<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml" xml:lang="en" lang="en" dir="ltr">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8" />
<meta name="keywords" content="Menu Analizar,Ejecutando TestDisk" />
<link rel="shortcut icon" href="favicon.ico" />
<link rel="search" type="application/opensearchdescription+xml" href="opensearch_desc.php" title="CGSecurity (English)" />
<link rel="copyright" href="http://www.gnu.org/copyleft/fdl.html" />
<title>Menu Analizar - CGSecurity</title>
<style type="text/css" media="screen, projection">/*<![CDATA[*/
@import "shared.css_97.css";
@import "main.css_97.css";
/*]]>*/</style>
<link rel="stylesheet" type="text/css" media="print" href="commonprint.css_97.css" />
<!--[if lt IE 5.5000]><style type="text/css">@import "ie50fixes.css_97.css";</style><![endif]-->
<!--[if IE 5.5000]><style type="text/css">@import "ie55fixes.css_97.css";</style><![endif]-->
<!--[if IE 6]><style type="text/css">@import "ie60fixes.css_97.css";</style><![endif]-->
<!--[if IE 7]><style type="text/css">@import "ie70fixes.css_97.css";</style><![endif]-->
<!--[if lt IE 7]><script type="text/javascript" src="iefixes.js_97"></script>
<meta http-equiv="imagetoolbar" content="no" /><![endif]-->
<script type= "text/javascript">/*<![CDATA[*/
var skin = "monobook";
var stylepath = "/mw/skins";
var wgArticlePath = "/wiki/$1";
var wgScriptPath = "/mw";
var wgScript = "/mw/index.php";
var wgServer = "http://www.cgsecurity.org";
var wgCanonicalNamespace = "";
var wgCanonicalSpecialPageName = false;
var wgNamespaceNumber = 0;
var wgPageName = "Menu_Analizar";
var wgTitle = "Menu Analizar";
var wgAction = "view";
var wgRestrictionEdit = [];
var wgRestrictionMove = [];
var wgArticleId = "1811";
var wgIsArticle = true;
var wgUserName = null;
var wgUserGroups = null;
var wgUserLanguage = "en";
var wgContentLanguage = "en";
var wgBreakFrames = false;
var wgCurRevisionId = "4004";
/*]]>*/</script>
<script type="text/javascript" src="wikibits.js_97"><!-- wikibits js --></script>
<script type="text/javascript" src="http://www.cgsecurity.org/mw/index.php?title=-&action=raw&gen=js&useskin=monobook"><!-- site js --></script>
<style type="text/css">/*<![CDATA[*/
@import "Common.css";
@import "Monobook.css";
@import "dyn.css";
/*]]>*/</style>
<!-- Head Scripts -->
<script type="text/javascript" src="ajax.js_97"></script>
</head>
<body class="mediawiki ns-0 ltr page-Menu_Analizar">
<div id="globalWrapper">
<div id="column-content">
<div id="content">
<a name="top" id="top"></a>
<h1 class="firstHeading">Menu Analizar</h1>
<div id="bodyContent">
<h3 id="siteSub">From CGSecurity</h3>
<div id="contentSub"></div>
<div id="jump-to-nav">Jump to: <a href="#column-one">navigation</a>, <a href="#searchInput">search</a></div> <!-- start content -->
<table id="toc" class="toc" summary="Contents"><tr><td><div id="toctitle"><h2>Contents</h2></div>
<ul>
<li class="toclevel-1"><a href="#Analizar"><span class="tocnumber">1</span> <span class="toctext">Analizar</span></a></li>
<li class="toclevel-1"><a href="#Check_de_Partici.C3.B3n"><span class="tocnumber">2</span> <span class="toctext">Check de Partición</span></a></li>
<li class="toclevel-1"><a href="#Checkeos_de_Sistemas_de_Archivos"><span class="tocnumber">3</span> <span class="toctext">Checkeos de Sistemas de Archivos</span></a></li>
<li class="toclevel-1"><a href="#Recuperaci.C3.B3n_de_la_Partici.C3.B3n"><span class="tocnumber">4</span> <span class="toctext">Recuperación de la Partición</span></a></li>
</ul>
</td></tr></table><script type="text/javascript"> if (window.showTocToggle) { var tocShowText = "show"; var tocHideText = "hide"; showTocToggle(); } </script>
<a name="Analizar"></a><h3> <span class="mw-headline"> <b>Analizar</b></span></h3>
<pre>
TestDisk 6.5-WIP, Data Recovery Utility, October 2006
Christophe GRENIER <grenier@cgsecurity.org>
http://www.cgsecurity.org
Disk /dev/sda - 120 GB / 111 GiB - CHS 14593 255 63
Current partition structure:
Partition Start End Size in sectors
1 * FAT32 0 1 1 1010 254 63 16241652 [NO NAME]
2 P Linux 1011 0 1 1023 254 63 208845 [/boot]
3 E extended LBA 1024 0 1 14592 254 63 217985985
5 L Linux RAID 1024 1 1 3573 254 63 40965687 [md0]
X extended 3574 0 1 4210 254 63 10233405
6 L Linux RAID 3574 1 1 4210 254 63 10233342 [md1]
X extended 4211 0 1 14592 254 63 166786830
7 L Linux 4211 1 1 14592 254 63 166786767
*=Primary bootable P=Primary L=Logical E=Extended D=Deleted
[Proceed ] [ Backup ]
Try to locate partition
</pre>
<p>Analyza la estructura de la partición actual del disco y busca otras particiones, posibilitando la recuperación de particiones perdidas.
</p>
<a name="Check_de_Partici.C3.B3n"></a><h2> <span class="mw-headline"> Check de Partición </span></h2>
<p>El análisis de TestDisk hace un checkeo rápido de la estructura de la partición. TestDisk puede manejar varios tipos de particiones:
- Intel
- Mac
- None (ie: medios pequeños sin particiones)
- Sun
- XBox
</p><p>La estructura de particiones de Intel está compuesta de la tabla MBR y las particiones extendidas. El MBR está limitado a cuatro entradas. Una de estas entradas puede ser una partición extendida permitiendo varias particiones lógicas.
Cada partición lógica está contenida por un contenedor ó una partición extendida. El MBR y cada partición extendida debe terminar con dos bytes 0x55 y 0xAA, en ese orden; lo cual conforma la palabra 0xAA55 (ya que los sistemas con CPU x86 son 'little-endian').
</p><p>Una entrada de una partición está compuesta de:
- principio de la partición en CHS (Cylinders, Heads, Sectors)
- finend de la partición en CHS
- tipo de sistema de archivos
- inicio lógico
- tamaño en sectores
- bandera de boot
Solamente la partición primaria puede tener la bandera de boot seteada.
El almacenamiento de la información de almacenamiento está limitado a un máximo de 1024 cilindros (0-1023), por eso tenemos la famosa limitación de 8 GB (1024*255*63 = 16450560 sectores = 8422686720 bytes).
</p><p>Los sistemas operativos modernos y los chips de BIOS usan el modo LBA para acceder a los datos, pero los sectores de booteo de FAT12/13/32 siguen haciendo referencia a la geometría CHS. TestDisk checkea que cada valor esté en el rango autorizado: ej. ningún valor menor a 1 ni mayor al número de sectores por cabezal. Las entradas de la partición son leídas usando el inicio y tamaño lógicos en sectores, luego TestDisk checkea si los valores lógicos son iguales a los valores de CHS. TestDisk también que ningún dato de partición muestre una partición como finalizadora luego del final del disco, y que ninguna se superponga con las demás.
</p><p>La marca SUN puede tener hasta 8 entradas de particiones. La entrada número 2 está reservada para todo el disco.
</p>
<a name="Checkeos_de_Sistemas_de_Archivos"></a><h2> <span class="mw-headline"> Checkeos de Sistemas de Archivos </span></h2>
<p>A continuación del sistema de archivos, TestDisk ejecuta algunos checkeos básicos en el sector de booteo / superblock de cada sistema de archivos. Como ext2/ext3/reiserfs/jfs comparten el mismo tipo de sistema de archivos: 0x83, TestDisk tiene que revisar cada sistema de archivos. Los checkeos son los mismos que aquéllos usados cuando TestDisk está buscando particiones:
- la prescencia de el valor mágico ó la firma (i.e., 0xAA55 en el offset 0x1FE del sector de booteo FAT ó NTFS).
- valores coherentes (ej., free_blocks_count más bajos que blocks_count para ext2)
Esta fase es muy rápida porque los checkeos son mínimos.
</p>
<a name="Recuperaci.C3.B3n_de_la_Partici.C3.B3n"></a><h2> <span class="mw-headline"> Recuperación de la Partición </span></h2>
<p>En un segundo paso, TestDisk busca particiones perdidas, sin hacer uso de resultados del paso anterior. Este es el corazón de las poderosas capacidades de TestDisk.
TestDisk asume que la existencia de particiones y revisa todos los cilindros del disco buscándolas. Una partici&oacuten;n primaria comienza en el principio de un cilindro (head=0, sector=1), cuando una participación lógica comienza un poco más allá (head=1, sector=1). Para cada posible ubicación de inicio de partición, TestDisk puede buscar la prescencia de una cabecera de sistema de archivos (el sector de booteo FAT ó NTFS, superbloques EXT2/EXT3, disklabels de BSD...), el cual confirma la prescencia de tipos de particiones conocidos. Por lo tanto, el tamaño de la partición está determinado directamente de su estructura en el disco. Cada partició que TestDisk descrubre es agregado a una lista de particiones conocidas.
</p><p>Para detectar una partición de FAT32, TestDisk busca una marca 0xAA55 y la firma <code>FAT32</code>, también se ejecuta los checkeos correspondientes del sistema de archivos FAT:
- la firma de salto tiene que tener la forma <code>0x<b>eb</b> 0xXX 0x<b>90</b></code> or<br /><code>0x<b>e9</b> 0xXX 0xXX</code><br />
donde <code>0xXX</code> puede ser cualquier byte, y...<br />
</p>
<pre> 0x<b>eb</b>: un salto pequeño (Small jump), desplazamiento relativo a la próxima instrucción (só 8 bits).<br />
0x<b>90</b>: NOP (no hacer nada).<br />
0x<b>e9</b>: un salto cercano (Near Jump), desplazamiento relativo a la próxima instrucción (32 ó 16 bits).
</pre>
<p>- tamaño del sector es 512
- tamaño del cluster debe ser 1, 2, 4, 8, 16, 32, 64 ó 128
- tiene que tener al menos 2 copias de FAT
- el medio debe ser 0xF8 (ningún otro valor es visto, es una característica obsoleta)
- Si se siguen las instrucciones de MS, la firma <code>FAT32</code> no tiene sentido pero su sistema de archivos debería tenerla.
</p>
<pre> Siguiendo el número de cluster, TestDisk determina la clase de FAT (el número de cluster es mayor ó igual a 65525 para un FAT32).
</pre>
<p>Algunos checkeos específicos en FAT32 son llevados a cabo:
- el número del root cluster debe estar entre 2 y el número máximo de cluster ,
- algunos valores obsoletos (número de entradas de directorios, tamaño en 16 Bits de la partición) deben estar seteados a 0,
- la versión de FAT32 (no usada) debe ser 0.0
</p><p>Para detectar una partición NTFS, TestDisk busca una marca 0xAA55 y la firma <code>NTFS</code>, también checkea que algunos valores específicos de FAT estén seteados a cero (0): La cantidad de sectores, reservados, cantidad de FATs, cantidad de entradas de directorios, tamaño del sistema de archivos en 16 Bits, tamaño del sistema de archivos en 32 Bits, cantidad de sectores por FAT.
El número de sectores por cluster debe ser mayor a cero.
</p><p>Para sistemas de archivos FAT y NTFS, el tamaño de la partición será leído en el sector de booteo mismo.
</p>
<pre>
TestDisk 6.9-WIP, Data Recovery Utility, December 2007
Christophe GRENIER <grenier@cgsecurity.org>
http://www.cgsecurity.org
Disk /dev/sda - 120 GB / 111 GiB - CHS 14593 255 63
Analyse cylinder 1011/14592: 00%
FAT32 0 1 1 1010 254 63 16241652 [NO NAME]
Stop
</pre>
<p>una vez que el análisis está completo, TestDisk genera un reporte de las particiones encontradas.
</p>
<pre>
TestDisk 6.9-WIP, Data Recovery Utility, December 2007
Christophe GRENIER <grenier@cgsecurity.org>
http://www.cgsecurity.org
Disk /dev/sda - 120 GB / 111 GiB - CHS 14593 255 63
Partition Start End Size in sectors
* FAT32 0 1 1 1010 254 63 16241652 [NO NAME]
P Linux 1011 0 1 1023 254 63 208845 [/boot]
D Linux 1024 1 1 3573 254 63 40965687
D Linux RAID 1024 1 1 3573 254 63 40965687 [md0]
D Linux 3574 1 1 4210 254 63 10233342
D Linux RAID 3574 1 1 4210 254 63 10233342 [md1]
L Linux 4211 1 1 14592 254 63 166786767
Structure: Ok. Use Up/Down Arrow keys to select partition.
Use LEFT/RIGHT Arrow keys to CHANGE partition characteristics:
*=Primary bootable P=Primary L=Logical E=Extended D=Deleted
Keys A: add partition, L: load backup, T: change type, P: list files,
ENTER: to continue
FAT32, 8315 MB / 7930 MiB
</pre>
<p>Se pueden listar los archivos de particiones NTFS, FAT, EXT2/EXT3 y ReiserFS presionando la tecla <b>P</b>.<br />
Notas:
</p>
<ul><li> Los listados de directorios FAT están limitados a 10 clusters, algunos archivos pueden no aparecer pero esto no afecta la recuperación.
</li><li> Para NTFS, es posible copiar archivos presionando *<b>c</b>*.
</li></ul>
<pre>
TestDisk 6.9-WIP, Data Recovery Utility, December 2007
Christophe GRENIER <grenier@cgsecurity.org>
http://www.cgsecurity.org
* FAT32 0 1 1 1010 254 63 16241652 [NO NAME]
Use right arrow to change directory, q to quit
Directory /
-rwxr-xr-x 0 0 805306368 20-Jul-2005 10:35 PAGEFILE.SYS
drwxr-xr-x 0 0 0 14-Feb-2005 22:41 WINDOWS
-r-xr-xr-x 0 0 4952 28-Aug-2001 15:00 Bootfont.bin
-r-xr-xr-x 0 0 251712 3-Aug-2004 22:59 NTLDR
-r-xr-xr-x 0 0 47564 3-Aug-2004 22:38 NTDETECT.COM
-rwxr-xr-x 0 0 212 14-Feb-2005 22:51 BOOT.INI
drwxr-xr-x 0 0 0 14-Feb-2005 22:47 Documents and Settings
dr-xr-xr-x 0 0 0 14-Feb-2005 22:55 Program Files
-rwxr-xr-x 0 0 0 14-Feb-2005 22:56 CONFIG.SYS
-rwxr-xr-x 0 0 0 14-Feb-2005 22:56 AUTOEXEC.BAT
-r-xr-xr-x 0 0 0 14-Feb-2005 22:56 IO.SYS
-r-xr-xr-x 0 0 0 14-Feb-2005 22:56 MSDOS.SYS
drwxr-xr-x 0 0 0 14-Feb-2005 23:02 System Volume Information
-rwxr-xr-x 0 0 536399872 20-Jul-2005 10:36 HIBERFIL.SYS
</pre>
<p>Usando la lista de las particiones encontradas, puede editar la tabla de particiones.
</p><p>Hay tres clases de ediciones:
</p>
<ol><li> Puede cambiar el tipo de partición con *<b>T</b>*
</li><li> Puede agregar una nueva partición con *<b>A</b>*.
</li><li> Puede cambiar el estado de la partición seleccionada usando las teclas derecha/izquierda. Los estados disponibles son <b>P</b>rimary, <b>*</b> bootable, <b>L</b>ogical, <b>D</b>eleted.
</li></ol>
<p>A medida que se hacen ediciones, mire el estado de la estructura de la tabla de particiones. Será ó bien <code>Ok</code> ó <code>Bad</code>.
</p><p><b>Structure: Ok</b> debería aparecer si todo está bien, ej. no hay particiones primarias entre dos particiones extendidas, solamente una ó ninguna partición booteables, no hay particiones que usan el mismo tamaño de disco.
</p><p>Cuando esté satisfecho con la partición editada, presione Enter. Si ha hecho ediciones, TestDisk le da la oportunidad de escribir los datos en la tabla de partición del disco, ó de conducir un análisis más detallado.
</p>
<ul><li><b>Quit</b>
</li></ul>
<p>Quits (sale) del programa TestDisk sin hacer ningún cambio (a menos que usted presiones la tecla ENTER cuando <b>Write</b> estaba resaltado).
