Después de hacer la recuperacion de datos, es común encontrar archivos que no funcionan, ya sea por la naturaleza de la falla o por errores en el proceso de recuperación.
Un editor hexadecimal es una herramienta muy útil para poder determinar el grado de corrupción o reconstrucción de los tipos de archivo más comunes.
Podemos analizar los datos «recuperados» para saber si mantienen al menos una parte de sus estructuras.
Si encontramos que su inicio, fin, tamaño, etc. son correctos, puede ser posible realizar reparaciones posteriores a la recuperación, con lo que se obtiene todo o parte del contenido de dicho archivo.
Por otro lado, si los datos aparecen sin lógica o estructura, podemos saber a ciencia cierta que dichos archivos no se recuperaron correctamente y no se puede avanzar en la corrección de errores, por lo que se deberán intentar otras técnicas de recuperación aplicables al medio original.
El Editor Hexadecimal
Un editor hexadecimal (también conocido como HEX editor) es un programa que nos deja abrir los archivo en modo de código de máquina, en el que cada caracter es traducido a su código equivalente ASCII.
Esto es útil cuando debemos identificar el código del encabezado al que pertenecen determinados tipos de archivos, por ejemplo pdf, docx, xlsx, gif o jpg.
Cualquier editor HEX sirve. Recomendamos XVI32, porque es gratuito, pero hay muchos otros disponibles en la web.
Otro programa gratuito que nos puede ayudar a identificar los archivos por su encabezado es Notepad+++, que es un block de notas con capacidades ampliadas.
Una alternativa muy buena (de paga) es WinHex.
En el contexto de esta nota, usaremos negritas para mostrar los caracteres en formato HEX.
Algunas veces los verás con una «x» al principio. Los caracteres únicos estarán dentro de comillas («).
Por ejemplo, en ASCII, la letra mayúscula «C» se muestra como 43 en hexadecimal (o x43), o como 67 en decimal.
Para convertir de hex a decimal, se toma el primer número (4) multiplicado por 16, y se agrega el segundo número (3) para obtener 64+3=67. También puedes usar una calculadora en línea, como esta.
Cómo reconocer los tipos de archivo más comunes
Archivos JPG
Para identificarlos, hay que abrirlos con tu editor hexadecimal o con un editor de texto (como Notepad). En este caso es muy fácil identificarlo pues a partir del 7° caracter debe aparecer el término «JFIF».
En editor hexadecimal:
FF D9 fin del archivo
FF D8 inicio del archivo
FF C0 contiene el tamaño del archivo
Altura del archivo se define en la 4a entrada después del caracter FF C0
Ancho del archivo se define en la 5a entrada después del caracter FF C0
Ejemplo, «FF C0 00 11 08 00 D4 01 1B«: Tomamos el 4° y 5° bytes después de C0 (00 D4) multiplicamos el 00 por 256 y agregamos D4 (212) para obtener 212 pixels de alto. Multiplicamos el 01 por 256 y sumamos 1B (27) para obtener un ancho de 283 pixeles.
Archivos GIF
Para ver su encabezado, hay que abrirlos con un editor de texto (como Notepad). En este caso es muy fácil identificarlos pues comienzan con GIF87a o GIF89a, dependiendo del formato usado.
En editor hexadecimal:
Ejemplo: «47 49 46 38 39 61 96 01 57 02» El ancho está en el 7° y 8° bit, pero los números están invertidos. Para GIF, tomamos el 8° bit (01), lo multiplicamos por 256 y agregamos el 7° bit (96). El ancho es entonces de 406.
Para la altura, tomamos el 10° bit (02), lo multiplicamos por 256 y agregamos el 9° bit (57), para obtener 599.
Archivos WAV
Hay que abrirlos con un editor de texto (como Notepad). En este caso es muy fácil reconocerlos pues comienzan con «RIFF» o «WAVE», dependiendo del formato usado.
Archivos MP3
Los MP3 no se pueden identificar con Notepad. Al parecer no existe una entrada única, pero el consenso es que inician con FF. El 2°, 3° y 4° caracteres tienen que ver con versiones, layers y bit rates.
La regla general parece ser que el 5° caracter es 00. Pero incluso hemos encontrado archivos MP3 con un 00 extra al principio. Así que la regla general es que no hay regla.
Archivos DOC
Hay que abrirlos con un editor de texto (como Notepad). En este caso es muy fácil leerlos pues prácticamente todo es texto simple. También podemos encontrar «W o r d D o c u m e n t» cerca del principio o cerca del final del archivo.
Archivos ZIP
Para identificarlos, hay que abrirlos con un editor de texto (como Notepad). Todos los archivos contendrán al inicio «PK».
Archivos PDF
Hay que abrirlos con un editor hexadecimal o de texto (como Notepad). Todos los pdf comienzan con %PDF-
Un punto importante es que los PDF no tienen marca de fin de archivo, por lo que en muchas ocasiones encontramos que al reconstruir archivos de este tipo, su tamaño se hace descomunalmente grande. Sin embargo, no es un problema que sea insalvable.
La reconstrucción de datos dañados es una especialidad para la que se requiere de entrenamiento y programas especiales.
Si los datos son importantes, contáctenos.
Casi siempre podemos ofrecer un diagnóstico gratuito o de bajo costo para evaluar la probabilidad de recuperación de su información.
