Marcar archivos eliminados como no eliminados

11

La capacidad de mi disco duro es de 500 GiB. 150 GB de datos se eliminaron accidentalmente. No escribí ningún byte en la unidad después de ese incidente, por lo que se garantiza que mis datos estarán allí. He probado aplicaciones como Recuva, todas las aplicaciones muestran que los datos están allí y me permiten guardar los datos en una ubicación diferente, pero el problema es que no quiero hacerlo.

Solo quiero que los archivos vuelvan a marcarse como no eliminados en la MFT. ¿Hay alguna aplicación disponible para este propósito? Busqué mucho pero no encontré nada, ¿es posible desmarcar archivos como eliminados en el MFT o me falta algo? Podría escribir una aplicación para esto si supiera cómo hacerlo manualmente.

Elmo
fuente
2
En realidad, en los viejos tiempos de DOS, undeletee unerasehice exactamente eso, pero los programas de Windows tienden a copiar archivos. No creo haber visto ninguno que literalmente elimine archivos. I didn't write any byte to the drive after that incident, so my data is guaranteed to be there.Tal vez, pero eso no significa que sean recuperables; cualquier archivo que esté fragmentado probablemente solo le permitirá recuperar el primer fragmento del archivo.
Synetech
AFAIK, normalmente la entrada para la carpeta / archivo se elimina de MFT cuando elimina un archivo. Puede que no sea tan simple como encender o apagar un poco.
Ganesh R.
@GaneshR. Eso es lo que quiero hacer, quiero volver a agregar la entrada en el MFT, ¿no es esto posible? Los datos ya están allí en el disco duro, solo necesita registrarse en el sistema de archivos.
Elmo
Recuva me muestra el nombre del archivo y la carpeta en la que se encontraba el archivo.
Elmo
1
Puede intentar solicitar a los desarrolladores de algunas herramientas de recuperación de datos que agreguen esta opción. Aquí están los foros de retroalimentación para un par de los más populares: Recuva , Photorec
Synetech

Respuestas:

5

Recuperar archivos en un volumen NTFS no es tan simple como voltear un bit. Es cierto que la diferencia entre un archivo eliminado y no eliminado es solo un bit en la MFT, pero también es necesario recuperar el contenido del archivo, que se almacena como secuencias, así como volver a marcar los sectores eliminados como se usa en el pseudoarchivo $ Bitmap que contiene un bit por sector, cada bit indica si se utiliza su clúster correspondiente (asignado) o si está libre (disponible para asignación).

La complejidad del trabajo es tal que todas las herramientas de recuperación prefieren no escribir en el volumen dañado. Por ejemplo, marcar un sector en $ Bitmap como se usa puede causar encadenamiento cruzado si ese sector ya fue utilizado por otro archivo.

Este artículo demostró el problema muy bien con los volcados hexadecimales:
Serie de 'Recuperación de archivos' de Windows: Parte 5 Recuperar manualmente un archivo eliminado de un sistema de archivos NTFS .

Otro artículo incluso contiene el código fuente de un programa que podría modificarse para desplegar el bit "eliminado": Recuperar un archivo en NTFS .

Hay bastantes editores de disco NTFS que pueden editar la MFT para voltear ese bit. Algunos de los que encontré a través de Google (pero por suerte nunca tuve que usar) son:
WinHex
NTFS Data Recovery Toolkit
DMDE
Freeware Active Disk Editor

Una posible solución que incluso podría funcionar sería deshacer el bit eliminado en la MFT, luego usar la utilidad chkdsk para intentar recuperar el contenido. Esta utilidad puede recuperar las cadenas de sectores de archivos cuyos sectores se marcaron erróneamente como disponibles para la reasignación y reparará $ Bitmap.

Sin embargo, siempre existe la posibilidad de que este procedimiento pueda destruir su disco.

Es por eso que usted y todos los comentaristas anteriores (incluido yo mismo) no han encontrado ningún producto que recupere en el lugar. Las posibilidades de arruinar su disco son simplemente demasiado para cualquiera que no sea un empleado de Microsoft trabajando en NTFS.

Mi mejor recomendación para usted es obtener un segundo disco duro y recuperar los archivos que contiene. Creo que ha descubierto que un disco de respaldo no es suficiente. Ya he tenido varios casos de amigos pidiéndome que recupere su única copia de seguridad, y siempre les aconsejo (a veces demasiado tarde) que tengan dos discos de copia de seguridad.

Además, al menos uno de los dos discos de respaldo debe estar desconectado de la computadora. Aconsejo esto después de enterarse de un caso en el que una computadora se ha dañado y cada dispositivo USB conectado, dejando al propietario sin datos ni respaldo en un solo golpe.

harrymc
fuente
2

Como dije ayer , siempre puedes intentar hacerlo manualmente con un editor de disco / hexadecimal si solo hay unos pocos archivos para recuperar, pero ciertamente no lo recomendaría.

Después de varios minutos de investigación y pruebas, finalmente logré marcar un archivo como no eliminado en el $MFT, pero el problema es que no es suficiente, también debe marcar los clústeres que usa en uso en el $BITMAP. Esta tarea resultó demasiado difícil y demasiado trabajo para encontrar y hacerlo, finalmente me di por vencido. Pensé en ejecutar chkdsk /fpara ver si detectaría la discrepancia y marcaría los clústeres correctamente, pero me pareció demasiado arriesgado porque la partición NTFS en la que probé tenía algunos otros archivos que no quería perder.

(Además, tenga en cuenta que, a diferencia de FAT *, NTFS almacena la cadena de clúster para un archivo en el archivo $MFT, eso no garantiza que tendrá acceso a toda la cadena de clúster en el momento de la recuperación, por lo que un archivo fragmentado podría terminar siendo irrecuperable . Incluso si usted no escribió nada a la unidad tras el borrado accidental, no quiere decir que Windows no lo hizo. Por ejemplo, puede haber escrito a \System Volume Information, especialmente si el instantáneas de servicio / Versiones anteriores está funcionando.)

Obviamente, la recuperación manual no es realmente una solución, ni una respuesta a su pregunta, razón por la cual la publiqué solo como un comentario. Lamentablemente, toda la búsqueda que he hecho ha quedado vacía y la respuesta breve a su pregunta es: no, no hay programas públicos que simplemente puedan marcar un archivo como no eliminado en un volumen NTFS .

(Existen programas forenses, costosos, que pueden hacer cosas sofisticadas con unidades y recuperar archivos y presentar datos sin procesar a través de un filtro para mostrar estructuras y demás, pero incluso esos no van a ser de ayuda porque específicamente hacen un punto de no modificando la unidad original.)

Synetech
fuente