Análisis forense

Entre 400 euros y 1500 euros

Hola secuaces:

Nunca se me ha dado bien poner títulos. Pero seguro que en esta ocasión he logrado captar tu atención, ¿Verdad?

No tenía previsto escribir esta entrada, pero hay cosas que me superan. Hay situaciones con las que no puedo.

Un día, hablando con uno de los padres con los que suelo coincidir al acudir al colegio, me comentó que tenía un disco duro de 1 Tera que, de la noche a la mañana, se le había estropeado. Concretamente me dijo que, cuando lo conectaba al ordenador, se encendía el led del disco, que parpadeaba, pero que no tenía acceso a nada. Le pedía formatear el disco.

Ante esta situación, (que más de uno nos habremos encontrado, seguro), acudió a varios servicios técnicos para preguntar si era posible recuperar la información. En todos ellos, (según me dijo, fueron tres), le manifestaron que sí que era posible, pero que le costaría entre 400 euros y 1500 euros, porque tenían que mandarlo a un laboratorio especialista.

Me comentó que, en el disco duro, además de películas y música, (que le daba igual perder), tenía las fotografías y vídeos de su hija, desde el día en que nació, hasta la fecha. Que lo único que quería recuperar eran los datos relativos a la vida familiar. También me dijo que le parecía excesivo y que, a día de hoy, no podía permitirse pagar esa cantidad por recuperar los datos. Ciertamente, yo tampoco podría pagarla y ya pasé hace algunos años por una experiencia similar cuando perdí cerca de 80.000 fotografías realizadas con mi ‘viejuna’ y maravillosa EOS 20D. En este caso mío, sí que tenía que remitirlo a un laboratorio y me dieron un precio cerrado de 450 euros, (aunque al final no lo mandé porque conseguí recuperar cerca del 95 % de los datos).

Lo primero que hice fue preguntar por la copia de seguridad… con una respuesta negativa, colorado como un tomate y bajando la mirada al suelo. Esta no persona no necesitaba recibir ningún ‘chorreo’ de nadie. Ya se había dado cuenta de la importancia de los Backups y le veía realmente dolido por perder la información que tenía.

Como soy así de tonto, de bueno, (me gusta ayudar) le dije que me lo trajera un día, que se lo miraba en la medida en que me fuera posible. No sin antes preguntarle si había sufrido algún golpe, a lo que incluso vosotros ya sabéis la respuesta. NO! 😉

Tenía que preguntarlo igualmente.

Voy a intentar no ser demasiado técnico para hacerlo lo más comprensible posible y llegar a todo el mundo.

Ya con el disco en mi mano, lo primero que hago es revisar su exterior. Efectivamente, presentaba un golpe en una de las esquinas. Bueno. Vamos a ver si ha sufrido daños y qué tipo de daños presenta el disco duro.

Primeramente, voy a ver los datos del disco duro. Para ello, levantamos un terminal y tipeamos

sudo fdisk -l /dev/sdc

Aquí se nos presenta la información del disco duro. Su tamaño, su  número de sectores, comienzo y fin de la partición y el sistema de ficheros que emplea. En este caso, NTFS.

Visto esto, nos dirigimos al administrador de discos de mi sistema Ubuntu. En él, nos vamos a parar a ver el disco que tenemos que analizar. Vemos que se trata de un disco duro de 1 Tera, que presenta un espacio libre en todo su esplendor. Algo no cuadra, ¿Verdad?

Lo que vemos aquí es que nos dice que el disco está particionado pero, sin embargo, no presenta partición alguna. ¿Cómo es posible?

Vamos a probar el rendimiento del disco duro. En este mismo administrador de discos, desplegamos el menú contextual del botón de ajustes, (arriba a la derecha), y seleccionamos la opción ‘Probar el rendimiento’.

Ahora se nos presenta una pantalla, que es la que se corresponde al banco de pruebas para discos duros. Basta ver la imagen para que os hagáis una idea de qué hace esta herramienta.

Clicamos en ‘Iniciar prueba de rendimiento’.

Y se nos abre otra ventanita donde se nos explica en qué consiste esta prueba. También podemos especificar el número de muestras, el tamaño de las mismas, el tiempo de acceso y si queremos ‘Realizar prueba de rendimiento de escritura’. Lo dejaremos por defecto, desmarcando la casilla de verificación de ‘Realizar prueba de rendimiento de escritura’, (porque solo me interesa la lectura del disco para poder extraer los datos).

Clicamos en ‘Iniciar prueba de rendimiento…’.

Depende del tamaño del disco, y de cuán dañado esté, tardará un tiempo u otro. Por eso, para este caso, he elegido dejarlo por defecto.

Como podemos ver en el gráfico, claramente está dañado. Fijaros en los picos que tiene el gráfico.

¿Qué son estos picos? Errores de lectura.

Visto el primer pico de este gráfico que nos muestra la prueba, podemos deducir que lo primero que está dañado es el sector de arranque del disco duro. el primer sector, el ‘sector cero’, el MBR. Aquí la respuesta al porqué no presenta partición alguna. También presenta otros picos durante sus primeros 200 GB.

Así pues, en principio, la información debe estar aún en este dispositivo, (otra cosa es que podamos leerla de forma íntegra).

Para ver qué información contiene y proceder a su extracción, emplearemos Testdisk, que se instalada mediante

sudo apt-get install testdisk

En un terminal, lo ejecutamos con privilegios, mediante

sudo testdisk /dev/sdd

Tras llamar a Testdisk, se nos presenta la ‘interfaz’ de este programa, que ocupa toda la terminal.

Lo primero que debemos hacer es elegir el disco sobre el que queremos operar que, en este caso, se nos presenta directamente porque así se lo hemos indicado al invocar a la aplicación.

Si leemos lo que nos dice Testdisk, vemos que debe ser detectado de forma correcta para una recuperación satisfactoria.

Una vez seleccionado el disco, seleccionamos ‘Proceed’ y pasamos a la siguiente pantalla mediante la tecla intro.

Ahora nos encontramos ante otra pantalla, que nos dice que una tabla de partición ‘Intel’ ha sido detectada. Así pues, la seleccionamos y pasamos a la siguiente mediante la tecla intro.

En esta siguiente pantalla, se nos informa que una correcta geometría es requerida para una recuperación satisfactoria. No suele ser habitual encontrarse con problemas de geometría en el disco, (al menos, a mí no se me ha dado ningún caso). Seleccionamos ‘Analyse’ y pasamos a la siguiente con la tecla intro.

En esta pantalla, observamos que tiene una partición primaria, con un sistema de ficheros en NTFS y que ‘No partition is bootable’.

Ahora nos basta con indicarle que busque su partición correspondiente, seleccionando para ello ‘Quick Search’.

Cuando finalice, nos indicará, muy probablemente, con un bonito color verde, que ha encontrado la partición y que su estructura está correcta.

Ahora podríamos editar y escribir la tabla de particiones que ha encontrado, pero no siempre funciona y podría dañar el contenido del disco.

Además, el primer objetivo es la recuperación de los datos. Así que vamos a proceder a ello.

Seleccionamos con la tecla ‘P’ para indicarle que liste los ficheros del disco.

Y, tras un tiempo que depende tanto del tamaño como del contenido y del daño que contenga, se nos presentará la siguiente pantalla con su contenido.

Ahora, haciendo uso de la tecla ‘:’, (dos puntos), vamos seleccionando lo que nos interese rescatar. Según se vaya seleccionando, se pondrá en color verde. Podríamos seleccionar todo con la tecla ‘a’.

Tras realizar la selección del contenido a salvar en otro disco procedemos al mismo mediante la tecla ‘C’, donde seleccionaremos el directorio de salida, la ruta donde se guardarán carpetas y ficheros.

Vamos navegando por nuestro disco duro de salida, donde se guardarán los datos, y cuando lo tengamos localizado, procederemos a su copia mediante la selección de la tecla ‘C’.

Y ahora, en este paso, como por ‘arte de magia’, nos indica el número de ficheros que ha copiado y el si se ha producido algún error o no.

Por supuesto que, si hay contenido en sectores defectuosos, que presentan errores de lectura, casi con total seguridad que no se haya procedido a su copia. Para ello, antes deberíamos ‘recuperar’ dichos sectores, pero eso implica manipular el disco más de la cuenta. Lo veremos en otra ocasión, tras cumplir con el primer objetivo, tras extraer los datos.

Y si listamos el directorio de salida, mediante un

ls

Tenemos todo lo que hemos recuperado del disco duro dañado.

Objetivo cumplido satisfactoriamente.

Cuando me preguntó que cuánto me debía le contesté: «Entre 0 euros y 3000 euros«. Puestos a dar un margen de precio… ¿no?

Venga. Me ganaré algún retractor casi seguro. Pero no me vengáis con lo de «No cobro por lo que hago, cobro por lo que sé». Porque hay situaciones y situaciones. Porque considero que siempre hay quien intenta aprovecharse de las ‘desgracias’ de los demás.

¿Precio final para el usuario? Un disco duro nuevo, un café y una lección aprendida, (no necesito más), porque la cara de alegría que puso… No tiene precio.

Y quizás os preguntéis porqué he dicho al principio que hay situaciones con las que no puedo.

No sé cómo está el mercado, porque no me dedico a ello. Pero ¿Vosotros pagaríais podríais pagar entre 400 € y 1500 €, (ojo al rango del precio)? ¿Siendo padre de familia? ¿Siendo un trabajador al que le cuesta llegar a fin de mes?

 

Esto es todo, por ahora. Nos leemos en la siguiente entrada. Se despide este minion, entregado y leal, de vosotros… por ahora.

Marcos @_N4rr34n6_

8 comentarios en “Entre 400 euros y 1500 euros

  1. Desde el aspecto técnico, muy bueno( y más aún útil en el día a día). Probaré con mi propio dd en los próximos días.
    Desde el ámbito personal, sin palabras.

    Gran artículo, como el resto de ese minion (entregado y leal). Os leo.
    Saludos Rabbits!

  2. Los laboratorios son útiles cuando hay daños fisicos sobre todos de spin en motores o de cabezales, sino como reza el artículo, hay muchas herramientas para recuperar datos que son muy efecticas.

  3. Un consejo, antes de intentar testear o recuperar el disco duro haz una imagen del disco con el comando dd y trabaja sobre ella, porque puede que si le haces un par de pruebas al disco lo termines de escacharrar y ya no puedas leerlo.

  4. Te doy un consejo, ante un fallo de disco rígido, lo primero que te aconsejo es correr la herramienta HDDREG (HDD Regenerator) que lo que hace es barrer el disco entero en busca de sectores dañados, y cuando lo encuentra lee una y otra vez ese mismo sector hasta que logra recuperar la información. Una vez que la recupero, lo escribe de nuevo para «revivir» magnéticamente el contenido. Muchas veces el disco se recupera y queda sano, otras no. Lo aconsejable es correrlo 2 veces, si la 2da vez no encontro ningún sector dañado, entonces el disco se puede usar por un tiempo más, a criterio del propietario. Si aparecen nuevamente los mismos sectores dañados o nuevos, hacer backup o recovery con TESTDISK o reemplazar el disco. Los fallos a veces no son magnéticos, a veces son de checksum de sector, por ejemplo cuando el disco esta escribiendo y la PC se apaga, cosa que muchos usuarios suelen hacer.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Los datos introducidos se guardarán en nuestra base de datos como parte del comentario publicado, como se indica en la política de privacidad.