Recuperando archivos borrados

No hace mucho un usuario me llamó diciendo que se le había borrado todo lo que tenía en el disco duro del PC.  Según él, desde hacía unos días, tenía problemas al poner en marcha el PC y tenía que intentarlo varias veces hasta que conseguía arrancar bien ya que el equipo "decía no-se-qué del disco duro" (sic).  Transcurridos unos días, en el último de estos intentos el equipo arrancó "con el Windows vacío" (sic).

Al analizar el equipo observo que, efectivamente, no hay datos, ya que el equipo arranca con la configuración de fábrica: solicita confirmar la configuración de Windows, no hay ningún usuario creado, no hay ni rastro de los programas que había instalado el usuario, etc.  Todo parece indicar que se ha hecho un System Recovery para devolver el equipo a su estado original de fábrica.  

C.A.IN.E

Se trata de un Windows 7 y para intentar averiguar lo sucedido pongo en marcha el equipo con un CD de autoarranque de la herramienta forense C.A.IN.E. (http://www.caine-live.net).  Monto el disco duro del equipo como "solo lectura" (para no modificar nada de su contenido) y al acceder al árbol de directorios compruebo que los archivos de sistema de Windows tienen fecha y hora de unos instantes antes de recibir la llamada del usuario; que la carpeta "Archivos de Programa" está "limpia" (solo contiene los programas que vienen preinstalados en el sistema); que en la carpeta "Users" solo aparece el usuario por defecto, lo que parece confirmar mi sospecha de que en uno de los intentos de arranque del equipo, el usuario -de forma involuntaria- activó el proceso de "Restaurar el sistema a su estado de fábrica".

Puesto que podemos dar el disco duro por perdido (ya manifestaba problemas de hardware antes de la incidencia) y puesto que los del Servicio Técnico ya ha montado un nuevo PC para el usuario, vamos a ver si podemos recuperar archivos borrados del disco después de un System Recovery.

Veamos los pasos a seguir:

1) Clonar el disco duro afectado

En este caso no sería imprescindible, pero lo hago ya por costumbre (preservar el original y trabajar con una imagen o con un clon).

Para ello, en un equipo de laboratorio, conectamos el disco duro afectado y otro disco duro, vacío, que será el destino del clonado.  Arrancamos el equipo con C.A.IN.E. y con la herramienta XMount-GUI montamos el disco duro afectado como "solo lectura" y el disco duro vacío como "lectura/escritura".  (Pulsando con el botón derecho del ratón sobre el icono del disco duro en la barra de estado podremos cambiar el tipo de montaje: con el icono en color verde el montaje será en modo READ ONLY y con el icono en color rojo el montaje se hará en modo WRITEABLE).

Conectando los dos discos para el clonado

Utilizaremos GUYMAGER para realizar el clonado (con cuidado de no equivocarse de discos de origen/destino).

Seleccionamos el disco duro que queremos clonar (el que contiene los datos a analizar) y pulsamos con el botón derecho del ratón.  Aparecen 2 opciones: "Adquirir imagen" o "Clonar dispositivo".  En nuestro caso hemos elegido "Clonar" para disponer de un disco duro idéntico sobre el que trabajar, aunque también hubiera sido válido adquirir una imagen en formato "dd".

Proceso de clonado con GUYMAGER

2) Búsqueda de archivos eliminados

En este caso, ya que estamos trabajando con C.A.IN.E vamos a utilizar la herramienta PhotoRec que viene incorporada en el Live-CD (En otro post realizaremos la misma tarea con la herramienta Scalpel).  PhotoRec permite recuperar archivos perdidos tanto desde un disco duro como desde un archivo imagen del disco.

Al ejecutar PhotoRec primero solicita que indiquemos sobre que disco vamos a trabajar, el tipo de tabla de particionamiento y la partición donde están los datos que queremos recuperar.  Antes de iniciar el proceso de recuperación conviene acceder a la sección "[File Opt]" para seleccionar el tipo de archivos a recuperar.  Por defecto vienen todos marcados pero podemos seleccionar sólo aquellos que nos interesan (por ejemplo: doc, pdf, xls, jpg).

Finalmente pulsamos en "[Search]" para iniciar la búsqueda en la partición seleccionada y con las opciones indicadas, y nos permitirá seleccionar el directorio de destino donde almacenar los archivos recuperados.  Al finalizar el proceso aparecerá un resumen con el número de archivos recuperados y el tipo de archivo.

Resultado de la recuperación con PhotoRec

3) Recuperación de archivos

Tras ejecutar PhotoRec, en la carpeta de destino encontraremos todos los archivos recuperados.  En el caso que nos ocupa, conseguimos recuperar la mayoría de los documentos que tenía el usuario antes de realizar el System Recovery, incluyendo los archivos PST con los buzones de Outlook.

Al acceder a la ubicación donde ha guardado los archivos recuperados observamos que ha creado una serie de carpetas de nombre "recup_dirx" que continenen archivos cuyo nombre es una combinación de letras y números (por ejemplo: f1496457.pdf, f14968088.jpg, f1497955.xls, ...).  Por lo tanto, aunque tenemos todos los archivos, hemos perdido el nombre original y la carpeta donde estaba ubicado.

Listado de archivos recuperados con PhotoRec

Antes de empezar a abrir los archivos uno a uno, podemos clasificarlos por extensiones para organizarlos e intentar localizar los archivos que necesitamos.  Una vez los tengamos clasificados, podemos utilizar herramientas de búsqueda en el contenido de los documentos, o la "vista previa", para determinar de que archivos se trata.  Con un poco de suerte, analizando los metadatos de los archivos de Office obtendremos bastante información (fecha de creación, de modificación, autor y -en ocasiones- hasta el nombre original del archivo).  También, para algunos archivos JPG (fotografías) suele funcionar utilizar un programa que lea los metadatos EXIF para obtener el nombre original y la fecha/hora de creación (lo mismo sucedería con archivos de audio MP3 o de vídeo, que contengan metadatos).

Clonando discos con HDClone

Nota: Este post es de marzo de 2013, aunque la herramienta HDClone sigue siendo útil, en la actualizad prefiero utilizar la herramienta Guymager (que viene, por ejemplo, en la distribución CAINE).  Ver uso de Guymager en este otro post.

Desde hace unas semanas, y casi a diario, uno de mis ordenadores mostraba el mensaje de error "Hard-disk drive failure" cada vez que ponía en marcha el equipo.  Curiosamente, tras un segundo intento el equipo iniciaba con normalidad (solo en alguna ocasión fue necesario un tercer intento).

El mensaje no aparecía siempre, pero sí con bastante frecuencia, así que, antes de que se fastidiara completamente el disco duro, decidí remediarlo. Opté por adquirir un disco duro nuevo y crear un duplicado del contenido del disco defectusoso mediante la herramienta HDClone.

HDClone es un software que permite realizar copias 1:1 (clones) tanto de discos duros completos como de determinadas particiones.  Yo he utilizado la versión freeware (para uso doméstico) pero hay versiones superiores que incluyen más opciones: crear imágenes lógicas, convertir un disco físico en virtual (para VMware), cifrar las imágenes obtenidas, gestionar las particiones, etc.

Tras clonar el disco, basta con reemplazar el disco defectuoso por el nuevo y el ordenador debería arrancar a la perfección.

A continuación detallo los pasos a seguir para clonar un disco con HDClone 4.2:

1) Descargar la versión freeware (uso doméstico) de HDClone

La aplicación está disponible para descarga en la web del fabricante (http://www.miray.de/).  Este es el link directo a la descarga: http://www.miray.de/public/download/hdclone.fe.en.zip

El archivo ZIP contiene: la aplicación HDClone 4.2 ejecutable directamente en Windows; una herramienta para crear un CD o USB de arranque; un completo manual de instrucciones en PDF (en inglés); y una imagen ISO de la herramienta.

En nuestro caso, crearemos un USB de arranque para iniciar el PC desde él y proceder con el duplicado de los discos.  El procedimiento para crear un CD/DVD de arranque es similar.

2) Crear un USB de arranque

En el equipo donde hemos descargado HDClone 4.2 (puede ser el equipo que contiene el disco duro a duplicar u otro equipo, da igual), debemos tener insertado un pendrive USB vacío, que utilizaremos como dispositivo de arranque.

En este equipo ejecutamos el fichero hdclone.exe y elegimos la opción "Create bootable medium".  Aparecerá la ventana "HDClone Boot - Setup" en la que seleccionaremos la unidad de USB que vamos a utilizar y pulsaremos el botón "Make bootable".

3) Conectar los dos discos duros en el mismo equipo

En mi caso he utilizado discos SATA, el original de 180 GB y el nuevo de 500 GB (el disco de destino debe de ser de igual o mayor tamaño que el de origen).  Antes de nada hay que tener presente disponer de los cables adecuados para conectar ambos discos (conector SATA y de alimentación).  Si trabajais con disco IDE/ATA tendreis que revisar la configuración Master/Slave de los discos, extremo que nos ahorramos al trabajar con discos SATA.

Nota: Las versiones superiores (de pago) permiten operar también con tecnología USB 3.0, SCSI o Firewire.

Cables SATA y sus conectores a la placa base

4) Iniciar el PC desde el USB de arranque con HDClone 4.2

Previamente hay que asegurarse que el equipo puede iniciar desde un dispositivo USB conectado a  él.  Normalmente habrá que acceder a la BIOS (en la mayoría de los casos pulsar [Del] o [F2] en el arranque) y configurarlo en el apartado "Boot selector" o equivalente.  Muchos equipos también permiten realizar la selección pulsando [F8] o [F9] en el momento del arranque.

Al iniciar desde el dispositivo USB, se accede directamente a la aplicación HDClone 4.2

5) Realizar el clonado del disco

El proceso es sencillo e intuitivo.  Basta con seguir los pasos indicados por el programa:

Copy mode  >  Source  > T arget  >  Options

La pantalla de inicio muestra los iconos de las categorías "Backup", "Restore" y "Cloning" aunque no todos están habilitados en la versión Free.

En nuestro caso, seguiremos estos pasos:

1. Pulsar sobre "Copy Disk" y, luego,  "Next"
2. Aparacerá una lista con los discos detectados, seleccionar el disco de origen (el que contiene los datos que queremos copiar).  Pulsar "Next"
3. Ahora aparecerá de nuevo la lista de discos, seleccionar el de destino (normalmente un disco en blanco).  Pulsar "Next"
4. Se mostrará la ventana de Opciones, que en el caso de la versión "Free" son escasas y no conviene modificar.  Pulsar "Next"
5. Finalmente, pulsar "Start" para iniciar la copia.

Una barra de progreso nos va informando del avance de la tarea.  El tiempo depende de varios factores como la velocidad del equipo o el tamaño de los discos, entre otros.  En mi caso, tratándose de un equipo antiguo, tardó algo más de dos horas y media (2:40) para realizar el clonado de un disco de 180GB.  (Las especificaciones del fabricante indican una tasa de transferencia máxima de 1,8 GB/min para la versión Free).

Importante: puesto que desde HDClone no podemos visualizar el contenido de los discos, hay que tener bien clara la identificación de cada disco para no confundirse y realizar el clonado sobre un disco equivocado, ya que se perdería toda la información que contiene.  Resulta fácil identificarlos si se trabajamos con discos de distinto tamaño o fabricante, pero no lo es tanto cuando se trata de discos iguales.

No confundirse de discos o podríais borrar todos los datos del disco equivocado

6) Sustituir el disco defectuoso por el disco clonado

Una vez finalizada la copia, apagar el equipo y retirar el dispositivo USB de arranque.

Solo nos queda desconectar y retirar el disco defectuoso (origen) y conectar, en su lugar, el disco nuevo, duplicado.  Al poner en marcha el PC, arrancará con total normalidad sin necesidad de configurar nada más.  (Como mucho, según el tipo de BIOS, podría aparecer un aviso de que ha detectado un cambio de disco duro, basta con "Aceptar" y listos).

---

En este caso, yo he utilizado HDClone para duplicar un disco que podría estar defectuoso, pero son diversas las situaciones en las que podríamos necesitar un programa de este tipo: realizar una copia de seguridad completa del disco, sustituir un disco que se ha quedado sin espacio por uno de mayor capacidad, copiar la instalación de una máquina en otro equipo, disponer de una copia para análisis forense, etc.

Espero que os sea de utilidad y no dudeis en plantear cualquier duda que os pueda surgir con esta herramienta.