Sistemas de archivos de Windows: posibilidades de recuperar datos

El éxito de la recuperación de datos depende en gran medida del tipo de sistema de archivos de un dispositivo de almacenamiento en particular. Siempre que los archivos en busca no hayan sido reemplazados con la nueva información y que el medio de almacenamiento como tal siga funcionando, es posible evaluar la probabilidad de recuperarlos con tan solo echarle un vistazo al formato empleado. De esta manera, el usuario puede obtener una idea real de lo que es posible lograr incluso antes de lanzar una herramienta de recuperación de datos.

Si usted tiene una computadora con Windows, lo más probable es que su disco interno esté formateado en NTFS. Los dispositivos portátiles, como lápices de memoria USB y tarjetas de memoria, normalmente se formatean en FAT/FAT32 o en exFAT. Los usuarios experimentados a veces eligen ReFS, pero este sistema de archivos de nueva generación de Microsoft es más típico para los servidores, por lo que no vamos a mencionarlo en este artículo.

NTFS

NTFS guarda la información sobre los archivos en una base de datos especial llamada Master File Table (MFT o Tabla maestra de archivos). Cada archivo tiene al menos una entrada en dicha tabla, que 'sabe' todo sobre él, incluido su nombre, tamaño y ubicación en el dispositivo de almacenamiento. Algunos archivos muy pequeños incluso se almacenan por completo en la tabla MFT, mientras que los grandes se colocan fuera de ella con la entrada respectiva en ella apuntando a la ubicación del contenido real del archivo.

En NTFS, un directorio es también un tipo de archivo que, en lugar de datos, contiene la lista de nombres de los archivos que pertenecen a él.

Otro archivo especial llamado Bitmap (Mapa de bits) rastrea cuáles de los bloques están ocupados y cuáles están libres y se pueden reutilizar.

Eliminación

Procedimiento: Cuando se elimina un archivo, NTFS marca la entrada de la MFT que lo describe como libre. Los bloques de datos ocupados por este fichero también se marcan como libres en el Mapa de bits. El nombre del archivo se elimina del directorio.

Recuperación: Hasta que NTFS decida reutilizar esta entrada de la MFT, el nombre, el tamaño y la nota sobre la ubicación del archivo permanecerán allí. Esta información es más que suficiente para "recuperar" el archivo en su forma original. La tasa de éxito es bastante alta en este caso. Si la entrada respectiva de la tabla MFT ya no existe, pero los bloques de datos del archivo todavía no se han sobrescrito, la posibilidad de recuperarlo aún se mantiene. Pero dado que el sistema de archivos ya no 'tiene ni idea' dónde está el contenido del archivo, una herramienta de recuperación de datos tiene que omitirlo y analizar el almacenamiento por completo a un nivel más bajo e identificar y reconstruir archivos basándose en las especificaciones propias de diferentes formatos de archivo. Este método también se conoce como recuperación por datos RAW. Su principal desventaja consiste en que los archivos pierden sus nombres iniciales y probablemente se coloquen en directorios creados automáticamente.

Formateo

Procedimiento: El procedimiento de formateo crea una nueva tabla MFT. Las primeras entradas de la tabla MFT anterior se sobrescriben. Aún así, el resto de las entradas siguen siendo disponibles hasta que se reutilicen para guardar nuevos archivos.

Recuperación: La información sobre los primeros 256 archivos ya no está disponible en la tabla MFT. Así que, es posible recuperarlos solamente mediante la recuperación por datos RAW. El resto de los archivos se puede restaurar con éxito junto con sus nombres iniciales y en directorios originales.

FAT/FAT32

FAT/FAT32 guarda los contenidos de archivos en fragmentos que se llaman clústeres. No siempre es posible guardarlos en los clústeres que se encuentren cerca unos de otros, lo que resulta en su fragmentación. La ubicación de cada clúster en el que se almacena una parte del archivo dado, así como la secuencia de clústeres se registra en la Tabla de asignación de archivos (File Allocation Table o FAT). Esta tabla también indica cuándo un clúster está libre y se puede escribir datos en él.

En FAT/FAT32, cada archivo pertenece a algún directorio donde tiene una entrada individual. Dicha entrada incluye su nombre, tamaño y clúster inicial. Si el nombre de archivo es largo, puede ser que además de la principal se cree una entrada adicional para él en el directorio.

Los directorios en sí mismos son archivos especiales. El principal se llama directorio raíz y generalmente se encuentra en algún lugar al comienzo de una partición.

Eliminación

Procedimiento: FAT/FAT32 borra la información sobre los clústeres constituyentes del archivo desde la tabla FAT. La entrada de directorio que contiene su nombre, tamaño y clúster inicial se marca como eliminada. El primer carácter del nombre se reemplaza.

Recuperación: Siempre que la entrada de directorio aún exista, es posible encontrar el primer clúster y el tamaño del archivo. Sin embargo, la información sobre la secuencia de clústeres se pierde. Si se trata de clústeres adyacentes, el archivo se restaurará con éxito. Pero en caso de una fragmentación grave, la recuperación de datos será incompleta, ya que es difícil predecir la ubicación de clústeres siguientes.

Formateo

Procedimiento: Se borra la información de la tabla FAT. El directorio raíz se elimina. Con todo, el contenido de los archivos permanece intacto.

Recuperación: De manera similar, la probabilidad de recuperar los archivos almacenados en clústeres consecutivos es alta. Pero los fragmentados son poco probables de ser reconstruidos.

exFAT

exFAT es un sucesor de FAT/FAT32 que fue diseñado para superar algunas de sus limitaciones. Organiza los datos de manera similar, pero con algunas diferencias importantes. La tabla de asignación de archivos no describe todos los clústeres, sino solo aquellos a los cuales pertenecen archivos fragmentados. Mientras tanto, también hay una estructura separada llamada Mapa de bits de asignación (Allocation Bitmap) que indica el estado de cada clúster, ya sea ocupado o libre para guardar nuevos archivos. Este enfoque permite colocar el contenido de los archivos de manera más contigua y, por tanto, minimizar su fragmentación.

Eliminación

Procedimiento: exFAT marca los clústeres correspondientes como libres en el Mapa de bits de asignación. La entrada de directorio respectiva también se marca como inactiva. En caso de un archivo fragmentado, la secuencia de sus clústeres permanece en la tabla FAT.

Recuperación: Un archivo no fragmentado puede ser fácilmente recuperado utilizando la información sobre su clúster de inicio y el tamaño que permanece en la entrada de directorio. Un archivo fragmentado se puede reconstruir utilizando la secuencia de clústeres disponible en la tabla FAT. Por lo tanto, la recuperación de archivos eliminados, incluidos los fragmentados, es mucho más precisa en comparación con FAT/FAT32.

Formateo

Procedimiento: exFAT borra la información sobre el contenido de los archivos fragmentados desde la tabla FAT. El directorio raíz también se borra.

Recuperación: En vista de un menor grado de fragmentación, la mayoría de los archivos se pueden restaurar por completo utilizando el método de recuperación por datos RAW. Con todo, dado que falta la información sobre los fragmentos, es posible que cierta parte de los archivos se restauren incompletos.

Siga leyendo para aprender más sobre las posibilidades de recuperar datos de otros sistemas de archivos: