Estudios de casos de recuperación de datos FAT

(a) Archivos/carpetas eliminados

El software de recuperación de datos FAT restaura archivos eliminados (Word, Excel, Access, PowerPoint, fotografías, correo electrónico, bases de datos y todos los archivos de Office) y directorios de la PC (computadora personal).

El contenido del archivo no se elimina inmediatamente después de eliminar cualquier archivo del sistema informático. El vínculo del archivo se rompe con la información del registro del archivo (donde se almacena la información del archivo), pero el archivo sigue existiendo en el disco duro de la computadora y, por lo tanto, el software de recuperación de datos se puede utilizar de manera eficiente para recuperar archivos y carpetas de datos perdidos.

(b) Papelera de reciclaje vaciada

La papelera de reciclaje contiene todos los archivos eliminados, independientemente de que la eliminación de archivos y carpetas se haya realizado de forma intencional o no.

Cualquier tipo de archivo se puede mover a la Papelera de reciclaje de varias maneras:

• Haciendo clic derecho en el archivo y seleccionando eliminar en el menú
• Seleccionar el archivo y pulsar la tecla eliminar
• Seleccionar el archivo y elegir eliminar en el menú Archivo en el sistema operativo Windows
• Arrastrando y soltando un archivo en el icono de la Papelera de reciclaje

La papelera de reciclaje muestra todos los archivos, carpetas y otros datos eliminados con fecha, hora y ruta. La papelera de reciclaje permite al usuario ver los archivos, carpetas, archivos ejecutables y accesos directos en formato de explorador de Windows.

Una vez que se ha vaciado la papelera de reciclaje, el usuario no puede recuperar los datos. Sin embargo, el software de recuperación de datos FAT permite al usuario recuperar y restaurar fácilmente todos los archivos eliminados de la papelera de reciclaje o eliminados con la tecla SHIFT+DELETE.

(c) Formatos maliciosos

El formato prepara el medio de almacenamiento de la unidad de disco duro para la lectura y la escritura. Cuando se formatea la unidad de disco duro, el sistema operativo borra toda la información almacenada en la unidad de disco. El formato también detecta si todos los sectores no han sido marcados como sectores defectuosos y crea tablas de direcciones internas para localizar la información en una etapa posterior.

La unidad de disco necesita formatearse por varios motivos, entre ellos:

• Eliminar la corrupción del SO (sistema operativo)
• Recuperar datos infectados por virus o gusanos
• El rendimiento del sistema se ha degradado

El formateo se puede realizar de dos formas diferentes, llamadas formateo de alto nivel y formateo de bajo nivel. El formateo de alto nivel configura un sistema de archivos vacío en el disco e instala un sector de arranque y se puede realizar mediante la opción "Formato rápido". El formateo de bajo nivel generalmente lo utilizan las unidades de disco duro, que establecen ciertas propiedades del disco y también determinan qué tipo de controlador de disco puede acceder al disco (RLL o MFM).

Casi todos los discos duros que compras ya han sido formateados a bajo nivel. Al realizar un formateo a bajo nivel se borran todos los datos del disco. Formatear es un comando MS DOS que se puede utilizar para eliminar información del disco duro, del disco duro, etc. de la computadora. Formatear es un comando externo que se encuentra en muchos sistemas operativos Windows.

FAT Data Recovery Software can be effectively used to recover deleted files after format.

(d) Power Failure

Almost all the user working on computer system comes around the problem of loosing working files and data due to power failure or power breakdown. The user can lost the complete working file if it has not been saved to the specified location in computer’s hard disk drives whether the working file is very important for user. User will not be in position to get the data back because when file is in working stage, the file contents gets stored in primary memory that lose its content once the power is down or system shutdown is done.

The reasons for power failure can be defect in power station, damage to power line or other part of distribution system, short circuit or overloading of electricity mains.

FAT Data recovery software recovers and restores all the lost data files easily to save precious data files.

