Uno de los tantos mitos que existen en la recuperación de datos, es el de si es cierto que se puede correr la utilería interna de Windows llamada CHKDSK sin complicaciones posteriores.
Lo que sucede con este tipo de utilerías reside en el hecho de como no son aplicaciones específicas para poder monitorear las actividades en las unidades no tienen las características necesarias o propias así como las herramientas que se pueden tener en un laboratorio especializado tales como :
Controles de lectura por hardware , monitoreo del firmware , análisis de canal de lectura y demás .
Mostramos a continuación un ejemplo de un escenario donde el usuario ejecutó dicha herramienta en un servidor en RAID 5 y lo que sucedió, sin embargo cabe mencionar que esto suele suceder tanto en equipos de PC Escritorio o Laptop e incluso SSD
Al realizar los análisis en laboratorio se encontraron problemas de lectura en las unidades involucradas en el arreglo RAID.
Sin embargo el sistema operativo ni las utilerías fueron capaces de detectar estos problemas, se realizó proceso de extracción de sectores por control hardware de las unidades defectuosas para posteriormente pasar al proceso de “armado del arreglo” teniendo acceso a la partición de datos .
Notamos que cierta parte de la información se mostraba vacía y encontramos algunos archivos corruptos, así mismo se encontró una carpeta ” found”, dejada por la utilería , y deducimos por las fechas de creación de los archivos que anteriormente a la llegada a laboratorio se había corrido una rutina con este software provocando que varios archivos se corrompieran ( Cambió los apuntadores de los archivos que para el eran defectuosos, no supo detectar que el problema no era lógico sino ocasionado por errores de lectura en esa área)
Screenshot de las carpetas creadas por el programa CHKDSK
La imagen anterior es un ejemplo de cómo afectó el código de un archivo JPG después de correr CHKDSK tiene código ahora de un PDF
Como vemos en la imagen anterior donde mostramos lo que era un archivo de tipo JPG, después de correr la rutina el archivo CHKDSK cambió los apuntadores del archivo provocando que ahora el contenido que tenía el archivo sea el de un archivo tipo PDF provocando que el archivo ya no abra y esté corrupto, cabe mencionar que esto pasó en la mayoría de los archivos.
En términos finales este tipo de herramientas no cuentan con la capacidad correcta para identificar el problema por el cual no permite el acceso a un sector definido y simplemente se van para lo cual fueron creadas de ahí lo peligroso de ejecutar estas herramientas que no fueron creadas para tales fines .