He creado un documento de Word en mi computadora, o en cualquier otro archivo como txt, imagen, PSD, etc. Ahora, tomo ese archivo y lo muevo a un dispositivo externo, ¿ese archivo dejaría un rastro en la computadora? ¿Es recuperable en la computadora?
SÍ, los archivos son recuperables incluso cuando se mueven o eliminan de los discos . Comencemos con cómo el sistema operativo coloca los archivos en los discos duros. Los archivos se guardan en el disco duro en trozos pequeños. Estos trozos pueden estar dispersos por todas partes, en lugar de colocarse de manera contigua.
Su administrador de archivos del sistema operativo realiza un seguimiento de los archivos al conocer las direcciones de todos los trozos. Estos son los números de inodes , puede pensarlos como punteros.
Cuando elimina un archivo, lo que hace su sistema operativo es simplemente eliminar los datos que ha almacenado sobre estos valores de inodo. Entonces, lo que realmente sucede es que todos los enlaces se eliminan de la tabla de File Manager System que mantiene un registro del archivo. Lo importante a observar es que los datos todavía están allí. Los discos duros nunca borran los datos, siempre se sobrescriben.
A nivel general, lo que hacen las herramientas de recuperación es simplemente verificar los datos en los discos que no tienen valores de inodo que apunten hacia ellos. Usan algoritmos complejos que les ayudan a crear algo significativo, como un archivo con esos trozos pequeños.
Incluso es posible recuperar los datos incluso cuando haya sobrescrito el bloque en particular con algunos otros datos. En caso de que esté utilizando un disco duro (HDD), los datos se almacenan en forma de ondas magnéticas . Esto es binarizado antes de ser procesado por el procesador. Hay cuatro posibilidades cuando los datos se sobrescriben una vez. Dos son cuando, inicialmente el bit era 0 y luego se escribía con 0 o 1, dos más cuando inicialmente era 1 y luego se sobrescribía con 0 o 1. Estos cuatro valores darán diferentes trazas en el disco. Entonces, lo que generalmente hace una herramienta de recuperación es simplemente crear cuatro regiones a través de umbrales diferentes y decidir cuál fue el valor anterior. Esto se puede extender cuando los datos se sobrescriben varias veces.
Es posible que haya observado que mientras formatea sus discos o USB, tiene dos opciones, una es el formato rápido y la otra es el formato lento. En el caso de formato rápido, solo se eliminan los enlaces. En el caso de formato lento, el sistema operativo vuelve a escribir todos los bloques varias veces con datos aleatorios. Esta es una forma segura de formatear un disco. Varias veces esta iteración puede variar según el sistema operativo y el comando (o utilidad) que esté utilizando. Puede usar el comando UNIX triturar , que forma parte de las utilidades principales de GNU.
triturar -n 100 nombre de archivo
De forma predeterminada, shred sobrescribe 25 veces, pero al utilizar -n puede decidir el valor.
Editar: los discos de estado sólido (SSD) tienen un mecanismo de trabajo muy diferente en comparación con las unidades de disco duro. En los SSD, la unidad de almacenamiento completa está dividida en bloques o páginas, y se puede pedir a cada bloque que lea / escriba. Estos bloques son direccionables por índice al igual que una matriz. Por lo tanto, no existe una sobrecarga para el acceso a los datos, como fue el caso en las unidades de disco duro. Para escribir cualquier cosa en estos bloques, primero debe eliminar los datos. El sistema operativo de su dispositivo no accede a todos estos bloques directamente, sino que habla con el microcontrolador presente en el SSD o en la unidad flash. Este microcontrolador realiza un seguimiento de todos estos bloques utilizando una tabla (o mapa). Debido a que la eliminación lleva mucho tiempo, el microcontrolador de la unidad Flash mapea dinámicamente la ubicación solicitada para escribir en otro bloque que está vacío y mantener un registro para eliminar los datos en el bloque (que se solicitó) algún tiempo después. Esto es lo que permite el espacio para la recuperación, incluso cuando ha eliminado sus datos. Para obtener más detalles, puede consultar este documento .
Mover un archivo a otra computadora es simplemente copiarlo en otro sistema y luego borrarlo localmente. La forma habitual de eliminar un archivo por el sistema operativo es simplemente marcarlo como eliminado o eliminar cualquier referencia a él para que ya no esté asociado con un nombre de archivo. Esto significa que los datos en sí no se eliminan de inmediato, pero generalmente solo si es necesario reclamar el espacio en disco para escribir datos nuevos (y peor aún en SSD). En resumen: a menudo es posible recuperar el contenido del archivo original.
En Windows (o en cualquier sistema operativo), siempre hay una tabla MFT (Master File Table) que asigna el espacio de direcciones en el disco duro al archivo asociado. Por lo tanto, cuando borra el archivo o lo mueve, ambas operaciones simplemente eliminan la dirección asociada con el archivo, por lo que el sistema operativo cree que el espacio está vacío, pero aún contiene los datos y se puede recuperar fácilmente.
Para eliminar o eliminar por completo los datos, también debe completar la ubicación de la dirección asociada con otro archivo o cualquier valor de basura para que no se pueda recuperar el archivo original. Puedes usar herramientas como el borrador para hacerlo.
Lea otras preguntas en las etiquetas file-system recovery