jueves, 10 de julio de 2014

Disco duro escrito a ceros por su cuenta

Este es un caso de poltergeist del que no he sido capaz de encontrar una explicación. Por pasos:
Una compañera de trabajo me entrega un disco del que le gustaría recuperar miles de fotos que ha perdido (lo de las recomendaciones de las copias de seguridad lo dejamos para otro momento). Es el disco duro Toshiba, 2.5' y 500GB


de un Netbook de las siguientes características:
ACER Aspire One D255, Intel Atom N455, 1GB de RAM (DDR3) y con Windows 7 Starter como sistema operativo.
El netbook de repente dejó de funcionar, y en la tienda fueron incapaces de recuperar nada del disco, así que le pusieron uno nuevo y listo.
En principio pensé que no habían aplicado tiempo suficiente y que sería fácil recuperar la información, bien con foremost o photorec.
Al introducir el disco en el sistema (Fedora 20 64bits, con KDE como máscara gráfica), la aplicación discos lo detecto pero sin partición y, curiosamente, dándolo como disco perfecto, sin ningún daño, así que...

Pregunta 1. ¿Por qué falló el sistema y sin embargo el disco está perfecto? Sí, un virus, troyano o similar. Muy bien, le borró el MBR; lo recuperamos y listo.

Por seguridad, creé una imagen con ddrescue, de forma similar a como decíamos aquí con una unidad USB. De esta forma, trabajamos sobre la imagen y no trabajamos sobre la superficie magnética, y evitamos empeorar daños físicos (que según S.M.A.R.T. no había). Una vez generada la imagen de 467GB, es decir, el disco completo, no fue posible montarla, ya que el disco original no estaba particionado. Con testdisk intenté recuperar la partición, pero fue imposible, ya que ni en busqueda superficial ni profunda pudo encontrar rastro de una tabla de particiones en el disco. Bien, no es la primera vez que pasa algo así. Simplemente, si los datos aun están ahí, foremost o photorec pueden encontrar las cabeceras de ficheros y recuperar al menos parte de ellos (no siempre están en un solo trozo contiguo, y sin la tabla de partición no se pueden reconstruir y volver a unir los trozos separados), aunque no se conserve el nombre y directorio.
Al pasar photorec (ver aquí), el resultado fue un directorio de recuperación ¡completamente vacío!


Cada carpeta de recuperación en función de la identificación de photorec (o foremost, por que lo hice tantas veces que ya no recuerdo cual es cual) dice 0 ficheros recuperados. Es decir, varias horas de revisión de la imagen da cero cabeceras de fichero reconocibles.

Pregunta 2. ¿Como se las arregla un usuario básico en un netbook con Windows 7 starter para escribir en ceros un disco duro de 500GB sin darse cuenta?

Si eso es imposible, o al menos muy poco probable,

Pregunta 3. ¿Qué otra circunstancia o condición puede provocarlo?

Para estar seguro, después de probar dos días seguidos todo lo disponible en la imagen, luego lo apliqué directamente sobre el disco duro, con el mismo resultado. Más aun, por si es cuestión del sistema, luego lo intenté con un Hiren's Boot 15.2, arrancando con Windows XP mini y aplicando toda la bateria disponible.

Por supuesto, lo único que me entra en la cabeza es que en la tienda hayan hecho un formateo profundo, pero no lo creo, por que en un disco de 500GB aun lleva un rato bastante largo. Pero si el usuario no es capaz de hacerlo, que otra circunstancia provoca el borrado completo de datos de un disco dejándolo completamente cubiero de... NADA. Por que los virus y troyanos de hoy lo quieren son las tarjetas de crédito y las palabras clave, o bloquearte el sistema y pedir rescate, pero no borrar discos duros, como antes.

Se admiten respuestas.

PD. El disco funciona perfectamente; lo he formateado en NTFS y lo he llenado casi del todo de material multimedia que se ve y escucha perfectamente; por si había dudas del dispositivo.

4 comentarios:

  1. A saber o que anduvo facendo a compañeira con ese ordenador...

    ResponderEliminar
  2. A mi solo me viene a la mente que fuese un problemilla tonto como tu comentas, en la tienda se liasen y en vez de recuperar los datos, directamente formatearon y reinstalaron, al darse cuenta del error, formateo a bajo nivel para que no se note que lo han reinstalado si lo enchufan en algún ordenador y cobran un disco nuevo por el tiempo invertido...

    ResponderEliminar
    Respuestas
    1. O eso o que le hayan dado un disco de otro cliente por equivocación.

      Eliminar
  3. Como los datos son irrecuperables y el disco está bien (las diferentes pruebas que hemos realizado no muestra ningún error), he pedido una caja externa y así le damos uso con unos ficheros multimedia; o para hacer copias de seguridad.

    ResponderEliminar