Testdisk en Es

Documentación de TestDisk
Versión 7.1
Christophe GRENIER
22 de junio de 2020
CONTENIDO
1 presentación 1
1.1 TestDisk - Recuperación de particiones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
1.2 TestDisk: reparación del sistema de archivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
1.3 TestDisk - Recuperación de archivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
1.4 PhotoRec - Recuperación de archivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
1,5 QPhotoRec - Recuperación de archivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
2 Instalación 5
2.1 Linux: instalación del paquete de distribución . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
2.2 Binarios oficiales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
3 Construyendo desde la fuente 7

3.1 Entorno de compilación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
3.2 Entorno de compilación cruzada . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
3.3 Compilacion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
4 Creación de un USB en vivo 11

4.1 Ventanas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
4.2 Linux (línea de comando) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
4.3 Linux (GNOME) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
4.4 OS X . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
4.5 Comenzando desde la memoria USB . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
5 Almacenamiento: ¿puedo repararlo o recuperar datos? 6 Iniciar las 13
herramientas 15
6.1 Imagen de disco . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
6.2 Ejecución de TestDisk, PhotoRec o QPhotoRec en Windows . . . . . . . . . . . . . . . . . . . . . . 15
6.3 Ejecución de TestDisk, PhotoRec en Linux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
6.4 Ejecutando QPhotoRec en Linux X.org X11 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . dieciséis
6.5 Ejecutando QPhotoRec bajo Linux Wayland . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . dieciséis
6.6 Ejecución de TestDisk, PhotoRec en macOS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . dieciséis
6,7 Ejecutando Fidentify en Windows . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . dieciséis
6,8 Ejecutando Fidentify en Linux o macOS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
7 Reparación del sistema de archivos 19

7.1 Reparación de sistemas de archivos desde Windows . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
7.2 Reparación de sistemas de archivos desde Linux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
7.3 Reparación de sistemas de archivos desde macOS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
7.4 Reparación del sector de arranque FAT32, exFAT y NTFS usando TestDisk . . . . . . . . . . . . . . . . . . . . 20
7.5 TestDisk: reparación del sector de arranque FAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
yo
7,6 TestDisk: reparación del sector de arranque NTFS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
7.7 TestDisk: reparación del superbloque del sistema de archivos ext2 / 3/4 . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
7.8 Reparación de encabezado de volumen HFS / HFS + usando TestDisk . . . . . . . . . . . . . . . . . . . . . . . . . . 22
7,9 Reparación de volumen de BitLocker . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
8 Recuperación de archivos eliminados usando TestDisk 25

8.1 TestDisk: recuperar archivo para FAT, exFAT, ext2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
8.2 TestDisk: recuperar archivo para NTFS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
9 Recuperar la partición eliminada usando TestDisk 29

9.1 Iniciar testdisk . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
9.2 Creación de registros . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
9.3 Selección de disco . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
9.4 Selección del tipo de tabla de particiones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
9.5 Analizar la tabla de particiones actual . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
9,6 Búsqueda rápida de particiones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
9,7 Buscar más particiones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
9,8 Selección de particiones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
10 Cómo hacer que el sistema vuelva a arrancar 33

10.1 DOS - Ventana 95/98 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
10.2 Windows 2000 / XP / 2003 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
10.3 Windows Vista / Windows 7 /. . . , Windows Server 2008 /. . . . . . . . . . . . . . . . . . . . . . . . . . 33
10.4 Linux / FreeBSD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
11 Recuperación de archivos eliminados con PhotoRec 35

11,1 Iniciar PhotoRec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
11,2 Selección de disco . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
11,3 Selección de partición de origen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
11,4 Opciones de PhotoRec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
11,5 Selección de archivos para recuperar . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
11,6 Tipo de sistema de archivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
11,7 Talle solo la partición o el espacio no asignado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
11,8 Seleccione dónde se deben escribir los archivos recuperados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
11,9 Recuperación en curso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
11.10 Se completa la recuperación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
11.11 PhotoRec: nombre de archivo y fecha . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
12 Creación de una firma personalizada para PhotoRec 39

12.1 Sintaxis de la firma . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39
12.2 Ubicación del archivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40
12.3 Verifique su firma personalizada con fi dentify . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40
12.4 Ejecutar PhotoRec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
12.5 Recuperación de archivos mejorada . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
13 Recuperación de videos perdidos de una tarjeta de memoria usando PhotoRec 14 Después de 43
usar PhotoRec 45
14.1 Ordenar los archivos por extensión . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
14.2 Renombrar archivos usando exiftool . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
14.3 Eliminación de archivos duplicados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46
15 Estado SMART: supervisión del estado del disco 47
16 DDRescue: recuperación de datos de un disco dañado 49
ii
16.1 ddrescue en Linux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49
16.2 ddrescue en macOS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49
16.3 DDRescue: imagen de disco a archivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50
16.4 DDRescue: copia de disco a disco . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50
16.5 ddrutility: restricción de ddrescue al bloque de datos asignado NTFS . . . . . . . . . . . . . . . . . . . . . . 50
17 Ejecución con guión 51

17.1 Automatización de la recuperación con TestDisk . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
17.2 Automatización de la recuperación con PhotoRec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55
17.3 UAC de Windows . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58
18 TestDisk y PhotoRec en varios casos de prueba forense digital 59

18.1 DFTT: Recuperar archivos de un sistema de archivos FAT16 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59
18.2 DFTT: recuperar archivos de un sistema de archivos NTFS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60
18.3 Desafío forense del DFRWS 2006 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60
18.4 Medicina forense: bloqueadores de escritura . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62
iii
iv
CAPÍTULO
UNO
PRESENTACIÓN
TestDisk y PhotoRec son utilidades de recuperación de datos gratuitas y de código abierto. TestDisk fue creado en 1998 y Pho- toRec en abril de
2002 por Christophe GRENIER, se pueden descargar desde https://www.cgsecurity.org/ . Se distribuyen bajo la Licencia Pública General GNU v2 o
posterior, puede
• ejecutar el programa como desee, para cualquier propósito,
• estudiar cómo funciona el programa y cambiarlo para que haga su computación como desee (tiene acceso al código fuente),
• redistribuir copias para que pueda ayudar a su vecino,
• distribuir copias de sus versiones modificadas a otros bajo la misma licencia. Al hacer esto, puede darle a toda la comunidad la oportunidad de
beneficiarse de sus cambios.
Esta documentación se puede encontrar en línea en https://github.com/cgsecurity/testdisk_documentation . Cualquiera puede contribuir a la documentación de TestDisk
y PhotoRec. Agradecemos especialmente las contribuciones de los principiantes. De hecho, los principiantes tienen una clara ventaja sobre los expertos, porque
pueden detectar más fácilmente los lugares donde falta documentación. Si es sólo para corregir un error de ortografía o gramática, ¡su contribución también es
bienvenida!
Los archivos con binarios listos para usar están disponibles para
• DOS (x86 de 32 bits)
• Microsoft Windows (x86 de 32 bits o x64 de 64 bits)
• Linux (x86 de 32 bits o x64 de 64 bits)
• macOS / Mac OS X (PowerPC o Intel) / OS X
• Marvell 88F628x Linux
TestDisk y PhotoRec también se pueden compilar para otras plataformas, en particular
• FreeBSD / OpenBSD / NetBSD, sistema operativo de computadora similar a Unix descendiente de Berkeley Software Distri- bution (BSD), un derivado de Unix
de investigación desarrollado en la Universidad de California, Berkeley.
• Haiku, un sistema operativo gratuito y de código abierto compatible con el BeOS ahora descontinuado.
• SunOS / Solaris, un sistema operativo de marca Unix desarrollado por Sun Microsystems para sus estaciones de trabajo y sistemas informáticos de servidor,
1.1 TestDisk - Recuperación de particiones
TestDisk reconoce las siguientes particiones de disco:
• Mapa de particiones de Apple
• Tabla de particiones GUID
1
Documentación de TestDisk, versión 7.1
• Humax
• Tabla de particiones de PC / Intel (registro de arranque maestro)
• Rebanada de Sun Solaris
• Esquema de particionamiento fijo de Xbox
También maneja medios no particionados. TestDisk
puede
• recuperar la partición eliminada
• reconstruir tabla de particiones
• reescribir el registro de arranque maestro (MBR)
TestDisk realiza una verificación rápida de la estructura del disco y la compara con la tabla de particiones para detectar errores de entrada. A continuación, busca particiones perdidas de
estos sistemas de archivos:
• Sea un sistema de archivos (BeOS)
• Etiqueta de disco BSD (FreeBSD / OpenBSD / NetBSD)
• Cramfs, sistema de archivos comprimidos
• DOS / Windows FAT12, FAT16 y FAT32
• Windows exFAT
• HFS, HFS + y HFSX, sistema de archivos jerárquico
• IBM Journaled File System 2 (JFS2)
• Linux ext2, ext3 y ext4
• RAID de Linux
- RAID 1: duplicación
- RAID 4: matriz seccionada con dispositivo de paridad
- RAID 5: matriz seccionada con información de paridad distribuida
- RAID 6: matriz seccionada con información de redundancia dual distribuida
• Linux Swap (versiones 1 y 2)
• LVM y LVM2, Administrador de volumen lógico de Linux
• Servicios de almacenamiento de Novell (NSS)
• Sistema de archivos de nueva tecnología de Windows (NTFS)
• ReiserFS 3.5, 3.6 y 4
• Etiqueta de disco Sun Solaris i386
• Sistema de archivos Unix UFS y UFS2 (Sun / BSD /...)
• XFS, el sistema de archivos con registro de SGI
1.2 TestDisk - Reparación del sistema de archivos
TestDisk puede lidiar con algunos daños específicos del sistema de archivos lógicos:
• Tabla de asignación de archivos, FAT12 y FAT16
2 Capítulo 1. Presentación
- Encuentre los parámetros del sistema de archivos para reescribir un sector de arranque válido
- Utilice las dos copias del FAT para reescribir una versión coherente
• Tabla de asignación de archivos, FAT32
- Restaurar el sector de arranque usando su copia de seguridad
- Utilice las dos copias del FAT para reescribir una versión coherente
• exFAT
• Sector de arranque NTFS (New Technology File System) y reparación de MFT
- Restaurar la tabla maestra de archivos (MFT) desde su copia de seguridad
• Sistemas de archivos extendidos, ext2, ext3 y ext4
- Encuentre la ubicación del superbloque de respaldo para ayudar a fsck
• HFS +
1.3 TestDisk - Recuperación de archivos
Cuando se elimina un archivo, se borra la lista de grupos de discos ocupados por el archivo, marcando los sectores disponibles para su uso por otros archivos creados o modificados
posteriormente. Si el archivo no estaba fragmentado y los clústeres no se han reutilizado, TestDisk puede recuperar el archivo eliminado para varios sistemas de archivos:
• GRASA
• NTFS
• exFAT
• ext2
1.4 PhotoRec - Recuperación de archivos
PhotoRec es una herramienta de software de recuperación de datos de tallador de archivos. No recupera los nombres de archivo originales, pero puede recuperar archivos eliminados incluso
de un sistema de archivos dañado. PhotoRec reconoce y recupera numerosos formatos de archivo, incluidos ZIP, Office, PDF, HTML, JPEG y varios formatos de archivos gráficos. La lista
completa de formatos de archivo recuperados por PhotoRec contiene más de 480 extensiones de archivo (aproximadamente 300 familias de archivos). Es posible crear una firma
personalizada para recuperar un formato de archivo desconocido para PhotoRec.
1.5 QPhotoRec - Recuperación de archivos
QPhotoRec es una herramienta de software de recuperación de datos de tallador de archivos con una interfaz gráfica de usuario. Al igual que PhotoRec, no recupera los nombres de archivo
originales, pero puede recuperar archivos eliminados incluso del sistema de archivos dañado.
1.3. TestDisk - Recuperación de archivos 3

4 Capítulo 1. Presentación
CAPÍTULO
DOS
INSTALACIÓN
2.1 Linux: instalación del paquete de distribución
2.1.1 CentOS
Como root,
yum instalar testdisk qphotorec
2.1.2 Fedora
Como root,
dnf instalar testdisk qphotorec
2.1.3 Fedora Copr
Copr es un sistema de construcción automático. Proporciona la última versión de desarrollo. Como root,
dnf copr habilitar grenier / testdisk dnf instalar testdisk

qphotorec
2.1.4 Debian / Ubuntu
Como root,
apto instalar testdisk
2.2 Binarios oficiales
2.2.1 Binarios oficiales: ¿estable o WIP?
Por lo general, se recomienda usar la versión de desarrollo (WIP = Work In Progress) ya que los arreglos no están respaldados. El archivo WIP puede
modificarse varias veces a la semana, pero conserva el mismo nombre. Si esta versión no se inicia, siempre puede usar la versión estable y advertir al
desarrollador del problema con la versión beta.
5
2.2.2 Instalación de binarios o fi ciales para Windows
• Descargue el archivo (x86 de 32 bits o x64 de 64 bits) de https://www.cgsecurity.org/wiki/TestDisk_Download
• Extraiga todos los archivos, incluidos los subdirectorios
2.2.3 Instalación de binarios o fi ciales para macOS
• Descarga el archivo de https://www.cgsecurity.org/wiki/TestDisk_Download
- macOS / Mac OS X Intel / OS X
- Mac OS X PowerPC para Mac muy antiguo (Mac OS X <= 10.5)
• Extraiga todos los archivos, incluidos los subdirectorios
2.2.4 Instalación de binarios o fi ciales para Linux
Descarga el archivo de https://www.cgsecurity.org/wiki/TestDisk_Download Actualmente tenemos
• https://www.cgsecurity.org/testdisk-7.1.linux26-x86_64.tar.bz2 para la última versión estable
• https://www.cgsecurity.org/testdisk-7.2-WIP.linux26-x86_64.tar.bz2 para la versión de desarrollo
Los archivos contienen binarios estáticos para plataformas Intel (x86_64 o i686). Deberían funcionar tal cual en cualquier distribución reciente de Linux.
Descomprime el archivo, no necesitas ser root
tar xjf testdisk-7.1-WIP.linux26-x86_64.tar.bz2
Enumere sus archivos, un directorio llamado testdisk-7.2-WIP debería haber sido creado.
6 Capítulo 2. Instalación
CAPÍTULO
TRES
CONSTRUYENDO A PARTIR DE LA FUENTE
La construcción del código fuente suele estar reservada a
• desarrolladores que desean agregar nuevas funciones
• empaquetadores que desean crear un archivo / paquete para distribuir
• usuarios que utilizan una plataforma para la que no hay disponibles binarios listos para usar
3.1 Entorno de compilación
TestDisk usa varias bibliotecas si están disponibles:
• libncurses - Obligatorio, TestDisk y PhotoRec usan una interfaz de usuario de texto, la biblioteca Ncurses y los archivos de desarrollo deben estar disponibles.
• Biblioteca Ext2fs: opcional, utilizada por TestDisk para enumerar archivos de la partición ext2 / ext3 / ext4 y por PhotoRec para poder extraer el espacio libre
de una partición ext2 / ext3 en lugar de toda la partición
• Biblioteca EWF: opcional, TestDisk y PhotoRec lo utilizan para acceder a archivos de formato de compresión de testigos expertos (por ejemplo, archivos Encase)
• Iconv: opcional, se utiliza para manejar nombres de archivos Unicode
• Biblioteca Jpeg: opcional, utilizada por PhotoRec para mejorar la tasa de recuperación de JPEG
• Biblioteca NTFS: opcional, utilizada por TestDisk para enumerar archivos de la partición NTFS
• Biblioteca Reiserfs: opcional, utilizada por TestDisk para enumerar archivos de la partición reiserfs
• biblioteca zlib: opcional, utilizada por PhotoRec para descomprimir contenido comprimido con gzip
• Biblioteca Qt5: opcional, necesaria para QPhotoRec y para actualizar el script de configuración.
3.1.1 Linux
• Debian / Ubuntu: apt-get install build-essential e2fslibs-dev libewf-dev

libncurses5-dev libncursesw5-dev ntfs-3g-dev libjpeg-dev uuid-dev zlib1g-dev qtbase5-dev qttools5-dev-tools pkg-config
dh-autoreconf git
• RHEL / CentOS 6 o luego: yum install @ buildsys-build desktop-file-utils

e2fsprogs-devel libewf-devel libjpeg-devel libuuid-devel ncurses-devel ntfs-3g-devel qt-devel qt5-qtbase-devel zlib-devel git
• Fedora: dnf install @ buildsys-build desktop-file-utils e2fsprogs-devel

libewf-devel libjpeg-devel libuuid-devel ncurses-devel ntfs-3g-devel qt-devel qt5-qtbase-devel zlib-devel git
7
3.1.2 macOS
Instalar Xcode
3.1.3 Ventanas
cygwin
Cygwin https://cygwin.com/ es una gran colección de herramientas GNU y de código abierto que proporcionan una funcionalidad similar a una distribución de Linux en
Windows, incluye el compilador GCC. Una DLL ( cygwin1.dll) proporciona una funcionalidad sustancial de la API POSIX, dichas funciones pueden ser requeridas por
algunas bibliotecas que TestDisk o PhotoRec pueden usar.
MinGW-w64
MinGW-w64 https://mingw-w64.org/ es un entorno de desarrollo de software de código abierto y gratuito para crear aplicaciones de Microsoft Windows.
Proporciona GCC para Windows de 64 y 32 bits.
3.2 Entorno de compilación cruzada
Usando Linux, es posible generar binarios para Windows. Fedora dispone de dos cadenas de herramientas de compilación cruzada para crear binarios para Windows de 32
y 64 bits. Todos los paquetes necesarios están disponibles en
• Destino Cygwin de Windows
- https://copr.fedorainfracloud.org/coprs/grenier/cygwin-testdisk/
- https://copr.fedorainfracloud.org/coprs/yselkowitz/cygwin/
• Objetivo de Windows MinGW
- https://copr.fedorainfracloud.org/coprs/grenier/mingw-testdisk/
testdisk, fotorec y identificar Los binarios o fi ciales se generan usando Cygwin, qphotorec utilizando MinGW.
3.3 Compilación
3.3.1 Compilación desde archivo fuente
Una vez que haya descargado el archivo fuente de https://www.cgsecurity.org/wiki/TestDisk_Download , correr
tar xjf testdisk-7.2-WIP.tar.bz2

cd testdisk-7.2-WIP
. / configurar && hacer
3.3.2 Compilación desde el repositorio de git
clon de git https://git.cgsecurity.org/testdisk.git
Si ya ha clonado el proyecto, para actualizar su copia local, ejecute git pull desde el testdisk directorio.
8 Capítulo 3. Construyendo desde la fuente

cd testdisk
configuración mkdir
autoreconf --install -W all -I config
. / configurar
hacer
3.3.3 Compilar una versión estática
Una vez que haya podido crear una versión "normal", puede intentar crear una versión estática.
hacer estática
UNA construcción estática es una versión compilada de un programa que se ha vinculado estáticamente con bibliotecas. Un binario estático no depende de la disponibilidad de la
biblioteca de la computadora en la que se está ejecutando, por lo general, puede copiar este binario en otra computadora y funcionará. Sigue siendo específico de la arquitectura (es
decir, CPU) y puede depender del kernel (versión del sistema operativo), por lo que se pueden usar binarios estáticos para aplicaciones portátiles. Para que la compilación tenga éxito,
es posible que deba instalar una versión estática de las bibliotecas.
3.3. Compilacion 9
10 Capítulo 3. Construyendo desde la fuente

CAPÍTULO
CUATRO
CREANDO UN USB EN VIVO
Si necesita reparar una computadora que no arranca correctamente, puede mover su disco duro a una computadora que funcione o iniciar su computadora desde una
llave USB o un DVD. Es esta solución posterior la que se presentará aquí.
Necesita una unidad flash USB también conocida como memoria USB, memoria USB, memoria USB o unidad de salto que pueda borrar. Tenga en cuenta que también es posible utilizar un DVD
en blanco.
Descargue Fedora "Image Live" desde https://getfedora.org/fr/workstation/download/
4.1 ventanas
• Descargar y ejecutar SUSE Studio ImageWriter o Rawrite32
• Elija la imagen de Fedora como Imagen ( SUSE Studio) o Imagen del sistema de archivos ( Rawrite32): si no se muestra el archivo de imagen, es posible que deba cambiar
las opciones del selector de archivos o cambiar la extensión de la imagen
• Elija la memoria USB en el cuadro desplegable junto al Copiar botón (SUSE Studio) o como el Objetivo ( Rawrite32)
• ¡Verifique que esté realmente seguro de que no necesita ninguno de los datos en la memoria USB!
• Haga clic en Copiar ( SUSE Studio) o Grabar en disco. . . ( Rawrite32)
• Espere a que se complete la operación,
4.2 Linux (línea de comando)
• Identificar el nombre de la partición de la unidad USB
• desmontar todas las particiones montadas de ese dispositivo (Reemplazar / ejecutar / media / user / mountpoint por el punto de montaje correcto)
• utilizar dd para crear hacer la copia (Adaptar la fuente y el destino)
lsblk
umount / run / media / user / mountpoint
sudo dd if = / path / to / image.iso of = / dev / sdX bs = 8M status = progress oflag = direct
Espere hasta que se complete el comando. Si recibes dd: indicador de estado no válido: error de 'progreso',
tu versión dd no es compatible status = progreso opción y deberá eliminarlo (y no verá el progreso de escritura).
Advertencia: los dd El comando es muy poderoso y puede destruir cualquier dato existente en el dispositivo especificado. Hacer
absolutamente seguro del nombre del dispositivo para escribir y no lo escriba mal al usar dd!
11
4.3 Linux (GNOME)
Este método es para personas que ejecutan Linux con GNOME, Nautilus y GNOME Disk Utility instalados. Una instalación estándar de Fedora, o una instalación
estándar de GNOME de muchas otras distribuciones, debería poder utilizar este método. En Fedora, asegúrese de que los paquetes nautilus y gnome-disk-utility estén
instalados. Es posible que haya disponibles herramientas gráficas de escritura directa similares para otros escritorios.
• Descargue una imagen de Fedora, elija una memoria USB que no contenga ningún dato que necesite y conéctela
• Ejecute Nautilus (archivos): por ejemplo, abra la descripción general presionando la tecla Inicio / Súper y escriba Archivos luego presione enter
• Busque la imagen descargada, haga clic derecho en ella, vaya a Abrir con, y haga clic en Escritor de imágenes de disco
• ¡Verifique que esté realmente seguro de que no necesita ninguno de los datos en la memoria USB!
• Seleccione su memoria USB como Destino, y haga clic en Comience a restaurar. . .
• Espere a que se complete la operación, luego reinicie su computadora y haga lo que sea necesario para iniciar desde una memoria USB; a menudo, esto
implicará presionar o mantener presionado F12, F2 o Del.
4.4 OS X
• Abrir una terminal
• Correr diskutil list. Esto enumerará todos los discos conectados al sistema, como / dev / rdisk1, / dev / rdisk2
y así. Identifique - ¡con mucho cuidado! - cuál corresponde a la memoria USB que desea utilizar como destino. De ahora en adelante, asumiremos que
fue / dev / rdisk2` - modifique los comandos según corresponda para su dispositivo.
• Correr diskutil unmountDisk / dev / rdisk2
• Tipo dd si =, luego arrastre y suelte el archivo de imagen de Fedora en la ventana de la terminal - esto debería resultar en que la ubicación del sistema de
archivo se agregue al comando. Ahora completa el comando con de = / dev / rdisk2 bs = 1m,
pero no presione Enter todavía. Deberías terminar con algo como sudo dd if = / Volúmenes / Imágenes /
Fedora-Live-Desktop-x86_64-20-1.iso de = / dev / rdisk2 bs = 1m
• ¡Verifique que tenga el número de disco correcto y que esté realmente seguro de que no necesita ninguno de los datos en la memoria USB!
• Pulsa Enter
4.5 Inicio desde la memoria USB
Conecte la llave USB en la computadora dañada e inicie esta computadora, y haga lo que sea necesario para arrancar desde una memoria USB; a menudo esto implicará
presionar o mantener presionado F12, F2 o Del. Si está utilizando una computadora Mac, mantenga presionada la tecla Alt / Opción izquierda para acceder al menú de inicio;
debería ver un logotipo de Fedora. Haga clic aquí para arrancar.
Fuente original de esta página: https://fedoraproject.org/wiki/How_to_create_and_use_Live_USB
12 Capítulo 4. Creación de un USB en vivo

CAPÍTULO
CINCO
ALMACENAMIENTO: ¿PUEDO REPARARLO O RECUPERAR DATOS DE ELLO?
Hay 3 tipos de almacenamiento:
• Almacenamiento adjunto directo (DAS) o almacenamiento local para discos duros conectados a través de dispositivos * IDE / PATA * SATA / eSATA * SAS * firewire *
conectados a través de USB (disco externo, cámara digital, memoria USB, teléfono ...) en modo de almacenamiento masivo USB
• Redes de área de almacenamiento (SAN) * Protocolo de canal de fibra (FCP) * Canal de fibra sobre Ethernet (FCoE) * iSCSI, mapeo de SCSI sobre TCP /
IP
• Almacenamiento conectado a la red (NAS) * Compartir Windows (CIFS / SMB) * Sistema de archivos de red (NFS) * Teléfono o cámara digital en modo Protocolo de
transferencia de medios (MTP) (incluso si está conectado a través de USB)
TestDisk y PhotoRec pueden recuperar datos del almacenamiento DAS y SAN. Para el servidor NAS (QNAP, Synology ...), deben ejecutarse en el servidor mismo o los discos
deben trasladarse a una computadora que ejecute Linux (a veces FreeBSD). TestDisk y PhotoRec pueden almacenar datos recuperados en cualquier almacenamiento
disponible en su computadora. Al recuperar archivos eliminados, tenga cuidado de no escribir datos nuevos en la misma partición en la que se almacenaron los archivos.
13
14 Capítulo 5. Almacenamiento: ¿puedo repararlo o recuperar datos de él?

