WEB ESPECIALIZADA EN SEGURIDAD DE REDES - SOFTWARE FORENSE Y CONTROL A DISTANCIA
PROGRAMACIÓN EN LENGUAJES DE ALTO NIVEL -...
TestDisk Paso a Paso
De CGSecurity
Este Ejemplo de Recuperación le guiará paso a paso para recuperar una partición
perdida...
Puntos Importantes para Utilizar TestDisk:
•
•
•
•
•

Para navegar a través de TestDisk, utilizar las teclas de las flecha...
•

Bajo MacOSX, si usted no es ‘root’, TestDisk se reiniciará usando sudo
después de la confirmación por su parte.
(Por ej...
Seleccionar el Disco Duro
TestDisk debe detector y listar todos los discos duros, así como sus tamaños correctos:

•
•

Ut...
Estado de la Tabla de Particiones Actual
TestDisk presenta el siguiente menu:

•
•

Utilice la selección por defecto la op...
La primera partición está listada dos veces, lo cual indica que hay una entrada inválida o
corrupta dentro de la Tabla de ...
Durante la Búsqueda Rápida, TestDisk ha encontrado dos particiones, incluyendo la
partición perdida, la cual tiene la indi...
•

•

Cuando estén disponibles todas las particiones, ya puede usted ir al menu Write
para guardar la estructura de partic...
Al terminar la búsqueda en profundidad (Deeper Search), los resultados se presentan
como sigue:
La primera partición “Part...
El Sistema de Ficheros de la partición superior está defectuoso.
•
•
•
•

Pulse la tecla Q para volver a la ventana anteri...
Hint: read How to recognize primary and logical partitions?
Nota: Si una partición está marcada con un asterisco (*), lo c...
Recuperación de la Tabla de Particiones
Ahora ya es possible grabar la estructura de la nueva partición.
Nota: La partició...
Recuperación del Sector de Arranque NTFS
El sector de arranque de la primera partición, denominada Partition 1, sigue daña...
•

Pulse Intro para salir del programa.

•

TestDisk presenta el siguiente mensaje: You have to restart your Computer to
a...
Próxima SlideShare
Cargando en…5
×

Testdisk

738 visualizaciones

Publicado el

Publicado en: Educación
0 comentarios
0 recomendaciones
Estadísticas
Notas
  • Sé el primero en comentar

  • Sé el primero en recomendar esto

Sin descargas
Visualizaciones
Visualizaciones totales
738
En SlideShare
0
De insertados
0
Número de insertados
101
Acciones
Compartido
0
Descargas
11
Comentarios
0
Recomendaciones
0
Insertados 0
No insertados

No hay notas en la diapositiva.

