Sistemas de archivos de diferentes dispositivos y sistemas operativos
El sistema de archivos determina el formato de su dispositivo y sirve para asignar, almacenar y administrar los datos. En otras palabras, los sistemas de ficheros establecen la manera de almacenamiento y manipulación de archivos al nivel más bajo. Dependen del sistema operativo y suelen ser típicos de determinados dispositivos de almacenamiento.
Antes de empezar a recuperar sus datos, le recomendamos que identifique el sistema de archivos de su medio de almacenamiento de datos para obtener una comprensión más profunda de cómo se almacenan sus archivos y, en consecuencia, elegir el software de recuperación de datos más adecuado.
Unidades de almacenamiento
A pesar de que los sistemas de archivos son flexibles en referencia al almacenamiento en el que funcionan, como regla, se puede determinar el tipo del sistema por el tipo de dispositivo en sí.
Así, las memorias USB y tarjetas de memoria suelen tener el sistema FAT o exFAT. Este tipo de sistema de archivos es compatible con una serie de sistemas operativos. Por esta razón, se puede usar un lápiz de memoria USB o una tarjeta de memoria con cualquier computadora.
NTFS, HFS+, Ext2-4 se encuentran a menudo en computadoras personales y estaciones de trabajo. Estos sistemas de ficheros funcionan de forma diferente y no son compatibles con sus homólogos.
La mayoría de los almacenamientos NAS se basa en los sistemas de archivos XFS, Ext2-4, Btrfs o ReiserFS. Se consideran los más adecuados para servidores domésticos debido a su diseño, mientras que XFS, por ejemplo, es una opción ideal para almacenar archivos medianos y grandes y, ReiserFS, a su vez, se destaca por la máxima velocidad. Los sistemas de archivos de los almacenamientos conectados en red (NAS) a menudo no se muestran al usuario y se representan como carpetas de red por protocolos de red especiales.
Sistemas operativos
Por lo general, es difícil identificar el sistema de archivos basándose sólo en el tipo de almacenamiento, mientras que el sistema operativo le puede prestar más información. Es que el sistema de archivos está relacionado con el sistema operativo instalado en el almacenamiento, pero debido a que diferentes sistemas de ficheros normalmente tienen diferentes propósitos, a veces un solo sistema operativo puede utilizar varios sistemas de archivos.
SO Windows
NTFS
NTFS es el sistema de archivos más popular y extendido para la familia de sistemas operativos de Windows. Este es el sistema de ficheros predeterminado de discos y particiones de discos en Windows. Es fácil de extender y proporciona muchas propiedades de ficheros, incluyendo el control de acceso, el cifrado, etc. Una de sus desventajas consiste en un método de almacenamiento de datos bastante complicado.
Estructura: el encabezado del sistema de ficheros (registro de arranque), Master File Table ($MFT o la Tabla Maestra de Archivos), espacio para archivos.
El sistema de ficheros NTFS utiliza la Tabla Maestra de Archivos (MFT) para coordinar ficheros. La MFT contiene la información principal sobre todos los archivos, así como sobre las carpetas que los contienen. Concretamente, la ubicación, el nombre, el tamaño del fichero y la fecha/hora de su creación y última modificación.
Si los atributos del archivo son demasiado grandes para una sola celda de la MFT, el sistema de archivos asignará una celda más colocada en el archivo para una lista de atributos de archivo.
Eliminación de archivo
Procedimiento: el sistema de archivos no elimina, sino que marca el registro del archivo en la tabla MFT como no utilizado, y la ubicación del archivo en la MFT y en el mapa de bits como liberada. El sistema también borra la entrada del fichero de su directorio.
Recuperación: la información sobre el archivo eliminado (su nombre, tamaño, ubicación) queda en la MFT. Si el registro de la MFT queda sin cambios y los datos del disco no se sobrescriben, las posibilidades de recuperar este archivo son del 100%. Y si este registro está eliminado, aún es posible encontrar el archivo por su contenido con la ayuda del método de recuperación raw. En este caso el procedimiento de recuperación se realiza a base del contenido del disco omitiendo la estructura del sistema de archivos.
