Recuperar metadatos de archivos Mac borrados

En este artículo, nos ocuparemos de describir, la forma de recuperar metadatos de archivos Mac borrados, que permitan la recuperación de archivos. La información es un recurso vital para cualquier persona u organización. Por esta razón, se han diseñado diversos procedimientos y herramientas que permiten recuperar nuestra información, ante cualquier situación. En este sentido, las investigaciones, arrojan información, sobre cómo recuperar datos de archivos Mac borrados, utilizando los metadatos.

Tabla de contenidos

Spotlight para recuperar metadatos de archivos Mac borrados
    Servidor de metadatos de Spotlight
    File Systems Events
    Store.db
Posibilidad de recuperar metadatos de archivos Mac borrados
    Registro Anticipado
¿Cómo Recuperar metadatos de archivos Mac borrados?

Spotlight para recuperar metadatos de archivos Mac borrados
recuperar metadatos de archivos Mac

Spotlight, es una tecnología de Apple (2004), la cual se incorporó a partir del Sistema Operativo Mac OS X 10.4 (Tiger). Esta aplicación, facilita realizar la búsqueda de archivos, documentos o apps. Las búsquedas pueden ser, según la información correspondiente a los atributos del sistema de archivos, así como también de los metadatos y el contenido textual indexado. Este tipo de información, se almacena en una base de datos de metadatos (store.db). Toda esta información se puede obtener siempre y cuando se trate de archivos existentes.

El caso de los archivos eliminados es diferente. Es necesario determinar, si después de eliminar los archivos, queda información de su registro en el almacén de metadatos de Spotlight. Además, si, de quedar registro de esta información, serviría para recuperar los datos, del espacio no asignado en el volumen.
Servidor de metadatos de Spotlight

La característica principal de Spotlight es que, permite realizar la búsqueda de datos por diferentes métodos. Uno de estos métodos es, utilizar los atributos de los archivos, para poder ubicarlos en el sistema de archivos indexado. Esta aplicación, viene integrada con el Sistema Operativo, desde el año 2004. El Servidor de Metadatos de Spotlight (MDS), es el servidor de indexación y administración central de Spotlight. Además, forma parte del marco CoreServices, que se ejecuta en segundo plano en macOS.

El MDS, se gestiona a nivel del núcleo, desde el momento del inicio. Los archivos de la aplicación, se encuentran dentro del directorio de CoreServices Framework. FSEvents, notifica al MDS, todos los cambios que ocurren dentro de un directorio. Al realizarse cualquier cambio, que puede ser la creación, modificación o eliminación de un archivo, se iniciará el importador de metadatos apropiado. En consecuencia, el importador es el responsable de extraer el texto indexado y los metadatos incrustados, antes de que el MDS los vuelva a indexar.

Las búsquedas, se realizan en la interfaz gráfica de usuario (GUI) de Spotlight, a través del MDS. Los desarrolladores, pueden diseñar aplicaciones personalizadas para la importación de metadatos, a través de Metadata Framework API y utilizando el índice de búsqueda de Spotlight.
File Systems Events

FSEvents (File Systems Events) es la interfaz que, notifica los cambios que ocurren en la jerarquía de directorios del sistema de archivos de Apple. Esta API, se encarga de monitorear los cambios a nivel del núcleo. FSEvents, sirve de fundamento para la aplicación de copias de seguridad de Apple, Time Machine. Entonces, MDS es notificado por FSEvents, de cualquier de los cambios en los metadatos del sistema de archivos. Como resultado, estos eventos son registrados en la lista de eventos FSevents.h.
Store.db

Esta base de datos de metadatos es el almacén de la base de datos central de Spotlight, y es donde se registra el valor de los metadatos extraídos. El formato de esta base de datos, es patentado por Apple y no es de dominio público. La base de datos store.db, se encuentra dentro de la Carpeta Spotlight-v100, y puede variar según la versión de macOS.

La base de datos store.db, siempre se ubica junto con una versión denominada .store.db, que no son copias idénticas, ni contienen la misma información. Por lo tanto, cuando ocurre un nuevo evento, .store.db se actualiza primero con cualquier nuevo registro de metadatos, mientras que store.db se actualiza después. Realizando una comparación a través del análisis detallado MD5 (Message-Digest Algorithm 5), se pudo determinar la diferencia entre los registros de los dos archivos.
recuperar metadatos de archivos MacComparación store.db & .store.bd en diferentes versiones de OS X
Posibilidad de recuperar metadatos de archivos Mac borrados

Ciertamente, los registros de metadatos de los archivos eliminados del sistema de archivos, se mantienen en la base de datos de forma temporal. Adicionalmente, las páginas eliminadas de la base de datos se pueden recuperar del espacio no utilizado en el sistema de archivos. Por lo tanto, es posible la recuperación de los datos, a través de la creación de scripts. Sin embargo, una vez que el registro se elimina de store.db ya no se puede recuperar. Cuando se elimina todo un árbol de directorios, los registros permanecen intactos y se pueden recuperar, siempre del espacio no utilizado

Por otro lado, el almacén de metadatos se elimina, cuando el índice de Spotlight se restablece, se vuelve a indexar o a crear. Sin embargo, aun en este caso, se pueden recuperar los registros del espacio no utilizado del sistema de archivos. Además, cuando se realiza una actualización del Sistema Operativo a otra versión, se crea una copia del almacén de metadatos, antes de que sea eliminada, y en este caso también se pueden recuperar.
Registro Anticipado

Afortunadamente, recuperar metadatos de archivos Mac persistentes, es posible, básicamente por la existencia de los dos archivos de base de datos donde se almacena los registros de metadatos, store.db y .store.bd. Podría decirse que, .store.db, actúa como un registro anticipado con las actualizaciones que se producen en el sistema de archivo. También es, es importante mencionar en este artículo que, existe una relación entre las tablas de metadatos, UTI y registros de datos. Las dos primeras tablas, parecen tener una clave primaria común, por medio de la cual identifican los registros. Adicionalmente, existe una coherencia en el orden de los campos que se encuentran dentro de los registros en una declaración de campo explícita.
¿Cómo Recuperar metadatos de archivos Mac borrados?

Las investigaciones, arrojan nuevos recursos para la recuperación de datos. Sin embargo, son recursos que deben ser utilizados por manos especializadas y Kelatos, empresa especializada en el Servicio técnico Apple y en la recuperación de Datos, la ofrece la mejor opción
recuperar metadatos de archivos Mac

Publicaciones Similares

Recuperación de datos de ordenadores Surface Book

Porkelatos febrero 15, 2023febrero 20, 2023

Recuperación de datos de ordenadores Surface Book Una recuperación de datos de ordenadores Surface Book para ti, en el corazón de Madrid ¿Tienes un Surface Book? Si es así, es posible que hayas perdido algunos datos en el mismo. Tal vez te hayas suscrito a un servicio en línea y hayas olvidado hacer una copia de…

Blog | Blog | Blog | Blog | Blog

Cómo se extraen los datos del disco duro en un Surface

Porkelatos febrero 15, 2023febrero 20, 2023

Cómo se extraen los datos del disco duro en un Surface Si no sabes cómo se extraen los datos del disco duro en un Surface, podemos ayudarte. Si tienes un dispositivo Surface, entonces sabes lo importante que es mantener una copia de seguridad de los datos. Es posible que hayas perdido algunos archivos del disco…

Sin categorizar | Sin categorizar | Sin categorizar

FORMATEAR UNA UNIDAD FLASH EN WINDOWS

Por septiembre 10, 2018octubre 18, 2018

¿Tiene una partición corrupta en su disco? Una de las muchas maneras de lograr recuperar esa partición, es logrando formatear una unidad flash en Windows. El método es muy fácil de seguir, De hecho, muchos usuarios se sienten familiarizado con el nombre o con el mismo proceso. Ahora, ahondando en la realidad, ¿realmente conocen la…

copias de seguridad | Herramientas de recuperación de datos | Pérdida de datos | Recuperacion de Datos

Reparar discos SSD Mac dañados

Porkelatos abril 18, 2020abril 18, 2020

Desde hace unos años, Apple ha incorporado en todos sus equipos , los discos SSD o Unidad de Estado Sólido (Solid State Drive), en reemplazo de los HDD. Los SSD que utiliza Apple en sus equipos, son propietarios, sin embargo, se pudieran incorporar SSD de ciertos fabricantes, en algunos de los modelos. A pesar de…

¿Cómo recuperar archivos de un móvil Samsung que no enciende?

Porkelatos febrero 17, 2023febrero 17, 2023

Los teléfonos móviles Samsung son conocidos por su alto rendimiento, pero también pueden sufrir pérdidas de datos. Si ha estado utilizando su teléfono Samsung y de repente ya no arranca, ¡no se preocupe! Le ayudaremos a recuperar todos los datos perdidos de este smartphone y a que vuelva a funcionar en un abrir y cerrar…

La recuperación de datos, preguntas y respuestas

Porkelatos abril 18, 2020abril 18, 2020

Conocer sobre recuperación de datos genera preguntas y a su vez respuestas para cada una de ellas. Es posible que no conozcas siquiera que exista la recuperación de datos hasta que se presenta la necesidad de recuperarlos. Además, existe mucha confusión específicamente en este tema ya que la información que se presenta generalmente es conflictiva….