Cómo crear sus propias reglas para la recuperación por datos raw

Crear reglas personalizadas IntelliRAW

En la mayoría de los casos, UFS Explorer realiza un análisis exhaustivo de las estructuras del sistema de archivos y utiliza esta información para encontrar y recuperar los datos que faltan. Sin embargo, bajo ciertas circunstancias, los registros de servicio cruciales pueden dañarse gravemente o incluso sobrescribirse, por ejemplo, como resultado del formateo, la inicialización u otras manipulaciones con el almacenamiento.

En este caso, el análisis antes mencionado no permite conseguir resultados satisfactorios de la recuperación de datos. Para resolver este problema o mejorar los resultados obtenidos, se puede habilitar IntelliRAW o el método de "recuperación por datos raw". Esta técnica consiste en la búsqueda de fragmentos predefinidos del contenido de archivos o las llamadas firmas de archivos (también se conocen como "números mágicos"). Estas secuencias binarias se encuentran en un offset al principio y, a veces, también al final del archivo, y se suelen utilizar para identificar archivos de cierto tipo.

UFS Explorer ya cuenta con un amplio conjunto de reglas IntelliRAW con firmas de los archivos más comunes, como documentos, imágenes, ficheros multimedia, etc. No obstante, al trabajar con formatos de archivo raros o patentados, es posible que desee ampliar la lista disponible con sus propias reglas para emplear durante la recuperación por datos raw.

La adición de una regla para un tipo de archivo personalizado se realiza en tres etapas: encontrar las firmas binarias o de texto características del formato dado, formular una regla sobre la base de la cual serán detectadas por el programa y aplicarla al establecer los parámetros del escaneo de almacenamiento.

Encontrar firmas de archivos

Para obtener las firmas de archivos que se puedan usar para crear una regla de búsqueda personalizada, haga lo siguiente:

  1. Decida sobre los medios que utilizará para examinar el contenido hexadecimal de ficheros en busca de firmas de archivos. Consulte el artículo sobre cómo abrir una fuente de datos con el fin de realizar su análisis hexadecimal en UFS Explorer, o utilice cualquier otra herramienta alternativa de su preferencia.

  2. Acceda a los contenidos hexadecimales de varios archivos del formato necesario. Por ejemplo, aquí tenemos cinco imágenes JPEG simples.

    captura de pantalla

  3. Examine los datos binarios de cada archivo abierto para encontrar patrones idénticos, especialmente al principio y al final. En el caso de un formato de texto, utilice el campo de contenidos de texto. Para obtener resultados más precisos, hay que examinar tantos archivos como sea posible. En nuestro caso, cada uno de los archivos de muestra tiene una firma FF D8 FF(˙Ř˙) al principio y FF D9 (˙Ů) al fin.

    captura de pantalla

    captura de pantalla

    Nota: En algunos casos, puede ser difícil diferenciar entre las firmas verdaderas y los patrones de datos de información de servicio que los ficheros tienen en común. Si es posible, use archivos de muestra que no estén estrechamente relacionados, por ejemplo, vídeos grabados por diferentes cámaras.

  4. Seleccione la firma más cerca del inicio de sus archivos de muestra y cópiela al portapapeles, usando la herramienta para copiar datos raw (hexadecimales). Si su firma no es binaria, utilice la herramienta para copiar datos de texto. Guarde esta secuencia en cualquier ubicación segura para poder usarla más tarde.

    Preste atención a la posición de la firma que se indica en el campo "Inicio de la selección". En nuestro caso, es 0x0, pero es posible que su firma no se encuentre necesariamente al principio.

    captura de pantalla

  5. Si ha encontrado una firma al final de sus archivos de muestra, cópiela también.

Crear una regla de búsqueda basada en las firmas detectadas

Ahora, cuando usted tiene las firmas de archivos necesarias, puede crear una regla de búsqueda personalizada para que UFS Explorer reconozca dicho tipo de archivos.

A partir de la versión 9.4, el software ofrece un editor gráfico incorporado para crear, ver y editar estas reglas directamente en el programa. También se puede usar para subir un tipo de archivo personalizado desde el archivo *.xml existente de cualquier formato de terceros compatible.

Los usuarios que no actualizaron sus productos pueden descargar una utilidad gratuita llamada el editor de reglas IntelliRAW y seguir las instrucciones de creación de reglas de búsqueda personalizadas en las versiones anteriores de UFS Explorer (hasta la versión 9.3).