CAPÍTULO
SEIS
ARRANQUE DE LAS HERRAMIENTAS
6.1 Imagen de disco
TestDisk y PhotoRec se pueden utilizar en la imagen del disco:
• archivos sin formato (.dd)
• Encase (.E01)
• archivos Encase divididos (.E01, E02...)
No se admiten archivos sin formato divididos. No se necesitan derechos de administrador para ejecutar testdisk o fotorec en la imagen del disco.
Ejemplos:
• photorec image.dd para tallar una imagen de disco sin procesar
• imagen de fotorec. E01 para recuperar archivos de una imagen Encase EWF
• photorec 'imagen. ???' si la imagen de Encase se divide en varios archivos.
6.2 Ejecución de TestDisk, PhotoRec o QPhotoRec en Windows
Haga doble clic en el ejecutable ( testdisk_win.exe, photorec_win.exe o qphotorec_win.exe) de

una cuenta en el grupo de administradores. Los derechos de administrador son necesarios para obtener un acceso de bajo nivel a todos los medios (disco duro, llave USB,
tarjeta inteligente, etc.). Windows UAC (Vista y posterior) le pedirá que con fi rme que desea ejecutar el ejecutable con derechos de administrador.
Nota: Usuarios de Windows, si ve cygwin1.dll no encontrado, c \\ cygwin no se encuentra, extraiga todos los archivos del archivo antes de ejecutar
TestDisk o PhotoRec.
6.3 Ejecución de TestDisk, PhotoRec en Linux
Necesita ser root para ejecutar TestDisk.
cd testdisk-7.1
sudo ./testdisk_static
15
cd testdisk-7.1
sudo ./photorec_static
Nota: Si falta su dispositivo Raid (es decir, Intel raid), ejecute "sudo dmraid -ay" para activarlo.
6.4 Ejecución de QPhotoRec en Linux X.org X11
QPhotoRec es una aplicación Qt5, no se envía con los binarios oficiales de Linux de www.cgsecurity.org. Pero está disponible en la mayoría de las distribuciones de
Linux o se puede compilar desde la fuente. Para ejecutarlo en una Terminal,
sudo qphotorec
6.5 Ejecución de QPhotoRec en Linux Wayland
Para ejecutar QPhotoRec en una Terminal,
xhost + local:
sudo qphotorec
6.6 Ejecución de TestDisk, PhotoRec en macOS
Si no es root, TestDisk (es decir testdisk-7.1 / testdisk) o PhotoRec se reiniciará usando sudo después de la confirmación de su parte.
Si su cuenta de administrador no tiene contraseña (una contraseña en blanco), debe darle a ese usuario una contraseña antes de usar el sudo mando:
• Elija el menú Apple> Preferencias del sistema y haga clic en Cuentas.
• Haga clic en Cambiar contraseña.
La terminal no muestra la contraseña mientras escribe. Si ingresa la contraseña incorrecta o una contraseña en blanco, el comando no se ejecuta y Terminal le pide que
lo intente nuevamente.
6.7 Ejecución de Fidentify en Windows
Fidentify comprueba todos los archivos de un directorio con las mismas firmas que PhotoRec. Es útil comprobar si PhotoRec puede recuperar algunas extensiones de archivo /
algunos formatos de archivo. correr cmd, Símbolo del sistema de Windows. discos compactos es el comando para cambiar de directorio.
cd testdisk-7.1
fidentify_win.exe directorio d: \
dieciséis Capítulo 6. Inicio de las herramientas

6.8 Ejecución de Fidentify en Linux o macOS
Inicie una terminal, entre testdisk directorio y uso identificar para comprobar si se reconocen los archivos presentes en un directorio. Esta identi fi cación
es idéntica en PhotoRec.
cd testdisk-7.1
. / fidentify_static / home / user /
6.8. Ejecutando Fidentify en Linux o macOS 17

18 Capítulo 6. Inicio de las herramientas

CAPÍTULO
SIETE
REPARACIÓN DEL SISTEMA DE ARCHIVOS
La reparación de un sistema de archivos puede ser una empresa arriesgada, ya que a veces el problema se "soluciona" eliminando todos los archivos no válidos. Por tanto, si tiene acceso a
algunos de sus archivos pero no a todos, se recomienda hacer una copia de seguridad de lo que es posible acceder antes de intentar reparar el sistema de archivos.
7.1 Reparación de sistemas de archivos desde Windows
Windows puede leer y escribir archivos del sistema de archivos FAT, exFAT y NTFS. los chkdsk El comando se usa para verificar y reparar sistemas de archivos. correr cmd Haga clic con el
botón derecho en Ejecutar como administrador)
chkdsk / fd:
7.2 Reparación de sistemas de archivos desde Linux
Linux puede leer y escribir desde una gran variedad de sistemas de archivos. los fsck El comando genérico se usa para ejecutar una verificación del sistema de archivos. Para comprobar y reparar
automáticamente el sistema de archivos en / dev / sda, ejecute como root
fsck -y / dev / sda1
fsck inicia un comando específico del sistema de archivos, por ejemplo para ext4, ejecuta fsck.ext4. Si necesita una reparación detallada, debe leer la página de manual
del comando relacionado con el sistema de archivos que desea reparar, es decir man fsck.ext4. Si faltan algunos archivos o directorios, recuerde comprobar la perdido +
encontrado directorio en la raíz de este sistema de archivos.
ntfsfix se puede utilizar para reparar el sistema de archivos NTFS seguido de Windows chkdsk. Tenga en cuenta que restablece el archivo de diario NTFS, por lo que debe usarse solo
si Windows no pudo reparar el sistema de archivos.
7.3 Reparación de sistemas de archivos desde macOS
Para comprobar una unidad externa,
sudo diskutil list

sudo fsck / dev / disk1s1
Puede que tenga que repetir el fsck comando varias veces hasta que no se notifique ningún error restante. Si obtiene un tamaño de nodo de árbol
b no válido, puede intentar
sudo fsck_hfs -r -d / dev / disk1s1
19
7.4 Reparación del sector de arranque FAT32, exFAT y NTFS usando TestDisk
El sector de arranque es un sector que contiene la información necesaria para acceder a cualquier archivo de un sistema de archivos FAT, exFAT o NTFS. Los sistemas de archivos FAT32 y
NTFS tienen un sector de arranque principal y una copia de seguridad. Si el sector de arranque principal está dañado, el sistema de archivos aparece como sin formato o ilegible. TestDisk puede
usar el sector de arranque de respaldo para reparar el sector de arranque principal:
• iniciar TestDisk
• seleccione el dispositivo que contiene la partición (evite la letra de unidad como D :)
• con fi rmar el tipo de tabla de particiones
• ir al menú Avanzado
• seleccione la partición
• elija Boot
Si el sector de arranque está dañado, Sector de arranque: malo se mostrará. Si la copia de seguridad está bien, Sector de arranque de respaldo: Ok también aparecerá en la lista.
• elija BackupBS
• con fi rmar
• Dejar
• reinicia la computadora
7.5 TestDisk: Reparación del sector de arranque FAT
El primer sector de un sistema de archivos FAT se denomina sector de arranque. Contiene las principales propiedades del sistema de archivos y un pequeño código necesario solo
para iniciar la computadora desde esta partición. Si el sector de arranque está dañado, es imposible acceder a sus datos. Ventanas chkdsk o Linux fsck no puede reparar un
sistema de archivos sin un sector de arranque válido, devuelven un mensaje de error como Chkdsk no está disponible para unidades RAW. Afortunadamente, TestDisk puede
encontrar todos los parámetros que deben registrarse en el sector de arranque y reescribir este sector, de modo que se puedan realizar más operaciones de reparación o acceso
normal.
• seleccione la partición FAT
• elija Boot
• seleccione RebuildBS
• elija Lista
Si testdisk puede listar sus archivos, elija
• salir de la lista de archivos
• elija Escribir
• con fi rmar
• Dejar
20 Capítulo 7. Reparación del sistema de archivos

7.6 TestDisk: Reparación del sector de arranque NTFS
El primer sector de un sistema de archivos NTFS se denomina sector de arranque. Contiene las principales propiedades del sistema de archivos y un pequeño código necesario solo
para iniciar la computadora desde esta partición. Si el sector de arranque está dañado, es imposible acceder a sus datos. Ventanas chkdsk o Linux fsck no puede reparar un sistema
de archivos sin un sector de arranque válido, devuelven un mensaje de error como Chkdsk no está disponible para unidades RAW. Afortunadamente, TestDisk puede encontrar
todos los parámetros que deben registrarse en el sector de arranque y reescribir este sector, de modo que se puedan realizar más operaciones de reparación o acceso normal.
• iniciar testdisk
• seleccione la partición NTFS
• elija Boot
• seleccione RebuildBS
• elija Lista
Si testdisk puede listar sus archivos, elija
• salir de la lista de archivos
• elija Escribir
• con fi rmar
• Dejar
7.7 TestDisk: reparación del superbloque del sistema de archivos ext2 / 3/4
1024 bytes después del comienzo del sistema de archivos ext2 / 3/4 se encuentra el superbloque. Contiene las principales propiedades del sistema de archivos. Con un
superbloque principal dañado, no es posible montar y acceder a los archivos normalmente. Afortunadamente, las copias del superbloque principal se distribuyen por el
sistema de archivos. Para ser precisos, no son una copia exacta del superbloque principal, cada copia contiene su propia ubicación para evitar confusiones entre las copias y
el original. TestDisk puede buscar superbloques alternativos.
• iniciar testdisk
• seleccione el dispositivo que contiene la partición
• seleccione la partición de Linux
• elija SuperBlock
TestDisk 7.1-WIP, utilidad de recuperación de datos, agosto de 2016 Christophe GRENIER <
[email protected] >
http://www.cgsecurity.org
Disco / dev / sda - 2000 GB / 1863 GiB - CHS 243201 255 63
Dividir comienzo Final Tamaño en sectores

(continúa en la página siguiente)
7.6. TestDisk: reparación del sector de arranque NTFS 21

(Continuación de la página anterior)
Datos de MS 2048 3907020799 3907018752 [/ home2]

superbloque 0, tamaño de bloque = 4096 [/ home2] superbloque 32768, tamaño
de bloque = 4096 [/ home2] superbloque 98304, tamaño de bloque = 4096 [/
home2] superbloque 163840, tamaño de bloque = 4096 [/ home2] superbloque
229376, tamaño de bloque = 4096 [/ home2] superbloque 294912, tamaño de
bloque = 4096 [/ home2] superbloque 819200, tamaño de bloque = 4096 [/
home2] superbloque 884736, tamaño de bloque = 4096 [/ home2] superbloque
1605632, tamaño de bloque = 4096 [/ home2] superbloque 2654208, tamaño de
bloque = 4096 [/ home2]
Para reparar el sistema de archivos usando un superbloque alternativo, ejecute fsck.ext4 -p -b superblock
-B blocksize device
> [Salir]
Volver al menú avanzado
Si aparece el superbloque 0, significa que el superbloque principal es correcto. Si está dañado, esta línea faltará, use el siguiente superbloque y la información del tamaño del
bloque para ejecutar fsck.
fsck.ext4 -p -b 32768 -B 4096 / dev / sda1
7.8 Reparación de encabezado de volumen HFS / HFS + usando TestDisk
El encabezado del volumen se ubica 1024 bytes después del comienzo del sistema de archivos HFS / HFS +. Si está dañado, no es posible acceder a los archivos normalmente.
TestDisk puede usar el encabezado del volumen de respaldo para reparar el encabezado del volumen principal:
• seleccione el dispositivo que contiene la partición
• seleccione la partición
• elija SuperBlock
Si el superbloque principal está dañado, Encabezado de volumen: incorrecto se mostrará. Si la copia de seguridad está bien, Encabezado del volumen de respaldo: HFS + Ok ( o HFS Ok) también
aparecerá en la lista. En este caso,
• elija BackupBS
• con fi rmar
• Dejar
7.9 Reparación de volumen de BitLocker
Reparación-bde puede reconstruir partes críticas de la unidad y recuperar datos recuperables siempre que se utilice una contraseña o clave de recuperación
válida para descifrar los datos. Ver https://technet.microsoft.com/en-us/library/ff829851(v=ws.

11) .aspx
7,9. Reparación de volumen de BitLocker 23


CAPÍTULO
OCHO
RECUPERACIÓN DE ARCHIVOS BORRADOS CON TESTDISK
Cuando se elimina un archivo, los datos permanecen en el disco. A menos que nuevos datos hayan sobrescrito el archivo perdido, TestDisk normalmente puede recuperarlo. Es
posible para
• FAT12 / 16/32
• exFAT
• NTFS
• ext2
Para otros sistemas de archivos o si aún faltan archivos perdidos buscados, pruebe PhotoRec. PhotoRec es una utilidad de recuperación de archivos basada en
firmas y puede recuperar sus datos donde fallaron otros métodos.
• No utilice más los medios (disco duro, llave USB,...) En los que se han eliminado los datos almacenados hasta que se complete el proceso de recuperación de
datos.
• Se recomienda encarecidamente que TestDisk o PhotoRec recupere archivos en otro medio de destino, como mínimo en otro sistema de archivos.
Para una máxima seguridad, TestDisk no intenta anular la eliminación de archivos, pero le permite copiar los archivos eliminados en otra partición o disco. Recuerde, debe
evitar escribir nada en el sistema de archivos que contenía los datos. Si lo hace, los archivos eliminados pueden sobrescribirse con archivos nuevos.
8.1 TestDisk: recuperar archivo para FAT, exFAT, ext2
FAT se utiliza principalmente en tarjetas de memoria de cámaras digitales y en llaves USB. Cuando se elimina un archivo, el nombre del archivo se marca como eliminado y el área
de datos como sin asignar / libre, pero TestDisk puede leer la entrada del directorio eliminada y encontrar dónde comenzó el archivo. Si el área de datos no ha sido sobrescrita por
un nuevo archivo, el archivo se puede recuperar.
exFAT se puede encontrar en tarjetas de memoria grandes, llaves USB grandes y disco duro.
ext2 es un sistema de archivos de Linux. Ha sido reemplazado por ext3 y ext4, por lo que ahora no se encuentra con frecuencia. Con ext3 y ext4, es posible encontrar los
nombres de los archivos eliminados pero la ubicación de los datos eliminados ya no está disponible, por lo que incluso si ext3 / ext4 es similar a ext2, no es posible recuperar
archivos perdidos usando TestDisk.
8.1.1 Iniciar TestDisk
• Ejecución de TestDisk, PhotoRec o QPhotoRec en Windows
• Ejecución de TestDisk, PhotoRec en Linux
• Ejecución de TestDisk, PhotoRec en macOS
25
8.1.2 Creación de registros
• Elija Crear a menos que tenga un motivo para agregar datos al registro o si ejecuta TestDisk desde un medio de solo lectura y no puede crearlo en otro
lugar.
• Presione Enter para continuar.
8.1.3 Selección de disco
Todos los discos duros deben ser detectados y listados con el tamaño correcto por TestDisk.
• Use las teclas de flecha arriba / abajo para seleccionar su disco duro con la partición perdida.
macOS Si está disponible, use un dispositivo sin procesar / dev / rdisk * en vez de / dev / disk * para una transferencia de datos más rápida.
8.1.4 Selección del tipo de tabla de particiones
TestDisk muestra los tipos de tablas de particiones.
• Seleccione el tipo de tabla de particiones - normalmente el valor predeterminado es el correcto ya que TestDisk detecta automáticamente el tipo de tabla de particiones.
8.1.5 Iniciar el proceso de recuperación
• Seleccione Avanzado
• Seleccione la partición que contenía los archivos perdidos y elija Recuperar
8.1.6 Recuperar archivo
Navegue hasta la carpeta donde estaban sus archivos. Los archivos y directorios eliminados se muestran en rojo.
• Para recuperar un archivo, seleccione el archivo a recuperar y presione 'c' para copiar el archivo.
• Para recuperar un directorio eliminado, seleccione el directorio y presione 'c' para recuperar el directorio y su contenido.
8.1.7 Seleccione dónde se deben escribir los archivos recuperados
Seleccione el destino
8.1.8 Se completa la recuperación del archivo
Cuando recupere sus archivos, use Salir para salir.
Si TestDisk no ha podido encontrar sus datos perdidos, intente PhotoRec en su lugar.
26 Capítulo 8. Recuperación de archivos eliminados mediante TestDisk

8.2 TestDisk: recuperar archivo para NTFS
8.2.1 Iniciar TestDisk
8.2.2 Creación de registros
lugar.
8.2.3 Selección de disco
macOS Si está disponible, use un dispositivo sin procesar / dev / rdisk * en vez de / dev / disk * para una transferencia de datos más rápida.
8.2.4 Selección del tipo de tabla de particiones
8.2.5 Iniciar el proceso de recuperación
• Seleccione Avanzado
• Seleccione la partición que contenía los archivos perdidos y elija Recuperar
8.2.6 Recuperar archivo NTFS
TestDisk escanea las entradas MFT en busca de archivos eliminados. Se muestra una lista de archivos NTFS eliminados encontrados por TestDisk
• Para recuperar un solo archivo, resalte el archivo y presione 'c' (minúscula) para copiarlo.
• Para recuperar varios archivos, mueva el primer archivo que desea recuperar, presione ':' para seleccionarlo, repita el proceso para los otros archivos, presione 'C'
(mayúsculas) para copiarlos
No es visible en la interfaz pero es posible filtrar los resultados, presione 'f' para agregar un filtro. Se pueden agregar varios filtros. Para cancelar todos los fi ltros, presione 'r'
(reiniciar).
8.2. TestDisk: recuperar archivo para NTFS 27

8.2.7 Seleccione dónde se deben escribir los archivos recuperados
Seleccione el destino
8.2.8 Se completa la recuperación del archivo
Cuando finalice la recuperación del archivo NTFS, elija Salir para salir.
Si TestDisk no ha podido encontrar sus datos perdidos, intente PhotoRec en su lugar.
28 Capítulo 8. Recuperación de archivos eliminados mediante TestDisk

CAPÍTULO
NUEVE
RECUPERACIÓN DE PARTICIONES BORRADAS USANDO TESTDISK
Cuando se elimina una partición o si la tabla de particiones está dañada, los sistemas de archivos permanecen en el disco pero su ubicación es desconocida y no se puede
acceder a los datos. TestDisk puede buscar particiones y reescribir la tabla de particiones con las particiones seleccionadas por el usuario.
9.1 Iniciar testdisk
9.2 Creación de registros
lugar.
Nota: Usuarios de Windows, si tiene dificultades para encontrar testdisk.log archivo, consultar https://support.microsoft. com / en-us / kb / 865219 sobre cómo mostrar
extensiones de nombre de archivo en el Explorador de Windows.
9.3 Selección de disco
Nota: macOS: si está disponible, utilice un dispositivo sin procesar / dev / rdisk * en vez de / dev / disk * para una transferencia de datos más rápida.
Advertencia: Windows: no seleccionar DISCOS COMPACTOS: u otra letra de unidad. Es inútil buscar particiones dentro de una partición.
29
9.4 Selección del tipo de tabla de particiones
9.5 Analizar la tabla de particiones actual
• Seleccione Analizar
• Con fi rme con la tecla Enter
• TestDisk listará la tabla de particiones actual.
Si una partición está dañada o una entrada de partición dañada, el problema se enumerará y la partición se enumerará dos veces. Por ejemplo, si ve "Arranque NTFS
o exFAT no válido" en una partición (el tamaño de la partición es correcto, la partición no se superpone a otra ...) a la que desea acceder, es mejor solucionar este
problema ( TestDisk: reparación del sector de arranque NTFS ) antes de buscar otras particiones.
• Con fi rmar en Búsqueda rápida para proceder
9.6 Búsqueda rápida de particiones
TestDisk muestra los primeros resultados en tiempo real. Si es necesario, puede elegir Detener para cancelar la búsqueda rápida. TestDisk enumera todas las particiones que ha
encontrado. Para listar los archivos de un sistema de archivos FAT, exFAT, NTFS, ext2 / 3/4, resalte esta partición y presione pags. prensa Q para volver a la lista de particiones.
9.7 Buscar más particiones
Si aún falta una partición, elija [ Búsqueda más profunda]. Puede tardar algunas horas, por lo que debe asegurarse de que su computadora no se suspenda (función de
administración de energía...)
9.8 Selección de particiones
Las particiones enumeradas como D (elegidas) no se recuperarán si las deja enumeradas como eliminadas. Utilice las teclas de flecha para cambiar las particiones que desea
recuperar (verifique el tamaño de la partición, enumere el contenido del archivo...) De D (eleted) a * (bootable), P (rimary) o L (ogical). Solo una partición puede aparecer como *
(de arranque). No es un problema si una partición está marcada como de arranque en un disco desde el que no iniciará (por ejemplo, un disco externo) pero DEBE haber una
partición de arranque en un disco desde el que desea iniciar su computadora.
Una vez que todas las particiones que desea conservar y todas las particiones que desea recuperar estén correctamente marcadas como no eliminadas, continúe en la siguiente
pantalla. Revise la lista de particiones. Si se enumeran todas las particiones y solo en este caso, con fi rme en Escribir con Enter, yy OK. Ahora, las particiones están registradas
en la tabla de particiones.
Si se encontró una partición FAT32 o NTFS usando su sector de inicio de respaldo, TestDisk le permitirá reescribir el sector de inicio principal con el contenido del sector de
inicio de respaldo: para copiar la copia de seguridad del sector de inicio sobre el sector de inicio, seleccione Backup BS, valide con Enter, use y para con fi rmar.
30 Capítulo 9. Recuperación de la partición eliminada mediante TestDisk

Reinicia tu computadora.
9,8. Selección de particiones 31

32 Capítulo 9. Recuperación de la partición eliminada mediante TestDisk

CAPÍTULO
DIEZ
CÓMO HACER QUE EL SISTEMA SE PUEDA INICIAR DE NUEVO
Mira esto
• todas las particiones se enumeran en la tabla de particiones
• una partición con el sistema operativo de su computadora aparece como * (de arranque)
• puede enumerar los archivos de la partición de arranque
10.1 DOS - Ventana 95/98
Si su sistema operativo no arranca, puede reinstalar los archivos del sistema con sys c :.
10.2 Windows 2000 / XP / 2003
• Correr fixmbr desde la consola de recuperación
fixmbr \ Device \ HardDisk0
Si aún tiene el problema,
• Correr fixboot para reparar el sector de arranque NTFS.
• Cheque c: \ boot.ini contenido
10.3 Windows Vista / Windows 7 /. . . , Windows Server 2008 /. . .
• Correr bootrec.exe / fixmbr desde la consola de recuperación
• Para la tabla de particiones Intel heredada / PC, marque c: \ boot.ini contenido
• Para EFI GPT, compruebe la salida de bcdedit / v. Para modificar la configuración, use el bcdedit / set mando.
• Correr bootrec.exe / fixboot para reparar el sector de arranque NTFS.
10.4 Linux / FreeBSD
• Actualice su / etc / fstab para reflejar el nuevo orden de partición.
• Actualice su configuración de arranque múltiple
33
- Lilo: / etc / lilo.conf
- Grub: / boot / grub / grub.conf
- Grub2: / etc / grub2-efi.cfg
• Reinstale el arranque múltiple en el Registro de arranque maestro.
lilo
dispositivo de instalación de grub
dispositivo grub2-install
34 Capítulo 10. Cómo hacer que el sistema pueda iniciarse nuevamente

CAPÍTULO
ONCE
RECUPERACIÓN DE ARCHIVOS BORRADOS CON PHOTOREC
PhotoRec no recupera los nombres de archivo originales o la estructura del archivo, pero puede recuperar archivos perdidos incluso de un sistema de archivos dañado. PhotoRec es
una utilidad de recuperación de archivos basada en firmas (un grabador de archivos) y puede recuperar sus datos donde otros métodos fallaron.
Recuerde, debe evitar escribir nada en el sistema de archivos que contenía los datos. Si lo hace, los archivos eliminados pueden sobrescribirse con archivos nuevos.
11.1 Iniciar PhotoRec
11.2 Selección de disco
Se enumeran los medios disponibles. Utilice las teclas de flecha arriba / abajo para seleccionar el disco que contiene los archivos perdidos.
Sugerencia para macOS: si está disponible, use un dispositivo sin procesar / dev / rdisk * en vez de / dev / disk * para una transferencia de datos más rápida.
11.3 Selección de partición de origen
Escoger
• Buscar después de seleccionar la partición que contiene los archivos perdidos para iniciar la recuperación,
• Opciones para modificar las opciones,
• Opción de archivo para modificar la lista de tipos de archivos recuperados por PhotoRec.
35
11.4 Opciones de PhotoRec
• Paranoico De forma predeterminada, los archivos recuperados se verifican y los archivos no válidos se rechazan. Habilitar fuerza bruta Si desea recuperar archivos JPEG más
fragmentados, tenga en cuenta que es una operación que consume mucha CPU, se inicia después del proceso de escaneo normal.
• Los modo experto La opción permite al usuario forzar el tamaño del bloque del sistema de archivos y el desplazamiento. Cada sistema de archivos tiene su propio tamaño de
bloque (un múltiplo del tamaño del sector) y desplazamiento (0 para NTFS, exFAT, ext2 / 3/4), estos valores se fijan cuando el sistema de archivos ha sido creado / formateado.
Cuando trabaje en todo el disco (es decir, se pierden las particiones originales) o en una partición reformateada, si PhotoRec ha encontrado muy pocos archivos, es posible que
desee probar el valor mínimo que PhotoRec le permitió seleccionar (es el tamaño del sector) para el tamaño del bloque ( 0 se utilizará para el desplazamiento).
• Habilitar Mantener archivos corruptos para mantener archivos incluso si no son válidos con la esperanza de que los datos se puedan recuperar de un archivo no válido utilizando
otras herramientas.
• Habilitar Memoria baja si su sistema no tiene suficiente memoria y falla durante la recuperación. Puede ser necesario para sistemas de archivos grandes que
están muy fragmentados. No utilice esta opción a menos que sea absolutamente necesario.
11.5 Selección de archivos para recuperar
En FileOpts, habilitar o deshabilitar la recuperación de ciertos tipos de archivos, por ejemplo,
[X] riff audio / video RIFF: wav, cdr, avi