Testdisk

  1. 1. WEB ESPECIALIZADA EN SEGURIDAD DE REDES - SOFTWARE FORENSE Y CONTROL A DISTANCIA PROGRAMACIÓN EN LENGUAJES DE ALTO NIVEL - SOFTWARE POLICIAL Y BIOMETRICS SISTEMAS I/O AVANZADOS DE ALTO NIVEL sykrayo@hotmail.com
  2. 2. TestDisk Paso a Paso De CGSecurity Este Ejemplo de Recuperación le guiará paso a paso para recuperar una partición perdida y/o repararla, si está corrupta. Contenido 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. Problema de Ejemplo Síntomas Ejecución de TestDisk Crear Registro Seleccionar el Disco Duro Seleccionar el Tipo de Tabla de Particiones Estado de la Tabla de Particiones Actual Búsqueda Rápida de Particiones Guardar la Tabla de Particiones o Seguir Buscando ? Sigue Faltando una Partición: Búsqueda en Profundidad Recuperación de la Tabla de Particiones Recuperación del Sector de Arranque NTFS Recuperación de Ficheros Borrados Problema de Ejemplo Tenemos un disco duro de 36 GB, el cual contiene 3 particiones. Desgraciadamente: • • El sector de arranque de la partición primaria NTFS está dañado, y Una partición lógica NTFS ha sido eliminada accidentalmente. Este ejemplo de recuperación le guiará a través de TestDisk, paso a paso, para recuperar esas particiones perdidas: • • Reescribiendo el sector de arranque NTFS corrupto, y Recuperando la partición lógica NTFS que se ha borrado accidentalmente. La recuperación de una partición FAT32 (en vez de una NTFS) puede llevarse a cabo siguiendo exactamente los mismos pasos. Para otros tipos de particiones hay disponibles otros Ejemplos de Recuperación. Para obtener más información acerca de FAT12, FAT16, ext2/ext3, HFS+, ReiserFS y otros tipos de particiones, consultar el documento Running the TestDisk Program. Una Condición: • TestDisk debe ser ejecutado con ‘Privilegios de Administrador’. 1 de 14
  3. 3. Puntos Importantes para Utilizar TestDisk: • • • • • Para navegar a través de TestDisk, utilizar las teclas de las flechas y las teclas de RePág / AvPág. Para avanzar o confirmar una selección, utilizar la tecla Intro. Para volver a una pantalla anterior, o salir de TestDisk, pulsar la tecla q. Para guarder las modificaciones hechas con TestDisk, debe usted confirmarlas con la tecla y (Yes) y/o la tecla Intro. Para escribir realmente los datos de la partición en el MBR, debe usted seleccionar la opción “Write” y pulsar la tecla Intro. Síntomas Si la partición primaria del disco contiene un sistema operativo, es muy posible que éste ya no pueda iniciarse debido a que el sector de arranque (MBR) está corrupto. Si el disco duro es una unidad secundaria (datos) o usted puede conectarlo a otro ordenador en su canal secundario, se podrán observar los siguientes síntomas: 1. El Explorador de Windows, o el Administrador de Discos, presentan la partición primaria como no formateada y Windows advierte: La unidad no está formateada, quiere usted formatearla ahora ? [Usted nunca debe hacerlo, a no ser que sepa muy bien lo que está haciendo!] 2. Falta una partición lógica. En el Explorador de Windows esta partición ya no estará disponible. El Administrador de Discos sólo presenta la notificación de espacio no particionado en la posición lógica de esa partición. Ejecución de TestDisk Si aún no posee el programa TestDisk, puede obtenerlo en la siguiente dirección de Internet: http://www.cgsecurity.org/wiki/TestDisk_Download Extraiga los ficheros del archive que se haya bajado, incluyendo todas sus subcarpetas. Para recuperar una partición perdida o reparar el Sistema de Ficheros de un disco duro, pendrive USB, Smart Card, etc., usted necesita privilegios suficientes como para poder acceder al dispositivo físico. • • • Bajo DOS, ejecute TestDisk.exe Bajo Windows, debe iniciar TestDisk desde una cuenta del Grupo de Administradores (por ejemplo: testdisk-6.9/win/testdisk_win.exe). Bajo Vista, utilice el botón derecho del ratón para ejecutarlo como administrador. Bajo Unix/Linux/BSD, usted necesita ser ‘root’ para ejecutar TestDisk (por ejemplo: sudo testdisk-6.9/linux/testdisk_static) 2 de 14
  4. 4. • Bajo MacOSX, si usted no es ‘root’, TestDisk se reiniciará usando sudo después de la confirmación por su parte. (Por ejemplo: testdisk-6.9/darwin/TestDisk) • Bajo OS/2, TestDisk no maneja dispositivos físicos, solo discos imagen, lo sentimos. Para recuperar una Partición o el Sistema de Ficheros de una imagen, ejecutar: • • • testdisk image.dd Para reparar un disco imagen testdisk image.E01 Para recupaerar ficheros de una imagen Encase EWF testdisk 'image.E*' Si la imagen Encase esta dividida en varfios ficheros. Para reparar un Sistema de Ficheros no incluido en la lista de TestDisk, ejecutar testdisk device, por ejemplo: • • testdisk /dev/mapper/truecrypt0 or testdisk /dev/loop0 para reparar el sector de arranque de una partición NTFS o FAT32 de TrueCrypt. El mismo método funciona con un Sistema de Ficheros encriptados con cryptsetup/dmcrypt/LUKS. testdisk /dev/md0 para reparar un Sistema de Ficheros en un dispositivo primario de un Linux Raid. Crear Registro • • Seleccionar Create a menos que tenga usted alguna razón para añadir los datos a un registro ya existente o si está ejecutando el programa TestDisk desde un soporte de solo lectura y no dispone de ningún otro sitio donde poder hacerlo. Pulse Intro para continuar. 3 de 14
  5. 5. Seleccionar el Disco Duro TestDisk debe detector y listar todos los discos duros, así como sus tamaños correctos: • • Utilice las teclas de Flecha Arriba / Flecha Abajo para seleccionar el disco que haya perdido una o varias particiones. Pulse Intro para continuar. Seleccionar el tipo de Tabla de Particiones TestDisk presenta los distintos tipos de Tablas de Partición. • • Seleccione el tipo de Tabla de Particiones. Normalmente el marcado por defecto es el correcto, porque TestDisk autodetecta el tipo de tabla. Pulse Intro para continuar. 4 de 14