Formateo
Procedimiento: el sistema de archivos elimina solamente el inicio de la MFT. El final de la tabla MFT permanece sin cambios.
Recuperación: los primeros 256 ficheros pierden sus enlaces a la MFT; entonces, sólo se pueden restaurar con el método de recuperación raw. Las posibilidades de restaurar los archivos siguientes a los mencionados 256 son de hasta el 100%.
FAT/FAT32
FAT/FAT32 es uno de los sistemas de ficheros más antiguos que tiene un diseño muy simple. Es compatible con todos los sistemas operativos, lo que permite libremente intercambiar los datos entre diferentes almacenamientos. Este sistema de archivos se utiliza en pequeños dispositivos de almacenamiento externos, como tarjetas de memoria de cámaras de foto y vídeo y memorias externas USB.
El inconveniente más obvio del sistema es su incapacidad de almacenar archivos grandes: las limitaciones de tamaño para cada archivo son 2GB en caso de FAT16 y 4GB en caso de FAT32.
Estructura: el encabezado del sistema de ficheros (2 encabezados extra para FAT32), las tablas FAT y el área de datos.
El sistema FAT aplica la Tabla de Asignación de Archivos que contiene una entrada para cada clúster en el disco y crea un enlace de esta tabla a la ubicación del fichero en la unidad. También incluye enlaces al clúster del inicio del fichero, de la continuación del fichero y del final del fichero. El sistema de archivos FAT no hace la desfragmentación de ficheros fragmentados. Debido al diseño original del sistema FAT, los archivos tienen 8 símbolos para el nombre de archivo y 3 símbolos para la extensión de archivo. Es por eso que los nombres de archivos largos se almacenan por separado, utilizando la función de extensión de nombre de archivo largo (LFN).
Eliminación de archivo/Formateo
Procedimiento: el sistema de archivos borra toda la información de la Tabla de Asignación de Archivos, incluso los enlaces a los clústeres de la continuación y del fin del archivo. Con esto, el área de datos en sí no se borra. El primer símbolo del nombre de archivo se elimina en su forma abreviada y, en caso de FAT32, se borra una parte de la información sobre el clúster del inicio del fichero.
Recuperación: el inicio del archivo sí se puede encontrar, mientras que la información sobre la continuación y el final del archivo es poco probable de encontrarse. Por lo tanto, la recuperación de datos puede estar incompleta. Aparte de esto, el sistema de archivos FAT no realiza la desfragmentación de ficheros, lo que dificulta la restauración de archivos fragmentados incluso con el método de restauración raw. Un problema más consiste en que los nombres de ficheros tienen una longitud limitada y a veces se almacenan por separado de los ficheros. Es posible que la recuperación de nombres de archivo largos no dé ningunos resultados.
ExFAT
ExFAT fue creado por Microsoft Corporation para extender FAT. La simplicidad de este sistema de archivos lo ha hecho bastante popular. Pero a diferencia de su predecesor, el sistema ExFAT permite almacenar archivos de cualquier tamaño.
Estructura: el encabezado del sistema de archivos, la tabla FAT y el área de datos.
Al igual que en los sistemas antes mencionados, en exFAT se utiliza la Tabla de Asignación de Archivos para la gestión de ficheros. Dicha tabla dispone de una entrada para cada clúster en el disco y hace un enlace de la tabla a la ubicación del fichero en el disco. También incluye enlaces al inicio del archivo y a su continuación y final. Este sistema de archivos trata de evitar fragmentar ficheros y no proporciona enlaces a subdirectorios de fichero.
Eliminación de archivo/Formateo
Procedimiento: el sistema de archivos elimina toda la información de la Tabla de Asignación de Archivos, incluyendo los enlaces a la continuación y al fin del archivo. Con esto, el área de datos en sí no se borra.