...
[X] Formato de archivo de imagen de etiqueta tif y algunos formatos de archivo sin procesar (pef / nef / dcr / sr2 / cr2)
...
[X] archivo zip zip que incluye OpenOffice y MSOffice 2007
La lista completa de formatos de archivo recuperados por PhotoRec contiene más de 300 familias de archivos que representan más de 480 extensiones de archivo.
11.6 Tipo de sistema de archivos
Una vez que una partición ha sido seleccionada y validada con Buscar, PhotoRec necesita saber cómo se asignan los bloques de datos. A menos que sea un sistema
de archivos ext2 / ext3 / ext4, elija Otro.
11.7 Talle la partición o el espacio no asignado únicamente
PhotoRec puede buscar archivos
• de toda la partición (útil si el sistema de archivos está dañado) o
• desde el espacio no asignado solamente (disponible para ext2 / ext3 / ext4, FAT12 / FAT16 / FAT32 y NTFS). Con esta opción solo se recuperan los archivos
eliminados.
11.8 Seleccione dónde se deben escribir los archivos recuperados
Elija el directorio donde se deben escribir los archivos recuperados. Use las teclas de flecha (arriba, abajo, izquierda, derecha) para navegar, también puede usar la tecla Intro
para ingresar a un directorio.
36 Capítulo 11. Recuperación de archivos eliminados mediante PhotoRec

• Dos / Windows / Os2: para obtener la lista de unidades ( C :, D :, E :, etc.), use las teclas de flecha para seleccionar .., presione el Entrar llave
- repita hasta que pueda seleccionar la unidad de su elección. Validar con Y es cuando llegue al destino esperado.
• Linux: el sistema de archivos de un disco externo puede estar disponible en / media, / mnt o / ejecutar / media subdirectorio. Monte su unidad de destino si
es necesario.
• macOS: las particiones del disco externo generalmente se montan en / Volúmenes.
Advertencia: No almacene los archivos recuperados en el sistema de archivos fuente. De lo contrario, los datos perdidos pueden sobrescribirse y definitivamente perderse.
11.9 Recuperación en curso
El número de archivos recuperados se actualiza en tiempo real.
• Durante la pasada 0, PhotoRec busca los primeros 10 archivos para determinar el tamaño del bloque. Este paso se omite cuando se buscan archivos desde el espacio no
asignado solamente, se usa el valor de tamaño de bloque encontrado en la estructura del sistema de archivos.
• Durante la pasada 1 y posteriores, los archivos se recuperan, incluidos algunos archivos fragmentados.
Los archivos recuperados se escriben en recup_dir.1, recup_dir.2. . . subdirectorios. Es posible acceder a los archivos incluso si la recuperación no ha
finalizado.
11.10 Se completa la recuperación
Cuando se completa la recuperación, se muestra un resumen. Tenga en cuenta que si interrumpe la recuperación, la próxima vez que se reinicie PhotoRec se le pedirá
que reanude la recuperación.
• Las miniaturas que se encuentran dentro de las imágenes se guardan como t * .jpg
• Si ha elegido mantener archivos corruptos / fragmentos de archivo, sus nombres de archivo comenzarán por la letra b ( roken).
• Windows: es posible que haya desactivado su protección antivirus en vivo durante la recuperación para acelerar el proceso, pero se recomienda escanear los
archivos recuperados en busca de virus antes de abrirlos; es posible que PhotoRec haya recuperado un documento infectado o un troyano.
• Sugerencia: al buscar un archivo específico. Ordene los archivos recuperados por extensión y / o fecha / hora. PhotoRec usa información de tiempo (metadatos) cuando está disponible
en el encabezado del archivo para establecer el tiempo de modificación del archivo.
Nota: Windows: es posible que deba tomar posesión del recup_dir. * carpetas: https://technet.microsoft.com/ en-us / library / Cc753659.aspx
Nota: macOS / Linux: para cambiar el propietario de los archivos, ejecute sudo chown -R nombre de usuario recup_dir. *
11.11 PhotoRec: nombre de archivo y fecha
Por defecto, los archivos se guardan en directorios llamados recup_dir.1, recup_dir.2. . . Se crea un nuevo directorio cada 500 archivos nuevos (los archivos miniatura no
se incluyen en este recuento, ni report.xml archivo). Un nombre de archivo comienza con una letra
11,9. Recuperación en curso 37

seguido de un número (7 dígitos o más) y finaliza, si lo hay, con una extensión de archivo. Significado de la letra:
• f = archivo
• b = roto
• t = miniatura incrustada en jpeg
El número se calcula utilizando la ubicación del archivo menos el desplazamiento de la partición dividido por el tamaño del bloque. Para algunos sistemas de
archivos como NTFS, exFAT, ext2 / 3/4, este número puede ser idéntico al número de bloque / clúster original. Usando información de metadatos incrustada
en el archivo recuperado, el archivo puede ser renombrado para incluir el título de la documentación (ejemplo, Microsoft Office doc / xls / ppt o archivos pdf
de Acrobate) como recup_dir.1 /
f0016741_Prudent_Engineering_Practice_for_Cryptographic_Protocols.pdf.
De forma predeterminada, los tiempos de creación y modificación del archivo corresponden al tiempo de recuperación de datos. Algunos formatos de archivo pueden incrustar información
de fecha / hora (por ejemplo, imágenes jpg tomadas con una cámara digital, documentos de Microsoft Office), PhotoRec intentará reutilizarlos. De esta forma, puede resultar más fácil
ordenar los archivos recuperados. Para fines forenses, no confíe ciegamente en esta información: la información de fecha / hora puede estar desfasada por unas pocas horas (sin
información de zona horaria o incorrecta) o totalmente incorrecta (el reloj del dispositivo original puede tener una configuración de fecha / hora incorrecta).
38 Capítulo 11. Recuperación de archivos eliminados mediante PhotoRec

CAPÍTULO
DOCE
CREACIÓN DE FIRMA PERSONALIZADA PARA PHOTOREC
PhotoRec reconoce numerosos formatos de archivo. Se hace referencia a más de 480 extensiones de archivos (alrededor de 300 familias de archivos). Por ejemplo, PhotoRec es capaz de
identificar el formato de archivo JPEG y puede recuperar archivos perdidos usando este formato cualquiera que sea la extensión del archivo original (jpg, jpeg, JPG...).
Para comprobar si ya se reconoce un formato de archivo, puede
• consultar el formatos de archivo .
• enviar un archivo de muestra al Comprobador en línea PhotoRec .
• utilizar identificar en una muestra de archivo (Ver Ejecutando Fidentify en Windows o Ejecutando Fidentify en Linux o macOS )
[ kmaster @ adsl ~] $ fidentify /home/kmaster/src/testfiles/sample.pfi /home/kmaster/src/testfiles/sample.pfi: desconocido
En este caso, el tipo de archivo aparece como desconocido, por lo que PhotoRec no puede recuperar este tipo de archivo, al menos por el momento. Verificaremos si es posible
agregarle una firma personalizada.
Si en lugar de una extensión desconocida aparece en la lista, PhotoRec conoce este formato de archivo, puede recuperar el archivo con otra extensión que la extensión a la que
está acostumbrado.
12.1 Sintaxis de la firma
El archivo debe contener una definición de firma por línea. Una firma se compone de
• nombre de la extensión
• desplazamiento de la firma
• firma o valor mágico
El valor mágico puede estar compuesto por
• una cadena, por ejemplo, "datos". Los caracteres especiales se pueden escapar como “b”, “n”, “r”, “t”, “0” o “".
• datos hexadecimales, p. Ej. 0x12, 0x1234, 0x123456. . . Tenga en cuenta que 0x123456, 0x12 0x34 0x56 y 0x12, 0x34, 0x56
son equivalentes.
• se ignoran los delimitadores de espacios o comas
Al usar un editor hexadecimal, puede ver que el pfi El archivo de nuestro ejemplo comienza con una cadena distintiva PhotoFiltre Image en el desplazamiento 0.
39
[ kmaster @ adsl ~] $ hexdump -C /home/kmaster/src/testfiles/sample.pfi | cabezal 00000000 50 68 6f 74 6f 46 69 6c 74 72 65 20 49 6d 61 67 |

PhotoFiltre Imag | 00000010 65 03 40 06 00 00 b0 04 00 00 40 19 01 00 40 19 | e. @ ....... @ ... @. | 00000020 01 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 | ................ |
La firma se puede escribir como
pfi 0 "Imagen de PhotoFiltre"
pfi 0 "PhotoFiltre", 0x20, "Imagen"
o si lo prefieres hexadecimal
pfi 0 0x50686f746f46696c74726520496d616765
De fidentify / photorec punto de vista, las firmas son idénticas.
Advertencia: Ten cuidado, hexdump muestra caracteres no imprimibles como puntos. La siguiente firma es incorrecta:
pfi 0 "Imagen de PhotoFiltre".
Esta firma que usa un valor hexadecimal en lugar de un punto es correcta:
pfi 0 "Imagen de PhotoFiltre", 0x03
12.2 Ubicación del archivo
PhotoRec busca el archivo de firma denominado
• Windows: fotorec.sig en el PERFIL DEL USUARIO o HOMEPATH directorio, por ejemplo C: \ Documentos y
Configuración \ bob \ o C: \ Usuarios \ bob.
• Linux y macOS:. fotorec.sig en el HOGAR directorio, por ejemplo / inicio / bob
• fotorec.sig en el directorio actual
Este archivo no existe por defecto, necesita crear uno. Con un editor de texto (por ejemplo, bloc de notas, vim...), Cree el archivo de firma y agregue la firma
que ha identificado.
12.3 Verifique su firma personalizada con fi dentify
identificar ahora identifica perfectamente el archivo
[ kmaster @ adsl ~] $ fidentify /home/kmaster/src/testfiles/sample.pfi /home/kmaster/src/testfiles/sample.pfi: pfi
Si identificar no reconoce la firma,
• verifique su firma, puede ser incorrecta
• verifique que el archivo de firma sea un verdadero archivo de texto ASCII. No debe empezar por EF BB BF ( Orden de bytes UTF-8
Mark) o FF FE ( UTF-16 LE BOM) por ejemplo.
40 Capítulo 12. Creación de una firma personalizada para PhotoRec

• verificar el nombre de archivo de su archivo de firma
12.4 Ejecutar PhotoRec
Ahora está listo para usar PhotoRec con su firma personalizada para recuperar sus archivos. Si hay un archivo de firma, PhotoRec lo usará de forma
predeterminada.
12.5 Recuperación de archivos mejorada
Para controlar todos los aspectos de la recuperación (verificación de contenido de archivo, control de tamaño de archivo, detección de pie de página ...), la mejor manera de agregar una firma, si
es un desarrollador, es modificar PhotoRec sí mismo.
El soporte comercial también está disponible del autor. [email protected] .
12.4. Ejecutar PhotoRec 41

