Antes de empezar, ya se sabe que...
Pero esto viene de lejos, ya en los años 80 este era uno de los problemas mas importantes que presentaba la informática, pues a fin de cuentas, uno de los pilares de la informática es el manejo de la información, y si veis el final de la primera pantalla del famoso juego
"Comando" no os será difícil entender de que va el asunto... Bien, vamos al grano...
_____________________________________________________________________________________________________________________________________________________________________________________________________________________
Estos días he estado un poco estresado, la verdad es que he tenido bastante trabajo, y uno de ellos, ha sido destacable.
Acudió a mi tienda un cliente con dos discos duros WD 1TB Azul (Blue para retards). Los discos estaban montados en una caja DLINK DNS-320L en Raid 1 (Espejo) y contenían una gran cantidad de datos empresariales que era necesario rescatar.
La verdad es que el trabajo se presentaba bastante complicado, instalé los paquetes mdadm y lvm2 , y con una sencilla instrucción que había aprendido a base de investigar en Google, conseguí montar el RAID1 del cliente.
Una vez montado el RAID accedí al nuevo volumen y este no presentaba datos, de cara a intentar hacerme una idea de cual era el problema decidí utilizar una versión de prueba de un conocido programa de recuperación de datos, y una vez escaneado el volúmen... Voalá!! allí estaba toda estructura de archivos, carpetas, etc... Una sonrisa se esbozó en mi cara, de una forma fácil iba conseguir el sustancioso premio prometido por el cliente pero.... Pero no podía ser tan fácil...
Resulta, que la estructura de archivos presentaba infinidad de carpetas y nombres de archivos, pero todos ellos tenían un valor de 0 bytes.
Vaya... Mi gozo en un pozo... El sustancioso premio parecía volatilizarse por momentos....
Entonces pensé que quizás podía conseguir algo mas tratando de recuperar los datos desde la terminal, ello no solo se convirtió en un intento, sino en toda una clase en lo que a recuperación de datos se refiere...
Primero ejecuté la orden "lsblk" la cual me sirvió para hacerme una idea de las diferentes particiones que presentaban los discos.
Una vez conocida la estructura de los discos, me pasó por la cabeza la idea de que si el programa me presentaba una estructura de carpetas con valor 0 bytes en todas ellas, y esta estructura se obtenía al analizar la partición sdc4 pero no al analizar la partición sdb4 uno de los dos discos funcionaba correctamente y el otro no, y efectivamente tras un análisis físico de los discos uno de ellos presentaba un sector defectuoso.
Al ser un RAID1 los dos discos funcionaban como espejo, y por lo tanto de forma individual debían funcionar, con lo cual seleccioné el disco que no presentaba fallo físico y me dispuse a tratar de recuperar los datos mediante las diferentes herramientas que presenta el S.O Linux.
Pero antes de continuar vamos a hablar un poco de los moscones...
Los moscones son todo ese elenco de ignorantes egocéntricos que creen saber mucho y no tienen ni puta idea.
Durante los días que dediqué a tratar de recuperar los datos de estos discos, aparecieron por la tienda como por arte de magia toda una serie de listillos que mediante insinuaciones trataban de darme "pistas" de cual era el camino a seguir; He de decir, que yo acepto la ayuda ajena siempre de buen grado, pero obviamente esa ayuda ha de provenir de gente que sepa de verdad, no de listillos que en fondo no tienen ni pajotera idea de informática, por mucho que traten de ponerse la mascara del conocimiento.
¿Cómo funciona una recuperación de datos?
Hay diferentes métodos, primero pondré uno que me resulta de lo mas curioso, que es la búsqueda de archivos conocidos, me resultó curioso ver una película llamada "Autodestrucción" en la cual podemos ver claras alusiones a la estructura de un RAID, archivos perdidos, desordenados etc... La escena de la apertura de la maleta y el personaje sosteniendo un arma al estilo "Stargate" también me resultó curiosa...
El método es curioso, pues a través de la búsqueda de patrones conocidos de archivos, por ejemplo la firma, identifica el principio y el final del archivo y por decirlo de alguna manera, lo recompone; Casi todos los tipos de archivos tienen una firma de archivo, por ejemplo todos los archivos del tipo de archivo PNG (Portable Network Graphic , por sus siglas en inglés) comienzan con la cadena "†° PNG" y muchos archivos MP3 (MPEG-1 Audio Layer 3) comienzan con la cadena "ID3". Estas firmas de archivos se pueden utilizar para reconocer que un dato del disco pertenece a un determinado tipo de archivo y, por tanto, se puede recuperar.
Ahora bien, este método no me servía porque el objetivo mas importante de esta recuperación de datos era conseguir recuperar la copia de seguridad del programa de facturación del cliente, y al no ser este un tipo de archivo común, me veía ante el problema de desconocer la firma de archivo a partir de la cual tirar de la cuerda....