Recuperación: en vista de que los enlaces a la continuación del archivo se pueden perder, los resultados de la recuperación de los archivos que se componen de múltiples bloques pueden estar incompletos. Las posibilidades de recuperar exitosamente un archivo del directorio dañado también son relativamente bajas. Y mientras tanto, la recuperación de archivos por sus contenidos (la llamada recuperación RAW) puede dar resultados buenos debido al nivel bajo de fragmentación de ficheros.
ReFS
ReFS es un sistema de ficheros que se implementa con frecuencia en los servidores. El sistema utiliza la técnica Copy-on-Write (COW, Copiar en escrito), gracias a la cual las versiones anteriores de ficheros eliminados aún quedan en el disco. De verdad, ReFS no se considera la mejor opción para almacenar archivos simples, ya que asigna al menos 64KB de espacio en disco a cada fichero. Si un archivo tiene un tamaño inferior a 64KB, el sistema todavía lo guardará en ese lugar, lo que hace poco eficaz el uso del espacio en disco.
macOS
HFS
El sistema de archivos HFS es un sistema de archivos obsoleto de Mac que es compatible con Recovery Explorer en el modo de solo lectura (sin escaneo).
HFS+
HFS+ es un sistema de archivos de registro por diario (journaling) que permite fácilmente recuperar datos después de fallos lógicos. El sistema aplica la codificación Unicode a los nombres de archivo grandes. La mayor desventaja de HFS+ consiste en los problemas al trabajar con los archivos fragmentados.
Estructura: el encabezado del sistema de archivos; el journal (también conocido como registro por diario) del sistema de ficheros; el Archivo de Catálogo con ficheros con información sobre otros ficheros (los llamados archivos de enlace duro).
En el sistema de ficheros HFS+ se utiliza el llamado journaling (es decir, registro por diario). En el journal se registra cada modificación del sistema de archivos. Con esto, el journal de HFS+ está limitado en tamaño, por lo que una nueva información se añade y se escribe reemplazando los registros antiguos. Es decir, el sistema de archivos sobrescribe la información existente para que el journal presente las modificaciones más recientes del sistema.
El objetivo de HFS+ es la desfragmentación de archivos. El sistema de archivos busca minuciosamente un lugar para almacenar un archivo y recopila los fragmentos de archivo. Sin embargo, los archivos fragmentados restantes pueden impedir la obtención del mejor resultado de recuperación de datos.
HFS+ utiliza enlaces físicos (duros) que se almacenan como archivos separados dentro de un directorio raíz oculto designado al almacenamiento de información sobre archivos de usuario. Cada archivo de enlace físico se vincula a su archivo de usuario.
Eliminación de archivo
Procedimiento: el sistema de archivos borra el enlace duro (también se llama físico) del directorio. A pesar de esto, esta información aún queda en los registros del journal por cierto período de tiempo.
Recuperación: el programa revisa el journal del sistema de archivos en busca de un estado más antiguo del sistema y devuelve el enlace físico perdido a su lugar inicial. Las posibilidades de una recuperación de datos exitosa dependen en gran medida del período de tiempo por lo cual se ha utilizado el sistema después de la eliminación del archivo. Por otro lado, incluso si el registro del journal ha sido vaciado, puede aprovechar el método de recuperación raw que da excelentes resultados de restauración de archivos no fragmentados.
Formateo
Procedimiento: el sistema de archivos borra el directorio de enlace duro, pero deja intactos el journal y el área de datos en el disco.
Recuperación: el programa consulta el journal (registro por diario) del sistema de ficheros y recupera todo lo que se puede restaurar del journal o aplica el método de recuperación raw (por contenido de archivo) para devolver archivos perdidos. Debido a la eliminación de enlaces físicos, las posibilidades de recuperación de archivos fragmentados pueden ser bajas.
Linux
Linux cuenta con un puñado de sistemas de archivos para satisfacer todas las necesidades del usuario. Cada uno de ellos tiene sus propias ventajas y desventajas.
