junto con su nombre, fecha de creación, etc. El software empieza por tratar de leer
y procesar la primera copia de la información sobre los archivos y carpetas
(metadatos). En algunos casos (como el borrado accidental de archivos), este es el
único método que el software debe realizar con el fin de recuperar los archivos en
su totalidad. Si la primera copia de la información sobre los archivos y carpetas
está muy dañado, el software escanea el disco para la segunda copia de la
información sobre los archivos y carpetas.
Dependiendo del estado de dichas tablas de información, el programa de
recuperación podrá regenerar todo el árbol de directorios, parte o en el peor de los
casos nada. Por eso muchas veces, a la hora de recuperar archivos con este método
se pueden ver ciertos ficheros y carpetas huérfanas.
B) Recuperación de archivos mediante la búsqueda de los tipos de archivos
conocidos (Recuperación de archivos en bruto).
Si el primer método no produce resultados satisfactorios, una búsqueda de
archivos en bruto se suele llevar a cabo. Este segundo método de recuperación de
datos puede recuperar datos de archivos con mayor éxito que el primer, pero no
puede reconstruir los nombres de archivo originales, fechas y demás.
Una búsqueda de los tipos de archivos conocidos, o la recuperación de archivos en
bruto, funciona analizando el contenido del disco mediante “firmas de archivo”.
Patrones comunes que identifican el principio y/o final de un archivo.
Por ejemplo, todos los archivos de imagen png (Portable Network Graphics)
comienzan con la cabecera (cadena de texto) “‰ PNG”. Estas firmas se utilizan
para reconocer que una porción de datos en el disco pertenece a un determinado
tipo de archivo y por lo tanto se puede recuperar. Aunque sin conocer su nombre,
fecha de creación, permisos, etc.
Pero no todo es de color de rosas, se da el caso de que algunos tipos de archivos
tienen una “cabecera” que les puede identificar, pero no tienen un “final” definido.
Tampoco todas las cabeceras son reconocidas por todos las herramientas de
recuperación de discos. En casos de software no muy extendido, los peritos
forenses deben manualmente identificar dichos patrones manualmente para poder
extraer determinados ficheros del sistema.
Resumiendo, si el software de recuperación de datos puede identificar el
“principio” y “final” (firma) del archivo, este puede ser fácilmente identificado y
recuperado. Para los archivos que no tienen un “fin” de firma de archivo, se
presupone que los datos de un archivo terminan al comienzo del siguiente. Para los
archivos sin firma, como contenedores de discos cifrados, una búsqueda en bruto
no será capaz de verlos, dejando solo la opción de intentarlo manualmente con un
editor hexadecimal.
Lógicamente si a esto se le suma que los ficheros pueden estar fragmentados en el
disco,.. la dificultad de recuperarlo crece exponencialmente. Además, los archivos