probar. Cuantas más extensiones comprobemos más tardará el proceso. Se pueden poner una detrás de otra (p.e. -t jpg,gif,doc) o directamente todas con -t all

El -i /dev/sdb1 indica el disco duro que vamos a explorar. El sdb1 cambiará probablemente para el disco en cuestión. Si no sabes en qué /dev te ha montado el disco podrás encontrar alguna pista mirando el archivo /etc/mtab

El -o /lacarpetaquesea es el lugar dónde se soltarán los archivos que se encuentren. Es fundamental que no sea en el mismo disco duro que estamos intentando recuperar, claro.

Otro aspecto fundamental es que la carpeta donde vamos a recuperar los archivos debe tener suficiente espacio libre como para terminar el proceso completo. Vamos a buscar en un disco duro, por lo que seguramente necesitaremos mucho espacio.

Este proceso tardará bastante, dependiendo del sistema de conexión del disco duro, de nuestro ordenador y del número de archivos a recuperar. Con un poco de suerte al finalizar encontraremos una carpeta por cada tipo de extensión y en su interior el material perdido. En mi caso al menos así fue.

Posteriormente sólo me quedó utilizar una herramienta para renombrar archivos y ordenarlos por su fecha de toma de la imagen, organizando así las fotos por meses.

Mucha suerte.

4 comentarios:

Recuperación de datos dijo...

Es muy útil para los usuarios contar con este tipo de información para saber a qué atenerse antes de proceder a la recuperación de datos, aunque hay que tener mucho cuidado y estar muy seguro de lo que se hace antes de llevar a cabo estos procesos, ya que pueden derivar en una pérdida de datos irreversible.

Antonio dijo...

Estoy totalmente de acuerdo en que si una persona no tiene seguridad en lo que está haciendo puede recurrir a empresas como la vuestra.

No obstante, el método que he expuesto aquí es absolutamente seguro y fiable. No supone en ningún caso comprometer los archivos existentes. Y francamente, el ahorro económico es considerable. Nunca he entendido como se pueden cobrar semejantes cantidades de dinero por recuperar la información de un disco duro si no es porque se apela al estado de desesperación del usuario que ha perdido su información.

Aunque esto es sólo una opinión, claro. :-)

chan dijo...

Las empresas que conozco son OnRetrieval, Onrescue y Ontrack. Manejan precios muy competitivos, tienen alta efectividad y ademas trayectoria en el mercado.

Antonio dijo...

Te publico el comentario, querido, pero eso que haces tu publicitando tu empresa es spam.

Insisto en que pagar 400 euros por algo que puede hacer uno mismo es un exceso. Quizás las empresas de recuperación de datos como las tuyas deberían comenzar a replantearse sus costes, porque cobrar 400 euros por un par de horas de trabajo es un exceso.

Para comprobar más spam similar al que hace el amigo Chan, se puede hacer clic en este enlace:

http://www.google.es/search?ie=UTF-8&q=OnRetrieval%2C+Onrescue+y+Ontrack

Ha escrito el mismo comentario en no menos de cuarenta páginas.