Ext2-Ext4
En la mayoría de los casos, Ext2-Ext4son los sistemas predeterminados de Linux. Se caracterizan por la velocidad alta, la eficiencia y la adaptabilidad a diferentes propósitos de las actividades del sistema. Su principal desventaja consiste en que requieren demasiado espacio en el disco para las estructuras del sistema.
Estructura: el encabezado del sistema de archivos; inodos; una tabla de inodos.
Ext2
En el sistema de archivos Ext2 se utilizan inodos con información sobre archivos. En particular, sobre su pertenencia al usuario y al grupo, modo de acceso y extensión. Algunos inodos también incluyen una copia de la tabla de inodos.
Los inodos no incluyen ni contenidos, ni nombres de ficheros, ya que se almacenan en los directorios de archivos y no se consideran metadatos por el sistema de archivos.
Eliminación de archivo
Procedimiento: Ext2 marca el inodo del archivo como libre y actualiza el mapa de bloques libres. La entrada del nombre de fichero es desvinculada del registro del directorio. Y el nombre de fichero a la referencia de inodo se elimina. El archivo será eliminado después de que se eliminen todas las referencias de inodo a él.
Recuperación: gracias a que las descripciones del fichero quedan en el inodo, las posibilidades de restauración del archivo son bastante altas. Con lo dicho, los nombres de archivos que se almacenan en directorios y están desvinculados de sus archivos se perderán.
Formateo
Procedimiento: Ext2 borra todos los grupos de asignación del archivo y los inodos del archivo.
Recuperación: el programa puede utilizar la tecnología de recuperación RAW para encontrar archivos por sus contenidos. Los resultados de recuperación dependen del grado de fragmentación de archivos: los fragmentados son difíciles de recuperar.
Ext3/Ext4
Estructura: el encabezado del sistema de archivos; inodos; una tabla de inodos.
Además de los inodos implementados en Ext2, los sistemas de archivos Ext3 y Ext4 también usan el journaling (registro por diario). En el journal se guardan todas las modificaciones realizadas por el sistema de ficheros. Ext4 y Ext3 se diferencian en la estructura de referencias.
Eliminación de archivo
Procedimiento: El sistema de archivos crea una entrada en el journal y luego elimina la entrada de inodo del archivo. El registro de directorio no se elimina por completo, pero se cambia el orden de lectura de directorio.
Recuperación: la recuperación de archivos borrados y sus nombres es posible, gracias al journal del sistema de archivos. Sin embargo, el resultado depende del período de tiempo por lo cual el sistema de ficheros ha permanecido en funcionamiento después de la eliminación del fichero.
Formateo
Procedimiento: todos los grupos de asignación, así como los inodos de archivos e incluso el journal se borran. En el journal del sistema de archivos aún puede quedar cierta información sobre algunos de los ficheros recién creados.
Recuperación: sólo es posible recuperar archivos con la ayuda del método de recuperación raw que permite encontrarlos por sus contenidos. La restauración de archivos fragmentados es poco probable.
ReiserFS
ReiserFS es un proyecto privado que se desarrolló con el objetivo de permitir al usuario almacenar eficazmente una gran cantidad de archivos pequeños. Este sistema de archivos se destaca por el rendimiento de alta velocidad. Sin embargo, por algunas razones técnicas ReiserFS ya no se soporta activamente.
Estructura: el encabezado del sistema de archivos, el árbol S+.
En el sistema de archivos se utiliza el árbol S+ en el que se almacenan los metadatos de archivos y los descriptores de todos los ficheros y sus fragmentos. Cada vez que nuevos metadatos se agregan al árbol, se genera un nuevo árbol con nuevos datos que sustituye el anterior. Aún así, una copia del árbol anterior queda en el disco. De esta manera, el sistema de archivos puede almacenar una gran cantidad de copias de metadatos. Esta técnica se llama Copiar en escrito (también conocida como COW o Copy-on-write).
Eliminación de archivo
Procedimiento: El sistema actualiza el árbol S+ excluyendo el archivo y renueva el mapa de espacio libre.
