Fermu Website

Un disco duro se estructura en particiones. Decimos que particionamos el disco duro cuando lo dividimos en diversas porciones, cada una de las cuales contiene datos independientes. Un disco duro básico puede tener hasta cuatro particiones primarias, o bien cuatro primarias y una extendida.

Toda la información sobre estas particiones está contenida en un índice justo en el sector cero del disco duro que damos en llamar MBR

Cuando arrancamos nuestro sistema la BIOS transfiere el control al disco de inicio que tengamos configurado y lee el MBR de ese disco duro. Éste último es el encargado de leer la partición que tengamos activa y transferirle el control. Si el MBR está inválido o corrupto, o bien no encuentra una tabla de particiones activa, o bien la partición activa no contiene un código válido de arranque, entonces nuestro PC nos desplegará alguno de estos mensajes.

Invalid partition table.
Error loading operating system.
Missing operating system.

El MBR ve incrementadas sus funcionalidades en determinados casos por otra tabla llamada EMBR. EMBR son las siglas de Extended Master Boot Record, en el se guarda información adicional sobre las particiones así como, el número de unidades que cada una de ellas contiene, digamos que es una funcionalidad utilizada por el gestor de arranque del sistema operativo. 

Procedimientos de recuperación del MBR. 

El sector MBR se puede ver afectado o corrupto por la presencia de cualquiera de estos tres factores:

1. Sustitución del código bien por la presencia de un virus o bien por la presencia de un Sistema Operativo que ha sustituido el código por uno no estándar.
2. Aplicaciones de terceros, como gestores de arranque, que han sustituido este código por el suyo propio.
3. Problemas existentes de hardware. 

Fixmbr. - La primera posibilidad que tenemos para recuperar el sector MBR es precisamente utilizando las herramientas propias del sistema operativo. Si arrancamos una consola de recuperación de WinXP, tendremos a nuestra disposición una utilidad que nos permitirá sobrescribir el código MBR por el estándar de WinXP.

Pero la herramienta fixmbr tiene sus limitaciones ya que simplemente sobrescribe el código pero deja la tabla de particiones intacta, por lo que si es ésta la que tenemos corrupta no conseguiremos solucionar nuestro problema. 

 Fixboot.- Esta herramienta no recupera el sector MBR del disco duro, sino el sector de arranque de la partición activa. Junto con el comando “bootcfg /rebuild” reconstruye integramente el sector de inicio en sistemas WinXP / Win2k. Al igual que el comando Fixmbr, únicamente están disponibles desde una consola de recuperación

Diskprobe. – Esta herramienta viene incluida en las supports tools de nuestro cd de instalación de WinXP, y es más completa que el comando fixmbr. Se puede ejecutar mediante línea de comandos o bien mediante GUI (Graphical User Interface), y nos permite recuperar tanto el MBR como la tabla de particiones siempre y cuando tengamos un copia de seguridad de previamente respaldada. Esta herramienta también tiene sus limitaciones, ya que sólo puede ejecutarse en sistemas con núcleo NT, es decir, Windows 2000, Windows NT 4.0 ó Windows XP. Y es posible que no funcione apropiadamente si no somos capaces de iniciar el sistema operativo. 

Herramientas de Terceros 

Hay una amplia gama de utilidades para recuperar datos y reparar el MBR y su tabla de particiones. Yo voy a describir las que he utilizado con éxito para recuperar particiones totalmente perdidas. 

 MBRWORK, mbrwork es una pequeña utilidad que nos permite trabajar tanto con el MBR como con el EMBR. Es muy útil para librarse de esos virus cabezones que no pueden ser eliminados de ninguna otra manera.
Permite ser ejecutada desde un disco de inicio de Win98 y hacer copia de seguridad del MBR de nuestro disco duro así como restaurarla en caso de necesidad. También permite limpiar el sector MBR y el EMBR. Para este procedimiento sobrescribe con ceros el MBR/EMBR por lo que si lo llevamos a cabo perderemos la tabla de particiones contenida en el MBR. También lleva a cabo la operación de sobrescribir con código estandar el sector MBR, pero al igual que la utilidad antes descrita fixmbr, no sustituye la tabla de particiones, es decir que la deja intacta. La utilidad la tenéis disponible para descarga en:

http://www.dewassoc.com/support/useful/mbrwork.htm

Testdisk, Esta herramienta es capaz de restablecer todo el MBR a un estado anterior incluyendo la tabla de particiones que el disco contenía.

Antes hemos visto diversas herramientas que son capaces de restablecer el MBR o bien de sobrescribir la tabla de particiones que este contiene, siempre y cuando tengamos una copia de seguridad de la misma.

Cuando eliminamos una partición en realidad no estamos formateando nada sino que estamos eliminando su referencia del sector MBR. Los fallos en este archivo, como ya hemos comentado, pueden hacer parecer que una partición desaparezca repentinamente, o mostrarla sin formato.