  6. 6. Estado de la Tabla de Particiones Actual TestDisk presenta el siguiente menu: • • Utilice la selección por defecto la opción “Analyse” del menú para comprobar la estructura de la partición y buscar las particiones perdidas. Confirme la selección de “Analyse” pulsando la tecla Intro. Ahora se presenta la estructura de sus particiones actuales. Examine la estructura presentada, en busca de particiones perdidas o que contengan errores. 5 de 14
  7. 7. La primera partición está listada dos veces, lo cual indica que hay una entrada inválida o corrupta dentro de la Tabla de Particiones. Un arranque NTFS inválido indica que hay un sector de arranque NTFS erróneo, por lo que el Sistema de Ficheros está corrupto. Sólo hay una partición disponible (Partition 2) en la partición extendida, por lo que se detecta que falta una partición. Confirme la selección de Quick Search para continuar. Búsqueda Rápida de Particiones • Confirme Si/No (Y/N), de acuerdo con su Sistema Operativo y las particiones creadas, para continuar. TestDisk presenta el primer resultado en tiempo real. 6 de 14
  8. 8. Durante la Búsqueda Rápida, TestDisk ha encontrado dos particiones, incluyendo la partición perdida, la cual tiene la indicación de Partition 3. • Seleccione esta partición y pulse la tecla P para que aparezca el listado de sus ficheros (para volver a la presentación anterior pulse la tecla Q para salir). Se presentan correctamente todos los directorios y ficheros. • Pulse Intro para continuar. Guardar la Tabla de Particiones o Seguir Buscando ? 7 de 14
  9. 9. • • Cuando estén disponibles todas las particiones, ya puede usted ir al menu Write para guardar la estructura de particiones. El menú Extd Part le da a usted la oportunidad de decidir si la partición utilizará todo el espacio disponible o solamente el mínimo espacio requerido. Dado que sigue faltando una partición, la primera, seleccione la opción Deeper Search (si no estuviera ya seleccionada) y pulse Intro para continuar. Sigue Faltando una Partición: Búsqueda en Profundidad La opción Deeper Search buscará también la copia de seguridad del sector de arranque FAT32, la copia de seguridad del superbloque de arranque NTFS y la copia de seguridad del superbloque ext2/ext3, en busca de más particiones Para ello hará una búsqueda cilindro a cilindro: 8 de 14
  10. 10. Al terminar la búsqueda en profundidad (Deeper Search), los resultados se presentan como sigue: La primera partición “Partition 1” fue hallada usando la copia de seguridad del sector de arranque. En la última línea de la ventana podrá usted leer el siguiente mensaje "NTFS found using backup sector!" y el tamaño de su partición. La segunda partición (Partition 2) se presenta por duplicado y con tamaños diferentes. Ambas particiones están marcadas con una D (de Deleted = Borradas), porque ambas están superpuestas. • Marque la primera partición Partition 2 y pulse la tecla P para presentar los datos. 9 de 14
  11. 11. El Sistema de Ficheros de la partición superior está defectuoso. • • • • Pulse la tecla Q para volver a la ventana anterior. Deje esta partición Partition 2, que es la que tiene el Sistema de Ficheros dañado, marcada con la letra D. Seleccione la segunda partición Partition 2 que está debajo de la primera. Pulse la tecla P para listar los ficheros. Sí funciona! Ha encontrado usted la partición correcta. • Utilice las teclas de las flechas izquierda/derecha para navegar por el interior de sus carpetas y comprobar los ficheros para mayor seguridad. Nota: El listado del directorio FAT está limitado a 10 clusters, por lo que puede que algunos ficheros no sean visibles, lo cual no afecta para nada a la recuperación de los datos. • Pulse la Q para volver a la pantalla anterior. • El estado actual es “Primary, * bootable, Logical and Deleted”. Utilizando las teclas de las flechas izquierda/derecha, cambie el estado de la partición seleccionada a L (lógica). 10 de 14
  12. 12. Hint: read How to recognize primary and logical partitions? Nota: Si una partición está marcada con un asterisco (*), lo cual indica que es una partición de inicio del sistema, pero usted no va a utilizarla para esa finalidad, puede marcarla como partición Primaria. • Pulse Intro para continuar. 11 de 14
  13. 13. Recuperación de la Tabla de Particiones Ahora ya es possible grabar la estructura de la nueva partición. Nota: La partición extendida se establece automáticamente. TestDisk la reconoce, y usa una estructura de Partición diferente. • Confirme la grabación pulsando Intro, Y y Ok. Ahora todas las particiones ya se quedan registradas en la Tabla de Particiones. 12 de 14
  14. 14. Recuperación del Sector de Arranque NTFS El sector de arranque de la primera partición, denominada Partition 1, sigue dañada. Es el momento adecuado para repararla. El estado del sector de arranque NTFS no es válido, sin embargo la copia de seguridad del sector de arranque sí lo es. Ambos sectores no son idénticos. • Para grabar la copia de seguridad del sector de arranque sobre el sector de arranque real, seleccione Backup BS, valide pulsando Intro, después Y y por último Ok. Se presentará el siguiente mensaje: El sector de arranque y su copia de seguridad ahora son idénticos. El sector de arranque NTFS ha sido restaurado satisfactoriamente. 13 de 14
  15. 15. • Pulse Intro para salir del programa. • TestDisk presenta el siguiente mensaje: You have to restart your Computer to access your data (Debe reiniciar el ordenador para tener acceso a sus datos). Por lo tanto pulse Intro por útlima vez y reinicie el ordenador. Recuperación de Ficheros Borrados TestDisk puede recuperar: • • • Ficheros y Directorios en Sistemas FAT12, FAT16 y FAT32. Ficheros en Sistemas ‘ext2’. Ficheros en particiones NTFS a partir de la versión 6.11. En el caso de que no funcione correctamente, pruebe el programa PhotoRec, una utilidad para la recuperación de ficheros. • La última modificación de esta página se hizo el 28 de Septiembre de 2008. 14 de 14

×