Si usted utiliza una versión más actual del programa, proceda de la siguiente manera:

  1. Inicie UFS Explorer y, si es necesario, cambie sus ajustes en el panel correspondiente.

  2. Haga clic en el elemento "Herramientas" del menú principal y seleccione la opción "Reglas de IntelliRAW" para que se abra el editor integrado.

    captura de pantalla

  3. En el cuadro de diálogo abierto, verá una lista de tipos de archivos que el software reconoce de forma predeterminada. Tenga en cuenta, por favor, que las reglas predefinidas no se pueden ver ni modificar.

    captura de pantalla

  4. Para añadir su propio tipo de archivo, pulse el botón "Nuevo tipo" en la barra de herramientas en la parte superior.

    captura de pantalla

  5. Seleccione el tipo de regla para crear según el formato de sus firmas (secuencias hexadecimales o cadenas de texto).

    captura de pantalla

    captura de pantalla

  6. Especifique una extensión para los archivos encontrados del formato dado.

    captura de pantalla

  7. Ingrese un nombre para su tipo de archivo personalizado en el campo correspondiente. Este nombre también se asignará a la carpeta de dichos archivos en los resultados de la recuperación por datos raw.

    captura de pantalla

  8. Si se trata de una firma de texto, también hay que elegir la codificación necesaria de la lista desplegable al lado de "Formato de texto".

    captura de pantalla

  9. Pulse el botón "Agregar regla" en la parte superior de la ventana e inserte la primera firma obtenida en la etapa anterior en el campo al lado de la propiedad "Valor".

    captura de pantalla

    captura de pantalla

  10. En caso de una firma hexadecimal, especifique su posición en el campo "Desplazamiento de regla".

    captura de pantalla

    Si se trata de una firma de texto, en adición, usted puede habilitar la distinción entre mayúsculas y minúsculas.

    captura de pantalla

  11. Después de que usted haga clic en "OK", su regla nueva aparecerá en el panel inferior. Usted puede editar sus reglas cuando quiera utilizando el botón "Ver/Editar".

    captura de pantalla

  12. Si tiene una firma más, vuelva a pulsar el botón "Agregar regla" y repita los pasos anteriores.

    captura de pantalla

  13. Especifique las condiciones que deben cumplirse para que se detecte una coincidencia: use la propiedad "Lógicas de reglas" para definir si todas las firmas o al menos una de ellas deben estar presentes en el contenido de un archivo.

    captura de pantalla

  14. Haga clic en "OK", y su tipo de archivo personalizado se agregará al conjunto de reglas de IntelliRAW. Se destacará con un color diferente y se marcará como "Definido por el usuario".

    captura de pantalla

  15. Las nuevas reglas se habilitan de forma predeterminada inmediatamente después de su creación. Usted puede desactivar su regla al seleccionar ella en la lista y pulsar el botón "Desactivar" en la barra de herramientas superior, o utilizar el botón "Activar" para volver a habilitar ella más tarde.

    captura de pantalla

    captura de pantalla

Ahora, cierre el editor. El tipo de archivo personalizado que ha agregado permanecerá en el programa incluso después del reinicio. Se puede volver a abrir el editor más tarde para editar, deshabilitar o eliminar una regla.

Además, se puede utilizar la herramienta "Exportar" para guardarla como un archivo *.xml con fines de copia de seguridad o para importarla en UFS Explorer instalado en otra computadora.

Utilizar reglas personalizadas

Para que UFS Explorer busque los archivos del tipo personalizado durante el escaneo, hay que hacer lo siguiente:

  1. En la etapa de configuración del escaneo, marque la opción "Sí, estoy interesado en el resultado de la recuperación de contenido conocido".

    captura de pantalla

  2. Tras marcarla, aparecerá otra opción para habilitar el uso de sus propias reglas de búsqueda de datos. Márquela también.

    captura de pantalla

  3. El software mostrará el número de reglas personalizadas disponibles actualmente. Si necesita realizar algún ajuste, utilice la opción "Administrar reglas". De lo contrario, proceda al escaneo.

    captura de pantalla

UFS Explorer usará su regla y recopilará los archivos encontrados con su ayuda en la carpeta $Custom. De manera automática, se les asignarán nuevos nombres a los archivos, ya que esta información no se puede recuperar durante la recuperación por datos raw. Además, cabe resaltar que este método tiene desventajas y brinda resultados malos en caso de archivos altamente fragmentados. Además, si no se define una firma clara del final del archivo, muchos de ellos pueden recuperarse como dañados.

Última actualización: el 22 de marzo de 2022

Si le gusta este artículo, compártalo en sus redes sociales: