Recuperación por datos raw

Dejando de lado los casos de fragmentación de archivos, normalmente, un archivo se divide en dos partes funcionales: metadatos y contenidos del archivo. Los metadatos son datos generados por el sistema de archivos con el propósito de indicar un archivo dentro del sistema en sí. Generalmente, incluyen atributos de archivo críticos, como el nombre de archivo, su ubicación en el almacenamiento y la fecha de creación y última modificación.

Uno de los factores que causan la pérdida de un archivo es la pérdida de sus metadatos, es decir, la información subsidiaria utilizada por el sistema de ficheros para encontrar el archivo exacto solicitado por el usuario. La pérdida de metadatos de archivo puede deberse a varios factores, como, por ejemplo, el formateo del disco, algún fallo lógico o la eliminación del archivo.

Recuperación por datos raw

Como se conoce comúnmente, ningún dato se elimina por completo a menos que se sobrescriba. Los contenidos del archivo, en otras palabras, archivos raw, permanecen en el disco, sin embargo, se desvinculan de los datos sobre su ubicación, nombre, tamaño, etc. Afortunadamente, esa información raw puede contener algunos signos de tipos de archivos similares, las llamadas firmas (signaturas), que se pueden clasificar en grupos separados. Las firmas o signaturas son fragmentos de datos especiales que se almacenan al lado del encabezado del archivo con los fines de identificación, o simplemente son un fragmento de archivo propio de todos los archivos del tipo determinado.

Para reconocer archivos por su tipo, Recovery Explorer utiliza la tecnología de IntelliRAW. El software cuenta con una lista de reglas predefinidas de IntelliRAW que ya incluye las firmas para identificar los grupos de archivos más extendidos. El software también le brinda la posibilidad de crear y agregar sus propios descriptores de archivos para los tipos de archivos únicos no estándar.

IntelliRAW da una oportunidad adicional de recuperar los archivos en los casos cuando no esté satisfecho con el resultado del escaneo tradicional. El objetivo de la recuperación de datos por contenido conocido es encontrar los archivos de usuario con metadatos perdidos empleando únicamente las firmas de archivo descritas en las reglas de IntelliRAW.

Con todo, la búsqueda de datos perdidos por las firmas de archivos se suele realizar cuando el área que contiene los metadatos de archivos, como, por ejemplo, la MFT en el sistema de archivos NTFS, se corrompió o se sobrescribió. A pesar de que esta técnica es eficaz en la mayoría de los casos, debido al hecho de que faltan los metadatos, los resultados pueden decepcionar por la falta de nombres de archivo, el tamaño incorrecto o los datos incompletos.

¿Cómo funciona IntelliRAW?

Si un archivo es de un tipo extendido, es posible que la regla para su búsqueda ya esté incluida en el programa. Actualmente, las reglas incorporadas cubren los formatos extendidos de archivos regulares, imágenes, música, audio, etc.
Para buscar dichos archivos con IntelliRAW, marque la casilla de verificación correspondiente.
Si el programa no reconoce su tipo de archivo, haga lo siguiente:

  • Descargue e instale el editor IntelliRAW

    Editor IntelliRAW

  • Descargue e instale CI Hex Viewer

  • Usando CI Hex Viewer, analice el archivo del tipo necesario para detectar la presencia de firmas o bloques de datos en común

    Software CI Hex Viewer

  • Cree las reglas de búsqueda siguiendo las instrucciones del editor IntelliRAW

  • Guarde las reglas en un archivo

  • Marque la casilla "Quiero usar mis propias reglas de búsqueda de datos" y pulse "Cargar reglas"

  • Después de que se suban exitosamente, el programa las aplicará. Los archivos que se encuentran utilizando las reglas establecidas por el usuario se recopilarán en la carpeta $Custom.