42 Capítulo 12. Creación de una firma personalizada para PhotoRec

CAPÍTULO
TRECE
RECUPERACIÓN DE VIDEOS PERDIDOS DE UNA TARJETA DE MEMORIA USANDO
FOTOREC
Debido a la forma en que se graban los videos, todos los videos creados por alguna cámara digital (es decir, Canon 5D Mark III, fotos de Panasonic DMC-TZ80 en modo
ráfaga) se fragmentan en la tarjeta de memoria. El software de recuperación de datos, incluido PhotoRec, espera archivos no fragmentados.
Si todos los videos (.mov / .mp4) recuperados por PhotoRec son ilegibles, probablemente se encuentre en este caso. Tenga en cuenta que este capítulo no se refiere a copias o
archivos descargados, solo archivos escritos por alguna cámara digital, no por su computadora.
Al usar PhotoRec, en FileOpts, habilite
[X] mov / mdat Recuperar mdat atom como un archivo separado
y luego comience la recuperación.
Si ordena los archivos por nombre, debería ver que los nombres se alternan entre _ ftyp.mov y _ mdat.mov. Necesita concatenar cada archivo ftyp
con un archivo mdat:
• Si usa Windows, ejecute cmd para iniciar una terminal, use cd nombre_directorio para ir a donde están sus archivos y ejecutar
escriba file2_ftyp.mov file1_mdat.mov> test.mov
Si no tiene los permisos para escribir en el directorio, antes de usar el comando type, tome posesión de los directorios o ejecute cmd usando el botón derecho del
ratón ejecutar como administrador.
• En macOS y Linux, inicie una terminal / consola, use cd nombre_directorio para ir a donde están sus archivos y ejecutar
cat file2_ftyp.mov file1_mdat.mov> test.mov
Si no tiene los permisos para escribir en el directorio, antes de usar el gato comando, cambie los archivos y
propiedad de directorios usando chown -R nombre de usuario: nombre de grupo recup_dir. *
Juega el resultado test.mov archivo. Si funciona, debe hacer lo mismo con cada par de archivos.
Esta solución funciona solo para videos escritos en dos fragmentos. Los videos de GoPro HD2, Hero3-Black Edition, HERO4 Silver se almacenan en más de 2
fragmentos, por lo que se necesitan soluciones de software especiales para recuperar dichos videos. Este capítulo no se refiere a copias o archivos descargados,
solo archivos escritos por alguna cámara digital, no por su computadora.
Nota: Las fotos de Panasonic DMC-TZ80 en modo ráfaga se guardan como una película. Para extraer las fotos de esta película, los usuarios de macOS pueden importar
la película a Fotos y guardar cada fotograma como una sola foto fija.
43
44 Capítulo 13. Recuperación de videos perdidos de una tarjeta de memoria usando PhotoRec
CAPÍTULO
CATORCE
DESPUÉS DE USAR PHOTOREC
Por lo general, PhotoRec y QPhotoRec recuperan muchos archivos, pero sin los nombres de archivo originales, puede ser difícil localizar los archivos que le interesan.
14.1 Ordenar los archivos por extensión
14.1.1 Uso de un script de PowerShell en Windows
https://github.com/lconte/Copy-PhotoRecFilesbyExtension.ps1
14.1.2 Usando una secuencia de comandos de Python
Python viene preinstalado en macOS y la mayoría de las distribuciones de Linux. También se puede instalar en Windows. El programa Python sort-PhotorecRecoveredFiles
• ordena todos los archivos por extensiones de archivo en sus propias carpetas.
• limita el número de archivos / carpetas creando subcarpetas si se excede un número determinado. El número de archivo / carpeta se puede personalizar.
• Para todos los '”jpgs”': los coloca en sus propias carpetas por año (EXIF-Data). En un año, se crean carpetas para cada evento, por ejemplo, todas las fotos
tomadas en un fin de semana o vacaciones se ordenan en una carpeta.
14.2 Renombrar archivos usando exiftool
exiftool puede usar metadatos de varios formatos de archivo populares para cambiar el nombre de los archivos. Todas las distribuciones de Linux vienen con un paquete
para exiftool archivo: perl-Image-ExifTool para Red Hat, CentOS y Fedora) pero, por lo demás, está disponible para Windows, Linux y macOS desde https://www.sno.phy.queensu.ca/~phil/exiftool
exiftool -r -ext avi '-FileName <DateTimeOriginal' -d avi /% Y% m% d_% H% M% S %% - c. %% e avi / exiftool -r -ext doc '-FileName <CreateDate' -d doc /%
Y% m / %% f. %% e doc /
exiftool -r -ext jpg '-FileName <DateTimeOriginal' -d sorted_jpg /% Y% m% d /% Y% m% d_% H% M% S%
↪→ % -c. %% e jpg /
exiftool -r -ext mov '-FileName <CreateDate' -d mov /% Y% m% d_% H% M% S %% - c. %% e mov /
exiftool -r -ext mp3 '-FileName <mp3 / $ {artista;} - $ {Álbum;} - $ {Pista;} - $ {Título;}% - c.
↪→ % e 'mp3 / f * .mp3
exiftool -r -ext mp3 '-FileName <mp3 / $ {artista;} - $ {Álbum;} - $ {Título;}% - c.% e' -if
↪→ 'No definido $ Pista y $ Título y $ Título definidos ne ""' mp3 / f * .mp3
exiftool -r -ext mp3 '-FileName <mp3 / $ {artista;} - $ {Título;}% - c.% e' -if 'no definido
↪→ $ Pista y $ Álbum no definido y $ Título y $ Título definidos ne "" 'mp3 / f * .mp3
(continúa en la página siguiente)
45
(Continuación de la página anterior)
exiftool -r -ext mp3 '-FileName <mp3 / $ {artista;} - $ {Álbum;}% - c.% e' -if 'no definido
↪→ $ Pista y (no definido $ Título o $ Título eq "") 'mp3 / f * .mp3
exiftool -r -ext ogg '-FileName <ogg / $ {artista;} - $ {Álbum;} - $ {Pista;} - $ {Título;}% - c.
↪→ % e 'ogg / f * .ogg
exiftool -r -ext ogg '-FileName <ogg / $ {artista;} - $ {Álbum;} - $ {Título;}% - c.% e' -if
↪→ 'No definido $ Pista y $ Título y $ Título definidos ne ""' ogg / f * .ogg
exiftool -r -ext ogg '-FileName <ogg / $ {artista;} - $ {Título;}% - c.% e' -if 'no definido
↪→ $ Pista y $ Álbum no definido y $ Título y $ Título definidos ne "" 'ogg / f * .ogg exiftool -r -ext ogg' -FileName <ogg / $ {artista;} - $ {Álbum;}% - c .% e '-if'
no definido
↪→ $ Track y (no definido $ Title o $ Title eq "") 'ogg / f * .ogg
exiftool -r -ext m4p '-FileName <m4p / $ {Artista;} - $ {Álbum;} - $ {Título;}% - c.% e' m4p /
exiftool -r -ext mkv '-FileName <% f _ $ {Título;}% - c.% e' mkv /
exiftool -r -ext mp4 '-FileName <CreateDate' -d mp4 /% Y% m% d_% H% M% S %% - c. %% e mp4 / exiftool -r -ext ps '-FileName <% f_ $
{Título;}% - c.% E 'ps /
exiftool -r -ext rtf '-FileName <% f _ $ {Título;}% - c.% e' rtf /
exiftool -r -ext tif '-FileName <DateTimeOriginal' -d sorted_tif /% Y% m% d /% Y% m% d_% H% M% S%
↪→ % -c. %% e tif /
exiftool -r -ext ttf exiftool -r -ext wma '-FileName <ttf / $ {FontName;}% - c.% E' ttf /
'-FileName <wma / $ {AlbumArtist;} - $ {AlbumTitle;} - $ {TrackNumber;}
↪→ % -c.% e 'wma /
exiftool -r -ext jpg '-FileName <IMG _ $ {FileIndex}% - c.% e' recup_dir. *
14.3 Eliminación de archivos duplicados
Bajo Linux, fslint se puede utilizar para eliminar archivos duplicados
/ usr / share / fslint / fslint / findup -d jpg /
46 Capítulo 14. Después de usar PhotoRec

CAPÍTULO
QUINCE
ESTADO INTELIGENTE: SUPERVISIÓN DE LA SALUD DEL DISCO
El paquete smartmontools contiene dos programas de utilidad ( smartctl y inteligente) para controlar y monitorear los sistemas de almacenamiento utilizando el Sistema
de tecnología de autocontrol, análisis e informes (SMART) integrado en la mayoría de los discos ATA / SATA, SCSI / SAS y NVMe modernos. En muchos casos, estas
utilidades proporcionarán advertencias anticipadas sobre la degradación y falla del disco.
Este paquete se instala de forma predeterminada en la mayoría de las distribuciones de Linux. Para Windows y macOS, hay respectivamente un
setup.exe y un maldición Disponible de https://sourceforge.net/projects/smartmontools/ archivos / smartmontools /
sudo smartctl -a / dev / sda

=== INICIO DE LA SECCIÓN DE INFORMACIÓN === Familia de
modelos: Western Digital Green
Modelo de dispositivo: WDC WD20EZRX-00D8PB0
Número de serie: WD-WMC4M0875073
LU WWN Id. De dispositivo: 5 0014ee 058f9952c Versión de
firmware: 80.00A80
Capacidad de usuario: 2.000.398.934.016 bytes [2,00 TB]
Tamaños del sector: 512 bytes lógicos, 4096 bytes físicos
El dispositivo es: En la base de datos smartctl [para obtener detalles, utilice: -P show]
La versión ATA es: ACS-2 (revisión menor no indicada)
La versión SATA es: SATA 3.0, 6.0 Gb / s (actual: 6.0 Gb / s) La hora local es:
Lun 3 de octubre 13:16:17 2016 CEST
El soporte SMART está: Disponible: el dispositivo tiene capacidad SMART. El soporte SMART está: habilitado
=== INICIO DE LA SECCIÓN DE LEER DATOS INTELIGENTES ===

Resultado de la prueba SMART de autoevaluación de salud general: APROBADO
...
Número de revisión de la estructura de datos de los atributos SMART: 16 Atributos SMART
específicos del proveedor con umbrales: ID # ATTRIBUTE_NAME
BANDERA VALOR PEOR TIPO DE UMBRAL ACTUALIZADO CUANDO_
↪→ RAW_VALUE ERROR
5 Reallocated_Sector_Ct 0x0033 200 200 140 Pre-fallar siempre -
↪→ 0
Incluso si el estado de salud SMART es APROBADO, no significa que el disco esté bien. También debe marcar el atributo “Reallocated_Sector_Ct”.
Cuando el disco duro encuentra un error de lectura / escritura / verificación, marca ese sector como "reasignado" y transfiere los datos a un área reservada especial (área libre).
Este proceso también se conoce como reasignación, y los sectores reasignados se denominan "reasignaciones". El valor bruto normalmente representa un recuento de los
sectores defectuosos que se han encontrado y reasignado. Por lo tanto, cuanto mayor sea el valor del atributo, más sectores ha tenido que reasignar la unidad. Esto permite que
una unidad con sectores defectuosos continúe funcionando; sin embargo, una unidad que ha tenido alguna reasignación es significativamente más probable que falle en un futuro
próximo. Si bien se utiliza principalmente como una métrica de la esperanza de vida de la unidad, este número también afecta el rendimiento. A medida que aumenta el recuento
de sectores reasignados, la velocidad de lectura / escritura tiende a empeorar porque el cabezal de la unidad está
47
forzado a buscar en el área reservada cada vez que se accede a una reasignación. Si la velocidad de acceso secuencial es crítica, los sectores reasignados se pueden marcar
manualmente como bloques defectuosos en el sistema de archivos para evitar su uso.
Recomiendo reemplazar un disco duro cuando aparezcan los primeros sectores defectuosos.
48 Capítulo 15. Estado SMART: supervisión del estado del disco

CAPÍTULO
DIECISÉIS
DDRESCUE: RECUPERACIÓN DE DATOS DEL DISCO DAÑADO
Un sector defectuoso es un sector en la unidad de disco de una computadora que es inaccesible o no se puede escribir debido a daños permanentes, como daños físicos en la
superficie del disco. La memoria flash también puede tener "sectores defectuosos" (incluso si técnicamente no hay un sector en la memoria flash) debido a daños permanentes,
como transistores de memoria flash fallidos.
En lugar de trabajar directamente en el disco dañado, se recomienda crear una copia y trabajar en el clon. Dos posibilidades: crear una imagen de disco (un
archivo) o sobrescribir un disco nuevo / vacío.
ddrescue se puede encontrar para Linux o macOS. Si su computadora está usando otro sistema operativo, no hay problema, ¡cree un USB Live de Linux! (Ver Creando
un USB en vivo )
16.1 ddrescue en Linux
ddrescue está disponible en todas las distribuciones de Linux.
• CentOS: yum instalar ddrescue
• Debian / Ubuntu: apto instalar gddrescue
• Fedora: dnf instalar ddrescue
Utilizar lsblk o testdisk -lu para identificar todos los discos.
16.2 ddrescue en macOS
Para instalar ddrescue:
• Presione Comando + Espacio y escriba Terminal y presione la tecla Enter / Return.
• Ejecutar en la aplicación Terminal:
ruby -e "$ (curl -fsSL https://raw.githubusercontent.com/Homebrew/install/master/