Recuperación: gracias a la tecnología COW, se puede recuperar todos los archivos, incluso con sus nombres. Además, también es posible restaurar la versión anterior del archivo desde una copia del árbol S+ anterior.
Formateo
Procedimiento: El sistema de archivos genera un nuevo árbol S+ que sustituye el existente.
Recuperación: La técnica Copiar en escrito (la llamada COW) permite restaurar el sistema de archivos anterior y así recuperar por completo los datos. A pesar de esto, las posibilidades de recuperar por completo los archivos perdidos bajan, si la partición del sistema de archivos estaba llena. En este caso, el sistema suele reemplazar los datos antiguos con los nuevos.
XFS
XFS fue creado por la empresa Silicon Graphics para sus servidores IRIX. Lo mejor de este sistema es que es capaz de trabajar con archivos de todos los tamaños. El sistema se caracteriza por un alto nivel de optimización de archivos, pero tiene en una estructura compleja. Hay varias versiones de XFS, como, por ejemplo, TRiX Intel para Windows. Recovery Explorer es compatible con todas las versiones de XFS. XFS se puede encontrar en todo tipo de distribuciones de Linux.
Estructura:árboles complejos, inodos, mapas de bits (bitmaps).
El sistema XFS utiliza inodos para almacenar los metadatos de archivos, y el journaling para hacer un seguimiento de todas las modificaciones del sistema. En el journal sólo se guardan los metadatos. Cada inodo está provisto de un encabezado y un mapa de bits. XFS almacena inodos en un árbol especial ubicado en un lugar específico en el disco. El sistema de archivos también dispone de un mapa de bits para bloques de almacenamiento libres.
Eliminación de archivo
Procedimiento: el inodo del archivo borrado se excluye del árbol; en su lugar se escribe una nueva información.
Recuperación: XFS mantiene los metadatos del archivo permitiendo la recuperación de archivos perdidos. Las posibilidades de recuperación de archivos borrados incluso con sus nombres originales son bastante altas.
Formateo
Procedimiento: se sobrescriben los directorios raíz del sistema de ficheros.
Recuperación: las posibilidades de recuperar archivos que no se encontraban al principio del almacenamiento son altas, a diferencia de aquellos que estaban cerca del inicio.
JFS
JFS es un sistema de archivos que IBM Company desarrolló para sus servidores internos. Es un sistema de ficheros del journaling (registro por diario) para SO Linux. Este sistema de archivos se considera fiable y altamente productivo. JFS es el segundo sistema más fiable y productivo después de XFS, pero con una arquitectura más complicada. En el momento presente, se utiliza en los sistemas corporativos de Linux.
Estructura: el superbloque, el árbol B+, el journal, una serie de conjuntos de archivos de inodo.
En el sistema de archivos JFS se utiliza la estructura de árbol B+ para almacenar datos, el registro diario (journal) para realizar el seguimiento de modificaciones y los inodos para describir archivos. También es capaz de almacenar varios sistemas de ficheros en una sola partición con enlaces al mismo archivo. Para los nombres de archivo se pueden utilizar las codificaciones Unicode y UTF8.
Eliminación de archivo
Procedimiento: JFS actualiza el contador de usos del objeto y establece como liberado su inodo en el mapa de inodos. El directorio se reconstruye según los cambios.
Recuperación: El inodo del archivo queda en el disco, lo que aumenta las posibilidades de recuperarlo a casi el 100%. Las posibilidades de recuperación de nombres de archivos son aún relativamente bajas.
Formateo
Procedimiento: JFS crea un árbol nuevo. Es pequeño desde el principio y se amplía a medida que se utiliza el sistema de archivos.
Recuperación: las posibilidades de recuperación de archivos perdidos después del formateo son bastante altas, en vista del pequeño tamaño de un nuevo árbol B+. Aparte de esto, la numeración de inodos aumenta aún más las posibilidades de recuperar archivos después del formateo.