Pues bien, Testdisk es una sencilla herramienta, que busca por todos los sectores del disco duro en busca de particiones perdidas. Mi experiencia personal con esta herramienta es muy satisfactoria, ya que he llegado a recuperar todos los datos de particiones que creía totalmente perdidas. Es más efectiva en particiones FAT que en NTFS, pero sin duda es muy eficaz. También permite ser ejecutada desde un disco de inicio de Windows 98, y es multiplataforma, es decir, que puede ser ejecutada desde Linux, /windows, y además, ¡¡gratuita!! La página de descarga junto con un tutorial está en esta página. 

Si queréis un pequeño manual sobre esta utilidad en español, podéis acudir a esta otra página, en la que también hay alguna captura de pantalla.

Hasta ahora hemos visto utilidades que trabajan exclusivamente con el MBR y la tabla de particiones, pero ¿qué pasa si hemos creado nuevas particiones y/o hecho un formateo de las mismas? Pues bien, si estamos en este caso va a ser difícil, que no imposible, volver a recuperar todos los datos íntegros. Pero también hay aplicaciones que permiten trabajar muy eficazmente con recuperación de datos, veámoslas: 

Getdataback, GetDataBack tiene dos aplicaciones independientes según el sistema de archivos que tengamos, FAT/NTFS, y tiene un avanzado algoritmo de búsqueda que encuentra archivos eliminados definitivamente de nuestras unidades. Aunque la interfaz de la aplicación se encuentra en inglés, su manejo resulta sumamente sencillo. Página de descarga en:

http://www.runtime.org/gdb.htm

Easy Recovery Professional, de Ontrack .- Bueno, esto más que una aplicación es una maravilla, permite recuperar particiones totalmente perdidas en múltiples formatos ya que además de admitir FAT y NTFS, puede trabajar con formatos linuxeros como ext2 y ext3, no así con el formato reiserfs. También permite reparar archivos dañados de Office y de Outlook Express. La interfaz está en inglés, pero el manejo es sencillo e intuitivo, página de información en:

http://www.ontrack.com/easyrecoveryprofessional/

PC Inspector, A diferencia de las dos últimas aplicaciones de las que hemos hablado que son de pago esta es totalmente gratuita. Permite recuperar datos borrados en particiones con formatos FAT/NTFS y encuentra las unidades de disco a un con sectores boot defectuosos, página de descarga en español en:

http://www.pcinspector.de/file_recovery/es/download.htm

Antes de proseguir he de recalcar que para trabajar con estas dos últimas utilidades es necesario extraer la unidad afectada de nuestro PC, y ponerla en modo esclavo en otro ordenador que tengamos disponible y en donde deberemos tener instaladas estas aplicaciones, que sólo son capaces de ejecutarse bajo Windows. 

Recuperación de datos en sistemas caídos o hackeados 

Hasta ahora hemos visto sistemas de recuperación individuales bien del MBR o bien de una partición que ha sido formateada, o con el disco duro dañado, pero no quiero terminar este artículo sin referenciar soluciones conjuntas de recuperación.

Bajo el mundo linux hay interesantes distros que están exclusivamente dedicadas al análisis forense de un disco duro y a la recuperación de datos, y cuyo uso es completamente gratuito. Las que voy a describir a continuación no precisan instalación, ejecutándose desde CD.

Trinux. – Como ya hemos dicho, es una distro que se ejecuta desde CD y que está especialmente dedicado a recuperar datos en un sistema caído o comprometido, incluye herramienta para detección de sniffer, sistema de análisis de intrusiones, herramientas para copia de seguridad de datos y recuperación de los mismos, herramientas para análisis forense del disco duro caído o comprometido y mucho más. Podéis echar un ojo a todas sus características en esta página:

http://www.trinux.org/

F.I..R.E – FIRE son las siglas de Forensic and Incident Response Environment Boteable CD, es otra distro de similares características a la anterior, incluye todas las herramientas descritas anteriormente y es capaz de analizar sistemas comprometidos o caidos en cualquier plataforma, (Solaris, Sparc, Windows, Linux…), página de información y descarga en:

http://biatchux.dmzs.com/  

Conclusiones. 

El procedimiento de recuperación de una partición dañada es variable según sea la causa. Lo primero que tenemos es que determinar la causa que ha provocado la pérdida de datos: no es lo mismo un fallo hardware que una corrupción del MBR.
Ante un fallo MBR, la recuperación de datos es muy sencilla con alguna de las herramientas ya descritas, así que lo mejor es no ponernos nerviosos e intentar recuperar el sector afectado con alguna de las herramientas que hemos descrito. Ante daños hardware de la unidad o perdida de información por formateo accidental, también tenemos otra serie de soluciones que nos permitirán recuperar buena parte de la información almacenada.