El método hexadecimal.
Para este método podemos usar un visor hexadecimal, el cual nos permitirá el análisis a bajo nivel de datos de almacenamientos (incluidas unidades físicas, imágenes de disco, discos virtuales, almacenamientos complejos ensamblados), particiones y archivos en una representación hexadecimal. ( toma copia pega...)
Con esta herramienta podemos ver el contenido hexadecimal de los archivos, como no me apetece mucho escribir, os pondré un video, uno de esos pocos vídeos que uno puede ver en Youtube que realmente aportan algo, digamos un Antónimo de los soplapollas Youtubers a los que ya estamos acostumbrados...
Agradecer y felicitar al autor, porque realmente no solo es útil sino que es fácil de entender.
El análisis de información sobre archivos y carpetas.
El Superbloque contiene la información mas relevante y describe el sistema de ficheros que estructura y organiza la escritura, búsqueda, lectura, almacenamiento, edición y eliminación de archivos de una manera concreta, en este caso el sistema de archivos es Ext4; Del sistema de ficheros contenido en el Superbloque el sistema realiza una copia de seguridad en determinados bloques del sistema de archivos.
Aquí es importante conocer el comando "mke2fs" que sirve para crear sistemas de archivos ext2/ext3/ext4 , hay un manual donde quien esté interesado puede encontrar una fantástica descripción de las múltiples opciones de este comando, usaremos la opción "-n" que tal y como dice el manual,
"Hace que mke2fs en realidad no cree un sistema de archivos, pero muestra lo que haría si sería crear un sistema de archivos. Esto se puede utilizar para determinar la ubicación del superbloques de respaldo para un sistema de archivos en particular, siempre que los parámetros mke2fs que se aprobaron cuando se creó originalmente el sistema de archivos se utilizan nuevamente."
En este caso mediante la orden "mke2fs -n dev/sdc4" podemos saber las copias del Superbloque.
Hay otro comando muy interesante, el comando "e2fsck"º que nos permite reparar el sistema de archivos, este podemos utilizarlo sin indicar la copia del Superbloque o indicando la misma una vez hemos ejecutado la instrucción mke2fs
Indicando la posición del Superbloque obtenida con el comando mker2fs sería "e2fsck -b 32768 /dev/sdc4"
No indicando dicha posición sería "e2fsck -p -v -y /dev/sdc4"
Continuará...
Pero esto viene de lejos, ya en los años 80 este era uno de los problemas mas importantes que presentaba la informática, pues a fin de cuentas, uno de los pilares de la informática es el manejo de la información, y si veis el final de la primera pantalla del famoso juego
"Comando" no os será difícil entender de que va el asunto... Bien, vamos al grano...
_____________________________________________________________________________________________________________________________________________________________________________________________________________________
Estos días he estado un poco estresado, la verdad es que he tenido bastante trabajo, y uno de ellos, ha sido destacable.
Acudió a mi tienda un cliente con dos discos duros WD 1TB Azul (Blue para retards). Los discos estaban montados en una caja DLINK DNS-320L en Raid 1 (Espejo) y contenían una gran cantidad de datos empresariales que era necesario rescatar.
La verdad es que el trabajo se presentaba bastante complicado, instalé los paquetes mdadm y lvm2 , y con una sencilla instrucción que había aprendido a base de investigar en Google, conseguí montar el RAID1 del cliente.
Una vez montado el RAID accedí al nuevo volumen y este no presentaba datos, de cara a intentar hacerme una idea de cual era el problema decidí utilizar una versión de prueba de un conocido programa de recuperación de datos, y una vez escaneado el volúmen... Voalá!! allí estaba toda estructura de archivos, carpetas, etc... Una sonrisa se esbozó en mi cara, de una forma fácil iba conseguir el sustancioso premio prometido por el cliente pero.... Pero no podía ser tan fácil...
Resulta, que la estructura de archivos presentaba infinidad de carpetas y nombres de archivos, pero todos ellos tenían un valor de 0 bytes.
Vaya... Mi gozo en un pozo... El sustancioso premio parecía volatilizarse por momentos....
Entonces pensé que quizás podía conseguir algo mas tratando de recuperar los datos desde la terminal, ello no solo se convirtió en un intento, sino en toda una clase en lo que a recuperación de datos se refiere...
Primero ejecuté la orden "lsblk" la cual me sirvió para hacerme una idea de las diferentes particiones que presentaban los discos.
Una vez conocida la estructura de los discos, me pasó por la cabeza la idea de que si el programa me presentaba una estructura de carpetas con valor 0 bytes en todas ellas, y esta estructura se obtenía al analizar la partición sdc4 pero no al analizar la partición sdb4 uno de los dos discos funcionaba correctamente y el otro no, y efectivamente tras un análisis físico de los discos uno de ellos presentaba un sector defectuoso.