↪→ Instalar en pc)"
brew instalar ddrescue
¡Hecho! Ahora puedes usar ddrescue. Utilizar lista de diskutil para obtener información sobre todos los discos disponibles y su partición.
49
16.3 DDRescue: imagen de disco a archivo
Es el método recomendado para fines forenses. Necesita suficiente espacio para almacenar el archivo: si desea crear un clon de un disco de 1TB, necesita al menos 1TB
libre en un sistema de archivos. Evite el sistema de archivos FAT para el destino, ya que están limitados a archivos de 4GB.
En el siguiente ejemplo, una imagen llamada sdb.dd se creará a partir del segundo disco / dev / sdb.
ddrescue / dev / sdb sdb.dd sdb.log
El archivo de registro sdb.log se puede utilizar para reiniciar la recuperación. Puede llevar de unas horas a varios días clonar un disco con muchos sectores defectuosos.
16.4 DDRescue: copia de disco a disco
El disco de destino debe ser al menos tan grande como el original. Tenga cuidado, dos discos de la misma capacidad anunciada de diferentes proveedores o, a
veces, de diferentes modelos del mismo proveedor pueden diferir ligeramente en tamaño (unos 100 MB).
Es decir. WD10EZRZ y WD10EZEX son dos modelos vendidos por Western Digital como modelo de 1TB, de hecho el primero es
1,000,000 MB, el segundo 1,000,204 MB.
Antes de comenzar, desconecte todos los discos, el dispositivo USB, el lector / grabador de CD / DVD no es necesario: hay menos posibilidades de sobrescribir el disco incorrecto.
ddrescue / dev / sdb / dev / sdc sdb.log
El archivo de registro sdb.log se puede utilizar para reiniciar la recuperación.
16.5 ddrutility: restricción de ddrescue al bloque de datos asignado NTFS
Cuando un disco contiene muchos sectores defectuosos, puede ser más seguro usarlo ddrutility para limitar la copia al bloque de datos asignado desde una partición NTFS.
testdisk -lu /home/kmaster/data/data_for_testdisk/ntfs.dd TestDisk 7.1-WIP, utilidad de recuperación de

datos, agosto de 2016 Christophe GRENIER < [email protected] >
http://www.cgsecurity.org
Por favor espera...
Disco / dev / sdb - 130 MB / 124 MiB - CHS 16255 63 (RO) Tamaño del sector: 512
Disco / dev / sdb - 130 MB / 124 MiB - CHS 16255 63 (RO)

Dividir comienzo Final Tamaño en sectores
1 * HPFS - NTFS 32 255487 255456 [NTFS]
NTFS, tamaño de bloque = 512
En este ejemplo, la primera partición NTFS comienza en el sector 32 y el tamaño del sector es de 512 bytes.
ddru_ntfsbitmap / dev / sdb -i $ ((32 * 512)) sdb1_domain ddrescue / dev / sdb sdb.dd sdb.log -m
sdb1_domain
50 Capítulo 16. DDRescue: recuperación de datos de un disco dañado

CAPÍTULO
DE DIECISIETE
CORRIDA CON ESCRITURA
TestDisk y PhotoRec pueden ejecutarse automáticamente usando sus propios comandos integrados. Un archivo de secuencia de comandos (como archivos por lotes .cmd o .bat en
MS-DOS / Windows, o algún shell en Linux) también puede resultar útil.
17.1 Automatización de la recuperación con TestDisk
Sintaxis:
testdisk [/ debug] [/ log] [/ logname file.log] / cmd [file.dd | file.e01 | device] cmd
17.1.1 Algunos ejemplos
testdisk / debug / log / cmd / dev / hda analizar, buscar

testdisk / debug / log / cmd partición.dd partición_none, geometría, H, 32, analizar, listar,
↪→ avanzado, arranque, reconstrucciones, lista
17.1.2 Selección de dispositivo
Utilice el nombre del dispositivo, por ejemplo, / dev / hda, / dev / hdb, / dev / sda.
Para la versión DOS, use / dev / sda128 para el primer disco, / dev / sda129 para el segundo y así sucesivamente. . . Puede que tenga que utilizar comillas simples, es decir, ' c: \
input dir \ image.dd ', si la ruta o el nombre del archivo contiene espacios. Para archivos Encase, puede usar
file.e ?? si tiene menos de 100 archivos, de lo contrario utilice expediente.???
17.1.3 Selección del tipo de partición
• partición_i386
• partición_gpt
• partición_humax
• partición_mac
• partición_una
• part_sun
• partición_xbox
• ask_type: se le pedirá al usuario el tipo de partición (nuevo en 6.9)
51
Si no se especifica ni se solicita ningún tipo de partición, TestDisk lo detectará automáticamente.
17.1.4 Menú principal
• avanzado
• analizar
• Eliminar
• geometría
• mbr_code
• opciones
• lista
17.1.5 Menú Analizar
• backup: guarda en el archivo backup.log la estructura de la partición actual
• número: seleccione una partición encontrada durante la búsqueda rápida o la búsqueda más profunda
• lista: lista del contenido de la partición seleccionada (la primera por defecto, nueva en 6.10)
• búsqueda: búsqueda más profunda de más particiones
• no confirmar, escribir
• escribir
17.1.6 Menú avanzado
• tipo
• addpart: agrega una entrada de partición (no se escribe en el disco)
• arranque: para las particiones FAT12 / FAT16, FAT32, exFAT y NTFS, vaya al menú específico
• copiar: copia de seguridad de la partición en el archivo image.dd (nuevo en 6.9)
• lista: lista el contenido de la partición (nuevo en 6.10)
• lista, recursiva: enumera el contenido de toda la partición (nuevo en 6.10)
• list, recursive, fullpathname: enumera el contenido de toda la partición con el nombre de ruta completo (nuevo en 6.11)
• lista, copia de archivo: lista y copia todos los archivos (nuevo en 7.1)
• superbloque: busque superbloques ext2 / ext3 o vaya al menú HFS + dependiendo de la partición
• recuperar: vaya al menú de recuperar (FAT12 / 16/32, NTFS, exFAT, ext2)
• número: el número de partición para seleccionar
52 Capítulo 17. Ejecución con script

Añadir partición
• PC Intel
- c, XX cilindro de arranque
- h, XX cabeza de partida
- s, XX sector de inicio
- C, cilindro final XX
- Cabeza final H, XX
- S, XX sector final
- T, tipo XX
• EFI GPT, Mac, XBoX
- s, XX sector de inicio
- s, XX sector final
- T, tipo XX
• Humax, sol
- c, XX cilindro de arranque
- C, cilindro final XX
- T, tipo XX
FAT12/FAT16 boot menu
• dump
• list (new in 6.9)
• list,recursive: list the contents of the whole partition (new in 6.10)
• list,recursive,fullpathname: list the contents of the whole partition with the whole path name (new in 6.11)
• rebuildbs
• repairfat
• initroot
FAT32 boot menu
• dump
• list (new in 6.9)
• list,recursive,fullpathname: list the contents of the whole partition with the whole path name (new in 6.11)
• rebuildbs
• repairfat
• originalfat
17.1. Automating recovery using TestDisk 53

TestDisk Documentation, Release 7.1
• backupfat
FAT rebuild menu
• list
• dump
• noconfirm,write
• write
exFAT boot menu
• dump
• originalexFAT
• backupexFAT
NTFS boot menu
• rebuildbs
• dump
• list
• list,recursive,fullpathname: list the contents of the whole partition with the complete path name (new in 6.11)
• originalntfs
• backupntfs
• repairmft
• noconfirm,backupntfs
• noconfirm,repairmft
NTFS undelete menu
• allundelete (new in 7.1): list and recover all deleted files. WARNING: stores them in current local directory.
NTFS rebuild menu
• list
• list,recursive,fullpathname: list the contents of the whole partition with the complete path name (new in 6.11)
• dump
• noconfirm,write
• write
54 Chapter 17. Scripted run

HFS+ superblock menu
• dump
• originalhfsp
• backuphfsp
17.1.7 Geometry menu
• C,number of cylinders
• H,number of heads
• S,number of sectors
• N,sector size
17.1.8 Options
• dump
• nodump
• align
• noalign
• expert
• noexpert
17.2 Automating recovery using PhotoRec
photorec [/debug] [/log] [/logname file.log][/d recup_dir] [/cmd <device> <command>]
General syntax:
• /debug: switch on debug mode
• /log: switch on logging (a log file named photorec.log will be created/appended to in the current working directory
• /logname file.log: log will be written to file.log instead of photorec.log
• /d recup_dir: specify directory to store the recovered files into. This should be on a device different from the one you are recovering from.
PhotoRec will add a numeric extension to the path specified, starting with “.1” - and increase this number as long as a directory with this
name already exists.
• /cmd: introduces the command section for scripted run
• <device>: the device (or image file) to recover from (Hint: use single-quote if the image file contains spaces)
• <command>: the command list (see below)
17.2. Automating recovery using PhotoRec 55

17.2.1 Some examples of data recovery using PhotoRec
Recover from the second IDE drives i386 partition the user selects
photorec /debug /log /cmd /dev/hdb partition_i386,select,search
Recover from the first IDE drives i386 partition #5, which is using ext2/ext3/ext4
photorec /debug /log /cmd /dev/hda partition_i386,options,mode_ext2,5,search
Recover from a given disk image file named disk.dmp which only has a single ext4 partition (or a part of it) Restore all file types known to PhotoRec
to / mnt/recover/disk.
photorec /debug /log /d /mnt/recover/disk /cmd disk.dmp options,mode_ext2, \

fileopt,everything,enable,search
The same without debug and log - but recover only *. gif and *. jpg
photorec /d /mnt/recover/disk /cmd disk.dmp options,mode_ext2,fileopt,everything,

↪→ disable, \
jpg,enable,gif,enable,search
Recover jpg from the freespace of the first partition
photorec /cmd /dev/hda fileopt,everything,disable,jpg,enable,freespace,search
Recover all files from freespace from each partition as detected by TestDisk
PARENT=`pwd`
DEVICE=/dev/sda
testdisk -l $DEVICE | tee testdisk.log | \
egrep "[[:digit:]][[:space:]][P,E,L,D,*][[:space:]].+([[:space:]]+[[:digit:]]+){3}"
↪→ |\
cut -f 2 -d\ |while read PARTITION
do
mkdir $PARTITION && cd $PARTITION &&
xterm -e photorec /log /debug /d ./ /cmd $DEVICE freespace,$PARTITION,search cd $PARENT
done
17.2.2 Command list
Below you find a list of available command options, grouped into categories. It is best to use them in the order they are mentioned here. These
options must be separated by a comma. Partition type selection and options from the main menu can be used directly.
17.2.3 PhotoRec - Partition type selection
• partition_i386
• partition_gpt
• partition_humax
• partition_mac
• partition_none

• partition_sun
• partition_xbox
• ask_type: the user will be asked for the partition type If no partition
type is specified, it is auto-detected.
17.2.4 PhotoRec - Main menu
• fileopt: change file types to recover
• inter: PhotoRec usage becomes interactive
• options
• number: the partition number to select
• blocksize: force the block size - followed by the block size in bytes.
• geometry
• wholespace / freespace : files will be recovered from the whole partition or only from the free space (new in
6.10)
• ext2_group: carve the group whose number is following (new in 6.10)
• ext2_inode: carve the group whose following inode belongs to (new in 6.10)
• search: start the recovery
17.2.5 PhotoRec - fileopt menu
• everything,enable: use the values by default (may be different than the saved values, new in 6.9)
• everything,disable: empty the list of file formats to locate (new in 6.9)
• jpg,enable: will search for jpg
• jpg,disable: will not search for jpg
You can use the same syntax for all file formats.
17.2.6 PhotoRec - Options menu
To use anything from the options menu, you must specify the keyword “options” first.
• expert
• keep_corrupted_file_no (new in 6.10)
• keep_corrupted_file
• paranoid_no / paranoid / paranoid_bf (new in 6.10)
• lowmem
• mode_ext2
17.2. Automating recovery using PhotoRec 57

17.3 Windows UAC
If you run TestDisk and PhotoRec, Windows User Account Control will ask “Do you want the following program from an unknown publisher to make
changed to this computer ?” (or something similar). As administrator rights are unneeded for disk images, you may want to avoid this UAC prompt
with the __ COMPAT_LAYER environment variable. Example:
set __COMPAT_LAYER=RunAsInvoker
photorec_win.exe /cmd image.dd search