</p><p><br />
</p>
<ul><li><b>Deeper Search</b>
</li></ul>
<p>El primer escaneo rápido Quick Search puede haber alterado algunas particiones. Deeper Search va también a buscar el sector de booteo de backup de FAT32, el superblock de bakcup de NTFS, el superblock de backup de EXT2/EXT3 para detectar más particiones, va a escanear cada cilindro.
</p>
<ul><li><b>Write</b>
</li></ul>
<p>Escribe los cambios que se hayan hecho en el buffer de memoria de TestDisk's al disco rígido. ¡Si usted no está seguro de los cambios (a menudo a la tabla de particiones del MBR), entonces no utilice esta función!
</p>
<ul><li><b>Extd Part</b>
</li></ul>
<p>Si hay particiones lógicas, esta bandera le permite decidir si la partición extendida utilizará todo el espacio en disco disponible ó solamente el mínimo requerido.
</p>
<pre>
TestDisk 6.9-WIP, Data Recovery Utility, December 2007
Christophe GRENIER <grenier@cgsecurity.org>
http://www.cgsecurity.org
Disk /dev/sda - 120 GB / 111 GiB - CHS 14593 255 63
Partition Start End Size in sectors
1 * FAT32 0 1 1 1010 254 63 16241652 [NO NAME]
2 P Linux 1011 0 1 1023 254 63 208845 [/boot]
3 E extended LBA 1024 0 1 14592 254 63 217985985
5 L Linux RAID 1024 1 1 3573 254 63 40965687 [md0]
6 L Linux RAID 3574 1 1 4210 254 63 10233342 [md1]
7 L Linux 4211 1 1 14592 254 63 166786767
[ Quit ] [Deeper Search] [ Write ]
Return to main menu
</pre>
<p>Aquí TestDisk le pregunta si desea confirmar la operación de escritura; así que tiene la última palabra sobre lo que TestDisk realmente hace.
</p>
<pre>
TestDisk 6.9-WIP, Data Recovery Utility, December 2007
Christophe GRENIER <grenier@cgsecurity.org>
http://www.cgsecurity.org
Write partition table, confirm ? (Y/N)
</pre>
<p>Volver a <a href="ejecutando_testdisk.html" title="Ejecutando TestDisk">Ejecutando el Programa TestDisk </a>
</p>
<!-- Saved in parser cache with key cg_mw-mw_:pcache:idhash:1811-0!1!0!!en!2!edit=0 and timestamp 20071203130509 -->
<div id="catlinks"><p class='catlinks'><a href="http://www.cgsecurity.org/wiki/Special:Categories" title="Special:Categories">Category</a>: <span dir='ltr'><a href="http://www.cgsecurity.org/wiki/Category:Data_Recovery" title="Category:Data Recovery">Data Recovery</a></span></p></div> <!-- end content -->
<div class="visualClear"></div>
</div>
</div>
</div>
<div id="column-one">
<div class="portlet" id="p-logo">
<a style="background-image: url(logo.png);" href="http://www.cgsecurity.org/" title="Visit the Main Page [z]" accesskey="z"></a>
</div>
<script type="text/javascript"> if (window.isMSIE55) fixalpha(); </script>
<div class='portlet' id='p-Data_Recovery'>
<h5>Data Recovery</h5>
<div class='pBody'>
<ul>
<li id="n-TestDisk"><a href="testdisk.html">TestDisk</a></li>
<li id="n-PhotoRec"><a href="photorec.html">PhotoRec</a></li>
<li id="n-Download"><a href="testdisk_download.html">download</a></li>
</ul>
</div>
</div>
</div><!-- end of the left (by default at least) column -->
<div class="visualClear"></div>
<div id="footer">
<div id="f-copyrightico"><a href="http://www.gnu.org/copyleft/fdl.html"><img src="gnu_fdl.png" alt='GNU Free Documentation License 1.2' /></a></div>
<ul id="f-list">
<li id="lastmod"> This page was last modified 10:15, 3 December 2007.</li>
<li id="copyright">Content is available under <a href="http://www.gnu.org/copyleft/fdl.html" class="external " title="http://www.gnu.org/copyleft/fdl.html" rel="nofollow">GNU Free Documentation License 1.2</a>.</li>
</ul>
</div>
<script type="text/javascript">if (window.runOnloadHook) runOnloadHook();</script>
</div>
</body><!-- Cached 20071203130509 -->
</html>