Al ser un RAID1 los dos discos funcionaban como espejo, y por lo tanto de forma individual debían funcionar, con lo cual seleccioné el disco que no presentaba fallo físico y me dispuse a tratar de recuperar los datos mediante las diferentes herramientas que presenta el S.O Linux.
Pero antes de continuar vamos a hablar un poco de los moscones...
Los moscones son todo ese elenco de ignorantes egocéntricos que creen saber mucho y no tienen ni puta idea.
Durante los días que dediqué a tratar de recuperar los datos de estos discos, aparecieron por la tienda como por arte de magia toda una serie de listillos que mediante insinuaciones trataban de darme "pistas" de cual era el camino a seguir; He de decir, que yo acepto la ayuda ajena siempre de buen grado, pero obviamente esa ayuda ha de provenir de gente que sepa de verdad, no de listillos que en fondo no tienen ni pajotera idea de informática, por mucho que traten de ponerse la mascara del conocimiento.
¿Cómo funciona una recuperación de datos?
Hay diferentes métodos, primero pondré uno que me resulta de lo mas curioso, que es la búsqueda de archivos conocidos, me resultó curioso ver una película llamada "Autodestrucción" en la cual podemos ver claras alusiones a la estructura de un RAID, archivos perdidos, desordenados etc... La escena de la apertura de la maleta y el personaje sosteniendo un arma al estilo "Stargate" también me resultó curiosa...
El método es curioso, pues a través de la búsqueda de patrones conocidos de archivos, por ejemplo la firma, identifica el principio y el final del archivo y por decirlo de alguna manera, lo recompone; Casi todos los tipos de archivos tienen una firma de archivo, por ejemplo todos los archivos del tipo de archivo PNG (Portable Network Graphic , por sus siglas en inglés) comienzan con la cadena "†° PNG" y muchos archivos MP3 (MPEG-1 Audio Layer 3) comienzan con la cadena "ID3". Estas firmas de archivos se pueden utilizar para reconocer que un dato del disco pertenece a un determinado tipo de archivo y, por tanto, se puede recuperar.
Ahora bien, este método no me servía porque el objetivo mas importante de esta recuperación de datos era conseguir recuperar la copia de seguridad del programa de facturación del cliente, y al no ser este un tipo de archivo común, me veía ante el problema de desconocer la firma de archivo a partir de la cual tirar de la cuerda....
El método hexadecimal.
Para este método podemos usar un visor hexadecimal, el cual nos permitirá el análisis a bajo nivel de datos de almacenamientos (incluidas unidades físicas, imágenes de disco, discos virtuales, almacenamientos complejos ensamblados), particiones y archivos en una representación hexadecimal. ( toma copia pega...)
Con esta herramienta podemos ver el contenido hexadecimal de los archivos, como no me apetece mucho escribir, os pondré un video, uno de esos pocos vídeos que uno puede ver en Youtube que realmente aportan algo, digamos un Antónimo de los soplapollas Youtubers a los que ya estamos acostumbrados...
Agradecer y felicitar al autor, porque realmente no solo es útil sino que es fácil de entender.
El análisis de información sobre archivos y carpetas.
El Superbloque contiene la información mas relevante y describe el sistema de ficheros que estructura y organiza la escritura, búsqueda, lectura, almacenamiento, edición y eliminación de archivos de una manera concreta, en este caso el sistema de archivos es Ext4; Del sistema de ficheros contenido en el Superbloque el sistema realiza una copia de seguridad en determinados bloques del sistema de archivos.
Aquí es importante conocer el comando "mke2fs" que sirve para crear sistemas de archivos ext2/ext3/ext4 , hay un manual donde quien esté interesado puede encontrar una fantástica descripción de las múltiples opciones de este comando, usaremos la opción "-n" que tal y como dice el manual,
"Hace que mke2fs en realidad no cree un sistema de archivos, pero muestra lo que haría si sería crear un sistema de archivos. Esto se puede utilizar para determinar la ubicación del superbloques de respaldo para un sistema de archivos en particular, siempre que los parámetros mke2fs que se aprobaron cuando se creó originalmente el sistema de archivos se utilizan nuevamente."
En este caso mediante la orden "mke2fs -n dev/sdc4" podemos saber las copias del Superbloque.
Hay otro comando muy interesante, el comando "e2fsck"º que nos permite reparar el sistema de archivos, este podemos utilizarlo sin indicar la copia del Superbloque o indicando la misma una vez hemos ejecutado la instrucción mke2fs
Indicando la posición del Superbloque obtenida con el comando mker2fs sería "e2fsck -b 32768 /dev/sdc4"
No indicando dicha posición sería "e2fsck -p -v -y /dev/sdc4"
Continuará...
