Recuperar metadatos de archivos Mac borrados

En este artículo, nos ocuparemos de describir, la forma de recuperar metadatos de archivos Mac borrados, que permitan la recuperación de archivos. La información es un recurso vital para cualquier persona u organización. Por esta razón, se han diseñado diversos procedimientos y herramientas que permiten recuperar nuestra información, ante cualquier situación. En este sentido, las investigaciones, arrojan información, sobre cómo recuperar datos de archivos Mac borrados, utilizando los metadatos.

Tabla de contenidos

Spotlight para recuperar metadatos de archivos Mac borrados
    Servidor de metadatos de Spotlight
    File Systems Events
    Store.db
Posibilidad de recuperar metadatos de archivos Mac borrados
    Registro Anticipado
¿Cómo Recuperar metadatos de archivos Mac borrados?

Spotlight para recuperar metadatos de archivos Mac borrados
recuperar metadatos de archivos Mac

Spotlight, es una tecnología de Apple (2004), la cual se incorporó a partir del Sistema Operativo Mac OS X 10.4 (Tiger). Esta aplicación, facilita realizar la búsqueda de archivos, documentos o apps. Las búsquedas pueden ser, según la información correspondiente a los atributos del sistema de archivos, así como también de los metadatos y el contenido textual indexado. Este tipo de información, se almacena en una base de datos de metadatos (store.db). Toda esta información se puede obtener siempre y cuando se trate de archivos existentes.

El caso de los archivos eliminados es diferente. Es necesario determinar, si después de eliminar los archivos, queda información de su registro en el almacén de metadatos de Spotlight. Además, si, de quedar registro de esta información, serviría para recuperar los datos, del espacio no asignado en el volumen.
Servidor de metadatos de Spotlight

La característica principal de Spotlight es que, permite realizar la búsqueda de datos por diferentes métodos. Uno de estos métodos es, utilizar los atributos de los archivos, para poder ubicarlos en el sistema de archivos indexado. Esta aplicación, viene integrada con el Sistema Operativo, desde el año 2004. El Servidor de Metadatos de Spotlight (MDS), es el servidor de indexación y administración central de Spotlight. Además, forma parte del marco CoreServices, que se ejecuta en segundo plano en macOS.

El MDS, se gestiona a nivel del núcleo, desde el momento del inicio. Los archivos de la aplicación, se encuentran dentro del directorio de CoreServices Framework. FSEvents, notifica al MDS, todos los cambios que ocurren dentro de un directorio. Al realizarse cualquier cambio, que puede ser la creación, modificación o eliminación de un archivo, se iniciará el importador de metadatos apropiado. En consecuencia, el importador es el responsable de extraer el texto indexado y los metadatos incrustados, antes de que el MDS los vuelva a indexar.

Las búsquedas, se realizan en la interfaz gráfica de usuario (GUI) de Spotlight, a través del MDS. Los desarrolladores, pueden diseñar aplicaciones personalizadas para la importación de metadatos, a través de Metadata Framework API y utilizando el índice de búsqueda de Spotlight.
File Systems Events

FSEvents (File Systems Events) es la interfaz que, notifica los cambios que ocurren en la jerarquía de directorios del sistema de archivos de Apple. Esta API, se encarga de monitorear los cambios a nivel del núcleo. FSEvents, sirve de fundamento para la aplicación de copias de seguridad de Apple, Time Machine. Entonces, MDS es notificado por FSEvents, de cualquier de los cambios en los metadatos del sistema de archivos. Como resultado, estos eventos son registrados en la lista de eventos FSevents.h.
Store.db

Esta base de datos de metadatos es el almacén de la base de datos central de Spotlight, y es donde se registra el valor de los metadatos extraídos. El formato de esta base de datos, es patentado por Apple y no es de dominio público. La base de datos store.db, se encuentra dentro de la Carpeta Spotlight-v100, y puede variar según la versión de macOS.

La base de datos store.db, siempre se ubica junto con una versión denominada .store.db, que no son copias idénticas, ni contienen la misma información. Por lo tanto, cuando ocurre un nuevo evento, .store.db se actualiza primero con cualquier nuevo registro de metadatos, mientras que store.db se actualiza después. Realizando una comparación a través del análisis detallado MD5 (Message-Digest Algorithm 5), se pudo determinar la diferencia entre los registros de los dos archivos.
recuperar metadatos de archivos MacComparación store.db & .store.bd en diferentes versiones de OS X
Posibilidad de recuperar metadatos de archivos Mac borrados