CHAPTER
EIGHTEEN
TESTDISK AND PHOTOREC IN VARIOUS DIGITAL FORENSICS TEST

CASES
To learn to use TestDisk and PhotoRec, various test cases are available to practice in safe conditions.
18.1 DFTT: Undelete files from a FAT16 filesystem
Download the small FAT filesystem image archive and extract all the files. This test image is a 6MB FAT16 file system with six deleted files and two
deleted directories. The files range from single cluster files to multiple fragments.
To undelete all files manually,
• run testdisk 6-fat-undel.dd
• Choose Proceed.
• A non partitioned media is detected automatically, press Enter to confirm.
• Choose Undelete.
All files and directories are deleted, they are listed in red.
• Press ‘a’ to select all files.
The selected files and directories are now listed in green and prefixed by ‘*’ or ‘<’ for the current highlighted file.
• Press ‘C’ (uppercase) to copy all selected files and directories.
• Choose a destination to copy all the files: use the arrow keys (up, down, left, right) to navigate, you can also use the enter key to enter into a
directory.
• Press ‘C’ when the destination is correct. All files are

copied.
• Press ‘q’ to quit
• Choose [Quit] until you have exited all menus
The usual filenames for a FAT filesystem are composed of 8 chars for the name and 3 for the extension. When a file is deleted, the first character of
the filename is overwritten. TestDisk represents the lost char by a underscore _ (e.g.
_RAG1.DAT instead of FRAG1.DAT) If a long filename (> 8 characters) is present, it will be use instead. A benefit is that the whole filename can be
displayed (e.g. System Volume Information)
All files are recovered successfully except the 3 fragmented files. The size of these 3 files is correct but the content is wrong. When a file is deleted,
the linked list formed by the cluster numbers used by the file are marked as free in the FAT tables. TestDisk assumes there is no fragmentation but
it’s not the case here.
59
18.2 DFTT: Undelete files from a NTFS filesystem
Download the small NTFS filesystem image archive and extract all the files. This test image is a 6MB NTFS file system with eight deleted files, two
deleted directories, and a deleted alternate data stream. The files range from resident files, single cluster files, and multiple fragments. No data
structures were modified in this process to thwart recovery. They were created in Windows XP, deleted in XP, and imaged in Linux.
To undelete all files manually,
• run testdisk 7-ntfs-undel.dd
• Choose Proceed.
• A non partitioned media is detected automatically, press Enter to confirm.
• Choose Undelete.
TestDisk lists all lost files successfully. The alternate data stream is listed as ./ mult1.dat:ADS, alternate streams are not listed in Windows Explorer,
and their size is not included in the file’s size. Malware has used alternate data streams to hide code. As a result, malware scanners and other
special tools now check for alternate data streams. Forensics analyst should also search for them as they may be used to hide documents.
• Press ‘C’ (uppercase) to copy all selected files and directories.
• Choose a destination to copy all the files: use the arrow keys (up, down, left, right) to navigate, you can also use the enter key to enter into a
directory.
• Press ‘C’ when the destination is correct. All files are

copied.
• Press ‘q’ to quit
• Choose [Quit] until you have exited all menus
18.3 DFRWS 2006 Forensics Challenge
DFRWS 2006 Forensics Challenge is a data carving challenge. It’s possible to use PhotoRec to recover most files:
• run photorec dfrws-2006-challenge.raw
• Choose Proceed
• Go In Options menu
• Set “Paranoid : Yes (Brute force enabled)”
• Set “Keep corrupted files : Yes”
• Use “Quit” to return to the main menu
• Chose Search
• Confirm the filesystem type “[ Other ]”
• Use ‘C’ key to confirm the destination of the recovered files (current directory)
• Wait for the recovery to finish
• Quit
All these steps can also be automated in a single command:
60 Chapter 18. TestDisk and PhotoRec in various digital forensics test cases
photorec /log /d recup_dir /cmd dfrws-2006-challenge.raw options,paranoid_bf,keep_

↪→ corrupted_file,search
The file to analyze contained 32 files (not including the embedded files, such as pictures in Word documents or the files inside of ZIP files). The 32
files were used to create 22 different scenarios. Each scenario was designed to test a specific situation that might occur in a real file system.
Category 1 focused on HTML files with ASCII text:
• 1a) One HTML non-fragmented X
• 1b) One HTML fragmented with a JPEG in between
• 1c) One HTML fragmented with Unicode text in between
• 1d) Two HTML files that are intertwined
PhotoRec doesn’t recover fragmented HTML correctly.
Category 2 focused on Microsoft Office documents:
• 2a) One Word file, non-fragmented X
• 2b) One Word file, fragmented with 3 fragments and random data in between
• 2c) One Excel file fragmented with random data in between
• 2d) One Word file fragmented with a JPEG in between X
• 2e) One Word file fragmented with text in between
Category 3 focused on JPEG files:
• 3a) One JPEG non-fragmented X
• 3b) One JPEG non-fragmented, larger than a typical default max file size X
• 3c) One JPEG non-fragmented, but sector before it has 0xffd8 in the first two bytes X
• 3d) One JPEG fragmented with text in between X
• 3e) One JPEG fragmented with a Word document in between X
• 3f) One JPEG fragmented with random data in between X
• 3g) One JPEG fragmented with a JPEG in between X
• 3h) Two JPEGs that are intertwined
• 3i) One JPEG non-fragmented that is REALLY big X
• 3j) One JPEG fragmented with singe sector in between that starts with 0xffd9 X
PhotoRec has good results in the JPEG category.
Category 4 focused on ZIP files:
• 4a) One ZIP file, non-fragmented X
• 4b) One ZIP file fragmented with text in between X
• 4c) One ZIP file fragmented with random data in between
Filename Location Size md5

f0000000.html 0-8 4608
1a f0000009_Alice_in_Wonderland_[. . . ].html 9-44 18147 X
Continued on next page
18.3. DFRWS 2006 Forensics Challenge 61

Table 1 – continued from previous page

2c b0002051.doc 2051-3867 4429-4435 4557-7963 . . . 4428800 X
3a f0003868.jpg 3868-4428 287186 X
1d f0004436_A_STUDY_IN_SCARLET_1.1.html 4436-4455 10240 X
1d f0004456_1_Stave_1_Marley_s_Ghost.html 4456-4501 23544 X
1d f0004502.html 4502-4556 27875 fragment
2d f0007964_National_Park_Service.doc 7964-8284 9474-10031 450048 X
2d f0008285.jpg 8285-9473 608703 X
3d f0011619.jpg 11619-11822 11849-12017 190720 X
3d f0011823.txt 11823-11848 12828 (+2) X
3b f0012222.jpg 12222-26116 7113968 X
1b f0027496_Comedy_of_Errors_Entire_Play.html 27496-27606 56832 X
1b f0027607.jpg 27607-27977 189534 X
1b f0027978.html 27978-28196 111693 fragment
1c f0028244_Chapter_cxxxiv_-_THE_CHASE_[. . . ].html 28244-28306 (X) f0028307.html 31850 X
1c 28307-28344 18995 fragment
4a f0028439_4n6rodeo3-fix_copy.zip 28439-28726 147150 X
4b f0028729_file1.zip 28729-29528 29896-31368 1163745 X
4b f0029529_The_Tempest_Entire_Play.html 29529-29895 187793 (-2) X
3h b0031475.jpg 31475-31532 29696 X
3h b0031533.jpg 31533-31887 181760 X
2a f0032837_Fact_Sheet_-_Permitted_and_[. . . ].doc 32837-33397 287232 X
2e b0034288.doc 34288-34398 34413-36291 36641-36997 1201664 X
2e f0034399.txt 34399-34412 6781 fragment
3c f0036292.jpg 36292-36640 178659 X
2b b0036998.doc 36998-40637 41220-41238 41610 . . . 3133440 X
3f f0040638.jpg 40638-41219 41239-41609 487473 X
3g f0041611.jpg 41611-43433 44029-44200 1021085 X
3g f0043434.jpg 43434-44028 304413 X
3e f0045566.jpg 45566-45963 46104-46826 573499 X
3e f0045964_Statements_of_Financial_Condition.doc 45964-46103 71680 X
3i f0046910.jpg 46910-94836 24538540 X
3j f0094846.jpg 94846-95628 95630-96653 924877 X
18.4 Forensics: write blockers
The content of a disk may be modified by simply connecting it to a computer:
• LVM driver will sync two RAID1-like volumes if they are out of sync
• Linux Raid and fake Raid will also resync the disks if they are out of sync
• Auto-mounting of the filesystem will modify the last-mount date and the mount count
• ext3 and ext4 will replay the journal if the filesystem is dirty.
• The NTFS file system may attempt to commit or rollback unfinished transactions, and/or change flags on the volume to mark it as “in use”.
• The operating system will update the access time for any file accessed
• Windows may create hidden folders for the recycle bin or saved hardware configuration
• Virus infections or malware on the system used for analysis may attempt to infect the disk being inspected.
62 Chapter 18. TestDisk and PhotoRec in various digital forensics test cases
• Auto-indexation of the files may creates new files on the disk
Forensic disk controllers or hardware write-blockers are most commonly associated with the process of creating a disk image, or acquisition, during
forensic analysis. Their use is to prevent inadvertent modification of evidence. Protecting an evidence drive fromwrites during investigation is also
important to counter potential allegations that the contents of the drive were altered during the investigation. Of course, this can be alleged anyway,
but in the absence of technology to protect a drive from writes, there is no way for such an allegation to be refuted.
A hardware write-blocker prevents modifications from the computer but it doesn’t prevent a disk frommodifying itself (i.e. SMART status updates in
service area each time the device is powered-on.). It remains the best solution to prevent accidental modifications.
Without a hardware write blocker, it’s still possible to reduce the risks of accidental modifications. Using a Linux computer without graphical
interface and without auto-mounting may be considered a good enough solution.
Under Linux, blockdev or hdparm can be used to switch a disk to read-only:
blockdev --setro /dev/sdb

hdparm -r1 /dev/sdb
In practice, it doesn’t work! TestDisk will open these devices in read-write. Loopback device is
a safer alternative:
losetup -r /dev/loop0 /dev/sdb testdisk /dev/loop0
This way TestDisk is forced to open the device in read-only.
Loopback can also be used to mount a filesystem in read-only: .. code-block:: none
losetup -r /dev/loop0 /dev/sdb partprobe /dev/loop0 mkdir /mnt/p1 mount -o ro /dev/loop0p1 /mnt/p1
18.4. Forensics: write blockers 63

Testdisk en Es

Cargado por

Copyright:

Formatos disponibles

Testdisk en Es

Cargado por

Información del documento

Descripción original:

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Testdisk en Es

Cargado por

Copyright:

Formatos disponibles

Documentación de TestDisk

3 Construyendo desde la fuente 7

4 Creación de un USB en vivo 11

5 Almacenamiento: ¿puedo repararlo o recuperar datos? 6 Iniciar las 13

6.5 Ejecutando QPhotoRec bajo Linux Wayland . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . dieciséis

6.6 Ejecución de TestDisk, PhotoRec en macOS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . dieciséis

6,7 Ejecutando Fidentify en Windows . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . dieciséis

6,8 Ejecutando Fidentify en Linux o macOS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17

7 Reparación del sistema de archivos 19

8 Recuperación de archivos eliminados usando TestDisk 25

9 Recuperar la partición eliminada usando TestDisk 29

10 Cómo hacer que el sistema vuelva a arrancar 33

11 Recuperación de archivos eliminados con PhotoRec 35

12 Creación de una firma personalizada para PhotoRec 39

13 Recuperación de videos perdidos de una tarjeta de memoria usando PhotoRec 14 Después de 43

15 Estado SMART: supervisión del estado del disco 47

16 DDRescue: recuperación de datos de un disco dañado 49

17 Ejecución con guión 51

18 TestDisk y PhotoRec en varios casos de prueba forense digital 59

• ejecutar el programa como desee, para cualquier propósito,

• redistribuir copias para que pueda ayudar a su vecino,

• DOS (x86 de 32 bits)

• Microsoft Windows (x86 de 32 bits o x64 de 64 bits)

• Linux (x86 de 32 bits o x64 de 64 bits)

• macOS / Mac OS X (PowerPC o Intel) / OS X

• Marvell 88F628x Linux

TestDisk y PhotoRec también se pueden compilar para otras plataformas, en particular

1.1 TestDisk - Recuperación de particiones

TestDisk reconoce las siguientes particiones de disco:

• Mapa de particiones de Apple

• Tabla de particiones GUID

• Tabla de particiones de PC / Intel (registro de arranque maestro)

• Rebanada de Sun Solaris

• Esquema de particionamiento fijo de Xbox

También maneja medios no particionados. TestDisk

• recuperar la partición eliminada

• reconstruir tabla de particiones

• reescribir el registro de arranque maestro (MBR)

estos sistemas de archivos:

• Sea un sistema de archivos (BeOS)

• Etiqueta de disco BSD (FreeBSD / OpenBSD / NetBSD)

• Cramfs, sistema de archivos comprimidos

• DOS / Windows FAT12, FAT16 y FAT32

• HFS, HFS + y HFSX, sistema de archivos jerárquico

• IBM Journaled File System 2 (JFS2)

• Linux ext2, ext3 y ext4

- RAID 4: matriz seccionada con dispositivo de paridad

- RAID 5: matriz seccionada con información de paridad distribuida

- RAID 6: matriz seccionada con información de redundancia dual distribuida

• Linux Swap (versiones 1 y 2)

• LVM y LVM2, Administrador de volumen lógico de Linux

• Servicios de almacenamiento de Novell (NSS)

• Sistema de archivos de nueva tecnología de Windows (NTFS)

• ReiserFS 3.5, 3.6 y 4

• Etiqueta de disco Sun Solaris i386

• Sistema de archivos Unix UFS y UFS2 (Sun / BSD /...)

• XFS, el sistema de archivos con registro de SGI

1.2 TestDisk - Reparación del sistema de archivos