Bipunto..

domingo septiembre 09, 2007

Recuperación de fotos (y II)

Continuando con el anterior apunte sobre recuperación de fotos de tarjetas de memoria de cámaras digitales, aquí va el siguiente capítulo, pero de carácter más técnico y con informaciones que espero sean útiles para el proceso de restauración.
Si no sabes lo que es un clúster de un sistema de archivos, no te recomiendo el tocho que sigue.

Las tarjetas de memoria de las cámaras de fotos, en concreto las SecureDigital o las MultiMedia Card, están formateadas típicamente con el formato de Microsoft FAT, aunque el sistema de archivos de dicho dispositivo podría ser cualquier otro. Este sistema de archivos contiene cuatro zonas diferenciadas, la primera es una área denominada BPB (BIOS Parameter Block) en donde se identifica el sistema de archivos y las características del disco, la siguiente es la zona de la FAT (y su copia de respaldo), conteniendo los apuntadores encadenados apuntando a los números de clúster asignados a los ficheros. A continuación viene la zona para el directorio raíz, que es en donde se apuntan los nombres de los ficheros y otros atributos como su fecha y hora y tamaño, así como el número del primer clúster, y finalmente tendremos la zona de datos, que además de contener los ficheros con las fotos, puede contener datos de otros subdirectorios creados. Más información sobre la FAT en "FAT al desnudo" de uControl http://www.ucontrol.com.ar/wiki/index.php?title=FAT_al_desnudo.


En una cámara de fotos digital, existirá en el directorio raíz un subdirectorio llamada \DCIM (Digital Camera Images) también conocido por 'DCF image root directory' que siguiendo la especificación DCF (Design rule for Camera File system) del JEIDA contendrá los objetos DCF en directorios nombrados con la siguiente nomenclatura '\DCIM\nnnAAAAA\' en donde nnn es un número de tres dígitos mayor de 99 y AAAAA son carácteres a elección del fabricante, que usualmente indican el modelo de cámara. Los nombres de los objetos DCF (Fotos, vídeo o sonido) será 'ABCDnnnn.EXT' en donde ABCD son caracteres alfanuméricos y nnnn es un número secuencial.
Todo esto se estipula para que no haya conflictos de nombres duplicados en los objetos que se crean (Fotos o vídeos que se almacenan en la cámara), aunque algunos fabricantes son permisivos y si en el directorio de objetos DCF se pone una foto con otro nombre que no siga la nomenclatura, la cámara lo puede visualizar como el resto.

Cuando se borran los ficheros con la opción pertinente de borrado, lo que realmente se está haciendo es poniendo una marca en la entrada del directorio, el valor 0xE5 como primer carácter del nombre del fichero (DCF object name) y se marcan en la FAT los clústeres como disponibles con un 0x00.

Con el método de búsqueda 'Modalidad Rápida' del "PC Inspector SmartRecovery" lo que se hace es buscar en las entradas del directorio raíz, y en los subdirectorios que pudiera tener, la marca 0xE5, tras esto se localiza en dicha entrada de la tabla del directorio el cluster inicial y el tamaño del fichero y se va infiriendo la cadena de clústeres asignados.

Con el método de búsqueda 'Modalidad Intensiva' del SmartRecovery lo que se hace es ignorar las entradas del directorio raíz, e ir a la zona de datos en busca de patrones reconocidos en función del tipo de fichero que queremos recuperar. Es por esto, que tras un formateo rápido, todavía es posible recuperar información.
En el caso de un fichero JPEG, las marcas son 0xFFD8 que corresponde con el SOI (Start of image) y 0xFFD9 que corresponde con el EOI (End of image), y en medio existen otras marcas identificadas por 0xFFXX llamadas 'Marker' que al estar secuenciadas permiten obtener los datos que identifican y limitan.

Para asegurar una óptima recuperación de ficheros en caso de desgracia, lo recomendable es que tras pasar todo el contenido de la tarjeta de memoria a un lugar seguro se realice un borrado del contenido de esta con alguna utilidad de 'borrad seguro' como Eraser (Licencia GNU), haciendo una sola pasada y poniendo a cero los bytes. Tras esto, formatea con la cámara para mayor compatibilidad con esta.

Por último otra utilidad, de carácter más avanzado, de recuperación de fotos de tarjetas de memoria es "PhotoRec" (Photo Recovery) una potente utilidad opensource y multiplataforma creada por el parisino Christophe GRENIER y descargable desde http://www.cgsecurity.org/wiki/PhotoRec, su aspecto e interface es en modo consola pero atesora en su interior todo el conocimiento de este gran "HACKER" y de su otra fabulosa e indispensable herramienta 'TestDisk'..