Ciertamente, los registros de metadatos de los archivos eliminados del sistema de archivos, se mantienen en la base de datos de forma temporal. Adicionalmente, las páginas eliminadas de la base de datos se pueden recuperar del espacio no utilizado en el sistema de archivos. Por lo tanto, es posible la recuperación de los datos, a través de la creación de scripts. Sin embargo, una vez que el registro se elimina de store.db ya no se puede recuperar. Cuando se elimina todo un árbol de directorios, los registros permanecen intactos y se pueden recuperar, siempre del espacio no utilizado

Por otro lado, el almacén de metadatos se elimina, cuando el índice de Spotlight se restablece, se vuelve a indexar o a crear. Sin embargo, aun en este caso, se pueden recuperar los registros del espacio no utilizado del sistema de archivos. Además, cuando se realiza una actualización del Sistema Operativo a otra versión, se crea una copia del almacén de metadatos, antes de que sea eliminada, y en este caso también se pueden recuperar.
Registro Anticipado

Afortunadamente, recuperar metadatos de archivos Mac persistentes, es posible, básicamente por la existencia de los dos archivos de base de datos donde se almacena los registros de metadatos, store.db y .store.bd. Podría decirse que, .store.db, actúa como un registro anticipado con las actualizaciones que se producen en el sistema de archivo. También es, es importante mencionar en este artículo que, existe una relación entre las tablas de metadatos, UTI y registros de datos. Las dos primeras tablas, parecen tener una clave primaria común, por medio de la cual identifican los registros. Adicionalmente, existe una coherencia en el orden de los campos que se encuentran dentro de los registros en una declaración de campo explícita.
¿Cómo Recuperar metadatos de archivos Mac borrados?

Las investigaciones, arrojan nuevos recursos para la recuperación de datos. Sin embargo, son recursos que deben ser utilizados por manos especializadas y Kelatos, empresa especializada en el Servicio técnico Apple y en la recuperación de Datos, la ofrece la mejor opción
recuperar metadatos de archivos Mac

Publicaciones Similares

Cómo recuperar espacio en la Microsoft Surface Pro

Porkelatos febrero 20, 2023febrero 20, 2023

Cómo recuperar espacio en una Surface la Microsoft Surface Pro Recuperar espacio en la Microsoft Surface Pro es posible La Surface Pro es una tableta que puede transformarse en un PC, lo que te permite añadir un teclado, un ratón y la popular suite Microsoft Office.Sin embargo, no obtendrás la experiencia completa sin suficiente espacio…

¿Dónde se guardan las copias de seguridad de Samsung?

Porkelatos febrero 17, 2023febrero 17, 2023

Los datos son el activo más valioso de cualquier empresa, y para protegerlos es necesario tener una copia de seguridad. Puedes utilizar Kelatos para hacer copias de seguridad de tus dispositivos Samsung y recuperarlos en caso de pérdida o robo. ¿Para qué sirven las copias de seguridad? Una copia de seguridad es una copia de…

Recuperación de datos profesional. Resuelve tu problema fácilmente

Por julio 8, 2018octubre 18, 2018

Recuperación de datos profesional. ¿Cuántas veces has sufrido la pérdida de tus datos? ¿Qué tan terrible ha sido? ¿Te encuentras en esa situación nuevamente y sientes que esta vez esa información es demasiado valiosa para ti? Has entrado a la página adecuada, porque hoy te mostraré todas las ventajas de contratar a una empresa de…

Sin categorizar | Sin categorizar | Sin categorizar | Sin categorizar

Instalar PC-3000 en un Macbook para recuperación de datos

Porkelatos abril 18, 2020

Por si no lo sabe, PC-3000, en sus diferentes versiones, es una potente herramienta utilizada para la recuperación de datos. En este artículo, analizaremos como instalar PC-3000 en un Macbook para recuperación de datos. Lo interesante de esto es, que PC-3000 no es compatible con los equipos Apple. Esta potente herramienta, solo puede ser instalada…

Disco duro de Time Capsule dañado ¿que hago?

Porkelatos abril 18, 2020abril 18, 2020

En el artículo Time Capsule de Apple falla ¿Cómo recupero los datos?, comentamos, lo complicado que es proceso para reemplazar el disco duro de Time Capsule. Por esa razón, muchos prefieren, conectar otro disco duro externo, a la Time Capsule a través de puerto USB. Esta sencilla opción, les permitirá usar los servicios de AirPort…

Recuperación de datos de archivos fragmentados en Mac

Porkelatos abril 18, 2020abril 18, 2020

La fragmentación de archivos es una acción común en sistemas operativos como Windows, sin embargo, también afecta a otros sistemas operativos. Conoce sobre la recuperación de archivos fragmentados en Mac. La fragmentación de archivos resulta un inconveniente cuando afecta el rendimiento óptimo de un disco duro. Por lo tanto, éste requiere de mantenimiento continuo. Una…