Cómo desocultar archivos y documentos por virus en memorias USB en Windows

28 07 2009

Actualizado: Marzo 2012: Los virus desde siempre ha causado desde molestias hasta perdida de información ocultando o borrándola, es común que en al introducir una memoria USB en una computadora de un Cibercafé o de la oficina se contamine con toda clase de cosas. En la mayoría de los casos si uno cuenta con una computadora con un buen antivirus actualizado se descontamina. Pero los virus en ocasiones ocultan la información pareciendo como si los datos fueran borrados y el antivirus en su mayoría no restaura los atributos de los archivos.

Cómo dije un buen antivirus actualizado es una herramienta imprescindible para el usuario. Si no cuentan con internet es posible actualizar su antivirus actualizando con la descarga de un archivo ejecutable que realiza este paso de manera automática, en la mayoría de las empresas de antivirus crean este archivos para sus productos, la cual pueden descargarlo en una USB. Pueden ir la siguiente dirección: https://mymanuel.wordpress.com/descargas/, ahí encontrarán cada vínculo para la descarga de vacunas.

Como ya es sabido los usuarios descargan antivirus de Internet, estos en su mayoría cuentan con algún spyware.

Los antivirus como Kaspersky, NOD32, entre otros en sus versiones comerciales. Aún después de desinfectar una memoria USB en la mayoría de los casos los archivos siguen sin aparecer, en ciertas computadoras se pueden observar los archivos que supuestamente fueron borrados. Este documento trata de cómo desocultar archivos que fueron ocultos por virus en memorias USB, SD, discos duros internos y externos, micro-SD, MMC, Memory-Stick, etc. con sistemas de archivos FAT, FAT32 y NTFS, también funciona con memorias de los teléfonos celulares, ya que por ejemplo fotos y música aparecen en el teléfono, pero al momento de conectar el teléfono en windows, no aparecen las carpetas.

En este caso Utilice Windows XP, Windows Vista SP1, Windows 7 en una computadora libre de virus.

En mi caso la unidad USB tiene la letra E: con el nombre de USBMEMORY

Paso1.- Primeramente tenemos que abrir ms-dos.

Para el caso de Windows XP será así en:

Incio>Ejecutar>cmd.exe

Para Windows Vista

Incio y directamente escribir cmd en “Iniciar búsqueda”.

Figura 1.starcmd

Con el explorador de Windows se puede observar que no existen datos en la memoria Figura 2, pero esto no es suficiente. Para continuar con el manual debemos saber si realmente existen archivos en el disco que podemos desocultar, si no en su caso fueron borrados. Los archivos borrados también pueden recuperados con otras herramientas como testdisk utilizado en un documento anterior.

Figura 2UNDATA

Se pueden dar cuenta que sus archivos aún están en la memoria porque aún tiene espacio ocupado  Figura 3.

Figura 3media

En algunas computadoras pueden observar que si están sus archivos, pero aparecen como difuminados, es porque están ocultos. Figura 4

Figura 4MEMORIA

Paso 2.- Ponemos la letra de la  memoria USB o disco a desocultar los archivos. En mi caso E: sobre la línea de comandos.

E:    ó la unidad USB

Después tenemos que escribir:

dir /a

Este comando nos mostrará los archivos contenidos en la memoria y además los ocultos Firura 4, que son los que nos importan.

Figura 5msdosx

Una vez checado que existen archivo ocultos utilizaremos un comando que generalmente no es usado, me refiero a “attrib”, éste comando se encarga de asignar o quitar propiedades a los archivos y carpetas.

Paso 3.- En la línea de comandos escribiremos:

attrib –a –s –h –r /S /D

Lo que mandará a quitarle a los archivos lo oculto y las propiedades de escritura, también lo realizara con las carpetas Figura 5.

Figura 6resta

Paso 4.- En el explorador se puede checar que se desocultaron los archivos Figura 6.

Figura 7restart

Aunque este documento básico, estoy seguro que a más de uno de resultará útil.

Si tienes GNU/Linux, como Archlinux, OpenSUSE, Fedora, Debian, Ubuntu y sus subderivados, RHEL, etc.

Te habrás preguntado si se puede hacer esto, para los que utilizamos alguna distribución de GNU/Linux sabrán que también es posible restaurar los atributos y que sean aplicables a Windows, porque si aplican comandos de atributos para los archivos usando linux, es muy seguro que cuando regresen a Windows las cosas sigan como están, debido a que Linux tiene una forma distinta de aplicar atributos a los archivos y windows otra. Por lo que será necesario utilizar algún programa bajo linux que aplique atributos a los archivos y que sean utilices para los que usen algún Windows.

Se esta creando una guía, paso a paso para este propósito, en un par de días estará lista.





Recuperación de fotos y archivos de memorias USB, SD, discos duros con PhotoRec en Ubuntu 9.04 Jaunty Jackalope

15 07 2009

Recuperar fotos y archivos borrados de la cámara digital, memorias USB, Discos duros, SD, etc., con PhotoRec en Ubuntu 9.04 Jaunty Jackalope en Acer 4520.

Si por alguna razón has perdido archivos como fotos, videos, documentos de las memorias USB o de las tarjetas SD de  las cámaras digitales, teléfonos, etc., discos duros. El programa te resultara últil para una segunda vez. En el mercado existen varios programas que ofrecen la recuperación de datos, la mayoría son de paga, otros como PhotoRec están bajo licencia GNU lo cual hace posible su uso sin desembolsar nada, existen versiones para Linux y otras plataformas, la página se encuentra en: http://www.cgsecurity.org/wiki/PhotoRec, en la parte de download. En nuestro caso se seleccionamos Linux, Kernel 2.6x.i386/x86 para esta versión. La versión descargada del programa es la 6.11.3. Aclaro que entre más usen la memoria despues del incidente es menos probable recuperar el archivo, y si la memoria es pequeña en capacidad las cosas se agravan. Este manual también es útil para sistemas Windows, con sus respectivos comandos.

stableversions

Figura 1. En la página de CGSecurity.org existen varias versiones del programa para distintas plataformas.

Una vez descargado el archivo lo descomprimimos como mejor nos guste, sea en la consola o gráficamente, aunque en este caso preferimos utilizar la consola. La memoria tiene el nombre de USBMEMORY, la cual había sido formateada y usada. Antes de esto la memoria contenía una buena cantidad de archivos de video y documentos, que un X usuario desea recuperar.

Abrimos una terminal y nos posicionamos dentro de la carpeta que hemos descomprimido. En mi caso lo descargue en el Escritorio.

$ cd Escritorio/testdisk-6.11.3/linux

intro

Figura 2. Nos colocamos dentro de  la carpeta del programa en Linux.

Paso 1. En ésta carpeta contiene una serie de archivos, que por el momento solo utilizaremos el archivo photorec_static que en sí es el programa, usamos el comando en modo administrador:

$sudo ./photorec_static

De ésta manera arrancaremos el programa, y seleccionamos la unidad en la cual vamos a recuperar los archivos, en este caso la memoria es una “SanDisk Cruzer Titanium” de 512 MB, que seleccionamos y procedemos.

 

1

Figura 3. Selección de la unidad a recuperdar archivos.

Paso 2. Tenemos que elegir el tipo tabla de partición a recuperar, comúnmente en las memorias USB, SD, etc., son del tipo:  [Intel] Intel/PC Partition la seleccionamos.

2

Figura 4. Selección del tipo de tabla de partición, en generalmente es Intel/PC partition

Paso 3. Seleccionamos la partición a recuperar, en este caso como es una memoria USB normal solo tiene una, y seleccionamos la opción de [Whole disk], toda la memoria. Ir al paso 4.

3

Si queremos realizar una recuperación rápida, de solo un tipo de archivo, seleccionamos [Options] y después de seleccionar solo el tipo de archivo a recuperar guardamos, en caso contrario continuamos al Paso 4.

13

PASO 4. Una vez seleccionado la partición de la unidad, seleccionamos el sistema de archivos, en las memorias USB el sistema común es FAT, por lo cual seleccionamos [Other].

5

PASO 5.  El programa en automático presentara la carpeta en donde se guardarán los archivos recuperados, por default el programa creará una carpeta con el nombre de recup_dir.1 dentro de la carpeta linux si es la primera vez, y en forma secuencial recup_dir.2, para la segunda vez, etc. En este caso presionamos Y para aceptar esta carpeta, y el programa comenzara a analizar la memoria.

7

Paso 9. Corriendo el programa.

9

Paso 10. El programa recupero 114 archivos de esta memoria, la velocidad de recuperación depende de la velocidad de la USB, cantidad de archivos, etc., en este caso llevo cerca de 1 minuto 04 segundos y recupero cerca de 450 MB. Salirnos y listo. [Quit]

10

Solo basta ir a la carpeta dentro de la carpeta linux que ha sido creada con el nombre de  recup_dir.1, y checar los archivos.

$ cd recup_dir.1

Mis archivos recuperados.

12

Este programa como muchos con Licencia GNU no cobra por el uso, aunque si nos ha ayudado y queremos apoyar, en la página del programa CGsecurity.org una donación es bien recibida.