(e) Recover Data from Common Error Messages

i) If FDISK or other disk utilities have been run

Fdisk command divides the logical hard disk into one or more partition before used by an operating system on a PC (Personal Computer). The partition division is described in the partition table found in the Master Boot Record (MBR) in sector 0 of the hard disk.

FDISK destroy the partition containing the system files and operating system from currently active partition. If the computer system is in use, the system will halt and come to attention as soon as user exits FDISK.

Rebooting the computer system after creating a partition, user will find that the system has assigned the new partition a drive letter. User can easily switch to that drive letter from DOS prompt, but cannot read from it or write to it because the drive not yet is being formatted.

User must use the FORMAT command from command line, Windows Explorer or the My Computer window to format the drive before using drive to store data. FAT Data Recovery Software recovers all lost and deleted files, directories and other data.

ii) If VIRUS has invaded/infection

A virus is a program that reproduces its own code by attaching itself to other executable files (COM, EXE) in such a way that the virus code is executed when the infected executable file is executed.

Hard disk drive or Floppy disk system sectors contain executable code that can be infected. More recently, scripts written for Internet Web sites and/or included in E-mail can also be executed and infected. Viruses can attach the files by adding to the end of a file, inserting to middle of file or places the pointer to distinct location on the disk where virus is found.

All viruses working behavior is quite similar, first they infect the file and then attack the data. Some viruses use variety of technique to hide themselves from user to infect the system files and do the destructive things.

Some of malicious codes are also available in Trojan Horses, worms, and logic bombs that destruct the data.

Viruses that can infect a number of different portions of operating system and file system of computer include:

• Visual Basic Worms use the Visual Basic language to control the computer and perform tasks.
• System Sector Viruses infect and control information on the disk itself.
• Macro Viruses contain macro program to infect data files.
• Cluster Virus infects through the disk directory.

Viruses are categorized by how they infect. The virus categories are:

• Spacefiller (Cavity) Virus attempt to maintain a constant file size when infecting.
• Tunneling Viruses try to "tunnel" under anti-virus software while infecting.
• Camouflage Viruses attempted to appear as a kind program to scanners.
• NTFS ADS Viruses ride on the alternate data streams in the NT File System.

FAT Data recovery software supports the recovery of all the files that has been deleted and erased due to virus infection.

iii) If FAT file system is damaged

A system used to record the location of all portions of files on a disk. Files are seldom stored in contiguous locations on a disk so the FAT keeps track of the various segments. In each disk partition there are clusters and each cluster is one or more sectors on the disk. The FAT keeps track of which clusters are assigned to files. The directory keeps track of the starting cluster for a file and clusters can be free for use or used by a file. Two copies of the FAT are kept and compared in order to detect disk errors.

The FAT file system can get damaged due to virus infection, erased, deletion, lost and formatting cause. FAT data recovery software efficiently rescues and restores all corrupted FAT files.

iv) If MBR (Master Boot Record)/ Partition Table or DBR (DOS Boot Record)/Boot Sector is destroyed

MBR infectors replace the boot strap code in the front of the MBR with their own copy and do not change the partition table. The hard disk is accessible only when booting from a diskette whenever the partition table is in place, otherwise DOS can not find the data on the drive.

The Stoned virus is a typical example of this technique that stores the original MBR on sector 7, after control is taken by virus via replaced MBR, it reads the stored MBR located on sector 7 in memory and gives it control. Some empty sectors are available after the MBR, and Stoned takes advantage of this.

Some viruses’ format set of extra diskette sector to make it more difficult for antivirus program to access the original copy during repair. This technique is used by Indonesian and Denzuko virus.

Boot viruses replace the original boot sector by overwriting and saving it at the end of the hard disk, like MBR viruses.

El infame virus Form utiliza este método y guarda el sector de arranque original al final del disco. Form espera que este sector se utilice con poca frecuencia y, por lo tanto, el sector de arranque almacenado permanecerá en el disco sin demasiado riesgo de ser modificado.

Los virus de arranque también guardan el sector de arranque al final de la partición activa y acortan la partición en la tabla de particiones para asegurarse de que este sector no quede "libre" para que lo utilicen otros programas.