No hace mucho un usuario me llamó diciendo que se le había borrado todo lo que tenía en el disco duro del PC. Según él, desde hacía unos días, tenía problemas al poner en marcha el PC y tenía que intentarlo varias veces hasta que conseguía arrancar bien ya que el equipo “decía no-se-qué del disco duro” (sic). Transcurridos unos días, en el último de estos intentos el equipo arrancó “con el Windows vacío” (sic).
Al analizar el equipo observo que, efectivamente, no hay datos, ya que el equipo arranca con la configuración de fábrica: solicita confirmar la configuración de Windows, no hay ningún usuario creado, no hay ni rastro de los programas que había instalado el usuario, etc. Todo parece indicar que se ha hecho un System Recovery para devolver el equipo a su estado original de fábrica.
Se trata de un Windows 7 y para intentar averiguar lo sucedido pongo en marcha el equipo con un CD de autoarranque de la herramienta forense C.A.IN.E. (http://www.caine-live.net). Monto el disco duro del equipo como “solo lectura” (para no modificar nada de su contenido) y al acceder al árbol de directorios compruebo que los archivos de sistema de Windows tienen fecha y hora de unos instantes antes de recibir la llamada del usuario; que la carpeta “Archivos de Programa” está “limpia” (solo contiene los programas que vienen preinstalados en el sistema); que en la carpeta “Users” solo aparece el usuario por defecto, lo que parece confirmar mi sospecha de que en uno de los intentos de arranque del equipo, el usuario -de forma involuntaria- activó el proceso de “Restaurar el sistema a su estado de fábrica”.
Puesto que podemos dar el disco duro por perdido (ya manifestaba problemas de hardware antes de la incidencia) y puesto que los del Servicio Técnico ya ha montado un nuevo PC para el usuario, vamos a ver si podemos recuperar archivos borrados del disco después de un System Recovery.
Veamos los pasos a seguir: